Najważniejsza zmiana, jaką nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (Dz.U. 2026 poz. 20 t.j., zmiana z 23 stycznia 2026 r. Dz.U. 2026 poz. 252) wprowadziła w architekturze odpowiedzialności, dotyczy zarządu. Dyrektywa 2022/2555 (NIS2) w art. 20 zobowiązała organy zarządzające podmiotów kluczowych i ważnych do zatwierdzania środków zarządzania ryzykiem w cyberbezpieczeństwie i nadzorowania ich wdrożenia — polski ustawodawca tę zasadę zaostrzył, wprowadzając wprost osobistą odpowiedzialność kierownika z art. 8c KSC. Od 3 kwietnia 2026 r. cyberbezpieczeństwo przestaje być tematem „CISO i działu IT". Ustawa wprost obciąża kierownika podmiotu kluczowego lub ważnego osobistą odpowiedzialnością za wykonywanie obowiązków cybersec — z wymiernymi sankcjami, których nie można ani uniknąć, ani delegować, ani ubezpieczyć. W tym wpisie tłumaczymy, jak działa art. 8c, art. 8d, art. 8e i art. 8f KSC oraz jakie konkretne ruchy musi wykonać każdy zarząd w 2026 roku.

Kim jest „kierownik podmiotu kluczowego lub ważnego"?

Art. 2 pkt 8a KSC odsyła do art. 3 ust. 1 pkt 6 ustawy z dnia 29 września 1994 r. o rachunkowości. Pojęcie „kierownika jednostki" oznacza osobę kierującą podmiotem — w praktyce:

  • w spółce z ograniczoną odpowiedzialnością i spółce akcyjnej — zarząd (cały, jako organ);
  • w jednoosobowej działalności gospodarczej — przedsiębiorcę;
  • w spółkach osobowych (jawnej, partnerskiej, komandytowej) — wspólników prowadzących sprawy spółki;
  • w fundacji, stowarzyszeniu — zarząd jednostki;
  • w jednostce sektora finansów publicznych — kierownika jednostki, o którym mowa w art. 53 ust. 1 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych.

Co kluczowe — art. 8c ust. 2 KSC stanowi, że w przypadku gdy kierownikiem podmiotu kluczowego lub ważnego jest organ wieloosobowy i nie została wskazana osoba odpowiedzialna, odpowiedzialność ponoszą wszyscy członkowie tego organu. Zarząd 5-osobowy, w którym nie wskazano osoby odpowiedzialnej za cyberbezpieczeństwo? Wszyscy pięcioro odpowiadają solidarnie za każdy z obowiązków wymienionych w art. 8c ust. 1.

Zarząd może wskazać jedną osobę spośród siebie jako odpowiedzialną — to dopuszczalne (np. członka zarządu ds. operacyjnych albo CIO siedzącego w zarządzie). Ale art. 8c ust. 3 KSC od razu zastrzega: kierownik ponosi odpowiedzialność także wtedy, gdy niektóre z obowiązków albo wszystkie obowiązki zostały powierzone innej osobie za jej zgodą. Innymi słowy — delegowanie do CISO, do dyrektora działu IT albo do zewnętrznego konsultanta nie zwalnia kierownika z odpowiedzialności wobec organu nadzorczego.

Co konkretnie odpowiada kierownik? Lista art. 8c ust. 1 KSC

Art. 8c ust. 1 KSC wymienia konkretny katalog obowiązków, za których wykonanie kierownik podmiotu kluczowego lub ważnego ponosi odpowiedzialność:

  • art. 7b ust. 4 KSC — uzupełnienie danych w wykazie po wpisie z urzędu;
  • art. 7c KSC — złożenie wniosku o wpis do wykazu, o zmianę i wykreślenie;
  • art. 7f ust. 3 KSC — wniosek o wykreślenie z wykazu;
  • art. 8 KSCsystem zarządzania bezpieczeństwem informacji (14 obszarów);
  • art. 8d KSC — własne zadania kierownika (5 obowiązków, omawiane poniżej);
  • art. 8e KSC — coroczne, udokumentowane szkolenie kierownika i osoby delegowanej;
  • art. 8f ust. 1 i 2 KSC — wymóg niekaralności osób realizujących zadania cybersec;
  • art. 9–12b KSC — osoby kontaktowe, system zgłaszania incydentów, raportowanie;
  • art. 14 KSC — wewnętrzne struktury cybersec lub umowa z dostawcą usług zarządzanych;
  • art. 15 KSC — audyt bezpieczeństwa.

