Nagranie webinaru Wyzwania samorządów w budowaniu lokalnej odporności wobec współczesnych zagrożeń
Zmień język strony
Zmień język strony
Prawo.pl

Wójt zapłaci z własnej kieszeni za brak cyberbezpieczeństwa

Rafał Panas
Rafał Panas
Prawo AI
Cyberbezpieczeństwo
Aktualności

Osobista, finansowa odpowiedzialność wójta, burmistrza i prezydenta miasta za stan cyfrowego bezpieczeństwa samorządu, obowiązkowe wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji w każdym urzędzie oraz możliwe ograniczenie korzystania przez urzędników ze sztucznej inteligencji „na własną rękę” – to część najważniejszych zmian, które przynosi nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa, która obowiązuje od 3 kwietnia 2026 roku. Zmian w obowiązkach jest więcej.

Cyberatak Zhakowany System
Źródło: iStock

Prezes Urzędu Ochrony Danych Osobowych już karał samorządowców za rażące błędy w zabezpieczeniach danych (sankcje w wysokości 30–50 tys. zł). Jednak od 3 kwietnia 2026 r. wójt, burmistrz czy prezydent ponoszą osobistą odpowiedzialność za stan cyfrowego bezpieczeństwa samorządu. Wynika to z art. 8c znowelizowanej ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), wdrażającej unijną dyrektywę NIS 2. To nie wszystkie zmiany.

Kierownicy jednostek osobiście odpowiedzialni za bezpieczeństwo

Nowelizacja ustawy o KSC wprowadza fundamentalną zmianę: osobistą odpowiedzialność kierownika podmiotu, np. gminy. Wójtowie, burmistrzowie oraz prezydenci miast przestają być jedynie odbiorcami raportów o stanie bezpieczeństwa, a stają się bezpośrednio i osobiście odpowiedzialnymi za cyfrową odporność samorządów. Delegowanie zadań na inne osoby – np. pracowników działu IT – nie zwalnia kierownika jednostki z odpowiedzialności.

Zgodnie z nowymi przepisami wójt, burmistrz lub prezydent miasta musi:

  • zatwierdzać analizy ryzyka oraz dobór środków technicznych i organizacyjnych w zakresie bezpieczeństwa, 
  • zapewnić fundusze w budżecie jednostki oraz zasoby organizacyjne niezbędne do wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), w tym m.in. infrastrukturę techniczną, ocenę dostawców IT pod kątem bezpieczeństwa, analizę ryzyka wystąpienia incydentów oraz zarządzanie nimi,
  • osobiście uczestniczyć w szkoleniach z cyberbezpieczeństwa (podnoszenie kompetencji kadry zarządzającej jest obowiązkowe).

Przeczytaj także: Użycie AI do tworzenia haseł to zaproszenie dla hakerów 

Jakie kary za zaniedbanie?

Stawka jest wysoka. Jeśli urząd nie dopełni obowiązków, organ nadzorczy może nałożyć na szefa JST karę pieniężną w wysokości do 100 proc. jego wynagrodzenia, obliczanego według ekwiwalentu za urlop. W skrajnych przypadkach, gdy zaniechanie zagraża bezpieczeństwu państwa, kary administracyjne dla podmiotów mogą sięgać nawet 100 mln zł.

W przypadku organów wieloosobowych (np. zarządów spółek komunalnych), jeśli nie zostanie wskazana jedna osoba odpowiedzialna, odpowiadają solidarnie wszyscy członkowie.

Groźba kar finansowych dotyczy również przedsiębiorców objętych KSC. Kara dla podmiotów kluczowych może wynieść do 2 proc. przychodów przedsiębiorstwa (minimum 20 tys. zł, maksymalnie 10 mln euro, czyli ok. 42,3 mln zł). Sankcje dla podmiotów ważnych to 1,4 proc. przychodów (15 tys. zł – 7 mln euro, czyli ok. 30 mln zł). Dodatkowo za każdy dzień opóźnienia w realizacji nakazu organu cyberbezpieczeństwa grozi kara od 500 zł do 100 tys. zł.

Kierownikowi jednostki, który nie podejmie czynności dotyczących obsługi incydentu (nakazanych przez organ właściwy do spraw cyberbezpieczeństwa), grozi także tymczasowy zakaz pełnienia funkcji zarządczych w podmiocie kluczowym.

