Bezpłatna diagnoza KSC2
Baza wiedzy
Bezpłatna diagnoza KSC2: trzy elementy, które oddzielają wartościową analizę od marketingowej ankiety
Bezpieczeństwo organizacji

Bezpłatna diagnoza KSC2: trzy elementy, które oddzielają wartościową analizę od marketingowej ankiety

Jak wybrać diagnozę, która da zarządowi podstawy do decyzji, a nie kolejny raport z kolorami świateł drogowych i zaproszeniem na rozmowę handlową.

www.sisoft.pl/baza-wiedzy/bezplatna-diagnoza-ksc2-trzy-elementy
Grzegorz Surdyka
6.4.2026
10
min czytania

Spis treści

    W skrócie

    Rynek oferuje dziesiątki bezpłatnych diagnoz KSC2 i NIS2. Większość to ankiety zbierające dane kontaktowe, które nie odpowiadają na pytanie, jakie naprawdę zadaje zarząd po samoidentyfikacji: co mamy, czego nam brakuje i co zrobić w pierwszej kolejności. Wartościowa diagnoza różni się od marketingowej ankiety trzema konkretnymi elementami: wagami ryzyka przypisanymi do obszarów niezgodności, priorytetyzacją luk według wpływu na biznes i czasu usunięcia, oraz rekomendacją na pierwsze trzydzieści dni gotową do wdrożenia bez dalszego doradztwa.

    Problem rynku: diagnoza KSC2 zamieniła się w lead magnet

    Od wejścia w życie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa 3 kwietnia 2026 roku polski rynek zapełnił się ofertami bezpłatnej diagnozy KSC2, audytu gotowości NIS2 i oceny zgodności z ustawą. Podmioty, które dopiero rozpoznają, że znajdują się w zakresie regulacji, otrzymują kilkanaście podobnych propozycji tygodniowo. Zarząd, który chce podjąć odpowiedzialną decyzję, staje przed pytaniem, której ofercie zaufać.

    Odpowiedź leży w rozróżnieniu dwóch rzeczy, które dziś noszą tę samą nazwę. Pierwszą jest diagnoza: ustrukturyzowana analiza stanu organizacji w odniesieniu do wymogów KSC2, prowadząca do decyzji o dalszych krokach. Drugą jest ankieta: formularz zbierający odpowiedzi na kilkanaście pytań zamkniętych, kończący się raportem z czerwonymi, żółtymi i zielonymi polami, którego jedynym realnym celem jest wygenerowanie leada handlowego.

    Marketingowa ankieta

    Formularz online, wynik w 15 minut, raport 3 strony z kolorami świateł, propozycja spotkania handlowego jako następny krok.

    Wartościowa diagnoza

    Ankieta kalibracyjna, warsztat z konsultantem i przedstawicielem zarządu, raport 15 stron z macierzą priorytetyzacji, rekomendacja trzydziestodniowa gotowa do wdrożenia.

    Obie są oferowane bezpłatnie. Obie używają słowa diagnoza. Pierwsza pozwala zarządowi podjąć decyzję. Druga marnuje dwie godziny pracy zespołu i kończy się rozmową, w której dostawca proponuje płatne usługi.

    Różnica nie jest kwestią intencji. Jest kwestią trzech elementów metody.

    Co powinna zawierać wartościowa diagnoza KSC2

    Wartościowa diagnoza KSC2 daje zarządowi trzy rzeczy, których marketingowa ankieta nie dostarcza. Brak któregokolwiek z tych elementów oznacza, że diagnoza zostawi zarząd w tym samym miejscu, w którym go zastała.

    Element pierwszy

    Wagi ryzyka przypisane do obszarów niezgodności

    Lista luk bez wag jest listą zadań dla zespołu IT. Lista luk z wagami jest narzędziem decyzji dla zarządu. Różnica polega na tym, że waga mówi, jak poważny jest problem, nie tylko że problem istnieje.

