NIS2 dla MŚP — czy Twoja firma podlega i co zrobić, zanim zapyta o to Twój klient.

Polska ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC), wdrażająca dyrektywę NIS2, obowiązuje od 3 kwietnia 2026 r. — obowiązki dotyczą firm już teraz, nie „w przyszłości". NIS2 obejmuje nie tylko banki i korporacje: regulacja działa w modelu samoidentyfikacji, więc to firma musi sama ocenić, czy jest podmiotem kluczowym lub ważnym. W tym artykule pokażemy, jak sprawdzić, czy NIS2 dotyczy Twojego MŚP, jakie terminy obowiązują, jakie są główne obowiązki i co uporządkować, zanim zapyta o to klient lub audyt.

Stan prawny: 3 kwietnia 2026 r. Podstawa: ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. 2026 poz. 20) wraz z nowelizacją z dnia 23 stycznia 2026 r. (Dz.U. 2026 poz. 252), wdrażającą dyrektywę (UE) 2022/2555 (NIS2). Artykuł nie stanowi porady prawnej — szczegółowe obowiązki należy weryfikować w aktualnym brzmieniu ustawy i aktów wykonawczych.

Czy NIS2 dotyczy małych i średnich firm w Polsce?

Tak — NIS2 może obejmować małe i średnie firmy, jeśli działają w jednym z sektorów wskazanych w załącznikach do ustawy KSC i osiągają próg wielkości średniego przedsiębiorstwa. Próg ten opiera się na definicji przedsiębiorstwa (rozporządzenie 651/2014/UE) i jest koniunkcyjny: firma musi zatrudniać co najmniej 50 osób ORAZ jednocześnie osiągać roczny obrót powyżej 10 mln EUR lub sumę bilansową powyżej 10 mln EUR. Kryterium zatrudnienia i kryterium finansowe trzeba więc spełnić łącznie — sama duża liczba pracowników przy niskim obrocie (lub odwrotnie) co do zasady nie przesądza o objęciu regulacją. To i tak oznacza, że spora część polskich MŚP wpada w zakres, mimo że ich właściciele nadal uważają NIS2 za „temat dla dużych".

• Status: Podmiot kluczowy

Próg wielkości (kryteria łączne): duży podmiot z sektora z zał. nr 1: ≥250 osób, lub obrót >50 mln EUR i suma bilansowa >43 mln EUR

• Status: Podmiot ważny

Próg wielkości (kryteria łączne): średni podmiot: ≥50 osób oraz obrót lub suma bilansowa >10 mln EUR

• Status: Niezależnie od wielkości

Próg wielkości (kryteria łączne): wybrane rodzaje działalności (patrz sekcja niżej) — bez względu na progi

Uwaga: powyższe progi to zasada ogólna; sektor, rodzaj działalności i wyjątki krajowe mogą ją modyfikować. Klasyfikację warto potwierdzić w tekście ustawy lub z doradcą.

Nowelizacja radykalnie poszerzyła katalog objętych firm. Wcześniej obowiązki dotyczyły około 400 podmiotów (operatorów usług kluczowych). Po wejściu w życie KSC 2.0 szacunki mówią o przedziale od 10 000 do nawet 30 000 organizacji w Polsce. Kategorię operatorów usług kluczowych zastąpił podział na podmioty kluczowe (essential) i ważne (important).

Zakres sektorowy jest precyzyjnie określony w dwóch załącznikach do ustawy. Do sektorów kluczowych należą m.in. energetyka, transport, bankowość, infrastruktura rynków finansowych, ochrona zdrowia, woda pitna i ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT, administracja publiczna i przestrzeń kosmiczna. Sektory ważne obejmują m.in. usługi pocztowe i kurierskie, gospodarowanie odpadami, produkcję i dystrybucję chemikaliów, produkcję i dystrybucję żywności, produkcję określonych wyrobów (m.in. medycznych, elektronicznych, maszyn, pojazdów) oraz dostawców usług cyfrowych. To tylko przykłady — pełny katalog znajduje się w załącznikach nr 1 i nr 2 do ustawy o KSC, a prawidłowe przypisanie do sektora jest pierwszym krokiem oceny.

