Nowa ustawa o KSC, która wdraża do polskiego porządku prawnego dyrektywę NIS2 ma zwiększyć bezpieczeństwo usług i systemów, z których codziennie korzystają obywatele, przedsiębiorcy oraz instytucje publiczne. Regulacja nakłada przy okazji szereg nowych obowiązków i zadań na podmioty i instytucje, w tym na jednostki samorządów terytorialnego. 

Dr Tomasz Soczyński z Uczelni Techniczno-Handlowej im. Heleny Chodkowskiej i prezes Secure2Me zwrócił uwagę, że nowe przepisy zmieniają charakter odpowiedzialności liderów samorządowych. Przypomniał, że za niedopełnienie obowiązków wynikających z nowej ustawy o KSC kierownikowi jednostki grozi kara pieniężna w wysokości do 100 proc. wynagrodzenia (obliczanego według zasad ekwiwalentu za urlop).

„To nie jest kolejna ustawa, którą czyta tylko radca prawny. Po raz pierwszy wprowadza ona osobistą odpowiedzialność kierownictwa za stan cyberbezpieczeństwa w jednostce – w tym wójtów, burmistrzów i prezydentów miast” – zaznaczył dr Soczyński dodając, że informacja o naruszeniach może zostać podana do publicznej wiadomości przez organ nadzorczy.

Ekspert przypomniał też, że nowe przepisy wprowadzają wymóg samodzielnej identyfikacji swojego statusu i wpisania się do tzw. „wykazu podmiotów kluczowych lub ważnych” w terminie do 3 października 2026 r. Brak zgłoszenia w terminie będzie uznawany za naruszenie prawa, przy czym jak zauważył, „organ nadzorczy nie ma obowiązku wysyłania oficjalnych powiadomień o objęciu jednostki nowymi przepisami”.

Dr Soczyński dodał przy tym, że od momentu wpisu jednostki do wykazu zaczną obowiązywać w niej rygorystyczne terminy zgłaszania incydentów: 24 godziny na wczesne ostrzeżenie do CSIRT GOV oraz 72 godziny na pełne zgłoszenie.

W ocenie eksperta jednym z największych zagrożeń dla samorządów jest obecnie tzw. „shadow AI”, polegające na używaniu przez urzędników prywatnych kont chatbotów do redagowania pism zawierających dane wrażliwe mieszkańców.

„Shadow AI to nie jest problem HR ani dyscypliny pracowniczej. To jest luka w systemie bezpieczeństwa, która czeka na wykorzystanie. I której nikt nie zgłosił do IOD, bo nikt nie wiedział, że powinien” – podkreślił dr Soczyński. 

Dodał, że problem ten dotyczy ogromnej skali – według badań 68 proc. pracowników nie otrzymało wytycznych dotyczących bezpiecznego korzystania z AI, a jedynie 8 proc. organizacji posiada formalne zasady w tym zakresie. Jeden incydent związany z AI może naruszyć jednocześnie trzy reżimy prawne: UKSC/NIS2, RODO oraz AI Act.

Znowelizowana ustawa o KSC wprowadza podział na podmioty kluczowe i ważne, działające w strategicznych sektorach państwa. Nowe przepisy nakładają na nie obowiązek stosowania odpowiednich środków technicznych i organizacyjnych, aby zwiększyć bezpieczeństwo systemów informatycznych i przetwarzanych przez nie danych. Nowe przepisy ułatwią zgłaszanie incydentów: podmioty kluczowe i ważne będą zgłaszać je w jednym miejscu – tj. w systemie S46 – bezpośrednio do odpowiednich zespołów CSIRT. Dzięki temu państwo szybciej zareaguje, gdy ktoś spróbuje wykraść dane Polaków albo zakłócić działanie ważnych usług. 

Powstaną też nowe, sektorowe zespoły CSIRT, które będą wspierać obsługę incydentów w określonych obszarach gospodarki. Pozwoli to zbudować bazę wiedzy o podatnościach danego sektora i zwiększy skuteczność reakcji. Nowe sektorowe zespoły CSIRT będą też aktywnie wspierać przedsiębiorców – pomogą odpowiednio zareagować na incydent, ostrzegą przed zagrożeniami i zapewnią szkolenia.  

mp/