Ransomware in Nowa Ruda — the Fourth Town Hall and the Mayor's New Liability

We wtorek 23 czerwca 2026 roku pracownicy Urzędu Miejskiego w Nowej Rudzie zastali komputery, które odmówiły posłuszeństwa. Zamiast porannych spraw — wniosków o dowód, zgłoszeń meldunkowych, decyzji podatkowych — na ekranach pojawił się komunikat o zaszyfrowaniu plików. W ciągu kilku godzin na stronie Biuletynu Informacji Publicznej tej dolnośląskiej gminy wisiał już oficjalny komunikat: doszło do ataku ransomware na infrastrukturę teleinformatyczną urzędu, część danych na serwerach i komputerach pracowników została zaszyfrowana, a nieuprawnionego dostępu do plików, w tym danych osobowych mieszkańców, nie da się wykluczyć. Pod komunikatem — adres inspektora ochrony danych i prośba o czujność. Tak wygląda dzień, w którym samorząd dowiaduje się, że jest celem, a nie obserwatorem.

Nowa Ruda nie jest przypadkiem osobnym ani egzotycznym. To czwarty polski urząd najniższego szczebla zaatakowany ransomware'em w pierwszej połowie 2026 roku — po Obrazowie, Myszkowie i Lewinie Kłodzkim. I co istotniejsze, to pierwszy taki atak rozegrany już w nowym reżimie prawnym, w którym za stan cyberbezpieczeństwa gminy odpowiada osobiście — i finansowo — jej kierownik. Burmistrz, wójt, prezydent. Nie informatyk, nie firma zewnętrzna, nie „sytuacja". Dla każdego, kto zarządza jednostką samorządu terytorialnego, spółką komunalną albo podległą placówką, ta sprawa to nie kolejna ciekawostka z branżowego portalu. To instruktaż, czego nie wolno zostawić na po wakacjach.

23 czerwca, rano: kronika jednego ataku

Z opublikowanych informacji wyłania się przebieg, który specjalista od reagowania na incydenty rozpozna natychmiast. Złośliwe oprogramowanie zaszyfrowało część danych przechowywanych na serwerach oraz na komputerach pracowników. Atak dosięgnął nie tylko pojedynczych stacji, lecz elementów infrastruktury sieciowej, w tym środowiska wirtualizacji, na którym oparta była praca systemów urzędu. To różnica fundamentalna: gdy szyfrowaniu ulega warstwa wirtualizacji, przestaje działać nie jeden komputer, ale całe podwórko maszyn wirtualnych naraz — dziedzinowe systemy, bazy, usługi wewnętrzne.

Reakcja była podręcznikowa i zasługuje na uznanie: po wykryciu incydentu serwery natychmiast odłączono od sieci, a następnie podjęto działania zabezpieczające i ograniczające skutki. Odcięcie zainfekowanej infrastruktury to pierwsza dobra decyzja w każdym scenariuszu ransomware — zatrzymuje rozprzestrzenianie i zamraża stan na potrzeby późniejszej analizy. Urząd zakomunikował też uczciwie to, czego na tym etapie nie wiadomo: czy i jakie dane wypłynęły. W przypadku gminy mówimy o danych z ewidencji ludności, urzędu stanu cywilnego, podatków lokalnych, świadczeń — czyli o numerach PESEL, adresach, danych o rodzinie i majątku. To nie jest baza adresów e-mail. To zestaw, na podstawie którego można zaciągnąć zobowiązanie na cudze nazwisko.

