REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Prawo » Wiadomości » NIS2 wprowadza osobistą odpowiedzialność kierownictwa nawet średnich firm. Za co konkretnie? Przepisy już weszły w życie

NIS2 wprowadza osobistą odpowiedzialność kierownictwa nawet średnich firm. Za co konkretnie? Przepisy już weszły w życie

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
29 kwietnia 2026, 14:09
KWKR Konieczny Wierzbicki i Partnerzy
KWKR Konieczny Wierzbicki i Partnerzy
Kancelaria prawna
NIS2 wprowadza osobistą odpowiedzialność kierownictwa nawet średnich firm. Za co konkretnie? Nowe przepisy już weszły w życie
NIS2 wprowadza osobistą odpowiedzialność kierownictwa nawet średnich firm. Za co konkretnie? Nowe przepisy już weszły w życie
Shutterstock

REKLAMA

REKLAMA

Dyrektywa NIS2 z prawie półtorarocznym opóźnieniem została zaimplementowana do polskiego systemu prawnego w formie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Ustawa z 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw weszła w życie 3 kwietnia 2026 r. Pierwsze obowiązki przedsiębiorcy będą musieli spełnić już do 3 października 2026 r.

rozwiń >

Rosnące zagrożenia cyfrowe – wyzwanie dla każdej firmy

Celem dyrektywy NIS2 jest wprowadzenie wspólnych unijnych standardów cyberbezpieczeństwa i jednoczesne podniesienie poziomu odporności na cyberzagrożenia, których liczba z roku na rok wzrasta.

W 2025 r. w CERT Polska zarejestrowano ponad 260 tysięcy unikalnych incydentów bezpieczeństwa, co stanowiło wzrost o aż 152% w stosunku do roku poprzedniego. 97% wszystkich incydentów stanowiły oszustwa komputerowe – najczęściej były to próby wyłudzania poufnych danych, fałszywe sklepy internetowe i oszustwa inwestycyjne. Kolejnymi najczęściej występującymi kategoriami zagrożeń były szkodliwe oprogramowanie oraz podatne usługi.

W raporcie europejskiej agencji ds. cyberbezpieczeństwa ENISA podsumowującym 2025 r. ujawniono, że 53,7% łącznej liczby incydentów dotyczyło podmiotów kluczowych w rozumieniu NIS2. Najczęstszymi ofiarami ataków były administracja publiczna (38,2%), sektor transportowy (7,5%), infrastruktura cyfrowa i usługi (4,8%) oraz finanse (4,5%).

Wskazane dane jednoznacznie potwierdzają, że przedsiębiorcy muszą jak najszybciej dostosować swoje organizacje do zmieniających się realiów i podjąć kroki w celu zabezpieczenia się przed cyberzagrożeniami. Brak realnych działań może skutkować zarówno stratami finansowymi, jak i wizerunkowymi.

REKLAMA

REKLAMA

Kogo dotyczy NIS2

W przeważającej większości przypadków podmiotami podlegającymi nowym obowiązkom będą co najmniej średni przedsiębiorcy (czyli organizacje zatrudniające powyżej 50 osób, których roczny obrót lub roczna suma bilansowa przekracza 10 mln EUR). Wyjątki dotyczą podmiotów działających w szczególnie wrażliwych sektorach, w tym dostawców usług zarządzanych w zakresie cyberbezpieczeństwa, dostawców usług DNS, kwalifikowanych dostawców usług zaufania, przedsiębiorców komunikacji elektronicznej czy inwestorów obiektu energetyki jądrowej. Podmioty te będą musiały sprostać nowym wymogom niezależnie od wielkości ich przedsiębiorstwa.

W tym kontekście warto pamiętać, że przy obliczaniu wielkości przedsiębiorstwa uwzględnia się również przedsiębiorstwa powiązane oraz partnerskie, a do osób zatrudnionych wlicza się nie tylko pracowników, ale także osoby wykonujące pracę na podstawie umowy agencyjnej, umowy zlecenia lub innej umowy o świadczenie usług, a także właścicieli oraz partnerów prowadzących regularną działalność w przedsiębiorstwie i czerpiących z niego korzyści finansowe.

