REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

NIS2 wprowadza osobistą odpowiedzialność kierownictwa nawet średnich firm. Za co konkretnie? Przepisy już weszły w życie

NIS2 wprowadza osobistą odpowiedzialność kierownictwa nawet średnich firm. Za co konkretnie? Nowe przepisy już weszły w życie
NIS2 wprowadza osobistą odpowiedzialność kierownictwa nawet średnich firm. Za co konkretnie? Nowe przepisy już weszły w życie
Shutterstock

REKLAMA

REKLAMA

Dyrektywa NIS2 z prawie półtorarocznym opóźnieniem została zaimplementowana do polskiego systemu prawnego w formie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Ustawa z 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw weszła w życie 3 kwietnia 2026 r. Pierwsze obowiązki przedsiębiorcy będą musieli spełnić już do 3 października 2026 r.

rozwiń >

Rosnące zagrożenia cyfrowe – wyzwanie dla każdej firmy

Celem dyrektywy NIS2 jest wprowadzenie wspólnych unijnych standardów cyberbezpieczeństwa i jednoczesne podniesienie poziomu odporności na cyberzagrożenia, których liczba z roku na rok wzrasta.

W 2025 r. w CERT Polska zarejestrowano ponad 260 tysięcy unikalnych incydentów bezpieczeństwa, co stanowiło wzrost o aż 152% w stosunku do roku poprzedniego. 97% wszystkich incydentów stanowiły oszustwa komputerowe – najczęściej były to próby wyłudzania poufnych danych, fałszywe sklepy internetowe i oszustwa inwestycyjne. Kolejnymi najczęściej występującymi kategoriami zagrożeń były szkodliwe oprogramowanie oraz podatne usługi.

W raporcie europejskiej agencji ds. cyberbezpieczeństwa ENISA podsumowującym 2025 r. ujawniono, że 53,7% łącznej liczby incydentów dotyczyło podmiotów kluczowych w rozumieniu NIS2. Najczęstszymi ofiarami ataków były administracja publiczna (38,2%), sektor transportowy (7,5%), infrastruktura cyfrowa i usługi (4,8%) oraz finanse (4,5%).

Wskazane dane jednoznacznie potwierdzają, że przedsiębiorcy muszą jak najszybciej dostosować swoje organizacje do zmieniających się realiów i podjąć kroki w celu zabezpieczenia się przed cyberzagrożeniami. Brak realnych działań może skutkować zarówno stratami finansowymi, jak i wizerunkowymi.

REKLAMA

REKLAMA

Kogo dotyczy NIS2

W przeważającej większości przypadków podmiotami podlegającymi nowym obowiązkom będą co najmniej średni przedsiębiorcy (czyli organizacje zatrudniające powyżej 50 osób, których roczny obrót lub roczna suma bilansowa przekracza 10 mln EUR). Wyjątki dotyczą podmiotów działających w szczególnie wrażliwych sektorach, w tym dostawców usług zarządzanych w zakresie cyberbezpieczeństwa, dostawców usług DNS, kwalifikowanych dostawców usług zaufania, przedsiębiorców komunikacji elektronicznej czy inwestorów obiektu energetyki jądrowej. Podmioty te będą musiały sprostać nowym wymogom niezależnie od wielkości ich przedsiębiorstwa.

W tym kontekście warto pamiętać, że przy obliczaniu wielkości przedsiębiorstwa uwzględnia się również przedsiębiorstwa powiązane oraz partnerskie, a do osób zatrudnionych wlicza się nie tylko pracowników, ale także osoby wykonujące pracę na podstawie umowy agencyjnej, umowy zlecenia lub innej umowy o świadczenie usług, a także właścicieli oraz partnerów prowadzących regularną działalność w przedsiębiorstwie i czerpiących z niego korzyści finansowe.

