Odpowiedzialność kierownika podmiotu kluczowego i ważnego (NIS2)

przez

Krótko i na temat, bo miało być o obsłudze incydentów, ale dość niespodziewanie dostałem aż trzy zapytania o to jak wygląda odpowiedzialność kierownika podmiotu kluczowego lub podmiotu ważnego za wdrożenie dyrektywy NIS2 i stosowanie się do obowiązków w zakresie cyberbezpieczeństwa?

dzioborożec kafryjski
Jesteś kierownikiem? musisz mieć oko na wszystko! (fot. Olgierd Rudak, CC BY-SA 4.0)

A mianowicie, wciąż w odpowiednim skrócie:

  • zaczynając od obowiązkowego początku, bo to chyba budzi za dużo niedomówień, wątpliwości i… nadziei: kim jest kierownik podmiotu kluczowego lub podmiotu ważnego w rozumieniu przepisów implementujących dyrektywę NIS2? otóż jest nim kierownik tej jednostki w/g ustawy o rachunkowości, czyli członek zarządu lub innego organu zarządzającego (w przypadku organu kolegialnego — wszyscy członkowie, z pewnym zastrzeżeniem, o którym więcej za chwilę), zaś w przypadku spółek osobowych wspólnicy prowadzący sprawy spółki, etc.;
  • jeśli podmiotem kluczowym lub ważnym jest osoba fizyczna prowadząca działalność gospodarczą lub wykonująca wolny zawód, kierownikiem jest ta osoba; ponadto jako kierownika traktuje się m.in. syndyka, likwidatora, zarządcę sukcesyjnego;
  • natomiast w przypadku jednostek sektora finansów publicznych jest nim kierownik w rozumieniu ustawy o finansach publicznych (ten sam, który odpowiada za udostępnianie informacji w Centralnym Rejestrze Umów JSFP, czyli np. wójt/burmistrz/prezydent, starosta, marszałek województwa, dyrektor jednostki budżetowej takiej jak instytucja kultury, szkoła, MOPS, etc.,etc.);
  • jak już było na tutejszych łamach powiedziane: regulacji NIS2 podlegają podmioty kluczowe i podmioty ważne prowadzące działalność w określonych sektorach, ale za prawidłowe wykonywanie podstawowych obowiązków odpowiada także kierownik podmiotu;

art. 8c ust. 1 ustawy o krajowym systemie cyberbezpieczeństwa
Kierownik podmiotu kluczowego lub podmiotu ważnego ponosi odpowiedzialność za wykonywanie obowiązków w zakresie cyberbezpieczeństwa przez podmiot kluczowy lub podmiot ważny, o których mowa w art. 7b ust. 4, art. 7c, art. 7f ust. 3, art. 8, art. 8d, art. 8e, art. 8f ust. 1 i 2, art. 9–12b, art. 14 i art. 15.

