Czy KSC w ogóle dotyczy tej placówki?
Kreator 8 pytań ustala kategorię podmiotu. Decyzja podpisana, w rejestrze, z datą.
Sektor publiczny · KSC · NIS2
Jeden parasol nad całą zgodnością z KSC w Twojej gminie.
paraKSCol to platforma matka, pod którą działają wszystkie nasze marki sektorowe — szkolnictwo (CyberZgodność EDU), ochrona zdrowia (planowane) oraz portfel placówek samorządowych. Jedna decyzja gminy domyka obowiązki KSC dla dziesiątek podległych jej jednostek.
Polski hosting
Tamper-evident audit log
Zgodność z RODO i KSC
Wspólny backend dla wszystkich marek
Kto stoi pod parasolem
JST nadzoruje dziesiątki placówek. Każda ma obowiązki z KSC.
Polska gmina prowadzi szkoły, przychodnie, biblioteki, domy pomocy, instytucje kultury — a każda z nich jest podmiotem objętym KSC lub NIS2. paraKSCol pozwala domknąć je wszystkie naraz, jednym kontraktem, z jednym panelem dla IOD-a i jednym audit-packiem dla kontroli.
Szkoły
Podstawowe, ponadpodstawowe, niepubliczne
Ochrona zdrowia
Szpitale, przychodnie, podmioty medyczne
JST
Urzędy gmin, powiatów, województw
Biblioteki
Gminne i powiatowe
DPS
Domy pomocy społecznej
Kultura
Ośrodki kultury, muzea, archiwa
Co jest pod parasolem
01 · Samoidentyfikacja
02 · Incydenty z zegarem
03 · Ryzyko i wyjątki
04 · Audit-pack
Wspólny backend dla wszystkich marek sektorowych.
Niezależnie od sektora, każda placówka otrzymuje ten sam zestaw narzędzi — platforma matka jest jedna, marka i copy dostosowują się do odbiorcy.
24h / 72h / 30 dni — bez Exceli.
Każdy incydent rodzi trzy zadania kontrolne z ustawowymi terminami. Brakujący raport nie ginie.
Rejestr akceptowanych ryzyk i wyjątków od polityk.
Każdy wpis ma właściciela, datę przeglądu i pełny ślad audytowy.
Jeden ZIP, cały dowód.
Eksport całego stanu zgodności w dowolnym oknie czasowym, dla CSIRT-u albo UODO.
Marki sektorowe
Live
W przygotowaniu
W przygotowaniu
Jedna platforma, kilka twarzy.
Każdy sektor potrzebuje innej rozmowy. paraKSCol prowadzi marki sektorowe, które mówią językiem swojego odbiorcy — ale wszystkie działają na tym samym backendzie i tym samym łańcuchu audytowym.
CyberZgodność EDU
Marka dla szkół i JST prowadzących placówki oświatowe. Pierwsza marka pod parasolem, dostępna w closed becie od maja 2026.
cyberzgodnosc.edu.pl →paraKSCol MED
Marka dla sektora ochrony zdrowia — szpitali, przychodni, podmiotów leczniczych. Start kolejna marka pod parasolem, oczekiwana jesień 2026.
Zgłoś zainteresowanie →paraKSCol JST
Marka dla urzędów gmin, powiatów i województw — gdy gmina chce widzieć swoje placówki z poziomu organu prowadzącego, w jednym panelu.
Zgłoś zainteresowanie →
Co jest dostarczone dziś
Izolacja danych
Audit log
Tożsamość
Bezpieczeństwo infrastruktury
Kopie zapasowe
Region
Multi-podmiot
ITSO per placówka
Dashboard gminy
Compliance KSC + NIS2
Incydenty NIS2
Samoidentyfikacja
Audit-pack KSC
Ewidencja wyjątków + ryzyko
Inwentaryzacja aktywów
Katalog dostawców
Powiadomienia e-mail
Komunikatory
SIEM
ServiceNow
Eksporty
Analityka
Executive PDF
Funkcje platformy — bez slajdów z roadmapą.
