Cyfrowa administracja po NIS 2 – czy urzędy są gotowe na nowy reżim bezpieczeństwa

Spis treści:

1. Administracja na celowniku – kto będzie objęty przepisami?
2. Nowe obowiązki dla jednostek publicznych
3. Wdrożenie – jakie wyzwania stoją przed urzędami
4. Podsumowanie

Jeszcze nigdy cyberbezpieczeństwo nie było tak wyraźnie obecne w agendzie legislacyjnej Unii Europejskiej. Wraz z uchwaleniem dyrektywy NIS 2 europejski regulator wysyła jasny sygnał – zarządzanie ryzykiem cybernetycznym ma być obowiązkiem systemowym, a nie fakultatywnym dodatkiem, w tym w administracji publicznej.

Nowa dyrektywa, która zastępuje dotychczasową NIS 1 z 2016 r., znacząco rozszerza katalog podmiotów objętych wymogami w zakresie cyberbezpieczeństwa. Tym razem obowiązki nie ograniczają się wyłącznie do operatorów usług kluczowych i dostawców usług cyfrowych – obejmują także urzędy centralne i samorządowe, instytucje publiczne, szpitale, uczelnie, jednostki sektora finansów publicznych, a nawet niektóre fundacje czy instytucje kultury, jeśli pełnią rolę istotną z punktu widzenia bezpieczeństwa lub ciągłości świadczenia usług.

Co więcej, NIS 2 nie pozostawia już wątpliwości co do sankcji – od 2025 r. za niewdrożenie odpowiednich środków bezpieczeństwa będą grozić dotkliwe kary finansowe, ale też odpowiedzialność osobista osób zarządzających jednostką.

W nowej rzeczywistości cyfrowej bezpieczeństwo informacji, ciągłość działania i zarządzanie incydentami to nie tylko domena informatyków. To kwestia strategiczna, która wymaga zaangażowania kierownictwa jednostki, świadomości prawnej i nowego podejścia do technologii w sektorze publicznym.

Administracja na celowniku – kto będzie objęty przepisami?

Dyrektywa NIS 2 znacząco rozszerza krąg podmiotów, które zostaną objęte obowiązkami w zakresie cyberbezpieczeństwa. O ile poprzednia regulacja (NIS 1) koncentrowała się głównie na wybranych operatorach usług kluczowych, o tyle nowa dyrektywa nie pozostawia wątpliwości – administracja publiczna, zarówno na szczeblu centralnym, jak i lokalnym, znajdzie się w centrum zainteresowania europejskiego ustawodawcy.

W praktyce oznacza to, że nowe przepisy będą miały zastosowanie do m.in.:

• urzędów marszałkowskich, wojewódzkich i miejskich;
• jednostek organizacyjnych JST, takich jak zarządy dróg miejskich, centra usług wspólnych, MOPS-y, GOPS-y i ZOZ-y;
• publicznych szpitali i przychodni;
• instytucji kultury, archiwów i bibliotek;
• jednostek edukacyjnych i badawczych, jeśli świadczą usługi wrażliwe lub cyfrowe na dużą skalę;
• urzędów obsługujących organy centralne i konstytucyjne, w tym ministerstw i agencji wykonawczych.

Warto podkreślić, że kryterium objęcia regulacją nie opiera się wyłącznie na formie prawnej czy nazwie instytucji, lecz na znaczeniu jej działalności dla funkcjonowania społeczeństwa i gospodarki oraz poziomie cyfryzacji usług. Przykładowo, niewielki urząd gminy, który odpowiada za lokalny system zaopatrzenia w wodę lub obsługuje platformę usług cyfrowych, może zostać uznany za podmiot kluczowy lub ważny.

Co istotne, dyrektywa wprowadza również możliwość indywidualnego zakwalifikowania danego podmiotu przez właściwy organ nadzorczy (w Polsce będzie to prawdopodobnie Ministerstwo Cyfryzacji lub nowa agencja ds. cyberbezpieczeństwa) – nawet jeśli nie spełnia on sztywnych progów liczbowych (np. zatrudnienia czy obrotów). Dla administracji publicznej oznacza to jedno – nie warto czekać na indywidualne wezwanie czy kontrolę, trzeba już teraz rozpocząć przygotowania do wdrożenia NIS 2, traktując to jako obowiązek systemowy, a nie jednorazowy projekt IT.

Nowe obowiązki dla jednostek publicznych

Implementacja dyrektywy NIS 2 w administracji publicznej niesie za sobą poważne konsekwencje organizacyjne. Regulacja nie ogranicza się do hasłowego „wzmocnienia cyberbezpieczeństwa”, ale nakłada konkretne, mierzalne obowiązki, które każda jednostka objęta przepisami będzie musiała wdrożyć i udokumentować. Dla wielu urzędów, szczególnie tych o niskim poziomie dojrzałości technologicznej, będzie to oznaczało wprowadzenie istotnych zmian – zarówno organizacyjnych, jak i kulturowych.

