NIK bierze się za bezpieczeństwo w wodociągach i służbie zdrowia. Na liście też CBZC

Wraz z początkiem roku kalendarzowego instytucje i podmioty przedstawiają swoje plany na najbliższe 12 miesięcy. Dotyczy to również Najwyższej Izby Kontroli (NIK), która przedstawiła swój program kontroli na 2026 rok.

70 kontroli w 2026 r.

Jak czytamy w komunikacie NIK, do organu wpłynęło w sumie 158 sugestii z zewnątrz dotyczących tematów kontroli; najwięcej z nich w liczbie 103 przekazały komisje sejmowe.

Ostatecznie, na bieżący rok zaplanowano 70 kontroli, z czego 15 co najmniej częściowo realizuje zewnętrzne propozycje.

Jako główny priorytet tegorocznych prac Najwyższa Izba Kontroli uznała bezpieczeństwo narodowe. Przypomniano przy tym, że w Strategii działalności kontrolnej na lata 2025+, kwestia ta jest wielowymiarowa: od obywateli (tutaj umieszczono 32 tematy kontroli), przez infrastrukturę (19 kontroli), po ekonomię (14 tematów).

„Przyjęte priorytety działalności kontrolnej mają charakter kierunkowy i wskazują pożądane obszary zaangażowania Izby, nie wyłączając możliwości podejmowania przez NIK tematów o charakterze przekrojowym lub szczególnym” – podkreśla NIK w swoim stanowisku.

NIK skontroluje CBZC

Spośród wszystkich ujawnionych tematów, Najwyższa Izba Kontroli zamierza przeprowadzić 6 kontroli bezpośrednio związanych z obszarem cyberbezpieczeństwa. W zakresie Obszaru Bezpieczeństwa Narodowego, analizie ma zostać poddane utworzenie oraz funkcjonowanie Centralnego Biura Zwalczania Cyberprzestępczości (CBZC).

Na naszych łamach regularnie opisujemy operacje przeprowadzane przez funkcjonariuszy CBZC. Pod koniec listopada informowaliśmy z kolei, że jednostka ma się połączyć z Centralnym Biurem Śledczym Policji (CBŚP), tym samym tworząc Narodowe Biuro Śledcze.

Kontrola samej organizacji ma ruszyć w lutym i potrwać do stycznia 2027 roku.

NIK bierze się za ochronę zdrowia

Najintensywniej wygląda sprawa w Obszarze Spójności i Infrastruktury.

1. W lutym ma się rozpocząć kontrola związana z wykorzystaniem Wspólnej Infrastruktury Informatycznej Państwa przez jednostki administracji publicznej. Jej celem jest odpowiedź na pytanie, czy usługi udostępnione w jej ramach są optymalnie wykorzystywane. Termin zakończenia zaplanowano na kwiecień.
2. Jeszcze w styczniu rozpocznie się kontrola dotycząca cyberbezpieczeństwa systemów informacyjnych w podmiotach leczniczych, która ma potrwać także do kwietnia.
3. Z kolei znacznie dłużej, bo od lutego do stycznia 2027, potrwa kontrola w zakresie ochrony danych osobowych i bezpieczeństwa informacji w szpitalach. Ostatnie miesiące obfitowały w doniesienia dotyczące tej kwestii.

We wrześniu na naszych łamach informowaliśmy, że zespół CSIRT CeZ w sierpniu 2025 roku odnotował aż 946 incydentów, przy 632 w roku poprzedzającym. Statystykom towarzyszyły informacje o kolejnych cyberatakach na podmioty ochrony zdrowia oraz ich skutkach.

Najgłośniejszym była marcowa operacja wymierzona w szpital MSWiA w Krakowie, ale już miesiąc później cyberprzestępcy mieli uzyskać dostęp do systemów kolejnej placówki.

Problem jest zatem poważny i nie powinno dziwić podjęcie tego tematu przez Najwyższą Izbę Kontroli. Przypomnijmy, że po nałożeniu kary na szpital dziecięcy w Białymstoku przez Urząd Ochrony Danych Osobowych (UODO), Centrum e-Zdrowia stwierdziło na naszych łamach, że to placówki medyczne jako administratorzy danych odpowiadają za działania związane z ich ochroną.

Jak wygląda ochrona danych w podlaskich szkołach?

Równolegle do kwestii cyberbezpieczeństwa w sektorze zdrowia, NIK ma badać sprawę bezpieczeństwa informacji w szkołach publicznych oraz wyższych znajdujących się na Podlasiu. Ocena ma dotyczyć prawidłowego, skutecznego oraz rzetelnego realizowania związanych z tym zadań.

Również i w tej kwestii aktorzy zagrożeń z zainteresowaniem patrzą na podmioty z Polski. Jak opisywaliśmy na naszych łamach, w ostatnich latach na celowniku znalazły się m.in. Akadamia Sztuki Wojennej oraz Uniwersytet Zielonogórski. W obu przypadkach nie potwierdzono, że doszło do wycieku danych, jednak spowodowały one problemy w funkcjonowaniu uczelni.

NIK sprawdzi też wodociągi

Ostatnim tematem z zakresu cyberbezpieczeństwa, którym Izba chce się zająć w tym roku, jest zapewnienie bezpieczeństwa infrastruktury wodno-kanalizacyjnej w obliczu cyberataków.

Rok 2025 obfitował w wiele incydentów z tego zakresu, co świadczy o problemach, z jakimi mierzą się przedsiębiorstwa odpowiedzialne za dostawy wody oraz oczyszczanie ścieków.

Informacje o kolejnych incydentach w zeszłym roku pojawiały się praktycznie co kilka tygodni. Na naszym portalu informowaliśmy w czerwcu o incydencie w Stacji Uzdatniania Wody (SUW) Szczytno, na krótko przed zaistnieniem którego CSIRT NASK ostrzegał o istniejącej podatności.

Zaledwie dwa miesiące później wicepremier i minister cyfryzacji Krzysztof Gawkowski poinformował o ataku w dużym mieście, który mógł pozbawić jego mieszkańców dostępu do wody. We wrześniu prorosyjscy haktywiści ujawnili, że uzyskali dostęp do SUW Jabłonna Lacka, zaś w połowie października zaatakowana została oczyszczalnia ścieków w Chodaczowie.

Na wnioski ze wszystkich kontroli trzeba będzie poczekać – w niektórych przypadkach nawet do przyszłego roku. Pozostaje jednak mieć nadzieję, że wyciągnięte wnioski faktycznie przełożą się na wzrost poziomu cyberbezpieczeństwa w Polsce.