SZBIhub dla partnerów IT

Wdrażaj SZBI zgodne z ustawą o KSC u swoich klientów. Pod Twoją marką.

Według szacunków Ministerstwa Cyfryzacji ustawa o KSC może objąć około 38 000 podmiotów (w tym ok. 27 000 podmiotów publicznych); podmioty spełniające przesłanki 3.04.2026 składają wniosek o wpis do wykazu do 3.10.2026.

ref

gov.pl, "Nowelizacja ustawy o KSC - kogo obejmuje?" (20.04.2026); Dz.U. 2026 poz. 252

termin: art. 33 ust. 3 i art. 34 ust. 3 ustawy z 23.01.2026 r. (Dz.U. 2026 poz. 252) oraz komunikat Ministra Cyfryzacji z 8.04.2026 r. (Dz. Urz. MC 2026 poz. 7); liczba: szacunek Ministerstwa Cyfryzacji

Zobacz źródło →TODO-LEGAL-REVIEW
Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) zgodnego z ustawą o KSC jest wymagane do 3.04.2027
ref

Ustawa o krajowym systemie cyberbezpieczeństwa (nowelizacja), Dz.U. 2026 poz. 252

art. 33 ust. 1 ustawy z 23.01.2026 r. (Dz.U. 2026 poz. 252)

TODO-LEGAL-REVIEW
Ich pierwszy telefon trafi do Ciebie - ich firmy IT.

Stan prawny

Stan prawny treści: Ustawa z dnia 29 maja 2026 r. o zmianie ustawy o zarządzaniu kryzysowym oraz niektórych innych ustaw (Dz. U. z 2026 r. poz. 815); ostatnia weryfikacja: 12 lipca 2026. Pełny rejestr

Dlaczego teraz

Presja przychodzi od klientów, nie od urzędu

Zanim ktokolwiek ukarze Twojego klienta, jego własny kontrahent zapyta go o dowód zgodności - a on zapyta Ciebie.

Kontrahenci już proszą podmioty o wykazanie statusu zgodności z NIS2 - potwierdza to badanie CyberSmart "NIS2 Survey 2026" (n=670 liderów biznesu, 9 rynków UE w tym Polska).

ref

CyberSmart, "NIS2 Survey 2026" (badanie OnePoll, n=670, 9 rynków UE w tym Polska)

brak (obserwacja rynkowa, nie przepis prawny) - badanie rynkowe, nie ustawa

Zobacz źródło →TODO-LEGAL-REVIEW
Duże firmy i instytucje publiczne już dziś proszą swoich dostawców IT o dowód zgodności - a lista pytających będzie rosła, gdy ich własne obowiązki ustawy o KSC wejdą w życie.

Klient pyta najpierw Ciebie, nie ustawodawcę. Odpowiadasz "jeszcze to ogarniamy" albo płacisz za niego konsultantowi - i to za każdego klienta z osobna.Publiczne cenniki konsultantów wyceniają samo doradcze wdrożenie SZBI/ISO 27001 w małej i średniej firmie na ok. 10-40 tys. zł netto (bez audytu certyfikującego), a publiczne poradniki szacują pełne dostosowanie do ustawy o KSC wraz z technologią na 150-600 tys. zł - zależnie od skali i punktu startu.

ref

TQM Consulting (cennik wdrożeń ISO 27001); SecIQ, "Wdrożenie KSC 2.0 - praktyczny poradnik" (22.02.2026); Doradcy365 (pakiet NIS2 od 9 499 zł netto)

obserwacja rynkowa (nie przepis prawny) - publiczne cenniki i poradniki wdrożeniowe, odczyt 11.07.2026

Zobacz źródło →TODO-LEGAL-REVIEW

Efekt

Rozproszone Excele, Word i mail zamiast jednego kompletu dokumentów. Gotowego narzędzia po polsku, w cenie dostępnej dla MSP, po prostu nie było.

Jak to działa

Trzy kroki, jedna wizyta u klienta

Realny playbook partnera - nie architektura wewnętrzna platformy.

  1. Krok 1

    Zakwalifikuj klienta

    Wspólnie z klientem, w rozmowie (ok. 15 min), ustalacie czy jest podmiotem kluczowym, ważnym, czy poza zakresem ustawy o KSC.
  2. Krok 2

    Wygeneruj komplet dokumentów

    Profil klienta i pierwszy komplet dokumentów SZBI, pod Twoją marką - bez logo SZBIhub.

    ~20 min

    na pierwszy komplet

  3. Krok 3

    Oddaj raport zgodności

    Raport z lukami i planem na 30/60/90 dni - gotowy deliverable na spotkanie z klientem, podpisany Twoją marką.
wideo, 90 sw przygotowaniu

TODO-CONTENT: prawdziwy screencast jednego wdrożenia u klienta demo (bez lektora marketingowego) - patrz blueprint-nis2-www.md sekcja 8.