Podstawowym filarem nowych wymagań jest obowiązek wdrożenia systemowego zarządzania ryzykiem w obszarze cyberbezpieczeństwa. Nie wystarczy już posiadanie ogólnej polityki bezpieczeństwa czy deklaratywnego regulaminu pracy zdalnej – jednostki publiczne będą zobowiązane do prowadzenia realnej, opartej na danych analizy ryzyka. Co istotne, analiza ta musi obejmować nie tylko infrastrukturę IT wewnątrz urzędu, lecz także jego zależności zewnętrzne, takie jak podmioty przetwarzające dane, operatorzy usług chmurowych, firmy utrzymujące oprogramowanie czy dostawcy usług komunikacyjnych. Brak przejrzystej metodologii identyfikacji i oceny ryzyk będzie traktowany jako naruszenie przepisów, podobnie jak brak reakcji na zidentyfikowane słabości.

Równolegle pojawia się obowiązek dokumentowania szeregu polityk i procedur obejmujących m.in. zarządzanie incydentami, kontrolę dostępu, planowanie ciągłości działania, tworzenie kopii zapasowych czy szkolenie personelu. Dokumentacja ta ma być żywa, aktualna i stosowana w praktyce, a nie tylko istnieć na potrzeby kontroli. Instytucje będą musiały wykazać, że ich personel zna te procedury, potrafi je stosować i regularnie uczestniczy w ćwiczeniach lub symulacjach.

Jednym z najbardziej istotnych novum w praktyce funkcjonowania urzędów będzie obowiązek szybkiego i sformalizowanego reagowania na incydenty bezpieczeństwa. Dyrektywa przewiduje obowiązek zgłoszenia każdego istotnego incydentu w trzech etapach:

• w ciągu 24 godzin – od jego wykrycia należy przesłać wstępną notyfikację;
• w ciągu 72 godzin – raport zawierający szczegóły zdarzenia;
• nie później niż po 30 dniach – końcowe sprawozdanie zawierające analizę przyczyn, skutków oraz zastosowanych środków naprawczych.

Co istotne, niedopełnienie tych terminów lub próba ich obejścia może skutkować nie tylko karami finansowymi, ale także osobistą odpowiedzialnością osób zarządzających.

Warto podkreślić, że odpowiedzialność za cyberbezpieczeństwo w rozumieniu NIS 2 nie spoczywa wyłącznie na działach IT. Dyrektywa wprost wskazuje, że kierownictwo jednostki: burmistrz, wójt, dyrektor czy sekretarz, ponosi odpowiedzialność za wdrożenie i nadzorowanie działań w tym zakresie. Co więcej, osoby te powinny posiadać przynajmniej podstawową wiedzę umożliwiającą podejmowanie decyzji z należytą starannością, zgodnie z zasadą risk-based approach. W razie incydentu lub kontroli nie wystarczy zrzucić winy na informatyków – nadzór nad bezpieczeństwem staje się obowiązkiem zarządczym.

Nie mniej istotnym elementem jest konieczność budowania świadomości wśród pracowników. Urzędy będą zobowiązane do organizowania cyklicznych szkoleń z zakresu cyberbezpieczeństwa obejmujących m.in. rozpoznawanie prób phishingu, bezpieczne korzystanie z systemów informatycznych, zgłaszanie podejrzanych zdarzeń bądź zasady bezpiecznego przetwarzania danych osobowych. Wzrost liczby incydentów wynikających z błędów ludzkich i rosnąca aktywność grup ransomware’owych wymusza profesjonalizację nie tylko narzędzi, ale też postaw i zachowań.

Wdrożenie – jakie wyzwania stoją przed urzędami

Choć cele dyrektywy NIS 2 są ambitne i potrzebne, to zderzenie ich z rzeczywistością administracji publicznej – zwłaszcza na poziomie samorządowym – ujawnia szereg barier, które mogą istotnie utrudnić skuteczne wdrożenie nowych regulacji.

1. Najbardziej oczywistym problemem są niedobory kadrowe i kompetencyjne.

W wielu jednostkach zadania związane z cyberbezpieczeństwem realizuje jedna osoba, najczęściej informatyk bez formalnych uprawnień, procedur ani realnego wpływu na decyzje zarządcze. Brakuje nie tylko etatów, ale też możliwości ich stworzenia – w wielu przypadkach kwestie wynagrodzeń i struktury zatrudnienia są ściśle regulowane, co uniemożliwia pozyskanie doświadczonych specjalistów z rynku. Wewnętrzne przeszkolenie pracowników nierzadko ogranicza się do jednorazowego e-learningu oderwanego od realnych zagrożeń i praktyki pracy w urzędzie.

