REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Prawo » Wiadomości » NIS2 wprowadza osobistą odpowiedzialność kierownictwa nawet średnich firm. Za co konkretnie? Przepisy już weszły w życie

NIS2 wprowadza osobistą odpowiedzialność kierownictwa nawet średnich firm. Za co konkretnie? Przepisy już weszły w życie

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
29 kwietnia 2026, 14:09
KWKR Konieczny Wierzbicki i Partnerzy
KWKR Konieczny Wierzbicki i Partnerzy
Kancelaria prawna
NIS2 wprowadza osobistą odpowiedzialność kierownictwa nawet średnich firm. Za co konkretnie? Nowe przepisy już weszły w życie
NIS2 wprowadza osobistą odpowiedzialność kierownictwa nawet średnich firm. Za co konkretnie? Nowe przepisy już weszły w życie
Shutterstock

REKLAMA

REKLAMA

Dyrektywa NIS2 z prawie półtorarocznym opóźnieniem została zaimplementowana do polskiego systemu prawnego w formie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Ustawa z 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw weszła w życie 3 kwietnia 2026 r. Pierwsze obowiązki przedsiębiorcy będą musieli spełnić już do 3 października 2026 r.

rozwiń >

Rosnące zagrożenia cyfrowe – wyzwanie dla każdej firmy

Celem dyrektywy NIS2 jest wprowadzenie wspólnych unijnych standardów cyberbezpieczeństwa i jednoczesne podniesienie poziomu odporności na cyberzagrożenia, których liczba z roku na rok wzrasta.

W 2025 r. w CERT Polska zarejestrowano ponad 260 tysięcy unikalnych incydentów bezpieczeństwa, co stanowiło wzrost o aż 152% w stosunku do roku poprzedniego. 97% wszystkich incydentów stanowiły oszustwa komputerowe – najczęściej były to próby wyłudzania poufnych danych, fałszywe sklepy internetowe i oszustwa inwestycyjne. Kolejnymi najczęściej występującymi kategoriami zagrożeń były szkodliwe oprogramowanie oraz podatne usługi.

W raporcie europejskiej agencji ds. cyberbezpieczeństwa ENISA podsumowującym 2025 r. ujawniono, że 53,7% łącznej liczby incydentów dotyczyło podmiotów kluczowych w rozumieniu NIS2. Najczęstszymi ofiarami ataków były administracja publiczna (38,2%), sektor transportowy (7,5%), infrastruktura cyfrowa i usługi (4,8%) oraz finanse (4,5%).

Wskazane dane jednoznacznie potwierdzają, że przedsiębiorcy muszą jak najszybciej dostosować swoje organizacje do zmieniających się realiów i podjąć kroki w celu zabezpieczenia się przed cyberzagrożeniami. Brak realnych działań może skutkować zarówno stratami finansowymi, jak i wizerunkowymi.

REKLAMA

REKLAMA

Kogo dotyczy NIS2

W przeważającej większości przypadków podmiotami podlegającymi nowym obowiązkom będą co najmniej średni przedsiębiorcy (czyli organizacje zatrudniające powyżej 50 osób, których roczny obrót lub roczna suma bilansowa przekracza 10 mln EUR). Wyjątki dotyczą podmiotów działających w szczególnie wrażliwych sektorach, w tym dostawców usług zarządzanych w zakresie cyberbezpieczeństwa, dostawców usług DNS, kwalifikowanych dostawców usług zaufania, przedsiębiorców komunikacji elektronicznej czy inwestorów obiektu energetyki jądrowej. Podmioty te będą musiały sprostać nowym wymogom niezależnie od wielkości ich przedsiębiorstwa.

W tym kontekście warto pamiętać, że przy obliczaniu wielkości przedsiębiorstwa uwzględnia się również przedsiębiorstwa powiązane oraz partnerskie, a do osób zatrudnionych wlicza się nie tylko pracowników, ale także osoby wykonujące pracę na podstawie umowy agencyjnej, umowy zlecenia lub innej umowy o świadczenie usług, a także właścicieli oraz partnerów prowadzących regularną działalność w przedsiębiorstwie i czerpiących z niego korzyści finansowe.

Lista podmiotów, od których wymagana będzie szczególna dbałość w zakresie cyberbezpieczeństwa została mocno rozszerzona. Sektorami objętymi dyrektywą NIS2 są m.in. energetyka, transport, bankowość, ochrona zdrowia, zaopatrzenie w wodę pitną i jej dystrybucja, gospodarka ściekowa, infrastruktura cyfrowa (w tym dostawcy usług chmurowych), zarządzanie usługami ICT, usługi pocztowe oraz gospodarowanie odpadami.