Lista podmiotów, od których wymagana będzie szczególna dbałość w zakresie cyberbezpieczeństwa została mocno rozszerzona. Sektorami objętymi dyrektywą NIS2 są m.in. energetyka, transport, bankowość, ochrona zdrowia, zaopatrzenie w wodę pitną i jej dystrybucja, gospodarka ściekowa, infrastruktura cyfrowa (w tym dostawcy usług chmurowych), zarządzanie usługami ICT, usługi pocztowe oraz gospodarowanie odpadami.

Kierownik, czyli kto?

Co istotne, zgodnie z nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa odpowiedzialność za jej przestrzeganie ponosi nie tylko sam podmiot zobowiązany, lecz także jego kierownik. Takie rozwiązanie ma na celu zapewnienie, aby kadra zarządzająca traktowała kwestie cyberbezpieczeństwa z należytą powagą.

W przypadku osoby fizycznej prowadzącej jednoosobową działalność gospodarczą kierownikiem jest sam przedsiębiorca. W spółkach kapitałowych funkcję kierownika podmiotu pełnią członkowie zarządu. Natomiast w spółkach osobowych, które nie posiadają zarządu, za kierowników uznaje się wspólników prowadzących sprawy spółki lub komplementariuszy odpowiedzialnych za jej prowadzenie.

W szczególnych sytuacjach, tj. likwidacja, upadłość czy restrukturyzacja, kierownikiem może być również likwidator, syndyk, zarządca ustanowiony w postępowaniu restrukturyzacyjnym czy zarządca sukcesyjny.

Gdy kierownikiem podmiotu kluczowego lub podmiotu ważnego jest organ wieloosobowy i nie została wskazana osoba odpowiedzialna, odpowiedzialność ponosić będą wszyscy członkowie tego organu. Dlatego w przypadku wieloosobowych zarządów zalecane jest już teraz ustalenie podziałów obowiązków w tym zakresie.

Nowe obowiązki zarządzających

Kierownicy podmiotów kwalifikujących się pod wymagania NIS2 podlegają wielu nowym obowiązkom, takim jak:
- wpis do wykazu podmiotów kluczowych lub podmiotów ważnych wraz z jego aktualizacją;
- wdrożenie systemu zarządzania bezpieczeństwem informacji;
- zgłaszanie incydentów;
- przeprowadzanie okresowych audytów (podmioty kluczowe muszą co najmniej raz na 3 lata na własny koszt przeprowadzić audyt bezpieczeństwa systemu informacyjnego).

Co ważne, powierzenie niektórych lub wszystkich z tych obowiązków innej osobie nie zwalnia kierownictwa z odpowiedzialności.

Ponadto, podmioty objęte NIS2 są zobowiązane do edukowania swojego personelu w obszarze cyberbezpieczeństwa. Obowiązkowemu, corocznemu szkoleniu podlega również kierownictwo. Ma to zapewnić, że osoby odpowiedzialne za cyberbezpieczeństwo będą posiadać aktualną wiedzę i odpowiednie umiejętności. Brak szkolenia może skutkować nałożeniem kary administracyjnej.

Zadań z zakresu cyberbezpieczeństwa nie będą mogły wykonywać osoby skazane za przestępstwa przeciwko ochronie informacji (m.in. ujawnienie informacji niejawnych, nielegalne uzyskanie informacji, sabotaż komputerowy, zakłócanie sieci i systemów).

REKLAMA

Odpowiedzialność kierownictwa

Biorąc pod uwagę bardzo szeroki zakres zmian wprowadzanych wraz z nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa, ustawodawca zdecydował się odroczyć nakładanie kar pieniężnych do 3 kwietnia 2028 r.
Wyjątkiem od tej zasady będzie kara ekstraordynaryjna, która ma być stosowana tylko przy poważnych naruszeniach, tj. bezpośrednim i poważnym cyberzagrożeniu dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi, oraz zagrożeniu wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług. W takim wypadku kara może wynieść do 100 mln zł.

