Wydawca serwisu KSC.expert: IdealData Sp. z o.o. · idealdata.pl ↗

Trójmiasto11 min czytaniaOpublikowano: 28 kwietnia 2026Zaktualizowano 27 dni temu

Wdrożenie KSC / NIS 2 w Trójmieście — Gdańsk, Gdynia, Sopot

Q: Czy Port Gdańsk SA i Port Gdynia SA podlegają KSC?

Tak — oba porty są podmiotami kluczowymi sektora transportu wodnego morskiego (zał. 1 do ustawy o KSC). Wynika to z faktu, że są dużymi przedsiębiorstwami zarządzającymi infrastrukturą krytyczną o znaczeniu strategicznym dla gospodarki krajowej (przeładunki rzędu kilkudziesięciu mln ton rocznie). Obowiązki: rejestracja w S46 do 3.10.2026, wdrożenie pełnego SZBI z 14 obszarów art. 8 ust. 1 pkt 2 do 3.04.2027, pierwszy audyt obowiązkowy do 3.04.2028 (co najmniej raz na 3 lata, art. 15 ust. 1). Szczególne wyzwania: integracja systemów portowych (TOS, VTS) z PUESC i SafeSeaNet, zarządzanie łańcuchem dostaw ICT (dostawcy systemów operacyjnych terminala i nadzoru ruchu statków), wymóg ciągłego monitorowania (art. 8 ust. 1 pkt 2 lit. g) i BCP testowanego corocznie (lit. f).

Q: Czy Urząd Miasta Gdańska, Gdyni i Sopotu są podmiotami kluczowymi?

Tak — i to z powodu, który często bywa pomijany. Gdańsk, Gdynia i Sopot to miasta na prawach powiatu (art. 92 ust. 1 i 2 ustawy z 5.06.1998 r. o samorządzie powiatowym, Dz.U. 2025 poz. 1684) — czyli gminy wykonujące jednocześnie zadania powiatu. Załącznik nr 1 do ustawy o KSC, sektor administracja publiczna, w pkt 3 wymienia „w odniesieniu do samorządu powiatu: starostwo powiatowe" — bez progu wielkościowego. Urząd miasta na prawach powiatu, wykonując zadania powiatu, funkcjonalnie pełni rolę starostwa, więc kwalifikuje się do tej kategorii niezależnie od liczby zatrudnionych. Dodatkowo, jeśli urząd zatrudnia ≥ 50 osób w pełnym wymiarze czasu pracy, mieści się też w pkt 4 zał. 1 (samorząd gminy: urząd gminy ≥ 50 FTE) — co w praktyce dotyczy wszystkich trzech urzędów trójmiejskich. Oznacza to wdrożenie pełnego SZBI z art. 8 ust. 1 (14 obszarów), a nie uproszczonego z załącznika nr 4 (uproszczony stosują tylko podmioty ważne będące podmiotami publicznymi — art. 8 ust. 3). Prezydent miasta jako kierownik podmiotu ponosi osobistą odpowiedzialność za wykonywanie obowiązków KSC (art. 8c ust. 1) — kara osobista do 100% rocznego wynagrodzenia (art. 73a ust. 5).

Q: Jakie szpitale w Trójmieście podlegają NIS2 i KSC?

Większość dużych szpitali Trójmiasta jest podmiotami kluczowymi sektora ochrony zdrowia (zał. 1 KSC) — dotyczy to m.in. szpitali uniwersyteckich (np. Uniwersyteckie Centrum Kliniczne w Gdańsku, szpital kliniczny Gdańskiego Uniwersytetu Medycznego), wojewódzkich szpitali specjalistycznych oraz dużych szpitali komunalnych w strukturze JST. Klasyfikacja zależy od formy prawnej i wielkości: szpital będący przedsiębiorcą (spółka) — duży przedsiębiorca (powyżej 250 prac. lub obrót powyżej 50 mln EUR i suma bilansowa powyżej 43 mln EUR) działający w sektorze ochrony zdrowia z zał. 1 → PK (art. 5 ust. 1 pkt 1); szpital niebędący przedsiębiorcą (SP ZOZ) — od 250 zatrudnionych = PK (art. 5 ust. 8); mniejsze placówki publiczne: PW publiczny stosujący uproszczony SZBI z zał. 4. Dyrektor szpitala odpowiada osobiście (art. 8c) — kara do 100% rocznego wynagrodzenia (kierownik podmiotu publicznego) lub 300% (sektor prywatny lub publiczny działający w innym sektorze z zał. 1/2). Konkretną klasyfikację każdej placówki należy przeprowadzić indywidualnie. Patrz: artykuł „Szpital a NIS2 — obowiązki".

Q: Czy wybór usługodawcy SZBI z siedzibą w Trójmieście ma znaczenie?

