Powoli kończą się prace na etapie rządowym nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa. W ostatnich miesiącach przeszła ona duże zmiany. Warto je przeanalizować i dokonać zmapowania w kontekście własnej organizacji.
Nowelizacja ma dostosować przepisy do wymagań dyrektywy NIS 2 (DzUrz L 333 z 27.12.2022), która obejmuje nowe sektory i nakłada większe obowiązki na podmioty zobligowane do jej przestrzegania. Nowelizacja w obecnym kształcie zawiera dodatkowe podziały w zakresie kwalifikacji podmiotów zobowiązanych do jej stosowania, nie tylko te wynikające z samej NIS 2. Administracja publiczna oraz samorządowa staną się istotnymi komponentami krajowego ekosystemu bezpieczeństwa. Warto przypomnieć, że ustawa o krajowym systemie cyberbezpieczeństwa (tekst jedn. DzU z 2024 r., poz. 1077; dalej: uoksc), która zaczęła obowiązywać 1 sierpnia 2018 r., w niewielkim stopniu dotyczyła sektora administracji publicznej. Rola podmiotów wchodzących w jego skład ograniczała się głównie do wyznaczenia osoby do kontaktu z krajowym Centrum Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT). Było to spowodowane tym, że administracji publicznej nie uważano za kluczowy sektor w kontekście dyrektywy NIS.
W przypadku administracji, w tym jednostek samorządu terytorialnego (dalej: jst), główną regulacją określającą zasady bezpieczeństwa informacji oraz cyberbezpieczeństwa była i nadal jest ta zawarta w rozporządzeniu Rady Ministrów z dnia 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (DzU z 2024 r., poz. 773; dalej: KRI). Z kolei w przypadku spółek komunalnych w ogóle nie istniały przepisy dotyczące tego rodzaju działalności, gdyż z uwagi na dotychczasowy zakres podmiotowy ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (tekst jedn. DzU z 2025 r., poz. 1557) spółki te nie były zobowiązane do stosowania wspomnianego rozporządzenia.
Oczywiście nadal istnieją obowiązki wynikające z ustawy z dnia 10 czerwca 2016 r. o działaniach antyterrorystycznych (tekst jedn. DzU z 2025 r., poz. 194). Z uwagi na obecny konflikt zbrojny w Ukrainie ma ona istotne znaczenie dla działania samorządów, gdyż zobowiązuje je do stosowania wymagań wynikających z ogłaszanych przez prezesa Rady Ministrów stopni alarmowych CRP (na różnym poziomie), które wprost odnoszą się do bezpieczeństwa informacji i wskazują na wymagania w zakresie zwiększenia odporności infrastruktury i usług IT.
W tym zakresie nowelizacja uoksc przyniesie duże zmiany, gdyż część regulacji zostanie niejako włączona do omawianej ustawy i odpowiednio zmodyfikowana. Zakres podmiotowy uoksc obejmie prawie wszystkie spółki komunalne, w tym spółki powstałe w ramach użyteczności publicznej. W samym systemie jednak zakres obowiązków będzie zależał od kwalifikacji danego podmiotu.
Podmioty samorządowe objęte nowymi przepisami
Zgodnie z art. 2 NIS 2 europejski ustawodawca stworzył nowy dział sektorów kluczowych, w których są „Podmioty Publiczne”. W tej kategorii znalazły się podmioty administracji publicznej zdefiniowane przez państwo członkowskie zgodnie z prawem krajowym, zarówno w ramach instytucji rządowych na szczeblu centralnym, jak i podmiotów administracji publicznej na szczeblu regionalnym. Jednocześnie w NIS 2 wskazuje się, że państwa członkowskie mogą postanowić, iż dyrektywa ma zastosowanie do:
- podmiotów administracji publicznej na poziomie lokalnym;
- instytucji edukacyjnych, zwłaszcza gdy prowadzą one działalność badawczą o krytycznym znaczeniu.
