Czy mała gmina poniżej 10 tysięcy mieszkańców musi spełniać NIS2?

Co do zasady — nie. Polski projekt nowelizacji KSC zakłada wyłączenie najmniejszych gmin, analogicznie do podejścia niemieckiego i francuskiego. Jednak małe gminy, które prowadzą krytyczne usługi (np. jedyna komunikacja miejska w regionie, jedyne ujęcie wody dla okolicznych miejscowości), mogą być wpisane z urzędu na podstawie Art. 2(2) NIS2.

Do którego CSIRT raportuje gmina incydent istotny?

Do CSIRT GOV — krajowego zespołu reagowania właściwego dla administracji publicznej, prowadzonego przez Agencję Bezpieczeństwa Wewnętrznego. Kaskada terminów ta sama: 24 godziny wczesne ostrzeżenie, 72 godziny raport, 1 miesiąc raport końcowy. Niektóre kategorie gmin (np. w sieci szpitali samorządowych) mogą mieć dodatkowo obowiązek równoległego zgłoszenia do CSIRT NASK przez S46.

Kto w gminie odpowiada za zgodność z NIS2?

Wójt, burmistrz lub prezydent miasta — jako organ wykonawczy JST — odpowiada za wdrożenie środków technicznych z Art. 21 i procedury raportowania. Sekretarz gminy / kierownik wydziału informatyki typowo prowadzi operacyjnie. Rada gminy odpowiada za zatwierdzenie budżetu cyber. Skarbnik weryfikuje wydatki. W przypadku regresu z Art. 12a KSC podmiotem odpowiedzialnym jest wójt/burmistrz/prezydent.

Czy gmina podlega NIS2 — samorząd w Załączniku I

Q: Czy gmina podlega NIS2?

Tak, jednostki samorządu terytorialnego (gminy, powiaty, województwa) są wymienione w Załączniku I NIS2 jako sektor „administracja publiczna”. Polska transpozycja przez nowelizację KSC obejmuje JST na poziomie krajowym i regionalnym. Próg wielkości nie jest tożsamy z firmami komercyjnymi — w przypadku gmin często wskazywany jest próg populacyjny (np. 10 000 mieszkańców) albo budżetowy, doprecyzowywany rozporządzeniem wykonawczym.

Administracja publiczna w NIS2 — pełen zakres

Załącznik I NIS2 (sektor 10) wymienia „administrację publiczną rządu centralnego" oraz „administrację publiczną na poziomie regionalnym". Państwa członkowskie mogą rozszerzać zakres na poziom lokalny — i Polska to robi przez projekt nowelizacji KSC. Pełen polski zakres obejmuje:

Administrację rządową centralną — ministerstwa, urzędy centralne, KPRM, ZUS, NFZ, KAS, GUS i inne.
Administrację rządową w terenie — urzędy wojewódzkie, inspekcje (WIOŚ, WIBJ, WIIH, WSSE), administracja zespolona.
JST — samorząd terytorialny — urzędy województw, starostwa powiatowe, urzędy gmin (miast, gmin wiejskich, miast na prawach powiatu).
JFP — samorządowe jednostki budżetowe — szkoły, przedszkola, ośrodki kultury, miejskie zakłady komunalne, MOPS, MPK, MPWiK (które mogą równocześnie podlegać NIS2 jako sektor woda).

Próg wielkości — dla gmin specyficzny

W przypadku firm komercyjnych próg NIS2 to średnie przedsiębiorstwo (50 osób / 10 mln EUR — szczegóły w artykule Czy MŚP dotyczy NIS2). Dla JST kryteria są inne, ponieważ nie da się prosto przełożyć „liczby pracowników” na skalę operacji JST. Najczęściej pojawiające się propozycje progowe (na podstawie projektów nowelizacji KSC i praktyki europejskiej):

Próg populacyjny — liczba mieszkańców obsługiwanych przez JST. Często wskazywane progi: 10 000, 20 000 albo 50 000 mieszkańców. Próg 10 000 pokryłby ok. 850 polskich gmin (z 2477), próg 50 000 — ok. 95 gmin.
Próg budżetowy — suma dochodów własnych JST powyżej określonej kwoty (np. 50 mln zł rocznie).
Próg funkcjonalny — JST prowadząca określone klasy usług krytycznych (jedyna komunikacja miejska, jedyne ujęcie wody, jedyny szpital powiatowy).

Dokładne brzmienie progu pozostaje przedmiotem prac legislacyjnych. Realnie — wszystkie miasta na prawach powiatu (66 polskich miast) i wszystkie województwa będą objęte; powiaty również niemal w pełni; gminy wiejskie poniżej progu mogą być wyłączone z mocy ustawy, ale wpisane z urzędu w przypadku roli krytycznej (Art. 2(2) NIS2).

