Pismo z Ministerstwa Cyfryzacji UKSC i NIS2 dla JST – co zrobić?

Sandra Jurkowska

UKSC • NIS2 • JST • Wykaz KSC

Pismo z Ministerstwa Cyfryzacji?

To nie kontrola. To sygnał, że trzeba uporządkować cyberbezpieczeństwo w JST

Jednostki samorządu terytorialnego oraz ich placówki otrzymują pisma związane z obowiązkami wynikającymi z UKSC i dyrektywy NIS2.
Dla wielu szkół, przedszkoli, żłobków i instytucji kultury to pierwszy formalny sygnał, że należy przygotować się do wpisu do Wykazu KSC,
wdrożenia SZBI, obsługi incydentów, szkoleń i dokumentowania działań.

Cyberbezpieczeństwo w jednostkach samorządu terytorialnego nie jest już wyłącznie tematem działu IT. Po nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa stało się obszarem, który wymaga odpowiedzialnego zarządzania, dokumentowania działań oraz przygotowania zespołu do reagowania na incydenty.

Coraz więcej placówek JST otrzymuje obecnie korespondencję z Ministerstwa Cyfryzacji dotyczącą statusu podmiotu ważnego lub kluczowego oraz uzupełnienia danych w Wykazie KSC. Taka wiadomość może budzić niepokój, szczególnie tam, gdzie nie ma własnego działu cyberbezpieczeństwa, etatowego administratora IT albo gotowej dokumentacji SZBI.

Najważniejsze: pismo z Ministerstwa Cyfryzacji nie oznacza automatycznie kontroli ani zarzutu.
Jednocześnie nie powinno zostać potraktowane jako zwykła formalność. To sygnał, że placówka powinna rozpocząć uporządkowany i udokumentowany proces dostosowania do wymagań UKSC.

Dlatego w Sun Capital wspieramy jednostki JST i ich placówki w przygotowaniu do nowych obowiązków: od audytu zero, przez dokumentację SZBI, po szkolenia, procedury incydentowe i stałe wsparcie. Obecnie prowadzimy proces przygotowania dla kilkunastu placówek oświatowych jednej gminy, dlatego dobrze znamy realne problemy takich jednostek: ograniczony budżet, przeciążony sekretariat, brak specjalistycznych zasobów i odpowiedzialność, która ostatecznie spoczywa na kierowniku podmiotu.


📩 Co oznacza pismo z Ministerstwa Cyfryzacji?

Pismo najczęściej dotyczy procesu wpisu do Wykazu KSC albo uzupełnienia danych wymaganych do tego wpisu. W przypadku podmiotów publicznych wpis może następować z urzędu, natomiast brakujące dane trzeba uzupełnić w terminie wskazanym w wezwaniu.

Co ważne, samo uzupełnienie danych nie kończy sprawy. To raczej formalny początek procesu, który powinien doprowadzić do uporządkowania obowiązków, odpowiedzialności, dokumentacji, procedur i szkoleń.

Następnie placówka powinna przeanalizować, jakie działania są konieczne w pierwszej kolejności. Dzięki temu można uniknąć chaosu, przypadkowych zakupów i dokumentacji przygotowywanej tylko po to, żeby „coś było”.

Po otrzymaniu pisma placówka powinna sprawdzić:

  • jaki status został jej przypisany: podmiot ważny czy podmiot kluczowy,
  • jakie dane należy uzupełnić w Wykazie KSC,
  • jaki termin wynika z doręczonego wezwania,
  • kto będzie osobą kontaktową w sprawach cyberbezpieczeństwa,
  • czy istnieje dokumentacja bezpieczeństwa informacji i czy nadaje się do dostosowania,
  • czy placówka ma realne procedury obsługi incydentów, dostępów i kopii zapasowych.

Najgorszym rozwiązaniem jest potraktowanie pisma jako kolejnej formalności do odłożenia. Terminy biegną bowiem niezależnie od tego, czy placówka ma już przygotowany plan działania.


⚖️ Podmiot ważny, kluczowy czy krytyczny?

W rozmowach potocznych często pojawia się określenie „podmiot krytyczny”. W kontekście UKSC i NIS2 podstawowe kategorie są jednak inne: podmiot ważny oraz podmiot kluczowy.

To właśnie do tych kategorii przypisywane są jednostki objęte nowymi obowiązkami. W przypadku wielu placówek JST mówimy przede wszystkim o statusie podmiotu ważnego, ale każdą sytuację należy ocenić indywidualnie.

Warto uporządkować pojęcia od początku.

Prawidłowe określenie statusu podmiotu ma znaczenie dla dalszych działań: zakresu obowiązków, sposobu dokumentowania, komunikacji z właściwymi podmiotami KSC oraz planowania wdrożenia.

