rozwiń

Skutkiem nieprzestrzegania standardów mogą być np. negatywna ocena projektu zgłoszonego w naborze na fundusze unijne, problemy z rozliczeniem dotacji, a w razie wystąpienia incydentu związanego z bezpieczeństwem – zarzut braku odpowiedniego zabezpieczenia systemu. Dlatego SCCO 2025 należy traktować jako faktycznie obowiązujący standard bezpieczeństwa.

Standardy Cyberbezpieczeństwa Chmur Obliczeniowych 2025 (SCCO 2025) opracował Centralny Ośrodek Informatyki (COI), a w kwietniu 2025 r. włączono je do Krajowych Ram Interoperacyjności (KRI) na podstawie upoważnienia z par. 20 ust. 2 rozporządzenia Rady Ministrów z 12 kwietnia 2012 r. w sprawie KRI. Pierwotnie SCCO opracowano w ramach Strategii Cyberbezpieczeństwa RP na lata 2019–2024. Były one częścią Narodowych Standardów Cyberbezpieczeństwa. Ich ustanowienie miało m.in. podnieść bezpieczeństwo danych informatycznych w administracji publicznej, zwiększyć odporność na incydenty związane z zagrożeniem bezpieczeństwa. Zaktualizowana wersja opublikowana jest na stronie: https://chmura.gov.pl/informacje/scco.

Samorządy muszą przestrzegać wytycznych dotyczących bezpieczeństwa

Choć SCCO nie mają statusu aktu normatywnego, są obowiązujące dla administracji rządowej jako część polityki bezpieczeństwa KPRM i stanowią standard referencyjny przy wdrażaniu usług IT w chmurze. W praktyce oznacza to, że JST również muszą się do nich dostosować, jeżeli:

  • korzystają ze wspólnych systemów lub infrastruktury z administracją rządową, np. planują dołączyć do Wspólnej Infrastruktury Informatycznej Państwa (WIIP) – warunkiem dostępu do niej jest zgodność z SCCO,
  • realizują projekty IT z udziałem środków krajowych lub unijnych, np. z Funduszy Europejskich na Rozwój Cyfrowy (FERC) – w projektach dofinansowanych często wymagane jest spełnienie krajowych standardów bezpieczeństwa,
  • samorząd kupuje lub rozwija usługi chmurowe przetwarzające dane osobowe, dane wrażliwe lub dane kluczowe z punktu widzenia ciągłości działania urzędu – wdrożenie SCCO może stanowić dowód dochowania należytej staranności przy przetwarzaniu wymienionych danych.

Standard SCCO 2025 - najważniejsze wymagania

Nowa wersja standardów (przyjęta w kwietniu 2025 r.) wprowadza wiele zmian w stosunku do poprzedniej. Dla samorządów terytorialnych najważniejsze są:

Zaktualizowane środki bezpieczeństwa. SCCO 2025 wprowadza nowe wymagania, takie jak szyfrowanie danych „w spoczynku” (czyli zapisanych na dyskach serwerów), regularne testy penetracyjne (symulowane ataki sprawdzające zabezpieczenia), zabezpieczenie całej architektury systemu oraz ochrona środowisk kontenerowych. Inaczej mówiąc: nie wystarczy już zapytać „czy mamy firewall”, ale trzeba zadbać o odporność całego środowiska chmurowego na współczesne zagrożenia.

Ścisłe wymagania wobec umów z dostawcami. Standard dokładnie określa, co powinna zawierać umowa z dostawcą usług chmurowych. Wymaga, by opisano w niej m.in.: procedury zwrotu lub usunięcia danych po zakończeniu współpracy, zasady dostępu do logów zdarzeń i audytów bezpieczeństwa, gwarancję przenoszalności usług i danych (czyli zabezpieczenie przed uzależnieniem od jednego dostawcy – tzw. vendor lock-in) oraz zawarto inne postanowienia umowne chroniące interesy urzędu. Brak wskazanych klauzul w umowie może narazić gminę na problemy przy zmianie dostawcy lub odzyskiwaniu danych.

