Kontakt Pomoc Zarejestruj

Zostań partnerem HRD.pl Ponad 20 lat w czołówce polskich rejestratorów.
5000 partnerów z kraju i zagranicy. Numer 1 hurtowej
rejestracji domen w Polsce Zostań partnerem HRD.pl Blisko 1000 rozszerzeń
w cenach hurtowych API, WHMCS, ramki, CMS.
Darmowy serwer przekierowań. Zostań partnerem HRD.pl 100% program
White Label Darmowe Panele Partnera i Panele Abonentów.
Osobna infolinia, pełna customizacja paneli i wiadomości.
KSC i NIS2 dokumentacja oraz audyt – wymagania i terminy

KSC i NIS2 – jaka dokumentacja jest obowiązkowa i jak przygotować się do audytu (2027–2028)

Opublikowano: 28 maja 2026

Wprowadzenie

Wdrożenie dyrektywy NIS2 oraz nowelizacji ustawy o KSC wprowadza nie tylko obowiązki techniczne.

Największa zmiana dotyczy dokumentacji i organizacji bezpieczeństwa.

Do 3 kwietnia 2027 roku podmioty objęte regulacją muszą posiadać:

  • kompletną dokumentację
  • wdrożone procedury
  • uporządkowany system zarządzania bezpieczeństwem informacji

Dodatkowo pierwszy audyt musi zostać przeprowadzony do 3 kwietnia 2028 roku.

Co oznacza „system zarządzania bezpieczeństwem informacji”

W praktyce nie chodzi o pojedynczy dokument.

Chodzi o spójny system obejmujący:

  • procesy
  • odpowiedzialności
  • procedury
  • dokumentację

To podejście zbliżone do standardów takich jak ISO 27001, ale wymagane regulacyjnie.

Dlaczego dokumentacja jest kluczowa

Nowe przepisy zmieniają sposób oceny organizacji.

Nie wystarczy „mieć zabezpieczenia”.

Trzeba:

  • wykazać, że istnieją procedury
  • wykazać, że są stosowane
  • wykazać, że są aktualne

Brak dokumentacji oznacza brak zgodności.

Zakres dokumentacji – co musi przygotować operator usług kluczowych

1. Polityka bezpieczeństwa

Dokument nadrzędny określający:

  • podejście do bezpieczeństwa
  • zakres odpowiedzialności
  • strukturę organizacyjną

2. Zarządzanie ryzykiem

Organizacja musi:

  • identyfikować ryzyka
  • oceniać ich wpływ
  • podejmować działania ograniczające

Dokumentacja powinna obejmować:

  • rejestr ryzyk
  • metodykę oceny
  • decyzje zarządcze

3. Procedury operacyjne

Kluczowe obszary:

  • zarządzanie dostępem
  • zarządzanie zmianą
  • zarządzanie incydentami
  • zarządzanie ciągłością działania

4. Procedury incydentów

Muszą obejmować:

  • identyfikację incydentu
  • klasyfikację
  • reakcję
  • raportowanie

W kontekście KSC szczególnie ważna jest współpraca z CSIRT.

5. Zarządzanie aktywami (w tym domenami i DNS)

Organizacja musi wiedzieć:

  • jakie zasoby posiada
  • kto za nie odpowiada
  • jak są zarządzane

Dotyczy to również:

  • domen
  • DNS
  • usług powiązanych

6. Zarządzanie dostawcami

Podmioty muszą:

  • identyfikować dostawców
  • oceniać ich wpływ na bezpieczeństwo
  • kontrolować współpracę

Dotyczy to również:

resellerów domen i partnerów IT.

7. Dokumentacja zgodności

Obejmuje:

  • polityki
  • procedury
  • rejestry działań
  • dowody wdrożenia

8. Procedury udostępniania danych (art. 16c)

W przypadku domen:

  • organizacja musi mieć proces udostępniania danych
  • musi być w stanie odpowiedzieć w ciągu 72 godzin
  • musi posiadać dokumentację tego procesu

Terminy – kluczowe daty

3 kwietnia 2027

Do tego momentu organizacja powinna:

  • posiadać kompletną dokumentację
  • mieć wdrożone procedury
  • mieć działający system zarządzania

3 kwietnia 2028

Do tego momentu musi zostać przeprowadzony:

pierwszy audyt zgodności

Audyt – co będzie sprawdzane

Audyt nie koncentruje się wyłącznie na technologii.

Sprawdza:

  • czy dokumentacja istnieje
  • czy jest aktualna
  • czy jest stosowana
  • czy organizacja rozumie swoje procesy

Najczęstszy problem

Firmy:

  • mają dokumenty
  • ale nie mają wdrożenia

lub:

  • mają działania
  • ale nie mają dokumentacji

Oba przypadki oznaczają ryzyko niezgodności.

Jak przygotować się do audytu

1. Zacząć od inwentaryzacji

  • systemów
  • domen
  • zasobów
  • dostawców

2. Uporządkować odpowiedzialność

  • kto odpowiada za co
  • kto podejmuje decyzje

3. Spisać procedury

  • realne, nie teoretyczne
  • dopasowane do organizacji

4. Wdrożyć procesy

  • nie tylko „posiadać dokumenty”
  • ale je stosować

5. Testować

  • czy procedury działają
  • czy organizacja reaguje

Znaczenie dla firm i resellerów

Resellerzy i partnerzy IT:

  • są częścią łańcucha usług
  • wpływają na bezpieczeństwo klientów
  • mogą być elementem audytu

To oznacza, że:

ich procesy również muszą być uporządkowane.

Wnioski

  • dokumentacja jest obowiązkowa
  • system zarządzania bezpieczeństwem jest wymagany
  • audyt jest nieunikniony
  • przygotowanie wymaga czasu

FAQ

Czy każda firma musi mieć dokumentację?

Tak, jeśli jest objęta regulacją.

Czy dokumentacja musi być wdrożona?

Tak, sama dokumentacja nie wystarczy.

Kiedy musi być gotowa?

Do 3 kwietnia 2027 roku.

Kiedy pierwszy audyt?

Do 3 kwietnia 2028 roku.

Powiązane artykuły

  • Ustawa o KSC i NIS2 – co oznaczają dla firm
  • Czy domeny i DNS podlegają pod KSC
  • Jak zabezpieczyć domeny – checklista
  • Co reseller domen powinien wiedzieć o NIS2

O autorze

Jolanta Siebielska – COO w HRD.pl. Z firmą związana od 2008 roku, gdzie odpowiada za rozwój operacyjny oraz współpracę z partnerami biznesowymi w obszarze domen i certyfikatów SSL.

Na co dzień wspiera organizacje w optymalizacji kosztów, porządkowaniu portfeli domen oraz wdrażaniu rozwiązań skalowalnych.