Poniższa mapa wskazuje instytucje właściwe dla programu K0-CST w obszarze AI Act / NIS2 / KSC / cyberbezpieczeństwa i ochrony danych. To nie jest sugestia — to ustrukturyzowana lista adresatów, do których kierowane są wezwania do działania. Każdy wiersz zawiera oficjalny, publiczny kanał kontaktowy. Kontakt zawsze przez kanały instytucji, nie przez pośredników.
| Instytucja | Rola / relacja | Dlaczego istotne (AI Act / NIS2 / cyber / dane) | Kontakt oficjalny (publiczny) |
|---|---|---|---|
| Ministerstwo Cyfryzacji (MC) | Wiodący koordynator polityki cyfryzacji i AI; właściwy organ KSC (ustawa z 2022 r.) | AI Act: odpowiada za wdrożenie rozporządzenia UE 2024/1689 w Polsce. KSC: zarządza krajowym systemem cyberbezpieczeństwa. Koordynuje transpozycję NIS2 (dyrektywa 2022/2555). Nadzoruje cyfrową transformację administracji i podmiotów kluczowych. | ul. Królewska 27, 00-060 Warszawa gov.pl/cyfryzacja ePUAP |
| Instytucja | Rola / relacja | Dlaczego istotne (AI Act / NIS2 / cyber / dane) | Kontakt oficjalny (publiczny) |
|---|---|---|---|
| NASK-PIB (w tym CSIRT NASK) | Instytut badawczy nadzorowany przez MC; operator CSIRT NASK — jeden z 3 krajowych CSIRT KSC | NIS2 / KSC: obsługuje incydenty cyberbezpieczeństwa w sektorze cywilnym (ISP, edukacja, badania). Prowadzi badania nad bezpieczeństwem AI i sieci. Rejestr domen .pl, systemy CERT. | ul. Kolska 12, 01-045 Warszawa nask.pl Incydenty CSIRT NASK / CERT Polska: incydent@cert.pl · cert.pl |
| CSIRT GOV (ABW) | CSIRT dla administracji publicznej; prowadzony przez Agencję Bezpieczeństwa Wewnętrznego | KSC / NIS2: obsługuje incydenty w administracji rządowej i podmiotach kluczowych administracji. Odpowiada za ochronę krytycznej infrastruktury teleinformatycznej państwa. | csirt.gov.pl (ABW) |
| CSIRT MON | CSIRT sektora obronnego; prowadzony przez Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni | KSC / NIS2: obsługuje incydenty w podmiotach podległych MON, infrastrukturze wojskowej i cyberobronie. Istotny w kontekście AI w systemach obronnych (AI Act — systemy wysokiego ryzyka). | csirt-mon.wp.mil.pl |
| COI (Centralny Ośrodek Informatyki) | Jednostka budżetowa MC; integruje i utrzymuje systemy IT administracji publicznej | AI Act: wdraża systemy AI w e-administracji (wysokie ryzyko — art. 6 AI Act). KSC: odpowiada za bezpieczeństwo systemów Obywatel.gov.pl, ePUAP, mObywatel. | coi.gov.pl ePUAP |
| Instytut Łączności – PIB | Instytut badawczy w obszarze telekomunikacji i ICT; podlega MC | NIS2 / KSC: badania nad bezpieczeństwem sieci telekomunikacyjnych i usług kluczowych. Certyfikacja urządzeń; wspieranie regulacyjne UKE i MC w zakresie cyberbezpieczeństwa sieci. | il-pib.pl |
| Centrum e-Zdrowia | Jednostka podległa Ministerstwu Zdrowia; zarządza cyfrową infrastrukturą ochrony zdrowia | AI Act: systemy AI w ochronie zdrowia (wysoki ryzyko, załącznik III). NIS2 / KSC: podmiot kluczowy sektora zdrowia. Platformy: IKP, P1, e-Recepta, e-Skierowanie. | cez.gov.pl ePUAP |