Lista podmiotów, od których wymagana będzie szczególna dbałość w zakresie cyberbezpieczeństwa została mocno rozszerzona. Sektorami objętymi dyrektywą NIS2 są m.in. energetyka, transport, bankowość, ochrona zdrowia, zaopatrzenie w wodę pitną i jej dystrybucja, gospodarka ściekowa, infrastruktura cyfrowa (w tym dostawcy usług chmurowych), zarządzanie usługami ICT, usługi pocztowe oraz gospodarowanie odpadami.

Kierownik, czyli kto?

Co istotne, zgodnie z nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa odpowiedzialność za jej przestrzeganie ponosi nie tylko sam podmiot zobowiązany, lecz także jego kierownik. Takie rozwiązanie ma na celu zapewnienie, aby kadra zarządzająca traktowała kwestie cyberbezpieczeństwa z należytą powagą.

W przypadku osoby fizycznej prowadzącej jednoosobową działalność gospodarczą kierownikiem jest sam przedsiębiorca. W spółkach kapitałowych funkcję kierownika podmiotu pełnią członkowie zarządu. Natomiast w spółkach osobowych, które nie posiadają zarządu, za kierowników uznaje się wspólników prowadzących sprawy spółki lub komplementariuszy odpowiedzialnych za jej prowadzenie.

W szczególnych sytuacjach, tj. likwidacja, upadłość czy restrukturyzacja, kierownikiem może być również likwidator, syndyk, zarządca ustanowiony w postępowaniu restrukturyzacyjnym czy zarządca sukcesyjny.

Gdy kierownikiem podmiotu kluczowego lub podmiotu ważnego jest organ wieloosobowy i nie została wskazana osoba odpowiedzialna, odpowiedzialność ponosić będą wszyscy członkowie tego organu. Dlatego w przypadku wieloosobowych zarządów zalecane jest już teraz ustalenie podziałów obowiązków w tym zakresie.

Nowe obowiązki zarządzających

Kierownicy podmiotów kwalifikujących się pod wymagania NIS2 podlegają wielu nowym obowiązkom, takim jak:
- wpis do wykazu podmiotów kluczowych lub podmiotów ważnych wraz z jego aktualizacją;
- wdrożenie systemu zarządzania bezpieczeństwem informacji;
- zgłaszanie incydentów;
- przeprowadzanie okresowych audytów (podmioty kluczowe muszą co najmniej raz na 3 lata na własny koszt przeprowadzić audyt bezpieczeństwa systemu informacyjnego).

Co ważne, powierzenie niektórych lub wszystkich z tych obowiązków innej osobie nie zwalnia kierownictwa z odpowiedzialności.

Ponadto, podmioty objęte NIS2 są zobowiązane do edukowania swojego personelu w obszarze cyberbezpieczeństwa. Obowiązkowemu, corocznemu szkoleniu podlega również kierownictwo. Ma to zapewnić, że osoby odpowiedzialne za cyberbezpieczeństwo będą posiadać aktualną wiedzę i odpowiednie umiejętności. Brak szkolenia może skutkować nałożeniem kary administracyjnej.

Zadań z zakresu cyberbezpieczeństwa nie będą mogły wykonywać osoby skazane za przestępstwa przeciwko ochronie informacji (m.in. ujawnienie informacji niejawnych, nielegalne uzyskanie informacji, sabotaż komputerowy, zakłócanie sieci i systemów).

REKLAMA

Odpowiedzialność kierownictwa

Biorąc pod uwagę bardzo szeroki zakres zmian wprowadzanych wraz z nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa, ustawodawca zdecydował się odroczyć nakładanie kar pieniężnych do 3 kwietnia 2028 r.
Wyjątkiem od tej zasady będzie kara ekstraordynaryjna, która ma być stosowana tylko przy poważnych naruszeniach, tj. bezpośrednim i poważnym cyberzagrożeniu dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi, oraz zagrożeniu wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług. W takim wypadku kara może wynieść do 100 mln zł.

