JST8 min czytania

NIS2 dla JST — wdrożenie KSC w samorządzie

Które JST podlegają KSC

Załącznik nr 1 do ustawy o KSC, sektor administracja publiczna, wymienia cztery kategorie podmiotów publicznych z samorządu terytorialnego (poza administracją rządową): pkt 2 — samorząd województwa (jednostki budżetowe i zakłady budżetowe z wyłączeniami a–f); pkt 3 — samorząd powiatu: starostwo powiatowe (bez progu wielkościowego); pkt 4 — samorząd gminy: urząd gminy, jeżeli zatrudnia co najmniej 50 osób w pełnym wymiarze czasu pracy. Spółki komunalne wykonujące zadania o charakterze użyteczności publicznej oceniane są indywidualnie wg art. 5 ust. 2 pkt 8 KSC.

Miasta na prawach powiatu (np. Gdańsk, Gdynia, Sopot, Warszawa, Kraków) to gminy wykonujące zadania powiatu (art. 92 ust. 1 i 2 ustawy o samorządzie powiatowym, Dz.U. 2025 poz. 1684) — urząd miasta funkcjonalnie pełni rolę starostwa powiatowego, więc kwalifikuje się jako PK z pkt 3 zał. 1 KSC niezależnie od progu 50 FTE. Patrz: Wdrożenie KSC w Trójmieście.

Klasyfikacja PK/PW dla JST

Typ JSTStatus KSCPodstawa prawna
Urząd marszałkowski województwa (jednostka budżetowa)Podmiot kluczowyzał. 1 pkt 2
Starostwo powiatowePodmiot kluczowy (bez progu)zał. 1 pkt 3
Urząd miasta na prawach powiatuPodmiot kluczowy (bez progu — funkcjonalnie starostwo + gmina)zał. 1 pkt 3 + pkt 4 w zw. z art. 92 u.s.p.
Urząd gminy ≥ 50 FTEPodmiot kluczowyzał. 1 pkt 4
Urząd gminy < 50 FTEPodmiot ważny publicznyart. 5 ust. 2 pkt 8 + zał. 2
Szkoły publiczne, biblioteki, samorządowe instytucje kultury, ZOZ samorządoweCo do zasady PW publiczne (oceniane indywidualnie)art. 5 ust. 2 pkt 8
Spółki komunalne wykonujące zadania użyteczności publicznejPK lub PW zależnie od sektora i wielkościart. 5 ust. 1 pkt 1 lub ust. 2 pkt 8

Zakres usługi

  • Klasyfikacja JST + jednostek organizacyjnych + spółek komunalnych — ustalenie statusu PK/PW
  • Rejestracja w wykazie S46 (art. 7c) lub weryfikacja wpisu z urzędu (dla istniejących OUK — art. 34 ust. 2 ustawy nowelizującej)
  • Wdrożenie SZBI: pełen 14-obszarowy (PK) lub uproszczony z zał. 4 (PW publiczne — art. 8 ust. 3 KSC)
  • Szkolenie kierownika podmiotu (wójt / burmistrz / prezydent miasta / starosta — art. 8e KSC)
  • Procedury reagowania na incydenty (art. 11–12b) z integracją z CSIRT NASK / GOV
  • Audyt bezpieczeństwa (PK) — pierwszy do 3.04.2028 r. (art. 33 ust. 2 ust. nowel.)
  • Wsparcie wdrożenia wspólnej obsługi cyberbezpieczeństwa (Q&A 3.13) — porozumienie międzygminne

Proces wdrożenia w JST

EtapCzasProdukt etapu
1. Audyt zgodności i klasyfikacja3–4 tyg.Mapa podległych jednostek + status każdej (PK / PW publiczny / poza KSC)
2. Rejestracja w S461–2 tyg.Wpis JST + spółek komunalnych do wykazu
3. Wdrożenie SZBI16–28 tyg.Pełen lub uproszczony SZBI z dokumentacją
4. Szkolenie kierownika i personelu2–4 tyg.Coroczne szkolenie wójta/burmistrza/prezydenta + personel IT
5. Procedury incydentowe + integracja z CSIRT2–3 tyg.Playbooki, kontakty, procedury raportowania 24h/72h
6. Audyt zgodności (dla PK)2–4 tyg.Raport audytu zgodny z art. 15 ust. 1 KSC

Terminy wdrożenia

EtapTerminPodstawa prawna
Wpis do wykazu S46 (z urzędu lub na wniosek)Wg harmonogramu Ministra Cyfryzacji w komunikacieart. 33 ust. 3 + art. 34 ust. 3 ust. nowel.
Wdrożenie SZBI i pełen rozdział 3do 3 kwietnia 2027 r. (12 mies. od wejścia w życie)art. 33 ust. 1 ust. nowel.
Szkolenie kierownika (wójt/burmistrz/prezydent/starosta)Raz w roku kalendarzowym, pierwsze do końca 2027 r.art. 8e ust. 1
Pierwszy audyt PKdo 3 kwietnia 2028 r.art. 33 ust. 2 ust. nowel.
Egzekucja kar pieniężnychod 3 kwietnia 2028 r.art. 35 ust. nowel.