Dotychczas w polskim porządku prawnym administracja publiczna nie była kwalifikowana do podmiotów kluczowych (z wyjątkiem podmiotów realizujących zadania np. z zakresu dostarczania wody, ochrony zdrowia itp.). Polski ustawodawca zgodnie z postanowieniami dyrektywy może (choć nie musi) wskazać podmioty publiczne na szczeblu lokalnym jako podmioty kluczowe. Ministerstwo Cyfryzacji w projekcie ustawy zdecydowało się na objęcie jst regulacją przepisów uoksc jako część sektora podmiotów kluczowych „Administracja Publiczna”. Jednocześnie zastosowano podejście podmiotowe, a nie przedmiotowe, powołując się na katalog jednostek sektora finansów publicznych, o których mowa w art. 9 pkt 1–6, 8 i 10–13 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (tekst jedn. DzU z 2024 r., poz. 1530). Ponadto uzupełniono ten katalog o spółki komunalne.
W pierwotnej wersji przepisów Ministerstwo Cyfryzacji proponowało, aby w przypadku przyjęcia ustawy w tym kształcie w skład działu „Administracja Publiczna – Podmioty kluczowe” weszły nie tylko jst, ale też wszystkie jednostki organizacyjne samorządu nieposiadające osobowości prawnej, tj. samorządowe zakłady budżetowe, samorządowe instytucje kultury, inne samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych. Ministerstwo Cyfryzacji planowało więc zobowiązać niemal całą administrację publiczną do stosowania jednolitych zasad wynikających z uoksc. Niemniej wskutek dialogu w ramach Komisji Wspólnej Rządu i Samorządu Terytorialnego najnowsza wersja nowelizacji zawiera odmienny katalog grup podmiotów objętych jej zapisami. W tym miejscu należy wytłumaczyć, dlaczego w wyniku dialogu doszło do zmian. W ramach Komisji Wspólnej Rządu i Samorządu Terytorialnego długo rozmawiano na temat pierwotnych propozycji. Kluczowym zagadnieniem nie były intencje resortu, gdyż wiadomo, że z punktu widzenia systemowego było to najłatwiejsze oraz – mając na uwadze obecną sytuację na świecie – kierunkowo poprawne rozwiązanie. Problemem była ocena zdolności różnych jst do spełnienia wymagań uoksc w projektowanym zakresie. W toku dyskusji, wymiany opinii i propozycji regulacji ustalono, że należy dokonać większego zróżnicowania zakresu kategorii podmiotów w samej ustawie. Zrobiono to po to, aby lepiej dopasować, a czasem zmodyfikować wymagania stawiane jednostkom administracji samorządowej adekwatnie do ich dojrzałości organizacyjnej i potencjału. Dodatkowo zaproponowano mechanizmy zwiększające możliwość wspólnej realizacji zadań wynikających z ustawy, tak aby można było je zrealizować w sposób kompleksowy w całej jst. Konsekwencją tego podejścia jest większe skomplikowanie warstwy legislacyjnej ustawy, wprowadzenie dodatkowych pojęć, załączników itp.
Podmioty kluczowe sektorowe
Do tej kategorii wchodzą podmioty działające w sektorach, które są wymienione w załączniku nr 1 do uoksc. Kluczowe jest kwalifikowanie się do danego sektora i prowadzenie głównej działalności w tym sektorze. Znajdziemy tu podmioty działające m.in. w takich obszarach jak energia, transport, ochrona zdrowia, zaopatrzenie w wodę pitną i jej dystrybucja, zbiorowe odprowadzanie ścieków, zarządzanie usługami ICT. Podmioty te muszą się co do zasady samodzielnie zakwalifikować i wpisać do wykazu prowadzonego przez właściwy dla danego sektora organ nadzorczy. Muszą one spełniać najszerszy zakres obowiązków wynikających z ustawy, na czele z art. 8, który opisuje wymagania systemu bezpieczeństwa informacji. Muszą one mieć wydzielone struktury do spraw cyberbezpieczeństwa, a także odpowiednie mechanizmy, zarówno techniczne, jak i organizacyjne, aby przeprowadzać analizy ryzyka, a następnie – na podstawie tych analiz – dbać o cyberbezpieczeństwo. Podmioty te muszą realizować okresowe audyty wykonywane przez podmioty trzecie oraz badać bezpieczeństwo łańcucha dostaw na etapie zamówień infrastruktury IT. W przypadku tych podmiotów kontrola spełniania wymagań uoksc może mieć charakter uprzedni, z urzędu, jak również następczy, czyli np. po wystąpieniu incydentów. Co ważne, obecnie nie wynika, aby te obowiązki uchylały obowiązki zawarte we wspomnianej ustawie z dnia 10 czerwca 2016 r. o działaniach antyterrorystycznych.