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa w praktyce oznacza istotne rozszerzenie katalogu podmiotów objętych regulacją oraz znaczące podniesienie poziomu obowiązków operacyjnych. W przypadku jednostek samorządu terytorialnego oznacza to przede wszystkim objęcie ich statusem podmiotów kluczowych, a tym samym konieczność spełnienia wymagań określonych w przepisach ustawy, w szczególności w rozdziale trzecim, w tym w art. 8, który ma charakter rozbudowany i wielowarstwowy - podkreśla dr inż. Marcin Grabarczyk, dyrektor Pionu Transferu Technologii i Rozwoju Biznesu w NASK.

Obowiązki obejmują klasyczne zasady ochrony informacji (takie jak zapewnienie poufności, integralności, dostępności i autentyczności danych), a także czynności o charakterze ciągłym i systemowym. Należą do nich m.in.

  • ciągły monitoring,
  • zarządzanie podatnościami,
  • budowa i utrzymanie polityk bezpieczeństwa oraz systemów zarządzania ryzykiem,
  • kontrola dostępu, również fizycznego,
  • stała edukacja personelu.

Kluczowym wyzwaniem nie jest pojedynczy wymóg, lecz konieczność zbudowania spójnego, zintegrowanego systemu zarządzania cyberbezpieczeństwem, który obejmuje zarówno warstwę technologiczną, jak i organizacyjną. Oznacza to odejście od podejścia punktowego, opartego na pojedynczych wdrożeniach, na rzecz podejścia systemowego, obejmującego ciągły monitoring, zarządzanie incydentami, utrzymanie zgodności oraz regularne doskonalenie procesów - tłumaczy dyrektor Marcin Grabarczyk.  

 

Czy Twój urząd to „podmiot kluczowy”?

Nie każdy wójt, burmistrz czy prezydent mają takie same obowiązki. Nowe prawo dzieli samorządy na dwie kategorie, podmioty kluczowe i podmioty ważne. Przynależność do danej kategorii zależy od potencjału kadrowego i skali działania jednostki.

Do podmiotów kluczowych zaliczono urzędy marszałkowskie, starostwa i duże urzędy gmin (minimum 50 pracowników zatrudnionych na umowę o pracę, stan na 1 stycznia danego roku).

Podmioty ważne to mniejsze urzędy, spółki komunalne i samorządowe jednostki organizacyjne. Katalog podmiotów krajowego systemu cyberbezpieczeństwa – rozszerzony o nowe sektory i branże – wskazuje Załącznik nr 1 do ustawy o Krajowym Systemie Cyberbezpieczeństwa.

Co ważne, jednostki publiczne wpisywane są do centralnego wykazu z urzędu. Dokona tego Ministerstwo Cyfryzacji między 13 kwietnia a 6 maja 2026 roku. Zadaniem JST jest weryfikacja i aktualizacja danych do 3 października 2026 roku.

W odniesieniu do przedsiębiorstw kluczowe znaczenie ma obowiązek przeprowadzenia samooceny i ustalenia, czy dany podmiot kwalifikuje się jako podmiot kluczowy lub ważny w rozumieniu nowych przepisów implementujących dyrektywę NIS2 - tłumaczy dr inż. Marcin Grabarczyk.

W przypadku pozytywnej kwalifikacji przedsiębiorca musi zarejestrować się w wykazie podmiotów KSC i kompleksowo zadbać o cyberbezpieczeństwo w organizacji.

 

Większa odporność i surowe kary

Mariusz Busiło, prawnik, ekspert ds. bezpieczeństwa, właściciel serwisu Wprawny.pl, podkreśla, że nowelizacja ustawy o KSC pomoże podnieść odporność, tak aby minimalizować wektory ataków np. ze strony Rosji i Białorusi, otwiera drogę do współpracy różnych podmiotów na rzecz bezpieczeństwa i z pewnością podnosi odpowiedzialność za bezpieczeństwo informatyczne. Mocnym elementem jest w jego ocenie np. wsparcie NASK, w tym bardziej dostępny, odnowiony system S64. System będzie działał w formie aplikacji przeglądarkowej, bezpiecznej i łatwej w obsłudze, bez konieczności inwestowania w drogą infrastrukturę. Jednak ekspert zauważa też poważne zagrożenia wynikające z nowych przepisów.