Podejście do wdrażania zabezpieczeń oparte na analizie ryzyka. SCCO 2025 odchodzi od sztywnej listy wymagań do „odhaczenia”. Zamiast tego promuje przeprowadzenie analizy ryzyka, na podstawie której urząd wybierze najważniejsze zabezpieczenia. Daje to urzędom sporą elastyczność – mogą dostosować środki ochrony do aktualnych zagrożeń i danych, które przetwarzają.

Utrzymanie wymagań jurysdykcyjnych. Obowiązuje wciąż kontrowersyjny, ale ważny zapis z poprzedniej wersji (pkt 5.2.1). Dotyczy on ograniczenia dostępu zagranicznych organów do danych przechowywanych w chmurze. Dla samorządów oznacza to konieczność zwrócenia bacznej uwagi, gdzie trafiają dane i czy nie są one narażone na obcą jurysdykcję. Ten punkt jest obecnie najczęściej komentowany i wzbudza wiele wątpliwości praktycznych.

Jurysdykcja dostawcy usług chmurowych – na co uważać?

Jednym z najważniejszych wymogów SCCO 2025 dotyczy kontroli nad dostępem do danych w chmurze. Zgodnie z punktem 5.2.1 standardów dostawca usług chmurowych dla administracji publicznej nie może przekazywać gromadzonych danych podmiotom trzecim, w tym organom państw trzecich. Jeśli obowiązujące dostawcę prawo lokalne zmuszałoby go do udostępnienia takich danych – musi on poinformować o tym klienta (urząd).

Wprowadzenie tej zasady było odpowiedzią na realne zagrożenia. Przykładowo, amerykańskie prawo (tzw. CLOUD Act) pozwala organom USA zażądać od amerykańskiej firmy danych użytkowników. Dla polskiego urzędu samorządowego oznacza to ryzyko, że dane mieszkańców mogłyby zostać ujawnione bez jego wiedzy obcemu organowi. Punkt 5.2.1 SCCO ma temu zapobiegać, zapewniając polskim urzędom większą kontrolę nad tym, kto ma dostęp do informacji w chmurze.

Jakie działania muszą podjąć JST?

Przed znalezieniem kontrahenta. Przede wszystkim JST musi zadać dostawcy (obecnemu lub potencjalnemu) ważne pytanie: „Czy Wasza firma nie podlega przepisom obcego państwa, które mogłyby umożliwić dostęp do naszych danych? Jeśli tak, czy gwarantujecie brak takiego dostępu lub poinformowanie nas o każdym takim żądaniu?”. W postępowaniu przetargowym warto to pytanie wręcz wpisać do wymagań. Odpowiedź największych globalnych dostawców (Amazon, Google, Microsoft) może być wymijająca, że postarają się, ale nie zawsze mogą to zagwarantować. Natomiast polscy dostawcy chmury mogą wprost zadeklarować, że podlegają tylko prawu polskiemu i unijnemu oraz, że dane są w pełni suwerenne.

Coraz więcej samorządów – nawet bez formalnego zakazu korzystania z zagranicznej chmury – wprowadza więc do przetargów dodatkowe kryteria lub warunki dotyczące lokalizacji danych i jurysdykcji dostawcy. Często przyznaje dodatkowe punkty za posiadanie data center w Polsce lub UE, a nieraz wymaga wprost, by dane nie opuszczały kraju. To może brzmieć jak protekcjonizm, ale w istocie jest to sposób na zmniejszenie ryzyka prawnego. Samorząd musi zadać sobie pytanie, czy jeśli wybierze się dostawcę spoza UE, to dane nadal będą odpowiednio chronione. SCCO jednoznacznie wskazuje, że jest to istotny element bezpieczeństwa.

Na etapie podpisywania umowy. Odpowiednie klauzule należy także wpisać w umowie.

Zapis ten może brzmieć następująco „Dostawca oświadcza, że nie podlega jurysdykcji żadnego państwa spoza EOG, które nakładałoby obowiązek udostępnienia danych objętych niniejszą umową organom tego państwa.W przypadku, gdyby takie prawo miało zastosowanie lub nastąpiła zmiana okoliczności, Dostawca niezwłocznie powiadomi o tym Zamawiającego.”

