Sprzedalnia.pl

Share
w IT

System zarządzania bezpieczeństwem informacji (SZBI) – co to jest i jak wdrożyć go w firmie?

autor Redakcja Sprzedalnia.pl · 27.04.2026

SZBI – System Zarządzania Bezpieczeństwem Informacji – to dziś nie luksus, tylko warunek brzegowy prowadzenia biznesu w Polsce. W 2025 roku CERT Polska zarejestrował 260 783 incydenty cyberbezpieczeństwa – wzrost o 152% rok do roku. UODO nałożył kary administracyjne na łączną kwotę 64,3 mln zł – pięciokrotnie więcej niż rok wcześniej. Najwyższa pojedyncza sankcja w historii polskiego regulatora – 27,1 mln zł dla Poczty Polskiej – została wymierzona w marcu 2025 r.

Po stronie technicznej w 2025 r. wzrosły także ataki ransomware – 179 incydentów, średnio jeden co drugi dzień. Po stronie regulacyjnej od 2 kwietnia 2026 r. obowiązuje znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa (NIS2), która objęła obowiązkami z zakresu zarządzania bezpieczeństwem informacji kilkanaście tysięcy nowych firm w Polsce. Wdrożenie SZBI to dziś jednocześnie odpowiedź na ryzyko techniczne i compliance.

Ten artykuł pokazuje, czym jest SZBI w praktyce, jak go wdrożyć krok po kroku, ile kosztuje i jakie błędy powtarzają polskie MŚP. Wszystkie dane pochodzą z aktualnych źródeł na 2026 rok: raport CERT Polska 2025, raport Grant Thornton o karach UODO 2025, znowelizowana ustawa o KSC.

Powiązane artykuły z klastra IT: Cyberataki na firmy 2026, Backup w firmie 2026 – strategia 3-2-1, Phishing w firmie 2026 – jak rozpoznać atak, Bezpieczeństwo IT w małej firmie 2026.

Co to jest SZBI

SZBI to formalny zestaw polityk, procedur, ról organizacyjnych i mechanizmów technicznych, które chronią informacje firmy przed utratą poufności, naruszeniem integralności i utratą dostępności. To nie segregator z dokumentami – to system zarządzania, który łączy decyzje biznesowe z konkretnymi środkami technicznymi.

W praktyce SZBI odpowiada na trzy pytania:

  1. Co w firmie jest cenne i wymaga ochrony (dane klientów, kody źródłowe, know-how, dane finansowe, umowy).
  2. Co może się temu stać i z jakim prawdopodobieństwem (ransomware, kradzież sprzętu, błąd pracownika, atak phishingowy).
  3. Co zrobimy, żeby to ograniczyć (kopie zapasowe, MFA, szkolenia, plan ciągłości działania).

Trzy filary CIA – po polsku, na polskim przykładzie

Każdy SZBI opiera się na klasycznej zasadzie CIA: poufność (Confidentiality), integralność (Integrity), dostępność (Availability).

Poufność oznacza, że dane widzi tylko ten, kto powinien. Przykład naruszenia: w biurze rachunkowym deklaracje VAT klientów leżą na współdzielonym dysku, do którego dostęp ma cały dziesięcioosobowy zespół. Praktykantka pracująca dwa tygodnie też widzi wszystko.

Integralność to gwarancja, że dane nie zostały zmienione bez śladu. Przykład naruszenia: w hurtowni budowlanej księgowa modyfikuje cenę zakupu w fakturze sprzed trzech miesięcy. System nie loguje tej zmiany, więc miesiąc później audyt nie ma jak tego wychwycić.

Dostępność to obowiązek zapewnienia, że dane są pod ręką wtedy, gdy są potrzebne. Przykład naruszenia: ransomware szyfruje serwer plikowy w piątek o 17:00. W poniedziałek 30 osób nie ma do czego usiąść. Brak działającej kopii zapasowej to klasyczne naruszenie zasady dostępności.

Czym SZBI nie jest

Wokół SZBI narosło kilka mitów, które warto odkręcić:

  • SZBI to nie tylko zbiór dokumentów. Polityki bez wdrożenia to teatr dla audytora – audytor zewnętrzny wystawi niezgodność po pierwszej rozmowie z pracownikiem, który nie wie, co to jest klasyfikacja informacji.
  • SZBI to nie synonim RODO. Ochrona danych osobowych to tylko część SZBI. System obejmuje też dane biznesowe, kody źródłowe, know-how, dane finansowe.
  • SZBI nie zwalnia z odpowiedzialności za incydenty. To narzędzie do ich ograniczania, nie polisa ubezpieczeniowa.
  • SZBI to nie projekt z datą zakończenia. Po wdrożeniu zaczyna się utrzymanie, audyty wewnętrzne, przeglądy zarządcze.

