REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

NIS2 wprowadza osobistą odpowiedzialność kierownictwa nawet średnich firm. Za co konkretnie? Przepisy już weszły w życie

NIS2 wprowadza osobistą odpowiedzialność kierownictwa nawet średnich firm. Za co konkretnie? Nowe przepisy już weszły w życie
NIS2 wprowadza osobistą odpowiedzialność kierownictwa nawet średnich firm. Za co konkretnie? Nowe przepisy już weszły w życie
Shutterstock

REKLAMA

REKLAMA

Dyrektywa NIS2 z prawie półtorarocznym opóźnieniem została zaimplementowana do polskiego systemu prawnego w formie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Ustawa z 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw weszła w życie 3 kwietnia 2026 r. Pierwsze obowiązki przedsiębiorcy będą musieli spełnić już do 3 października 2026 r.

rozwiń >

Rosnące zagrożenia cyfrowe – wyzwanie dla każdej firmy

Celem dyrektywy NIS2 jest wprowadzenie wspólnych unijnych standardów cyberbezpieczeństwa i jednoczesne podniesienie poziomu odporności na cyberzagrożenia, których liczba z roku na rok wzrasta.

W 2025 r. w CERT Polska zarejestrowano ponad 260 tysięcy unikalnych incydentów bezpieczeństwa, co stanowiło wzrost o aż 152% w stosunku do roku poprzedniego. 97% wszystkich incydentów stanowiły oszustwa komputerowe – najczęściej były to próby wyłudzania poufnych danych, fałszywe sklepy internetowe i oszustwa inwestycyjne. Kolejnymi najczęściej występującymi kategoriami zagrożeń były szkodliwe oprogramowanie oraz podatne usługi.

W raporcie europejskiej agencji ds. cyberbezpieczeństwa ENISA podsumowującym 2025 r. ujawniono, że 53,7% łącznej liczby incydentów dotyczyło podmiotów kluczowych w rozumieniu NIS2. Najczęstszymi ofiarami ataków były administracja publiczna (38,2%), sektor transportowy (7,5%), infrastruktura cyfrowa i usługi (4,8%) oraz finanse (4,5%).

Wskazane dane jednoznacznie potwierdzają, że przedsiębiorcy muszą jak najszybciej dostosować swoje organizacje do zmieniających się realiów i podjąć kroki w celu zabezpieczenia się przed cyberzagrożeniami. Brak realnych działań może skutkować zarówno stratami finansowymi, jak i wizerunkowymi.

REKLAMA

REKLAMA

Kogo dotyczy NIS2

W przeważającej większości przypadków podmiotami podlegającymi nowym obowiązkom będą co najmniej średni przedsiębiorcy (czyli organizacje zatrudniające powyżej 50 osób, których roczny obrót lub roczna suma bilansowa przekracza 10 mln EUR). Wyjątki dotyczą podmiotów działających w szczególnie wrażliwych sektorach, w tym dostawców usług zarządzanych w zakresie cyberbezpieczeństwa, dostawców usług DNS, kwalifikowanych dostawców usług zaufania, przedsiębiorców komunikacji elektronicznej czy inwestorów obiektu energetyki jądrowej. Podmioty te będą musiały sprostać nowym wymogom niezależnie od wielkości ich przedsiębiorstwa.

W tym kontekście warto pamiętać, że przy obliczaniu wielkości przedsiębiorstwa uwzględnia się również przedsiębiorstwa powiązane oraz partnerskie, a do osób zatrudnionych wlicza się nie tylko pracowników, ale także osoby wykonujące pracę na podstawie umowy agencyjnej, umowy zlecenia lub innej umowy o świadczenie usług, a także właścicieli oraz partnerów prowadzących regularną działalność w przedsiębiorstwie i czerpiących z niego korzyści finansowe.

Lista podmiotów, od których wymagana będzie szczególna dbałość w zakresie cyberbezpieczeństwa została mocno rozszerzona. Sektorami objętymi dyrektywą NIS2 są m.in. energetyka, transport, bankowość, ochrona zdrowia, zaopatrzenie w wodę pitną i jej dystrybucja, gospodarka ściekowa, infrastruktura cyfrowa (w tym dostawcy usług chmurowych), zarządzanie usługami ICT, usługi pocztowe oraz gospodarowanie odpadami.

Kierownik, czyli kto?

