. WOJEWODA OPOLSKI PN.I.431.3.4.2018.RCh Opole, dnia 26 października 2018 r. Pan Dionizy Duszyński Wójt Gminy Popielów ul. Opolska 13 46-090 Popielów SPRAWOZDANIE Z KONTROLI I. Podstawowe informacje formalno-prawne dotyczące kontroli: 1) Nazwa i adres jednostki kontrolowanej: Urząd Gminy w Popielowie (dalej: UG w Popielowie; Urząd), ul. Opolska 13, 46-090 Popielów. 2) Podstawa prawna podjęcia kontroli: a) art. 25 ust. 1 pkt 3 lit. a i ust. 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne 1, b) art. 6 ust. 4 pkt 3 ustawy z dnia 15 lipca 2011 r. o kontroli w administracji rządowej 2 dalej: ustawa o kontroli; 3) Zakres kontroli: a) Przedmiot kontroli: Działanie systemów teleinformatycznych i rejestrów publicznych używanych do realizacji zadań zleconych z zakresu administracji rządowej, b) Okres objęty kontrolą: od 1 stycznia 2017 r. do dnia rozpoczęcia kontroli (z uwzględnieniem okresu wcześniejszego i późniejszego w zakresie niezbędnym do realizacji celu kontroli). 4) Rodzaj kontroli: problemowa. 5) Tryb kontroli: uproszczony. 6) Termin kontroli: 8-12 października 2018 r. 7) Skład zespołu kontrolnego: a) Radosław Chodziński Starszy Inspektor Wojewódzki w Oddziale Organizacji, Kontroli i Skarg w Wydziale Prawnym i Nadzoru OUW (przewodniczący zespołu kontrolnego), b) Adam Szkudlarski Starszy Specjalista w Oddziale Informatyki i Rozwoju w Biurze Obsługi Urzędu OUW (członek zespołu kontrolnego). 8) Kierownik jednostki kontrolowanej: Funkcję Wójta Gminy Popielów pełni Pan Dionizy Duszyński, od dnia 7 czerwca 1990 r. [Dowód: akta kontroli, s. 2] 9) Kontrolę wpisano do książki kontroli prowadzonej w jednostce kontrolowanej, pod poz. nr: 8/2018. 1 Dz. U. z 2017 r. poz. 570. 2 Dz. U. Nr 185, poz. 1092. Strona 1 z 8
II. Ocena działalności jednostki kontrolowanej, ze wskazaniem ustaleń, na których została oparta: Funkcjonowanie UG w Popielowie w kontrolowanym zakresie oceniono pozytywnie z nieprawidłowościami 3. Powyższa ogólna ocena wynika z ocen cząstkowych poszczególnych obszarów objętych kontrolą. Ustalenia kontroli: 1) Obszar obejmujący: wymianę informacji w postaci elektronicznej, w tym współpracę z innymi systemami / rejestrami informatycznymi i wspomaganie świadczenia usług drogą elektroniczną pomimo stwierdzonej nieprawidłowości oceniono pozytywnie. UG w Popielowie wykorzystuje 6 systemów teleinformatycznych do realizacji zadań zleconych z zakresu administracji rządowej, w tym 3 o zasięgu krajowym (Źródło, KDR i CEIDG 4 ) oraz 3 o zasięgu lokalnym (stosowane do prowadzenia ewidencji mieszkańców Gminy, prowadzenia archiwalnego rejestru aktów stanu cywilnego i do zwrotu podatku akcyzowego zawartego w cenie oleju napędowego wykorzystywanego do produkcji rolnej). Na systemach tych pracuje łącznie 10 użytkowników (pracowników) z 4 komórek organizacyjnych Urzędu. [Dowód: akta kontroli, s. 44-49 i 58] Z przedłożonej kontrolującym ankiety wynika, że każdy z ww. systemów (dokonując oceny pod względem krytyczności) jest bardzo ważny dla Urzędu. [Dowód: akta kontroli, s. 44-49] UG w Popielowie ma wdrożone elektroniczne skrzynki podawcze: EBOI 5 oraz epuap 6, a także usługę EBO 365 7 zintegrowaną z epuap-em. [Dowód: akta kontroli, s. 61 i 62-71] Zgodnie z wyjaśnieniami Sekretarza Gminy, Pani I. Lenart: wdrożenie dwóch systemów: EBOI i EBO 365 było związane z realizacją projektów dofinansowanych ze środków unijnych, w ramach których w UG w Popielowie zakupiono elektroniczny obieg dokumentów, sprzęt komputerowy