Innymi słowy — praktycznie cały rozdział 3 ustawy obarcza kierownika osobiście, niezależnie od tego, kto fizycznie te zadania wykonuje w organizacji.

Pięć zadań własnych kierownika z art. 8d KSC

Art. 8d KSC nakłada na kierownika podmiotu kluczowego lub ważnego pięć konkretnych obowiązków, które są jego osobistymi zadaniami (nie da się ich w pełni przenieść na CISO):

  1. Podejmuje decyzje w zakresie przygotowania, wdrażania, stosowania, przeglądu i nadzoru systemu zarządzania bezpieczeństwem informacji w podmiocie. To rola decyzyjna — formalne akceptowanie polityki bezpieczeństwa, struktury organizacyjnej, ram zarządzania ryzykiem.
  2. Planuje adekwatne środki finansowe na realizację obowiązków z zakresu cyberbezpieczeństwa. To znaczy: budżet cyber jest pozycją w budżecie zarządu, nie tematem „przy okazji" w pozycji IT-OPEX.
  3. Przydziela zadania z zakresu cyberbezpieczeństwa w podmiocie i nadzoruje ich wykonanie. Powołanie CISO, wyznaczenie osób kontaktowych z art. 9, decyzja o outsourcingu z art. 14 — wszystko to jest w gestii kierownika.
  4. Zapewnia świadomość personelu o obowiązkach cybersec i wewnętrznych regulacjach. Program szkoleń, polityki, materiały edukacyjne — wszystko to musi mieć formalne wsparcie zarządu.
  5. Zapewnia zgodność działania podmiotu z przepisami prawa i wewnętrznymi regulacjami w zakresie cybersec.

Z naszego doświadczenia punkty 1, 3 i 4 są realizowane stosunkowo łatwo (decyzje formalne, akceptacje, podpisy), natomiast punkty 2 (budżet) i 5 (zgodność) wymagają realnej zmiany sposobu pracy zarządu. Cyberbezpieczeństwo musi się pojawić na regularnym posiedzeniu zarządu, podobnie jak finanse czy sprzedaż.

Coroczne szkolenie kierownika — art. 8e KSC

Art. 8e KSC wprowadza obowiązek szkolenia, który jest jednym z najczęściej omawianych elementów nowelizacji. Trzy ustępy artykułu są bardzo precyzyjne:

  • Art. 8e ust. 1 KSC: „Kierownik podmiotu kluczowego lub podmiotu ważnego oraz osoba, której powierzono obowiązki kierownika w zakresie cyberbezpieczeństwa, raz w roku kalendarzowym przechodzi szkolenie."
  • Art. 8e ust. 2 KSC: zakres szkolenia obejmuje obowiązki z art. 7b ust. 4, art. 7c, art. 7f ust. 3, art. 8, art. 8d, art. 8f ust. 1 i 2, art. 9–12b, art. 14 i art. 15.
  • Art. 8e ust. 3 KSC: „Udział w szkoleniu jest udokumentowany."

Trzy istotne praktyczne wnioski:

1. Częstotliwość: raz w roku kalendarzowym. Nie raz na 12 miesięcy ruchomych — w roku kalendarzowym. Jeżeli zarząd przeszedł szkolenie w grudniu 2026 r., kolejne musi zostać przeprowadzone w 2027 r. Można już w styczniu, ale w 2027 musi być.

2. Zakres: konkretne obszary KSC, nie cybersec w ogóle. Szkolenie o phishingu, MFA i ransomware nie spełnia wymogu z art. 8e ust. 2 KSC. Zakres obejmuje obowiązki regulacyjne — rejestrację, system zarządzania, dokumentację, raportowanie incydentów, audyt, struktury wewnętrzne. To szkolenie prawne i regulacyjne, a nie techniczne.

3. Dokumentacja: lista obecności, data, zakres. Brak dokumentacji = brak szkolenia w oczach organu nadzorczego. Rekomendujemy, aby protokół ze szkolenia zawierał: datę, miejsce, listę obecności podpisaną przez uczestników, prowadzącego, zakres tematyczny (z odniesieniem do konkretnych artykułów KSC), materiały szkoleniowe oraz oświadczenia uczestników o przyjęciu wiedzy do wiadomości.

