Pełnomocnik ds. bezpieczeństwa informacji wg ISO/IEC 27001 to osoba odpowiedzialną za wdrażanie, monitorowanie oraz doskonalenie systemów i procedur związanych z ochroną informacji w organizacji. Jego zadaniem jest zapewnienie zgodności działań firmy z obowiązującymi przepisami prawa, normami oraz standardami dotyczącymi bezpieczeństwa informacji.

Do głównych obowiązków pełnomocnika należy identyfikacja zagrożeń, prowadzenie szkoleń dla pracowników, opracowywanie polityk bezpieczeństwa oraz reagowanie na incydenty związane z naruszeniem poufności danych. Pełnomocnik pełni również funkcję doradczą dla zarządu i innych działów, dbając o ciągłe podnoszenie świadomości w zakresie ochrony informacji.

W tym artykule przedstawiamy, skąd wzięła się rola Pełnomocnika ds. bezpieczeństwa informacji, jakie zadania on wykonuje oraz dlaczego warto mieć taką osobę w urzędzie, wodociągach, szpitalu i każdej innej organizacji.

Geneza ustawy o krajowym systemie cyberbezpieczeństwa

Pełnomocnik ds. bezpieczeństwa informacji byłby zbędny, gdyby nie rozwój technologii i szereg regulacji prawnych, których historia sięga 2016 roku. Jaka jest geneza polskiej ustawy o krajowym systemie cyberbezpieczeństwa?

• 2016 – Dyrektywa NIS (2016/1148/UE) – Pierwszy unijny akt ustanawiający wspólne ramy bezpieczeństwa sieci i systemów informatycznych w UE. Państwa członkowskie zobowiązano do stworzenia krajowych systemów cyberbezpieczeństwa oraz identyfikacji operatorów usług kluczowych.
• 2018 – Ustawa o krajowym systemie cyberbezpieczeństwa (UoKSC) – Dnia 1 sierpnia 2018 r. Prezydent RP podpisał ustawę implementującą Dyrektywę NIS, która weszła w życie 28 sierpnia 2018 r. Ustawa ustanowiła krajowy system, CSIRT-y, obowiązki operatorów usług kluczowych i dostawców usług cyfrowych.
• 2022 – Dyrektywa NIS2 (2022/2555/UE) – Nowa, rozszerzona regulacja unijna, która weszła w życie 27 grudnia 2022 r. i zobowiązała państwa członkowskie do implementacji do 17 października 2024 r. Rozszerzyła katalog podmiotów, zaostrzyła wymagania i wprowadziła odpowiedzialność kierownictwa.
• 2026 – Nowelizacja UoKSC wdrażająca NIS2 – Ustawa z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. 2026 poz. 252) rozszerzyła obowiązki podmiotów ważnych i kluczowych oraz wprowadziła nowe mechanizmy nadzorcze.
  • Data uchwalenia: 23.01.2026
  • Data ogłoszenia: 02.03.2026
  • Data wejścia w życie: 03.04.2026

Bezpieczeństwo informacji w polskim prawie

Podczas szkoleń z cyberbezpieczeństwa, które organizujemy dla podmiotów ważnych i kluczowych, przedstawiamy główne regulacje prawne dotyczące bezpieczeństwa informacji. Wyraźnie wskazują one na rolę ochronę danych, w tym danych osobowych i danych sygnalistów. Omawiamy też główne atrybuty bezpieczeństwa informacji: integralność, poufność, dostępność.

Zadania pełnomocnika ds. bezpieczeństwa informacji

Poniżej wymieniamy 8 najważniejszych funkcji Pełnomocnika ds. bezpieczeństwa informacji. Nie jest to katalog zamknięty, jednak dobrze pokazuje, że taka osoba jest przydatna w każdej organizacji: urzędzie gminy, starostwie powiatowym i urzędzie wojewódzkim, jak i w innych podmiotach ważnych i kluczowych. Na końcu artykułu znajdują się linki do artykułów dotyczących zadań pełnomocnika w sądach, szpitalach i zakładach wodociągowych.

1. Organizacja i nadzór nad Systemem Zarządzania Bezpieczeństwem Informacji (SZBI)

Pełnomocnik odpowiada za nadzór nad wdrożeniem, utrzymaniem i doskonaleniem SZBI w urzędzie, zgodnie z wymienionymi powyżej przepisami prawa, RODO, Krajowymi Ramami Interoperacyjności oraz wewnętrznymi zarządzeniami wójta (burmistrza, prezydenta miasta). Nadzoruje funkcjonowanie polityk i procedur bezpieczeństwa informacji w całym urzędzie.

2. Opracowywanie i aktualizacja dokumentacji bezpieczeństwa

Do jego zadań należy nadzór nad przygotowywaniem oraz bieżącą aktualizacją dokumentacji wewnętrznej: minimum raz w roku, zgodnie z UoKSC, na podstawie cyklu Deminga (PCDA). Dokumentacja ta obowiązuje we wszystkich komórkach organizacyjnych urzędu. W jej skład wchodzą takie dokumenty, jak:

• Polityka Bezpieczeństwa Informacji (PBI),
• procedury zarządzania incydentami,
• procedury kontroli dostępu,
• plany ciągłości działania,
• procedury ochrony fizycznej i teleinformatycznej,
• procedura bezpieczeństwa informacji w pracy zdalnej,
• instrukcje dotyczące obsługi sprzętu oraz urządzeń IT i OT.

