Bez kategorii
31 marca 2026

Zarząd pod lupą. Jak nowelizacja UKSC zmienia odpowiedzialność kierownictwa za cyberbezpieczeństwo firmy?

Nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC) wprowadza jedną z najważniejszych zmian w podejściu do bezpieczeństwa cyfrowego organizacji w Polsce. Cyberbezpieczeństwo przestaje być wyłącznie zadaniem działów IT, a staje się realną odpowiedzialnością zarządu i kadry kierowniczej. Projektowane przepisy jasno wskazują, że to właśnie kierownictwo organizacji – zarówno w sektorze prywatnym, jak i publicznym – odpowiada za nadzór nad bezpieczeństwem informacji, decyzje strategiczne oraz zapewnienie odpowiednich zasobów. W praktyce oznacza to nowe obowiązki, a także możliwość nałożenia osobistych kar finansowych.

Kim jest „kierownik podmiotu” w świetle nowelizacji UKSC?

Nowelizacja UKSC precyzyjnie określa, kto odpowiada za cyberbezpieczeństwo organizacji. Aktualne przepisy przenoszą temat ten na poziom zarządczy.

  • W sektorze prywatnym – kierownik podmiotu to kierownik jednostki w rozumieniu ustawy o rachunkowości. W praktyce najczęściej będą to członkowie zarządu lub osoby zarządzające przedsiębiorstwem zgodnie z jego statutem lub umową.
  • W sektorze publicznym – kierownik jednostki w rozumieniu ustawy o finansach publicznych.

A jak przepisy traktują zarządy wieloosobowe? Jeśli w organizacji funkcjonuje kilkuosobowy zarząd i nie zostanie formalnie wyznaczona jedna osoba odpowiedzialna za cyberbezpieczeństwo, odpowiedzialność spoczywa na wszystkich członkach zarządu.

Odpowiedzialność kadry kierowniczej

Jedną z kluczowych zasad wprowadzanych przez projekt ustawy jest osobista i nieusuwalna odpowiedzialność kierownika podmiotu za realizację obowiązków z zakresu cyberbezpieczeństwa. Temat ten staje się wiec elementem zarządzania organizacją, a nie wyłącznie kwestią techniczną.

Co to oznacza w praktyce? Nawet jeśli część zadań zostanie przekazana innym osobom – na przykład dyrektorowi IT, zespołowi bezpieczeństwa czy zewnętrznemu dostawcy usług – odpowiedzialność za ich realizację nadal spoczywa na kierownictwie.

To na poziomie zarządu muszą zapadać decyzje dotyczące:

  • przygotowania systemu bezpieczeństwa informacji,
  • jego wdrożenia,
  • regularnego przeglądu,
  • nadzoru nad funkcjonowaniem całego systemu.

Obowiązki zarządu wynikające z nowelizacji UKSC

Projekt ustawy wskazuje konkretne zadania, które spoczywają na kierownictwie podmiotów kluczowych i ważnych. Do najważniejszych należą:

  • Zatwierdzanie środków zarządzania ryzykiem
    Zarząd odpowiada za podejmowanie kluczowych decyzji dotyczących funkcjonowania Systemu Zarządzania Bezpieczeństwem Informacji (SZBI).
  • Zapewnienie finansowania cyberbezpieczeństwa
    Organizacja musi zaplanować odpowiednie środki finansowe na działania związane z ochroną systemów i danych.
  • Nadzór nad personelem
    Kierownictwo odpowiada za przydzielanie zadań, kontrolę ich realizacji oraz budowanie świadomości pracowników w zakresie cyberbezpieczeństwa.
  • Weryfikacja osób wykonujących zadania związane z cyberbezpieczeństwem
    Do realizacji takich zadań mogą być dopuszczone wyłącznie osoby, które przedstawią informację z Krajowego Rejestru Karnego dotyczącą przestępstw przeciwko ochronie informacji.
  • Składanie oświadczeń w systemach teleinformatycznych
    Kierownik podmiotu składa oświadczenia dotyczące prawdziwości danych we wnioskach o wpis do wykazu podmiotów. Odbywa się to pod rygorem odpowiedzialności karnej za składanie fałszywych oświadczeń.
  • Obowiązkowe szkolenia z cyberbezpieczeństwa dla kadry zarządzającej

Obowiązkowe szkolenia z cyberbezpieczeństwa dla kadry zarządzającej

Nowelizacja UKSC zakłada również obowiązek podnoszenia kompetencji przez osoby zarządzające organizacją. Kierownicy podmiotów kluczowych i ważnych będą musieli co najmniej raz w roku przejść szkolenie z zakresu cyberbezpieczeństwa. Udział w szkoleniu musi zostać udokumentowany.

