II SAB/Ke 61/25
PostanowienieWSA w Kielcach2025-09-02
Skład orzekający: Sędzia WSA Krzysztof Armański
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy bezczynność organu w zakresie wdrażania rozwiązań w obszarze cyberbezpieczeństwa, wynikająca z braku działań technicznych, podlega kognicji sądu administracyjnego w trybie skargi na bezczynność?Ratio decidendi
Sąd administracyjny nie jest właściwy do rozpoznania skargi na bezczynność organu w zakresie wdrażania rozwiązań technicznych w obszarze cyberbezpieczeństwa, ponieważ takie działania nie mieszczą się w definicji aktów lub czynności z zakresu administracji publicznej dotyczących uprawnień lub obowiązków wynikających z przepisów prawa, które podlegają kognicji sądu administracyjnego. Skarga w tym zakresie podlega odrzuceniu na podstawie art. 58 § 1 pkt 1 PPSA.Stan faktyczny
Spółka A S.A. złożyła skargę na bezczynność Burmistrza Miasta i Gminy Suchedniów w zakresie wdrażania rozwiązań w obszarze cyberbezpieczeństwa, powołując się na przepisy ustawy o systemie cyberbezpieczeństwa oraz rozporządzenia w sprawie Krajowych Ram Interoperacyjności. Skarżąca podnosiła, że brak działań organu narusza zasady uczciwej konkurencji i naraża ją na ryzyko cyberataku. Organ wniósł o oddalenie skargi, wskazując na podejmowane działania w zakresie cyberbezpieczeństwa i brak konkretnych zarzutów. Sąd uznał skargę za niedopuszczalną.Rozstrzygnięcie
Odrzucono skargę i zwrócono z urzędu skarżącej kwotę 100 zł tytułem wpisu sądowego.Pełny tekst orzeczenia
Wojewódzki Sąd Administracyjny w Kielcach w składzie następującym: Przewodniczący: Sędzia WSA Krzysztof Armański po rozpoznaniu w dniu 2 września 2025 r. na posiedzeniu niejawnym sprawy ze skargi A S.A. w [...] na bezczynność Burmistrza Miasta i Gminy Suchedniów w przedmiocie wdrożenia rozwiązań w zakresie cyberbezpieczeństwa p o s t a n a w i a : I. odrzucić skargę; II. zwrócić z urzędu A S.A. w [...] kwotę 100 (sto) złotych, uiszczoną jako wpis sądowy od skargi.
Skargą z 10 czerwca 2025 r. (data wpływu do organu), skierowaną do Wojewódzkiego Sądu Administracyjnego w Kielcach, A S.A. w [...] zakwestionowała bezczynność Burmistrza Miasta i Gminy w Suchedniowie "w przedmiocie czynności z zakresu administracji publicznej dotyczących obowiązków wynikających z przepisów prawa – jakie od ponad pół roku nie są podejmowane przez organ w zakresie stosowania dyspozycji ustawy z dnia 5 lipca 2018 r. o systemie cyberbezpieczeństwa (t.j. Dz.U. z 2024 r. poz. 1077 ze zm.), dyspozycji rozporządzenia Rady Ministrów z dnia 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych oraz PN ISO/IEC 27001". Zdaniem skarżącej zaistniały w sprawie stan faktyczny narusza zasady uczciwej konkurencji, gdyż Spółka – będąca podmiotem świadczącym dla organu usługi w tym obszarze, związane z utrzymaniem na serwerach oficjalnej strony www – jest narażona na ryzyko cyberataku. Ponadto, w razie możliwego cyberataku straci również interes publiczny. Zaistniała sytuacja patowa trwa już rok i Spółka ciągle była zmuszona do jej aprobowania przez kolejny miesiąc, jednak w ostatnim czasie Spółka rozwiązała umowę z organem w trybie natychmiastowym - sugerując korzystanie z bezpłatnych, bezpiecznych stron rządowych.
