Trójmiasto11 min czytania

Wdrożenie KSC i SZBI w Trójmieście — Gdańsk, Gdynia, Sopot

Dlaczego Trójmiasto wymaga osobnego spojrzenia

Trójmiasto (Gdańsk, Gdynia, Sopot) to jeden z najgęściej zurbanizowanych obszarów Polski. Z perspektywy KSC region wyróżnia się czterema cechami: (1) dwa duże porty morskie — Port Gdańsk i Port Gdynia, zarządzane przez odrębne spółki Skarbu Państwa (Zarząd Morskiego Portu Gdańsk SA i Zarząd Morskiego Portu Gdynia SA) — wspólnie tworzące kluczowy węzeł logistyczny Basenu Morza Bałtyckiego (BSR), (2) Port Lotniczy Gdańsk im. Lecha Wałęsy — jeden z największych portów lotniczych w Polsce, (3) silna koncentracja sektora IT (m.in. Intel, Lufthansa Systems, Asseco, Wirtualna Polska, lokalne software house'y) oraz biotech (GUMed i powiązane jednostki), (4) trzy duże samodzielne JST z własnymi spółkami komunalnymi w sektorach krytycznych (woda, transport, ciepło). To oznacza wyjątkową gęstość podmiotów kluczowych i ważnych na stosunkowo niewielkim obszarze geograficznym.

Mimo że ustawa o KSC obowiązuje jednolicie w całej Polsce, lokalna specyfika ma znaczenie operacyjne: bliskość fizyczna podmiotów ułatwia wymianę informacji w ramach klastrów cyberbezpieczeństwa, ale jednocześnie zwiększa ryzyko incydentów kaskadowych (np. atak na dostawcę usług IT obsługującego kilka JST jednocześnie). Trójmiasto jest też siedzibą wojewódzkich struktur państwowych (Pomorski Urząd Wojewódzki, Urząd Marszałkowski Województwa Pomorskiego) — dwa kolejne podmioty kluczowe sektora administracji publicznej.

Kto z Trójmiasta podlega KSC

Aby ocenić, czy Twój podmiot z Trójmiasta podlega ustawie o KSC, należy zastosować dwa kryteria: sektorowe (czy działalność znajduje się w załączniku nr 1 lub nr 2 do ustawy) oraz wielkościowe (czy podmiot jest co najmniej średnim przedsiębiorcą — ≥ 50 pracowników lub obrót ≥ 10 mln EUR). Dla JST kryterium jest uproszczone: urząd gminy zatrudniający ≥ 50 osób w pełnym wymiarze czasu pracy jest podmiotem kluczowym (zał. 1). Pełny przewodnik metodologiczny — w artykule Czy podlegam pod KSC.

Typowy podmiot z TrójmiastaSektor (zał. 1/2)Status KSC
Port Gdańsk SA, Port Gdynia SAZał. 1 — transport wodny śródlądowy i morskiPodmiot kluczowy
Port Lotniczy Gdańsk im. L. WałęsyZał. 1 — transport lotniczyPodmiot kluczowy
Urząd Miasta Gdańska, Gdyni, SopotuZał. 1 — administracja publiczna (miasto na prawach powiatu, pkt 3)Podmiot kluczowy
GIWK Gdańsk, PEWIK Gdynia, Saur NeptunZał. 1 — zaopatrzenie w wodęPodmiot kluczowy
UCK Gdańsk, Copernicus, szpitale wojewódzkieZał. 1 — ochrona zdrowia (duży)Podmiot kluczowy
Energa-Operator, PGE Energia Ciepła WybrzeżeZał. 1 — energetyka, ciepłownictwoPodmiot kluczowy
ZTM Gdańsk, ZKM Gdynia, MZKZGZał. 2 — transport publicznyPodmiot ważny
Średnie firmy IT/SaaS (50–249 osób)Zał. 2 — usługi cyfrowePodmiot ważny
Producent żywności (zakład w Pruszczu, Tczewie)Zał. 2 — produkcja, przetwarzanie żywnościPodmiot ważny
Mikro/mała firma IT (< 50 osób)Co do zasady poza ustawą (z wyjątkami: DNS, kwalifikowani dostawcy zaufania)
Status nie zależy od „bycia z Trójmiasta" — decyduje sektor + wielkość. Firma z siedzibą w Sopocie obsługująca klientów w całej Polsce klasyfikowana jest tak samo jak firma warszawska. Lokalizacja ma jednak znaczenie operacyjne: dla JST i podmiotów publicznych z Pomorza organem właściwym jest minister właściwy do spraw informatyzacji (art. 41 pkt 11) — kontakt poprzez Ministerstwo Cyfryzacji w Warszawie, nie przez wojewodę pomorskiego.

