Zarządzanie7 min czytania

Kierownik a cyberbezpieczeństwo — obowiązki KSC / NIS 2

Zakres odpowiedzialności kierownika

Znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa jednoznacznie wskazuje kierownika podmiotu kluczowego lub ważnego jako osobę ponoszącą ostateczną odpowiedzialność za zapewnienie zgodności z wymaganiami cyberbezpieczeństwa. Przez kierownika podmiotu rozumie się osobę lub organ zarządzający — członka zarządu, dyrektora generalnego, wójta, burmistrza, prezydenta miasta lub inną osobę pełniącą funkcję kierowniczą. Więcej o odpowiedzialności zarządu w kontekście KSC przeczytasz w powiązanym artykule.

Odpowiedzialność kierownika ma charakter osobisty i nie może być w pełni delegowana na inne osoby. Nawet wyznaczenie pełnomocnika ds. cyberbezpieczeństwa nie zwalnia kierownika z odpowiedzialności za nadzór nad realizacją obowiązków ustawowych.

Kluczowe obowiązki kierownika

Ustawa nakłada na kierownika podmiotu szereg konkretnych obowiązków związanych z cyberbezpieczeństwem, w tym nadzór nad wdrożeniem systemu zarządzania bezpieczeństwem informacji. Ich niedopełnienie stanowi samodzielną podstawę nałożenia kary pieniężnej na osobę kierownika.

  • Zatwierdzanie środków zarządzania ryzykiem w cyberbezpieczeństwie wdrażanych przez podmiot
  • Nadzorowanie wdrażania obowiązków ustawowych w zakresie cyberbezpieczeństwa
  • Zapewnienie odpowiednich zasobów finansowych i kadrowych na realizację zadań cyberbezpieczeństwa
  • Odbycie szkolenia z zakresu cyberbezpieczeństwa raz w roku (art. 8e ustawy — patrz nasz pakiet Szkolenie kierownika KSC)
  • Zapewnienie, że pracownicy podmiotu odbywają regularne szkolenia z bezpieczeństwa informacji
  • Osobiste ponoszenie odpowiedzialności za naruszenia obowiązków ustawowych przez podmiot
Kierownik podmiotu oraz osoba, której powierzono obowiązki kierownika w zakresie cyberbezpieczeństwa, ma obowiązek odbycia szkolenia (art. 8e ust. 1) z zakresu cyberbezpieczeństwa. Szkolenie powinno umożliwiać identyfikację zagrożeń, ocenę wpływu incydentów na działalność podmiotu oraz świadome zatwierdzanie środków zarządzania ryzykiem.

Sankcje za zaniedbania

Zgodnie z art. 73a ustawy o KSC, organ właściwy może nałożyć na kierownika podmiotu karę pieniężną do 300% wynagrodzenia (obliczanego wg zasad ekwiwalentu za urlop). Dla kierownika podmiotu publicznego kara wynosi do 100% wynagrodzenia — chyba że podmiot publiczny podlega KSC również na podstawie innego sektora z załącznika 1 lub 2 (np. gminne przedsiębiorstwo wodociągowe), wtedy stosuje się 300% (art. 73a ust. 5 zd. 2). Kara nakładana jest niezależnie od kary na sam podmiot.

NaruszenieMożliwe konsekwencje
Brak zatwierdzenia środków zarządzania ryzykiemDo 300% wynagrodzenia (do 100% dla podmiotów publicznych)
Niedopełnienie obowiązku rocznego szkoleniaDo 300% wynagrodzenia (do 100% dla podmiotów publicznych)
Brak nadzoru nad realizacją obowiązkówDo 300% wynagrodzenia (do 100% dla podmiotów publicznych), odpowiedzialność za szkody
Utrudnianie kontroli lub audytuDo 300% wynagrodzenia (do 100% dla podmiotów publicznych), kara administracyjna

Jak minimalizować ryzyko osobiste

Kierownik podmiotu może istotnie ograniczyć ryzyko osobistej odpowiedzialności poprzez aktywne zaangażowanie w proces zarządzania cyberbezpieczeństwem i dokumentowanie podejmowanych decyzji.

  1. Odbądź i udokumentuj szkolenie z cyberbezpieczeństwa na poziomie zarządczym.
  2. Formalnie zatwierdź politykę bezpieczeństwa informacji i plan postępowania z ryzykiem.
  3. Wyznacz pełnomocnika ds. cyberbezpieczeństwa i określ zakres jego kompetencji na piśmie.
  4. Zapewnij w budżecie dedykowaną pozycję na cyberbezpieczeństwo i dokumentuj decyzje alokacyjne.
  5. Wymagaj regularnych raportów o stanie bezpieczeństwa i dokumentuj ich przegląd.
  6. Zlecaj okresowe audyty bezpieczeństwa i monitoruj realizację zaleceń poaudytowych.
FAQ4 pytania

Najczęstsze pytania

Kto ponosi odpowiedzialność za cyberbezpieczeństwo w firmie według KSC?
Kierownik podmiotu — czyli zarząd, prezes, wójt/burmistrz/prezydent miasta, dyrektor jednostki (art. 8c KSC). Odpowiedzialność jest osobista i nie można jej delegować na CSO, CISO czy IOD — można wyznaczyć osobę do koordynacji, ale odpowiedzialność prawna pozostaje przy kierowniku.
Jaka maksymalna kara osobista dla kierownika w KSC?
Do 300% wynagrodzenia (obliczanego wg zasad ekwiwalentu za urlop) — dla kierownika podmiotu prywatnego (art. 73a ust. 4 KSC). Dla kierownika podmiotu publicznego — do 100% wynagrodzenia (art. 73a ust. 5). Kara nakładana jest niezależnie od kary na sam podmiot.
Czy można przenieść odpowiedzialność na CSO lub CISO?
Nie — odpowiedzialność prawna z ustawy o KSC leży po stronie kierownika podmiotu i jest nieprzenoszalna. Wyznaczenie co najmniej dwóch osób kontaktowych do utrzymywania kontaktów z podmiotami KSC (art. 9 ust. 1 pkt 1 KSC) oraz powołanie wewnętrznej struktury cyberbezpieczeństwa lub zawarcie umowy z dostawcą MSSP (art. 14 KSC) to obowiązki organizacyjne, nie zwalniające kierownika z odpowiedzialności. Wewnętrzna delegacja zadań może ograniczać ryzyko, ale nie odpowiedzialność ustawową — art. 8c ust. 3 KSC stanowi wprost, że kierownik ponosi odpowiedzialność także wtedy, gdy obowiązki zostały powierzone innej osobie.
Czy zarząd musi się szkolić z cyberbezpieczeństwa?
Tak — obowiązkowe szkolenia dla członków organu zarządzającego, nie rzadziej niż raz w roku (art. 8e ust. 1 KSC). Szkolenie ma obejmować m.in. zarządzanie ryzykiem, odpowiedzialność prawną, aktualne zagrożenia. Brak szkolenia to naruszenie ustawy — grozi kara na podmiot i na kierownika osobiście.
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.