Niemałą rewolucję wprowadza osobista odpowiedzialność kierownictwa. Dotychczas kary finansowe ponosiły jedynie podmioty obowiązane. Osobista odpowiedzialność ma na celu zmotywowanie zarządzających do realnego zaangażowania się w tematykę cyberbezpieczeństwa w prowadzonych przez siebie podmiotach. Kara może wynieść do 300% otrzymywanego przez ukaranego miesięcznego wynagrodzenia i może zostać nałożona np., gdy kierownik:
- nie wykonuje obowiązków związanych z wpisem do wykazu podmiotów ważnych lub kluczowych,
- nie wdraża systemu zarządzania bezpieczeństwem informacji,
- nie odbył corocznego obowiązkowego szkolenia z zakresu cyberbezpieczeństwa,
- nie wykonuje obowiązków związanych z obsługą incydentów czy obowiązkowymi audytami.

Dalszy ciąg materiału pod wideo

Pora na działanie

Z uwagi na upływające terminy na dopełnienie nowych obowiązków, teraz jest ostatni moment na podjęcie kroków, które w przyszłości mogą zapobiec poważnym konsekwencjom prawnym i finansowym.

W pierwszej kolejności konieczne jest przeanalizowanie, czy dany podmiot podlega nowym regulacjom. NIS2 wprowadza system autoidentyfikacji, w związku z czym każda organizacja musi samodzielnie dokonać takiej weryfikacji. W przypadku pozytywnego wyniku do 3 października 2026 r. należy dokonać wpisu do wykazu podmiotów kluczowych i ważnych, a następnie jak najszybciej rozpocząć wdrożenie systemu zarządzania bezpieczeństwem informacji, zaczynając od ustalenia, które z dotychczas stosowanych środków pozostają aktualne, a gdzie wymagane są dalsze działania (tzw. audyt luki). Dostosowanie organizacji do nowych wymogów wymaga znacznego wysiłku organizacyjnego i technicznego, dlatego nie warto odkładać podjęcia działań na ostatnią chwilę.

Warto przy tym pamiętać, że podjęte kroki nie powinny ograniczać się wyłącznie do teorii. Brak wdrożenia odpowiednich zabezpieczeń niezależnie od odpowiedzialności finansowej czy prawnej może prowadzić do konsekwencji znacznie poważniejszych i trudniejszych do odwrócenia – utraty zaufania partnerów biznesowych czy utraty pozycji rynkowej wskutek dokonanego cyberataku.

Podstawa prawna:
1. Ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2026 r. poz. 20),
2. Ustawa z 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. 2026 poz. 252),
3. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (Dz.Urz.UE.L 2022 nr 333, str. 80).

Alicja Szyrner - Radca prawny, Associate w kancelarii KWKR

Źródło: INFOR

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Prawo
Cyfrowe e-dyplomy obowiązkowe od 2027 roku. Papierowe tylko na wniosek. Co uczelnia musi zmienić w procedurach?

Od 30 czerwca 2026 roku podmioty wydające dyplomy mogą rejestrować dokumenty elektroniczne w Repozytorium Dyplomów Elektronicznych, które jest częścią systemu POL-on. Przez drugą połowę 2026 roku korzystanie z tego rozwiązania ma charakter dobrowolny. Od 1 stycznia 2027 roku wydawanie dyplomów elektronicznych jako podstawowego dokumentu poświadczającego uzyskany stopień lub tytuł stanie się obowiązkowe. Dla absolwentów oznacza to łatwiejszy dostęp do dokumentu, możliwość zdalnego pobrania dyplomu oraz jego szybkiej weryfikacji. Dla uczelni zmiana jest jednak dużo głębsza niż przejście z papieru na format cyfrowy. E-dyplom jest efektem całego łańcucha działań: od jakości danych w systemach uczelni, przez poprawność informacji w POL-onie, aż po podpisy, konfiguracje, role użytkowników, suplementy, odpisy i obsługę sytuacji niestandardowych. Dlatego wdrożenie e-dyplomów warto potraktować nie jako zadanie wyłącznie techniczne, lecz sprawdzian gotowości organizacyjnej uczelni. Jeśli w danych, procedurach albo odpowiedzialności pojawią się luki, repozytorium ich nie ukryje. Przeciwnie - cyfrowy proces może je ujawnić dokładnie w momencie, w którym absolwent będzie czekał na gotowy dokument.

