3 kwietnia 2026 r. wejdzie w życie nowelizacja ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. Nowelizacja wdraża postanowienia dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r., znanej powszechnie jako dyrektywa NIS 2. W dzisiejszym wpisie na blogu Kancelarii wyjaśniamy których samorządowych jednostek organizacyjnych i w jakim zakresie będą dotyczyły nowe przepisy oraz jakie nowe obowiązki nakłada ona na te jednostki w związku z wdrożeniem systemu zarządzania bezpieczeństwem w systemie informacyjnym.

 

3 kwietnia 2026 r. wejdzie w życie nowelizacja ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. Nowelizacja wdraża postanowienia dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającej rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającej dyrektywę (UE) 2016/1148. Dyrektywa ta znana jest powszechnie pod nazwą NIS 2. Jednym z podstawowych założeń dyrektywy jest rozszerzenie dotychczasowych regulacji służących budowaniu zdolności w zakresie cyberbezpieczeństwa, łagodzeniu zagrożeń dla sieci i systemów informatycznych wykorzystywanych do celów świadczenia usług kluczowych oraz zapewnieniu ciągłości takich usług w przypadku wystąpienia incydentów na większą liczbę podmiotów w taki sposób, aby regulacje te całościowo uwzględniały sektory i usługi mające istotne znaczenie dla kluczowych rodzajów działalności społecznej i gospodarczej na rynku wewnętrznym.

Ustawa określa organizację krajowego systemu cyberbezpieczeństwa oraz zadania i obowiązki podmiotów wchodzących w skład tego systemu. Ustawa dzieli podmioty wchodzące w skład krajowego systemu cyberbezpieczeństwa na podmioty kluczowe i ważne. O zakwalifikowaniu podmiotu jako kluczowego lub ważnego decyduje wielkość podmiotu i prowadzenie działalności w określonym sektorze gospodarki. Zakresem regulacji objęte są także jednostki organizacyjne samorządu terytorialnego, które realizują zadania publiczne z wykorzystaniem systemów informacyjnych. Część z nich ustawa kwalifikuje jako podmioty kluczowe a inne jako podmioty ważne. Za podmioty kluczowe zostały uznane wojewódzkie jednostki budżetowe oraz wojewódzkie zakłady budżetowe (z wyjątkiem jednostek organizacyjnych i zespołów jednostek organizacyjnych, o których mowa w art. 2 ustawy z dnia 14 grudnia 2016 r. - Prawo oświatowe; jednostek organizacyjnych wspierania rodziny i systemu pieczy zastępczej, o których mowa w art. 2 ust. 3 ustawy z dnia 9 czerwca 2011 r. o wspieraniu rodziny i systemie pieczy zastępczej; jednostek organizacyjnych, o których mowa w art. 6 pkt 5 ustawy z dnia 12 marca 2004 r. o pomocy społecznej, oprócz regionalnych ośrodków polityki społecznej; wojewódzkich urzędów pracy; parków krajobrazowych i ich zespołów oraz jednostek obsługujących, o których mowa w art. 8d ustawy z dnia 5 czerwca 1998 r. o samorządzie województwa, w zakresie, w jakim prowadzą wspólną obsługę wymienionych jednostek). Do kategorii podmiotów kluczowych zostały zaliczone także wszystkie starostwa powiatowe oraz te urzędy gmin, które na dzień 1 stycznia danego roku zatrudniają w przeliczeniu na pełny wymiar czasu pracy na podstawie umowy o pracę co najmniej 50 osób. Pozostałe samorządowe jednostki organizacyjne zostały zaliczone do kategorii podmiotów ważnych. Wśród podmiotów ważnych ustawa wymienia: samorządowe jednostki budżetowe; samorządowe zakłady budżetowe; samorządowe instytucje kultury; spółki wykonujące zadania o charakterze użyteczności publicznej w rozumieniu art. 1 ust. 2 ustawy z dnia 20 grudnia 1996 r. o gospodarce komunalnej.

Podstawowym obowiązkiem podmiotu kluczowego i ważnego jest wdrożenie systemu zarządzania bezpieczeństwem informacji w systemie informacyjnym wykorzystywanym w procesach wpływających na realizację przez ten podmiot zadań publicznych. Co do zasady system ten musi spełniać wymagania określone w art. 8 ust. 1 ustawy. Zgodnie z tymi wymaganiami system musi zapewniać m.in.:

- prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem;

- wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, koszty wdrożenia, wielkość podmiotu, prawdopodobieństwo wystąpienia incydentów, narażenie podmiotu na ryzyka, skutki społeczne i gospodarcze;

- zbieranie informacji o cyberzagrożeniach i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi;

- zarządzanie incydentami;

- stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego.

