Zarządzanie7 min czytania

Zarząd a KSC — odpowiedzialność osobista

Kto jest kierownikiem wg KSC

Ustawa o KSC posługuje się pojęciem kierownika podmiotu kluczowego lub podmiotu ważnego. W zależności od formy prawnej organizacji kierownikiem jest: prezes zarządu (spółki kapitałowe), wspólnik zarządzający (spółki osobowe), wójt, burmistrz lub prezydent miasta (gminy), starosta (powiaty), marszałek województwa, dyrektor (instytucje publiczne). Art. 8c ust. 1 wprost stanowi, że kierownik ponosi odpowiedzialność za wykonywanie obowiązków w zakresie cyberbezpieczeństwa — szczegóły operacyjne omawiamy w artykule o odpowiedzialności kierownika.

Jeżeli kierownikiem jest organ wieloosobowy (np. zarząd spółki) i nie wskazano osoby odpowiedzialnej — odpowiedzialność ponoszą wszyscy członkowie tego organu (art. 8c ust. 2). Powierzenie obowiązków innej osobie nie zwalnia kierownika z odpowiedzialności (art. 8c ust. 3).

5 obowiązków kierownika (art. 8d)

Art. 8d ustawy o KSC nakłada na kierownika podmiotu kluczowego lub ważnego pięć konkretnych obowiązków zarządczych w zakresie cyberbezpieczeństwa, w tym nadzór nad wdrożeniem SZBI. Ich niewykonanie stanowi samodzielną przesłankę nałożenia kary pieniężnej na kierownika (art. 73a ust. 1 pkt 3).

  1. Podejmowanie decyzji w zakresie przygotowania, wdrażania, stosowania, przeglądu i nadzoru systemu zarządzania bezpieczeństwem informacji (SZBI) w podmiocie (art. 8d pkt 1)
  2. Planowanie adekwatnych środków finansowych na realizację obowiązków z zakresu cyberbezpieczeństwa (art. 8d pkt 2)
  3. Przydzielanie zadań z zakresu cyberbezpieczeństwa w podmiocie i nadzorowanie ich wykonania (art. 8d pkt 3)
  4. Zapewnienie, że personel podmiotu jest świadomy obowiązków z zakresu cyberbezpieczeństwa i zna wewnętrzne regulacje (art. 8d pkt 4)
  5. Zapewnienie zgodności działania podmiotu z przepisami prawa oraz z wewnętrznymi regulacjami (art. 8d pkt 5)
Kierownik (oraz osoba, której powierzono obowiązki w zakresie cyberbezpieczeństwa) musi raz w roku kalendarzowym przejść udokumentowane szkolenie obejmujące obowiązki z art. 7b ust. 4, art. 7c, art. 7f ust. 3, art. 8, art. 8d, art. 8f ust. 1 i 2, art. 9–12b, art. 14 i art. 15 (art. 8e ust. 1–3). Brak szkolenia to odrębna przesłanka kary (art. 73a ust. 1 pkt 4).

Kary finansowe dla kierownika

Kary pieniężne dla kierownika są nakładane niezależnie od kar nałożonych na podmiot (art. 73a ust. 3). Ich wysokość zależy od tego, czy podmiot jest publiczny czy prywatny. Przesłanki kary obejmują m.in. niewykonanie obowiązków z art. 8d, brak szkolenia (art. 8e), niezłożenie wniosku o wpis do wykazu (art. 7c), niewdrożenie SZBI (art. 8) i niezgłoszenie incydentu (art. 11).

Rodzaj podmiotuMaksymalna kara dla kierownikaPodstawa prawna
Podmiot prywatnyDo 300% wynagrodzenia (ekwiwalent za urlop)art. 73a ust. 4
Podmiot publicznyDo 100% wynagrodzenia (ekwiwalent za urlop)art. 73a ust. 5 zd. 1
Podmiot publiczny podlegający KSC także z innego sektora (zał. 1 lub 2)Do 300% wynagrodzeniaart. 73a ust. 5 zd. 2
Wyjątek z art. 73a ust. 5 zd. 2: Jeżeli podmiot publiczny podlega KSC również na podstawie innego sektora z załącznika nr 1 lub 2 (np. szpital publiczny — sektor zdrowia), to do kary dla kierownika stosuje się pułap 300% wynagrodzenia zamiast 100%. Dotyczy to np. dyrektorów szpitali publicznych, prezesów spółek komunalnych z sektora wodno-kanalizacyjnego.

