NIS2 w JST — wdrożenie w samorządach
JST są w sektorze administracji publicznej Annex I NIS2. Obowiązki: polityka cyber, zarządzanie incydentami (CSIRT NASK dla JST), DR, audyt KRI. Dostępne dotacje na cyber do 90% kosztów. nFlo pomaga w kwalifikacji, gap analysis, aplikacji o dotacje i pełnym wdrożeniu.
Czy samorządy podlegają NIS2?
Tak — administracja publiczna jest w Annex I NIS2 jako sektor kluczowy. W Polsce ustawa KSC po nowelizacji objęła wszystkie JST (gminy, powiaty, województwa) obowiązkami cyberbezpieczeństwa. Małe gminy mogą być klasyfikowane jako podmioty ważne, większe jako kluczowe. Kary: do 7-10 mln EUR. Dostępne dotacje: program 'Cyberbezpieczny samorząd', KPO B2.1, RPO — łącznie do 90% kosztów.
Atak na urząd gminy — 3 tygodnie bez USC, e-PUAP, bez dostępu do danych mieszkańców
Kompleksowe wdrożenie NIS2 w JST
Gap analysis + KRI
NIS2 + rozporządzenie KRI jako jeden projekt
Dotacje do 90%
Aplikacja: Cyberbezpieczny samorząd, KPO, RPO
Dostosowane do JST
Szablony dla gminy, powiatu, województwa
67% JST w Polsce doświadczyło incydentu cyber w 2024
Typowy scenariusz ataku na gminę:
- Phishing na księgową → ransomware na kluczowe systemy USC, e-PUAP, księgowość
- 3 tygodnie bez systemów — obsługa mieszkańców wyłącznie papierowa
- Niemożność wydawania zaświadczeń, przyjmowania wniosków, rozliczeń z podatnikami
- Wyciek danych osobowych mieszkańców → postępowanie UODO
- Koszty odtworzenia: 200-800 tys. zł, reputacja zniszczona
- Brak możliwości aplikowania o dotacje (cyber audyt negatywny)
NIS2 + KRI wymagają, żeby takie scenariusze były wykluczone — i przewidują kary za niespełnienie wymogów.
Czy Twoja JST podlega NIS2?
Zgodnie z polską ustawą KSC po nowelizacji (2024) wszystkie JST są objęte NIS2:
| JST | Typowa klasyfikacja |
|---|---|
| Gmina wiejska (<10k) | Podmiot ważny (important entity) |
| Gmina miejska (10-50k) | Podmiot ważny |
| Miasto powiatowe (50-200k) | Podmiot kluczowy (essential entity) |
| Duże miasto (>200k) | Podmiot kluczowy |
| Powiat | Podmiot ważny (większe — kluczowy) |
| Województwo | Podmiot kluczowy |
Kary za niespełnienie:
- Podmiot ważny: do 7 mln EUR lub 1.4% obrotu
- Podmiot kluczowy: do 10 mln EUR lub 2% obrotu
- Odpowiedzialność osobista wójta/burmistrza/prezydenta/starosty/marszałka
- Utrata możliwości aplikowania o dotacje cyber (audyt negatywny)
Dotacje na cyberbezpieczeństwo dla samorządów — 2026
Dostępne programy (łącznie >3 mld zł dla JST do 2028):
1. Cyberbezpieczny samorząd (MC)
- Do 850 tys. zł per gmina
- 100% dofinansowania kosztów kwalifikowanych
- Zakres: sprzęt, oprogramowanie, usługi, szkolenia
- Termin aplikacji: cykliczne nabory (3-4/rok)
2. KPO B2.1 Cyberbezpieczeństwo
- Do 80% kosztów kwalifikowanych dla większych JST
- Zakres: infrastruktura cyber, SOC, procedury
3. FENG (Fundusze Europejskie Nowoczesna Gospodarka)
- Priorytet IV — Cyber
- Dla JST realizujących projekty innowacyjne
4. RPO regionalne
- Programy wojewódzkie (Mazowsze, Małopolska, Śląsk, Dolny Śląsk, Wielkopolska)
- Zakres i kryteria zależne od województwa
5. Cyfrowa Gmina
- Komplementarny do cyber — dla transformacji cyfrowej
Typowa strategia nFlo: łączymy Cyberbezpieczny samorząd (podstawa) + RPO (rozszerzenie) + KPO (infrastruktura) = pokrycie 85-95% kosztów.
