Artykuły eksperckie
Artykuły eksperckie

Odpowiedzialność osobista członków zarządów spółek na gruncie dyrektywy NIS2 oraz ustawy o krajowym systemie cyberbezpieczeństwa

⟨⟨ Powrót
Łukasz Kulicki

Łukasz Kulicki

Radca prawny

Radca prawny w Kancelarii After Legal specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.

Masz pytania do autora?

e-mail: kancelaria@afterlegal.pl

tel. +48 500 436 703

Opublikowano: 15 czerwca 2026

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, znana jako dyrektywa NIS 2, wprowadza model zarządzania cyberbezpieczeństwem, w którym ciężar odpowiedzialności spoczywa nie tylko na samym podmiocie, lecz także na osobach kierujących jego działalnością. Polski ustawodawca przeniósł to założenie do ustawy z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (dalej UKSC) w drodze jej nowelizacji z 29 grudnia 2025 r. 

Dla członków zarządów spółek, które zostaną zakwalifikowane jako podmioty kluczowe lub podmioty ważne, oznacza to istotną zmianę. Cyberbezpieczeństwo przestaje być wyłącznie zagadnieniem technicznym delegowanym do działu IT, a staje się obszarem osobistej odpowiedzialności organu zarządzającego. Celem niniejszego artykułu jest pokazanie, na czym polega ta odpowiedzialność, kogo dokładnie obciąża, jaki ma charakter oraz jakie sankcje grożą za jej naruszenie.

Odpowiedzialność organów zarządzających w dyrektywie NIS 2

Punktem wyjścia jest art. 20 dyrektywy NIS 2, zatytułowany „Zarządzanie”. Nakłada on na państwa członkowskie obowiązek zapewnienia trzech rzeczy. Po pierwsze, organy zarządzające mają zatwierdzać środki zarządzania ryzykiem w cyberbezpieczeństwie. Po drugie, mają nadzorować ich wdrażanie. Po trzecie, mogą zostać pociągnięte do odpowiedzialności za naruszenie obowiązków przez podmiot.

Państwa członkowskie zapewniają, aby organy zarządzające podmiotów kluczowych i ważnych zatwierdzały środki zarządzania ryzykiem w cyberbezpieczeństwie przyjęte przez te podmioty w celu zapewnienia zgodności z art. 21, nadzorowały ich wdrażanie i mogły być pociągnięte do odpowiedzialności za naruszanie przez te podmioty tego artykułu.

Konstrukcja przepisu wskazuje, że rola organu zarządzającego ma charakter aktywny. Nie wystarczy formalne przyjęcie polityki bezpieczeństwa. Organ ma realnie zatwierdzić środki, czyli zapoznać się z nimi i ocenić ich adekwatność, a następnie monitorować, czy są one stosowane. 

Motyw 137 preambuły potwierdza, że celem dyrektywy jest zapewnienie wysokiego poziomu odpowiedzialności za środki zarządzania ryzykiem na poziomie podmiotów kluczowych i ważnych.

Dyrektywa wiąże odpowiedzialność z merytorycznym przygotowaniem osób zarządzających. Artykuł 20 ust. 2 ustanawia obowiązek regularnych szkoleń.

Państwa członkowskie zapewniają, aby członkowie organu zarządzającego podmiotów kluczowych i ważnych mieli obowiązek odbywać regularne szkolenia w celu zdobycia wystarczającej wiedzy i umiejętności pozwalających im rozpoznać ryzyko i ocenić praktyki zarządzania ryzykiem w cyberbezpieczeństwie oraz ich wpływ na usługi świadczone przez dany podmiot, a także zachęcają podmioty kluczowe i ważne do oferowania podobnych szkoleń ich pracownikom.

Granice harmonizacji. Czego dyrektywa NIS 2 nie wymaga?

Dyrektywa NIS 2 nie przesądza, jaką postać ma przyjąć odpowiedzialność osób zarządzających w prawie krajowym. Pozostawia tę kwestię państwom członkowskim. Istotne ograniczenie zawiera motyw 128 preambuły.

Niniejsza dyrektywa nie wymaga od państw członkowskich ustanowienia odpowiedzialności karnej lub cywilnej osób fizycznych odpowiedzialnych za zapewnienie, aby podmiot przestrzegał niniejszej dyrektywy, za szkody poniesione przez osoby trzecie w wyniku naruszenia niniejszej dyrektywy.

