JST9 min czytania

Gmina a KSC — plan wdrożenia krok po kroku

Czy gmina podlega KSC

Wszystkie urzędy gmin podlegają ustawie o KSC jako podmioty publiczne — więcej informacji znajdziesz na stronie sektor JST w KSC, a pełną ścieżkę wdrożenia opisujemy w pakiecie NIS2 dla JST — wdrożenie KSC w samorządzie. Status konkretnego urzędu zależy od liczby zatrudnionych. Urząd gminy zatrudniający na dzień 1 stycznia danego roku co najmniej 50 osób (w przeliczeniu na pełny wymiar czasu pracy, na podstawie umowy o pracę) jest podmiotem kluczowym. Pozostałe urzędy gmin są podmiotami ważnymi (Q&A 1.8, 2.6). Wpis do wykazu następuje z urzędu — dokonuje go minister właściwy do spraw informatyzacji.

Zatrudnienie w urzędzie gminyStatus KSCPodstawa prawna
≥ 50 etatów (pełny wymiar czasu pracy)Podmiot kluczowyZałącznik nr 1, sektor podmioty publiczne
< 50 etatówPodmiot ważnyArt. 5 ust. 2 pkt 8 — samorządowa jednostka budżetowa
KSC obejmuje również jednostki organizacyjne gminy: szkoły publiczne i przedszkola (jako jednostki budżetowe — Q&A 1.16), samorządowe zakłady budżetowe, samorządowe instytucje kultury, a także spółki komunalne wykonujące zadania o charakterze użyteczności publicznej (art. 5 ust. 2 pkt 8). Dla tych jednostek przewidziano uproszczone wymagania cyberbezpieczeństwa z załącznika nr 4.

Uproszczony SZBI z Załącznika nr 4

Podmioty ważne będące podmiotami publicznymi (w tym mniejsze urzędy gmin, szkoły, przedszkola, zakłady budżetowe) nie stosują pełnego SZBI opartego na szacowaniu ryzyka z art. 8 ust. 1. Zamiast tego wdrażają uproszczony SZBI z załącznika nr 4 do ustawy (art. 8 ust. 3). Ma on formę listy kontrolnej minimalnych wymogów.

  • Inwentaryzacja zasobów informatycznych (sprzęt, oprogramowanie, systemy)
  • Weryfikacja uprawnień personelu do systemów informatycznych
  • Stosowanie oprogramowania antywirusowego i regularne aktualizacje
  • Stosowanie zasad cyberhigieny (silne hasła, uwierzytelnianie wieloskładnikowe)
  • Regularne tworzenie kopii zapasowych danych
  • Procedury reagowania na incydenty i zgłaszania ich do CSIRT
Zrezygnowano z podejścia opartego na ryzyku dla mniejszych jednostek samorządowych, ponieważ nie posiadają one zasobów kadrowych do przeprowadzenia profesjonalnego szacowania ryzyka. Załącznik nr 4 pozwala wdrożyć minimalny poziom ochrony bez konieczności angażowania wyspecjalizowanych konsultantów.

Wspólne jednostki obsługi cyberbezpieczeństwa

Ustawa o KSC przewiduje możliwość tworzenia wspólnych jednostek obsługi cyberbezpieczeństwa (Q&A 3.13). Oznacza to, że jedna jednostka organizacyjna gminy (np. urząd gminy) może odpowiadać za obowiązki cyberbezpieczeństwa w pozostałych jednostkach organizacyjnych gminy — szkołach, przedszkolach, zakładach budżetowych. Co więcej, jednostka z jednej gminy może obsługiwać jednostki z innych gmin na podstawie stosownego porozumienia.

  • Jednostki obsługujące mogą być tworzone na poziomie gminy, powiatu lub województwa
  • Jedna gmina może obsługiwać jednostki z kilku gmin na podstawie porozumienia międzygminnego
  • Jednostka obsługująca realizuje obowiązki z art. 8, art. 8c–8f, art. 9–12b i art. 15 w imieniu jednostek obsługiwanych
  • Model wspólnej obsługi pozwala na optymalizację kosztów i centralizację kompetencji cyberbezpieczeństwa
  • Spółki komunalne wykonujące zadania użyteczności publicznej również mogą być objęte wspólną obsługą

Harmonogram wdrożenia

Poniżej przedstawiono rekomendowany harmonogram wdrożenia KSC w gminie. Terminy odnoszą się do daty wejścia w życie ustawy (3 kwietnia 2026 r.). Podmioty publiczne wpisywane są do wykazu z urzędu, ale muszą uzupełnić ewentualne brakujące dane na wezwanie ministra.

EtapTerminDziałania
Identyfikacja i rejestracjaDo 3 października 2026 r.Ustalenie statusu (PK/PW), weryfikacja wpisu z urzędu, uzupełnienie danych w S46, wyznaczenie osoby kontaktowej
Wdrożenie SZBIDo 3 kwietnia 2027 r.Wdrożenie uproszczonego SZBI (zał. 4) lub pełnego SZBI (art. 8 ust. 1 dla PK), inwentaryzacja zasobów, procedury reagowania na incydenty
SzkoleniaDo 3 kwietnia 2027 r.Szkolenie wójta/burmistrza z cyberbezpieczeństwa (art. 8e), szkolenia personelu, dokumentacja szkoleń
Audyt bezpieczeństwaDo 3 kwietnia 2028 r.Przeprowadzenie pierwszego audytu bezpieczeństwa przez kwalifikowanego audytora
Gmina będąca podmiotem kluczowym (≥50 etatów) wdraża pełny SZBI oparty na szacowaniu ryzyka (art. 8 ust. 1), a nie uproszczony z załącznika nr 4. Uproszczony SZBI dotyczy wyłącznie podmiotów ważnych będących podmiotami publicznymi (art. 8 ust. 3).

