Nowelizacja KSC 2026 – praktyczne znaczenie dla gmin i plan przygotowania JST
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa z 23 stycznia 2026 r. wzmacnia model zarządzania cyberbezpieczeństwem oparty na ocenie ryzyka, procesach i odpowiedzialności kierownictwa, w związku z kierunkiem wyznaczonym przez NIS2. Dla jednostek samorządu terytorialnego oznacza to konieczność uporządkowania roli urzędu i jednostek organizacyjnych w systemie cyberbezpieczeństwa, przygotowania do raportowania incydentów oraz urealnienia współpracy z dostawcami IT.
Z perspektywy gmin kluczowe jest nie odtwarzanie treści przepisów, lecz zrozumienie skutków: czy gmina podlega reżimowi jako podmiot kluczowy lub ważny, jakie minimalne standardy organizacyjne trzeba wdrożyć oraz jak ograniczyć ryzyka prawne i finansowe związane z incydentami.
Czym jest ustawa o krajowym systemie cyberbezpieczeństwa i dlaczego dotyczy gmin?
Ustawa o KSC tworzy ramy krajowego systemu cyberbezpieczeństwa: wskazuje podmioty objęte obowiązkami, reguluje zasady zarządzania ryzykiem dla systemów informacyjnych i usług, określa model zgłaszania incydentów oraz instrumenty nadzoru (w tym możliwość stosowania środków nadzorczych i kar).
W przypadku gmin znaczenie KSC wynika z tego, że większość usług publicznych jest realizowana z użyciem systemów teleinformatycznych (m.in. obsługa spraw mieszkańców, podatki i opłaty, świadczenia, kadry i płace, jednostki oświatowe i pomoc społeczna). Awaria lub incydent szybko wpływa na ciągłość działania urzędu i jednostek, a w konsekwencji na realizację zadań publicznych.
Dlaczego nowelizacja z 23 stycznia 2026 r. była konieczna? (kontekst NIS2)
Nowelizacja jest uzasadniana potrzebą dostosowania krajowych rozwiązań do NIS2 oraz wzmocnienia odporności podmiotów publicznych i prywatnych na zagrożenia cybernetyczne. W praktyce wzmacnia podejście, w którym kluczowa jest zdolność organizacji do wykazania: identyfikacji ryzyk, przypisania odpowiedzialności, działania procedur oraz przygotowania do reagowania i raportowania incydentów.
Czy każda gmina stanie się podmiotem kluczowym lub ważnym?
Nie każda gmina będzie automatycznie kwalifikowana w ten sam sposób, natomiast praktycznie każda JST powinna wykonać udokumentowaną ocenę statusu i zakresu obowiązków, uwzględniając urząd, jednostki organizacyjne oraz – zależnie od struktury – podmioty komunalne.
Rekomendacja praktyczna: „nota statusowa”
Warto przygotować krótką notę (2–4 strony), która dokumentuje staranność kierownictwa i stanowi punkt wyjścia do dalszych działań. Powinna obejmować:
- katalog kluczowych usług realizowanych przez urząd i jednostki,
- wykaz systemów i dostawców podtrzymujących te usługi (w tym hosting/chmura),
- wskazanie usług krytycznych i dopuszczalnych czasów przestoju,
- zidentyfikowane punkty ryzyka (np. brak zastępstw, brak testów kopii, nieadekwatne umowy),
- wstępną kwalifikację statusu wraz z planem doprecyzowania.
Nowe obowiązki organizacyjne i proceduralne
Najistotniejsze zmiany dla JST dotyczą warstwy organizacyjnej: procesów, ról i kontroli nad dostawcami. W praktyce gmina powinna zapewnić minimum funkcjonujące w sześciu obszarach:
1) Mapa usług i systemów
Należy wskazać usługi kluczowe (dla mieszkańców i funkcjonowania urzędu) oraz systemy, od których zależą. Celem jest priorytetyzacja działań i budżetu.
