Wdrożenie10 min czytania

SZBI wg Załącznika nr 4 — przewodnik dla JST

Zakres i cel Załącznika nr 4

Załącznik nr 4 do ustawy o krajowym systemie cyberbezpieczeństwa określa uproszczone wymagania dla systemu zarządzania bezpieczeństwem informacji (SZBI) dla podmiotu ważnego będącego podmiotem publicznym — zgodnie z tytułem załącznika oraz art. 8 ust. 3 KSC. W praktyce korzysta z niego duża część jednostek samorządu terytorialnego (JST) kwalifikowanych jako podmioty ważne. SZBI ma zapewniać poufność, integralność i dostępność przetwarzanych danych oraz wspierać realizację zadań publicznych w sposób ciągły i bezpieczny.

Uwaga na zakres podmiotowy. Załącznik nr 4 stosują wyłącznie podmioty ważne będące podmiotami publicznymi. JST, która została zakwalifikowana jako podmiot kluczowy (np. urząd zatrudniający ≥ 50 osób z zał. 1), musi wdrożyć pełny SZBI na podstawie art. 8 ust. 1 — w tym 14 środków technicznych i organizacyjnych z art. 8 ust. 1 pkt 2 lit. a–n — a nie uproszczony zestaw z Załącznika nr 4.
SZBI wymagany przez Załącznik nr 4 jest kompatybilny z normą PN-EN ISO/IEC 27001, jednak nie wymaga formalnej certyfikacji. JST mogą oprzeć wdrożenie na tej normie jako punkcie odniesienia.

Analiza ryzyka i dokumentacja

Fundamentem SZBI jest systematyczna analiza ryzyka. JST zobowiązana jest do identyfikacji aktywów informacyjnych, określenia zagrożeń i podatności oraz oszacowania poziomu ryzyka. Na podstawie wyników analizy dobierane są adekwatne środki ochrony. Analiza ryzyka powinna być dokumentowana i aktualizowana nie rzadziej niż raz w roku (rekomendowana częstotliwość) oraz po każdym poważnym incydencie bezpieczeństwa.

  • Polityka bezpieczeństwa informacji zatwierdzona przez kierownika jednostki
  • Rejestr aktywów informacyjnych z przypisanymi właścicielami
  • Dokumentacja wyników analizy ryzyka i planu postępowania z ryzykiem
  • Procedury zarządzania incydentami bezpieczeństwa
  • Polityka kontroli dostępu do systemów informatycznych
  • Plan szkoleń z zakresu bezpieczeństwa informacji

Środki techniczne i organizacyjne

Załącznik nr 4 wymaga wdrożenia środków technicznych i organizacyjnych proporcjonalnych do zidentyfikowanego ryzyka. Obejmują one zarządzanie dostępem, ochronę fizyczną, bezpieczeństwo systemów IT, zarządzanie podatnościami oraz ochronę przed złośliwym oprogramowaniem.

ObszarWymagania ustawowe i rekomendowane dobre praktyki
Kontrola dostępuZasada najmniejszych uprawnień, uwierzytelnianie wieloskładnikowe dla systemów krytycznych. Dobra praktyka: przegląd uprawnień co 6 miesięcy
Bezpieczeństwo fizyczneKontrola dostępu do pomieszczeń z infrastrukturą, zabezpieczenia przed zagrożeniami środowiskowymi. Dobra praktyka: monitoring wizyjny, zasilanie awaryjne
Zarządzanie systemami ITRegularne aktualizacje, kopie zapasowe, ochrona przed złośliwym oprogramowaniem. Dobra praktyka: segmentacja sieci, szyfrowanie danych
Zarządzanie podatnościamiMonitorowanie źródeł informacji o zagrożeniach, procedura wdrażania poprawek. Dobra praktyka: skanowanie podatności co najmniej raz na kwartał
SzkoleniaSzkolenie personelu z zakresu bezpieczeństwa informacji. Dobra praktyka: szkolenie wstępne, okresowe co 12 mies., ćwiczenia reagowania na incydenty
Brak wdrożenia wymaganych środków technicznych i organizacyjnych może skutkować nałożeniem kary pieniężnej przez organ właściwy. Dla JST istotne jest również ryzyko odpowiedzialności osobistej kierownika jednostki. Więcej o sankcjach w artykule o audycie bezpieczeństwa KSC.

