Baner - Co dalej po „Cyberbezpiecznym Samorządzie”? Cyberbezpieczeństwo JST w praktyce Baner - Co dalej po „Cyberbezpiecznym Samorządzie”? Cyberbezpieczeństwo JST w praktyce
Strona główna / Blog, Ubezpieczenia dla samorządów / Co dalej po „Cyberbezpiecznym Samorządzie”? Cyberbezpieczeństwo JST w praktyce

Co dalej po „Cyberbezpiecznym Samorządzie”? Cyberbezpieczeństwo JST w praktyce

1 czerwca, 2026

Dlaczego cyberpolisy dla JST wciąż pozostają rzadkością?

Program „Cyberbezpieczny Samorząd” był bezprecedensowym impulsem dla poprawy poziomu bezpieczeństwa cyfrowego jednostek samorządu terytorialnego (JST) w Polsce. Skala przedsięwzięcia – blisko 1,5 mld zł dofinansowania oraz udział niemal 90% wszystkich JST – pokazuje zarówno wagę problemu, jak i realną determinację samorządów w nadrabianiu wieloletnich zaległości w obszarze cyberbezpieczeństwa.

Jednak wraz z zakończeniem projektu pojawia się fundamentalne pytanie: co dalej? Jak utrzymać poziom zabezpieczeń, gdy środki unijne przestaną płynąć, a infrastruktura IT zacznie się starzeć, wymagać aktualizacji, rozbudowy i stałego utrzymania?

Jedną z naturalnych odpowiedzi wydaje się ubezpieczenie cyber. W praktyce jednak rynek pokazuje coś zupełnie innego – cyberpolisy w samorządach niemal nie istnieją.

Skala wyzwania: cyberzagrożenia w liczbach

Z danych Najwyższej Izby Kontroli wynika, że aż 71% skontrolowanych jednostek samorządu terytorialnego nie było przygotowanych do zapewnienia ciągłości działania systemów informatycznych, co oznacza realne ryzyko paraliżu pracy urzędu w przypadku cyberataku lub awarii. Braki dotyczyły m.in.:

  • procedur reagowania na incydenty,
  • planów ciągłości działania (BCP),
  • testowanych kopii zapasowych,
  • segmentacji sieci,
  • zarządzania dostępami.

Jednocześnie skala zagrożeń systematycznie rośnie. Według raportu CSIRT NASK w 2024 roku obsłużono 3450 incydentów w podmiotach publicznych, co oznacza wzrost o 58% rok do roku, z czego 1911 dotyczyło administracji publicznej, z dominującą rolą:

  • ataków ransomware,
  • phishingu i kradzieży danych dostępowych,
  • infekcji malware,
  • przejmowania kont pocztowych urzędników.

(źródło: CSIRT NASK)

Samorządy stają się atrakcyjnym celem nie tylko dlatego, że przetwarzają ogromne ilości danych osobowych, ale także dlatego, że ich infrastruktura IT przez lata była niedoinwestowana, a procedury bezpieczeństwa często miały charakter wyłącznie formalny. Program „Cyberbezpieczny Samorząd” w wielu przypadkach był pierwszą poważną inwestycją w cyberbezpieczeństwo w historii danej JST. Projekt zapewnił środki na:

  • audyty,
  • sprzęt,
  • oprogramowanie,
  • szkolenia,
  • budowę podstawowych systemów ochrony.

Jednak nie rozwiązał problemu długofalowego finansowania cyberbezpieczeństwa. To właśnie w tym momencie ubezpieczenie cyber mogłoby pełnić rolę stabilizatora ryzyka – mechanizmu przenoszącego część skutków finansowych, prawnych i organizacyjnych na ubezpieczyciela. Problem w tym, że realna dostępność takich polis dla JST jest bardzo niska.

Dlaczego JST rzadko posiadają cyberpolisy?

Jednostki samorządu terytorialnego posiadają formalnie dwie podstawowe ścieżki pozyskania ochrony ubezpieczeniowej w zakresie ryzyk cybernetycznych: postępowanie w trybie zamówień publicznych lub zapytanie ofertowe kierowane bezpośrednio do rynku ubezpieczeniowego. Z perspektywy formalnej oba tryby są równorzędne. W praktyce jednak ich skuteczność znacząco się różni.

