Co to jest UKSC i czego dotyczy?

UKSC (Ustawa o Krajowym Systemie Cyberbezpieczeństwa, Dz.U. 2026 poz. 252) to polska ustawa o cyberbezpieczeństwie wdrażająca dyrektywę NIS2. Nakłada obowiązki na podmioty kluczowe i ważne z 18 sektorów: analizę ryzyka, obsługę incydentów w 24h/72h, szkolenia pracowników, kryptografię i ocenę dostawców IT. UKSC 2 to potoczna nazwa tej nowelizacji (poprzednią UKSC z 2018 r. zastąpiono w 2026 r.).

Czym jest dyrektywa NIS2 i jak różni się od NIS?

Dyrektywa NIS2 (UE 2022/2555) to unijne prawo o cyberbezpieczeństwie zastępujące NIS z 2016 r. Rozszerza zakres podmiotów z 7 do 18 sektorów, obejmuje średnie firmy (50+ pracowników lub 10 mln EUR obrotu), wprowadza odpowiedzialność osobistą zarządu oraz kary do 10 mln EUR lub 2% obrotu globalnego. W Polsce NIS2 wdrożono ustawą UKSC (Dz.U. 2026 poz. 252).

Kto podlega ustawie UKSC i NIS2 w Polsce?

Ustawie UKSC podlegają: (1) Podmioty kluczowe — energetyka, transport, bankowość, infrastruktura rynków finansowych, ochrona zdrowia, woda pitna, ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT, przestrzeń kosmiczna, administracja publiczna. (2) Podmioty ważne — usługi pocztowe, gospodarka odpadami, produkcja wyrobów krytycznych, chemia, żywność, usługi cyfrowe (marketplace, wyszukiwarki, chmura). Próg: firma zatrudniająca 50+ osób lub obrót 10 mln EUR w regulowanym sektorze.

Jak sprawdzić czy moja firma podlega UKSC/NIS2?

Na stronie uksc.secure2me.com dostępny jest bezpłatny kalkulator UKSC — wpisz NIP firmy i narzędzie sprawdzi czy Twoja firma figuruje w rejestrze MF oraz czy działa w sektorze objętym ustawą KSC. Wynik zawiera analizę AI z uzasadnieniem prawnym i listą zalecanych kroków. Możesz też wypełnić darmowy test samooceny NIS2 na /test.

Czym różni się podmiot kluczowy od podmiotu ważnego w UKSC?

Podmiot kluczowy to firma z sektora o najwyższym znaczeniu (energia, transport, banki, zdrowie, infrastruktura cyfrowa). Podlega surowszym kontrolom i karom do 10 mln EUR. Podmiot ważny działa w sektorze o niższym priorytecie (produkcja, poczta, chemia, żywność). Kary do 7 mln EUR. Oba typy muszą spełnić te same wymagania techniczne z art. 8-15 UKSC, różni je intensywność nadzoru i wysokość sankcji.

Jakie obowiązki nakłada UKSC na firmy?

UKSC nakłada na objęte firmy 10 obowiązków: (1) analiza ryzyka cyberbezpieczeństwa, (2) wdrożenie środków technicznych i organizacyjnych, (3) zgłaszanie incydentów do CSIRT w 24h (alert) i 72h (raport), (4) ciągłość działania i plany odtwarzania, (5) bezpieczeństwo łańcucha dostaw (ocena dostawców IT), (6) szkolenia pracowników i kadry zarządzającej, (7) stosowanie kryptografii, (8) wieloskładnikowe uwierzytelnianie (MFA), (9) zarządzanie podatnościami, (10) polityki bezpieczeństwa i kontrola dostępu.

Jakie kary grożą za brak zgodności z UKSC i NIS2?

Za naruszenie ustawy UKSC grożą: kary finansowe do 10 mln EUR lub 2% rocznego obrotu globalnego dla podmiotów kluczowych; do 7 mln EUR lub 1,4% obrotu dla podmiotów ważnych; osobista odpowiedzialność zarządu i możliwość zawieszenia w pełnieniu funkcji; kontrole CSIRT NASK, KNF i UKE. Sankcje są nakładane przez właściwy organ sektorowy po stwierdzeniu naruszenia.

