Cyberbezpieczeństwo przestało być wyłącznie domeną działów IT i compliance. Wraz z wejściem w życie unijnej dyrektywy NIS2 odpowiedzialność za bezpieczeństwo informacji staje się elementem bezpośredniego nadzoru zarządczego. Oznacza to realne konsekwencje – także osobiste – dla członków organów zarządzających.
Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) wdraża w Polsce dyrektywę NIS2 (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r.), której celem jest ujednolicenie i podniesienie poziomu cyberbezpieczeństwa w całej Unii Europejskiej. Nowe regulacje znacząco rozszerzają zakres podmiotów objętych obowiązkami oraz zaostrzają mechanizmy nadzorcze.
Kogo dotyczy NIS2?
Dotychczasowa ustawa o KSC dotyczyła głównie operatorów usług kluczowych (jak energetyka, transport). Dyrektywa NIS2 wprowadza dwie kategorie (podmioty kluczowe i podmioty ważne) i tym samym znacząco rozszerza katalog podmiotów objętych dyrektywą:
- podmioty kluczowe
- podmioty ważne.
Nowelizacja KSC obejmuje regulacjami wiele nowych przedsiębiorstw z branż takich jak odprowadzanie ścieków, usługi pocztowe, przestrzeń kosmiczna czy produkcja i dystrybucja chemikaliów oraz żywności.
Już na obecnym etapie można dokonać wstępnej oceny czy dany przedsiębiorca będzie objęty NIS2, poprzez analizę następujących kwestii:
- czy spełniają kryterium co najmniej średniego przedsiębiorcy,
- czy działają w sektorach objętych NIS2 (np. energia, transport, zdrowie, usługi cyfrowe, infrastruktura krytyczna, usługi zaufania),
- czy dotychczas posiadali status operatora usług kluczowych lub podmiotu istotnego.
Odpowiedzialność organu zarządzającego
NIS2 nakłada bezpośrednie obowiązki na organy zarządzające wskazując, że to one:
- zatwierdzają środki zarządzania ryzykiem w cyberbezpieczeństwie,
- nadzorują ich wdrażanie.
Organy zarządzające muszą nadzorować m.in.:
- ocenę podatności kluczowych dostawców IT,
- ryzyka wynikające z zależności od podmiotów trzecich,
- adekwatność zapisów umownych dotyczących cyberbezpieczeństwa.
Dodatkowo, organy zarządzające ponoszą odpowiedzialność za naruszenie ww. obowiązków. W praktyce oznacza to, że członek zarządu staje się odpowiedzialny za cyberbezpieczeństwo, które staje się równie istotne jak zarządzanie ryzykiem biznesowym, finansowym czy operacyjnym. Obowiązki te mają charakter osobisty i nie mogą być przekazane na działy IT, zewnętrznych dostawców czy inne podmioty. Organy zarządzające muszą więc odbyć szkolenia z cyberbezpieczeństwa.
Sankcje nakładane na organy zrządzające
Nowe przepisy wprowadzają surowe sankcje nie tylko dla podmiotu, ale także bezpośrednio dla kierownika podmiotu kluczowego lub ważnego – czyli w praktyce dla prezesa lub członków zarządu.
Sankcje obejmują:
- do 10 mln euro lub 2% światowego obrotu – podmioty kluczowe,
- do 7 mln euro lub 1,4% światowego obrotu – podmioty ważne.
- tymczasowy zakaz pełnienia funkcji zarządczych,
- administracyjne kary pieniężne.
Podsumowanie
Dyrektywa NIS2 oraz zmiany w KSC istotnie zmieniają zasady odpowiedzialności za cyberbezpieczeństwo — teraz główny obowiązek kontroli spoczywa na zarządach. Osoby zasiadające w zarządzie muszą być świadome, że mogą ponosić odpowiedzialność osobistą, zarówno finansową, jak i organizacyjną.
SKLAW wspiera zarządy i kadrę kierowniczą w przygotowaniu organizacji do wymogów dyrektywy NIS2, w szczególności poprzez:
audyty zgodności z NIS2 i KSC;
wsparcie przy wdrażaniu procedur zarządzania ryzykiem i incydentami;
analizę bezpieczeństwa łańcucha dostaw i zapisów umownych;
szkolenia zarządcze z cyberbezpieczeństwa i odpowiedzialności prawnej;
doradztwo dla członków zarządu w zakresie odpowiedzialności osobistej.
Stan prawny na dzień 26 stycznia 2026 r. Niniejszy artykuł ma charakter informacyjny i nie jest to porada prawna