Nowelizacja zawiera też ważną regułę kolizyjną. Jeżeli w danym zakresie podmiot spełnia wymagania dla różnych kategorii wynikających z ustawy, ale jedną z nich jest kategoria podmiot publiczny sektorowy – to musi stosować wymagania dla tej kategorii. Jest to kluczowe przy rozbudowanym zakresie działania.
Podmioty kluczowe publiczne
Kolejną grupą, którą warto wyróżnić, są podmioty kluczowe publiczne. Ich wykaz także znajduje się w załączniku nr 1. Wyodrębniam tę grupę z uwagi na jej specyfikę. Do tej kategorii zostały zakwalifikowane organy administracji centralnej, organy naczelne, co już było od samego początku projektowane i nie powodowało większych kontrowersji. Znajdziemy tu kluczowe organy państwa, w tym te niezależne, np. Narodowy Bank Polski.
Istotne zmiany zaszły natomiast w zakresie administracji samorządowej. W najnowszych wersjach ustawy do tej kategorii zalicza się bowiem:
- Urzędy marszałkowskie oraz jednostki i zakłady budżetowe województw z wyłączeniem jednak:
- jednostek organizacyjnych, o których mowa w art. 2 ustawy z dnia 14 grudnia 2016 r. – Prawo oświatowe (tekst jedn. DzU z 2025 r., poz. 1043) oraz ich zespołów;
- jednostek organizacyjnych wspierania rodziny i systemu pieczy zastępczej, o których mowa w art. 2 ust. 3 ustawy z dnia 9 czerwca 2011 r. o wspieraniu rodziny i systemie pieczy zastępczej (tekst jedn. DzU z 2025 r., poz. 49);
- jednostek organizacyjnych, o których mowa w art. 6 pkt 5 ustawy z dnia 12 marca 2004 r. o pomocy społecznej, oprócz regionalnych ośrodków polityki społecznej (tekst jedn. DzU z 2024 r., poz. 1283);
- wojewódzkich urzędów pracy;
- parków krajobrazowych i ich zespołów;
- jednostek obsługujących, o których mowa w art. 8d ustawy z dnia 5 czerwca 1998 r. o samorządzie województwa (tekst jedn. DzU z 2025 r., poz. 581), w zakresie, w jakim prowadzą wspólną obsługę jednostek, o których mowa w lit. a–e.
- Starostwa powiatowe bez względu na ich wielkość.
- Urząd gminy, jeżeli na dzień 1 stycznia danego roku w przeliczeniu na pełny wymiar czasu pracy zatrudnia na podstawie umowy o pracę co najmniej 50 osób.
Tym samym na poziomie gminnym projektodawca wspólnie z Komisją Wspólną Rządu i Samorządu Terytorialnego uznał, że należy ograniczyć się do tych urzędów, które pod względem organizacyjnym i kadrowym są w stanie spełnić wymagania dla kategorii podmiotów publicznych.
Jest to istotne z uwagi na fakt, że wymienione tutaj podmioty publiczne mają stawiane przez projektodawcę te same – wysokie – wymagania, tak jak podmioty kluczowe sektorowe.
Warto podkreślić, że w przypadku tej kategorii to minister właściwy do spraw informatyzacji będzie organem nadzoru oraz będzie wpisywał te podmioty z urzędu. Zawiadomi on te podmioty o takim wpisie i będzie mógł zażądać podania dodatkowych danych wymaganych do uzupełnienia w rejestrze.
