Od 3 kwietnia obowiązuje znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa, wdrażająca dyrektywę NIS2. Dyskusja o nowych obowiązkach koncentruje się głównie na sektorze prywatnym – niesłusznie. Regulacja obejmuje bowiem również podmioty publiczne, w tym jednostki samorządu terytorialnego, ich jednostki organizacyjne i spółki komunalne.
Nasze ekspertki Paulina Jeziorska i Zuzanna Prandecka-Walek przeanalizowały ten temat na łamach Dziennika Gazety Prawnej. W artykule krok po kroku omawiają, co nowelizacja oznacza w praktyce dla samorządów – od ustalenia, kto podlega nowym przepisom, przez katalog obowiązków, po reżim sankcyjny.
Kilka kwestii, na które warto zwrócić uwagę:
Nowy podział podmiotów. Dotychczasowy model operatorów usług kluczowych i dostawców usług cyfrowych ustępuje miejsca podziałowi na podmioty kluczowe i podmioty ważne. W przypadku samorządów decyduje nie skala działalności, lecz rodzaj jednostki i jej miejsce w strukturze. Do podmiotów kluczowych zaliczono m.in. starostwa powiatowe i urzędy gmin zatrudniające co najmniej 50 osób. Podmioty ważne to z kolei m.in. samorządowe jednostki budżetowe, zakłady budżetowe, instytucje kultury czy spółki komunalne – o ile realizują zadania publiczne z wykorzystaniem systemów informacyjnych.
Obowiązki wykraczają daleko poza formalności. Wdrożenie systemu zarządzania bezpieczeństwem informacji, obsługa i zgłaszanie incydentów, zapewnienie ciągłości działania, uporządkowanie relacji z dostawcami – to nie jednorazowy projekt, lecz trwała zmiana sposobu funkcjonowania. Dla podmiotów ważnych będących podmiotami publicznymi ustawodawca przygotował przy tym konkretną listę minimalnych wymagań w załączniku do ustawy.
Sankcje są realne. Kary mogą sięgać 10 mln euro dla podmiotów kluczowych i 7 mln euro dla podmiotów ważnych. Odrębnie odpowiada kierownik jednostki – do 100% wynagrodzenia w przypadku podmiotów publicznych. Przepisy dają organowi pewną elastyczność w wymiarze kary, uwzględniając m.in. możliwości finansowe podmiotu, ale dolne progi są określone ustawowo.
Kluczowa wątpliwość interpretacyjna: czy podmiot kluczowy, który nie wykorzystuje systemów informacyjnych do realizacji zadań publicznych, jest całkowicie wyłączony z obowiązków? Konstrukcja przepisów nie daje jednoznacznej odpowiedzi, co w praktyce może generować niepewność po stronie samorządów.
Dla wielu jednostek samorządu terytorialnego nadchodzące miesiące będą testem zdolności do szybkiego zbudowania kompetencji i struktur, których dotychczas po prostu nie potrzebowały. Odkładanie tego tematu nie jest już opcją.
