BlogAlert
Security Alert — Natychmiastowe działanie wymagane

Kary dla zarządu w KSC 2.0 — co naprawdę grozi i jak brak szkolenia zwiększa ryzyko

Art. 73a KSC wprowadza karę do 300% wynagrodzenia (sektor prywatny) lub 100% (publiczny) dla kierownika podmiotu. Brak szkolenia z art. 8e to jedna z 14 podstaw — i sygnał systemowy podczas audytu.

SecIQ Team7 min czytania

Kluczowe wnioski

  • Art. 73a KSC pozwala nałożyć karę osobistą na kierownika podmiotu: do 300% wynagrodzenia w sektorze prywatnym (ust. 4) lub 100% w publicznym (ust. 5).
  • Katalog podstaw kary z art. 73a ust. 1 obejmuje 14 punktów — brak corocznego szkolenia z art. 8e to tylko jeden z nich (pkt 4).
  • Praktyczne ryzyko: brak szkolenia jest najłatwiejszym do wykrycia naruszeniem podczas kontroli i osłabia dowód staranności kierownika przy zarzutach z pozostałych 13 podstaw.
  • Kara liczona jest jak ekwiwalent za urlop wypoczynkowy (ust. 4); płaci ją kierownik osobiście, nie spółka.

Art. 73a — nowy mechanizm sankcji nałożonych nowelizacją

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa z 23 stycznia 2026 r. (Dz.U. 2026 poz. 252) wprowadziła do KSC nowy art. 73a. To pierwszy w polskim prawie cyber mechanizm, który przenosi część odpowiedzialności sankcyjnej z firmy na konkretną osobę kierującą — kierownika podmiotu kluczowego lub ważnego, albo osobę, której powierzono obowiązki kierownika w zakresie cyberbezpieczeństwa.

Cały art. 73a w jednym zdaniu: jeśli kierownik nie wykona któregoś z 14 obowiązków wyliczonych w ust. 1, organ właściwy do spraw cyberbezpieczeństwa może nałożyć na niego karę pieniężną — do 300% wynagrodzenia (sektor prywatny, ust. 4) lub do 100% wynagrodzenia (sektor publiczny, ust. 5), liczonego według zasad ekwiwalentu za urlop wypoczynkowy.

Czternaście podstaw kary — pełny katalog z art. 73a ust. 1

Wbrew częstemu uproszczeniu „kara za brak szkolenia", art. 73a obejmuje znacznie szerszy katalog. Według publicznych analiz prawnych (LegalGeek) ust. 1 zawiera 14 punktów:

Pkt Naruszenie Odesłanie
1 Niedopełnienie obowiązków rejestracyjnych art. 7b–7c
2 Niewykonywanie obowiązków SZBI art. 8
3 Niewykonywanie zadań kierownika art. 8d
4 Nieprzejście corocznego szkolenia art. 8e
5 Niewykonanie obowiązku KRK art. 8f ust. 1 i 2
6 Niewyznaczenie min. 2 osób kontaktowych art. 9
7 Niezapewnienie kanału zgłoszeń cyberzagrożeń art. 10
8 Niewykonywanie obowiązków dokumentacyjnych (zakres dokumentacji KSC)
9 Niewykonywanie obowiązków incydentowych art. 11
10 Niewykonywanie obowiązków treści zgłoszeń art. 12 ust. 5–8
11 Wadliwe sprawozdanie końcowe art. 12
12 Brak sprawozdań postępu art. 12b
13 Niewykonywanie obowiązków strukturalnych art. 14
14 Niezapewnienie audytu art. 15

Brak szkolenia z art. 8e to pkt 4 z 14. Każdy z pozostałych 13 punktów jest samodzielną podstawą nałożenia kary do 300% / 100% wynagrodzenia.

Dlaczego brak szkolenia zwiększa ryzyko — efekt audytu

W praktyce kontroli organu nadzorczego brak szkolenia nie działa jako pojedyncze naruszenie z osobnym dochodzeniem. Działa jako wskaźnik systemowy — sygnał, że zarząd nie podchodzi do KSC 2.0 z należytą starannością. Mechanizm tego ryzyka opiera się na trzech ścieżkach:

Ścieżka 1 — low-hanging fruit dla kontrolera

Brak corocznego szkolenia jest najłatwiejszym do wykrycia naruszeniem. Kontroler nie musi analizować architektury bezpieczeństwa ani procedur reagowania na incydenty — wystarczy sprawdzić, czy w aktach zarządu jest dokumentacja szkolenia (art. 8e ust. 3: „udział w szkoleniu jest udokumentowany"). Jeśli nie ma — podstawa z pkt 4 jest gotowa.