Czego na dzień publikacji nie wiadomo, jest równie wymowne jak to, co już ustalono. Nie podano, jakiej rodziny ransomware'u użyto, czy napastnicy zażądali okupu i czy przed zaszyfrowaniem zdążyli dane wykraść. To ostatnie pytanie jest dziś najważniejsze, bo współczesny ransomware rzadko poprzestaje na szyfrowaniu — dominuje model podwójnego wymuszenia, w którym przestępcy najpierw kopiują dane, a dopiero potem je szyfrują, by mieć czym szantażować ofiarę, gdy ta odtworzy systemy z kopii. Dla urzędu oznacza to rzecz niewygodną: nawet sprawne przywrócenie danych z backupu nie zamyka sprawy, bo jeśli kopia danych mieszkańców trafiła w ręce napastnika, zagrożenie dla tych ludzi trwa niezależnie od tego, czy gmina odzyskała dostęp do swoich plików. Ustalenie, czy doszło do eksfiltracji, to zadanie dla informatyki śledczej — i właśnie dlatego jedną z pierwszych decyzji po odcięciu sieci powinno być zabezpieczenie logów i obrazów systemów, a nie pośpieszne czyszczenie i stawianie wszystkiego od nowa.

Czwarty urząd w pół roku — to już nie pech

Pojedynczy atak można złożyć na karb przypadku. Czterech w pół roku — nie. Gmina Obrazów padła ofiarą ransomware 9 lutego 2026 roku, Urząd Miejski w Lewinie Kłodzkim 4 maja, w międzyczasie zaatakowano Myszków, a 23 czerwca przyszła kolej na Nową Rudę. Dwie z tych miejscowości — Lewin Kłodzki i Nowa Ruda — leżą w powiecie kłodzkim, w odległości kilkunastu kilometrów od siebie. To nie zbieg okoliczności, lecz wzorzec: napastnicy znajdują typ ofiary, który się opłaca, i przerabiają go seryjnie, region po regionie.

Tłem tej serii są twarde liczby. W raporcie rocznym opublikowanym w kwietniu 2026 roku podczas konferencji SECURE CERT Polska podał, że w 2025 roku odnotował 179 ataków ransomware — więcej niż rok wcześniej — z czego trzydzieści dotknęło instytucje publiczne. W skali całego kraju zespół zarejestrował rekordowe ćwierć miliona z górą incydentów, średnio blisko dwa tysiące dziennie, co oznacza wzrost o sto pięćdziesiąt dwa procent rok do roku. Fala, którą opisaliśmy szczegółowo przy okazji wiosennej serii ataków na szpitale i samorządy, nie opadła latem — przesunęła się jedynie z sektora ochrony zdrowia w stronę najsłabiej chronionych urzędów gminnych.

Skala zjawiska przebiła się już do polityki. Seria ataków na polskie urzędy stała się przedmiotem interpelacji poselskiej, a analitycy bezpieczeństwa wskazują, że za część uderzeń w samorządy odpowiada zorganizowana, powtarzalna w metodach aktywność, a nie przypadkowi sprawcy. To zmienia sposób, w jaki należy czytać atak na pojedynczą gminę — Nowa Ruda nie jest celem wybranym dlatego, że ktoś miał coś do tego konkretnego miasta, lecz dlatego, że pasuje do profilu ofiary, który napastnicy zdążyli już raz przerobić z zyskiem. Każdy urząd gminny w Polsce powinien więc przyjąć założenie, że znajduje się na tej samej liście, a pytanie nie brzmi „czy", lecz „kiedy".

Drugie uderzenie: oszuści dzwonią do mieszkańców

Najbardziej pouczający element sprawy Nowej Rudy rozegrał się już po samym szyfrowaniu. Wkrótce po publikacji komunikatu o ataku do mieszkańców zaczęli odzywać się oszuści, podszywając się pod urząd i próbując pod pozorem „weryfikacji po incydencie" wyłudzić dane oraz pieniądze. To klasyczne drugie uderzenie, które towarzyszy dziś niemal każdemu nagłośnionemu atakowi na instytucję publiczną — i które bywa groźniejsze dla pojedynczego obywatela niż samo zaszyfrowanie serwerów.