| Instytucja | Rola / relacja | Dlaczego istotne (AI Act / NIS2 / cyber / dane) | Kontakt oficjalny (publiczny) |
|---|---|---|---|
| Ministerstwo Obrony Narodowej (MON) | Zwierzchnik sił zbrojnych; zarządza cyberobroną przez CSIRT MON i COCyber | AI Act: systemy AI w zastosowaniach wojskowych (wyłączenia art. 2 ust. 3; ale dual-use istotny). NIS2 / KSC: sektor obronny jako podmiot krytyczny. Polityka cyberbezpieczeństwa NATO. | gov.pl/obrona-narodowa Al. Niepodległości 218, 00-911 Warszawa ePUAP |
| MSWiA | Nadzoruje policję, straż pożarną, ochronę granic; właściwy dla podmiotów bezpieczeństwa wewnętrznego | AI Act: systemy AI do biometrycznej identyfikacji w przestrzeni publicznej (art. 5 — zakazy i wyjątki). NIS2: sektor bezpieczeństwa publicznego jako podmiot kluczowy. Dane osobowe w systemach PESEL, CEPiK. | gov.pl/mswia ePUAP |
| Ministerstwo Finansów (+ KAS) | Reguluje rynek finansowy i system podatkowy; KAS = Krajowa Administracja Skarbowa | AI Act: systemy oceny ryzyka i scoring (wysoki ryzyko — finanse, scoring kredytowy). NIS2 / KSC: sektor finansowy jako podmiot kluczowy. DORA (rozporządzenie UE 2022/2554) — odporność cyfrowa finansów. | gov.pl/finanse KAS: gov.pl/kas ePUAP |
| Ministerstwo Zdrowia | Organ tworzący politykę zdrowotną; nadzoruje Centrum e-Zdrowia i podmioty lecznicze | AI Act: wyroby medyczne z AI (klasy Ir/IIa/IIb/III — integracja z MDR/IVDR). NIS2 / KSC: szpitale i podmioty lecznicze jako podmioty ważne/kluczowe. | gov.pl/zdrowie ePUAP |
| Ministerstwo Rozwoju i Technologii | Nadzoruje organy nadzoru rynku; współtworzy politykę przemysłową i cyfrową | AI Act: koordynacja z organem nadzoru rynku AI (art. 70 i dalej). Transpozycja regulacji produktowych z komponentami AI. Infrastruktura przemysłowa jako podmiot kluczowy NIS2. | gov.pl/rozwoj-technologia ePUAP |
| Ministerstwo Nauki i Szkolnictwa Wyższego | Finansuje badania naukowe; nadzoruje uczelnie i instytuty badawcze | AI Act: art. 2 ust. 6 — wyłączenia dla działalności badawczej i naukowej. Finansowanie projektów AI i cyberbezpieczeństwa (NCN, NCBR). Uczelnie jako podmioty sektora cyfrowego. | gov.pl/nauka ePUAP |
| Ministerstwo Sprawiedliwości | Zarządza systemem sądownictwa i wymiaru sprawiedliwości | AI Act: systemy AI w wymiarze sprawiedliwości (wysoki ryzyko — załącznik III pkt 8). Prawa podstawowe i ochrona przed dyskryminacją algorytmiczną. Dostęp do wymiaru sprawiedliwości w erze cyfrowej. | gov.pl/sprawiedliwosc ePUAP |
| Instytucja | Rola / relacja | Dlaczego istotne (AI Act / NIS2 / cyber / dane) | Kontakt oficjalny (publiczny) |
|---|---|---|---|
| UODO (Urząd Ochrony Danych Osobowych) | Krajowy organ nadzorczy RODO (art. 51 RODO); niezależny organ regulacyjny | AI Act: nadzór nad systemami przetwarzającymi dane osobowe (powiązanie RODO + AI Act). RODO: egzekucja przepisów o ochronie danych. Potencjalna rola koordynująca dla AI Act w obszarze praw podstawowych. | ul. Stawki 2, 00-193 Warszawa uodo.gov.pl kancelaria@uodo.gov.pl |