Formalnie ustawa o KSC nie wymaga lokalności dostawcy SZBI ani audytora — decydują kompetencje, akredytacje (dla audytora — art. 15 ust. 2) i niezależność (art. 15 ust. 2a). Operacyjnie wybór usługodawcy z siedzibą w Trójmieście może być jednak korzystny: (1) krótszy czas dojazdu w razie incydentu poważnego (zgłoszenie do CSIRT w 72 h, art. 11 ust. 1) — konsultant na miejscu obniża ryzyko opóźnienia; (2) łatwiejsze spotkania w siedzibie klienta, obecność przy decyzjach zarządu, bez tłumaczeń pośrednich; (3) niższe koszty operacyjne — brak delegacji i diet konsultantów na każdy warsztat; (4) bliskość ekosystemu pomorskich klastrów (Interizon, Pracodawcy Pomorza) i uczelni (Politechnika Gdańska, Uniwersytet Gdański, Gdański Uniwersytet Medyczny). Dla małych podmiotów (mała spółka komunalna, niewielki podmiot ważny publiczny) atrakcyjny może być model regionalnego MSSP — wspólny SOC dla kilku JST lub grup szpitali Pomorza obniża koszty monitoringu 24/7. Wybór konkretnego dostawcy powinien opierać się na ofercie, kompetencjach i kryteriach SWZ (dla zamówień publicznych), nie na samej lokalizacji.

Q: Do którego CSIRT zgłasza incydent podmiot z Pomorza?

Nie istnieje „CSIRT pomorski" w rozumieniu ustawy o KSC — incydenty zgłasza się do jednego z trzech CSIRT-ów poziomu krajowego zależnie od typu podmiotu (art. 26 ust. 5 KSC): (1) CSIRT NASK — większość podmiotów cywilnych, w tym przedsiębiorstwa, JST, szpitale, porty, energetyka, wodociągi; (2) CSIRT GOV — administracja rządowa i samorządowa szczebla wojewódzkiego (Pomorski Urząd Wojewódzki, Urząd Marszałkowski Województwa Pomorskiego oraz inne organy administracji rządowej działające na Pomorzu); (3) CSIRT MON — podmioty wojskowe i obsługujące wojsko (m.in. zlokalizowane w Trójmieście uczelnie wojskowe i jednostki marynarki wojennej). Zgłoszenie odbywa się przez system S46 — wczesne ostrzeżenie w 24 h, zgłoszenie w 72 h, raport końcowy w miesiąc (art. 11 ust. 1). Dla niektórych sektorów (transport, energetyka, ochrona zdrowia, woda) działa dodatkowo CSIRT sektorowy (art. 44) wspierający CSIRT poziomu krajowego — ale formalnie zgłoszenie kierowane jest do CSIRT NASK/GOV/MON.

Dlaczego Trójmiasto wymaga osobnego spojrzenia

Trójmiasto (Gdańsk, Gdynia, Sopot) to jeden z najgęściej zurbanizowanych obszarów Polski. Z perspektywy KSC region wyróżnia się czterema cechami: (1) dwa duże porty morskie — Port Gdańsk i Port Gdynia, zarządzane przez odrębne spółki Skarbu Państwa (Zarząd Morskiego Portu Gdańsk SA i Zarząd Morskiego Portu Gdynia SA) — wspólnie tworzące kluczowy węzeł logistyczny Basenu Morza Bałtyckiego (BSR), (2) Port Lotniczy Gdańsk im. Lecha Wałęsy — jeden z największych portów lotniczych w Polsce, (3) silna koncentracja sektora IT (centra usług, software house'y, ośrodki R&D międzynarodowych korporacji) oraz biotech i nauk medycznych (Gdański Uniwersytet Medyczny i powiązane jednostki), (4) trzy duże samodzielne JST z własnymi spółkami komunalnymi w sektorach krytycznych (woda, transport, ciepło). To oznacza wyjątkową gęstość podmiotów kluczowych i ważnych na stosunkowo niewielkim obszarze geograficznym.

Mimo że ustawa o KSC obowiązuje jednolicie w całej Polsce, lokalna specyfika ma znaczenie operacyjne: bliskość fizyczna podmiotów ułatwia wymianę informacji w ramach klastrów cyberbezpieczeństwa, ale jednocześnie zwiększa ryzyko incydentów kaskadowych (np. atak na dostawcę usług IT obsługującego kilka JST jednocześnie). Trójmiasto jest też siedzibą wojewódzkich struktur państwowych (Pomorski Urząd Wojewódzki, Urząd Marszałkowski Województwa Pomorskiego) — dwa kolejne podmioty kluczowe sektora administracji publicznej.

Kto z Trójmiasta podlega KSC

Aby ocenić, czy Twój podmiot z Trójmiasta podlega ustawie o KSC, należy zastosować dwa kryteria: sektorowe (czy działalność znajduje się w załączniku nr 1 lub nr 2 do ustawy) oraz wielkościowe (czy podmiot jest co najmniej średnim przedsiębiorcą — ≥ 50 pracowników lub obrót ≥ 10 mln EUR). Dla JST kryterium jest uproszczone: urząd gminy zatrudniający ≥ 50 osób w pełnym wymiarze czasu pracy jest podmiotem kluczowym (zał. 1). Pełny przewodnik metodologiczny — w artykule Czy podlegam pod KSC.

