Platforma jest zaprojektowana z myślą o:
Platforma obsługuje również organizacje stosujące NIS2/KSC dobrowolnie (sposób dobrej praktyki) bez formalnego objęcia zakresem ustawy.
Platforma udostępnia kreator samoidentyfikacji, który prowadzi użytkownika przez proces kwalifikacji. Jest to szczególnie ważne w sektorze edukacji, gdzie nowelizacja KSC może objąć szkoły ponadgimnazjalne i JST jako podmioty ważne.
OUK, Podmiot ważny, IBTI/ITSO wymagany, Poza zakresem — dobrowolna zgodność.nis2.identification.update.org_unit_id i izolowane przez RLS PostgreSQL — dyrektor jednej szkoły nie widzi desygnacji innej szkoły, nawet w ramach tej samej JST.
Art. 23 NIS2 i art. 11 KSC nakładają obowiązek raportowania poważnych incydentów w trzech etapach. Platforma obsługuje pełny cykl z wbudowanymi timerami terminów.
| Etap | Termin (od wykrycia) | Treść wymagana | Wsparcie platformy |
|---|---|---|---|
| 24H Wczesne ostrzeżenie | 24 godziny | Klasyfikacja (poważny / nie); wstępna ocena; podejrzenie działania zamierzonego. | Formularz z predefiniowanymi klasyfikatorami dla sektora edukacji; timer odliczający; e-mail do ITSO przy T−4h. |
| 72H Zgłoszenie incydentu | 72 godziny | Ocena wpływu (liczba uczniów / pracowników, dostępność systemów); przyczyny; środki zaradcze. | Formularz rozszerzony; automatyczne wypełnianie danych z systemu; eksport PDF; kod KSC-INC w dzienniku audytu. |
| 30D Raport końcowy | 30 dni | Szczegółowy opis; podatności; środki długoterminowe; decyzja o ujawnieniu. | Szablon raportu finalnego; eksport paczki dowodowej ZIP; akceptacja ITSO (elektroniczny zapis); archiwizacja 5 lat. |
Platforma zawiera wbudowaną bibliotekę obowiązków KSC, dostosowaną do specyfiki szkół i JST:
| Grupa | Przykładowe zadania kontrolne (sektor EDU) | Częstotliwość |
|---|---|---|
| Samoidentyfikacja i kategoria | Weryfikacja objęcia zakresem KSC; aktualizacja profilu podmiotu | Roczna |
| Wyznaczenie ITSO | Formalne wyznaczenie ITSO; dokumentacja zakresu; aktualizacja przy zmianach | Roczna + przy zmianie osoby |
| Ocena ryzyka | Inwentaryzacja systemów (e-dziennik, USOS, poczta); ocena ryzyk CIA; plan leczenia | Roczna + po incydencie |
| Zarządzanie incydentami | Procedura reagowania; testy procedury (tabletop exercise); rejestr incydentów | Półroczna |
| Kopie zapasowe i ciągłość | Polityka backup (e-dziennik, dokumenty); testy przywracania; BCP dla szkoły | Roczna |
| Szkolenia i świadomość | Szkolenia obowiązkowe dla pracowników; rejestr uczestnictwa; materiały dla uczniów (opcjonalne) | Roczna |
| Kontrola dostępu i hasła | Polityka haseł; MFA dla admin; przegląd kont (offboarding nauczycieli) | Półroczna |
| Dostawcy i podwykonawcy | Rejestr dostawców IT (e-dziennik, hosting); umowy bezpieczeństwa | Roczna |
Na żądanie organu nadzorczego lub podczas audytu wewnętrznego platforma generuje paczkę audytową ZIP podpisaną skrótem SHA-256:
audit-pack-{placowka}-{data}.zip
├── manifest.json # skroty SHA-256 wszystkich plikow
├── audit-log.csv # pelny dziennik audytu (chain-verified)
├── controls/
│ ├── controls-export.csv # status zadan kontrolnych KSC
│ └── evidence/ # zalaczone dowody (PDF, screenshoty)
├── incidents/
│ ├── incident-list.csv # lista incydentow z kodami KSC-INC
│ └── reports/ # raporty 24h/72h/30d jako PDF
├── risk-register.csv # rejestr ryzyk z leczeniami
└── nis2-alignment.csv # mapowanie art. 21 §2 (a-j) ze statusemPaczka nie zawiera haseł ani sekretów. Weryfikacja integralności możliwa niezależnie od platformy przez sprawdzenie manifest.json.
