Od 3 kwietnia 2026 r. samorządy wchodzą w nową rzeczywistość. Cyberbezpieczeństwo przestaje być sprawą informatyków, a staje się odpowiedzialnością polityczną – i finansową. Wprost na biurku wójta, burmistrza czy prezydenta miasta.
Nowe przepisy o Krajowym Systemie Cyberbezpieczeństwa wdrażają unijną dyrektywę NIS2 i zmieniają zasady gry. I to nie kosmetycznie – raczej jak wymiana silnika w czasie jazdy.
Kto odpowiada? Już nie „system”, tylko konkretna osoba
Do tej pory w wielu urzędach obowiązywała wygodna fikcja: „od bezpieczeństwa jest dział IT”. Teraz to się kończy.
Jak podkreśla Tomasz Soczyński:
„Po raz pierwszy wprowadza się osobistą odpowiedzialność kierownictwa za stan cyberbezpieczeństwa w jednostce”.
I to nie jest odpowiedzialność „na papierze”.
Za niedopełnienie obowiązków grozi kara do 100% wynagrodzenia.
Krótko mówiąc – jeden poważny incydent i pensja znika szybciej niż dane z niezabezpieczonego serwera.
Termin, o którym wielu jeszcze nie wie
Do 3 października 2026 r. każda jednostka musi sama określić swój status i wpisać się do wykazu podmiotów kluczowych lub ważnych.
Brzmi niewinnie? Jest haczyk:
- nikt nie musi Cię o tym poinformować
- brak zgłoszenia = naruszenie prawa
Czyli klasyka administracyjna: „miałeś wiedzieć”.
24 godziny. Tyle masz na reakcję
Po wpisie do wykazu zaczyna się prawdziwa presja:
- 24 godziny – na wstępne zgłoszenie incydentu
- 72 godziny – na pełny raport
Bez wymówek, bez „bo weekend”, bez „informatyk na urlopie”.
„Shadow AI” – cichy sabotaż w urzędzie
I tu dochodzimy do najbardziej niepokojącego wątku.
Ekspert wskazuje na zjawisko tzw. shadow AI – czyli sytuację, w której pracownicy korzystają z chatbotów i narzędzi AI na prywatnych kontach.
Niby nic wielkiego. Do czasu.
Wyobraźmy sobie urzędnika, który:
- wkleja dane mieszkańca do AI, żeby „ładniej napisać pismo”
- używa prywatnego konta, bez kontroli systemowej
- nie ma żadnych wytycznych, bo… nikt ich nie stworzył
I nagle:
- dane wyciekają
- incydent trafia do systemu
- a odpowiedzialność… wraca do burmistrza
Jak mówi ekspert:
„To nie jest problem HR. To luka w systemie bezpieczeństwa, która czeka na wykorzystanie”.
Statystyki, które niepokoją
- 68% pracowników nie ma żadnych wytycznych dotyczących AI
- tylko 8% organizacji ma formalne zasady
Czyli większość systemu działa „na czuja”. A cyberbezpieczeństwo nie lubi improwizacji.
Jeden błąd, trzy problemy
Najgorsze w tym wszystkim jest to, że jeden incydent może naruszyć jednocześnie:
- ustawę o KSC / NIS2
- RODO
- AI Act
Czyli jeden mail źle napisany przez AI może wywołać efekt domina.
Nowy system, nowe narzędzia… i nowe złudzenia?
Państwo zapowiada uproszczenia:
- jeden system zgłoszeń (S46)
- nowe zespoły CSIRT
- wsparcie sektorowe
Brzmi dobrze. Ale praktyka pokaże, czy to realna pomoc, czy kolejna warstwa biurokracji.
I teraz najważniejsze pytanie
Czy samorządy są na to gotowe?
Bo to już nie jest kwestia „czy ktoś się włamie”.
Tylko kiedy.
A wtedy nie będzie ważne, kto zawinił w systemie.
Tylko kto podpisywał decyzje.
I tu robi się naprawdę politycznie.
📲 Znajdziesz nas także w Google News – kliknij i obserwuj Radio DTR, aby otrzymywać nasze najnowsze informacje prosto w aplikacji!