Typowy podmiot z Trójmiasta	Sektor (zał. 1/2)	Status KSC
Port Gdańsk SA, Port Gdynia SA	Zał. 1 — transport wodny śródlądowy i morski	Podmiot kluczowy
Port Lotniczy Gdańsk im. L. Wałęsy	Zał. 1 — transport lotniczy	Podmiot kluczowy
Urząd Miasta Gdańska, Gdyni, Sopotu	Zał. 1 — administracja publiczna (miasto na prawach powiatu, pkt 3)	Podmiot kluczowy
GIWK Gdańsk, PEWIK Gdynia, operatorzy obsługujący pozostałe gminy aglomeracji	Zał. 1 — zaopatrzenie w wodę	Podmiot kluczowy
Duże szpitale uniwersyteckie i wojewódzkie (np. UCK Gdańsk)	Zał. 1 — ochrona zdrowia (duży)	Podmiot kluczowy
Operator systemu dystrybucyjnego (DSO), operatorzy ciepłowniczy w Trójmieście	Zał. 1 — energetyka, ciepłownictwo	Podmiot kluczowy
ZTM Gdańsk, ZKM Gdynia, MZKZG, GAiT	Zał. 2 — transport publiczny	Podmiot ważny
Średnie firmy IT/SaaS (50–249 osób)	Zał. 2 — usługi cyfrowe	Podmiot ważny
Średnie i duże zakłady produkcji i przetwarzania żywności na Pomorzu	Zał. 2 — produkcja, przetwarzanie żywności	Podmiot ważny
Mikro/mała firma IT (< 50 osób)	—	Co do zasady poza ustawą (z wyjątkami: DNS, kwalifikowani dostawcy zaufania)

Status nie zależy od „bycia z Trójmiasta\" — decyduje sektor + wielkość. Firma z siedzibą w Sopocie obsługująca klientów w całej Polsce klasyfikowana jest tak samo jak firma warszawska. Lokalizacja ma jednak znaczenie operacyjne: dla JST i podmiotów publicznych z Pomorza organem właściwym jest minister właściwy do spraw informatyzacji (art. 41 pkt 11) — kontakt poprzez Ministerstwo Cyfryzacji w Warszawie, nie przez wojewodę pomorskiego.

Porty morskie i lotnisko

Port Gdańsk SA i Port Gdynia SA są podmiotami kluczowymi sektora transportu wodnego morskiego (zał. 1). Każdy z portów obsługuje systemy informacyjne krytyczne dla logistyki: TOS (Terminal Operating System), VTS (Vessel Traffic Service), systemy odprawy ładunków, integracja z systemami celnymi (PUESC). Cyberatak na taki podmiot ma natychmiastowe konsekwencje gospodarcze — wstrzymanie przeładunku oznacza wymierne straty dla łańcuchów dostaw o znaczeniu krajowym. Port Lotniczy Gdańsk im. Lecha Wałęsy (transport lotniczy) jest jednym z największych portów lotniczych w Polsce — jego klasyfikacja jako PK wynika z zał. 1 (sektor transportu lotniczego, lotniska sieci TEN-T).

Port Gdańsk SA — Terminal DCT, Naftoport, baseny portowe; krytyczna integracja z PUESC i systemami SafeSeaNet
Port Gdynia SA — Terminal Promowy Gdynia, BCT (Bałtycki Terminal Kontenerowy), terminale ro-ro
Port Lotniczy Gdańsk — systemy DCS (Departure Control System), zarządzania bagażem, kontroli granicznej
Wymóg: SZBI z 14 obszarów art. 8 ust. 1 pkt 2 (lit. a–n), audyt obowiązkowy co najmniej raz na 3 lata (art. 15 ust. 1)
Łańcuch dostaw ICT — szczególna uwaga na dostawców systemów portowych (TOS, VTS) i lotniskowych (DCS, systemy bagażowe i kontroli pasażera)

Porty morskie i lotniska są jednocześnie objęte ustawą o ochronie żeglugi i portów morskich (UOŻ) oraz przepisami Międzynarodowego Kodeksu Ochrony Statków i Obiektów Portowych (ISPS). KSC dodaje warstwę cyberbezpieczeństwa — Plan Ochrony Obiektu Portowego (POOP) musi zostać uzupełniony o sekcję dotyczącą bezpieczeństwa systemów informacyjnych zgodnie z SZBI z art. 8 ust. 1 pkt 2 lit. f (BCP). Patrz też: łańcuch dostaw ICT w KSC.