Co to jest CSIRT i kiedy trzeba zgłaszać incydenty?

CSIRT (Computer Security Incident Response Team) to krajowy zespół reagowania na incydenty. W Polsce działają: CSIRT GOV (administracja, sektor publiczny), CSIRT NASK (firmy, obywatele) i CSIRT MON (wojsko). Zgodnie z UKSC incydent poważny należy zgłosić: wstępny alert — w 24 godziny, pełny raport — w 72 godziny. Zgłoszenia składane są przez S46 Cyber Hub (pa.s46.gov.pl) — po uprzednim wpisie do Wykazu KSC (wykaz-ksc.gov.pl).

Kiedy wchodzi w życie UKSC i do kiedy trzeba wdrożyć NIS2?

Ustawa UKSC (Dz.U. 2026 poz. 252) weszła w życie 3 kwietnia 2026 r. Podmioty objęte ustawą mają 6 miesięcy na złożenie wniosku o wpis do Wykazu KSC (termin: 3 października 2026 r.) i 12 miesięcy na podłączenie do systemu S46 Cyber Hub. Firmy, które jeszcze nie przeszły samooceny, powinny ją przeprowadzić niezwłocznie — Secure2Me umożliwia to bezpłatnie w 20 minut.

Co to jest platforma UKSC compliance i po co jej używać?

Platforma UKSC compliance to oprogramowanie ułatwiające wdrożenie i utrzymanie zgodności z ustawą KSC. Secure2Me to platforma NIS2/UKSC w języku polskim z 10 modułami: rejestr wymagań prawnych, plan działań, repozytorium dowodów, rejestr ryzyk 5×5, moduł incydentów z integracją S46, szkolenia pracowników, asystent AI, baza wiedzy RAG i ocena dostawców. Zastępuje zewnętrzne konsultacje i arkusze Excel.

Czy małe firmy (MŚP) podlegają UKSC i NIS2?

NIS2 i UKSC obejmują co do zasady średnie i duże firmy (50+ pracowników lub 10 mln EUR obrotu). Mikro i małe firmy są wyłączone, chyba że działają w infrastrukturze krytycznej lub dostarczają usługi cyfrowe. Wyjątki: dostawcy DNS, rejestry TLD, operatorzy chmury publicznej, dostawcy usług zaufania i niektórzy operatorzy telekomunikacyjni podlegają niezależnie od rozmiaru. Sprawdź za pomocą kalkulatora UKSC na secure2me.com.

Jak wdrożyć NIS2/UKSC krok po kroku?

Wdrożenie UKSC/NIS2 w 6 krokach: (1) Samoocena — sprawdź czy i jako co podlegasz (kalkulator UKSC lub test samooceny); (2) Analiza luk — porównaj obecne zabezpieczenia z wymaganiami art. 8-15 UKSC; (3) Plan działań — przydziel zadania, terminy, budżet; (4) Wdrożenie techniczne — MFA, szyfrowanie, zarządzanie podatnościami, backup; (5) Dokumentacja — polityki, procedury, rejestry (dowody); (6) Testy i szkolenia — testy penetracyjne, szkolenia pracowników, symulacje incydentów. Platforma Secure2Me prowadzi przez wszystkie etapy.

Ile kosztuje wdrożenie UKSC/NIS2 i czy Secure2Me pomaga obniżyć koszty?

Zewnętrzne wdrożenie NIS2 przez firmę doradczą kosztuje od 30 000 do 200 000 zł w zależności od skali. Secure2Me zastępuje kosztownych konsultantów: plan Free (0 zł) — darmowy test samooceny; Starter (497 zł netto/mies.) — podstawowe moduły compliance; Professional (997 zł netto/mies.) — pełna platforma z asystentem AI; Enterprise (1 997 zł netto/mies.) — bez limitów, dedykowany opiekun. Platforma skraca czas wdrożenia z 12 do 3 miesięcy.

