Nowe obowiązki wynikające z ustawy o krajowym systemie cyberbezpieczeństwa (KSC) dla podmiotów ważnych. Wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI) i przygotowanie organizacji do realizacji obowiązków po wejściu w życie nowelizacji KSC

Szkolenie ma charakter praktyczny. Część prawna wprowadza kontekst, ale zasadnicza część zajęć poświęcona jest temu, co organizacja musi faktycznie wdrożyć, udokumentować i utrzymywać, czyli biorąc udział w szkoleniu można spodziewać się:
• omówienia przepisów i pojęć tylko w zakresie niezbędnym do wdrożenia;
• pracy na przykładach obowiązków: wymóg ustawowy - działanie organizacyjne - dowód wykonania;
• pokazania minimalnej struktury SZBI dla podmiotu ważnego;
• omówienia typowych błędów: sama dokumentacja bez wdrożenia, brak właścicieli procesów, brak rejestrów, brak testów, brak procedury eskalacji incydentów;
• końcowego przejście przez plan działań, który uczestnicy mogą wykorzystać po szkoleniu.
W trakcie szkolenia omówiona zostanie przykładowa lista pierwszych działań wdrożeniowych: potwierdzenie statusu podmiotu, identyfikacja usług i systemów, wyznaczenie odpowiedzialności, przygotowanie procedury incydentowej, analiza luk SZBI oraz harmonogram prac na pierwsze 30, 60 i 90 dni.
Materiały dla uczestników będą obejmować:
- skrótowa checklista samoidentyfikacji podmiotu ważnego;
- mapa obowiązków podmiotu ważnego po nowelizacji KSC;
- spis minimalnej dokumentacji SZBI;
- lista podstawowych rejestrów: aktywa, ryzyka, incydenty, podatności, dostawcy, uprawnienia, szkolenia i działania korygujące;
- prosty plan wdrożenia SZBI do wykorzystania po szkoleniu.
Podstawy prawne
- Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, w brzmieniu po nowelizacji z 2026 r. ISAP - Dz.U. 2026 poz. 20.
- Ustawa z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw. Dziennik Ustaw - Dz.U. 2026 poz. 252.
- Materiały informacyjne Ministerstwa Cyfryzacji dotyczące nowelizacji KSC, samoidentyfikacji, terminów i zakresu podmiotowego. gov.pl - baza wiedzy KSC.
 

Udział w szkoleniu daje uczestnikowi tzw. świadomość audytową tzn. pozna:

• jakie są obszary wymagań KRI i uKSC (SZBI) i jak one w praktyce „materializują się” w organizacji,
• jak audytor planuje i wykonuje audyt zgodności (metodyka z ISO/IEC 27001 jako rama pracy, nie kurs audytora),
• jakie dowody są uznawane (dokumenty, rejestry, konfiguracje, logi, zapisy z systemów, testy),
• jak odróżnia się: ustalenia audytowe (UD) vs obserwację (OBS) vs niezgodność (NC) i jak buduje się uzasadnienie oraz działania korygujące.

• kadra kierownicza oraz osoby odpowiedzialne za bezpieczeństwo informacji, IT i cyberbezpieczeństwo;
• IOD, audytorzy, compliance, właściciele procesów oraz osoby odpowiedzialne za ciągłość działania;
• osoby wyznaczone do kontaktu z podmiotami krajowego systemu cyberbezpieczeństwa i obsługi obowiązków KSC.

Trener 1 - nieetatowy współpracownik Wyższej Szkoły Nauk Pedagogicznych w Warszawie, audytor w zakresie realizacji wymagań zgodnych z KRI oraz audytor wiodący ISO 27001, obecnie zatrudniony jako inspektor ochrony danych w jednostkach samorządu terytorialnego, prelegent z wieloletnim doświadczeniem na szkoleniach z zakresu ochrony danych osobowych w jednostkach sektora publicznego. Wykładowca ceniony i polecany przez członków Forum Ochrony Danych działającego przy FRDL.

Trener 2 - audytor wewnętrzny bezpieczeństwa informacji normy IOS27001, absolwent studiów podyplomowych na kierunku Inspektor Ochrony Danych. Aktywny członek stowarzyszenia inspektorów ochrony danych (SABI). Posiada doświadczenie w zakresie współpracy z administracją publiczną pełniąc funkcję inspektora ochrony danych oraz obsługując naruszenia ochrony danych. Prowadzi audyty ochrony danych osobowych, audyty bezpieczeństwa systemów informatycznych oraz szkolenia dla pracowników, których tematyka związana jest z danymi osobowymi, prywatnością a także bezpieczeństwem informacji.