Przejdź do treści głównej
Nowe wymogi UKSC 2026 — sprawdź swój poziom zgodności, zanim zrobi to regulator.

Osiągaj zgodność
z DORA, UKSC, ISO 27001 i ISO 22301.

Pomagamy CISO i zarządom przełożyć wymagania regulacyjne na działający, udokumentowany system, z dowodami zgodności gotowymi na kontrolę.

Mapa luk i roadmapa na 6–12 miesięcy zgodna z terminami DORA i UKSC. Gotowość do raportowania incydentów w 24/72h z udokumentowanym procesem eskalacji. ISMS i BCMS zaprojektowane pod realne ryzyko biznesowe, nie tylko pod audyt.
Umów bezpłatną konsultację Zobacz, jakie konsekwencje niesie brak zgodności

DORA obowiązuje od 17 stycznia 2025 r., a nowelizacja UKSC wdrażająca NIS2 przewiduje kary do 10 mln EUR lub 2% globalnego obrotu za poważne naruszenia oraz za brak raportowania incydentów w wymaganych terminach.

Regulacje

Cztery filary wymogów: DORA, UKSC/NIS2, ISO 27001, ISO 22301

Projektujemy działania tak, aby jeden spójny system zarządzania pokrywał wymagania nadzorców finansowych, ustawy o Krajowym Systemie Cyberbezpieczeństwa oraz standardów ISO.

DORA (UE 2022/2554)

Instytucje finansowe i dostawcy ICT w UE

Od 17.01.2025

Obowiązkowy framework zarządzania ryzykiem ICT, obejmujący inwentaryzację usług, procesów i zasobów krytycznych oraz powiązanie ich z ryzykiem operacyjnym.

Wymóg regularnych testów odporności cyfrowej, w tym zaawansowanych testów typu TLPT dla wybranych podmiotów.

Ścisłe wymogi dotyczące outsourcingu i kontraktów ICT – prawo do audytu, raportowania i scenariusze zakończenia współpracy.

Kary za naruszenia Do 2% rocznego światowego obrotu lub 10 mln EUR – w zależności od tego, która wartość jest wyższa; dodatkowo dzienne kary do 1% średniego dziennego obrotu przy uporczywej niezgodności.

UKSC / NIS2

Podmioty kluczowe i ważne w Polsce i UE

24h / 72h / 1 miesiąc

Rozszerzony katalog sektorów objętych obowiązkami, w tym finanse, energia, zdrowie, transport, administracja oraz szereg usług cyfrowych.

Obowiązek zgłaszania istotnych incydentów bezpieczeństwa w trybie 24/72h oraz przekazania raportu końcowego w ciągu miesiąca.

Wzmocniona odpowiedzialność zarządu za zatwierdzenie środków bezpieczeństwa, nadzór nad ryzykiem i dowody zgodności.

Kary za naruszenia Podmioty kluczowe: do 10 mln EUR lub 2% globalnego obrotu; podmioty ważne: do 7 mln EUR lub 1,4% globalnego obrotu, w tym za brak terminowego raportowania incydentów.

ISO/IEC 27001:2022

System Zarządzania Bezpieczeństwem Informacji (ISMS)

Certyfikacja 3-letnia

Wymaga zdefiniowania kontekstu organizacji, ról i odpowiedzialności, polityki bezpieczeństwa oraz celów powiązanych z ryzykiem.

Centralnym elementem jest metodyka oceny ryzyka i rejestr ryzyk, powiązany z kontrolami z Załącznika A oraz Oświadczeniem o Stosowaniu (SoA).

Nacisk na ciągłe doskonalenie: przeglądy kierownictwa, audyty wewnętrzne, wskaźniki skuteczności i działania korygujące.

Konsekwencje braku Brak certyfikacji nie oznacza kary administracyjnej, ale w praktyce ogranicza możliwość udziału w przetargach, podnosi ryzyko niezgodności z NIS2/UKSC i utrudnia wykazanie należytej staranności wobec regulatorów i kontrahentów.

ISO 22301:2019

System Zarządzania Ciągłością Działania (BCMS)

BIA, strategie, testy

Wymaga przeprowadzenia analizy wpływu na biznes (BIA), określenia priorytetowych procesów, RTO/RPO oraz zależności od dostawców i zasobów.