Po co firmie SZBI – cztery główne powody

Zgodność z RODO i sankcje UODO

Rozporządzenie 2016/679 (RODO) oraz polska ustawa o ochronie danych osobowych nakładają na każdego administratora obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych (art. 32 RODO). Maksymalna kara administracyjna z RODO to 20 mln EUR lub 4% rocznego światowego obrotu firmy – w zależności od tego, która kwota jest wyższa.

Rok 2025 pokazał, że UODO przeszedł od symbolicznych upomnień do realnych sankcji finansowych. Łączna wartość kar w 2025 r. przekroczyła 64,3 mln zł – pięciokrotny wzrost rok do roku. Najgłośniejsze decyzje:

PodmiotKara (2025)Powód
Poczta Polska S.A.27,1 mln złBezprawne pozyskanie danych z PESEL (30 mln obywateli)
ING Bank Śląski18,4 mln złSkanowanie dokumentów tożsamości bez podstawy prawnej
McDonald’s Polska~17 mln złNaruszenia w zakresie ochrony danych pracowników

Według raportu Grant Thornton, w 63% decyzji UODO podstawą sankcji były niewystarczające zabezpieczenia techniczne i organizacyjne, w 56% problemy z dokumentowaniem działań (zasada rozliczalności), w 38% brak właściwej podstawy prawnej. To dokładnie obszary, które SZBI z definicji adresuje.

SZBI nie gwarantuje braku kary. Daje natomiast udokumentowaną zgodność z art. 32 RODO – co przy ocenie wysokości sankcji jest kluczowym czynnikiem łagodzącym.

Wymogi klientów B2B i NIS2

W przetargach publicznych i procedurach due diligence coraz częściej pojawia się wymóg posiadania certyfikatu ISO/IEC 27001 lub udokumentowanego SZBI. W sektorze finansowym, ubezpieczeniowym, medycznym i wśród dostawców usług dla operatorów infrastruktury krytycznej to standard od dawna.

Realny przykład: spółka SaaS w 50-osobowym zespole obsługuje średnio 12 zapytań kwartalnie typu „prześlij swój SOC 2 lub ISO 27001″. Brak takiego dokumentu to dyskwalifikacja na etapie kwalifikacji vendorów.

Dyrektywa NIS2, transponowana do polskiego prawa nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa (obowiązuje od 2 kwietnia 2026 r.), nakłada obowiązki bezpośrednio na podmioty kluczowe i ważne w 18 sektorach (energia, transport, zdrowie, bankowość, infrastruktura cyfrowa, produkcja, gospodarka odpadami, dostawcy usług cyfrowych). Pośrednio dotyka też łańcucha dostaw – jeśli sprzedajesz coś dużej firmie z listy NIS2, wymóg dokumentowania zabezpieczeń spadnie na ciebie.

Pełny przewodnik po NIS2 i DORA: DORA i NIS2 – kogo dotyczą i co zmieniają.

Ciągłość biznesowa i odporność na ataki

Downtime ma cenę. Średni koszt godziny przestoju w polskim MŚP to 5 000-30 000 zł. W przypadku ransomware mediana czasu przywrócenia operacyjności to 21 dni, a 76% organizacji deklaruje, że nie przetrwałoby trzech dni przestoju.

SZBI wymusza myślenie o ciągłości w kategoriach RPO (Recovery Point Objective – maksymalny dopuszczalny okres utraty danych) i RTO (Recovery Time Objective – maksymalny dopuszczalny czas przywrócenia usługi). Bez tych dwóch parametrów decyzje o backupie i replikacji są strzelaniem na ślepo. Pełen kontekst i konkretne wartości RPO/RTO dla różnych systemów: Backup w firmie 2026 – strategia 3-2-1.

W 2025 r. CERT Polska zarejestrował 179 incydentów ransomware – to o 21% więcej niż rok wcześniej i średnio jeden atak co drugi dzień. Realna skala jest wielokrotnie wyższa, bo część ofiar płaci okup po cichu.

