Od 3 kwietnia 2026 roku obowiązuje w Polsce znowelizowana ustawa o Krajowym Systemie Cyberbezpieczeństwa (tzw. UKSC 2.0) - polska implementacja unijnej dyrektywy NIS2. Obejmuje około 42 000 firm w 18 sektorach. Jeśli Twoja firma jest wśród nich, do 3 października 2026 musisz zarejestrować ją w systemie S46, a do 3 kwietnia 2027 - wdrożyć pełen zestaw środków zarządzania ryzykiem.
Większość poradników skupia się na firewallach, monitoringu i procedurach zgłaszania incydentów. My chcemy porozmawiać o wymogu, który najtrudniej "odhaczyć" - i o który audytor zapyta na pewno.
Najsłabsze ogniwo: pojedynczy człowiek
Wyobraź sobie typową polską firmę z sektora objętego NIS2 - powiedzmy 40-osobową spółkę logistyczną albo dostawcę usług IT. Zapytaj: kto ma dostęp do panelu administracyjnego serwerów? Kto zna hasło do konta bankowego firmy? Gdzie są kody odzyskiwania do domeny i poczty?
W 9 na 10 przypadków odpowiedź brzmi: jedna osoba. Prezes, wspólnik-założyciel albo "nasz informatyk".
Teraz drugie pytanie - to samo, które zada audytor: co się stanie, gdy ta osoba nagle będzie niedostępna? Wypadek, choroba, konflikt, odejście z dnia na dzień. Czy firma dalej działa? Czy ktokolwiek wie, jak się zalogować?
To jest tzw. key person risk - i NIS2 wymaga, żeby był zarządzony.
Co dokładnie mówi prawo
Artykuł 21 dyrektywy NIS2 (i odpowiadające mu przepisy UKSC 2.0) nakłada na podmioty kluczowe i ważne obowiązek wdrożenia środków obejmujących m.in.:
- ciągłość działania (BCP) - udokumentowane plany na wypadek zakłóceń, w tym niedostępności zasobów krytycznych, którymi są także ludzie;
- plany odtworzeniowe (DRP) - jak firma wraca do działania po incydencie;
- zarządzanie dostępami - kto ma dostęp do czego i co się z nim dzieje w sytuacjach awaryjnych;
- zarządzanie kryzysowe - procedury i role na wypadek zdarzeń nadzwyczajnych.
Plany muszą być udokumentowane, testowane i aktualizowane - deklaracja "jakoś sobie poradzimy" nie przejdzie audytu.
Stawka jest wysoka: kary sięgają 10 mln EUR lub 2% globalnego obrotu dla podmiotów kluczowych (7 mln EUR / 1,4% dla ważnych), a kierownictwo odpowiada osobiście - włącznie z możliwością czasowego odsunięcia od pełnienia funkcji.
Jak wygląda audytowalny plan na wypadek niedostępności kluczowej osoby
Dobry plan odpowiada na cztery pytania:
- Co jest krytyczne? Lista systemów, kont, dostępów i dokumentów, bez których firma staje.
- Kto przejmuje? Imiennie wskazane osoby zastępujące, z określonym zakresem.
- Jak dostają dostęp? Bezpieczny, zaszyfrowany mechanizm przekazania - nie karteczka w sejfie, która była aktualna dwa lata temu.
- Skąd wiadomo, że to działa? Dziennik zdarzeń, daty konfiguracji, dowód że mechanizm jest aktywny.
I tu pojawia się problem praktyczny: jak przekazać komuś dostępy dopiero wtedy, gdy są potrzebne - a nie wcześniej? Nikt rozsądny nie rozdaje przecież haseł administratora "na zapas".
Dead man's switch - mechanizm, który rozwiązuje ten problem
Rozwiązaniem znanym od lat w świecie bezpieczeństwa jest tzw. dead man's switch: system, który automatycznie przekazuje zaszyfrowane informacje wyznaczonym osobom, gdy właściciel przestaje odpowiadać.
Tak działa WhatIf:
- Kluczowa osoba buduje zaszyfrowany sejf (hasła, dostępy, instrukcje, dokumenty) - dane są szyfrowane AES-256-GCM po stronie przeglądarki, zanim opuszczą komputer. Nikt - łącznie z nami - nie może ich odczytać.
- Wyznacza osoby awaryjne i okres ochronny (od 24 godzin do 30 dni).
- Gdy osoba awaryjna prosi o dostęp, właściciel dostaje natychmiastowe powiadomienie i może anulować żądanie. Jeśli nie reaguje przez cały okres ochronny - dostęp zostaje przyznany.
- Każde zdarzenie jest zapisane w dzienniku audytowym - z datą, godziną i statusem.
Dla audytora oznacza to: firma ma udokumentowany, przetestowany i aktywny mechanizm ciągłości działania dla ryzyka kluczowej osoby. Punkt z listy - zamknięty.
Dodatkowy argument dla firm objętych NIS2: wszystkie dane WhatIf są przetwarzane i przechowywane wyłącznie w UE (Frankfurt), zgodnie z RODO.
Czego dead man's switch NIE załatwia
Uczciwie: WhatIf nie zrobi za Ciebie całego compliance NIS2. Nadal potrzebujesz systemu zarządzania bezpieczeństwem informacji, szkoleń, monitoringu, procedur zgłaszania incydentów do CSIRT (24 godziny!) i audytów. WhatIf zamyka jeden konkretny - ale wyjątkowo trudny do samodzielnego rozwiązania - obszar: ciągłość działania w wymiarze ludzkim.