Podmioty ważne
Kolejna kategoria, którą należy wyodrębnić, to podmioty ważne. Są one wymienione w załączniku 2 do ustawy. Z punktu widzenia administracji warto wskazać, że w tej kategorii znajdują się podmioty prowadzące główną działalność w zakresie np. poczty, gospodarki odpadami, badań naukowych, w tym podmioty, o których mowa w art. 7 ust. 1 pkt 1–4, 6–7 ustawy z dnia 20 lipca 2018 r. – Prawo o szkolnictwie wyższym i nauce (tekst jedn. DzU z 2024 r., poz. 1571).
Pod względem wymagań i obowiązków podmioty te mają co do zasady te same obowiązki co podmioty kluczowe. Główna różnica dotyczy zakresu uprawnień organów nadzoru – w przypadku tych podmiotów kontrola spełniania wymagań uoksc może mieć charakter wyłącznie następczy, czyli po wykryciu incydentu itp.
Podmioty ważne będące podmiotami publicznymi
Ta kategoria podmiotów to również efekt dialogu w Komisji Wspólnej Rządu i Samorządu Terytorialnego. Podmioty te wymienione są również w załączniku 2 jako: samorządowe jednostki budżetowe; samorządowe zakłady budżetowe; samorządowe instytucje kultury; spółki wykonujące zadania o charakterze użyteczności publicznej w rozumieniu art. 1 ust. 2 ustawy z dnia 20 grudnia 1996 r. o gospodarce komunalnej (tekst jedn. DzU z 2021 r., poz. 679). W tej kategorii znajdą się więc żłobki, przedszkola, szkoły, ośrodki pomocy społecznej, domy pomocy społecznej, instytucje kultury (tj. domy kultury), biblioteki, kina samorządowe. W przypadku zakładów budżetowych i spółek warto ponownie podkreślić, że wejdą one do tej kategorii pod warunkiem, że nie prowadzą działalności wskazanej w załączniku nr 1.
Specyficzny dla tej grupy podmiotów jest fakt, że projektodawca zdecydował się wprowadzić wykaz wymagań właściwy dla tego rodzaju podmiotów. Jak wskazano w art. 8 ust. 3 uoksc, podmiot ważny będący podmiotem publicznym nie stosuje przepisów zawierających wymagania systemu bezpieczeństwa informacji opisanych w art. 8 ust. 1, lecz opracowuje, wdraża, realizuje, monitoruje i utrzymuje w systemach informacyjnych kontrolowanych przez ten podmiot system zarządzania bezpieczeństwem informacji spełniający wymogi określone w załączniku nr 4 do ustawy.
W praktyce podmioty ważne będące podmiotami publicznymi nie będą zobowiązane do m.in.:
- przeprowadzania analiz ryzyka zgodnie z wymaganiami art. 8 ust. 1,
- przeprowadzania badania bezpieczeństwa łańcucha dostaw,
- przeprowadzania audytów (załącznik nr 4 opisuje jednak obowiązki i częstotliwość przeglądania dokumentacji oraz procesów),
- zapewnienia ciągłości działania w zakresie wymaganym art. 8 ust. 1 (załącznik nr 4 zawiera jednak elementy ciągłości działania).
Jednocześnie załącznik nr 4 zawiera wykazy: wymagań dla tego rodzaju podmiotów, który częściowo odpowiada obecnym przepisom KRI; minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej; oraz minimalnych wymagań dla systemów teleinformatycznych. Nie jest to jednak przepisanie wymagań KRI, a dostosowanie ich do uoksc oraz zdolności organizacyjnych i kadrowych tej grupy podmiotów. Sam załącznik 4 składa się z wymagań obowiązkowych oraz wymagań dodatkowych, które warto spełnić, gdyż podnoszą one bezpieczeństwo jednostki.
Organy nadzorcze nad jst
System cyberbezpieczeństwa opiera się na kilku kluczowych instytucjach. W skali całego kraju jest więc zdecetralizowany. Jednakże w przypadku jst i ich jednostek organizacyjnych sytuacja jest dość jednolita. Nad stosowaniem przepisów ustawy przez wskazane jednostki czuwa Minister Cyfryzacji, który będzie organem właściwym do spraw cyberbezpieczeństwa dla podmiotów publicznych kwalifikujących się jako podmioty kluczowe oraz podmiotów publicznych kwalifikowanych jako podmioty ważne. Minister otrzyma szerokie kompetencje, w tym możliwość wydawania ostrzeżeń oraz nakładania wiążących poleceń i nakazów. Będzie mógł także przeprowadzać kontrole i audyty bezpieczeństwa, żądać dostępu do danych i dokumentów, a także nakazywać wdrożenie zaleceń wynikających z audytów.