Z motywu tego wynika, że dyrektywa nie nakazuje wprowadzenia odpowiedzialności cywilnej ani karnej członków zarządu wobec osób trzecich za szkody wywołane naruszeniem. Państwo członkowskie może taką odpowiedzialność przewidzieć, lecz nie ma takiego obowiązku. Polski ustawodawca skorzystał z tej swobody i oparł model odpowiedzialności kierownika podmiotu przede wszystkim na sankcji administracyjnej w postaci kary pieniężnej, o czym mowa w dalszej części artykułu.

Polska transpozycja. Pojęcie kierownika podmiotu

Centralnym przepisem polskiej regulacji jest art. 8c UKSC. Ustanawia on odpowiedzialność kierownika podmiotu kluczowego lub podmiotu ważnego za wykonywanie obowiązków z zakresu cyberbezpieczeństwa.

  • Kierownik podmiotu kluczowego lub podmiotu ważnego ponosi odpowiedzialność za wykonywanie obowiązków w zakresie cyberbezpieczeństwa przez podmiot kluczowy lub podmiot ważny, o których mowa w art. 7b ust. 4, art. 7c, art. 7f ust. 3, art. 8, art. 8d, art. 8e, art. 8f ust. 1 i 2, art. 9-12b, art. 14 i art. 15.
  • W przypadku gdy kierownikiem podmiotu kluczowego lub podmiotu ważnego jest organ wieloosobowy i nie została wskazana osoba odpowiedzialna, odpowiedzialność ponoszą wszyscy członkowie tego organu.
  1. Kierownik podmiotu kluczowego lub podmiotu ważnego ponosi odpowiedzialność także wtedy, gdy niektóre z obowiązków albo wszystkie obowiązki zostały powierzone innej osobie za jej zgodą.

Kluczowe znaczenie ma ustalenie, kto jest kierownikiem podmiotu w rozumieniu ustawy. Pojęcie to nawiązuje do definicji kierownika jednostki zawartej w art. 3 ust. 1 pkt 6 ustawy o rachunkowości, a w odniesieniu do jednostek sektora finansów publicznych do art. 53 ust. 1 ustawy o finansach publicznych.

W praktyce oznacza to, że kierownikiem podmiotu jest członek zarządu lub innego organu zarządzającego. Gdy organ jest wieloosobowy, kierownikiem są wszyscy jego członkowie. Z kręgu tego wyłączeni są pełnomocnicy ustanowieni przez jednostkę.

Dla poszczególnych typów spółek pojęcie to przedstawia się następująco. W spółce jawnej oraz w spółce cywilnej kierownikiem są wspólnicy prowadzący sprawy spółki. W spółce partnerskiej są to wspólnicy prowadzący sprawy spółki albo zarząd. W spółce komandytowej oraz w spółce komandytowo-akcyjnej kierownikiem są komplementariusze prowadzący sprawy spółki. W przypadku jednoosobowej działalności gospodarczej kierownikiem jest sama osoba fizyczna, a do osób wykonujących wolne zawody przepis stosuje się odpowiednio. Pojęcie obejmuje również likwidatora, syndyka, zarządcę ustanowionego w postępowaniu restrukturyzacyjnym oraz zarządcę sukcesyjnego.

Dla spółek kapitałowych, czyli spółki z ograniczoną odpowiedzialnością, prostej spółki akcyjnej oraz spółki akcyjnej kierownikiem podmiotu są członkowie zarządu. To oni ponoszą osobistą odpowiedzialność przewidzianą w ustawie.

Zakres zadań kierownika podmiotu

Ustawa nie ogranicza się do ogólnego wskazania odpowiedzialności. W art. 8d UKSC precyzuje katalog zadań kierownika podmiotu.

Kierownik podmiotu kluczowego lub podmiotu ważnego:

  • podejmuje decyzje w zakresie przygotowania, wdrażania, stosowania, przeglądu i nadzoru systemu zarządzania bezpieczeństwem informacji w podmiocie;
  • planuje adekwatne środki finansowe na realizację obowiązków z zakresu cyberbezpieczeństwa;
  • przydziela zadania z zakresu cyberbezpieczeństwa w tym podmiocie i nadzoruje ich wykonanie;
  • zapewnia, że personel podmiotu jest świadomy obowiązków z zakresu cyberbezpieczeństwa i zna wewnętrzne regulacje podmiotu w tym zakresie;
  • zapewnia zgodność działania tego podmiotu z przepisami prawa oraz z wewnętrznymi regulacjami podmiotu.

Katalog ten pokazuje, że odpowiedzialność kierownika obejmuje zarówno decyzje strategiczne, jak i zapewnienie zasobów. Mowa jest o decyzjach dotyczących systemu zarządzania bezpieczeństwem informacji, planowaniu adekwatnych środków finansowych, przydziale i nadzorze zadań, budowaniu świadomości personelu oraz zapewnieniu zgodności z prawem i regulacjami wewnętrznymi. Szczególnie istotny jest obowiązek planowania środków finansowych. Oznacza on, że niedofinansowanie obszaru cyberbezpieczeństwa może zostać uznane za zaniedbanie po stronie kierownika.