Przewaga konkurencyjna w branżach regulowanych

Finanse, ubezpieczenia, ochrona zdrowia, energetyka, telekomunikacja, sektor publiczny – w każdej z tych branż SZBI przestał być wartością dodaną i stał się minimum wejścia. Dla mniejszych firm współpracujących z dużymi graczami z tych sektorów wdrożenie SZBI często otwiera drzwi do kontraktów wcześniej niedostępnych. W przetargach z sektora publicznego ISO 27001 bywa wymogiem formalnym lub kryterium punktowanym.

SZBI a ISO 27001 – najczęstsze nieporozumienie

To dwa różne pojęcia, które ludzie mieszają na każdym spotkaniu.

SZBI to system zarządzania – zbiór polityk, procesów i ról w organizacji. ISO/IEC 27001:2022 to międzynarodowa norma, która opisuje wymagania, jakie ten system powinien spełniać, oraz daje podstawę do jego niezależnej certyfikacji.

Można mieć SZBI bez certyfikatu. Można też formalnie wdrożyć ISO 27001 i dostać certyfikat – co jest dowodem dla rynku, że SZBI funkcjonuje zgodnie z międzynarodowym standardem.

Kiedy wystarczy sam SZBI

Sam SZBI bez certyfikacji sprawdza się, gdy firma chce uporządkować bezpieczeństwo informacji, spełnić wymogi RODO i NIS2, ale nie potrzebuje formalnego dowodu dla klientów lub regulatora. Dotyczy to większości MŚP, które nie startują w przetargach publicznych i nie obsługują dużych klientów korporacyjnych.

Kiedy potrzebny jest certyfikat ISO 27001

Certyfikat ISO 27001 ma sens, gdy:

  • klienci B2B wymagają go w umowach lub procedurach vendor management
  • firma startuje w przetargach publicznych, gdzie ISO 27001 jest punktowane
  • działa w branży regulowanej (banki, ubezpieczenia, ochrona zdrowia, telekomunikacja)
  • planuje ekspansję zagraniczną i potrzebuje uznawanego międzynarodowo dowodu zgodności
  • chce uzyskać status podmiotu wiarygodnego pod NIS2

Realne koszty certyfikacji w Polsce 2026

Sam audyt certyfikacyjny w polskich realiach 2026 roku to 8 000-14 000 zł netto dla małej firmy. Pełny cykl trzyletni (audyt certyfikujący plus dwa audyty nadzoru) zamyka się w 15 000-24 000 zł netto. Recertyfikacja co trzy lata to kolejny audyt w pełnym zakresie.

To koszt samej jednostki certyfikującej. Wdrożenie SZBI przed audytem (konsultanci, dokumentacja, narzędzia, szkolenia) to osobna pozycja – omówiona w sekcji o kosztach.

Jak wdrożyć SZBI w firmie – 7 kroków

Krok 1. Wsparcie zarządu i wyznaczenie pełnomocnika

SZBI wdraża się na decyzję zarządu, nie z inicjatywy działu IT. Brzmi banalnie, a jest najczęstszym powodem porażki wdrożeń.

Zarząd musi formalnie zatwierdzić politykę bezpieczeństwa informacji, zaakceptować budżet i wyznaczyć pełnomocnika ds. SZBI. Pełnomocnik to osoba odpowiedzialna za nadzór nad systemem – może to być wewnętrzny pracownik (CISO, IT manager, IOD) lub zewnętrzny konsultant. Kluczowe, żeby miał bezpośrednią ścieżkę raportowania do zarządu.

Po wejściu NIS2 (od 2 kwietnia 2026 r.) zarządy podmiotów kluczowych i ważnych ponoszą osobistą odpowiedzialność za zaniedbania w cyberbezpieczeństwie – co dodatkowo motywuje do zaangażowania w SZBI.

Krok 2. Inwentaryzacja zasobów informacyjnych

Nie zabezpieczysz tego, czego nie znasz. Pierwsze zadanie pełnomocnika to spisanie wszystkich zasobów informacyjnych firmy:

  • bazy danych klientów, systemy CRM, ERP
  • dokumentacja papierowa
  • kody źródłowe, repozytoria git
  • know-how, dokumentacja techniczna
  • dane pracowników, dane finansowe
  • hasła, klucze API, certyfikaty
  • konta w usługach chmurowych (Microsoft 365, Google Workspace, AWS, Azure)

Każdemu zasobowi przypisuje się właściciela, klasyfikację (publiczne, wewnętrzne, poufne, ściśle poufne) i lokalizację. To podstawa rejestru aktywów, który będzie rdzeniem SZBI.

