Zarządzanie7 min czytania

Zarząd a KSC — odpowiedzialność osobista

Kto jest kierownikiem wg KSC

Ustawa o KSC posługuje się pojęciem kierownika podmiotu kluczowego lub podmiotu ważnego. W zależności od formy prawnej organizacji kierownikiem jest: prezes zarządu (spółki kapitałowe), wspólnik zarządzający (spółki osobowe), wójt, burmistrz lub prezydent miasta (gminy), starosta (powiaty), marszałek województwa, dyrektor (instytucje publiczne). Art. 8c ust. 1 wprost stanowi, że kierownik ponosi odpowiedzialność za wykonywanie obowiązków w zakresie cyberbezpieczeństwa.

Jeżeli kierownikiem jest organ wieloosobowy (np. zarząd spółki) i nie wskazano osoby odpowiedzialnej — odpowiedzialność ponoszą wszyscy członkowie tego organu (art. 8c ust. 2). Powierzenie obowiązków innej osobie nie zwalnia kierownika z odpowiedzialności (art. 8c ust. 3).

5 obowiązków kierownika (art. 8d)

Art. 8d ustawy o KSC nakłada na kierownika podmiotu kluczowego lub ważnego pięć konkretnych obowiązków zarządczych w zakresie cyberbezpieczeństwa. Ich niewykonanie stanowi samodzielną przesłankę nałożenia kary pieniężnej na kierownika (art. 73a ust. 1 pkt 3).

  1. Podejmowanie decyzji w zakresie przygotowania, wdrażania, stosowania, przeglądu i nadzoru systemu zarządzania bezpieczeństwem informacji (SZBI) w podmiocie (art. 8d pkt 1)
  2. Planowanie adekwatnych środków finansowych na realizację obowiązków z zakresu cyberbezpieczeństwa (art. 8d pkt 2)
  3. Przydzielanie zadań z zakresu cyberbezpieczeństwa w podmiocie i nadzorowanie ich wykonania (art. 8d pkt 3)
  4. Zapewnienie, że personel podmiotu jest świadomy obowiązków z zakresu cyberbezpieczeństwa i zna wewnętrzne regulacje (art. 8d pkt 4)
  5. Zapewnienie zgodności działania podmiotu z przepisami prawa oraz z wewnętrznymi regulacjami (art. 8d pkt 5)
Kierownik (oraz osoba, której powierzono obowiązki w zakresie cyberbezpieczeństwa) musi raz w roku kalendarzowym przejść udokumentowane szkolenie obejmujące obowiązki z art. 7b ust. 4, art. 7c, art. 8, art. 8d, art. 8f, art. 9–12b, art. 14 i art. 15 (art. 8e ust. 1–3). Brak szkolenia to odrębna przesłanka kary (art. 73a ust. 1 pkt 4).

Kary finansowe dla kierownika

Kary pieniężne dla kierownika są nakładane niezależnie od kar nałożonych na podmiot (art. 73a ust. 3). Ich wysokość zależy od tego, czy podmiot jest publiczny czy prywatny. Przesłanki kary obejmują m.in. niewykonanie obowiązków z art. 8d, brak szkolenia (art. 8e), niezłożenie wniosku o wpis do wykazu (art. 7c), niewdrożenie SZBI (art. 8) i niezgłoszenie incydentu (art. 11).

Rodzaj podmiotuMaksymalna kara dla kierownikaPodstawa prawna
Podmiot prywatnyDo 300% wynagrodzenia (ekwiwalent za urlop)art. 73a ust. 4
Podmiot publicznyDo 100% wynagrodzenia (ekwiwalent za urlop)art. 73a ust. 5 zd. 1
Podmiot publiczny podlegający KSC także z innego sektora (zał. 1 lub 2)Do 300% wynagrodzeniaart. 73a ust. 5 zd. 2
Wyjątek z art. 73a ust. 5 zd. 2: Jeżeli podmiot publiczny podlega KSC również na podstawie innego sektora z załącznika nr 1 lub 2 (np. szpital publiczny — sektor zdrowia), to do kary dla kierownika stosuje się pułap 300% wynagrodzenia zamiast 100%. Dotyczy to np. dyrektorów szpitali publicznych, prezesów spółek komunalnych z sektora wodno-kanalizacyjnego.

