sekretariat@drab-legal.pl

+48 691 056 465

Odpowiedzialność członka zarządu i rady nadzorczej

Czyli o tym, jak suchą nogą przejść przez okres kadencji w spółce

Monika Drab

radczyni prawna

Jestem także licencjonowaną doradczynią restrukturyzacyjną, ekspertką BCC ds. odpowiedzialności prawnej członków zarządu [Więcej]

Dokumenty i usługi dla Ciebie

Odpowiedzialność członka zarządu za cyberbezpieczeństwo. NIS2 i nowelizacja KSC zmieniają zasady gry

Poniedziałek. Godzina 7:03.

Telefon dzwoni drugi raz.

Dyrektor IT nie odbiera.

Dyrektor finansowy wysyła krótką wiadomość:

„Nie działają płatności”.

Kilka minut później pojawia się kolejna informacja:

„System ERP jest niedostępny”.

Następnie:

„Prawdopodobnie mamy incydent cyberbezpieczeństwa”.

W ciągu godziny okazuje się, że organizacja nie może realizować przelewów, część pracowników nie ma dostępu do systemów, a kontrahenci oczekują odpowiedzi, kiedy działalność wróci do normalnego funkcjonowania.

Jeszcze kilka lat temu taki scenariusz był traktowany jako problem działu IT.

Dzisiaj jest to problem zarządu.

Co więcej – od 3 kwietnia 2026 r. może stać się również źródłem osobistej odpowiedzialności członków zarządu za cyberbezpieczeństwo i kierownictwa organizacji.

Nowelizacja ustawy o KSC i NIS2 – dlaczego zarządy powinny działać już teraz?

3 kwietnia 2026 r. weszła w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (uKSC), wdrażająca wymagania dyrektywy NIS2.

W praktyce oznacza to, że tysiące przedsiębiorstw, spółek komunalnych, podmiotów publicznych oraz organizacji świadczących usługi kluczowe zostały objęte nowymi obowiązkami w zakresie cyberbezpieczeństwa.

Wielu członków zarządu zakłada, że skoro pierwsze obowiązkowe audyty mają zostać przeprowadzone do 3 kwietnia 2028 r., jest jeszcze dużo czasu.

To niebezpieczne założenie.

Dwa lata to bardzo niewiele, szczególnie gdy organizacja nie wie:

  • czy podlega pod NIS2,
  • jakie obowiązki musi wdrożyć,
  • jakie posiada luki organizacyjne,
  • kto odpowiada za cyberbezpieczeństwo,
  • czy obecne procedury spełniają wymagania ustawowe.

Odpowiedzialność członka zarządu za cyberbezpieczeństwo – czego wielu przedsiębiorców nadal nie wie?

Największym zaskoczeniem dla wielu zarządów jest fakt, że nowe przepisy nie koncentrują się wyłącznie na odpowiedzialności organizacji.

Koncentrują się również na odpowiedzialności osób zarządzających.

Zgodnie z art. 8c ustawy o krajowym systemie cyberbezpieczeństwa kierownik podmiotu kluczowego lub ważnego odpowiada za realizację obowiązków cyberbezpieczeństwa nawet wtedy, gdy zadania zostały powierzone innym osobom lub zewnętrznym dostawcom.

Innymi słowy:

Nie wystarczy powiedzieć:

  • „mamy dział IT”,
  • „obsługuje nas zewnętrzna firma informatyczna”,
  • „to był problem dostawcy”.

To kierownictwo odpowiada za nadzór nad systemem cyberbezpieczeństwa.

A brak wiedzy technicznej nie zwalnia z odpowiedzialności.

Jakie kary przewiduje nowelizacja KSC?

Nowe regulacje przewidują bardzo dotkliwe sankcje.

W zależności od rodzaju podmiotu możliwe są między innymi:

Kara do 10 mln euro lub 2% rocznego obrotu

w przypadku podmiotów kluczowych.

Kara osobista dla kierownika podmiotu

sięgająca nawet 300% miesięcznego wynagrodzenia.

Kara nadzwyczajna do 100 mln zł

przewidziana dla najpoważniejszych przypadków naruszeń.

To jednak tylko część problemu.

Cyberatak może kosztować znacznie więcej niż kara administracyjna

Większość zarządów skupia się na wysokości potencjalnych sankcji.

Tymczasem rzeczywiste skutki incydentu cyberbezpieczeństwa są często znacznie poważniejsze.

Mogą obejmować:

  • zatrzymanie działalności operacyjnej,
  • utratę przychodów,
  • brak możliwości realizacji usług,
  • utratę danych,
  • odpowiedzialność wobec kontrahentów,
  • koszty odtworzenia infrastruktury,
  • szkody reputacyjne,
  • obowiązkowe działania naprawcze.

Najbardziej niepokojące jest jednak coś innego.

Większość organizacji nie potrafi odpowiedzieć na jedno podstawowe pytanie:

Ile naprawdę kosztowałby cyberatak na naszą organizację?