W dniu 1 sierpnia 2025 r. Spółka uiściła kwotę 100 zł tytułem wpisu sądowego od skargi (k. 14).
W odpowiedzi na skargę organ wniósł o jej oddalenie, wyjaśniając że zarzuty Spółki dotyczące bliżej niepotwierdzonych i nieuzasadnionych obaw i wyobrażeń co do działań podejmowanych w obszarze cyberbezpieczeństwa Gminy są bezpodstawne. Zwrócono przy tym uwagę, mając na uwadze podnoszoną dobrą wolę skarżącej i traktując jej wystąpienie jako cenną inicjatywę obywatelską, na brak konkretnych zarzutów – co utrudniało odniesienie się do stanowiska Spółki, tym bardziej, że trudno w treści skargi dostrzec, aby dopuszczono się jakichkolwiek zaniedbań, czy uchybień w wykonywaniu obowiązków. Natomiast sam fakt zgłoszenia przez stronę swoich obaw, czy też niezadowolenia co do współpracy z organem nie może powodować jego odpowiedzialności we wskazanym trybie. Burmistrz, wykonując zadania przy pomocy pracowników Urzędu Miasta i Gminy, podejmuje wszelkie możliwe działania mające na celu zapewnienie jak najwyższego poziomu bezpieczeństwa, w tym cyberbezpieczeństwa jednostki samorządu terytorialnego. W ostatnich latach Gmina skutecznie aplikowała o środki finansowe w ramach programów rządów dedykowanych obszarowi cyfryzacji i bezpieczeństwa teleinformatycznego, w tym program "Cyfrowa Gmina" oraz "Cyberbezpieczny Samorząd". W ramach realizacji ww. projektów dokonano m.in. wymiany sprzętu informatycznego, zakupu nowych serwerów i stanowisk komputerowych oraz wdrożono wysokiej klasy urządzenia UTM (Unified Threat Management), które odpowiadają za kontrolę połączenia sieciowego pomiędzy infrastrukturą Gminy a siecią zewnętrzną, skutecznie blokując potencjalne zagrożenia.
Wojewódzki Sąd Administracyjny w Kielcach zważył, co następuje:
Skarga podlega odrzuceniu.
Zgodnie z art. 58 § 1 pkt 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (tekst jedn. Dz. U. z 2024 r. poz. 935), zwanej dalej "p.p.s.a.", sąd odrzuca skargę, jeżeli sprawa nie należy do właściwości sądu administracyjnego. Taka sytuacja ma miejsce w rozpatrywanej sprawie.
Jak wynika z art. 1 p.p.s.a. przepis ten normuje postępowanie sądowe w sprawach z zakresu kontroli działalności administracji publicznej oraz w innych sprawach, do których jego przepisy stosuje się z mocy ustaw szczególnych (sprawy sądowoadministracyjne). Przez działalność administracji publicznej, która podlega kognicji sądów administracyjnych rozumieć należy każdą sprawę, w której można mówić o stosunku administracyjnoprawnym w znaczeniu materialnym. Treścią stosunku administracyjnoprawnego są wyznaczone prawem administracyjnym zachowania (nakazane, dozwolone i zakazane), stosownie do wynikających ze stosunku uprawnień i obowiązków. Mają one charakter indywidualny (łączą konkretnie oznaczony podmiot z konkretnym organem administrującym w jednostkowych, indywidualnie oznaczonych sytuacjach). Wskazując na układ prawnej sytuacji pomiędzy podmiotami stosunku administracyjnoprawnego najczęściej wskazuje się na brak równorzędności (charakteryzują się władczością). Nadrzędność organu administracyjnego wyraża się w możliwości bądź powinności władczego (autorytatywnego), choć zgodnego z prawem jednostronnego kształtowania lub skonkretyzowania pozycji drugiego podmiotu stosunku. Organ administracji w zasadzie sam określa prawa i obowiązki wzajemne obu stron. Nie ma tu charakterystycznej dla prawa cywilnego równorzędności podmiotów, występuje między nimi nadrzędność. Jest to podstawowy wyróżnik stosunku administracyjnoprawnego od klasycznie ujmowanego stosunku cywilnego, gdzie w szerokim zakresie kształtowane są one decyzjami samych podmiotów tych stosunków. Inaczej natomiast jest w stosunku administracyjnoprawnym, gdzie w większości przypadków pozycja jednego podmiotu wyznaczona jest jednostronnym, władczym "rozstrzygnięciem" (por. wyrok NSA z 3 lutego 2015 r., sygn. akt I OSK 1342/13, postanowienie WSA w Gliwicach z dnia 1 grudnia 2022 r., sygn. III SA/Gl 646/22).