W strukturze JST każda szkoła może mieć własnego ITSO (Inspektora ds. bezpieczeństwa informacji). Platforma obsługuje wielopoziomową hierarchię:
org_unit_id + FORCE RLS.| Pole desygnacji | Opis |
|---|---|
designation_type | IBTI / ITSO / Koordynator KSC (konfigurowalne per Dzierżawca) |
person_name | Imię i nazwisko wyznaczonej osoby |
org_unit_id | Placówka objęta desygnacją (szkoła lub JST) |
effective_from / effective_to | Okres ważności; historia zmian zachowana |
legal_basis_ref | Odwołanie do przepisu (np. „art. 14 ust. 1 KSC”) |
audit_trail | Każda zmiana: kod nis2.designation.update |
| Art. 21 §2 | Wymaganie | Wsparcie platformy | Status |
|---|---|---|---|
| a | Polityki bezpieczeństwa i analiza ryzyka | Kreator polityk; rejestr ryzyk; eksport PDF z SHA-256. | Dostępne |
| b | Obsługa incydentów | Cykl 24h/72h/30d z timerami; formularze; paczka audytowa; historia per placówka. | Dostępne |
| c | Ciągłość działania, kopie zapasowe | Zadania BCP/DRP; rejestr testów backupów; platforma stosuje 3-2-1 dla własnych danych. | Dostępne |
| d | Bezpieczeństwo łańcucha dostaw | Rejestr dostawców IT szkoły; zadania oceny dostawców; DPA per dostawca. | Dostępne |
| e | Bezpieczeństwo w nabywaniu i utrzymaniu systemów | Zadania kontrolne dla SDLC; integracja Jira Cloud (opcjonalna). | Dostępne |
| f | Ocena skuteczności środków | Metryki compliance per placówka; historia zmian statusów; eksport CSV. | Dostępne |
| g | Higiena cybernetyczna i szkolenia | Zadania szkoleniowe z rejestrem uczestnictwa; certyfikat jako załącznik dowód. | Dostępne |
| h | Kryptografia i szyfrowanie | Dokumentacja polityki szyfrowania; platforma stosuje TLS 1.3, Argon2id, LUKS, Vault. | Dostępne |
| i | Bezpieczeństwo zasobów ludzkich i zarządzanie aktywami | RBAC per Dzierżawca; przegląd dostępu; rejestr aktywów jako zadania kontrolne. | Dostępne |
| j | MFA, SSO, bezpieczna komunikacja | Obowiązkowe TOTP/WebAuthn; SAML 2.0 SSO; OIDC per Dzierżawca; TLS 1.3. | Dostępne |
Szkoły i JST są organizacjami publicznymi i są zobowiązane do wyznaczenia IOD (art. 37 ust. 1 lit. a RODO). Platforma obsługuje jednoczesne prowadzenie procesu NIS2 i RODO:
Transparentne ograniczenia dla sektora edukacji:
| Obszar | Co platforma robi | Czego nie robi |
|---|---|---|
| Zgłoszenie do CSIRT / MEiN | Generuje raport, eksportuje PDF | Nie wysła automatycznie do CERT Polska ani Ministerstwa (API nie jest publiczne) |
| Ochrona e-dziennika (Librus, Vulcan) | Rejestruje zadania oceny ryzyka dla e-dziennika | Nie łączy się bezpośrednio z e-dziennikiem; brak integracji API |
| Szkolenia uczniów | Rejestruje zadania szkoleniowe dla pracowników | Nie jest platformą e-learningową dla uczniów |
| Certyfikacja KSC | Generuje dokumentację audytową | Nie wystawia certyfikatów; certyfikacja wymaga niezależnego audytora |
| SOC/SIEM dla sieci szkolnej | Integracja przez API z zewnętrznymi narzędziami | Nie monitoruje sieci szkolnej w czasie rzeczywistym |
| Pomoc prawna | Szablony i checklisty KSC | Nie świadczy usług prawnych; dokumenty są informacyjne |
| Pytania o NIS2 / KSC | compliance@cyberzgodnosc.edu.pl |
| Zgłoszenie incydentu (platforma) | security@cyberzgodnosc.edu.pl |
| Ogólne zapytania | kontakt@cyberzgodnosc.edu.pl |
| Organ nadzorczy (KSC) | CERT Polska / CSIRT GOV — cert.pl |
| Organ nadzorczy (RODO) | UODO — uodo.gov.pl |