NIS2/KSC2… ale właściwie od czego zacząć? Starter Pack od sekuraka

Wszyscy już wiemy, że w kwietniu weszła jedna z najważniejszych zmian regulacyjnych ostatnich lat w obszarze cyberbezpieczeństwa w Polsce – nowelizacja ustawy KSC2, implementująca unijną dyrektywę NIS2.  

Kilkadziesiąt tysięcy podmiotów w Polsce stanęło przed następującymi pytaniami:

• Czy moja firma lub instytucja podlega pod nowe przepisy?
• Jak skutecznie rozpocząć proces dostosowania się do NIS2/KSC2?
• Jak reagować na incydenty bezpieczeństwa aby sprostać wymogom nowych regulacji?

Jeśli zadajesz sobie te pytania – zapewniamy Cię, że nie jesteś sam. Odpowiedzi na nie najlepiej uzyskać od razu i ze sprawdzonego źródła. Na wdrożenie obowiązków jest czas tylko do 3 kwietnia 2028 roku. A przewidywane kary do najmniejszych nie należą 🙂

No więc jak się za to wszystko zabrać? W czerwcu uruchamiamy cykl trzech bezpłatnych webinarów NIS2/KSC2 Starter Pack – starannie wyselekcjonowany zestaw wiedzy startowej, od którego warto zacząć stojąc przed zadaniem dostosowania organizacji do nowych przepisów.  

W ramach serii szkoleń przyjrzymy się nowym regulacjom z trzech praktycznych perspektyw: 

• Prawnej – co dokładnie mówią przepisy i jak je interpretować.  
• Koordynatora KSC2 (Ministerstwo Cyfryzacji) – punkt widzenia i wskazówki od regulatora.    
• Technicznego cyberbezpieczeństwa – jak to wszystko wygląda „w realu” i co naprawdę trzeba zrobić.

Nie będą to suche, teoretyczne wykłady. To konkretne, praktyczne wprowadzenie, które pozwoli Ci szybko ocenić sytuację swojej organizacji i określić kolejne kroki. 

AGENDY

Sesja pierwsza (prawna):
Czy moja firma/instytucja podlega pod NIS2/KSC2?

Prowadzący: Marcin Serafin, Partner w kancelarii Sterberg
Data: 16.06.2026, godz. 10:00 – 11:00 

Ta sesja pomoże odpowiedzieć wielu podmiotom na kluczowe pytanie, od którego wszystko się zaczyna – czy nowe przepisy dotyczą w ogóle mojej firmy? Jeśli tak, to w jakim zakresie i co z tego wynika? Błędna klasyfikacja może pociągać za sobą poważne skutki w postaci wysokich kar finansowych i poważnych sankcji operacyjnych i administracyjnych. Warto więc zadbać o to aby nie popełnić błędu na samym początku procesu.

1. Jak liczyć pracowników oraz przychody w kontekście NIS2/KSC2?
   • Czy “pracownik” to tylko umowa o pracę, pełny etat, czy każdy kto pracuje w firmie?
   • Które przychody brać do progu i czy tylko własne, czy także spółek z grupy?
2. Sektor po sektorze: jak naprawdę sprawdzić, czy jest się na liście?
   • Kwalifikacja przedmiotu działalności i miejsca, w których czyha pułapka: czy szukamy do pierwszego “trafienia”, czy czytamy załączniki do końca?
   • Czy decyduje kod PKD i wpis w KRS, czy raczej rzeczywisty zakres działania, oraz o czym jeszcze warto pamiętać?
3. Najczęstsze zdziwienia i nieoczywistości
   • Czy bycie w łańcuchu dostaw oznacza obowiązek rejestracji?
   • Jak policzyć się w grupie kapitałowej (spółki powiązane i partnerskie)?
   • Jak traktować usługi zarządzane?
   • Kiedy w grę wchodzą usługi chmurowe?
4. Formularz zgłoszeniowy: co wpisać i jak go uzupełnić?
   • Co podaje się w zgłoszeniu do Wykazu KSC?
   • Jak udokumentować, że jednak nie podlegamy pod KSC2?

Sesja druga (prawna, okiem Ministerstwa Cyfryzacji):
Roadmapa KSC2. Od wpisu do S46 po wdrożenie cyberbezpiecznych rozwiązań.

Prowadzący: Marcin Wysocki, Zastępca Dyrektora, Ministerstwo Cyfryzacji

Data: 23.06.2026, godz. 10:00 – 11:00 

Ta sesja odpowie na pytania o jakie ważne aspekty (z organizacyjno-formalnego punktu widzenia) należy zadbać jeśli mamy już pewność, że nasza instytucja podlega pod nowe przepisy NIS2/KSC2. Będzie też o karach jakie czekają tych, którzy nie dostosują swoich organizacji do wymogów nowych przepisów.  

1. Czym jest wykaz podmiotów kluczowych i ważnych, kto musi się samozarejstrować i do kiedy?
2. Co trzeba zrobić żeby podłączyć się do systemu S46 i czy to faktycznie jest obowiązkowe?
3. Osoby do kontaktu w ramach KSC –  kto to powinien być?
4. Kto musi przeprowadzić audyt, w jakiej sytuacji i jakie wymogi są stawiane wobec audytora?
5. Kluczowe obowiązki dotyczące SZBI 
6. Kary pieniężne w KSC 2.0 (moratorium, ale bez abolicji oraz omówienie pewnego wyjątku)

Sesja trzecia (techniczna):
Obsługa incydentu bezpieczeństwa na żywo: jak nie spalić firmy, dowodów i obowiązków KSC2/NIS2/KSC2 w pierwszej godzinie ataku?

