[Komisja Cyfryzacji, Innowacyjności i Nowoczesnych Technologii /nr 49/ (07-05-2025), Komisja Samorządu Terytorialnego i Polityki Regionalnej /nr 61/ (07-05-2025)]

Komisje: Cyfryzacji, Innowacyjności i Nowoczesnych Technologii oraz Samorządu Terytorialnego i Polityki Regionalnej, obradujące pod przewodnictwem posła Michała Krawczyka (KO), przewodniczącego Komisji Samorządu Terytorialnego i Polityki Regionalnej, zrealizowały następujący porządek dzienny:

– rozpatrzenie informacji na temat wykorzystania sztucznej inteligencji w administracji samorządowej;

– rozpatrzenie informacji Najwyższej Izby Kontroli o wynikach kontroli zapewnienia bezpieczeństwa informacji oraz ciągłości działania systemów informatycznych w jednostkach samorządu terytorialnego.

W posiedzeniu udział wzięli: Dariusz Standerski sekretarz stanu w Ministerstwie Cyfryzacji wraz ze współpracownikami, Dariusz Nowak-Nova dyrektor Departamentu Teleinformatyki Ministerstwa Spraw Wewnętrznych i Administracji, Jacek Kozłowski wiceprezes Najwyższej Izby Kontroli wraz ze współpracownikami, Joanna Wrzosek dyrektor Pionu AI i Nowych Technologii w Centralnym Ośrodku Informatyki, Tomasz Stojek dyrektor Pionu Operacji w Centralnym Ośrodku Informatyki, Robert Janik ekspert w Departamencie Bezpieczeństwa Urzędu Komunikacji Elektronicznej, Mariusz Bogucki dyrektor Departamentu Cyfryzacji Urzędu Marszałkowskiego Województwa Opolskiego w Opolu, Magdalena Golan koordynator projektu w Biurze Związku Województw RP, Michał Smagowicz wiceprezes THINKTANK, Piotr Borowski dyrektor zarządzający Lindy Capital, Jarosław Bartniczuk ekspert do spraw cyberbezpieczeństwa i bezpieczeństwa informacji, bezpieczeństwa biznesu Business Centre Club, Joanna Karczewska przedstawicielka Stowarzyszenia Absolwentów Elektroniki na Politechnice Warszawskiej @ELKAPW, Adam Ostrowski asystent prezesa ds. legislacyjnych Związku Miast Polskich oraz Oliwia Maciejewska asystentka przewodniczącego Komisji Samorządu Terytorialnego i Polityki Regionalnej.

W posiedzeniu udział wzięli pracownicy Kancelarii Sejmu: Mateusz Daszewski, Sławomir Jakubczak, Jakub Konecki oraz Magdalena Krzymowska – z sekretariatów Komisji w Biurze Komisji Sejmowych.

Przewodniczący poseł Michał Krawczyk (KO):

Dzień dobry. Witam państwa bardzo serdecznie. Otwieram wspólne posiedzenie Komisji Samorządu Terytorialnego i Polityki Regionalnej oraz Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii.

Witam panie posłanki i panów posłów.

Witam naszych gości. Witam pana ministra Dariusza Standerskiego, sekretarza stanu w Ministerstwie Cyfryzacji wraz ze współpracownikami. Witam wiceprezesa NIK, pana Jacka Kozłowskiego wraz ze współpracownikami. Witam pana Dariusza Nowaka, dyrektora Departamentu Teleinformatyki MSWiA. Witam przedstawicieli Centralnego Ośrodka Informatyki, państwa dyrektorów: Joannę Wrzosek i Tomasza Stojka. Witam ekspertów Business Centre Club: Jarosława Bartniczuka i Krzysztofa Gawlińskiego. Witam pana Roberta Janika, eksperta Urzędu Komunikacji Elektronicznej. Witam przedstawicieli korporacji samorządowych.

Stwierdzam kworum.

Szanowni państwo, przedmiotem dzisiejszego posiedzenia, zgodnie z przedstawionym porządkiem obrad, będą dwa punkty.

Punkt pierwszy, rozpatrzenie informacji ministra cyfryzacji na temat wykorzystania sztucznej inteligencji w administracji samorządowej.

I punkt drugi, rozpatrzenie informacji NIK o wynikach kontroli zapewnienia bezpieczeństwa informacji oraz ciągłości działania systemów informatycznych w jednostkach samorządu terytorialnego.

Czy są uwagi do porządku dziennego? Nie widzę. Dziękuję, stwierdzam przyjęcie porządku.

Przechodzimy do realizacji punktu pierwszego. Bardzo proszę pana ministra o przedstawienie informacji.

Sekretarz stanu w Ministerstwie Cyfryzacji Dariusz Standerski:

Szanowni panowie przewodniczący, Wysokie Komisje, bardzo serdecznie dziękuję za możliwość przedstawienia tej informacji, która jest niejako kontynuacją dyskusji o wykorzystaniu sztucznej inteligencji w szeroko rozumianej administracji. Podobną dyskusję przeprowadziliśmy dzisiaj przed południem na komisji cyfryzacji w zakresie szkoleń dla pracowników administracji publicznej. W trakcie wystąpienia chciałbym przywołać kilka wniosków z tamtej dyskusji w zakresie jednostek samorządu terytorialnego.

Natomiast o ile chodzi o zastosowania sztucznej inteligencji w jednostkach samorządu terytorialnego, to w tym przypadku widzimy rolę Ministerstwa Cyfryzacji jako tej instytucji, która zapewnia narzędzia, która zapewnia możliwość wdrażania w samorządzie rozwiązań, które to jednak należą już w pełni do decyzji, planu i autonomii samorządów w tworzeniu rozwiązań, które są stosowane później na terenie danej wspólnoty.

Dlatego wśród tych zastosowań, które mogą być pomocne w podnoszeniu jakości usług obywateli, są m.in. wirtualni asystenci, dzięki którym obywatele mogą uzyskać odpowiedź na najczęściej zadawane pytania bez konieczności oczekiwania na połączenie, bez konieczności umawiania się na spotkanie z pracownikiem urzędu.

To także kwestia personalizacji usług, które pozwolą na dostosowanie ich do indywidualnych potrzeb mieszkańców na przykład automatyczne powiadamianie o terminie płatności podatków lokalnych czy upływie ważności dokumentów, powiadomienia dotyczące wizyt w urzędzie czy załatwianych spraw w danym urzędzie w ogólności.

To także zastosowania w zakresie automatyzacji procesów, w zakresie tych rutynowych zadań administracyjnych, które zarówno w urzędach lokalnych, jak i też urzędach centralnych – to jest akurat wspólne – zabierają dużo czasu, a nie należą do najbardziej efektywnych zadań, jak na przykład dekretacja dokumentów wewnątrz jednostki, jak na przykład rozdzielanie tych dokumentów pomiędzy wydziałami, wyszukiwanie danych, generowanie standardowych pism wewnętrznych czy też poszukiwanie podobnych spraw z przeszłości. Przykładowo, kiedy urzędy dostają czy to zapytanie o wnioski o udostępnienie informacji publicznej, czy też pisma, które wcześniej były elementami spraw już rozstrzygniętych, to również narzędzia sztucznej inteligencji mogą wesprzeć urzędników w znajdowaniu spraw podobnych i kształtowaniu w tym zakresie bardziej spójnej pracy.

Już dziś dostępne rozwiązania oparte na zautomatyzowanej analizie dużych zbiorów danych pomagają przewidywać trendy, potrzeby i potencjalne zagrożenia. To też jest ważne z punktu widzenia jednostek samorządu terytorialnego i też dlatego podejmujemy inwestycje w zakresie fabryki sztucznej inteligencji w Poznaniu, jak również superkomputerów w innych miejscach, ponieważ wewnętrzna praca urzędu to jedno, natomiast praca na dużych zbiorach danych, ważnych z punktu widzenia jednostek samorządu terytorialnego to drugie, na przykład o ile chodzi o przewidywanie warunków pogodowych, o ile chodzi o kwestie potencjalnej skali ewentualnych klęsk żywiołowych oraz innych danych, które odpowiednio przetworzone, będą wspierać planowanie w jednostkach samorządu terytorialnego.

Dodatkowo w październiku 2024 r. eksperci działający w Grupie Roboczej ds. Sztucznej Inteligencji GRAI opracowali studium SMART programu inteligentnej transformacji Polski, gdzie zawarli rozwiązania dotyczące również samorządu.

Ministerstwo Cyfryzacji od 2024 r. prowadzi szkolenia dla pracowników administracji dotyczące odpowiedzialnego wykorzystania sztucznej inteligencji. W 2024 r. w ostatnim kwartale przeprowadzono takie szkolenie dla 2400 pracowników administracji centralnej. Dlaczego o tym mówię? Ponieważ Ministerstwo wraz z NASK – Państwowym Instytutem Badawczym planuje rozszerzenie tych szkoleń na pracowników administracji samorządowej od początku 2026 r.

Te szkolenia rozszerzamy w taki sposób, iż po tej pierwszej edycji, gdzie przeszkolono 2400 osób, druga edycja, która będzie miała miejsce od września tego roku, będzie obejmowała już dwa etapy: etap teoretyczny razem z całą bazą danych oraz etap praktyczny, ponieważ uważamy, iż ogromną wartością jest nie tylko przesiedzenie czterech godzin, gdzie pracownicy administracji wysłuchają, na czym polegają rozwiązania sztucznej inteligencji, z których modeli korzystać, z których nie i w jaki sposób. Uważamy, iż to powinno być przeprowadzone warsztatowo. Dlatego w tym roku przeprowadzamy te zadania warsztatowo, a w przyszłym rozszerzamy to na jednostki samorządu terytorialnego, korzystając z doświadczeń NASK w zakresie wdrażania systemów EZD.

NASK już teraz prowadzi szkolenia w tym zakresie i w ciągu następnych 12 miesięcy planujemy objąć tymi szkoleniami ok. 100 tys. urzędników w całej Polsce, również administracji samorządowej. Dlatego chcemy wykorzystać te zasoby i doświadczenia, żeby dodać tam również znaczący element wykorzystania narzędzi sztucznej inteligencji.