Porty morskie i lotnisko

Port Gdańsk SA i Port Gdynia SA są podmiotami kluczowymi sektora transportu wodnego morskiego (zał. 1). Każdy z portów obsługuje systemy informacyjne krytyczne dla logistyki: TOS (Terminal Operating System), VTS (Vessel Traffic Service), systemy odprawy ładunków, integracja z systemami celnymi (PUESC). Cyberatak na taki podmiot ma natychmiastowe konsekwencje gospodarcze — wstrzymanie przeładunku oznacza wymierne straty dla łańcuchów dostaw o znaczeniu krajowym. Port Lotniczy Gdańsk im. Lecha Wałęsy (transport lotniczy) jest jednym z największych portów lotniczych w Polsce — jego klasyfikacja jako PK wynika z zał. 1 (sektor transportu lotniczego, lotniska sieci TEN-T).

  • Port Gdańsk SA — Terminal DCT, Naftoport, baseny portowe; krytyczna integracja z PUESC i systemami SafeSeaNet
  • Port Gdynia SA — Terminal Promowy Gdynia, BCT (Bałtycki Terminal Kontenerowy), terminale ro-ro
  • Port Lotniczy Gdańsk — systemy DCS (Departure Control System), zarządzania bagażem, kontroli granicznej
  • Wymóg: SZBI z 14 obszarów art. 8 ust. 1 pkt 2 (lit. a–n), audyt obowiązkowy co najmniej raz na 3 lata (art. 15 ust. 1)
  • Łańcuch dostaw ICT — szczególna uwaga na dostawców systemów portowych (Navis, CyberLogitec) i lotniskowych (Amadeus, SITA)
Porty morskie i lotniska są jednocześnie objęte ustawą o ochronie żeglugi i portów morskich (UOŻ) oraz przepisami Międzynarodowego Kodeksu Ochrony Statków i Obiektów Portowych (ISPS). KSC dodaje warstwę cyberbezpieczeństwa — Plan Ochrony Obiektu Portowego (POOP) musi zostać uzupełniony o sekcję dotyczącą bezpieczeństwa systemów informacyjnych zgodnie z SZBI z art. 8 ust. 1 pkt 2 lit. f (BCP). Patrz też: łańcuch dostaw ICT w KSC.

JST: Gdańsk, Gdynia, Sopot i spółki komunalne

Wszystkie trzy główne JST trójmiejskie — Gdańsk, Gdynia i Sopot — to miasta na prawach powiatu (art. 92 ust. 1 i 2 ustawy z 5 czerwca 1998 r. o samorządzie powiatowym, Dz.U. 2025 poz. 1684). Oznacza to, że są gminami wykonującymi jednocześnie zadania powiatu, a funkcje organów powiatu sprawują w nich rada miasta i prezydent miasta — nie ma odrębnego starostwa powiatowego. Z punktu widzenia KSC ma to konsekwencję: urząd miasta na prawach powiatu — wykonując zadania powiatu — funkcjonalnie pełni rolę starostwa powiatowego (zał. 1, sektor administracja publiczna, pkt 3), a kategoria ta nie zawiera progu wielkościowego. Każde miasto na prawach powiatu jest więc podmiotem kluczowym niezależnie od liczby zatrudnionych w urzędzie miasta. Niezależnie od tego, urząd miasta jest też urzędem gminy w rozumieniu pkt 4 zał. 1 (jeśli zatrudnia ≥ 50 osób w pełnym wymiarze czasu pracy) — w praktyce wszystkie trzy urzędy z Trójmiasta spełniają oba kryteria.

