Pierwsze dziesięć dni po uznaniu za podmiot kluczowy KSC2
Baza wiedzy
Pierwsze dziesięć dni po uznaniu za podmiot kluczowy: cztery decyzje, które zarząd powinien podjąć, zanim zadzwoni do prawnika
Bezpieczeństwo organizacji

Pierwsze dziesięć dni po uznaniu za podmiot kluczowy: cztery decyzje, które zarząd powinien podjąć, zanim zadzwoni do prawnika

Lista 131 pytań ministerstwa nie odpowiada na pytanie „co teraz". Decyzje pierwszych dziesięciu dni przesądzają, czy następne dwanaście miesięcy będzie uporządkowanym programem, czy reaktywnym chaosem.

www.sisoft.pl/baza-wiedzy/pierwsze-dziesiec-dni-ksc2
Grzegorz Surdyka
14.4.2026
10
min czytania

Spis treści

    W skrócie

    Organizacje, które w pierwszych dziesięciu dniach po rozpoznaniu, że podlegają KSC2, podejmują cztery decyzje organizacyjne, kończą wdrożenie w terminie i w budżecie. Organizacje, które zwlekają sześć tygodni, kończą w trybie reaktywnym, z podwójną pracą i rozproszoną odpowiedzialnością. Cztery decyzje są organizacyjne, nie techniczne: wyznaczenie właściciela programu po stronie zarządu, ustalenie wstępnej rezerwy budżetowej, zlecenie punktu zerowego diagnostycznego, zdefiniowanie rytmu raportowania. Żadna z nich nie wymaga zewnętrznego doradcy, ale każda powinna być podjęta świadomie, nie przez pominięcie.

    Dlaczego pierwszy tydzień różni się od pozostałych pięćdziesięciu jeden

    Ustawa o krajowym systemie cyberbezpieczeństwa daje podmiotom kluczowym i ważnym sześć miesięcy na złożenie wniosku o wpis do wykazu i dwanaście miesięcy na pełne wdrożenie środków zarządzania ryzykiem. Terminy wyglądają spokojnie. W praktyce każdy tydzień zwłoki w pierwszych dziesięciu dniach zwraca się czterokrotnie w ostatnich sześciu tygodniach wdrożenia.

    Powód jest organizacyjny, nie regulacyjny. W pierwszych dziesięciu dniach zarząd ma okno decyzyjne, które zamyka się wraz z pojawieniem się bieżących zadań. Dopóki program KSC2 nie ma właściciela, budżetu i rytmu raportowania, nie istnieje jako przedmiot decyzji zarządczych. Nie ma kto go zaplanować, nie ma kto go zakomunikować dalej, nie ma kto zlecić diagnozy. Każda rozmowa o KSC2 rozpoczyna się od pytania „a kto się tym zajmuje", i każda z nich kończy się bez odpowiedzi.

    Scenariusz zwłoki

    Zarząd dowiaduje się o objęciu regulacją. Nie wyznacza właściciela. Dział IT rozpoczyna wstępne prace na podstawie własnej interpretacji. Po sześciu tygodniach zarząd otrzymuje pierwszy raport i orientuje się, że kierunek był błędny. Kolejne trzy miesiące idą na naprawę.

    Scenariusz decyzji

    Zarząd dowiaduje się o objęciu regulacją. W ciągu dziesięciu dni wyznacza właściciela, rezerwuje wstępny budżet, zleca punkt zerowy, ustala rytm raportowania. Po trzech tygodniach ma pierwszą mapę drogową. Wdrożenie biegnie planowo.

    Różnica między tymi dwoma scenariuszami to około dwunastu tygodni pracy zespołu i kilkuset tysięcy złotych budżetu. Pierwszy tydzień jest momentem, w którym ta różnica się rozstrzyga.

    Cztery decyzje zarządu

    01
    Decyzja pierwsza · Dzień 1-3

    Wyznaczenie właściciela programu po stronie zarządu

    Ustawa mówi, że odpowiedzialność za wykonywanie obowiązków cyberbezpieczeństwa ponosi kierownik podmiotu kluczowego lub ważnego. W organie wieloosobowym odpowiedzialność ponoszą wszyscy członkowie zarządu kolektywnie. Ta kolektywna odpowiedzialność jest prawna i nie zmienia się przez wewnętrzne decyzje zarządu. Wyznaczenie jednej osoby jako operacyjnego właściciela programu nie zdejmuje odpowiedzialności z pozostałych członków, ale porządkuje przepływ decyzji operacyjnych w ciągu następnych dwunastu miesięcy.

