NIS2 wprowadza osobistą odpowiedzialność kierownictwa nawet średnich firm. Za co konkretnie? Przepisy już weszły w życie

29 kwi 2026
KWKR Konieczny Wierzbicki i Partnerzy
Kancelaria prawna
rozwiń więcej
NIS2 wprowadza osobistą odpowiedzialność kierownictwa nawet średnich firm. Za co konkretnie? Nowe przepisy już weszły w życie / Shutterstock

Dyrektywa NIS2 z prawie półtorarocznym opóźnieniem została zaimplementowana do polskiego systemu prawnego w formie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Ustawa z 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw weszła w życie 3 kwietnia 2026 r. Pierwsze obowiązki przedsiębiorcy będą musieli spełnić już do 3 października 2026 r.

rozwiń >

Rosnące zagrożenia cyfrowe – wyzwanie dla każdej firmy

Celem dyrektywy NIS2 jest wprowadzenie wspólnych unijnych standardów cyberbezpieczeństwa i jednoczesne podniesienie poziomu odporności na cyberzagrożenia, których liczba z roku na rok wzrasta.

W 2025 r. w CERT Polska zarejestrowano ponad 260 tysięcy unikalnych incydentów bezpieczeństwa, co stanowiło wzrost o aż 152% w stosunku do roku poprzedniego. 97% wszystkich incydentów stanowiły oszustwa komputerowe – najczęściej były to próby wyłudzania poufnych danych, fałszywe sklepy internetowe i oszustwa inwestycyjne. Kolejnymi najczęściej występującymi kategoriami zagrożeń były szkodliwe oprogramowanie oraz podatne usługi.

W raporcie europejskiej agencji ds. cyberbezpieczeństwa ENISA podsumowującym 2025 r. ujawniono, że 53,7% łącznej liczby incydentów dotyczyło podmiotów kluczowych w rozumieniu NIS2. Najczęstszymi ofiarami ataków były administracja publiczna (38,2%), sektor transportowy (7,5%), infrastruktura cyfrowa i usługi (4,8%) oraz finanse (4,5%).

Wskazane dane jednoznacznie potwierdzają, że przedsiębiorcy muszą jak najszybciej dostosować swoje organizacje do zmieniających się realiów i podjąć kroki w celu zabezpieczenia się przed cyberzagrożeniami. Brak realnych działań może skutkować zarówno stratami finansowymi, jak i wizerunkowymi.

Kogo dotyczy NIS2

W przeważającej większości przypadków podmiotami podlegającymi nowym obowiązkom będą co najmniej średni przedsiębiorcy (czyli organizacje zatrudniające powyżej 50 osób, których roczny obrót lub roczna suma bilansowa przekracza 10 mln EUR). Wyjątki dotyczą podmiotów działających w szczególnie wrażliwych sektorach, w tym dostawców usług zarządzanych w zakresie cyberbezpieczeństwa, dostawców usług DNS, kwalifikowanych dostawców usług zaufania, przedsiębiorców komunikacji elektronicznej czy inwestorów obiektu energetyki jądrowej. Podmioty te będą musiały sprostać nowym wymogom niezależnie od wielkości ich przedsiębiorstwa.

W tym kontekście warto pamiętać, że przy obliczaniu wielkości przedsiębiorstwa uwzględnia się również przedsiębiorstwa powiązane oraz partnerskie, a do osób zatrudnionych wlicza się nie tylko pracowników, ale także osoby wykonujące pracę na podstawie umowy agencyjnej, umowy zlecenia lub innej umowy o świadczenie usług, a także właścicieli oraz partnerów prowadzących regularną działalność w przedsiębiorstwie i czerpiących z niego korzyści finansowe.

Lista podmiotów, od których wymagana będzie szczególna dbałość w zakresie cyberbezpieczeństwa została mocno rozszerzona. Sektorami objętymi dyrektywą NIS2 są m.in. energetyka, transport, bankowość, ochrona zdrowia, zaopatrzenie w wodę pitną i jej dystrybucja, gospodarka ściekowa, infrastruktura cyfrowa (w tym dostawcy usług chmurowych), zarządzanie usługami ICT, usługi pocztowe oraz gospodarowanie odpadami.

