Prawo
Przewodnik dla zarządów i właścicieli firm – cyberbezpieczeństwo w języku biznesu
Andrzej Zgiętek i Marcin Włudarski – zainspirowani studiami podyplomowymi z Zarządzania Cyberbezpieczeństwem na Akademii Leona Koźmińskiego – stworzyli narzędzie, które pełni rolę tłumacza między światem techniki a światem biznesu.Od kwantyfikacji ryzyka po decyzje zarządcze – narzędzie, które zamienia zagrożenia cybernetyczne w konkretne liczby. Od 3 kwietnia 2026 r. obowiązuje znowelizowana ustawa o KSC, teraz to kierownicy organizacji ponoszą osobistą odpowiedzialność za cyberbezpieczeństwo.
Zarząd odpowiada. Ale w jakim języku rozmawia z działem IT?
Wiele zarządów akceptuje ryzyko cybernetyczne — jednak bez znajomości jego realnej wartości w pieniądzu. Brakuje wyceny kosztów obsługi incydentów, zwrotu z inwestycji w zabezpieczenia czy porównania scenariuszy zagrożeń. Problem ten jest szczególnie dotkliwy w mniejszych organizacjach, gdzie zasoby eksperckie są ograniczone. W efekcie powstają dwa oddzielne światy: biznes, który myśli kategoriami budżetu i ryzyka finansowego, oraz technika, która mówi o podatnościach, poziomach krytyczności i architekturze systemów. Te dwa światy nie miały wspólnego języka.
Co zmienia znowelizowana ustawa o KSC?
Nowelizacja Krajowego Systemu Cyberbezpieczeństwa (implementacja dyrektywy NIS2) wprowadza fundamentalną zmianę: odpowiedzialności za cyberbezpieczeństwo nie można już delegować na podległy zespół IT czy dział bezpieczeństwa. Kierownik organizacji — właściciel, prezes, członek zarządu — odpowiada osobiście.
Sankcje wobec kierownictwa:
– 300% wynagrodzenia: kara finansowa dla kierownika
– 2 lata: zakaz pełnienia funkcji w przypadkach szczególnych
Sankcje wobec organizacji:
– 10 mln €: maksymalna kara finansowa dla organizacji
– 2% rocznego przychodu: alternatywna podstawa wymiaru kary
Pojawia się zatem pytanie: jak odpowiadać za cyberbezpieczeństwo bez wiedzy inżynierskiej? Jak kontrolować jakość? Jak świadomie podejmować decyzje, rozumiejąc, co mówi specjalista?
Przewodnik „Cyberbezpieczeństwo w języku biznesu” jako rozwiązanie
Zamiast etykiety „ryzyko wysokie” zarząd otrzymuje konkretne zdanie: „Jest 80% szans, że ten scenariusz kosztuje nas w tym roku od 4 do 9 mln zł.” Na takiej liczbie da się ustawić budżet, ustalić priorytety wydatków i obronić decyzję przed regulatorem. Podstawą obliczeń jest model FAIR (Factor Analysis of Information Risk) – międzynarodowy standard kwantyfikacji ryzyka cybernetycznego, opracowany przez FAIR Institute i certyfikowany przez The Open Group. Model ten rozkłada ryzyko na dwa elementy: częstość wystąpienia zdarzenia i wielkość potencjalnej straty. Wynik jest mierzalny, porównywalny i oparty na uznanej metodzie.
Dysponując stratami wyliczonymi dla kilku scenariuszy, zarząd może precyzyjnie określić, gdzie jedna złotówka zainwestowana w zabezpieczenia przynosi największy efekt i tam kierować środki.
