Nowelizacja ustawy o KSC – obowiązuje od 2 kwietnia 2026

Ustawa o krajowym systemie cyberbezpieczeństwa wymaga zarządzania tożsamością
Jesteś gotowy?

Nowelizacja KSC wymaga od podmiotów kluczowych zarządzania tożsamością. Wdrożymy w Twojej organizacji kontrole dostępu, MFA i zasady Zero Trust,
które przejdą audyt – w terminach wyznaczonych ustawą.
Od analizy luk po wsparcie 24/7.

Umów się na analizę zgodności
Zobacz jakie wymagania będzie miał audytor

ZAUFAŁY NAM WIODĄCE PRZEDSIĘBIORSTWA

    • Kontekst regulacyjny

    Nowelizacja ustawy o KSC
    wdraża dyrektywę NIS2
    i dotyczy Twojej firmy

    Jeśli Twoja organizacja zatrudnia 50+ osób lub ma obrót powyżej 10 mln EUR w sektorze krytycznym – podlegasz nowym obowiązkom:

    • Wdrożenie systemu bezpieczeństwa informacji z politykami kontroli dostępu i MFA
    • Raportowanie incydentów do CSIRT w ciągu 24h/72h
    • Bezpieczeństwo łańcucha dostaw ICT
    • Odpowiedzialność osobista zarządu za cyberbezpieczeństwo
    • Obowiązkowy audyt zewnętrzny (podmioty kluczowe – 24 mies.)

    Wymagania regulacyjne → IAM

    Twoja organizacja musi wdrożyć KSC, 
    a Inteca się w tym specjalizuje

    Każdy wymóg ustawy o KSC prowadzi do konkretnej funkcjonalności zarządzania tożsamością, której jesteśmy ekspertami. Oto najważniejsze z wymogów:

    Uwierzytelnianie wieloskładnikowe (MFA)

    ENISA klasyfikuje FIDO2/WebAuthn jako „najsilniejsze”, a SMS OTP jako „last resort”. Wdrażamy adaptive MFA z różnymi poziomami zabezpieczeń per aplikacja, rola i poziom ryzyka.

    Bezpieczeństwo łańcucha dostaw

    Stały VPN dla dostawców to naruszenie KSC. B2B Federation z IdP partnerów, Just-in-Time access, pełny audit trail sesji dostawców.

    Centralna kontrola dostępu i SSO

    Jedno źródło prawdy dla tożsamości zamiast rozproszonych silosów. Enterprise SSO (SAML, OIDC, OAuth2), federacja z AD/LDAP, architektura multi-realm dla grup spółek.

    Audytowalność i raportowanie incydentów

    24h na wczesne ostrzeżenie, 72h na raport do CSIRT. Keycloak generuje pełny ślad zdarzeń uwierzytelniania, zmian uprawnień i działań administracyjnych – gotowy do SIEM.

    Zarządzanie cyklem życia tożsamości

    Automatyczny onboarding i natychmiastowy offboarding — koniec z „martwymi kontami”. JML automation (SCIM + HR sync).

    Zero Trust – architektura rekomendowana przez ENISA

    Perymetryczny VPN jest niewystarczający. Keycloak egzekwuje token-based auth per-request, short-lived tokens z refresh rotation i fine-grained authorization per aplikacja.

    Zarządzanie dostępem uprzywilejowanym

    ENISA: konto admina nie może służyć do codziennej pracy. Dedykowane konta,
    Just-in-Time access, session recording przez PAM proxy.

    Kryptografia i zarządzanie kluczami

    Token signing (RS256/ES256/PS256), automatyczna rotacja kluczy, crypto-agility – gotowość na zagrożenia kwantowe.

    Tożsamości nieludzkie (NHI)

    Zero tolerancji dla niezarządzanych kont serwisowych. Client credentials z rotacją, service account registry, mTLS, token expiry.

    15+ lat na rynku enterprise IT

    Red Hat Advanced Partner

    Znam branże regulowane

    24/7 monitoring & support

    Proces wdrożenia

    Droga do zgodności z KSC — krok po kroku

    Każdy etap jest zsynchronizowany z terminami ustawowymi.
    Inteca nie tylko wdraża zarządzanie tożsamością – my zamykamy luki zgodności pod NIS2/KSC.