Tego typu klauzula umowna zobowiązuje dostawcę do przestrzegania wymogu suwerenności danych. Jeśli dostawca nie chce podpisać takiego oświadczenia – dla JST jest to sygnał ostrzegawczy. Wówczas urząd powinien rozważyć inne opcje albo przynajmniej jasno udokumentować ryzyko i podjąć środki je minimalizujące (np. szyfrowanie danych własnym kluczem, ograniczenie zakresu danych w chmurze itp.).

Jakie wymagania SCCO 2025 narzuca w zamówieniach publicznych?

Jednym z głównych obszarów, gdzie warto zastosować SCCO 2025, są zamówienia publiczne na systemy IT. Może dotyczyć to wszystkich przetargów, w których zamawiane są systemy lub usługi działające w chmurze – np. systemy finansowo-księgowe, rejestry mieszkańców, usługi e-administracji (ePUAP, EZD, eSesja), systemy geodezyjne, usługi backupowe, poczta e-mail oraz wideokonferencje online. We wszystkich powyższych postępowaniach zaleca się, by dokumentacja przetargowa zawierała wymóg zgodności rozwiązania z SCCO 2025.

Gdzie wpisać wymogi związane z zapewnieniem standardów SCCO 2025 przez dostawców?

Wszystkie wymogi powinny znaleźć się w „Opisie przedmiotu zamówienia” (OPZ) – czyli opisie wymagań technicznych i funkcjonalnych zamawianego systemu oraz w projektowanych zapisach umowy dołączonej do specyfikacji przetargowej.

Ważne, by jednoznacznie wymagać zgodności z SCCO 2025 – to da podstawę do odrzucenia oferty, która nie spełnia standardów, albo do wykluczenia wykonawcy, który nie chce przyjąć takich zobowiązań. Sam zapis „usługa musi spełniać SCCO” warto uzupełnić właśnie o kluczowe elementy (jurysdykcja, szyfrowanie, przenaszalność danych), aby wykonawcy mieli jasność, co to oznacza w praktyce. A oznacza to m.in. wymóg, aby: dane były przechowywane na terenie UE (spełnienie wymogu jurysdykcyjnego), wrażliwe dane były szyfrowane, dostawca umożliwiał dostęp do logów i audyt bezpieczeństwa, a usługa zapewniała możliwość przeniesienia danych do innego systemu (bez lock-in). Istotne jest również przewidzenie ich w projekcie umowy z wykonawcą – tak, by po wyborze oferty mieć już gotowe klauzule zabezpieczające interes JST.

Kto powinien zadbać o wpisanie odpowiednich wymogów?

Zazwyczaj sekretarz gminy lub inna osoba nadzorująca zamówienia publiczne, we współpracy z informatykiem urzędu (kierownikiem IT). Informatyk dostarczy wiedzy, które wymagania techniczne wpisać, a sekretarz lub pracownik ds. zamówień upewni się, że zostanie to ujęte w Specyfikacji Warunków Zamówienia (SWZ) i OPZ. Standardy bezpieczeństwa trzeba jasno określić już na etapie ogłoszenia przetargu.

Jak zmienić umowy z dostawcami chmury?

Nawet najlepiej przygotowany przetarg to dopiero początek – kluczowe znaczenie ma podpisanie odpowiedniej umowy z dostawcą usługi chmurowej. Zarówno w przypadku nowych postępowań przetargowych, jak i obowiązujących już umów, JST musi zadbać o to, by kontrakty zawierały jasne i precyzyjne klauzule zabezpieczające zgodne z wytycznymi SCCO 2025. Za te kwestie odpowiada zazwyczaj sekretarz lub kierownik właściwego wydziału merytorycznego nadzorujący podpisanie i realizację umowy, przy wsparciu informatyka oraz prawnika obsługującego urząd. Wójt (lub burmistrz), jako osoba podpisująca umowę, również powinien rozumieć jej postanowienia – to on ostatecznie akceptuje warunki i zatwierdza jej treść.