Kierownik, czyli kto?

Co istotne, zgodnie z nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa odpowiedzialność za jej przestrzeganie ponosi nie tylko sam podmiot zobowiązany, lecz także jego kierownik. Takie rozwiązanie ma na celu zapewnienie, aby kadra zarządzająca traktowała kwestie cyberbezpieczeństwa z należytą powagą.

W przypadku osoby fizycznej prowadzącej jednoosobową działalność gospodarczą kierownikiem jest sam przedsiębiorca. W spółkach kapitałowych funkcję kierownika podmiotu pełnią członkowie zarządu. Natomiast w spółkach osobowych, które nie posiadają zarządu, za kierowników uznaje się wspólników prowadzących sprawy spółki lub komplementariuszy odpowiedzialnych za jej prowadzenie.

W szczególnych sytuacjach, tj. likwidacja, upadłość czy restrukturyzacja, kierownikiem może być również likwidator, syndyk, zarządca ustanowiony w postępowaniu restrukturyzacyjnym czy zarządca sukcesyjny.

Gdy kierownikiem podmiotu kluczowego lub podmiotu ważnego jest organ wieloosobowy i nie została wskazana osoba odpowiedzialna, odpowiedzialność ponosić będą wszyscy członkowie tego organu. Dlatego w przypadku wieloosobowych zarządów zalecane jest już teraz ustalenie podziałów obowiązków w tym zakresie.

Nowe obowiązki zarządzających

Kierownicy podmiotów kwalifikujących się pod wymagania NIS2 podlegają wielu nowym obowiązkom, takim jak:
- wpis do wykazu podmiotów kluczowych lub podmiotów ważnych wraz z jego aktualizacją;
- wdrożenie systemu zarządzania bezpieczeństwem informacji;
- zgłaszanie incydentów;
- przeprowadzanie okresowych audytów (podmioty kluczowe muszą co najmniej raz na 3 lata na własny koszt przeprowadzić audyt bezpieczeństwa systemu informacyjnego).

Co ważne, powierzenie niektórych lub wszystkich z tych obowiązków innej osobie nie zwalnia kierownictwa z odpowiedzialności.

Ponadto, podmioty objęte NIS2 są zobowiązane do edukowania swojego personelu w obszarze cyberbezpieczeństwa. Obowiązkowemu, corocznemu szkoleniu podlega również kierownictwo. Ma to zapewnić, że osoby odpowiedzialne za cyberbezpieczeństwo będą posiadać aktualną wiedzę i odpowiednie umiejętności. Brak szkolenia może skutkować nałożeniem kary administracyjnej.

Zadań z zakresu cyberbezpieczeństwa nie będą mogły wykonywać osoby skazane za przestępstwa przeciwko ochronie informacji (m.in. ujawnienie informacji niejawnych, nielegalne uzyskanie informacji, sabotaż komputerowy, zakłócanie sieci i systemów).

Odpowiedzialność kierownictwa

Biorąc pod uwagę bardzo szeroki zakres zmian wprowadzanych wraz z nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa, ustawodawca zdecydował się odroczyć nakładanie kar pieniężnych do 3 kwietnia 2028 r.
Wyjątkiem od tej zasady będzie kara ekstraordynaryjna, która ma być stosowana tylko przy poważnych naruszeniach, tj. bezpośrednim i poważnym cyberzagrożeniu dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi, oraz zagrożeniu wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług. W takim wypadku kara może wynieść do 100 mln zł.

Niemałą rewolucję wprowadza osobista odpowiedzialność kierownictwa. Dotychczas kary finansowe ponosiły jedynie podmioty obowiązane. Osobista odpowiedzialność ma na celu zmotywowanie zarządzających do realnego zaangażowania się w tematykę cyberbezpieczeństwa w prowadzonych przez siebie podmiotach. Kara może wynieść do 300% otrzymywanego przez ukaranego miesięcznego wynagrodzenia i może zostać nałożona np., gdy kierownik:
- nie wykonuje obowiązków związanych z wpisem do wykazu podmiotów ważnych lub kluczowych,
- nie wdraża systemu zarządzania bezpieczeństwem informacji,
- nie odbył corocznego obowiązkowego szkolenia z zakresu cyberbezpieczeństwa,
- nie wykonuje obowiązków związanych z obsługą incydentów czy obowiązkowymi audytami.

