BlogPoradnik

Art. 8e KSC 2.0 — obowiązek corocznego szkolenia kierownika krok po kroku

Art. 8e ustawy o KSC (w brzmieniu nowelizacji z 23.01.2026) wymaga corocznego szkolenia kierownika podmiotu kluczowego i ważnego. Sprawdź faktyczną treść, kogo obejmuje i jak zgodnie udokumentować.

SecIQ Team7 min czytania

Kluczowe wnioski

  • Art. 8e KSC (dodany nowelizacją z 23.01.2026, Dz.U. 2026 poz. 252) wymaga, aby kierownik podmiotu kluczowego lub ważnego raz w roku kalendarzowym przeszedł udokumentowane szkolenie.
  • Zakres szkolenia (ust. 2) obejmuje wykonywanie obowiązków z art. 7b ust. 4, 7c, 7f ust. 3, 8, 8d, 8f ust. 1 i 2, 9–12b, 14 oraz 15 — to znacznie szerszy zakres niż „awareness”.
  • Odpowiedzialność osobistą za wykonywanie tych obowiązków przewiduje art. 8c — w zarządzie wieloosobowym bez wskazania osoby odpowiadają wszyscy członkowie organu.
  • Brak szkolenia to jedna z 14 podstaw kary z art. 73a ust. 1 — kara do 300% wynagrodzenia (sektor prywatny, ust. 4) lub 100% (publiczny, ust. 5).

Faktyczne brzmienie art. 8e KSC

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa z 23 stycznia 2026 r. (Dz.U. 2026 poz. 252) wprowadziła do KSC nowy art. 8e. Brzmienie z tekstu ustawy:

Art. 8e. 1. Kierownik podmiotu kluczowego lub podmiotu ważnego oraz osoba, której powierzono obowiązki kierownika w zakresie cyberbezpieczeństwa, raz w roku kalendarzowym przechodzi szkolenie. 2. Zakres szkolenia obejmuje wykonywanie obowiązków, o których mowa w art. 7b ust. 4, art. 7c, art. 7f ust. 3, art. 8, art. 8d, art. 8f ust. 1 i 2, art. 9–12b, art. 14 i art. 15. 3. Udział w szkoleniu jest udokumentowany.

Trzy zwroty, które warto rozłożyć:

  • „Raz w roku kalendarzowym" — nie raz na 12 miesięcy. Jeśli ostatnie szkolenie odbyło się w grudniu 2026, następne musi się odbyć przed końcem grudnia 2027.
  • „Udział… jest udokumentowany" — sam fakt obecności nie wystarczy. Musi istnieć dowód imienny: certyfikat, lista obecności podpisana przez prowadzącego, oświadczenie uczestnika lub log uczestnictwa w platformie e‑learning.
  • „Osoba, której powierzono obowiązki kierownika" — to nie tylko prezes. To każda osoba w zarządzie lub poza zarządem, której pełnomocnictwo obejmuje decyzje w obszarze cyberbezpieczeństwa.

Kogo dokładnie obejmuje obowiązek — art. 8c

Adresat obowiązku z art. 8e jest doprecyzowany przez art. 8c KSC:

Art. 8c. 1. Kierownik podmiotu kluczowego lub podmiotu ważnego ponosi odpowiedzialność za wykonywanie obowiązków w zakresie cyberbezpieczeństwa przez podmiot kluczowy lub podmiot ważny, o których mowa w art. 7b ust. 4, art. 7c, art. 7f ust. 3, art. 8, art. 8d, art. 8e, art. 8f ust. 1 i 2, art. 9–12b, art. 14 i art. 15. 2. W przypadku gdy kierownikiem podmiotu kluczowego lub podmiotu ważnego jest organ wieloosobowy i nie została wskazana osoba odpowiedzialna, odpowiedzialność ponoszą wszyscy członkowie tego organu. 3. Kierownik podmiotu kluczowego lub podmiotu ważnego ponosi odpowiedzialność także wtedy, gdy niektóre z obowiązków albo wszystkie obowiązki zostały powierzone innej osobie za jej zgodą.