JST: Gdańsk, Gdynia, Sopot i spółki komunalne

Wszystkie trzy główne JST trójmiejskie — Gdańsk, Gdynia i Sopot — to miasta na prawach powiatu (art. 92 ust. 1 i 2 ustawy z 5 czerwca 1998 r. o samorządzie powiatowym, Dz.U. 2025 poz. 1684). Oznacza to, że są gminami wykonującymi jednocześnie zadania powiatu, a funkcje organów powiatu sprawują w nich rada miasta i prezydent miasta — nie ma odrębnego starostwa powiatowego. Z punktu widzenia KSC ma to konsekwencję: urząd miasta na prawach powiatu — wykonując zadania powiatu — funkcjonalnie pełni rolę starostwa powiatowego (zał. 1, sektor administracja publiczna, pkt 3), a kategoria ta nie zawiera progu wielkościowego. Każde miasto na prawach powiatu jest więc podmiotem kluczowym niezależnie od liczby zatrudnionych w urzędzie miasta. Niezależnie od tego, urząd miasta jest też urzędem gminy w rozumieniu pkt 4 zał. 1 (jeśli zatrudnia ≥ 50 osób w pełnym wymiarze czasu pracy) — w praktyce wszystkie trzy urzędy z Trójmiasta spełniają oba kryteria.

Konsekwencja praktyczna: wszystkie trzy urzędy miast trójmiejskich wdrażają pełny SZBI oparty na szacowaniu ryzyka z art. 8 ust. 1, a nie uproszczony z załącznika nr 4 (uproszczony dotyczy wyłącznie podmiotów ważnych będących podmiotami publicznymi — art. 8 ust. 3). Pełen plan wdrożenia w urzędzie — patrz: gmina a KSC — plan wdrożenia krok po kroku.

JST trójmiejski	Status KSC	Spółki komunalne podlegające KSC
Urząd Miasta Gdańska	Podmiot kluczowy (zał. 1)	GIWK Gdańsk (wodociągi — PK), Gdańskie Autobusy i Tramwaje (transport publiczny — PW), ZTM Gdańsk (organizator transportu)
Urząd Miasta Gdyni	Podmiot kluczowy (zał. 1)	PEWIK Gdynia (wodociągi — PK), ZKM Gdynia (organizator transportu), OPEC Gdynia (ciepło — PK)
Urząd Miasta Sopotu	Podmiot kluczowy (zał. 1)	Spółki komunalne i jednostki organizacyjne miasta — pełną listę warto zweryfikować w BIP UM Sopotu
Pomorski Urząd Wojewódzki	Podmiot kluczowy (zał. 1)	Wojewódzkie inspektoraty (sanitarny, weterynaryjny, transportu drogowego)
Urząd Marszałkowski Woj. Pomorskiego	Podmiot kluczowy (zał. 1)	Wojewódzkie szpitale, jednostki kultury, zarządca dróg wojewódzkich

Trójmiejskie JST mogą rozważyć model wspólnej jednostki obsługi cyberbezpieczeństwa (Q&A 3.13) — porozumienie międzygminne pozwala scentralizować obsługę SZBI dla podległych jednostek (szkół, przedszkoli, instytucji kultury). W praktyce jednak bardziej naturalna jest centralizacja na poziomie pojedynczego JST z uwagi na różne systemy i zespoły IT w UM Gdańska, UM Gdyni i UM Sopotu. MZKZG (Metropolitalny Związek Komunikacyjny Zatoki Gdańskiej) może być przykładem międzykomunalnej spółki realizującej zadania publiczne w obszarze transportu publicznego.

IT, zdrowie, energetyka, wodociągi

Poza JST i transportem, w Trójmieście koncentrują się cztery sektory podlegające KSC: ochrona zdrowia (Uniwersyteckie Centrum Kliniczne w Gdańsku oraz inne duże szpitale publiczne i komunalne), energetyka (operator systemu dystrybucyjnego energii elektrycznej obsługujący Pomorze oraz operatorzy systemów ciepłowniczych w Gdańsku i Gdyni), wodociągi (GIWK Gdańsk, PEWIK Gdynia oraz operatorzy obsługujący Sopot) oraz IT i usługi cyfrowe (centra usług, software house'y i ośrodki R&D międzynarodowych korporacji). Każdy sektor ma własną specyfikę wdrożeniową.

