Baza wiedzy

Ścieżka dowodowa w cyberbezpieczeństwie

15.06.2026

Jak przygotować Jednostkę na audyt zewnętrzny UoKSC i uniknąć kar?

Nowelizacja przepisów o Krajowym Systemie Cyberbezpieczeństwa wprowadza sztywne ramy czasowe dla weryfikacji odporności cyfrowej polskich Urzędów. Podmioty, które w dniu wejścia w życie ustawy (03 kwietnia 2026 r.) spełniały kryteria Podmiotu Kluczowego, muszą przeprowadzić pierwszy audyt w JST w terminie 24 miesięcy. Termin upływa 3 kwietnia 2028 roku. Zgodnie z nowymi przepisami wymagana jest ścieżka dowodowa w cyberbezpieczeństwie.

Samo posiadanie oprogramowania antywirusowego czy wykonywanie kopii zapasowych nie wystarczy. Aby uzyskać pozytywną opinię audytora, należy mieć na uwadze odejście od podejścia deklaratywnego.

Czym jest ścieżka dowodowa w SZBI?

Ścieżka dowodowa to jednoznaczny, udokumentowany zestaw zapisów i logów. Potwierdza on, że procedury opisane w dokumentacji normatywnej są realnie i stale wykonywane w codziennej pracy Urzędu. W obszarze ciągłości działania oraz odporności na ataki typu ransomware audytor zweryfikuje trzy konkretne elementy:

  • Plany Ciągłości Działania (BCP) i Odtwarzania Poawaryjnego (DRP) – dokumenty te muszą precyzyjnie określać rodzaj oraz kolejność działań personelu. Na wypadek, gdyby systemy Urzędu zostały całkowicie zaszyfrowane.
  • Analiza wpływu na biznes (BIA) – Urząd musi przedstawić wyznaczone parametry techniczne. RTO (Recovery Time Objective – maksymalny dopuszczalny czas przywrócenia systemu po awarii). RPO (Recovery Point Objective – maksymalna dopuszczalna utrata danych wyrażona w czasie).
  • Protokoły z testów odtworzeniowych – najważniejszy element ścieżki dowodowej. Wykazać należy formalny dokument, który potwierdza że administrator IT w kontrolowanym okresie skutecznie przeprowadził próbne odtworzenie systemów (np. księgowego czy kadrowego) z kopii zapasowej.
SZBI.org

W kontekście technicznych rekomendacji, warto zapoznać się z wytycznymi pełnomocnika rządu. Na ich podstawie należy wdrożyć odpowiednie procedury techniczne. Do takich zaliczamy uwierzytelnianie wieloskładnikowe (MFA) czy fizycznie odizolowane kopie zapasowe (Air-Gapped Backup). Gwarantuje stabilność Urzędu i ciągłość obsługi Obywateli.

Sprawdź jak możemy Ci pomóc

Powrót

Zobacz również

Automatyzacja konkursów dla NGO

25.05.2026

a dyscyplina finansów publicznych Każdy Urzędnik odpowiedzialny za współpracę z trzecim sektorem posiada wiedzę na temat tego, jak ogromnym obciążeniem dla Samorządu jest rzetelne przeprowadzenie procedur dotacyjnych....

Czytaj

Nowelizacja UoKSC i dyrektywa NIS2

29.04.2026

Jak przygotować urząd na nowe obowiązki? Rozwój technologiczny, z jednej strony zwiększa nasze możliwości, a z drugiej niestety niesie ze sobą zwiększoną liczbę  cyberzagrożeń. W związku z...

Czytaj