Kluczowe terminy dla jednostek samorządu terytorialnego
- 3 kwietnia 2026 – ustawa wchodzi w życie; operatorzy usług kluczowych stają się podmiotami kluczowymi
- 3 października 2026 obowiązek rejestracji podmiotów. W tym czasie organizacja powinna ustalić swój status (podmiot kluczowy lub ważny) oraz dokonać formalnej rejestracji w systemie S46.
- Do 3 kwietnia 2027 – wdrożenie systemu zarządzania ryzykiem (SZBI) i pełnych środków technicznych
- Do 3 kwietnia 2028 – obowiązkowy pierwszy audyt bezpieczeństwa; dopiero od tej daty mogą być nakładane kary finansowe
Czym jest dyrektywa NIS2?
Dyrektywa NIS2 rozszerza zakres wcześniejszej dyrektywy NIS. Przede wszystkim, obejmuje więcej sektorów i nakłada surowsze wymogi dotyczące zarządzania ryzykiem. Ponadto, nakłada również większe kary za nieprzestrzeganie przepisów, aby zapewnić lepszą ochronę przed zagrożeniami cybernetycznymi. W Polsce jej implementacją jest nowelizacja UKSC – akt prawny, który zmienia nie tylko nazewnictwo i kategorie podmiotów, ale przede wszystkim filozofię zarządzania cyberbezpieczeństwem: wymagane jest podejście oparte na ocenie ryzyka, ciągłości działania i odpowiedzialności kierownictwa.
Czy Twoja JST podlega pod UKSC/NIS2?
Administracja publiczna – co do zasady – została zakwalifikowana przez polskiego ustawodawcę jako sektor kluczowy, objęty najsurowszym reżimem nadzoru. Oznacza to, że większość jednostek samorządu terytorialnego podlegać będzie pełnemu systemowi zarządzania ryzykiem, obowiązkowi zgłaszania incydentów i kontrolom ze strony organów nadzorczych.
Jednocześnie nowelizacja UKSC przewiduje zróżnicowanie statusu dla mniejszych podmiotów samorządowych – mogą one zostać zakwalifikowane jako podmioty ważne, co oznacza nieco łagodniejszy zakres obowiązków i intensywność nadzoru. Jednak nawet podmioty ważne muszą wdrożyć system zarządzania ryzykiem i procedury obsługi incydentów.
Praktyczna zasada: każda JST – niezależnie od wielkości – powinna przeprowadzić udokumentowaną ocenę swojego statusu. Brak takiej oceny sam w sobie jest ryzykiem prawnym i finansowym.
Jakie wymagania NIS2 stawia jednostkom samorządowym?
Nowelizacja wprowadza szereg obowiązków, których realizacja wymaga zarówno działań organizacyjnych, jak i technicznych. Poniżej przedstawiamy sześć kluczowych obszarów, na których powinna skupić się każda JST:
1. System zarządzania bezpieczeństwem informacji (SZBI)
Nowelizacja UKSC precyzuje i rozszerza zakres SZBI, wymagając wdrożenia proporcjonalnych środków technicznych i organizacyjnych opartych na systematycznej analizie ryzyka. System musi obejmować cały cykl życia systemów informacyjnych – od projektowania, przez eksploatację, po wycofanie. Dla gminy oznacza to konieczność zinwentaryzowania wszystkich systemów, usług i dostawców IT, określenia właścicieli procesów i zasad eskalacji oraz regularnego przeglądu polityk bezpieczeństwa.
2. Zgłaszanie incydentów – nowe, skrócone terminy
UKSC 2026 utrzymuje unijne wymogi NIS2 w zakresie raportowania incydentów:
- 24 godziny – przesłanie wczesnego ostrzeżenia do właściwego CSIRT (CSIRT GOV dla administracji publicznej)
- 72 godziny – złożenie pełnego zgłoszenia incydentu z oceną jego skutków
- 30 dni – przekazanie sprawozdania końcowego z opisem działań naprawczych
Zgłaszanie incydentów odbywać się będzie przez system S46, co usprawni przekazywanie informacji między podmiotami a zespołami CSIRT.