Co istotne, zgodnie z nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa odpowiedzialność za jej przestrzeganie ponosi nie tylko sam podmiot zobowiązany, lecz także jego kierownik. Takie rozwiązanie ma na celu zapewnienie, aby kadra zarządzająca traktowała kwestie cyberbezpieczeństwa z należytą powagą.

W przypadku osoby fizycznej prowadzącej jednoosobową działalność gospodarczą kierownikiem jest sam przedsiębiorca. W spółkach kapitałowych funkcję kierownika podmiotu pełnią członkowie zarządu. Natomiast w spółkach osobowych, które nie posiadają zarządu, za kierowników uznaje się wspólników prowadzących sprawy spółki lub komplementariuszy odpowiedzialnych za jej prowadzenie.

W szczególnych sytuacjach, tj. likwidacja, upadłość czy restrukturyzacja, kierownikiem może być również likwidator, syndyk, zarządca ustanowiony w postępowaniu restrukturyzacyjnym czy zarządca sukcesyjny.

Gdy kierownikiem podmiotu kluczowego lub podmiotu ważnego jest organ wieloosobowy i nie została wskazana osoba odpowiedzialna, odpowiedzialność ponosić będą wszyscy członkowie tego organu. Dlatego w przypadku wieloosobowych zarządów zalecane jest już teraz ustalenie podziałów obowiązków w tym zakresie.

Nowe obowiązki zarządzających

Kierownicy podmiotów kwalifikujących się pod wymagania NIS2 podlegają wielu nowym obowiązkom, takim jak:
- wpis do wykazu podmiotów kluczowych lub podmiotów ważnych wraz z jego aktualizacją;
- wdrożenie systemu zarządzania bezpieczeństwem informacji;
- zgłaszanie incydentów;
- przeprowadzanie okresowych audytów (podmioty kluczowe muszą co najmniej raz na 3 lata na własny koszt przeprowadzić audyt bezpieczeństwa systemu informacyjnego).

Co ważne, powierzenie niektórych lub wszystkich z tych obowiązków innej osobie nie zwalnia kierownictwa z odpowiedzialności.

Ponadto, podmioty objęte NIS2 są zobowiązane do edukowania swojego personelu w obszarze cyberbezpieczeństwa. Obowiązkowemu, corocznemu szkoleniu podlega również kierownictwo. Ma to zapewnić, że osoby odpowiedzialne za cyberbezpieczeństwo będą posiadać aktualną wiedzę i odpowiednie umiejętności. Brak szkolenia może skutkować nałożeniem kary administracyjnej.

Zadań z zakresu cyberbezpieczeństwa nie będą mogły wykonywać osoby skazane za przestępstwa przeciwko ochronie informacji (m.in. ujawnienie informacji niejawnych, nielegalne uzyskanie informacji, sabotaż komputerowy, zakłócanie sieci i systemów).

REKLAMA

Odpowiedzialność kierownictwa

Biorąc pod uwagę bardzo szeroki zakres zmian wprowadzanych wraz z nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa, ustawodawca zdecydował się odroczyć nakładanie kar pieniężnych do 3 kwietnia 2028 r.
Wyjątkiem od tej zasady będzie kara ekstraordynaryjna, która ma być stosowana tylko przy poważnych naruszeniach, tj. bezpośrednim i poważnym cyberzagrożeniu dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi, oraz zagrożeniu wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług. W takim wypadku kara może wynieść do 100 mln zł.

Niemałą rewolucję wprowadza osobista odpowiedzialność kierownictwa. Dotychczas kary finansowe ponosiły jedynie podmioty obowiązane. Osobista odpowiedzialność ma na celu zmotywowanie zarządzających do realnego zaangażowania się w tematykę cyberbezpieczeństwa w prowadzonych przez siebie podmiotach. Kara może wynieść do 300% otrzymywanego przez ukaranego miesięcznego wynagrodzenia i może zostać nałożona np., gdy kierownik:
- nie wykonuje obowiązków związanych z wpisem do wykazu podmiotów ważnych lub kluczowych,
- nie wdraża systemu zarządzania bezpieczeństwem informacji,
- nie odbył corocznego obowiązkowego szkolenia z zakresu cyberbezpieczeństwa,
- nie wykonuje obowiązków związanych z obsługą incydentów czy obowiązkowymi audytami.