W praktyce dla MŚP kluczowe nie jest pytanie „czy NIS2 dotyczy małych firm w ogóle", lecz „czy dotyczy konkretnie mojej firmy, w moim sektorze, przy mojej skali". Na to pytanie odpowiada samoidentyfikacja — opisana niżej.

Kiedy firma podlega NIS2 niezależnie od wielkości?

Część podmiotów podlega NIS2 bez względu na liczbę pracowników i obroty — także jako mikro lub mała firma. Decyduje wtedy nie wielkość, lecz rodzaj świadczonej usługi i jej krytyczność dla rynku. To najczęstsze źródło błędnej oceny „jesteśmy za mali, więc nas to nie dotyczy".

Ustawa wyróżnia kilka takich sytuacji. Niezależnie od wielkości KSC obejmuje m.in. dostawców usług DNS, dostawców usług TLD, kwalifikowanych dostawców usług zaufania, przedsiębiorców komunikacji elektronicznej oraz podmioty krytyczne i wskazane podmioty publiczne (art. 5 ust. 1 pkt 4 KSC). Dodatkowo organ właściwy może na podstawie art. 7l KSC uznać organizację za podmiot kluczowy lub ważny, nawet jeśli formalnie nie spełnia kryteriów wielkości.

Osobny, obniżony próg dotyczy dostawców usług zarządzanych w zakresie cyberbezpieczeństwa (MSSP). Podlegają oni KSC już od poziomu małego przedsiębiorcy (art. 5 ust. 1 pkt 3) — czyli znacznie niżej niż ogólna zasada średniego przedsiębiorcy. Mniejsza firma IT lub bezpieczeństwa, która dotąd zakładała, że regulacja jej nie dotyczy, powinna to zweryfikować w pierwszej kolejności.

Wniosek: zanim zastosujesz próg „50 osób lub 10 mln EUR", sprawdź, czy nie wpadasz do jednej z kategorii objętych niezależnie od wielkości. Dla firm cyfrowych i IT to często rozstrzyga sprawę.

Od kiedy NIS2 obowiązuje i jakie są terminy dla firm?

Nowelizacja KSC weszła w życie 3 kwietnia 2026 r. (Dz.U. 2026 poz. 252), więc terminy już biegną. Dla firm, które spełniają przesłanki podmiotu kluczowego lub ważnego w dniu wejścia ustawy w życie, najbliższy istotny termin to 3 października 2026 r. — koniec sześciomiesięcznego okna na samoidentyfikację i złożenie wniosku o wpis do wykazu prowadzonego przez Ministerstwo Cyfryzacji.

Harmonogram dla podmiotów istniejących w dniu wejścia ustawy w życie, wynikający z przepisów przejściowych nowelizacji, wygląda następująco:

• 3 kwietnia 2026 r. — wejście w życie nowelizacji; obowiązki zaczynają biec.

• 3 października 2026 r. — koniec 6-miesięcznego okna na samoidentyfikację i złożenie wniosku o wpis do wykazu.

• 3 kwietnia 2027 r. — koniec 12-miesięcznego okresu na pełne wdrożenie środków zarządzania ryzykiem (system zarządzania bezpieczeństwem informacji).

• 3 kwietnia 2028 r. — termin na pierwszy obowiązkowy audyt dla podmiotów kluczowych; od tego momentu pełna egzekucja kar administracyjnych.

Daty z 2027 i 2028 roku wydają się odległe, ale realna praca — mapowanie procesów, dobór dostawców, dokumentacja, szkolenia — zajmuje zwykle kilkanaście miesięcy. Z doświadczenia przy wcześniejszych zmianach regulacyjnych (RODO, DORA) firmy, które ruszały „na ostatnią chwilę", płaciły za pośpiech wyższymi kosztami i chaosem operacyjnym. Najbliższym realnym deadline'em dla zarządu nie jest więc rok 2027, lecz październik 2026 — moment, do którego trzeba wiedzieć, czy firma w ogóle podlega.

Skąd wiadomo, że firma podlega NIS2? Samoidentyfikacja krok po kroku

NIS2 działa w modelu samoidentyfikacji — to firma, a nie urząd, musi samodzielnie ocenić, czy kwalifikuje się jako podmiot kluczowy albo ważny, i jeśli tak, uzyskać wpis do wykazu. Nikt nie przyśle zawiadomienia „podlegacie regulacji". Brak takiego pisma nie oznacza, że obowiązek nie istnieje — oznacza, że obowiązek oceny leży po stronie zarządu.