Co to jest ocena dostawców NIS2 i dlaczego jest wymagana?

Art. 11 UKSC (bezpieczeństwo łańcucha dostaw) wymaga, aby podmioty kluczowe i ważne oceniały ryzyko cyberbezpieczeństwa stwarzane przez dostawców IT i usług cyfrowych. Ocena dostawców NIS2 obejmuje: kwestionariusz bezpieczeństwa, weryfikację certyfikatów (ISO 27001), analizę klauzul umownych i plan wyjścia. Secure2Me posiada moduł oceny dostawców z szablonami zgodnymi z wytycznymi ENISA.

Ile kosztuje Secure2Me i czy jest darmowa wersja?

Secure2Me oferuje darmową wersję Free (0 zł/miesiąc) z testem samooceny NIS2, dashboardem zgodności i podstawowymi wymaganiami. Plan Starter to 497 zł netto/mies., Professional — 997 zł netto/mies., Enterprise — 1 997 zł netto/mies. Płatność miesięczna lub roczna (20% rabatu). Rejestracja i darmowy test dostępne na uksc.secure2me.com bez karty kredytowej.

Regulamin Serwisu Secure2Me

Ostatnia aktualizacja: 14 marca 2026 r.

§ 1. Postanowienia ogólne

Niniejszy Regulamin określa zasady korzystania z serwisu internetowego Secure2Me, dostępnego pod adresem secure2me.com (dalej: „Serwis").
Właścicielem i operatorem Serwisu jest SECURE2ME Spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie (00-545), ul. Marszałkowska 58, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS 0001120349, NIP 7011217617, REGON 529342314 (dalej: „Usługodawca").
Korzystanie z Serwisu oznacza akceptację niniejszego Regulaminu.

§ 2. Definicje

Serwis – platforma internetowa Secure2Me umożliwiająca zarządzanie zgodnością z wymogami ustawy o krajowym systemie cyberbezpieczeństwa, w tym przeprowadzanie testów samooceny, zarządzanie ryzykami, incydentami, wymaganiami, dowodami oraz korzystanie z Asystenta AI.
Użytkownik – osoba fizyczna, prawna lub jednostka organizacyjna korzystająca z Serwisu.
Konto – indywidualne konto Użytkownika w Serwisie, utworzone za pośrednictwem systemu uwierzytelniania Firebase Auth (logowanie przez Google, e-mail).
Organizacja – wielodostępna jednostka organizacyjna tworzona w Serwisie, w ramach której Użytkownicy mogą współpracować, zapraszać członków i zarządzać danymi zgodności. Każda Organizacja posiada izolowane dane.
Plan subskrypcyjny – wybrany przez Użytkownika poziom dostępu do funkcji Serwisu (Darmowy, Starter, Professional, Enterprise).
Test Samooceny – kwestionariusz oceny zgodności z wymogami ustawy o krajowym systemie cyberbezpieczeństwa (Dz.U. 2026 poz. 252).
Raport – dokument PDF generowany na podstawie wyników Testu Samooceny.
Asystent AI – wbudowany czat oparty na technologii OpenAI GPT, umożliwiający Użytkownikowi zadawanie pytań dotyczących zgodności z przepisami cyberbezpieczeństwa. Asystent AI jest narzędziem wspierającym analizę zgodności i nie stanowi systemu podejmującego decyzje w sposób autonomiczny w rozumieniu Rozporządzenia AI Act (UE) 2024/1689.
Baza wiedzy RAG – funkcjonalność umożliwiająca Użytkownikowi przesyłanie dokumentów (PDF, DOCX, TXT, CSV) do Serwisu w celu ich indeksowania i wykorzystania przez Asystenta AI.

