KSC · NIS2 · oświata

KSC dotyczy Twojej szkoły.
Mamy plan na każdy krok.

Platforma dla dyrektorów, koordynatorów IT, JST i IOD-ów. Przeprowadzamy przez samoidentyfikację, obsługę incydentów z zegarem 24h/72h/30 dni, rejestr ryzyka i ewidencję wyjątków. Bez piętnastu Exceli, bez prawniczego żargonu.

Zarezerwuj demo Porozmawiajmy
Polski hosting
Tamper-evident audit log
Zgodność z RODO i KSC
Wsparcie wdrożenia w cenie
Zegar incydentu

Masz 24 godziny.
Potem 72. Potem 30 dni.

Takie są terminy zgłaszania incydentów bezpieczeństwa z KSC. Pominięcie któregokolwiek raportu to nie opóźnienie — to niewykonanie obowiązku ustawowego. U nas każdy incydent automatycznie tworzy trzy zadania z odliczaniem czasu.

Wstępne powiadomienie

Do właściwego CSIRT-u: fakt incydentu, kategoria zagrożenia, wstępny zakres.

Raport pośredni

Ocena incydentu, status reakcji, potwierdzenie czy doszło do naruszenia.

Raport końcowy

Analiza przyczyn, podjęte środki, wnioski na przyszłość — dla CSIRT i UODO.

Co dostaniesz

Cztery obowiązki KSC
pod jednym loginem.

  1. Samoidentyfikacja podmiotu

    Kreator 8 pytań wyznacza, czy szkoła lub JST jest podmiotem kluczowym, ważnym, czy nieobjętym KSC. Decyzja zostaje w rejestrze, podpisana, z datą i śladem audytowym.

    ≈ 10 minut

  2. Obsługa incydentów z zegarem

    Zgłoszenie incydentu tworzy trzy zadania: 24h, 72h i 30 dni. Brakujący raport nie ginie w szufladzie — widnieje na tablicy z czerwonym znacznikiem, dopóki nie zostanie wysłany.

    w czasie rzeczywistym

  3. Rejestr ryzyka i ewidencja wyjątków

    Akceptowane ryzyka, środki kompensujące, daty ważności. Każdy wyjątek od polityki bezpieczeństwa ma właściciela, termin przeglądu i pełny łańcuch audytowy.

    aktualizowane na żywo

  4. Audit-pack — jeden ZIP, cały dowód

    Eksport stanu zgodności w dowolnym oknie czasowym: obowiązki, zadania, incydenty, zgłoszenia, ewidencje, łańcuch audytowy. Gotowy dla kontroli z CSIRT-u albo UODO — bez budzenia informatyka.

    na jedno kliknięcie
Dla kogo

Trzy role, jeden panel.

Szkoły

Szkoły podstawowe, ponadpodstawowe, niepubliczne. Dyrektor jako podmiot odpowiedzialny, koordynator IT i IOD jako realizatorzy. Jeden panel dla całej placówki.

JST

Gminy i powiaty prowadzące placówki oświatowe. Wydział oświaty, koordynatorzy ds. cyberbezpieczeństwa, audyt wewnętrzny — widok wielu placówek w jednym miejscu.

IOD-y i ABI-e

Obsługujesz kilka placówek jednocześnie? Jeden panel, wiele jednostek, spójne raporty. Koniec z przepisywaniem ewidencji z dwunastu różnych plików.

Pytania

Zanim zapytasz.

Czy moja szkoła w ogóle musi spełniać KSC?

To zależy od rodzaju podmiotu prowadzącego i wielkości placówki. Kreator samoidentyfikacji w platformie odpowiada na to pytanie ścieżką decyzyjną — wynik jest podpisany i zostaje w rejestrze jako dowód „należytej staranności". Jeśli szkoła nie jest objęta KSC, kreator też to stwierdza formalnie.

Czy moje dane są w Polsce?