Mechanizm jest perfidnie prosty. Atak na urząd staje się informacją publiczną, bo gmina ma obowiązek poinformować mieszkańców. Przestępcy czytają ten sam komunikat co wszyscy i wykorzystują wytworzony nim niepokój: dzwonią, piszą SMS-y, wysyłają e-maile, w których „urzędnik" albo „informatyk" prosi o potwierdzenie numeru PESEL, danych logowania do systemu świadczeń czy o przelew „weryfikacyjny". Ofiara, która właśnie usłyszała, że jej dane mogły wyciec, jest psychologicznie rozbrojona — spodziewa się kontaktu i chce współpracować. Dlatego komunikat kryzysowy samorządu musi z góry zawierać jasne ostrzeżenie: urząd nigdy nie poprosi o hasło ani o przelew, a jedyne prawdziwe kanały kontaktu to te wskazane na oficjalnej stronie. Reagowanie na incydent nie kończy się na przywróceniu serwerów; obejmuje ochronę ludzi przed tym, co dzieje się w cieniu ataku.

Dlaczego urząd to łatwy i łakomy cel

Samorząd łączy dwie cechy, które dla napastnika są wymarzone: cenne dane i słabą obronę. Po stronie danych urząd gminy to skarbnica — ewidencja ludności, akta stanu cywilnego, rejestry podatkowe, świadczenia rodzinne, dane o nieruchomościach. Po stronie obrony króluje typowy zestaw zaniedbań średniej polskiej instytucji: systemy dziedzinowe w wersjach sprzed lat, jedna płaska sieć bez segmentacji, w której zainfekowanie księgowości otwiera drogę do wszystkiego, kopie zapasowe trzymane na tym samym serwerze, który właśnie zaszyfrowano, oraz jeden przeciążony informatyk łączący rolę administratora, helpdesku i — coraz częściej — pełnomocnika do spraw cyberbezpieczeństwa.

Do tego dochodzi kwestia, o której mówi się niechętnie: budżet. Gmina, która od lat odkłada wymianę przestarzałego sprzętu i odmawia środków na szkolenia, w dniu ataku odkrywa, że oszczędność była pozorna. Koszt odtworzenia systemów, przestoju usług dla mieszkańców, obsługi prawnej naruszenia i utraty zaufania wielokrotnie przewyższa to, czego nie wydano na profilaktykę. Ransomware nie wybiera ofiar najbogatszych — wybiera najłatwiejsze. A urząd, który traktuje informatykę jako koszt do ścięcia, sam ustawia się na początku tej kolejki. Pisaliśmy o tym, dlaczego cyberbezpieczny samorząd to dziś projekt zarządczy, a nie informatyczny.

Łańcuch dostaw: słabym ogniwem bywa dostawca

Obraz urzędu broniącego się w pojedynkę jest myląco niepełny, bo większość samorządów nie utrzymuje swoich systemów samodzielnie. Systemy dziedzinowe — do ewidencji ludności, podatków, księgowości, obsługi rady — dostarczają i serwisują firmy zewnętrzne, które łączą się z infrastrukturą urzędu zdalnie, często przez ten sam, latami nietknięty kanał dostępu. Z perspektywy napastnika dostawca z dostępem do dziesiątek gmin jest celem znacznie atrakcyjniejszym niż pojedynczy urząd, bo jedno włamanie otwiera drzwi do wielu ofiar naraz. To dlatego znowelizowana ustawa o KSC i dyrektywa NIS-2 każą włączyć łańcuch dostaw wprost do analizy ryzyka — bezpieczeństwo jednostki jest dziś tylko tak mocne, jak najsłabszy z jej dostawców.

