Jednostki samorządu terytorialnego planujące wzmocnić odporność systemów informatycznych będą mogły w przyszłym roku wystąpić o pieniądze z dwóch nowych źródeł. Chodzi o specjalny fundusz prowadzony przez NASK-PIB oraz dotacje ministerialne
Te dwa nowe źródła przewiduje ustawa z 1 grudnia 2022 r. o szczególnych rozwiązaniach służących realizacji ustawy budżetowej na rok 2023 (dalej: ustawa okołobudżetowa), która w chwili wysyłania dodatku SiA do druku czekała już tylko na podpis prezydenta. Akt ten wejdzie w życie 1 stycznia. Wprowadzenie rozwiązań umożliwiających finansowe wsparcie zadań związanych z cyberbezpieczeństwem jest jedną z nielicznych nowości zawartych w ww. ustawie, które są wprost adresowane do samorządów.
Potrzeba wprowadzenia
Jak wynika z uzasadnienia ustawy okołobudżetowej, jednostki samorządu terytorialnego należą do grupy podmiotów szczególnie narażonych na cyberzagrożenia. Stąd też konieczne jest zapewnienie im odpowiednich dodatkowych źródeł finansowania. W ww. akcie prawnym przewidziano dwa odrębne źródła, mianowicie nowy fundusz wsparcia jednostek samorządu terytorialnego w zadaniach dotyczących cyberbezpieczeństwa (dalej: FWJST) i dotacje celowe. Nowe rozwiązania legislacyjne zmierzają zatem do urzeczywistnienia przepisów ustawy z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2022 r. poz. 1863). Przypomnijmy w art. 2 pkt 4 tego aktu prawnego postanowiono, że „cyberbezpieczeństwo – to odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy”. Z kolei w art. 21 ust. 3 czytamy, że jednostka samorządu terytorialnego może wyznaczyć jedną osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa w zakresie zadań publicznych zależnych od systemów informacyjnych, realizowanych przez jej jednostki organizacyjne.
Fundusz wsparcia JST
Artykuł 33 ustawy o szczególnych rozwiązaniach służących realizacji ustawy budżetowej na 2023 r. przewiduje możliwość utworzenia przez instytut badawczy nadzorowany przez ministra właściwego do spraw informatyzacji funduszu wsparcia jednostek samorządu terytorialnego. Z uzasadnienia do projektu ustawy okołobudżetowej dowiadujemy się, że w praktyce instytutem tym jest Naukowa i Akademicka Sieć Komputerowa – Państwowy Instytut Badawczy (NASK-PIB). Jak wyjaśniono „inicjatywa umożliwi instytutowi badawczemu nadzorowanemu przez ministra właściwego do spraw informatyzacji (NASK-PIB), w 2023 r. utworzenie, ze środków własnych, nowego funduszu – Funduszu wsparcia jednostek samorządu terytorialnego, obok innych funduszy, które instytut może tworzyć na mocy art. 19 ust. 2 ustawy z 30 kwietnia 2010 r. o instytutach badawczych (Dz.U. z 2022 r. poz. 498)”.
Dlaczego właśnie wybrano ten instytut? Ustawodawca wyjaśnił, że do ustawowych zadań NASK-PIB należy wykonywanie działań niezbędnych dla zapewnienia m.in. obronności i bezpieczeństwa publicznego w omawianej sferze. To właśnie instytut zgodnie z ustawą z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa prowadzi m.in. zespół reagowania na incydenty związane z bezpieczeństwem komputerowym (CSIRT NASK – skrót od Computer Security Incident Response Team), do którego jednostki samorządu terytorialnego zgłaszają incydenty.
Zgodnie z nowymi przepisami NASK-PIB będzie mógł zasilić nowo utworzony fundusz ze środków funduszu rezerwowego, przeznaczając na ten cel kwotę w wysokości do 10 proc. tego funduszu za poprzedni rok obrotowy. Udzielenie finansowego wsparcia dla samorządów ma następować na podstawie umowy zawartej pomiędzy instytutem badawczym a daną jednostką samorządu terytorialnego. Zgodnie z art. 33 ust. 4 umowa taka powinna określać w szczególności:
1) szczegółowy opis zadania, w tym cel, na jaki wsparcie zostało przyznane, i termin jego wykonania;
2) wysokość udzielonego wsparcia;
3) termin wykorzystania wsparcia, nie dłuższy niż do 31 grudnia 2023 r.;
4) termin i sposób rozliczenia udzielonego wsparcia;
5) termin zwrotu niewykorzystanej części wsparcia, nie dłuższy niż 15 dni od określonego w umowie dnia wykonania zadania;
6) tryb kontroli wykonania zadania.