W praktyce — udział w warsztacie, webinarze albo w formacie one-to-one z prawnikiem może spełniać wymóg z art. 8e KSC, o ile zakres odpowiada art. 8e ust. 2 i o ile prowadzona jest dokumentacja zgodnie z art. 8e ust. 3. To istotne odróżnienie od DORA — art. 5 ust. 4 DORA wymaga „regularnych szkoleń organu zarządzającego", ale nie określa częstotliwości, ani nie wymaga formalnej dokumentacji. Również sama dyrektywa NIS2 w art. 20 ust. 2 mówi tylko o „regularnym" szkoleniu — to polska implementacja zaostrzyła wymóg do corocznego, udokumentowanego szkolenia. W tym aspekcie KSC jest bardziej rygorystyczny niż DORA — i dla podmiotu finansowego, podlegającego obu reżimom, standardem powinno być spełnianie wymogu z art. 8e KSC.

Wymóg niekaralności personelu — art. 8f KSC

Art. 8f KSC wprowadza wymóg, którego dotąd nie było w polskim systemie cyberbezpieczeństwa: przed rozpoczęciem realizacji zadań z art. 8 lub art. 11 osoba, która ma te zadania realizować, przedstawia podmiotowi informację o osobie z Krajowego Rejestru Karnego stwierdzającą niekaralność za przestępstwa przeciwko ochronie informacji.

Kluczowe są cztery zasady:

1. Kogo dotyczy? Każdej osoby, która realizuje zadania z art. 8 (system zarządzania bezpieczeństwem) lub art. 11 (incydenty). W praktyce: CISO, członkowie zespołu SOC, security officerzy, administratorzy systemów krytycznych, audytorzy wewnętrzni cybersec, osoby kontaktowe z art. 9. Im szerzej rozumiana jest „realizacja zadań cybersec", tym szerszy katalog osób objętych obowiązkiem KRK.

2. KRK przed dopuszczeniem. Art. 8f ust. 1 KSC mówi wprost: „Kierownik podmiotu kluczowego lub podmiotu ważnego dopuszcza osobę do realizacji zadań, o których mowa w art. 8 lub art. 11, po otrzymaniu informacji [z KRK]". Czyli najpierw KRK, dopiero potem dostęp do systemów krytycznych — nie odwrotnie.

3. Powtórzenie KRK. Art. 8f ust. 2 KSC daje podmiotowi prawo wezwać osobę realizującą zadania cybersec do ponownego przedstawienia informacji z KRK, jeżeli poweźmie uzasadnione podejrzenie, że osoba została skazana za przestępstwo przeciwko ochronie informacji. Bez podejrzenia — powtórzenie nie jest obowiązkowe, ale dopuszczalne. Z naszego doświadczenia są dwie szkoły: część firm wymaga corocznej aktualizacji KRK (bezpieczniej), część — tylko przy podejrzeniu (zgodne z literą ustawy i z zasadą minimalizacji danych z art. 5 ust. 1 lit. c RODO).

4. Alternatywa: poświadczenie bezpieczeństwa. Art. 8f ust. 3 KSC stanowi, że wymagania uznaje się za spełnione, jeżeli osoba realizująca zadania posiada ważne poświadczenie bezpieczeństwa upoważniające do dostępu do informacji niejawnych o klauzuli „poufne" lub wyższej. Dla podmiotów współpracujących z administracją rządową lub sektorem obronnym to często łatwiejsza ścieżka.

Istotne ograniczenie znajdziemy w art. 8f ust. 4 KSC: osoba skazana prawomocnym wyrokiem sądu za przestępstwa przeciwko ochronie informacji nie może realizować zadań z art. 8 lub art. 11. Nie ma tu uznania, nie ma „opinii zarządu" — to ustawowy zakaz.

Co to znaczy w praktyce dla działu HR?