Czy WIBOR poprawnie mierzy cenę pieniądza? Nie jest tak, że liczba transakcji nie ma znaczenia dla jakości WIBOR-u [Polemika]

W artykule „Dlaczego liczba transakcji na rynku międzybankowym nie przesądza o wiarygodności i jakości WIBOR-u” opublikowanym 16 czerwca 2026 r. na infor.pl Marcin Bartczak i Marek Trzos-Rastawiecki bronią WIBOR-u, opierając się na eleganckim rozróżnieniu pojęciowym. Ich zdaniem krytycy wskaźnika mieszają dwie różne kategorie: aktywność rynku, czyli liczbę transakcji, oraz cenę pieniądza, czyli przedmiot pomiaru. WIBOR - jak argumentują Autorzy - jest wskaźnikiem stopy procentowej, a więc ma mierzyć cenę, nie wolumen. Skoro cena pieniądza jest „zakotwiczona” w stopach NBP, to niewielka liczba depozytów międzybankowych nie podważa wiarygodności wskaźnika. Zliczanie transakcji jako test jakości WIBOR-u ma być więc „błędem kategorialnym”. Samo rozróżnienie jest trafne. Wniosek już nie – pisze Krzysztof Szymański.

Co zrobić z umowami B2B przed 8 lipca 2026 r. aby uniknąć represji podatkowo-składkowych? Prof. Modzelewski: warto rozważyć rozwiązanie tych umów i zawarcie na nowych zasadach

PIP zacznie od 8 lipca 2026 r. przekształcać umowy cywilnoprawne z samozatrudnionymi (umowy B2B) w umowy o pracę. Prof. dr hab. Witold Modzelewski wskazuje pewną możliwość złagodzenia prawdopodobnych represji podatkowo-składkowych po wejściu w życie nowych przepisów. Otóż decyzja „przekształcenia” nie ma formalnie mocy wstecznej i może dotyczyć (podobnie jak powództwo) umów wykonywanych w dniu wejścia w życie tej nowelizacji. Czyli można przed tą datą rozwiązać istniejące umowy B2B do tego dnia i zawrzeć je na nowych zasadach. Bo decyzja Okręgowego Inspektora Pracy nie może dotyczyć umów rozwiązanych przed 8 lipca 2026 r.

3 lipca Sejm uchwalił: Zakaz komórek, lex szarlatan, OKI, vouchery

Posłowie mieli pracowity piątek. Dziś Sejm uchwalił ważne zmiany w prawie. Ustawa o Osobistych Kontach Inwestycyjnych zakłada, że aktywa inwestycyjne na koncie będą zwolnione z tzw. podatku Belki do kwoty 100 tys. zł, a aktywa oszczędnościowe - do 25 tys. zł. Nowelizacja ustawy – Prawo oświatowe wprowadza zakaz korzystania z m.in. telefonów komórkowych w szkołach podstawowych i przedszkolach od 1 września 2026 r. Nowelizacja ustawy o imprezach turystycznych i powiązanych usługach turystycznych wprowadza mechanizm umożliwiający zaproponowanie podróżnemu przez organizatora turystyki vouchera na realizację imprezy turystycznej w przyszłości, tj. w okresie do dwóch lat od dnia przyjęcia vouchera.

REKLAMA

300 plus 2026 - zmiany. Jak złożyć wniosek o 300 zł na wyprawkę szkolną w roku 2026/2027?

300 plus w 2026 roku - jakie zmiany weszły w życie? Jak złożyć wniosek o 300 zł na wyprawkę szkolną w kolejnym roku szkolnym 2026/2027? Kto nie musi już spełniać warunku aktywności zawodowej, by uzyskać świadczenie z ZUS?