Dzięki temu placówka nie działa na podstawie domysłów, lecz na podstawie konkretnego statusu i realnego zakresu obowiązków. To szczególnie ważne wtedy, gdy organ prowadzący odpowiada za kilka lub kilkanaście jednostek jednocześnie.


🧩 UKSC i NIS2 w JST. Nie chodzi o dokumenty do szuflady

Największym błędem byłoby potraktowanie nowych obowiązków jako kolejnego segregatora z procedurami.

UKSC wymaga wdrożenia i utrzymania Systemu Zarządzania Bezpieczeństwem Informacji, czyli SZBI. W praktyce oznacza to, że placówka powinna mieć opisane i działające zasady dotyczące bezpieczeństwa informacji, systemów, dostępów, incydentów, kopii zapasowych, odpowiedzialności i szkoleń.

Nie chodzi jednak o tworzenie nadmiarowej dokumentacji, której nikt nie rozumie i nikt nie stosuje. Przeciwnie, dokumenty powinny wspierać codzienną pracę placówki oraz pomagać w podejmowaniu decyzji wtedy, gdy pojawi się incydent albo kontrola.

Dobrze przygotowany SZBI dla placówki JST powinien być:

  • proporcjonalny do wielkości jednostki,
  • zrozumiały dla dyrektora, sekretariatu, pracowników i osób technicznych,
  • możliwy do wdrożenia przy realnych zasobach,
  • oparty na tym, co placówka już posiada,
  • przygotowany z myślą o ewentualnej kontroli,
  • aktualizowany, a nie jednorazowo odłożony na półkę.

To szczególnie ważne w szkołach, przedszkolach, żłobkach i instytucjach kultury. Cyberbezpieczeństwo nie powinno oznaczać rewolucji organizacyjnej ani zakupów sprzętu „na zapas”. Najpierw trzeba sprawdzić stan faktyczny, następnie zamknąć najważniejsze luki, a dopiero później planować dalszy rozwój systemu.


👤 Dlaczego dyrektorzy i kierownicy jednostek czują presję?

Odpowiedzialność za realizację obowiązków nie jest abstrakcyjna. Za przygotowanie, wdrożenie i nadzorowanie systemu bezpieczeństwa odpowiada kierownik podmiotu.

W placówkach oświatowych i jednostkach JST oznacza to najczęściej dyrektora lub osobę zarządzającą jednostką. To ona musi wykazać, że podjęła działania, zaplanowała środki, wyznaczyła odpowiedzialności i zapewniła pracownikom podstawową wiedzę.

Jednocześnie dyrektor nie musi samodzielnie zostać specjalistą od cyberbezpieczeństwa. Powinien jednak mieć uporządkowany proces, dokumentację decyzji, raport z luk oraz dowody tego, że placówka rozpoczęła działania dostosowawcze.

Największym ryzykiem nie jest to, że placówka ma braki.
Największym ryzykiem jest bierność i brak udokumentowanego planu ich usunięcia.

Luki można wykazać, opisać i zamknąć etapami. Braku reakcji trudno natomiast bronić. Dlatego najskuteczniejszą ochroną placówki i jej kierownika jest rozpoczęty, zaplanowany i udokumentowany proces dostosowania.


🏛️ Dobra wiadomość dla JST: nie wszystko trzeba budować od zera

Samorządowe podmioty publiczne mogą korzystać z rozwiązań, które ułatwiają wdrożenie obowiązków. Dotyczy to między innymi uproszczonych wymagań dla mniejszych jednostek oraz możliwości organizowania wspólnej obsługi cyberbezpieczeństwa.

Oznacza to, że nie każda szkoła, przedszkole czy instytucja kultury musi samodzielnie tworzyć pełny model bezpieczeństwa od początku. Część działań można przygotować na poziomie gminy, powiatu albo jednostki obsługującej, a następnie dopasować je do konkretnych placówek.

Wspólny model dla wielu placówek może być rozsądniejszy i tańszy.

Dzięki temu organ prowadzący może ograniczyć koszty, ujednolicić dokumentację i lepiej uporządkować odpowiedzialność. Jednocześnie każda placówka zachowuje rozwiązania dopasowane do swojej skali, organizacji pracy i rzeczywistych zasobów.

Taki model pozwala:

  • ograniczyć koszty,
  • ujednolicić dokumentację,
  • uporządkować odpowiedzialność,
  • uniknąć chaosu komunikacyjnego,
  • przygotować placówki według jednego standardu,
  • odciążyć dyrektorów i sekretariaty.

W Sun Capital wspieramy właśnie taki sposób pracy. Najpierw projektujemy model dla organu prowadzącego, później dopasowujemy go do realiów poszczególnych placówek, a na końcu pomagamy utrzymać dokumentację i procedury w aktualności.