Zakaz pełnienia funkcji zarządczych

Art. 53 ust. 9 pkt 6 ustawy daje organowi właściwemu możliwość zakazania kierownikowi podmiotu kluczowego pełnienia funkcji zarządczych — jeżeli podmiot nie zastosował się do wcześniejszych decyzji organu (art. 53 ust. 5). Zakaz jest stosowany na czas określony, nie dłuższy niż 14 dni (art. 53e ust. 2), i może być ponawiany do czasu usunięcia uchybień.

Zakaz pełnienia funkcji zarządczych nie dotyczy podmiotów publicznych (art. 53 ust. 10). Wójt, burmistrz, prezydent miasta, starosta ani marszałek województwa nie mogą zostać odsunięci od funkcji na podstawie tego przepisu. Środek ten dotyczy wyłącznie podmiotów kluczowych — nie stosuje się go do podmiotów ważnych.

Jak się chronić — lista kontrolna

Kierownik podmiotu może ograniczyć ryzyko osobistej odpowiedzialności poprzez systematyczne i udokumentowane wypełnianie obowiązków wynikających z ustawy. Poniższa lista kontrolna wskazuje kluczowe działania minimalizujące ekspozycję na kary.

  1. Złóż wniosek o wpis do wykazu w terminie (dla istniejących podmiotów — wg komunikatu Ministra Cyfryzacji, art. 34 ust. 3 nowel.; dla nowych — 6 mies. od spełnienia przesłanek, art. 7c ust. 1) i aktualizuj dane w ciągu 14 dni od zmian (art. 7c ust. 3)
  2. Podejmij formalne decyzje o wdrożeniu SZBI — udokumentuj je w formie uchwał zarządu lub zarządzeń (art. 8d pkt 1)
  3. Zaplanuj i zabezpiecz budżet na cyberbezpieczeństwo w planie finansowym organizacji (art. 8d pkt 2)
  4. Wyznacz i nadzoruj osoby odpowiedzialne za zadania z zakresu cyberbezpieczeństwa (art. 8d pkt 3)
  5. Przeprowadzaj i dokumentuj coroczne szkolenie z cyberbezpieczeństwa dla siebie i osób odpowiedzialnych (art. 8e)
  6. Zweryfikuj niekaralność osób realizujących zadania z art. 8 i 11 — wymagana informacja z KRK (art. 8f ust. 1)
  7. Zapewnij przeprowadzenie audytu bezpieczeństwa co najmniej raz na 3 lata (art. 15 ust. 1)
  8. Wdróż procedurę zgłaszania incydentów poważnych w wymaganych terminach (24 h / 72 h) przez system S46 (art. 11)
FAQ4 pytania

Najczęstsze pytania

Czy zarząd odpowiada osobiście za cyberbezpieczeństwo?
Tak — kierownik podmiotu (zarząd, prezes, wójt, dyrektor) ponosi osobistą, finansową odpowiedzialność za zapewnienie wdrożenia obowiązków KSC w organizacji (art. 8c w zw. z art. 73a KSC). Odpowiedzialność jest nieprzenoszalna — wyznaczenie CISO czy outsourcing bezpieczeństwa nie zwalnia kierownika z obowiązków ustawowych.
Jaka maksymalna kara dla członka zarządu w KSC?
Do 300% wynagrodzenia obliczanego wg zasad ekwiwalentu za urlop — dla kierownika podmiotu prywatnego (art. 73a ust. 4 KSC). Dla kierownika podmiotu publicznego — do 100% wynagrodzenia (art. 73a ust. 5). Kara jest niezależna od kary nakładanej na podmiot i może dotyczyć każdego członka organu zarządzającego.
Czy zarząd musi się szkolić z cyberbezpieczeństwa?
Tak — obowiązek szkolenia dla członków organu zarządzającego co najmniej raz w roku (art. 8e ust. 1 KSC). Szkolenie ma obejmować: zarządzanie ryzykiem cybernetycznym, odpowiedzialność prawną, aktualne zagrożenia, praktyki reagowania na incydenty. Dokumentacja szkoleń (agendy, listy obecności, certyfikaty) jest przedmiotem kontroli.
Co grozi za brak szkolenia zarządu w KSC?
Kara pieniężna na podmiot oraz osobista kara finansowa na członka zarządu (art. 73 i 73a KSC). Dodatkowo brak szkoleń to istotny czynnik obciążający przy ustalaniu wysokości kary za inne naruszenia — organ właściwy traktuje to jako dowód braku należytej staranności. W razie poważnego incydentu brak szkoleń może skutkować karą znacznie zwielokrotnioną.
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.