Przejdź do treści

Audyty NIK 2026 – jak się przygotować: 5 obszarów + plan

⏱ Szacowany czas czytania: 5 min (1 006 słów)

Czas czytania: 9 min · ~1900 słów · Aktualizacja: maj 2026 · Dla: wójtowie, sekretarze, dyrektorzy IT, IOD, kierownicy działów JST

W skrócie

NIK (Najwyższa Izba Kontroli) w 2026 r. szczegółowo bada cyfryzację JST — jeden z głównych priorytetów. 5 obszarów kontroli: 1) WCAG 2.2 AA + deklaracja dostępności, 2) e-Doręczenia wdrożenie, 3) RODO compliance (IOD, RPO, DPIA), 4) BIP kompletność 23 kategorii, 5) jakość danych w CRM/EZD. Plus: gospodarowanie środkami KPO/FENIKS. Sankcje: wystąpienia pokontrolne + nakazy + ryzyko utraty dotacji.

Spis treści

1. Zakres audytu NIK 2026 w JST

Obszar Co bada NIK
WCAG 2.2 AA Strona JST + BIP + aplikacje + PDF + deklaracja dostępności + raport do MC
e-Doręczenia Wdrożenie do 1.01.2026, integracja z EZD, statystyki użycia, klauzule RODO
RODO compliance IOD (osoba + kompetencje), RPO (kompletność + aktualizacja), DPIA dla wysokiego ryzyka
BIP 23 obowiązkowe kategorie + WCAG + deklaracja + spółki komunalne BIP
Jakość danych w CRM/EZD Spójność, aktualność, archiwizacja, audit trail
Środki UE (KPO/FENIKS) Wykorzystanie zgodne z harmonogramem, certyfikacja wydatków
Zamówienia publiczne Transparency, BIP zamówień, wybór dostawcy IT
Cyberbezpieczeństwo (NIS2) Dla dużych JST >100 tys. + spółek komunalnych — ocena ryzyka, plan reagowania

2. Metodologia kontroli NIK

NIK przeprowadza:

  • Kontrolę kompleksową — szczegółowy audyt wybranych JST (zwykle 50-100 jednostek/rok)
  • Kontrolę tematyczną — konkretny obszar (np. WCAG, e-Doręczenia)
  • Kontrolę w trybie skarg — reaguje na skargi mieszkańców/mediów
  • Kontrolę następczą — weryfikacja wdrożenia rekomendacji z poprzednich kontroli

Etapy kontroli

  1. Powiadomienie — min. 7 dni przed kontrolą
  2. Wstępna analiza dokumentów — sprawozdania, BIP, wnioski
  3. Wizyta na miejscu — rozmowy z personelem, oględziny systemów
  4. Wnioski + zalecenia — protokół wstępny
  5. Możliwość zastrzeżeń — 14 dni na komentarz
  6. Wystąpienie pokontrolne — finalne (zalecenia lub wnioski)
  7. Wdrożenie — JST musi raportować w ciągu 30 dni

3. Wymagana dokumentacja

Dokumenty obowiązkowe podczas kontroli

  • Statut + regulaminy JST + jednostek organizacyjnych
  • Plan finansowy + sprawozdania RB-N, RB-NDS, RB-Z
  • RPO (Rejestr Czynności Przetwarzania) — pełen, aktualny
  • DPIA — dla wszystkich przetwarzań wysokiego ryzyka
  • Deklaracja dostępności — aktualna + raport do MC
  • Audyty wewnętrzne — raporty z ostatnich 3 lat
  • Umowy z dostawcami IT — klauzule RODO, SLA
  • Logi systemów — EZD, BIP, CRM
  • Sprawozdania z wykorzystania środków UE — KPO, FENIKS, FERS
  • Lista incydentów RODO + cyberbezpieczeństwa — ostatnie 3 lata