3. Identyfikacja zagrożeń i zarządzanie ryzykiem

Pełnomocnik koordynuje proces identyfikacji zagrożeń, na podstawie wybranej i zaakceptowanej przez Administratora Danych Osobowych (ADO) metodologii oceny ryzyka dla informacji (papierowych i elektronicznych), prowadzi lub nadzoruje ocenę ryzyka oraz proponuje działania minimalizujące ryzyko naruszenia poufności, integralności lub dostępności informacji.

4. Nadzór nad bezpieczeństwem systemów teleinformatycznych

We współpracy z administratorem systemów informatycznych (ASI) pełnomocnik:

• nadzoruje bezpieczeństwo systemów i sieci,
• monitoruje stosowanie zabezpieczeń technicznych,
• opiniuje zmiany w środowisku IT i OT pod kątem bezpieczeństwa informacji,
• nadzoruje inwentaryzację sprzętu komputerowego i oprogramowania używanego w urzędzie,
• nadzoruje naprawy, konserwację oraz likwidację urządzeń komputerowych zawierających dane osobowe.

Powyższy zakres działań obejmuje wszystkie systemy, w których przetwarzane są informacje publiczne, dane osobowe oraz inne informacje chronione.

5. Reagowanie na incydenty bezpieczeństwa informacji

Zgodnie z procedurami SZBI obowiązującymi w urzędzie pełnomocnik:

• koordynuje postępowanie w przypadku incydentów,
• dokumentuje naruszenia bezpieczeństwa informacji,
• inicjuje działania naprawcze i zapobiegawcze,
• współpracuje z kierownictwem urzędu oraz właściwymi komórkami w przypadku poważnych naruszeń,
• współpracuje z ADO, ASI i Inspektorem Ochrony Danych (IOD).

6. Szkolenie i podnoszenie świadomości pracowników

Szkolenia są obowiązkowym elementem systemu bezpieczeństwa informacji w jednostkach samorządu terytorialnego. Pełnomocnik organizuje i prowadzi certyfikowane szkolenia pracowników urzędu w zakresie:

• zasad bezpieczeństwa informacji,
• ochrony informacji niejawnych (jeżeli dotyczy),
• bezpiecznego korzystania z systemów informatycznych,
• reagowania na incydenty.

7. Funkcja doradcza dla wójta/burmistrza i kierownictwa urzędu

Zgodnie z zarządzeniami wójta, burmistrza lub prezydenta miasta pełnomocnik pełni funkcję doradczą:

• przedstawia rekomendacje dotyczące bezpieczeństwa informacji,
• opiniuje projekty zarządzeń i regulaminów,
• raportuje stan bezpieczeństwa informacji w urzędzie.

8. Współpraca z innymi osobami

Celem współpracy Pełnomocnika ds. bezpieczeństwa informacji z innymi osobami jest spójne zarządzanie bezpieczeństwem informacji w całej organizacji. Pełnomocnik współpracuje między innymi z:

• wójtem, burmistrzem, prezydentem miasta (ADO),
• Inspektorem Ochrony Danych (IOD),
• Administratorem Systemów Informatycznych (ASI),
• sekretarzem gminy,
• kierownikami referatów.

Jak realizować zadania jako Pełnomocnik ds. bezpieczeństwa informacji?

Pełnomocnik ds. bezpieczeństwa informacji ISO/IEC 27001 na początek powinien wraz z kierownictwem uzgodnić harmonogram (na początek roczny), w którym uwzględni wszystkie kategorie działań (organizacyjne, kompetencyjne, sprzętowe) oraz zachodzące zmiany w organizacji i jej otoczeniu. W harmonogramie warto zaplanować poniższe działania.

Szkolenia dla kadry kierowniczej i personelu

Obowiązek szkolenia pracowników i kadry zarządzającej (art. 8e UKSC) to najważniejsza zmiana dla podmiotów ważnych i kluczowych, w tym także osób będących Pełnomocnikami ds. bezpieczeństwa informacji.

Przeprowadziliśmy takie szkolenia w kilkudziesięciu urzędach i innych podmiotach – sprawdź nasze referencje.