i oprogramowanie, zbudowano sieć komputerową, wyposażono serwerownię, przeprowadzono szkolenia dla pracowników. [Dowód: akta kontroli, s. 61] Wspomnieć w tym miejscu należy, że w dniu 3 października 2018 r. (etap przedkontrolny), w katalogu usług EBOI (https://popielow.eboi.pl), w usłudze zatytułowanej: Wydanie dowodu osobistego, stwierdzono nieaktualne podstawy (akty) prawne, a mianowicie, nieobowiązującą od 1 marca 2015 r. ustawę z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych 8, oraz również nieobowiązujące od 1 marca 2015 r. rozporządzenie Rady Ministrów z dnia 6 lutego 2009 r. w sprawie wzoru dowodu osobistego oraz trybu postępowania w sprawach wydawania dowodów osobistych, ich unieważniania, wymiany, zwrotu lub utraty 9. [Dowód: akta kontroli, s. 67] 3 Służby kontrolne Wojewody Opolskiego stosują czterostopniową skalę ocen: pozytywna, pozytywna z uchybieniami, pozytywna z nieprawidłowościami i negatywna. 4 Rejestr publiczny. 5 Elektroniczne Biuro Obsługi Interesanta. 6 Elektroniczna Platforma Usług Administracji Publicznej. 7 Elektroniczne Biuro Obywatela. 8 Dz.U. z 2006 r. Nr 139, poz. 993. 9 Dz. U. Nr 47, poz. 384. Strona 2 z 8
Błąd ten kwalifikuje się jako nieprawidłowość. Może on świadczyć o niewystarczającym (dotychczas) nadzorze nad aktualizacją zapisów występujących w katalogu usług. Tym niemniej w trakcie kontroli w dniu 10 października 2018 r. stwierdzono wyeliminowanie powyższej nieprawidłowości. [Dowód: akta kontroli, s. 67] UG w Popielowie nie przekazywał własnych wzorów dokumentów do centralnego repozytorium wzorów dokumentów elektronicznych. [Dowód: akta kontroli, s. 50] Wiodącym (podstawowym) systemem pracy na dokumentach w Urzędzie jest system tradycyjny (papierowy), wspomagany przez elektroniczny system obiegu dokumentów. [Dowód: akta kontroli, s. 51 i 13] Kontrolujący nie stwierdzili niezgodności formatów danych (zasobów informacyjnych) udostępnianych przez systemy teleinformatyczne wykorzystywane w UG w Popielowie z dyspozycją 18 ust. 1 rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych 10, dalej: rozporządzenie KRI. 2) Obszar obejmujący: system zarządzania bezpieczeństwem informacji w systemach teleinformatycznych oceniono pozytywnie z nieprawidłowościami. Zgodnie z 20 ust. 1-2 rozporządzenia KRI, podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali System Zarządzania Bezpieczeństwem Informacji (dalej: SZBI) zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie enumeratywnie wymienionych działań, celem zapewnienia bezpieczeństwa informacji. W UG w Popielowie obowiązuje zarządzenie nr 120.68.2018 Wójta Gminy Popielów z dnia 31 sierpnia 2018 r. w sprawie wprowadzenia SZBI (...) 11. Stosownie do 1 niniejszego zarządzenia, SZBI (określony w załączniku nr 1) stanowią: Polityka Bezpieczeństwa Informacji; Zasady Użytkowania Systemów Informatycznych Instrukcja zarządzania systemami informatycznymi; Zasady dotyczące odpowiedzialności i uprawnień w ramach SZBI oraz Zasady akceptowalnego użycia. [Dowód: akta kontroli, s. 72-99] Ponadto zarządzeniem nr 120.69.2018 z dnia 31 sierpnia 2018 r., Wójt Gminy Popielów wyznaczył na Koordynatora ds. Bezpieczeństwa Informacji w UG w Popielowie Sekretarza Gminy Popielów 12. [Dowód: akta kontroli, s. 100] 10 Dz.U. z 2017 r. poz. 2247. 11 Zarządzenie weszło w życie w dniu 31 sierpnia 2018 r. 12 Zarządzenie weszło w życie w dniu 1 września 2018 r. Strona 3 z 8