W praktyce oznacza to konkretne pytania, które kierownik jednostki musi zadać każdemu serwisantowi i każdej firmie wdrożeniowej. Jak dostawca uwierzytelnia zdalny dostęp do naszych systemów i czy jest on chroniony drugim składnikiem. Czy konta serwisowe są imienne i odbierane, gdy pracownik dostawcy odchodzi z firmy. Czy umowa nakłada na dostawcę obowiązek zgłaszania incydentów po jego stronie i w jakim czasie. Czy mamy prawo zweryfikować jego zabezpieczenia. Brak odpowiedzi na te pytania nie jest stanem neutralnym — to otwarte drzwi, za które od 3 kwietnia odpowiada nie dostawca, lecz kierownik podmiotu, który mu zaufał. Ten sam mechanizm zależności od podwykonawcy potrafi zresztą uruchomić odpowiedzialność na gruncie RODO, o czym pisaliśmy przy okazji kary dla DPD za wadliwy łańcuch powierzenia.

Od 3 kwietnia to burmistrz odpowiada osobiście

I tu dochodzimy do tego, co odróżnia Nową Rudę od ataków sprzed roku. Od 3 kwietnia 2026 roku obowiązuje znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa (UKSC), wdrażająca do polskiego prawa dyrektywę NIS-2. Przeniosła ona odpowiedzialność za cyfrowe bezpieczeństwo jednostki tam, gdzie zgodnie z logiką dyrektywy powinna być od początku — na samą górę. Wójt, burmistrz i prezydent miasta ponoszą dziś osobistą odpowiedzialność za stan cyberbezpieczeństwa kierowanej przez siebie jednostki, a odpowiedzialność ta ma wymiar finansowy.

Nie jest to odpowiedzialność abstrakcyjna. Organ właściwy może nałożyć karę pieniężną na kierownika podmiotu między innymi za brak wpisu do wykazu podmiotów kluczowych i ważnych, za niewdrożenie systemu zarządzania bezpieczeństwem informacji, za nieprzeprowadzanie wymaganych audytów, za wadliwą obsługę incydentów, za zaniechanie weryfikacji niekaralności osób zajmujących się cyberbezpieczeństwem, wreszcie za nieuczestniczenie w obowiązkowych szkoleniach. Według doniesień prasy samorządowej kara wobec kierownika może sięgnąć nawet trzystu procent jego wynagrodzenia. Kluczowe są przy tym obowiązki, których nie da się scedować na nikogo: to kierownik osobiście zatwierdza analizę ryzyka i dobór środków technicznych i organizacyjnych, to on ma zapewnić w budżecie jednostki środki na wdrożenie zabezpieczeń i to on — nie wyręczony przez nikogo zastępca — ma uczestniczyć w szkoleniach. Szczegółowo rozłożyliśmy te obowiązki na czynniki pierwsze w analizie nowelizacji KSC po 3 kwietnia. Sens zmiany jest jeden: podpis pod polityką bezpieczeństwa, której się nie rozumie i nie egzekwuje, przestał być tarczą, a stał się dowodem.

Ta zmiana ma głębszy sens niż samo straszenie karą. Przez lata cyberbezpieczeństwo urzędu traktowano jak problem techniczny, który „załatwia informatyk", a kierownictwo interesowało się nim najwyżej przy podpisywaniu faktury za program antywirusowy. Nowy reżim odwraca tę logikę, i słusznie: skoro decyzje o budżecie, o priorytetach i o tym, czy w ogóle powołać kompetentny zespół, zapadają na górze, to na górze musi też leżeć odpowiedzialność za ich skutki. Nie da się jej przy tym przerzucić na ubezpieczyciela — polisa cyber pokryje część kosztów odtworzenia systemów czy obsługi prawnej, ale nie zdejmie z kierownika administracyjnej odpowiedzialności za zaniechanie obowiązków, których ustawa wymaga od niego osobiście. Cyberbezpieczeństwo przestało być pozycją w budżecie działu IT, a stało się elementem zarządzania całą jednostką.