Przykładowy dokument (SPECIMEN)

Format wyjściowy generatora dokumentacji - do pobrania bez rejestracji. To próbka ze znakiem wodnym "SPECIMEN", nie gotowa dokumentacja zgodności.

Pobierz przykładowy PDF (SPECIMEN)

Co dostajesz

Konkretne moduły, nie obietnice

Zero teoretycznych 'kompleksowych rozwiązań' - to, co realnie używasz przy każdym kliencie.

M1

Generator dokumentacji SZBI

Wersjonowane szablony, eksport DOCX/PDF, zawsze pod Twoją marką.

M1

4 rejestry ustawowe

Aktywa, ryzyka, incydenty (Incydent poważny wymaga wczesnego ostrzeżenia w 24 h i zgłoszenia w 72 h od wykrycia.
ref

Ustawa o krajowym systemie cyberbezpieczeństwa (nowelizacja), Dz.U. 2026 poz. 252

art. 11 ust. 1 pkt 4 (wczesne ostrzeżenie, nie później niż 24 h od wykrycia) i pkt 4a (zgłoszenie, do 72 h od wykrycia) ustawy o krajowym systemie cyberbezpieczeństwa

TODO-LEGAL-REVIEW
), dostawcy - jeden komplet na klienta.

M1

Terminy ustawowe z przypomnieniami

Według szacunków Ministerstwa Cyfryzacji ustawa o KSC może objąć około 38 000 podmiotów (w tym ok. 27 000 podmiotów publicznych); podmioty spełniające przesłanki 3.04.2026 składają wniosek o wpis do wykazu do 3.10.2026.
ref

gov.pl, "Nowelizacja ustawy o KSC - kogo obejmuje?" (20.04.2026); Dz.U. 2026 poz. 252

termin: art. 33 ust. 3 i art. 34 ust. 3 ustawy z 23.01.2026 r. (Dz.U. 2026 poz. 252) oraz komunikat Ministra Cyfryzacji z 8.04.2026 r. (Dz. Urz. MC 2026 poz. 7); liczba: szacunek Ministerstwa Cyfryzacji

Zobacz źródło →TODO-LEGAL-REVIEW
Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) zgodnego z ustawą o KSC jest wymagane do 3.04.2027
ref

Ustawa o krajowym systemie cyberbezpieczeństwa (nowelizacja), Dz.U. 2026 poz. 252

art. 33 ust. 1 ustawy z 23.01.2026 r. (Dz.U. 2026 poz. 252)

TODO-LEGAL-REVIEW
plus coroczny cykl szkolenia i przeglądu SZBI - w jednym kalendarzu.

M3

Szkolenie kierownika + niemutowalny rejestr

W budowie - roadmapa

Kierownik podmiotu kluczowego lub ważnego odbywa szkolenie z zakresu cyberbezpieczeństwa raz w roku kalendarzowym, udokumentowane, na podstawie art. 8e ustawy o KSC.

ref

Ustawa o krajowym systemie cyberbezpieczeństwa (nowelizacja), Dz.U. 2026 poz. 252

art. 8e ust. 1 (obowiązek corocznego szkolenia) i ust. 3 (dokumentowanie udziału)

TODO-LEGAL-REVIEW
Certyfikat i append-only rejestr ukończenia, którego nie da się później "poprawić".

M1

Raport zgodności pod kontrolę

Gotowy do wydruku raport z lukami i planem 30/60/90 dni - deliverable na spotkanie z klientem, nie wewnętrzny dashboard.

M2

Wszystko pod marką partnera

W budowie - roadmapa

Klient widzi Twoją firmę, nie SZBIhub. Pełny white-label od pierwszego dokumentu.

Co znaczy „w budowie - roadmapa”

M2 i M3 są dziś w budowie - fazy, które je budują (F2, F3), jeszcze nie wystartowały. Nie ukrywamy tego pod kartą modułu: moduły oznaczone „w budowie” wchodzą do planu bez dopłaty z chwilą udostępnienia; do tego czasu plan obejmuje pełny M1. Zakres i status każdego modułu: roadmapa.

Ekonomia partnera

Marża to Twoja sprawa - my pokazujemy tylko arytmetykę

Nigdy nie sprzedajemy bezpośrednio do Twoich klientów (patrz sekcja 'Czego NIE robimy' niżej). Ty ustalasz cenę opieki nad zgodnością z ustawą o KSC - poniżej widać dokładnie, ile z tego zostaje po koszcie platformy.

790,00 zł

Plan Growth / mies.

Do 20 organizacji klienckich

79,00 zł

Koszt platformy / klient / mies.