Definiuje strategie zapewnienia ciągłości, plany reagowania i odtwarzania, procedury komunikacji kryzysowej oraz role w strukturze kryzysowej.

Podkreśla konieczność testowania planów, wniosków z ćwiczeń oraz ciągłej aktualizacji BCMS po incydentach i zmianach organizacyjnych.

Konsekwencje braku Ryzyko przerw w działalności nieakceptowalne dla regulatorów i klientów, utrata przychodów oraz trudność w wykazaniu odporności operacyjnej wymaganej m.in. przez DORA i NIS2.

Macierz zgodności Secureside

Zobacz, które usługi pokrywają wymagania poszczególnych regulacji. Kliknij filtr, aby skupić się na konkretnej regulacji.

Usługa Secureside DORA UKSC / NIS2 ISO 27001 ISO 22301
Audyt zgodności i gap analysis Mapa luk vs RTS/ITS Gotowość 24/72h Ocena ISMS (4–10, A) Ocena BIA i planów
Wdrożenie ISMS (ISO 27001) Ryzyko ICT & kontrole Środki NIS2-aligned Pełny ISMS i SoA Integracja z BCMS
Wdrożenie BCMS (ISO 22301) Odporność usług krytycznych Ciągłość usług kluczowych Scenariusze awaryjne Pełny BCMS
Doradztwo compliance DORA Model zarządzania, TPRM Spójność z CSIRT Powiązanie z ISMS Scenariusze kryzysowe
Przygotowanie do certyfikacji Dowody dla nadzoru Evidence dla UKSC Pre-audit, coaching Próba certyfikacyjna
Szkolenia zarządu i IT Rola kierownictwa Odpowiedzialność zarządu Świadomość ISMS Role w kryzysie
Managed CISO / vCISO Stały nadzór DORA Kontakt z CSIRT / organem Utrzymanie ISMS Utrzymanie BCMS

Usługi

Koncentrujemy się na realnych problemach regulacyjnych, a każda usługa kończy się jasno zdefiniowanym deliverable.

Nie sprzedajemy „konsultingu godzinowego”. W każdym obszarze zgodności dostarczamy mierzalny rezultat: od gap analysis, przez roadmapę, po dowody zgodności gotowe do audytu.

Audyt zgodności i gap analysis

Dzięki tej usłudze widzisz pełny obraz wymogów — od DORA i UKSC po ISO 27001 i ISO 22301.

Z perspektywy CISO i zarządu najgorszy jest stan niepewności: czy organizacja jest zgodna, a jeśli nie, co dokładnie grozi i w jakim horyzoncie. Nasz audyt łączy wymagania DORA, NIS2/UKSC oraz norm ISO w jednym modelu dojrzałości zamiast czterech odrębnych list kontrolnych.

Problem regulacyjny: Brak całościowego obrazu zgodności, rozproszone kontrole i dokumentacja, brak powiązania ryzyk z konkretnymi wymaganiami oraz terminami (np. zgłaszanie incydentów w 24/72h, gotowość na kontrole DORA).

Deliverable: Raport gap analysis z mapą luk, oszacowaniem ryzyka regulacyjnego, priorytetyzacją działań na 6–12 miesięcy oraz mapą wymagań do konkretnych paragrafów DORA, UKSC/NIS2, ISO 27001 i ISO 22301.

Forma: przegląd dokumentacji, warsztaty z kluczowymi właścicielami procesów, próbka dowodów zgodności, rekomendacje „quick wins” i działań strategicznych.

Wdrożenie ISMS (ISO 27001:2022)

Budujemy system bezpieczeństwa informacji, który realnie wspiera DORA i NIS2.

ISO 27001:2022 wymaga, aby punktem wyjścia do doboru kontroli było ryzyko, a nie odwrotnie. Projektujemy ISMS tak, aby równocześnie spełniał wymagania normy i stanowił dowód należytej staranności wobec DORA oraz UKSC/NIS2.

Problem regulacyjny: Fragmentaryczne polityki bezpieczeństwa, brak aktualnej analizy ryzyka i rejestru ryzyk powiązanego z kontrolami, trudność w wykazaniu spójności podejścia wobec regulatora lub audytora certyfikującego.

Deliverable: Kompletny, wdrożony ISMS zgodny z ISO 27001:2022 – obejmujący politykę, rejestr aktywów, metodykę i rejestr ryzyk, Oświadczenie o Stosowaniu, plan traktowania ryzyka oraz zestaw wskaźników monitorujących efektywność kontroli.