    W praktyce oznacza to, że diagnoza powinna dla każdej zidentyfikowanej luki odpowiadać na trzy pytania: jaki jest potencjalny wpływ tej luki na ciągłość biznesu w razie incydentu, jaki jest rozmiar ekspozycji regulacyjnej przypisanej do tej luki, i jakie jest prawdopodobieństwo, że luka zostanie wykorzystana lub zauważona przez audytora w najbliższych dwunastu miesiącach. Trzy wymiary oceny, nie jeden. Ankieta, która daje jedną wartość (czerwone, żółte, zielone) bez rozbicia na wymiary, nie pozwala zarządowi zdecydować, które obszary są pilne, a które są ważne, ale mogą poczekać.

    Przykład działa lepiej niż abstrakcja. Załóżmy, że diagnoza identyfikuje dwie luki: brak udokumentowanej polityki bezpieczeństwa informacji i brak procesu zarządzania podatnościami. Ankieta oznacza obie jako czerwone i proponuje wdrożenie obu. Diagnoza z wagami pokazuje, że brak udokumentowanej polityki jest formalną luką dokumentacyjną o niskim wpływie operacyjnym i średniej ekspozycji regulacyjnej, natomiast brak procesu zarządzania podatnościami jest luką o wysokim wpływie operacyjnym, wysokiej ekspozycji i wysokim prawdopodobieństwie wykrycia w audycie. Zarząd widzi różnicę i wie, co robić najpierw.

    Pytanie do dostawcy

    Jakie wymiary oceny stosujecie przy ocenie każdej luki? Jak przekładacie wyniki na priorytety dla zarządu?

    Element drugi

    Priorytetyzacja luk według wpływu i pracochłonności

    Sama lista luk z wagami nadal nie mówi zarządowi, co robić w poniedziałek rano. Priorytetyzacja mówi.

    Dobrze skonstruowana priorytetyzacja łączy dwa wymiary: wagę ryzyka i pracochłonność domknięcia luki. Efektem jest macierz czterech pól. W pierwszym polu znajdują się luki o wysokim ryzyku i niskiej pracochłonności, czyli quick wins, które powinny być zamknięte w ciągu trzydziestu dni. W drugim polu są luki o wysokim ryzyku i wysokiej pracochłonności, które wymagają osobnego programu i budżetu, ale muszą być uruchomione natychmiast. W trzecim polu są luki o niskim ryzyku i niskiej pracochłonności, które można zamknąć przy okazji innych prac. W czwartym polu są luki o niskim ryzyku i wysokiej pracochłonności, które można świadomie odsunąć w czasie.

    Bez priorytetyzacji zarząd dostaje listę dwudziestu punktów i pytanie od czego zacząć. Z priorytetyzacją zarząd dostaje cztery pola, z których każde ma jasną odpowiedź organizacyjną.

    Co robimy natychmiast, co planujemy jako program, co dokładamy do bieżących prac, co odsuwamy. To jest różnica między dokumentem audytowym a narzędziem zarządczym.

    Pytanie do dostawcy

    Jak priorytetyzujecie luki? Czy priorytety uwzględniają pracochłonność i dostępne zasoby organizacji, czy dają tylko ranking ryzyka?

    Element trzeci

    Rekomendacja trzydziestodniowa gotowa do wdrożenia

    Trzeci element jest miarą tego, czy diagnoza jest doradcza czy marketingowa. Diagnoza kończy się rekomendacją, którą zespół wewnętrzny może zacząć wdrażać następnego dnia, bez dalszych konsultacji. Ankieta kończy się raportem i propozycją spotkania.

    Rekomendacja na pierwsze trzydzieści dni powinna zawierać trzy rzeczy. Po pierwsze, listę konkretnych decyzji zarządczych do podjęcia w ciągu dziesięciu dni roboczych: kto jest właścicielem programu KSC2 ze strony zarządu, jaki jest wstępny budżet na 2026 rok, jaki jest rytm raportowania do zarządu. Po drugie, listę konkretnych działań operacyjnych do uruchomienia w ciągu trzydziestu dni: które quick wins z macierzy priorytetyzacji, kto jest odpowiedzialny za każde, jaki jest termin. Po trzecie, listę pytań do wyjaśnienia wewnętrznie: jakie są zależności od dostawców, jakie są ograniczenia budżetowe, jakie są powiązane projekty.