Praktyczna mapa:

Podmiot Czy obejmuje art. 8e? Komentarz
Prezes zarządu Tak Zawsze — niezależnie od podziału obowiązków
Pozostali członkowie zarządu Tak — jeśli nie wskazano osoby odpowiedzialnej (art. 8c ust. 2) W praktyce — wszyscy, dopóki nie ma uchwały delegującej
Dyrektor IT / CISO (poza zarządem) Tak — jeśli powierzono mu obowiązki kierownika w cyber Art. 8c ust. 3 nie zwalnia kierownika
Rada nadzorcza Nie z art. 8e Ma inne obowiązki nadzorcze
Prokurent Nie domyślnie Chyba że pełnomocnictwo obejmuje obowiązki kierownika ds. cyber

Reguła operacyjna: jeśli dana osoba ma uprawnienie do podpisania polityki bezpieczeństwa lub zatwierdzenia analizy ryzyka — podlega obowiązkowi szkolenia.

Co dokładnie musi obejmować zakres szkolenia

Art. 8e ust. 2 nie pozostawia zakresu uznaniu rynku. Wskazuje konkretne artykuły, których wykonywanie ma być przedmiotem szkolenia:

Artykuł Czego dotyczy
art. 7b ust. 4 Obowiązek aktualizacji danych w wykazie podmiotów KSC
art. 7c Wniosek o wpis do wykazu, oświadczenie kierownika, terminy
art. 7f ust. 3 Terminy 12 miesięcy na wdrożenie obowiązków i 24 miesięcy na pierwszy audyt
art. 8 System zarządzania bezpieczeństwem informacji (SZBI)
art. 8d Obowiązki kierownika (decyzje, środki finansowe, zadania, świadomość, zgodność)
art. 8f ust. 1 i 2 KRK i niekaralność osób realizujących zadania
art. 9 Wyznaczenie min. 2 osób kontaktowych
art. 10 Kanał zgłoszeń cyberzagrożeń
art. 11 Obowiązki incydentowe (wykrywanie, klasyfikacja)
art. 12 Raportowanie incydentów do CSIRT
art. 12a Wczesne ostrzeżenia
art. 12b Sprawozdania okresowe i końcowe
art. 14 Wewnętrzne struktury cybersec
art. 15 Audyt cyberbezpieczeństwa

Szkolenie, które nie pokrywa któregoś z tych obszarów, dla organu kontrolnego jest funkcjonalnym brakiem szkolenia w rozumieniu art. 8e ust. 2.

Kurs online

Kurs NIS2 dla zarządów i IT managerów

Poznaj wymagania dyrektywy NIS2, harmonogram wdrożenia i kary. 4 moduły, certyfikat ukończenia.

Zapisz się na kurs

Co dokładnie obejmuje art. 8d — obowiązki kierownika

Często mylone z zakresem szkolenia, art. 8d definiuje co osobiście robi kierownik (nie co ma znać). Pełne brzmienie:

Art. 8d. Kierownik podmiotu kluczowego lub podmiotu ważnego:

  1. podejmuje decyzje w zakresie przygotowania, wdrażania, stosowania, przeglądu i nadzoru systemu zarządzania bezpieczeństwem informacji w podmiocie;
  2. planuje adekwatne środki finansowe na realizację obowiązków z zakresu cyberbezpieczeństwa;
  3. przydziela zadania z zakresu cyberbezpieczeństwa w tym podmiocie i nadzoruje ich wykonanie;
  4. zapewnia, że personel podmiotu jest świadomy obowiązków z zakresu cyberbezpieczeństwa i zna wewnętrzne regulacje podmiotu w tym zakresie;
  5. zapewnia zgodność działania tego podmiotu z przepisami prawa oraz z wewnętrznymi regulacjami podmiotu.

Pięć decyzyjnych obowiązków kierownika — wszystkie egzekwowane osobiście, wszystkie objęte odpowiedzialnością z art. 8c i sankcją z art. 73a ust. 1 pkt 3.

Konsekwencja niewykonania — art. 73a

Naruszenie art. 8e (brak corocznego szkolenia) jest jedną z 14 podstaw nałożenia kary osobistej na kierownika z art. 73a ust. 1. Pozostałe podstawy obejmują naruszenia z art. 7b–7c, art. 8, art. 8d, art. 8f, art. 9–12b, art. 14 i art. 15 — szczegóły w naszym artykule Kary dla zarządu w KSC 2.0.

Wysokość kary:

  • Art. 73a ust. 4 — kierownik podmiotu prywatnego: do 300% wynagrodzenia (obliczanego według zasad ekwiwalentu pieniężnego za urlop wypoczynkowy)
  • Art. 73a ust. 5 — kierownik podmiotu publicznego: do 100% wynagrodzenia (liczonego analogicznie)

To kara osobista — płaci ją członek zarządu, nie spółka.