    Właściciel programu nie musi być ekspertem od cyberbezpieczeństwa. Musi być członkiem zarządu z uprawnieniami do podejmowania decyzji o zakresie, budżecie i priorytetach programu. W większości organizacji naturalnymi kandydatami są członek zarządu odpowiedzialny za operacje, dyrektor finansowy lub prezes. Decyzja zależy od tego, kto ma w organizacji najlepszy dostęp do informacji o procesach krytycznych i kto ma najwięcej czasu decyzyjnego, nie od tego, kto zna technologię.

    Wyznaczenie jest dokumentowane uchwałą zarządu. Uchwała zawiera trzy elementy: imię i nazwisko wyznaczonej osoby, zakres uprawnień operacyjnych (co może decydować samodzielnie, co wymaga decyzji zarządu kolektywnie), rytm raportowania powrotnego do pozostałych członków zarządu. Bez uchwały właścicielstwo jest nieformalne, a nieformalne właścicielstwo nie wytrzymuje pierwszej trudnej decyzji budżetowej.

    Działanie w pierwszych dziesięciu dniach

    Na pierwszym posiedzeniu zarządu po rozpoznaniu objęcia regulacją, wprowadzenie punktu „Program KSC2 i wyznaczenie właściciela". Wynik: uchwała wyznaczająca członka zarządu odpowiedzialnego operacyjnie za program, z trzema elementami uchwały opisanymi wyżej. Czas pracy: od piętnastu do trzydziestu minut na posiedzeniu.

    Sygnał ostrzegawczy

    Jeśli po tygodniu od rozpoznania objęcia regulacją zarząd nadal nie wyznaczył właściciela, oznacza to, że program nie zaistnieje w organizacji jako przedmiot decyzji. Kolejne tygodnie będą pogłębiać ten stan, nie odwracać go.

    02
    Decyzja druga · Dzień 3-7

    Wstępna rezerwa budżetowa jako placeholder

    Druga decyzja budzi najwięcej oporu i jest najczęściej odkładana. Pytanie brzmi: ile zarezerwować w budżecie, skoro nie wiadomo jeszcze, ile program będzie kosztował. Odpowiedź brzmi: dokładnie z tego powodu trzeba zarezerwować kwotę już teraz.

    Wstępna rezerwa budżetowa nie jest kosztorysem. Jest placeholderem, który umożliwia rozpoczęcie prac bez czekania na pełny business case. Bez placeholdera każda drobna decyzja operacyjna (na przykład zlecenie diagnozy stanu albo wybór zewnętrznego doradcy) wymaga osobnej ścieżki zatwierdzania finansowego, co generuje opóźnienia. Z placeholderem decyzje operacyjne mogą być podejmowane w ramach wcześniej ustalonej rezerwy, a pełny budżet jest dopracowywany w kolejnych tygodniach na podstawie diagnozy.

    Placeholder budżetowy to decyzja o wolności działania, nie o kwocie.

    Praktyczna konstrukcja placeholdera wygląda tak: zarząd rezerwuje kwotę odpowiadającą rzędowi wielkości typowego wdrożenia KSC2 dla organizacji podobnej skali, z wyraźnym zastrzeżeniem w uchwale, że kwota zostanie doprecyzowana po otrzymaniu punktu zerowego i będzie przedmiotem osobnej decyzji budżetowej. Typowy przedział dla średniej organizacji w zakresie KSC2 to od kilkuset tysięcy do kilku milionów złotych w pierwszym roku, zależnie od stanu wyjściowego. Bez diagnozy dokładniejsza liczba jest zgadywaniem. Placeholder ma uwzględniać niepewność, nie ją udawać.

    Jeśli dyrektor finansowy oponuje, argument jest następujący: placeholder nie jest wydatkiem. Jest decyzją o dostępności środków w razie potrzeby. Jeśli okazuje się, że wdrożenie kosztuje połowę placeholdera, zarząd zwalnia niewykorzystaną część. Jeśli okazuje się, że kosztuje więcej, zarząd ma czas na decyzję o rozszerzeniu rezerwy. Brak placeholdera oznacza tylko jedno: każda decyzja operacyjna wymaga osobnej rundy zatwierdzania, a każda runda to dwa tygodnie zwłoki.