Zegar NIS-2: 90 dni, 24 godziny, 3 października

Nowy reżim to nie tylko odpowiedzialność, lecz także twardy kalendarz, a Nowa Ruda przypadła dokładnie w jego newralgicznym momencie. Ustawa weszła w życie 3 kwietnia 2026 roku, co oznacza, że przełom czerwca i lipca to koniec symbolicznego okna pierwszych dziewięćdziesięciu dni — czasu, w którym podmioty miały przeprowadzić analizę ryzyka, przyjąć plan wdrożenia środków technicznych i organizacyjnych oraz uruchomić priorytetowe zabezpieczenia: kopie zapasowe, kontrolę dostępu, rejestrowanie zdarzeń i segmentację sieci. Atak, który paraliżuje urząd akurat w chwili, gdy ten powinien mieć już gotową analizę ryzyka, jest brutalnym egzaminem z tego, czy te dziewięćdziesiąt dni wykorzystano, czy przespano.

Drugą wskazówką zegara jest obsługa samego incydentu. Podmiot objęty KSC ma obowiązek zgłosić poważny incydent do właściwego zespołu CSIRT — wczesne ostrzeżenie w ciągu dwudziestu czterech godzin, a pełne zgłoszenie w ciągu siedemdziesięciu dwóch. Trzecia data to 3 października 2026 roku: do tego dnia jednostki samorządu mają zweryfikować i zaktualizować swoje dane w centralnym wykazie prowadzonym przez ministra cyfryzacji oraz dopełnić wpisu jako podmioty kluczowe lub ważne. Podział tych kategorii jest dla samorządu konkretny: do podmiotów kluczowych zalicza się urzędy marszałkowskie, starostwa i większe urzędy gmin zatrudniające co najmniej pięćdziesiąt osób, a do podmiotów ważnych — mniejsze urzędy, spółki komunalne i samorządowe jednostki organizacyjne. Mechanizm samoidentyfikacji i wpisu do wykazu, którego wiele jednostek wciąż nie dopełniło, opisaliśmy osobno w przewodniku po NIS-2 w Polsce.

Wpis do wykazu bywa mylnie traktowany jak meta, tymczasem jest dopiero linią startu. Sama rejestracja nie czyni jednostki bezpieczną — uruchamia jedynie zegar obowiązków, które trzeba realnie wykonać i udokumentować: powtarzane analizy ryzyka, audyty, szkolenia, testy planów ciągłości działania. Jednostka, która przegapi 3 października albo potraktuje wpis jako formalność do odhaczenia, naraża się podwójnie — na sankcje za sam brak rejestracji i na znacznie surowszą ocenę, gdy dojdzie do incydentu, a organ stwierdzi, że za deklaracjami nie szły żadne działania. Nowa Ruda pokazuje, że egzamin z gotowości przychodzi bez zapowiedzi i nie czeka, aż jednostce będzie wygodnie do niego podejść.

RODO w tle: 72 godziny i zawiadomienie mieszkańców

Atak ransomware na urząd uruchamia równolegle drugi reżim prawny, o którym łatwo zapomnieć w gorączce przywracania systemów. Skoro nie można wykluczyć nieuprawnionego dostępu do danych osobowych, mamy do czynienia z naruszeniem ochrony danych w rozumieniu RODO. To z kolei oznacza obowiązek zgłoszenia naruszenia Prezesowi Urzędu Ochrony Danych Osobowych w ciągu siedemdziesięciu dwóch godzin od jego stwierdzenia, zgodnie z art. 33 rozporządzenia, a jeśli naruszenie może powodować wysokie ryzyko dla praw i wolności osób — także obowiązek zawiadomienia samych mieszkańców na podstawie art. 34.

