Analiza dyrektywy i projektu ustawy

Dyrektywa NIS2 wprowadza fundamentalną zmianę w podejściu do cyberbezpieczeństwa w Unii Europejskiej. Po raz pierwszy wprost przypisuje osobistą odpowiedzialność za cyberbezpieczeństwo członkom organów zarządzających, w tym członkom zarządów spółek. Oznacza to, że cyberbezpieczeństwo przestaje być wyłącznie domeną działów IT czy compliance, a staje się obszarem bezpośredniego nadzoru kadry kierowniczej.

W artykule wyjaśniamy:

czym jest dyrektywa NIS2,
kogo obejmują nowe regulacje,
jakie obowiązki i sankcje dotyczą członków organów zarządzających,
jak przygotować się na nowe przepisy według stanu prac legislacyjnych na styczeń 2026 r.

Czym jest dyrektywa NIS2 i dlaczego ma znaczenie dla zarządów?

Dyrektywa NIS2 (dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 r.) dotyczy środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w UE. Zastępuje wcześniejszą dyrektywę NIS1 i znacząco rozszerza zarówno zakres podmiotowy, jak i katalog obowiązków.

Dyrektywa nie stosuje się bezpośrednio – wymaga implementacji do prawa krajowego.
Państwa członkowskie miały czas na transpozycję do 17 października 2024 r.

W Polsce wdrożenie następuje poprzez nowelizację:

ustawy o krajowym systemie cyberbezpieczeństwa,
oraz niektórych innych ustaw (projekt – druk sejmowy nr 1955, etap prac sejmowych).

Kogo dotyczy NIS2?

Dyrektywa NIS2 obejmuje:

podmioty kluczowe,
podmioty ważne.

Ich definicje zawarto w art. 3 dyrektywy. Ostateczne wykazy mają zostać określone przez państwa członkowskie.

Na obecnym etapie przedsiębiorcy mogą dokonać wstępnej samooceny, analizując m.in.:

czy spełniają kryterium co najmniej średniego przedsiębiorcy,
czy działają w sektorach objętych NIS2 (np. energia, transport, zdrowie, usługi cyfrowe, infrastruktura krytyczna, usługi zaufania),
czy dotychczas posiadali status operatora usług kluczowych lub podmiotu istotnego.

Jak NIS2 zmienia odpowiedzialność członków organów zarządzających?

Najistotniejszą zmianą w NIS2 jest bezpośrednie przypisanie odpowiedzialności organom zarządzającym. Zgodnie z art. 20 ust. 1 dyrektywy, to organy zarządzające:

zatwierdzają środki zarządzania ryzykiem w cyberbezpieczeństwie,
nadzorują ich wdrażanie,
mogą ponosić odpowiedzialność za naruszenia.

Obowiązki te mają charakter osobisty i nie mogą być skutecznie przerzucone wyłącznie na działy IT, zewnętrznych dostawców czy pełnomocników.

Jakie środki cyberbezpieczeństwa muszą nadzorować zarządy?

Podmioty objęte NIS2 muszą wdrożyć środki zarządzania ryzykiem, których minimalny katalog określa art. 21 ust. 2 dyrektywy. Obejmują one m.in.:

polityki analizy ryzyka i bezpieczeństwa systemów informatycznych,
procedury obsługi incydentów,
mechanizmy ciągłości działania (kopie zapasowe, odtwarzanie danych),
zarządzanie kryzysowe,
bezpieczeństwo łańcucha dostaw.

Środki te muszą być adekwatne, proporcjonalne i stale aktualizowane, a nadzór nad nimi spoczywa na organach zarządzających.

Obowiązek zgłaszania incydentów – rola zarządu

Dyrektywa NIS2 wprowadza szczegółowe zasady zgłaszania poważnych incydentów cyberbezpieczeństwa (art. 23).

Choć formalnie zgłoszenia dokonuje podmiot, to członkowie zarządu odpowiadają za:

ustanowienie procedur wykrywania i oceny incydentów,
prawidłową kwalifikację zdarzeń,
terminowość i kompletność zgłoszeń.

Brak procedur lub błędna ocena zdarzenia może zostać uznana za naruszenie obowiązków nadzorczych.

Czy członkowie zarządu muszą posiadać wiedzę z zakresu cyberbezpieczeństwa?

NIS2 nie nakłada wprost obowiązku certyfikacji czy określonego wykształcenia, ale w praktyce wymaga, aby członkowie organów zarządzających:

rozumieli ryzyka cybernetyczne,
potrafili ocenić skutki incydentów (prawne, finansowe, operacyjne),
podejmowali świadome decyzje nadzorcze.