SCCO 2025 rekomenduje wprowadzenie postanowień chroniących urząd przed ryzykiem technicznym i prawnym. Dotyczyć one powinny m.in. takich kwestii jak:

Zwrot i usunięcie danych po zakończeniu współpracy. Umowa powinna gwarantować, że po wygaśnięciu lub rozwiązaniu kontraktu wszystkie dane urzędu zostaną mu zwrócone w ustalonym formacie, a kopie u dostawcy zostaną trwale usunięte. Dzięki temu gmina uniknie przetrzymywania jej danych poza swoją kontrolą.

Szyfrowanie i ochrona danych. Wymagane może być zapewnienie przez dostawcę szyfrowania danych zarówno w spoczynku (na serwerach/cloud storage), jak i w tranzycie (podczas transmisji w sieci). Dostawca powinien stosować aktualne, silne algorytmy kryptograficzne i zabezpieczać dostęp do danych (np. uwierzytelnianie dwuskładnikowe dla administratorów).

Dostęp do logów i audyt. Urząd powinien mieć prawo do wglądu w logi zdarzeń bezpieczeństwa dotyczące swoich systemów w chmurze (logi dostępu, operacji na danych itp.). Dobrze, jeśli umowa przewiduje też możliwość audytu – czy to w formie audytu własnego (kontrola urzędu u dostawcy), czy dostarczania przez dostawcę raportów z audytów i testów penetracyjnych.

Gwarancja przenaszalności usług i danych (vendor lock-in). Dostawca musi zagwarantować, że umożliwi migrację usług lub danych do innego dostawcy lub do infrastruktury własnej urzędu, jeśli zajdzie taka potrzeba. Chodzi o uniknięcie sytuacji, w której gmina nie może zmienić dostawcy, bo technicznie lub formalnie jest „przywiązana”. Klauzula przenaszalności często obejmuje też wsparcie dostawcy przy migracji oraz brak dodatkowych opłat za przekazanie danych.

Jurysdykcja i lokalizacja danych. Jak wspomnieliśmy wyżej, w umowie powinna znaleźć się deklaracja dostawcy dotycząca lokalizacji centrów danych (np. „wszystkie dane będą przetwarzane wyłącznie w data center na terenie Polski/UE”) oraz zobowiązanie związane z jurysdykcją (jak w przytoczonym wcześniej przykładzie dot. pkt 5.2.1 SCCO).

W praktyce postanowienia mogą być zapisane w różnych paragrafach umowy (dotyczących bezpieczeństwa, zakończenia umowy, odpowiedzialności itp.). Najważniejsze, by wszystkie się tam znalazły. Dodatkowo w umowie warto uwzględnić zapisy o odpowiedzialności dostawcy za naruszenie obowiązków oraz o ewentualnych karach umownych, co wzmocni ich przestrzeganie. Wójt/burmistrz, sekretarz i informatyk powinni wspólnie przeanalizować każdą umowę pod kątem tych klauzul – jeśli ich brakuje, warto rozważyć możliwość podpisania aneksu z dostawcą, który uzupełni kontrakt o brakujące elementy (większość rzetelnych dostawców zgodzi się na rozsądne zapisy zwiększające bezpieczeństwo).

Ramka 1

Klauzule, które warto wpisać do umowy

Przykładowe klauzule umowne zgodne z SCCO 2025, które JST może wykorzystać w umowach z dostawcami.

► Postępowanie z danymi po zakończeniu umowy

„Dostawca zobowiązuje się po zakończeniu umowy przekazać Zamawiającemu komplet danych przetwarzanych w ramach usługi, w uzgodnionym formacie, oraz w terminie 14 dni od przekazania danych trwale usunąć je ze swoich systemów. Usunięcie danych zostanie potwierdzone protokołem”.

► Szyfrowanie danych

„Dostawca zapewni, że wszelkie dane objęte umową są szyfrowane zarówno w spoczynku na serwerach, jak i podczas transmisji do i z systemów Zamawiającego, z użyciem uznanych za bezpieczne algorytmów kryptograficznych. Ponadto Dostawca stosuje środki uwierzytelniania i ochrony przed nieautoryzowanym dostępem zgodne z SCCO 2025”.