W przypadku gminy ten próg wysokiego ryzyka jest osiągany niemal automatycznie. Mówimy o numerach PESEL, danych z aktów stanu cywilnego, informacjach podatkowych i o świadczeniach — kategoriach, których ujawnienie realnie grozi kradzieżą tożsamości i nadużyciami finansowymi. Zawiadomienie kilkudziesięciu tysięcy mieszkańców w sposób umożliwiający identyfikację adresata to operacja logistyczna sama w sobie, a kierownik jednostki odpowiada za to, by była przeprowadzona rzetelnie i na czas. Co więcej, organ nadzorczy oceni nie tylko sam fakt ataku, lecz przede wszystkim to, czy administrator wdrożył wcześniej adekwatne środki bezpieczeństwa wymagane przez art. 32 RODO. Atak nie jest okolicznością wyłączającą odpowiedzialność — jest momentem, w którym sprawdza się, co zrobiono, zanim do niego doszło. Że organ konsekwentnie karze samorządy za zaniedbania w obchodzeniu się z danymi, pokazała pierwsza kara UODO dla gminy za dane w BIP.

Czego ten atak uczy o backupach i segmentacji

Z anatomii incydentu w Nowej Rudzie — szyfrowanie obejmujące środowisko wirtualizacji — płynie najważniejsza lekcja techniczna: o odporności organizacji nie decyduje to, czy zostanie zaatakowana, lecz to, jak szybko i z czego się odtworzy. Fundamentem jest kopia zapasowa, której ransomware nie dosięgnie. Reguła trzy-dwa-jeden — trzy kopie danych, na dwóch różnych nośnikach, jedna poza siedzibą i odłączona od sieci — przestała być dobrą praktyką, a stała się warunkiem przetrwania. Kopia trzymana online, na tym samym serwerze co dane produkcyjne, zostaje zaszyfrowana razem z nimi i daje złudne poczucie bezpieczeństwa aż do dnia, w którym okazuje się bezużyteczna. Równie istotny jak samo istnienie kopii jest regularnie testowany scenariusz odtworzenia — backup, którego nigdy nie próbowano przywrócić, jest hipotezą, nie zabezpieczeniem.

Zanim jednak dojdzie do szyfrowania, napastnik musi się do sieci dostać — a wchodzi najczęściej dwiema drogami. Pierwsza to phishing: wystarczy jeden pracownik, który kliknął w załącznik podszywający się pod fakturę albo pismo z innego urzędu, by otworzyć przyczółek. Druga to słabo zabezpieczony zdalny dostęp, zwłaszcza pulpit zdalny wystawiony do internetu z prostym hasłem i bez drugiego składnika. Oznacza to, że pierwszą linią obrony urzędu nie jest żaden program, lecz świadomość ludzi i higiena dostępów. Regularne, krótkie szkolenia, które uczą rozpoznawać podejrzaną wiadomość, oraz bezwzględne wyłączenie bezpośredniego dostępu zdalnego z internetu robią dla bezpieczeństwa więcej niż niejedna kosztowna licencja. Technika domyka to, co zaczyna człowiek, nie odwrotnie.

Drugim filarem jest segmentacja sieci. Płaska sieć, w której wszystkie maszyny widzą się nawzajem, zamienia infekcję jednej stacji w paraliż całej jednostki; podział na strefy z kontrolowanym ruchem między nimi zatrzymuje napastnika na pierwszej granicy. Do tego dochodzą uwierzytelnianie wieloskładnikowe, które blokuje wykorzystanie wykradzionych haseł, monitorowanie i rejestrowanie zdarzeń, pozwalające wykryć atak, zanim dojdzie do szyfrowania, oraz gotowy plan reagowania z jasno przypisanymi rolami i numerem telefonu do CSIRT. Norma ISO/IEC 27001:2022 spina te zabezpieczenia w jeden system zarządzania bezpieczeństwem informacji — od kontroli dostępu, przez kopie zapasowe i zarządzanie podatnościami, po obsługę incydentów. To nie jest katalog życzeń, lecz dokładnie ten zestaw, którego brak czyni z urzędu łatwy cel. O tym, jak przejść od chaosu do uporządkowanej reakcji w pierwszych godzinach, pisaliśmy w przewodniku po zarządzaniu incydentami bezpieczeństwa.