    Działanie w pierwszych dziesięciu dniach

    Na posiedzeniu zarządu z udziałem dyrektora finansowego, uchwała o rezerwie budżetowej na program KSC2 w kwocie odpowiadającej wielkości organizacji, z zastrzeżeniem doprecyzowania po diagnozie. Dodatkowo: wskazanie ścieżki zatwierdzania wydatków w ramach rezerwy (kto podpisuje do jakiej kwoty). Czas pracy: od trzydziestu do sześćdziesięciu minut.

    03
    Decyzja trzecia · Dzień 5-10

    Zlecenie punktu zerowego diagnostycznego

    Punkt zerowy to ustrukturyzowana diagnoza stanu organizacji w odniesieniu do wymogów KSC2, przeprowadzona przed rozpoczęciem jakichkolwiek prac wdrożeniowych. Cel jest prosty: pokazać, co organizacja już ma, czego jej brakuje i co jest priorytetem. Bez punktu zerowego program KSC2 jest zbiorem hipotez. Z punktem zerowym jest zbiorem decyzji opartych na faktach.

    Decyzja o punkcie zerowym dzieli się na trzy wybory. Pierwszy: czy diagnoza jest wewnętrzna, czy zlecona na zewnątrz. Diagnoza wewnętrzna jest tańsza, ale niesie dwa ryzyka. Zespół wewnętrzny ma naturalne skrzywienie interpretacyjne (trudno obiektywnie ocenić procesy, które się zarządza) i ograniczone porównanie z innymi organizacjami (brak benchmarku). Diagnoza zewnętrzna jest droższa (lub bezpłatna w modelu warsztatowym), ale daje niezależną perspektywę i benchmark. Dla większości organizacji w pierwszym wdrożeniu KSC2 diagnoza zewnętrzna jest wartościowsza.

    Drugi wybór: zakres diagnozy. Pełna diagnoza pokrywa wszystkie obszary wymogów artykułu 21 NIS2 i odpowiednich artykułów UKSC2. Diagnoza skoncentrowana pokrywa trzy-cztery obszary, które zarząd uzna za najbardziej niepewne. Rekomendacja: pełna diagnoza, ale w modelu warsztatowym (dwie godziny zamiast dwóch tygodni), żeby nie blokować wdrożenia procesem analizy.

    Trzeci wybór: komu zlecić, jeśli diagnoza jest zewnętrzna. Tu kryteriów jest pięć, opisanych w osobnym artykule o ocenie jakości bezpłatnych diagnoz KSC2. Skrót: sprawdzić, kto prowadzi diagnozę po stronie dostawcy, jakie stosuje wymiary oceny, co zawiera raport końcowy, i jakie są następne kroki po otrzymaniu dokumentu.

    Działanie w pierwszych dziesięciu dniach

    Właściciel programu identyfikuje dwóch-trzech potencjalnych dostawców diagnozy, weryfikuje ich według pięciu pytań, wybiera jednego i zleca diagnozę w modelu warsztatowym. Termin realizacji diagnozy: do dwudziestego pierwszego dnia od rozpoznania objęcia regulacją. Czas pracy właściciela: od czterech do sześciu godzin.

    04
    Decyzja czwarta · Dzień 7-10

    Rytm raportowania statusu programu do zarządu

    Czwarta decyzja jest najłatwiejsza do pominięcia i najdroższa w konsekwencjach. Raportowanie statusu programu KSC2 powinno mieć zdefiniowany rytm, format i miejsce w agendzie posiedzeń zarządu jeszcze zanim pojawi się cokolwiek do raportowania. Ustalenie rytmu po pierwszym incydencie lub po pierwszej kontroli to ustalanie pod presją, a decyzje podejmowane pod presją rzadko są dobre.

    Dobry rytm raportowania KSC2 składa się z trzech elementów. Po pierwsze, częstotliwość: raz w miesiącu, niezależnie od tego, czy są nowe fakty. Jeśli przez miesiąc nic się nie zmieniło, raport to pół strony potwierdzające brak zmian. Jeśli się zmieniło, raport jest dłuższy. Comiesięczność zapewnia, że program jest cyklicznym punktem uwagi zarządu, nie ad hoc. Po drugie, format: standardowy układ jednej strony ze stałymi sekcjami (status wdrożenia, kluczowe decyzje do podjęcia, ryzyka, budżet wykorzystany versus zarezerwowany). Standardowy format oznacza, że zarząd czyta raport w trzy minuty, nie w dwadzieścia. Po trzecie, miejsce: stały punkt agendy comiesięcznego posiedzenia zarządu, nie oddzielne spotkanie. Oddzielne spotkania są odwoływane pierwsze, stałe punkty agendy nie.

