Odpowiedzialność zarządu według NIS 2 i projektu ustawy o KSC
Nowy standard odpowiedzialności zarządów według Dyrektywy NIS 2 i projektu ustawy o KSC. Sankcje finansowe do 10M EUR i osobiste kary dla kierownictwa.
Nowa rzeczywistość
Projekt nowelizacji KSC wdrażający NIS 2 wprowadza nowy standard odpowiedzialności dla zarządów, rad nadzorczych i kierownictwa podmiotów kluczowych lub ważnych.
Odporność cyfrowa i bezpieczeństwo ICT stają się integralne dla zarządzania ryzykiem. Brak działań to realne sankcje finansowe i osobiste.
System sankcji w liczbach
Odpowiedzialność kierownictwa według art. 8 KSC
Zarząd nie może delegować obowiązków cyberbezpieczeństwa wyłącznie na IT. Wymagany jest aktywny nadzór, decyzje i dokumentowanie działań.
Obowiązki zarządu
- Zapewnienie zgodności – pełna odpowiedzialność za wymogi cyberbezpieczeństwa
- Zatwierdzanie polityk – polityka bezpieczeństwa, analiza ryzyka, środki zaradcze
- Nadzór nad skutecznością – monitoring i ocena efektywności
- Decyzje budżetowe – zasoby i budżet na bezpieczeństwo
Zarządzanie operacyjne
- Szkolenia personelu – programy podnoszenia świadomości
- Audyty i przeglądy – gotowość na kontrole regulatora
- Reagowanie na incydenty – wykrywanie i raportowanie do CSIRT
- Dokumentacja – pełna transparentność decyzji
Brak aktywnego udziału zarządu jest traktowany jako niedochowanie należytej staranności i może skutkować sankcjami osobistymi.
System sankcji według art. 73a projektu ustawy (UC32)
Projekt wprowadza wielopoziomowy system sankcji obejmujący zarówno podmioty, jak i osoby kierujące.
Podmiot kluczowy – kary finansowe
lub do 2% rocznych przychodów (stosuje się wyższą kwotę)
- Minimalna kara: 20 000 zł
- Brak przychodów: kwota bazowa 500 000 EUR
- Poważne naruszenie ze szkodami lub zagrożeniem bezpieczeństwa państwa: do 100 000 000 zł
Dotyczy m.in.:
- Niewdrożenia SZBI
- Braku analizy ryzyka lub planu reagowania
- Niezgłoszenia incydentu w terminie
- Niewykonania zaleceń organu
- Utrudniania kontroli / braku współpracy z CSIRT
Podmiot ważny – kary finansowe
lub 1,4% rocznych przychodów (stosuje się wyższą kwotę)
- Minimalna kara: 15 000 zł
- Brak przychodów: kwota bazowa 250 000 EUR
Odpowiedzialność osobista – kierownik podmiotu
miesięcznego wynagrodzenia brutto (podmiot prywatny)
- Kierownik podmiotu publicznego: do 100% miesięcznego wynagrodzenia
- Kara nakładana niezależnie od kary dla podmiotu
- Zarząd wieloosobowy bez wskazanej osoby – kara solidarna
Kary okresowe (art. 73 ust. 5)
W przypadku zwłoki w wykonaniu decyzji nadzorczej:
za każdy dzień opóźnienia
Dostawcy usług ICT (art. 73b)
DNS, chmura, MSP/MSSP:
za naruszenia obowiązków sprawozdawczych
Należyta staranność – interpretacja prawna
Definicja prawna
- Najlepsza wiedza – decyzje zgodne z wiedzą techniczną, prawną i organizacyjną
- Dokumentowanie działań – kompletna dokumentacja SZBI
- Zarządzanie ryzykiem – adekwatne do skali i zagrożeń
- Transparentność – decyzje w uchwałach/protokołach
Praktyczne zastosowanie
Każda decyzja dot. bezpieczeństwa musi być udokumentowana:
- Zatwierdzenie polityk bezpieczeństwa
- Akceptacja pozostałego ryzyka
- Wyniki audytów i przeglądów
- Programy szkoleń i świadomości
- Decyzje o budżecie i zasobach
- Protokoły z posiedzeń zarządu
Utrzymuj protokoły, uchwały i raporty – w razie kontroli będą kluczowym dowodem należytej staranności.
Możliwość odstąpienia od kary i środki alternatywne
Odstąpienie od kary (art. 73a ust. 7–8)
Organ może odstąpić, jeśli:
- Naruszenie jest znikome
- Podmiot niezwłocznie zaprzestał naruszania
- Szkoda została naprawiona
Zamiast kary – środki nadzorcze (działania naprawcze lub audyt).
Zakaz podwójnego karania
Jeżeli za ten sam czyn podmiot ukarał już PUODO (RODO):
- Organ cyberbezpieczeństwa nie wszczyna postępowania
- Lub je umarza
- Ogranicza się do środków nadzorczych
Zasada ne bis in idem.
Uzasadnienie wprowadzenia sankcji
„Wysokie sankcje mają zapewnić rzeczywistą skuteczność wdrożenia Dyrektywy NIS 2. Kary pełnią funkcję prewencyjną i dyscyplinującą wobec zarządów. Odpowiedzialność osobista gwarantuje, że działania będą ciągłe i nadzorowane.”
Cele systemu sankcji
- Zwiększenie odpowiedzialności decyzyjnej zarządów
- Zapewnienie proaktywnego nadzoru
- Wzmocnienie roli organów nadzorczych i CSIRT
- Spójność z DORA i RODO
Zmiana podejścia
Cyberbezpieczeństwo z technicznego staje się strategiczne:
- Zarząd ponosi odpowiedzialność
- Wymagana rola kierownictwa
- Obowiązkowe dokumentowanie decyzji
- Brak działań = realne sankcje
Rekomendacje dla zarządów – 7 kroków
Praktyczne działania zapewniające zgodność i dowód należytej staranności.
1. Powołać odpowiedzialnych
CISO / vCISO z realnymi uprawnieniami i budżetem.
2. Przeprowadzić audyt zgodności
NIS 2 / KSC – wyniki + decyzje zarządu w dokumentacji.
3. Przyjąć dokumentację
Polityka bezpieczeństwa, IRP, rejestr ryzyk.
4. Wdrożyć szkolenia
Programy dla zarządu i całej organizacji.
5. Ustanowić raportowanie
Stały raport bezpieczeństwa dla zarządu co kwartał.
6. Dokumentować działania
Uchwały, protokoły i raporty = dowód należytej staranności.
7. Zintegrować zgodność
- RODO – ochrona danych
- DORA – odporność operacyjna
- ISO 27001 – SZBI
- ISO 22301 – ciągłość działania
- ESG – governance i raportowanie
Podsumowanie dla zarządu
Odpowiedzialność jest realna
Projekt KSC ustanawia realną odpowiedzialność zarządów. Nie można „oddać” jej tylko do IT.
Sankcje są wysokie
Do 10M EUR dla podmiotu i do 300% wynagrodzenia dla kierownictwa.
Należyta staranność = dokumentacja
Świadome decyzje, nadzór nad kontrolami i pełna ścieżka audytowa.
Przygotuj zarząd do nowej rzeczywistości
Dyrektywa NIS 2 i projekt KSC to nie tylko wymogi techniczne – to zmiana standardu odpowiedzialności. Zadbaj o zgodność i dowód należytej staranności.