Jest unijny zakaz zgrzewek dla np. wody mineralnej. Ale nie od 12 VIII 2026 r. Od 1 stycznia 2030 r. Nie będzie zakazu, o ile zgrzewki są niezbędna do usprawnienia procesu postępowania z produktami

Zauważyłem w mediach społecznościowych sporo postów błędnie informujących o tym, że zgrzewki z np. wodą mineralną, będą zakazane na terenie całej UE od 12 sierpnia 2026 r. To nie teoria spiskowa - rzeczywiście są przepisy które ich zakazują. Internauci mylą się jednak co do daty. Prawdziwa data dla zakazu to 1 styczeń 2030 r. Przy czym prawo UE nie zawsze nazywa to zakazem - posługuje się też zwrotem "Ograniczenie w stosowaniu opakowań". Co ma być zamiast zgrzewek? Po prostu będziemy kupowali wodę mineralną 1,5 litra pojedynczo wkładając do koszyka w sklepie jako "butelka po butelce". Do tego się przyzwyczaimy (jeżeli UE nie wycofa nowego prawa). Gorzej z drogą wody mineralnej od rozlewni, przez ciężarówki, magazyny i centra logistyczne. Tam podstawą jest zgrzewka. Rezygnacja z niej to koszty inwestycji - zapłacimy za nie jako konsumenci.

Rolnicy chcą tysięcy złotych od hektara. Za 2024 r. było nawet 3000 zł. Susza pustoszy pola

Ministerstwo Rolnictwa uruchomiło aplikację suszową i producenci rolni mogą już składać wnioski o oszacowanie strat powstałych w wyniku wystąpienia suszy. To pierwszy etap w staraniu się o pomoc w związku z suszą w 2026 r.

Większe pieniądze dla osób z niepełnosprawnością w 2026 roku. Sprawdź nowe kwoty

Wielu Polaków posiada orzeczenie o stopniu niepełnosprawności, ale nie ma pojęcia, jak potężne daje ono możliwości. Przepisy w 2026 roku otwierają drzwi do realnego wsparcia finansowego, ogromnych ulg w podróżach oraz dodatkowych dni wolnych od pracy. Co ważne, zyskać mogą nie tylko osoby ze znacznym stopniem, ale także te z umiarkowanym i lekkim.

REKLAMA

Jak dla seniorów i OzN zmieni się pomoc społeczna od sierpnia 2026? Mówi się o nowym Kodeksie Opieki w Domu

Ministerstwo Rodziny, Pracy i Polityki Społecznej ogłosiło projekt rozporządzenia, które ma postawić sprawę usług opiekuńczych w kraju na twardych fundamentach. Zamiast dotychczasowych ogólników, pojawią się konkretne zakresy obowiązków, zasady bezpieczeństwa dla podopiecznych oraz rygorystyczne kontrole. Czy te przepisy przyniosą stabilizację w sektorze opieki długoterminowej i czy poradzą sobie z nimi lokalne urzędy? Analizujemy założenia proponowanych zmian, które miałyby obowiązywać już od sierpnia 2026 r.

Unikalna przyroda Cypla Helskiego na razie uratowana – decyzja Samorządowego Kolegium Odwoławczego

Decyzją z dnia 25 czerwca 2026 r. Samorządowe Kolegium Odwoławcze w Gdańsku w stwierdziło nieważność decyzji środowiskowej Burmistrza Helu z 2020 roku umożliwiającej budowę centrum zdrowotnego, apartamentowca oraz garażu podziemnego wraz z infrastrukturą towarzyszącą, jako wydanej z rażącym naruszeniem prawa. To efekt zaangażowania obrońców przyrody i mieszkańców. Co się wydarzyło?

Zapisz się na newsletter
Najlepsze artykuły, najpoczytniejsze tematy, zmiany w prawie i porady. Skoncentrowana dawka wiadomości z różnych kategorii: prawo, księgowość, kadry, biznes, nieruchomości, pieniądze, edukacja. Zapisz się na nasz newsletter i bądź zawsze na czasie.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

REKLAMA