Kierownik, czyli kto?

Co istotne, zgodnie z nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa odpowiedzialność za jej przestrzeganie ponosi nie tylko sam podmiot zobowiązany, lecz także jego kierownik. Takie rozwiązanie ma na celu zapewnienie, aby kadra zarządzająca traktowała kwestie cyberbezpieczeństwa z należytą powagą.

W przypadku osoby fizycznej prowadzącej jednoosobową działalność gospodarczą kierownikiem jest sam przedsiębiorca. W spółkach kapitałowych funkcję kierownika podmiotu pełnią członkowie zarządu. Natomiast w spółkach osobowych, które nie posiadają zarządu, za kierowników uznaje się wspólników prowadzących sprawy spółki lub komplementariuszy odpowiedzialnych za jej prowadzenie.

W szczególnych sytuacjach, tj. likwidacja, upadłość czy restrukturyzacja, kierownikiem może być również likwidator, syndyk, zarządca ustanowiony w postępowaniu restrukturyzacyjnym czy zarządca sukcesyjny.

Gdy kierownikiem podmiotu kluczowego lub podmiotu ważnego jest organ wieloosobowy i nie została wskazana osoba odpowiedzialna, odpowiedzialność ponosić będą wszyscy członkowie tego organu. Dlatego w przypadku wieloosobowych zarządów zalecane jest już teraz ustalenie podziałów obowiązków w tym zakresie.

Nowe obowiązki zarządzających

Kierownicy podmiotów kwalifikujących się pod wymagania NIS2 podlegają wielu nowym obowiązkom, takim jak:
- wpis do wykazu podmiotów kluczowych lub podmiotów ważnych wraz z jego aktualizacją;
- wdrożenie systemu zarządzania bezpieczeństwem informacji;
- zgłaszanie incydentów;
- przeprowadzanie okresowych audytów (podmioty kluczowe muszą co najmniej raz na 3 lata na własny koszt przeprowadzić audyt bezpieczeństwa systemu informacyjnego).

Co ważne, powierzenie niektórych lub wszystkich z tych obowiązków innej osobie nie zwalnia kierownictwa z odpowiedzialności.

Ponadto, podmioty objęte NIS2 są zobowiązane do edukowania swojego personelu w obszarze cyberbezpieczeństwa. Obowiązkowemu, corocznemu szkoleniu podlega również kierownictwo. Ma to zapewnić, że osoby odpowiedzialne za cyberbezpieczeństwo będą posiadać aktualną wiedzę i odpowiednie umiejętności. Brak szkolenia może skutkować nałożeniem kary administracyjnej.

Zadań z zakresu cyberbezpieczeństwa nie będą mogły wykonywać osoby skazane za przestępstwa przeciwko ochronie informacji (m.in. ujawnienie informacji niejawnych, nielegalne uzyskanie informacji, sabotaż komputerowy, zakłócanie sieci i systemów).

REKLAMA

Odpowiedzialność kierownictwa

Biorąc pod uwagę bardzo szeroki zakres zmian wprowadzanych wraz z nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa, ustawodawca zdecydował się odroczyć nakładanie kar pieniężnych do 3 kwietnia 2028 r.
Wyjątkiem od tej zasady będzie kara ekstraordynaryjna, która ma być stosowana tylko przy poważnych naruszeniach, tj. bezpośrednim i poważnym cyberzagrożeniu dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi, oraz zagrożeniu wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług. W takim wypadku kara może wynieść do 100 mln zł.

Niemałą rewolucję wprowadza osobista odpowiedzialność kierownictwa. Dotychczas kary finansowe ponosiły jedynie podmioty obowiązane. Osobista odpowiedzialność ma na celu zmotywowanie zarządzających do realnego zaangażowania się w tematykę cyberbezpieczeństwa w prowadzonych przez siebie podmiotach. Kara może wynieść do 300% otrzymywanego przez ukaranego miesięcznego wynagrodzenia i może zostać nałożona np., gdy kierownik:
- nie wykonuje obowiązków związanych z wpisem do wykazu podmiotów ważnych lub kluczowych,
- nie wdraża systemu zarządzania bezpieczeństwem informacji,
- nie odbył corocznego obowiązkowego szkolenia z zakresu cyberbezpieczeństwa,
- nie wykonuje obowiązków związanych z obsługą incydentów czy obowiązkowymi audytami.

