Przez lata bezpieczeństwo IT w polskich firmach było tematem dla działu IT. Zarząd zatwierdzał budżet, dział IT kupował rozwiązania, i temat znikał z agendy na kolejny rok. Nowelizacja ustawy o KSC, która obowiązuje od 3 kwietnia 2026 roku, kończy ten model.
Odpowiedzialność za wdrożenie środków zarządzania ryzykiem cyberbezpieczeństwa spoczywa teraz bezpośrednio na kierowniku podmiotu — czyli na zarządzie, nie na dziale IT. I nie jest to odpowiedzialność abstrakcyjna.
Konkretna sankcja (art. 73a ust. 4 ustawy o KSC): kara finansowa dla kierownika podmiotu prywatnego wynosi do 300% jego miesięcznego wynagrodzenia, obliczanego według zasad ekwiwalentu za urlop. To nie jest kara dla firmy — to kara dla osoby zarządzającej, liczona od jej osobistego wynagrodzenia.
Co dokładnie musi zrobić zarząd — i kiedy
Ustawa nie wymaga od członków zarządu żeby zostali ekspertami od cyberbezpieczeństwa. Wymaga trzech konkretnych rzeczy — i część z nich musi się zadziać już teraz, nie dopiero w 2027 roku.
Pełne wdrożenie systemu zarządzania bezpieczeństwem informacji wymagane jest do 3 kwietnia 2027 roku. Ale zarząd musi już teraz zatwierdzić plan dojścia do tego celu i odbyć szkolenie. Im wcześniej powstanie dokumentacja pokazująca, że proces ruszył, tym mocniejsza jest pozycja kierownictwa w razie kontroli.
- Zatwierdzenie planu wdrożenia lub wstępnej polityki zarządzania ryzykiem. Docelowy system zarządzania bezpieczeństwem informacji masz czas zbudować do 2027 roku. Ale uchwała zarządu zatwierdzająca plan dojścia do tego celu powinna powstać jak najszybciej — z datą i podpisami. Polityka „w szufladzie" bez formalnego zatwierdzenia nie chroni kierownictwa przed odpowiedzialnością.
- Odbycie szkolenia z zarządzania ryzykiem cyberbezpieczeństwa. Ustawa wprost wskazuje, że kierownik podmiotu ma obowiązek uczestniczyć w szkoleniach lub zapewnić sobie dostęp do wiedzy niezbędnej do zarządzania ryzykiem. Szkolenie musi być udokumentowane — sam udział nie wystarczy bez potwierdzenia z datą i certyfikatem.
- Nadzór nad wdrożeniem obowiązków ustawowych. Zarząd nie musi sam wdrażać procedur, ale musi wiedzieć, że są wdrażane, i mieć dokumentację potwierdzającą, że pytał o postępy i reagował na ryzyka.
Dlaczego „mamy dział IT" nie wystarczy
Najczęstszy argument który słyszę od zarządów: „mamy zewnętrzną firmę IT która się tym zajmuje". To argument zrozumiały, ale niewystarczający z perspektywy ustawy.
Dział IT lub zewnętrzny dostawca odpowiada za warstwę techniczną — konfigurację systemów, aktualizacje, monitoring. Ustawa KSC nakłada obowiązki na poziomie organizacyjnym i prawnym, których żaden dostawca IT nie może wypełnić w imieniu zarządu. Zatwierdzenie polityki, odbycie szkolenia, formalne przyjęcie odpowiedzialności — to są czynności zarządcze, nie techniczne.
Przez ponad jedenaście lat byłam po drugiej stronie tego procesu — odpowiadałam za bezpieczeństwo informacji w dużej spółce sektora energetycznego. Wiem, jak wygląda rozmowa z zarządem, który musi podjąć decyzje w obszarze, który dobrze rozumie tylko dział IT. I wiem, jak te decyzje dokumentować, żeby były odporne na kontrolę.
Co powinno znaleźć się w dokumentacji zarządu
Jeśli dojdzie do incydentu lub kontroli, pytanie nie będzie brzmiało „czy mieliście system bezpieczeństwa" — tylko „co zarząd wiedział i kiedy". Dokumentacja powinna odpowiadać na to pytanie zanim ktokolwiek je zada.
- Uchwała zarządu zatwierdzająca plan wdrożenia lub wstępną politykę zarządzania ryzykiem cyberbezpieczeństwa — z datą i podpisami wszystkich członków.
- Potwierdzenie odbycia szkolenia przez każdego członka zarządu — z datą, zakresem i certyfikatem.
- Protokoły lub notatki z posiedzeń zarządu, na których omawiano tematy cyberbezpieczeństwa — nawet krótkie, byle datowane i podpisane.
- Raport z oceny ryzyka lub diagnoza statusu firmy — jako twardy dowód, że zarząd aktywnie monitoruje sytuację, a nie tylko podpisuje dokumenty.
Moja wskazówka
Zacznij od jednej konkretnej rzeczy: zwołaj posiedzenie zarządu poświęcone wyłącznie tematowi KSC i zaprotokołuj je. Nie musisz na nim rozwiązać wszystkich problemów — musisz pokazać, że zarząd temat podjął, omówił i przypisał odpowiedzialność za kolejne kroki konkretnej osobie. Ten protokół to Twój pierwszy dokument obronny.