    Działanie w pierwszych dziesięciu dniach

    Właściciel programu przygotowuje template raportu miesięcznego (jedna strona, cztery sekcje). Zarząd zatwierdza template i dodaje punkt „Status programu KSC2" do stałej agendy comiesięcznych posiedzeń, zaczynając od następnego. Pierwsza informacja do rady nadzorczej, jeśli istnieje, w ramach najbliższego posiedzenia nadzorczego. Czas pracy: od godziny do dwóch godzin.

    Dowiedz się więcej o bezpieczeństwie w Twojej organizacji

    Zobacz, gdzie Twoja organizacja jest dziś i jakie decyzje warto podjąć w pierwszej kolejności.

    Umów konsultację

    Jak to wygląda w harmonogramie dziesięciu dni

    Cztery decyzje nie muszą być podejmowane równolegle. Sekwencja oszczędza pracę i pozwala każdej kolejnej decyzji budować na poprzedniej. Typowy harmonogram dla organizacji, która właśnie rozpoznała objęcie regulacją, wygląda tak:

    Dzień
    1-3
    Decyzja pierwsza: właściciel programu
    Zarząd wyznacza członka odpowiedzialnego operacyjnie. Uchwała zarządu. Komunikacja do kluczowych osób w organizacji.
    Dzień
    3-7
    Decyzja druga: rezerwa budżetowa
    Rozmowa właściciela programu z dyrektorem finansowym. Przygotowanie uchwały o rezerwie. Zatwierdzenie na posiedzeniu zarządu.
    Dzień
    5-10
    Decyzja trzecia: punkt zerowy
    Właściciel programu weryfikuje dostawców diagnozy. Wybór, zlecenie, uzgodnienie terminu warsztatu w ciągu następnych dwóch tygodni.
    Dzień
    7-10
    Decyzja czwarta: rytm raportowania
    Template raportu miesięcznego, zatwierdzenie na posiedzeniu zarządu, dodanie punktu do stałej agendy, pierwsza informacja do rady nadzorczej.
    Dzień
    21
    Warsztat diagnostyczny (punkt zerowy)
    Dwugodzinny warsztat z konsultantem, właścicielem programu i przedstawicielem zespołu bezpieczeństwa. Wynik: mapa drogowa zgodności w ciągu trzech dni roboczych.
    Dzień
    25-30
    Pierwsza iteracja planu wdrożenia
    Na podstawie mapy drogowej, właściciel programu przygotowuje pełny plan z priorytetami i budżetem do zatwierdzenia przez zarząd. Pierwszy comiesięczny raport do zarządu.

    Ten harmonogram nie jest sztywny. W organizacjach, w których posiedzenia zarządu odbywają się rzadziej niż raz w tygodniu, decyzje mogą być podejmowane poza posiedzeniem w trybie obiegowym, z formalnym potwierdzeniem na najbliższym posiedzeniu. W organizacjach, w których zarząd jest dostępny codziennie, harmonogram może być skompresowany do pięciu-siedmiu dni. Ramy pozostają te same.

    Trzy typowe błędy w pierwszych dziesięciu dniach

    Organizacje, które zwlekają z decyzjami pierwszych dziesięciu dni, popełniają zwykle jeden z trzech błędów. Każdy z nich jest przewidywalny i każdy ma prostą diagnozę.

    Błąd pierwszy: delegowanie całości do działu IT

    Zarząd dowiaduje się o KSC2, uznaje to za temat techniczny i przekazuje dyrektorowi IT z prośbą „proszę się tym zająć". Dyrektor IT rozpoczyna prace bez ustalonego zakresu, budżetu i właściciela po stronie zarządu. Po sześciu tygodniach pojawia się pierwszy raport, w którym zarząd dowiaduje się, że dział IT pracował nad obszarami, które zarząd uznałby za drugorzędne, gdyby zdążył wyrazić opinię. Koszt: dwa miesiące pracy zespołu i uszczuplone zaufanie między zarządem a działem IT. Naprawa wymaga cofnięcia się do decyzji pierwszej.