2) Role, odpowiedzialność i zastępstwa
Gmina powinna określić właściciela procesu cyberbezpieczeństwa (koordynatora), zasady raportowania do kierownictwa, a także zastępstwa na wypadek nieobecności.
3) Dostępy i uprawnienia (w tym serwisowe)
Kluczowe jest uporządkowanie dostępu administracyjnego i serwisowego: kto ma uprawnienia, na jakiej podstawie, w jakim trybie, z jaką rejestracją działań.
4) Kopie zapasowe i odtwarzanie
Nie wystarcza posiadanie kopii zapasowych; konieczne są cykliczne testy odtwarzania dla systemów krytycznych i udokumentowanie wyników.
5) Dostawcy i umowy
W JST istotna część bezpieczeństwa zależy od umów z dostawcami IT. Umowy powinny regulować co najmniej: czasy reakcji, udział dostawcy w obsłudze incydentu, dostęp do logów, zasady dostępu zdalnego, obowiązki informacyjne i podwykonawstwo.
6) Procedura obsługi incydentu
Procedura powinna być zwięzła, operacyjna i znana osobom decyzyjnym. Powinna określać: kwalifikację incydentu, eskalację, zabezpieczanie dowodów i logów, komunikację wewnętrzną i zewnętrzną oraz współpracę z CSIRT.
Odpowiedzialność kierownika jednostki (wójta/burmistrza)
Nowelizacja wzmacnia rolę kierownika podmiotu w realizacji obowiązków cyberbezpieczeństwa, w tym w zakresie zapewnienia organizacji, zasobów, procedur oraz nadzoru nad ich funkcjonowaniem. Przewidziano także wymóg szkolenia kierownictwa.
Z perspektywy JST podstawową miarą staranności kierownictwa jest możliwość wykazania, że:
- dokonano oceny statusu i ryzyk,
- wyznaczono role i mechanizmy decyzyjne,
- wdrożono minimalne procedury i testy,
- uregulowano współpracę z dostawcami w umowach.
Sankcje administracyjne i ryzyka finansowe
System przewiduje możliwość nakładania kar pieniężnych m.in. za niewykonanie obowiązków (np. w zakresie organizacji bezpieczeństwa lub formalności związanych z reżimem). Jednocześnie w materiałach dotyczących wersji po pracach parlamentarnych wskazywano okres przejściowy w nakładaniu kar pieniężnych (2 lata) oraz przesunięcia terminów wdrożeniowych.
Niezależnie od kar, JST powinny uwzględnić ryzyka finansowe związane z incydentami: koszty odtworzenia systemów, przestoje usług, działania awaryjne, spory z dostawcami, koszty obsługi kryzysowej i kontroli.
Cyberbezpieczeństwo jako element zarządzania ryzykiem JST
Z perspektywy praktycznej KSC należy włączyć do istniejących mechanizmów zarządczych w gminie: rejestru ryzyk, kontroli zarządczej, planowania budżetowego i nadzoru nad jednostkami. Takie podejście ułatwia priorytetyzację wydatków oraz wykazanie racjonalności decyzji po incydencie.
Najczęstsze błędy w przygotowaniach do KSC
W praktyce JST powtarzają się zwłaszcza: brak udokumentowanej oceny statusu, brak zastępstw w procesie reagowania, brak testów odtwarzania kopii, umowy IT bez postanowień dotyczących incydentów i logów, a także brak spójnych standardów w jednostkach organizacyjnych.
Kiedy warto skorzystać z profesjonalnego wsparcia?
Wsparcie bywa zasadne, gdy gmina potrzebuje: analizy statusu i zakresu obowiązków w ekosystemie (urząd + jednostki + podmioty powiązane), audytu gotowości i planu wdrożenia, opracowania procedur operacyjnych, przygotowania zapisów umownych z dostawcami oraz szkolenia kadry kierowniczej w zakresie odpowiedzialności, decyzji i dokumentowania staranności.