Jak udokumentować zgodność — pakiet dowodowy

Audytor lub organ nadzorczy zażąda dowodu. Praktyka rynkowa dla art. 8e to pakiet czterech dokumentów za każdy rocznik:

  1. Certyfikat imienny — z datą, czasem trwania, prowadzącym, agendą zmapowaną na art. 8e ust. 2
  2. Raport agendy podpisany przez dostawcę — wskazuje, który obszar z art. 8e ust. 2 (art. 7b, 7c, 8, 8d, 9–12b, 14, 15) został omówiony i jak długo
  3. Oświadczenie uczestnika o odbyciu szkolenia — podpisane przez członka zarządu, włożone do akt zarządu
  4. Log uczestnictwa — przy formatach online: zrzut z platformy LMS lub Teams/Meet pokazujący czas wejścia/wyjścia uczestnika

Najprostszy błąd: lista obecności zbiorcza zamiast imiennego certyfikatu. Organ chce widzieć dowód, że konkretny członek zarządu odbył szkolenie w konkretnym dniu.

Jak SecIQ pomaga z art. 8e

Roczne szkolenie zarządu prowadzone przez prawnika, vCISO i eksperta z naszego operacyjnego SOC pokrywa pełen zakres z art. 8e ust. 2:

  • Trzech prowadzących w jednej sesji — prawnik (1h art. 7b–7f, 8c, 8e, 73a), vCISO (1h art. 8, 8d, 9, 14, 15), ekspert SOC (1h art. 10, 11, 12, 12b — incydenty i raportowanie)
  • Pakiet dowodowy w cenie — certyfikat imienny, raport agendy z mapowaniem na konkretne artykuły, oświadczenie zgodności, log e‑learning
  • Biblioteka e‑learning na 12 miesięcy — dla utrzymania zgodności między rocznymi sesjami
  • Trzy formaty: onsite 19 500 PLN, online 12 000 PLN, otwarte 2 500 PLN/os

Umów szkolenie dla zarządu → lub zobacz pełną stronę szkoleń SecIQ.

Źródła

FAQ

Czy art. 8e dotyczy tylko prezesa, czy całego zarządu?
Dotyczy kierownika podmiotu kluczowego lub ważnego oraz osoby, której powierzono obowiązki kierownika w zakresie cyberbezpieczeństwa. W spółkach z organem wieloosobowym, jeśli nie wskazano jednej osoby odpowiedzialnej, odpowiedzialność z art. 8c ust. 2 ponoszą wszyscy członkowie zarządu — więc w praktyce wszyscy powinni odbyć szkolenie.
Jak długie musi być szkolenie i co musi zawierać?
Ustawa nie wskazuje minimalnego czasu trwania. Art. 8e ust. 2 wymaga, by zakres szkolenia obejmował wykonywanie obowiązków z art. 7b ust. 4, 7c, 7f ust. 3, 8, 8d, 8f ust. 1 i 2, 9–12b, 14 i 15 — czyli rejestrację, SZBI, obowiązki kierownika, KRK, struktury kontaktowe, incydenty, raportowanie i audyt. Praktyka rynkowa to 2–4 godziny live z mapowaniem każdego modułu na konkretne artykuły.
Czy szkolenie online wystarczy do spełnienia art. 8e?
Tak — ustawa nie wymaga formy stacjonarnej. Wymaga udokumentowanego uczestnictwa raz w roku kalendarzowym (art. 8e ust. 3). Każdy uczestnik powinien być zalogowany imiennie i potwierdzić odbycie szkolenia. Dla bezpieczeństwa dowodowego: imienny certyfikat, raport agendy podpisany przez prowadzącego i log uczestnictwa z platformy.
SECIQ

SecIQ Team

Zespół inżynierów bezpieczeństwa SecIQ. Monitorujemy zagrożenia 24/7, reagujemy w minutach i dzielimy się wiedzą.

O zespole →

Powiązane artykuły

Poradnik

Ile kosztuje szkolenie cybersecurity dla zarządu w 2026 — porównanie cen

5 min czytania

Poradnik

Program szkolenia zarządu z cyberbezpieczeństwa — agenda 3h, moduł po module

7 min czytania

Poradnik

Szkolenie cyber dla zarządu: Big 4 vs MSSP — kogo wybrać

5 min czytania
Wróć do bloga