Jak już mówimy o szkoleniach, to należy też powiedzieć o narzędziach udostępnianych również przez Ministerstwo Cyfryzacji. To co mamy już teraz, to polski model językowy PLLuM, który powstał w ramach projektów konsorcjum Politechniki Wrocławskiej, NASK, Polskiej Akademii Nauk Uniwersytetu Łódzkiego, Ośrodka Przetwarzania Informacji, czyli z różnych miejsc. I w tej chwili ten model jest udostępniony, można go pobrać. Jest to model bezpłatny i można go albo wdrażać na swoich systemach, albo korzystać bezpośrednio z poziomu strony internetowej bez konieczności logowania. Premiera tego modelu językowego miała miejsce 28 lutego. W marcu Urząd Marszałkowski Województwa Lubuskiego jako pierwszy w Polsce – przynajmniej tak wynika z ogólnych informacji – zdecydował się na pilotażowe wdrożenie tego modelu w swoim urzędzie. I to są pierwsze wdrożenia, które już mają miejsce.

Natomiast z początkiem roku Ministerstwo Cyfryzacji powołało nowe konsorcjum w zakresie rozwoju pilotażowego wdrożenia dużych modeli językowych w polskiej administracji publicznej. Konsorcjum HIVE AI ma na celu wdrożenia i pilotaże w ramach różnych modeli. Po pierwsze, modeli ogólnego zastosowania, a po drugie wyspecjalizowanych modeli, które na podstawie zapytania w ramach konkretnych kontekstów będą generowały odpowiedzi.

Jak takie wdrożenia będą przykładowo wyglądać? Takie wyspecjalizowane modele będą podłączane pod bazę danych na przykład bazę dokumentów wewnątrzurzędowych i taki model będzie zwracał odpowiedzi na pytania na przykład dotyczące kierunków decyzji wszystkich spraw w ramach zadanego obszaru dotychczas podjętych w danym urzędzie, będzie wyciągał również streszczenia pism, jak również będzie zastosowany model, pod który będzie podłączona polska baza aktów prawnych i która będzie mogła służyć wsparciem – nie ostateczną odpowiedzią, ale wsparciem – w poszukiwaniu przepisów. Pracujemy z Ministerstwem Sprawiedliwości, żeby pod taką bazę podłączyć również bazę orzecznictwa, co też jest ważne z punktu widzenia jednostek samorządu terytorialnego, zarówno o ile chodzi o sądy powszechne, jak i sądy administracyjne, a także samorządowe kolegia odwoławcze.

W związku z tym, poza tymi narzędziami, o których mówiłem wcześniej, pracujemy nad wdrożeniami dedykowanymi pod poszczególne obszary działalności jednostek samorządu terytorialnego. Trzecim obszarem działalności wdrożeniowej będą wtyczki do systemów klasy EZD – o których mówiłem również na początku wystąpienia – które będą mogły być instalowane przez samorządy bezpłatnie, ponieważ przypomnę, iż równocześnie Ministerstwo Cyfryzacji prowadzi projekt unijny w zakresie podłączenia 2 tys. urzędów w Polsce pod elektroniczne zarządzanie dokumentacją. Jest to podłączenie bezpłatne, mamy już ponad 800 urzędów podłączonych w tym zakresie i nie tylko jest to podłączenie bezpłatne, ale jest to również usługa świadczona na infrastrukturze zapewnianej przez Ministerstwo Cyfryzacji. To oznacza, iż zwłaszcza mniejsze samorządy nie muszą kupować sprzętu, nie muszą kupować koniecznej infrastruktury serwerowej po to, żeby uruchomić elektroniczne zarządzanie dokumentacją, ponieważ dzięki środkom unijnym to jest zapewnione przez Ministerstwo Cyfryzacji. Właśnie do tego elektronicznego zarządzania dokumentacją będą odpowiednie rozszerzenia, które będą umożliwiały na przykład automatyczną dekretację pism do poszczególnych wydziałów w ramach urzędu. Będą mogły również służyć wsparciem we wszystkich działaniach urzędowych, o których wspominałem, co oznacza, iż główną misją Ministerstwa Cyfryzacji jest w tym momencie zapewnianie możliwości korzystania z tych narzędzi, które są bezpieczne, zgodne z wszystkimi przepisami unijnymi oraz krajowymi i przede wszystkim są zgodne z obecną procedurą administracyjną, ponieważ ważne jest, iż sztuczna inteligencja i narzędzia, które są przez nią oferowane, mają służyć wsparciem dla urzędników, a nie zastępować całe procesy administracyjne. Stąd właśnie w tej chwili taki zakres wsparcia z jednej strony jest już zapewniany, z drugiej strony planowany na drugą połowę 2025 i pierwszą połowę 2026 r. dla jednostek samorządu terytorialnego, mając oczywiście na uwadze zasadę pomocniczości, zasadę niezależności samorządu terytorialnego.

W związku z tym wszystkie te narzędzia są oferowane. Samorząd może z nich korzystać, natomiast nie jest w tym zakresie wprowadzany obowiązek.

Mamy też bardzo dobrą współpracę z samorządami w zakresie innych systemów, które przy okazji też testują rozwiązania dotyczące sztucznej inteligencji na przykład przy generowaniu formularzy. To jest też dyskusja prawdopodobnie na odrębne posiedzenie połączonych komisji, ale to również jest ważne z punktu widzenia tworzenia systemów, które docelowo będą zastępowały ePUAP, który ze względów i bezpieczeństwa i niektórych już przestarzałych technologii będzie stopniowo zastępowany przez nowe systemy. Po 18 latach służenia w naszych samorządach pora na systemy, które są bardziej intuicyjne i które, znowu, mogą generować podobne efekty w dużo krótszym czasie, żeby dać naszym urzędnikom możliwość wykorzystania tego czasu do innych celów niż proste, powtarzalne i niewymagające specjalizacji zadania. Bardzo serdecznie dziękuję.

Przewodniczący poseł Michał Krawczyk (KO):

Bardzo dziękuję, panie ministrze. Otwieram dyskusję.

Czy ktoś z państwa posłów bądź gości chce zabrać głos? Bardzo proszę, pan przewodniczący.

Poseł Marcin Skonieczka (Polska2050-TD):

Panie przewodniczący, Wysoka Komisjo, w kontekście tego, co mówił pan minister, chciałem dopytać o kilka rzeczy. Plany wyglądają fajnie i rzeczywiście też widzę dużo możliwości zastosowania AI w administracji i tych procesów automatyzacji odpowiedzi itd., o których pan mówił. Można też przecież wykorzystać pieczęć, żeby choćby nie trzeba było podpisywać dokumentów, na przykład wystawiając jakieś zaświadczenia. Pieczęć elektroniczną oczywiście.

Natomiast cały czas zastanawiam się, jak to będzie wyglądało w praktyce. Śledziłem proces informatyzacji i wdrażania elektronicznego obiegu dokumentów w Polsce. Rozmawiamy o tym od kilkunastu lat i de facto cały czas jesteśmy na takim etapie, można powiedzieć, wdrażania.

Wiem, iż cały czas nie jest rozwiązana kwestia archiwizacji dokumentów na końcu. Wiele urzędów ma z tym problem i tak naprawdę choćby o ile wdrożą EZD, to później i tak muszą jeszcze prowadzić ten zbiór papierowy, który potem archiwizują. Pewnie pozostało wiele wyzwań.

W kontekście tego EZD RP, o którym mówił pan minister, to chciałem dopytać, bo z tych informacji, które uzyskałem z rynku wynika, iż początkowo prawdopodobnie były plany, żeby z dotacji unijnych można było finansować różne systemy EZD, natomiast rozumiem, iż ostatecznie zapadła decyzja, żeby z projektu unijnego finansować tylko jeden, który jest de facto bezpłatny dla samorządów. Natomiast wiadomo, iż środki publiczne są na ten system kierowane i pytanie, czy to nie spowoduje problemów finansowych firm, które rozwijały swoje komercyjne rozwiązania, które bardzo często były bardziej dostosowane do tych najmniejszych urzędów, bo wiem, iż ten rządowy był tworzony w dużej jednostce administracji publicznej i przynajmniej jeszcze kilka lat temu nie do końca odpowiadał na potrzeby małych urzędów.

Pytanie czy państwo macie takie sygnały, czy to nie zaburzy rynku. Rozumiem, iż ten system rządowy nie jest obowiązkowy i samorządy, o ile chcą, to mogą w dalszym ciągu korzystać z innych rozwiązań adekwatnych do ich potrzeb.

W tym kontekście też pytanie o te wtyczki, o których pan minister mówił. Czy one będą otwarte również na te komercyjne systemy obiegu dokumentów? Prosiłbym o taką informację.

I ostatnie pytanie, ostatnia kwestia. Czy ministerstwo monitoruje wykorzystanie sztucznej inteligencji w samorządach? Bodajże wczoraj ukazał się raport Amazona dotyczący wykorzystania AI w firmach i tutaj Polska wypada bardzo dobrze. Była podana taka informacja, iż co dwie minuty firma w Polsce wdraża takie rozwiązania.

Pytanie czy mamy jakieś dane ilościowe, liczbowe dotyczące polskich samorządów czy instytucji publicznych. Po prostu czy to jest monitorowane. Jakie rozwiązania i w jakim czasie są wdrażane? Dziękuję bardzo.

Przewodniczący poseł Michał Krawczyk (KO):

Dziękuję. Bardzo proszę, panie ministrze.

Sekretarz stanu w MC Dariusz Standerski:

Bardzo serdecznie dziękuję.

Rzeczywiście wdrażanie elektronicznego obiegu dokumentów było dużym wyzwaniem i właśnie to wyzwanie zostało zidentyfikowane na poziomie koniecznej infrastruktury do przetwarzania danych w tym zakresie, z tego względu iż zwłaszcza mniejsze samorządy słusznie zgłaszały, iż co z tego, iż mają ofertę bezpłatnego zainstalowania systemu u siebie, skoro i tak muszą wykupić odpowiedni sprzęt, żeby przechowywać właśnie dane, o których mówi pan przewodniczący, zarówno te bieżące, jak i o ile chodzi o archiwizację. Dlatego właśnie w ramach Krajowego Planu Odbudowy system EZD otrzymał takie dofinansowanie. To jest wpisane w Krajowym Planie Odbudowy.

