Przejdź do treści
Filar I / Ład dokumentacyjny06.05.2026 · 4 min

KSC i NIS2 w samorządzie: co JST powinna przygotować w pierwszej kolejności

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, wdrażająca wymagania dyrektywy NIS2, weszła w życie 3 kwietnia 2026 roku. Dla jednostek samorządu terytorialnego oznacza to zmianę podejścia do cyberbezpieczeństwa: z tematu technicznego na element zarządzania ryzykiem, ciągłości działania i odpowiedzialności

KSC i NIS2 w samorządzie Checklista gotowości JST

Najważniejsza zmiana praktyczna jest prosta: urząd musi umieć wykazać, że wie, jakie ma systemy, kto za nie odpowiada, jakie ryzyka występują, jak reaguje na incydent i jakie dowody może pokazać podczas kontroli.

Nie wystarczy „mieć politykę bezpieczeństwa”. Potrzebne są procedury, rejestry, przypisane role, ścieżka eskalacji, dokumentacja incydentów, ocena dostawców i plan działania na wypadek awarii.

Kogo dotyczy KSC/NIS2 w JST?

Nowe obowiązki mogą dotyczyć nie tylko urzędu jako jednostki centralnej, ale także jednostek organizacyjnych i spółek komunalnych. W praktyce warto przeanalizować:

  1. Urząd gminy, miasta, powiatu
    Co sprawdzić: Czy jednostka spełnia kryteria podmiotu kluczowego lub ważnego.

  2. CUW
    Co sprawdzić: Czy obsługuje wiele jednostek i centralizuje procesy IT.

  3. Szkoły, OPS, instytucje kultury
    Co sprawdzić: Czy mają minimalne zasady dostępu, backupu i obsługi incydentów.

  4. Spółki komunalne
    Co sprawdzić: Czy działają w sektorach objętych KSC, np. woda, odpady, transport, energia.

  5. Dostawcy IT
    Co sprawdzić: Czy mają dostęp do systemów, danych lub infrastruktury JST

Największy błąd to założyć, że „nas to nie dotyczy”, bez udokumentowanej samooceny. Drugi błąd to uznać, że temat dotyczy wyłącznie informatyka.

Od czego zacząć?

Pierwszy krok to uporządkowanie podstaw. JST powinna odpowiedzieć na pięć pytań:

  1. Jakie systemy, serwery, stacje robocze i usługi faktycznie utrzymujemy?

  2. Kto ma dostęp administracyjny i techniczny?

  3. Jak zgłaszamy i obsługujemy incydent?

  4. Czy mamy minimalny monitoring i dowody przeglądów?

  5. Czy mamy dokumentację gotową do pokazania kierownictwu lub kontrolującym?

Jeżeli odpowiedź na któreś z tych pytań brzmi „nie wiem” albo „częściowo”, nie należy zaczynać od rozbudowanego SZBI. Najpierw trzeba zbudować minimum operacyjne.

W SamorządIT takim punktem wejścia jest zestaw bazowy:

M05 — Podstawy KRI
Porządkuje podstawowe polityki, rejestry systemów, aktywa IT, dostęp, backup i pracę zdalną.

M01 — Minimalny standard stacji i serwera
Pomaga opisać standard konfiguracji, aktualizacji, podatności, przeglądów i systemów niewspieranych.

M02 — Konta uprzywilejowane i techniczne
Ogranicza ryzyko kont administracyjnych, współdzielonych, technicznych i dostępu dostawców.

M06 — Obsługa incydentów cyberbezpieczeństwa
Daje procedurę zgłoszenia, klasyfikacji, kartę incydentu, rejestr i podstawowe playbooki.

M14 — Monitoring i wykrywanie zagrożeń
Porządkuje logi, alerty, analizę zdarzeń i przekazanie sygnału do procesu incydentowego.

To jest rozsądne minimum dla JST, która chce przygotować się do KSC/NIS2 bez budowania od razu nadmiarowego systemu.

Co powinno być gotowe na wypadek kontroli?

Kontrola będzie wymagała dowodów, nie deklaracji. JST powinna mieć co najmniej:

  • aktualny rejestr systemów i aktywów,

  • analizę ryzyka lub przynajmniej udokumentowaną ocenę podstawowych ryzyk,

  • polityki i procedury zatwierdzone przez kierownictwo,

  • rejestr kont uprzywilejowanych i technicznych,

  • procedurę obsługi incydentu,

  • rejestr incydentów i zdarzeń,

  • dowody przeglądów, testów backupu i działań naprawczych,

  • listę dostawców IT oraz ocenę ich ryzyka,

  • plan działania na wypadek awarii lub ataku.

Jeżeli urząd nie ma tych elementów, problem nie jest wyłącznie formalny. W sytuacji ransomware, awarii serwera, utraty skrzynki pocztowej albo wycieku danych nikt nie będzie wiedział, kto decyduje, co zgłaszać, komu eskalować i jak dokumentować działania.

Rola kierownictwa, IT i IOD

  • Kierownik jednostki odpowiada za decyzje organizacyjne: akceptację ryzyka, budżet, zatwierdzenie procedur i nadzór nad systemem.

  • Informatyk odpowiada za wykonanie techniczne: konfigurację, konta, backup, aktualizacje, monitoring i reakcję techniczną.

  • IOD powinien być włączony tam, gdzie incydent może oznaczać naruszenie ochrony danych osobowych.

  • Sekretarz lub kierownik CUW powinien dopilnować, żeby procedury nie kończyły się na samym urzędzie, ale obejmowały także jednostki podległe, dostawców i realny obieg decyzji.

Najważniejsze terminy

Dla JST kluczowe są trzy daty:

  • 3 kwietnia 2026 r. - Wejście w życie nowelizacji KSC.

  • 3 października 2026 r. - Termin na samoocenę i wniosek o wpis do wykazu dla podmiotów kluczowych i ważnych.

  • 3 kwietnia 2027 r. - Termin wdrożenia obowiązków SZBI dla podmiotów spełniających kryteria 3 kwietnia 2026 r.

Nie warto traktować tych dat jako odległych. Samo przygotowanie dokumentacji jest prostsze niż wdrożenie jej w praktykę: przypisanie ról, zatwierdzenie procedur, przeglądy, testy backupu, szkolenia i aktualizacje wymagają czasu.

Podsumowanie

KSC/NIS2 nie wymaga od JST jednego dokumentu. Wymaga systemu, który da się pokazać, utrzymać i obronić podczas kontroli.

Najbezpieczniejsza kolejność działania:

  1. Ustal, czy jednostka podlega obowiązkom KSC/NIS2.

  2. Uporządkuj podstawowe rejestry, polityki i zasady dostępu.

  3. Przygotuj proces obsługi incydentu.

  4. Zadbaj o monitoring i dowody przeglądów.

  5. Dopiero potem rozwijaj SZBI, ciągłość działania, dostawców, zamówienia i szkolenia.

Jeżeli zaczynasz od zera, zacznij od modułów: M05, M01, M02, M06 i M14. To praktyczny fundament, zanim urząd przejdzie do pełnego systemu zarządzania bezpieczeństwem informacji.