    Błąd drugi: czekanie na „więcej informacji" przed pierwszą decyzją

    Zarząd uznaje, że przed wyznaczeniem właściciela i ustaleniem budżetu warto „lepiej zrozumieć temat". Zleca analizę prawną, konsultacje z doradcami, prezentację od dyrektora IT. Po trzech tygodniach ma osiemdziesiąt stron dokumentów i żadnej decyzji. Problem leży w tym, że decyzja o właścicielu i budżecie jest niezależna od szczegółów ustawy. Można ją podjąć bez znajomości ustawy, z zastrzeżeniem, że właściciel i budżet są doprecyzowywane w kolejnych tygodniach. Czekanie na pełne informacje zamienia pierwszy tydzień w tydzień analityczny, a pierwszy miesiąc w miesiąc dokumentacyjny, podczas gdy wdrożenie nie startuje.

    Błąd trzeci: rezerwa budżetowa zero

    Zarząd wyznacza właściciela, ale odkłada decyzję budżetową do czasu otrzymania diagnozy. Właściciel programu nie może zlecić diagnozy, bo nie ma budżetu. Dyrektor finansowy nie może zaakceptować wydatku, bo nie ma decyzji zarządu. Powstaje pętla, z której wychodzi się dopiero po dwóch-trzech tygodniach, gdy zarząd uświadamia sobie, że brak placeholdera budżetowego blokuje rozpoczęcie prac. Rozwiązanie: decyzja druga musi być podjęta równolegle z pierwszą, nie po niej.

    Najczęściej zadawane pytania

    Czy właściciel programu KSC2 musi być członkiem zarządu?

    Ustawa wymaga, żeby kierownik podmiotu kluczowego lub ważnego ponosił odpowiedzialność za wykonywanie obowiązków cyberbezpieczeństwa. W organie wieloosobowym odpowiedzialność ponoszą wszyscy członkowie zarządu kolektywnie, niezależnie od tego, kto zostanie wskazany jako operacyjny właściciel programu. Wyznaczenie konkretnej osoby z zarządu nie zdejmuje odpowiedzialności z pozostałych, ale porządkuje operacyjny przepływ decyzji.

    Jaki budżet KSC2 warto założyć na pierwszy rok wdrożenia?

    Bez diagnozy stanu dowolna kwota jest zgadywaniem. Rekomendacja operacyjna: w pierwszych dziesięciu dniach zarząd ustala wstępną rezerwę budżetową (placeholder) w oparciu o benchmark rynkowy dla organizacji podobnej skali, z wyraźnym zastrzeżeniem, że kwota będzie doprecyzowana po diagnozie luk. Typowy przedział dla średniej organizacji w zakresie KSC2 to od kilkuset tysięcy do kilku milionów złotych w pierwszym roku, zależnie od stanu wyjściowego.

    Ile dni roboczych ma zarząd na podjęcie decyzji po samoidentyfikacji?

    Ustawa nie narzuca terminu na decyzje zarządcze. Narzuca terminy na złożenie wniosku o wpis do wykazu (sześć miesięcy od spełnienia przesłanek) i na wdrożenie obowiązków (dwanaście miesięcy). Praktyka pokazuje, że zarządy, które podejmują cztery podstawowe decyzje w ciągu dziesięciu dni, kończą wdrożenie w terminie. Te, które zwlekają sześć tygodni, kończą w trybie reaktywnym pod koniec roku.

    Czy zarząd potrzebuje zewnętrznego doradcy, żeby podjąć te cztery decyzje?

    Nie do samych decyzji. Wyznaczenie właściciela programu, ustalenie rezerwy budżetowej, zlecenie punktu zerowego i zdefiniowanie rytmu raportowania są decyzjami organizacyjnymi, które zarząd podejmuje samodzielnie. Zewnętrzny doradca może pomóc skalibrować te decyzje w odniesieniu do stanu organizacji, szczególnie przy ustalaniu zakresu punktu zerowego i oszacowaniu rezerwy budżetowej.

    Co jeśli zarząd nie wyznaczy właściciela programu KSC2?

    Brak wyznaczonego właściciela oznacza, że operacyjne decyzje programu (zakres, priorytety, budżet, raportowanie) nie są podejmowane przez jedną osobę, lecz rozpraszają się między zarząd, dział IT i zewnętrznych doradców. W praktyce skutkuje to opóźnieniami, podwójną pracą i rozproszoną odpowiedzialnością. Odpowiedzialność prawna zarządu nie znika, ale jej egzekwowanie w razie incydentu staje się trudniejsze do wykazania.

    Czy rada nadzorcza powinna być włączona w pierwsze dziesięć dni?