► Bieżące bezpieczeństwo

„Dostawca zapewni przenaszalność danych i usług – na każde żądanie Zamawiającego w trakcie obowiązywania umowy lub w ciągu 30 dni po jej zakończeniu, Dostawca umożliwi migrację danych Zamawiającego do innego wskazanego rozwiązania. W ramach tego zobowiązania Dostawca podejmie niezbędną współpracę techniczną, a za przeniesienie danych nie zostaną naliczone Zamawiającemu dodatkowe opłaty”. ©℗

Ramka 2

Wdrożenie SCCO 2025 w JST

Przedstawiamy checklistę działań, która pomoże w ocenie, że urząd odpowiednio wdraża SCCO 2025:

1. Inwentaryzacja usług w chmurze

Sporządź listę wszystkich systemów i usług, z których urząd korzysta w modelu chmurowym lub zewnętrznym (od dużych systemów po narzędzia typu e-mail, backup, dysk sieciowy itp.).

2. Analiza ryzyka dla istniejących rozwiązań

Dla każdej zidentyfikowanej usługi sprawdź, na ile spełnia ona wymagania SCCO (lokalizacja danych, szyfrowanie, umowa itp.). Oceń ryzyko i zanotuj, co wymaga poprawy.

3. Przegląd i aktualizacja umów

Przeanalizuj obowiązujące umowy z dostawcami chmury. Jeśli brakuje w nich klauzul wymaganych przez SCCO (zwrot danych, logi, jurysdykcja itd.) – przygotuj i negocjuj aneksy dodające te zapisy.

4. Planowanie nowych zamówień z uwzględnieniem SCCO

W każdym nowym postępowaniu publicznym na usługi IT w chmurze uwzględnij w dokumentacji (OPZ, SWZ) wymogi zgodności z SCCO 2025. Możesz skorzystać z gotowych formuł zapisów (patrz s….).

5. Włączenie SCCO do projektów IT z dofinansowaniem

Przygotowując wnioski o fundusze na cyfryzację, zawrzyj informacje o spełnianiu standardów bezpieczeństwa. Podczas realizacji projektu dopilnuj, by zamówienia i umowy również uwzględniały te wymogi.

6. Szkolenie kluczowych pracowników

Zapewnij, że osoby odpowiedzialne za IT i zamówienia w urzędzie znają założenia SCCO 2025. Przeprowadź krótkie szkolenie lub briefing dla informatyków, sekretarza, skarbnika, a także kierowników projektów – tak, by wszyscy mieli świadomość nowych obowiązków i potrafili je zastosować w praktyce.

7. Dokumentowanie działań

Prowadź podstawową dokumentację potwierdzającą wdrożenie SCCO – np. raport z analizy ryzyka, kopie klauzul dodanych do umów, notatki ze szkoleń. W razie pytań lub kontroli będzie to dowód proaktywności i staranności. ©℗

Projekty cyfryzacyjne z dofinansowaniem

Drugim istotnym obszarem są projekty cyfryzacyjne realizowane przy udziale dotacji (unijnych lub krajowych). Wiele programów i konkursów – szczególnie w ramach wspomnianego programu FERC czy krajowych grantów na rozwój e-usług – wymaga wykazania zgodności z określonymi standardami cyberbezpieczeństwa, do których mogą należeć SCCO. Dla JST oznacza to, że już na etapie składania wniosku o dofinansowanie należy uwzględnić kwestie bezpieczeństwa chmury.

Kto musi zadbać o zgodność wniosku ze standardami SCCO 2025?

Zazwyczaj skarbnik gminy (odpowiedzialny za finanse i rozliczenie projektów) wspólnie z liderem projektu / koordynatorem cyfryzacji. Skarbnik, znając wymogi dotacji, powinien upewnić się, że projekt przewiduje odpowiednie zabezpieczenia. Osoba merytorycznie prowadząca projekt informatyczny (np. kierownik projektu z urzędu) musi natomiast dopilnować, by planując zakup lub wdrożenie usługi w chmurze w ramach projektu, uwzględnić wymagania SCCO w specyfikacjach i umowach – czyli de facto zastosować się do wszystkich opisanych wyżej zasad

Jak wykazać, że projekt cyfryzacyjny jest zgodny z SCCO 2025?