| UKE (Urząd Komunikacji Elektronicznej) | Regulator sektora telekomunikacyjnego i pocztowego | NIS2 / KSC: nadzór nad operatorami sieci i usług telekomunikacyjnych (podmiot kluczowy). Cyberbezpieczeństwo sieci 5G (ustawa KSC — rozszerzone kompetencje). Koordynacja z ENISA w zakresie bezpieczeństwa sieci. | ul. Giełdowa 7/9, 01-211 Warszawa uke.gov.pl ePUAP |
| KNF (Komisja Nadzoru Finansowego) | Regulator rynku finansowego: banki, ubezpieczenia, rynek kapitałowy | AI Act: systemy AI w finansach (scoring, ocena ryzyka kredytowego — wysoki ryzyko). DORA: nadzór nad odpornością cyfrową instytucji finansowych. NIS2 / KSC: sektor finansowy i bankowy jako podmiot kluczowy. | ul. Piękna 20, 00-549 Warszawa knf.gov.pl ePUAP |
| UOKiK (Urząd Ochrony Konkurencji i Konsumentów) | Regulator ochrony konsumentów i konkurencji | AI Act: ochrona konsumentów przed systemami AI (art. 50 — obowiązki przejrzystości; chatboty, deepfakes). Nieuczciwych praktyk rynkowych z wykorzystaniem AI. Potencjalna rola organu nadzoru rynku AI dla produktów konsumenckich. | pl. Powstańców Warszawy 1, 00-950 Warszawa uokik.gov.pl ePUAP |
| Organ nadzoru rynku AI Act (w organizacji) | Krajowy organ nadzoru rynku wyznaczony przez Polskę (art. 70 AI Act); status na 2026-07 — w trakcie wyznaczania | AI Act: kluczowa rola — nadzór nad dostawcami i wdrażającymi systemy AI wysokiego ryzyka, certyfikacja, sankcje. Notyfikacja do Komisji Europejskiej. Współpraca z EAIB (European AI Board). | Organ w trakcie wyznaczania. Do czasu wyznaczenia: oficjalna domena gov.pl / ePUAP jednostki wiodącej (MC) |
| Instytucja | Rola / relacja | Dlaczego istotne (AI Act / NIS2 / cyber / dane) | Kontakt oficjalny (publiczny) |
|---|---|---|---|
| Sieć Badawcza Łukasiewicz | Sieć 22 instytutów badawczych podlegających MC; badania aplikacyjne i technologie przemysłowe | AI Act: wyłączenia badawcze (art. 2 ust. 6); systemy testowe i pilotażowe AI. Technologie krytyczne dla bezpieczeństwa. Potencjalny partner wdrożeniowy K0-CST w sektorze B+R. | lukasiewicz.gov.pl |
| NCBR (Narodowe Centrum Badań i Rozwoju) | Agencja rządowa finansująca B+R; podlega Ministerstwu Nauki | AI Act: finansowanie bezpiecznych systemów AI (programy krajowe i Horyzont Europa). Cyberbezpieczeństwo jako priorytet badawczy. Sandbox regulacyjny AI Act (art. 57) — rola wspierająca. | ul. Chmielna 69, 00-801 Warszawa gov.pl/ncbr ePUAP |
| Instytuty PAN | Placówki Polskiej Akademii Nauk; badania podstawowe i stosowane | AI Act: badania podstawowe nad systemami AI (wyłączenia art. 2 ust. 6). IPI PAN (informatyka), IBiAS PAN (bezpieczeństwo) — ekspertyza techniczna. Udział w europejskich sieciach badawczych AI. | pan.pl Kontakt przez stronę właściwego instytutu PAN |
| Politechniki i uczelnie techniczne | Publiczne uczelnie techniczne (PW, AGH, PWr, PG i in.); kształcenie kadr i badania | AI Act: wyłączenia badawcze i edukacyjne. Kształcenie kompetencji AI i cyberbezpieczeństwa. Laboratoria badań nad bezpieczeństwem AI; potencjalni partnerzy sandboxu regulacyjnego. | Oficjalna domena uczelni / ePUAP jednostki |
