JST9 min czytania

Gmina a KSC — plan wdrożenia krok po kroku

Czy gmina podlega KSC

Wszystkie urzędy gmin podlegają ustawie o KSC jako podmioty publiczne. Status konkretnego urzędu zależy od liczby zatrudnionych. Urząd gminy zatrudniający na dzień 1 stycznia danego roku co najmniej 50 osób (w przeliczeniu na pełny wymiar czasu pracy, na podstawie umowy o pracę) jest podmiotem kluczowym. Pozostałe urzędy gmin są podmiotami ważnymi (Q&A 1.8, 2.6). Wpis do wykazu następuje z urzędu — dokonuje go minister właściwy do spraw informatyzacji.

Zatrudnienie w urzędzie gminyStatus KSCPodstawa prawna
≥ 50 etatów (pełny wymiar czasu pracy)Podmiot kluczowyZałącznik nr 1, sektor podmioty publiczne
< 50 etatówPodmiot ważnyArt. 5 ust. 2 pkt 8 — samorządowa jednostka budżetowa
KSC obejmuje również jednostki organizacyjne gminy: szkoły publiczne i przedszkola (jako jednostki budżetowe — Q&A 1.16), samorządowe zakłady budżetowe, samorządowe instytucje kultury, a także spółki komunalne wykonujące zadania o charakterze użyteczności publicznej (art. 5 ust. 2 pkt 8). Dla tych jednostek przewidziano uproszczone wymagania cyberbezpieczeństwa z załącznika nr 4.

Uproszczony SZBI z Załącznika nr 4

Podmioty ważne będące podmiotami publicznymi (w tym mniejsze urzędy gmin, szkoły, przedszkola, zakłady budżetowe) nie stosują pełnego SZBI opartego na szacowaniu ryzyka z art. 8 ust. 1. Zamiast tego wdrażają uproszczony system zarządzania bezpieczeństwem informacji z załącznika nr 4 do ustawy (art. 8 ust. 3). Ma on formę listy kontrolnej minimalnych wymogów.

  • Inwentaryzacja zasobów informatycznych (sprzęt, oprogramowanie, systemy)
  • Weryfikacja uprawnień personelu do systemów informatycznych
  • Stosowanie oprogramowania antywirusowego i regularne aktualizacje
  • Stosowanie zasad cyberhigieny (silne hasła, uwierzytelnianie wieloskładnikowe)
  • Regularne tworzenie kopii zapasowych danych
  • Procedury reagowania na incydenty i zgłaszania ich do CSIRT
Zrezygnowano z podejścia opartego na ryzyku dla mniejszych jednostek samorządowych, ponieważ nie posiadają one zasobów kadrowych do przeprowadzenia profesjonalnego szacowania ryzyka. Załącznik nr 4 pozwala wdrożyć minimalny poziom ochrony bez konieczności angażowania wyspecjalizowanych konsultantów.

Wspólne jednostki obsługi cyberbezpieczeństwa

Ustawa o KSC przewiduje możliwość tworzenia wspólnych jednostek obsługi cyberbezpieczeństwa (Q&A 3.13). Oznacza to, że jedna jednostka organizacyjna gminy (np. urząd gminy) może odpowiadać za obowiązki cyberbezpieczeństwa w pozostałych jednostkach organizacyjnych gminy — szkołach, przedszkolach, zakładach budżetowych. Co więcej, jednostka z jednej gminy może obsługiwać jednostki z innych gmin na podstawie stosownego porozumienia.

  • Jednostki obsługujące mogą być tworzone na poziomie gminy, powiatu lub województwa
  • Jedna gmina może obsługiwać jednostki z kilku gmin na podstawie porozumienia międzygminnego
  • Jednostka obsługująca realizuje obowiązki z art. 8, art. 8c–8f, art. 9–12b i art. 15 w imieniu jednostek obsługiwanych
  • Model wspólnej obsługi pozwala na optymalizację kosztów i centralizację kompetencji cyberbezpieczeństwa
  • Spółki komunalne wykonujące zadania użyteczności publicznej również mogą być objęte wspólną obsługą

Harmonogram wdrożenia

Poniżej przedstawiono rekomendowany harmonogram wdrożenia KSC w gminie. Terminy odnoszą się do daty wejścia w życie ustawy (3 kwietnia 2026 r.). Podmioty publiczne wpisywane są do wykazu z urzędu, ale muszą uzupełnić ewentualne brakujące dane na wezwanie ministra.