    Rekomendacja, która kończy się zdaniem „zapraszamy do kontaktu w sprawie wdrożenia", nie jest rekomendacją. Jest CTA sprzedażowym przebranym za doradztwo. Wartościowa diagnoza daje zarządowi dość, żeby wystartować samodzielnie. Dopiero na kolejnym etapie, kiedy organizacja potrzebuje eksperckiego wsparcia w konkretnych obszarach, pojawia się rozmowa o płatnych usługach.

    Pytanie do dostawcy

    Czy po diagnozie otrzymujemy dokument gotowy do wdrożenia wewnętrznego, czy otrzymujemy zaproszenie do dalszych rozmów handlowych?

    Dowiedz się więcej o bezpieczeństwie w Twojej organizacji

    Zamów bezpłatny warsztat i zyskaj jasny plan pierwszych działań.

    Umów konsultację

    Pięć pytań, które warto zadać dostawcy bezpłatnej diagnozy

    Zanim zarząd podejmie decyzję o korzystaniu z konkretnej bezpłatnej diagnozy, pięć pytań w rozmowie wstępnej pokazuje, z którym typem dostawcy ma do czynienia.

    1. Jak długo trwa cały proces diagnozy?

    Od pierwszego kontaktu do otrzymania rekomendacji. Wartościowa diagnoza wymaga czasu zespołu eksperckiego. Jeśli dostawca obiecuje wyniki w piętnaście minut po wypełnieniu formularza online, to znaczy, że wynik jest generowany automatycznie na podstawie drzewa decyzyjnego, nie analizy. Realistyczny czas dla wartościowej diagnozy to od pięciu do dziesięciu dni roboczych.

    2. Kto po stronie dostawcy prowadzi diagnozę?

    Nazwisko, rola, doświadczenie. Wartościowa diagnoza jest prowadzona przez konsultanta z realnym doświadczeniem we wdrożeniach systemu zarządzania bezpieczeństwem informacji i znajomością przepisów KSC2 i artykułu 21 NIS2. Marketingowa ankieta jest obsługiwana przez pre-sales lub handlowca, który nie ma kompetencji do interpretacji wyników.

    3. Jakie są wymiary oceny i jak przekładają się na priorytety?

    To jest pytanie weryfikujące element pierwszy i drugi opisane wyżej. Dostawca, który nie potrafi odpowiedzieć na to pytanie konkretnie, nie stosuje żadnej metody, tylko intuicję.

    4. Co dokładnie zawiera raport końcowy?

    Długość, struktura, format, kluczowe sekcje. Wartościowy raport ma między dziesięć a dwadzieścia pięć stron, zawiera mapę luk, macierz priorytetyzacji, rekomendację trzydziestodniową i sekcję dotyczącą decyzji zarządczych. Marketingowa ankieta ma trzy do pięciu stron z grafiką w kolorach świateł drogowych i linkiem do kontaktu handlowego.

    5. Jakie są następne kroki po diagnozie?

    Odpowiedź dobrego dostawcy brzmi: otrzymujecie mapę drogową gotową do wdrożenia wewnętrznego, a jeśli zdecydujecie, że potrzebujecie eksperckiego wsparcia w konkretnym obszarze, możemy porozmawiać o formie współpracy. Odpowiedź złego dostawcy brzmi: na podstawie wyników zaproponujemy Państwu spotkanie w sprawie naszej oferty wdrożenia KSC2.

    Jak wygląda diagnoza KSC2 według metody Sisoft

    Sisoft prowadzi bezpłatną diagnozę KSC2 w modelu trzyetapowym, który odpowiada na trzy elementy opisane wyżej. Całość trwa od pięciu do siedmiu dni roboczych, nie wymaga dostępu do infrastruktury organizacji i nie kończy się przymusowym kontaktem handlowym.

    01

    Ankieta kalibracyjna

    Ankieta kalibracyjna jest krótkim kwestionariuszem, który pełni dwie funkcje: pozwala konsultantowi Sisoft przygotować się do warsztatu, i pozwala organizacji uporządkować wewnętrznie, co już jest wdrożone, a co nie. Zawiera kilkanaście pytań pokrywających podstawowe obszary wymogów KSC2: politykę bezpieczeństwa, analizę ryzyka, zarządzanie incydentami, zarządzanie dostawcami, ciągłość działania, zarządzanie dostępem, szkolenia.