Obowiązek szkoleniowy

Odrębnym, samodzielnym obowiązkiem kierownika jest udział w szkoleniu. Reguluje go art. 8e UKSC, który stanowi rozwinięcie art. 20 ust. 2 dyrektywy.

Kierownik podmiotu kluczowego lub podmiotu ważnego oraz osoba, której powierzono obowiązki kierownika w zakresie cyberbezpieczeństwa, raz w roku kalendarzowym przechodzi szkolenie.

Udział w szkoleniu jest udokumentowany.

Obowiązek ma charakter cykliczny i powtarza się raz w roku kalendarzowym. Obejmuje on kierownika oraz osobę, której powierzono obowiązki kierownika w zakresie cyberbezpieczeństwa. Udział w szkoleniu musi być udokumentowany, co ma znaczenie dowodowe na wypadek kontroli. Niedopełnienie tego obowiązku jest samodzielnie zagrożone karą pieniężną na podstawie art. 73a ust. 1 pkt 4 UKSC.

Odpowiedzialność organu kolegialnego i zakaz cedowania odpowiedzialności

Dwa rozwiązania zawarte w art. 8c UKSC mają zasadnicze znaczenie praktyczne dla członków zarządów.

Pierwsze dotyczy organów wieloosobowych. Zgodnie z art. 8c ust. 2 UKSC, jeżeli kierownikiem jest organ wieloosobowy i nie wskazano osoby odpowiedzialnej, odpowiedzialność ponoszą wszyscy członkowie tego organu. W typowym zarządzie spółki kapitałowej oznacza to, że odpowiedzialność obciąża każdego z członków zarządu, dopóki organ nie dokona wewnętrznego podziału kompetencji i nie wskaże osoby odpowiedzialnej za obszar cyberbezpieczeństwa. Wskazanie takiej osoby jest więc instrumentem zarządzania ryzykiem prawnym wewnątrz organu.

Drugie rozwiązanie wynika z art. 8c ust. 3 UKSC. Powierzenie obowiązków innej osobie za jej zgodą nie zwalnia kierownika z odpowiedzialności. Odpowiedzialność ta ma charakter osobisty. Kierownik nie może scedować jej na podwładnych ani na podmiot zewnętrzny, któremu powierzono obsługę cyberbezpieczeństwa. Nawet jeśli faktyczne wykonanie zadań przejmie wyspecjalizowany zespół lub dostawca usług zarządzanych, to kierownik pozostaje podmiotem odpowiedzialnym za naruszenie.

Powierzenie zadań osobie trzeciej zachowuje znaczenie organizacyjne i może wpływać na ocenę staranności kierownika, lecz nie przenosi samej odpowiedzialności. Z punktu widzenia członka zarządu praktyczne znaczenie ma więc nie tyle formalne delegowanie, ile wykazanie, że dochował on należytej staranności w doborze, instruowaniu i nadzorowaniu osób, którym powierzono zadania.

Sankcje finansowe wobec kierownika

Materialnym wyrazem odpowiedzialności kierownika jest kara pieniężna uregulowana w art. 73a UKSC. Przepis ten wymienia szczegółowo przypadki niewykonania obowiązków, które mogą prowadzić do jej nałożenia.

Karze pieniężnej może podlegać kierownik podmiotu kluczowego lub podmiotu ważnego (…) jeżeli przemawia za tym czas, zakres lub charakter naruszenia.

Katalog czynów obejmuje między innymi niewykonanie obowiązków dotyczących środków zarządzania ryzykiem, obsługi i zgłaszania incydentów, wyznaczenia osób do kontaktu, obowiązku szkoleniowego oraz obowiązków informacyjnych wobec organów. Co istotne, odpowiedzialność może powstać także wtedy, gdy zaniechanie miało charakter jednorazowy.

Karze pieniężnej może podlegać także kierownik podmiotu kluczowego lub podmiotu ważnego, którego zaniechanie w realizacji obowiązków (…) miało charakter jednorazowy.

