⚠  PROJEKT — niezweryfikowany prawnie. Wymaga akceptacji przed publikacją.

Zgodność z NIS2 / KSC

Dyrektywa NIS2 (UE) 2022/2555  ·  Ustawa o KSC (Dz.U. 2018 poz. 1560 ze zm.)  ·  Ostatnia aktualizacja: 2026-05-15  ·  Wersja: 1.0

Niniejszy dokument opisuje, w jaki sposób platforma paraKSCol wspiera operatora usług kluczowych (OUK) lub dostawcę usług cyfrowych (DUC) w wykonywaniu obowiązków wynikających z dyrektywy NIS2 (art. 21 §2) oraz polskiej ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Dokument ma charakter informacyjny i nie stanowi porady prawnej. Zgodność prawna leży w gestii Dzierżawcy — platforma jest narzędziem wspomagającym.

§1. Zakres i odbiorca

Platforma jest adresowana do JST, szkół publicznych i instytucji podległych, które mogą być zobowiązane do spełnienia wymogów NIS2/KSC jako operatorzy usług kluczowych lub — po nowelizacji KSC — jako podmioty ważne. Platforma obsługuje również organizacje stosujące NIS2 dobrowolnie jako ramy zarządzania cyberbezpieczeństwem.

Dokument opisuje funkcje platformy według dziesięciu obszarów art. 21 §2 NIS2 (lit. a–j) oraz dodatkowych wymogów proceduralnych KSC.

§2. Samoidentyfikacja (Kategoria podmiotu NIS2 / KSC)

Przed wdrożeniem kontroli niezbędne jest ustalenie, czy organizacja jest objęta zakresem NIS2 / KSC i w jakiej kategorii. Platforma udostępnia kreator samoidentyfikacji, który prowadzi administratora przez proces kwalifikacji.

Jak działa kreator

Wyznaczenie IBTI / ITSO — jeśli organizacja desygnuje Inspektora ds. Bezpieczeństwa Teleinformatycznego (IBTI) lub osoby odpowiedzialne za bezpieczeństwo informacji (ITSO), kreator rejestruje dane wyznaczenia (imię, nazwisko, data, zakres). Desygnacje są powiązane z jednostkami organizacyjnymi (org_unit_id) i izolowane przez mechanizm RLS PostgreSQL — jednostka podległa nie widzi desygnacji innej jednostki.

§3. Cykl raportowania incydentów NIS2

Art. 23 NIS2 i art. 11 KSC nakładają obowiązek raportowania incydentów w trzech etapach czasowych. Platforma obsługuje pełny cykl — od wykrycia do raportu finalnego — z wbudowanymi timerami terminów i stanem przepływu pracy.

Etap Termin (od wykrycia) Treść wymagana Wsparcie platformy
24H Wczesne ostrzeżenie 24 godziny Klasyfikacja incydentu (poważny / nie); wstępna ocena; informacja o podejrzeniu działania zamierzonego lub transgranicznego. Formularz wczesnego ostrzeżenia z predefiniowanymi klasyfikatorami; timer odlicza od momentu rejestracji; powiadomienie e-mail do IBTI przy zbliżaniu się terminu (T−4h).
72H Zgłoszenie incydentu 72 godziny Ocena wpływu (liczba użytkowników, czas niedostępności); wskazanie przyczyn; opis zastosowanych środków. Formularz rozszerzony z polami wpływu; automatyczne wypełnianie danych z systemu (MTTR, czas zdarzenia); export do PDF; kod KSC-INC w dzienniku audytu.
30D Raport końcowy 30 dni (1 miesiąc) Szczegółowy opis; podatności; środki długoterminowe; wpływ transgraniczny; decyzja o ujawnieniu. Szablon raportu końcowego z sekcjami wymaganymi przez CERT Polska; przycisk eksportu paczki dowodowej; podpisanie przez IBTI (elektroniczny zapis akceptacji); archiwizacja przez 5 lat.

Wszystkie trzy etapy są powiązane z jednym rekordem incydentu. Zmiana stanu (np. 24h_reported72h_reported) jest nieodwracalna i rejestrowana w dzienniku audytu z sumą kontrolną SHA-256.