Nadmienić w tym miejscu także wypada, że w jednostce kontrolowanej obowiązuje również zarządzenie nr 120.50.2013 Wójta Gminy Popielów z dnia 15 stycznia 2013 r. w sprawie wprowadzenia dokumentacji bezpieczeństwa przetwarzania danych osobowych oraz powołania Administratora Bezpieczeństwa Informacji i osoby go zastępującej w UG w Popielowie. Zarządzeniem powyższym wprowadzono: Politykę Bezpieczeństwa oraz Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Procedury powyższe nie były jednak dotychczas aktualizowane. [Dowód: akta kontroli, s. 103-224] W ocenie kontrolujących funkcjonowanie w Urzędzie dwóch zestawów dokumentów dotyczących bezpieczeństwa informacji (w tym danych osobowych), jest mało czytelne, co uzasadnia potrzebę podjęcia stosownych działań ujednolicających (porządkujących) w tym zakresie. [Dowód: akta kontroli, s. 73 i 105] Ponadto stwierdzić należy, że powyższa dokumentacja nie uwzględnia obowiązków wynikających dla jednostki samorządu terytorialnego z ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa 13 (dalej: ustawa o krajowym systemie cyberbezpieczeństwa). W UG w Popielowie nie wyznaczono także osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa. O obowiązku tym stanowi art. 21 ust. 1 ww. ustawy. Niniejsze zaniedbanie kwalifikuje się jako nieprawidłowość. [Dowód: akta kontroli, s. 101] Kontrolującym przedstawiono Ocenę i analizę zagrożeń i ryzyka przy przetwarzaniu danych osobowych w UG w Popielowie (stan na dzień 30 czerwca 2017 r.). Jak sama nazwa wskazuje jest to analiza zagrożeń i ryzyka dotycząca danych osobowych. Tymczasem pojęcie bezpieczeństwa informacji jest szersze od pojęcia bezpieczeństwa (ochrony) danych osobowych. Dane osobowe są bardzo ważnym, ale tylko jednym z rodzajów informacji podlegających ochronie. O okresowej analizie ryzyka utraty integralności, dostępności lub poufności informacji, stanowi 20 ust. 2 pkt 3 rozporządzenia KRI. [Dowód: akta kontroli, s. 226-238] W kwestii inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji, stosownie do wyjaśnień Wójta Gminy Popielów: począwszy od stycznia 2019 r. planowane jest wdrożenie narzędzia (systemu) informatycznego umożliwiającego sprawne zarządzanie zasobami IT. Podczas kontroli stwierdzono prowadzenie kart wyposażenia stanowisk pracy. [Dowód: akta kontroli, s. 381 i 52] Zgodnie z Instrukcją Zarządzania Systemem Informatycznym, w Urzędzie prowadzone są karty nadania / modyfikacji uprawnień do systemu informatycznego. [Dowód: akta kontroli, s. 195] Przedstawione informacje dotyczące zapewnienia szkoleń osób zaangażowanych w proces przetwarzania informacji, o których stanowi 20 ust. 2 pkt 6 rozporządzenia KRI, nie sprzeciwiają się przyjęciu, że prowadzone szkolenia wpisują się w realizację wymogu określonego ww. przepisem. [Dowód: akta kontroli, s. 381] 13 Dz.U. z 2018 r. poz. 1560. Ustawa ta weszła w życie w dniu 28 sierpnia 2018 r. Strona 4 z 8
W myśl przedłożonej przez Wójta Gminy Popielów informacji, w Urzędzie nie funkcjonuje praca na odległość. [Dowód: akta kontroli, s. 53] Analizując problem zagwarantowania w umowach 14 (o asystę techniczną / serwisowych) odpowiedniego poziomu bezpieczeństwa informacji stwierdzić należy, że: w umowach o asystę techniczną nr 2018-1609092-0102, nr 2018-1609092-0225 zawartych w dniu 28 grudnia 2017 r. z firmą TECHNIKA IT, uwagę zwraca przede wszystkim faktyczna wysokość kar umownych, za każdy dzień opóźnienia (w usunięciu w systemie błędów krytycznych i istotnych) w stosunku do terminów umownych ( 8 umów), w umowie serwisowej