Nowy model odpowiedzialności kierownictwa na gruncie ustawy o krajowym systemie cyberbezpieczeństwa
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), obowiązująca od 3 kwietnia 2026 r., implementująca dyrektywę NIS 2, w istotny sposób zmienia podejście do odpowiedzialności za cyberbezpieczeństwo w organizacjach. Jedną z najważniejszych konsekwencji tych zmian jest wyraźne przeniesienie ciężaru odpowiedzialności na poziom kierownictwa. Nowy reżim UKSC jednoznacznie odchodzi od modelu, w którym ryzyko regulacyjne obciąża wyłącznie organizację jako podmiot. W jego miejsce wprowadzono autonomiczny mechanizm odpowiedzialności administracyjnej kierownictwa, w ramach którego kierownik podmiotu staje się samodzielnym adresatem sankcji, niezależnie od kar nakładanych na samą organizację.
Kto jest odpowiedzialny za cyberbezpieczeństwo na gruncie UKSC?
UKSC obejmuje swoim zakresem nie tylko członków zarządów spółek kapitałowych, ale również:
- wspólników prowadzących sprawy spółek osobowych,
- komplementariuszy,
- kierowników jednostek w sektorze publicznym.
Odpowiedzialność dotyczy zatem wszystkich osób, które faktycznie podejmują decyzje i sprawują kontrolę nad funkcjonowaniem organizacji.
Jak wygląda odpowiedzialność kierownictwa podmiotów kluczowych i ważnych na gruncie UKSC?
Podstawą odpowiedzialności kierownika nie jest wyłącznie bezpośrednie naruszenie przepisów, lecz także brak zapewnienia realizacji obowiązków w zakresie cyberbezpieczeństwa przez organizację. UKSC nakłada na osoby zarządzające konkretne, aktywne obowiązki, które mogą stanowić samodzielną podstawę odpowiedzialności. Obejmują one m.in.:
- zapewnienie wdrożenia i utrzymania adekwatnego SZBI;
- nadzór nad prawidłowym zgłaszaniem incydentów poważnych;
- aktualność danych w rejestrach;
- obowiązek corocznego odbywania szkoleń z zakresu cyberbezpieczeństwa i własnych obowiązków ustawowych.
Niedochowanie tych wymogów może zostać zakwalifikowane jako osobiste zaniechanie kierownika niezależnie od tego, czy w danym momencie doszło do realnego incydentu.
Nowym elementem wprowadzonego reżimu jest również jednoznaczne przesądzenie, że delegowanie obowiązków z zakresu cyberbezpieczeństwa (nawet formalne i do wyspecjalizowanych struktur) nie zwalnia kierownictwa z odpowiedzialności. Z kolei, w przypadku wieloosobowych organów zarządzających, ustawodawca przyjął zasadę odpowiedzialności solidarnej. Jeżeli w strukturze organizacyjnej nie wyznaczono jednoznacznie osoby odpowiedzialnej za obszar cyberbezpieczeństwa, odpowiedzialność ponoszą wszyscy członkowie organu.
Kary pieniężne
Administracyjna kara pieniężna nakładana na kierownika może zostać wymierzona niezależnie od kary nałożonej na sam podmiot i co istotne nie jest powiązana z jego sytuacją finansową, lecz z wynagrodzeniem osoby ukaranej.
Zasadniczo kara ta może sięgać:
- do 300% indywidualnego wynagrodzenia kierownika,
- w przypadku kierowników podmiotów publicznych do 100%
Niefinansowe środki nadzorcze
Odpowiedzialność menedżerska na gruncie UKSC nie ogranicza się wyłącznie do sankcji finansowych. Równie istotne są niefinansowe środki nadzorcze, które w wielu przypadkach mogą okazać się dla kierownictwa bardziej dotkliwe niż kara pieniężna.
W szczególności organ nadzorczy może:
- wydać ostrzeżenie - w przypadku powzięcia uzasadnionego podejrzenia naruszenia przepisów organ kieruje elektroniczne ostrzeżenie, w którym wskazuje niezbędne działania naprawcze oraz termin ich wykonania;
- nałożyć nakaz usunięcia określonych nieprawidłowości w wyznaczonym terminie;
- zobowiązać podmiot do publicznego poinformowania o incydencie lub naruszeniach;
- zastosować środki istotnie ograniczające działalność podmiotu kluczowego.
Najdalej idącym instrumentem ingerencji wobec kierownictwa jest możliwość wydania decyzji zakazującej pełnienia funkcji zarządczych w podmiocie kluczowym do czasu usunięcia stanu niezgodności z ustawą.
Jeżeli szukasz odpowiedzi na pytania:
- kiedy i na jakich zasadach członkowie zarządu lub inne osoby kierujące podmiotem mogą ponosić osobistą odpowiedzialność administracyjną za naruszenia obowiązków z zakresu cyberbezpieczeństwa;
- kiedy może dojść do równoległego ukarania obu adresatów (podmiotu i kierownika);
- jak ograniczać ryzyko osobiste odpowiedzialności menedżerskiej;
- jakie konkretne zaniechania kierownika mogą skutkować nałożeniem kary pieniężnej na osoby zarządzające;
- od czego zależy wymiar nakładanych kar?
znajdziesz je w nowym komentarzu praktycznym „Odpowiedzialność administracyjna kierownictwa za niedochowanie obowiązków z zakresu cyberbezpieczeństwa na gruncie UKSC oraz DORA”, którego autorami są członkowie zespołu Kancelarii Traple Konarski Podrecki i Wspólnicy - r.pr. Agnieszka Wachowska ekspertka w obsłudze projektów IT, członek-założyciel Stowarzyszenia Prawa Nowych Technologii, zrzeszającego prawników specjalizujących się w obszarze TMT i członkini międzynarodowego stowarzyszenia ITech Law oraz Konrad Basaj, aplikant radcowski specjalista w zakresie cyberbezpieczeństwa, posiadający certyfikat Audytora Wiodącego Systemu Zarządzania Bezpieczeństwem Informacji według normy ISO/IEC 27001.
Komentarz dostępny jest w LEX Cyberbezpieczeństwo.
