MediaInOne - Portal informacyjno-komunikacyjny branży medialnej
lub
lub
Prawo

Odpowiedzialność zarządu za cyberbezpieczeństwo

środa, 27 maja 2026 roku
Redakcja

Licznik w sprawie cyberbezpieczeństwa wystartował 3 kwietnia 2026 r.

Dużo napisano już na temat Dyrektywy NIS2, Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa i o obowiązkach określonych w tych przepisach. Tym razem skupimy się nad opisaniem odpowiedzialności kierownictwa przedsiębiorstwa za realizację obowiązków zapewnienia cyberbezpieczeństwa.

Od lewej: Andrzej Fudala – członek Zarządu Sayf Sp. z o.o., Dariusz Fudala – Prezes Zarządu Sayf Sp. z o.o.


Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, dalej uKSC, jako jeden z niewielu aktów prawnych, wprowadza zakres obowiązków kierowanych bezpośrednio do kierownictwa przedsiębiorstwa oraz przewiduje sankcje ponoszone osobiście przez osoby kierujące przedsiębiorstwem. Przepisy uKSC wprost wykluczają możliwość przeniesienia odpowiedzialności za realizację obowiązków z zakresu cyberbezpieczeństwa na inne osoby, np. na kierownika działu bezpieczeństwa, na szefa działu IT. Tym samym niezależnie od podziału obowiązków, odpowiedzialność w przedsiębiorstwie zawsze będzie ponoszona przez zarząd (kierownika jednostki). Podmioty ważne i kluczowe mogą jednak powierzyć wykonywanie tych obowiązków konkretnej osobie (członkowi zarządu), która będzie nadzorować kwestie cyberbezpieczeństwa.
3 kwietnia 2026 r. wystartował licznik odliczający czas do pełnego wdrożenia obowiązków dotyczących zapewnienia cyberbezpieczeństwa w przedsiębiorstwie.
Właśnie w tym dniu weszła w życie Ustawa z dnia 23 stycznia 2026 r. O zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw zmieniająca Ustawę z dnia 5 lipca 2018 r. O krajowym systemie cyberbezpieczeństwa.
Ustawa o krajowym systemie cyberbezpieczeństwa (dalej: uKSC) wdraża do krajowego systemu prawnego Dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającą rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającą dyrektywę (UE) 2016/1148 (dyrektywa NIS2).
Pamiętać należy, że niektóre rozporządzenia regulujące sprawy cyberbezpieczeństwa obowiązują już od 2025 roku, jak na przykład:
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. DORA1,
Rozporządzenie Wykonawcze Komisji (UE) 2024/2690 z dnia 17 października 2024 r.2.
Niezależnie od wyżej wymienionych przepisów podmioty realizujące zadania publiczne (np. niektóre szpitale) zobowiązane są realizować obowiązki określone w Ustawie z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne oraz uszczegółowione w Rozporządzeniu Rady Ministrów z dnia 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.
Rozporządzenie w sprawie Krajowych Ram Interoperacyjności (KRI) określa minimalne wymagania dla podmiotów publicznych w zakresie systemów teleinformatycznych, rejestrów publicznych oraz wymiany informacji. Dotyczy standaryzacji formatów danych, protokołów szyfrujących oraz bezpieczeństwa wymiany informacji, w tym transgranicznej. Wyżej wskazane przepisy wymagają od przedsiębiorcy zaplanowanego i usystematyzowanego działania w terminach określonych w tych przepisach.

Czy przedsiębiorcę telekomunikacyjnego dotyczą przepisy NIS 2, UKSC oraz rozporządzeń wydanych na ich podstawie?
Ustawa uKSC wskazuje organizacje, które zobowiązane są realizować obowiązki związane z cyberbezpieczeństwem. Do tych organizacji należą głównie przedsiębiorcy prowadzący działalność w dziedzinie
lub w jednym z kilkunastu sektorów wskazanych w uKSC. W przypadku przedsiębiorców telekomunikacyjnych odpowiedź na tak postawione pytanie jest bardzo prosta:
Każdy przedsiębiorca komunikacji elektronicznej (każdy przedsiębiorca wpisany do Rejestru Przedsiębiorców Telekomunikacyjnych prowadzonego przez UKE) bez względu na wielkość lub rodzaj
prowadzonej działalności zobowiązany jest do realizacji obowiązków wynikających z uKSC.
Mikro i mali przedsiębiorcy komunikacji elektronicznej stają się „podmiotami ważnymi”, przedsiębiorcy komunikacji elektronicznej, którzy spełniają wymogi co najmniej dla średniego przedsiębiorcy lub je przewyższają, stają się „podmiotami kluczowymi”. Sugerujemy zapoznać się z przepisami w sprawie cyberbezpieczeństwa, a następnie mając na względzie treść tych przepisów, rodzaj prowadzonej działalności, wielkość przedsiębiorstwa, zidentyfikować spoczywające obowiązki.