🛡️ Nasz plan wsparcia dla JST i placówek

Przygotowaliśmy proces, który pozwala przejść przez obowiązki UKSC spokojnie i etapowo. Bez straszenia, bez nadmiarowych zakupów i bez dokumentacji pisanej językiem, którego nikt w placówce nie będzie używał.

Całość zaczyna się od rozpoznania stanu faktycznego. Dopiero później rekomendujemy dokumenty, procedury, szkolenia i działania techniczne. Dzięki temu placówka zachowuje kontrolę nad zakresem prac oraz kosztami.

Etap Działanie Efekt dla placówki
01 Ankieta i bezpłatna wycena audytu zero Placówka otrzymuje indywidualny zakres i wycenę działań bez zobowiązań.
02 Przygotowanie do audytu Porządkujemy istniejącą dokumentację i wskazujemy, co warto zebrać przed audytem.
03 Audyt zero Sprawdzamy dokumentację, organizację, systemy IT, dostępy, kopie zapasowe i procedury.
04 Raport z lukami i rekomendacjami Placówka otrzymuje czytelny plan działań i dowód rozpoczęcia procesu dostosowania.
05 Wdrożenie SZBI i szkolenia Powstają procedury, polityki, instrukcje i szkolenia dla personelu oraz kierownictwa.
06 Stałe wsparcie Monitorujemy zmiany, aktualizujemy dokumentację i pomagamy przy incydentach oraz kontrolach.

🔎 Audyt zero — najrozsądniejszy pierwszy krok

Jeżeli placówka otrzymała pismo z Ministerstwa Cyfryzacji albo organ prowadzący chce przygotować kilka jednostek jednocześnie, najlepszym początkiem jest audyt zero.

Audyt zero nie jest kontrolą. Jest wewnętrznym uporządkowaniem sytuacji, które pozwala sprawdzić, co już działa, czego brakuje i jakie decyzje należy podjąć w pierwszej kolejności.

Audyt zero pozwala odpowiedzieć na pytania:

  • czy wiemy, jakie systemy i dane chronimy,
  • kto ma dostęp do najważniejszych zasobów,
  • czy kopie zapasowe są wykonywane i możliwe do odtworzenia,
  • czy pracownicy wiedzą, jak zgłosić incydent,
  • czy dokumentacja odpowiada wymaganiom UKSC,
  • czy dyrektor ma dowody podjętych działań,
  • co trzeba zrobić teraz, a co można zaplanować później.

Dopiero po takim rozpoznaniu można rozsądnie planować wdrożenie. Bez zgadywania, bez przypadkowych zakupów i bez dokumentacji tworzonej tylko po to, żeby „coś było”.

Co więcej, raport z audytu zero może stać się ważnym elementem wykazania należytej staranności. Pokazuje bowiem, że placówka nie ignoruje obowiązków, tylko identyfikuje luki i pracuje nad ich zamknięciem.


📊 Co zyskuje placówka JST?

Dobrze poprowadzony proces wdrożenia daje placówce przede wszystkim kontrolę. Zamiast działać pod presją i reagować dopiero wtedy, gdy pojawi się problem, jednostka otrzymuje plan, harmonogram i konkretne priorytety.

Obszar Co daje wdrożenie? Znaczenie dla dyrektora i placówki
Kontrola Jasny harmonogram, zakres działań i jeden punkt kontaktu. Mniejsze ryzyko przeoczenia terminów i obowiązków.
Dokumentacja Procedury, polityki, raporty i dowody działań. Możliwość wykazania należytej staranności.
Szkolenia Pracownicy wiedzą, jak rozpoznać i zgłosić incydent. Mniejsze ryzyko chaosu w pierwszych godzinach zdarzenia.
Koszty Etapowe działania i możliwość pracy dla wielu placówek jednocześnie. Większa przewidywalność budżetu.
Spokój Placówka wie, co ma zrobić i w jakiej kolejności. Dyrektor nie zostaje sam z nowymi obowiązkami.

🚫 Czego nie warto robić po otrzymaniu pisma?

Po otrzymaniu pisma najłatwiej popełnić błędy wynikające z pośpiechu albo przeciwnie: z odkładania tematu. Dlatego warto od początku trzymać się uporządkowanego procesu.

Najczęstsze błędy:

  • odkładanie pisma do segregatora — terminy biegną niezależnie od tego, czy placówka ma plan,
  • kupowanie przypadkowych rozwiązań technicznych — UKSC nie polega na jednym programie, który rozwiązuje wszystko,
  • kopiowanie dokumentacji z internetu — SZBI musi odpowiadać faktycznej organizacji pracy,
  • zrzucanie wszystkiego na informatyka — cyberbezpieczeństwo to także odpowiedzialność, procedury, szkolenia i komunikacja,
  • czekanie do ostatniej chwili — najtrudniej bronić braku działań.