Na blisko 2500 jednostek samorządu terytorialnego w Polsce, w skali roku pojawia się zaledwie kilkanaście postępowań przetargowych dotyczących ubezpieczeń cyber, co jednoznacznie pokazuje, że cyberpolisy pozostają w JST raczej wyjątkiem niż standardem. Co więcej, nawet te nieliczne postępowania często kończą się niepowodzeniem w postaci:

  • braku ofert,
  • składek przekraczających możliwości budżetowe JST,
  • odmowy ubezpieczenia ze względu na poziom ryzyka.

Choć na rynku funkcjonuje kilkanaście produktów cyber dla przedsiębiorstw, samorządy w praktyce rzadko otrzymują realne oferty. Przyczyną takiego stanu rzeczy jest przede wszystkim wysoki stopień złożoności ryzyka cybernetycznego oraz indywidualny charakter oceny underwritingowej, który słabo wpisuje się w sztywne ramy klasycznych procedur przetargowych. Towarzystwa ubezpieczeń coraz częściej uzależniają złożenie oferty od szczegółowych audytów bezpieczeństwa, testów podatności, wdrożenia konkretnych zabezpieczeń technicznych oraz spełnienia rygorystycznych wymogów organizacyjnych.

Problem „najsłabszego ogniwa” w JST

Kolejnym problemem dla ubezpieczycieli jest sama organizacja samorządu terytorialnego, który charakteryzuje się objęciem zazwyczaj szerokiego spektrum jednostek organizacyjnych. To nie tylko urząd gminy czy miasta, ale także mniejsze jednostki takie jak ośrodki pomocy społecznej (OPS, GOPS) i instytucje kultury, a także jednostki oświatowe oraz spółki komunalne. W praktyce oznacza to objęcie ochroną kilkudziesięciu, a nierzadko nawet kilkuset odrębnych systemów IT, funkcjonujących w różnych lokalizacjach, o skrajnie zróżnicowanym poziomie zabezpieczeń technicznych i organizacyjnych.

Największą barierą jest duża heterogeniczność infrastruktury informatycznej w obrębie jednej JST. Większe jednostki organizacyjne, takie jak urzędy gmin czy miast, dysponują zazwyczaj wydzielonymi serwerowniami lub centrami danych, profesjonalnymi systemami backupu, kontrolą dostępu oraz monitoringiem zdarzeń. Z kolei mniejsze jednostki, w szczególności ośrodki pomocy społecznej, biblioteki czy niewielkie placówki oświatowe, często funkcjonują w oparciu o pojedyncze stacje robocze pełniące jednocześnie funkcję lokalnych serwerów, proste rozwiązania backupowe lub ich całkowity brak, ograniczone zasoby kadrowe i kompetencyjne w zakresie IT.

Taka asymetria poziomu zabezpieczeń powoduje, że nawet jeśli centralna infrastruktura urzędu spełnia wysokie standardy cyberbezpieczeństwa, to najmniejsze i najsłabiej chronione jednostki stają się „najsłabszym ogniwem” całego systemu. W konsekwencji ryzyko agregacji szkód w JST znacząco przewyższa analogiczne ryzyko w sektorze prywatnym, co bezpośrednio przekłada się na ostrożną politykę underwritingową zakładów ubezpieczeń, wysokie składki lub całkowitą odmowę udzielenia ochrony.

Warto podkreślić, że jednostki samorządu terytorialnego, które w przeszłości spotkały się z odmową objęcia ochroną cyber lub otrzymały oferty o nieakceptowalnych warunkach, nie powinny traktować tamtych decyzji jako ostatecznych. Realizacja programu „Cyberbezpieczny Samorząd” w wielu JST doprowadziła bowiem do istotnego wzrostu poziomu dojrzałości cyberbezpieczeństwa, zarówno w wymiarze technicznym, jak i organizacyjnym.

