Ustawa o krajowym systemie cyberbezpieczeństwa (UKSC) wdraża dyrektywę NIS2 i wprowadza nowe obowiązki dla podmiotów kluczowych i ważnych.
Audyt zerowy daje organizacji jasny obraz: gdzie jest dziś, czego brakuje i co należy zrobić, żeby spełnić wymagania ustawy.
Czy podmiot podlega UKSC?
UKSC dotyczy podmiotów działających w sektorach z załącznika nr 1 (kluczowe) lub załącznika nr 2 (ważne) ustawy, które przekraczają próg średniego przedsiębiorcy. Dla niektórych kategorii próg jest niższy lub nie ma zastosowania, w szczególności dla dostawców zarządzanych usług bezpieczeństwa (MSSP).
Pierwszym krokiem jest kwalifikacja organizacji, którą realizujemy jako osobną usługę lub w ramach audytu zerowego.
wpis do wykazu podmiotów kluczowych i ważnych
wdrożenie środków z art. 8 UKSC
audyt zgodności dla podmiotów kluczowych (art. 15 UKSC)
Od 16 000 PLN netto
Prace dodatkowe poza ustalonym zakresem rozliczane w trybie T&M.
8 dni pracy konsultanta ds. cyberbezpieczeństwa podczas, których wykonywany jest przegląd dostarczonej dokumentacji (polityki, procedury, BCP, umowy z dostawcami). Sprawdzamy do 300 stron w standardowym zakresie.
Seria 4 spotkań (do 2h każde) z osobami odpowiedzialnymi za IT, bezpieczeństwo oraz procesy biznesowe w celu weryfikacji założeń dokumentacyjnych w praktyce.
Mapa zgodności z UKSC, lista luk z priorytetyzacją i harmonogram prac wdrożeniowych. Wskazujemy, które obszary wymagają poprawy, a które należy stworzyć od nowa.
Ustalamy, czy podmiot podlega UKSC oraz czy kwalifikuje się jako podmiot ważny czy kluczowy.
Identyfikujemy luki i opracowujemy roadmapę wraz z harmonogramem prac.
Wspólnie z zespołem Klienta tworzymy lub dostosowujemy polityki, procedury, wspieramy kierownictwo, przygotowujemy integrację z systemem S46, oraz doradzamy przy wdrożeniu środków technicznych. Ten etap jest wyceniane odrębnie - na podstawie wyników audytu zerowego.
Szacunkowa pracochłonność i koszt etapu wdrożeniowego. Punkt wyjścia do planowania budżetu na dojście do zgodności.
Q:
Ocenę spełnienia wymagań UKSC z podziałem na obszary, mapę zgodności, priorytety luk i roadmapę wdrożeniową. To dokument techniczno-organizacyjny wskazujący, co wdrożyć, zmodyfikować lub uzupełnić.
Q:
Nie. Audyt zerowy obejmuje identyfikację luk i rekomendacje. Opracowanie polityk i procedur to odrębny etap (wdrożenie), wyceniany po zakończeniu audytu.
Q:
Polityki bezpieczeństwa, procedury zarządzania incydentami, rejestr aktywów, analiza ryzyka, plany ciągłości działania (BCP/DRP), szablony umów z dostawcami, raporty z dotychczasowych audytów, dane identyfikujące podmiot (KRS, NIP, struktura). Pełną listę potwierdzamy po podpisaniu umowy.
Q:
Audyt zerowy to pierwszy etap. Klient otrzymuje plan działań, który należy wdrożyć (polityki, procedury, środki techniczne, szkolenia, integracja z systemem art. 46 ust. 1 UKSC). Rzeczywiste spełnienie wymagań następuje po wdrożeniu wszystkich rekomendacji w terminie przewidzianym przez ustawę.
Q:
Podmioty kluczowe podlegają wyższemu reżimowi nadzoru i wyższym sankcjom. Status zależy od sektora (zał. 1 lub 2 UKSC) i wielkości podmiotu. Weryfikujemy to w ramach kwalifikacji.
Q:
Tak, w zakresie mapowania pod dyrektywę NIS2. Klasyfikacja pod lokalne implementacje Dyrektywy w innych państwach członkowskich wymaga indywidualnej wyceny.