    Pytania są otwarte lub półotwarte, nie zamknięte. Organizacja opisuje stan faktyczny krótkimi odpowiedziami, nie zaznacza jednej z czterech opcji. Celem ankiety nie jest diagnoza, tylko kalibracja. Konsultant, który otrzymuje wypełnioną ankietę dwa dni przed warsztatem, przychodzi na spotkanie znając już kontekst, znając obszary wymagające pogłębienia i znając obszary, które można potraktować skrótowo.

    Wypełnienie ankiety zajmuje zespołowi organizacji między trzydzieści a sześćdziesiąt minut.

    02

    Warsztat dwugodzinny

    Warsztat jest sercem diagnozy. Prowadzi go starszy konsultant Sisoft z doświadczeniem we wdrożeniach systemu zarządzania bezpieczeństwem informacji. Po stronie organizacji uczestniczą wyznaczony przedstawiciel zarządu (prezes, członek zarządu odpowiedzialny za operacje, dyrektor finansowy lub osoba wskazana przez zarząd jako właściciel programu KSC2) oraz przedstawiciel zespołu odpowiedzialnego operacyjnie za bezpieczeństwo informacji.

    Warsztat jest ustrukturyzowany wokół czterech bloków. Pierwszy blok, około dwudziestu minut, to weryfikacja scopingu: ustalenie, które podmioty w grupie kapitałowej, które procesy i które systemy informacyjne rzeczywiście znajdują się w zakresie KSC2. Drugi blok, około czterdziestu pięciu minut, to przegląd stanu faktycznego według obszarów wymogów artykułu 21 NIS2 i odpowiednich artykułów UKSC2. Trzeci blok, około trzydziestu minut, to mapowanie luk na macierz priorytetyzacji, prowadzone interaktywnie z uczestnikami. Czwarty blok, około piętnastu minut, to uzgodnienie decyzji zarządczych, które powinny zapaść w najbliższych dziesięciu dniach, i zgrubnych założeń budżetowych.

    Spotkanie odbywa się online, co pozwala na uczestnictwo członków zarządu bez blokowania pół dnia. Warsztat jest nagrywany wyłącznie za wyraźną zgodą organizacji, nagranie jest usuwane po dostarczeniu mapy drogowej.

    03

    Mapa drogowa zgodności

    W ciągu trzech dni roboczych po warsztacie Sisoft dostarcza mapę drogową zgodności. Dokument ma formę ustrukturyzowanego raportu liczącego zwykle kilkanaście stron i zawiera pięć sekcji.

    Pierwsza sekcja to streszczenie dla zarządu, jedna strona, podsumowujące trzy najważniejsze ustalenia i trzy najpilniejsze decyzje. Druga to mapa luk z wagami ryzyka w trzech wymiarach i krótkim komentarzem dla każdej luki. Trzecia to macierz priorytetyzacji rozpisana na cztery pola, z wyraźnym wskazaniem, co wchodzi w pierwsze trzydzieści dni, co wchodzi w program średnioterminowy, co dokładamy do bieżących prac, co świadomie odsuwamy. Czwarta to rekomendacja trzydziestodniowa, zawierająca listę decyzji zarządczych, listę działań operacyjnych i listę pytań do wyjaśnienia wewnętrznie. Piąta to opcjonalne wskazanie obszarów, w których Sisoft oferuje eksperckie wsparcie, jeśli organizacja zdecyduje, że tego potrzebuje.

    Piąta sekcja jest świadomie ostatnia i świadomie krótka. Jeśli organizacja po diagnozie zdecyduje, że chce kontynuować samodzielnie, ma wszystko, czego potrzebuje, w sekcjach od pierwszej do czwartej. Mapa drogowa jest własnością organizacji. Sisoft nie zatrzymuje kopii w celach marketingowych i nie wykorzystuje danych z diagnozy do żadnego innego celu niż dostarczenie dokumentu.