    01

    Discovery

    Analiza luk i samoidentyfikacja ustawy KSC

    Inwentarz tożsamości (ludzkich i nieludzkich), mapowanie infrastruktury IAM, identyfikacja punktów dostępu dostawców. Klasyfikacja jako podmiot kluczowy lub ważny.

    02

    Architektura

    Centralizacja i polityki dostępu

    Konsolidacja silosów tożsamości, projekt multi-realm, dokumentacja polityk dostępu i kryptografii. Zatwierdzenie przez zarząd.

    03

    Core deployment

    Wdrożenie Keycloak, MFA i integracje z obecnymi systemami

    Multi-realm na Kubernetes/OpenShift. FIDO2/WebAuthn MFA. SSO dla systemów krytycznych. HR sync (SCIM). HA/DR z mierzalnymi RTO/RPO. Potrafimy zintegrować się z najbardziej skomplikowanymi systemami.

    04

    Governance

    IGA, PAM i raportowanie audytowe

    Sprawdzenie zgodności, logi, RBAC/ABAC, polityki dostępu zgodne z SZBI, nagrywanie sesji z dostępem uprzywilejowanym. ITDR + SIEM. Dashboardy zgodności.

    05

    Managed Service

    Obsługa 24/7 i gotowość audytowa

    Monitoring 24/7. Patching bezpieczeństwa (SLA). Wsparcie incydentowe (24h/72h). Przeglądy dostępu. Raportowanie dla audytorów KSC.

    Dowód zgodności

    Czego będzie oczekiwał audytor — i jak to dostarczamy

    Audyt KSC to nie ocena dojrzałości – to prawnie wiążąca inspekcja regulacyjna. Audytor nie zaakceptuje statycznej polityki ani corocznego raportu. Wymaga nieprzerwanego łańcucha dowodów operacyjnych z timestampami.

    Logi uwierzytelniania

    Kompletny zapis zdarzeń logowania: kto, kiedy, skąd, jaką metodą, czy udane. Brute-force detection, automatyczne blokady, integracja z SIEM. Audytor zażąda eksportu z systemu IAM — nie opisu procesu w dokumencie.

    Konfiguracja i egzekwowanie MFA

    Dowód wdrożenia: jakie metody (FIDO2, TOTP, klucze), dla jakich grup użytkowników, z jaką polityką wymuszania. Audytor sprawdzi konfigurację adaptive MFA — nie tylko fakt istnienia polityki MFA.

    Natychmiastowy offboarding

    Logi dezaktywacji kont zsynchronizowane z systemem HR (SCIM). Audytor zweryfikuje spójność cofnięcia dostępu logicznego i fizycznego oraz czas reakcji od zdarzenia HR do pełnej deaktywacji.

    Dostęp dostawców — federacja, nie VPN

    Datowane, powiązane dowody: logi JIT access, rekordy federacji B2B, nagrania sesji dostawców. Audytor sprawdzi, czy dostawcy mieli stały dostęp VPN — co jest traktowane jako naruszenie.

    Konta uprzywilejowane – separacja i nagrywanie

    Dowód, że konta admin są oddzielone od kont codziennego użytku. Nagrania sesji PAM, rotacja credentials, JIT access z automatycznym wygaśnięciem. Bez nagrań sesji PAM nie odtworzysz w 72h, co zrobił skompromitowany admin.

    Dokumentacja polityk kontroli dostępu

    Centralne definicje ról i uprawnień (RBAC/ABAC), zasady need-to-know/need-to-use, zapisy konfiguracji polityk — eksportowalne z systemu IAM na żądanie audytora.

    Dlaczego to krytyczne?

    Podmioty kluczowe podlegają proaktywnym, regularnym i losowym inspekcjom — bez konieczności wcześniejszego incydentu czy skargi. Podmioty ważne podlegają kontroli na podstawie dowodów niezgodności..

    Audytor nie pyta „czy macie IAM” — pyta o konkretne dowody: logi, konfiguracje, zapisy przeglądów, polityki. Organizacje, które wdrożą mechanizmy kontroli dostępu bez myślenia o audytowalności, będą musiały nadrabiać w stresie przed kontrolą.