Prowadzący: Tomasz Turba, etyczny hacker, Securitum

Data: 30.06.2026, godz. 10:00 – 11:00 

Nowe przepisy NIS2/KSC2 wprowadzają rygorystyczne zasady raportowania przez podległe instytucje incydentów bezpieczeństwa. Ta sesja odpowie na ważne pytanie – co robić w sytuacji wystąpienia incydentu (lub podejrzenia incydentu), jakich błędów unikać aby nie zatrzeć śladów i sprostać obowiązkom raportowania do odpowiednich organów. Wszystko to warto wiedzieć i odpowiednio przygotować organizację wcześniej.

1. Pokaz ataku na organizację na żywo – szybki rekonesans, uzbrojenie hakera, atak.
2. Reagowanie na incydent na żywo:
   1. Określenie triage incydentu
   2. Klasyfikacja incydentu pod kątem KSC2
   3. Podejmowanie decyzji technicznych /  organizacyjnych
   4. Dobre praktyki – czego NIE robić w pierwszej godzinie
3. Zbieranie dowodów:
   1. Proaktywne monitorowanie systemów IT
   2. Logi, hosty, procesy, połączenia, pliki, wywiad
   3. Automatyzacja reakcji
4. KSC2 w reagowaniu na incydenty
   1. Obowiązki zgłoszeniowe KSC2
   2. Rola zarządu
   3. Pułapki automatyzacji

Co otrzymasz po wydarzeniu?

1. Podsumowanie najważniejszych pojęć / definicji omawianych na wszystkich (trzech) webinarach (w formie. PDF).
2. Mapa myśli dotycząca reagowania / zgłaszania incydentu bezpieczeństwa. (w formie PDF, wysyłana po sesji nr 3).

DOŚWIADCZENI SPECJALIŚCI

Za merytorykę odpowiadają: doświadczony specjalista prawa – Marcin Serafin, zastępca dyrektora w Ministerstwie Cyfryzacji – Marcin Wysocki oraz etyczny hacker z ekipy Securitum – Tomasz Turba. 

Marcin Serafin. Partner w kancelarii Sterberg, ekspert w dziedzinie ochrony danych osobowych, AI i cyberbezpieczeństwa z 20-letnim doświadczeniem w projektach technologicznych i regulacyjnych. Doradza polskim i międzynarodowym klientom przy obsłudze incydentów bezpieczeństwa, wdrażaniu wymogów prawnych i regulacyjnych oraz w budowie strategii odporności cyfrowej. W przeszłości partner czołowych warszawskich kancelarii oraz menedżer ds. strategicznych w Google. Od wielu lat stale rekomendowany w rankingach prawnych Rzeczpospolitej, Legal500 oraz Chambers & Partners.

Marcin Wysocki pełni funkcję zastępcy dyrektora Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji. Jest urzędnikiem służby cywilnej z wieloletnim doświadczeniem w administracji publicznej. Przed pracą w ministerstwie był związany zawodowo z Urzędem Komunikacji Elektronicznej. 

Tomasz Turba. Działa w branży IT od 2006 r. Człowiek orkiestra – ma za sobą doświadczenie pracy jako administrator IT, zarządzający SOC, pentester i inspektor RODO. Obecnie konsultant ds. bezpieczeństwa IT w Securitum, z mocną specjalizacją w technologii AI. Redaktor w portalu sekurak.pl. Prelegent podczas wielu konferencji związanych z ITsec (np. MEGA Sekurak Hacking Party, Confidence, Infoshare, WDI). Jest także współautorem bestsellerów opublikowanych przez Securitum Wydawnictwo: Wprowadzenie do bezpieczeństwa IT, t. 1 (rozdział poświęcony OSINT-owi) i t. 2. Posiada certyfikaty branżowe takich instytucji, jak: EC-Council, Cisco Systems, Red Hat, AWS, Microsoft, NSA, CompTIA, TUV. 

NIS2/KSC2 NIE TAKIE STRASZNE… ZE SPRAWDZONYM PARTNEREM

Nowe przepisy NIS2/KSC2 znacząco rozszerzają krąg podmiotów objętych obowiązkami cyberbezpieczeństwa – wiele firm, które dotychczas nie podlegały regulacjom, nagle znajdzie się w gronie podmiotów ważnych lub kluczowych. Poznanie tych regulacji pozwala przede wszystkim uniknąć dotkliwych kar (nawet do kilkudziesięciu milionów złotych) oraz skutecznie ocenić, czy Twoja organizacja musi się zarejestrować w Wykazie KSC i wdrożyć nowe wymagania. 

Co ważniejsze – wczesne zrozumienie NIS2/KSC2 daje realną szansę na spokojne i sensowne wdrożenie zmian, zamiast robienia wszystkiego na ostatnią chwilę pod presją terminów i kontroli. To nie tylko spełnienie formalnych wymagań, ale też realna poprawa bezpieczeństwa całej organizacji.

Zapisz się na czerwcowy mini maraton z nowymi regulacjami i zyskaj klarowny obraz tego, co NIS2/KSC2 naprawdę oznacza dla Ciebie i Twojej firmy.

Pozdrawiamy i do zobaczenia, 

Ekipa sekurak.pl