We wniosku o dofinansowanie warto wprost zadeklarować, że przewidziane w projekcie rozwiązania będą zgodne ze standardami cyberbezpieczeństwa. Często instytucja finansująca wymaga złożenia oświadczeń dotyczących zgodności z krajowymi wytycznymi – m.in. SCCO 2025 (lub wypełnienia odpowiednich tabel). Ponadto, gdy projekt przechodzi do fazy realizacji, czyli dochodzi do ogłoszenia przetargu czy podpisania umowy z dostawcą, wymogi SCCO powinny zostać wpisane do dokumentacji przetargowej i kontraktów (zgodnie z zasadami opisanymi powyżej w sekcji dotyczącej zamówień publicznych i umów).

Jakie mogą być konsekwencje braku zgodności z SCCO projektu, który ma być dofinansowywany ze środków unijnych lub krajowych?

Jeśli projekt nie będzie spełniał wymaganych standardów (np. system zakupiony z dotacji nie będzie wyposażony w odpowiednie mechanizmy bezpieczeństwa), mogą wystąpić problemy przy rozliczaniu inwestycji, a w skrajnych przypadkach – konieczność zwrócenia części otrzymanych środków. Urząd może również napotkać trudności już na etapie oceny wniosku – komisja oceniająca może odrzucić projekt ze względu na brak zgodności z wymaganiami bezpieczeństwa.

Ramka 3

Najczęstsze błędy i ryzyka przy wdrażaniu SCCO

1. Uznawanie SCCO za „nieobowiązkowe”. Bagatelizowanie standardów (bo „to tylko rekomendacje”) to poważny błąd. Ryzyko: brak zgodności może skutkować utratą dofinansowania lub poważnymi problemami podczas incydentu bezpieczeństwa – np. brakiem możliwości wykazania należytej staranności.

2. Brak SCCO w dokumentacji przetargowej. Pominięcie wymogów bezpieczeństwa w OPZ/SWZ oznacza, że dostawca nie będzie formalnie zobowiązany do ich spełnienia. Ryzyko: zakup usługi niespełniającej standardów oraz brak podstaw prawnych do późniejszego egzekwowania poprawek.

3. Niedopracowane umowy z dostawcami. Zawarcie umowy bez kluczowych klauzul (np. o zwrocie danych, jurysdykcji, przenoszalności, szyfrowaniu) pozostawia urząd bez odpowiednich zabezpieczeń. Ryzyko: problemy przy zmianie dostawcy (efekt lock-in), brak dostępu do danych lub logów w sytuacji kryzysowej, a nawet ryzyko ingerencji zewnętrznej.

4. Brak analizy ryzyka przed wyborem usługi. Pomijanie oceny ryzyka i porównania ofert skutkuje wyborem rozwiązania pozornie atrakcyjnego cenowo, ale o niskim poziomie bezpieczeństwa. Ryzyko: np. przechowywanie danych poza UE, brak audytów, słabe zabezpieczenia – co może ujawnić się dopiero po wdrożeniu lub w trakcie incydentu.

5. Zbyt wąskie zaangażowanie personelu. Traktowanie SCCO jako wyłącznej odpowiedzialności działu IT, bez udziału kierownictwa. Ryzyko: brak wsparcia dla inwestycji w bezpieczeństwo, ograniczona świadomość ryzyka u decydentów, strategiczne błędy (np. podpisanie niekorzystnej umowy).

6. Brak szkoleń i procedur. Wpisanie wymagań do umów to za mało – pracownicy muszą wiedzieć, jak reagować na incydenty i jak monitorować zgodność z SCCO. Ryzyko: polityki „na papierze”, które nie działają w praktyce – co zostanie obnażone przy pierwszym poważnym problemie. ©℗

opinia eksperta

ikona lupy />
Adam Wójcicki, Head of Cloud, Comtegra SA / Materiały prasowe

Przyjęte standardy mogą stać się istotnym impulsem rozwoju dla krajowych firm. Dla polskich dostawców chmurowych nowe SCCO to szansa, by w naturalny sposób zyskać zaufanie administracji. Gwarantując zgodność z krajowym porządkiem prawnym i brak ekspozycji na obce przepisy, pokazujemy, że bezpieczeństwo danych publicznych nie musi oznaczać rezygnacji z elastyczności technologicznej. Naszą przewagą jest pełna przejrzystość działania oraz lokalny zasięg działania. Urząd nie jest anonimowym klientem z końca kolejki, tylko partnerem z imienia i nazwiska. To robi różnicę.