    Tak, w zakresie poinformowania i uzgodnienia rytmu raportowania. Rada nadzorcza nie podejmuje decyzji operacyjnych programu KSC2, ale sprawuje nadzór nad ryzykiem regulacyjnym i odpowiedzialnością zarządu. Pierwsza informacja do rady nadzorczej powinna pojawić się w ciągu dziesięciu dni od rozpoznania, że organizacja jest w zakresie, najpóźniej na najbliższym posiedzeniu.

    Od czego zacząć

    Cztery decyzje opisane wyżej są ramą, nie receptą. Każda organizacja adaptuje je do swojej specyfiki: struktury zarządu, rytmu posiedzeń, relacji z dyrektorem finansowym, dostępu do wewnętrznych lub zewnętrznych ekspertów cyberbezpieczeństwa. Rama jest stała: właściciel, budżet, punkt zerowy, rytm raportowania. Sekwencja dziesięciu dni też jest stała. Adaptacji podlega tylko to, jak konkretnie w danej organizacji te decyzje są podejmowane i dokumentowane.

    Najprostszy test, czy zarząd jest na właściwej drodze, brzmi: za dziesięć dni od rozpoznania, że organizacja jest w zakresie KSC2, czy mamy jedną osobę z zarządu odpowiedzialną operacyjnie, kwotę zarezerwowaną w budżecie, zleconą diagnozę i termin pierwszego raportu na agendzie. Cztery pytania, cztery odpowiedzi tak albo nie. Cztery razy tak oznaczają, że następne jedenaście miesięcy będzie uporządkowanym programem. Dowolne nie oznacza, że pierwszy tydzień trzeba powtórzyć.

    Bezpłatny warsztat diagnostyczny

    Dwie godziny. Mapa drogowa zgodności. Żadnych zobowiązań.

    Sisoft prowadzi bezpłatny dwugodzinny warsztat diagnostyczny KSC2 dla zarządów podmiotów kluczowych i ważnych. Warsztat kończy się mapą drogową zgodności gotową do wdrożenia wewnętrznego, przekazywaną w ciągu trzech dni roboczych. To naturalny trzeci krok w harmonogramie pierwszych dziesięciu dni.

    Zamów warsztat diagnostyczny →
    Przed warsztatem
    Ankieta kalibracyjna, 30-60 minut pracy zespołu
    Warsztat
    2 godziny online, zarząd i zespół bezpieczeństwa
    Po warsztacie
    Mapa drogowa zgodności w 3 dni robocze

    Bądźmy w kontakcie

    Chcesz porozmawiać o cyberbezpieczeństwie w Twojej organizacji i wspólnych możliwościach? Wypełnij formularz poniżej lub skontaktuj się z nami bezpośrednio.

    +48 12 44 66 844
    kontakt@sisoft.pl
    Odpowiemy szybciej niż się spodziewasz.
    Formularz został wysłany, wkrótce się odezwiemy :)
    Upss! Coś poszło nie tak, sprawdź wszystkie pola i spróbuj ponownie.

    Co jeszcze warto wiedzieć na temat cyberbezpieczeństwa?

    Bezpieczeństwo organizacji

    Bezpłatna diagnoza KSC2: trzy elementy, które oddzielają wartościową analizę od marketingowej ankiety

    Jak wybrać diagnozę, która da zarządowi podstawy do decyzji, a nie kolejny raport z kolorami świateł drogowych i zaproszeniem na rozmowę handlową.
    Grzegorz Surdyka
    4/6/2026
    10
    min czytania
    Bezpieczeństwo organizacji

    Ile kosztuje program cyberbezpieczeństwa

    Rzeczywisty koszt programu cyberbezpieczeństwa składa się z sześciu obszarów: ludzie, narzędzia, audyty, szkolenia, reakcja na incydenty i zgodność regulacyjna. Większość organizacji zna tylko część tych kosztów, bo reszta jest rozproszona po budżetach HR, działu prawnego i CFO. Według Gartner firmy przeznaczają na bezpieczeństwo 8-12% budżetu IT, a polskie badania (Xopero Software) pokazują, że 77% firm w Polsce wydaje poniżej 50 tys. PLN rocznie.
    Grzegorz Surdyka
    3/30/2026
    14
    min czytania
    Bezpieczeństwo organizacji

    Jak wygląda współpraca z vCISO w praktyce

    Od diagnozy stanu zastanego po utrzymanie programu bezpieczeństwa. Co vCISO robi w pierwszych miesiącach, jak ustala priorytety i dlaczego certyfikat to początek, nie koniec.
    Grzegorz Surdyka
    3/23/2026
    14
    min czytania
    Zobacz więcej