Forma: iteracyjne warsztaty, wspólne opracowanie artefaktów ISMS, szablony dokumentów i procesów, coaching dla właścicieli ryzyk.

Wdrożenie BCMS (ISO 22301:2019)

Budujemy ciągłość działania spójną z wymaganiami DORA i UKSC.

DORA i NIS2 zakładają, że organizacja potrafi utrzymać usługi krytyczne mimo awarii ICT. ISO 22301 dostarcza do tego strukturę dla BIA, strategii ciągłości i planów odtwarzania, pod warunkiem że efekt nie kończy się na segregatorze dokumentów.

Problem regulacyjny: Plany ciągłości istnieją „na papierze”, ale nie są testowane, nie obejmują pełnego łańcucha dostaw ani nie są powiązane z realnymi RTO/RPO dla procesów regulowanych.

Deliverable: BCMS zgodny z ISO 22301:2019 – obejmujący BIA, zdefiniowane RTO/RPO, strategie ciągłości, plany odtwarzania IT i procesów biznesowych oraz scenariuszowe ćwiczenia potwierdzające wykonalność planów.

Forma: analiza procesów, warsztaty BIA, projektowanie strategii i planów, scenariuszowe testy stołowe oraz rekomendacje techniczne dla infrastruktury.

Doradztwo compliance DORA

Przekładamy rozporządzenie DORA na konkretne decyzje operacyjne i kontraktowe.

DORA nie jest kolejną polityką ICT, tylko zmianą sposobu, w jaki instytucje finansowe zarządzają dostawcami ICT, testami odporności i raportowaniem incydentów. Pomagamy zbudować model governance, który spełni oczekiwania nadzorcy, a jednocześnie pozostanie wykonalny dla IT i biznesu.

Problem regulacyjny: Brak jasnej odpowiedzialności za ryzyko ICT na poziomie zarządu, niespójne umowy z dostawcami (brak praw do audytu, testów, raportowania), brak gotowego procesu raportowania „major ICT-related incidents”.

Deliverable: Model zarządzania zgodny z DORA – obejmujący regulamin komitetu ds. ryzyka ICT, przegląd i wzorce zapisów kontraktowych, matrycę krytyczności dostawców, procedurę raportowania incydentów oraz wskaźniki monitorujące odporność operacyjną.

Forma: warsztaty z zarządem i właścicielami ryzyk, przegląd portfela dostawców, matryca zgodności kontraktów, rekomendacje zmian oraz plan wdrożenia.

Przygotowanie do certyfikacji

Do audytu wchodzisz świadomie, a nie z poczuciem, że wszystko rozstrzygnie się przypadkiem.

Certyfikat ISO albo kontrola regulatora to moment weryfikacji. Skupiamy się na tym, aby audyt nie był loterią: sprawdzamy kompletność dokumentacji, spójność dowodów i gotowość zespołów do rozmowy z audytorem.

Problem regulacyjny: Brak pewności, czy istniejące ISMS/BCMS spełniają wymagania normy i regulatora, niekompletne dowody, niespójne odpowiedzi podczas audytów, ryzyko niepowodzenia lub poważnych niezgodności.

Deliverable: Pakiet „pre‑audit”: checklista zgodności, przegląd dokumentacji i rejestrów, lista braków wraz z planem ich uzupełnienia, scenariusze pytań audytora oraz próbny przegląd zarządzania.

Forma: 2–4 tygodnie intensywnej pracy przed audytem, połączonej z coachingiem kluczowych ról (CISO, właściciele procesów, zarząd).

Szkolenia i Managed CISO / vCISO

Zapewniamy stałe wsparcie w roli CISO bez konieczności budowania dużego zespołu wewnętrznego.

DORA i NIS2 wprost podnoszą oczekiwania wobec zarządów oraz funkcji odpowiedzialnych za ryzyko ICT. Dla wielu organizacji pełnoetatowy zespół CISO nie jest dziś realnym rozwiązaniem, dlatego oferujemy usługę vCISO połączoną z ukierunkowanymi szkoleniami dla zarządu i zespołów technicznych.