Jakie są dokładnie te obowiązki? Spójrz na poniższą listę:

  1. uzupełnienie brakujących danych w wykazie (przy wpisie z urzędu), złożenie wniosku o wpis w terminie 6 miesięcy od spełnienia przesłanek oraz wniosku o zmianę wpisu w 14 dni od zmiany danych, a także wniosku o wykreślenie po utracie statusu,
  2. systematyczne szacowanie i zarządzanie ryzykiem, proporcjonalne środki techniczne i organizacyjne, zbieranie informacji o zagrożeniach, zarządzanie incydentami, środki ograniczające skutki incydentów, bezpieczna komunikacja,
  3. decyzje co do przygotowania/przeglądu/nadzoru SZBI, zaplanowanie środków finansowych, przydział i nadzór zadań, zapewnienie świadomości personelu i zgodności z prawem,
  4. odbycie corocznego szkolenia, 
  5. weryfikacja niekaralności osób realizujących zadania z art. 8 lub 11,
  6. wyznaczenie co najmniej dwóch osób do kontaktu z podmiotami KSC (lub jednej przy mikro i małym przedsiębiorcy),
  7. umożliwienie zgłoszenia cyberzagrożenia, incydentu lub podatności związanych ze świadczoną usługą,
  8. wprowadzenie dokumentacji w zakresie cyberbezpieczeństwa w tym jej późniejsze stosowanie, aktualizacja, nadzór i przechowywanie,
  9. obsługa i zgłaszanie incydentów poważnych: obsługa i klasyfikacja, zgłoszenie w 24 h do CSIRT MON/NASK/GOV oraz 72 h do CSIRT sektorowego, współdziałanie, usuwanie podatności, informowanie użytkowników,
  10. przekazanie sprawozdania końcowego bez wymaganych elementów (opis incydentu i szkód, źródło zagrożenia, zastosowane środki ograniczające ryzyko, skutki transgraniczne),
  11. powołanie wewnętrznych struktur ds. cyberbezpieczeństwa albo zawarcie umowy z podmiotem zewnętrznym świadczącym takie usługi,
  12. zapewnienie audytu bezpieczeństwa co najmniej raz na 2 lata i przekazanie kopii raportu organowi właściwemu. 

Wysokość kary została powiązana z wynagrodzeniem kierownika. Zgodnie z art. 73a ust. 4 UKSC kara może wynieść do 300 procent wynagrodzenia ukaranego.

Kara pieniężna, o której mowa w ust. 1-3, może być wymierzona w kwocie nie większej niż 300 % otrzymywanego przez ukaranego wynagrodzenia obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop.

W przypadku kierownika podmiotu publicznego górny pułap jest niższy i wynosi do 100 procent wynagrodzenia, co wynika z art. 73a ust. 5 UKSC. Kara nakładana na kierownika ma charakter samodzielny i może zostać orzeczona niezależnie od kary pieniężnej nakładanej na sam podmiot na podstawie art. 73 ustawy. Oznacza to, że jedno naruszenie może skutkować dwiema odrębnymi sankcjami. Jedną wobec spółki i drugą wobec osoby kierującej.

Zakaz pełnienia funkcji zarządczych

Najdalej idącą konsekwencją przewidzianą w dyrektywie NIS 2 jest czasowy zakaz pełnienia funkcji zarządczych. Wynika on z art. 32 ust. 5 dyrektywy i dotyczy podmiotów kluczowych. Środek ten może zostać zastosowany, gdy wcześniejsze środki egzekwowania okażą się nieskuteczne, a podmiot nie usunie uchybień w wyznaczonym terminie.

Właściwe organy są uprawnione do zwrócenia się do właściwych instytucji lub sądów, zgodnie z prawem krajowym, o nałożenie tymczasowego zakazu pełnienia funkcji zarządczych w tym podmiocie kluczowym na osobę fizyczną wykonującą obowiązki zarządcze na poziomie dyrektora generalnego lub przedstawiciela prawnego w tym podmiocie.

Zakaz ma charakter tymczasowy i obowiązuje do czasu usunięcia uchybień. Dyrektywa zastrzega przy tym gwarancje proceduralne, w tym prawo do skutecznej ochrony prawnej, domniemanie niewinności oraz prawo do obrony. Środek ten nie ma zastosowania do podmiotów administracji publicznej. Dla menedżera sektora prywatnego oznacza on jednak realne ryzyko czasowego wyłączenia z zarządzania spółką, co stanowi dotkliwą sankcję wykraczającą poza wymiar finansowy.

Wnioski praktyczne dla członków zarządu

Z przedstawionej analizy wynika kilka praktycznych wskazań.