Ścieżka 2 — osłabienie obrony przy zarzutach z pozostałych 13 podstaw

Art. 8c ust. 1 mówi, że kierownik podmiotu kluczowego lub ważnego ponosi odpowiedzialność za wykonywanie obowiązków cyberbezpieczeństwa — w odesłaniu do całego katalogu (art. 7b ust. 4, 7c, 7f ust. 3, 8, 8d, 8e, 8f ust. 1 i 2, 9–12b, 14, 15). Przy zarzutach z innych podstaw kierownik standardowo broni się dowodem należytej staranności: „wiedziałem, znałem obowiązki, podjąłem racjonalne decyzje". Brak udokumentowanego szkolenia podważa tę obronę — jest pisemnym dowodem, że kierownik nie zapoznał się formalnie z zakresem obowiązków, których wymaga od niego art. 8d.

Ścieżka 3 — sygnał systemowy dla skali kary

Wysokości kar z art. 73a ust. 4 i 5 to maksima („do 300%", „do 100%"). Konkretna kwota zależy od oceny organu — w tym od oceny stopnia winy i wagi naruszenia. Spółka, w której zarząd nie ma żadnego rocznego szkolenia od dwóch lat, prezentuje się jako organizacja z systemowymi brakami nadzoru, nie tylko z jednym formalnym uchybieniem. To podnosi prawdopodobnie zarówno samej decyzji, jak i wysokości kwoty.

Co naprawdę obejmuje art. 8e — zakres szkolenia

Mit „roczne szkolenie z art. 8e to godzinna pogadanka o phishingu" jest niebezpieczny. Art. 8e ust. 2 wskazuje wprost, że zakres szkolenia ma obejmować wykonywanie obowiązków określonych w:

  • art. 7b ust. 4 — obowiązki rejestracyjne i raportowanie zmian
  • art. 7c — szczegółowe wnioski rejestracyjne i oświadczenia
  • art. 7f ust. 3 — terminy 12 i 24 miesięcy na wdrożenie obowiązków i pierwszy audyt
  • art. 8 — system zarządzania bezpieczeństwem informacji (SZBI)
  • art. 8d — obowiązki kierownika (decyzje, środki, zadania, świadomość, zgodność)
  • art. 8f ust. 1 i 2 — KRK i niekaralność osób realizujących zadania
  • art. 9–12b — kontakty, struktury, incydenty, raportowanie
  • art. 14 i 15 — struktury wewnętrzne cybersec i audyt
Bezpłatny audyt

Bezpłatny audyt zabezpieczeń Microsoft 365

Sprawdzimy konfigurację Twojego tenanta M365, wykryjemy luki i dostarczymy raport z rekomendacjami.

Umów audyt

Szkolenie, które nie pokrywa tych obszarów, nie spełnia formalnie wymogu z art. 8e ust. 2 — i dla organu kontrolnego jest funkcjonalnym brakiem szkolenia.

Kto dokładnie podlega obowiązkowi i karze

Art. 8c ust. 1 wskazuje krąg osób odpowiedzialnych: kierownik podmiotu kluczowego lub ważnego oraz osoba, której powierzono obowiązki kierownika w zakresie cyberbezpieczeństwa. Ust. 2 rozszerza odpowiedzialność: jeśli kierownikiem jest organ wieloosobowy (np. zarząd spółki kapitałowej) i nie wskazano osoby odpowiedzialnej, odpowiedzialność ponoszą wszyscy członkowie tego organu. Ust. 3 zamyka furtkę: odpowiedzialność istnieje także wtedy, gdy obowiązki zostały powierzone innej osobie za jej zgodą.

W praktyce — w spółkach prawa handlowego z zarządem 2–5‑osobowym i bez formalnego wskazania jednego członka zarządu jako odpowiedzialnego za cyber, karze z art. 73a może podlegać każdy członek zarządu.

Trzy realne ekspozycje finansowe i reputacyjne

Polisa D&O zwykle nie pokrywa. Większość polis D&O w PL wprost wyłącza kary administracyjne nałożone z mocy prawa. Sprawdź swoją polisę pod klauzulami „administrative fines and penalties imposed by law" przed pierwszym szkoleniem.

Spółka nie może legalnie pokryć kary. Pokrycie osobistej kary administracyjnej członka zarządu przez spółkę może być uznane za nienależną korzyść — to rodzi ekspozycję podatkową (przychód po stronie członka zarządu) oraz korporacyjną (potencjalne roszczenie wspólników z art. 293 KSH dla spółki z o.o. lub art. 483 KSH dla spółki akcyjnej).

Ślad w bazach due diligence. Decyzje organów nadzorczych są publiczne. Kara administracyjna z KSC nakładana na konkretną osobę pojawia się w bazach reputacyjnych wykorzystywanych przez headhunterów, banki i fundusze przy ocenie kandydatów na stanowiska kierownicze w sektorze regulowanym.