    Kiedy warto skorzystać z diagnozy, a kiedy lepiej poczekać

    Diagnoza KSC2 nie jest dla każdej organizacji i nie dla każdego momentu. Warto ją przeprowadzić, gdy organizacja przeszła samoidentyfikację i potwierdziła, że znajduje się w zakresie KSC2 jako podmiot kluczowy lub ważny, ale nie ma jeszcze ustrukturyzowanego programu wdrożenia. Diagnoza jest właściwa, gdy zarząd potrzebuje podstaw do podjęcia decyzji o budżecie i właścicielu programu, a nie ma jeszcze wewnętrznego obrazu skali pracy. Jest właściwa także wtedy, gdy organizacja posiada już pewne elementy systemu zarządzania bezpieczeństwem informacji (na przykład ISO 27001), ale nie wie, ile z tego pokrywa wymogi KSC2, a ile wymaga dodatkowej pracy.

    Diagnoza jest natomiast przedwczesna, gdy organizacja nie zakończyła jeszcze samoidentyfikacji i nie wie, czy w ogóle podlega regulacji. W takim wypadku pierwszym krokiem jest weryfikacja scopingu, nie diagnoza stanu. Jest zbędna, gdy organizacja ma już przeprowadzony niedawno niezależny audyt zgodności i wyniki są aktualne. Jest trudna do wykorzystania, gdy zarząd nie jest gotów zaangażować się osobiście w dwugodzinny warsztat. Dwugodzinne spotkanie bez przedstawiciela zarządu generuje mapę drogową bez kotwicy decyzyjnej, co zmniejsza jej wartość o połowę.

    Najczęściej zadawane pytania

    Czy bezpłatna diagnoza KSC2 zobowiązuje do dalszej współpracy?

    Nie. W modelu Sisoft diagnoza kończy się przekazaniem mapy drogowej zgodności. Organizacja może wykorzystać dokument wewnętrznie bez żadnych dalszych zobowiązań. Wsparcie ekspertów Sisoft przy wdrożeniu jest opcjonalne i wymaga osobnej umowy, zawieranej wyłącznie na wyraźne życzenie organizacji.

    Ile trwa cały proces diagnozy KSC2?

    Od pierwszego kontaktu do otrzymania mapy drogowej zwykle pięć do siedmiu dni roboczych. Ankieta kalibracyjna zajmuje zespołowi organizacji trzydzieści do sześćdziesięciu minut, warsztat trwa dwie godziny, mapa drogowa jest dostarczana w ciągu trzech dni roboczych po warsztacie.

    Kto powinien uczestniczyć w warsztacie diagnostycznym ze strony organizacji?

    Dwie osoby: wyznaczony przedstawiciel zarządu (prezes, członek zarządu, dyrektor finansowy lub osoba wskazana jako właściciel programu KSC2) oraz przedstawiciel zespołu odpowiedzialnego operacyjnie za bezpieczeństwo informacji. Obecność przedstawiciela zarządu jest kluczowa, ponieważ warsztat kończy się uzgodnieniem decyzji zarządczych.

    Czy diagnoza KSC2 obejmuje audyt techniczny infrastruktury?

    Nie. Diagnoza KSC2 w modelu Sisoft jest analizą stanu organizacyjnego i procesowego, nie testem penetracyjnym ani skanowaniem podatności. Jeśli diagnoza wykaże, że organizacja potrzebuje audytu technicznego, zostanie to wskazane w mapie drogowej jako osobne zadanie.

    Czy wykonanie diagnozy wystarczy, żeby być zgodnym z KSC2?

    Nie. Diagnoza jest punktem startowym, nie celem. Wynikiem diagnozy jest mapa drogowa pokazująca, co organizacja musi zrobić, żeby spełnić wymagania. Samo wdrożenie wymaga pracy zespołu wewnętrznego lub eksperckiego, nie dzieje się przez fakt wykonania diagnozy.

    Jak Sisoft wykorzystuje dane przekazane podczas diagnozy KSC2?

    Dane przekazane podczas ankiety kalibracyjnej i warsztatu są wykorzystywane wyłącznie do przygotowania mapy drogowej. Sisoft nie zatrzymuje kopii dokumentów organizacji, nie wykorzystuje danych do innych celów marketingowych niż skontaktowanie się z organizacją w sprawie dostarczenia mapy drogowej, i nie udostępnia ich stronom trzecim. Szczegółowe warunki są opisane w porozumieniu o poufności podpisywanym przed warsztatem.