Natomiast tak jak też słusznie pan przewodniczący zauważył, samorząd nie ma obowiązku wykorzystywania systemu EZD RP oferowanego przez NASK, w związku z czym to jest pełny wybór samorządu. NASK oferuje system bezpłatnie, inne podmioty, firmy oferują odpłatnie. To jest wybór samorządu, o ile chodzi o daną funkcjonalność, o ile chodzi o ofertę, która jest bardziej korzystna dla samorządu.

Musimy również pamiętać, iż EZD RP jest oferowane bezpłatnie wyłącznie dla podmiotów szeroko rozumianej administracji. Spółki, w tym spółki z udziałem Skarbu Państwa, inne podmioty prywatne nie mają już tej możliwości, w związku z czym dalej mamy tutaj znaczną część rynku w tym zakresie.

Natomiast o ile chodzi o wtyczki, czy również będą otwarte i będą implementowane w systemach oferowanych przez firmy prywatne, to jest pytanie znacząco wykraczające poza moją adekwatność. o ile dana firma zdecyduje się wdrożyć rozszerzenia sztucznej inteligencji, ma do tego oczywiście pełne prawo. Jedyne jak to możemy oceniać, to czy te rozszerzenia są zgodne z europejskim aktem o sztucznej inteligencji, czy też nie, a o ile są zgodne, to nie mamy na to żadnego wpływu i oczywiście każda firma może swobodnie kształtować swoją ofertę w tym rozszerzeń swojego systemu klasy elektronicznego zarządzania dokumentacją. Te rozwiązania zostały stworzone właśnie dlatego, żeby samorządy miały tę możliwość.

Pamiętajmy, iż elektroniczne zarządzanie dokumentacją jest wdrażane przez NASK już od ponad 20 lat, jeżeli dobrze pamiętam, w związku z czym jest to i przetestowane i sprawdzone, mamy już dostęp do archiwów na kilkanaście lat wstecz. Jako państwo powinniśmy dać samorządom możliwość wykonywania swoich zadań. To jest kwestia nie tylko wsparcia jednostek samorządu terytorialnego, ale w związku z tym, iż na przykład przyjęliśmy ustawę o doręczeniach elektronicznych, gdzie zobowiązujemy samorządy do zakładania skrzynek do doręczeń elektronicznych, to powinniśmy zapewnić samorządom możliwość bezpłatnego dostosowania swojego obiegu dokumentów do obiegu elektronicznego. I właśnie w tym programie widzę to umożliwienie samorządom wykonywania swoich zadań. Natomiast o ile samorząd stwierdzi, iż adekwatnsza jest inna oferta, to oczywiście ma pełne prawo korzystać z tej oferty. Dziękuję.

Poseł Marcin Skonieczka (Polska2050-TD):

Panie ministrze, pytałem jeszcze o to monitorowanie wdrożenia AI w samorządach.

Sekretarz stanu w MC Dariusz Standerski:

Tak, o ile chodzi o monitorowanie wdrożenia AI, to wnieśliśmy do Głównego Urzędu Statystycznego do programu badań na rok 2026 właśnie badanie w zakresie wdrożeń sztucznej inteligencji, bo chcemy to robić dobrze. Główny Urząd Statystyczny będzie zbierał te dane. One będą szczegółowe, tak jak wszystkie dane w roczniku statystycznym, więc będziemy mieli informacje o stopniu wdrożenia zarówno po województwach, jak i po wielkości samorządów. Więc GUS będzie prowadził te badania.

Przewodniczący poseł Michał Krawczyk (KO):

Dziękuję. Pan poseł Krzemiński, bardzo proszę.

Poseł Adam Krzemiński (KO):

Panie przewodniczący, panie ministrze, oczywiście bardzo istotny temat, mówię to jako samorządowiec. Im szybciej zaczniemy, tym większe szanse na to, żeby dobrze wykorzystać AI w samorządzie.

Nasuwają się pytania. Dokument wspomina o planowanych szkoleniach. Brakuje mi szczegółów co do ich formy, długości, poziomu zaawansowania, tego jak będą wyglądały te szkolenia z zakresu AI dla jednostek samorządu terytorialnego, kto będzie mógł w nich uczestniczyć, ile potrwają, czy będą obowiązkowe.

W raporcie wskazano też, iż większość gmin to gminy wiejsko-miejskie czy gminy wiejskie, które nie mają odpowiedniej kadry technologicznej. Czy jest szansa na to, żeby te samorządy wspierać kadrowo i finansowo?

Chciałem też zapytać o takie odniesienie do aspektów prawnych czy zgodności z RODO, ale także kwestii etycznych – czy przewidziano wytyczne prawne lub etyczne regulujące stosowanie AI w administracji?

Trochę pan minister też już mówił, odpowiadając na poprzednie pytanie o rezultaty pilotaży, ale w lubuskim mamy informację, iż taki pilotaż był prowadzony. Czy wypływają z tego pilotażu jakieś konkretne wnioski, którymi pan minister mógłby się z nami podzielić? Ewentualnie czy gdzieś znajdziemy raporty ewaluacyjne? Dziękuję.

Przewodniczący poseł Michał Krawczyk (KO):

Bardzo dziękuję. Pan przewodniczący Pejo, proszę bardzo.

Poseł Bartłomiej Pejo (Konfederacja):

Myślę, iż bardziej takie spostrzeżenie do nas wszystkich zarówno dwóch ministerstw, które są dzisiaj reprezentowane, ale i państwa parlamentarzystów. Musimy mieć tę świadomość, iż polskie samorządy nie są zbyt zaawansowane technologicznie i powinniśmy ze wszech stron położyć nacisk na to, aby je wspomóc. Słuszne pytanie pana posła, jak bardzo Ministerstwo Cyfryzacji jest w stanie wspomóc samorządy, może choćby nie tyle finansowo, ale w budowaniu takiej świadomości, iż powinny iść wraz z rozwojem technologicznym, tak jak idą nasze firmy – ten raport, który wspominał pan przewodniczący, raport zastosowania sztucznej inteligencji w firmach. Niestety w polskich samorządach żaden raport już nie jest potrzebny. Doskonale wiemy, iż sztuczna inteligencja nie jest w tej chwili na ten rok zbyt dobrze wykorzystywana, tak jak właśnie w firmach.

Myślę, iż wszyscy powinniśmy postawić się ponad podziałami, aby samorządy terytorialne wykorzystywały sztuczną inteligencję na tyle, na ile mogą i trzeba im to jak najbardziej uprościć.

Problem we wdrożeniu sztucznej inteligencji w samorządach to oczywiście problem kadrowy, bo w małych samorządach brakuje specjalistów, a brakuje ich ze względu na to, iż wynagrodzenie jest bardzo kiepskie i w tej chwili w samorządach dosłownie nie ma kto zainstalować drukarki. Ten system samorządowy na pewno trzeba pobudzić poprzez budowanie świadomości, iż powinniśmy iść wraz z postępem technologicznym. Dziękuję bardzo.

Przewodniczący poseł Michał Krawczyk (KO):

Dziękuję. Pan poseł Dziedzic, bardzo proszę.

Poseł Adam Dziedzic (PSL-TD):

Dziękuję. Sugerowałem to już na naszej wcześniejszej komisji, ale pragnę zwrócić uwagę jeszcze na jedną kwestię – czy w ogóle przewidziana jest forma pewnego rodzaju standaryzacji zarówno sprzętowej, jak i wiedzy pracowników samorządu? To jest pierwsza sprawa, która umożliwi wdrażanie tych rozwiązań i ujednolicenie ich bez względu na to, gdzie taki samorząd funkcjonuje i bez względu na to, jaka jest zasobność tego samorządu.

I druga sprawa dotycząca szkoleń w systemie kaskadowym. Czy przyjmujemy taką formułę, iż jedna bądź też dwie osoby na samym początku wybrane w tym zagadnieniu zostaną przeszkolone i będą szkolić również pracowników danego urzędu gminy czy urzędu miasta i gminy? Dziękuję.

Przewodniczący poseł Michał Krawczyk (KO):

Bardzo dziękuję. Nie widzę więcej zgłoszeń. Bardzo proszę, panie ministrze.

Sekretarz stanu w MC Dariusz Standerski:

Bardzo serdecznie dziękuję za te pytania.

Pytania posła Krzemińskiego i posła Dziedzica dotyczyły szkoleń w zakresie trwania, uczestnictwa oraz dobrowolności – lub nie – tych szkoleń. Szkolenia, które planujemy na 2026 r., będą kontynuacją szkoleń zaplanowanych w drugiej połowie tego roku i wyglądają w następujący sposób.

Pierwsza część teoretyczna jest udostępniana w ramach Platformy Bazy Wiedzy, ponieważ kiedy planowaliśmy te szkolenia, to stwierdziliśmy, iż część teoretyczna nie musi być przekazywana w momencie, w którym wszyscy urzędnicy są w jednym miejscu, przyjechali specjalnie po to, żeby słuchać, czym jest model AI, czym jest generatywna i inna sztuczna inteligencja.

Dlatego o ile chodzi o drugą część już w miejscu, która trwa ok. 4 godz., to skupiamy się w tej części na szkoleniu praktycznym. To znaczy, iż obecni urzędnicy będą poznawali możliwość wykorzystywania już konkretnych narzędzi sztucznej inteligencji, które będziemy im przedstawiać w formule warsztatowej. Dlatego po pierwsze, będziemy robić to dwuetapowo, po drugie będziemy korzystać z tych doświadczeń, które ma NASK Państwowy Instytut Badawczy w szkoleniu właśnie z wdrożenia elektronicznego zarządzania dokumentacją. I to są szkolenia pełnoskalowe. Tutaj mówimy o 100 tys. osób rocznie – w tym roku będzie taki wynik i ten wskaźnik jest niezagrożony – szkolonych z wdrożenia tego systemu. Do tego szkolenia będziemy dodawać szkolenia z zakresu sztucznej inteligencji. To oczywiście będą dobrowolne szkolenia. W czasie tych szkoleń będą informacje dotyczące spraw etycznych i kwestii wykorzystania danych osobowych. Będziemy również korzystać z istniejących dokumentów rządowych, ponieważ Komitet Rady Ministrów do spraw Cyfryzacji przyjął rekomendacje dla pracowników administracji w zakresie wykorzystywania generatywnej sztucznej inteligencji. To będzie materiał, który będzie się znajdował w bazie wiedzy i będzie również wykorzystywany podczas szkoleń praktycznych. Będzie mówił m.in. o tym, żeby nie przetwarzać wrażliwych danych osobowych w takich systemach, żeby korzystać z systemów, które są zgodne z przepisami unijnymi.