| NASK-PIB (obszar badawczy) | Poza rolą CSIRT NASK — PIB prowadzi badania nad bezpieczeństwem cyfrowym i AI | Badania nad dezinformacją, bezpieczeństwem dzieci w sieci, cyberzagrożeniami. Program STORK 2.0 — tożsamość cyfrowa. Ekspertyza dla MC w tworzeniu polityki AI. | ul. Kolska 12, 01-045 Warszawa nask.pl |
| Instytut Łączności – PIB | Badania nad telekomunikacją, sieciami i cyberbezpieczeństwem ICT | Certyfikacja urządzeń telekomunikacyjnych. Badania nad bezpieczeństwem 5G i sieci NGN. Ekspertyza techniczna dla UKE i MC. | il-pib.pl |
| Instytucja / kategoria | Rola / relacja | Dlaczego istotne (AI Act / NIS2 / cyber / dane) | Kontakt oficjalny (publiczny) |
|---|---|---|---|
| JST — urzędy marszałkowskie, miasta, gminy | Jednostki samorządu terytorialnego; zarządzają usługami publicznymi dla mieszkańców | NIS2 / KSC: administracja publiczna jako podmiot ważny/kluczowy. AI Act: wdrożenia AI w usługach publicznych (wysoki ryzyko — art. 6 i zał. III). Ochrona danych mieszkańców (RODO + AI Act). | Kontakt przez oficjalne kanały danej JST / ePUAP jednostki |
| KAS (Krajowa Administracja Skarbowa) | Zarządza systemem podatkowym i celnym; podlega MF | AI Act: systemy AI do oceny ryzyka podatkowego i celnego (wysoki ryzyko). NIS2 / KSC: podmiot kluczowy — infrastruktura finansów publicznych. Masowe przetwarzanie danych osobowych. | gov.pl/kas ePUAP |
| ZUS (Zakład Ubezpieczeń Społecznych) | Organ ubezpieczeń społecznych; zarządza składkami i świadczeniami dla ~25 mln ubezpieczonych | AI Act: systemy AI w przyznawaniu świadczeń (wysoki ryzyko — zał. III pkt 5). NIS2 / KSC: podmiot kluczowy — krytyczna infrastruktura społeczna. Masowe przetwarzanie danych wrażliwych. | zus.pl ePUAP |
| ARiMR (Agencja Restrukturyzacji i Modernizacji Rolnictwa) | Agencja płatnicza UE w Polsce; zarządza dopłatami dla rolników i środkami z PROW | AI Act: systemy AI do kwalifikacji wniosków i kontroli (wysoki ryzyko). NIS2: podmiot w sektorze żywności i rolnictwa. Przetwarzanie danych rolników i kontroli terenowych (geolokalizacja, satelity). | gov.pl/arimr ePUAP |
| GUS (Główny Urząd Statystyczny) | Centralny organ statystyki publicznej; producent danych i rejestrów | AI Act: dane statystyczne jako fundament systemów AI (jakość danych — art. 10). RODO: anonimizacja i pseudonimizacja danych statystycznych. Rejestry REGON, TERYT — infrastruktura danych publicznych. | stat.gov.pl ePUAP |
| RCB (Rządowe Centrum Bezpieczeństwa) | Centrum zarządzania kryzysowego i ochrony infrastruktury krytycznej; podlega PRM | KSC / NIS2: koordynacja ochrony infrastruktury krytycznej (IK). AI Act: systemy AI w zarządzaniu kryzysowym (wysoki ryzyko — bezpieczeństwo publiczne). Plany ciągłości działania dla podmiotów kluczowych. | rcb.gov.pl Al. Ujazdowskie 5, 00-583 Warszawa ePUAP |
| KPRM (Kancelaria Prezesa Rady Ministrów) | Kancelaria premiera; koordynacja prac rządu | AI Act / KSC: koordynacja polityki na poziomie rządu. Nadzór nad Pełnomocnikiem Rządu ds. Cyberbezpieczeństwa. | Al. Ujazdowskie 1/3, 00-583 Warszawa gov.pl/premier ePUAP |