Tak. Produkcyjne dane klientów polskich znajdują się w hostingu na terenie Polski. Kopie zapasowe są szyfrowane po stronie aplikacji (klucz znamy tylko my) i przechowywane u drugiego dostawcy w UE. Dane nigdy nie opuszczają obszaru UE.

Jak długo trwa wdrożenie?

Założenie konta i przeprowadzenie samoidentyfikacji: ten sam dzień. Pierwsza pełna inwentaryzacja obowiązków: 1–2 tygodnie przy zaangażowaniu administratora placówki. Uczestnicy programu pilotażowego otrzymują indywidualne wsparcie wdrożeniowe — wchodzimy razem.

Czy ktoś już z tego korzysta?

Jesteśmy w closed beta — pierwsze instalacje uruchomiono w maju 2026. Pierwsze 20 szkół i JST otrzymuje roczną subskrypcję bez opłat oraz dedykowane wsparcie wdrożeniowe. O przyjęciu do programu decydujemy na podstawie zgłoszenia.

Co jest dostarczone dziś

Funkcje platformy — bez slajdów z roadmapą.

Funkcje wspólne platformy

  1. Postgres RLS z FORCE — izolacja na poziomie bazy

    Dane każdej placówki odizolowane egzekwowaną przez bazę danych polityką RLS — nie filtrem w kodzie aplikacji. Brakujący filtr WHERE zwraca zero wierszy, nie dane innej szkoły.

    zawsze włączone

  2. Append-only dziennik audytowy z hash-chainem

    SHA-256 hash-chain per najemca, obliczany przez trigger Postgres — nie kod aplikacji. Endpoint /api/audit/verify zwraca kryptograficzny werdykt, nie wydrukowany raport.

    weryfikowalny

  3. WebAuthn passkeys + obowiązkowy TOTP MFA + OIDC SSO + SAML 2.0

    TOTP obowiązkowe od drugiego logowania. Passkeys WebAuthn dostępne do rejestracji. OIDC (ogólne + „Zaloguj się przez Microsoft") i SAML 2.0 per-najemca — na każdym planie, bez dopłat.

    każdy plan

  4. Szyfrowane backupy u dwóch dostawców — klucze poza serwerem

    Kopie szyfrowane po stronie aplikacji kluczem nieprzechowywanym na serwerze produkcyjnym. Każdy backup trafia jednocześnie do Cloudflare R2 i Backblaze B2. Błąd jest widoczny w panelu — nigdy cicho pomijany.

    R2 + B2

  5. Ingres wyłącznie przez Cloudflare Tunnel — zero otwartych portów

    Serwer produkcyjny nie ma żadnego publicznego portu. Cały ruch przychodzi tunelem inicjowanym wychodzącym połączeniem. Dostawca nie ma innej opcji dostępu niż przez ten kanał — i to jest cecha, nie ograniczenie.

    zero portów

Funkcje specyficzne dla szkół i JST

  1. Samoidentyfikacja KSC/NIS2 — kreator z rozgałęzieniami i przyciskiem Wstecz

    Jedna odpowiedź decyduje o kolejnych pytaniach. Osobna ścieżka dla szkoły, szpitala, urzędu, biblioteki — z przyciskiem Wstecz i wielopoziomowymi gałęziami warunkowymi. Wynik zostaje w rejestrze z datą i śladem audytowym: dowód „należytej staranności".

    ≈ 10 minut

  2. Zadania kontrolne per placówka z agregacją na poziomie gminy

    Każda szkoła lub JST otrzymuje własny zestaw zadań: dzienny, tygodniowy, kwartalny. Wydział oświaty lub IOD widzi status wszystkich podległych placówek w jednym panelu — bez zbierania Exceli z dwunastu szkół.

    widok zbiorczy

  3. ITSO per placówka — izolowany widok inspektora

    Inspektor Bezpieczeństwa Teleinformatycznego przypisany do konkretnej placówki widzi wyłącznie jej dane. Izolacja egzekwowana przez RLS na poziomie (tenant_id, org_unit_id) — nie przez filtr w widoku aplikacji.

