# Checklist NIS2 / RODO - biuro rachunkowe 5-osobowe

> **Materiał informacyjny, nie porada prawna.** Skonsultujcie z radcą prawnym, czy waszej firmy dotyczą obowiązki NIS2.
> **Data:** 2026-05-28
> **Wydawca:** CyberCerber (cybercerber.pl)

## Kontekst zakresu

Biuro rachunkowe **zwykle nie podlega** NIS2. Wpadacie w zakres tylko, gdy łącznie:

- klient z waszego portfela jest podmiotem kluczowym lub ważnym z załącznika I/II UKSC, ORAZ
- jesteście jego krytycznym dostawcą ICT (a nie zwykłym księgowym), ORAZ
- spełniacie próg ≥50 pracowników LUB ≥10 mln euro obrotu.

Dla 5-osobowego biura ten scenariusz jest **rzadki**. Niezależnie - lista poniżej to standard art. 32 RODO, który dotyczy was zawsze.

## Dokumentacja (papier)

- [ ] Pisemna polityka analizy ryzyka cyber (1-2 strony, roczny przegląd)
- [ ] Rejestr czynności przetwarzania (art. 30 RODO)
- [ ] Klauzule informacyjne dla klientów (art. 13 RODO)
- [ ] Umowy powierzenia (DPA) z dostawcami SaaS (art. 28 RODO)
- [ ] Procedura zgłaszania incydentów: UODO 72h + (jeśli NIS2) CSIRT NASK 24h/72h/30 dni
- [ ] Procedura weryfikacji przelewów drugim kanałem
- [ ] Klauzule cyber w umowach z klientami: prawo audytu, MFA u was, zgłaszanie incydentów

## Środki techniczne (wdrożenie)

- [ ] MFA na: e-mail biznesowy, KSeF, e-Urząd Skarbowy, ZUS PUE, bankowość
- [ ] MFA na: oprogramowanie księgowe (Comarch, Symfonia, Insert, enova)
- [ ] MFA na: panel administracyjny strony, hosting, CRM
- [ ] Menedżer haseł firmowy (Bitwarden/1Password) - migracja haseł zespołowych
- [ ] BitLocker (Windows Pro) / FileVault (macOS) na wszystkich laptopach
- [ ] Backup 3-2-1: oryginał + NAS biuro + chmura z immutable (S3 Object Lock)
- [ ] Test odzysku backupu: jeden plik co miesiąc, baza pełna co kwartał
- [ ] SPF + DKIM + DMARC dla domeny biura (DMARC p=reject po 4-8 tygodniach raportów)

## Ludzie

- [ ] Szkolenie zarządu (lub właściciela) z cyberbezpieczeństwa raz w roku
- [ ] Szkolenie zespołu raz w kwartale + symulacja phishingu raz w miesiącu
- [ ] Lista obecności na szkoleniach, materiały zachowane w archiwum
- [ ] Procedura offboardingu: natychmiastowe odebranie kont przy odejściu pracownika

## Audyt zewnętrzny

- [ ] Roczna zewnętrzna ocena podatności (warstwa techniczna art. 21(2)(d) NIS2 + art. 32 RODO)
- [ ] Raport CVSS z planem naprawczym
- [ ] Naprawienie ustaleń krytycznych w 7 dni, wysokich w 30 dni
- [ ] Zachowanie raportów audytu jako dowodu zgodności na kontrolę UODO / NIS2

## Następne kroki

Jeśli powyższe lista zawiera braki: [zamów bezpłatne skanowanie wstępne CyberCerber](https://cybercerber.pl/prescan/) lub [zobacz cennik pełnego audytu](https://cybercerber.pl/cennik/).

---

Wersja: 1.0 · Aktualizacja: 2026-05-28 · Następna planowana: 2026-08-28 (Q3 2026)