Czytaj również

ŚCO otrzymało pieniądze na poprawę cyberbezpieczeństwa

2025-09-30

Sejm powołał Mariusza Haładyja na prezesa NIK

2025-09-12

Samorządy w dużej mierze nie identyfikowały zbiorów danych wymagających zabezpieczenia, nie przygotowywały dokumentów kluczowych dla bezpieczeństwa systemów informatycznych, a jeśli je przygotowały, to nie testowały zabezpieczeń – wynika z kontroli NIK.

Najwyższa Izba Kontroli opublikowała w czwartek informację o wynikach kontroli, której celem było zbadanie czy jednostki samorządu terytorialnego prawidłowo, rzetelnie i skutecznie realizowały zadania związane z zapewnieniem bezpieczeństwa informacji oraz ciągłości działania systemów informatycznych. Kontrolą objęto 24 jednostki – 17 urzędów gmin i siedem starostw powiatowych w okresie od 1 stycznia 2023 r. do 20 września 2024 r.Jak wskazała NIK, zabezpieczenia powinny umożliwić zachowanie integralności, poufności i dostępności danych, a przygotowanie planu ciągłości działania jest niezbędne dla zapewnienia działania urzędu w sytuacji kryzysowej, np. w wypadku zaistnienia zagrożeń hybrydowych.

Według NIK, większość skontrolowanych samorządów nie podejmowała skutecznych i rzetelnych działań na rzecz bezpieczeństwa informacji. NIK negatywnie oceniła przygotowanie do zapewnienia ciągłości działania systemów informatycznych w 71 proc. urzędów, a istotne nieprawidłowości w tym zakresie wystąpiły w 23 z 24 badanych jednostek.

Najczęściej stwierdzane nieprawidłowości to brak planów zapewnienia ciągłości działania oraz planów odtworzeniowych (dokumentów określających zasoby, działania i dane niezbędne do odtworzenia systemów po wystąpieniu awarii), niedokonanie pełnej identyfikacji aktywów informacyjnych wymagających ochrony, czy niewystarczające zabezpieczenia fizyczne serwerowni.

Inne nieprawidłowości występowały w zakresie tworzenia, przechowywania lub testowania kopii zapasowych. NIK stwierdziła też brak zapisów gwarantujących bezpieczeństwo informacji w umowach dotyczących zakupu lub serwisu sprzętu komputerowego, czy oprogramowania, czy szkoleń dla pracowników zaangażowanych w proces przetwarzania informacji oraz nie przestrzeganie wymogów w zakresie haseł dostępu do systemów informatycznych.

Zdaniem NIK w 2023 roku nie przeprowadzono obowiązkowego audytu z zakresu bezpieczeństwa informacji lub audyt przeprowadzono nierzetelnie. Nie opracowano i nie wdrożono również Systemu Zarządzania Bezpieczeństwem Informacji.

Łącznie NIK zidentyfikowała 222 nieprawidłowości, z których 51 usunięto już w trakcie kontroli.

NIK wniosła o stałe wsparcie jednostek samorządu terytorialnego przez ministra cyfryzacji w zakresie wdrażania rozwiązań organizacyjnych i technicznych dotyczących bezpieczeństwa informacji oraz zapewnienia ciągłości działania urzędów.

Najwyższa Izba Kontroli wniosła również do starostów, prezydentów miast, burmistrzów i wójtów o m.in. opracowanie i wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji, zapewnienie wykonywania okresowego przeglądu i aktualizacji Systemu Zarządzania Bezpieczeństwem Informacji, ustanowienie polityk ciągłości działania oraz opracowanie i wdrożenie planów zapewnienia ciągłości działania urzędów.