Pomoc

Helpdesk
Zdalna pomoc

Kontakt

ul. Jana Henryka Dąbrowskiego 273A, 60-406 Poznań

biuro@directit.pl

+48 61 646 08 70

Facebook-f Linkedin
Aktualności
KSC NIS2 w samorządzie
_

KSC NIS2 w samorządzie – za co odpowiada wójt, wojewoda i kierownik jednostki?

KSC NIS2 w samorządzie. Wraz z wdrażaniem dyrektywy NIS2 oraz nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) coraz więcej jednostek sektora publicznego zadaje sobie pytanie: kto faktycznie odpowiada za cyberbezpieczeństwo organizacji? Czy obowiązki wynikające z KSC można przekazać informatykowi, firmie zewnętrznej lub inspektorowi bezpieczeństwa? Jaką rolę pełni wójt, wojewoda, burmistrz, starosta czy kierownik jednostki organizacyjnej?

To pytania, które coraz częściej pojawiają się zarówno podczas audytów zgodności, jak i w procesach przygotowania jednostek samorządu terytorialnego do nowych wymagań regulacyjnych.

Najważniejsza odpowiedź brzmi: odpowiedzialność za cyberbezpieczeństwo ma charakter zarządczy, a część obowiązków jest niezbywalna.

Czy jednostka samorządu terytorialnego podlega pod KSC/NIS2?

Nowelizacja KSC oraz wdrożenie wymagań NIS2 obejmują znaczną część sektora publicznego. Dotyczy to nie tylko administracji centralnej, ale również wielu jednostek samorządu terytorialnego.

W praktyce obowiązki mogą dotyczyć między innymi:

  • urzędów gmin,
  • urzędów miast,
  • starostw powiatowych,
  • urzędów marszałkowskich,
  • jednostek organizacyjnych JST,
  • jednostek świadczących usługi publiczne,
  • podmiotów realizujących zadania publiczne.

Oznacza to, że cyberbezpieczeństwo przestaje być wyłącznie zagadnieniem technicznym. Staje się elementem zarządzania organizacją oraz zapewnienia ciągłości działania usług publicznych.

Kim jest kierownik jednostki w rozumieniu KSC?

Jednym z najważniejszych pojęć pojawiających się w przepisach jest „kierownik jednostki”.

W zależności od rodzaju organizacji funkcję tę mogą pełnić:

  • wójt,
  • burmistrz,
  • prezydent miasta,
  • starosta,
  • marszałek województwa,
  • wojewoda,
  • dyrektor jednostki organizacyjnej,
  • kierownik jednostki budżetowej.

To właśnie kierownik jednostki odpowiada za zapewnienie odpowiedniego poziomu cyberbezpieczeństwa oraz organizację procesów związanych z zarządzaniem ryzykiem.

W praktyce oznacza to, że odpowiedzialność nie kończy się na zakupie oprogramowania antywirusowego czy zatrudnieniu administratora systemów IT.

Niezbywalność obowiązków – co oznacza w KSC i NIS2?

Jednym z najważniejszych zagadnień dla sektora publicznego jest niezbywalność obowiązków.

Pojęcie to oznacza, że kierownik jednostki nie może całkowicie przenieść swojej odpowiedzialności na inną osobę lub podmiot.

W praktyce oznacza to, że:

  • outsourcing usług IT nie zwalnia z odpowiedzialności,
  • zatrudnienie specjalisty ds. cyberbezpieczeństwa nie przenosi odpowiedzialności,
  • podpisanie umowy z firmą zewnętrzną nie eliminuje obowiązków kierownictwa,
  • administrator systemów informatycznych nie przejmuje odpowiedzialności za zgodność z KSC.

Wójt, wojewoda czy kierownik jednostki mogą delegować zadania operacyjne, ale nie mogą delegować odpowiedzialności za nadzór nad systemem cyberbezpieczeństwa.

To właśnie dlatego NIS2 wprowadza również obowiązki szkoleniowe dla kierownictwa organizacji.

Za co odpowiada wójt, burmistrz i wojewoda?

Wbrew obiegowym opiniom odpowiedzialność kierownictwa nie ogranicza się do podpisywania dokumentów.

Do kluczowych obowiązków należą między innymi:

Zarządzanie ryzykiem

Kierownictwo powinno zapewnić proces identyfikacji zagrożeń oraz regularnej oceny ryzyka.

Obejmuje to:

  • analizę zagrożeń cybernetycznych,
  • identyfikację aktywów,
  • ocenę wpływu incydentów na organizację,
  • wdrażanie działań ograniczających ryzyko.

Zapewnienie odpowiednich zasobów

Cyberbezpieczeństwo wymaga odpowiednich:

  • budżetów,
  • kompetencji,
  • narzędzi,
  • procedur.

Brak finansowania nie zwalnia jednostki z obowiązków wynikających z KSC.

