Zmiana ustawy o Krajowym Systemie Cyberbezpieczeństwa

3 kwietnia 2026 r. weszła w życie nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa, wdrażająca dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (NIS2).

Samoocena i obowiązek wpisu do wykazu

Nowelizacja UKSC odchodzi od zasady oceny przesłanek uznania za podmiot regulowany przez organy administracji, na rzecz obowiązku dokonania samooceny. Podobnie w przypadku rejestracji – to sam podmiot, na podstawie wyników samodzielnie przeprowadzonej weryfikacji musi złożyć w formie elektronicznej wniosek o wpis do wykazu w odpowiednim terminie. Organizacja składa wniosek o wpis do wykazu w terminie 6 miesięcy od dnia spełnienia przesłanek uznania za podmiot kluczowy lub ważny.

Cyberbezpieczeństwo jako element ładu korporacyjnego

Z punktu widzenia stricte korporacyjnego znaczącej zmianie uległa rola członków zarządów Spółek obowiązanych do stosowania ww. ustawy. Z pełnym przekonaniem można stwierdzić, że z momentem wejścia w życie ww. nowelizacji nastąpiła zdecydowana zmiana niejako modelu organizacyjnego firmy pod kątem podziału zakresu obowiązków, traktowanego „modelowo” w ten sposób, że obszar bezpieczeństwa (ryzyka) cyfrowego stanowiący tradycyjnie kwestie z zakresu IT, przestaje być tylko taką specjalizacyjnie postrzeganą dziedziną, a staje się elementem ładu korporacyjnego. I to zasadniczo tak samo istotnym i realnym jak ryzyko finansowe czy prawne. W praktyce sprowadza się to do sprawowania przez zarząd bezpośredniego nadzoru nad obszarem bezpieczeństwa IT, podejmowania decyzji w oparciu o ocenę ryzyka oraz zapewnienia odpowiednich zasobów na realizację wymagań regulacyjnych. Tym samym rola zarządu w obszarze cyberbezpieczeństwa staje się elementem bieżącego zarządzania organizacją. 

Nowe obowiązki kierownictwa i zarządów

Nastąpiło znaczne rozszerzenie odpowiedzialności osób pełniących funkcje kierownicze w podmiotach objętych krajowym systemem cyberbezpieczeństwa.

Kierownicy podmiotów kwalifikujących się pod wymagania NIS2 podlegają wielu nowym obowiązkom, takim jak:
– dbanie wpis do wykazu podmiotów kluczowych lub podmiotów ważnych wraz z jego aktualizacją;
– wdrożenie systemu zarządzania bezpieczeństwem informacji;
– zgłaszanie incydentów;
– przeprowadzanie okresowych audytów (podmioty kluczowe muszą co najmniej raz na 3 lata na własny koszt przeprowadzić audyt bezpieczeństwa systemu informacyjnego).

Zmiana zasad odpowiedzialności za nieprzestrzeganie obowiązków ustawowych

Niezależnie od odpowiedzialności samej Spółki, to Kierownik (w przypadku Spółek kapitałowych – członek zarządu) podmiotu kluczowego lub podmiotu ważnego ponosi odpowiedzialność za wykonywanie obowiązków w zakresie cyberbezpieczeństwa przez ten podmiot i za ewentualne zaniechania w tym zakresie. W przypadku gdy zarząd jest wieloosobowy i nie została wskazana osoba odpowiedzialna, odpowiedzialność ponoszą wszyscy jego członkowie.

Co ważne, powierzenie niektórych lub wszystkich z tych obowiązków innej osobie nie zwalnia kierownictwa z odpowiedzialności. W przypadku poważnych uchybień organ może nałożyć na kierownika zakaz pełnienia funkcji zarządczych. Kierownik podmiotu kluczowego lub ważnego może być ukarany karą pieniężną za niewykonywanie obowiązków ustawowych. Kara może wynieść do 300% miesięcznego wynagrodzenia kierownika podmiotu (w przypadku podmiotu publicznego do 100% wynagrodzenia).

Autor:  Maciej Taube, Senior Associate