    RLS enforced

  4. Tryb dyrektora — minimum klików, zero konfiguracji

    Dyrektor widzi tylko to, czego wymaga jego rola: otwarte zadania, aktywne incydenty, status samoidentyfikacji. Platforma prowadzi przez każdy krok. Żadnych paneli administratora, żadnych konfiguracji do zrobienia „zanim zaczniemy".

    rola-świadoma

  5. Ewidencja wyjątków od polityk i Rejestr Ryzyk

    Każdy wyjątek ma właściciela, termin, środki kompensujące i pełny łańcuch audytowy. Zamknięty wyjątek może automatycznie trafić do Rejestru Ryzyk jako akceptowane ryzyko rezydualne — bez ponownego wpisywania.

    aktualizowane na żywo

  6. Inwentaryzacja aktywów z monitoringiem CVE z NIST NVD

    Ewidencja aktywów IT per placówka z kategorią i cyklem życia. Nowe CVE automatycznie dopasowywane do zarejestrowanych aktywów — dyrektor lub koordynator IT potwierdza lub otwiera plan naprawczy.

    NVD polling

  7. Katalog dostawców + ocena własna przez podpisany link

    Ewidencja dostawców z krytycznością i datą umowy. Wygeneruj dla dostawcy podpisany link do kwestionariusza samooceny — wypełnia go bez zakładania konta. Wyniki dołączają do ewidencji dostawcy.

    bez konta dostawcy

  8. Audit-pack KSC — jeden ZIP, cały dowód

    Jeden ZIP: samoidentyfikacja, zadania, incydenty, rejestr ryzyka, ewidencja wyjątków, pełny łańcuch audytowy — gotowy dla kontroli z CSIRT-u lub UODO. Bez budzenia informatyka.

    na jedno kliknięcie

  9. Polski jako język podstawowy — terminologia KSC wprost

    Interfejs, nazwy ról, typy dokumentów i powiadomienia w języku polskim. Nie ma angielskiego oryginału z przekładem maszynowym. Nazewnictwo ról i dokumentów można dostosować per placówka.

    PL-native

  10. Powiadomienia: e-mail (M365 lub SMTP), Slack, Microsoft Teams, PagerDuty

    Konfigurowane kanały per zdarzenie: żądania zatwierdzenia, ostrzeżenia o upływie terminów, alerty anomalii. Raporty cykliczne dostarczane na e-mail lub Slack według harmonogramu. Dostarczenie jest audytowane — nigdy ciche.

    wielokanałowe

  11. Wykrywanie anomalii w dzienniku audytu

    Cztery aktywne detektory: nagły wzrost wskaźnika zatwierdzeń, wzorzec masowego usuwania, aktywność poza godzinami pracy, skok liczby logowań. Alerty widoczne w panelu i wysyłane przez skonfigurowane kanały powiadomień.

    4 detektory

  12. DLP na uploadach — PESEL, IBAN, karta, paszport

    Każdy plik dołączany jako dowód jest skanowany przed zapisem pod kątem numeru karty kredytowej, PL PESEL, IBAN, numeru paszportu i US SSN. Trafienie jest flagowane, wynik skanowania zapisywany w dzienniku audytowym.

    przed zapisem

  13. Raporty: CSV, Markdown, PDF executive z 4 ramami

    Eksport z wyborem kolumn, zakresem dat i filtrem. Format PDF generowany przez WeasyPrint bez zależności od przeglądarki. Podsumowanie executive obejmuje NIS2, KSC, ISO 27001 i NIST CSF 2.0 — z odniesieniami do konkretnych wpisów.