Konsekwencja praktyczna: wszystkie trzy urzędy miast trójmiejskich wdrażają pełny SZBI oparty na szacowaniu ryzyka z art. 8 ust. 1, a nie uproszczony z załącznika nr 4 (uproszczony dotyczy wyłącznie podmiotów ważnych będących podmiotami publicznymi — art. 8 ust. 3). Pełen plan wdrożenia w urzędzie — patrz: gmina a KSC — plan wdrożenia krok po kroku.
JST trójmiejskiStatus KSCSpółki komunalne podlegające KSC
Urząd Miasta GdańskaPodmiot kluczowy (zał. 1)GIWK (woda — PK), Gdańskie Autobusy i Tramwaje (transport — PW), Hydrotechnika, GZNK, ZTM Gdańsk
Urząd Miasta GdyniPodmiot kluczowy (zał. 1)PEWIK Gdynia (woda — PK), PKM Gdynia (transport — PW), ZKM Gdynia, OPEC Gdynia (ciepło — PK)
Urząd Miasta SopotuPodmiot kluczowy (zał. 1)Sopocki Klub Żeglarski, ZDiZ, BOK, AQUA-Sopot (woda — PW/PK zależnie od skali)
Pomorski Urząd WojewódzkiPodmiot kluczowy (zał. 1)Wojewódzkie inspektoraty (sanitarny, weterynaryjny, transportu drogowego)
Urząd Marszałkowski Woj. PomorskiegoPodmiot kluczowy (zał. 1)Wojewódzkie szpitale, jednostki kultury, zarządca dróg wojewódzkich
Trójmiejskie JST mogą rozważyć model wspólnej jednostki obsługi cyberbezpieczeństwa (Q&A 3.13) — porozumienie międzygminne pozwala scentralizować obsługę SZBI dla podległych jednostek (szkół, przedszkoli, instytucji kultury). W praktyce jednak bardziej naturalna jest centralizacja na poziomie pojedynczego JST z uwagi na różne systemy i zespoły IT w UM Gdańska, UM Gdyni i UM Sopotu. MZKZG (Metropolitalny Związek Komunikacyjny Zatoki Gdańskiej) może być przykładem międzykomunalnej spółki realizującej zadania publiczne w obszarze transportu publicznego.

IT, zdrowie, energetyka, wodociągi

Poza JST i transportem, w Trójmieście koncentrują się cztery sektory podlegające KSC: ochrona zdrowia (UCK Gdańsk, Copernicus PL, Wojewódzki Szpital Specjalistyczny im. M. Kopernika, Szpital im. św. Wincentego á Paulo w Gdyni), energetyka (Energa-Operator SA — DSO obsługujący Pomorze, PGE Energia Ciepła Oddział Wybrzeże w Gdańsku i Gdyni), wodociągi (GIWK Gdańsk, PEWIK Gdynia, AQUA-Sopot, Saur Neptun Gdańsk) oraz IT/usługi cyfrowe (od korporacji typu Intel, Lufthansa Systems, IBM po lokalne software house'y). Każdy sektor ma własną specyfikę wdrożeniową.