Odpowiedzialność kierownika przedsiębiorstwa za właściwą realizację obowiązków z zakresu cyberbezpieczeństwa
Kierownik podmiotu kluczowego lub podmiotu ważnego ponosi osobistą i bezpośrednią odpowiedzialność za wykonywanie obowiązków w zakresie cyberbezpieczeństwa przez podmiot kluczowy lub podmiot ważny, obejmujących w szczególności:

  • złożenie wniosku o wpis do wykazu podmiotów kluczowych i podmiotów ważnych oraz uzupełnienie danych umieszczonych w tym wykazie przez organ właściwy do spraw cyberbezpieczeństwa, termin złożenia wniosku upływa 3 października 2026 r.,
  • planowanie adekwatnych środków finansowych na realizację obowiązków z zakresu cyberbezpieczeństwa. Prawdopodobnie na 2026 r. tylko w niektórych podmiotach zarezerwowano środki na realizację tych obowiązków. Na następne lata sugerujemy zaplanować w budżecie przedsiębiorstwa wydatki na ten cel, • przydzielenie zadań z zakresu cyberbezpieczeństwa i nadzór ich wykonywania,
  • zapewnienie zgodności działania tego podmiotu z przepisami prawa oraz z wewnętrznymi regulacjami podmiotu,
  • uczestniczenie, wraz z osobą, której powierzono obowiązki kierownika w zakresie cyberbezpieczeństwa, raz w roku w szkoleniu z zakresu cyberbezpieczeństwa,
  • zapewnienie, aby personel podmiotu był świadomy obowiązków z zakresu cyberbezpieczeństwa i znał wewnętrzne regulacje podmiotu w tym zakresie, • zapewnienie, aby przed rozpoczęciem realizacji zadań związanych z cyberbezpieczeństwem osoba, która ma te zadania realizować, przedstawiła informację stwierdzającą niekaralność za przestępstwa przeciwko ochronie informacji. Wymóg ten dotyczy również kierownictwa przedsiębiorstwa,
  • wyznaczenie osób odpowiedzialnych za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa,
  • zapewnienie użytkownikowi usługi dostępu do wiedzy pozwalającej na zrozumienie cyberzagrożeń i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczonymi usługami,
  • zapewnienie użytkownikowi usługi możliwość zgłoszenia cyberzagrożenia, incydentu lub podatności związanych ze świadczoną usługą,
  • wdrożenie, stosowanie, przegląd i nadzór systemu zarządzania bezpieczeństwem informacji.
    Rekomendujemy wykonywanie cyklicznych sprawdzeń, testów audytów bezpieczeństwa systemu informacyjnego,
  • opracowanie, wdrożenie, stosowanie, aktualizację i bezpieczne przechowywanie dokumentacji dotyczącej bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi,
  • zapewnienie obsługi incydentów, w tym zgłaszania wczesnych ostrzeżeń, zgłaszania incydentów poważnych, przekazywania sprawozdania końcowego, współdziałania podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT, przekazując niezbędne dane,
  • powołanie wewnętrznej struktury odpowiedzialnej za cyberbezpieczeństwo lub zawarcie umowy z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa,
  • prowadzenie audytu obowiązkowego lub nakazanego przez organ właściwy do spraw cyberbezpieczeństwa.
    Na ogół już tak jest w przepisach ustawowych, że skoro są obowiązki, to zapewne są też sankcje za ich niewykonywanie. Tak też jest w uKSC.

Za co grozi kara i jakie są wysokości tych kar
Organ właściwy w sprawach cyberbezpieczeństwa może nałożyć karę, jeśli przedsiębiorca nie wywiąże się z obowiązków wynikających z uKSC.
Zanim zostanie nałożona kara pieniężna, organ może zastosować inne środki, na przykład:

  • wydać zalecenia usunięcia nieprawidłowości,
  • zobowiązać do wdrożenia określonych środków bezpieczeństwa,
  • przeprowadzić kontrolę lub audyt,
  • wyznaczyć termin na usunięcie naruszeń.