Niemałą rewolucję wprowadza osobista odpowiedzialność kierownictwa. Dotychczas kary finansowe ponosiły jedynie podmioty obowiązane. Osobista odpowiedzialność ma na celu zmotywowanie zarządzających do realnego zaangażowania się w tematykę cyberbezpieczeństwa w prowadzonych przez siebie podmiotach. Kara może wynieść do 300% otrzymywanego przez ukaranego miesięcznego wynagrodzenia i może zostać nałożona np., gdy kierownik:
- nie wykonuje obowiązków związanych z wpisem do wykazu podmiotów ważnych lub kluczowych,
- nie wdraża systemu zarządzania bezpieczeństwem informacji,
- nie odbył corocznego obowiązkowego szkolenia z zakresu cyberbezpieczeństwa,
- nie wykonuje obowiązków związanych z obsługą incydentów czy obowiązkowymi audytami.

Dalszy ciąg materiału pod wideo

Pora na działanie

Z uwagi na upływające terminy na dopełnienie nowych obowiązków, teraz jest ostatni moment na podjęcie kroków, które w przyszłości mogą zapobiec poważnym konsekwencjom prawnym i finansowym.

W pierwszej kolejności konieczne jest przeanalizowanie, czy dany podmiot podlega nowym regulacjom. NIS2 wprowadza system autoidentyfikacji, w związku z czym każda organizacja musi samodzielnie dokonać takiej weryfikacji. W przypadku pozytywnego wyniku do 3 października 2026 r. należy dokonać wpisu do wykazu podmiotów kluczowych i ważnych, a następnie jak najszybciej rozpocząć wdrożenie systemu zarządzania bezpieczeństwem informacji, zaczynając od ustalenia, które z dotychczas stosowanych środków pozostają aktualne, a gdzie wymagane są dalsze działania (tzw. audyt luki). Dostosowanie organizacji do nowych wymogów wymaga znacznego wysiłku organizacyjnego i technicznego, dlatego nie warto odkładać podjęcia działań na ostatnią chwilę.

Warto przy tym pamiętać, że podjęte kroki nie powinny ograniczać się wyłącznie do teorii. Brak wdrożenia odpowiednich zabezpieczeń niezależnie od odpowiedzialności finansowej czy prawnej może prowadzić do konsekwencji znacznie poważniejszych i trudniejszych do odwrócenia – utraty zaufania partnerów biznesowych czy utraty pozycji rynkowej wskutek dokonanego cyberataku.

Podstawa prawna:
1. Ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2026 r. poz. 20),
2. Ustawa z 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. 2026 poz. 252),
3. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (Dz.Urz.UE.L 2022 nr 333, str. 80).

Alicja Szyrner - Radca prawny, Associate w kancelarii KWKR

Zobacz również:
oprac. Paweł Huczko
Źródło: INFOR
Wersja do druku
Napisz do nas

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Prawo
AI wygeneruje hit, a Ty zapłacisz za pozew. Ukryte ryzyka muzyki tworzonej przez sztuczną inteligencję
18 maja 2026

Jeszcze kilka lat temu stworzenie profesjonalnie brzmiącego utworu wymagało studia nagraniowego, instrumentów, producenta i lat doświadczenia. Dziś wystarczy kilkanaście sekund, prosty opis wpisany do generatora AI i opłacona subskrypcja. Narzędzia i rozwiązania rozwijane przez największe firmy technologiczne sprawiły, że muzyka generowana przez sztuczną inteligencję stała się masowym produktem dostępnym praktycznie dla każdego.
Czy rodziny wielodzietne zyskają więcej praw? Nowe propozycje wymagają analiz
18 maja 2026

W Sejmie rozpoczęła się dyskusja na temat możliwości dodatkowego wsparcia rodzin wysoko wielodzietnych. Swoje propozycje przedstawił Związek Dużych Rodzin Trzy Plus. Jakie są argumenty za wprowadzeniem takich zmian?
Rzecznik MŚP postuluje wprowadzenie maksymalnej ceny detalicznej dla LPG
18 maja 2026

LPG nie jest objęty rozwiązaniami osłonowymi, co oznacza wyższe koszty prowadzenia działalności gospodarczej. Rzecznik MŚP skierowała do Ministra Finansów wystąpienie dotyczące objęcia LPG rozwiązaniami przewidzianymi w ramach pakietu „Ceny Paliwa Niżej”.
Nawet dla sędziów to skomplikowane. NSA o datach kluczowych dla niepełnosprawnych
18 maja 2026