| Operatorzy usług kluczowych — energetyka (PSE, PGE, TAURON i in.) | Operatorzy infrastruktury energetycznej i systemu przesyłowego | NIS2 / KSC: sektor energii — podmiot kluczowy (sieć elektroenergetyczna, gaz, ropa). AI Act: systemy AI w zarządzaniu siecią i bezpieczeństwie (wysoki ryzyko). Podatność na cyberataki (incydenty Colonial Pipeline, Ukrainian grid). | Kontakt przez oficjalne kanały operatora / ePUAP |
| Operatorzy usług kluczowych — zdrowie (szpitale, NFZ) | Podmioty lecznicze i płatnik publiczny NFZ | NIS2 / KSC: sektor zdrowia — podmiot kluczowy (szpitale >500 łóżek). AI Act: systemy diagnostyczne AI (wysoki ryzyko — MDR/IVDR). Masowe przetwarzanie danych zdrowotnych (art. 9 RODO). | Kontakt przez oficjalne kanały NFZ / szpitala / ePUAP |
| Operatorzy usług kluczowych — transport (PKP, UM lotnicze, porty) | Operatorzy infrastruktury transportowej: kolej, lotnictwo, porty morskie i śródlądowe | NIS2 / KSC: sektor transportu — podmiot kluczowy. AI Act: systemy AI w transporcie autonomicznym i zarządzaniu ruchem (wysoki ryzyko — zał. III pkt 4). Cyberbezpieczeństwo OT/ICS w transporcie. | Kontakt przez oficjalne kanały operatora / ePUAP |
| Operatorzy usług kluczowych — woda (PWiK, wodociągi) | Dostawcy wody pitnej i operatorzy ścieków w miastach i gminach | NIS2 / KSC: sektor wody pitnej — podmiot kluczowy (dostawcy >50 tys. mieszkańców). Cyberbezpieczeństwo systemów SCADA/ICS w infrastrukturze wodociągowej. AI w monitoringu jakości wody. | Kontakt przez oficjalne kanały operatora / ePUAP |
| Operatorzy usług kluczowych — finanse (banki, izby rozliczeniowe, KIR) | Instytucje finansowe systemowo ważne; KIR = Krajowa Izba Rozliczeniowa | NIS2 / KSC + DORA: sektor finansowy — podmiot kluczowy z osobnym reżimem odporności cyfrowej. AI Act: scoring kredytowy, AML, systemy wykrywania fraudów (wysoki ryzyko). Nadzór KNF. | Kontakt przez oficjalne kanały instytucji / ePUAP |
Program K0-CST stosuje ustrukturyzowany proces dotarcia — od identyfikacji właściwości, przez oficjalny kontakt, po raport i decyzję.
Weryfikacja, który organ lub podmiot jest właściwy dla danego obszaru (AI Act / NIS2 / KSC / RODO). Sprawdzenie aktualnych kompetencji u źródła — ustawa, rozporządzenie, BIP.
Dotarcie wyłącznie przez oficjalne kanały instytucji (ePUAP, poczta elektroniczna urzędowa, formularz BIP). Nie reprezentujemy instytucji ani nie działamy w ich imieniu.
Wstępna analiza stanu faktycznego i prawnego (faza P0 programu K0-CST). Zestawienie claimów, luk dowodowych (GAP) i potencjalnych ryzyk regulacyjnych.
Opracowanie raportu wg metodologii K0-CST: claim ≤ proof, trzy statusy (LIVE / DANE / WKRÓTCE), wersjonowanie. Raport przekazywany zgodnie z trybem właściwym dla odbiorcy.
Decyzja o dalszych działaniach leży po stronie odbiorcy. K0-CST nie zastępuje organów — dostarcza ustrukturyzowaną informację i dokumentację dowodową.
Zobacz też: › /Common-Source-of-Truth/powitanie · › /Common-Source-of-Truth/institutions