Dalszy ciąg materiału pod wideo

Pora na działanie

Z uwagi na upływające terminy na dopełnienie nowych obowiązków, teraz jest ostatni moment na podjęcie kroków, które w przyszłości mogą zapobiec poważnym konsekwencjom prawnym i finansowym.

W pierwszej kolejności konieczne jest przeanalizowanie, czy dany podmiot podlega nowym regulacjom. NIS2 wprowadza system autoidentyfikacji, w związku z czym każda organizacja musi samodzielnie dokonać takiej weryfikacji. W przypadku pozytywnego wyniku do 3 października 2026 r. należy dokonać wpisu do wykazu podmiotów kluczowych i ważnych, a następnie jak najszybciej rozpocząć wdrożenie systemu zarządzania bezpieczeństwem informacji, zaczynając od ustalenia, które z dotychczas stosowanych środków pozostają aktualne, a gdzie wymagane są dalsze działania (tzw. audyt luki). Dostosowanie organizacji do nowych wymogów wymaga znacznego wysiłku organizacyjnego i technicznego, dlatego nie warto odkładać podjęcia działań na ostatnią chwilę.

Warto przy tym pamiętać, że podjęte kroki nie powinny ograniczać się wyłącznie do teorii. Brak wdrożenia odpowiednich zabezpieczeń niezależnie od odpowiedzialności finansowej czy prawnej może prowadzić do konsekwencji znacznie poważniejszych i trudniejszych do odwrócenia – utraty zaufania partnerów biznesowych czy utraty pozycji rynkowej wskutek dokonanego cyberataku.

Podstawa prawna:
1. Ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2026 r. poz. 20),
2. Ustawa z 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. 2026 poz. 252),
3. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (Dz.Urz.UE.L 2022 nr 333, str. 80).

Alicja Szyrner - Radca prawny, Associate w kancelarii KWKR

Zobacz również:
oprac. Paweł Huczko
Źródło: INFOR
Wersja do druku
Napisz do nas

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Prawo
Ceny benzyny i oleju napędowego – tyle zapłacimy w czwartek. Nowe ceny paliw na dzień 25 czerwca
24 cze 2026

Jest kolejne obwieszczenie ministra energii. Wiadomo już, jaka będzie wysokość maksymalnych cen detalicznych za litr benzyny 95, benzyny 98 i oleju napędowego w dniu 25 czerwca. Ile kierowcy zapłacą w czwartek na stacjach benzynowych za paliwo?
Wracają dwie godziny religii w szkołach, bo rozporządzenie ograniczające liczbę lekcji religii jest niezgodne z Konstytucją? Sprawa już na biurku premiera
24 cze 2026

Od 1 września 2025 r. liczba godzin lekcji religii w szkołach, została zmniejszona z dwóch godzin, do jednej godziny tygodniowo. Zmiana ta, została dokonana rozporządzeniem ministra edukacji, wydanym na podstawie upoważnienia zawartego w ustawie o systemie oświaty. Rzecznika Praw Obywatelskich (RPO), w swoim wystąpieniu do MEN poddał pod wątpliwość zgodność powyższych przepisów z Konstytucją, a w związku z brakiem (od ponad roku) jakiejkolwiek odpowiedzi ze strony minister edukacji Barbary Nowackiej – w dniu 9 czerwca br., RPO skierował sprawę do Prezesa Rady Ministrów.
Odrzucenie spadku może być nieskuteczne. Jak temu zapobiec?
24 cze 2026

Odrzucenie spadku jest pozornie prostą decyzją. W praktyce jednak spotykam się z sytuacjami, w których spadkobierca jest przekonany, że skutecznie odrzucił spadek, a mimo to odpowiada za długi spadkowe albo dowiaduje się, że jego oświadczenie nie wywołało żadnych skutków. W jakich zatem sytuacjach odrzucenie spadku jest nieskuteczne? Na co trzeba uważać, by uniknąć kosztownego błędu?
Zwroty online od 19 czerwca 2026 r. na nowych zasadach. Co zmienia dyrektywa UE 2023/2673?
24 cze 2026

Czy zwroty online od dnia 19 czerwca 2026 r. odbywają się już na nowych zasadach? Co zmienia dyrektywa UE 2023/2673 i czy sklepy są gotowe na dostosowanie się do aktualnych regulacji unijnych?