Problem regulacyjny: Brak roli, która łączy perspektywę regulatora, biznesu i zespołów technicznych; zarząd nie ma regularnej informacji o stanie zgodności i ryzyku, a wymagane decyzje formalne są podejmowane ad‑hoc.

Deliverable: Usługa Managed CISO / vCISO – obejmująca cykliczne raporty dla zarządu, plan prac zgodnościowy, nadzór nad ISMS/BCMS, wsparcie przy incydentach oraz program szkoleń dopasowany do ról (zarząd, właściciele procesów, IT/Ops).

Forma: umowa retainerowa z określoną liczbą dni konsultingowych miesięcznie, SLA na wsparcie incydentowe oraz zdefiniowany backlog inicjatyw bezpieczeństwa.

Wyzwania

Znamy te wyzwania i mamy sprawdzone sposoby ich rozwiązania.

To nie są teoretyczne problemy z prezentacji. To realne bariery, które zatrzymują projekty zgodności w instytucjach finansowych, infrastrukturze krytycznej, administracji i firmach ICT.

Problem

„Nie wiemy, czy podlegamy pełnym wymogom DORA / NIS2.”

Brakuje jednoznacznej samooceny, czy organizacja jest podmiotem kluczowym, ważnym albo objętym DORA, a także pewności co do zakresu systemów i spółek w grupie, których dotyczą obowiązki.

Jak pomaga Secureside

Prowadzimy warsztat klasyfikacyjny z działem prawnym i ryzyka, mapujemy usługi i spółki do definicji regulacyjnych oraz przygotowujemy notatkę klasyfikacyjną do okazania regulatorowi wraz z konsekwencjami dla planu zgodności.

Problem

„Nasze ISO 27001 to segregator dokumentów, nie realny system.”

Dokumenty istnieją, ale nie wspierają podejmowania decyzji, rejestr ryzyk jest oderwany od rzeczywistości, brakuje dowodów faktycznej implementacji kontroli.

Jak pomaga Secureside

Robimy przegląd „żywotności” ISMS – odświeżamy metodykę ryzyka, wiążemy scenariusze z kontrolami i KPI, upraszczamy nadmiarową dokumentację, tak aby system wspierał wymagania DORA/NIS2 i codzienną pracę zespołów.

Problem

„Nie jesteśmy gotowi na raportowanie incydentów w 24/72h.”

Brak zdefiniowanych progów istotności, ścieżek eskalacji, wzorów zgłoszeń i integracji z CSIRT/regulatorem; duże ryzyko reakcji ad‑hoc.

Jak pomaga Secureside

Projektujemy proces zarządzania incydentami zgodny z NIS2/UKSC i DORA – od klasyfikacji incydentów, przez playbooki reakcji, po szablony zgłoszeń i rejestr incydentów z czasami TTR/TTC.

Problem

„Dostawcy ICT nie chcą zaakceptować wymogów DORA.”

Umowy nie zawierają kluczowych zapisów o audycie, raportowaniu i testach; dostawcy odrzucają załączniki bezpieczeństwa przygotowane przez dział prawny.

Jak pomaga Secureside

Przygotowujemy pragmatyczny zestaw klauzul DORA‑ready, matrycę krytyczności dostawców i zasady odstępstw, wspieramy negocjacje od strony merytorycznej, tak aby osiągnąć wymaganą zgodność bez blokowania biznesu.

Problem

„BCP istnieje tylko na slajdach.”

Plany ciągłości są nieaktualne, nigdy nie były testowane, nie obejmują dostawców i dróg ewakuacji danych; trudno je powiązać z wymaganiami DORA i NIS2.

Jak pomaga Secureside

Opracowujemy BIA, projektujemy realistyczne RTO/RPO, aktualizujemy plany, a następnie prowadzimy ćwiczenia scenariuszowe. Po każdym teście tworzymy raport z wnioskami i planem modyfikacji, wzmacniając dojrzałość BCMS.

Problem

„Zarząd słyszy o ryzykach, ale nie dostaje konkretów.”

Raporty bezpieczeństwa są techniczne, nieprzekładalne na ryzyko regulacyjne i biznesowe, trudno na ich podstawie podjąć decyzje o budżecie i priorytetach.

Jak pomaga Secureside

Budujemy format raportów dla zarządu: garść wskaźników, status kluczowych inicjatyw i mapa ryzyka powiązana z DORA/NIS2/ISO – tak, aby każda decyzja inwestycyjna mogła być podjęta świadomie i udokumentowana na potrzeby regulatora.