EtapTerminDziałania
Identyfikacja i rejestracjaDo 3 października 2026 r.Ustalenie statusu (PK/PW), weryfikacja wpisu z urzędu, uzupełnienie danych w S46, wyznaczenie osoby kontaktowej
Wdrożenie SZBIDo 3 kwietnia 2027 r.Wdrożenie uproszczonego SZBI (zał. 4) lub pełnego SZBI (art. 8 ust. 1 dla PK), inwentaryzacja zasobów, procedury reagowania na incydenty
SzkoleniaDo 3 kwietnia 2027 r.Szkolenie wójta/burmistrza z cyberbezpieczeństwa (art. 8e), szkolenia personelu, dokumentacja szkoleń
Audyt bezpieczeństwaDo 3 kwietnia 2028 r.Przeprowadzenie pierwszego audytu bezpieczeństwa przez kwalifikowanego audytora
Gmina będąca podmiotem kluczowym (≥50 etatów) wdraża pełny SZBI oparty na szacowaniu ryzyka (art. 8 ust. 1), a nie uproszczony z załącznika nr 4. Uproszczony SZBI dotyczy wyłącznie podmiotów ważnych będących podmiotami publicznymi (art. 8 ust. 3).

Odpowiedzialność wójta/burmistrza

Wójt, burmistrz lub prezydent miasta jako kierownik podmiotu kluczowego lub ważnego ponosi osobistą odpowiedzialność za wykonywanie obowiązków z zakresu cyberbezpieczeństwa (art. 8c ust. 1). Odpowiedzialność ta obejmuje wszystkie obowiązki wymienione w ustawie — od wdrożenia SZBI, przez raportowanie incydentów, po przeprowadzenie audytu. Delegowanie zadań nie zwalnia z odpowiedzialności (art. 8c ust. 3).

  • Wójt/burmistrz podejmuje decyzje w zakresie SZBI i planuje środki finansowe na cyberbezpieczeństwo (art. 8d)
  • Raz w roku przechodzi obowiązkowe szkolenie z zakresu cyberbezpieczeństwa (art. 8e ust. 1)
  • Zapewnia, że personel jest świadomy obowiązków i zna wewnętrzne regulacje (art. 8d pkt 4)
  • Ponosi odpowiedzialność nawet gdy obowiązki zostały powierzone innej osobie (art. 8c ust. 3)
Kara pieniężna dla kierownika podmiotu publicznego (wójta, burmistrza, prezydenta miasta) wynosi do 100% wynagrodzenia obliczanego według zasad ekwiwalentu za urlop (art. 73a ust. 5). W przypadku gdy gmina podlega KSC również na podstawie innego sektora z załącznika nr 1 lub 2 (np. sektor wodociągowy), kara może sięgnąć do 300% wynagrodzenia (art. 73a ust. 4 w zw. z ust. 5 zdanie drugie).
Spis treści
Czy gmina podlega KSC
Uproszczony SZBI z Załącznika nr 4
Wspólne jednostki obsługi cyberbezpieczeństwa
Harmonogram wdrożenia
Odpowiedzialność wójta/burmistrza
Potrzebujesz wsparcia?

Pomagamy we wdrożeniu KSC od identyfikacji statusu po pełny audyt.

Pozostałe artykuły
KlasyfikacjaPodmiot kluczowy vs. ważny — sprawdź swój statusWdrożenieSZBI wg Załącznika nr 4 — przewodnik dla JSTKaryKary finansowe w ustawie o KSC — ile wynoszą?IncydentyRaportowanie incydentów KSC — 24h, 72h, miesiącAudytAudyt bezpieczeństwa KSC — kto i kiedy?ZarządzanieKierownik a cyberbezpieczeństwo — obowiązki KSCWykazRejestracja w wykazie KSC — system S46Łańcuch dostawBezpieczeństwo łańcucha dostaw wg KSCDostawcyDostawca wysokiego ryzyka — procedura KSCNadzórNadzór nad podmiotami KSC — ex ante i ex postTerminyTerminy wdrożenia KSC 2026–2028Sektor finansowyKSC a DORA — obowiązki sektora finansowegoPersonelWeryfikacja niekaralności personelu — art. 8f KSCWspółpracaWymiana informacji o cyberzagrożeniach w KSCKlasyfikacjaNiezależność systemów — wyłączenie z KSCŻywnośćProducent żywności a KSC — obowiązki 2026ICTDostawca chmury a KSC — kto podlega?PrawoKSC a RODO — czym się różnią?ZdrowieSzpital a KSC/NIS2 — lista obowiązkówOdpadyFirma odpadowa a KSC — czy podlegam?KlasyfikacjaCzy podlegam pod KSC? Sprawdź w 5 minutWykazRejestracja KSC krok po kroku — system S46KaryKary za brak rejestracji w KSC — ile grozi?ZarządzanieZarząd a KSC — odpowiedzialność osobista
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.