    Dojrzały system IAM pozwala generować większość tych artefaktów od pierwszego dnia wdrożenia — pod warunkiem, że architektura uwzględnia wymagania dowodowe od samego początku

    Dlaczego Inteca?

    Znamy się na IAM. Specjalizujemy się w zarządzaniu tożsamością dla środowisk regulowanych i firm o dużej skali – od bankowości po infrastrukturę krytyczną.

    Umów się na analizę zgodności

    Od wdrożenia po obsługę 24/7

    Analiza luk → architektura → wdrożenie → 24/7 support. Jeden dostawca odpowiedzialny za całość.

    Zero vendor lock-in

    Otwarte standardy (OIDC, SAML, FIDO2, SCIM) zgodne z rekomendacjami ENISA. Pełna kontrola nad danymi.

    Sektory regulowane

    Bankowość, healthcare, energetyka -skomplikowane, rozproszone systemy wymagające głębokiej ekspertyzy IAM to nasza specjalność.

    Red Hat Advanced Partner

    Formalne SLA z backportami bezpieczeństwa i certyfikowanymi buildami enterprise. Audytor widzi zaufanego producenta.

    Często zadawane pytania

    Ustawa o krajowym systemie cyberbezpieczeństwa — FAQ

    Podmioty kluczowe – duże przedsiębiorstwa w sektorach: energia, bankowość, transport, zdrowie, infrastruktura cyfrowa, woda, administracja publiczna. Podmioty ważne – średnie i duże w sektorach: usługi pocztowe, chemia, żywność, produkcja, dostawcy usług cyfrowych. Próg: 50+ pracowników lub obrót powyżej 10 mln EUR.

    Ustawa weszła w życie 19 lutego 2026. 6 miesięcy na rejestrację, 12 miesięcy na wdrożenie SZBI, 24 miesiące na pierwszy audyt.

    Tak. Keycloak pokrywa wymagania technologiczne NIS2/KSC – MFA (FIDO2/WebAuthn), SSO, federacja, Zero Trust, tożsamości nieludzkie, kryptografia, audyt logów. Z Red Hat Build of Keycloak zyskujesz formalnego producenta z SLA na patching co jest wymogiem audytowym.

    Od 2026 roku przepisy NIS2 i znowelizowanej ustawy o KSC obejmą znacznie więcej firm niż dotychczas. Dotyczy to przede wszystkim podmiotów kluczowych i ważnych działających m.in. w sektorach energetyki, transportu, zdrowia, finansów, infrastruktury cyfrowej, produkcji, żywności, chemii czy usług cyfrowych. Obowiązki obejmą głównie średnie i duże firmy, a w niektórych przypadkach także podmioty istotne dla łańcucha dostaw.

    Do 10 mln EUR lub 2% globalnego obrotu (podmioty kluczowe). Do 7 mln EUR lub 1,4% (ważne). Odpowiedzialność osobista zarządu. Dzienne kary 500–100 000 PLN.

    Tak. Bankowość należy do podmiotów kluczowych – nadzór proaktywny, obowiązkowe audyty, najwyższe kary. Banki muszą wdrożyć MFA, kontrolę dostępu uprzywilejowanego, zarządzanie tożsamościami w łańcuchu dostaw i raportowanie incydentów 24h/72h.

    Specjalizacja w Managed Keycloak dla środowisk regulowanych. Red Hat Advanced Partner. 15+ lat doświadczenia w bankowości, healthcare, energetyce. Pełny cykl: analiza gap → wdrożenie → obsługa 24/7. Otwarte standardy, zero vendor lock-in, znajomość polskiego rynku regulacyjnego.

    Zamknij luki zgodności IAM z ustawą KSC

    Bezpłatna analiza gap IAM: zmapujemy Twój obecny stan zarządzania tożsamością na wymagania ustawy o KSC. Określimy, na jakim poziomie dojrzałości IAM powinna znaleźć się Twoja organizacja i dostarczymy roadmapę działań.

    • Doświadczenie w złożonych środowiskach IT
    • Red Hat Advanced Partner
    • Otwarte standardy — zero vendor lock-in
    • Od wdrożenia po obsługę 24/7