Obowiązek regularnego szkolenia kadry zarządzającej

Kierownik podmiotu kluczowego lub ważnego (np. prezes zarządu, dyrektor szpitala, wójt / burmistrz, starosta) musi przechodzić szkolenie raz w roku. Polecamy dwa szkolenia dla kierownictwa z przerwą kilkumiesięczną, najlepiej stacjonarne. Szkolenia mogą dotyczyć:

• w zakresie RODO, KRI, UoKSC: wykonywanie obowiązków ustawowych, w tym zarządzanie ryzykiem i nadzór nad systemem (systemami) bezpieczeństwa.
• w zakresie SZBI i cyberbezpieczeństwa, w tym:
  • główne założenia SZBI i wymagania prawne cyberbezpieczeństwa w pracy,
  • polityka bezpieczeństwa w organizacji,
  • definicja incydentu bezpieczeństwa i zasady postępowania z incydentem,
  • definicje integralności, poufności i dostępności,
  • istotne obszary bezpieczeństwa z punktu widzenia pracowników,
  • prawidłowe korzystanie z komputera,
  • bezpieczne hasła,
  • wielostopniowe uwierzytelnienie MFA,
  • rodzaje ataków, ochrona przed phishingiem, malware, spoofing, ransomware,
  • czym jest socjotechnika i jak się przed nią bronić,
  • przykłady incydentów bezpieczeństwa informacji.
• szkolenia specjalistyczne dla pracowników: dla informatyków (działów IT) z rozwiązań chroniących infrastrukturę, systemów typu UTM, XDR, SIEM, SOC, a także dla wszystkich użytkowników systemów kluczowych dla organizacji i stosowanej kryptografii (np. dla programu Źródło w urzędach stanu cywilnego).

Szkolenia cykliczne mogą odbywać się również w formie zdalnej, np. na platformie szkoleniowej Cyber3. Platforma ma dedykowane funkcje do kontroli postępu, testowania zrozumienia przygotowanego materiału i generowania certyfikatu. To świetne rozwiązanie zwłaszcza dla nowoprzyjętych pracowników.

Wdrożenie lub aktualizacja Systemu Zarządzania Bezpieczeństwem Informacji

Cyklicznie, przynajmniej raz w roku pełnomocnik powinien zaplanować przegląd i aktualizację dokumentacji SZBI. W jej trakcie należy uwzględnić wyniki wewnętrznych audytów bezpieczeństwa informacji.

Audyty wewnętrzne SZBI oraz dostawców systemów informatycznych

Audyt wewnętrzny (podzielony na kilka etapów i obszarów) należy przeprowadzić z zainteresowanymi stronami w obecności kierownictwa (wójt, burmistrz, prezydent miasta) oraz ASI i IOD. Warto zaplanować również audyty dostawców systemów informatycznych wykorzystywanych do świadczenia usług kluczowych i ważnych, z których korzysta organizacja.

Audyt zewnętrzny – obowiązek podmiotów kluczowych

Mogą go wykonać wyłącznie osoby posiadające odpowiednie certyfikaty. Jednostka nie powinna audytować się przez te same osoby, które są w organizacji odpowiedzialne za określone obszary związane z bezpieczeństwem informacji. Wybór odpowiedniego audytora uławia Rozporządzenie Ministra Cyfryzacji, które wskazuje na wymagane certyfikaty audytorskie, m.in.:

• Certyfikat audytora wiodącego systemu zarządzania bezpieczeństwem informacji według normy PN-EN ISO/IEC 27001 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy o systemach oceny zgodności i nadzoru rynku w zakresie certyfikacji osób,
• Certyfikat audytora wiodącego systemu zarządzania ciągłością działania PN-EN ISO 22301 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy o systemach oceny zgodności i nadzoru rynku w zakresie certyfikacji osób.

Skorzystaj z naszego doświadczenia

W zespole Doering & Partnerzy Sp. z o.o. jest ośmiu audytorów wg normy ISO/IEC 27001 oraz ISO 22301, dwóch Pełnomocników ds. bezpieczeństwa informacji ISO/IEC 27001, a także pięciu specjalistów z audytorskimi uprawnieniami przygotowujących dokumentację SZBI m.in. dla sądów, wodociągów i samorządów oraz ich jednostek podległych. Zobacz, z kim współpracujemy.

Nasze doświadczenia z pomocy podmiotom kluczowym i ważnym opisujemy w poniższych artykułach. W niektórych z nich pełnimy funkcję Pełnomocnika ds. bezpieczeństwa informacji.

Warto przeczytać:

1. Nowelizacja UKSC stała się faktem – na przykładzie wodociągów i prowadzonych dla nich audytów oraz grantów w zakresie cyberbezpieczeństwa
2. Audyt zgodności z KRI w Sądzie Rejonowym w Kwidzynie
3. Strategie cyberbezpieczeństwa w samorządach
4. Czym są Krajowe Ramy Interoperacyjności i jak przeprowadzić audyt zgodności z KRI?
5. Operator kluczowy i ważny: bezpieczeństwo informacji według Ustawy o Krajowym Systemie Cyberbezpieczeństwa
6. Kolejny obszar kontrolowany przez NIK – oprogramowanie komputerowe
7. Najczęstsze błędy prowadzące do wycieku danych
8. Jakie wybrać szkolenia w zakresie cyberbezpieczeństwa? Stacjonarnie czy online?
9. Niebezpieczny kanał zgłoszeniowy. Jaki kanał dla sygnalistów jest bezpieczny?
10. Wzmacnianie poziomu cyberbezpieczeństwa na przykładzie szpitala we Wrześni