Poniższe pozycje działają na produkcji dla każdego najemcy. Nie są to obietnice — to kod wdrożony i działający.
Funkcje wspólne całej platformy
Postgres Row-Level Security z FORCE
Izolacja danych każdego najemcy egzekwowana na poziomie bazy danych — nie warstwy aplikacji. Brakujący filtr WHERE zwraca zero wierszy, nie wycieka do obcej firmy.
Append-only dziennik audytowy z hash-chainem
SHA-256 hash-chain per najemca: row_hash = sha256(prev_hash ‖ canonical(row)), obliczany przez trigger Postgres — nie kod aplikacji. Endpoint /api/audit/verify zwraca kryptograficzny werdykt.
WebAuthn passkeys + TOTP MFA + OIDC + SAML 2.0
TOTP obowiązkowe od drugiego logowania. Passkeys WebAuthn dostępne do rejestracji. OIDC (ogólne + Microsoft) i SAML 2.0 SSO z automatycznym provisioingiem — konfigurowane per najemca, dostępne na każdym planie.
Ingres wyłącznie przez Cloudflare Tunnel
VPS nie ma żadnego publicznego portu — ani dla aplikacji, ani dla SSH, ani dla monitoringu. Cały ruch przychodzący inicjowany jest wychodzącym połączeniem tunelowym. Nie zostanie to zmienione „dla wygody".
Szyfrowane backupy u dwóch dostawców
Kopie szyfrowane po stronie aplikacji — klucz poza VPS. Każdy backup trafia jednocześnie do Cloudflare R2 i Backblaze B2. Błąd u któregokolwiek dostawcy jest audytowany i wyświetlany — nigdy cicho pomijany.
Hosting w EU — region niezmienialny po utworzeniu konta
Dane klienta nie przekraczają granic regionów. Region jest atrybutem najemcy ustawionym przy rejestracji — nie można go zmienić po fakcie. Dodatkowe regiony dostępne na podstawie umowy.
Funkcje specyficzne dla paraKSCol / JST
Jeden kontrakt — wszystkie podległe placówki
Gmina lub powiat podpisuje jeden kontrakt obejmujący wszystkie jednostki podległe: szkoły, przychodnie, biblioteki, DPS-y, instytucje kultury. IOD widzi wszystkie; dyrektorzy poszczególnych placówek widzą tylko swoje — izolacja egzekwowana przez RLS na poziomie (tenant_id, org_unit_id).
Per-instytucja inspektor z ograniczonym widokiem
Inspektor Bezpieczeństwa Teleinformatycznego (lub IOD) przypisany do konkretnej placówki widzi wyłącznie dane tej placówki — izolacja egzekwowana przez RLS, nie przez filtr w widoku aplikacji.
Zbiorczy panel dla koordynatora na poziomie JST
Gmina widzi status zgodności wszystkich podległych placówek w jednym widoku: otwarte incydenty, przeterminowane zadania, luki w samoidentyfikacji — bez zbierania Exceli z dwunastu placówek.
Zadania kontrolne: dzienny / tygodniowy / kwartalny
Cykl zadań kontrolnych zgodny z wymaganiami KSC — automatycznie tworzony per placówka z agregacją na poziomie gminy. Brakujące zadanie nie ginie — widnieje na tablicy z czerwonym znacznikiem.
Lifecycle incydentów 24h / 72h / 30 dni
Zgłoszenie incydentu tworzy trzy zadania z ustawowymi terminami. Każde niedotrzymanie terminu to niewykonanie obowiązku wynikającego z KSC — platforma śledzi i eskaluje za Ciebie.
Kreator samoidentyfikacji KSC/NIS2 — kreator rozgałęziony
Jedna odpowiedź decyduje o kolejnych pytaniach. Osobna ścieżka dla szkoły, szpitala, urzędu, biblioteki — z przyciskiem Wstecz i wielopoziomowymi gałęziami warunkowymi. Decyzja zostaje w rejestrze z datą i śladem audytowym.