Krok 3. Analiza ryzyka

Najprostsza skuteczna metoda to macierz prawdopodobieństwo × skutek w skali 1-5. Dla każdej pary zasób-zagrożenie ocenia się:

  • Prawdopodobieństwo (1 – bardzo niskie, 5 – bardzo wysokie): jak realne jest to zdarzenie w ciągu 12 miesięcy
  • Skutek (1 – nieistotny, 5 – krytyczny): jak duża byłaby strata, gdyby się zdarzyło

Iloczyn obu wartości daje wartość ryzyka od 1 do 25. Wyniki dzieli się na strefy: zielona (1-6) – akceptujemy, żółta (7-14) – monitorujemy, czerwona (15-25) – działamy natychmiast.

Przykład dla firmy doradczej. Zasób: baza klientów w CRM. Zagrożenie: kradzież danych przez byłego pracownika. Prawdopodobieństwo: 3. Skutek: 5. Wartość ryzyka: 15. Czerwona strefa – wdrażamy MFA, logowanie zdarzeń, procedurę offboardingu.

Dokumentem wyjściowym jest plan postępowania z ryzykiem oraz Statement of Applicability (SoA) – deklaracja stosowalności, w której uzasadniamy wybór konkretnych zabezpieczeń z Załącznika A normy ISO 27001.

Krok 4. Polityki bezpieczeństwa

Minimalny zestaw dokumentów dla średniej firmy obejmuje:

  1. Polityka bezpieczeństwa informacji – dokument nadrzędny
  2. Polityka kontroli dostępu i zarządzania uprawnieniami
  3. Polityka haseł i uwierzytelniania (MFA dla kont uprzywilejowanych)
  4. Polityka kopii zapasowych (zgodna z regułą 3-2-1)
  5. Polityka pracy zdalnej i BYOD
  6. Polityka zarządzania incydentami bezpieczeństwa
  7. Polityka zarządzania dostawcami i łańcuchem dostaw
  8. Polityka klasyfikacji informacji i czystego biurka
  9. Procedura zgłaszania naruszeń ochrony danych osobowych (art. 33 RODO – 72 godziny)
  10. Plan ciągłości działania (BCP) i odtwarzania po awarii (DRP)

Polityki powinny być krótkie. Dokument na 30 stron, którego nikt nie czyta, jest gorszy niż dwustronicowa instrukcja, do której pracownicy faktycznie zaglądają.

Krok 5. Wdrożenie zabezpieczeń technicznych i organizacyjnych

Norma ISO 27001:2022 w Załączniku A wskazuje 93 zabezpieczenia w czterech kategoriach: organizacyjne (37), osobowe (8), fizyczne (14) i technologiczne (34). Nie wszystkie trzeba wdrażać – decyduje wynik analizy ryzyka i SoA.

W praktyce każde MŚP w 2026 r. powinno mieć minimum:

  • MFA na wszystkich kontach z dostępem zdalnym i kontach uprzywilejowanych (najlepiej FIDO2, alternatywnie aplikacja TOTP, w ostateczności SMS)
  • Kopie zapasowe w modelu 3-2-1 (lub 3-2-1-1-0 z immutability), z regularnym testowaniem odtwarzania – szczegóły: Backup w firmie 2026 – strategia 3-2-1
  • Segmentacja sieci i odseparowanie sieci gościnnej
  • EDR/XDR na wszystkich stacjach roboczych i serwerach
  • Szyfrowanie dysków laptopów i nośników wymiennych (BitLocker, FileVault, LUKS)
  • MDM (centralne zarządzanie urządzeniami mobilnymi)
  • SPF, DKIM, DMARC dla domeny pocztowej + filtrowanie poczty z ochroną przed phishingiem
  • Logowanie zdarzeń w systemach krytycznych przez minimum 12 miesięcy

Krok 6. Szkolenia pracowników

W 2025 r. CERT Polska zarejestrował 78 391 incydentów phishingowych – 30% wszystkich obsłużonych zdarzeń. 97% wszystkich incydentów stanowiły oszustwa komputerowe, w większości oparte na inżynierii społecznej, a nie na technicznym łamaniu zabezpieczeń.