Dlaczego z Fib.Code: odporność samorządu na ransomware

Fib.Code zajmuje się bezpieczeństwem informacji od tej strony, która w Nowej Rudzie okazała się decydująca — od przygotowania jednostki na dzień ataku, zanim ten nastąpi. Pełnimy funkcję inspektora ochrony danych i Pełnomocnika do spraw bezpieczeństwa informacji dla samorządów, spółek komunalnych, sądów i firm sektora MŚP, łącząc trzy kompetencje, które w dniu incydentu muszą zadziałać równocześnie: prawną, organizacyjną i techniczną. Dla kierownika jednostki oznacza to jedno — że obowiązki, za które od 3 kwietnia odpowiada osobiście, ktoś realnie z nim udźwignie, a nie zostawi w postaci podpisanego dokumentu na półce.

Działamy według trzech zasad. Po pierwsze, zaczynamy od rzetelnej analizy ryzyka i przeglądu stanu faktycznego — sprawdzamy kopie zapasowe, segmentację, kontrolę dostępu i plan reagowania tak, jak zrobiłby to napastnik, a nie audytor wypełniający tabelkę. Po drugie, przekładamy wymagania UKSC, dyrektywy NIS-2 i RODO oraz zabezpieczenia z normy ISO 27001 na konkretne procedury, role i decyzje budżetowe, które kierownik podmiotu może świadomie zatwierdzić i obronić przed organem. Po trzecie, za naszą pracą stoi zespół — prawnik, specjalista IT, audytor — bo bezpieczeństwo jednostki publicznej jest dziedziną zbyt rozległą, by udźwignęła ją jedna przeciążona osoba. Efektem nie jest segregator do kontroli, lecz urząd, który po ataku wie, z czego się odtworzyć, kogo zawiadomić i w jakim czasie.

Co zrobić w ten tydzień: pięć ruchów przed kontrolą

Nie odkładaj tego na wrzesień. Jeszcze w tym tygodniu zwołaj jedno spotkanie z osobą odpowiedzialną za informatykę i z inspektorem ochrony danych, i przejdź przez pięć pytań, na które po Nowej Rudzie trzeba znać odpowiedź. Pierwsze: czy nasza ostatnia kopia zapasowa jest odłączona od sieci i czy ktokolwiek próbował ją w ostatnim kwartale odtworzyć. Drugie: czy mamy spisany plan reagowania na incydent z numerem telefonu do właściwego CSIRT i z nazwiskiem osoby, która podejmuje decyzje, gdy systemy padną. Trzecie: czy dopełniliśmy wpisu do wykazu podmiotów kluczowych i ważnych oraz czy nasza analiza ryzyka istnieje na papierze, a nie tylko w deklaracjach.

Czwarte pytanie kieruję wprost do kierownika jednostki: czy uczestniczyłeś osobiście w szkoleniu z cyberbezpieczeństwa i czy rozumiesz dokument, który podpisałeś jako politykę bezpieczeństwa — bo to twoje nazwisko, nie informatyka, widnieje dziś pod odpowiedzialnością. Piąte: czy mamy gotowy szablon komunikatu kryzysowego dla mieszkańców, który nie tylko informuje o ataku, ale i z góry ostrzega przed oszustami podszywającymi się pod urząd. Jeśli przy którymkolwiek z tych pytań pada cisza, masz pierwsze zadanie na najbliższe dni. Nowa Ruda nie miała więcej czasu na przygotowanie niż twoja jednostka ma teraz — różnicą jest tylko to, że u niej zegar już wybił.

Zapraszamy do kontaktu: l.grabowski@fibcode.com | fibcode.com/pl/kontakt. Bezpośrednio powiązane materiały: fala ransomware wiosną 2026 — szpitale, samorząd i dostawcy, nowelizacja KSC i osobista odpowiedzialność kierownictwa, pierwsza kara UODO dla samorządu za dane w BIP — razem składają się na jedną lekcję: w samorządzie bezpieczeństwo informacji przestało być sprawą informatyka, a stało się odpowiedzialnością kierownika.