Wydawca serwisu KSC.expert: IdealData Sp. z o.o. · idealdata.pl ↗
JST8 min czytania

NIS2 dla JST — wdrożenie KSC w samorządzie

Które JST podlegają KSC

Załącznik nr 1 do ustawy o KSC, sektor administracja publiczna, wymienia cztery kategorie podmiotów publicznych z samorządu terytorialnego (poza administracją rządową): pkt 2 — samorząd województwa (jednostki budżetowe i zakłady budżetowe z wyłączeniami a–f); pkt 3 — samorząd powiatu: starostwo powiatowe (bez progu wielkościowego); pkt 4 — samorząd gminy: urząd gminy, jeżeli zatrudnia co najmniej 50 osób w pełnym wymiarze czasu pracy. Spółki komunalne wykonujące zadania o charakterze użyteczności publicznej oceniane są indywidualnie wg art. 5 ust. 2 pkt 8 KSC.

Miasta na prawach powiatu (np. Gdańsk, Gdynia, Sopot, Warszawa, Kraków) to gminy wykonujące zadania powiatu (art. 92 ust. 1 i 2 ustawy o samorządzie powiatowym, Dz.U. 2025 poz. 1684) — urząd miasta funkcjonalnie pełni rolę starostwa powiatowego, więc kwalifikuje się jako PK z pkt 3 zał. 1 KSC niezależnie od progu 50 FTE. Patrz: Wdrożenie KSC w Trójmieście.

Klasyfikacja PK/PW dla JST

Typ JSTStatus KSCPodstawa prawna
Urząd marszałkowski województwa (jednostka budżetowa)Podmiot kluczowyzał. 1 pkt 2
Starostwo powiatowePodmiot kluczowy (bez progu)zał. 1 pkt 3
Urząd miasta na prawach powiatuPodmiot kluczowy (bez progu — funkcjonalnie starostwo + gmina)zał. 1 pkt 3 + pkt 4 w zw. z art. 92 u.s.p.
Urząd gminy ≥ 50 FTEPodmiot kluczowyzał. 1 pkt 4
Urząd gminy < 50 FTEPodmiot ważny publicznyart. 5 ust. 2 pkt 8 + zał. 2
Szkoły publiczne, biblioteki, samorządowe instytucje kultury, ZOZ samorządoweCo do zasady PW publiczne (oceniane indywidualnie)art. 5 ust. 2 pkt 8
Spółki komunalne wykonujące zadania użyteczności publicznejPK lub PW zależnie od sektora i wielkościart. 5 ust. 1 pkt 1 lub ust. 2 pkt 8

Zakres usługi

  • Klasyfikacja JST + jednostek organizacyjnych + spółek komunalnych — ustalenie statusu PK/PW
  • Rejestracja w wykazie S46 (art. 7c) lub weryfikacja wpisu z urzędu (dla istniejących OUK — art. 34 ust. 2 ustawy nowelizującej)
  • Wdrożenie SZBI: pełen 14-obszarowy (PK) lub uproszczony z zał. 4 (PW publiczne — art. 8 ust. 3 KSC)
  • Szkolenie kierownika podmiotu (wójt / burmistrz / prezydent miasta / starosta — art. 8e KSC)
  • Procedury reagowania na incydenty (art. 11–12b) z integracją z CSIRT NASK / GOV
  • Audyt bezpieczeństwa (PK) — pierwszy do 3.04.2028 r. (art. 33 ust. 2 ust. nowel.)
  • Wsparcie wdrożenia wspólnej obsługi cyberbezpieczeństwa (Q&A 3.13) — porozumienie międzygminne

Proces wdrożenia w JST

EtapCzasProdukt etapu
1. Audyt zgodności i klasyfikacja3–4 tyg.Mapa podległych jednostek + status każdej (PK / PW publiczny / poza KSC)
2. Rejestracja w S461–2 tyg.Wpis JST + spółek komunalnych do wykazu
3. Wdrożenie SZBI16–28 tyg.Pełen lub uproszczony SZBI z dokumentacją
4. Szkolenie kierownika i personelu2–4 tyg.Coroczne szkolenie wójta/burmistrza/prezydenta + personel IT
5. Procedury incydentowe + integracja z CSIRT2–3 tyg.Playbooki, kontakty, procedury raportowania 24h/72h
6. Audyt zgodności (dla PK)2–4 tyg.Raport audytu zgodny z art. 15 ust. 1 KSC

Terminy wdrożenia

EtapTerminPodstawa prawna
Wpis do wykazu S46 (z urzędu lub na wniosek)Wg harmonogramu Ministra Cyfryzacji w komunikacieart. 33 ust. 3 + art. 34 ust. 3 ust. nowel.
Wdrożenie SZBI i pełen rozdział 3do 3 kwietnia 2027 r. (12 mies. od wejścia w życie)art. 33 ust. 1 ust. nowel.
Szkolenie kierownika (wójt/burmistrz/prezydent/starosta)Raz w roku kalendarzowym, pierwsze do końca 2027 r.art. 8e ust. 1
Pierwszy audyt PKdo 3 kwietnia 2028 r.art. 33 ust. 2 ust. nowel.
Egzekucja kar pieniężnychod 3 kwietnia 2028 r.art. 35 ust. nowel.

Wspólna obsługa cyberbezpieczeństwa

Ustawa o KSC dopuszcza prowadzenie wspólnej obsługi cyberbezpieczeństwa przez jednostkę gminy, powiatu lub województwa albo przez spółkę z gospodarki komunalnej (Q&A 3.13). Jedna jednostka może obsługiwać kilka jednostek z tej samej gminy lub z innych gmin na podstawie porozumienia międzygminnego. Model ten obniża koszty cyberbezpieczeństwa dla mniejszych JST i pozwala spełnić wymóg ciągłego monitorowania (art. 8 ust. 1 pkt 2 lit. g) bez budowy dedykowanego SOC.