Zdrowie — duże szpitale uniwersyteckie i wojewódzkie: PK z zał. 1; krytyczne systemy HIS, RIS/PACS, EDM; szczególne wymogi NIS2 dla sektora ochrony zdrowia (patrz: artykuł szpital NIS2)
Energetyka — operator systemu dystrybucyjnego (DSO) i operatorzy ciepłowniczy: PK; ICS/OT (SCADA, PLC) wymaga osobnego podejścia bezpieczeństwa (segregacja sieci IT/OT, monitoring OT)
Wodociągi — GIWK Gdańsk, PEWIK Gdynia oraz operatorzy obsługujący pozostałe gminy aglomeracji: PK lub PW zależnie od skali; SCADA stacji uzdatniania, telemetria sieci wodociągowej
IT/SaaS — duże centra usług i software house'y: PK lub PW zależnie od działalności (B2B vs. konsumencki); MSSP — PK od progu „mały przedsiębiorca" (art. 5 ust. 1 pkt 3)
Biotech, farmacja — duże zakłady farmaceutyczne i biotechnologiczne na Pomorzu: PW jako produkcja wyrobów medycznych (zał. 2)

Sektor IT w Trójmieście ma silną pozycję B2B — wielu lokalnych dostawców obsługuje klientów krajowych i międzynarodowych jako podmioty łańcucha dostaw podmiotów kluczowych (np. dostawcy oprogramowania dla banków, energetyki, sektora publicznego). Nawet jeśli sami nie podlegają KSC (mikro/mała firma), są pośrednio związani wymogami umownymi swoich klientów PK z art. 8 ust. 1 pkt 2 lit. e (zarządzanie ryzykiem łańcucha dostaw). Patrz: łańcuch dostaw KSC.

Harmonogram wdrożenia 24 miesiące

Harmonogram wdrożenia KSC w podmiocie z Trójmiasta jest identyczny jak w pozostałych regionach Polski — ustawa nie różnicuje terminów geograficznie. Dla podmiotów istniejących w dniu wejścia w życie nowelizacji (3 kwietnia 2026 r., Dz.U. 2026 poz. 252) wszystkie etapy biegną od tej daty. Pełny przewodnik w artykule wdrożenie KSC — kompletny plan oraz terminy wdrożenia KSC.

Etap	Termin	Działania w podmiocie z Trójmiasta
Identyfikacja statusu	Do 3 lipca 2026 r.	Ocena PK/PW, weryfikacja zał. 1/2, zebranie danych do rejestracji (NIP, adresy IP, osoby kontaktowe)
Rejestracja w S46	Do 3 października 2026 r.	Wpis przez system S46 podpisany kwalifikowanym podpisem elektronicznym lub profilem zaufanym (art. 7c ust. 1)
Wdrożenie SZBI	Do 3 kwietnia 2027 r.	Pełny SZBI z 14 obszarów (art. 8 ust. 1 pkt 2) lub uproszczony zał. nr 4 (PW publiczne); pierwsze szacowanie ryzyka, polityki, procedury
Szkolenie kierownika	Do 3 kwietnia 2027 r. i corocznie	Obowiązkowe szkolenie wójta/burmistrza/prezydenta/zarządu z cyberbezpieczeństwa (art. 8e ust. 1)
Pierwszy audyt (PK)	Do 3 kwietnia 2028 r.	Przeprowadzenie audytu przez akredytowanego audytora — Pomorze ma kilku lokalnych dostawców (patrz niżej)

Kary za niewdrożenie SZBI są wysokie i niezależne od regionu: do 10 mln EUR lub 2% rocznych przychodów dla PK, do 7 mln EUR lub 1,4% rocznych przychodów dla PW (art. 73 ust. 3–4). Dla kierownika podmiotu — kara osobista do 300% rocznego wynagrodzenia (sektor prywatny + publiczny działający w innym sektorze z zał. 1/2, art. 73a ust. 4) lub 100% dla kierownika podmiotu publicznego niedziałającego w innym sektorze (art. 73a ust. 5). Kary egzekwowane od 3 kwietnia 2028 r. (art. 35 ustawy nowelizującej), z wyjątkiem kary za bezpośrednie i poważne cyberzagrożenie (art. 73 ust. 5).

Lokalni dostawcy SZBI i audytorzy

Wdrożenie KSC i SZBI to projekt długoterminowy — od pierwszej analizy ryzyka, przez zaprojektowanie polityk i procedur, szkolenia kierownictwa i personelu, aż po pierwszy audyt po dwóch latach i bieżącą obsługę incydentów 24/7. Wybór usługodawcy z siedzibą w Trójmieście może być korzystny operacyjnie — krótszy dojazd do siedziby klienta, łatwiejsza obecność on-site przy testach penetracyjnych, audytach fizycznych i reakcji na incydent, prostszy kontakt bezpośredni. Wymóg formalny ustawowy nie ogranicza geograficznie wyboru dostawcy (art. 15 ust. 2 KSC mówi tylko o kwalifikacjach audytora, nie o lokalizacji), ale względy operacyjne często przemawiają na korzyść usługodawcy z regionu.