nr K 251/2018 z dnia 28 grudnia 2017 r., zawartej z firmą TENSOFT, uwagę zwraca czas realizacji zgłoszenia w przypadku wystąpienia tzw. błędu w systemie ( 2 ust. 6 w zw. z 2 ust. 3 lit. b umowy), oraz faktyczna wysokość kar umownych za każdy dzień zwłoki w jego usunięciu ( 5 lit. b w zw. z 3 umowy). Ze względu na określoną wysoką krytyczność (ważność) dla Urzędu systemów teleinformatycznych będących przedmiotem tych umów, postanowienia ww. przepisów mogą wpływać niekorzystnie na zapewnienie dostępności informacji w nich przetwarzanych. Wymagają więc powtórnego przeanalizowania, pod kątem możliwości lepszego zabezpieczenia interesu Urzędu. [Dowód: akta kontroli, s. 239-242, 243-247 i 248-251] W przedłożonym kontrolującym Rejestrze naruszeń bezpieczeństwa systemu informatycznego UG w Popielowie, odnotowano pięć naruszeń (z każdego naruszenia sporządzono raport 15 ). [Dowód: akta kontroli, s. 252-255] Jednostka kontrolowana przedłożyła raporty z przeprowadzonych audytów bezpieczeństwa informacji (datowane odpowiednio na dzień 27 grudnia 2016 r. i na dzień 30 grudnia 2017 r.). Podkreślić należy, że w 2017 r., audyt został przeprowadzony przez informatyka Urzędu, pełniącego funkcję Administratora Systemów Informatycznych. Skłania to do wniosku o niezapewnieniu w tym przypadku niezależności audytu (jako jego podstawowej cechy) 16. Audyt nie powinien być prowadzony przez osobę odpowiedzialną za działania będące przedmiotem audytu 17. [Dowód: akta kontroli, s. 256-324 i 325-378] Zgodnie z wyjaśnieniami Wójta Gminy Popielów, przeprowadzenie audytu w powyższym zakresie w bieżącym roku, planowane jest na grudzień. [Dowód: akta kontroli, s. 383] Stwierdzono tworzenie tzw. kopii zapasowej danych. Kopia ta wykonywana jest codziennie na sieciowy zasób dyskowy, zlokalizowany w innym pomieszczeniu niż serwerownia. [Dowód: akta kontroli, s. 390] 14 Dotyczących kontrolowanych lokalnych systemów teleinformatycznych. 15 Pierwszy datowany na dzień 19 listopada 2015 r., ostatni zaś na dzień 15 maja 2018 r. 16 Wg normy PN-ISO/IEC 27000 (Technika informatyczna. Techniki bezpieczeństwa. Systemy zarządzania bezpieczeństwem informacji. Przegląd i terminologia), pkt 2.5. 17 Wg normy PN-EN ISO 19011 (Wytyczne dotyczące auditowania systemów zarządzania), pkt 3.1. Strona 5 z 8
W myśl wyjaśnień Sekretarza Gminy: (...) tworzone w Urzędzie kopie bezpieczeństwa systemów sprawdzane są pod względem poprawności zapisu pliku. Natomiast weryfikacja poprawności zawartych danych i przydatności kopii zapasowej nie jest wykonywana ze względu na brak warunków technicznych środowiska testowego. Stworzenie środowiska testowego wymaga zakupu dodatkowego serwera wraz z licencją na system i oprogramowanie bazodanowe. [Dowód: akta kontroli, s. 391] Kontrolujący pozytywnie oceniają tworzenie kopii zapasowej danych, natomiast dla pełnego bezpieczeństwa informacji, powinno zostać zapewnione testowe jej odtworzenie. W toku kontroli przeprowadzono oględziny (wybranych) trzech pokoi w UG w Popielowie, w których funkcjonują sprawdzane systemy teleinformatyczne. Podczas oględzin stwierdzono: zgodność numerów komputerów i zainstalowanych na nich systemów operacyjnych, z przedłożonymi w tym zakresie dokumentami; zainstalowane oprogramowanie antywirusowe (w jednym przypadku stwierdzono jednak komunikat programu antywirusowego o nieaktywnej zaporze osobistej); brak bieżących aktualizacji systemu operacyjnego komputera (w sześciu przypadkach); pracę na koncie