§4. Biblioteka obowiązków KSC

Platforma dostarcza wbudowaną bibliotekę obowiązków wynikających z KSC i NIS2, zmapowanych na zadania kontrolne (ControlTask). Każdy obowiązek może mieć przypisane:

8 głównych grup obowiązków KSC (przykłady)

Grupa Przykładowe obowiązki Domyślna częstotliwość przeglądu
Zarządzanie ryzykiem Ocena ryzyka, rejestr ryzyk, leczenie ryzyk Roczna + po incydencie
Zarządzanie incydentami Procedura reagowania, testy procedury, rejestr incydentów Półroczna
Ciągłość działania BCP/DRP, backup, testy przywracania Roczna
Bezpieczeństwo łańcucha dostaw Ocena dostawców, umowy bezpieczeństwa, rejestr podwykonawców Roczna
Uwierzytelnianie i dostęp Polityka haseł, MFA, przegląd uprawnień Półroczna
Szyfrowanie Klasyfikacja danych, szyfrowanie w spoczynku i transporcie Roczna
Świadomość i szkolenia Szkolenia obowiązkowe, testy phishingowe, rejestr szkoleń Roczna
Podatności i aktualizacje Skany CVE, harmonogram patchów, testy penetracyjne Kwartalna

§5. Paczka audytowa (eksport dowodów)

Na żądanie audytora lub organu nadzorczego platforma generuje paczkę audytową w formacie ZIP. Paczka jest podpisana hash–em SHA-256 i zawiera:

audit-pack-{tenant}-{date}.zip
├── manifest.json          # skroty SHA-256 wszystkich plikow, wersja, data generowania
├── audit-log.csv          # pelny dziennik audytu (chain-verified)
├── controls/
│   ├── controls-export.csv  # status wszystkich zadan kontrolnych
│   └── evidence/            # zalaczone dowody (pliki PDF, screenshoty)
├── incidents/
│   ├── incident-list.csv    # lista incydentow z kodami KSC-INC
│   └── reports/             # raporty 24h/72h/30d jako PDF
├── risk-register.csv      # rejestr ryzyk z leczeniami
└── nis2-alignment.csv     # mapowanie art. 21 §2 (a-j) ze statusem

Weryfikacja integralności paczki jest możliwa niezależnie od platformy — manifest.json zawiera sygnatury wszystkich plików. Paczka nie zawiera hasłeń ani sekretów uwierzytelniających.

§6. Wyznaczenie IBTI / ITSO i izolacja jednostek

Platforma obsługuje wielopoziomową strukturę organizacyjną (JST → jednostki podległe → szkoły / instytucje). Każda jednostka posiada własny profil desygnacji IBTI/ITSO.

Mechanizm izolacji danych

Każda tabela chroniona RLS nosi kolumny tenant_id i org_unit_id. Middleware ustawia parę GUC app.current_tenant_id + app.current_org_unit_id przy każdym żądaniu. PostgreSQL wymusza reguły RLS na poziomie silnika — kod aplikacji nie może ich ominąć.

Przykładowy efekt: koordynator cyberbezpieczeństwa JST widzi dane wszystkich podległych jednostek; dyrektor szkoły widzi wyłącznie dane swojej szkoły — bez żadnej logiki filtrowania w kodzie Python.

Rejestr desygnacji

Pole Opis
designation_type IBTI / ITSO / inne (wartość konfigurowalna per Dzierżawca)
person_name Imię i nazwisko wyznaczonej osoby
org_unit_id Jednostka objęta desygnacją (może obejmować poddrzewa)
effective_from / effective_to Okres ważności desygnacji; historyczne zmiany są zachowane
legal_basis_ref Odwołanie do przepisu (np. „art. 14 ust. 1 KSC”)
audit_trail Każda zmiana rejestrowana z kodem nis2.designation.update

§7. Mapowanie NIS2 Art. 21 §2 (lit. a–j)

Poniższa tabela pokazuje, jak konkretne funkcje platformy wspierają każdy z dziesięciu obszarów wymaganych przez NIS2 art. 21 §2.

