LawIT / Cyberbezpieczeństwo  / NIS2 a odpowiedzialność zarządu
11 lutego 2026 In Cyberbezpieczeństwo, Innowacyjność, IT

NIS2 a odpowiedzialność zarządu

Dyrektywa NIS2 (EU) 2022/2555 znacząco zmienia podejście do cyberbezpieczeństwa w Unii Europejskiej. Jedną z jej najbardziej doniosłych – i często niedocenianych – konsekwencji jest bezpośrednia odpowiedzialność członków zarządu za naruszenia obowiązków w zakresie zarządzania ryzykiem ICT.

NIS2 wprost odchodzi od modelu, w którym odpowiedzialność „rozmywa się” na poziomie organizacji. W wielu obszarach odpowiedzialność nie może zostać skutecznie przeniesiona na spółkę, pracownika, outsourcera ani dział IT. Jest to znacząca różnica w dotychczasowym podejściu.

Polska, jak większość krajów UE, implementuje dyrektywę do swojego porządku prawnego poprzez nowelizację Ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) oraz przepisy powiązane. Termin transpozycji minął 17 października 2024 r., jednak prace legislacyjne w Polsce trwają i zmierzają do wejścia nowych przepisów w życie — prawdopodobnie w pierwszej połowie 2026 r.

NIS2 – zasady ogólne i zakres obowiązków

NIS2 przewiduje, że podmioty działające w  sektorach gospodarki o istotnym znaczeniu dla społeczeństwa i gospodarki (m.in. energia, transport, zdrowie, cyfrowe usługi infrastrukturalne, ICT) są zobowiązane do wdrożenia skutecznych systemów zarządzania ryzykiem cyberbezpieczeństwa oraz procedur reagowania na incydenty. Wśród obowiązków wyróżnia się m.in.:

  • identyfikację i ocenę ryzyka bezpieczeństwa ICT,
  • wdrożenie adekwatnych środków technicznych i organizacyjnych,
  • wykrywanie, reagowanie i odzyskiwanie po incydentach,
  • raportowanie poważnych incydentów do właściwych organów w ustawowych terminach.

Dyrektywa zakłada nadzór i egzekwowanie przestrzegania tych obowiązków przez właściwe organy państwowe, które otrzymują uprawnienia kontrolne i sankcyjne.

 

Odpowiedzialność zarządu

Kluczowym elementem NIS2 jest bezpośrednie przypisanie odpowiedzialności osobom decydującym o bezpieczeństwie organizacji, szczególnie członkom zarządów lub innym członkom organów kierowniczych. Zgodnie z dyrektywą zarząd zatwierdza polityki i środki zarządzania ryzykiem cyberbezpieczeństwa, nadzoruje ich wdrażanie i skuteczność i to zarząd ponosi odpowiedzialność za naruszenia obowiązków.

To podejście odbiega od tradycyjnego modelu, w którym odpowiedzialność za cyberbezpieczeństwo mogła być postrzegana jako domena działów IT lub outsourcerów.

Odpowiedzialność za nadzór

W świetle NIS2 nie można skutecznie „cedować” odpowiedzialności na innych pracowników, w tym dyrektorów technicznych, zewnętrznych dostawców usług ICT czy departamenty bezpieczeństwa informacji.

To zarząd jest odpowiedzialny na poziomie strategicznym i organizacyjnym za adekwatność systemu zarządzania ryzykiem, jego monitorowanie oraz dostosowywanie do zmieniających się zagrożeń.

 

Sankcje wobec spółek i osób fizycznych

Sankcje administracyjne wobec podmiotów

Polska implementacja przewiduje standardowe kary administracyjne wymierzone w spółki i inne podmioty zobowiązane. Zgodnie z NIS2 kary obejmują:

  • do 10 mln EUR lub 2% światowego obrotu – dla podmiotów kluczowych,
  • do 7 mln EUR lub 1,4% światowego obrotu – dla podmiotów ważnych. Po wdrożeniu tych zasad do polskiego prawa przedsiębiorstwa muszą liczyć się z bardzo istotnymi konsekwencjami finansowymi za naruszenie obowiązków cyberbezpieczeństwa.