Wprowadzenie art. 8f KSC oznacza dla HR konkretne zmiany:

  • w opisach stanowisk wszystkich pozycji cybersec (CISO, SOC, security officer, audytor wewnętrzny cybersec) musi pojawić się wymóg przedstawienia informacji z KRK przed dopuszczeniem do zadań;
  • procedura onboardingu nowego pracownika cybersec musi obejmować formalne przyjęcie KRK i jego archiwizację;
  • ankiety RODO i regulaminy pracy muszą uwzględniać przetwarzanie danych z KRK — podstawą prawną jest art. 6 ust. 1 lit. c RODO (obowiązek prawny ciążący na administratorze) w związku z art. 8f KSC;
  • procedura postępowania przy „uzasadnionym podejrzeniu" skazania (art. 8f ust. 2) — kto decyduje, w jakim trybie, co jeśli osoba odmówi przedstawienia aktualnego KRK.

W praktyce rekomendujemy, aby procedura HR cybersec była częścią dokumentacji systemu zarządzania bezpieczeństwem informacji z art. 10 KSC. To pozwala wskazać organowi nadzorczemu jednolity dokument, w którym oba reżimy (KSC + RODO) są zharmonizowane.

Co grozi kierownikowi? Art. 73a ust. 4 i 5 KSC

Sankcja jest wymierna i — co istotne — niezależna od kary nakładanej na sam podmiot. Art. 32 ust. 6 dyrektywy NIS2 wprost dopuszczał wprowadzenie takiej osobistej odpowiedzialności członków organów zarządzających — polska ustawa skorzystała z tej możliwości w pełnym zakresie. Art. 73a ust. 3 KSC stanowi: „Niezależnie od kary pieniężnej, o której mowa w art. 73 ust. 1, karę pieniężną można nałożyć również na kierownika podmiotu kluczowego lub podmiotu ważnego za niewykonanie obowiązków wskazanych w tym przepisie."

Wysokość kary określa art. 73a ust. 4 KSC: „Kara pieniężna, o której mowa w ust. 1–3, może być wymierzona w kwocie nie większej niż 300 % otrzymywanego przez ukaranego wynagrodzenia obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop."

Dla sektora publicznego art. 73a ust. 5 KSC wprowadza niższy próg — do 100 % wynagrodzenia kierownika podmiotu kluczowego lub ważnego będącego podmiotem publicznym.

Art. 73a ust. 1 KSC wymienia 14 konkretnych kategorii naruszeń, za które można ukarać kierownika — od niewykonania obowiązków rejestracyjnych, przez nieprzejście corocznego szkolenia z art. 8e, niezapewnienie niekaralności osób realizujących zadania (art. 8f ust. 1 lub 2), niewyznaczenie minimum dwóch osób kontaktowych, aż po niewykonanie obowiązków w zakresie audytu (art. 15).

Co warto podkreślić — kierownik może być ukarany niezależnie od tego, czy podmiot został ukarany. W praktyce zdarzają się sytuacje, w których organ właściwy uznaje, że waga naruszenia jest niewielka po stronie podmiotu (np. naruszenie jednorazowe, zaprzestanie naruszania, naprawa szkody — art. 76a ust. 9 KSC), ale jednocześnie nakłada karę na konkretnego członka zarządu, który zawiódł w obowiązku osobistym (np. nie przeszedł szkolenia z art. 8e). Pełna analiza systemu kar w wpisie o karach i nadzorze KSC.

Tarcza anty-RODO — jeden ważny niuans

Art. 76c ust. 1 KSC wprowadza zasadę, którą warto zapamiętać: jeżeli za czyn zagrożony karą z art. 73 lub art. 73a KSC nałożono prawomocnie karę przez Prezesa UODO (z tytułu naruszenia ochrony danych osobowych), organ KSC nie wszczyna postępowania i poprzestaje na pouczeniu.

W praktyce — w przypadku ransomware z wyciekiem danych osobowych, gdzie naruszenie kwalifikuje się równocześnie jako naruszenie ochrony danych (RODO art. 33–34) i jako incydent poważny w KSC (art. 11), kara z UODO „konsumuje" karę z KSC. Ale art. 76c ust. 2 KSC zachowuje organowi KSC prawo do stosowania środków nadzorczych z art. 53 ust. 4, 5 i 9 — czyli ostrzeżeń, nakazów i zaleceń bez nakładania kary pieniężnej.