Wymogi te nie będą jednak dotyczyły podmiotów ważnych będących podmiotami publicznymi. Podmiotami takimi będą m.in. wszystkie samorządowe jednostki organizacyjne będące w świetle przepisów ustawy podmiotami ważnymi. Podmioty ważne będące podmiotami publicznymi będą musiały wdrożyć system zarządzania bezpieczeństwem informacji, spełniający wymogi wskazane w załączniku nr 4 do ustawy. Wymogi te będą obejmowały m.in.:

 - inwentaryzację produktów ICT, usług ICT i procesów ICT służących do przetwarzania informacji;

- kontrolę podstawowych wersji używanego produktów ICT lub usług ICT, a jeżeli to możliwe, korzystanie z mechanizmów kontroli instalacji produktów ICT lub usług ICT na urządzeniach, w tym na urządzeniach mobilnych;

- ochronę przetwarzanych informacji przed kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami;

- dopuszczenie do informacji wyłącznie osób posiadających stosowne uprawnienia do systemów informacyjnych oraz zapewnienie środków uniemożliwiających nieautoryzowany dostęp do tych systemów;

- stosowanie zasad przyznania minimalnych uprawnień niezbędnych dla realizacji zadań;

- bezzwłoczne cofanie przyznanych uprawnień w przypadku stwierdzenia braku podstawy dostępu do informacji na stałe lub zawieszanie uprawnień w przypadku niewykonywania obowiązków co najmniej przez jeden miesiąc;

- modyfikację zakresu przyznanych uprawnień, jeżeli jest to zasadne z uwagi na zmianę charakteru wykonywanych zadań i zakresu dostępu do informacji;

- ustanowienie podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;

- kontrolę usług poczty elektronicznej wykorzystującej mechanizmy, o których mowa w art. 24 ust. 1 ustawy z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej;

- wykonywanie zapasowych kopii danych odseparowanych logicznie i fizycznie od danych przetwarzanych w systemach informacyjnych dla realizacji zadania publicznego;

- testowanie pod kątem kompletności i możliwości odtworzenia danych zawartych w zapasowych kopiach;

- przygotowanie i testowanie procedury w przypadku wystąpienia awarii lub incydentu;

- stosowanie oprogramowania antywirusowego;

- stosowanie zasad cyberhigieny przez pracowników korzystających z systemów informacyjnych, w tym kierownika podmiotu;

- monitorowanie częstotliwości wydawania kolejnych wersji produktów ICT, źródeł dystrybucji produktów ICT oraz cyklu życia produktów ICT w celu zapewnienia bezpieczeństwa systemu informacyjnego;

- stosowanie stabilnych wersji produktów ICT lub usług ICT, w stosunku do których nie występują informacje o krytycznych podatnościach, a w przypadku ich wystąpienia stosowanie tych wersji produktów ICT lub usług ICT, które nie stwarzają istotnego negatywnego wpływu na poziom bezpieczeństwa systemów informacyjnych;

- stosowanie środków minimalizujących wystąpienie incydentów przez szkolenie osób zaangażowanych w proces przetwarzania informacji;

- określenie procedur i zasad działania podmiotu na wypadek wystąpienia cyberzagrożenia lub w przypadku wystąpienia incydentu.

- dokonywanie przeglądu systemu zarządzania bezpieczeństwem informacji co najmniej raz w roku;

- dokumentowanie realizacji działań wskazanych do realizacji w systemie zarządzania cyberbezpieczeństwa.

Podmioty, które będą spełniały przesłanki uznania za podmiot kluczowy albo za podmiot ważny w dniu wejścia w życie znowelizowanych przepisów, będą musiały zrealizować obowiązki określone w rozdziale 3 ustawy, w tym także obowiązek wdrożenia systemu zarządzania bezpieczeństwem informacji, w terminie 12 miesięcy od dnia wejścia w życie tych przepisów. Pozostałe podmioty będą musiały zrealizować wskazane obowiązki w terminie 12 miesięcy od dnia spełnienia przesłanek uznania za podmiot kluczowy lub podmiot ważny.

 

 

r.pr. Grzegorz Lubeńczuk

Kancelaria Wyrzykowscy

Niniejszy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej, podatkowej ani jakiejkolwiek innej formy doradztwa. Wszelkie przedstawione w nim treści wyrażają osobiste poglądy autora oraz jego wiedzę na temat omawianych zagadnień. Autor ani wydawca nie ponoszą odpowiedzialności za ewentualne skutki wynikające z zastosowania się do informacji zawartych w artykule bez konsultacji z odpowiednim specjalistą.

Wiadomość została wysłana. Dziękujemy!

Wyrażam zgodę na przetwarzanie przez Advaiso sp. z o. o. moich danych w celu udzielenia odpowiedzi na przesłane pytanie, zgodnie z zasadami określonymi w Polityce prywatności*

Wyślij

Zobacz także

• Odliczenie VAT z faktury tradycyjnej i brak obowiązku korekty JPK po dosłaniu tej faktury do KSeF.
• Faktury dokumentujące WNT lub import usług - jak oznaczyć w JPK_V7?
• Wodny plac zabaw w gminie – odpłatny wstęp podlega VAT, a gmina odliczy podatek od inwestycji
• Prywatne rozmowy z telefonu służbowego a VAT – co na to sądy?
• JST użyczała pojazd, który planuje teraz sprzedać na złom – co z opodatkowaniem VAT? Wyrok WSA z 10.09.2025 r.
• Rekompensata dla spółki w formie wkładu własnego – ważny wyrok NSA w sprawie podatku VAT
• Czy można dokonać odliczenia podatku VAT przed otrzymaniem faktury zakupu? - TSUE się wypowiedział!
• Nowe zasady ujmowania faktur korygujących in minus w związku z KSeF
• Umowa przetwarzania jako fundament bezpiecznego przetwarzania w każdym sektorze – lekcja z sektora kurierskiego w świetle wytycznych PUODO
• DKIS wskazał, jak powinno się korygować faktury wystawione na JST pod kątem oznaczenia odbiorcy w KSeF! Interpretacja indywidualna.