Przy 10 klientach na planie Growth

300-800 zł

Rekomendowana stawka partnera / klient / mies.

Rekomendowane przez SZBIhub widełki wyceny opieki nad zgodnością z ustawą o KSC to 300-800 zł netto/klient/mies. - to nasza rekomendacja handlowa dla partnerów (cenę zawsze ustala partner), spójna z publicznymi cennikami pełnej opieki IT dla małych firm (od ok. 500 do ok. 5 500 zł/mies.).

ref

SZBIhub (rekomendacja); kontekst rynkowy: Sztorm IT, Pietruczyk IT, PRO-Admin, Sectum, Intelion - publiczne cenniki opieki IT 2026

rekomendacja handlowa SZBIhub (nie przepis prawny, nie dane rynkowe) - kontekst: publiczne cenniki opieki IT dla MSP, odczyt 11.07.2026

Zobacz źródło →TODO-LEGAL-REVIEW
Różnica między tą stawką a kosztem platformy to Twoja marża - nie negocjujemy jej ani jej nie narzucamy.

Policz swoją marżę

Ten sam kalkulator wraca na pełnej stronie cennika - liczy w Twojej przeglądarce, żadne dane nigdzie nie trafiają.

Do 50 - limit organizacji klienckich planu Scale.

Stawkę ustalasz Ty - to Twoja relacja z klientem, nie nasza.

Plan platformy

-

Koszt platformy/klient/mies.

-

Twoja marża/klient/mies.

-

Uczciwość

Czego NIE robimy

Większość dostawców pomija tę sekcję. My wolimy powiedzieć wprost, gdzie kończy się nasz zakres - inżynier inżynierowi.

Nie składamy wniosków za klienta - celowo

Zero zależności od rządowych API i harmonogramów urzędowych, których nie kontrolujemy. Rejestrację w Wykazie i zgłoszenia incydentów robicie Ty albo klient, na własnym koncie - my dajemy checklisty i instrukcje krok po kroku.

Nie świadczymy porady prawnej

Generator dokumentacji i rejestry to narzędzie, nie kancelaria. Tam, gdzie prawo wymaga interpretacji konkretnego przypadku, mówimy to wprost i odsyłamy do radcy prawnego - zobacz też disclaimer przy każdym narzędziu.

Nie mamy (jeszcze) integracji PSA/RMM

Obecnie brak integracji z narzędziami PSA/RMM partnerów - jawnie na roadmapie zamiast cichego pominięcia. Termin: TODO-CONTENT (nieokreślony). Ta sama pozycja jawnie na publicznej roadmapie, nie tylko tutaj.

Nigdy nie sprzedajemy klientom końcowym

Partner jest naszym jedynym kanałem sprzedaży. Nie zakładamy kont klientom bezpośrednio, nie wspieramy ich z pominięciem Ciebie i nie konkurujemy z Tobą o Twojego klienta - to stała zasada, nie faza wzrostu, którą kiedyś porzucimy.

Kto to buduje

TODO-CONTENT: nota o założycielu (kim jest, dlaczego akurat KSC/NIS2, jak wygląda praca nad produktem) - do napisania przed publikacją produkcyjną. Nie zmyślamy tu życiorysu ani danych spółki (blueprint-nis2-www.md sekcja 3.2, SACROSANCT): pełna wersja trafi też do odpowiedzi FAQ "kto za tym stoi" (zadanie W1.T5), dane spółki UK LTD jawnie w stopce (zadanie W1.T6).

Bezpieczeństwo i architektura

Stack jawnie, nie „zaufaj nam”

To samo, co pokazalibyśmy audytorowi Twojego klienta - zero czarnej skrzynki.

  • Stack

    .NET 10, PostgreSQL, hosting w UE - żadnego podprocesora danych Twoich klientów spoza Europy.
  • Izolacja tenantów

    Partner -> organizacja klienta to twarda granica danych: filtry na poziomie każdego zapytania, docelowo wzmacniane Postgres Row-Level Security.
  • Audit log append-only

    Rejestr zdarzeń (logowania, eksporty, impersonacje, zatwierdzenia dokumentów) zapisywany w trybie append-only na poziomie aplikacji; docelowo (F4) wzmacniany triggerem bazodanowym blokującym UPDATE/DELETE na wpisach.
  • MFA

    Uwierzytelnianie dwuskładnikowe (TOTP), wymuszone dla ról administracyjnych.
  • Backupy i procedura restore

    Docelowo (F4): szyfrowane at-rest kopie nocne w UE, retencja 30 dni + 12 miesięcznych, oraz runbook z przetestowaną i udokumentowaną procedurą przywracania. Element planowany - nie deklarujemy wykonanego dziś restore'u.
  • Eksport bez lock-in

    Projektujemy produkt tak, żebyś odchodził z danymi, nie z zerem. Docelowo (F4): pełny eksport danych organizacji na żądanie (dokumenty DOCX/PDF, rejestry CSV, profil) - funkcja planowana, nie jest jeszcze dostępna.