Szkolenia świadomościowe (security awareness) powinny obejmować całą organizację – od recepcji po zarząd. Minimum to roczne szkolenie wstępne plus kwartalne kampanie testowe (symulowane wiadomości phishingowe). Wyniki testów to materiał do raportów dla zarządu i wskaźnik skuteczności SZBI.

Praktyczne testy podnoszą rozpoznawalność ataków z typowych 30% do 80-90% w ciągu 6-12 miesięcy. Pełen przewodnik: Phishing w firmie 2026 – jak rozpoznać atak.

Krok 7. Audyt wewnętrzny i przegląd zarządczy

Norma wymaga corocznego audytu wewnętrznego oraz przeglądu SZBI przez zarząd (management review). To nie formalność – to moment, w którym sprawdza się, czy system działa i co należy poprawić.

Audyt wewnętrzny może prowadzić wyznaczony pracownik (po szkoleniu audytora wewnętrznego ISO 27001) lub zewnętrzny konsultant. Wynikiem są niezgodności, które trzeba zamknąć przed audytem certyfikacyjnym.

Przegląd zarządczy to formalne posiedzenie, na którym zarząd ocenia skuteczność SZBI, decyduje o zmianach polityki, zatwierdza budżet na kolejny rok i podejmuje decyzje o ewentualnych korektach zakresu systemu.

Najczęstsze błędy przy wdrażaniu SZBI

Lista pomyłek, które kosztują firmy realne pieniądze – karami UODO, utratą klientów B2B i nieskutecznymi audytami:

  • SZBI tylko jako papier. Najgorsza wersja: gruba teczka polityk, których nikt nie zna. Audytor wystawi niezgodność po pierwszej rozmowie z pracownikiem. Polityka działa wtedy, gdy ludzie ją stosują.
  • Zbyt rozbudowana dokumentacja. Trzysta stron polityk w 30-osobowej spółce to gwarancja, że nikt tego nie przeczyta. Norma ISO 27001 nie wymaga konkretnej liczby dokumentów – wymaga skuteczności.
  • Brak zaangażowania zarządu. Jeśli prezes mówi „róbcie te ISO, byle szybko”, wdrożenie skończy się papierem. Zarząd musi rozumieć cel i wspierać pełnomocnika autorytetem.
  • Ignorowanie czynnika ludzkiego. Można wydać 200 tys. zł na firewall klasy enterprise i stracić dane przez przypadkowe kliknięcie pracownika w fałszywą fakturę. Pracownicy są pierwszą i ostatnią linią obrony.
  • Skupienie wyłącznie na IT. SZBI obejmuje też zasoby fizyczne, papierowe i ludzkie. Kontrahent z dostępem do biura po godzinach, wydruki w drukarce sieciowej, klucze do serwerowni – to wszystko elementy systemu.
  • Wdrożenie raz na zawsze. SZBI wymaga utrzymania, przeglądów, aktualizacji po każdej istotnej zmianie. Zmiana dostawcy chmury, fuzja, nowa lokalizacja, zatrudnienie 20 osób – każde z tych wydarzeń to powód do aktualizacji analizy ryzyka.
  • Kopiowanie szablonów. Polityka pobrana z internetu nie odzwierciedla specyfiki firmy. Audytor to wyłapie w pierwszej rozmowie.
  • Brak weryfikacji dostawców. UODO w karze 4,9 mln zł dla Fortum jasno pokazał, że samo podpisanie umowy powierzenia nie wystarcza – administrator musi rzeczywiście zweryfikować dostawcę.
  • Łączenie funkcji IOD z rolami decyzyjnymi. UODO szczególnie surowo ocenia sytuacje, w których IOD jest jednocześnie członkiem zarządu – to według raportu Grant Thornton 2025 jeden z głównych powodów wysokich kar.

Ile kosztuje wdrożenie SZBI

Koszt zależy od wielkości firmy, dojrzałości obecnych zabezpieczeń, zakresu wdrożenia i tego, czy celem jest sama zgodność, czy pełna certyfikacja ISO 27001.

Małe firmy (do 20 osób), wdrożenie samodzielne

Realny budżet: 5 000-15 000 zł na wdrożenie plus 8 000-14 000 zł netto na audyt certyfikacyjny, jeśli firma decyduje się na ISO 27001.