    Od czego zacząć

    Zarząd, który rozpoznał, że organizacja znajduje się w zakresie KSC2, ma trzy możliwe ścieżki. Pierwsza to samodzielne wdrożenie oparte na publicznie dostępnych materiałach i wewnętrznych zasobach. Jest wykonalna, ale zajmuje więcej czasu i niesie ryzyko błędnej interpretacji wymogów. Druga to zlecenie pełnego wdrożenia firmie zewnętrznej od pierwszego dnia. Jest najszybsza, ale wymaga natychmiastowej decyzji budżetowej, którą zarząd często nie jest jeszcze gotów podjąć. Trzecia to diagnoza jako punkt startowy, która pozwala zarządowi podjąć świadomą decyzję o budżecie i modelu wdrożenia, opartą na znajomości skali rzeczywistej pracy przed organizacją.

    Wartościowa diagnoza nie zastępuje wdrożenia. Pozwala zarządowi wiedzieć, co organizacja ma, czego jej brakuje, i co zrobić w pierwszej kolejności, zanim podejmie większe decyzje.

    Bezpłatny warsztat diagnostyczny

    Dwie godziny. Mapa drogowa zgodności. Żadnych zobowiązań.

    Sisoft prowadzi bezpłatny dwugodzinny warsztat diagnostyczny KSC2 dla zarządów podmiotów kluczowych i ważnych. Warsztat kończy się mapą drogową zgodności gotową do wdrożenia wewnętrznego, przekazywaną w ciągu trzech dni roboczych.

    Zamów warsztat diagnostyczny →
    Przed warsztatem
    Ankieta kalibracyjna, 30-60 minut pracy zespołu
    Warsztat
    2 godziny online, zarząd i zespół bezpieczeństwa
    Po warsztacie
    Mapa drogowa zgodności w 3 dni robocze

    Bądźmy w kontakcie

    Chcesz porozmawiać o cyberbezpieczeństwie w Twojej organizacji i wspólnych możliwościach? Wypełnij formularz poniżej lub skontaktuj się z nami bezpośrednio.

    +48 12 44 66 844
    kontakt@sisoft.pl
    Odpowiemy szybciej niż się spodziewasz.
    Formularz został wysłany, wkrótce się odezwiemy :)
    Upss! Coś poszło nie tak, sprawdź wszystkie pola i spróbuj ponownie.

    Co jeszcze warto wiedzieć na temat cyberbezpieczeństwa?

    Bezpieczeństwo organizacji

    Ile kosztuje program cyberbezpieczeństwa

    Rzeczywisty koszt programu cyberbezpieczeństwa składa się z sześciu obszarów: ludzie, narzędzia, audyty, szkolenia, reakcja na incydenty i zgodność regulacyjna. Większość organizacji zna tylko część tych kosztów, bo reszta jest rozproszona po budżetach HR, działu prawnego i CFO. Według Gartner firmy przeznaczają na bezpieczeństwo 8-12% budżetu IT, a polskie badania (Xopero Software) pokazują, że 77% firm w Polsce wydaje poniżej 50 tys. PLN rocznie.
    Grzegorz Surdyka
    3/30/2026
    14
    min czytania
    Bezpieczeństwo organizacji

    Jak wygląda współpraca z vCISO w praktyce

    Od diagnozy stanu zastanego po utrzymanie programu bezpieczeństwa. Co vCISO robi w pierwszych miesiącach, jak ustala priorytety i dlaczego certyfikat to początek, nie koniec.
    Grzegorz Surdyka
    3/23/2026
    14
    min czytania
    Bezpieczeństwo organizacji

    vCISO: czym jest, komu potrzebny i kiedy ma sens

    Od decyzji zarządu po codzienną współpracę z zespołem bezpieczeństwa. Przewodnik po modelu wirtualnego CISO w Polsce.
    Grzegorz Surdyka
    3/9/2026
    12
    min czytania
    Zobacz więcej