§ 3. Usługi świadczone drogą elektroniczną

Usługodawca świadczy następujące usługi:
- Prowadzenie Konta Użytkownika z uwierzytelnianiem przez Firebase Auth (Google, e-mail)
- Siedem modułów zarządzania zgodnością: Dashboard wykonawczy, Rejestr wymagań, Plan działań i zadania, Repozytorium dowodów, Rejestr ryzyk, Zarządzanie incydentami, Test samooceny
- Generowanie Raportu PDF z wynikami oceny
- Asystent AI compliance – czat oparty na OpenAI GPT
- Baza wiedzy RAG – przesyłanie i indeksowanie dokumentów
- Zarządzanie Organizacją – tworzenie organizacji, zapraszanie członków, przypisywanie ról
- Plany subskrypcyjne z cyklicznymi płatnościami przez Stripe
Test Samooceny oraz treści generowane przez Asystenta AI mają charakter wyłącznie informacyjny i orientacyjny. Wynik nie stanowi porady prawnej, audytu bezpieczeństwa ani certyfikacji zgodności.
Do korzystania z Serwisu wymagana jest przeglądarka internetowa z włączoną obsługą JavaScript i plików cookies.

§ 4. Bezpieczeństwo Konta i obowiązki Użytkownika

Użytkownik jest odpowiedzialny za zachowanie poufności danych logowania do Konta oraz za wszelkie działania wykonane z użyciem jego Konta.
Użytkownik zobowiązuje się niezwłocznie powiadomić Usługodawcę o każdym przypadku nieuprawnionego dostępu do Konta lub podejrzeniu naruszenia bezpieczeństwa danych logowania, wysyłając wiadomość na adres office@secure2me.com.
Usługodawca nie ponosi odpowiedzialności za szkody wynikające z niedochowania przez Użytkownika obowiązku zachowania poufności danych logowania.

§ 5. Zakaz nadużyć

Zabronione jest wykorzystywanie Serwisu w sposób niezgodny z jego przeznaczeniem, w szczególności: przeprowadzanie testów penetracyjnych, skanowania podatności lub prób obejścia zabezpieczeń Serwisu bez uprzedniej pisemnej zgody Usługodawcy; dokonywanie inżynierii wstecznej (reverse engineering), dekompilacji lub dezasemblacji jakiejkolwiek części Serwisu; podejmowanie działań mogących zakłócić funkcjonowanie Serwisu lub infrastruktury Usługodawcy (w tym ataków DDoS); wykorzystywanie Serwisu do celów niezgodnych z prawem.
Użytkownik zobowiązuje się nie przesyłać do Serwisu treści bezprawnych, złośliwego oprogramowania ani plików mogących naruszać bezpieczeństwo systemu.
W przypadku naruszenia niniejszych zasad Usługodawca zastrzega sobie prawo do natychmiastowego zablokowania lub usunięcia Konta Użytkownika.

§ 6. Zakaz wprowadzania danych wrażliwych

Użytkownik zobowiązuje się nie przesyłać do Serwisu (w tym do Bazy wiedzy RAG i Asystenta AI): danych osobowych szczególnych kategorii w rozumieniu art. 9 RODO; informacji niejawnych w rozumieniu ustawy o ochronie informacji niejawnych; danych objętych tajemnicą państwową; informacji objętych tajemnicą zawodową, chyba że Użytkownik posiada odpowiednie podstawy prawne i zabezpieczenia organizacyjno-techniczne.
Usługodawca nie ponosi odpowiedzialności za konsekwencje przesłania danych wrażliwych przez Użytkownika.

§ 7. Test Samooceny

Test Samooceny składa się z pytań dotyczących zgodności z wymogami ustawy o krajowym systemie cyberbezpieczeństwa i przepisów wykonawczych.
Zalogowani Użytkownicy mogą przeglądać historię swoich testów w panelu użytkownika.
Wynik testu wyrażony jest w skali punktowej i ma charakter szacunkowy.