Zakres takich szkoleń obejmuje m.in.:

  • zarządzanie ryzykiem w cyberbezpieczeństwie,
  • obsługę i raportowanie incydentów,
  • obowiązki dokumentacyjne,
  • wymagania audytowe wynikające z przepisów.

Celem jest zwiększenie świadomości decydentów i włączenie cyberbezpieczeństwa do codziennego zarządzania organizacją.

Osobiste kary finansowe dla członków zarządu

Jednym z najbardziej dyskutowanych elementów nowelizacji UKSC są sankcje finansowe dla kierownictwa.

W przypadku naruszeń przepisów organ nadzorczy będzie mógł nałożyć karę pieniężną sięgającą do 300% miesięcznego wynagrodzenia kierownika podmiotu.

W sektorze publicznym maksymalna wysokość kary wynosi do 100% wynagrodzenia.

Kary mogą zostać nałożone między innymi za:

  • brak nadzoru nad systemem zarządzania bezpieczeństwem informacji,
  • niewypełnienie obowiązku szkoleniowego,
  • brak wyznaczenia osób do kontaktu w sprawach cyberbezpieczeństwa,
  • nieprawidłowości w raportowaniu incydentów.

Co ważne, sankcja może zostać nałożona nawet w przypadku pojedynczego naruszenia.

Możliwy zakaz pełnienia funkcji zarządczych

W najpoważniejszych przypadkach organ właściwy może zastosować środki wykraczające poza kary finansowe.

Jednym z nich jest czasowy zakaz pełnienia funkcji zarządczych przez kierownika podmiotu, obowiązujący do momentu usunięcia stwierdzonych naruszeń.

Dodatkowo informacja o nałożeniu takiego środka – wraz z imieniem i nazwiskiem osoby objętej decyzją – może zostać opublikowana w Biuletynie Informacji Publicznej właściwego organu. Dane te trafiają również do sądów rejestrowych prowadzących Krajowy Rejestr Sądowy.

Jak ustalana jest wysokość kary?

Przy nakładaniu sankcji organ nadzorczy bierze pod uwagę kilka czynników.

Należą do nich między innymi:

  • waga i czas trwania naruszenia,
  • szkody majątkowe i niemajątkowe, które powstały w jego wyniku,
  • umyślność lub nieumyślność działania,
  • poziom współpracy organizacji z organem nadzoru.

Ostateczna wysokość kary zależy więc od okoliczności konkretnego przypadku.

Let’s talk about IT!

Chcesz sprawdzić czy Twoja firma podlega pod UKSC? Potrzebujesz ruszyć z działaniami jak najszybciej? Masz inne pytania lub wątpliwości?

W Servers24.pl wspieramy firmy kompleksowo!

  • Weryfikujemy status firm pod KSC/NIS2.
  • Przeprowadzamy audyty zgodności i bezpieczeństwa IT/OT, jak również testy penetracyjne. 
  • Dobieramy, dostarczamy i wdrażamy niezbędny sprzęt i rozwiązania (w tym: MFA, SIEM, SOC, etc.).
  • Bazujemy na rozwiązaniach największych światowych producentów m.in. Dell Technologies, Cisco, Veeam.
  • Zapewniamy pełne wsparcie inżynierskie, testy oraz Proof of Concept.
  • Wspieramy w uzyskaniu finansowania na działania poprzez leasing sprzętu, np. w Dell Bank.
  • Przeprowadzamy szkolenia dla pracowników i kadry menedżerskiej, w tym testy phishingowe.

Zapraszamy do kontaktu!
Handlowy@Servers24.pl

Inne wpisy, które mogą Cie zainteresować

Przejdź do archiwum

Skontaktuj się z nami

Masz pytania?
Porozmawiaj z naszymi ekspertami