  • Zdrowie — UCK Gdańsk, Copernicus, szpitale wojewódzkie: PK z zał. 1; krytyczne systemy HIS, RIS/PACS, EDM; szczególne wymogi NIS2 dla sektora ochrony zdrowia (patrz: artykuł szpital NIS2)
  • Energetyka — Energa-Operator (DSO), PGE Energia Ciepła Wybrzeże: PK; ICS/OT (SCADA, PLC) wymaga osobnego podejścia bezpieczeństwa (segregacja sieci IT/OT, monitoring OT)
  • Wodociągi — GIWK Gdańsk, PEWIK Gdynia, AQUA-Sopot: PK; SCADA stacji uzdatniania, telemetria sieci wodociągowej
  • IT/SaaS — duże firmy (Intel, Lufthansa Systems, Acxiom): PK lub PW zależnie od działalności (B2B vs. konsumencki); MSSP — PK od progu „mały przedsiębiorca" (art. 5 ust. 1 pkt 3)
  • Biotech, farmacja — Polpharma (Starogard), Polfa Tczew: PW jako produkcja wyrobów medycznych (zał. 2)
Sektor IT w Trójmieście ma silną pozycję B2B — wielu lokalnych dostawców obsługuje klientów krajowych i międzynarodowych jako podmioty łańcucha dostaw podmiotów kluczowych (np. dostawcy oprogramowania dla banków, energetyki, sektora publicznego). Nawet jeśli sami nie podlegają KSC (mikro/mała firma), są pośrednio związani wymogami umownymi swoich klientów PK z art. 8 ust. 1 pkt 2 lit. e (zarządzanie ryzykiem łańcucha dostaw). Patrz: łańcuch dostaw KSC.

Harmonogram wdrożenia 24 miesiące

Harmonogram wdrożenia KSC w podmiocie z Trójmiasta jest identyczny jak w pozostałych regionach Polski — ustawa nie różnicuje terminów geograficznie. Dla podmiotów istniejących w dniu wejścia w życie nowelizacji (3 kwietnia 2026 r., Dz.U. 2026 poz. 252) wszystkie etapy biegną od tej daty. Pełny przewodnik w artykule wdrożenie KSC — kompletny plan oraz terminy wdrożenia KSC.

EtapTerminDziałania w podmiocie z Trójmiasta
Identyfikacja statusuDo 3 lipca 2026 r.Ocena PK/PW, weryfikacja zał. 1/2, zebranie danych do rejestracji (NIP, adresy IP, osoby kontaktowe)
Rejestracja w S46Do 3 października 2026 r.Wpis przez system S46 podpisany kwalifikowanym podpisem elektronicznym lub profilem zaufanym (art. 7c ust. 1)
Wdrożenie SZBIDo 3 kwietnia 2027 r.Pełny SZBI z 14 obszarów (art. 8 ust. 1 pkt 2) lub uproszczony zał. nr 4 (PW publiczne); pierwsze szacowanie ryzyka, polityki, procedury
Szkolenie kierownikaDo 3 kwietnia 2027 r. i corocznieObowiązkowe szkolenie wójta/burmistrza/prezydenta/zarządu z cyberbezpieczeństwa (art. 8e ust. 1)
Pierwszy audyt (PK)Do 3 kwietnia 2028 r.Przeprowadzenie audytu przez akredytowanego audytora — Pomorze ma kilku lokalnych dostawców (patrz niżej)
Kary za niewdrożenie SZBI są wysokie i niezależne od regionu: do 10 mln EUR lub 2% rocznych przychodów dla PK, do 7 mln EUR lub 1,4% rocznych przychodów dla PW (art. 73 ust. 3–4). Dla kierownika podmiotu — kara osobista do 300% rocznego wynagrodzenia (sektor prywatny + publiczny działający w innym sektorze z zał. 1/2, art. 73a ust. 4) lub 100% dla kierownika podmiotu publicznego niedziałającego w innym sektorze (art. 73a ust. 5). Kary egzekwowane od 3 kwietnia 2028 r. (art. 35 ustawy nowelizującej), z wyjątkiem kary za bezpośrednie i poważne cyberzagrożenie (art. 73 ust. 5).

