Zamów audyt zarządu →

NIS2: odpowiedzialność zarządu za cyberbezpieczeństwo nie kończy się na powołaniu działu IT. Audyt i dokumentacja pomagają wykazać realny nadzór nad ryzykiem.

Sprawdź swoje ryzyko (QUIZ) →
AUDYT DLA ZARZĄDU

Masz dział IT.
Masz agencje marketingowe.
Myślisz, że masz wszystko pod kontrolą?
Sprawdzimy to.

Dział IT zarządza systemami. Agencje marketingowe zarządzają dostępami. Firma doradcza proponuje infrastrukturę IT. Ale kto to wszystko kontroluje?

Audyt dla Zarządu pokazuje rzeczywistą kontrolę nad bezpieczeństwem IT, danych i dostawców – nie tę, którą zarząd widzi wyłącznie w raportach własnego działu lub usługodawcy.

Pobierz próbkę audytu →

300%

wynagrodzenia – osobista kara
dla prezesa lub członka zarządu wg NIS2

1 440 549 zł

największa kara UODO
nałożona w Polsce

82%

incydentów zaczyna się
od błędu ludzkiego – nie technicznego

24h

masz tyle czasu na zgłoszenie
incydentu bezpieczeństwa

RZECZYWISTOŚĆ

Twój dział IT chroni systemy. A Ciebie kto ochroni?

Jest zasadnicza różnica między posiadaniem IT a kontrolą nad IT. Sam fakt, że firma ma dział IT, agencję marketingową albo dostawcę usług IT, nie oznacza jeszcze, że zarząd realnie kontroluje bezpieczeństwo. Oznacza tylko, że ktoś obsługuje systemy, ale odpowiedzialność zawsze ponosi zarząd.

PYTANIE DO ZARZĄDU

Czy Twój dział IT raportuje do Ciebie - czy tylko odpowiada na Twoje pytania?

Raportowanie to regularne, ustrukturyzowane informowanie zarządu o stanie bezpieczeństwa, znanych lukach i incydentach. Odpowiadanie na pytania to zwykle tylko uzasadnianie bieżącej pracy.

PYTANIE DO ZARZĄDU

Kiedy ostatnio otrzymałeś niezależny raport o stanie bezpieczeństwa IT?

Wewnętrzny dział IT ocenia wyniki własnej pracy. Zewnętrzny audyt pokazuje to, czego własny zespół często nie widzi albo nie komunikuje w języku decyzji zarządczych.

PYTANIE DO ZARZĄDU

Kto dziś ma dostęp do Twoich systemów - i czy każda z tych osób powinna go nadal mieć?

Przy rotacji pracowników, zmianie agencji albo zakończeniu współpracy z dostawcą dostępy często pozostają aktywne. To nie jest wyłącznie problem IT, ale brak systemowej kontroli nad uprawnieniami.

PYTANIE DO ZARZĄDU

Twoja agencja marketingowa zarządza kampaniami. Czy ma tylko te uprawnienia, których rzeczywiście potrzebuje?

Agencja potrzebuje dostępu do kampanii i treści, ale nie zawsze powinna mieć uprawnienia administratora do systemów, danych klientów, platform e-commerce czy bazy newsletterowej.

DIAGNOZA ORGANIZACYJNA

To nie jest problem techniczny.
To jest problem kontroli zarządczej.

Większość problemów związanych z bezpieczeństwem danych i systemów nie wynika wyłącznie z błędów technicznych. Wynika z nieuporządkowanych relacji między zarządem, działem IT, dostawcami i agencjami – oraz z braku systemowej kontroli nad dostępami, odpowiedzialnością i dokumentacją.

01

Dział IT nie może audytować własnej pracy

Zespół odpowiedzialny za bezpieczeństwo jest jednocześnie podstawowym źródłem informacji o stanie bezpieczeństwa. Zarząd otrzymuje obraz przygotowany przez osoby, których działania powinny podlegać niezależnej weryfikacji.

02

Dostawcy IT działają także we własnym interesie handlowym

Firmy doradcze i wdrożeniowe rekomendują rozwiązania, na których mogą zarabiać. Bez niezależnej weryfikacji zarząd nie ma narzędzi do oceny, czy kupuje rozwiązanie adekwatne, bezpieczne i rzeczywiście potrzebne.

03

Podmioty zewnętrzne często mają zbyt szerokie uprawnienia

Agencje marketingowe, software house’y i dostawcy usług regularnie uzyskują uprawnienia szersze niż wymagane. Z perspektywy zarządu kluczowe jest ustalenie, kto ma dostęp, po co i czy nadal powinien go mieć.