Kolejnym ważnym elementem tego systemu jest CSIRT NASK, który działa jako krajowy koordynator w ramach skoordynowanego ujawniania podatności. Zespół ten wzmacnia uprawnienia CSIRT-ów na poziomie krajowym, odpowiadając za badanie sprzętu i oprogramowania pod kątem podatności. CSIRT NASK odgrywa istotną rolę w systemie wczesnego ostrzegania i reagowania na zagrożenia cybernetyczne. Już dziś jst oraz ich jednostki organizacyjne mają obowiązek kierowania do CSIRT NASK zgłoszeń wystąpienia incydentów w podmiocie publicznym. Ten stan zostanie utrzymany także w przyszłości.
Najważniejsze obowiązki i wyzwania
Jednym z podstawowych obowiązków dla podmiotów kluczowych sektorowych i podmiotów publicznych będzie dokonywanie oceny ryzyka cyberbezpieczeństwa. Proces ten nie może sprowadzać się jedynie do sporządzenia dokumentacji. Powinien być mechanizmem działania, który wspiera monitorowanie funkcjonowania organizacji. Z analizy ryzyka powinny wynikać wnioski, które wpłyną na procedury zamówień publicznych i organizację dostępu do systemów. Zapewnienie ciągłości działania w przypadku identyfikacji ryzyk jest kolejnym istotnym zadaniem. Plan ciągłości działania musi być regularnie testowany i aktualizowany. Te działania należy włączyć w system zarządzania bezpieczeństwem informacji, który jest już znany w administracji publicznej dzięki obowiązkom wynikającym z KRI.
Co ważne, najnowsza wersja nowelizacji uoksc wymaga, by podmiot dysponował systemem zarządzania bezpieczeństwem informacji zgodnym z normami ISO/IEC 27001 oraz ISO/IEC 22301. Nie zmienia to jednak faktu, że stosowanie tych norm będzie bardzo pomocne dla spełnienia wymagań stawianych przez ustawodawcę w zakresie systemu bezpieczeństwa informacji opisanego w art. 8 ustawy.
Oczywiście poza przygotowaniem organizacji od strony cyberbezpieczeństwa kluczowe będzie także zarządzanie incydentami, które trzeba zgłaszać w ciągu 24 godzin. Wymagania w tym zakresie będą dotyczyć wszystkich kategorii podmiotów objętych ustawą, w tym tych najmniejszych, czyli podmiotów publicznych klasyfikowanych jako podmioty ważne.
Organizacje muszą także stosować odpowiednie metody kryptografii, zasady uwierzytelniania oraz dbać o bezpieczeństwo łączności. Ponadto nowe przepisy wymagają od administracji publicznej przyłączania się do systemu S46 w celu wymiany informacji o incydentach i zagrożeniach. Planowo ma on stać się głównym systemem wymiany informacji pomiędzy podmiotami krajowego systemu cyberbezpieczeństwa (dalej: KSC).
Pozostałe zmiany w KSC
Ministerstwo Cyfryzacji planuje rozszerzenie zakresu Strategii Cyberbezpieczeństwa RP o nowe obszary analizy ryzyka oraz wprowadzenie Krajowego Planu Reagowania na Incydenty Cybernetyczne. Wyznaczenie CSIRT NASK jako krajowego koordynatora w ramach skoordynowanego ujawniania podatności oraz wzmocnienie uprawnień zespołów CSIRT na poziomie krajowym to kolejne istotne zmiany.