O tym, w jaki sposób są uznawane za zgodne, będziemy mówić podczas rozpatrywania projektu ustawy o systemach sztucznej inteligencji i będą to również zajęcia z zakresu bezpieczeństwa i przejrzystości danych, jak również kwestie dotyczące rekomendacji w zakresie, nazwijmy to, stopnia zaufania do modeli sztucznej inteligencji.

Kluczem będzie uświadomienie, iż system sam nie napisze za nas całej decyzji administracyjnej, nie napisze za nas ekspertyzy i należy mieć do całego systemu ograniczone zaufanie. To znaczy, iż to jest system do wyszukiwania informacji z istniejących baz, system, który może automatyzować procesy. Natomiast na końcu zawsze powinna być kontrola człowieka. Będziemy korzystać i z zasobów i z doświadczenia NASK w tym obszarze, tak żeby przeszkolić w tym zakresie podobną liczbę ok. 100 tys. urzędników.

Nie mamy jeszcze raportów z województwa lubuskiego. Nie chcę powiedzieć, iż dajemy im trochę czasu, ale tak samo jak w zakresie testów w Ministerstwie Cyfryzacji potrzebowaliśmy ok. 3–4 miesięcy, żeby podsumować wszystkie prace w tym zakresie, więc podejrzewam, iż tak samo tam będzie taka potrzeba.

Jeżeli chodzi o pytanie posła Dziedzica dotyczące standaryzacji i pewnej kaskadowości, to też właśnie po to będzie baza wiedzy i dlatego też będziemy korzystać z profesjonalnych, często także zewnętrznych trenerów i trenerek w tym zakresie, ponieważ takie jest założenie większości szkoleń. Nie znam takiego szkolenia, które przeszliby dokładnie wszyscy pracownicy czy administracji samorządowej, czy innych grup zawodowych. To często jest właśnie kwestia odpowiedniego wysycenia i dania narzędzi do przekazywania tej wiedzy i tych umiejętności dalej. I takie jest również założenie, które będzie możliwe właśnie dzięki bazie wiedzy, którą uruchomimy jeszcze w drugiej połowie tego roku, jak wystartujemy z drugą edycją szkoleń.

W zakresie uwagi pana przewodniczącego Pejo, w pełni się z nią zgadzam i to pewnie będą niektóre wnioski z dyskusji w drugim punkcie naszych dzisiejszych obrad.

To co zauważyliśmy, o ile chodzi o przywoływany przykład firm, to zarówno w wykorzystaniu chmury, jak i teraz w sztucznej inteligencji widzimy, iż polskie firmy też charakteryzowały się takim długim marszem we wdrażaniu narzędzi nowych technologii. Przez długi czas to wdrożenie było na niskim poziomie, aż w końcu po osiągnięciu punktu krytycznego ta wartość bardzo wzrosła. I tu mamy chyba najbardziej czytelny przykład w zakresie wykorzystywania chmury, gdzie zaledwie w ciągu roku to wykorzystanie wzrosło w firmach ponad dwukrotnie i teraz już połowa polskich firm korzysta z tych rozwiązań, co na tle innych państw jest całkiem pozytywnym wskaźnikiem.

I prawdopodobnie będzie podobnie, o ile chodzi o wykorzystywanie narzędzi sztucznej inteligencji w jednostkach samorządu terytorialnego. Z jednym zastrzeżeniem – właśnie standaryzacji tych rozwiązań. Ponieważ, tak jak mówiłem na początku, to co jest problemem samorządów, to konieczność samodzielnego wdrażania nowych rozwiązań technologicznych. I to co też czytamy w raporcie NIK z drugiego punktu, często przez braki kadrowe, często przez braki także wewnętrznych procedur nie ma takich możliwości.

I stąd właśnie takie programy jak wdrażanie EZD, które w praktyce wygląda w sposób następujący, iż jednostka samorządu terytorialnego się zgłasza, następuje opracowanie tego zgłoszenia, udzielenie licencji, szkolenie, przyjeżdża zespół z NASK, wspiera w instalowaniu tego systemu i jednocześnie podłącza pod infrastrukturę, która jest oferowana centralnie. To powoduje, iż w jednostce samorządu terytorialnego pojawia się system, który nie wymaga instalowania przez informatyka na miejscu. Po przeszkoleniu każdy urzędnik, który ma podstawowe umiejętności cyfrowe, który umie posługiwać się komputerem, jest w stanie z łatwością obsługiwać ten system. Mówię to również jako osoba, która półtora roku temu tak samo została przeszkolona z systemu EZD i po krótkim przeszkoleniu nastąpiło wykorzystywanie tego systemu, które trwa do dzisiaj.

Tak samo będzie, o ile chodzi o rozwiązania sztucznej inteligencji. Musimy pamiętać, iż w momencie zainstalowania EZD i dodania rozszerzenia w zakresie na przykład porządkowania dokumentów przez model sztucznej inteligencji, dany urząd będzie w tym samym momencie zaliczony jako taki, który wykorzystuje sztuczną inteligencję w swojej pracy. Bez udziału informatyka, bez udziału wyspecjalizowanego zespołu. I taka właśnie standaryzacja daje szansę na znaczące zwiększenie wykorzystywania sztucznej inteligencji w samorządach bez konieczności zwiększania zasobów kadrowych.

I ogólnie już uważam, iż o ile chodzi o wszystkie rozwiązania technologiczne w samorządach, to jest droga, którą należy dalej podążać z tego względu, iż tak jak inne państwa Unii Europejskiej borykamy się z brakiem specjalistów IT na rynku, zwłaszcza poza większymi miastami i tylko taka standaryzacja i automatyzacja procesów pozwoli nam w miarę sprawnie sobie z tym poradzić.

Natomiast pod tym względem Ministerstwo Cyfryzacji również działa. Przypomnę, iż w zeszłym roku przeprowadzono projekt „Cyberbezpieczny Samorząd”, na który przeznaczono 2 mld zł dla ponad 2 tys. jednostek samorządu terytorialnego właśnie na inwestycje w zakresie cyberbezpieczeństwa.

Mamy jednak świadomość, iż to zaledwie kropla w morzu potrzeb i to również wykracza poza adekwatność Ministerstwa Cyfryzacji z tego względu, iż mamy do czynienia z tysiącami urzędów, które wymagają – także w przyszłości – zapewnienia finansowania na utrzymanie systemów, w które zainwestowały dzisiaj oraz na rozwój zarządzania. Tutaj musimy działać systemowo, dlatego bardzo się cieszę, iż dwie Komisje obradują w tej sprawie, ponieważ to też jest wsparcie w zakresie współpracy międzyresortowej i wskazywania tych kierunków dyskutowania stanu obecnego. Uważam, iż powinniśmy zarówno dbać o finansowanie na poziomie krajowym, jak również – i to jest stanowisko Ministerstwa Cyfryzacji, o ile chodzi o pracę nad przyszłą perspektywą unijną – potrzebujemy znaczących środków unijnych dla samorządów w zakresie nie tylko rozwoju, ale także utrzymania systemów, nie tylko systemów po prostu informatycznych, ale także systemów cyberbezpieczeństwa. O ile dzisiaj samorządy zainwestowały ponad 2 mld zł w cyberbezpieczeństwo, to po pierwsze w roku 2027 i 2028 dalej będą musiały utrzymywać te systemy i ten sprzęt, a w roku 2029 będą musiały ten system i sprzęt wymieniać.

I to też jest wyzwanie, które już dzisiaj adresujemy, już dzisiaj upominamy się o takie środki w ramach funduszy unijnych, które będą wspierały nasze samorządy. Dziękuję.

Przewodniczący poseł Michał Krawczyk (KO):

Bardzo dziękuję, panie ministrze. Zamykam dyskusję w tym punkcie.

Przechodzimy do realizacji punktu drugiego. Bardzo proszę wiceprezesa NIK, pana Jacka Kozłowskiego, o przedstawienie wyników kontroli.

Wiceprezes Najwyższej Izby Kontroli Jacek Kozłowski:

Dziękuję, panie przewodniczący. Dzień dobry państwu, paniom posłankom, panom posłom. Bardzo dziękujemy za zaproszenie nas na posiedzenie wspólne obu Komisji i umożliwienie zaprezentowania opublikowanej kilkanaście dni temu kontroli zatytułowanej zapewnienie bezpieczeństwa informacji oraz ciągłości działania systemu informatycznego w jednostkach samorządu terytorialnego.

To jest kontrola, którą NIK zrealizował z inicjatywy własnej w poparciu o ocenę ryzyka, którą systematycznie aktualizujemy, ale też w poparciu o wcześniej realizowane kontrole w samorządach związane z procesami cyfryzacji, których wyniki pokazały nam, iż ta tematyka wymaga naszej stałej uwagi kontrolnej i kierowania do rządu, do administracji publicznej, także do parlamentu naszych wniosków, których celem powinna być poprawa, usprawnianie działania systemów informatycznych, większe ich bezpieczeństwo, lepsze zaspokajanie zbiorowych potrzeb mieszkańców w związku z wykorzystaniem systemów informatycznych.

Te wcześniejsze kontrole to choćby dwie kontrole ubiegłoroczne, które należy tutaj przypomnieć. Pierwsza zrealizowana w delegaturze w Białymstoku dotyczyła zapewniania ochrony i prawidłowego przetwarzania danych w systemach informatycznych w samorządach, a druga zapewnienia bezpieczeństwa teleinformatycznego. Ta druga była realizowana przez naszą delegaturę w Szczecinie.

Obie te kontrole pokazują, jak wiele ryzyk i wiele problemów pojawia się w samorządach w związku z działalnością systemów informatycznych. Ta kontrola również kładzie nacisk na kwestie bezpieczeństwa, bo to jest chyba kluczowa rzecz. To, jak niebezpieczne może być niezapewnienie ciągłości działania różnego rodzaju systemów informatycznych, widzimy chociażby w ostatnich dniach – katastrofa energetyczna w Hiszpanii czy też, nie szukając daleko, w Otwocku pod Warszawą kilkudniowe braki w zaopatrzeniu w wodę. Bardzo często usługi zbiorowe świadczone przez państwo, świadczone przez samorządy są dzisiaj zarządzane z wykorzystaniem nowoczesnych systemów informatycznych.

