Wprowadzenie
Zapoznaj się z zasadami przed rozpoczęciem.
Odpowiedz na 7 grup pytań. Dostaniesz precyzyjną kwalifikację Twojej firmy w świetle Dyrektywy NIS2 i znowelizowanej ustawy o krajowym systemie cyberbezpieczeństwa.
Stan prawny
Nowelizacja ustawy o KSC weszła w życie 2 kwietnia 2026 r. Firmy mają 6 miesięcy na samoidentyfikację i rejestrację oraz 12 miesięcy na pełną zgodność (do 2 kwietnia 2027 r.). Ten kwalifikator pomaga w pierwszym kroku.
Twoje odpowiedzi są zapisywane lokalnie w przeglądarce — możesz wrócić do nich w dowolnej chwili (do czasu zamknięcia sesji).
Forma prawna i lokalizacja
Określ podstawowe dane prawne Twojej organizacji.
2.1 W jakiej formie prawnej działa Twoja firma?
💡 Jak odpowiedzieć — forma prawna
Forma prawna wpływa na to, czy podlegasz pod zwykłą część NIS 2 (przedsiębiorcy), czy pod rozszerzony zakres ustawy o KSC (podmioty publiczne).
- Statut firmy / umowa spółki
- Wpis w KRS lub CEiDG (dla JDG)
- Pełna nazwa firmy zawiera oznaczenie formy (np. "Sp. z o.o.", "S.A.")
Podmioty publiczne (administracja, jednostki samorządu terytorialnego, państwowe jednostki organizacyjne) podlegają pod ustawę o KSC nawet niezależnie od wielkości.
2.2 Czy firma świadczy usługi lub prowadzi działalność na terenie Unii Europejskiej?
💡 Jak odpowiedzieć — działalność w UE
- Świadczysz usługi klientom z UE (nawet zdalnie)
- Sprzedajesz towary do krajów UE
- Masz oddział, magazyn, biuro w państwie UE
- Twoja firma ma siedzibę w Polsce (która jest w UE)
- Działasz wyłącznie poza UE (np. tylko USA, Wielka Brytania, Azja)
- Polska siedziba to formalność, faktyczna działalność jest poza UE
2.3 Czy firma jest organem administracji publicznej lub podmiotem publicznym?
💡 Jak odpowiedzieć — podmiot publiczny
- Urzędem (gminy, powiatu, województwa, ministerstwem)
- Agencją lub inspekcją państwową (np. ZUS, NFZ, NIK, GIS, GIODO)
- Jednostką samorządu terytorialnego (urząd gminy, starostwo)
- Spółką komunalną (np. miejskie wodociągi, MZK, MPGK)
- Państwową instytucją kultury (muzeum, teatr publiczny)
- Publicznym podmiotem leczniczym (szpital w rejestrze NFZ)
- Instytutem badawczym podlegającym MNiSW
- Uczelnią publiczną
- Prywatną firmą (nawet obsługującą sektor publiczny)
- Spółką notowaną na giełdzie z udziałem Skarbu Państwa, ale działającą komercyjnie
- NGO / fundacją / stowarzyszeniem prywatnym
Sektor działalności
Wskaż sektor, w którym działa Twoja firma.
3.1 W którym sektorze działa Twoja firma?
Możesz zaznaczyć więcej niż jeden sektor.
Sektory wysokiej krytyczności
Sektory pozostałe krytyczne
💡 Jak odpowiedzieć — sektor działalności
Możesz zaznaczyć kilka sektorów, jeśli firma działa w wielu obszarach. Sektor to twoja faktyczna działalność, nie kody PKD czy nazwa firmy.