Zgodnie z art. 3 § 2 p.p.s.a. kontrola działalności administracji publicznej przez sądy administracyjne obejmuje orzekanie w sprawach skarg na:
1) decyzje administracyjne;
2) postanowienia wydane w postępowaniu administracyjnym, na które służy zażalenie albo kończące postępowanie, a także na postanowienia rozstrzygające sprawę co do istoty;
3) postanowienia wydane w postępowaniu egzekucyjnym i zabezpieczającym, na które przysługuje zażalenie;
4) inne niż określone w pkt 1-3 akty lub czynności z zakresu administracji publicznej dotyczące uprawnień lub obowiązków wynikających z przepisów prawa, z wyłączeniem aktów lub czynności podjętych w ramach postępowania administracyjnego określonego w ustawie z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572), postępowań określonych w działach IV, V i VI ustawy z dnia 29 sierpnia 1997 r. - Ordynacja podatkowa (Dz. U. z 2023 r. poz. 2383 i 2760), postępowań, o których mowa w dziale V w rozdziale 1 ustawy z dnia 16 listopada 2016 r. o Krajowej Administracji Skarbowej (Dz. U. z 2023 r. poz. 615, z późn. zm.), oraz postępowań, do których mają zastosowanie przepisy powołanych ustaw;
4a) pisemne interpretacje przepisów prawa podatkowego wydawane w indywidualnych sprawach, opinie zabezpieczające i odmowy wydania opinii zabezpieczających, opinie w sprawie opodatkowania wyrównawczego, opinie zabezpieczające w sprawie opodatkowania wyrównawczego i odmowy wydania opinii zabezpieczających w sprawie opodatkowania wyrównawczego;
4b) opinie, o których mowa w art. 119zzl § 1 ustawy z dnia 29 sierpnia 1997 r. - Ordynacja podatkowa, i odmowy wydania tych opinii;
5) akty prawa miejscowego organów jednostek samorządu terytorialnego i terenowych organów administracji rządowej;
6) akty organów jednostek samorządu terytorialnego i ich związków, inne niż określone w pkt 5, podejmowane w sprawach z zakresu administracji publicznej;
7) akty nadzoru nad działalnością organów jednostek samorządu terytorialnego;
8) bezczynność lub przewlekłe prowadzenie postępowania w przypadkach określonych w pkt 1-4 lub przewlekłe prowadzenie postępowania w przypadku określonym w pkt 4a;
9) bezczynność lub przewlekłe prowadzenie postępowania w sprawach dotyczących innych niż określone w pkt 1-3 aktów lub czynności z zakresu administracji publicznej dotyczących uprawnień lub obowiązków wynikających z przepisów prawa podjętych w ramach postępowania administracyjnego określonego w ustawie z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego oraz postępowań określonych w działach IV, V i VI ustawy z dnia 29 sierpnia 1997 r. - Ordynacja podatkowa oraz postępowań, do których mają zastosowanie przepisy powołanych ustaw.
