NIS2 dla instytucji kultury: co musisz wdrożyć jako podmiot ważny w KSC

Samorządowe instytucje kultury jako podmioty ważne w KSC stosują uproszczone wymogi cyberbezpieczeństwa z załącznika nr 4 do ustawy o KSC. Choć dostosowane do ograniczonych możliwości małych jednostek, wymogi te są wiążące i wymagają konkretnych działań organizacyjnych od kierownika instytucji.

ustawa o KSC instytucja kultury, podmiot ważny NIS2, obowiązki cyberbezpieczeństwa samorząd

Wójt odpowie za cyberbezpieczeństwo samorządu »

Samorządowa instytucja kultury jako podmiot ważny KSC – jakie obowiązki wynikają z ustawy

Dyrektywa NIS2 (UE 2022/2555) została wdrożona do polskiego prawa ustawą z 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2026 r. poz. 252). Samorządowe instytucje kultury znalazły się w załączniku nr 2 do ustawy o KSC jako podmioty ważne.

Podmioty ważne podlegają łagodniejszemu reżimowi nadzorczemu niż podmioty kluczowe z załącznika nr 1, lecz ustawa o KSC nie przewiduje dla nich żadnych wyłączeń z obowiązków. Konkretne wymogi cyberbezpieczeństwa dla tej kategorii zostały określone w załączniku nr 4 do ustawy o KSC, z uwzględnieniem ograniczonych możliwości sprzętowych, kadrowych i finansowych typowych dla samorządowych instytucji kultury. Za ich realizację odpowiada co do zasady kierownik instytucji – chyba że obowiązki zostały przeniesione na jednostkę obsługującą w ramach wspólnej obsługi.

Obowiązki NIS2 dla instytucji kultury – 4 kroki do spełnienia wymogów KSC

1. Sprawdź, czy instytucja została wpisana do wykazu podmiotów ważnych. Wpis następuje z urzędu – minister właściwy do spraw informatyzacji wpisuje instytucję na podstawie danych z rejestrów publicznych i bazy adresów elektronicznych. Po dokonaniu wpisu instytucja powinna otrzymać pisemne zawiadomienie.
2. Uzupełnij dane w wykazie, jeśli minister o to wezwie. Gdy dane okażą się niekompletne, kierownik ma 6 miesięcy od doręczenia wezwania na złożenie wniosku o zmianę wpisu. Niedotrzymanie terminu grozi karą pieniężną.
3. Ustal, jak JST organizuje realizację obowiązków z zakresu cyberbezpieczeństwa. Organ stanowiący JST może powierzyć te obowiązki samorządowemu centrum usług wspólnych (CUW). Instytucja kultury może przystąpić do CUW jako jednostka obsługiwana – na mocy porozumienia z kierownikiem jednostki obsługującej, po powiadomieniu zarządu JST.
4. Wdróż wymogi z załącznika nr 4, jeśli instytucja nie korzysta ze wspólnej obsługi. Gdy żadna jednostka obsługująca nie przejęła obowiązków, kierownik samodzielnie odpowiada za spełnienie uproszczonych wymogów cyberbezpieczeństwa określonych w tym załączniku.

Wspólna obsługa cyberbezpieczeństwa w JST – kiedy samorządowa instytucja kultury może z niej skorzystać

Dla instytucji kultury dysponujących ograniczonym personelem technicznym i budżetem IT wspólna obsługa cyberbezpieczeństwa powinna być rozważona jako pierwsza opcja. Przeniesienie obowiązków na CUW lub inną jednostkę obsługującą zwalnia kierownika z konieczności samodzielnego wdrażania i monitorowania wymogów z załącznika nr 4.

Dwie lub więcej JST mogą też zawrzeć porozumienie i powierzyć jednej z nich wspólną realizację obowiązków cyberbezpieczeństwa dla wskazanych jednostek organizacyjnych. Decyzja o skorzystaniu z tej ścieżki wymaga jednak skoordynowania działań z organem stanowiącym JST – dlatego kontakt z zarządem powinien poprzedzać wszelkie inne kroki.

Więcej na ten temat przeczytasz w najnowszym wydaniu Gazety Samorządu i Administracji nr 6/2026 »

Oprac. Agata Wróbel

na podstawie artykułu "Obowiązki samorządowej instytucji kultury w związku z wdrożeniem dyrektywy NIS2" Izabeli Motowilczuk