Były to czasy, które każdy wieloletni menedżer wspomina dziś z łezką w oku. Prezes czy członek zarządu mógł z uśmiechem rozłożyć ręce i wygłosić kultowe już słowa: „Panowie, kompletnie nie znam się na tych wszystkich informatycznych technikaliach, zatrudniam od tego najlepszych specjalistów”. I ten model zarządzania faktycznie świetnie się sprawdzał. Biegły rewident wertował pliki finansowe, dyrektor sprzedaży dbał o wykresy słupkowe na prezentacjach, a kwestię zabezpieczenia głównych serwerów zrzucano na introwertycznych chłopaków w wyciągniętych swetrach, zajmujących niewielki pokój na końcu mrocznego korytarza.
Oto ostateczny moment, w którym ta epoka bezpowrotnie dobiegła końca.
Koniec parasola ochronnego – odpowiedzialność prosto z ustawy
Długo wyczekiwana, kwietniowa nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa z 2026 roku serwuje kadrze menedżerskiej rozwiązanie, które prawnicy obsługujący rynek korporacyjny dość trafnie ochrzcili mianem „NIS2 ze spiłowanymi zębami”. Ustawodawca narzucił na zarządy organizacji objętych dyrektywą bardzo konkretny wymóg nie tylko oficjalnego akceptowania polityk przeciwdziałania ryzykom, ale przede wszystkim – nakazał osobiście gwarantować ich poprawną realizację. Jeżeli z serwerów wyciekną dane, organ kontrolny nie ukarze amorficznej „firmy”. Ukarze konkretnych ludzi piastujących kierownicze stanowiska.
Zapisy prawa operują jednoznacznym językiem, wskazując możliwości obciążania potężnymi karami osób fizycznych, które stoją za sterami podmiotów kluczowych lub ważnych. Chociaż pułap 100 tysięcy złotych wymierzonych z prywatnego majątku dyrektora brzmi dość umiarkowanie w zestawieniu z karami liczonymi w milionach dla samej spółki, to nakłada się na to jeszcze jeden mechanizm. Perspektywa orzeczenia sądowego zakazu pełnienia lukratywnych funkcji kierowniczych potrafi podziałać na wyobraźnię i w ułamku sekundy przemodelować biznesowe priorytety każdej firmy.
Zresztą sam pomysł nie został wcale wyciągnięty z kapelusza przez polskich urzędników. Obowiązujący od początku 2025 roku pakiet DORA niezwykle stanowczo domagał się od prezesów banków i instytucji płatniczych stałego podnoszenia kompetencji z zakresu nowoczesnych zagrożeń cyfrowych. W sektorze finansowym temat osobistego nadzoru grzał posady dyrektorskie już kilkanaście miesięcy temu.
Jak bolesna weryfikacja wygląda w szarej praktyce
Żeby uzmysłowić sobie wagę wprowadzonych zmian, warto na moment odrzucić prawniczą teorię i zanurzyć się w czarnym, lecz bardzo realistycznym scenariuszu. Mamy piątek, godzinę 18:00, kiedy umysły pracowników przestawiają się już w tryb weekendowy. Ekrany w wielkiej hali produkcyjnej gwałtownie gasną, by ułamek sekundy później wyświetlić krzykliwe, czerwone komunikaty z żądaniem okupu. Klasyczny atak ransomware zatrzymuje taśmy, a firma zaczyna krwawić dziesiątkami tysięcy złotych z każdą upływającą minutą.
Gdy sprawą zainteresuje się prokuratura i przedstawiciele organu nadzorczego, nie usiądą do rozmowy z inżynierem sieciowym. Zaczną zadawać bardzo trudne pytania włodarzom firmy. Będą chcieli wiedzieć, czy istniał wdrożony plan ciągłości działania i jak dawno poddano go surowym testom. Spytają, czy władze spółki miały świadomość zagrożenia wirusami szyfrującymi i w jaki sposób udokumentowały akceptację wdrożonych blokad. Udzielenie rozmytej odpowiedzi w stylu „to powinno gdzieś leżeć w firmowych segregatorach” sprawia, że to nie spółka ma gigantyczny problem. Problem ma prezes z imienia i nazwiska.
Sprawa mocno komplikuje się również w ujęciu łańcucha kooperacji. Prawodawca oczekuje rygorystycznego weryfikowania podmiotów zewnętrznych oferujących usługi chmurowe, wdrażających oprogramowanie ERP czy obsługujących potężne serwerownie. Jeśli złośliwe oprogramowanie wleje się do firmy przez szczeliny zaprzyjaźnionego dostawcy, który nigdy nie przeszedł audytu jakościowego, za zaniedbanie to znów zapłaci głównodowodzący statkiem organizacyjnym.