Nadzór nad procedurami

Kierownik jednostki powinien zapewnić wdrożenie:

  • polityki bezpieczeństwa,
  • procedur reagowania na incydenty,
  • planów ciągłości działania,
  • procedur odtwarzania po awarii,
  • zasad zarządzania dostępami.

Nadzór nad dostawcami

Nowe regulacje obejmują również bezpieczeństwo łańcucha dostaw.

Oznacza to konieczność oceny dostawców usług IT, usług chmurowych oraz innych partnerów mających wpływ na bezpieczeństwo organizacji.

Dlaczego KSC/NIS2 nie jest projektem IT?

To jeden z najczęściej popełnianych błędów w administracji publicznej. Wiele jednostek nadal traktuje KSC jako zadanie działu informatyki. Tymczasem wymagania dotyczą całej organizacji.

Obejmują między innymi:

  • zarządzanie kryzysowe,
  • ochronę informacji,
  • procesy biznesowe,
  • szkolenia pracowników,
  • współpracę z dostawcami,
  • ciągłość działania usług publicznych.

Cyberbezpieczeństwo staje się elementem zarządzania strategicznego podobnie jak finanse, kadry czy kwestie prawne.

Jednostka samorządu terytorialnego a nowe wymagania bezpieczeństwa

Dodatkowym wyzwaniem dla JST są rosnące wymagania związane z:

  • ochroną ludności,
  • odpornością infrastruktury krytycznej,
  • bezpieczeństwem informacji,
  • ochroną danych osobowych,
  • usługami cyfrowymi dla mieszkańców.

Atak cybernetyczny na urząd może dziś oznaczać nie tylko problemy techniczne, ale również przerwanie świadczenia usług publicznych.

Dlatego coraz większy nacisk kładzie się na budowanie odporności organizacyjnej.

Jak przygotować JST do KSC/NIS2?

Przygotowanie jednostki samorządu terytorialnego powinno rozpocząć się od kompleksowej oceny obecnego stanu bezpieczeństwa.

Najczęściej proces obejmuje:

1. Audyt zgodności

Weryfikację aktualnych procedur oraz dokumentacji względem wymagań KSC/NIS2.

2. Analizę ryzyka

Identyfikację zagrożeń oraz ocenę ich wpływu na funkcjonowanie jednostki.

3. Wdrożenie SZBI

System Zarządzania Bezpieczeństwem Informacji pozwala uporządkować procesy bezpieczeństwa w organizacji.

4. Opracowanie dokumentacji

Między innymi:

  • polityk bezpieczeństwa,
  • procedur incydentowych,
  • planów ciągłości działania,
  • rejestrów ryzyk.

5. Szkolenia kierownictwa

Nowe przepisy wymagają aktywnego zaangażowania kadry zarządzającej.

6. Przygotowanie do kontroli i audytów

Jednostki powinny być gotowe do wykazania zgodności z wymaganiami regulacyjnymi.

Podsumowanie

KSC/NIS2 wprowadzają nowe podejście do cyberbezpieczeństwa w sektorze publicznym. Dla jednostek samorządu terytorialnego oznacza to, że odpowiedzialność za bezpieczeństwo cyfrowe nie spoczywa wyłącznie na informatykach. Wójt, wojewoda, burmistrz, starosta czy kierownik jednostki odpowiadają za organizację procesów zarządzania ryzykiem oraz nadzór nad systemem cyberbezpieczeństwa.

Kluczowym pojęciem staje się niezbywalność obowiązków. Oznacza ona, że nawet korzystając z usług zewnętrznych dostawców, kierownictwo jednostki nadal ponosi odpowiedzialność za zgodność z wymaganiami KSC i NIS2.

Dla każdej jednostki samorządu terytorialnego oznacza to jedno: cyberbezpieczeństwo musi stać się elementem zarządzania organizacją, a nie wyłącznie zadaniem działu IT. To właśnie od zaangażowania kierownictwa zależy dziś skuteczna ochrona usług publicznych, mieszkańców oraz ciągłości działania instytucji.

Zaufaj ekspertom IT

Mamy bogate doświadczenie w realizacji kompleksowych rozwiązań do ochrony danych i zapobiegania wyciekom informacji dla firm różnej wielkości. Nasze rozwiązania są dostosowane do indywidualnych potrzeb klientów, tak, abyś mógł skupić się na kluczowych aspektach prowadzenia biznesu.

Chcesz dowiedzieć się więcej?

Skontaktuj się z nami, a przygotujemy dla Ciebie szczegółową ofertę przygotowaną indywidualnie do Twojej firmy: KONTAKT

Odwiedź nas także na: Facebook

Polecamy: Acronis Cyber Protect – kompleksowa ochrona danych i zabezpieczenie przed cyberzagrożeniami. Dlaczego warto wdrożyć go z Direct IT? 

direct-przekladka-do-artykulow