Od czego zacząć - 15 minut, 3 kroki
- Zrób listę krytycznych dostępów. Systemy, konta, domeny, bankowość, kody odzyskiwania. Jeśli lista istnieje tylko w czyjejś głowie - to jest Twoje ryzyko numer jeden.
- Wskaż zastępców. Kto powinien przejąć dostępy w sytuacji awaryjnej? Wspólnik? Prokurent? Zaufany manager?
- Załóż sejf w WhatIf. Asystent AI przeprowadzi Cię przez proces pytanie po pytaniu, a wskaźnik gotowości pokaże, ile jeszcze zostało do uporządkowania.
Termin rejestracji w S46 mija 3 października 2026. Plany ciągłości działania muszą być gotowe do kwietnia 2027. Najlepszy moment na zamknięcie tematu key person risk jest teraz - zanim zapyta o niego audytor.
Artykuł nie stanowi porady prawnej. Klasyfikacja podmiotu i szczegółowy zakres obowiązków wynikających z UKSC 2.0/NIS2 zależą od indywidualnej sytuacji - skonsultuj się z prawnikiem lub audytorem.
Zamknij temat key person risk przed audytem
WhatIf to zaszyfrowany sejf z automatycznym dostępem awaryjnym - udokumentowany dowód ciągłości działania dla Twojej firmy.
Zacznij za darmo - 30 dniSince 3 April 2026, Poland's amended Act on the National Cybersecurity System (UKSC 2.0) - the national implementation of the EU NIS2 directive - has been in force. It covers around 42,000 companies across 18 sectors. If your company is among them, you must register in the S46 system by 3 October 2026 and implement a full set of risk management measures by 3 April 2027.
Most guides focus on firewalls, monitoring and incident reporting. We want to talk about the requirement that is hardest to "tick off" - and the one an auditor will certainly ask about.
The weakest link: a single person
Picture a typical company covered by NIS2 - say, a 40-person logistics firm or an IT services provider. Ask: who has access to the server admin panel? Who knows the password to the company bank account? Where are the recovery codes for the domain and email?
In 9 out of 10 cases the answer is: one person. The CEO, a founding partner, or "our IT guy".
Now the second question - the one the auditor will ask: what happens when that person suddenly becomes unavailable? An accident, illness, conflict, overnight departure. Does the company keep running? Does anyone know how to log in?
This is key person risk - and NIS2 requires it to be managed.
What the law actually says
Article 21 of NIS2 (and the corresponding UKSC 2.0 provisions) obliges essential and important entities to implement measures including:
- business continuity (BCP) - documented plans for disruptions, including the unavailability of critical resources, which includes people;
- disaster recovery (DRP) - how the company returns to operation after an incident;
- access management - who has access to what, and what happens to it in emergencies;
- crisis management - procedures and roles for extraordinary events.
Plans must be documented, tested and kept up to date - "we'll manage somehow" will not pass an audit.
The stakes are high: fines reach EUR 10 million or 2% of global turnover for essential entities (EUR 7 million / 1.4% for important ones), and management is personally liable - including possible temporary removal from their role.
What an auditable key-person continuity plan looks like
A good plan answers four questions:
- What is critical? A list of systems, accounts, credentials and documents without which the company stops.
- Who takes over? Named substitutes with a defined scope.
- How do they get access? A secure, encrypted handover mechanism - not a note in a safe that was accurate two years ago.
- How do you know it works? An event log, configuration dates, proof the mechanism is active.
And here is the practical problem: how do you hand over access only when it is needed - and not before? No sensible person hands out admin passwords "just in case".
Dead man's switch - the mechanism that solves this
A solution known for years in the security world is the dead man's switch: a system that automatically delivers encrypted information to designated people when the owner stops responding.
This is how WhatIf works:
- The key person builds an encrypted vault (passwords, credentials, instructions, documents) - data is encrypted with AES-256-GCM in the browser before it leaves the computer. No one - including us - can read it.
- They designate emergency contacts and a protection period (24 hours to 30 days).
- When an emergency contact requests access, the owner is notified immediately and can cancel the request. If they do not react for the entire protection period - access is granted.
- Every event is recorded in an audit log - with date, time and status.
For the auditor this means: the company has a documented, tested and active business continuity mechanism for key person risk. Item - closed.
An extra argument for companies under NIS2: all WhatIf data is processed and stored exclusively in the EU (Frankfurt), in line with GDPR.
What a dead man's switch does NOT solve
Honestly: WhatIf will not do your entire NIS2 compliance for you. You still need an information security management system, training, monitoring, CSIRT incident reporting procedures (24 hours!) and audits. WhatIf closes one specific - but exceptionally hard to solve on your own - area: business continuity in its human dimension.
Where to start - 15 minutes, 3 steps
- List your critical credentials. Systems, accounts, domains, banking, recovery codes. If the list exists only in someone's head - that is your risk number one.
- Name the substitutes. Who should take over access in an emergency? A partner? An authorised manager?
- Set up a WhatIf vault. The AI assistant walks you through the process question by question, and the readiness score shows how much is left to organise.
The S46 registration deadline is 3 October 2026. Continuity plans must be ready by April 2027. The best moment to close the key person risk topic is now - before the auditor asks about it.
This article is not legal advice. Entity classification and the detailed scope of UKSC 2.0/NIS2 obligations depend on individual circumstances - consult a lawyer or auditor.
Close the key person risk topic before the audit
WhatIf is an encrypted vault with automatic emergency access - documented proof of business continuity for your company.
Start free - 30 days