Trzeba w tym miejscu zauważyć, że treść art. 3 § 2 pkt 4 w zw. z art. 3 § 2 pkt 9 p.p.s.a. rozszerza kontrolę sądu administracyjnego w zakresie bezczynności poza sferę decyzji i postanowień, których brak wydania tradycyjnie jest przedmiotem kontroli sądowoadministracyjnej. Przepis ten umożliwia sądową kontrolę również bezczynności w zakresie takich działań administracji publicznej, które nie są podejmowane w sformalizowanych postępowaniach (jurysdykcyjnym, egzekucyjnym i zabezpieczającym) zapewniających ich uczestnikom określone gwarancje procesowe, a dotyczą praw i obowiązków obywateli i innych podmiotów w sferze publicznoprawnej, w stosunkach z organami administracji publicznej. W przepisie tym ustawodawca dążył do jak najszerszego zapewnienia indywidualnym jednostkom prawnej ochrony przed działaniami organów, które wymykają się wszelkiej innej kontroli. Celem ustawodawcy nie było jednak umożliwienie zaskarżania do sądów administracyjnych bezczynności organów administracji w ramach stosunków innych niż administracyjnoprawny (por. postanowienie NSA z 19 stycznia 2022 r., sygn. akt I GSK 1767/21, a także powołane wyżej postanowienie WSA w Gliwicach z dnia 1 grudnia 2022 r., sygn. III SA/Gl 646/22, dostępne w CBOSA).
W niniejszej sprawie skarżąca Spółka bezczynności Burmistrza Miasta i Gminy w Suchedniowie upatruje w zakresie braku działań podejmowanych w obszarze cyberbezpieczeństwa, opisując szczegółowo problematykę związaną z zabezpieczeniem gminnej strony www i kierowane w tym zakresie – ze względu na interes publiczny – wnioski ("petycje"), zwracając uwagę na "naruszenie zasad uczciwej konkurencji".
Sąd, analizując przedmiot kwestionowanej przez skarżącą bezczynności organu, stwierdza że nie mieści się ona w zakresie objętym cyt. art. 3 § 2 pkt 8 i 9 p.p.s.a., podlegającym kognicji sądowoadministracyjnej. Nie sposób bowiem uznać, aby w zakresie zapewnienia cyberbezpieczeństwa, o jakim mowa w skardze, gdzie powołano się na ustawę z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2024 r. poz. 1077 ze zm.) oraz rozporządzenie Rady Ministrów z dnia 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2024 r. poz. 773) – organ miał wydawać decyzje, postanowienia, bądź inne akty lub czynności z zakresu administracji publicznej, dotyczące uprawnień lub obowiązków wynikających z przepisów prawa, o jakich mowa w poszczególnych przepisach art. 3 § 2 p.p.s.a., do jakich w zakresie bezczynności odsyła art. 3 § 2 pkt 8 i 9 p.p.s.a. Zarówno treść skargi, jak i powyższych aktów prawnych, jednoznacznie wskazuje, że chodzi tu o wdrożenie stosownych rozwiązań o charakterze typowo technicznym, wpływających na bezpieczeństwo funkcjonowania sieci i systemów teleinformatycznych. Tymczasem przez akty lub czynności, o jakich mowa w art. 3 § 2 pkt 4 p.p.s.a. (do którego nawiązano w skardze) należy rozumieć działania materialno-techniczne wywołujące określone skutki prawne, o charakterze władczym, a nadto skierowane do określonego podmiotu i dotyczące ściśle jego uprawnień lub obowiązków (por. też m.in. wyrok NSA z 20 listopada 2008 r., sygn. I OSK 611/08). Takich wymogów nie spełniają działania, których od organu oczekuje skarżąca Spółka, a tym samym skarżona w tym zakresie bezczynność nie podlega kognicji sądów administracyjnych.
W związku z powyższym skarga podlega odrzuceniu – o czym Wojewódzki Sądu Administracyjny w Kielcach orzekł jak w pkt I sentencji postanowienia – na podstawie art. 58 § 1 pkt 1 ustawy p.p.s.a.
W przedmiocie zwrotu uiszczonego przez stronę skarżącą wpisu sądowego orzeczono jak w pkt II postanowienia – na podstawie art. 232 § 1 pkt 1 p.p.s.a.
Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 19.07.2026. · Źródło