  • owa bezpośrednia odpowiedzialność kierownika obejmuje m.in. obowiązek wpisu z wykazu podmiotów kluczowych i ważnych, jak też dokonywania zmian i wykreślenia podmiotu, wdrożenie systemu zarządzania bezpieczeństwem informacji, zapewnienie środków finansowych i personelu zajmującego się bezpieczeństwem cyfrowym — w tym wyznaczenie pracowników odpowiedzialnych za utrzymywanie kontaktów z systemem KSC, powołanie wewnętrznych struktur lub outsourcing usług w zakresie cyberbezpieczeństwa — prowadzenie dokumentacji, a także zgłaszanie i obsługę incydentów oraz prowadzenie audytów bezpieczeństwa;
  • istotne: w przypadku kierownictwa wieloosobowego dopuszczalne jest wskazanie jednej osoby odpowiedzialnej za wykonywanie obowiązków w zakresie cyberbezpieczeństwa (np. członek zarządu d/s KSC) — w przeciwnym razie odpowiedzialność za naruszenie wymogów NIS2 ma charakter zbiorowy;
  • natomiast przepisy o odpowiedzialności kierownika nie oznaczają, iż musi on zajmować się wszystkim samodzielnie: delegacja obowiązków na inne osoby jest jak najbardziej dopuszczalna, przy czym zawsze powierzenie obowiązków wymaga uzyskania zgody zainteresowanego — aczkolwiek powierzenie wykonywania czynności nie zwalnia kierownika podmiotu z jego „własnej” odpowiedzialności (art. 8c ust. 2 uksc);
  • a skoro tematem tekstu jest odpowiedzialność kierownika podmiotu: najłagodniejszą chyba sankcją za zignorowanie nakazu wydanego przez organ nadzorczy jest zakaz pełnienia przez kierownika podmiotu kluczowego funkcji zarządczych — do czasu usunięcia uchybień lub zaprzestania naruszeń (pod warunkiem, iż nie będzie do skutkowało uniemożliwieniem jego funkcjonowania w zakresie niezbędnym do usunięcia uchybień lub zaprzestania naruszeń, art. 53 ust. 9 pkt 6 uksc);
  • informacja o zastosowaniu środka w postaci odsunięcia kierownika od zarządzania podmiotem kluczowym będzie publikowana w BIP organu, włącznie z imieniem i nazwiskiem zainteresowanej osoby oraz datą obowiązywania zakazu;
  • (swoją ten zakaz pełnienia funkcji zarządczych brzmi na tyle szeroko, że aż szokująco — literalnie ustawa nie ogranicza jego zakresu do podejmowania czynności dotyczących cyberbezpieczseństwa, więc jest to odsunięcie zarządu „po całości, od całości”);
  • i teraz to, co tygrysy lubią najbardziej, czyli kary: odpowiedzialność kierownika podmiotu kluczowego lub ważnego za niewykonywanie obowiązków ma charakter osobisty, a organ właściwy „może” nałożyć nań karę m.in. za: brak wpisu do wykazu (czyli w sumie za brak prawidłowej samoweryfikacji w ramach wdrożenia NIS2), za brak wdrożenia SZBI, za niepoddawanie się szkoleniom w zakresie NIS2, za brak weryfikacji niekaralności pracowników podmiotu zajmujących się cyberbezpieczeństwem, za brak prawidłowej obsługi incydentów, za brak audytów systemów wykorzystywanych w procesie świadczenia usług;
  • może, ale nie musi — a wszystko zależeć będzie od tego, czy „przemawia za tym czas, zakres lub charakter naruszenia”, przy czym maksymalna wysokość takiej kary może sięgać 300% wynagrodzenia ukaranego — ale brać pod uwagę należy także „możliwości finansowe” kierownika (art. 76a ust. 1 uksc);
  • jakby ktoś miał wątpliwości: ustawa precyzuje, iż odpowiedzialność kierownika podmiotu kluczowego i ważnego obejmuje także jednorazowe zaniechanie — co akurat postrzegam jako pewien ukłon w stronę zainteresowanych, bo przecież zaniechanie to coś innego niż błąd w działaniu, więc a contrario pewne jednostkowe pomyłki nie powinny być penalizowane;
  • ale, ale: nałożenie kary na podmiot za niewykonywanie obowiązków wynikających z NIS2 nie zwalnia z odpowiedzialności jego kierownika — pod warunkiem, że można przypisać mu niewykonanie określonych powinności;

art. 73a ust. 3 ustawy o krajowym systemie cyberbezpieczeństwa
Niezależnie od kary pieniężnej [nałożonej na podmiot kluczowy lub podmiot ważny] karę pieniężną można nałożyć również na kierownika podmiotu kluczowego lub podmiotu ważnego za niewykonanie obowiązków wskazanych w tym przepisie.

  • ciekawe: w przypadku kierowników podmiotów publicznych maksymalna wysokość kary nie może przekraczać 100% jego wynagrodzenia (chyba że podmiot podlega pod regulację z tytułu działalności w kilku sektorach — wówczas będzie to trzykrotność wypłaty);
  • i już tylko można dodać, że pieniądze z kar za naruszenie NIS2 będą stanowiły przychód Funduszu Cyberbezpieczeństwa — czyli na dodatek do wynagrodzenia lub świadczenie teleinformatyczne wypłacane osobom pracującym w określonych instytucjach lub służbach;
  • gwoli przypomnienia: nowelizacja ustawy implementująca dyrektywę NIS2 weszła w życie 3 kwietnia 2026 r., lecz obowiązek stosowania niektórych rozwiązań został rozciągnięty w czasie — natomiast nowe przepisy o karach, w tym przewidujące osobistą odpowiedzialność finansową kierownika podmiotu kluczowego lub podmiotu ważnego będą stosowane po dwuletniej karencji;

art. 35 ustawy z 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. z 2026 r. poz. 252)
Kary pieniężne, o których mowa w art. 73 ust. 1-4 oraz art. 73a-73c i art. 76b ustawy [o krajowym systemie cyberbezpieczeństwa] w brzmieniu nadanym niniejszą ustawą mogą być po raz pierwszy nałożone po upływie 2 lat od dnia wejścia w życie ustawy.

  • już chyba o tym pisałem: fraza, iż kary „mogą być po raz pierwszy nałożone” niekoniecznie musi oznaczać zakazu wcześniejszego wszczęcia postępowania — i późniejszej wydania decyzji o wymierzeniu sankcji — więc bym nie lekceważył (jakbym był kierownikiem — nucimy na nutę Tewje Mleczarza).

Zamiast komentarza: może być grubo — chyba że praktyka się utrwali, że jednak nie.

subskrybuj
Powiadom o
guest

Ta strona używa Akismet do redukcji spamu. Dowiedz się, w jaki sposób przetwarzane są dane Twoich komentarzy.

0 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze
0
komentarze są tam :-)x