W praktyce samoidentyfikację warto przeprowadzić w pięciu krokach:

1. Sprawdź rodzaj działalności objęty niezależnie od wielkości — czy jesteś MSSP, dostawcą DNS/TLD, kwalifikowanym dostawcą usług zaufania lub przedsiębiorcą komunikacji elektronicznej. Jeśli tak, podlegasz bez względu na skalę.

2. Przypisz firmę do sektora — sprawdź, czy Twoja działalność figuruje w załączniku nr 1 (sektory kluczowe) lub nr 2 (sektory ważne) do ustawy o KSC.

3. Określ wielkość firmy — wg definicji z rozporządzenia 651/2014/UE (zatrudnienie oraz obrót / suma bilansowa), aby ustalić, czy osiągasz próg średniego przedsiębiorstwa.

4. Ustal status — podmiot kluczowy czy ważny. Jeśli spełniasz kryteria obu kategorii, stosuje się zasady właściwe dla podmiotu kluczowego.

5. Złóż wniosek o wpis do wykazu — w terminie wynikającym z ustawy (dla podmiotów istniejących: do 3 października 2026 r.).

Praktyczny problem polega na tym, że wiele firm nie ma danych, by przeprowadzić tę ocenę rzetelnie. Nie wiadomo dokładnie, kto ma dostęp do najważniejszych systemów, czy kopie zapasowe da się faktycznie odtworzyć, ani kto formalnie odpowiada za bezpieczeństwo. Samoidentyfikacja wymaga uporządkowania tych informacji — a to już pierwszy krok wdrożenia, nie tylko formalność rejestrowa.

Jeśli nie masz pewności co do statusu, rozstrzygnij to przed październikiem 2026 r. Błędna ocena „nie podlegamy" nie chroni przed odpowiedzialnością, jeśli okaże się nietrafna.

Jakie są główne obowiązki NIS2 dla firmy?

NIS2 nakłada na podmioty kluczowe i ważne ten sam katalog obowiązków w zakresie zarządzania ryzykiem — różnica między kategoriami dotyczy intensywności nadzoru i wysokości kar, a nie zakresu wymagań. W praktyce zarząd MŚP powinien zaplanować osiem głównych obszarów:

• Analiza ryzyka i polityki bezpieczeństwa systemów informatycznych — udokumentowane, nie „w głowach ludzi".

• Zarządzanie incydentami — wykrywanie, obsługa i raportowanie (zgłoszenie wczesne w 24 h, pełne w 72 h od wykrycia).

• Ciągłość działania — kopie zapasowe, odtwarzanie po awarii, zarządzanie kryzysowe.

• Bezpieczeństwo łańcucha dostaw — ocena bezpieczeństwa dostawców i partnerów.

• Bezpieczeństwo w nabywaniu i utrzymaniu systemów — w tym zarządzanie podatnościami.

• Kontrola skuteczności środków — testy, audyty, przeglądy.

• Szkolenia i higiena cyberbezpieczeństwa — dla pracowników i kadry zarządzającej.

• Kryptografia i kontrola dostępu — w tym uwierzytelnianie wieloskładnikowe.

Dla firmy, która dziś nie jest pewna swojego statusu, dwa obowiązki warto traktować jako „must have" niezależnie od klasyfikacji: plan reagowania na incydenty oraz przegląd i kontrola uprawnień dostępu. To minimum, którego i tak oczekuje rynek — i które najczęściej sprawdza klient.

Mit: „Mamy 40 osób, więc NIS2 nas nie dotyczy". Liczba pracowników to tylko jedno kryterium. Jeśli firma jest MSSP, dostawcą DNS lub świadczy inne usługi objęte niezależnie od wielkości — podlega mimo małej skali. A nawet jeśli formalnie nie podlega, wymóg zgodności może przyjść od klienta.

Pułapka: „Bezpieczeństwem zajmuje się nasz dostawca IT". NIS2 nakłada odpowiedzialność na podmiot i jego kierownictwo, nie na zewnętrzną firmę informatyczną. Outsourcing obsługi IT nie przenosi odpowiedzialności prawnej — zarząd nadal odpowiada za zgodność.