Nowelizacja przywraca również kontrowersyjne rozwiązania, takie jak polecenia zabezpieczające oraz instytucja dostawcy wysokiego ryzyka. Polecenia zabezpieczające będą mogły być wydawane przez ministra odpowiedzialnego za informatyzację w przypadku incydentów krytycznych, które mogą zagrozić bezpieczeństwu publicznemu lub porządkowi publicznemu. Z kolei instytucja dostawcy wysokiego ryzyka pozwoli na uznanie dostawcy sprzętu lub oprogramowania za zagrożenie dla bezpieczeństwa państwa, co może wymagać usunięcia przez samorząd danego systemu. Taki obowiązek zaś w świetle powiązań systemów działających w miastach (w szczególności dużych) to ogromnie wyzwanie techniczne i organizacyjne oraz finansowe.
Kary za naruszenie lub niewykonywanie ustawy
Nowelizacja przepisów dotyczących cyberbezpieczeństwa w Polsce wprowadza surowe kary dla podmiotów, które nie spełniają obowiązków wynikających z uoksc. Te regulacje w ocenie projektodawców mają na celu wzmocnienie dyscypliny wśród kluczowych uczestników rynku i zapewnienie, że bezpieczeństwo cyfrowe będzie traktowane priorytetowo.
Kary pieniężne dla podmiotów kluczowych, którymi po wejściu nowelizacji w życie mają stać się jst oraz ich jednostki organizacyjne, mogą sięgnąć bardzo dużych sum. Wysokość kary pieniężnej nie może przekroczyć 10 mln euro lub 2% przychodów osiągniętych przez podmiot kluczowy z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary, przy czym zastosowanie ma kwota wyższa. Kara ta nie może być jednak niższa niż 20 tys. zł. Projekt ustawy przewiduje też, że jeżeli podmiot kluczowy albo podmiot ważny naruszy przepisy ustawy, powodując bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi, to organ właściwy do spraw cyberbezpieczeństwa nałoży na ten podmiot karę w wysokości do 100 mln zł. Taka sama kara może zostać nałożona na podmiot kluczowy za naruszenie ustawy, które wywoła zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług. Dwie ostatnie z wymienionych kar już obowiązują w stosunku do operatorów usług kluczowych, jednak z tą różnicą, że przepis mówi o „uporczywym naruszaniu ustawy”. Nowelizacja usuwa tę treść, zaostrzając przepis.
Poza systemem kar nakładanych na podmioty ustawa przewiduje też osobistą odpowiedzialność za naruszenie przepisów uoksc. Osoby zarządzające podmiotami kluczowymi i ważnymi mogą być indywidualnie pociągnięte do odpowiedzialności finansowej, niezależnie od sankcji nałożonych na same podmioty. Kierownicy mogą zapłacić karę sięgającą aż 300% ich wynagrodzenia, co jest obliczane na podstawie zasad dotyczących ekwiwalentu za urlop. Jednocześnie najnowsza wersja nowelizacji wskazuje, że kara pieniężna może zostać wymierzona kierownikowi podmiotu kluczowego lub podmiotu ważnego będących podmiotami publicznymi w kwocie nie większej niż 100% otrzymywanego przez osobę ukaraną wynagrodzenia obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop. Jeśli podmiot kluczowy lub podmiot ważny będące podmiotami publicznymi są zobowiązane do stosowania ustawy również na podstawie innego sektora wskazanego w załączniku nr 1 lub 2, do kar pieniężnych wymierzanych kierownikom tych podmiotów stosuje się m.in. wyższy próg, czyli 300% wynagrodzenia.
Kary okresowe są narzędziem dyscyplinującym w sytuacjach, gdy podmioty opóźniają się z realizacją swoich obowiązków. Organ nadzorczy może nałożyć karę wynoszącą od 500 zł do 100 tys. zł za każdy dzień opóźnienia. Projekt ustawy zawiera także regułę kolizyjną, wskazując, że jeżeli za naruszenie przepisów uoksc została nałożona prawomocnie kara pieniężna przez prezesa Urzędu Ochrony Danych Osobowych w związku z naruszeniem ochrony danych osobowych, organ właściwy do spraw cyberbezpieczeństwa nie wszczyna postępowania i poprzestaje na pouczeniu.
Nowelizacja uoksc nakłada więc nowe obowiązki zarówno na jst, jak i ich kierowników, zwiększając spoczywającą na nich odpowiedzialność. Wzmacnia też rolę organów nadzorczych w zakresie egzekwowania przepisów i zapewnienia cyberbezpieczeństwa.
