NIS2 w Excelu czy w platformie GRC? Praktyczne porównanie po wejściu KSC 2.0
KSC 2.0 obowiązuje od 3 kwietnia 2026. Sprawdź, kiedy Excel wystarczy do NIS2, a kiedy zaczyna kosztować — i jak utrzymać ciągłą zgodność w platformie GRC.
NIS2 przestał być tematem „na przyszły rok”. Od 3 kwietnia 2026 r. obowiązuje znowelizowana ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC 2.0), która wdraża dyrektywę NIS2 do polskiego prawa.
Zakres regulacji rozszerzył się z kilkuset operatorów usług kluczowych do nawet kilkudziesięciu tysięcy organizacji, a za zgodność osobiście odpowiada teraz zarząd. I tu pojawia się pierwszy odruch wielu firm: Excel. Checklista wymagań, kolumna ze statusem, dowody w folderach, przypomnienia mailem. Na początku to działa. Przynajmniej pozornie.
Problem zaczyna się później - gdy lista wymagań zamienia się w żywy proces: trzeba przypisać właścicieli, zebrać dowody, ocenić dostawców, zaraportować zarządowi i przygotować się na incydent, który nie poczeka, aż ktoś znajdzie właściwy plik w folderze „final_final_v3”.
W tym artykule porównujemy dwa podejścia do NIS2 — samodzielne zarządzanie w Excelu, mailach i folderach oraz zarządzanie w platformie GRC, takiej jak Quantifier.ai. Celem nie jest udowodnienie, że Excel jest zły. Excel jest świetny na start. Rzecz w tym, że przy NIS2 start to najłatwiejsza część.
Dlaczego NIS2 trudno prowadzić ręcznie?
Na papierze NIS2 wygląda jak lista obowiązków. W praktyce to sieć procesów, ludzi, dokumentów, terminów i dowodów — a KSC 2.0 nadaje jej konkretne ramy prawne i czasowe.
Art. 21 dyrektywy NIS2 wymaga „odpowiednich i proporcjonalnych” środków technicznych i organizacyjnych w kilkunastu obszarach: zarządzanie ryzykiem, obsługa incydentów, ciągłość działania, bezpieczeństwo łańcucha dostaw, kontrola dostępu, MFA, szyfrowanie, ocena skuteczności zabezpieczeń. To nie jest jedna polityka do odhaczenia — to system, który trzeba utrzymać i udowodnić.
Do tego dochodzi reżim raportowania incydentów, który działa „zegarowo”: wczesne ostrzeżenie w 24 godziny, pełne zgłoszenie w 72 godziny, sprawozdanie końcowe w 30 dni. Tego nie da się „nadrobić w arkuszu”, gdy incydent już trwa.
Ręczne podejście pęka w momencie, gdy w procesie uczestniczy więcej niż jedna osoba. A przy NIS2 uczestniczy ich zwykle wiele: IT, security, zarząd, compliance, legal, procurement, właściciele systemów i procesów, dostawcy. Każdy ma fragment układanki. Ktoś ma politykę, ktoś logi, ktoś zna dostawcę, a ktoś inny „chyba kiedyś widział tę procedurę”.
I tu zaczyna się prawdziwa praca.
Kiedy Excel wystarcza, a kiedy zaczyna przeszkadzać
Excel ma sens na etapie rozpoznania. Jeśli firma dopiero sprawdza, czy w ogóle podlega pod KSC 2.0, buduje pierwszą mapę wymagań albo prowadzi wstępny warsztat compliance — arkusz jest dobrym szkicem.
Problem zaczyna się wtedy, gdy szkic zaczyna udawać system zarządzania zgodnością. Excel przestaje wystarczać, gdy pojawiają się: różni właściciele wymagań, wiele statusów do aktualizacji, dowody w wielu lokalizacjach, zadania cykliczne, dostawcy do oceny, obowiązek raportowania do zarządu, wymagania audytowe, incydenty wymagające szybkiej eskalacji oraz powiązania z innymi standardami (ISO 27001, DORA, SOC 2, NIST).