Wymagania NIS2 + KRI dla JST — jeden projekt, dwa reżimy
JST w Polsce podlegają dwóm komplementarnym reżimom:
- NIS2 (dyrektywa UE) — 10 obszarów cyber
- KRI (rozporządzenie RM 2012) — audyt interoperacyjności i bezpieczeństwa informacji rocznie
nFlo realizuje jeden projekt compliance pokrywający oba — bo 80% wymagań się pokrywa.
| Obszar | NIS2 | KRI |
|---|---|---|
| Polityka bezpieczeństwa | ✓ | ✓ |
| Zarządzanie ryzykiem | ✓ | ✓ |
| Incydenty → CSIRT | ✓ | ✓ |
| Kontrola dostępu | ✓ | ✓ |
| Szyfrowanie | ✓ | ✓ |
| Monitoring | ✓ | — |
| BCP / DR | ✓ | częściowo |
| Łańcuch dostaw | ✓ | — |
| Interoperacyjność | — | ✓ |
| Audyt roczny | ✓ | ✓ |
Typowy plan wdrożenia dla gminy (12 miesięcy)
Miesiąc 1-2: Kwalifikacja NIS2 + aplikacja o dotacje (Cyberbezpieczny samorząd + KPO) Miesiąc 3-4: Gap analysis NIS2 + KRI, raport z rekomendacjami Miesiąc 5-8: Wdrożenie kontroli technicznych (DR, backup, MFA, SIEM, szkolenia) Miesiąc 9-10: Dokumentacja (polityki, procedury, rejestry), testy DR Miesiąc 11: Audyt wewnętrzny / pre-audyt gotowości Miesiąc 12: Audyt KRI zewnętrzny + zgłoszenie do CSIRT NASK
Co dostajesz od nFlo
- Kwalifikacja NIS2 — essential vs important, zakres dla Twojej JST
- Wsparcie aplikacji o dotacje — Cyberbezpieczny samorząd, KPO, RPO, FENG (wnioski, kosztorysy, harmonogramy)
- Gap analysis — NIS2 + KRI w jednym projekcie
- Roadmap wdrożenia priorytetyzowany, zgodny z realiami budżetu JST
- Wdrożenie kontroli technicznych — SOC, SIEM, DR, backup, MFA, szyfrowanie
- Dokumentacja — gotowe szablony polityk dla JST (gmina, powiat, województwo)
- Procedura zgłaszania incydentów do CSIRT NASK (właściwy dla JST)
- Szkolenia — dla władz JST (wójt, burmistrz), kierownictwa IT, pracowników (awareness)
- Audyt KRI — przeprowadzamy coroczny audyt wymagany przez rozporządzenie RM
- Pre-audyt NIS2 — symulacja kontroli regulatora przed audytem
Sprawdź pokrewne usługi
Skontaktuj się z opiekunem
Porozmawiaj o NIS2 w JST — wdrożenie w samorządach z dedykowanym opiekunem handlowym.
Jak pracujemy
Sprawdzony proces realizacji usługi.
Kwalifikacja
Essential vs important + zakres JST
Dotacje
Wniosek + kosztorys (KPO, Cyberbezpieczny samorząd)
Gap analysis
NIS2 + KRI + inspekcja audytora
Wdrożenie
SOC dla JST, DR, polityki, szkolenia
Audyt gotowości
Symulacja kontroli + dokumentacja
Korzyści dla Twojej firmy
Co zyskujesz wybierając tę usługę.
Brak kar
Unikasz sankcji NIS2 i konsekwencji RODO
Dotacje 90%
Program Cyberbezpieczny samorząd do 850k zł
Bezpieczni mieszkańcy
Dane osobowe chronione, usługi cyfrowe dostępne
Audyt KRI
Wymagany prawem audyt zgodny z wymogami
Powiązane artykuły
Pogłęb swoją wiedzę z naszej bazy wiedzy.
Bezpieczeństwo OT/ICS w energetyce — dlaczego podejście znane z IT tu nie działa
Sieci sterowania w energetyce rządzą się inną logiką niż systemy biurowe — tu liczy się ciągłość procesu, a nie poufność danych. Pokazujemy, dlaczego narzędzia i odruchy przeniesione z IT zawodzą w środowisku OT i jak budować ochronę zgodną z IEC 62443 oraz wymaganiami KSC/NIS2.