Lista 4 subprocesorów (hosting, e-mail transakcyjny, kopie zapasowe, DNS/CDN) - publikowana jawnie, z lokalizacją i zakresem przetwarzanych danych, wraz z podmiotami, które świadomie pozostają poza tą listą.

Cennik

Cennik zawsze publiczny, w złotówkach

Zero „umów demo, poznasz cenę”. Cztery plany, limity co do sztuki, żadnych ukrytych progów - pełna tabela, przełącznik mies./rocznie i kalkulator marży są na stronie cennika.

NFR

0 zł netto/mies.

0 (tylko organizacja własna partnera + demo)

Starter

390 zł netto/mies.

do 5 organizacji klienckich

Growth

790 zł netto/mies.

do 20 organizacji klienckich

Scale

1490 zł netto/mies.

do 50 organizacji klienckich

Zobacz pełny cennik i kalkulator marży

FAQ

Pytania, które i tak zada Twoja księgowa

Zero owijania w bawełnę - łącznie z pytaniami o fakturę od Paddle i o kary.

Dlaczego fakturę wystawia Paddle, a nie SZBIhub?

Paddle jest sprzedawcą (Merchant of Record) - to Paddle rozlicza VAT UE i wystawia fakturę partnerowi, nie my. Kwoty w cenniku są netto w PLN; przy podaniu NIP w checkoutcie VAT rozliczany jest odwrotnym obciążeniem - dokładnie tak, jak przy każdym zagranicznym SaaS (Microsoft, AWS). Twoja księgowa to zna. Przykładowa faktura (specimen) jest dostępna na stronie cennika.

TODO-LEGAL-REVIEW

TODO-LEGAL-REVIEW: mechanizm odwrotnego obciążenia VAT opisany powyżej to founder-draft z GTM blueprintu (D12/OP-1.2), nie potwierdzona przez księgowego/kancelarię cytata z ustawy - przed publikacją produkcyjną potwierdzić dokładną podstawę prawną (traktowanie B2B, NIP nabywcy) i, jeśli zasadne, dodać ustrukturyzowany claim z `ref` zamiast wyłącznie prozy.
Co z karami - jaki jest stan faktyczny?

Poniżej stan faktyczny wraz z referencją do ustawy - sprawdź źródło w jednym kliknięciu.

Kary administracyjne za naruszenie obowiązków ustawy o KSC obowiązują od 3.04.2028, z wyjątkiem art. 73 ust. 5.

ref

Ustawa o krajowym systemie cyberbezpieczeństwa (nowelizacja), Dz.U. 2026 poz. 252

art. 35 ustawy z 23.01.2026 r. (odroczenie kar z art. 73 ust. 1-4, art. 73a-73c i art. 76b do 3.04.2028); wyjątek: art. 73 ust. 5 (kara do 100 mln zł za naruszenia powodujące bezpośrednie i poważne zagrożenie - obowiązuje od 3.04.2026, nieobjęta odroczeniem)

TODO-LEGAL-REVIEW

Co się dzieje, gdy zmieni się ustawa?

Agent monitoringu prawnego (proces OP-3.4) skanuje co tydzień Dziennik Ustaw, RCL/Sejm i wytyczne CSIRT/ENISA. Zmiany istotne dla treści przygotowuje jako draft aktualizacji (diff), który przechodzi przez decyzję założyciela i - gdy potrzeba - pytanie do kancelarii, zanim trafi do publikacji. Każda publikacja aktualizuje publiczny "Rejestr zmian prawnych" (data, źródło, werdykt, co zaktualizowano) oraz pasek "ostatnia weryfikacja stanu prawnego" na stronie głównej - oba czytają z tego samego rejestru.

Czy mogę odejść z danymi?

Już dziś każdy rejestr (aktywa, ryzyka, incydenty, dostawcy) eksportujesz do CSV lub PDF z poziomu platformy. Pełny eksport wszystkich danych organizacji jednym kliknięciem - komplet dokumentów, rejestrów i terminów w jednym archiwum ZIP - jest zaplanowany (etap F4), ale jeszcze nie jest dostępny. Zero lock-in to zasada projektowa produktu, nie tylko slogan: nie budujemy formatów, z których nie da się wyeksportować danych.

Kto za tym stoi?

SZBIhub jest budowany przez jednego inżyniera (nie zespół sprzedażowy) - bez oderwanych od produktu obietnic. Spółką prowadzącą jest Supremeware Ltd (UK LTD). Nr 09922936, University Of Warwick Enterprise Park, Wellesbourne, Warwick, United Kingdom, CV35 9EF.