2. Fragmentaryzacja infrastruktury informatycznej i brak jednolitych standardów.

Wiele jednostek sektora terytorialnego korzysta z przestarzałych systemów, działających w architekturze „łatanej” przez lata. Zdarza się, że podstawowe elementy, jak firewall, monitoring logów czy kontrola dostępu funkcjonują w ograniczonym zakresie lub wcale. Często brakuje też podstawowych narzędzi do wykrywania incydentów, np. SIEM, DLP czy MFA. Co więcej, część systemów IT znajduje się pod opieką zewnętrznych firm, z którymi nie zawarto umów regulujących odpowiedzialność w przypadku incydentu czy obowiązki związane z NIS 2.

3. Niedostateczna świadomość kierownictwa jednostek odnośnie do skali zagrożeń i wymagań prawnych.

Dla wielu decydentów cyberbezpieczeństwo wciąż bywa traktowane jako kosztowny dodatek, który „można będzie załatwić projektem unijnym”. Tymczasem NIS 2 nie przewiduje taryfy ulgowej. Obowiązki są przypisane instytucji, niezależnie od dostępności środków zewnętrznych. Brak decyzji o wdrożeniu procedur lub przeznaczeniu budżetu na bezpieczeństwo będzie w świetle nowych przepisów traktowany jako zaniechanie, za które odpowiada kierownik jednostki.

4. Uzależnienie od zewnętrznych dostawców usług IT, które – w kontekście NIS 2 – nie zwalnia instytucji publicznych z odpowiedzialności za bezpieczeństwo.

W praktyce wiele jst korzysta z gotowych systemów (np. e-urząd, EZD, ePUAP) hostowanych w chmurze, bez pełnego wglądu w sposób ich zabezpieczenia. Brakuje standardowych zapisów w umowach, które regulowałyby kwestie audytów, reagowania na incydenty bądź obowiązków notyfikacyjnych. To luka, którą NIS 2 nakazuje pilnie wypełnić.

5. Niedopasowanie oczekiwań prawnych do rzeczywistości technicznej.

Choć dyrektywa opiera się na zasadzie neutralności technologicznej, w praktyce wymaga wdrożenia konkretnych rozwiązań technicznych – od monitorowania zagrożeń po systemy zarządzania incydentami. Dla wielu instytucji, zwłaszcza w mniejszych gminach, barierą jest nie tylko koszt wdrożenia, ale też brak zrozumienia, od czego w ogóle zacząć. Bez centralnego wsparcia, wzorców dokumentów, szkoleń i mechanizmów koordynacji wdrożenie NIS 2 może skończyć się na papierze.

Podsumowanie

Dyrektywa NIS 2 to nie kolejna „europejska regulacja do odłożenia na półkę”, ale prawdziwy przełom w postrzeganiu cyberbezpieczeństwa w sektorze publicznym. Jej implementacja oznacza konieczność zmiany myślenia – z reaktywnego na systemowe, z rozproszonego na skoordynowane. Dla wielu urzędów i instytucji będzie to pierwszy realny test dojrzałości organizacyjnej w obszarze bezpieczeństwa informacji.

Nie da się wdrożyć NIS 2 w ostatnim tygodniu przed kontrolą. To proces, który wymaga czasu, zaangażowania i konsekwencji: od kierownictwa, przez działy IT, po pracowników obsługi mieszkańców. I choć bariery są realne: kadrowe, finansowe, technologiczne, to ich ignorowanie nie sprawi, że znikną. Wręcz przeciwnie rosnące ryzyko cyberataków, coraz większe uzależnienie od usług cyfrowych i presja regulacyjna sprawiają, że status quo przestaje być bezpieczną strategią.

Dobrą wiadomością jest to, że nie trzeba zaczynać od zera. Wiele urzędów posiada już elementy wymagane przez NIS 2 – choćby w ramach wdrożonego rodo, polityk backupowych czy współpracy z CSIRT NASK. Wystarczy te działania zinwentaryzować, uzupełnić i nadać im spójny charakter systemu zarządzania bezpieczeństwem. Najtrudniejszy jest pierwszy krok, ale właśnie teraz jest najlepszy moment, by go zrobić.

Autor

Mateusz Jakubik

Autor jest prawnikiem; Auditorem wiodącym ISO/IEC 27001, BCMS ISO 22301 oraz ISO/IEC 42001/2023 oraz Auditorem wewnętrznym ISO/IEC 27701. Compliance Officer w Bonnier Business Polska oraz CIO w ODO Szkolenia. Jest wykładowcą z zakresu prawa ochrony danych, nowych technologii oraz cyberbezpieczeństwa. Pełni funkcje IOD w jednostkach sektora publicznego i prywatnego.