4. Najczęstsze nieprawidłowości stwierdzane w JST

  1. Brak deklaracji dostępności lub nieaktualna (~70% JST)
  2. PDF skanowane bez OCR w BIP — naruszenie WCAG (~80%)
  3. Niekompletność BIP — brakujące kategorie (rejestry, ewidencje, statystyki)
  4. Brak BIP spółek komunalnych (~30% spółek nie ma osobnego)
  5. RPO niekompletny / nieaktualny
  6. DPIA brak dla monitoringu, dziennika elektronicznego, telemedycyny
  7. Brak e-Doręczeń wdrożonych (po 1.01.2026 = naruszenie ustawy)
  8. Niezgodność klauzul RODO w umowach z dostawcami
  9. Sub-processors poza UE bez klauzul (np. Google, AWS, Azure US-region)
  10. Brak szkoleń personelu RODO rocznie
  11. Audyty wewnętrzne nieprzeprowadzone
  12. Środki UE bez dokumentacji wskaźników

5. Plan przygotowania (Q1-Q4 2026)

Kwartal Działania
Q1 2026 Bezpłatny audyt wewnętrzny (WCAG, BIP, RODO, e-Doręczenia, RPO). Identyfikacja luk.
Q2 2026 Naprawa kluczowych nieprawidłowości: PDF OCR, BIP uzupełnienie, deklaracja dostępności, RPO.
Q3 2026 Wdrożenie e-Doręczeń (jeśli nie ma), DPIA dla wszystkich wysokiego ryzyka, klauzule RODO w umowach z dostawcami.
Q4 2026 Audyt wewnętrzny finalny + dokumentacja gotowa do NIK. Szkolenia personelu (RODO, WCAG).

6. Sankcje + wystąpienia pokontrolne

Forma Konsekwencje
Wystąpienie pokontrolne (zalecenia) Niewiążące rekomendacje — ale zaleca się ich wdrożenie
Wnioski pokontrolne Wiążące — obowiązek wdrożenia w wyznaczonym terminie
Skierowanie do prokuratury Jeśli stwierdzone czyny zabronione (oszustwa, korupcja)
Zawiadomienie regulatora UODO (RODO), MC (WCAG), URE (energetyka), GIWS (zamówienia)
Publikacja protokołu Na stronie NIK + media (negatywny wizerunek)
Utrata dotacji UE Jeśli stwierdzone naruszenia w wykorzystaniu środków — korekta lub wycofanie

7. Odwołania od protokołu

JST może:

  1. Składać zastrzeżenia do protokołu wstępnego w ciągu 14 dni
  2. Odwołać się do Prezesa NIK w ciągu 14 dni od wystąpienia pokontrolnego
  3. Skierować do sądu administracyjnego jeśli wniosek pokontrolny narusza prawo
  4. Negocjować termin wdrożenia — w uzasadnionych sytuacjach

8. Wsparcie zewnętrzne — konsultanci

Wiele JST korzysta z wsparcia konsultantów:

  • Audytor RODO — 5-15 tys. PLN/audyt + 2-5 tys./mies. abonament
  • Audytor WCAG — 3-15 tys. PLN/audyt + 1-3 tys./mies.
  • Konsultant cyberbezpieczeństwa NIS2 — 10-50 tys. PLN/audyt
  • Wsparcie wdrożenia e-Doręczeń — 5-20 tys. PLN
  • Audyt zgodności kompleksowy — 30-100 tys. PLN

Bezpłatna konsultacja w ramach naszej oferty — analiza Państwa stanu w 24h + plan przygotowania do NIK.

Wsparcie przygotowania do NIK 2026

Bezpłatna konsultacja: audyt gotowości NIK + plan działań naprawczych + wsparcie podczas kontroli — bezpłatna konsultacja w 24h.

Powiązane: NIK — entity · Komunikat NIK ws audytu 2026 · UODO · RIO

Kontakt

Bezpłatna wycena dla Państwa jednostki

Wypełnienie zajmuje minutę. Odpowiedź eksperta otrzymują Państwo w ciągu 24 godzin roboczych.

Bezpłatnie Bez zobowiązań Odpowiedź w 24h RODO

Dane chronione zgodnie z RODO. Odpowiedź w ciągu 24 godzin roboczych.

Odpowiedź w 24hDni robocze 8:00-16:00
Dane chronionePełna zgodność z RODO
Bez zobowiązańWycena nie wiąże stron