Art. 21 §2 Wymaganie (skrót) Wsparcie platformy Status
a Polityki bezpieczeństwa informacji i analiza ryzyka Kreator polityk; rejestr ryzyk ze strategią leczenia; przypisanie właścicieli ryzyk; eksport do PDF z sumą SHA-256. Dostępne
b Obsługa incydentów Pełny cykl 24h/72h/30d z timerami; formularze raportowania; eksport paczki audytowej; historia incydentów per org_unit. Dostępne
c Ciągłość działania, kopie zapasowe, zarządzanie kryzysowe Zadania kontrolne dla BCP/DRP; rejestr testów backupów; platforma sama realizuje politykę 3-2-1 (R2 + B2, oba EU) dla danych Dzierżawców. Dostępne
d Bezpieczeństwo łańcucha dostaw i relacji z dostawcami Rejestr podwykonawców (/legal/subprocessors); zadania kontrolne dla oceny dostawców; DPA per dostawca. Dostępne
e Bezpieczeństwo w nabywaniu, projektowaniu i konserwacji systemów Zadania kontrolne dla SDLCsecurity (code review, zarządzanie podatnościami); integracja z Jira Cloud dla łączenia zadań kontrolnych z ticketami. Dostępne
f Polityki i procedury oceny skuteczności środków zarządzania ryzykiem Metryki compliance per dzierżawca; wskaźnik pokrycia kontrolami; historia zmian statusów; eksport CSV do analizy zewnętrznej. Dostępne
g Podstawowe praktyki higieny cybernetycznej i szkolenia Zadania kontrolne dla szkoleń (termin, załącznik certyfikatu, status); rejestr szkoleń per pracownik (jeśli org_unit aktywne). Dostępne
h Polityki i procedury kryptografii i szyfrowania Dokumentacja polityki szyfrowania w katalogu kontrolnym; platforma stosuje TLS 1.3, Argon2id, LUKS, Vault envelope encryption dla własnych danych. Dostępne
i Bezpieczeństwo zaobów ludzkich, polityki dostępu, zarządzanie aktywami RBAC per dzierżawca; zaproszenia z przypisaniem roli; przegląd dostępu (offboarding task); rejestr aktywów jako zadania kontrolne. Dostępne
j Uwierzytelnianie wieloskładnikowe, SSO, bezpieczna komunikacja Obowiązkowe TOTP MFA lub WebAuthn (klucze sprzętowe); SAML 2.0 SSO; OIDC per dzierżawca; szyfrowanie komunikacji end-to-end (TLS 1.3 z Cloudflare). Dostępne

§8. Interfejs RODO

NIS2 i RODO nakładają częściowo pokrywające się obowiązki. Platforma obsługuje oba jednocześnie:

§9. Czego platforma nie robi (zakres negatywny)

Transparentne ograniczenia: poniższe funkcje są poza zakresem platformy — Dzierżawca musi zapewnić je samodzielnie lub przez innego dostawcę.

Obszar Co platforma robi Czego nie robi
Zgłoszenie do CSIRT / organu Generuje raport, eksportuje PDF Nie wysła automatycznie do CERT Polska / organu nadzorczego (API nie jest publiczne)
Testy penetracyjne Rejestruje wyniki jako dowód Nie przeprowadza testów penetracyjnych infrastruktury Dzierżawcy
Monitoring bezpieczeństwa (SOC/SIEM) Integracja z systemami zewnętrznymi przez API Nie jest systemem SIEM ani SOC — nie analizuje logów sieciowych Dzierżawcy
Porada prawna Udostępnia szablony i checklisty Nie świadczy usług prawnych ani compliance advisory; dokumenty są informacyjne
Certyfikacja ISO / NIS2 Generuje dokumentację auditową Nie wystawia certyfikatów; certyfikacja wymaga niezależnego audytora
Odzysk po ransomware Procedury BCP/DRP jako zadania kontrolne Nie jest rozwiązaniem backup/DR dla infrastruktury Dzierżawcy — tylko dla danych platformy

§10. Kontakt i zgłoszenia

Pytania o NIS2 / KSC compliance@parakscol.pl
Zgłoszenie incydentu (platforma) security@parakscol.pl
Ogólne zapytania kontakt@parakscol.pl
Organ nadzorczy (KSC) CERT Polska / CSIRT GOV — cert.pl
Organ nadzorczy (RODO) UODO — uodo.gov.pl