Szkolenia8 min czytania

Szkolenie kierownika KSC — obowiązek z art. 8e

Kogo dotyczy obowiązek szkolenia

Obowiązek corocznego szkolenia z zakresu cyberbezpieczeństwa wynika z art. 8e ust. 1 KSC: „Kierownik podmiotu kluczowego lub podmiotu ważnego oraz osoba, której powierzono obowiązki kierownika w zakresie cyberbezpieczeństwa, raz w roku kalendarzowym przechodzi szkolenie”. Obowiązek dotyczy każdego kierownika niezależnie od formy prawnej podmiotu — zarządu spółki, wójta/burmistrza/prezydenta miasta, dyrektora szpitala, rektora uczelni publicznej.

Zakres merytoryczny szkolenia

Zakres szkolenia jest ustalony ustawowo w art. 8e ust. 2 KSC i obejmuje wykonywanie obowiązków, o których mowa w: art. 7b ust. 4, art. 7c, art. 7f ust. 3, art. 8, art. 8d, art. 8f ust. 1 i 2, art. 9–12b, art. 14 i art. 15. Nasze szkolenie obejmuje wszystkie te obszary, dostosowane do roli kierownika (decyzje, nadzór, alokacja zasobów) — bez zbędnego rozdrabniania na techniczne detale operacyjne.

  • Wymiana informacji o cyberzagrożeniach (art. 7b ust. 4) — komunikacja z CSIRT, ISAC
  • Rejestracja w wykazie i obowiązki informacyjne (art. 7c, art. 7f ust. 3)
  • System Zarządzania Bezpieczeństwem Informacji (art. 8) — 14 obszarów, szacowanie ryzyka
  • Decyzje kierownika i alokacja zasobów (art. 8d) — planowanie środków finansowych, polityka SZBI
  • Weryfikacja niekaralności personelu (art. 8f ust. 1 i 2) — KRK przed dopuszczeniem do art. 8 i art. 11
  • Osoby kontaktowe ds. cyberbezpieczeństwa i uprawnienia ich kompetencyjne (art. 9)
  • Klasyfikacja, zgłaszanie i obsługa incydentów poważnych (art. 11–12b) — terminy 24/72 h, raport końcowy
  • Wewnętrzne struktury cyberbezpieczeństwa lub umowa z MSSP (art. 14)
  • Audyt bezpieczeństwa systemu informacyjnego (art. 15) — obowiązek dla PK, terminy, raport

Format i czas trwania

FormatCzas trwaniaKomu polecamy
Szkolenie online (live, prowadzone)4–6 h (1 dzień)Pojedynczy kierownik lub mały zespół zarządczy, brak ograniczeń lokalizacyjnych
Szkolenie stacjonarne w siedzibie klienta6–8 h (1 dzień)Cały zarząd / kadra kierownicza JST, sektory regulowane preferujące on-site
Szkolenie warsztatowe (case studies)2 dni × 6 hDuże podmioty, sektor zdrowia, energetyki, transportu — pogłębienie operacyjne

Terminy i częstotliwość

Szkolenie musi się odbywać raz w roku kalendarzowym (art. 8e ust. 1 KSC). Pierwsze szkolenie dla podmiotów istniejących w dniu wejścia w życie nowelizacji (3 kwietnia 2026 r.) — najpóźniej do 31 grudnia 2027 r. (lub wcześniej, jeśli organizacja chce zachować ciągłość corocznego cyklu od 2027). Dla nowo powstających PK/PW — pierwsze szkolenie w roku, w którym spełniono przesłanki kwalifikacji.

Dokumentacja udziału

Zgodnie z art. 8e ust. 3 KSC udział w szkoleniu musi być udokumentowany. Zapewniamy komplet dokumentacji wymaganej w razie kontroli organu właściwego ds. cyberbezpieczeństwa.

  • Imienne zaświadczenie o ukończeniu szkolenia z datą i podpisem prowadzącego
  • Lista obecności podpisana przez uczestników
  • Program szkolenia mapowany na art. 8e ust. 2 KSC (cytaty wszystkich wymienionych artykułów)
  • Materiały szkoleniowe (slajdy, opracowanie merytoryczne, case studies)
  • Test końcowy (opcjonalnie) z protokołem zaliczenia

Konsekwencje braku szkolenia

Brak udziału kierownika w szkoleniu z art. 8e ust. 1 jest naruszeniem z art. 73 ust. 1 KSC. Kara pieniężna na podmiot: dla PK do 10 mln EUR lub 2% rocznych przychodów (art. 73 ust. 3); dla PW do 7 mln EUR lub 1,4% (art. 73 ust. 4). Niezależnie — kara osobista bezpośrednio na kierownika podmiotu z art. 73a: do 300% rocznego wynagrodzenia (sektor prywatny i publiczny działający w innym sektorze z zał. 1/2 — art. 73a ust. 4) lub do 100% (kierownik podmiotu publicznego — art. 73a ust. 5). Egzekucja od 3 kwietnia 2028 r. (art. 35 ustawy nowelizującej).