§ 8. Plany subskrypcyjne

Serwis oferuje cztery plany subskrypcyjne:
- Darmowy – 0 zł/miesiąc – podstawowy dostęp do wybranych modułów zgodności
- Starter – 799 zł netto/miesiąc – podstawowe moduły compliance
- Professional – 1 899 zł netto/miesiąc – pełny dostęp do wszystkich modułów, Asystenta AI i dokumentacji z AI
- Enterprise – od 4 999 zł netto/miesiąc – pełny dostęp z bazą wiedzy RAG, priorytetowym wsparciem i dedykowanym opiekunem
Do podanych cen doliczany jest należny podatek VAT zgodnie z obowiązującymi przepisami.
Szczegółowy zakres funkcji dostępnych w każdym planie jest opisany na stronie cennika w Serwisie.
Płatności za plany subskrypcyjne są cykliczne (miesięczne) i obsługiwane przez operatora płatności Stripe.
Aktywacja planu Darmowego wymaga podania danych karty płatniczej w systemie Stripe (karta nie jest obciążana).

§ 9. Płatności i odstąpienie

Płatności za plany subskrypcyjne dokonywane są za pośrednictwem systemu Stripe (kartą płatniczą) w modelu cyklicznym (co miesiąc).
Użytkownik może w każdej chwili anulować subskrypcję. Anulowanie oznacza brak odnowienia na kolejny okres rozliczeniowy – dostęp do płatnych funkcji pozostaje aktywny do końca opłaconego okresu.
Użytkownik może zmienić plan subskrypcyjny (upgrade lub downgrade) w dowolnym momencie.
Konsumentowi przysługuje prawo odstąpienia od umowy w terminie 14 dni od dnia zawarcia umowy, bez podawania przyczyn (art. 27 ustawy o prawach konsumenta).
Prawo odstąpienia nie przysługuje, jeżeli Usługodawca w pełni wykonał usługę za wyraźną zgodą konsumenta (art. 38 pkt 1 ustawy o prawach konsumenta).
Usługodawca wystawia fakturę VAT na żądanie Użytkownika.

§ 10. Zarządzanie Organizacją

Użytkownik posiadający Konto może utworzyć Organizację w Serwisie.
Twórca Organizacji otrzymuje rolę Administratora i może zapraszać innych Użytkowników do Organizacji za pomocą zaproszeń e-mail.
W ramach Organizacji dostępne są dwie role: Administrator (ADMIN) i Użytkownik (USER).
Dane każdej Organizacji są izolowane – członkowie jednej Organizacji nie mają dostępu do danych innej Organizacji.
Administrator Organizacji odpowiada za zarządzanie dostępem członków i prawidłowość danych.

§ 11. Asystent AI i Baza wiedzy RAG

Asystent AI compliance wykorzystuje technologię OpenAI GPT do generowania odpowiedzi na pytania Użytkownika dotyczące zgodności z przepisami cyberbezpieczeństwa.
Asystent AI jest narzędziem wspierającym analizę zgodności i nie stanowi systemu podejmującego decyzje w sposób autonomiczny w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/1689 (AI Act). Wszystkie decyzje dotyczące wdrożenia rekomendacji podejmuje wyłącznie Użytkownik.
Treści generowane przez Asystenta AI mają charakter wyłącznie informacyjny i pomocniczy. Nie stanowią porady prawnej. Użytkownik korzysta z nich na własną odpowiedzialność.
W ramach Bazy wiedzy RAG Użytkownik może przesyłać dokumenty w formatach PDF, DOCX, TXT i CSV.
Przesłane dokumenty są przetwarzane po stronie serwera Usługodawcy. Fragmenty dokumentów mogą być przesyłane do API OpenAI.
Usługodawca nie ponosi odpowiedzialności za poprawność, kompletność ani aktualność odpowiedzi generowanych przez Asystenta AI.

§ 12. Usunięcie konta

Użytkownik ma prawo w każdej chwili usunąć swoje Konto w Serwisie.
Usunięcie Konta wymaga potwierdzenia przez wpisanie słowa „USUWAM" w odpowiednim polu formularza.
Usunięcie Konta jest nieodwracalne i powoduje trwałe usunięcie danych Użytkownika z Serwisu.
Usunięcie Konta nie zwalnia Użytkownika z obowiązku uregulowania wcześniejszych zobowiązań finansowych.
Prawo do usunięcia konta realizuje prawo do usunięcia danych (art. 17 RODO – „prawo do bycia zapomnianym").