W modelu wspólnej obsługi jednostka obsługująca realizuje obowiązki z art. 7b ust. 4, art. 7c, art. 7f ust. 3, art. 8, art. 8c–8f, art. 8h, art. 9–12b lub art. 15 w imieniu jednostek obsługiwanych. Model szczególnie atrakcyjny dla zespołów gmin wiejskich i miast turystycznych Pomorza.

Cena i konsultacja

Bezpłatna konsultacja obejmuje wstępny audyt zgodności i mapę podległych jednostek. Wycena indywidualna w zależności od liczby jednostek organizacyjnych, modelu obsługi (samodzielna vs wspólna) i wybranego wariantu SZBI. Lokalna obecność na Pomorzu — dostępność on-site dla JST z Trójmiasta i okolicznych powiatów.
FAQ5 pytań

Najczęstsze pytania

Czy mała gmina (poniżej 50 etatów) musi wdrożyć KSC?
Tak, ale w uproszczonym wariancie. Gmina poniżej 50 FTE w urzędzie nie kwalifikuje się jako PK z pkt 4 zał. 1 KSC, ale jako podmiot ważny publiczny z art. 5 ust. 2 pkt 8 (samorządowa jednostka budżetowa). Dla PW publicznych ustawa przewiduje uproszczony SZBI z załącznika nr 4 (art. 8 ust. 3 KSC) — nie pełne 14 obszarów. Nadal obowiązuje rejestracja w wykazie S46, raportowanie incydentów oraz coroczne szkolenie kierownika (art. 8e). Patrz: artykuł „Gmina a KSC”.
Czy starostwo powiatowe ma próg wielkościowy?
Nie. Pkt 3 zał. 1 KSC „w odniesieniu do samorządu powiatu: starostwo powiatowe” nie zawiera progu wielkościowego (inaczej niż pkt 4 dla urzędów gmin, który wymaga ≥ 50 FTE). Każde starostwo powiatowe — niezależnie od liczby zatrudnionych — jest podmiotem kluczowym z mocy ustawy. To samo dotyczy urzędów miast na prawach powiatu, które funkcjonalnie pełnią rolę starostw (art. 92 u.s.p.).
Czy spółka komunalna (np. wodociągi, MZK) jest osobnym podmiotem KSC?
Tak — spółki komunalne są oceniane indywidualnie. Wodociągi (zał. 1 pkt 1) są podmiotami kluczowymi jeśli są dużymi przedsiębiorcami; ważnymi jeśli są średnimi. Komunikacja miejska (transport publiczny, zał. 2) — zwykle PW. Spółka realizująca zadania publiczne wymieniona w art. 5 ust. 2 pkt 8 — PW publiczna. Każda spółka komunalna ma osobny obowiązek rejestracji w S46 i osobne SZBI, choć w praktyce można skoordynować to w ramach JST poprzez wspólną obsługę (Q&A 3.13).
Kto jest kierownikiem podmiotu w gminie?
W urzędzie gminy: wójt, burmistrz lub prezydent miasta (zgodnie z ustawą o samorządzie gminnym). W urzędzie miasta na prawach powiatu: prezydent miasta. W starostwie powiatowym: starosta. W urzędzie marszałkowskim: marszałek województwa. Każda z tych osób ponosi osobistą odpowiedzialność za wykonywanie obowiązków KSC (art. 8c ust. 1) i podlega corocznemu szkoleniu z art. 8e ust. 1. Powierzenie obowiązków innej osobie (np. CISO, IBI) nie zwalnia kierownika z odpowiedzialności (art. 8c ust. 3).
Jakie kary grożą wójtowi za niewdrożenie KSC w gminie?
Kary osobiste z art. 73a ust. 5 KSC: do 100% rocznego wynagrodzenia kierownika podmiotu publicznego (kara obliczana wg ekwiwalentu za urlop). Jeśli gmina podlega KSC również na podstawie innego sektora z zał. 1 lub 2 (np. wodociągi prowadzone bezpośrednio przez urząd), kara może wynieść do 300% (art. 73a ust. 4 w zw. z ust. 5 zd. drugie). Niezależnie — kara administracyjna na gminę jako podmiot. Ponieważ urząd gminy jako podmiot publiczny zwykle nie ma przychodów z działalności gospodarczej, nie stosuje się procentu z ust. 3/4 (2%/1,4%) — tylko ryczałt z art. 73 ust. 3a: równowartość 500 000 EUR dla PK (urząd ≥ 50 FTE) lub 250 000 EUR dla PW (mała gmina), z górnym limitem ust. 3 / 4 i minimum 20 000 / 15 000 zł. Organ obowiązkowo uwzględnia możliwości finansowe gminy (art. 76a ust. 1 KSC) — realna kara dostosowywana jest do budżetu jednostki. Egzekucja kar pieniężnych z art. 73 ust. 1–4 i art. 73a–73c rozpoczyna się 3 kwietnia 2028 r. (art. 35 ust. nowel.). Art. 74 ust. 6 KSC zobowiązuje MC do corocznego raportowania Komisji Wspólnej Rządu i Samorządu o wpływach z kar nałożonych na samorządowe podmioty publiczne — to potwierdzenie, że ustawodawca zakłada realne karanie samorządów.
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Używamy niezbędnych plików cookie, a po Twojej zgodzie — także analitycznych (Google Analytics, anonimowe statystyki odwiedzin). „Odrzuć opcjonalne” wyłącza analitykę. Polityka prywatności.