- Energia — produkcja, dystrybucja, sprzedaż prądu/gazu/ciepła/ropy/wodoru
- Transport — lotniska, koleje, porty, autostrady, firmy przewozowe
- Bankowość — banki, SKOK-i, instytucje płatnicze
- Ochrona zdrowia — szpitale, przychodnie, apteki, producenci leków/wyrobów medycznych
- Woda pitna / ścieki — wodociągi miejskie, oczyszczalnie
- Infrastruktura cyfrowa — operatorzy DNS, TLD, dostawcy chmury (AWS-podobni), CDN, telekom
- ICT B2B (MSP/MSSP) — jeśli zarządzasz IT lub bezpieczeństwem dla wielu klientów
- Administracja publiczna — urzędy, ministerstwa
- Poczta / kurier — Poczta Polska, DHL, InPost, kurierzy lokalni
- Odpady — firmy gospodarki komunalnej, recykling
- Chemia — produkcja, dystrybucja, magazynowanie chemikaliów
- Żywność — przemysł spożywczy, rolnictwo wielkoprzemysłowe, dystrybucja
- Produkcja — wyroby medyczne, elektronika, urządzenia, pojazdy, maszyny
- Usługi cyfrowe — wyszukiwarki, marketplace (Allegro, OLX), social media
- Badania naukowe — instytuty badawcze, jednostki R&D
Jeśli nie pasujesz do żadnego z powyższych — zaznacz "Żaden z powyższych". To nie wyklucza Cię z NIS 2 — przejdziesz dalej do kroku 6 (łańcuch dostaw).
3.2 Czy świadczona usługa lub działalność w tym sektorze jest kluczowa dla utrzymania krytycznych funkcji społecznych lub działalności gospodarczej?
💡 Jak odpowiedzieć — czy usługa jest kluczowa
Pomyśl tak: co by się stało, gdyby Twoja firma jutro przestała działać przez tydzień?
- Jesteś jednym z 3-5 dużych dostawców prądu w regionie
- Obsługujesz płatności kartą dla 30% rynku w Polsce
- Twoje wodociągi obsługują miasto powyżej 50 tys. mieszkańców
- Twoje data center hostuje systemy bankowe lub administracji
- Jesteś szpitalem prywatnym wśród 50 podobnych w mieście
- Robisz produkcję spożywczą wśród setek konkurentów
- Świadczysz usługi telekomunikacyjne dla małej grupy klientów
- Jeśli sektor pasuje, ale skala jest niewielka i nie wiesz czy "kluczowa"
- Jeśli wpływ Twojego zakłócenia jest lokalny, nie regionalny ani krajowy
- Lepiej zaznaczyć "Nie wiem" niż zgadywać — system uwzględni to w ocenie pewności
Skala działalności
Podaj dane o wielkości Twojej organizacji.
4.1 Ilu pracowników zatrudnia Twoja firma?
💡 Jak odpowiedzieć — zatrudnienie
- Pracownicy na umowie o pracę (UoP)
- Współpracownicy na B2B regularnie świadczący pracę
- Umowy zlecenia długoterminowe (powyżej 3 mies., przeliczone na etaty)
- Pracownicy oddziałów Twojej firmy w UE
- Pracowników firm-córek (jeśli są osobnymi podmiotami prawnymi)
- Stażystów, praktykantów (okres <3 miesiące)
- Wykonawców jednorazowych (umowa o dzieło, jednorazowy projekt)
- Pracowników poza UE
- Roczne sprawozdanie finansowe — pozycja "Przeciętne zatrudnienie"
- Dział HR / kadry — listy płac, lista pracowników
- Sprawozdanie do GUS Z-06
- System kadrowo-płacowy (Comarch, enova, Symfonia)
4.2 Roczny obrót firmy (ostatni zamknięty rok finansowy) w mln EUR
💡 Jak odpowiedzieć — roczny obrót
- Przychody netto ze sprzedaży (bez VAT) — z ostatniego zamkniętego roku obrotowego
- Sumarycznie: produkty + usługi + towary handlowe
- Bez przychodów finansowych (odsetki) i operacyjnych pozostałych
- Rachunek zysków i strat — pozycja "Przychody netto ze sprzedaży"
- Sprawozdanie finansowe za ostatni zamknięty rok
- Księgowość / dział finansowy
Przeliczenie z PLN na EUR: użyj średniego kursu NBP z ostatniego dnia roku obrotowego. Przykład: 50 mln PLN ÷ 4,30 ≈ 11,6 mln EUR.
4.3 Suma bilansowa (aktywa ogółem) na koniec roku w mln EUR
💡 Jak odpowiedzieć — suma bilansowa
Suma bilansowa = aktywa ogółem firmy. To wartość wszystkiego co firma posiada (środki trwałe, należności, zapasy, gotówka).
- Bilans (część sprawozdania finansowego) — pozycja "Aktywa razem"
- Powinno równać się: Pasywa razem (kapitały + zobowiązania)
- Księgowość / dział finansowy
Wystarczy spełnić jedno: obrót LUB bilans, żeby przekroczyć kategorię. Jeśli zatrudnienie też jest powyżej progu — automatycznie idziesz wyżej.