administratora systemu operacyjnego komputera, zamiast wyłącznie użytkownika, co jest istotną nieprawidłowością 18 (w jednym przypadku). Wykonane czynności w zakresie obsługi (logowania się pracowników Urzędu do systemów), ustawienia monitorów, itp., nie wykazały nieprawidłowości w kontekście zagrożeń dla bezpieczeństwa informacji. Stwierdzony stan faktyczny udokumentowano w protokole oględzin. [Dowód: akta kontroli, s. 384-387] Zgodnie z oświadczeniem Administratora Systemów Informatycznych w Urzędzie, (złożonego w trzecim dniu po przeprowadzeniu powyższych oględzin): (...) systemy operacyjne komputerów, na których działają systemy (IT) do realizacji zadań zleconych z zakresu administracji rządowej (...) zostały zaktualizowane. Błąd programu antywirusowego (...) występujący na jednym komputerze został naprawiony i została włączona zapora osobista. [Dowód: akta kontroli, s. 388] Oględzinom poddano także serwerownię UG w Popielowie. W trakcie tej czynności uwagę kontrolujących zwróciło: nieuporządkowanie połączeń kablowych (w szafie sieciowej), co może skutkować ryzykiem dokonania błędnego połączenia sieciowego, niewyposażenie serwerowni w czujnik temperatury. Kontrolujący nie wnieśli innych uwag w powyższym zakresie. Ustalony stan faktyczny udokumentowano w protokole oględzin, a także w Materiale poglądowym. [Dowód: akta kontroli, s. 389-390; Materiał poglądowy, s. 1-3, fot. 1-6] W toku kontroli stwierdzono odnotowywanie działań użytkowników w dziennikach systemu. [Dowód: akta kontroli, s. 392-393] 18 Nieprawidłowość ta narusza 20 ust. 2 pkt 4 rozporządzenia KRI. Strona 6 z 8
3) Obszar obejmujący: zapewnienie dostępności informacji dla osób niepełnosprawnych pomimo stwierdzonych ostrzeżeń oceniono pozytywnie. W toku kontroli dokonano weryfikacji strony Urzędu (BIP i internetowej wersji dla słabowidzących) ze standardem WCAG 2,0 w zakresie możliwym do sprawdzenia narzędziem dostępnym na stronie internetowej https://validator.w3.org. W wyniku przeprowadzonego badania: a) strony http://slabowidzacy.bip.popielow.pl/ 19 (BIP Urzędu), stwierdzono siedem ostrzeżeń (brak błędów), b) strony http://slabowidzacy.popielow.pl/ 20 (strona internetowa Urzędu), stwierdzono sześć ostrzeżeń (brak błędów). [Dowód: akta kontroli, s. 394-395 i 396-397] Podczas osobistego przeglądu ww. stron, kontrolujący również nie stwierdzili błędów. III. Zakres, przyczyny i skutki stwierdzonych nieprawidłowości oraz osoby odpowiedzialne za nieprawidłowości: W wyniku kontroli stwierdzono nieprawidłowości dotyczące: niezapewnienia jednolitego (uporządkowanego) opracowania SZBI oraz nieuwzględnienia w nim obowiązków wynikających dla jednostki samorządu terytorialnego z ustawy o krajowym systemie cyberbezpieczeństwa, niewyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa; przypadku pracy użytkownika sprawdzanych systemów teleinformatycznych na koncie administratora systemu operacyjnego komputera, oraz przypadków braku bieżących aktualizacji systemu operacyjnego komputera, braku możliwości testowej weryfikacji poprawności zapisania danych na kopii zapasowej, niezapewnienia wystarczającego poziomu bezpieczeństwa informacji (pod względem jej dostępności) w umowach o asystę techniczną i w umowie serwisowej, zawężania analizy ryzyka do ochrony danych osobowych, niezapewnienia niezależności przeprowadzonego audytu w zakresie bezpieczeństwa informacji, innych kwestii związanych z kontrolowanymi obszarami (w szczególności nieaktualne