§ 13. Odpowiedzialność i ograniczenie odpowiedzialności

Usługodawca dokłada wszelkich starań, aby informacje zawarte w Serwisie i Raportach były rzetelne i aktualne.
Wyniki Testu Samooceny i treść Raportów nie stanowią porady prawnej ani certyfikacji zgodności z przepisami prawa.
Usługodawca nie ponosi odpowiedzialności za decyzje podjęte na podstawie wyników Testu Samooceny lub odpowiedzi Asystenta AI.
Odpowiedzi generowane przez Asystenta AI mogą zawierać nieścisłości lub być niekompletne.
Usługodawca nie ponosi odpowiedzialności za czasową niedostępność usług OpenAI lub Stripe.
Usługodawca nie gwarantuje ciągłej i nieprzerwanej dostępności Serwisu. Serwis może być czasowo niedostępny z powodu prac konserwacyjnych, aktualizacji, awarii lub działania siły wyższej.
Całkowita odpowiedzialność Usługodawcy wobec Użytkownika z tytułu korzystania z Serwisu, niezależnie od podstawy prawnej roszczenia, jest ograniczona do wysokości opłat faktycznie uiszczonych przez Użytkownika w okresie 12 miesięcy bezpośrednio poprzedzających zdarzenie powodujące szkodę. Ograniczenie to nie dotyczy szkód wyrządzonych umyślnie.
Usługodawca nie ponosi odpowiedzialności za szkody pośrednie, utracone korzyści, utratę danych ani przerwy w działalności Użytkownika.

§ 14. Ochrona danych osobowych i przetwarzanie danych

Zasady przetwarzania danych osobowych określa Polityka Prywatności.
Zasady stosowania plików cookies określa Polityka Cookies.
Szczegółowa klauzula informacyjna RODO dostępna jest pod adresem /rodo.
W zakresie danych osobowych wprowadzanych przez Użytkownika do Serwisu w ramach korzystania z modułów zgodności, Usługodawca działa jako podmiot przetwarzający (procesor) w rozumieniu art. 28 RODO, na podstawie instrukcji Użytkownika będącego administratorem tych danych.
Szczegółowe warunki powierzenia przetwarzania danych osobowych mogą zostać uregulowane w odrębnej umowie powierzenia przetwarzania danych (Data Processing Agreement), dostępnej na żądanie Użytkownika pod adresem office@secure2me.com.

§ 15. Własność intelektualna

Serwis, w tym jego układ graficzny, teksty, algorytmy oceny i inne elementy, stanowią własność Usługodawcy i podlegają ochronie prawnej.
Kopiowanie, rozpowszechnianie lub wykorzystywanie materiałów z Serwisu bez pisemnej zgody Usługodawcy jest zabronione.
Treści generowane przez Asystenta AI na podstawie danych Użytkownika mogą być wykorzystywane przez Użytkownika wyłącznie na jego własne potrzeby.

§ 16. Reklamacje

Reklamacje dotyczące funkcjonowania Serwisu lub świadczonych usług można składać na adres: office@secure2me.com.
Reklamacja powinna zawierać: dane kontaktowe, opis problemu i oczekiwany sposób rozwiązania.
Usługodawca rozpatrzy reklamację w terminie 14 dni od daty jej otrzymania.

§ 17. Postanowienia końcowe

Usługodawca zastrzega sobie prawo do zmiany Regulaminu. O istotnych zmianach Użytkownicy zostaną poinformowani za pośrednictwem Serwisu lub na adres e-mail powiązany z Kontem.
W sprawach nieuregulowanych niniejszym Regulaminem zastosowanie mają przepisy prawa polskiego, w szczególności Kodeksu cywilnego, ustawy o świadczeniu usług drogą elektroniczną oraz ustawy o prawach konsumenta.
Wszelkie spory wynikające z korzystania z Serwisu będą rozstrzygane przez sąd właściwy dla siedziby Usługodawcy, z zastrzeżeniem praw konsumentów.
Regulamin wchodzi w życie z dniem 14 marca 2026 r.