Wyjątki i wskazanie z urzędu
Sprawdź czy Twoja firma należy do szczególnych kategorii podmiotów.
5.1 Czy Twoja firma świadczy którąkolwiek z poniższych usług?
Można zaznaczyć kilka opcji.
💡 Jak odpowiedzieć — specjalne usługi (najważniejsze pytanie)
To pytanie ma kluczowe znaczenie — te usługi podlegają NIS 2 niezależnie od wielkości firmy. Nawet 5-osobowa firma może być podmiotem kluczowym.
- Dostawca chmury — masz infrastrukturę chmurową dla klientów (IaaS, PaaS, SaaS) — własny VMware, OpenStack, hosting, własne SaaS
- Data center / kolokacja — masz własną serwerownię i wynajmujesz miejsce klientom
- MSP / MSSP — zarządzasz IT lub bezpieczeństwem dla wielu firm (helpdesk, monitoring, antywirus, SOC, audyty)
- Telekomunikacja publiczna — ISP lokalny, hosting WiFi, VoIP komercyjny
- DNS — operator usługi DNS (np. NASK, Cloudflare-podobny)
- TLD — rejestr nazw domenowych (.pl, .com.pl)
- CDN — sieć dostarczania treści (Cloudflare, Akamai)
- Usługi zaufania (eIDAS) — certyfikaty kwalifikowane, podpisy elektroniczne
- Monopol — jedyny dostawca usługi w Polsce (rzadkie)
- Operator krytyczny — wskazany decyzją administracyjną dla bezpieczeństwa publicznego
Jeśli żadne z powyższych nie pasuje — zaznacz "Żadne z powyższych". Przejdziesz do kolejnego pytania.
5.2 Czy organ właściwy ds. cyberbezpieczeństwa wydał decyzję wskazującą Twoją firmę jako podmiot kluczowy lub ważny?
💡 Jak odpowiedzieć — decyzja organu
Organ ds. cyberbezpieczeństwa może wskazać firmę z urzędu (Art. 7a znowelizowanej ustawy o KSC) — nawet jeśli formalnie nie spełnia kryteriów.
- Otrzymałeś oficjalne pismo / decyzję administracyjną wskazującą Twoją firmę
- Pismo pochodzi z Ministerstwa Cyfryzacji, CSIRT NASK lub innego właściwego organu
- Decyzja ma datę i numer sygnatury
- Nie dostałeś żadnego pisma w tej sprawie
- Domyślasz się, że być może jesteś — ale formalnej decyzji nie ma
"Nie wiem" — jeśli nie sprawdzałeś korespondencji firmowej, przed wypełnieniem warto zapytać dział prawny lub sekretariat zarządu.
Łańcuch dostaw
Oceń rolę Twojej firmy w łańcuchu dostaw usług cyfrowych.
6.0 Czy wśród Twoich klientów są firmy z sektorów krytycznych?
Można zaznaczyć kilka opcji. Zaznacz wszystkie sektory w których masz przynajmniej jednego klienta.
💡 Jak odpowiedzieć — klienci z sektorów krytycznych
To kluczowe pytanie — jeśli obsługujesz nawet jednego podmiot kluczowy/ważny, podlegasz wymaganiom NIS 2 jako dostawca w łańcuchu dostaw.
- Spójrz na fakturę z 5 największymi klientami
- Zapytaj dział sprzedaży lub kierownika handlowego
- Sprawdź referencje firmy — kto jest na liście klientów
- Banki: PKO BP, mBank, Santander, ING, Pekao, BNP Paribas, Millennium
- Ubezpieczyciele: PZU, Warta, Allianz, Generali, Compensa
- Telekom: Orange Polska, Play, T-Mobile Polska, Plus, Netia, Vectra
- Energetyka: PGE, Tauron, Energa, Enea, PGNiG, PSE
- Zdrowie: NFZ, szpitale wojewódzkie/uniwersyteckie, sieci szpitali (LUX MED, Medicover, Enel-Med), apteki sieciowe
- Publiczne: ZUS, KRUS, urzędy wojewódzkie, ministerstwa, sądy, prokuratury
Jeśli zaznaczysz cokolwiek — automatycznie pójdziesz dalej do kolejnych pytań o szczegóły usług.