podstawy (akty) prawne w usłudze opublikowanej na EBOI; nieaktualizowana dokumentacja bezpieczeństwa przetwarzania danych osobowych; nieuporządkowane połączenia kablowe w szafie sieciowej w serwerowni). Zebrany w trakcie kontroli materiał dowodowy, a nadto wieloaspektowość zagadnień poddanych badaniom kontrolnym, skłaniają do uznania, że przyczyną stwierdzonych nieprawidłowości był przede wszystkim niewystarczający nadzór sprawowany przez kierownika Urzędu (Wójta Gminy Popielów) oraz Sekretarza Gminy Popielów. Za stwierdzone odstępstwa od stanu pożądanego w zakresie obsługi teleinformatycznej Urzędu i pełnienia funkcji Administratora Systemów Informatycznych, odpowiedzialność ponosi również informatyk UG w Popielowie. [Dowód: akta kontroli, s. 5, 18, 19, 21-22, 35, 37-40, 41-43, 72, 100] 19 Dostęp: 10 października 2018 r. 20 Dostęp: 10 października 2018 r. Strona 7 z 8
Stwierdzone nieprawidłowości w kontrolowanym zakresie skutkują przede wszystkim obniżeniem poziomu bezpieczeństwa informacji przetwarzanych w Urzędzie, jak również możliwą materializacją ryzyka, polegającego na utrudnieniu załatwiania spraw urzędowych przez obywateli w UG w Popielowie. IV. Zalecenia lub wnioski dotyczące usunięcia nieprawidłowości (uchybień) lub usprawnienia funkcjonowania jednostki kontrolowanej: W związku z ustaleniami kontroli, zalecam: 1) Wzmocnić nadzór nad funkcjonowaniem (w Urzędzie) obszarów poddanych niniejszej kontroli; 2) Ujednolicić (uporządkować) oraz zaktualizować dokumentację SZBI (ze szczególnym uwzględnieniem w niej obowiązków wynikających dla jednostki samorządu terytorialnego z ustawy o krajowym systemie cyberbezpieczeństwa); 3) Wyznaczyć osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa oraz przekazać dane tej osoby do CSIRT NASK 21 ; 4) Wyeliminować stwierdzony w trakcie kontroli przypadek pracy użytkownika na koncie administratora systemu operacyjnego komputera; 5) Zapewnić bieżące aktualizowanie systemu operacyjnego każdego funkcjonującego w Urzędzie komputera; 6) Podjąć stosowne działania celem zapewnienia testowej weryfikacji poprawności zapisania danych na kopii zapasowej; 7) Zawierać umowy serwisowe (i umowy o asystę techniczną) dla systemów teleinformatycznych, zapewniające szybkie usunięcie błędu w systemie; 8) Przeprowadzać okresowe analizy ryzyka (utraty integralności, dostępności lub poufności) informacji; 9) Zapewnić niezależność prowadzonych audytów w zakresie bezpieczeństwa informacji; 10) Wyeliminować pozostałe odstępstwa od stanu pożądanego, przedstawione w niniejszym dokumencie. V. Na podstawie art. 49 w związku z art. 52 ust. 1 ustawy o kontroli, proszę o przekazanie pisemnej informacji o sposobie wykonania zaleceń, wykorzystaniu wniosków lub przyczynach ich niewykorzystania, albo o innym sposobie usunięcia stwierdzonych nieprawidłowości (uchybień), w terminie 30 dni od dnia otrzymania niniejszego dokumentu. VI. Zgodnie z art. 52 ust. 5 ustawy o kontroli, kierownik jednostki kontrolowanej w terminie 3 dni roboczych od dnia otrzymania sprawozdania ma prawo przedstawić do niego stanowisko. Przedstawienie stanowiska nie wstrzymuje realizacji ustaleń kontroli. Z up. Wojewody Opolskiego Beata Adamus Dyrektor Wydziału Prawnego i Nadzoru 21 W myśl art. 22 ust. 1 pkt 5 ustawy o krajowym systemie cyberbezpieczeństwa. CSIRT NASK - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Naukową i Akademicką Sieć Komputerową Państwowy Instytut Badawczy (art. 2 pkt 3 ww. ustawy). Strona 8 z 8