Wniosek zarządczy: problem bezpieczeństwa IT rzadko zaczyna się od samego systemu. Najczęściej zaczyna się od braku formalnej kontroli nad dostępami, dostawcami, raportowaniem i dokumentacją. Audyt ma pokazać nie tylko, gdzie są luki, ale także kto powinien podjąć decyzję i w jakim terminie.
KARY - POLSKA

Kary nakładane przez Prezesa UODO.
Czy Twoja spółka będzie następna?

Kary nakładane przez Prezesa Urzędu Ochrony Danych Osobowych pokazują, że brak zabezpieczeń, brak weryfikacji dostawców, brak analizy ryzyka lub opóźnione zgłoszenie incydentu mogą mieć wymierny skutek finansowy.

Przykładowe kary administracyjne związane z naruszeniami bezpieczeństwa danych osobowych
1 440 549 zł
brak zabezpieczenia platformy chmurowej — dane klientów dostępne bez właściwej ochrony
350 000 zł
brak weryfikacji dostawcy usług IT przed powierzeniem mu danych klientów
238 345 zł
utrata nośnika lub dokumentacji zawierającej dane osobowe
40 000 zł
brak udokumentowanej analizy ryzyka
24 555 zł
brak regularnych audytów bezpieczeństwa
10 000 zł
niezgłoszenie naruszenia ochrony danych w terminie
NIS2 - TRZY NIEZALEŻNE PODSTAWY ODPOWIEDZIALNOŚCI ZA TO SAMO ZDARZENIE
RODO ryzyko administracyjne związane z przetwarzaniem danych osobowych, bezpieczeństwem i dokumentacją
do 20 000 000 €
+
NIS2 ryzyko regulacyjne związane z zarządzaniem cyberbezpieczeństwem i środkami organizacyjnymi
do 10 000 000 €
+
Zarząd ryzyko osobiste wynikające z braku nadzoru, braku decyzji, braku dokumentacji lub braku reakcji
odpowiedzialność osobista
do 300% wynagrodzenia
Jedno zdarzenie może uruchomić kilka równoległych płaszczyzn odpowiedzialności. Audyt porządkuje dowody, decyzje i priorytety działań naprawczych.
REZULTATY

Co otrzymasz po audycie: Pakiet decyzyjny dla Zarządu

Nie ogólny raport „do wdrożenia kiedyś”, ale zestaw konkretnych materiałów, które zarząd może wykorzystać do podjęcia decyzji, udokumentowania należytego nadzoru i zaplanowania działań naprawczych.

01

Raport dla Zarządu

Wyniki audytu w języku decyzji - bez żargonu technicznego. Priorytety według stopnia ryzyka. Gotowy do prezentacji radzie nadzorczej lub inwestorom.

02

Analiza odpowiedzialności osobistej

Prawna ocena ryzyka każdego członka zarządu. Co naraża, co chroni i jakie działania eliminują odpowiedzialność - z odniesieniem do konkretnych przepisów.

03

Mapa ryzyk dostępowych

Przegląd kluczowych obszarów, w których dostęp do systemów, danych lub narzędzi może tworzyć ryzyko dla spółki i zarządu.

04

Plan naprawczy 30/60/90 dni

Harmonogram działań z przypisanymi właścicielami i mierzalnym efektem każdego kroku. Zaprojektowany tak, by zarząd mógł monitorować realizację.

05

Procedury onboarding i offboarding IT

Gotowe checklisty dla działu kadr i IT. Formalna procedura nadawania i odbierania dostępów - ze ścieżką dokumentacji i archiwizacji.

06

Konsultacja wdrożeniowa

2 godziny z ekspertem po dostarczeniu raportu. Odpowiedzi na pytania zarządu. Opcjonalnie: prezentacja dla rady nadzorczej lub inwestorów.

PAKIETY

Zakres i wycena

Wybierz zakres dopasowany do aktualnej sytuacji organizacji. Dokładna wycena może zostać potwierdzona po krótkiej rozmowie diagnostycznej i określeniu liczby systemów, dostawców oraz poziomu złożoności organizacji.

Podstawowy

Diagnoza Zarządu

Wiesz, że masz ryzyko. Nie wiesz jeszcze, gdzie leży i co zrobić najpierw. Diagnoza to odpowiedź na to pytanie – w 2 tygodnie, bez angażowania działu IT.