Czytaj więcej →NIS2 w energetyce: od „audytu na papierze" do realnej odporności opartej na ryzyku
Spełnienie wymagań NIS2 to nie wypełniona checklista, lecz żywy program zarządzania ryzykiem. Wyjaśniamy, czym różni się zgodność „na papierze" od realnej odporności i jak operator energetyczny ma ustalać priorytety, gdy nie da się zabezpieczyć wszystkiego naraz.
Czytaj więcej →Podmiot kluczowy w energetyce — checklista obowiązków KSC/NIS2 i kluczowe terminy
Sektor energetyczny należy do podmiotów kluczowych w rozumieniu KSC/NIS2 — z najwyższym poziomem nadzoru i wymagań. Zebraliśmy obowiązki organizacyjne, techniczne i raportowe w jedną praktyczną checklistę wraz z kluczowymi terminami, od których warto zaplanować działania.
Czytaj więcej →Najczęściej zadawane pytania
Odpowiedzi na pytania dotyczące NIS2 w JST — wdrożenie w samorządach.
Czy gmina/powiat/województwo podlega NIS2?
Tak. Administracja publiczna jest w Annex I NIS2 jako sektor kluczowy. W Polsce po nowelizacji ustawy KSC (2024) wszystkie JST są objęte obowiązkami cyberbezpieczeństwa. Podział: gminy <100k mieszkańców typowo jako 'podmioty ważne', większe oraz województwa jako 'kluczowe'. Kary: 7 mln EUR (ważne) lub 10 mln EUR (kluczowe), lub 1.4%/2% rocznego obrotu.
Jakie dotacje na cyberbezpieczeństwo są dostępne dla JST?
Główne programy 2026: (1) 'Cyberbezpieczny samorząd' (Ministerstwo Cyfryzacji) — do 850 tys. zł per gmina, 100% dofinansowania kosztów kwalifikowanych, (2) KPO B2.1 Cyberbezpieczeństwo — do 80% dla większych JST, (3) FENG — priorytet IV Cyber, (4) RPO regionalne — programy wojewódzkie (np. Mazowsze, Małopolska, Śląsk), (5) 'Cyfrowa Gmina' — komplementarny do cyber. Typowy łączony budżet per JST: 500 tys.-3 mln zł, pokrycie do 90%.
Co wymaga NIS2 od JST?
10 obszarów: (1) polityka cyberbezpieczeństwa zatwierdzona przez wójta/burmistrza/prezydenta, (2) zarządzanie ryzykiem i rejestr ryzyk, (3) procedura zgłaszania incydentów do CSIRT NASK (właściwy dla JST) w 24h, (4) business continuity + DR (plan ciągłości działania), (5) łańcuch dostaw (umowy z dostawcami IT), (6) kontrola dostępu z MFA, (7) szyfrowanie danych mieszkańców, (8) monitoring i detekcja, (9) backup + testy odtworzenia rocznie, (10) audyt KRI (Krajowe Ramy Interoperacyjności — wymagany rocznie wg rozporządzenia RM).
Czym różni się audyt KRI od NIS2?
KRI (Krajowe Ramy Interoperacyjności, rozporządzenie RM z 2012) to POLSKI wymóg audytu systemów IT w administracji publicznej — rocznie, przez zewnętrznego audytora, zakres: bezpieczeństwo informacji, dostępność usług, interoperacyjność. NIS2 to DYREKTYWA UE z szerszymi wymogami (management, incident response, BCP/DR, łańcuch dostaw). Oba reżimy są komplementarne — audyt KRI zazwyczaj JEST fragmentem NIS2 compliance. W praktyce nFlo wykonuje oba w jednym projekcie dla efektywności kosztowej.
Ile kosztuje wdrożenie NIS2 w JST?
Koszt zależy od zakresu i etapów. Audyt NIS2/KSC (widełki nFlo netto): BASIC 25-45k, STANDARD 55-90k, ADVANCED 130-220k, ENTERPRISE od 280k PLN. Pełne wdrożenie (gap analysis + dokumentacja + DR + SIEM/SOC + szkolenia + audyt KRI) wymaga indywidualnego scopingu — dokładna wycena po rozmowie z Twoją JST. **Dzięki dotacjom (Cyberbezpieczny samorząd do 850k, KPO do 80%, RPO) realne pokrycie z budżetu JST: 10-30%.**