Pora na działanie

Z uwagi na upływające terminy na dopełnienie nowych obowiązków, teraz jest ostatni moment na podjęcie kroków, które w przyszłości mogą zapobiec poważnym konsekwencjom prawnym i finansowym.

W pierwszej kolejności konieczne jest przeanalizowanie, czy dany podmiot podlega nowym regulacjom. NIS2 wprowadza system autoidentyfikacji, w związku z czym każda organizacja musi samodzielnie dokonać takiej weryfikacji. W przypadku pozytywnego wyniku do 3 października 2026 r. należy dokonać wpisu do wykazu podmiotów kluczowych i ważnych, a następnie jak najszybciej rozpocząć wdrożenie systemu zarządzania bezpieczeństwem informacji, zaczynając od ustalenia, które z dotychczas stosowanych środków pozostają aktualne, a gdzie wymagane są dalsze działania (tzw. audyt luki). Dostosowanie organizacji do nowych wymogów wymaga znacznego wysiłku organizacyjnego i technicznego, dlatego nie warto odkładać podjęcia działań na ostatnią chwilę.

Warto przy tym pamiętać, że podjęte kroki nie powinny ograniczać się wyłącznie do teorii. Brak wdrożenia odpowiednich zabezpieczeń niezależnie od odpowiedzialności finansowej czy prawnej może prowadzić do konsekwencji znacznie poważniejszych i trudniejszych do odwrócenia – utraty zaufania partnerów biznesowych czy utraty pozycji rynkowej wskutek dokonanego cyberataku.

Podstawa prawna:
1. Ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2026 r. poz. 20),
2. Ustawa z 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. 2026 poz. 252),
3. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (Dz.Urz.UE.L 2022 nr 333, str. 80).

Alicja Szyrner - Radca prawny, Associate w kancelarii KWKR

Zobacz również:
oprac. Paweł Huczko
rozwiń więcej
Prawo
Zesłanie Ducha Świętego. Jedno z najważniejszych świąt w Kościele katolickim
24 maja 2026

Pięćdziesiąt dni po Zmartwychwstaniu Chrystusa Kościół katolicki obchodzi uroczystość Zesłania Ducha Świętego, nazywaną Zielonymi Świątkami. To jedno z najważniejszych świąt chrześcijańskich upamiętnia zesłanie Ducha Świętego na apostołów i symbolicznie kończy okres wielkanocny.

Żywopłot maksymalnie 2,2 metra? MRiT prostuje: Prawo budowlane nie reguluje kwestii żywopłotów i wysokości roślinności. A sądy drobiazgowo analizują zacienienie
24 maja 2026

Ministerstwo Rozwoju i Technologii informuje, że przepisy Prawa budowlanego nie regulują kwestii dotyczących roślin, nasadzeń i żywopłotów, w tym wysokości roślinności rosnącej na terenie nieruchomości, odległości roślinności od budynków, obiektów budowlanych, czy granic nieruchomości. Zaś wyroki sądów na podstawie art. 144 kodeksu cywilnego są bardzo różne. W niektórych sytuacjach faktycznych sąd uznawał, że trzeba przyciąć żywopłot do wysokości 2 m, a w innych przypadkach nawet rośliny o wysokości ponad 6 metrów były dla sądu akceptowalne. A zatem nieprawdziwe są pojawiające się w przestrzeni medialnej informacje (powołujące się m.in. na te przepisy), że dopuszczalna wysokość żywopłotu, to 2,2 metra.

