Zarządzanie7 min czytania

Odpowiedzialność kierownika podmiotu — co musisz wiedzieć

Zakres odpowiedzialności kierownika

Znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa jednoznacznie wskazuje kierownika podmiotu kluczowego lub ważnego jako osobę ponoszącą ostateczną odpowiedzialność za zapewnienie zgodności z wymaganiami cyberbezpieczeństwa. Przez kierownika podmiotu rozumie się osobę lub organ zarządzający — członka zarządu, dyrektora generalnego, wójta, burmistrza, prezydenta miasta lub inną osobę pełniącą funkcję kierowniczą.

Odpowiedzialność kierownika ma charakter osobisty i nie może być w pełni delegowana na inne osoby. Nawet wyznaczenie pełnomocnika ds. cyberbezpieczeństwa nie zwalnia kierownika z odpowiedzialności za nadzór nad realizacją obowiązków ustawowych.

Kluczowe obowiązki kierownika

Ustawa nakłada na kierownika podmiotu szereg konkretnych obowiązków związanych z cyberbezpieczeństwem. Ich niedopełnienie stanowi samodzielną podstawę nałożenia kary pieniężnej na osobę kierownika.

  • Zatwierdzanie środków zarządzania ryzykiem w cyberbezpieczeństwie wdrażanych przez podmiot
  • Nadzorowanie wdrażania obowiązków ustawowych w zakresie cyberbezpieczeństwa
  • Zapewnienie odpowiednich zasobów finansowych i kadrowych na realizację zadań cyberbezpieczeństwa
  • Odbycie szkolenia z zakresu cyberbezpieczeństwa raz w roku (art. 8e ustawy)
  • Zapewnienie, że pracownicy podmiotu odbywają regularne szkolenia z bezpieczeństwa informacji
  • Osobiste ponoszenie odpowiedzialności za naruszenia obowiązków ustawowych przez podmiot
Kierownik podmiotu ma obowiązek odbycia szkolenia z zakresu cyberbezpieczeństwa. Szkolenie powinno umożliwiać identyfikację zagrożeń, ocenę wpływu incydentów na działalność podmiotu oraz świadome zatwierdzanie środków zarządzania ryzykiem.

Sankcje za zaniedbania

Zgodnie z art. 73a ustawy o KSC, w przypadku stwierdzenia naruszenia obowiązków organ właściwy może nałożyć na kierownika podmiotu karę pieniężną w wysokości do 300% otrzymywanego przez niego wynagrodzenia (a w przypadku kierownika podmiotu publicznego — do 100%). Kara nakładana jest niezależnie od ewentualnej kary pieniężnej nałożonej na sam podmiot.

NaruszenieMożliwe konsekwencje
Brak zatwierdzenia środków zarządzania ryzykiemDo 300% wynagrodzenia (do 100% dla podmiotów publicznych)
Niedopełnienie obowiązku rocznego szkoleniaDo 300% wynagrodzenia (do 100% dla podmiotów publicznych)
Brak nadzoru nad realizacją obowiązkówDo 300% wynagrodzenia (do 100% dla podmiotów publicznych), odpowiedzialność za szkody
Utrudnianie kontroli lub audytuDo 300% wynagrodzenia (do 100% dla podmiotów publicznych), kara administracyjna

Jak minimalizować ryzyko osobiste

Kierownik podmiotu może istotnie ograniczyć ryzyko osobistej odpowiedzialności poprzez aktywne zaangażowanie w proces zarządzania cyberbezpieczeństwem i dokumentowanie podejmowanych decyzji.

  1. Odbądź i udokumentuj szkolenie z cyberbezpieczeństwa na poziomie zarządczym.
  2. Formalnie zatwierdź politykę bezpieczeństwa informacji i plan postępowania z ryzykiem.
  3. Wyznacz pełnomocnika ds. cyberbezpieczeństwa i określ zakres jego kompetencji na piśmie.
  4. Zapewnij w budżecie dedykowaną pozycję na cyberbezpieczeństwo i dokumentuj decyzje alokacyjne.
  5. Wymagaj regularnych raportów o stanie bezpieczeństwa i dokumentuj ich przegląd.
  6. Zlecaj okresowe audyty bezpieczeństwa i monitoruj realizację zaleceń poaudytowych.
Spis treści
Zakres odpowiedzialności kierownika
Kluczowe obowiązki kierownika
Sankcje za zaniedbania
Jak minimalizować ryzyko osobiste
Potrzebujesz wsparcia?

Pomagamy we wdrożeniu KSC od identyfikacji statusu po pełny audyt.

Pozostałe artykuły
KlasyfikacjaPodmiot kluczowy vs. podmiot ważny — jak ustalić swój status?WdrożenieSystem zarządzania bezpieczeństwem informacji wg Załącznika nr 4KaryKary finansowe w znowelizowanej ustawie o KSCIncydentyRaportowanie incydentów — terminy, formularze i proceduryAudytAudyt bezpieczeństwa — kto, kiedy i jak go przeprowadzić?WykazRejestracja w wykazie podmiotów kluczowych i ważnych — procedura i system S46Łańcuch dostawZarządzanie bezpieczeństwem łańcucha dostaw według KSCDostawcyDostawca wysokiego ryzyka — procedura uznania i obowiązki podmiotów KSCNadzórNadzór nad podmiotami KSC — tryb ex ante i ex postTerminyKalendarz wdrożenia KSC 2026–2028 — kluczowe daty dla podmiotówSektor finansowyRelacja KSC i rozporządzenia DORA — obowiązki sektora finansowegoPersonelWeryfikacja niekaralności personelu — wymóg art. 8f ustawy o KSCWspółpracaWymiana informacji o cyberbezpieczeństwie między podmiotami KSCKlasyfikacjaNiezależność systemów informacyjnych — kiedy nie podlegasz KSC mimo przekroczenia progów
ksc.EXPERTIdealdata Sp. z o.o. · Chwaszczyno k. Gdańska
© 2026 Idealdata Sp. z o.o.Informacje mają charakter informacyjny i nie stanowią opinii prawnej.
🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.