Modernizacja infrastruktury IT, wdrożenie nowoczesnych systemów ochrony, uporządkowanie polityk bezpieczeństwa, szkolenia pracowników oraz przeprowadzone audyty znacząco poprawiły profil ryzyka samorządów w oczach rynku ubezpieczeniowego. W konsekwencji JST, które jeszcze kilka lat temu nie spełniały minimalnych wymagań underwritingowych, dziś mają realne podstawy, by ponownie podjąć rozmowy z brokerami i towarzystwami ubezpieczeń w zakresie zawarcia cyberpolisy.

Cyberpolisa jako uzupełnienie, nie zamiennik zabezpieczeń

Należy jednocześnie podkreślić, że polisa cyber nie jest substytutem zabezpieczeń technicznych, lecz ich naturalnym uzupełnieniem. Ochrona oparta wyłącznie na firewallach, oprogramowaniu antywirusowym i kopiach zapasowych, choć niezbędna, nie zapewnia kompleksowego bezpieczeństwa organizacji. Nawet najlepiej zabezpieczona infrastruktura pozostaje podatna na błędy ludzkie czy zaawansowane ataki socjotechniczne. Cyberpolisa pełni w tym układzie rolę ostatniej linii obrony finansowej i organizacyjnej, zapewniając nie tylko pokrycie kosztów odtworzenia systemów, ale również:

  • wsparcie zespołów reagowania kryzysowego,
  • obsługę prawną i notyfikacyjną,
  • pomoc w komunikacji kryzysowej,
  • ochronę przed roszczeniami osób trzecich.

W realiach dynamicznie rosnących zagrożeń cybernetycznych kompleksowa strategia bezpieczeństwa JST powinna łączyć inwestycje technologiczne z transferem ryzyka poprzez ubezpieczenie, tworząc spójny, wielowarstwowy model ochrony.

Podsumowanie

Podsumowując program „Cyberbezpieczny Samorząd” był kluczowym krokiem w procesie budowania odporności cyfrowej jednostek samorządu terytorialnego. Umożliwił nadrobienie wieloletnich zaległości infrastrukturalnych, uporządkowanie podstawowych procesów bezpieczeństwa oraz podniesienie świadomości zagrożeń wśród pracowników administracji publicznej. Jednocześnie jednak nie rozwiązał fundamentalnego problemu długofalowego zarządzania ryzykiem cybernetycznym.

Zakończenie programu „Cyberbezpieczny Samorząd” nie powinno oznaczać końca działań w obszarze cyberbezpieczeństwa, lecz początek dojrzałego, systemowego podejścia do zarządzania ryzykiem cyfrowym w JST. Skala zagrożeń, rosnąca zależność administracji od systemów IT oraz coraz większa odpowiedzialność prawna sprawiają, że cyberbezpieczeństwo staje się dziś jednym z kluczowych obszarów zarządczych.

W tym kontekście cyberpolisa powinna być postrzegana nie jako koszt, lecz jako element strategicznego zabezpieczenia ciągłości działania, uzupełniający rozwiązania techniczne i organizacyjne. Samorządy, które dzięki programowi znacząco podniosły poziom swoich zabezpieczeń, zyskały realną szansę na skuteczne wejście w dialog z rynkiem ubezpieczeniowym i objęcie ochroną ryzyk, których nie da się całkowicie wyeliminować.

Ostatecznie to właśnie połączenie prewencji, organizacji i transferu ryzyka buduje realną odporność cybernetyczną samorządu – odporność, która decyduje dziś nie tylko o sprawności administracji, lecz także o zaufaniu mieszkańców.

Jeśli zastanawiasz się, jaką rolę w ochronie JST może odegrać cyberpolisa po zakończeniu programu, przeczytaj także:Jak chronić samorząd po zakończeniu programu Cyberbezpieczny Samorząd?”.

Nie wiesz, czy obecny poziom zabezpieczeń wystarczy, aby uzyskać cyberpolisę?

Ocena ryzyka cybernetycznego wymaga analizy infrastruktury, procedur i wymagań rynku ubezpieczeniowego. Skontaktuj się z nami, aby dowiedzieć się, jak możemy pomóc.

Porozmawiaj z brokerem

Angelika Kuligowska

Broker Ubezpieczeniowy

POWRÓT