Wspólna obsługa cyberbezpieczeństwa

Ustawa o KSC dopuszcza prowadzenie wspólnej obsługi cyberbezpieczeństwa przez jednostkę gminy, powiatu lub województwa albo przez spółkę z gospodarki komunalnej (Q&A 3.13). Jedna jednostka może obsługiwać kilka jednostek z tej samej gminy lub z innych gmin na podstawie porozumienia międzygminnego. Model ten obniża koszty cyberbezpieczeństwa dla mniejszych JST i pozwala spełnić wymóg ciągłego monitorowania (art. 8 ust. 1 pkt 2 lit. g) bez budowy dedykowanego SOC.

W modelu wspólnej obsługi jednostka obsługująca realizuje obowiązki z art. 7b ust. 4, art. 7c, art. 7f ust. 3, art. 8, art. 8c–8f, art. 8h, art. 9–12b lub art. 15 w imieniu jednostek obsługiwanych. Model szczególnie atrakcyjny dla zespołów gmin wiejskich i miast turystycznych Pomorza.

Cena i konsultacja

Bezpłatna konsultacja obejmuje wstępny audyt zgodności i mapę podległych jednostek. Wycena indywidualna w zależności od liczby jednostek organizacyjnych, modelu obsługi (samodzielna vs wspólna) i wybranego wariantu SZBI. Lokalna obecność na Pomorzu — dostępność on-site dla JST z Trójmiasta i okolicznych powiatów.
FAQ5 pytań

Najczęstsze pytania

Czy mała gmina (poniżej 50 etatów) musi wdrożyć KSC?
Tak, ale w uproszczonym wariancie. Gmina poniżej 50 FTE w urzędzie nie kwalifikuje się jako PK z pkt 4 zał. 1 KSC, ale jako podmiot ważny publiczny z art. 5 ust. 2 pkt 8 (samorządowa jednostka budżetowa). Dla PW publicznych ustawa przewiduje uproszczony SZBI z załącznika nr 4 (art. 8 ust. 3 KSC) — nie pełne 14 obszarów. Nadal obowiązuje rejestracja w wykazie S46, raportowanie incydentów oraz coroczne szkolenie kierownika (art. 8e). Patrz: artykuł „Gmina a KSC”.
Czy starostwo powiatowe ma próg wielkościowy?
Nie. Pkt 3 zał. 1 KSC „w odniesieniu do samorządu powiatu: starostwo powiatowe” nie zawiera progu wielkościowego (inaczej niż pkt 4 dla urzędów gmin, który wymaga ≥ 50 FTE). Każde starostwo powiatowe — niezależnie od liczby zatrudnionych — jest podmiotem kluczowym z mocy ustawy. To samo dotyczy urzędów miast na prawach powiatu, które funkcjonalnie pełnią rolę starostw (art. 92 u.s.p.).
Czy spółka komunalna (np. wodociągi, MZK) jest osobnym podmiotem KSC?
Tak — spółki komunalne są oceniane indywidualnie. Wodociągi (zał. 1 pkt 1) są podmiotami kluczowymi jeśli są dużymi przedsiębiorcami; ważnymi jeśli są średnimi. Komunikacja miejska (transport publiczny, zał. 2) — zwykle PW. Spółka realizująca zadania publiczne wymieniona w art. 5 ust. 2 pkt 8 — PW publiczna. Każda spółka komunalna ma osobny obowiązek rejestracji w S46 i osobne SZBI, choć w praktyce można skoordynować to w ramach JST poprzez wspólną obsługę (Q&A 3.13).
Kto jest kierownikiem podmiotu w gminie?
W urzędzie gminy: wójt, burmistrz lub prezydent miasta (zgodnie z ustawą o samorządzie gminnym). W urzędzie miasta na prawach powiatu: prezydent miasta. W starostwie powiatowym: starosta. W urzędzie marszałkowskim: marszałek województwa. Każda z tych osób ponosi osobistą odpowiedzialność za wykonywanie obowiązków KSC (art. 8c ust. 1) i podlega corocznemu szkoleniu z art. 8e ust. 1. Powierzenie obowiązków innej osobie (np. CISO, IBI) nie zwalnia kierownika z odpowiedzialności (art. 8c ust. 3).
Jakie kary grożą wójtowi za niewdrożenie KSC w gminie?
Kary osobiste z art. 73a ust. 5 KSC: do 100% rocznego wynagrodzenia kierownika podmiotu publicznego (kara obliczana wg ekwiwalentu za urlop, minimum 20 000 zł). Jeśli gmina podlega KSC również na podstawie innego sektora z zał. 1 lub 2 (np. wodociągi prowadzone bezpośrednio przez urząd), kara może wynieść do 300% (art. 73a ust. 4 w zw. z ust. 5 zd. drugie). Niezależnie — kara na gminę jako podmiot z art. 73 ust. 4 (do 7 mln EUR lub 1,4% rocznych przychodów dla PW; do 10 mln EUR / 2% dla PK). Egzekucja od 3 kwietnia 2028 r. (art. 35 ust. nowel.).
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.