Co wynika z dyrektywy NIS2, a co z polskiej ustawy?

Warto rozdzielić dwa poziomy regulacji, bo to ułatwia śledzenie zmian. Wymagania materialne (kategorie podmiotów, katalog obowiązków zarządzania ryzykiem, terminy zgłaszania incydentów 24/72 h) wynikają wprost z dyrektywy NIS2 i są wspólne dla całej UE. Elementy krajowe — rejestr i procedura samoidentyfikacji, system S46, konkretne terminy przejściowe, poziom kar, organy właściwe — określa polska ustawa o KSC i mogą się różnić od rozwiązań w innych państwach.

Dla zarządu MŚP praktyczny wniosek jest taki: NIS2 nie jest obowiązkiem „od zera". Jeśli firma wdrożyła już RODO (procedury ochrony danych, rejestr incydentów) lub — w sektorze finansowym — DORA (operacyjna odporność cyfrowa, obowiązująca bezpośrednio od stycznia 2025 r.), część fundamentów bezpieczeństwa już istnieje. NIS2 dokłada do nich wymóg systemowego zarządzania ryzykiem, bezpieczeństwa łańcucha dostaw i odpowiedzialności zarządczej. Mapowanie istniejących działań compliance na wymogi NIS2 jest zwykle tańsze niż budowa systemu od podstaw.

Dlaczego klienci wymagają zgodności, zanim zrobi to urząd?

W praktyce pierwszą instytucją, która rozliczy firmę z bezpieczeństwa, często nie jest urząd, lecz klient. Duże organizacje, same objęte NIS2, odpowiadają za bezpieczeństwo swojego łańcucha dostaw — więc przenoszą wymagania na dostawców. Dla małej firmy oznacza to, że cyberbezpieczeństwo staje się warunkiem utrzymania kontraktu, niezależnie od tego, czy podlega NIS2 bezpośrednio.

Mechanizm jest zwykle cichy. Najpierw pojawia się krótka ankieta bezpieczeństwa. Potem nowy zapis w umowie. Następnie pytania w przetargu: kto ma dostęp do danych, jak wygląda reakcja na incydent, czy istnieją procedury ciągłości działania. I dopiero wtedy wielu właścicieli po raz pierwszy widzi lukę, której wcześniej nie było widać — bo firma rosła szybciej niż jej sposób uporządkowanego zarządzania bezpieczeństwem.

ENISA w swoich analizach krajobrazu zagrożeń wskazuje łańcuch dostaw jako jedno z głównych źródeł ryzyka dla dużych organizacji. To dlatego nawet mała, formalnie niepodlegająca firma może zostać poproszona o dowód dojrzałości bezpieczeństwa — jako warunek dalszej współpracy.

Warto rozróżnić dwie rzeczy, które łatwo pomylić:

• Wymóg prawny (NIS2 / KSC): Wynika z ustawy, dotyczy podmiotów kluczowych i ważnych

Typowy wymóg klienta / przetargu: Wynika z umowy, może dotyczyć każdego dostawcy

• Wymóg prawny (NIS2 / KSC): Wpis do wykazu, audyt, kary administracyjne

Typowy wymóg klienta / przetargu: Ankieta bezpieczeństwa, klauzule umowne, wstrzymanie współpracy

• Wymóg prawny (NIS2 / KSC): Termin ustawowy (np. październik 2026

Typowy wymóg klienta / przetargu: Termin narzucony przez klienta — często „na już"

Przykład z praktyki: Firma usługowa (IT, ok. 40 osób) nie podlegała NIS2 bezpośrednio, ale obsługiwała dużego klienta z sektora energetycznego. Klient przysłał formularz bezpieczeństwa z 60 pytaniami i terminem 3 tygodni. Firma nie miała udokumentowanych procedur dostępu ani planu reakcji na incydent — kontrakt został wstrzymany do czasu uzupełnienia braków. Uporządkowanie zajęło 2 miesiące pracy pod presją; gdyby zaczęto wcześniej, byłby to spokojny projekt na kwartał.

Wniosek dla zarządu: presja klienta i obowiązek prawny to dwa równoległe wektory, nie alternatywy. Firma może nie podlegać NIS2, a i tak musi wykazać się zgodnością wobec rynku.