Eksport zgodny z wymaganiami KSC dla audytorów
Jeden ZIP: samoidentyfikacja, zadania, incydenty, rejestr ryzyka, ewidencja wyjątków, pełny łańcuch audytowy — w dowolnym oknie czasowym. Gotowy dla kontroli CSIRT lub UODO.
Rejestr ryzyk i wyjątków od polityk bezpieczeństwa
Każdy wyjątek ma właściciela, termin, środki kompensujące i pełny ślad audytowy. Zamknięty wyjątek może automatycznie trafić do Rejestru Ryzyk jako akceptowane ryzyko rezydualne.
Ewidencja aktywów z monitoringiem CVE
Ewidencja aktywów IT per placówka z kategoryzacją i filtrem cyklu życia. Automatyczne odpytywanie bazy NIST NVD — nowe CVE są dopasowywane do zarejestrowanych aktywów i wymagają potwierdzenia lub planu naprawczego.
Katalog dostawców + ocena własna przez podpisany link
Ewidencja dostawców z kategorią krytyczności i datą umowy. Wygeneruj dla dostawcy podpisany link do kwestionariusza samooceny — bez potrzeby zakładania konta. Wyniki dołączają do ewidencji dostawcy i powiązanych wyjątków.
Powiadomienia i integracje
Microsoft Graph per-najemca + SMTP fallback
Najemca może podłączyć własną skrzynkę M365 do wysyłki powiadomień. Automatyczne odświeżanie tokenów OAuth; przy odwołaniu tokenu platforma przełącza się na SMTP — nigdy cicho nie gubi wiadomości.
Slack, Microsoft Teams, PagerDuty
Konfigurowane kanały powiadomień per zdarzenie: żądania zatwierdzenia, ostrzeżenia o wygasaniu, alerty anomalii, raporty cykliczne. Routing per kanał — dział IT i dział prawny otrzymują tylko to, co ich dotyczy.
Streaming JSON-line do dowolnego SIEM
Forwarder strumieniuje zdarzenia dziennika audytowego do systemu SIEM przyjmującego webhook lub log-drain. Filtry zdarzeń per-najemca, uwierzytelnianie i potwierdzenia dostarczenia zapisywane w łańcuchu audytowym.
Synchronizacja incydentów + import aktywów CMDB
Wyjątki i incydenty tworzone w platformie pojawiają się jako rekordy ServiceNow. Import aktywów z CMDB zasila ewidencję bez ręcznego przepisywania.
Raporty
Kreator raportów: CSV, Markdown, PDF executive
Konfigurowalny eksport z wyborem kolumn, zakresem dat i zestawem filtrów. Format CSV, Markdown lub PDF (WeasyPrint, bez zależności od przeglądarki). Raporty są deterministyczne i weryfikowalne.
Wykresy trendów + cykliczny eksport na e-mail lub Slack
Wykresy liniowe SVG — tempo zgłaszania incydentów, czas zatwierdzania, luki pokrycia kontrolnego — bez biblioteki JS po stronie klienta. Cykliczne eksporty wysyłane na e-mail lub Slack zgodnie z harmonogramem cron.
Podsumowanie zgodności z 4 ramami: NIS2, KSC, ISO 27001, NIST CSF
Jednorazowy PDF z posturem zgodności per rama — gotowy dla zarządu lub audytorów. Każde mapowanie kontroli jest podparte konkretnymi wpisami z ewidencji, nie ogólnymi deklaracjami.
Zgodność i bezpieczeństwo
✓
Zgodność z RODO — DPA dostępne na życzenie (kontakt@parakscol.pl)
✓
Operacyjna zgodność z NIS2 i KSC — wymagania art. 21 i art. 23 zasiane w katalogu kontrolnym
✓
Hosting w UE — region per-najemca, niezmienialny po rejestracji
✓
Lista subprocesorów — wyślij zapytanie
✓
Wyrównanie z ISO 27001 i programem gotowości SOC 2 — certyfikacja nie jest jeszcze udzielona
Marki sektorowe w przygotowaniu
- →paraKSCol MED — ochrona zdrowia (szpitale, przychodnie) — jesień 2026
- →paraKSCol JST — urzędy gmin i powiatów jako bezpośredni nabywca — termin uzależniony od popytu
Jak to działa
Etap 1
Etap 2
Etap 3
Etap 4
Od decyzji gminy do działającej platformy — cztery etapy.