REKLAMA

Zakaz drogowych wyścigów i inne przepisy w Trybunale Konstytucyjnym. Co prezydent zaskarżył i dlaczego? RPO przystąpił do sprawy
24 cze 2026

Prezydent Karol Nawrocki zaskarżył do TK kluczowe fragmenty ustawy o bezpieczeństwie ruchu drogowego, która od grudnia 2025 r. penalizuje nielegalne wyścigi, drift, jazdę na kole i zloty motoryzacyjne. RPO przyłączył się do postępowania. Czy przepisy, które miały zwiększyć bezpieczeństwo na drogach, są niezgodne z Konstytucją? Sprawdzamy, o co chodzi i czy są powody do ich uchylenia.
ChatGPT w pracy może kosztować etat. Prawnicy wskazują granice
23 cze 2026

Korzystanie z ChatGPT i innych narzędzi generatywnej sztucznej inteligencji staje się codziennością w wielu firmach. Problem pojawia się wtedy, gdy pracownik robi to bez wiedzy pracodawcy albo przekazuje do systemu poufne dane przedsiębiorstwa. W takich sytuacjach konsekwencje mogą wykraczać daleko poza zwykłe upomnienie.
AI pod lupą pracodawcy. Gdzie kończy się kontrola, a zaczyna naruszenie prawa?
23 cze 2026

Wykorzystanie sztucznej inteligencji do monitorowania pracowników przestaje być futurystyczną wizją. Narzędzia analizujące wydajność, aktywność na komputerze, komunikację czy proces rekrutacji są już obecne w wielu organizacjach. Unijny AI Act nie zakazuje ich stosowania, ale nakłada szereg ograniczeń, zwłaszcza gdy system może wpływać na decyzje dotyczące zatrudnienia, awansu lub zwolnienia pracownika.
Rekrutacja, bankowość, medycyna. Tu AI podlega szczególnym zasadom
23 cze 2026

Jednym z najważniejszych pojęć w AI Act jest „system sztucznej inteligencji wysokiego ryzyka”. To właśnie dla tej kategorii unijne przepisy przewidują najbardziej rozbudowane obowiązki dotyczące dokumentacji, zarządzania ryzykiem, jakości danych czy nadzoru człowieka. Problem polega na tym, że wiele organizacji nie wie, kiedy wykorzystywane przez nie rozwiązanie wpada do tej grupy.

REKLAMA

Korzystasz z AI w firmie? Te przepisy mogą mieć znaczenie
23 cze 2026

ChatGPT, Gemini, Copilot i Claude należą dziś do najpopularniejszych narzędzi generatywnej sztucznej inteligencji wykorzystywanych przez firmy i użytkowników indywidualnych. Wraz z wejściem w życie kolejnych przepisów AI Act pojawia się pytanie, czy rozwiązania te spełniają wymogi unijnego prawa. Odpowiedź nie jest jednoznaczna, ponieważ AI Act nakłada różne obowiązki na dostawców modeli oraz na organizacje wykorzystujące je w praktyce.
Dlaczego rosną czynsze w TBS-ach? Winna inflacja ale też niejednoznaczne przepisy
23 cze 2026

Zasób mieszkaniowy towarzystw budownictwa społecznego (TBS) nie jest bardzo duży. Mowa o nieco ponad 100 000 lokali mieszkalnych. Znacznie więcej mieszkań posiadają nie tylko osoby prywatne, ale również spółdzielnie oraz gminy. Mimo tego, temat TBS-ów, a raczej czynszów naliczanych przez te instytucje był dość głośny w ostatnich latach. Chodziło między innymi o protesty lokatorów TBS-ów w związku z dużymi podwyżkami czynszów. Warszawski agent nieruchomości Leszek Markiewicz postanowił sprawdzić, jak podwyżki czynszów „TBS-owskich” wyglądały przez ostatnie lata. Warto przyjrzeć się nie tylko danym statystycznym, ale również spornym aspektom prawnym. Na początku zacznijmy jednak od statystyk czynszowych, które publikuje GUS.
Zapisz się na newsletter
Najlepsze artykuły, najpoczytniejsze tematy, zmiany w prawie i porady. Skoncentrowana dawka wiadomości z różnych kategorii: prawo, księgowość, kadry, biznes, nieruchomości, pieniądze, edukacja. Zapisz się na nasz newsletter i bądź zawsze na czasie.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

REKLAMA