Brak ciągłości działania systemów informatycznych, którymi zarządza samorząd, to jest również kwestia naszego zbiorowego bezpieczeństwa. To jest kwestia zapewnienia ciągłości działania w zaspokajaniu podstawowych potrzeb mieszkańców takich jak zaopatrzenie w wodę, jak zaopatrzenie w energię, jak odbiór odpadów, jak zarządzanie wieloma procesami na poziomie gminy czy powiatu. Stąd ta kontrola.

Kontynuujemy zainteresowanie tą tematyką. Mogę też dzisiaj powiedzieć, iż 5 maja, dosłownie w tym tygodniu, ruszyła kolejna kontrola programu, o którym przed chwilą powiedział pan minister, „Cyberbezpieczny Samorząd”, w którym rząd przeznaczył 2 mld zł dla gmin właśnie na poprawę działania systemów informatycznych. Będziemy zajmować się tą tematyką, bo widzimy ją jako jedną z kluczowych w obszarze szeroko pojętego bezpieczeństwa państwa.

Naszym naczelnym priorytetem kontrolnym zdefiniowanym w strategii Najwyższej Izby Kontroli jest w obecnych czasach, i to jest chyba oczywiste, priorytet związany z zapewnieniem bezpieczeństwa narodowego, ciągłość działania systemów informatycznych zarówno w samorządach, jak i w szpitalach, co też kontrolujemy, ciągłość zaopatrzenia czy zaspokajania zbiorowych potrzeb mieszkańców to jest element naszego zbiorowego narodowego bezpieczeństwa.

Celem kontroli była ocena, czy jednostki samorządu terytorialnego prawidłowo, rzetelnie i skutecznie – to są te trzy najważniejsze kryteria kontrolników tej kontroli – realizowały zadania związane z zapewnieniem bezpieczeństwa informacji oraz ciągłości działania systemów informatycznych.

Kontrola była przeprowadzona w okresie od 1 stycznia 2023 r. do 20 września roku 2024, a więc w ubiegłym roku. Trochę czasu zajęło opracowanie jej wyników, rozpatrzenie wszystkich złożonych zastrzeżeń. Dzisiaj prezentujemy ją państwu jako pierwszej z komisji sejmowych.

Kontrolą objęto 24 jednostki samorządu terytorialnego. W tych 24 jednostkach samorządu terytorialnego w 2 przypadkach musieliśmy wystawić oceny negatywne. W ogromnej większości jednostek wystawiliśmy oceny opisowe, a w jednym przypadku – tylko w jednym przypadku – wystawiliśmy ocenę pozytywną. To jest ten trzystopniowy system stawiania ocen przez NIK. Do stawiania takich ocen NIK jest zobowiązany przepisami ustawy o Najwyższej Izbie Kontroli.

Są ze mną przedstawiciele Departamentu Administracji Publicznej Najwyższej Izby Kontroli, którzy odpowiadali za przeprowadzenie tej kontroli i chciałbym w tej chwili przekazać im głos. Jest ze mną pan dyrektor Dariusz Łubian, zastępca dyrektora Departamentu. Są również koordynatorzy tej kontroli: pani Anna Demus, doradca ekonomiczny w Najwyższej Izbie Kontroli i pan Mariusz Stolarz, doradca techniczny w Najwyższej Izbie Kontroli.

Ci państwo prowadzili tę kontrolę, ci państwo również przygotowali i rozpoczynają w tej chwili kontrolę programu „Cyberbezpieczny Samorząd”.

Proszę bardzo, panie dyrektorze, przekazuję panu głos.

Pełniący obowiązki wicedyrektor Departamentu Administracji Publicznej Najwyższej Izby Kontroli Dariusz Łubian:

Dziękuję bardzo. Panie przewodniczący, szanowni państwo, przejdę może teraz do oceny ogólnej.

Tak jak już tutaj zasygnalizował pan prezes, zadania w zakresie zapewniania bezpieczeństwa informacji nie były skutecznie, rzetelnie i prawidłowo wykonywane w większości skontrolowanych urzędów i jednostek samorządu terytorialnego. Podstawowym problemem jest niewystarczające przygotowanie do zapewnienia ciągłości działania, bo ten problem dotyczył aż 71% skontrolowanych urzędów i samorządów terytorialnych. Brak było ustanowionych polityk ciągłości działania, w połowie urzędów nie opracowano planów ciągłości działania, planów odtworzeniowych, czyli dokumentów wykorzystujących zasoby działania i dane niezbędne do odtworzenia systemu po wystąpieniu awarii.

Kolejnym problemem było to, iż te urzędy, które miały takie plany, nie poddawały ich testom i nie wiadomo było, czy taki plan sprawdzi się w praktyce, gdyby rzeczywiście doszło do awarii.

Te braki w zakresie zapewnienia ciągłości działania mają negatywny wpływ na zapewnienie działania urzędu w razie awarii i sytuacji kryzysowej. Na przykład możemy mieć taką sytuację jak zalanie, włamanie, atak hakerski. Zupełnie prozaiczne przyczyny, ale co wtedy zrobią urzędnicy, jak nie ma takich planów i nie ma takiego przygotowania, nie wiadomo. A coraz więcej zadań jest wykonywanych właśnie przy zastosowaniu systemów informatycznych.

W 20 z 24 kontrolowanych urzędów nie wszystkie przyjęte rozwiązania organizacyjne i techniczne w zakresie bezpieczeństwa informacji były adekwatnie egzekwowane. Nieprawidłowości dotyczyły przede wszystkim niewłaściwego zabezpieczenia serwerowni, niesporządzania lub nietestowania kopii zapasowych albo przechowywania tych kopii zapasowych danych w niewłaściwy sposób, na przykład w tym samym pomieszczeniu, więc o ile to pomieszczenie na przykład byłoby zalane, to i ta kopia też uległaby wtedy uszkodzeniu.

Nieprawidłowości dotyczyły przyznawania pracownikom uprawnień do korzystania z systemów informatycznych w sposób nieprawidłowy. To znaczy, iż albo mieli za szerokie, albo zbyt wąskie uprawnienia w stosunku do wykonywanych obowiązków.

Były też nieprawidłowości dotyczące odbierania uprawnień po zakończeniu zatrudnienia bądź zmiany zakresu zatrudnienia, na przykład ktoś przeszedł do innego wydziału w urzędzie.

W połowie skontrolowanych urzędów nie w pełni zidentyfikowano zbiory danych wymagające ochrony bądź nie przepisano tym zidentyfikowanym zbiorom danych odpowiedniej ochrony. I generalnie problem dotyczył tego, iż nie uwzględniano danych niebędących danymi osobowymi na przykład danych chociażby o kontrahentach, danych o systemach, o jakichś zabezpieczeniach, które są stosowane w urzędzie. Te dane także powinny być chronione, a do tej pory świadomość gospodarzy jednostek samorządowych ograniczała się do tego, iż trzeba chronić dane osobowe, a ten zakres chronionych danych powinien być dużo szerszy.

W ośmiu jednostkach stwierdziliśmy, iż nie opracowano i nie wdrożono pełnego systemu zarządzania bezpieczeństwem informacji, a w trzech jednostkach, gdzie taki system był ustanowiony, nie dokonywano jego przeglądu pod względem skuteczności. To było niezgodne z obowiązującymi przepisami rozporządzenia Rady Ministrów w sprawie Krajowych Ram Interoperacyjności. Taki przegląd powinien być dokonywany corocznie.

W 11 urzędach w umowach na zakup usług informatycznych na zakup sprzętu lub oprogramowania, na serwis sprzętu lub systemu stwierdziliśmy, iż brak było zapisów gwarantujących zabezpieczenie poufności informacji. Przecież ktoś instaluje nam jakieś oprogramowanie, ma wtedy wgląd do danych, które są przetwarzane w urzędzie. Czyli na przykład oddajemy notebook do naprawy, i co wtedy?

W 9 urzędach nie zidentyfikowano kluczowych elementów infrastruktury i usług z zakresu IT oraz nie ustalono ich zabezpieczenia pod kątem wpływu czynników zewnętrznych.

To, o czym tu już była mowa, iż w wielu urzędach nie zapewniono szkoleń dla pracowników, w 10 urzędach, czyli blisko w połowie. A w 9 nie przeprowadzono lub przeprowadzono w sposób nierzetelny audyt z zakresu bezpieczeństwa informacji, a taki audyt powinien być przeprowadzany corocznie.

Przedstawię teraz najważniejsze wnioski sformułowane po kontroli. Ze względu na skalę i zakres zidentyfikowanych nieprawidłowości, łącznie w tej kontroli w 24 jednostkach naliczyliśmy 222 nieprawidłowości.

Sformułowaliśmy taki wniosek o charakterze systemowym do ministra cyfryzacji o stałe wsparcie jednostek samorządu terytorialnego w zakresie wdrażania rozwiązań organizacyjnych i technicznych dotyczących bezpieczeństwa informacji oraz zapewnienie ciągłości działania urzędów. Tutaj podkreślę, iż nie chodzi o jednorazowe działanie, ale o zapewnienie stałego wsparcia, bo to jest sposób na budowę odporności państwa.

Jeżeli chodzi o wnioski do starostów, prezydentów, miast, burmistrzów i wójtów, to te nasze wnioski dotyczą opracowania i wdrożenia systemu zarządzania bezpieczeństwem informacji.

Kolejny wniosek o zapewnienie dokonywania okresowego przeglądu i aktualizacji systemu zarządzania bezpieczeństwem informacji.

Następny wniosek dotyczy ustanowienia polityk ciągłości działania oraz opracowania i wdrożenia planów zapewnienia ciągłości działania urzędów, planów odtworzeniowych oraz zapewnienia tego okresowego testowania tych planów, czy one rzeczywiście są adekwatne i czy rzeczywiście działają.

Kolejny wniosek o zapewnienie pracownikom odpowiednich szkoleń.

Kolejny wniosek o prowadzenie okresowych analiz ryzyka utraty informacji i danych.

Kolejny wniosek o wdrożenie rozwiązań zapewniających odpowiednie zabezpieczenie serwerowni.