Lokalna dostępność on-site — możliwość szybkiego dojazdu do siedziby klienta na warsztaty, audyt fizyczny czy testy penetracyjne wewnętrzne; brak kosztów delegacji i krótszy czas reakcji w razie incydentu
Znajomość specyfiki pomorskich podmiotów KSC — port morski (TOS/VTS), JST trójmiejskie (eDoręczenia/EZD), szpitale (HIS, RIS/PACS, EDM), operatorzy wodociągów i ciepłowni (SCADA, telemetria)
Sprawdź uprawnienia audytora (art. 15 ust. 2 KSC) — certyfikaty CISA, CISM, CISSP, ISO 27001 Lead Auditor — i jego niezależność od podmiotu audytowanego (art. 15 ust. 2a)
Stała obsługa zamiast jednorazowego audytu — model SLA + retainer pozwala spełnić wymóg dostępności 24/7 dla zgłoszenia incydentu poważnego w 72 h (art. 11 ust. 1) i wspiera bieżące dostosowywanie SZBI do nowych zagrożeń
Lokalny ekosystem partnerski — współpraca z pomorskimi klastrami IT (m.in. Pomorski Klaster ICT „Interizon", Pracodawcy Pomorza) i uczelniami (Politechnika Gdańska, Uniwersytet Gdański, Gdański Uniwersytet Medyczny) ułatwia dostęp do specjalistów i projektów R&D w cyberbezpieczeństwie
Bezpośrednia komunikacja — spotkania w siedzibie klienta, obecność konsultanta przy kluczowych decyzjach kierownictwa, polski język techniczny i prawny bez tłumaczeń pośrednich

Dla małych podmiotów (np. mała spółka komunalna, niewielki podmiot ważny publiczny) szczególnie atrakcyjny jest model regionalnego MSSP z Pomorza — wspólny SOC dla kilku JST lub grup szpitali z aglomeracji trójmiejskiej. Centralizacja monitoringu w lokalnym ośrodku obniża koszty, pozwala spełnić wymóg ciągłego monitorowania (art. 8 ust. 1 pkt 2 lit. g) i jednocześnie zapewnia bliskość operacyjną — zespół MSSP zna pomorskich klientów osobiście, mówi tym samym językiem biznesowym i jest dostępny na miejscu, gdy zajdzie potrzeba. Patrz też: dostawca chmury w KSC.

Do którego CSIRT zgłasza incydent podmiot z Pomorza

Pytanie „do którego CSIRT zgłosić incydent” jest uniwersalne — odpowiedź zależy nie od regionu, lecz od typu podmiotu. Ustawa o KSC wskazuje trzy CSIRT-y poziomu krajowego (art. 11 ust. 1 pkt 4): CSIRT NASK, CSIRT GOV i CSIRT MON. Dla podmiotu z Trójmiasta praktyczna mapa wygląda następująco:

Typ podmiotu z Trójmiasta	Właściwy CSIRT	Podstawa prawna
Port Gdańsk SA, Port Gdynia SA, Lotnisko Gdańsk	CSIRT NASK (z udziałem CSIRT sektorowego transportu)	Art. 11 ust. 1 pkt 4 KSC; CSIRT sektorowy — art. 44
Urząd Miasta Gdańska, Gdyni, Sopotu	CSIRT NASK (właściwy dla podmiotów publicznych innych niż wojskowe)	Art. 26 ust. 5 pkt 1 KSC
Pomorski Urząd Wojewódzki, Urząd Marszałkowski	CSIRT GOV (dla administracji rządowej i samorządowej szczebla wojewódzkiego)	Art. 26 ust. 5 pkt 2 KSC
UCK Gdańsk, Copernicus, szpitale wojewódzkie	CSIRT NASK (z udziałem CSIRT sektorowego ochrony zdrowia)	Art. 11 ust. 1 pkt 4; CSIRT sektorowy — art. 44
Operator systemu dystrybucyjnego (DSO), operator ciepłowniczy w Trójmieście	CSIRT NASK (z udziałem CSIRT sektorowego energetyki)	Art. 11 ust. 1 pkt 4; CSIRT sektorowy — art. 44
GIWK Gdańsk, PEWIK Gdynia (wodociągi)	CSIRT NASK (z udziałem CSIRT sektorowego wody)	Art. 11 ust. 1 pkt 4 KSC
Jednostka organizacyjna MON, podmiot wojskowy	CSIRT MON	Art. 26 ust. 5 pkt 3 KSC

Termin zgłoszenia incydentu poważnego: wczesne ostrzeżenie w 24 h, zgłoszenie w 72 h, raport końcowy w miesiąc (art. 11 ust. 1 KSC). Zgłoszenie odbywa się przez system S46 (nie e-mailem ani telefonicznie do wojewody). Pełna procedura — w artykule raportowanie incydentów KSC oraz jak wypełnić formularz CSIRT NASK. Lokalizacja w Trójmieście nie zmienia procedury — nie ma „CSIRT pomorski\" w rozumieniu ustawy o KSC.

Partner artykułu

Idealdata Sp. z o.o.