Nowe regulacje tworzą bardziej wyrównane warunki konkurencji, premiując tych dostawców, którzy rzeczywiście wdrażają najlepsze praktyki, a nie tylko odwołują się do marki. Wymogi przenaszalności danych, logowania zdarzeń czy precyzyjnych klauzul umownych chronią urzędy przed zależnością od jednego dostawcy. To buduje zaufanie do chmury jako modelu usługowego – i właśnie na tym fundamencie krajowi gracze mogą budować trwałe relacje z JST. Dla samorządów, które często operują ograniczonymi budżetami i kadrą, to ważne, że mogą liczyć na realne wsparcie – od analizy ryzyka do migracji danych. ©℗

usługi w chmurze

Wójt (lub burmistrz) wraz z informatykiem powinni sprawdzić umowy i usługi chmurowe pod kątem ich zgodności ze standardami zapisanymi w SCCO 2025. Wiele samorządów ma już dziś pewne systemy ulokowane w zewnętrznych centrach danych lub chmurze – na przykład system finansowo-księgowy utrzymywany przez firmę zewnętrzną, system kadrowy w modelu SaaS, edukacyjną platformę dla szkół, system BIP czy serwery kopii zapasowych poza urzędem.

Co należy sprawdzić?

Przede wszystkim, czy obecny dostawca spełnia kluczowe wymagania SCCO. W praktyce warto zweryfikować:

  • gdzie są przechowywane dane (czy w UE, czy np. na serwerach poza EOG – patrz: sekcja o jurysdykcji),
  • czy dane są szyfrowane i jak są chronione (jeśli dostawca do tej pory nie oferował szyfrowania at rest, to sygnał alarmowy),
  • postanowienia umowy, w tym czy jest w nich zapisane prawo do żądania logów i informacji o incydentach, czy zawarto odpowiednie klauzule o zwrocie/usunięciu danych po zakończeniu umowy, czy przewidziano możliwość przeniesienia usługi do innego dostawcy.

Jakie trzeba podjąć działania naprawcze?

Jeśli którakolwiek z wyżej wymienionych kwestii nie jest uregulowana, należy podjąć działania naprawcze. W zależności od sytuacji może to oznaczać:

  • renegocjację umowy (dodanie brakujących klauzul w formie aneksu),
  • zwiększenie zabezpieczeń po stronie urzędu (np. samodzielne szyfrowanie przesyłanych plików, gdy dostawca tego nie zapewnia), albo
  • zaplanowanie migracji do innego dostawcy w przyszłości, jeśli obecny nie jest w stanie spełnić standardów.

Warto wewnętrznie udokumentować przeprowadzony przegląd – na przykład poprzez sporządzenie notatki służbowej czy raportu z analizy ryzyka dla każdego kluczowego systemu w chmurze. Taka dokumentacja może okazać się przydatna w razie kontroli lub incydentu, ponieważ pomoże wykazać, że urząd dochował należytej staranności.

Jeżeli podpisywany zostanie aneks do umowy z dostawcą, warto zawrzeć w nim podobne zapisy, jak w nowych umowach (opisane wcześniej). Na przykład, jeśli brakuje w nich klauzuli o usunięciu danych po zakończeniu współpracy, aneks powinien ją wprowadzić.

Dobrym krokiem jest również skontaktowanie się z dostawcą i zapytanie wprost, czy jego system/usługa spełnia wymagania SCCO 2025. Wielu dostawców (szczególnie krajowych) ma już gotowe informacje na ten temat. Jeśli dostawca nie zna standardów SCCO – to sygnał ostrzegawczy – należy wtedy szczególnie uważnie ocenić poziom bezpieczeństwa oferowanej usługi.