 

Odpowiedzialność osobista członków zarządu

Nowelizacja ANCS (projektowana) wprowadza administracyjną odpowiedzialność osób fizycznych wykonujących funkcje kierownicze, w tym członków zarządów. Odpowiedzialność ta obejmuje pojawienie się obowiązku osobistej kary pieniężnej nakładanej na osobę zarządzającą za naruszenie określonych obowiązków ustawowych oraz karę w wysokości określonej jako wielokrotność wynagrodzenia członka zarządu, przekraczającą typowe skutki „zwykłego” naruszenia wewnętrznych procedur.

W praktyce oznacza to, że osoba zasiadająca w zarządzie nie uchroni się przed odpowiedzialnością osobistą, powołując się na wykonanie delegowanych zadań przez inne osoby w organizacji.

Kary, których nie da się scedować lub ubezpieczyć

Zakazy pełnienia funkcji

Choć projekt polskiej ustawy jeszcze nie przeszedł pełnej legislacji, w świetle dyrektywy oraz proponowanych przepisów państw członkowskich coraz częściej pojawia się możliwość czasowego zakazu pełnienia funkcji zarządczych dla osób odpowiedzialnych za naruszenia obowiązków cyberbezpieczeństwa.

Zakaz taki ma charakter personalny i nie może być przeniesiony na spółkę ani pokryty przez umowy ubezpieczeniowe.

Ograniczenia w ubezpieczeniach D&O

Standardowe ubezpieczenia odpowiedzialności osób pełniących funkcje kierownicze (D&O (Directors and Officers Liability Insurance)) często wyłączają pokrycie kar administracyjnych nałożonych bezpośrednio na osobę fizyczną,koszty związane z zakazem pełnienia funkcji lub sankcjami reputacyjnymi.

Zatem nawet szerokie polisy D&O mogą nie zabezpieczyć zarządu przed skutkami wejścia w życie przepisów implementujących NIS2.

Rola raportowania incydentów jako czynnik odpowiedzialności

Kolejnym obszarem, w którym odpowiedzialność zarządu ma wymiar personalny, jest raportowanie incydentów cyberbezpieczeństwa. NIS2 przewiduje obowiązek zgłoszenia poważnych incydentów w określonych terminach, sankcje za opóźnienie lub zaniechanie zgłoszenia incydentu.

Decyzje o zgłoszeniu, dokonane lub zaniechane przez osoby zarządzające, są elementem, który organy nadzorcze będą w praktyce analizować w postępowaniach wykroczeniowych i administracyjnych.

 

Praktyczne wnioski dla zarządów i rad nadzorczych

W kontekście wejścia w życie krajowych przepisów implementujących NIS2, członkowie zarządów powinny:

  1. Zapoznać się i zrozumieć zakres swoich obowiązków w odniesieniu do cyberbezpieczeństwa i zarządzania ryzykiem ICT.
  2. Zapewnić formalne zatwierdzenie polityk bezpieczeństwa i procedur na poziomie zarządczym.
  3. Wprowadzić mechanizmy efektywnego nadzoru i raportowania wewnętrznego.
  4. Dokumentować procesy decyzyjne i działania w zakresie cyberbezpieczeństwa.
  5. Zlecić audyty i testy zgodności – z udziałem ekspertów zewnętrznych.

 

Podsumowanie

Dyrektywa NIS2 oraz projekt polskiej ustawy wdrażającej ją do porządku krajowego wyraźnie przesuwają odpowiedzialność za cyberbezpieczeństwo z działów technicznych na organy zarządzające podmiotami obowiązanymi. Odpowiedzialność ta ma charakter personalny i nie może być skutecznie „scedowana”, outsourcowana ani zneutralizowana przez ubezpieczenia. Zarządy, które nie przygotują się teraz, narażają się na znaczące konsekwencje finansowe i reputacyjne w przyszłości.

No Comments

Post a Comment