Usługi wdrożeniowe KSC i SZBI, audyty bezpieczeństwa, doradztwo NIS 2. Zespół z siedzibą w Chwaszczynie k. Gdańska — z dojazdem do Trójmiasta.

www.idealdata.pl

Treść partnerska

Spis treści

Dlaczego Trójmiasto wymaga osobnego spojrzenia Kto z Trójmiasta podlega KSC Porty morskie i lotnisko JST: Gdańsk, Gdynia, Sopot i spółki komunalne IT, zdrowie, energetyka, wodociągi Harmonogram wdrożenia 24 miesiące Lokalni dostawcy SZBI i audytorzy Do którego CSIRT zgłasza incydent podmiot z Pomorza

Potrzebujesz wsparcia?

Pomagamy we wdrożeniu KSC od identyfikacji statusu po pełny audyt.

Pozostałe artykuły

KlasyfikacjaPodmiot kluczowy vs ważny w KSC / NIS 2 — sprawdź status WdrożenieSZBI wg Załącznika nr 4 — przewodnik dla JST KaryKary finansowe w ustawie o KSC i NIS 2 — ile wynoszą?IncydentyRaportowanie incydentów KSC / NIS 2 — 24h, 72h, miesiąc AudytAudyt bezpieczeństwa KSC / NIS 2 — kto i kiedy?

FAQ5 pytań

Najczęstsze pytania

Czy Port Gdańsk SA i Port Gdynia SA podlegają KSC?

Tak — oba porty są podmiotami kluczowymi sektora transportu wodnego morskiego (zał. 1 do ustawy o KSC). Wynika to z faktu, że są dużymi przedsiębiorstwami zarządzającymi infrastrukturą krytyczną o znaczeniu strategicznym dla gospodarki krajowej (przeładunki rzędu kilkudziesięciu mln ton rocznie). Obowiązki: rejestracja w S46 do 3.10.2026, wdrożenie pełnego SZBI z 14 obszarów art. 8 ust. 1 pkt 2 do 3.04.2027, pierwszy audyt obowiązkowy do 3.04.2028 (co najmniej raz na 3 lata, art. 15 ust. 1). Szczególne wyzwania: integracja systemów portowych (TOS, VTS) z PUESC i SafeSeaNet, zarządzanie łańcuchem dostaw ICT (dostawcy systemów operacyjnych terminala i nadzoru ruchu statków), wymóg ciągłego monitorowania (art. 8 ust. 1 pkt 2 lit. g) i BCP testowanego corocznie (lit. f).

Czy Urząd Miasta Gdańska, Gdyni i Sopotu są podmiotami kluczowymi?

Tak — i to z powodu, który często bywa pomijany. Gdańsk, Gdynia i Sopot to miasta na prawach powiatu (art. 92 ust. 1 i 2 ustawy z 5.06.1998 r. o samorządzie powiatowym, Dz.U. 2025 poz. 1684) — czyli gminy wykonujące jednocześnie zadania powiatu. Załącznik nr 1 do ustawy o KSC, sektor administracja publiczna, w pkt 3 wymienia „w odniesieniu do samorządu powiatu: starostwo powiatowe" — bez progu wielkościowego. Urząd miasta na prawach powiatu, wykonując zadania powiatu, funkcjonalnie pełni rolę starostwa, więc kwalifikuje się do tej kategorii niezależnie od liczby zatrudnionych. Dodatkowo, jeśli urząd zatrudnia ≥ 50 osób w pełnym wymiarze czasu pracy, mieści się też w pkt 4 zał. 1 (samorząd gminy: urząd gminy ≥ 50 FTE) — co w praktyce dotyczy wszystkich trzech urzędów trójmiejskich. Oznacza to wdrożenie pełnego SZBI z art. 8 ust. 1 (14 obszarów), a nie uproszczonego z załącznika nr 4 (uproszczony stosują tylko podmioty ważne będące podmiotami publicznymi — art. 8 ust. 3). Prezydent miasta jako kierownik podmiotu ponosi osobistą odpowiedzialność za wykonywanie obowiązków KSC (art. 8c ust. 1) — kara osobista do 100% rocznego wynagrodzenia (art. 73a ust. 5).

Jakie szpitale w Trójmieście podlegają NIS2 i KSC?

Większość dużych szpitali Trójmiasta jest podmiotami kluczowymi sektora ochrony zdrowia (zał. 1 KSC) — dotyczy to m.in. szpitali uniwersyteckich (np. Uniwersyteckie Centrum Kliniczne w Gdańsku, szpital kliniczny Gdańskiego Uniwersytetu Medycznego), wojewódzkich szpitali specjalistycznych oraz dużych szpitali komunalnych w strukturze JST. Klasyfikacja zależy od formy prawnej i wielkości: szpital będący przedsiębiorcą (spółka) — duży przedsiębiorca (powyżej 250 prac. lub obrót powyżej 50 mln EUR i suma bilansowa powyżej 43 mln EUR) działający w sektorze ochrony zdrowia z zał. 1 → PK (art. 5 ust. 1 pkt 1); szpital niebędący przedsiębiorcą (SP ZOZ) — od 250 zatrudnionych = PK (art. 5 ust. 8); mniejsze placówki publiczne: PW publiczny stosujący uproszczony SZBI z zał. 4. Dyrektor szpitala odpowiada osobiście (art. 8c) — kara do 100% rocznego wynagrodzenia (kierownik podmiotu publicznego) lub 300% (sektor prywatny lub publiczny działający w innym sektorze z zał. 1/2). Konkretną klasyfikację każdej placówki należy przeprowadzić indywidualnie. Patrz: artykuł „Szpital a NIS2 — obowiązki".