To istotny element strategii reakcji na incydent. Z naszego doświadczenia szybkie i kompletne zgłoszenie do UODO (w terminie 72 godzin z art. 33 RODO) może w niektórych sytuacjach zmniejszyć ekspozycję regulacyjną na kanale KSC. Ale nigdy nie zwalnia ze zgłoszenia do CSIRT sektorowego (24h + 72h + 1 mies.) z art. 11 KSC — to dwie odrębne ścieżki, które trzeba realizować równolegle.

Wewnętrzne struktury vs outsourcing — art. 14 KSC

Art. 14 KSC wymaga, aby podmiot kluczowy lub ważny w celu realizacji zadań z art. 8 oraz art. 9–13 powołał wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub zawarł umowę z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa (MSSP).

W praktyce wybór modelu należy do zarządu i jest jednym z elementów decyzyjnych z art. 8d pkt 1 KSC. Struktura wewnętrzna (dedykowany SOC, CSIRT, zespół cybersec) daje większą kontrolę, ale wymaga znaczących inwestycji. Outsourcing do MSSP daje skalowalność i dostęp do wyspecjalizowanej kadry, ale wymaga starannego doboru dostawcy i precyzyjnej umowy z klauzulami zgodnymi z art. 28–30 DORA (jeżeli podmiot jest finansowy) lub z odpowiednimi klauzulami KSC.

Niezależnie od wyboru — art. 8c ust. 3 KSC potwierdza, że delegowanie obowiązków nie zwalnia kierownika z odpowiedzialności. Także w modelu outsourcingowym do MSSP zarząd pozostaje finalnie odpowiedzialny przed organem nadzorczym i ponosi ryzyko sankcji z art. 73a ust. 4 KSC.

Najważniejsze działania do podjęcia przez zarząd w pierwszych 90 dniach

Pierwsze trzy miesiące od decyzji o uruchomieniu projektu KSC powinny obejmować następujące działania zarządu:

  • Formalna decyzja zarządu o klasyfikacji podmiotu (kluczowy/ważny/poza ustawą) — z protokołem posiedzenia.
  • Formalna decyzja o wskazaniu osoby odpowiedzialnej za cyberbezpieczeństwo wśród członków zarządu (art. 8c ust. 2) — z protokołem; alternatywa: decyzja o solidarnej odpowiedzialności wszystkich członków.
  • Powołanie projektu wdrożeniowego — sponsor po stronie zarządu, kierownik projektu, harmonogram, budżet (art. 8d pkt 2).
  • Wyznaczenie 2 osób kontaktowych z art. 9 ust. 1 pkt 1 — z formalnymi pełnomocnictwami i przeszkoleniem z art. 8e (zakres wystarczający na początek).
  • Procedura HR z KRK — opis stanowisk, procedura przyjęcia KRK, archiwizacja, zgodność z RODO.
  • Wpis do kalendarza zarządu — coroczne szkolenie z art. 8e (data, prowadzący, format) oraz cykliczny przegląd ryzyka cybersec na posiedzeniu zarządu.
  • Zatwierdzenie polityki bezpieczeństwa informacji — formalna uchwała zarządu (art. 8d pkt 1).

Z naszego doświadczenia zarządy, które domknęły te punkty w pierwszych 3 miesiącach, znacznie sprawniej realizują kolejne fazy projektu (wdrożenie systemu z art. 8, dokumentacja, audyt). Te, które „odsuwają temat" do połowy 2026 r., często nie zdążą ze wszystkim w 12-miesięcznym oknie z art. 16 KSC.

Jak możemy Ci pomóc?

W Legal Geek prowadzimy szkolenia zarządu z art. 8e KSC oraz wspieramy zarządy w przygotowaniu uchwał, procedur HR z art. 8f, regulacji wewnętrznych obowiązkowych dla art. 8 i art. 14. Każde szkolenie u naszych Klientów jest udokumentowane zgodnie z art. 8e ust. 3 KSC — z protokołem, listą obecności, zakresem zgodnym z art. 8e ust. 2 i materiałem dla uczestników. Jeżeli Twoja organizacja stoi przed obowiązkiem corocznego szkolenia zarządu i potrzebujesz partnera, który połączy stronę regulacyjną z praktyką — napisz do nas.

W kolejnym wpisie cyklu omawiamy art. 8i KSC i lex specialis DORA — dlaczego dla podmiotów finansowych większość obowiązków KSC jest „zastąpiona" przez DORA i co dokładnie zostaje z KSC.

Co dalej w cyklu?