Ciągłość działania i doskonalenie

SZBI musi uwzględniać plany ciągłości działania obejmujące scenariusze utraty dostępności kluczowych systemów IT. Plany powinny określać procedury przełączania na systemy zapasowe, komunikacji kryzysowej oraz odtwarzania danych z kopii zapasowych. Testowanie planów ciągłości działania powinno odbywać się co najmniej raz w roku. Szczegółowy plan wdrożenia KSC dla gminy znajdziesz w osobnym poradniku.

  1. Przeprowadzaj przegląd SZBI co najmniej raz w roku z udziałem kierownictwa jednostki.
  2. Dokumentuj wszystkie incydenty bezpieczeństwa i wnioski z nich płynące.
  3. Aktualizuj analizę ryzyka po każdej istotnej zmianie w infrastrukturze IT.
  4. Testuj kopie zapasowe poprzez próbne odtwarzanie danych co najmniej raz na kwartał.
  5. Weryfikuj skuteczność szkoleń poprzez testy świadomości bezpieczeństwa wśród pracowników.
Dobrą praktyką jest powołanie Inspektora ds. Bezpieczeństwa Informacji (IBI), który koordynuje funkcjonowanie SZBI w jednostce. IBI powinien raportować bezpośrednio do kierownika JST.
Uproszczone raportowanie incydentów (art. 12c): Podmiot ważny będący podmiotem publicznym stosuje przepisy o obsłudze i zgłaszaniu incydentów (art. 11 i 12), ale jest zwolniony z obowiązku przekazywania wczesnego ostrzeżenia, sprawozdania okresowego, sprawozdania z postępu obsługi incydentu i sprawozdania końcowego. Oznacza to lżejszy reżim raportowania dla mniejszych JST.
FAQ4 pytania

Najczęstsze pytania

Kogo obowiązuje załącznik nr 4 KSC?
Wyłącznie podmioty ważne będące podmiotami publicznymi — w praktyce mniejsze urzędy gmin (< 50 FTE) oraz inne podmioty publiczne kwalifikowane jako ważne. Starostwa powiatowe i urzędy marszałkowskie co do zasady zatrudniają ≥ 50 osób i są podmiotami kluczowymi — stosują pełny SZBI z art. 8 ust. 1, nie uproszczony z zał. nr 4.
Co musi zawierać SZBI wg załącznika nr 4?
Minimalny zakres obejmuje: politykę bezpieczeństwa informacji, analizę ryzyka, procedury zgłaszania incydentów, kontrolę dostępu (MFA), zarządzanie aktualizacjami, kopie zapasowe, szkolenia pracowników oraz przegląd SZBI. Szczegółowy zakres określa załącznik nr 4 ustawy, a poziom szczegółowości rozporządzenie wykonawcze RM.
Czy załącznik nr 4 zastępuje pełny SZBI dla gmin?
Tak — JST jako podmioty ważne publiczne stosują uproszczony SZBI z załącznika nr 4 zamiast pełnego SZBI z art. 8 ust. 1 (który obowiązuje podmioty kluczowe i ważne niepubliczne). Nie zwalnia to jednak z innych obowiązków ustawy, w tym raportowania incydentów i wpisu do wykazu S46.
Ile czasu ma gmina na wdrożenie SZBI?
Ogólna zasada: 12 miesięcy od spełnienia przesłanek uznania za podmiot kluczowy/ważny — na wdrożenie SZBI i wszystkich obowiązków z rozdziału 3 (art. 33 ust. 1 ustawy nowelizującej z 23 stycznia 2026 r., Dz.U. 2026 poz. 252). Dla podmiotów istniejących w dniu wejścia ustawy w życie: termin upływa 3 kwietnia 2027 r. Pierwszy wpis JST do wykazu S46: w terminach harmonogramu Ministra Cyfryzacji ogłoszonego w komunikacie na podstawie art. 34 ust. 3 ustawy nowelizującej (dla nowych podmiotów: 6 miesięcy od spełnienia przesłanek — art. 7c ust. 1 KSC).
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.