Wdrożenie10 min czytania

System zarządzania bezpieczeństwem informacji wg Załącznika nr 4

Zakres i cel Załącznika nr 4

Załącznik nr 4 do ustawy o krajowym systemie cyberbezpieczeństwa określa wymagania dotyczące systemu zarządzania bezpieczeństwem informacji (SZBI) stosowanego przez jednostki samorządu terytorialnego (JST). SZBI ma zapewniać poufność, integralność i dostępność przetwarzanych danych oraz wspierać realizację zadań publicznych w sposób ciągły i bezpieczny.

SZBI wymagany przez Załącznik nr 4 jest kompatybilny z normą PN-EN ISO/IEC 27001, jednak nie wymaga formalnej certyfikacji. JST mogą oprzeć wdrożenie na tej normie jako punkcie odniesienia.

Analiza ryzyka i dokumentacja

Fundamentem SZBI jest systematyczna analiza ryzyka. JST zobowiązana jest do identyfikacji aktywów informacyjnych, określenia zagrożeń i podatności oraz oszacowania poziomu ryzyka. Na podstawie wyników analizy dobierane są adekwatne środki ochrony. Analiza ryzyka powinna być dokumentowana i aktualizowana nie rzadziej niż raz w roku oraz po każdym poważnym incydencie bezpieczeństwa.

  • Polityka bezpieczeństwa informacji zatwierdzona przez kierownika jednostki
  • Rejestr aktywów informacyjnych z przypisanymi właścicielami
  • Dokumentacja wyników analizy ryzyka i planu postępowania z ryzykiem
  • Procedury zarządzania incydentami bezpieczeństwa
  • Polityka kontroli dostępu do systemów informatycznych
  • Plan szkoleń z zakresu bezpieczeństwa informacji

Środki techniczne i organizacyjne

Załącznik nr 4 wymaga wdrożenia środków technicznych i organizacyjnych proporcjonalnych do zidentyfikowanego ryzyka. Obejmują one zarządzanie dostępem, ochronę fizyczną, bezpieczeństwo systemów IT, zarządzanie podatnościami oraz ochronę przed złośliwym oprogramowaniem.

ObszarWymagania ustawowe i rekomendowane dobre praktyki
Kontrola dostępuZasada najmniejszych uprawnień, uwierzytelnianie wieloskładnikowe dla systemów krytycznych. Dobra praktyka: przegląd uprawnień co 6 miesięcy
Bezpieczeństwo fizyczneKontrola dostępu do pomieszczeń z infrastrukturą, zabezpieczenia przed zagrożeniami środowiskowymi. Dobra praktyka: monitoring wizyjny, zasilanie awaryjne
Zarządzanie systemami ITRegularne aktualizacje, kopie zapasowe, ochrona przed złośliwym oprogramowaniem. Dobra praktyka: segmentacja sieci, szyfrowanie danych
Zarządzanie podatnościamiMonitorowanie źródeł informacji o zagrożeniach, procedura wdrażania poprawek. Dobra praktyka: skanowanie podatności co najmniej raz na kwartał
SzkoleniaSzkolenie personelu z zakresu bezpieczeństwa informacji. Dobra praktyka: szkolenie wstępne, okresowe co 12 mies., ćwiczenia reagowania na incydenty
Brak wdrożenia wymaganych środków technicznych i organizacyjnych może skutkować nałożeniem kary pieniężnej przez organ właściwy. Dla JST istotne jest również ryzyko odpowiedzialności osobistej kierownika jednostki.

Ciągłość działania i doskonalenie

SZBI musi uwzględniać plany ciągłości działania obejmujące scenariusze utraty dostępności kluczowych systemów IT. Plany powinny określać procedury przełączania na systemy zapasowe, komunikacji kryzysowej oraz odtwarzania danych z kopii zapasowych. Testowanie planów ciągłości działania powinno odbywać się co najmniej raz w roku.

  1. Przeprowadzaj przegląd SZBI co najmniej raz w roku z udziałem kierownictwa jednostki.
  2. Dokumentuj wszystkie incydenty bezpieczeństwa i wnioski z nich płynące.
  3. Aktualizuj analizę ryzyka po każdej istotnej zmianie w infrastrukturze IT.
  4. Testuj kopie zapasowe poprzez próbne odtwarzanie danych co najmniej raz na kwartał.
  5. Weryfikuj skuteczność szkoleń poprzez testy świadomości bezpieczeństwa wśród pracowników.
Dobrą praktyką jest powołanie Inspektora ds. Bezpieczeństwa Informacji (IBI), który koordynuje funkcjonowanie SZBI w jednostce. IBI powinien raportować bezpośrednio do kierownika JST.
Uproszczone raportowanie incydentów (art. 12c): Podmiot ważny będący podmiotem publicznym stosuje przepisy o obsłudze i zgłaszaniu incydentów (art. 11 i 12), ale jest zwolniony z obowiązku przekazywania wczesnego ostrzeżenia, sprawozdania okresowego, sprawozdania z postępu obsługi incydentu i sprawozdania końcowego. Oznacza to lżejszy reżim raportowania dla mniejszych JST.
Spis treści
Zakres i cel Załącznika nr 4
Analiza ryzyka i dokumentacja
Środki techniczne i organizacyjne
Ciągłość działania i doskonalenie
Potrzebujesz wsparcia?

Pomagamy we wdrożeniu KSC od identyfikacji statusu po pełny audyt.

Pozostałe artykuły
KlasyfikacjaPodmiot kluczowy vs. podmiot ważny — jak ustalić swój status?KaryKary finansowe w znowelizowanej ustawie o KSCIncydentyRaportowanie incydentów — terminy, formularze i proceduryAudytAudyt bezpieczeństwa — kto, kiedy i jak go przeprowadzić?ZarządzanieOdpowiedzialność kierownika podmiotu — co musisz wiedziećWykazRejestracja w wykazie podmiotów kluczowych i ważnych — procedura i system S46Łańcuch dostawZarządzanie bezpieczeństwem łańcucha dostaw według KSCDostawcyDostawca wysokiego ryzyka — procedura uznania i obowiązki podmiotów KSCNadzórNadzór nad podmiotami KSC — tryb ex ante i ex postTerminyKalendarz wdrożenia KSC 2026–2028 — kluczowe daty dla podmiotówSektor finansowyRelacja KSC i rozporządzenia DORA — obowiązki sektora finansowegoPersonelWeryfikacja niekaralności personelu — wymóg art. 8f ustawy o KSCWspółpracaWymiana informacji o cyberbezpieczeństwie między podmiotami KSCKlasyfikacjaNiezależność systemów informacyjnych — kiedy nie podlegasz KSC mimo przekroczenia progów
ksc.EXPERTIdealdata Sp. z o.o. · Chwaszczyno k. Gdańska
© 2026 Idealdata Sp. z o.o.Informacje mają charakter informacyjny i nie stanowią opinii prawnej.
🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.