727 777 889
biuro@doradcy365.pl

Poniedziałek - Piątek (08:00 - 17:00)

 

Koszyk

Cyberbezpieczeństwo

Prezes zapłaci 600% wynagrodzenia? Konsekwencje dyrektywy NIS2

9 grudnia 2025by Agata Mistelska

Dyrektywa NIS2 i nowelizacja ustawy o KSC 

Choć termin implementacji dyrektywy NIS2 do krajowego porządku prawnego minął w październiku 2024 roku, trwające prace nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa (KSC) wprowadzają zmiany w zakresie odpowiedzialności za ochronę systemów informatycznych. Najważniejsza z nich dotyczy bezpośrednio osób zarządzających organizacjami – członkowie zarządów mogą ponieść osobistą, finansową odpowiedzialność za zaniedbania w obszarze cyberbezpieczeństwa.

Mechanizm odpowiedzialności wprowadzony przez nowelizację jest niezwykle surowy. Za niewypełnienie wybranych obowiązków wynikających z ustawy – w tym obowiązków rejestracyjnych, dokumentacyjnych oraz dotyczących zgłaszania incydentów – członek zarządu może zostać ukarany grzywną wynoszącą do 600% miesięcznego wynagrodzenia. Kara ta nie dotyczy spółki jako osoby prawnej, lecz bezpośrednio prezesa, członka zarządu lub osoby pełniącej funkcję kierowniczą odpowiedzialną za cyberbezpieczeństwo.

Nowe obowiązki dla kadry kierowniczej

Przepisy jednoznacznie określają, że za zarządzanie ryzykiem cybernetycznym odpowiada najwyższe kierownictwo, nie działy IT. Zarząd musi:

  • Akceptować środki zarządzania ryzykiem
  • Posiadać kompetencje do oceny zagrożeń
  • Rozumieć wpływ ryzyka cyfrowego na funkcjonowanie organizacji
  • Aktywnie kontrolować realizację działań zabezpieczających
  • Regularnie uczestniczyć w szkoleniach

Członkowie zarządu nie muszą być specjalistami technicznymi, ale potrzebują wystarczającej wiedzy do świadomych decyzji inwestycyjnych, akceptacji planów reagowania oraz oceny skuteczności zabezpieczeń.

Obszary indywidualnej odpowiedzialności obejmują:

  • Formalne zatwierdzenie i monitoring funkcjonowania systemów zarządzania bezpieczeństwem informacji
  • Zapewnienie właściwego przeszkolenia pracowników w zakresie ochrony danych
  • Kontrolę prawidłowej rejestracji podmiotu w odpowiednich wykazach
  • Nadzór nad regularnymi audytami zgodności
  • Zapewnienie zgłaszania incydentów we właściwych terminach do zespołów reagowania
  • Aktywną komunikację z organami nadzorczymi w zakresie identyfikowanych zagrożeń

Sytuacje prowadzące do najwyższych sankcji

Kara równa sześciokrotności miesięcznego wynagrodzenia to nie jedyna forma odpowiedzialności. W ekstremalnych przypadkach, gdy zaniedbania zagrażają bezpieczeństwu państwa, organizacja może zostać ukarana kwotą do 100 milionów złotych, a osobista odpowiedzialność kadry kierowniczej podlega szczegółowej analizie.

Najczęstsze przyczyny wysokich kar to:

Zwłoka w notyfikacji incydentów – wymaga się wstępnego zgłoszenia w ciągu 24 godzin oraz pełnej dokumentacji w 72 godziny od wykrycia zdarzenia. Każde opóźnienie może skutkować sankcjami zarówno dla organizacji, jak i osoby nadzorującej.

Pominięcie obowiązkowego audytu – podmioty o znaczeniu kluczowym muszą przeprowadzać przeglądy bezpieczeństwa minimum co dwa lata. Zaniechanie tego może być podstawą kar osobistych.

Brak wdrożenia systemu ISMS – organizacje muszą posiadać funkcjonujący system obejmujący ocenę zagrożeń, polityki ochrony, procedury reagowania oraz plany ciągłości operacyjnej, za co odpowiada bezpośrednio zarząd.

Nieprawidłowa rejestracja – podmioty spełniające kryteria musiały samodzielnie zgłosić się do rejestru w terminie dwóch miesięcy. Niedopełnienie tego obowiązku prowadzi do administracyjnych konsekwencji i sankcji.

ISO 27001 to nie wszystko

Wiele firm posiadających certyfikat ISO 27001 może mylnie zakładać automatyczną zgodność z nowymi wymogami. Choć norma pokrywa około 80% wymagań, pozostałe 20% stanowią specyficzne elementy prawne:

Dostosowanie raportowania – unijne regulacje wymagają precyzyjnego zgłaszania w sztywnych ramach czasowych, wykraczając poza standardowe procedury ISO.

Kontrola łańcucha dostaw – konieczne jest wykazanie, że partnerzy biznesowi również spełniają standardy bezpieczeństwa, co wymaga audytowania dostawców.