Co zrobić w 2026 — checklista ograniczania ryzyka

  1. Zaplanować roczne szkolenie w pierwszych 6 miesiącach roku. Pod koniec roku terminy u dostawców się zapełniają, a awaryjne szkolenie w grudniu bywa traktowane przez kontrolera jak „formalność".
  2. Wymagać imiennego certyfikatu i raportu agendy z mapowaniem na art. 8e ust. 2 (czyli na art. 7b, 7c, 7f, 8, 8d, 8f, 9–12b, 14, 15). Lista obecności zbiorcza nie wystarcza.
  3. Wprowadzić szkolenie do harmonogramu posiedzeń zarządu — uchwała o odbyciu szkolenia w danym roku tworzy ślad organizacyjny.
  4. Założyć „teczkę KSC zarządu" — certyfikaty, oświadczenia, raporty agendy, materiały po szkoleniu. To jest dokument, który pokazujesz audytorowi.
  5. Sprawdzić polisę D&O i porozmawiać z brokerem przed pierwszym szkoleniem.
  6. W zarządzie wieloosobowym rozważyć formalne wskazanie jednego członka jako odpowiedzialnego za cyber (uchwała) — to ogranicza rozproszenie odpowiedzialności z art. 8c ust. 2.

Co rozróżnić — kara na osobę vs kara na spółkę

KSC 2.0 zawiera dwa odrębne mechanizmy sankcji, które działają niezależnie:

  • Art. 73 KSC — kary na podmiot (spółkę): podmiot kluczowy do 10 mln EUR lub 2% przychodów, podmiot ważny do 7 mln EUR lub 1,4% przychodów, naruszenia szczególne do 100 mln zł.
  • Art. 73a KSC — kary na kierownika (osobę fizyczną): do 300% wynagrodzenia (prywatne) lub 100% (publiczne).

Jeden incydent może spowodować obie kary jednocześnie. Spółka zapłaci za system, członek zarządu zapłaci za nadzór.

Jak SecIQ pomaga ograniczyć ryzyko

Roczne szkolenie zarządu prowadzone przez prawnika, vCISO i eksperta z naszego operacyjnego SOC pokrywa pełen zakres z art. 8e ust. 2. Pakiet dowodowy (certyfikat imienny, raport agendy z mapowaniem na konkretne artykuły, oświadczenie kierownika, log uczestnictwa w e‑learningu) jest zaprojektowany tak, żeby służył jako pierwszy element obrony podczas kontroli.

Zobacz program i ceny szkolenia dla zarządu →

Źródła

FAQ

Czy kara z art. 73a jest osobista czy korporacyjna?
Osobista. Art. 73a nakłada karę pieniężną na kierownika podmiotu kluczowego lub ważnego (lub osobę, której powierzono obowiązki kierownika w zakresie cyberbezpieczeństwa). Spółka odpowiada równolegle na podstawie art. 73 — to dwa różne mechanizmy sankcji w tej samej ustawie.
Czy brak szkolenia z art. 8e to jedyna podstawa kary z art. 73a?
Nie. Art. 73a ust. 1 wymienia 14 podstaw nałożenia kary na kierownika — od niewykonania obowiązków rejestracyjnych (pkt 1), przez systemowe braki w zarządzaniu bezpieczeństwem (pkt 2), niewykonywanie zadań z art. 8d (pkt 3), brak corocznego szkolenia z art. 8e (pkt 4), aż po niewykonanie obowiązków raportowania incydentów (pkt 9) czy zapewnienia audytu (pkt 14).
Czy kara liczona jest od miesięcznego czy rocznego wynagrodzenia?
Zgodnie z art. 73a ust. 4 kara dla kierownika podmiotu prywatnego liczona jest od wynagrodzenia obliczanego według zasad ekwiwalentu pieniężnego za urlop wypoczynkowy — co w praktyce odpowiada wynagrodzeniu miesięcznemu. Dla sektora publicznego (ust. 5) maksymalna wysokość to 100% tak liczonego wynagrodzenia.
SECIQ

SecIQ Team

Zespół inżynierów bezpieczeństwa SecIQ. Monitorujemy zagrożenia 24/7, reagujemy w minutach i dzielimy się wiedzą.

O zespole →

Powiązane artykuły

Alert

Atak na Vercel a KSC 2.0 — łańcuch dostaw w 2026

10 min czytania

Alert

ChipSoft, holenderskie szpitale i łańcuch dostaw — dlaczego KSC 2.0 miało rację

7 min czytania

Alert

Qilin ransomware wyłącza ponad 300 rozwiązań EDR – co wiemy

3 min czytania
Wróć do bloga