Cena i konsultacja

Bezpłatna konsultacja wstępna pozwala dobrać format (online vs stacjonarnie vs warsztat) i ustalić specyficzne potrzeby branży. Wycena indywidualna — zależna od formatu, liczby uczestników i lokalizacji. Dla klientów z Trójmiasta i Pomorza szkolenia stacjonarne bez kosztów delegacji.
FAQ5 pytań

Najczęstsze pytania

Kto musi przejść szkolenie KSC?
Art. 8e ust. 1 KSC wskazuje dwie kategorie osób: (1) kierownik podmiotu kluczowego lub ważnego — czyli zarząd spółki, dyrektor jednostki, wójt/burmistrz/prezydent miasta, dyrektor szpitala, rektor uczelni publicznej; (2) osoba, której powierzono obowiązki kierownika w zakresie cyberbezpieczeństwa — np. CISO, IBI, pełnomocnik ds. cyberbezpieczeństwa wskazany przez zarząd. Powierzenie obowiązków innej osobie nie zwalnia kierownika z odpowiedzialności (art. 8c ust. 3) — w praktyce oba obowiązki szkoleniowe biegną równolegle.
Jak często muszę przechodzić szkolenie?
Raz w roku kalendarzowym (art. 8e ust. 1 KSC). To znaczy że w każdym roku kalendarzowym musi być co najmniej jedno udokumentowane szkolenie kierownika. Zalecamy zachowanie regularnego cyklu — np. zawsze styczeń lub zawsze pierwszy tydzień nowego roku — aby ułatwić planowanie i dokumentację. Nie ma minimalnej liczby godzin szkolenia w ustawie, ale zakres merytoryczny musi obejmować wszystkie artykuły wskazane w art. 8e ust. 2 — w praktyce realizacja w jeden dzień (4-8 h) z konkretną agendą.
Czy szkolenie online spełnia wymagania ustawowe?
Tak — ustawa nie wymaga formy stacjonarnej. Art. 8e ust. 1-3 KSC nie ogranicza formy ani metody przeprowadzenia szkolenia. Kluczowe są: (1) zakres merytoryczny zgodny z art. 8e ust. 2, (2) udokumentowany udział (art. 8e ust. 3), (3) coroczna powtarzalność. Szkolenie online live (Microsoft Teams, Zoom, Google Meet) z imienną listą obecności i materiałami spełnia te wymagania. Do dokumentacji dołączamy dodatkowo nagranie sesji oraz potwierdzenie obecności z systemu.
Co jeśli kierownik nie przejdzie szkolenia w terminie?
Brak udziału w szkoleniu z art. 8e ust. 1 jest naruszeniem ustawy. Kierownik podmiotu ponosi osobistą odpowiedzialność z art. 73a — kara pieniężna do 300% rocznego wynagrodzenia (sektor prywatny + podmiot publiczny w innym sektorze z zał. 1/2) lub do 100% (kierownik podmiotu publicznego — art. 73a ust. 5). Niezależnie od kary osobistej, podmiot może otrzymać karę z art. 73 ust. 1 (do 10/7 mln EUR). Egzekwowanie kar pieniężnych z art. 73 ust. 1-4 oraz art. 73a-73c rozpoczyna się 3 kwietnia 2028 r. (art. 35 ustawy nowelizującej) — z wyjątkiem kary za bezpośrednie i poważne cyberzagrożenie z art. 73 ust. 5, która może być nakładana wcześniej.
Czy mogę połączyć szkolenie kierownika z innymi szkoleniami SZBI?
Tak, ale z zachowaniem rozdziału — szkolenie kierownika z art. 8e ma specyficzny zakres (zarządzanie, decyzje, nadzór, odpowiedzialność osobista) inny od szkoleń operacyjnych personelu. W praktyce możliwe są dwa modele: (a) jednodniowe szkolenie kierownika osobno + osobne szkolenia personelu (art. 8 ust. 1 pkt 2 lit. i — edukacja i wzrost świadomości), (b) wspólny dzień szkoleniowy z dwiema sesjami (rano kierownictwo, popołudniu personel operacyjny) z osobnym dokumentowaniem. Drugi model jest popularny w mniejszych JST i ułatwia logistykę.
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.