Ustawodawca skupił się na karach, np. bardzo wysokich karach pieniężnych dla kierowników samorządów. Co prawda sankcje finansowe są odroczone na dwa lata, jednak nadal wójt, burmistrz czy prezydent może dostać tymczasowego nadzorcę z centrali na podstawie art. 53 ust 5 pkt 6 ustawy  .Podobnie po wejściu w życie kar pieniężnych, mimo wykluczenia takiej podstawy w KSC, będzie mógł dostać zakaz pełnienia funkcji związanych z gospodarką finansami publicznymi, jeśli nałożone na urząd kary będą uznane za wynikające z zaniechania kontroli zarządczej w rozumieniu ustawy o finansach publicznych i ustawy o odpowiedzialności za naruszenie dyscypliny finansów publicznych – zauważa Mariusz Busiło.

Przestrzega samorządowców przed kupowaniem “gotowców”, czyli dokumentów compliance, potwierdzających, że jednostka spełnia wymagania prawne związane z KSC. Podkreśla, że muszą to być dokumenty stwierdzające, że polityka bezpieczeństwa informacji realnie działa w gminie czy firmie.

To wymaga m.in. inwentaryzacji infrastruktury, a jej wykonania nie uzyska się kupując w internecie dokument za 700 zł czy nawet 1500 zł, a takie oferty już się pojawiły - podkreśla Mariusz Busiło.

Shadow AI: niewidzialne zagrożenie w urzędowych gabinetach

Jednym z najbardziej wyraźnych przykładów braku nadzoru nad procesami informacyjnymi m.in. w samorządach jest Shadow AI. To niekontrolowane korzystanie przez urzędników z narzędzi takich jak ChatGPT czy Gemini. Z punktu widzenia KSC, za brak polityki korzystania z narzędzi opartych na sztucznej inteligencji odpowiada kierownik jednostki. Shadow AI to realny problem. Z badań Fundacji Miasto i Związku Miast Polskich (2025 rok) wynika, że:

  • 50 proc. urzędników z 79 miast używało sztucznej inteligencji, czyli m.in. ChatGPT, „na własną rękę”,
  • tylko 27,5 proc. pytanych JST systemowo wdrożyło rozwiązania oparte na AI.

Zjawisko określane jako „shadow AI”, podobnie jak wcześniej „shadow IT”, nie jest możliwe do wyeliminowania wyłącznie poprzez regulację prawną. Może być ono natomiast skutecznie ograniczane poprzez wzrost dojrzałości organizacyjnej, technologicznej i zarządczej instytucji publicznych - ocenia dyrektor Marcin Grabarczyk.

Nowelizacja ustawy o KSC tworzy ku temu dobre warunki, bo wymusza wdrożenie systemowego podejścia do bezpieczeństwa informacji i świadomego zarządzania technologią. Zdaniem przedstawiciela NASK,  realne ograniczenie zjawiska „shadow AI” nastąpi przede wszystkim wtedy, gdy użytkownicy otrzymają dostęp do zatwierdzonych, bezpiecznych i zgodnych z regulacjami alternatyw. Ocenia, że rynek może odpowiedzieć na takie zapotrzebowanie poprzez rozwój dedykowanych usług.

Mariusz Busiło podkreśla, że karanie, nieprzemyślane inwestycje w infrastrukturę, którą trudno potem utrzymać i “papierowe” compliance nie przyniesie efektów.

Aby realnie poprawić bezpieczeństwo należy poprawiać kompetencje i świadomość urzędników i pracowników firm. Bardzo ważna jest budowa zaufania i kultury organizacyjnej wokół wzajemnej troski o bezpieczeństwo. Każdy pracownik może popełnić błąd. Ważne, aby nie bał się do tego przyznać. Kluczowe jest, jak organizacja zareaguje i jakie będą skutki tego zdarzenia - stwierdza Mariusz Busiło.