Wniosek o regularne testowanie kopii zapasowych i adekwatne ich przechowywanie poza miejscem wytworzenia.

Wniosek o przeprowadzanie tego corocznego okresowego audytu wewnętrznego z zakresu bezpieczeństwa informacji.

Wniosek o przyznawanie i odbieranie pracownikom urzędów uprawnień w systemach informatycznych adekwatnie do realizowanych. Wydaje się, iż to jest coś, co nie wymaga żadnych szczególnych działań, tylko po prostu regularnego sprawdzania w miarę jak pracownikom są zmieniane zakresy obowiązków albo jak pracownicy kończą zatrudnienie w urzędzie. Chodzi też o egzekwowanie wdrożonych rozwiązań organizacyjnych. Nie wystarczy ustanowić procedurę, trzeba też sprawdzać, czy ona jest przestrzegana przez pracowników.

Wniosek kolejny dotyczył tej kwestii, o której już mówiłem, to jest zawieranie w umowach o świadczenie usług informatycznych postawień gwarantujących zabezpieczenie i poufność informacji.

Kolejna kwestia, też ważna, to objęcie nadzorem systemu instalowanego na urządzeniach mobilnych. Mam na myśli tablety, służbowe telefony komórkowe, ponieważ te urządzenia coraz częściej są wykorzystywane i tam też często mogą się znaleźć dane informacje, które wymagają ochrony, choćby o ile te urządzenia nie są bezpośrednio połączone z systemami informatycznymi urzędów.

Przejdę teraz może do efektów kontroli. Wartością dodaną kontroli było przede wszystkim to, iż kierownicy tych urzędów, w których przeprowadziliśmy kontrolę, uświadomili sobie, iż konieczne jest zapewnienie takiego kompleksowego podejścia do zapewnienia bezpieczeństwa informacji. Wielu kierowało choćby takie podziękowania do kontrolerów i uświadomili sobie, iż tu trzeba pewnego podejścia całościowego, iż trzeba zwrócić uwagę na to przygotowanie do działania w sytuacjach kryzysowych, do zapewnienia ciągłości działania. To jest bardzo ważne, właśnie chcę podkreślić, bo rosną zagrożenia nie tylko informatyczne, ale także te o charakterze hybrydowym w związku z tą sytuacją, jaką mamy za wschodnią granicą. To zapewnienie ciągłości działań to też jest pewien sposób na budowę odporności państwa.

Z tych nieprawidłowości, których było aż 222, 51 nieprawidłowości zostało usuniętych już w trakcie kontroli. Czyli widzicie państwo, to jest kwestia uświadomienia sobie ważności i konieczności podjęcia pewnych działań i niektóre działania można było podjąć już od razu w trakcie kontroli.

Po kontroli NIK skierowaliśmy w 24 wystąpieniach 171 wniosków pokontrolnych. Według stanu na 5 maja z tych 171 wniosków zrealizowane zostały już 144 wnioski, 27 było w trakcie realizacji.

Na końcu naszego raportu znajdą państwo stanowisko do informacji, które skierował minister cyfryzacji, w których poinformował o podjętych działaniach m.in w ramach realizacji projektu grantowego „Cyberbezpieczny Samorząd”. Realizacja tego projektu jest właśnie przedmiotem rozpoczętej niedawno kontroli NIK, o czym wspomniał pan prezes.

To chyba tyle z mojej strony. o ile będą pytania, postaram się odpowiedzieć. Dziękuję za uwagę.

Przewodniczący poseł Michał Krawczyk (KO):

Bardzo dziękuję. Otwieram dyskusję. Czy ktoś z państwa pragnie... Pan poseł Bliźniuk, bardzo proszę.

Poseł Paweł Bliźniuk (KO):

Chciałem podziękować za prezentację tego raportu i za tę kontrolę, którą państwo przeprowadzili. Wiem, iż być może dla wielu osób te tematy nie są pierwszorzędnymi, ponieważ mówimy o sprawach dotyczących świata, który najczęściej jest wirtualny i ciężko sobie wyobrazić w taki abstrakcyjny sposób, jakie konsekwencje mogą nas spotkać, o ile dojdzie do awarii, ataku bądź innego zdarzenia, którego być może choćby nie jesteśmy dzisiaj w stanie zaplanować.

Natomiast patrząc już na szczegóły tego raportu z państwa kontroli, to można zmierzyć się jednak z takim bardzo ponurym obrazem, w jakiej kondycji są jednostki samorządu terytorialnego. Panowie bardzo profesjonalnie przedstawili dane, natomiast ja mam takie poczucie, iż te dane są drastyczne. Mówimy o podstawowych elementach czy też procedurach związanych z bezpieczeństwem. Już nie mówię o bardziej wyrafinowanych kwestiach, moglibyśmy tutaj sporo o tym rozmawiać, ale takie sytuacje, gdzie nie ma tego planu zachowania ciągłości działania, gdzie nie weryfikujemy, w jaki sposób i co robią pracownicy na urządzeniach służbowych albo choćby tu są takie dane dotyczące tego, iż osoby nieuprawnione już po rozstaniu się zawodowym z instytucją, z urzędem, mają dostęp do systemów. przez cały czas nikt tego nie weryfikuje.

Sporo rozmawialiśmy o brakach finansowych, o problemach technologicznych, to oczywiście inny poziom problemów i wyzwań, przed jakimi stajemy jako państwo polskie, jako samorządy, ale mówimy tylko i wyłącznie o kwestiach organizacyjnych, które nie wymagają nie wiadomo jak technologicznej wiedzy, a mimo to również na tym poziomie mamy duże problemy. Mówimy też o podstawowych procedurach, sprawdzaniu tych systemów i tych mechanizmów, które powinniśmy implementować.

Jedyna jaskółka, która oczywiście wiosny tutaj nie czyni, to jest kwestia, iż jednak samorządy wskazują osoby odpowiedzialne za zgłaszanie incydentów w sytuacji ataku cybernetycznego. Natomiast to chyba jedyna informacja, gdzie rzeczywiście te samorządy – poza jednym, jeżeli dobrze zapamiętałem – wywiązały się ze swojego zobowiązania z ustawy o krajowym systemie cyberbezpieczeństwa.

Korzystając z okazji taki mój apel, myślę, iż wielokrotnie powtarzany, iż patrząc też jako osoba mająca pewne doświadczenie – bo kilka lat nadzorowałem wydział informatyki w mieście, odpowiadałem za informatyzację – duże miasta być może jakoś sobie poradzą, aczkolwiek nie jest tak różowo, jak niektórym się wydaje, ale te mniejsze samorządy są już bez szans, o ile chodzi o zapewnienie dostatecznych kadr, wiedzy, rozwiązań technologicznych, które są konieczne. Rzeczywiście ten proces, będziemy pewnie rozmawiali niedługo o kontroli związanej z programem „Cyberbezpieczny Samorząd”, wymaga zdecydowanych działań z pozycji właśnie Ministerstwa Cyfryzacji, które jest takim źródłem absolutnie najwyższej wiedzy, kwalifikacji, kompetencji i szczególnie na niższym poziomie w samorządzie, na mniejszych jednostkach samorządu, bez tego wsparcia, i to wieloaspektowego, samorząd sobie nie poradzi. Tylko taka uwaga, bo muszę na chwilę wyjść i zaraz wracam na Komisje. Na pięć minut. Tak iż tyle.

Przewodniczący poseł Michał Krawczyk (KO):

Bardzo dziękuję. Pani chce zabrać głos? Bardzo proszę. Proszę o przedstawienie się.

Przedstawicielka Stowarzyszenia Absolwentów Elektroniki na Politechnice Warszawskiej @ELKAPW Joanna Karczewska:

Nazywam się Joanna Karczewska, jestem absolwentką Wydziału Elektroniki Politechniki Warszawskiej. Zajmuję się cyberbezpieczeństwem, bezpieczeństwem informacji i ochroną danych osobowych.

Przygotowując się do dzisiejszego posiedzenia, zestawiłam trzy kontrole Najwyższej Izby Kontroli. Pierwsza była w 2013, objęła 24 jednostki sektora samorządu terytorialnego. Druga była w 2018, to były 23 jednostki. Trzecia właśnie dzisiaj jest prezentowana.

I niestety, patrząc na procenty, nic nie drgnęło. Nic absolutnie. choćby w niektórych przypadkach, w niektórych zagadnieniach, w niektórych kwestiach jest gorzej. Może to choćby nie jest ponury obraz, pozostało gorzej. A z drugiej strony wszystkie kontrole NIK potwierdzają, iż o ile ktoś przyjdzie, szczególnie do mniejszych samorządów, choćby do niewielkich miast i pokaże: „Słuchajcie, zwróćcie jeszcze uwagę na to, na coś innego, bo to wychodzi właśnie z raportów”, to oni od razu to poprawiają. Właśnie tak jak pan dyrektor wspomniał, choćby dziękują. I tu jest największy problem – nie ma wsparcia. Ja nie wiem, czasami Ministerstwo Cyfryzacji chce pomagać, czasami nie chce.

Jak parę lat temu była rekomendacja NIK, żeby stworzyć portal wiedzy to stwierdzili, iż to w ogóle nie jest potrzebne obywatelom itd.

Współpracując z samorządami ja nie widzę…Zresztą w 2013 r. jak weszło KRI, to ja jeździłam po Polsce i przeszkoliłam kilkuset audytorów wewnętrznych, żeby właśnie były prowadzone audyty KRI. Dałam im też zestaw pytań, z którego mogli skorzystać. Właśnie podstawowe rzeczy. To na co pan poseł zwrócił uwagę – wiele z punktów nie wymaga jakiejś superwiedzy, tym niech się zajmą eksperci. To są podstawowe rzeczy typu czy w ogóle robimy kopie zapasowe, czy nie. A jak zgłaszam incydent. A czy w ogóle mamy jeden dokument, który nam pomoże narzucić podstawowe reguły dostarczania bezpieczeństwa i ochrony danych osobowych. Na to należy patrzeć wspólnie. Bardzo dobrze, iż w kontroli oba zagadnienia ujęto razem, bo są tacy, którzy rozdzielają, tutaj było to razem analizowane. To nie wymaga jakichś rocket science.