Czy wybór usługodawcy SZBI z siedzibą w Trójmieście ma znaczenie?

Formalnie ustawa o KSC nie wymaga lokalności dostawcy SZBI ani audytora — decydują kompetencje, akredytacje (dla audytora — art. 15 ust. 2) i niezależność (art. 15 ust. 2a). Operacyjnie wybór usługodawcy z siedzibą w Trójmieście może być jednak korzystny: (1) krótszy czas dojazdu w razie incydentu poważnego (zgłoszenie do CSIRT w 72 h, art. 11 ust. 1) — konsultant na miejscu obniża ryzyko opóźnienia; (2) łatwiejsze spotkania w siedzibie klienta, obecność przy decyzjach zarządu, bez tłumaczeń pośrednich; (3) niższe koszty operacyjne — brak delegacji i diet konsultantów na każdy warsztat; (4) bliskość ekosystemu pomorskich klastrów (Interizon, Pracodawcy Pomorza) i uczelni (Politechnika Gdańska, Uniwersytet Gdański, Gdański Uniwersytet Medyczny). Dla małych podmiotów (mała spółka komunalna, niewielki podmiot ważny publiczny) atrakcyjny może być model regionalnego MSSP — wspólny SOC dla kilku JST lub grup szpitali Pomorza obniża koszty monitoringu 24/7. Wybór konkretnego dostawcy powinien opierać się na ofercie, kompetencjach i kryteriach SWZ (dla zamówień publicznych), nie na samej lokalizacji.

Do którego CSIRT zgłasza incydent podmiot z Pomorza?

Nie istnieje „CSIRT pomorski" w rozumieniu ustawy o KSC — incydenty zgłasza się do jednego z trzech CSIRT-ów poziomu krajowego zależnie od typu podmiotu (art. 26 ust. 5 KSC): (1) CSIRT NASK — większość podmiotów cywilnych, w tym przedsiębiorstwa, JST, szpitale, porty, energetyka, wodociągi; (2) CSIRT GOV — administracja rządowa i samorządowa szczebla wojewódzkiego (Pomorski Urząd Wojewódzki, Urząd Marszałkowski Województwa Pomorskiego oraz inne organy administracji rządowej działające na Pomorzu); (3) CSIRT MON — podmioty wojskowe i obsługujące wojsko (m.in. zlokalizowane w Trójmieście uczelnie wojskowe i jednostki marynarki wojennej). Zgłoszenie odbywa się przez system S46 — wczesne ostrzeżenie w 24 h, zgłoszenie w 72 h, raport końcowy w miesiąc (art. 11 ust. 1). Dla niektórych sektorów (transport, energetyka, ochrona zdrowia, woda) działa dodatkowo CSIRT sektorowy (art. 44) wspierający CSIRT poziomu krajowego — ale formalnie zgłoszenie kierowane jest do CSIRT NASK/GOV/MON.

Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

Zastrzeżenie prawne

Niniejszy artykuł ma charakter informacyjny i edukacyjny. Treść opieramy na tekście ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. 2026 poz. 20) wraz z nowelizacją z 23 stycznia 2026 r. (Dz.U. 2026 poz. 252) oraz na oficjalnych komunikatach Ministerstwa Cyfryzacji.

Artykuł nie stanowi opinii prawnej w rozumieniu ustawy z 6 lipca 1982 r. o radcach prawnych ani porady prawnej w rozumieniu ustawy z 26 maja 1982 r. — Prawo o adwokaturze. Klasyfikacja konkretnego podmiotu jako kluczowy lub ważny, ocena obowiązków materialnych (SZBI z art. 8 KSC, raportowanie incydentów z art. 11, audyt z art. 15) oraz interpretacja przepisów przejściowych z art. 33–35 ustawy nowelizującej wymagają indywidualnej analizy z uwzględnieniem struktury organizacyjnej, sektora działalności i specyfiki świadczonych usług.

W razie wątpliwości prawnych zalecamy konsultację z radcą prawnym lub adwokatem specjalizującym się w cyberprawie / NIS 2. Stan prawny: 3 kwietnia 2026 r. (data wejścia w życie nowelizacji). Wydawca: Idealdata Sp. z o.o. — Chwaszczyno k. Gdańska.

🍪 Szanujemy Twoją prywatność

Używamy niezbędnych plików cookie, a po Twojej zgodzie — także analitycznych (Google Analytics, anonimowe statystyki odwiedzin). „Odrzuć opcjonalne” wyłącza analitykę. Polityka prywatności.