Dalszy ciąg materiału pod wideo

Pora na działanie

Z uwagi na upływające terminy na dopełnienie nowych obowiązków, teraz jest ostatni moment na podjęcie kroków, które w przyszłości mogą zapobiec poważnym konsekwencjom prawnym i finansowym.

W pierwszej kolejności konieczne jest przeanalizowanie, czy dany podmiot podlega nowym regulacjom. NIS2 wprowadza system autoidentyfikacji, w związku z czym każda organizacja musi samodzielnie dokonać takiej weryfikacji. W przypadku pozytywnego wyniku do 3 października 2026 r. należy dokonać wpisu do wykazu podmiotów kluczowych i ważnych, a następnie jak najszybciej rozpocząć wdrożenie systemu zarządzania bezpieczeństwem informacji, zaczynając od ustalenia, które z dotychczas stosowanych środków pozostają aktualne, a gdzie wymagane są dalsze działania (tzw. audyt luki). Dostosowanie organizacji do nowych wymogów wymaga znacznego wysiłku organizacyjnego i technicznego, dlatego nie warto odkładać podjęcia działań na ostatnią chwilę.

Warto przy tym pamiętać, że podjęte kroki nie powinny ograniczać się wyłącznie do teorii. Brak wdrożenia odpowiednich zabezpieczeń niezależnie od odpowiedzialności finansowej czy prawnej może prowadzić do konsekwencji znacznie poważniejszych i trudniejszych do odwrócenia – utraty zaufania partnerów biznesowych czy utraty pozycji rynkowej wskutek dokonanego cyberataku.

Podstawa prawna:
1. Ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2026 r. poz. 20),
2. Ustawa z 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. 2026 poz. 252),
3. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (Dz.Urz.UE.L 2022 nr 333, str. 80).

Alicja Szyrner - Radca prawny, Associate w kancelarii KWKR

Źródło: INFOR

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Prawo
Renta rodzinna po 16. i 25. roku życia a kontynuowanie nauki - warunki, obowiązki, formalności, wyjaśnienia ZUS

Renta rodzinna przyznana uczniowi, który ukończył ostatnią klasę szkoły ponadpodstawowej i chce zakończyć swoją edukację przysługuje do końca sierpnia. Maturzyści, którzy zamierzają kontynuować naukę, mogą otrzymywać ją także za wrzesień, jeśli zostaną przyjęci na studia i dostarczą do ZUS-u odpowiednie zaświadczenie.

Czy list intencyjny to umowa przedwstępna?

Czym jest list intencyjny? Czy list intencyjny to umowa przedwstępna w prawie budowlanym? Co zawiera umowa przedwstępna o pracę? Artykuł prezentuje aktualne przepisy i odpowiedzi na ważne pytania.

Rozczarowani świadczeniem wspierającym. 1188 zł to prawie trzy razy mniej niż 3386 zł

Świadczenie pielęgnacyjne wynosi 3386 zł. Świadczenie wspierające w maksymalnej wysokości wynosi 4353 zł (95–100 punktów) oraz 3562 zł (90–94 punkty). Jak więc możliwe, że 3386 zł może być nawet trzy razy wyższe od świadczenia wspierającego? To możliwe, ponieważ najwięcej osób otrzymuje świadczenie wspierające przy wyniku 89 punktów lub mniej, a są to kwoty: 2375 zł, 1583 zł, 1188 zł i 792 zł. Czytelnik, którego list publikujemy, otrzymał 75 punktów i przysługuje mu 1188 zł. To zaledwie jedna trzecia kwoty świadczenia pielęgnacyjnego.

Ustawa frankowa już niedługo zacznie obowiązywać. Co się zmienia dla Frankowiczów? Kredytobiorcy w euro i dolarowi poza ochroną

Podpisaną przez Prezydenta RP w dniu 17 lipca 2026 r. ustawę dotyczącą postępowań frankowych oceniam ostrożnie pozytywnie. Nie dlatego, że rozwiązuje wszystkie problemy kredytobiorców, ale dlatego, że podczas prac parlamentarnych usunięto z niej przepisy, które mogły poważnie pogorszyć ich sytuację - pisze Karolina Pilawska, adwokat z Kancelarii Pilawska Zorski Adwokaci.

REKLAMA

Kiedy pracodawca ma prawo odmówić urlopu wypoczynkowego, a kiedy grozi mu za to grzywna do 60 tys. zł?