3. Odpowiedzialność kierownika jednostki (wójta, burmistrza, starosty)
To jedna z najważniejszych nowości: nowelizacja UKSC wzmacnia osobistą odpowiedzialność kierownika podmiotu za realizację obowiązków z zakresu cyberbezpieczeństwa. Wójt, burmistrz czy starosta nie może skutecznie scedować tej odpowiedzialności wyłącznie na dział IT. Kierownictwo musi zapewnić odpowiednie zasoby, struktury organizacyjne i mechanizmy nadzoru, a także uczestniczyć w szkoleniach dotyczących ryzyk cybernetycznych.
4. Zarządzanie łańcuchem dostaw i umowy z dostawcami IT
W JST znaczna część bezpieczeństwa zależy od zewnętrznych dostawców – systemów e-urzędu, platform chmurowych, firm hostingowych. Nowelizacja nakłada obowiązek weryfikacji i zarządzania ryzykiem w łańcuchu dostaw. Umowy z dostawcami IT muszą regulować co najmniej: czasy reakcji na incydenty, zasady dostępu zdalnego, obowiązki informacyjne wobec gminy, podwykonawstwo oraz dostęp do logów. Istniejące umowy IT wymagają pilnego przeglądu pod kątem zgodności z UKSC.
5. Kopie zapasowe i ciągłość działania
Posiadanie kopii zapasowych to dziś minimum. UKSC 2026 wymaga regularnego i udokumentowanego testowania procedur odtwarzania dla systemów krytycznych. Gmina musi wiedzieć, w jakim czasie jest w stanie przywrócić działanie kluczowych usług (systemy podatkowe, obsługa mieszkańców, kadry i płace) po incydencie. Plany ciągłości działania powinny być przetestowane i dostępne dla osób decyzyjnych.
6. Szkolenia i świadomość pracowników
Regularnie szkolenia z zakresu cyberbezpieczeństwa są obowiązkowe dla pracowników podmiotów objętych UKSC. Szczególnie ważne jest to w mniejszych gminach i powiatach, gdzie świadomość zagrożeń – phishingiem, ransomware czy atakami socjotechnicznymi – jest często niewystarczająca. Szkolenia muszą być udokumentowane i cyklicznie powtarzane.
Cyberbezpieczeństwo gmin i powiatów
W dobie rosnących zagrożeń cybernetycznych bezpieczeństwo informacyjne staje się priorytetem.
Projektujemy strategie bezpieczeństwa, które chronią Twoje dane. Przede wszystkim, przeprowadzamy analizę mającą na celu sprawdzenie zgodności z przepisami prawnymi i normami. Ponadto, wdrażamy systemy bezpieczeństwa na podstawie SIEM, IAM, DLP oraz IPS.
Wymagania NIS2 dla administracji publicznej
Jednostki samorządu terytorialnego muszą spełniać szereg wymagań określonych przez dyrektywę NIS2. Przede wszystkim, pierwszym krokiem jest ocena, czy jesteśmy objęci dyrektywą NIS2.
Następnie, JST powinny wprowadzić środki minimalizujące ryzyko. W tym kontekście, obejmuje to ocenę zagrożeń oraz wdrożenie odpowiednich zabezpieczeń. Ważne jest także ciągłe monitorowanie stanu zabezpieczeń cybernetycznych.
Co więcej, jednostki samorządowe powinny posiadać procedury umożliwiające szybkie reagowanie na incydenty. NIS2 określa 24 godziny na przesłanie wczesnego ostrzeżenia oraz 72 godziny na zgłoszenie incydentu.
