Baza wiedzy

Jak przygotować urząd na nowe obowiązki?

Rozwój technologiczny, z jednej strony zwiększa nasze możliwości, a z drugiej niestety niesie ze sobą zwiększoną liczbę  cyberzagrożeń. W związku z tym Administracja Publiczna staje przed największym od lat wyzwaniem regulacyjnym. Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (UoKSC), implementująca Unijną Dyrektywę NIS2, wprowadza szereg restrykcyjnych wymogów, które na stałe zmienią sposób funkcjonowania Jednostek Samorządu Terytorialnego. Dla wielu Urzędów nie jest to już tylko kwestia techniczna, ale przede wszystkim strategiczna i prawna odpowiedzialność Kierownictwa.

Realna odpowiedzialność JST za bezpieczeństwo informacji

Dotychczasowe podejście do cyberbezpieczeństwa w wielu Urzędach opierało się na dokumentacji, która często nie przystawała do rzeczywistości. W dniu 03 kwietnia 2026 roku, w życie weszły przepisy, w wyniku których Jednostki muszą wdrożyć bardziej restrykcyjne działania prewencyjne.

Jednostka uznana za podmiot kluczowy lub ważny – bez posiadania odpowiednich zasobów do zarządzania incydentami, jest narażona na konsekwencje finansowe i prawne. Brak przygotowania to nie tylko zagrożenie atakiem typu ransomware, ale także ryzyko dotkliwych kar administracyjnych, które mogą sięgać nawet 10 000 000 EUR.

Analiza ryzyka jako fundament SZBI

Kluczem do spełnienia nowych wymogów jest odejście od szablonowych polityk bezpieczeństwa. Zgodnie z nowymi przepisami, analiza ryzyka musi stać się fundamentem Systemu Zarządzania Bezpieczeństwem Informacji (SZBI).

Aby proces ten był skuteczny i akceptowany przez Audytorów, musi on obejmować:

• Identyfikację zadań publicznych – Mapowanie usług kluczowych, takich jak obsługa podatków czy zarządzanie kryzysowe.
• Powiązanie z infrastrukturą IT –  Wskazanie konkretnych systemów (SI_OUK), od których zależy ciągłość działania Urzędu.
• Bezpieczeństwo łańcucha dostaw – Obowiązkowa weryfikacja Dostawców oprogramowania i usług IT pod kątem ich standardów cyberbezpieczeństwa.
• Operacyjną gotowość – Wdrożenie trzystopniowego modelu raportowania incydentów poważnych (24h / 72h / 1 miesiąc) do właściwego CSIRT.

Dlaczego warto działać już teraz?

Choć nowe obowiązki mogą wydawać się obciążeniem, ich rzetelne wdrożenie przynosi wymierne korzyści dla JST:

• Spokój prawny i finansowy – Dzięki pełnej zgodności z UoKSC, Urząd unika kar pieniężnych. Ich nakładanie rozpocznie się po 03 kwietnia 2028 roku.
• Oszczędność czasu i zasobów – Automatyzacja procesów zarządzania dokumentacją i incydentami pozwala usprawnić procesy decyzyjne oraz administracyjne.
• Finansowanie zewnętrze – Inwestycje w systemy takie jak Zeto ZODO mogą być finansowane z programów grantowych takich jak „Cyberbezpieczny Samorząd”. Pozwala to na cyfryzację bez obciążania budżetu własnego.
• Ciągłość działania – Dzięki sprawdzonym Planom Ciągłości Działania (BCP), Urząd jest w stanie błyskawicznie odzyskać dane po ewentualnym ataku. Buduje to zaufanie Obywateli do Administracji.

Nowelizacja UoKSC to nie tylko kolejny przepis, to zmiana paradygmatu ochrony danych w Państwie. Pierwszy obowiązkowy audyt dla podmiotów kluczowych musi zostać przeprowadzony do dnia 03 kwietnia 2028 roku. Nie warto jednak czekać do ostatniej chwili. Skontaktuj się z nami już dziś i przygotuj się na nowe obowiązki.