Bez wdrożeń trwających kwartały. Pierwsza placówka operacyjna w dniu rejestracji.
Rejestracja najemcy na poziomie JST
Gmina lub powiat zakłada jedno konto — najemcę paraKSCol. Dane od pierwszej transakcji są izolowane politykę RLS Postgres. Region wybierany przy rejestracji; niezmienialny później.
Konfiguracja tożsamości i ról
Podłączenie IdP (OIDC lub SAML 2.0), wymuszenie TOTP, zdefiniowanie ról: IOD gminy, ITSO placówki, dyrektor, audytor. Każda rola widzi dokładnie tyle, ile powinna — nic więcej.
Dodanie placówek i użytkowników
Każda szkoła, przychodnia, biblioteka, DPS — jako osobna jednostka organizacyjna pod jednym kontem gminy. Dyrektorzy placówek dostają zaproszenia; IOD widzi wszystkie naraz.
Codzienna pętla zgodności
Zadania kontrolne tworzone automatycznie per placówka. Incydenty wchodzą w cykl 24h/72h/30d. Raporty cykliczne trafiają na e-mail lub Slack. Audit-pack gotowy na jedno kliknięcie.
Cennik
Jedna opłata za całą gminę. Funkcje bezpieczeństwa na każdym planie.
Nie naliczamy opłat za użytkownika — to zniechęcałoby do rozproszenia odpowiedzialności, czyli dokładnie odwrotnie niż cel platformy. MFA, dziennik audytowy, RBAC i szyfrowanie są dostępne na każdym planie bez dopłat. Płacisz za rozmiar organizacji, nie za pilność zespołu.
Zapytaj o cennik
Kontrakt roczny · wycena na podstawie liczby placówek
Pytania, które już padały
Zanim zapytasz.
Czym różni się paraKSCol od CyberZgodność EDU?
paraKSCol jest platformą matką, CyberZgodność EDU — jej marką sektorową dla szkół. Wszystkie marki pod parasolem działają na tym samym backendzie, używają tych samych modułów (samoidentyfikacja, incydenty, ryzyko, audit-pack) i dzielą wspólny łańcuch audytowy. Jeden tenant w ramach paraKSCol może objąć szkoły, przychodnię i bibliotekę naraz.
Czy jako gmina muszę kupować osobno dla każdej placówki?
Nie. Jeden kontrakt z paraKSCol na poziomie JST pokrywa wszystkie placówki podległe — szkoły, przychodnie, biblioteki, DPS-y i ośrodki kultury. IOD ma jeden panel, dyrektorzy poszczególnych placówek mają własne widoki.
Czy moje dane są w Polsce?
Tak. Produkcyjne dane klientów polskich znajdują się w hostingu w Polsce. Plan kopii zapasowych obejmuje drugiego dostawcę w UE z szyfrowaniem po stronie aplikacji.
Czy ktoś już z tego korzysta?
Marka sektorowa CyberZgodność EDU jest w closed becie od maja 2026. Trwa nabór do programu pilotażowego. Pozostałe marki (MED, JST) są w przygotowaniu — zgłoszenie zainteresowania pozwala nam ustawić kolejność wdrożeń.
Program pilotażowy
Jedna gmina, wszystkie placówki — roczny pilotaż bez opłat.
Pierwsze 5 JST, które przystąpią do programu pilotażowego paraKSCol, otrzymają roczną subskrypcję dla wszystkich podległych placówek bez opłat, wsparcie wdrożeniowe oraz wpływ na kolejność uruchamiania marek sektorowych. W zamian — feedback i jedna referencja.