Ale skąd mają wziąć wiedzę? Skąd? Właśnie to jest największy problem. Samorządowcy, włodarze gmin, miast nie mają też wsparcia. To jest to, o czym ja już wielokrotnie mówiłam na komisji cyfryzacji. Tak zwany governance, czyli rządzenie. Niech im ktoś wskaże podstawowe pytania, które powinni zadawać, raz do roku.

Mają przecież wsparcie w postaci audytora wewnętrznego, jest też inspektor ochrony danych, bo tutaj wszystkie badane jednostki mają taką osobę. Inspektor ochrony danych ma w swoich obowiązkach prowadzenie audytu. Niech będzie podstawowy zestaw pytań. To jest kwestia dwóch dni. Zadanie pytań, sprawdzenie, czy odpowiedzi są prawdziwe i zwrotna informacja dla włodarzy. I oni wtedy mogą podejmować dalsze decyzje.

Natomiast powstała jedna wielka próżnia. I dopiero jak przychodzą eksperci Najwyższej Izby Kontroli i mówią: „Tutaj macie taki wymóg, to trzeba sprawdzić, to trzeba robić”. No tak, nikt im tego nie wskazał.

Jeżeli nie uporamy się z tym problemem, o ile nie będziemy potrafili zapewnić wsparcia…Tylko pytanie, kto to ma robić, bo nie wiem – Ministerstwo Cyfryzacji, NASK? Autentycznie jest wielka próżnia. I to jest dobry moment, żeby wreszcie stworzyć system. Ten system zarządzania bezpieczeństwem informacji w skali całego państwa dla mniejszych i większych jednostek, żeby to było spójne.

Pracując w tej chwili na najniższym szczeblu, czyli na poziomie jednostek oświatowych, widzę absolutny brak jakichkolwiek działań wsparcia. I gdybym ja tam nie była, to wiem, jakby to wyglądało. Więc ja jestem w stanie oceniać z najwyższego poziomu jako ekspert Najwyższej Izby Kontroli, bo pracowałam przy kilku kontrolach, jak i na najniższym szczeblu. Jestem też certyfikowanym audytorem systemów informatycznych, więc też potrafię ocenić, iż jest źle. Dziękuję.

Przewodniczący poseł Michał Krawczyk (KO):

Bardzo dziękuję. Pan poseł Bliźniuk.

Poseł Paweł Bliźniuk (KO):

Ja tylko trzy zdania. Proszę potraktować moją wypowiedź jako taki znak. Uważam, iż to co się dzieje, o ile chodzi o większą świadomość społeczną i to, iż Ministerstwo Cyfryzacji od półtora roku pracuje i wypracowuje strategię cyfryzacji państwa polskiego, gdzie istotnym komponentem jest podnoszenie tej świadomości cyfrowej również w samorządach i tych najmniejszych, to, iż coraz większe środki trafiają również do samorządów, to są bardzo pozytywne sygnały.

Jesteśmy w sytuacji, gdzie mamy bardzo wyspecjalizowaną, kompetentną jednostkę w ramach władz najwyższych, czyli w ramach rządu – Ministerstwo Cyfryzacji, które dba i opiekuje się, o ile chodzi o cyfryzację w taki bardzo kompleksowy sposób.

Będąc beneficjentem różnych rozwiązań legislacyjnych na przestrzeni lat, miałem takie poczucie, iż uchwalano prawa, a nie dawano nam samorządowcom instrukcji obsługi i pozostawiano nas samych sobie z tymi wyzwaniami wynikającymi z nowych rozwiązań prawnych.

Dzisiaj jest zupełnie inaczej. Chcielibyśmy, żeby to wszystko się zmieniło z dnia na dzień, ale dzisiaj mamy sytuację, iż ta zmiana postępuje.

Mamy też duże środki związane z budowaniem odporności państwa polskiego w różnych wymiarach. Będziemy rozwijać obronę cywilną, to bardzo kompleksowe zagadnienie, wymagające pracy w taki sposób holistyczny, obejmujące różne nasze przestrzenie życiowe, również funkcjonowanie samorządu. Ja mam poczucie, iż jesteśmy w takiej chwili, gdzie te okoliczności spowodują sumarycznie, iż rzeczywiście, jak będziemy rozmawiać w przyszłych latach o kolejnych państwa raportach, to te dane zdecydowanie będą bardziej optymistyczne.

I myślę, żeby jako Komisja – ja jestem akurat w komisji cyfryzacji, też jest tu komisja samorządu terytorialnego – jesteśmy za tym, żeby wspierać tego typu rozwiązania, również pracować nad nimi w ramach naszych codziennych prac w Sejmie. Dziękuję.

Przewodniczący poseł Michał Krawczyk (KO):

Bardzo dziękuję. Pan minister się zgłaszał. Bardzo proszę, pan minister Standerski.

Sekretarz stanu w MC Dariusz Standerski:

Bardzo serdecznie dziękuję, panie przewodniczący. Przede wszystkim chciałbym bardzo podziękować za pracę Najwyższej Izby Kontroli przy tym zagadnieniu niezwykle ważnym i kluczowym także dla Krajowego Systemu Cyberbezpieczeństwa.

Natomiast w zakresie wyników tej kontroli to też jest bardzo interesująca obserwacja, jak samorządy zauważyły problem i mając tę wiedzę, mając tę świadomość tam, gdzie to było możliwe, bardzo często rozwiązywały ten problem. I to też bardzo często jest kwestia takiego poziomu zarządczego, który już jest poza mocą ministra cyfryzacji z tego względu, iż Ministerstwo Cyfryzacji regularnie prowadzi szkolenia online dla pracowników podmiotów publicznych. Na przykład 24 kwietnia szkolenie z zakresu wprowadzenia do systemu zarządzania bezpieczeństwem informacji. Szkolenie obejmowało następujące zagadnienia. Czym jest ten system? Dlaczego potrzebujemy takiego systemu w instytucji? Z jakich elementów się składa? Jak skutecznie wdrożyć? Organizacja procesu, dobre praktyki, elementy, na które należy zwrócić uwagę.

Rejestracja jest otwarta. Na dwa dni przed takim szkoleniem można się zarejestrować i w nim uczestniczyć. Natomiast problem jest taki, iż trzeba czuć potrzebę takiego szkolenia. To jest szkolenie dobrowolne. W związku z czym, o ile w danej jednostce samorządu terytorialnego nie ma takiej potrzeby, żeby uczestniczyć w szkoleniu, to nie jest ono obowiązkowe. To jest ten problem, który jest u źródła wielu takich spraw w jednostkach samorządu terytorialnego, co też było wynikiem kontroli, iż wielu z nich nie ma po prostu świadomości, iż to jest ważne i potrzebne. I trudno tutaj już ze strony Ministerstwa Cyfryzacji powtarzać każdemu – czy włodarzowi, czy sekretarzowi miasta czy gminy, żeby sprawdzać podstawowe obowiązki wynikające z ustawy.

I jak często, i w jakim zakresie realizowane są te szkolenia? Na przykład 15 maja, czyli za tydzień, odbędzie się szkolenie z audytu wewnętrznego systemu, gdzie w ramach programu Ministerstwa Cyfryzacji będzie kompleksowo wyjaśniane, jak audytować system w zakresie systemu zarządzania bezpieczeństwem informacji. Gorąco zachęcam wszystkich oglądających nas przedstawicieli samorządów do zgłaszania się. Termin do zgłaszania się to 14 maja do godz. 13.00. Cały harmonogram jest dostępny.

W związku z tym po stronie Ministerstwa Cyfryzacji ta możliwość jest. Im więcej będzie chętnych, tym bardziej będziemy się cieszyć. To jest szkolenie online, jak przetestowaliśmy limity, to mamy 2 tys. osób w limicie, więc to nie jest problem. o ile będzie większe zainteresowanie, to po prostu powtórzymy dane szkolenie. Tylko trzeba zidentyfikować tę potrzebę. Dziękuję.

Przewodniczący poseł Michał Krawczyk (KO):

Bardzo dziękuję. Pan przewodniczący Pejo, proszę bardzo.

Poseł Bartłomiej Pejo (Konfederacja):

Tym razem ja w stu procentach zgadzam się z panem ministrem. Oczywiście musimy budować tę świadomość.

Jednocześnie mam pytanie: jak państwo rekrutujecie samorządy do takich szkoleń? W jaki sposób ta informacja dociera do samorządów, czy też jak może dotrzeć? Czy tutaj jest jakaś możliwość, jakaś przestrzeń do poprawy w kwestii docierania z tą informacją do samorządów?

I jeszcze mam pytanie do pana dyrektora z NIK: czy bezpieczeństwo danych było wnikliwie badane w takim podziale na bezpieczeństwo i zastosowanie chmur w samorządach w porównaniu do tradycyjnych serwerów? Czy państwo macie takie wnioski? Czy dane są bardziej bezpieczne w tych samorządach, które wykorzystują chmury, czy też w samorządach, które funkcjonują na tradycyjnych serwerach?

Moje spostrzeżenie jest takie, iż musimy budować tę świadomość, jeżeli chodzi o bezpieczeństwo danych właśnie w samorządach, bo włodarze samorządowi mają duże obiekcje co do bezpieczeństwa danych w chmurach, co jest – oczywiście w moim przekonaniu – mylnym spostrzeżeniem. Powinniśmy budować tę świadomość właśnie o bezpieczeństwie danych w chmurach i to jest rola nas wszystkich tutaj obecnych. Dziękuję bardzo.

Przewodniczący poseł Michał Krawczyk (KO):

Bardzo dziękuję.

Jeszcze dopytam, bo pan i pan minister powiedzieliście o tym – taki wniosek można wysnuć z państwa wypowiedzi – iż samorządy trochę bagatelizują kwestie bezpieczeństwa danych, którymi się posługują. Trochę nie chcę mi się w to wierzyć i zastanawiam się, jaka może być przyczyna tej sytuacji, bo rozumiem statystyki, rozumiem wyniki kontroli i zastanawiam się, czy przyczyną sytuacji nie jest to, o czym mówią samorządowcy, to znaczy brak możliwości zatrudniania wystarczającej liczby osób w działach IT w samorządach, dlatego iż samorządy po prostu nie są w stanie spełnić wymagań finansowych osób, które są specjalistami, szczególnie właśnie w tym zakresie, o którym mówimy, czyli w zakresie bezpieczeństwa danych, bo wiemy, iż to bezpieczeństwo w tym momencie jest najważniejsze w bardzo wielu firmach i specjaliści od bezpieczeństwa danych, od bezpieczeństwa informacji, informatycy w takiej specjalności są rozchwytywani na rynku.