Warto pamiętać, że ignorowanie braków we wdrożeniu SCCO w funkcjonujących już systemach może narazić urząd na zarzut niedochowania należytej staranności. Lepiej zawczasu uzupełnić braki, niż później się z tego tłumaczyć.

Zmniejszenie ryzyka naruszenia bezpieczeństwa

Na koniec warto podkreślić kluczowy aspekt: wdrażanie SCCO to nie tylko kwestia techniczna, lecz także element bezpieczeństwa prawnego. W razie poważnego incydentu (np. wycieku danych osobowych mieszkańców czy ataku paraliżującego systemy urzędu) organy nadzorcze lub ścigania będą sprawdzać, czy urząd dochował należytej staranności w zakresie cyberbezpieczeństwa. Dla wójta, burmistrza, sekretarza czy kierownika IT może to oznaczać, że zostaną im postawione wprost pytania, czy znali obowiązujące standardy bezpieczeństwa (SCCO) i czy zostały one zastosowane, a jeśli nie – dlaczego.

Wdrożenie SCCO 2025 będzie zatem mocnym argumentem obronnym, również dla osób funkcyjnych. Jeśli urząd będzie w stanie wykazać, że spełnił wymagania SCCO – a więc stosował się do oficjalnych wytycznych – to w razie kontroli lub dochodzenia pokaże, że podjął racjonalne i uzasadnione działania w celu zabezpieczenia systemów. Może to uchronić przed zarzutem rażącego niedbalstwa, a nawet przed konsekwencjami finansowymi, np. karami administracyjnymi ze strony prezesa Urzędu Ochrony Danych Osobowych.

Z kolei ignorowanie SCCO lub podejście, że to tylko rekomendacje, zatem nas nie obowiązują, jest ryzykowne. W razie wystąpienia kryzysowej sytuacji taki argument nie będzie przekonujący dla organów nadzorczych – skoro standardy zostały oficjalnie ogłoszone, oczekuje się, że odpowiedzialne jednostki zapoznają się z nimi i wdrożą je na miarę swoich możliwości. Co więcej, również rada gminy lub mieszkańcy mogą postawić pytanie włodarzowi, czy zrobił wszystko, by zabezpieczyć ich dane. Warto wówczas móc wskazać konkretne działania.

Podsumowując, odpowiednie wdrożenie standardów SCCO jest istotne dla wielu osób w jednostce samorządu terytorialnego:

  • dla wójta czy burmistrza – to forma zabezpieczenia przed ryzykiem (potwierdza, że dbają oni o mienie publiczne, bo dane to dziś zasób o wysokiej wartości i może chronić przed konsekwencjami prawnymi w przypadku wystąpienia incydentów;
  • dla sekretarza i skarbnika – to dowód, że procedury i wydatki na IT są zgodne z obowiązującymi standardami, co może mieć znaczenie podczas kontroli regionalnej izby obrachunkowej lub audytu;
  • dla działu IT – to jasna wskazówka, jak projektować bezpieczną infrastrukturę, oraz argument w rozmowach z przełożonymi – łatwiej uzasadnić wydatek na backup czy szyfrowanie, gdy stoi za nim oficjalny standard.

Warto potraktować SCCO 2025 nie jako hamulec rozwoju, lecz jako swoistą mapę drogową, która pokazuje, jak iść naprzód z cyfryzacją w sposób odpowiedzialny. Trzymając się tej mapy, samorządowe władze i pracownicy IT mogą śmielej sięgać po nowoczesne rozwiązania, mając pewność, że robią to zgodnie z najlepszymi praktykami i z dbałością o bezpieczeństwo mieszkańców. Polscy dostawcy chmury nie mają obowiązku być jedynym wyborem, ale – jak pokazuje pkt 5.2.1 – to właśnie oni najczęściej spełniają wymogi suwerenności danych bez dodatkowych warunków. W świecie, gdzie dane to nowa waluta, to przewaga, którą warto rozważyć choćby z czystej kalkulacji ryzyka. ©℗