Co grozi za brak zgodności z NIS2?

Za brak zgodności z NIS2 grożą administracyjne kary finansowe oraz — co nowe w polskim prawie — osobista odpowiedzialność osób kierujących podmiotem za zapewnienie zgodności. Polskie sankcje należą do bardziej rygorystycznych w Europie, a ich pełna egzekucja wobec nowych podmiotów kluczowych rusza od kwietnia 2028 r.

Konsekwencje finansowe to jednak nie wszystko, a często nawet nie najważniejsze dla MŚP. Realne straty zwykle zaczynają się wcześniej i poza obszarem kar:

• Utrata kontraktów — niezdany audyt klienta lub wypadnięcie z przetargu.

• Wstrzymanie współpracy — partner zawiesza zamówienia do czasu uporządkowania procedur.

• Koszty „na już" — wdrażanie bezpieczeństwa pod presją jest droższe niż planowe.

• Ryzyko reputacyjne — incydent u nieprzygotowanej firmy uderza w zaufanie rynku.

Według raportu IBM Cost of a Data Breach organizacje, które wcześniej przygotowały procedury i plan reakcji na incydenty, odzyskują stabilność szybciej i ponoszą istotnie niższe koszty operacyjne niż firmy działające reaktywnie.

W skali MŚP najdotkliwszą karą bywa więc nie decyzja administracyjna, lecz utrata klienta, który po cichu wybrał lepiej przygotowanego dostawcę.

Co zrobić, zanim temat stanie się pilny?

Najlepszy moment na uporządkowanie bezpieczeństwa to teraz — zanim wymusi to klient, audyt lub incydent, gdy firma działa pod presją czasu i ryzykiem utraty kontraktu. Punktem wyjścia nie jest technologia ani tworzenie dziesiątek dokumentów, lecz odzyskanie kontroli nad czterema obszarami: kto odpowiada za bezpieczeństwo, kto ma dostęp do danych, jak wygląda reakcja na incydent i czy firma jest gotowa na wymagania rynku.

Zacznij od szybkiej oceny ryzyka organizacyjnego. Poniższy test nie sprawdza „czy masz dobry dział IT" — sprawdza, czy firma jest przygotowana organizacyjnie. Odpowiedz TAK lub NIE:

1. Czy klienci coraz częściej pytają o bezpieczeństwo danych lub procedury IT?

2. Czy w firmie ktoś realnie odpowiada za cyberbezpieczeństwo?

3. Czy wiesz dokładnie, kto ma dziś dostęp do najważniejszych danych i systemów?

4. Czy masz pewność, że byli pracownicy nie mają już dostępu do firmowych zasobów?

5. Czy firma ma plan działania na wypadek cyberataku lub utraty danych?

6. Czy kopie zapasowe są regularnie testowane, a nie tylko „ustawione"?

7. Czy pracownicy wiedzą, jak reagować na phishing i próby wyłudzeń?

8. Czy gdyby dziś odszedł informatyk lub firma IT, zachowalibyście pełną kontrolę nad systemami?

9. Czy bezpieczeństwo rozwijało się raczej spontanicznie niż według jednego planu?

10. Czy obawiasz się, że klient lub audyt może wykazać braki organizacyjne?

Jak czytać wynik: 0–2 odpowiedzi „TAK" oznaczają podstawową kontrolę — warto aktualizować procedury, bo wymagania rynku szybko rosną. 3–5 to strefa podwyższonego ryzyka: część procesów działa intuicyjnie i zależy od konkretnych osób. 6–10 oznacza, że firma jest prawdopodobnie mniej przygotowana, niż się wydaje, a jeden incydent lub audyt może szybko przełożyć się na problemy operacyjne, finansowe i reputacyjne.

Według NIST Cybersecurity Framework firmy najlepiej radzą sobie z ryzykiem wtedy, gdy bezpieczeństwo staje się częścią codziennych decyzji biznesowych, a nie dodatkiem technologicznym. Pierwszym krokiem nie musi być duży projekt — wystarczy rzetelna samoidentyfikacja i mapa luk. To pozwala działać spokojnie, zanim temat zrobi się pilny.

Jak pomaga Cedepe Consulting?