Czternaście rozdziałów – od strategii po operacje
Przewodnik obejmuje pełen zakres tematów istotnych z perspektywy zarządu:
- Ryzyko biznesowe i mapa zagrożeń
- Architektura bezpieczeństwa
- Kwantyfikacja ryzyka (model FAIR)
- Ocena dostawców i łańcuch dostaw
- Czynnik ludzki w cyberbezpieczeństwie
- Ciągłość działania (BCP/DRP)
- Planowanie budżetu
- Cyberubezpieczenia
- Reakcja na incydent
- Sztuczna inteligencja i zagrożenia AI
- Kryptografia postkwantowa
- Cyber due diligence przy przejęciach
- Studia przypadków (Maersk, ALAB)
- Słownik pojęć i codzienny brief zarządu
Przewodnik zawiera również tematy, które rzadko trafiają do materiałów przygotowywanych dla zarządów, a które mają bezpośredni wpływ na decyzje strategiczne i transakcje kapitałowe.
Komplet materiałów na posiedzenie zarządu
Przewodnik to zestaw działających narzędzi, z których można korzystać natychmiast, m.in. przed posiedzeniem zarządu lub w trakcie przeglądu ryzyk:
– Kalkulatory ryzyka: działają lokalnie w przeglądarce. Obliczają: oczekiwaną stratę roczną, koszt incydentu oraz gotowość do cyberubezpieczenia.
– Metryki KPI i KRI: dziesięć wskaźników kluczowych oraz gotowy formularz oceny dostawców — odpowiedź na pytania, które i tak zadaje każdy zarząd.
– Playbook reakcji na incydent
– Krok po kroku: co robić, gdy dojdzie do ataku. Uwzględnia obowiązki zgłoszeniowe wynikające z ustawy o KSC.
– Ćwiczenie tabletop: Symulacja scenariusza ataku dla zarządu — identyfikuje luki proceduralne zanim zrobi to rzeczywisty incydent.
– FAQ zarządu: odpowiedzi na najczęstsze pytania kierownictwa dotyczące cyberbezpieczeństwa, sformułowane w języku biznesu.
– Puls zarządu: brief dzienny
– Codzienne zestawienie aktualnych zagrożeń oparte na danych z CISA i CERT Polska. Skondensowane. Bez żargonu.
Skąd pochodzi ten przewodnik?
Projekt zaczął się jako praca dyplomowa na studiach podyplomowych z Zarządzania Cyberbezpieczeństwem w Akademii Leona Koźmińskiego – w szkole biznesu, nie na politechnice. To celowy wybór: problem zarządów z cyberbezpieczeństwem nigdy nie był problemem technicznym. Był problemem komunikacji i decyzji.
Marcin Włudarski: strona biznesowa – dialog z zarządami, tłumaczenie ryzyk na język decyzji
Andrzej Ziętek: strona techniczna — inżynieria, architektura bezpieczeństwa, model FAIR
Każda teza w przewodniku ma przypisane źródło z linkiem, a źródła są oceniane pod kątem wiarygodności. Treść podlega regularnym audytom — nie starzeje się bez wiedzy czytelnika. Całość jest w języku polskim. Panel narzędziowy działa bez trackerów, reklam i analityki zewnętrznej — dane użytkownika pozostają po stronie użytkownika.
Przewodnik dostarcza języka i podstawy do podejmowania decyzji. Nie zastępuje pełnego programu zgodności ani porady prawnej.
Wolicie poznać tę liczbę teraz – czy dopiero wtedy, gdy zapyta o nią regulator?
Wejdźcie na cyber-biznes.pl, otwórzcie kalkulator i policzcie jeden własny scenariusz. Zajmie to kilka minut. Zobaczycie własną kwotę. Przejdź do narzędzia →
Źródła i podstawy prawne
- Ministerstwo Cyfryzacji — Najważniejsze terminy nowelizacji KSC
- KSC.expert — Kary finansowe w ustawie o KSC i NIS2
- Wolters Kluwer — NIS2 i nowelizacja uKSC 2026
- Infor.pl — NIS2: osobista odpowiedzialność kierownictwa
- FAIR Institute — Model FAIR, kwantyfikacja ryzyka cybernetycznego
- IBM — Cost of a Data Breach Report 2025
- SecurityWeek — Maersk i atak NotPetya