Lokalni dostawcy SZBI i audytorzy

Wybór dostawcy SZBI lub audytora w Trójmieście to decyzja, w której bliskość geograficzna ma drugorzędne znaczenie. Większość prac wdrożeniowych (analiza ryzyka, polityki, procedury, szkolenia, testy) realizuje się dziś hybrydowo — część zdalnie, część on-site. Kluczowe są kompetencje merytoryczne, akredytacje audytora oraz znajomość specyfiki sektora klienta. Niemniej, dla części zadań (audyty fizyczne, testy penetracyjne na miejscu, integracja z lokalnym SOC) lokalność zwiększa elastyczność i obniża koszty podróży.

  • Sprawdź uprawnienia audytora (art. 15 ust. 2 KSC) — certyfikaty CISA, CISM, CISSP, ISO 27001 Lead Auditor, doświadczenie w sektorze klienta
  • Niezależność — audytor nie może realizować w podmiocie audytowanym zadań z art. 8 lub art. 9–13 ani robić tego w okresie roku przed audytem (art. 15 ust. 2a)
  • Doświadczenie sektorowe — port morski wymaga audytora znającego TOS/VTS, szpital — HIS/PACS, JST — eDoręczenia/EZD
  • Lokalne klastry IT i grupy branżowe — Pomorski Klaster ICT „Interizon", Bridge IT, Pracodawcy Pomorza — pomocne przy poszukiwaniu sprawdzonych dostawców
  • GUMed, Politechnika Gdańska (Wydział ETI), Uniwersytet Gdański (Wydział Matematyki, Fizyki i Informatyki) — partnerzy do projektów R&D w cyberbezpieczeństwie
  • Model SLA + retainer — zalecany dla PK z uwagi na wymóg dostępności CSIRT 24/7 (zgłaszanie incydentów poważnych w 72 h, art. 11 ust. 1)
Dla małych podmiotów (np. mała spółka komunalna, niewielki podmiot ważny publiczny) warto rozważyć model MSSP regionalny — wspólny SOC dla kilku JST lub grup szpitali z Pomorza. Centralizacja monitoringu obniża koszty i pozwala spełnić wymóg ciągłego monitorowania (art. 8 ust. 1 pkt 2 lit. g). Patrz też: dostawca chmury w KSC.

Do którego CSIRT zgłasza incydent podmiot z Pomorza

Pytanie „do którego CSIRT zgłosić incydent" jest uniwersalne — odpowiedź zależy nie od regionu, lecz od typu podmiotu. Ustawa o KSC wskazuje trzy CSIRT-y poziomu krajowego (art. 11 ust. 1 pkt 4): CSIRT NASK, CSIRT GOV i CSIRT MON. Dla podmiotu z Trójmiasta praktyczna mapa wygląda następująco:

Typ podmiotu z TrójmiastaWłaściwy CSIRTPodstawa prawna
Port Gdańsk SA, Port Gdynia SA, Lotnisko GdańskCSIRT NASK (z udziałem CSIRT sektorowego transportu)Art. 11 ust. 1 pkt 4 KSC; CSIRT sektorowy — art. 44
Urząd Miasta Gdańska, Gdyni, SopotuCSIRT NASK (właściwy dla podmiotów publicznych innych niż wojskowe)Art. 26 ust. 5 pkt 1 KSC
Pomorski Urząd Wojewódzki, Urząd MarszałkowskiCSIRT GOV (dla administracji rządowej i samorządowej szczebla wojewódzkiego)Art. 26 ust. 5 pkt 2 KSC
UCK Gdańsk, Copernicus, szpitale wojewódzkieCSIRT NASK (z udziałem CSIRT sektorowego ochrony zdrowia)Art. 11 ust. 1 pkt 4; CSIRT sektorowy — art. 44
Energa-Operator, PGE Energia CiepłaCSIRT NASK (z udziałem CSIRT sektorowego energetyki)Art. 11 ust. 1 pkt 4; CSIRT sektorowy — art. 44
GIWK Gdańsk, PEWIK Gdynia (wodociągi)CSIRT NASK (z udziałem CSIRT sektorowego wody)Art. 11 ust. 1 pkt 4 KSC
Jednostka organizacyjna MON, podmiot wojskowyCSIRT MONArt. 26 ust. 5 pkt 3 KSC
Termin zgłoszenia incydentu poważnego: wczesne ostrzeżenie w 24 h, zgłoszenie w 72 h, raport końcowy w miesiąc (art. 11 ust. 1 KSC). Zgłoszenie odbywa się przez system S46 (nie e-mailem ani telefonicznie do wojewody). Pełna procedura — w artykule raportowanie incydentów KSC oraz jak wypełnić formularz CSIRT NASK. Lokalizacja w Trójmieście nie zmienia procedury — nie ma „CSIRT pomorski" w rozumieniu ustawy o KSC.
FAQ5 pytań