Ponadto, JST i organizacje administracji publicznej są zobowiązane do regularnego szkolenia pracowników w zakresie cyberbezpieczeństwa.
Na koniec, ważne jest, aby jednostki gmin i powiatów miały plany awaryjne na wypadek incydentów cybernetycznych. Plany powinny obejmować procedury odzyskiwania danych oraz utrzymania ciągłości świadczenia usług.
Kary za brak wdrożenia NIS2
Choć kary finansowe mogą być nakładane dopiero po upływie 24 miesięcy od wejścia w życie ustawy (tj. od 3 kwietnia 2028 r.), sama lista sankcji powinna skłonić każdą JST do działania już teraz:
Typ podmiotu | Maksymalna kara |
Podmiot kluczowy (np. większe JST) | 10 mln euro lub 2% rocznego obrotu |
Podmiot ważny (np. mniejsze JST) | 7 mln euro lub 1,4% rocznego obrotu |
Dodatkowe sankcje dla obu typów | Obowiązkowe audyty bezpieczeństwa; odpowiedzialność osobista kierownika |
Wyzwania dla jednostek samorządu terytorialnego
Jednostki administracji stoją przed wieloma wyzwaniami w kontekście wdrożenia dyrektywy NIS2. Przede wszystkim, wysoka odpowiedzialność oraz świadczenie kluczowych usług publicznych zwiększają ryzyko cyberataków na JST. Dodatkowo, jednostki te muszą chronić poufne dane i zapewnić ciągłość działania, co stanowi dodatkowe obciążenie.
Kluczowe wyzwania związane z cyberbezpieczeństwem dla sektora administracji publicznej to między innymi:
- Ryzyko przed atakami ransomware i phishingiem
- Złożoność systemów IT, które są trudne do zabezpieczenia i zarządzania
- Brak świadomości pracowników w zakresie cyberbezpieczeństwa. Szczególnie wśród podmiotów mniejszych gmin i powiatów
Dlaczego SEDIVIO? 20 lat doświadczenia w cyfryzacji Polski
W SEDIVIO pomagamy organizacjom przejść przez cały proces wdrożenia wymagań wynikających z projektu ustawy o krajowym systemie cyberbezpieczeństwa – od kwalifikacji, przez audyt, aż po przygotowanie dokumentacji, procesów i zabezpieczeń technicznych.
Od ponad 20 lat aktywnie uczestniczymy w cyfryzacji Polski – wdrażaliśmy systemy, budowaliśmy infrastrukturę IT, doradzaliśmy przy największych projektach transformacji cyfrowej w sektorze publicznym. To doświadczenie przekłada się na głębokie rozumienie specyfiki JST: ich struktur organizacyjnych, ograniczeń budżetowych, wymagań prawa zamówień publicznych i realiów codziennej pracy urzędnika.
Wiemy, z jakimi systemami pracują polskie urzędy. Wiemy, jak wygląda przetarg na wdrożenie cyberbezpieczeństwa w gminie. I wiemy, jak przeprowadzić JST przez wymagania UKSC w sposób, który jest realny, trwały i nie sparaliżuje bieżącej pracy urzędu.
Działaj teraz, nie w 2028 roku
Terminy są konkretne, kary realne, a odpowiedzialność spada bezpośrednio na kierownika jednostki. Co ważne – wdrożenie UKSC to nie tylko „zgodność z przepisami”. To realna poprawa bezpieczeństwa danych tysięcy mieszkańców Twojej gminy i ochrona ciągłości świadczenia usług publicznych.
Masz 12 miesięcy na wdrożenie systemu zarządzania ryzykiem. Masz 24 miesiące na audyt bezpieczeństwa. Czas zacząć.
Napisz do nas!
Jeśli masz pytania, odezwij się do nas.
Odpowiemy możliwie szybko!
Olga Budziszewska
GRC Advisory
SEDIVIO SA
ul. Rektorska 4 lok. 2.22
00-614 Warszawa