Pozornie, to techniczny element prawa dla osób niepełnosprawnych – od jakiej daty przysługują im świadczenia? Wydawałoby się: prosta rzecz. Art. 24 ustawy o świadczeniach rodzinnych zawiera kilka prostych (na pozór reguł). W praktyce jednak dla ich zrozumienia potrzeba rozstrzygnięcia tak ważnego sądu jak NSA. Co więcej wcześniej sędziowie sądu I instancji sobie z tym nie radzą. Co mają więc powiedzieć osoby niepełnosprawne, urzędnicy w gminach i pracownicy MOPS, gdy nawet WSA popełnia tu błędy?

REKLAMA

Nowe obwieszczenie: Minister energii ustalił ceny paliwa na wtorek 19 maja. Ile zapłacimy za paliwo?
18 maja 2026

W najnowszym obwieszczeniu minister energii określił ceny benzyny i diesla na wtorek. Sprawdźmy, jaką maksymalną cenę za litr paliwa będą musieli zapłacić kierowcy w dniu 19 maja.
Co zrobić, by należna w przyszłości odprawa by wyższa? O potencjalną korzyść finansową w przyszłości trzeba zadbać już teraz
18 maja 2026

Czy to prawda, że pracownicy sektora prywatnego nie palą się do korzystania z przysługujących im nowych uprawnień? Sprawa nie jest tak oczywista, jak mogłyby sugerować liczby. Choć korzyści nie mają dużego wymiaru finansowego, mogą mieć istotne konsekwencje w przyszłości.
Nielegalna studnia? Możesz zapłacić 7500 zł. Skala kontroli systematycznie rośnie
18 maja 2026

Wody Polskie nakładają wielomilionowe kary za nielegalny pobór wód podziemnych. W tle narasta problem suszy, pogłębia się deficyt wody, a szara strefa nielegalnych odwiertów bez wymaganych pozwoleń rośnie. Tylko w latach 2025–2026 wydano tysiące decyzji administracyjnych, a najwyższa kara przekroczyła 760 tys. zł. Za niewłaściwe korzystanie ze studni grozi kara w wysokości od 1000 zł do 7500 zł.
Obniżyć czy utrzymać wiek emerytalny? Oto co myślą o tym Polacy
18 maja 2026

53,8 proc. badanych chce jakiejś formy zrównania wieku emerytalnego kobiet i mężczyzn, choć najczęściej respondenci chcą zrównania wieku w dół - wynika z sondażu IBRiS dla „Rz”.

REKLAMA

Sanatorium last minute dla seniorów: leczenie uzdrowiskowe ze zwrotów
18 maja 2026

Istnieje sposób, by rozpocząć leczenie uzdrowiskowe w niecałe dwa tygodnie zamiast czekać prawie rok. Poznaj mechanizm, o którym mało kto wie, a który pozwala legalnie „przeskoczyć” kolejkę po czyjejś rezygnacji – bez dodatkowych opłat i bez utraty przywilejów. W artykule piszemy o tym: komu przysługuje darmowe sanatorium, jakie są zasady korzystania z leczenia uzdrowiskowego oraz o tzw. sanatorium last minute dla seniorów, czyli leczenie uzdrowiskowe ze zwrotów.
Pracodawca zwolni pracownika, który często choruje. Sądy są zgodne – celem stosunku pracy nie jest utrzymywanie go, gdy nie może pracować
18 maja 2026

Czy częste nieobecności pracownika, np. takie wynikające z choroby, mogą uzasadniać rozwiązanie umowy o pracę? Sądy nie mają wątpliwości co do tego, jak powinien wyglądać stosunek pracy i co jest jego celem. Choć prawo pracy pełni funkcję ochronną wobec jego słabszej strony, to w wydawanych wyrokach kładzie się też nacisk na trudności, z którymi borykają się pracodawcy.
Zapisz się na newsletter
Najlepsze artykuły, najpoczytniejsze tematy, zmiany w prawie i porady. Skoncentrowana dawka wiadomości z różnych kategorii: prawo, księgowość, kadry, biznes, nieruchomości, pieniądze, edukacja. Zapisz się na nasz newsletter i bądź zawsze na czasie.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

REKLAMA