Czy praprzyczyną tego nie jest właśnie to, iż samorządy nie są w stanie po prostu zatrudniać takich osób, bo trochę mi się nie chce wierzyć, iż samorządowcy bagatelizują tak masowo w Polsce tę kwestię.

Dziękuję, pytania padły.

Przedstawicielka Stowarzyszenia Absolwentów Elektroniki na Politechnice Warszawskiej @ELKAPW Joanna Karczewska:

Jeżeli mogę, ja absolutnie nie uważam, iż bagatelizują, tylko iż nie mają wsparcia. Bo ja z nimi współpracuję.

Przewodniczący poseł Michał Krawczyk (KO):

To jest pytanie, co to znaczy nie mają wsparcia. Jakiego rodzaju wsparcia? Ja będę stał przy swojej tezie, iż nie mają możliwości zatrudnienia odpowiedniej liczby odpowiednio wykwalifikowanych pracowników, bo po prostu nie mają na to środków finansowych po to, żeby ci ludzie…

Przedstawicielka Stowarzyszenia Absolwentów Elektroniki na Politechnice Warszawskiej @ELKAPW Joanna Karczewska:

To swoją drogą, tak.

Przewodniczący poseł Michał Krawczyk (KO):

Później poszli na to szkolenie, na wysokim poziomie zapewnili bezpieczeństwo danych, czy chociażby wywiązali się z tych wszystkich 12 punktów, które państwo jako NIK sformułowaliście.

Nie wiem, czy tak jest, ale mam obawy, iż właśnie to może być przyczyną tej sytuacji.

Pan minister, pan prezes, bardzo proszę.

Sekretarz stanu w MC Dariusz Standerski:

Proszę, panie prezesie.

Wiceprezes NIK Jacek Kozłowski:

Pytanie było skierowane do nas. Może pan dyrektor odpowie. Pan dyrektor też powie o konkretnych projektach na następne kontrole, które chcemy umieścić w przyszłorocznym planie działalności kontrolnej NIK. To może być interesujące dla państwa, ale ja chcę podkreślić, iż to nie pozostało zakończony proces, iż ten plan pracy…Mamy już wnioski zebrane z komisji sejmowych, z administracji rządowej, z Kancelarii Prezydenta, ale jeszcze nad nim pracujemy i nie wszystko jesteśmy w stanie zrobić.

Bardzo proszę, panie dyrektorze.

P.o. wicedyrektor departamentu NIK Dariusz Łubian:

Dziękuję bardzo. o ile chodzi o te zagadnienia, które planujemy objąć badaniami w przyszłym roku– oczywiście to są wstępne zamierzenia – to chcemy przymierzyć się do zbadania przygotowania administracji właśnie do wdrożenia tych rozwiązań z zakresu sztucznej inteligencji.

A drugim tematem, który rozważamy, jest wykorzystanie tej wspólnej infrastruktury chmurowej państwa w administracji publicznej. Przy okazji spróbujemy zorientować się, jak to jest generalnie z tym korzystaniem. Czy to korzystanie w ogóle jest i w jaki sposób ono się odbywa.

Wiceprezes NIK Jacek Kozłowski:

Tam było jeszcze pytanie.

Poseł Bartłomiej Pejo (Konfederacja):

Przepraszam, jak rozumiem na ten moment ani NIK, ani ministerstwo nie ma takich danych na temat wykorzystania chmury w samorządach.

P.o. wicedyrektor departamentu NIK Dariusz Łubian:

My też nie mamy takich danych.

Wiceprezes NIK Jacek Kozłowski:

Ja tylko podkreślę, iż to są na razie dwie propozycje zgłoszone przez Departament Administracji Publicznej do przyszłorocznego planu kontroli, który jeszcze nie został zamknięty i nie jest formalnie zatwierdzony. My musimy przedstawić go Kolegium Najwyższej Izby Kontroli, która w drugiej połowie roku będzie akceptowała ten plan. Nad nim teraz pracujemy.

Przewodniczący poseł Michał Krawczyk (KO):

Dziękuję. Pan minister jeszcze, bardzo proszę.

Sekretarz stanu w MC Dariusz Standerski:

Bardzo dziękuję. Moim zdaniem mamy tutaj dwa trochę różne obszary: obszar tworzenia systemu zarządzania bezpieczeństwem informacji i polityki bezpieczeństwa informacji oraz ten proces stałego nadzoru nad systemami.

I jak też wynika z kontroli, bardzo często problem jest już na poziomie tego dokumentu zarządczego. I dokument dotyczący systemu zarządzania bezpieczeństwem informacji nie wymaga zatrudniania informatyków. Tego nie piszą informatycy, bo najprościej ujmując, taki system zarządzania bezpieczeństwem informacji w jednostce wskazuje, która komórka organizacyjna jest odpowiedzialna za dany obszar i jakie są przyjmowane procedury wewnętrzne dotyczące właśnie zabezpieczenia i zachowania ciągłości. To jest zadanie w ramach, można powiedzieć, legislacji wewnętrznej i w ramach właśnie organizacji. Tutaj akurat problem braku wyspecjalizowanych osób w danej jednostce nie jest na tyle poważny i dlatego też Ministerstwo Cyfryzacji organizuje szkolenia, żeby podnosić kompetencje urzędników w tym zakresie. I z punktu widzenia umiejętności to jest akurat wystarczające. Nie potrzebujemy kwalifikacji IT w tym zakresie.

W tym punkcie można wskazać, iż potrzeby samorządów dotyczyłyby być może przypominania, być może systemu zachęt, żeby zajmowały się tymi zagadnieniami w sposób bardziej codzienny.

Natomiast o ile chodzi o nadzór nad systemami, to tutaj identyfikujemy poważny problem, który będzie coraz bardziej widoczny w następnych latach. I tutaj właśnie o tym rozmawiamy na poziomie unijnym, ponieważ tak jak dzisiaj mamy Fundusz Cyberbezpieczeństwa na poziomie rządowym i dzięki temu, iż mamy Fundusz Cyberbezpieczeństwa, administracja rządowa może zatrudniać specjalistów w zakresie IT, to uważam, iż w przyszłości powinniśmy mieć podobne rozwiązania na poziomie samorządowym właśnie do celów bieżącego utrzymania systemów i nadzoru nad cyberbezpieczeństwem.

Natomiast to są dwa różne obszary, do których musimy stosować różne rozwiązania, dlatego o ile chodzi o system zarządzania bezpieczeństwem i informacji, ja jestem zwolennikiem zachęt. Nie chciałbym, żebyśmy wprowadzali twardy obowiązek, który skończyłby się karami i ściganiem tych samorządów, ale jakiś system wspierający chęć zajęcia się tym tematem na wyższym priorytecie niż innymi byłby ważny.

Natomiast druga sprawa to te środki, zwłaszcza z Unii Europejskiej na wsparcie kadrowe, o ile chodzi o bieżące utrzymanie systemów. Dziękuję.

Przewodniczący poseł Michał Krawczyk (KO):

Bardzo dziękuję. Nie widzę więcej zgłoszeń w dyskusji. A, jeszcze tutaj, bardzo proszę.

Jarosław Bartniczuk ekspert do spraw cyberbezpieczeństwa i bezpieczeństwa informacji, bezpieczeństwa biznesu Business Centre Club:

Dzień dobry, Jarosław Bartniczuk, ekspert Business Centre Club.

Panie ministrze, ja mam takie pytanie, czy ministerstwo nie rozważało też systemu zachęt, żeby samorządy korzystały ze wsparcia firm zewnętrznych, czyli partnerstwa publiczno-prywatnego, bo to nie jest kwestia tylko braku pieniędzy, ale braku ekspertów. Często jest tak, iż takie usługi audytowe, audytorskie czy wdrażanie systemu zarządzania bezpieczeństwem przez zewnętrzną firmę są o wiele tańsze niż zatrudnianie ludzi, których i tak brakuje na rynku. To jest do rozważenia. Oczywiście w obszarze, gdzie jest odpowiednia klauzula dostępu do informacji, gdzie taka kooperacja jest możliwa.

A druga rzecz, to taka moja konkluzja i doświadczenie, iż system szkoleń, który jest dobrowolny i nierozliczany, jest bardzo mało efektywny. Z naszego doświadczenia wynika, iż w firmach czy korporacjach, nigdy takich szkoleń nie rozliczamy. Biorący udział w szkoleniu w ogóle się do tego nie przykładają, a skoro nie muszą, to w ogóle nie biorą udziału. Zachęcałbym do przemyślenia, iż może jednak warto byłoby wprowadzić taką rozliczalność. Wtedy to będzie bardziej efektywne. Dziękuję.

Przewodniczący poseł Michał Krawczyk (KO):

Pan minister.

Sekretarz stanu w MC Dariusz Standerski:

Bardzo dziękuję za tę uwagę. Też chciałbym zwrócić uwagę na to, iż na przykład duża część szkoleń w zakresie SZB jest prowadzona przez firmy zewnętrzne. W ramach programu PW eSkills jest otwarty przetarg na świadczenie takich usług. o ile to jest firma zewnętrzna, to za każdym razem jest również informacja, jaka firma prowadzi szkolenie. Więc to też jest warte rozważenia. Dzisiaj samorządy terytorialne mają możliwość korzystania z usług zewnętrznych. Natomiast problemem w mniejszych samorządach jest też to, iż choćby w tym zakresie mamy często niewystarczającą podaż. I to też jest wyzwanie, na które musimy odpowiedzieć.

Natomiast o ile chodzi o rozliczalność szkoleń, to chętnie będziemy zbierać uwagi w tym zakresie, bo powiem szczerze, iż w tej chwili trudno mi wskazać, w jaki sposób my z poziomu Ministerstwa moglibyśmy prowadzić takie rozliczenia. Dziękuję.

Przewodniczący poseł Michał Krawczyk (KO):

Bardzo dziękuję. Nie widzę więcej zgłoszeń w dyskusji. Zamykam dyskusję.

Wobec wyczerpania porządku obrad zamykam posiedzenie Komisji. Bardzo państwu dziękuję.