Odpowiedzialność wójta/burmistrza

Wójt, burmistrz lub prezydent miasta jako kierownik podmiotu kluczowego lub ważnego ponosi osobistą odpowiedzialność za wykonywanie obowiązków z zakresu cyberbezpieczeństwa (art. 8c ust. 1). Odpowiedzialność ta obejmuje wszystkie obowiązki wymienione w ustawie — od wdrożenia SZBI, przez raportowanie incydentów, po przeprowadzenie audytu. Delegowanie zadań nie zwalnia z odpowiedzialności (art. 8c ust. 3).

  • Wójt/burmistrz podejmuje decyzje w zakresie SZBI i planuje środki finansowe na cyberbezpieczeństwo (art. 8d)
  • Raz w roku przechodzi obowiązkowe szkolenie z zakresu cyberbezpieczeństwa (art. 8e ust. 1)
  • Zapewnia, że personel jest świadomy obowiązków i zna wewnętrzne regulacje (art. 8d pkt 4)
  • Ponosi odpowiedzialność nawet gdy obowiązki zostały powierzone innej osobie (art. 8c ust. 3)
Kara pieniężna dla kierownika podmiotu publicznego (wójta, burmistrza, prezydenta miasta) wynosi do 100% wynagrodzenia obliczanego według zasad ekwiwalentu za urlop (art. 73a ust. 5). W przypadku gdy gmina podlega KSC również na podstawie innego sektora z załącznika nr 1 lub 2 (np. sektor wodociągowy), kara może sięgnąć do 300% wynagrodzenia (art. 73a ust. 4 w zw. z ust. 5 zdanie drugie).
Kara administracyjna na gminę. Gmina jako podmiot publiczny zazwyczaj nie ma przychodów z działalności gospodarczej, więc nie stosuje się procentu z art. 73 ust. 3 / 4 KSC (2% / 1,4%). Zgodnie z art. 73 ust. 3a KSC podstawą wymiaru kary jest wówczas równowartość 500 000 EUR (gmina PK z ≥ 50 FTE w urzędzie) lub 250 000 EUR (mała gmina PW publiczna). Organ właściwy obowiązkowo uwzględnia możliwości finansowe podmiotu publicznego przy ustalaniu kary (art. 76a ust. 1 KSC) — realna kara dla małej gminy będzie znacznie niższa od ryczałtu, ale nie znika. Minimum ustawowe: 20 000 zł (PK) / 15 000 zł (PW). Art. 74 ust. 6 KSC dodatkowo nakłada na Ministra Cyfryzacji obowiązek corocznego raportowania Komisji Wspólnej Rządu i Samorządu Terytorialnego o wpływach z kar na samorządowe podmioty publiczne — co potwierdza realne egzekwowanie sankcji wobec gmin.
FAQ4 pytania

Najczęstsze pytania

Czy każda gmina podlega KSC?
Tak — gmina jako podmiot publiczny podlega KSC niezależnie od wielkości. Urzędy gmin zatrudniające ≥ 50 osób (FTE) są podmiotami kluczowymi zgodnie z zał. 1 pkt 4 KSC. Mniejsze gminy (< 50 FTE) są podmiotami ważnymi publicznymi stosującymi uproszczony SZBI z załącznika nr 4.
Jak duża musi być gmina, żeby być podmiotem kluczowym KSC?
Kryterium: zatrudnienie w urzędzie gminy ≥ 50 osób (FTE) — zał. 1 pkt 4 KSC. Próg finansowy nie dotyczy JST; liczba zatrudnionych jest jedynym kryterium. W praktyce podmiotami kluczowymi są gminy miejskie i wiejskie zatrudniające co najmniej 50 pracowników w urzędzie.
Czy urząd gminy musi przeprowadzić audyt KSC?
Podmioty ważne publiczne (mniejsze gminy) — audyt tylko na żądanie organu właściwego (art. 15 ust. 1b KSC). Podmioty kluczowe (duże urzędy) — obowiązkowy audyt co najmniej raz na 3 lata. Niezależnie od statusu, każda gmina prowadzi wewnętrzną analizę ryzyka i przegląd SZBI — to element ustawowego obowiązku z art. 8.
Co z jednostkami podległymi gminie — szkołami, DPS, bibliotekami?
Każda jednostka podległa jest oceniana osobno. Większość szkół, bibliotek, ośrodków kultury i DPS to podmioty publiczne podpadające pod KSC jako podmioty ważne (zał. 2 ust. 8 — administracja publiczna). Gmina jako organ założycielski koordynuje wdrożenie, ale każda jednostka musi mieć własną rejestrację w wykazie S46 i własny SZBI (lub wspólny na poziomie gminy z przyporządkowaniem).
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.