Od 8 lipca 2026 r. pracodawcy naruszający przepisy o urlopach wypoczynkowych muszą liczyć się z dwukrotnie wyższą grzywną. Za nieudzielenie pracownikowi przysługującego urlopu albo bezpodstawne obniżenie jego wymiaru grozi obecnie kara od 2 000 do 60 000 zł – wcześniej było to od 1 000 do 30 000 zł. Zmianę wprowadziła ustawa z 11 marca 2026 r. o zmianie ustawy o Państwowej Inspekcji Pracy oraz niektórych innych ustaw, która znowelizowała art. 282 § 1 Kodeksu pracy. Reforma zaostrzyła odpowiedzialność za wykroczenia przeciwko prawom pracownika, nie oznacza jednak, że każda odmowa urlopu jest niezgodna z prawem. Pracodawca może nie zaakceptować konkretnego terminu wypoczynku, ale nie może systematycznie blokować urlopu ani pozbawiać pracownika możliwości jego wykorzystania. Kiedy odmowa jest dopuszczalna, a kiedy może zakończyć się interwencją Państwowej Inspekcji Pracy i wysoką grzywną?

Sejm powołał Sylwię Gregorczyk-Abram na urząd RPO

Sejm powołał w piątek mec. Sylwię Gregorczyk-Abram na stanowisko Rzecznika Praw Obywatelskich. Za jej kandydaturą było 233 posłów. Aby kandydatka zgłoszona przez KO i Lewicę mogła objąć tę funkcję, zgodę musi jeszcze wyrazić Senat. Według premiera Donalda Tuska „z całą pewnością” uzyska to poparcie.

Wiek emerytalny kobiet w górę – 5 lat więcej pracy za nieposiadanie dzieci, czyli nowy wiek emerytalny jednakowy dla mężczyzn i bezdzietnych kobiet? „To są dobre, potrzebne zmiany”

W ostatnim czasie ponownie zawrzało na temat wieku emerytalnego kobiet – ministra funduszy i polityki regionalnej Katarzyna Pełczyńska-Nałęcz, przedstawiła propozycję zrównania wieku emerytalnego bezdzietnych kobiet i mężczyzn. „Jeżeli kobieta ma dzieci – to wtedy jest inny wiek emerytalny. A jeżeli nie ma dzieci, a dzisiaj co druga kobieta ma taki (najczęściej) wybór życiowy, że nie ma dzieci – to powinna mieć tak samo ustawiony system emerytalny jak mężczyźni.” Podobny postulat, od października 2025 r., znajduje się na biurku prezydenta Karola Nawrockiego. Czy kobiety, które nie posiadają dzieci, będą pracować 5 lat dłużej?

Wysyłanie skanu dowodu przez Internet pod lupą: klienci narażeni na kradzież danych

Wysyłanie skanu dowodu osobistego przez Internet to ryzykowna, ale powszechna praktyka wielu firm finansowych. Rzecznik Praw Obywatelskich uznał właśnie, że takie działanie narusza prawo do prywatności. Wystąpił do Generalnego Inspektora Informacji Finansowej z żądaniem pilnego ukrócenia tego procederu. Podpowiadamy, dlaczego to tak ważne dla twojego bezpieczeństwa i jak chronić dane z dowodu.

REKLAMA

Weto prezydenta Nawrockiego. Chodzi o ustawę o statusie osoby najbliższej

Prezydent Karol Nawrocki zawetował w piątek dwie rządowe ustawy dotyczące regulacji związków partnerskich – ustawę o statusie osoby najbliższej w związku i umowie o wspólnym pożyciu oraz przepisy ją wprowadzające. O swojej decyzji poinformowała Kancelaria Prezydenta.

Coś mocniejszego z rana? Dlaczego państwo powinno wreszcie poukładać politykę wobec alkoholu

Rosną koszty społeczno-ekonomiczne nadużywania alkoholu w Polsce. Zamiast dopłacać do szkód, państwo powinno aktywnie zajmować się profilaktyką. Polityka antyalkoholowa musi być kompleksowa i konsekwentna, nie może być zbiorem doraźnych, medialnie efektownych gestów.

Zapisz się na newsletter
Najlepsze artykuły, najpoczytniejsze tematy, zmiany w prawie i porady. Skoncentrowana dawka wiadomości z różnych kategorii: prawo, księgowość, kadry, biznes, nieruchomości, pieniądze, edukacja. Zapisz się na nasz newsletter i bądź zawsze na czasie.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

REKLAMA