Proces

Pięć kroków – od gap analysis do utrzymania zgodności.

Proces jest powtarzalny i skalowalny – tak, aby można go było stosować zarówno w dużych grupach kapitałowych, jak i w pojedynczych podmiotach regulowanych.

Gap analysis

Zbieramy istniejące polityki, procedury, umowy i dowody. Porównujemy je z wymaganiami DORA, UKSC/NIS2 oraz ISO 27001/22301, wskazując luki i obszary nadmiarowej dokumentacji.

Rezultat: raport luk, szybkie wygrane, poziom ryzyka regulacyjnego.

Roadmapa i target operating model

Projektujemy docelowy model governance, procesów i odpowiedzialności oraz plan działań w horyzoncie 6–12 miesięcy z jasnymi właścicielami i kamieniami milowymi.

Rezultat: uzgodniona mapa drogowa zatwierdzona przez zarząd.

Wdrożenie ISMS / BCMS i zmian operacyjnych

Pracujemy wspólnie nad dokumentami, rejestrami, procesami oraz zmianami technicznymi. Integrujemy wymagania regulacyjne z codzienną pracą zespołów IT, bezpieczeństwa i biznesu.

Rezultat: działający system, nie tylko komplet plików.

Certyfikacja / kontrola regulatora

Przygotowujemy organizację do audytów – prowadzimy próbne przeglądy, kompletujemy dowody, uzgadniamy komunikację z audytorami i nadzorcą.

Rezultat: świadome wejście w audyt z minimalnym ryzykiem niezgodności.

Utrzymanie i doskonalenie

W ramach Managed CISO/vCISO lub stałego wsparcia pomagamy utrzymać cykle przeglądów, testów, szkoleń oraz nadzoru nad dostawcami, tak aby zgodność nie „starzała się” po audycie.

Rezultat: żywy system zgodności, odporny na zmiany organizacyjne i technologiczne.

Przykłady sektorowe

Różne sektory, wspólne wyzwanie: udokumentowana odporność operacyjna.

Poniższe scenariusze są reprezentatywne – pokazują typowe wyzwania, z jakimi przychodzą do nas klienci z finansów, infrastruktury krytycznej i ICT.

Finanse

Bank średniej wielkości – DORA + NIS2 w grupie kapitałowej

Grupa posiadała liczne lokalne polityki i rejestry, ale brakowało spójnego modelu zarządzania ryzykiem ICT obejmującego outsourcing, testy odporności i raportowanie incydentów do nadzorców w wielu jurysdykcjach.

Czas projektu 9 miesięcy
Rezultat Ujednolicony ISMS/BCMS, matryca dostawców ICT, procedury DORA‑ready

Infrastruktura krytyczna

Operator energetyczny – NIS2 i ciągłość działania

Organizacja miała rozproszone plany awaryjne, niespójne RTO/RPO i brak zintegrowanej analizy wpływu na biznes. Wymogi NIS2 wymusiły przyspieszenie prac nad odpornością usług kluczowych.

Czas projektu 7 miesięcy
Rezultat Kompletny BCMS ISO 22301, ćwiczenia scenariuszowe, gotowość raportowa

ICT

Dostawca SaaS – oczekiwania klientów regulowanych

Dynamicznie rosnąca firma SaaS zaczęła obsługiwać banki i ubezpieczycieli, którzy wymagali zgodności z DORA, NIS2 oraz ISO 27001. Dotychczasowe praktyki bezpieczeństwa były dobre, ale słabo udokumentowane.

Czas projektu 6 miesięcy
Rezultat ISMS ISO 27001, pakiet dokumentów dla due diligence klientów, plan zgłoszeniowy NIS2‑ready

Kontakt

Porozmawiajmy o Twojej sytuacji regulacyjnej..

Zazwyczaj w ciągu 30 minut jesteśmy w stanie wstępnie ocenić skalę wyzwań, priorytet regulacji oraz to, czy Secureside jest dla Ciebie właściwym partnerem.

Dziękujemy za wiadomość.

Odezwaliśmy się do wielu zarządów i CISO w podobnej sytuacji – wrócimy do Ciebie z propozycją terminu rozmowy w ciągu jednego dnia roboczego.