6 900 zł
netto · jednorazowo
  • Audyt RODO i dokumentacji bezpieczeństwa
  • Weryfikacja procedur onboarding i offboarding
  • Raport dla Zarządu z priorytetami ryzyk
  • Analiza odpowiedzialności osobistej zarządu
  • Szkic priorytetów naprawczych
  • 1 godzina konsultacji po raporcie
  • 🔒 Mapa ryzyk dostępowych – pracownicy i podmioty zewnętrzne Pełny Audyt
  • 🔒 Weryfikacja umów z dostawcami IT i agencjami Pełny Audyt
  • 🔒 Niezależna ocena oferty lub infrastruktury IT Pełny Audyt
  • 🔒 Procedury onboarding i offboarding IT (gotowe dokumenty) Pełny Audyt
  • 🔒 Plan naprawczy 30/60/90 dni z właścicielami zadań Pełny Audyt
  • 🔒 Audyt zgodny z ISO 27001 – dokument dla kontrahentów Pełny Audyt

Diagnoza nie zastępuje pełnego audytu – pokazuje, gdzie leżą Twoje największe ryzyka i jakie decyzje wymagają priorytetu. Większość klientów przechodzi na Pełny Audyt lub Compliance Partner po otrzymaniu raportu.

Pobierz próbkę audytu →
Najczęściej wybierany
Rekomendowany

Pełny Audyt Zarządu

Kompletna weryfikacja bezpieczeństwa IT, danych i dostawców – realizowana zgodnie z normą ISO 27001. Dokument, który możesz pokazać kontrahentom, inwestorom i radzie nadzorczej.

od 12 900 zł
netto · jednorazowo
  • Pełny audyt: cyberbezpieczeństwo, RODO, NIS2 – zgodny z ISO 27001
  • Mapa ryzyk dostępowych – pracownicy i podmioty zewnętrzne
  • Weryfikacja umów z dostawcami IT i agencjami
  • Niezależna ocena oferty lub infrastruktury IT
  • Raport dla Zarządu z mapą ryzyk dostępowych
  • Analiza odpowiedzialności każdego członka zarządu
  • Procedury onboarding i offboarding IT (gotowe dokumenty)
  • Plan naprawczy 30/60/90 dni z właścicielami zadań
  • 2 godziny konsultacji i prezentacja wyników dla zarządu
  • 🔒 Nadzór nad wdrożeniem planu naprawczego Compliance Partner
  • 🔒 Wdrożenie systemu bezpieczeństwa informacji (ISMS) Compliance Partner
  • 🔒 Bieżące wsparcie RODO i cyberbezpieczeństwa Compliance Partner
  • 🔒 Wsparcie przy incydentach bezpieczeństwa Compliance Partner
  • 🔒 Roczny przegląd audytowy i monitoring zmian regulacyjnych Compliance Partner

Audyt identyfikuje ryzyka i dostarcza plan działania. Jeśli zależy Ci na tym, żeby ktoś pilnował wdrożenia i reagował na bieżąco – Compliance Partner daje to w abonamencie.

Pobierz próbkę audytu →
Stała współpraca

Compliance Partner

Pełny audyt, wdrożenie systemu bezpieczeństwa informacji i stały nadzór – w jednym abonamencie. Nie zostajesz z raportem sam. My pilnujemy, żeby to działało.

od 2 500 zł
netto · miesięcznie (umowa na 12 miesięcy)

Pełny Audyt Zarządu w cenie abonamentu – bez dodatkowej opłaty na starcie.

  • Pełny Audyt Zarządu (ISO 27001) na starcie współpracy – bez dopłaty
  • Wdrożenie systemu bezpieczeństwa informacji (ISMS)
  • Nadzór nad realizacją planu naprawczego 30/60/90 dni
  • Niezależna weryfikacja ofert IT przed podpisaniem umowy
  • Bieżące wsparcie RODO i cyberbezpieczeństwa
  • Wsparcie przy incydentach bezpieczeństwa
  • Monitoring zmian regulacyjnych NIS2 i RODO
  • Roczny przegląd audytowy

Większość klientów trafia tu po Diagnozie lub Pełnym Audycie – kiedy widzą, że samo zidentyfikowanie ryzyk to za mało i potrzebują kogoś, kto dopilnuje wdrożenia. Minimalny okres współpracy: 12 miesięcy.

Pobierz próbkę audytu →
PRZEBIEG

Od pierwszego kontaktu do gotowego raportu -
cztery tygodnie.

Audyt realizowany jest zdalnie i nie wymaga ingerencji w kod źródłowy ani infrastrukturę. Angażuje zarząd tylko tam, gdzie konieczna jest decyzja, wyjaśnienie priorytetów lub potwierdzenie sposobu działania organizacji.

TYDZIEŃ 0
01

Rozmowa diagnostyczna

Krótka rozmowa w celu ustalenia sytuacji organizacji, liczby systemów, dostawców, priorytetów zarządu oraz potencjalnych obszarów ryzyka.