6.1 Czy Twoja firma świadczy usługi lub dostarcza produkty firmom z sektorów wymienionych w kroku 3?
💡 Jak odpowiedzieć — usługi dla sektorów krytycznych (ważne!)
Pomyśl o swoich klientach — nie o sobie. Czy obsługujesz firmy z sektorów które wymieniliśmy w kroku 3?
- Banki, ubezpieczalnie, SKOK-i, instytucje finansowe
- Szpitale, przychodnie, NFZ, firmy farmaceutyczne, producentów wyrobów medycznych
- Operatorów telekomunikacyjnych — Orange, Play, T-Mobile, Plus, lokalnych ISP
- Spółki energetyczne / gazowe / ciepłownicze / wodociągowe
- Urzędy państwowe, ministerstwa, samorządy, agencje rządowe
- Hosting, data center, dostawców chmury (jeśli świadczysz im podusługi)
- Producentów elektroniki, pojazdów, wyrobów medycznych, chemii
- Firmy logistyczne, transportowe, kurierskie
- Małe firmy lokalne (sklepy, gastronomia, drobne usługi)
- Klienci indywidualni (B2C)
- Firmy z sektorów spoza listy z kroku 3
Dlaczego to ważne: jeśli obsługujesz podmiot kluczowy/ważny — Twój klient ma prawny obowiązek wymagać od Ciebie standardów bezpieczeństwa NIS 2 (art. 21 ust. 2 lit. d). To znaczy, że Ty też musisz się dostosować — nawet jeśli formalnie pod NIS 2 bezpośrednio nie podlegasz.
6.2 Jakiego rodzaju są to usługi lub produkty?
Można zaznaczyć kilka opcji.
💡 Jak odpowiedzieć — rodzaj usług
Najważniejsze: czy Twoja usługa daje Ci dostęp do systemów lub danych klienta. Wybierz wszystkie opcje pasujące do Twojej działalności.
- Oprogramowanie i SaaS — twoja aplikacja przetwarza dane klienta
- Sprzęt IT — serwery, sieć z dostępem do infrastruktury klienta
- Outsourcing IT / serwis — masz dostęp zdalny do systemów
- Hosting / kolokacja / chmura — przechowujesz systemy klienta
- Usługi bezpieczeństwa — audyt, SOC, SIEM, pentesting
- Consulting / audyt / compliance — analizujesz systemy klienta
- Telekomunikacja / łączność — sieci klienta
- Finansowo-księgowe / kadrowe — masz dostęp do systemów ERP/HR klienta
- Sprzedaż produktów off-the-shelf bez integracji
- Marketing, reklama, social media bez dostępu do systemów
- Catering, sprzątanie, ochrona fizyczna
6.3 Czy w kontraktach z tymi klientami pojawiają się klauzule wymagające zgodności z NIS2/KSC, ISO 27001, audytów bezpieczeństwa albo SLA dotyczących cyberbezpieczeństwa?
💡 Jak odpowiedzieć — klauzule cyber w umowach
Sprawdź ostatnio podpisywane umowy z kluczowymi klientami. Szukaj zapisów o:
- Wymóg zgodności z ISO 27001 lub NIS 2
- Klauzule bezpieczeństwa IT, security requirements
- Prawo klienta do audytu Twoich systemów
- SLA dotyczące czasu naprawy incydentów bezpieczeństwa
- Obowiązek zgłaszania incydentów do klienta
- DPA (Data Processing Agreement) — szczególnie z klauzulami security
- Obowiązek certyfikacji bezpieczeństwa (np. SOC 2)
- Dział prawny / radca prawny firmy
- Przegląd ostatnich 5-10 umów z największymi klientami
- Negocjacje umów z klientami z sektora finansowego, energetycznego, publicznego
Trend: od 2026 wszystkie podmioty NIS 2 muszą wymagać tych klauzul od dostawców. Nawet jeśli teraz nie masz — w ciągu kilku miesięcy zaczniesz dostawać aneksy.
Stan obecny zabezpieczeń
Określ aktualny poziom wdrożonych zabezpieczeń.
7.1 Które z poniższych elementów Twoja firma już ma wdrożone?
Zaznacz wszystkie, które dotyczą Twojej organizacji.
💡 Jak odpowiedzieć — wdrożone zabezpieczenia
Zaznacz tylko to, co naprawdę masz wdrożone i działa w praktyce. Plany, "w trakcie wdrożenia" lub "fragmenty" — pomijamy.
