Zakresem kontroli przeprowadzonej przez NIK była realizacja przez powiat działań w celu zwiększenia poziomu cyberbezpieczeństwa. Kontrolą objęty był okres od 1 stycznia 2023 r. do dnia zakończenia czynności kontrolnych, tj. 10 czerwca 2025 r. Jednostką kontrolowaną było Starostwo Powiatowe w Ostrowcu Świętokrzyskim.
Powiat Ostrowiecki, w ramach projektu grantowego „Cyberbezpieczny Samorząd Zwiększenie poziomu cyberbezpieczeństwa Powiatu Ostrowieckiego, podjął działania w celu zwiększenia poziomu bezpieczeństwa informacji.
– (…) W dokumentach strategicznych Powiatu Ostrowieckiego nie ujęto zagadnień dotyczących zwiększenia poziomu cyberbezpieczeństwa. Potrzeby w zakresie cyberbezpieczeństwa zostały rozpoznane dopiero na potrzeby projektu pn. Zwiększenie poziomu cyberbezpieczeństwa Powiatu Ostrowieckiego. W ramach projektu grantowego Starostwo pozyskało z Centrum Projektów Polska Cyfrowa 850 tys. zł na realizację Projektu. Poza Starostwem w Projekcie uczestniczyły również Powiatowy Urząd Pracy w Ostrowcu Św. (dalej: PUP) oraz Powiatowe Centrum Pomocy Rodzinie w Ostrowcu Św. (dalej: PCPR). Do zakończenia kontroli, tj. do 10 czerwca 2025 r. Starostwo realizowało Projekt zgodnie z zapisami umowy o powierzenie grantu. SP terminowo przekazało, za pośrednictwem ePUAP do Naukowej i Akademickiej Sieci Komputerowej – Państwowego Instytutu Badawczego (dalej: NASK) uzupełnione Ankiety Dojrzałości Cyberbezpieczeństwa w Jednostkach Samorządu Terytorialnego wykonane oddzielnie dla Starostwa, PUP i PCPR. W ramach projektu wydatkowano 528 389,64 zł, tj. 62,2% zaplanowanych środków. SP zakupiło cały zaplanowany sprzęt, zamówiło oprogramowanie (…) – czytamy w ocenie ogólnej kontrolowanej działalności.
W dokumencie czytamy również, że w Starostwie nie było opracowanego i wdrożonego Systemu Zarządzania Bezpieczeństwem Informacji, w rozumieniu § 19 ust. 1 w związku z ust. 3 rozporządzenia Rady Ministrów z dnia 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (…). W 2023 r. SP nie przeprowadziło audytu z zakresu bezpieczeństwa informacji, pomimo że zgodnie z § 19 ust. 2 pkt 14 rozporządzenia KRI audyt taki należało przeprowadzać nie rzadziej niż raz w roku.
– (…) W związku ze stwierdzonymi nieprawidłowościami, Najwyższa Izba Kontroli, na podstawie art. 53 ust. 1 pkt 5 ustawy o NIK wnioskuje o opracowanie i wdrożenie SZBI spełniającego wymogi określone w § 19 ust. 1 w związku z ust. 3 rozporządzenia KRI (…) – czytamy w dokumencie NIK-u.
Pełna treść dokumentu dostępna jest TUTAJ
W Biuletynie Informacji Publicznej Starostwa Powiatowego w Ostrowcu Św. zamieszczono odpowiedź na wystąpienie pokontrolne.
– W odpowiedzi na otrzymane drogą elektroniczną pismo Znak: LKI.410.6.2.2025 (data wpływu do urzędu 02.07.2025 r.), którym przekazano Wystąpienie Pokontrolne P/25/003, dotyczące realizacji projektu Cyberbezpieczny Samorząd, uprzejmie informuje, iż nie wnoszę zastrzeżeń do treści ww. Wystąpienia Pokontrolnego. Jednocześnie odnosząc się do punktu V. Pozostałe informacje i pouczenia przedmiotowego wystąpienia w zakresie poinformowania organu kontrolującego o sposobie wykonania wniosku pokontrolnego, wynikającego z punktu IV. Uwagi i wnioski odnośnie stwierdzenia nieprawidłowości, polegającej na braku opracowanego i wdrożonego SZBI, spełniającego wymogi określone w § 19 ust. 1 w związku z ust. 3 rozporządzenia KRI oraz mając na uwadze, że opracowanie i wdrożenie Polityki Bezpieczeństwa Informacji w formie spójnego dokumentu, uwzględniającego wszystkie elementy wskazane w § 20 ust. 2 wyżej wspomnianego rozporządzenia, zostało zaplanowane w ramach realizowanego przez Powiat Ostrowiecki projektu grantowego, pragnę poinformować, że obecnie trwają prace nad przygotowaniem opisu przedmiotu zamówienia i innych niezbędnych załączników, na podstawie których możliwe będzie zlecenie opracowania przedmiotowego dokumentu przez specjalistyczny podmiot zewnętrzny – brzmi pismo, pod którym podpisała się Agnieszka Rogalińska, Starosta Ostrowiecki.