W Cedepe Consulting pomagamy zarządom MŚP ustalić, czy firma podlega NIS2, i uporządkować bezpieczeństwo, zanim wymusi to klient, audyt lub incydent. Nie zaczynamy od sprzedaży technologii, lecz od samoidentyfikacji i analizy luk — sprawdzamy, gdzie firma traci kontrolę nad procesami, danymi i odpowiedzialnością. Pierwszym krokiem jest zazwyczaj 1–2 godzinna sesja diagnozy z zarządem, podczas której oceniamy status podmiotu i priorytety. Dalsze wsparcie prowadzimy w modelu vCISO (ciągłe wsparcie eksperckie bez kosztu etatu) lub projektowym (wdrożenie procedur i przygotowanie do audytu).

Więcej o naszym podejściu znajdziesz na stronie projektu wdrożenia NIS2 dla firm MŚP. Jeśli chcesz najpierw zrozumieć podstawy, sprawdź też artykuły NIS2 dla MŚP w 2026 oraz czym jest vCISO i dlaczego Twoja firma może go potrzebować. Pełną listę kroków zbiera nasza checklista NIS2 dla przedsiębiorstw.

Najczęściej zadawane pytania

Czy mikrofirma podlega NIS2? Co do zasady mikro- i małe firmy są wyłączone z ogólnego zakresu NIS2 (próg to średnie przedsiębiorstwo: co najmniej 50 osób oraz jednocześnie obrót lub suma bilansowa powyżej 10 mln EUR — kryteria łączne). Są jednak wyjątki: niektóre rodzaje działalności podlegają niezależnie od wielkości (np. dostawcy DNS/TLD, kwalifikowani dostawcy usług zaufania, przedsiębiorcy komunikacji elektronicznej), a dostawcy usług zarządzanych w cyberbezpieczeństwie (MSSP) — już od progu małego przedsiębiorcy. Nawet niepodlegająca mikrofirma może być zobowiązana do wykazania zgodności przez klienta.

Do kiedy firma musi się zarejestrować w wykazie NIS2? Podmioty, które spełniały przesłanki w dniu wejścia ustawy w życie (3 kwietnia 2026 r.), mają czas na złożenie wniosku o wpis do wykazu do 3 października 2026 r. To 6-miesięczne okno na samoidentyfikację i rejestrację w systemie prowadzonym przez Ministerstwo Cyfryzacji.

Ile kosztuje wdrożenie NIS2 w MŚP? Koszt zależy od wielkości firmy, sektora i obecnego poziomu dojrzałości bezpieczeństwa, dlatego najczęściej zaczyna się od audytu gotowości i analizy luk. W modelu vCISO firma rozkłada koszt na stałe miesięczne wsparcie zamiast etatu CISO. Rzetelną wycenę można podać dopiero po samoidentyfikacji i ocenie zakresu.

Czy zarząd odpowiada osobiście za zgodność z NIS2? Tak. Polska ustawa wprowadza osobistą odpowiedzialność osób kierujących podmiotem za zapewnienie zgodności z wymogami zarządzania ryzykiem, w tym obowiązek odbycia szkoleń. To istotna zmiana — cyberbezpieczeństwo przestaje być wyłącznie sprawą działu IT, a staje się obowiązkiem zarządczym.

Jak sprawdzić, czy jesteśmy podmiotem kluczowym czy ważnym? Trzeba ocenić dwa kryteria łącznie: sektor działalności (załącznik nr 1 — kluczowe, lub nr 2 — ważne) oraz wielkość firmy (zatrudnienie i obroty). Od tej klasyfikacji zależy poziom nadzoru i wysokość kar. Jeśli firma spełnia kryteria obu kategorii, stosuje się zasady dla podmiotu kluczowego. Przy wątpliwościach warto skonsultować ocenę z ekspertem ds. cyberbezpieczeństwa lub radcą prawnym specjalizującym się w NIS2.

Sprawdź, czy Twoja firma jest gotowa na NIS2

Eksperci Cedepe Consulting przeprowadzą bezpłatną konsultację: ocenimy, czy podlegasz NIS2, gdzie są największe luki i co uporządkować w pierwszej kolejności. Bez straszenia, bez technicznego żargonu — konkretnie.

Umów bezpłatną konsultację →

Autor: Piotr Krzysztofik, Partner, Cedepe Consulting Sp. z o.o.