Zarządy wiedzą:

  • ile wynoszą przychody spółki,
  • ile kosztuje nowa inwestycja,
  • ile wynosi EBITDA,
  • ile kosztuje finansowanie.

Jednocześnie bardzo często nie wiedzą, jakie byłyby skutki finansowe zatrzymania działalności przez 24 godziny, 72 godziny czy tydzień.

A trudno zarządzać ryzykiem, którego nie potrafimy wycenić.

Największy błąd zarządów w 2026 roku

W praktyce najczęściej spotykam organizacje, które:

  • nie przeprowadziły analizy luk,
  • nie posiadają aktualnej oceny ryzyka,
  • nie wiedzą, czy spełniają wymagania NIS2,
  • nie przygotowały się do przyszłego audytu,
  • nie przeszkoliły kadry kierowniczej.

W wielu przypadkach problemem nie jest brak technologii.

Problemem jest brak wiedzy i brak nadzoru.

Jak przygotować organizację do nowych obowiązków?

Pierwszym krokiem nie powinien być zakup kolejnego systemu bezpieczeństwa.

Pierwszym krokiem powinno być ustalenie:

  • gdzie znajdują się luki,
  • jaki jest poziom zgodności z uKSC i NIS2,
  • jakie są rzeczywiste ryzyka dla organizacji,
  • jakie byłyby skutki finansowe cyberataku,
  • jakie działania należy wdrożyć w pierwszej kolejności.

Szkolenia dla członków zarządu i kadry kierowniczej

W Kancelarii Radcy Prawnego Monika Drab prowadzimy szkolenia dla:

  • członków zarządów,
  • rad nadzorczych,
  • spółek komunalnych,
  • kadry kierowniczej,
  • compliance officerów,
  • risk managerów,
  • organizacji objętych NIS2 i uKSC.

Podczas warsztatów analizujemy rzeczywiste scenariusze kryzysowe i pokazujemy, jakie decyzje powinien podejmować zarząd w pierwszych godzinach po incydencie.

Uczestnicy poznają nie tylko obowiązki prawne, ale również praktyczne aspekty zarządzania ryzykiem cyberbezpieczeństwa.

Kompleksowe rozwiązanie dla zarządów – prawo i cyberbezpieczeństwo

Sama wiedza prawna nie wystarczy.

Dlatego wspólnie z ekspertami cyberbezpieczeństwa z Source Code Control Polska przygotowaliśmy rozwiązanie pozwalające ocenić rzeczywistą gotowość organizacji do nowych wymagań.

W ramach współpracy oferujemy:

Impact of Breach – wycena skutków cyberataku w 48 godzin

W ciągu 48 godzin organizacja otrzymuje raport pokazujący rzeczywiste skutki finansowe potencjalnego cyberataku.

Nie jest to ogólna analiza ryzyka.

To konkretna kwota pokazująca:

  • potencjalną utratę przychodów,
  • koszty naprawcze,
  • ryzyka regulacyjne,
  • koszty pośrednie.

Ocena gotowości do uKSC i NIS2

Przeprowadzana jest niezależna ocena obejmująca:

  • analizę zgodności z wymaganiami uKSC,
  • identyfikację luk,
  • ocenę dojrzałości organizacji,
  • roadmapę wdrożenia,
  • wycenę działań naprawczych.

Warsztaty dla zarządów i kadry kierowniczej

Praktyczne szkolenia obejmujące:

  • odpowiedzialność członków zarządu,
  • cyberbezpieczeństwo jako ryzyko biznesowe,
  • NIS2,
  • uKSC,
  • governance,
  • compliance,
  • operational resilience,
  • zarządzanie sytuacjami kryzysowymi.

Czy Państwa organizacja jest gotowa na pierwszy audyt?

Największym błędem jest przekonanie, że do 2028 roku jest jeszcze dużo czasu.

W rzeczywistości wiele organizacji nie rozpoczęło nawet procesu identyfikacji luk.

A gdy dojdzie do incydentu, organ nadzorczy nie będzie pytał wyłącznie o to, czy doszło do cyberataku.

Będzie pytał również:

Co zrobił zarząd, aby mu zapobiec?

I właśnie od odpowiedzi na to pytanie może zależeć odpowiedzialność członków zarządu.

W czym mogę Ci pomóc?

Na blogu jest wiele artykułów, w których dzielę się swoją wiedzą bezpłatnie.

Jeżeli potrzebujesz indywidualnej płatnej pomocy prawnej, to zapraszam Cię do kontaktu.

Przedstaw mi swój problem, a ja zaproponuję, co możemy wspólnie w tej sprawie zrobić i ile będzie kosztować moja praca.

Monika Drab

radca prawny

    Twoje dane osobowe będą przetwarzane przez Monika Drab Kancelaria Radcowska w celu obsługi przesłanego zapytania. Szczegóły: polityka prywatności.

    Zostaw komentarz

    Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

    Strategy, design, marketing & support by web.lex

    0
      0
      Twój koszyk
      Your cart is emptyReturn to Shop
      Continue Shopping
      Przewijanie do góry