Zakaz pełnienia funkcji zarządczych

Art. 53 ust. 9 pkt 6 ustawy daje organowi właściwemu możliwość zakazania kierownikowi podmiotu kluczowego pełnienia funkcji zarządczych — jeżeli podmiot nie zastosował się do wcześniejszych nakazów i decyzji organu (art. 53 ust. 5). Zakaz jest stosowany na czas określony, nie dłuższy niż 14 dni (art. 53e ust. 2), i może być ponawiany do czasu usunięcia uchybień.

Zakaz pełnienia funkcji zarządczych nie dotyczy podmiotów publicznych (art. 53 ust. 10). Wójt, burmistrz, prezydent miasta, starosta ani marszałek województwa nie mogą zostać odsunięci od funkcji na podstawie tego przepisu. Środek ten dotyczy wyłącznie podmiotów kluczowych — nie stosuje się go do podmiotów ważnych.

Jak się chronić — lista kontrolna

Kierownik podmiotu może ograniczyć ryzyko osobistej odpowiedzialności poprzez systematyczne i udokumentowane wypełnianie obowiązków wynikających z ustawy. Poniższa lista kontrolna wskazuje kluczowe działania minimalizujące ekspozycję na kary.

  1. Złóż wniosek o wpis do wykazu w terminie (do 3.10.2026 r.) i aktualizuj dane w ciągu 14 dni od zmian (art. 7c ust. 1, 3)
  2. Podejmij formalne decyzje o wdrożeniu SZBI — udokumentuj je w formie uchwał zarządu lub zarządzeń (art. 8d pkt 1)
  3. Zaplanuj i zabezpiecz budżet na cyberbezpieczeństwo w planie finansowym organizacji (art. 8d pkt 2)
  4. Wyznacz i nadzoruj osoby odpowiedzialne za zadania z zakresu cyberbezpieczeństwa (art. 8d pkt 3)
  5. Przeprowadzaj i dokumentuj coroczne szkolenie z cyberbezpieczeństwa dla siebie i osób odpowiedzialnych (art. 8e)
  6. Zweryfikuj niekaralność osób realizujących zadania z art. 8 i 11 — wymagana informacja z KRK (art. 8f ust. 1)
  7. Zapewnij przeprowadzenie audytu bezpieczeństwa co najmniej raz na 3 lata (art. 15 ust. 1)
  8. Wdróż procedurę zgłaszania incydentów poważnych w wymaganych terminach (24 h / 72 h) przez system S46 (art. 11)
Spis treści
Kto jest kierownikiem wg KSC
5 obowiązków kierownika (art. 8d)
Kary finansowe dla kierownika
Zakaz pełnienia funkcji zarządczych
Jak się chronić — lista kontrolna
Potrzebujesz wsparcia?

Pomagamy we wdrożeniu KSC od identyfikacji statusu po pełny audyt.

Pozostałe artykuły
KlasyfikacjaPodmiot kluczowy vs. ważny — sprawdź swój statusWdrożenieSZBI wg Załącznika nr 4 — przewodnik dla JSTKaryKary finansowe w ustawie o KSC — ile wynoszą?IncydentyRaportowanie incydentów KSC — 24h, 72h, miesiącAudytAudyt bezpieczeństwa KSC — kto i kiedy?ZarządzanieKierownik a cyberbezpieczeństwo — obowiązki KSCWykazRejestracja w wykazie KSC — system S46Łańcuch dostawBezpieczeństwo łańcucha dostaw wg KSCDostawcyDostawca wysokiego ryzyka — procedura KSCNadzórNadzór nad podmiotami KSC — ex ante i ex postTerminyTerminy wdrożenia KSC 2026–2028Sektor finansowyKSC a DORA — obowiązki sektora finansowegoPersonelWeryfikacja niekaralności personelu — art. 8f KSCWspółpracaWymiana informacji o cyberzagrożeniach w KSCKlasyfikacjaNiezależność systemów — wyłączenie z KSCŻywnośćProducent żywności a KSC — obowiązki 2026ICTDostawca chmury a KSC — kto podlega?PrawoKSC a RODO — czym się różnią?ZdrowieSzpital a KSC/NIS2 — lista obowiązkówJSTGmina a KSC — plan wdrożenia krok po krokuOdpadyFirma odpadowa a KSC — czy podlegam?KlasyfikacjaCzy podlegam pod KSC? Sprawdź w 5 minutWykazRejestracja KSC krok po kroku — system S46KaryKary za brak rejestracji w KSC — ile grozi?
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.