Wtedy arkusz nie jest już prostym narzędziem. Staje się kolejnym miejscem, które trzeba ręcznie utrzymywać przy życiu — a najdroższy w NIS2 nie jest pierwszy arkusz. Najdroższe jest utrzymanie go w czasie.
Excel vs platforma GRC: gdzie znika czas
Największy koszt ręcznego podejścia to nie wypełnianie tabeli. To koordynacja, dopytywanie, przypominanie, szukanie dokumentów i ręczne składanie raportów. Poniżej praktyczne porównanie obu modeli.
Excel pokazuje listę. Platforma prowadzi proces. To jest zasadnicza różnica — i to ona decyduje, czy zgodność da się utrzymać przez kolejne 12 miesięcy, a nie tylko zbudować raz.
NIS2 jako continuous compliance
Najczęstszy błąd to traktowanie NIS2 jak projektu do zamknięcia: zrobimy analizę, przygotujemy dokumenty, odhaczymy wymagania i wrócimy do tematu za rok.
Tyle że NIS2 dotyczy obszarów, które stale się zmieniają — systemów IT, dostawców, podatności, incydentów, procesów, osób odpowiedzialnych i ryzyk. Dlatego sensowniejszy jest model continuous compliance: ciągłego utrzymywania zgodności jako systemu, a nie jednorazowego zrywu.
W tym modelu firma nie pyta raz w roku „czy jesteśmy zgodni?”. Pyta regularnie: które kontrole są aktywne, które dowody są aktualne, które ryzyka wzrosły, którzy dostawcy wymagają przeglądu, czy zarząd ma aktualny obraz i czy procedura incydentowa jest gotowa do użycia. To jest dokładnie ten typ ciągłej widoczności, którego arkusz nie zapewni — i powód, dla którego KSC 2.0 wymaga systemu zarządzania zgodnością, a nie tabelki.
Warstwa AI: co realnie automatyzuje pracę
W platformie GRC część pracy operacyjnej przejmuje warstwa AI (w Quantifier.ai realizuje to AI Officer — asystent działający między regulacją, dokumentacją i codzienną pracą zespołu).
AI Officer nie zastępuje compliance managera, CISO ani właściciela ryzyka — oddawanie odpowiedzialności za cyberbezpieczeństwo algorytmowi to dobry pomysł wyłącznie w filmie katastroficznym. Wspiera natomiast w analizie wymagań, tłumaczeniu regulacji na konkretne zadania, wykrywaniu luk w dokumentacji, podpowiadaniu właścicieli działań, analizie ryzyka dostawców i przygotowaniu podsumowań dla zarządu.
W praktyce zamiast pytać „kto miał to uzupełnić?”, zespół widzi w jednym miejscu: co jest wymagane, kto jest właścicielem, jaki jest status, czego brakuje i co wymaga decyzji. To zamienia NIS2 z ręcznej checklisty w zarządzany proces.
Czego Excel nie obsłuży po wejściu KSC 2.0
Tu kończy się teoria, a zaczynają twarde terminy z polskiej ustawy. KSC 2.0 nadała NIS2 konkretną oś czasu i sankcje — i to jest moment, w którym „arkuszowe” podejście robi się ryzykowne:
- 3 października 2026 r. — termin na samoidentyfikację i złożenie wniosku o wpis do wykazu podmiotów kluczowych i ważnych.
- 3 kwietnia 2027 r. — koniec okresu dostosowawczego: do tego dnia trzeba mieć wdrożony system zarządzania bezpieczeństwem informacji i środki zarządzania ryzykiem.
- 3 kwietnia 2028 r. — pierwszy obowiązkowy audyt dla podmiotów kluczowych i pełna egzekucja kar.
Sankcje należą do najsurowszych w UE: dla podmiotów kluczowych do 10 mln EUR lub 2% rocznego obrotu, dla ważnych do 7 mln EUR lub 1,4% obrotu (liczy się wyższa wartość). Do tego dochodzi osobista odpowiedzialność członków zarządu — podobnie jak w RODO.
Excel nie przypomni o terminie 3 października. Nie zbuduje audit trail na audyt w 2028 r. Nie udowodni regulatorowi, kto, kiedy i na podstawie jakich dowodów zatwierdził środki bezpieczeństwa. Przy tej stawce pytanie nie brzmi „czy da się to zrobić w Excelu”, tylko „jak długo da się to utrzymać bez chaosu — i czy obroni się przed organem nadzoru”.