  1. Ustalenie statusu spółki. Należy sprawdzić, czy spółka jest podmiotem kluczowym lub podmiotem ważnym, ponieważ od tego zależy stosowanie omawianych obowiązków.
  2. Wewnętrzny podział kompetencji. Wskazanie w zarządzie osoby odpowiedzialnej za cyberbezpieczeństwo porządkuje odpowiedzialność i ogranicza ryzyko obciążenia wszystkich członków organu.
  3. Realne zaangażowanie organu. Zatwierdzanie środków zarządzania ryzykiem powinno być poprzedzone rzeczywistą oceną, a nie mieć charakteru wyłącznie formalnego. Warto dokumentować decyzje zarządu w tym zakresie.
  4. Zapewnienie finansowania. Planowanie adekwatnych środków finansowych jest ustawowym zadaniem kierownika, a jego brak może zostać uznany za zaniedbanie.
  5. Udział w szkoleniach. Obowiązek szkoleniowy jest samodzielnie sankcjonowany, dlatego udział w szkoleniach należy realizować i dokumentować.
  6. Świadomość granic delegowania. Powierzenie zadań nie zwalnia z odpowiedzialności, dlatego kluczowe jest wykazanie należytej staranności w nadzorze nad osobami i dostawcami.

Model odpowiedzialności wprowadzony przez dyrektywę NIS 2 i UKSC przesuwa cyberbezpieczeństwo na poziom organu zarządzającego. Dla członków zarządów spółek będących podmiotami kluczowymi lub podmiotami ważnymi oznacza to konieczność traktowania tego obszaru jako elementu obowiązków zarządczych, którego zaniedbanie wiąże się z osobistą odpowiedzialnością administracyjną oraz z ryzykiem czasowego zakazu pełnienia funkcji.

Checklista compliance NIS 2 / UKSC dla zarządu

Status i odpowiedzialność

Ustaliliśmy, czy spółka jest podmiotem kluczowym lub ważnym, i potwierdziliśmy wpis do wykazu (art. 7–7c UKSC)

Wiemy, że odpowiedzialność za cyberbezpieczeństwo spoczywa na kierowniku podmiotu, którym w spółce kapitałowej jest zarząd

Mamy świadomość, że przy zarządzie wieloosobowym bez wskazania osoby odpowiedzialnej odpowiadają wszyscy członkowie (art. 8c ust. 2)

Wskazaliśmy formalnie (uchwałą) członka zarządu odpowiedzialnego za cyberbezpieczeństwo

Organizacja i nadzór

Zatwierdziliśmy środki zarządzania ryzykiem po rzeczywistej ocenie, nie tylko formalnie (art. 20 ust. 1 NIS 2)

Nadzorujemy wdrażanie środków i okresowo weryfikujemy ich skuteczność

Wdrożyliśmy i utrzymujemy system zarządzania bezpieczeństwem informacji (SZBI) (art. 8 UKSC)

Przydzieliliśmy zadania z zakresu cyberbezpieczeństwa i nadzorujemy ich wykonanie (art. 8d pkt 3)

Pamiętamy, że powierzenie zadań osobie trzeciej nie zwalnia z odpowiedzialności (art. 8c ust. 3) i dokumentujemy nadzór nad delegacją

Finansowanie i zasoby

Zaplanowaliśmy adekwatne środki finansowe na obowiązki z zakresu cyberbezpieczeństwa (art. 8d pkt 2)

Powołaliśmy wewnętrzne struktury ds. cyberbezpieczeństwa albo zawarliśmy umowę z dostawcą zewnętrznym (art. 14)

Szkolenia i świadomość

Członkowie zarządu odbywają coroczne, udokumentowane szkolenie (art. 8e – sankcjonowane samodzielnie)

Zapewniamy, że personel zna obowiązki i wewnętrzne regulacje (art. 8d pkt 4)

Zweryfikowaliśmy niekaralność osób realizujących zadania z art. 8 i art. 11 (art. 8f)

Incydenty i sprawozdawczość

Mamy procedurę obsługi i klasyfikacji incydentów oraz zgłoszeń: 24 h do CSIRT MON/NASK/GOV, 72 h do CSIRT sektorowego (art. 11)

Zapewniliśmy użytkownikom kanał zgłaszania cyberzagrożeń, incydentów i podatności

Prowadzimy i przechowujemy dokumentację cyberbezpieczeństwa (art. 10)

Zapewniamy audyt bezpieczeństwa co najmniej raz na 2 lata i przekazujemy raport organowi (art. 15)

Świadomość ryzyka osobistego

Wiemy, że kara pieniężna może sięgnąć 300% wynagrodzenia (100% w podmiocie publicznym) – art. 73a

Mamy świadomość możliwego czasowego zakazu pełnienia funkcji zarządczych (art. 32 ust. 5 NIS 2)

Gromadzimy dowody należytej staranności (uchwały, protokoły, certyfikaty szkoleń) na wypadek postępowania