Najczęstsze pytania

Czy Port Gdańsk SA i Port Gdynia SA podlegają KSC?
Tak — oba porty są podmiotami kluczowymi sektora transportu wodnego morskiego (zał. 1 do ustawy o KSC). Wynika to z faktu, że są dużymi przedsiębiorstwami zarządzającymi infrastrukturą krytyczną o znaczeniu strategicznym dla gospodarki krajowej (przeładunki rzędu kilkudziesięciu mln ton rocznie). Obowiązki: rejestracja w S46 do 3.10.2026, wdrożenie pełnego SZBI z 14 obszarów art. 8 ust. 1 pkt 2 do 3.04.2027, pierwszy audyt obowiązkowy do 3.04.2028 (co najmniej raz na 3 lata, art. 15 ust. 1). Szczególne wyzwania: integracja systemów portowych (TOS, VTS) z PUESC i SafeSeaNet, łańcuch dostaw ICT (Navis, CyberLogitec), wymóg ciągłego monitorowania (art. 8 ust. 1 pkt 2 lit. g) i BCP testowanego corocznie (lit. f).
Czy Urząd Miasta Gdańska, Gdyni i Sopotu są podmiotami kluczowymi?
Tak — i to z powodu, który często bywa pomijany. Gdańsk, Gdynia i Sopot to miasta na prawach powiatu (art. 92 ust. 1 i 2 ustawy z 5.06.1998 r. o samorządzie powiatowym, Dz.U. 2025 poz. 1684) — czyli gminy wykonujące jednocześnie zadania powiatu. Załącznik nr 1 do ustawy o KSC, sektor administracja publiczna, w pkt 3 wymienia „w odniesieniu do samorządu powiatu: starostwo powiatowe" — bez progu wielkościowego. Urząd miasta na prawach powiatu, wykonując zadania powiatu, funkcjonalnie pełni rolę starostwa, więc kwalifikuje się do tej kategorii niezależnie od liczby zatrudnionych. Dodatkowo, jeśli urząd zatrudnia ≥ 50 osób w pełnym wymiarze czasu pracy, mieści się też w pkt 4 zał. 1 (samorząd gminy: urząd gminy ≥ 50 FTE) — co w praktyce dotyczy wszystkich trzech urzędów trójmiejskich. Oznacza to wdrożenie pełnego SZBI z art. 8 ust. 1 (14 obszarów), a nie uproszczonego z załącznika nr 4 (uproszczony stosują tylko podmioty ważne będące podmiotami publicznymi — art. 8 ust. 3). Prezydent miasta jako kierownik podmiotu ponosi osobistą odpowiedzialność za wykonywanie obowiązków KSC (art. 8c ust. 1) — kara osobista do 100% rocznego wynagrodzenia (art. 73a ust. 5).
Jakie szpitale w Trójmieście podlegają NIS2 i KSC?
Większość dużych szpitali Trójmiasta jest podmiotami kluczowymi sektora ochrony zdrowia (zał. 1 KSC): Uniwersyteckie Centrum Kliniczne (UCK) w Gdańsku, Copernicus Podmiot Leczniczy Sp. z o.o., Wojewódzki Szpital Specjalistyczny im. M. Kopernika, Szpital Specjalistyczny im. św. Wincentego á Paulo w Gdyni, Szpital Morski im. PCK w Gdyni Redłowie. Klasyfikacja: szpital będący przedsiębiorcą (spółka) — duży przedsiębiorca (> 250 prac. lub obrót > 50 mln EUR i suma bilansowa > 43 mln EUR) działający w sektorze ochrony zdrowia z zał. 1 → PK (art. 5 ust. 1 pkt 1). Szpital niebędący przedsiębiorcą (SP ZOZ) — od 250 zatrudnionych = PK (art. 5 ust. 8). Mniejsze placówki publiczne: PW publiczny stosujący uproszczony SZBI z zał. 4. Dyrektor szpitala odpowiada osobiście (art. 8c) — kara do 100% wynagrodzenia (publiczny) lub 300% (prywatny). Patrz: artykuł „Szpital a NIS2 — obowiązki".
Czy dostawca SZBI musi mieć biuro w Trójmieście?
Nie — ustawa o KSC nie nakłada wymogu lokalności dostawcy SZBI ani audytora. Decydują kompetencje, akredytacje (dla audytora — art. 15 ust. 2) i niezależność (audytor nie może realizować zadań z art. 8 lub art. 9–13 w podmiocie audytowanym ani w okresie roku przed audytem — art. 15 ust. 2a). W praktyce większość prac wdrożeniowych (analiza ryzyka, polityki, procedury, szkolenia) realizuje się hybrydowo. Lokalność zwiększa elastyczność dla części zadań on-site (audyty fizyczne, testy penetracyjne wewnętrzne, integracja z lokalnym SOC) i obniża koszty dojazdów. Pomorskie klastry IT (Interizon, Bridge IT, Pracodawcy Pomorza) oraz uczelnie (PG, UG, GUMed) są pomocne przy poszukiwaniu sprawdzonych dostawców z regionu. Dla małych podmiotów warto rozważyć model regionalnego MSSP — wspólny SOC dla kilku JST lub grupy szpitali Pomorza obniża koszty monitoringu 24/7.
Do którego CSIRT zgłasza incydent podmiot z Pomorza?
Nie istnieje „CSIRT pomorski" w rozumieniu ustawy o KSC — incydenty zgłasza się do jednego z trzech CSIRT-ów poziomu krajowego zależnie od typu podmiotu (art. 26 ust. 5 KSC): (1) CSIRT NASK — większość podmiotów cywilnych, w tym przedsiębiorstwa, JST, szpitale, porty, energetyka, wodociągi; (2) CSIRT GOV — administracja rządowa i samorządowa szczebla wojewódzkiego (Pomorski Urząd Wojewódzki, Urząd Marszałkowski Województwa Pomorskiego, ABW, BBN, NIK); (3) CSIRT MON — podmioty wojskowe i obsługujące wojsko (16 Pomorska Dywizja Zmechanizowana, Akademia Marynarki Wojennej, Centrum Wsparcia Mobilizacji w Gdyni). Zgłoszenie odbywa się przez system S46 — wczesne ostrzeżenie w 24 h, zgłoszenie w 72 h, raport końcowy w miesiąc (art. 11 ust. 1). Dla niektórych sektorów (transport, energetyka, ochrona zdrowia, woda) działa dodatkowo CSIRT sektorowy (art. 44) wspierający CSIRT poziomu krajowego — ale formalnie zgłoszenie kierowane jest do CSIRT NASK/GOV/MON.
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.