Specyfika operacyjna JST

Gminy i inne JST różnią się od firm komercyjnych w trzech istotnych aspektach, które wpływają na ścieżkę wdrożenia NIS2:

1. Dziesięć środków Art. 21 — gminy zaczynają od niskiej bazy

Raporty NIK z lat 2022–2024 wskazują niskie poziomy dojrzałości cyberbezpieczeństwa w JST: brak SOC, brak SIEM, MFA tylko dla wybranych systemów, brak procedury obsługi incydentów, niesystematyczne testy odtwarzalne. Wdrożenie 10 środków z Art. 21 w gminie średniej wielkości to typowo projekt 9–15 miesięcy. Wystarczy przyrównać czas wdrożenia do daty wejścia w życie (3 kwietnia 2026 r.) — wnioskuje się, że rozpoczęcie później niż w drugim kwartale 2025 r. było już spóźnione.

2. CSIRT GOV (nie NASK) — inny tryb raportowania

Większość podmiotów komercyjnych raportuje do CSIRT NASK. Gminy — jako administracja publiczna — raportują do CSIRT GOV, krajowego zespołu reagowania prowadzonego przez Agencję Bezpieczeństwa Wewnętrznego (ABW). Procedura ta sama (kaskada 24h / 72h / 1 miesiąc), ale kanał inny — przez dedykowany portal CSIRT GOV, nie przez S46. Niektóre kategorie JST (np. gminy świadczące usługi wodne) mogą mieć obowiązek równoległego zgłoszenia do CSIRT NASK przez S46.

3. Zarząd JST — wójt/burmistrz/prezydent z osobistą odpowiedzialnością

W gminie wybranego organu zarządzającego nie ma — funkcję spełnia wójt, burmistrz lub prezydent miasta. To on odpowiada osobiście za wdrożenie NIS2 — w tym za regres z projektowanego Art. 12a polskiej ustawy o KSC. Rada gminy odpowiada za zatwierdzenie budżetu, ale za nieuchwalenie odpowiedniego budżetu cyber również może być adresatem konsekwencji. Sekretarz gminy najczęściej prowadzi operacyjnie. Pełna analiza odpowiedzialności — Art. 12a KSC i kary.

Plan działań dla gminy — ustawa już obowiązuje

Cztery działania, które gmina średniej wielkości powinna wykonać bez zwłoki — nowelizacja KSC obowiązuje od 3 kwietnia 2026 r.:

Notatka klasyfikacyjna — wójt/burmistrz/ prezydent dokumentuje status gminy (Podmiot Kluczowy / Ważny / nieobjęty) na podstawie aktualnego stanu projektu nowelizacji KSC. Notatka z datą i podstawą prawną.
Audyt zerowy — wstępna mapa luk między obecnym stanem zabezpieczeń a wymaganiami Art. 21. Czas: 5–10 dni roboczych. Wynik: lista 30–50 niezgodności z szacunkiem nakładu.
Budżet cyber w uchwale budżetowej 2026 r. — środki na: SOC (własny albo MSSP), SIEM, MFA, procedury, szkolenia, ewentualnie vCISO zewnętrznego. Dla średniej gminy szacunek 0,5–2% budżetu rocznego.
Procedura obsługi incydentów — minimum: kanał zgłoszenia 24/7, decyzja kto może uruchomić kaskadę raportowania do CSIRT GOV, kontakt do osoby kontaktowej cyber. Możliwe wsparcie w pierwszym roku przez umowę z lokalnym MSSP.

Najczęstsze błędne przekonanie wśród gmin. „Jesteśmy małym samorządem, NIS2 to dla państwa i dużych firm”. Praktyka pokazuje, że gminy są jednym z najczęstszych celów cyberataków w UE — zarówno ze względu na niski poziom zabezpieczeń, jak i wysoki koszt społeczny zakłócenia usług (brak dostępu do USC, brak płatności podatków, brak komunikacji miejskiej). Atak ransomware na gminę w Niemczech (Anhalt- Bitterfeld, 2021) sparaliżował usługi publiczne na 207 dni i kosztował 2,5 mln EUR. NIS2 jest właśnie odpowiedzią na ten typ ekspozycji.

Krótko

JST są w sektorze „administracja publiczna” Załącznika I NIS2.
Próg najczęściej populacyjny — orientacyjnie 10 000 mieszkańców; doprecyzowanie w rozporządzeniu.
Małe gminy mogą być wpisane z urzędu (Art. 2(2)) jeżeli świadczą krytyczne usługi.
Raportowanie do CSIRT GOV (nie NASK), kaskada 24h / 72h / 1 miesiąc bez zmian.
Wójt/burmistrz/prezydent — osobiście odpowiedzialny za wdrożenie i regres z Art. 12a.
Realne wdrożenie 10 środków Art. 21 to 9–15 miesięcy — rozpoczęcie dopiero po wejściu ustawy w życie (3 kwietnia 2026 r.) to nieuchronne spóźnienie.

Marka Cyber Alterity prowadzi bezpłatną 20-minutową konsultację gotowości JST do NIS2 — z perspektywą specyfiki sektora publicznego (CSIRT GOV, budżet, struktura organów zarządzających).