- Dział IT / administrator systemów — co rzeczywiście używasz
- CISO / inspektor bezpieczeństwa (jeśli masz)
- Lista subskrypcji (Microsoft 365, antywirusy, narzędzia security)
- Dokumentacja wewnętrzna — polityki, procedury, raporty audytów
- SZBI / ISO 27001 — formalny system zarządzania bezpieczeństwem informacji, najlepiej z certyfikatem
- SIEM — centralny system zbierania logów (Splunk, Sentinel, Wazuh)
- SOC — zespół monitorujący bezpieczeństwo 24/7 (własny lub outsourcing)
- EDR/XDR — zaawansowana ochrona endpointów (Microsoft Defender for Endpoint, CrowdStrike)
- MFA — wymuszone uwierzytelnianie wieloskładnikowe (kod z aplikacji, klucz fizyczny)
- Backup 3-2-1 — 3 kopie, 2 nośniki, 1 offsite — z regularnym testowaniem
- Procedura CSIRT — formalny dokument "co robić w razie incydentu", kto kogo informuje, jak zgłaszać
- CISO — osoba odpowiedzialna za bezpieczeństwo informacji (może być na pół etatu / outsourcing)
Jeśli nic z tego nie masz — zaznacz "Żadne z powyższych". Po wynikach polecimy do audytu, gdzie zobaczysz dokładnie czego brakuje.
7.2 Jak oceniasz dojrzałość cyberbezpieczeństwa swojej organizacji?
💡 Jak odpowiedzieć — dojrzałość cyberbezpieczeństwa
Subiektywna ocena. Bez naciskania — bądź szczery. To nie wpływa na werdykt prawny, tylko na rekomendacje.
- 0-20 — Brak — żadnych formalnych zabezpieczeń, "robimy backupy jak nam się przypomni"
- 20-40 — Podstawy — antywirus, backup, ale bez procedur
- 40-60 — Rozwijające się — masz polityki, MFA, EDR, ale bez audytów i SIEM
- 60-80 — Dojrzałe — większość kontroli wdrożonych, regularne audyty, SIEM lub SOC
- 80-100 — Zaawansowane — pełen SZBI ISO 27001, SOC 24/7, regularne pentesty, dedykowany CISO
Twój następny krok
Sprawdź dokładnie czego Ci brakuje
Wynik kwalifikacji to fundament. Teraz w 10 minut zobaczysz mapę zgodności z wymaganiami art. 21 NIS 2.
Uzasadnienie prawne i obowiązki
Pełen raport wymaga weryfikacji
Pełna analiza prawna, lista obowiązków i szczegółowe rekomendacje techniczne dostępne po weryfikacji adresu e-mail.
Rekomendacje techniczne i organizacyjne
Spersonalizowane rekomendacje
Lista priorytetowych działań technicznych dopasowanych do Twojej kategorii i aktualnego stanu zabezpieczeń.
Gotowy na ofertę?
Wybrałeś 0 rekomendacji
Wyślij zapytanie ofertowe i otrzymaj wycenę zaznaczonych pozycji w 24h.
Twój następny krok
Wybierz jak chcesz dalej
Możesz zrobić bardziej szczegółowy audyt zgodności lub od razu otrzymać ofertę pakietu startowego.
Dopasowana oferta
Zrób 10-minutowy audyt zgodności i otrzymaj ofertę dopasowaną do Twoich braków, wycena tylko tego, co naprawdę potrzebujesz.
- Status każdego z 11 wymagań NIS 2
- Lista konkretnych braków z priorytetami
- Wycena dopasowana do Twojej sytuacji
Szybka oferta: pakiet startowy
Otrzymaj ofertę pakietu startowego dopasowanego do Twojej kategorii werdyktu, bez wypełniania audytu.
- Audyt zewnętrzny + dokumentacja NIS 2
- Polityki, procedury, BCP/DRP
- Szkolenie zarządu z cyberbezpieczeństwa
Wolisz porozmawiać przed decyzją?
Albo odbierz wynik w formacie PDF
Wyślij zapytanie ofertowe
Otrzymasz spersonalizowaną wycenę zaznaczonych pozycji w ciągu 24h.
Zaznaczone rekomendacje (0):
Wyślemy ofertę na adres:
—
Wybrałeś 0 rekomendacji
Wyślij zapytanie i otrzymaj wycenę dopasowaną do Twoich potrzeb