Wspólne wykonywanie obowiązków
Projektodawca, aby zwiększyć możliwości realizacji obowiązków wynikających z ustawy, postanowił dodać rozdział 3b pt. „Wspólne wykonywanie obowiązków z zakresu cyberbezpieczeństwa przez podmioty publiczne”. Na poziomie samorządu dopuszczono wspólną obsługę tych obowiązków w postaci centrów usług wspólnych (dalej: CUW), a także możliwość współpracy pomiędzy jst poprzez zawieranie porozumień powierzających ich realizację jednej jst oraz wskazywanie konkretnych jednostek organizacyjnych, osób prawnych lub spółek do ich wykonywania. W tym zakresie, zarówno do tworzenia CUW-ów, jak i zawierania współprac, stosuje się przepisy ustaw ustrojowych. Wydaje się, że należy to interpretować także jako możliwość zawierania porozumień z góry na dół, np. gmina może przekazać realizację zadań powiatowi oraz odwrotnie. Dodatkowo ustawodawca wskazał, że podmioty publiczne, dla których wyznaczono taką jednostkę, mają obowiązek współpracować z nią przez przekazywanie informacji o incydentach, wykonywanie decyzji jej kierownika w zakresie Systemu Zarządzania Bezpieczeństwem Informacji, publikowanie na swojej stronie odnośnika do strony tej jednostki oraz udział kierownika w szkoleniach. Projektodawca z uwagi na zakres podmiotowy uoksc oraz odwołanie się do ogólnych instytucji ustrojowych samorządu terytorialnego w zakresie współpracy wewnątrz jednostki, jak i pomiędzy jednostkami dokonuje zmiany przepisów ustrojowych gminnych i powiatowych. Przykładowo art. 10b ustawy z dnia 8 marca 1990 r. o samorządzie gminnym (tekst jedn. DzU z 2024 r., poz. 1465) ma przyjąć nowe brzmienie, tj. „wspólną obsługę mogą prowadzić urząd gminy, inna jednostka organizacyjna gminy, jednostka organizacyjna związku międzygminnego, jednostka organizacyjna związku powiatowo-gminnego albo spółka, o której mowa w art. 9 ust. 1 ustawy z dnia 20 grudnia 1996 r. o gospodarce komunalnej, w tym spółka prawa handlowego powołana w celu prowadzenia wspólnej obsługi, zwane dalej »jednostkami obsługującymi«”. Tym samym nowymi CUW-ami, obok jednostek organizacyjnych nieposiadających osobowości prawnych czy związków międzygminnych/powiatowo-gminnych, mogą stać się spółki komunalne.
Zmiana modelu
Obecnie cyberbezpieczeństwo jest jednym z największych wyzwań związanych z funkcjonowaniem jst i oddziałuje na wszystkie obszary ich działalności. Projektowana nowelizacja uoksc zmienia podejście z modelu bazującego na dostosowywaniu działań do własnych potrzeb na system oparty na zewnętrznych wymaganiach regulacyjnych. Zakres i złożoność wdrożenia nowych przepisów można porównać do implementacji, rodo, przy czym większy nacisk położony został na kwestie teleinformatyczne. Należy pochwalić Ministerstwo Cyfryzacji, że w toku dialogu wzięło pod uwagę postulaty jst. Zmiany wprowadzone w projekcie nowelizacji ustawy po Komisji Wspólnej Rządu i Samorządu Terytorialnego pozwalają przypuszczać, że wdrożenie tej ustawy oraz jednoczesne faktyczne zapewnienie cyberbezpieczeństwa na poziomie samorządu okaże się z jednej strony możliwie pełne, a z drugiej – wykonalne. Nawet jeśli jst czeka jeszcze dużo pracy, by sprostać wymaganiom uoksc.
Autor
Sylwester Szczepaniak
Radca prawny, ekspert w obszarze paperless oraz EIDAS. Wieloletni pracownik Ministerstwa Cyfryzacji, koordynator prac legislacyjnych w obszarze doręczeń elektronicznych.