Ratunkowe trio dla zarządu, do wdrożenia bez chwili zwłoki
Nie ma tu przestrzeni na odkładanie sprawy na następny kwartał. Działania należy podjąć natychmiast, ponieważ machina prawna została już oficjalnie uruchomiona.
Zadanie numer jeden to rozwianie mgły tajemnicy i ustalenie, czy prawo faktycznie narzuca gorset KSC na biznes. Obowiązkowa samoidentyfikacja to doskonały moment, aby sięgnąć po wsparcie technologiczne. Szybka diagnostyka zgodności z KSC/NIS2/DORA pozwala w kilka minut zweryfikować progi przychodowe, zatrudnienie oraz kody działalności sektorowej. Wykonanie prostej ankiety jest znacznie tańsze i szybsze niż tygodniowe analizy zlecane luksusowym kancelariom doradczym.
Zadanie numer dwa nabiera tempa po potwierdzeniu faktu podlegania pod reżim prawny. Polega na bezlitosnym rozliczeniu się z posiadanymi dokumentami operacyjnymi. To moment na odkopanie polityk ochrony zasobów, rejestrów incydentów oraz planów odzyskiwania sprawności i skonfrontowanie ich z twardymi realiami. Najważniejsza na tym etapie jest świadomość, jak głęboki dół organizacja będzie musiała zakopać.
Zadanie numer trzy wymaga formalnej korekty w kalendarzach. Tematyka ochrony cyfrowych kordonów musi bezwzględnie zagościć w agendzie każdego posiedzenia zarządu. Nawet krótkie, comiesięczne czy kwartalne omawianie zidentyfikowanych zagrożeń, statusu certyfikacji czy sprawności zapór firewall stanowi namacalny dowód na realizację idei „aktywnego nadzorowania”.
Nowe ramy prawne zostały jednak skrojone w nieco innej, wyższej lidze mentalnej. Przepisy mają na celu organiczne zaszczepienie myślenia o bezpieczeństwie jako stałym elemencie sterowania operacyjnego, stawiając znak równości pomiędzy audytem finansowym a audytem serwerów. Przedsiębiorcy dostrzegający w tych działaniach realną wartość dodaną dla własnej rynkowej odporności, zyskają ogromną przewagę. Reszta przekona się o powadze nowelizacji w znacznie gorszych okolicznościach, tłumacząc się urzędnikom z potężnych braków.
Q&A dla kadry zarządzającej
Czy prezes firmy naprawdę odpowiada finansowo za cyberbezpieczeństwo?
Zdecydowanie tak. Znowelizowane przepisy przewidują dotkliwe sankcje dla osób kierujących organizacją. Kary mogą sięgać 100 tysięcy złotych, a w skrajnych przypadkach oznaczają zakaz pełnienia funkcji.
Jakie rygory nakłada rozporządzenie DORA na sektor finansowy?
Jest to unijny akt prawny z 2025 roku, który zastępuje zasady NIS2 w bankowości i ubezpieczeniach. Wymaga on między innymi zgłaszania najpoważniejszych incydentów w niezwykle krótkim czasie 4 godzin.
W jakim terminie zarząd musi wdrożyć ustawowe wymagania KSC?
Organizacja ma pół roku na formalne zgłoszenie do wykazu podmiotów od chwili spełnienia kryteriów. Standardy ochrony oraz procedury reagowania na incydenty powinny jednak funkcjonować natychmiastowo.
Czy zewnętrzny ekspert (vCISO) przejmuje odpowiedzialność za KSC?
Taki specjalista doskonale zarządza procesami i wspiera wdrożenia, odciążając wewnętrzne zespoły. Formalna i prawna odpowiedzialność zawsze pozostaje jednak po stronie władz zarządzających przedsiębiorstwem.
Co w praktyce oznacza aktywny nadzór zarządu nad cyfryzacją?
Wymaga to cyklicznego analizowania raportów o ryzyku, osobistego akceptowania strategii ochronnych oraz udziału w szkoleniach. Zwykłe oddelegowanie zadania do informatyków to dziś za mało dla audytora.
Materiały źródłowe
- [Ustawa o krajowym systemie cyberbezpieczeństwa] – Internetowy System Aktów Prawnych (ISAP), tekst jednolity, Dz.U. z 2026 r.
- [Rozporządzenie DORA (UE) 2022/2554] – Baza prawna EUR-Lex, Art. 5: „rola organu zarządzającego w obszarze odporności”.
- [Guidelines on Board-Level Cybersecurity Governance] – Oficjalne wytyczne analityczne wydane przez ENISA w 2024 roku.
- [Nowelizacja KSC i NIS 2. Wójt odpowie finansowo] – Komentarz ekspercki, portal prawniczy Prawo.pl.
- [Incydent DORA vs KSC – klasyfikacja i terminy] – Analiza różnic prawnych, blog kancelarii LegalGeek.pl.