Prawnie określona odpowiedzialność zarządu – podczas gdy ISO traktuje zaangażowanie kierownictwa jako dobrą praktykę, przepisy czynią z tego bezwzględny wymóg prawny z osobistą odpowiedzialnością.

Obowiązkowa wymiana informacji – regulacje nakładają aktywną współpracę z zespołami reagowania oraz branżowymi centrami wymiany informacji o zagrożeniach.

Zarządzanie dostawcami – wprowadzane są procedury identyfikacji dostawców wysokiego ryzyka z obowiązkiem wycofania ich produktów w określonych terminach.

Szerszy kontekst regulacyjny UE

Europejskie przepisy dotyczące cyberbezpieczeństwa to dopiero jeden z elementów rozbudowanej strategii Unii Europejskiej mającej na celu wzmocnienie odporności cyfrowej. Od 2022 roku Komisja Europejska systematycznie wprowadza kolejne akty prawne wpływające na funkcjonowanie organizacji w różnych sektorach:

  • EIA (European Incident Reporting Act) – reguluje obowiązki raportowania incydentów w sektorze infrastruktury cyfrowej
  • CERA (Cyber Resilience Act) – dotyczy organizacji tworzących własne oprogramowanie i wymaga zapewnienia odporności produktów cyfrowych na zagrożenia
  • DORA (Digital Operational Resilience Act) – odnosi się do sektora bankowego oraz dostawców usług ICT dla instytucji finansowych, nakładając rygorystyczne wymagania dotyczące zarządzania ryzykiem operacyjnym
  • NIS2 – najszersza z dyrektyw, obejmująca wiele sektorów krytycznych, takich jak energetyka, transport, służba zdrowia, dostawcy wody, produkcja przemysłowa oraz usługi cyfrowe

Dowiedź się więcej o dyrektywie NIS2 w naszym artykule:
doradcy365.pl/dyrektywa-nis2-wysokie-kary-i-nowe-obowiazki-dla-tysiecy-przedsiebiorstw

Większość podmiotów działających w sektorze przemysłowym, transportowym czy zdrowotnym w Polsce będzie podlegać tym regulacjom – nawet jeśli jeszcze nie zdaje sobie z tego sprawy. Dlatego tak kluczowe jest przeprowadzenie analizy, czy firma spełnia kryteria podmiotów objętych obowiązkami regulacyjnymi oraz podjęcie właściwych działań przygotowawczych.

Specyfika środowisk przemysłowych

Dla sektorów przemysłowego, energetycznego i infrastruktury krytycznej wymogi obejmują również technologie operacyjne (OT). Zarządzanie bezpieczeństwem powinno uwzględniać:

  • Analizę architektury sieci przemysłowych
  • Ocenę konfiguracji systemów i zabezpieczeń
  • Kontrolę dostępu fizycznego
  • Inwentaryzację urządzeń przemysłowych
  • Integrację z systemami monitorującymi
  • Regularne testowanie odporności

Pięć kluczowych obszarów kontroli według “The Five ICS Cybersecurity Critical Controls”:

  1. Reagowanie na incydenty w systemach przemysłowych
  2. Budowanie architektury wspierającej widoczność i kontrolę
  3. Ciągły monitoring sieci przemysłowej narzędziami pasywnymi
  4. Zabezpieczenie dostępu zdalnego przez segmentację i uwierzytelnianie
  5. Zarządzanie podatnościami w oparciu o ryzyko operacyjne

Lista kar i konsekwencji prawnych za naruszenie przepisów

Projektowana nowelizacja wprowadza jeden z najbardziej rygorystycznych systemów kar w europejskim prawodawstwie cyberbezpieczeństwa:

Kary dla organizacji:

  • Do 10 mln euro lub 2% rocznych przychodów (minimum 20 000 zł) za podstawowe naruszenia
  • Do 7 mln euro dla podmiotów ważnych
  • Do 100 mln zł za naruszenia zagrażające bezpieczeństwu państwa

Kary osobiste dla zarządu:

  • Do 600% miesięcznego wynagrodzenia za niedopełnienie obowiązków

Kary okresowe:

  • Od 500 zł do 100 000 zł za każdy dzień zwłoki

Dodatkowe sankcje:

  • Zawieszenie koncesji lub zezwoleń
  • Wykreślenie z rejestrów
  • Wykluczenie z przetargów
  • Nakaz audytu na koszt organizacji
  • Polecenia zabezpieczające z natychmiastowym wykonaniem

Plan przygotowań dla organizacji

Mimo braku formalnego uchwalenia nowelizacji, przygotowania należy rozpocząć natychmiast. Kluczowe kroki:

  1. Analiza zgodności – weryfikacja, czy organizacja spełnia kryteria podmiotu objętego regulacją i jakie obowiązki z tego wynikają
  2. Wdrożenie ISMS – system obejmujący identyfikację aktywów, analizę ryzyka, polityki, procedury i plany ciągłości. Posiadacze ISO 27001 muszą uzupełnić certyfikat o specyficzne elementy prawne
  3. Rejestracja w systemie S46 – wykorzystanie centralnej platformy wymiany informacji o zagrożeniach
  4. Audyt łańcucha dostaw – przegląd krytycznych dostawców, ocena ryzyka i wdrożenie mechanizmów kontroli partnerów
  5. Procedury raportowania – jasne procesy wykrywania, analizy i zgłaszania incydentów w wymaganych terminach
  6. Narzędzia monitorowania – wdrożenie rozwiązań SIEM, IDS/IPS i innych systemów ciągłego monitoringu
  7. Szkolenia zarządu – regularne programy obejmujące zagrożenia, wymogi prawne i najlepsze praktyki

Podsumowanie

Wprowadzenie osobistej odpowiedzialności kadry zarządzającej z sankcjami do sześciokrotności wynagrodzenia oznacza, że cyberbezpieczeństwo staje się priorytetem strategicznym, nie tylko zagadnieniem technicznym. Organizacje, które nie dostosują się do wymogów, ryzykują wysokie kary, utratę reputacji, zawieszenie działalności oraz osobiste konsekwencje dla zarządu.

Firmy działające proaktywnie zyskają przewagę konkurencyjną, zwiększą odporność cyfrową i zbudują zaufanie rynkowe. Przygotowania warto rozpocząć już teraz poprzez audyt zgodności, wdrożenie procedur i zapewnienie odpowiednich kompetencji zarządu w obszarze cyberbezpieczeństwa.

⚖️ Pamiętaj: osobista odpowiedzialność zarządu to nie tylko wymóg prawny, ale przede wszystkim zobowiązanie wobec organizacji, pracowników i klientów.

Sprawdź już teraz → doradcy365.pl/cyberbezpieczenstwo

📞 Potrzebujesz wsparcia w przygotowaniu firmy do wymogów dyrektywy NIS2?

Skontaktuj się z naszymi ekspertami, którzy pomogą Ci przeprowadzić pełną analizę zgodności, wdrożyć system zarządzania bezpieczeństwem informacji oraz przygotować dokumentację wymaganą przez organy nadzorcze.

⏰ Nie zwlekaj – zarezerwuj konsultację: 

Tworzenie i wdrażanie polityki cyberbezpieczeństwa 

Dowiedz się więcej: doradcy365.pl/planowanie-i-wdrazanie-strategii-cyberbezpieczenstwa

📅 Zarezerwuj termin już teraz na:

Badanie i ocenę zagrożeń cybernetycznych

Dowiedz się więcej: doradcy365.pl/analiza-ryzyka-cyberbezpieczenstwa
Zapraszamy do kontaktu!

📱 Numery telefonów:

  • 500 181 151
  • 792 532 726
  • 783 716 773

✉️ E-mail: biuro@doradcy365.pl

🕗 Godziny pracy:
 Poniedziałek – Piątek (08:00 – 17:00)

Skorzystaj z naszej pomocy już dziś i uzyskaj wsparcie.

Masz więcej pytań? Zapraszamy do kontaktu!

Opracowanie eksperckie przygotowane przez zespół Doradcy365.
Artykuł ma charakter informacyjno-edukacyjny i może zawierać odniesienia do usług oferowanych przez Doradcy365 w kontekście omawianych zagadnień.

Zobacz naszą pełną ofertę w tej kategorii

Artykuł został przygotowany z wykorzystaniem narzędzi wspomaganych sztuczną inteligencją (AI), w tym modeli językowych takich jak ChatGPT/Grok/Claude/Gemini. Całość treści została opracowana, zweryfikowana i zatwierdzona przez autora publikacji.

previous
Ruszył nabór FEnIKS 1.1 – „Poprawa efektywności energetycznej w przedsiębiorstwach”. Do rozdania ponad 184 mln zł
next
Ochrona praw konsumenckich w 2025 roku – kluczowe wyzwania i przykłady dobrych praktyk

Nasi Klienci
Zaufali nam

logo lasy państwowe
logo uni przyr wroc
logo warszawa
cpk logo
lot crew
gmina smołdzino
logo miasto otwock
ford
logo rmf
bez tytułu
logo dp
logo trzebińskie centrum kultury
uw olsztyn
pup toruń
logo lp piła
nadleśnictwo krotoszyn
logo uni rol krak
vicotel
holcim
Dane naszej firmyDORADCY 365 Sp. z o.o.
53-135 Wrocław
ul. Januszowicka 5

Obsługujemy Klientów z całej Polski
Szybki kontaktObsługa klientów
+48 727 777 889
biuro@doradcy365.pl
Jesteśmy po toaby odciążyć Cię od biurokratycznych procedur

Polityka prywatności
Polityka Jakości
Regulamin

Bądż na bieżąco Zaobserwuj nas w mediach społecznościowych

Copyright DORADCY365

Realizacja: Doradcy365