Poradnik dla Zarządu: Odpowiedzialność według NIS 2 i KSC – LexCyberAI
PORADNIK DLA ZARZĄDU

Odpowiedzialność osobista jest realna

Nowy standard odpowiedzialności zarządów według Dyrektywy NIS 2 i projektu ustawy o KSC. Sankcje finansowe do 10M EUR i osobiste kary dla kierownictwa.

Art. 8 KSC Art. 20 i 21 NIS 2 Art. 73a UC32 Należyta staranność
Nowa rzeczywistość

Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC), wdrażający Dyrektywę (UE) 2022/2555 (NIS 2), wprowadza nowy standard odpowiedzialności dla zarządów, rad nadzorczych i kierownictwa podmiotów kluczowych lub ważnych.

Odporność cyfrowa i bezpieczeństwo ICT stanowią integralny element zarządzania ryzykiem biznesowym. Brak działań w tym zakresie będzie skutkował realnymi sankcjami finansowymi i osobistymi.

System sankcji w liczbach

10M EUR Maks. kara dla podmiotu kluczowego
7M EUR Maks. kara dla podmiotu ważnego
300% Wynagrodzenia – kara dla zarządu
100k zł Kara okresowa dziennie

Odpowiedzialność kierownictwa według art. 8 KSC

Zarząd nie może już delegować obowiązków cyberbezpieczeństwa wyłącznie na dział IT. Wymaga się aktywnego nadzoru, decyzji i dokumentowania działań.

Obowiązki zarządu
  • Zapewnienie zgodności – zarząd odpowiada za zgodność organizacji z wymogami cyberbezpieczeństwa
  • Zatwierdzanie polityk – polityka bezpieczeństwa informacji, analiza ryzyka i środki zaradcze
  • Nadzór nad skutecznością – monitoring wdrożonych środków i ocena ich efektywności
  • Decyzje budżetowe – podejmowanie decyzji o budżecie i zasobach na cyberbezpieczeństwo
Zarządzanie operacyjne
  • Szkolenia personelu – zapewnienie programów szkoleniowych w zakresie cyberbezpieczeństwa
  • Audyty i przeglądy – przygotowanie do audytów wewnętrznych i kontroli regulatora
  • Reagowanie na incydenty – nadzór nad procesem wykrywania i raportowania do CSIRT
  • Dokumentacja – zapewnienie transparentności i dokumentowania wszystkich decyzji
Kluczowe: Należyta staranność

Brak aktywnego udziału zarządu w działaniach cyberbezpieczeństwa jest traktowany jako niedochowanie należytej staranności i może skutkować sankcjami osobistymi.

System sankcji według art. 73a projektu ustawy (UC32)

Projekt wprowadza wielopoziomowy system sankcji obejmujący zarówno podmioty, jak i osoby kierujące.

Podmiot kluczowy Kary finansowe dla organizacji
do 10 000 000 EUR

lub do 2% rocznych przychodów (stosuje się wyższą kwotę)

  • Minimalna kara: 20 000 zł
  • Brak przychodów: kwota bazowa 500 000 EUR
  • Poważne naruszenie ze szkodami lub zagrożeniem bezpieczeństwa państwa: do 100 000 000 zł

Dotyczy w szczególności:

  • Niewdrożenia systemu zarządzania bezpieczeństwem informacji
  • Braku analizy ryzyka lub planu reagowania na incydenty
  • Niezgłoszenia incydentu w wymaganym terminie
  • Niewykonania zaleceń organu właściwego
  • Utrudniania kontroli lub braku współpracy z CSIRT
Podmiot ważny Kary finansowe dla organizacji
do 7 000 000 EUR

lub 1,4% rocznych przychodów (stosuje się wyższą kwotę)

  • Minimalna kara: 15 000 zł
  • Brak przychodów: kwota bazowa 250 000 EUR
Odpowiedzialność osobista Kary dla kierownika podmiotu (zarządu/dyrektora)
do 300% wynagrodzenia

miesięcznego wynagrodzenia brutto dla kierownika podmiotu prywatnego

  • Kierownik podmiotu publicznego: do 100% miesięcznego wynagrodzenia brutto
  • Kara nakładana niezależnie od kary nałożonej na sam podmiot
  • Zarząd wieloosobowy bez wskazanej osoby odpowiedzialnej: kara solidarna na wszystkich członków
Art. 73 ust. 5 Kary okresowe

W przypadku zwłoki w wykonaniu decyzji nadzorczej:

500 – 100 000 zł

za każdy dzień opóźnienia

Art. 73b Dostawcy usług ICT

Kary dla dostawców DNS, cloud, MSP, MSSP:

do 5 000 000 zł

za naruszenia obowiązków sprawozdawczych

Należyta staranność – interpretacja prawna

„Należyta staranność” w rozumieniu ustawy oznacza podjęcie wszelkich rozsądnych działań wymaganych od profesjonalnego zarządu w danej sytuacji.

Definicja prawna
  • Najlepsza wiedza – podejmowanie decyzji zgodnych z najlepszą wiedzą techniczną, prawną i organizacyjną
  • Dokumentowanie działań – kompletna dokumentacja w zakresie bezpieczeństwa informacji
  • Zarządzanie ryzykiem – adekwatne do skali działalności i zagrożeń
  • Transparentność – potwierdzenie decyzji w uchwałach lub raportach z posiedzeń
Praktyczne zastosowanie

Każda decyzja zarządu dotycząca bezpieczeństwa musi być udokumentowana:

  • Zatwierdzenie polityk bezpieczeństwa
  • Akceptacja pozostałego ryzyka
  • Wyniki audytów i przeglądów
  • Programy szkoleń i świadomości
  • Decyzje o budżecie i zasobach
  • Protokoły z posiedzeń zarządu
Dowód należytej staranności

W praktyce oznacza to konieczność udokumentowania każdej decyzji zarządu dotyczącej bezpieczeństwa. Protokoły, uchwały i raporty stanowią dowód należytej staranności w przypadku kontroli lub postępowania sankcyjnego.