    na jedno kliknięcie

  14. WCAG 2.1 AA · ciemny i jasny motyw

    Pełne oznaczenia ARIA i struktura landmarków. Przełącznik motywu ciemnego i jasnego per użytkownik. Platforma działa z czytnikami ekranu — wymaganie WCAG dotyczące placówek publicznych jest spełnione.

    dostępność

Zgodność i bezpieczeństwo

Zgodność z RODO — DPA dostępne na życzenie (kontakt@cyberzgodnosc.edu.pl)
Operacyjna zgodność z NIS2 i KSC — wymagania art. 21 i art. 23 zasiane w katalogu kontrolnym
Hosting w UE (Polska) — region per-najemca, niezmienialny po rejestracji
Lista subprocesorów — wyślij zapytanie
Wyrównanie z ISO 27001 i program gotowości SOC 2 — certyfikacja nie jest jeszcze udzielona
Jak to działa

Od rejestracji do zgodności — cztery kroki.

  1. Rejestracja placówki lub JST

    Założenie konta, wybór regionu EU-PL, potwierdzenie e-maila. Dane od pierwszej transakcji izolowane polityką RLS Postgres. Szkoła lub gmina są operacyjne tego samego dnia.

    ten sam dzień

  2. Konfiguracja ról: dyrektor, ITSO, IOD

    Podłączenie IdP (OIDC lub SAML 2.0) lub lokalne konta z obowiązkowym TOTP. Przypisanie ról — każda widzi dokładnie tyle, ile potrzebuje. Dyrektor nie widzi konfiguracji, IOD widzi wszystkie placówki.

    1–2 godziny

  3. Samoidentyfikacja i pierwsza inwentaryzacja

    Kreator samoidentyfikacji przeprowadza przez pytania KSC/NIS2. Wynik podpisany, w rejestrze, z datą. Pierwsze zadania kontrolne tworzone automatycznie po zakończeniu kreatora.

    ≈ 10 minut

  4. Codzienna pętla zgodności

    Zadania na tablicy, incydenty w cyklu 24h/72h/30d, rejestr ryzyk aktualizowany na żywo. Raporty cykliczne trafiają na e-mail lub Slack. Audit-pack gotowy na jedno kliknięcie — bez budzenia informatyka.

    codziennie
Cennik

Jedna opłata za placówkę. Bezpieczeństwo na każdym planie.

Nie pobieramy opłat od użytkownika — to zniechęcałoby do rozproszenia odpowiedzialności, co jest odwrotnością celu platformy. MFA, dziennik audytowy z weryfikacją, RBAC i szyfrowanie są dostępne na każdym planie bez dopłat. Płacisz za rozmiar organizacji, nie za liczbę osób zalogowanych.

Szkoły i JST uczestniczące w programie pilotażowym otrzymują roczną subskrypcję bez opłat. Preferencyjne warunki dla sektora publicznego dostępne — zapytaj.

Zapytaj o cennik Kontrakt roczny · wycena na podstawie liczby placówek
Status · maj 2026

Pierwsze instalacje trwają właśnie teraz.

Closed beta jest otwarta. Pierwsze szkoły i JST konfigurują konta w maju 2026. Jeśli Twoja placówka musi domknąć KSC przed końcem roku — to jest właściwy moment.

Program pilotażowy

Pierwsze 20 szkół i JST otrzyma roczną subskrypcję bez opłat, dostęp do wszystkich modułów (Wyjątki, Rejestr Ryzyka, NIS2) oraz indywidualne wsparcie wdrożeniowe. W zamian — feedback i jedna referencja.

Zgłoś placówkę Najpierw porozmawiajmy

Rozpatrujemy zgłoszenia w ciągu 2 dni roboczych.

§ ochrona zdrowia

Pracujemy nad wersją dla szpitali i przychodni.

Jeśli reprezentujesz placówkę ochrony zdrowia objętą KSC lub NIS2 — daj znać. Skontaktujemy się, gdy ścieżka dla sektora medycznego ruszy.

Zgłoś placówkę zdrowotną