Krótko o niektórych obowiązkach podmiotów kluczowych i podmiotów ważnych wynikających z przepisów Ustawy o KSC?
Ustawa o KSC przewiduje nałożenie na podmiot kluczowy i podmiot ważny szeregu obowiązków, w tym opracowanie, wdrożenie, stosowanie i aktualizację dokumentów normatywnych i operacyjnych dotyczących bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usług.
Do dokumentów normatywnych zaliczono wszelkie dokumenty dotyczące bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usług, które stanowią, w szczególności, polityki, regulaminy, instrukcje, procedury,
Dokumentację operacyjną natomiast stanowią zapisy poświadczające wykonywanie czynności wymaganych przez postanowienia zawarte w dokumentacji normatywnej, w tym automatycznie generowane zapisy w dziennikach systemów informacyjnych, rejestry zdarzeń, logowań, protokoły, wykazy, ewidencje, notatki służbowe itp.
Ponadto na podmiocie kluczowym lub podmiocie ważnym spoczywa obowiązek zapewnienia monitoringu w trybie ciągłym 24/7 systemu informatycznego oraz reakcja na incydenty w systemie teleinformatycznym.
W tym celu w przedsiębiorstwie powinna funkcjonować wyspecjalizowana komórka organizacyjna, która całodobowo (24/7) monitoruje, wykrywa, analizuje i reaguje na zagrożenia w infrastrukturze teleinformatycznej przedsiębiorstwa. Komórką taką może być SOC (ang. Security Operations Center), czyli zespół specjalistów ds. cyberbezpieczeństwa (analityków i inżynierów) wspierany przez odpowiednie technologie.
Głównym celem SOC jest ochrona przed cyberatakami oraz minimalizowanie skutków incydentów poprzez ciągłe monitorowanie sieci, serwerów i urządzeń, analiza logów, wykrywanie podejrzanej aktywności oraz natychmiastowa reakcja na incydenty.
SOC można zorganizować w oparciu o własnych pracowników, wyposażonych w odpowiedni sprzęt, procedury i wiedzę lub zlecić realizację tych obowiązków podmiotowi zewnętrznemu.

Wysokość kar, które mogą być nałożone na:

1) Podmiot kluczowy:

  • do 10 mln euro lub
  • do 2 proc. przychodów osiągniętych przez podmiot kluczowy z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary.
    Stosuje się wyższą z tych kwot. Kara ta nie może być jednak niższa niż 20 000 zł.

    2) Podmioty ważne:
  • do 7 mln euro lub
  • do 1,4 proc. przychodów osiągniętych przez podmiot ważny z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary.
    Kara ta nie może być jednak niższa niż 15 000 zł.
    Maksymalna kara administracyjna w systemie krajowym może sięgać 100 mln zł.
    Niezależnie od kary pieniężnej nakładanej na podmiot kluczowy lub podmiot ważny kara pieniężna może być nałożona również na kierownika takiego podmiotu za niewykonanie lub nienależyte wykonanie obowiązków wskazanych w uKSC.
    Karze pieniężnej może podlegać kierownik przedsiębiorstwa, który nie wykonuje co najmniej jednego z obowiązków określonych w uKSC, również w przypadku, gdy zaniechanie w realizacji obowiązków miało charakter jednorazowy.
    Kara pieniężna nakładana na kierownika może być wymierzona w kwocie nie większej niż 300 proc. otrzymywanego przez ukaranego wynagrodzenia obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop.
    Jak z powyższego widać, zadań spoczywających na kierowniku przedsiębiorstwa jest bardzo dużo, a sankcje finansowe mogą być bardzo dotkliwe.


Dariusz Fudala, Andrzej Fudala

SayF
80-225 Gdańsk, ul. Józefa Wassowskiego 12/6
+48 663 321 901
Dariusz Fudala
kontakt@sayf.com.pl, sayf.com.pl

1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia
(WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (DORA) (stosowanego od 17 stycznia 2025 r.) [DORA]
2 Rozporządzenia Wykonawczego Komisji (UE) 2024/2690 z dnia 17 października 2024 r. ustanawiającego zasady stosowania dyrektywy (UE) 2022/2555 w odniesieniu do wymogów technicznych
i metodycznych dotyczących środków zarządzania ryzykiem w cyberbezpieczeństwie oraz doprecyzowującego przypadki, w których incydent uznaje się za poważny w odniesieniu
do dostawców usług DNS, rejestrów nazw TLD, dostawców usług chmurowych, dostawców usług ośrodka przetwarzania danych, dostawców sieci dostarczania treści, dostawców
usług zarządzanych, dostawców usług zarządzanych w zakresie bezpieczeństwa, dostawców internetowych platform handlowych, wyszukiwarek internetowych i platform usług sieci społecznościowych
oraz dostawców usług

O autorze

Redakcja

Kontakt

redakcja@mediainone.pl

Adres

Media In One
Traugutta 25
90-113 Łódź

Media Społecznościowe

profile.php?id=61582362628589

Najnowsze wpisy

27 maja, 2026
Vectra inwestuje w przyszłość polskiego sportu
Redakcja
27 maja, 2026
Światłowód spotyka broadcast
Redakcja
27 maja, 2026
Multi-DRM jako fundament premium contentu dla operatora IPTV
Redakcja

W tym dziale

27 maja, 2026
W telekomunikacji stabilnie…
Redakcja
27 maja, 2026
Współpraca OZZ i operatorów w erze cyfrowej – debata i warsztaty na konferencji PIKE
Redakcja
27 maja, 2026
Obciążenia regulacyjne rynku komunikacji elektronicznej
Redakcja