Urlop wypoczynkowy w 2026 r. - kiedy i komu przysługuje (aktualne zasady). Wymiar, udzielanie, odwoływanie, staż pracy a urlop i inne przypadki
23 maja 2026

Urlop wypoczynkowy jest jednym z podstawowych uprawnień pracownika zatrudnionego na podstawie umowy o pracę. Ma on charakter coroczny, płatny i niezbywalny, co oznacza, że pracownik nie może się go zrzec, a pracodawca ma obowiązek prawidłowo go udzielać. Naruszenie przepisów urlopowych, w szczególności nieudzielenie pracownikowi przysługującego urlopu, może skutkować odpowiedzialnością wykroczeniową pracodawcy i karą grzywny. Jakie zasady udzielania i wykorzystywania urlopu wypoczynkowego obowiązują w 2026 roku?

Małżonkowie w sanatorium często w oddzielnych pokojach. Czy jest szansa na zmiany?
22 maja 2026

Resort zdrowia przypomina, iż NFZ nie decyduje o przydziale pokoi. Z kolei sanatorium nie ma obowiązku zapewnienia pokoju wspólnego. Jakie są aktualne przepisy i możliwości ich zmiany?

Jakie ceny paliwa w weekend? Minister energii ustalił ceny benzyny i diesla
22 maja 2026

Wiadomo już, jakie ceny benzyny i oleju napędowego będą obowiązywać w weekend i poniedziałek. Zadowoleni będą wszyscy z wyjątkiem ministra finansów. Sprawdzamy, ile maksymalnie kierowcy zapłacą za paliwo na stacjach benzynowych w dniach od 23 do 25 maja.

Edukacja zdrowotna obowiązkowa i z oceną wliczaną do średniej [Projekt rozporządzenia]
22 maja 2026

Projekt rozporządzenia został złożony w Rządowym Centrum Legislacyjnym i przewiduje, że edukacja zdrowotna będzie przedmiotem obowiązkowym oraz z oceną wliczaną do średniej. Jednocześnie z edukacji zdrowotnej zostały "wyjęte" zagadnienia edukacji seksualnej i zebrane w osobny przedmiot. Ten jest fakultatywny.

Dzisiaj 22 maja Noc Otwartych Sądów, a 23 maja - Międzynarodowy Dzień Wymiaru Sprawiedliwości
22 maja 2026

Międzynarodowy Dzień Wymiaru Sprawiedliwości obchodzony jest co roku 23 maja, w rocznicę śmierci włoskiego sędziego Giovanniego Falcone, który w 1992 roku zginął w zamachu mafijnym. MS w Warszawie 23 maja 2026 organizuje darmowe wydarzenie edukacyjne na dziedzińcu przy Al. Ujazdowskich 11. Dzień wcześniej, 22 maja, odbędzie się „Noc Otwartych Sądów" w całej Polsce.

Ministerstwo Cyfryzacji: Mobilną aplikację mObywatel można łatwo aktywować e-dowodem
22 maja 2026

Mobilna aplikacja mObywatel to bezpłatne narzędzie, które można pobrać na smartfon za pośrednictwem Google Play i App Store. Aplikacja jest stale rozwijana. Od niedawna może być aktywowana za pomocą e-dowodu. Użytkownicy mObywatela mogą także skorzystać z usługi Księgi wieczyste.

Kradzież PESEL-u budzi strach. Ale wielu nie wie, jak reagować
22 maja 2026

16 proc. Polaków przyznało, że nie wie, jak zareagować w przypadku kradzieży lub wyłudzenia numeru PESEL - wynika z badania ChronPESEL.pl i Krajowego Rejestru Długów. Częściej deklarowały to osoby w wieku 18-24 lata niż seniorzy, którzy rzadziej mają do czynienia z technologią.

Adwokat w sprawach rodzinnych. Interdyscyplinarność to konieczność [Wywiad]
22 maja 2026

„Interdyscyplinarność niejako chroni przed wąskim spojrzeniem na problem, bo często okazuje się, że prosta z pozoru sprawa, jaka do nas trafia może mieć bardzo złożone podłoże” – przekonuje adwokat Katarzyna Wróbel-Koczułap.

pokaż więcej
Proszę czekać...