Składowe:

  • szablony dokumentacji: 1 000-3 000 zł
  • konsultacje punktowe: 3 000-8 000 zł
  • szkolenia online dla pracowników: 1 000-3 000 zł
  • narzędzia open source lub niskobudżetowe: 0 – kilka tys. zł rocznie

Średnie firmy (20-250 osób), wdrożenie z konsultantem

Realny budżet: 30 000-80 000 zł na wdrożenie plus 15 000-24 000 zł netto na trzyletni cykl certyfikacji ISO 27001.

Składowe:

  • konsultant zewnętrzny: 15 000-40 000 zł
  • narzędzia (system polityk, analiza ryzyka, EDR): 10 000-25 000 zł rocznie
  • szkolenia stacjonarne: 5 000-15 000 zł
  • czas własny pracowników: 200-400 roboczogodzin

Duża średnia firma lub mała korporacja (200+ osób), pełne wdrożenie pod klucz

Realny budżet: 80 000-150 000 zł na wdrożenie plus 25 000-50 000 zł netto rocznie na audyty i utrzymanie certyfikacji.

W tym segmencie pojawiają się dodatkowe koszty: dedykowany system GRC, profesjonalne narzędzia do testów penetracyjnych i symulowanego phishingu, etat CISO (lub CISO-as-a-service), rozbudowane szkolenia dla zarządu i kluczowych pracowników.

Jak ograniczyć koszty bez utraty zgodności

  1. Zacznij od analizy luk (gap analysis) we własnym zakresie. Lista 93 zabezpieczeń z Załącznika A normy ISO 27001:2022 jest publicznie dostępna. Sprawdzenie samodzielnie, co już mamy, oszczędza kilkanaście tys. zł konsultacji.
  2. Wybierz mniejszy zakres certyfikacji. Certyfikujesz nie całą firmę, tylko konkretną jednostkę organizacyjną lub usługę. Mniejszy zakres = krótszy audyt = niższy koszt.
  3. Wykorzystaj istniejące zabezpieczenia. Microsoft 365 Business Premium lub E3 ma w pakiecie MFA, MDM (Intune), DLP, ochronę poczty, klasyfikację dokumentów. Nie kupuj drugi raz tego, co już masz.
  4. Szkolenia online zamiast stacjonarnych. Platformy security awareness (KnowBe4, Sophos Phish Threat, polskie odpowiedniki) kosztują od kilkudziesięciu do kilkuset zł rocznie na pracownika.
  5. Konsultant w trybie nadzoru, nie wykonawczym. Zamiast zlecać firmie zewnętrznej napisanie wszystkiego, kupujesz 20-40 godzin konsultacji rozłożone na cały projekt. Pracę wykonujecie sami, konsultant tylko weryfikuje.

SZBI a NIS2 – obowiązki od 2 kwietnia 2026 roku

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która weszła w życie 2 kwietnia 2026 r., implementuje dyrektywę NIS2 i znacznie rozszerza krąg podmiotów objętych obowiązkami z zakresu zarządzania bezpieczeństwem informacji.

NIS2 obejmuje teraz również średnie firmy (50+ pracowników lub 10+ mln EUR obrotu) w sektorach: energia, transport, zdrowie, bankowość, infrastruktura cyfrowa, produkcja, gospodarka odpadami, dostawcy usług cyfrowych, podmioty publiczne.

Kluczowe obowiązki wynikające z NIS2, które realizuje SZBI:

  • Polityka bezpieczeństwa informacji (zwykle oparta na ISO 27001)
  • Zarządzanie ryzykiem – okresowa analiza zagrożeń
  • Zgłaszanie incydentów – 24h wczesne ostrzeżenie / 72h pełne zgłoszenie / 30 dni raport końcowy do właściwego CSIRT
  • Plan ciągłości działania i backup zgodny z 3-2-1 lub 3-2-1-1-0
  • Szkolenia i podnoszenie świadomości zespołu
  • Bezpieczeństwo łańcucha dostaw – weryfikacja kontrahentów IT
  • Osobista odpowiedzialność zarządu za zaniedbania w cyberbezpieczeństwie

Kary za nieprzestrzeganie NIS2:

  • podmioty kluczowe: do 10 mln EUR lub 2% rocznego obrotu globalnego
  • podmioty istotne: do 7 mln EUR lub 1,4% obrotu

Zarząd może zostać zawieszony z funkcji w razie poważnych zaniedbań. To znacznie wyższe sankcje niż dotychczasowe kary RODO i jeden z głównych powodów, dla których w 2026 r. polskie firmy aktywnie wdrażają SZBI.