Najlepszą odpowiedzią na nowe obowiązki jest nie panika, ale plan: audyt zero, raport, priorytety, wdrożenie i szkolenia.

Właśnie dlatego rekomendujemy, aby nie zaczynać od zakupu narzędzi ani tworzenia dokumentów „w ciemno”. Najpierw trzeba wiedzieć, jaki jest punkt wyjścia, a dopiero później wybierać działania, które faktycznie mają sens.


🤝 Jak Sun Capital wspiera JST?

Specjalizujemy się w bezpieczeństwie informacji, cyberbezpieczeństwie i ochronie danych w jednostkach samorządu terytorialnego. Wspieramy szkoły, przedszkola, żłobki, instytucje kultury oraz organy prowadzące w przygotowaniu do obowiązków wynikających z UKSC i NIS2.

Nasze podejście jest praktyczne.

Robimy to, czego wymaga prawo i zdrowy rozsądek. Działamy spokojnie, konkretnie i proporcjonalnie do potrzeb placówki. Nie tworzymy dokumentów tylko po to, żeby „coś było”.

Porządkujemy to, co już istnieje, i uzupełniamy wyłącznie te elementy, których faktycznie wymaga ustawa.

Pomagamy w czterech kluczowych obszarach:

  • audyt zero — sprawdzenie punktu wyjścia,
  • dokumentacja SZBI — procedury, polityki i instrukcje,
  • szkolenia — dla personelu i kierownictwa,
  • stałe wsparcie — aktualizacje, konsultacje, incydenty i kontrola zmian.

Ponadto możemy wspierać zarówno pojedynczą placówkę, jak i większą grupę jednostek jednego organu prowadzącego. Taki model pozwala lepiej kontrolować koszty, ujednolicić dokumentację i ograniczyć obciążenie dyrektorów.


✅ Jak zacząć?

Wystarczą trzy proste kroki. Dzięki nim placówka może szybko przejść od niepewności do konkretnego planu działania.

1 Krok: formularz informacyjny

Placówka lub organ prowadzący uzupełnia krótki formularz dotyczący organizacji, systemów, dokumentacji i aktualnych zabezpieczeń.

2 Krok: bezpłatna wycena audytu zero

Na podstawie formularza przygotowujemy zakres prac, rekomendowany sposób działania i wycenę.

3 Krok: audyt i plan dostosowania

Po akceptacji rozpoczynamy audyt zero, przygotowujemy raport i wskazujemy dalsze etapy wdrożenia.

Następnie placówka może rozpocząć wdrożenie w uporządkowany sposób: od najważniejszych ryzyk, przez dokumentację i procedury, aż po szkolenia oraz stałe wsparcie.


✨ Podsumowanie

Nowe obowiązki wynikające z UKSC i NIS2 są dla wielu JST dużym wyzwaniem. Szczególnie odczuwają to mniejsze placówki, które nie mają własnych działów cyberbezpieczeństwa ani wolnych zasobów kadrowych.

Mimo to sytuacja jest możliwa do opanowania. Kluczowe jest jednak szybkie rozpoczęcie działań, ponieważ terminy ustawowe biegną niezależnie od tego, czy placówka ma już gotowy plan.

Najpierw warto sprawdzić status placówki i uporządkować dane do Wykazu KSC. Następnie należy wykonać audyt zero, przygotować raport oraz rozpocząć dokumentowany proces dostosowania.

Dzięki temu braki można usuwać etapami, procedury wdrażać w sposób kontrolowany, a zespół szkolić bez niepotrzebnego chaosu.

Najgorszym rozwiązaniem jest brak działania.
Dlatego najlepszą odpowiedzią na nowe obowiązki jest rozpoczęty, uporządkowany i udokumentowany proces przygotowania placówki do wymagań UKSC.


🤝 Sun Capital

Specjalizujemy się w cyberbezpieczeństwie, bezpieczeństwie informacji i ochronie danych w jednostkach samorządu terytorialnego.
Pomagamy placówkom JST przygotować się do obowiązków wynikających z UKSC i NIS2: od audytu zero, przez dokumentację SZBI, po szkolenia i stałe wsparcie.

Jeżeli Państwa placówka otrzymała pismo z Ministerstwa Cyfryzacji albo organ prowadzący chce przygotować kilka jednostek jednocześnie, zapraszamy do kontaktu.

Zadzwoń: +48 71 707-03-76
Przejdź do kontaktu

📍 Sun Capital sp. z o.o.

ul. Ołtaszyńska 92c/6, 53-034 Wrocław

📞 Telefon: +48 71 707-03-76

Brak komentarzy

You must be logged in to post a comment.