Bezpłatnie · NDA na życzenie
TYDZIEŃ 1–2
02

Audyt techniczno-prawny

Analiza dokumentacji, rozmowy z kluczowymi osobami, weryfikacja dostępów, dostawców, procedur oraz sposobu raportowania bezpieczeństwa do zarządu.

Prawo + IT równolegle
TYDZIEŃ 3
03

Raport i dokumenty

Przygotowanie raportu zarządczego, mapy ryzyk, rekomendacji, planu naprawczego oraz materiałów potrzebnych do udokumentowania działań.

Konkretne rezultaty
TYDZIEŃ 3–4
04

Konsultacja i decyzje

Omówienie wyników z zarządem, odpowiedzi na pytania, uporządkowanie priorytetów i wskazanie pierwszych decyzji do podjęcia po audycie.

Plan działania dla zarządu
EKSPERCI

Prawnik + specjalista IT + audytor ISO 27001 - razem, nie osobno

To nas wyróżnia. Większość firm kupuje prawo u jednych, cyber u drugich. My robimy to w jednym projekcie.
Natalia Sołtowska - adwokat i audytor ISO 27001
Natalia Sołtowska
Adwokat · Audytor wiodący ISO 27001
Specjalizuje się w prawie IT, ochronie danych osobowych i zgodności regulacyjnej. Prowadzi audyty RODO, NIS2 i DORA.
RODO NIS2 Prawo IT
Marek Kliś - radca prawny i audytor ISO 27001
Marek Kliś
Radca prawny · Audytor wiodący ISO 27001
Ekspert ds. cyberbezpieczeństwa i prawa IT. Przeprowadza audyty techniczne i prawne, doradza zarządom w zakresie odpowiedzialności regulacyjnej.
Cyber ISO 27001 Zarząd
FAQ

Najczęstsze pytania zarządów

Poniżej znajdziesz odpowiedzi na pytania, które najczęściej pojawiają się przed rozpoczęciem audytu zarządczego bezpieczeństwa IT, danych i dostawców.

Tak, ponieważ obowiązki związane z bezpieczeństwem danych i dokumentacją wynikają nie tylko z NIS2, ale również z RODO, umów z kontrahentami, wymagań klientów enterprise oraz zasad należytej staranności zarządu. Dodatkowo wiele firm będzie ocenianych jako element łańcucha dostaw większych podmiotów.

Standardowy audyt trwa zwykle 2-4 tygodnie. Ceny zależą od zakresu, liczby procesów, systemów i lokalizacji objętych analizą. Wycena jest przygotowywana po krótkiej rozmowie diagnostycznej.

Przepisy dotyczące cyberbezpieczeństwa i ochrony danych przewidują odpowiedzialność organizacji oraz dodatkowo prywatną odpowiedzialność osób zarządzających za brak odpowiednich środków technicznych, organizacyjnych i dokumentacyjnych. Audyt pomaga ustalić, gdzie ryzyko jest realne i jakie działania należy podjąć w pierwszej kolejności.

Tak. Jednym z kluczowych obszarów jest weryfikacja podmiotów zewnętrznych: agencji marketingowych, dostawców IT, software house’ów, usług SaaS i innych firm mających dostęp do danych, systemów lub paneli administracyjnych.

Standardowo audyt trwa około 3–4 tygodni. Dokładny termin zależy od liczby systemów, dostawców, dokumentów, osób zaangażowanych po stronie organizacji oraz zakresu weryfikacji technicznej i prawnej.

Zarząd otrzymuje raport zarządczy, analizę odpowiedzialności, mapę dostępów i uprawnień, plan naprawczy 30/60/90 dni oraz rekomendacje dotyczące procedur i dokumentacji. Zakres dokumentów zależy od wybranego pakietu.

Nie. Próbka audytu służy temu, aby pokazać styl pracy, strukturę raportu i poziom konkretu, jakiego może oczekiwać zarząd. Dopiero po zapoznaniu się z materiałem możesz zdecydować, czy chcesz przejść do rozmowy diagnostycznej.

Gotowy sprawdzić ryzyka swojej firmy?

Bezpłatna 30-minutowa rozmowa diagnostyczna. Zero zobowiązań. Wiesz, gdzie jesteś.
Zamów bezpłatną diagnozę
+48 666 059 548
Pn–Pt 8:00–18:00
kontakt@legalcheckit.pl

Legal Check IT Sp. z o.o.
KRS: 0001181920
NIP: 6343057729

kontakt@legalcheckit.pl
Polityka prywatności
Regulamin newslettera