Excel czy platforma GRC: krótka odpowiedź
Excel pomaga zacząć — przy pierwszym rozpoznaniu, mapie obowiązków, małym zakresie systemów.
Platforma GRC pomaga utrzymać zgodność w czasie — gdy w grę wchodzi wielu właścicieli, dowody, dostawcy, raportowanie do zarządu, audit trail i twarde terminy KSC 2.0.
Im więcej osób, systemów i dowodów, tym szybciej platforma się zwraca — nie dlatego, że jest „ładniejsza” od Excela, tylko dlatego, że porządkuje odpowiedzialność.
Jak Quantifier.ai pomaga przejść z Excela do ciągłej zgodności
Quantifier.ai prowadzi organizacje od ręcznego zarządzania compliance do modelu continuous compliance — przez gotowe frameworki i mapowanie kontroli, AI Officera wspierającego analizę luk, przypisywanie zadań właścicielom, workflow przeglądów, centralne repozytorium dowodów, dashboardy statusu i ryzyka, zarządzanie dostawcami, wsparcie procesów incydentowych oraz cross-mapping NIS2 z ISO 27001, DORA i SOC 2.
Dzięki temu NIS2 nie jest osobnym arkuszem trzymanym przez jedną osobę. Staje się procesem widocznym dla całej organizacji — i możliwym do obronienia przed audytorem.
Zobacz, jak Quantifier.ai mapuje wymagania NIS2 i KSC 2.0 na działający proces → umów demo.
FAQ
Czy NIS2 można wdrożyć samodzielnie w Excelu?
Tak, na początku. Excel pomaga przy mapowaniu wymagań, pierwszej checkliście i ustaleniu właścicieli. Problem pojawia się przy utrzymaniu zgodności, zbieraniu dowodów, raportowaniu statusów, ocenie dostawców i budowaniu audit trail wymaganego po wejściu KSC 2.0.
Od kiedy obowiązują przepisy KSC 2.0 wdrażające NIS2 w Polsce?
Znowelizowana ustawa o KSC weszła w życie 3 kwietnia 2026 r. Kluczowe terminy to: 3 października 2026 r. (samoidentyfikacja i wpis do wykazu), 3 kwietnia 2027 r. (koniec okresu dostosowawczego) oraz 3 kwietnia 2028 r. (pierwszy obowiązkowy audyt i pełna egzekucja kar).
Kiedy firma powinna przejść z Excela na platformę GRC?
Wtedy, gdy w procesie uczestniczy wiele działów, pojawia się obowiązek raportowania do zarządu, zbierania dowodów, monitorowania dostawców, obsługi incydentów w reżimie 24/72/30 i ciągłego aktualizowania statusu zgodności.
Czy AI Officer zastępuje compliance managera?
Nie. AI Officer wspiera zespół, automatyzując powtarzalne zadania, analizując luki, porządkując dowody i pomagając przygotować raporty. Odpowiedzialność za decyzje i zgodność pozostaje po stronie organizacji i zarządu.
Jakie procesy NIS2 można automatyzować?
Między innymi mapowanie wymagań, przypisywanie zadań, zbieranie dowodów, przeglądy kontroli, ocenę dostawców, raportowanie statusu, workflow incydentów i przygotowanie do audytu.
Czy platforma do NIS2 pomaga też przy innych regulacjach?
Tak, jeśli obsługuje cross-mapping frameworków. Wiele kontroli NIS2 pokrywa się z wymaganiami ISO 27001, DORA, SOC 2 i NIST — jedna baza dowodów obsługuje kilka reżimów naraz.
Ile podmiotów obejmuje KSC 2.0?
Nowelizacja rozszerzyła zakres z kilkuset operatorów usług kluczowych do nawet kilkudziesięciu tysięcy organizacji - m.in. z sektorów produkcji, spożywczego, chemicznego, gospodarki ściekowej, usług pocztowych i ICT. Wiele firm, które wcześniej nie podlegały regulacji, jest objętych po raz pierwszy.