FAQ – SZBI w firmie 2026

Co to jest SZBI? SZBI (System Zarządzania Bezpieczeństwem Informacji) to formalny zestaw polityk, procedur i mechanizmów technicznych chroniących informacje firmy przed utratą, kradzieżą i nieautoryzowaną zmianą. Opiera się na zasadzie CIA: poufność, integralność, dostępność.

Czy SZBI to to samo co ISO 27001? Nie. SZBI to system zarządzania w organizacji. ISO 27001 to międzynarodowa norma opisująca wymagania, jakie ten system powinien spełniać, oraz dająca podstawę do certyfikacji. Można mieć SZBI bez certyfikatu ISO 27001.

Kto musi wdrożyć SZBI w 2026 roku? Pośrednio każda firma przetwarzająca dane osobowe (z RODO). Bezpośrednio: podmioty kluczowe i ważne pod NIS2 (sektory energii, transportu, zdrowia, bankowości, infrastruktury cyfrowej, produkcji – od 50 pracowników lub 10 mln EUR obrotu), wszystkie firmy w sektorze finansowym (DORA), dostawcy dla operatorów infrastruktury krytycznej.

Ile kosztuje wdrożenie SZBI? Mała firma (do 20 osób): 5 000-15 000 zł wdrożenie + 8 000-14 000 zł audyt ISO 27001. Średnia (20-250 osób): 30 000-80 000 zł wdrożenie + 15 000-24 000 zł trzyletni cykl certyfikacji. Duża (200+ osób): 80 000-150 000 zł wdrożenie + 25 000-50 000 zł rocznie utrzymanie.

Jakie są kary za brak SZBI w firmie? Z RODO: do 20 mln EUR lub 4% obrotu (najwyższe sankcje w Polsce 2025: Poczta Polska 27,1 mln zł, ING 18,4 mln zł). Z NIS2: do 10 mln EUR lub 2% obrotu dla podmiotów kluczowych. Kary mogą obejmować też zarząd osobiście.

Czy małe firmy też muszą mieć SZBI? Każda firma przetwarzająca dane osobowe musi mieć podstawowy SZBI (art. 32 RODO). Skala dokumentacji i zabezpieczeń jest dostosowana do wielkości firmy – mała firma nie potrzebuje 30 polityk i etatu CISO. Minimalny SZBI dla małej firmy to 5-10 polityk, MFA, backup 3-2-1, EDR, szkolenia kwartalne.

Ile trwa wdrożenie SZBI? Mała firma: 2-4 miesiące (samodzielne wdrożenie) lub 6-9 miesięcy do certyfikacji. Średnia firma z konsultantem: 6-9 miesięcy do certyfikacji ISO 27001. Duża firma: 9-15 miesięcy do certyfikacji.

Czy SZBI chroni przed cyberatakiem? SZBI nie gwarantuje braku ataku, ale dramatycznie zmniejsza prawdopodobieństwo i ogranicza skutki. W 2025 r. według raportu Grant Thornton 63% kar UODO wynikało z niewystarczających zabezpieczeń technicznych – czyli braku skutecznego SZBI.

Czym SZBI różni się od polityki RODO? RODO to przepisy prawa dotyczące ochrony danych osobowych. SZBI to system, który m.in. zapewnia zgodność z RODO, ale obejmuje też wszystkie inne informacje firmy (kody źródłowe, know-how, dane finansowe, kontrakty). Polityka RODO jest częścią SZBI.

  • iso.org – oficjalna strona normy ISO/IEC 27001:2022
  • uodo.gov.pl – Urząd Ochrony Danych Osobowych, decyzje, wytyczne
  • cert.pl – CERT Polska, raport roczny 2025
  • enisa.europa.eu – Europejska Agencja ds. Cyberbezpieczeństwa, wytyczne NIS2
  • isap.sejm.gov.pl – tekst ustawy o krajowym systemie cyberbezpieczeństwa

Tagi:

Comments are closed.

Może ci się spodobać

Zobacz także

Producent skrzynek pocztowych Metako – nowoczesne skrzynki na listy
Materiały do ochrony radiologicznej RTG – folie ołowiane, płyty GK z ołowiem i taśmy ołowiane Leadpol