Dotacje celowe
Odrębny mechanizm wspierający finansowo samorządy w kontekście cyberbezpieczeństwa przewidziano w art. 34 ustawy okołobudżetowej. W tym przypadku dysponentem środków finansowych będzie minister właściwy do spraw informatyzacji, który w 2023 r. może przekazać jednostkom samorządu terytorialnego środki na realizację zadań z zakresu cyberbezpieczeństwa z części budżetu państwa, której jest dysponentem. Przy czym prawodawca jednocześnie zastrzegł, że „łączna wysokość tych dotacji nie może być wyższa niż 5 proc. wydatków ujętych w części budżetu państwa, której dysponentem jest minister właściwy do spraw informatyzacji. Ponadto w art. 34 ust. 3 wskazano, że „jednostka samorządu terytorialnego składa do ministra właściwego do spraw informatyzacji wniosek o udzielenie dotacji na realizację zadań”. Wniosek taki będzie musiał zawierać:
1) oznaczenie jednostki samorządu terytorialnego;
2) zakres i szczegółowy opis zadania;
3) termin realizacji zadania;
4) wysokość wnioskowanej dotacji;
5) kosztorys realizacji zadania.
Z kolei ust. 5 art. 34 przesądza, że wspomniana dotacja będzie udzielana na podstawie umowy zawartej pomiędzy ministrem właściwym do spraw informatyzacji a jednostką samorządu terytorialnego.
Odmienności i podobieństwa
Z powyższej analizy przepisów wynika, że ustawa okołobudżetowa wprowadzi dwie odrębne możliwości ubiegania się przez jednostki samorządu terytorialnego o środki z przeznaczeniem na zadania w zakresie cyberbezpieczeństwa. Źródła te różni m.in. dysponent środków oraz charakter prawny finansowania. W przypadku środków pochodzących od ministra właściwego do spraw informatyzacji pozyskane przez gminę pieniądze będą stanowić dotację celową, natomiast w przypadku wsparcia z instytutu badawczego – będą to po prostu środki finansowe przekazywane w ramach umowy.
Warto wspomnieć, że tylko dotacje celowe mają swoje normatywne podstawy w przepisach powszechnie obowiązujących, co wynika z ustawy z 27 sierpnia 2009 r. o finansach publicznych (t.j. Dz.U. z 2022 r. poz. 1634; ost.zm. Dz.U. z 2022 r. poz. 1964). W art. 126 tej ustawy postanowiono, że „dotacje są to podlegające szczególnym zasadom rozliczania środki z budżetu państwa, budżetu jednostek samorządu terytorialnego oraz z państwowych funduszy celowych przeznaczone na podstawie niniejszej ustawy, odrębnych ustaw lub umów międzynarodowych, na finansowanie lub dofinansowanie realizacji zadań publicznych”. Zgodnie zaś z art. 127 tej ustaw dotacje celowe są to środki przeznaczone m.in. na:
1) finansowanie lub dofinansowanie:
a) zadań z zakresu administracji rządowej oraz innych zadań zleconych jednostkom samorządu terytorialnego ustawami,
b) ustawowo określonych zadań, w tym zadań z zakresu mecenatu państwa nad kulturą, realizowanych przez jednostki inne niż jednostki samorządu terytorialnego,
c) bieżących zadań własnych jednostek samorządu terytorialnego.
Elementem wspólnym obu źródeł finansowania będzie umowa, która w dość precyzyjny sposób ma określać zarówno warunki finansowania, jak i jego rozliczenia.
Fakultatywność pomocy
Jednocześnie należy podkreślić, że oba ww. źródła finansowania są niejako fakultatywne z perspektywy podmiotów udzielających wsparcia. Ustawodawca bowiem nie obliguje ani instytutu, ani ministra do przekazywania środków, a jedynie stworzył im taką możliwość.
W praktyce sprowadza się to do wniosku, że każdy przypadek z pewnością będzie oceniany przez dysponenta środków odrębnie. Wydaje się, że kluczową kwestią będzie merytoryczne przygotowanie się przez jednostkę samorządową do realizacji zadania, na które będzie chciała otrzymać wsparcie w zakresie cyberbezpieczeństwa. Niewątpliwie bowiem w obu przypadkach dysponent środków musi mieć uzasadnione podstawy do przekazania wsparcia, tym bardziej że w przypadku obu rodzajów wsparcia ustawodawca wymaga podania w umowie szczegółowego opisu zadania, w tym celu, na jakie wsparcie zostało przyznane, i termin jego wykonania. Jednocześnie ustawodawca pozostawił stronom umowy znaczną swobodę w kreowaniu zakresu przedmiotowego zadania, co będzie zapewne znacznym ułatwieniem w określaniu przez samorządy celów realizowanych w ramach zapewniania sobie omawianego bezpieczeństwa systemów informacyjnych.
Podsumowując: niewątpliwie nowe możliwości wsparcia finansowego mogą w pewnym stopniu wesprzeć jednostki samorządu terytorialnego w realizacji zadań w zakresie cyberbezpieczeństwa. ©℗