Najważniejsze daty w ustawie Krajowym Systemie Cyberbezpieczeństwa

Wdrażanie KSC to proces, który potrwa do 2028 roku. Oto najważniejsze daty dla JST i przedsiębiorców:

  • 3 kwietnia 2026 – wejście w życie nowelizacji ustawy; kierownik jednostki formalnie odpowiada za stan sieci,
  • 13 kwietnia – uruchomienie Wykazu KSC (wykaz-ksc.gov.pl),
  • 12 czerwca 2026 – wójt, burmistrz, prezydent uzyskuje dostęp do Systemu S46, w którym będzie raportował incydenty (czas to 24 godziny od wykrycia); System S46 jest obowiązkowy dla podmiotów kluczowych i ważnych,
  • 3 października 2026 – koniec rejestracji dla podmiotów prywatnych,
  • 3 kwietnia 2027 – ostateczny termin na pełne wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji w każdym urzędzie,
  • 3 kwietnia 2028 – pierwszy obowiązkowy audyt bezpieczeństwa dla podmiotów kluczowych (realizowany przynajmniej raz na trzy lata) i koniec dwuletniego okresu ochronnego; od tego dnia ustawa przewiduje nakładanie kar finansowych.

 

 

Autor:
Rafał Panas
Czytaj także
cyberatak haker
CyberbezpieczeństwoBezpieczeństwo publiczne
Przejdź do artykułu: Rząd przyjął Strategię Cyberbezpieczeństwa na lata 2025–2029
Rada Ministrów przyjęła 10 marca 2026 r. Strategię Cyberbezpieczeństwa Rzeczypospolitej Polskiej – kluczowy dokument wyznaczający kierunki rozwoju bezpieczeństwa cyfrowego państwa do 2029 r. Strategia ma wzmocnić Krajowy System Cyberbezpieczeństwa, zwiększyć odporność kraju na rosnące cyberzagrożenia oraz poprawić ochronę danych obywateli, przedsiębiorstw i instytucji publicznych. Zakłada m.in. rozwój krajowych technologii, rozszerzenie współpracy międzysektorowej oraz powołanie centralnej instytucji koordynującej działania w cyberprzestrzeni.
biuro open office schody ruch
Samorząd terytorialnyKontrola zarządcza
Przejdź do artykułu: Nowe oblicze samorządowych CUW: cyfryzacja, AI i bezpieczeństwo danych
Samorządowe Centra Usług Wspólnych (CUW) stają przed nowymi wyzwaniami. Coraz więcej z nich rozszerza zakres usług o zadania związane z cyberbezpieczeństwem. W obliczu rosnącej liczby zagrożeń, CUW muszą nie tylko wdrażać nowoczesne technologie, wykorzystywać potencjał sztucznej inteligencji w automatyzacji procesów, ale również radzić sobie z niedoborem specjalistów oraz koniecznością standaryzacji procedur.

Polecamy prawnicze książki samorządowe

Przejdź do: VAT dla jednostek samorządu terytorialnego Komentarz do wybranych przepisów ustawy o podatku od towarów i usług z uwzględnieniem dyrektywy VAT, Sławomir Owczarczuk - otwiera się w nowym oknie
Nowość
VAT dla jednostek samorzadu terytorialnego Komentarz OWCZARCZUK rgb
10% Rabatu
Sprawdź
Cena promocyjna: 224,10 zł | Cena regularna: 249,00 zł
Najniższa cena w ostatnich 30 dniach: 174,30 zł
Przejdź do: Dwuinstancyjność postępowania administracyjnego i sądowoadministracyjnego z perspektywy pozycji konstytucyjno-ustrojowej samorządu terytorialnego, Katarzyna Małysa-Sulińska, Tomasz Podlejski, Mirosław Stec - otwiera się w nowym oknie
Nowość
Dwuinstancyjność postępowania MALYSA rgb
10% Rabatu
Sprawdź
Cena promocyjna: 215,10 zł | Cena regularna: 239,00 zł
Najniższa cena w ostatnich 30 dniach: 167,30 zł
Przejdź do: Zamówienia publiczne , Mateusz Winiarz - otwiera się w nowym oknie
Nowość
Zamowienia publiczne WINIARZ rgb
0% Rabatu
Sprawdź
Cena regularna: 149,00 zł
Najniższa cena w ostatnich 30 dniach: 105,79 zł
Przejdź do: Dwuinstancyjność postępowania administracyjnego w sferze zadań samorządu terytorialnego. Kontekst przedmiotowo-funkcjonalny, Katarzyna Małysa-Sulińska, Tomasz Podlejski, Mirosław Stec - otwiera się w nowym oknie
Nowość
978 83 8390 819 9
10% Rabatu
Sprawdź
Cena promocyjna: 215,10 zł | Cena regularna: 239,00 zł
Najniższa cena w ostatnich 30 dniach: 167,30 zł