W praktyce oznacza to konieczność:

szkoleń zarządczych,
stałego wsparcia doradczego,
regularnych raportów z obszaru cyberbezpieczeństwa.

Bezpieczeństwo łańcucha dostaw jako obowiązek zarządu

Dyrektywa NIS2 kładzie szczególny nacisk na bezpieczeństwo łańcucha dostaw. Organy zarządzające muszą nadzorować m.in.:

ocenę podatności kluczowych dostawców IT,
ryzyka wynikające z zależności od podmiotów trzecich,
adekwatność zapisów umownych dotyczących cyberbezpieczeństwa.

Cyberatak u dostawcy może bowiem skutkować odpowiedzialnością po stronie podmiotu objętego NIS2.

Jakie sankcje grożą za naruszenie obowiązków z NIS2?

Dyrektywa NIS2 przewiduje zarówno sankcje wobec podmiotów, jak i sankcje osobiste wobec osób pełniących funkcje zarządcze.

Możliwe sankcje obejmują:

tymczasowy zakaz pełnienia funkcji zarządczych,
administracyjne kary pieniężne:
- do 10 mln euro lub 2% światowego obrotu – podmioty kluczowe,
- do 7 mln euro lub 1,4% światowego obrotu – podmioty ważne.

Projekt polskiej ustawy przewiduje dodatkowo możliwość kar pieniężnych wobec kierowników podmiotów w rozumieniu ustawy o rachunkowości oraz ustawy o finansach publicznych.

Jak w przygotowaniu do NIS2 pomaga Kancelaria Graś i Wspólnicy?

Kancelaria Graś i Wspólnicy wspiera zarządy i kadrę kierowniczą w przygotowaniu organizacji do wymogów dyrektywy NIS2, w szczególności poprzez:

audyty zgodności z NIS2 i krajowym systemem cyberbezpieczeństwa,
doradztwo dla członków zarządu w zakresie odpowiedzialności osobistej,
wsparcie przy wdrażaniu procedur zarządzania ryzykiem i incydentami,
analizę bezpieczeństwa łańcucha dostaw i zapisów umownych,
szkolenia zarządcze z cyberbezpieczeństwa i odpowiedzialności prawnej.

Celem jest nie tylko spełnienie wymogów formalnych, ale realne ograniczenie ryzyk prawnych i operacyjnych.

Podsumowanie

Dyrektywa NIS2 zasadniczo zmienia model odpowiedzialności za cyberbezpieczeństwo, przenosząc ciężar nadzoru bezpośrednio na organy zarządzające. Członkowie zarządów muszą liczyć się z osobistą odpowiedzialnością, w tym finansową i organizacyjną.

Już na etapie prac legislacyjnych zasadne jest:

przeprowadzenie audytu zgodności,
przegląd struktur decyzyjnych,
przygotowanie zarządów na nowe obowiązki nadzorcze.

FAQ – NIS2 a odpowiedzialność zarządu

Czy NIS2 dotyczy wszystkich spółek?
Nie. Dyrektywa obejmuje podmioty kluczowe i ważne działające w określonych sektorach.

Czy odpowiedzialność można przenieść na dział IT?
Nie. Organy zarządzające ponoszą osobistą odpowiedzialność nadzorczą.

Czy grozi zakaz pełnienia funkcji w zarządzie?
Tak – w skrajnych przypadkach dyrektywa przewiduje takie sankcje.

Czy warto przygotować się przed wejściem ustawy w życie?
Tak. Wczesne działania ograniczają ryzyko sankcji i odpowiedzialności osobistej.

Niniejszy artykuł ma charakter informacyjny i nie jest to porada prawna

Stan prawny na dzień 20 stycznia 2026 r.

Autor:

Mariusz Bonisławski

Radca prawny
+48 502 730 606 | m.bonislawski@kglegal.pl

Redaktor cyklu:

Mateusz Grosicki

Adwokat, wspólnik
+48 506 367 109 | m.grosicki@kglegal.pl

Post Views: 99

Kancelaria Graś i Wspólnicy to – Profesjonalizm Doświadczenie Wsparcie.

NIS2 – nowe obowiązki członków organów zarządzających w 2026 roku

Ostatnie posty

Projekt nowelizacji ustawy o własności lokali

Sankcje w KSeF

Zasada jednakowego wynagradzania w prawie pracy – zakres, znaczenie i konsekwencje prawne

Dofinansowanie rejestracji znaków towarowych i wzorów przemysłowych

Roszczenia odszkodowawcze za obniżenie wartości nieruchomości w skutek zmiany Miejskiego Planu Zagospodarowania Przestrzennego

Nasze cykle

Kancelaria Prawna Warszawa
Graś i Wspólnicy

Nasze usługi

Menu

Skontaktuj się z nami!