Możliwość odstąpienia od kary i środki alternatywne

Odstąpienie od kary (art. 73a ust. 7-8)

Organ może odstąpić od wymierzenia kary, jeśli:

  • Naruszenie jest znikome
  • Podmiot niezwłocznie zaprzestał naruszania
  • Szkoda została naprawiona

Organ może zastosować środki nadzorcze zamiast kary (nakaz działań naprawczych lub audyt).

Zakaz podwójnego karania

Jeżeli za ten sam czyn podmiot został już ukarany przez Prezesa UODO na podstawie RODO:

  • Organ cyberbezpieczeństwa nie wszczyna postępowania
  • Lub umarza postępowanie
  • Ogranicza się do środków nadzorczych

Zasada ne bis in idem – brak podwójnego karania za ten sam czyn.

Uzasadnienie wprowadzenia sankcji

„Wysokie sankcje mają zapewnić rzeczywistą skuteczność wdrożenia Dyrektywy NIS 2. Kary te pełnią funkcję prewencyjną i dyscyplinującą wobec zarządów, które dotychczas traktowały cyberbezpieczeństwo jako obszar techniczny, a nie strategiczny. Odpowiedzialność osobista kierownictwa stanowi gwarancję, że działania w zakresie bezpieczeństwa będą miały charakter ciągły i nadzorowany.”

Cele systemu sankcji
  • Zwiększenie odpowiedzialności decyzyjnej zarządów
  • Zapewnienie proaktywnego nadzoru
  • Wzmocnienie roli organów nadzorczych i CSIRT
  • Ujednolicenie z rozporządzeniem DORA i RODO
Zmiana podejścia

Cyberbezpieczeństwo przechodzi z obszaru technicznego do strategicznego:

  • Zarząd ponosi odpowiedzialność
  • Wymagana jest aktywna rola kierownictwa
  • Dokumentowanie decyzji jest obowiązkowe
  • Brak działań = realne sankcje

Rekomendacje dla zarządów – 7 kroków

Praktyczne działania zapewniające zgodność i dokumentowanie należytej staranności.

1. Powołać odpowiedzialnych

Powołać pełnomocnika ds. cyberbezpieczeństwa (CISO / vCISO) i zapewnić mu odpowiednie zasoby, budżet i uprawnienia.

2. Przeprowadzić audyt zgodności

Audyt zgodności z NIS 2 i KSC, dokumentując wszystkie wyniki, niezgodności i decyzje zarządu.

3. Przyjąć dokumentację

Przyjąć politykę bezpieczeństwa informacji, plan reagowania na incydenty i rejestr ryzyk.

4. Wdrożyć szkolenia

Wprowadzić system szkoleń dla członków zarządu i wszystkich pracowników z zakresu cyberbezpieczeństwa.

5. Ustanowić raportowanie

Stały raport bezpieczeństwa przedstawiany zarządowi co najmniej raz na kwartał.

6. Dokumentować działania

Każdy protokół, uchwała czy raport stanowi dowód należytej staranności – dokumentować wszystkie decyzje.

7. Zapewnić integrację zgodności

Zintegrować zgodność z NIS 2/KSC z innymi wymogami regulacyjnymi:

  • RODO – ochrona danych osobowych
  • DORA – odporność operacyjna dla sektora finansowego
  • ISO 27001 – system zarządzania bezpieczeństwem informacji
  • ISO 22301 – zarządzanie ciągłością działania
  • ESG – zarządzanie i raportowanie ESG

Podsumowanie dla zarządu

Odpowiedzialność jest realna

Projekt ustawy o KSC ustanawia realną odpowiedzialność zarządów za cyberbezpieczeństwo. Zarząd nie może delegować tych obowiązków wyłącznie na dział IT.

Sankcje są wysokie

Brak wdrożenia SZBI lub jego nieskuteczność może skutkować karami do 10M EUR dla podmiotu i 300% wynagrodzenia dla kierownictwa.

Należyta staranność wymaga dokumentacji

Świadome zarządzanie ryzykiem, nadzór nad środkami bezpieczeństwa i dokumentowanie wszystkich decyzji zarządu.

Przygotuj zarząd do nowej rzeczywistości

Dyrektywa NIS 2 i projekt ustawy o KSC to nie tylko wymogi techniczne – to fundamentalna zmiana w odpowiedzialności zarządów. Przygotuj się profesjonalnie.

Zapytaj o audyt zgodności i konsultacje dla zarządu

Ocenimy poziom przygotowania, udokumentujemy należytą staranność i doradzimy w kwestiach zgodności z NIS 2, DORA i KSC

kontakt@lexcyberai.pl

We use cookies to enhance your browsing experience, serve personalized ads or content, and analyze our traffic. By clicking 'Accept All', you consent to our use of cookies.

Powered by
Necessary cookies enable essential site features like secure log-ins and consent preference adjustments. They do not store personal data.
None
Functional cookies support features like content sharing on social media, collecting feedback, and enabling third-party tools.
None
Analytical cookies track visitor interactions, providing insights on metrics like visitor count, bounce rate, and traffic sources.
None
Advertisement cookies deliver personalized ads based on your previous visits and analyze the effectiveness of ad campaigns.
None
Powered by