Art. 20 i 21 dyrektywy NIS2

KSC 2.0 wchodzi w życie.
Zarząd odpowiada osobiście.

Dyrektywa NIS2 i nowa ustawa o Krajowym Systemie Cyberbezpieczeństwa wprowadzają osobistą odpowiedzialność zarządu za cyberbezpieczeństwo firmy. Kary sięgają 10 mln EUR lub 2% rocznego obrotu — a to nie jedyne konsekwencje.

Umów rozmowę z ekspertemPoznaj wymagania NIS2

Nowe obowiązki

Co oznacza KSC 2.0 dla zarządu?

Dotychczas cyberbezpieczeństwo było „sprawą IT”. KSC 2.0 zmienia to fundamentalnie — zarząd ponosi osobistą odpowiedzialność za decyzje (lub ich brak) w obszarze cyberbezpieczeństwa.

Osobista odpowiedzialność

Członkowie zarządu odpowiadają osobiście za zatwierdzenie i nadzór nad wdrożeniem środków zarządzania ryzykiem. To nie jest odpowiedzialność firmy — to Twoja odpowiedzialność.

Art. 20 ust. 1 NIS2

Kary do 10 mln EUR lub 2% obrotu

Dla podmiotów kluczowych kary administracyjne sięgają 10 mln EUR lub 2% rocznego obrotu (liczy się kwota wyższa). Dla podmiotów ważnych — 7 mln EUR lub 1,4% obrotu.

Art. 34 NIS2

Zawieszenie w funkcji

Organ nadzorczy może tymczasowo zawiesić członka zarządu w pełnieniu funkcji kierowniczych — jeśli uzna, że podmiot nie wykonuje nakazów naprawczych.

Art. 32 ust. 5 NIS2

Odpowiedzialność karna

W przypadku rażącego zaniedbania, które doprowadziło do poważnego incydentu, polskie prawo przewiduje również możliwość odpowiedzialności karnej członków zarządu.

KSC 2.0 — przepisy karne

Przygotuj się

3 pytania, które audytor zada Twojemu zarządowi

Kontrola organu nadzorczego to kwestia czasu. Oto pytania, na które zarząd musi znać odpowiedź — i jak wyglądają odpowiedzi dobra i zła.

1

Czy zarząd zatwierdził politykę zarządzania ryzykiem cyberbezpieczeństwa?

Dobra odpowiedź

Tak, polityka została zatwierdzona uchwałą zarządu w dniu [data]. Jest przeglądana co 12 miesięcy. Ostatnia aktualizacja uwzględnia wymagania KSC 2.0.

Zła odpowiedź

Mamy coś w IT, ale nie jestem pewien czy zarząd to formalnie zatwierdzał. Chyba było na mailu.

2

Kiedy członkowie zarządu ostatnio uczestniczyli w szkoleniu z cyberbezpieczeństwa?

Dobra odpowiedź

Cały zarząd ukończył szkolenie z zakresu NIS2 i zarządzania ryzykiem w dniu [data]. Certyfikaty są w dokumentacji. Kolejne szkolenie zaplanowane na [data].

Zła odpowiedź

Nie przypominam sobie. Chyba ktoś z IT robił prezentację na zarządzie, ale to było dawno.

3

Jak wygląda procedura reagowania na incydenty i kto odpowiada za raportowanie?

Dobra odpowiedź

Mamy udokumentowaną procedurę Incident Response z czasami SLA. Dedykowany zespół SOC monitoruje 24/7. Raportowanie do CSIRT zgodnie z Art. 23 NIS2 — w ciągu 24h wstępne, 72h pełne.

Zła odpowiedź

Jeśli coś się stanie, to IT się zajmie. Nie mamy konkretnej procedury na piśmie.

Rozwiązanie

Jak SecIQ chroni zarząd

Trzy filary ochrony, które pozwalają zarządowi spokojnie odpowiedzieć na każde pytanie audytora.

Dedykowany opiekun monitoruje

Przypisany ekspert ds. bezpieczeństwa monitoruje Twoje środowisko 24/7, reaguje na incydenty i regularnie raportuje zarządowi. Znasz stan cyberbezpieczeństwa firmy — zawsze.

  • Monitoring 24/7/365
  • Comiesięczne raporty dla zarządu
  • Reakcja na incydenty < 15 minut

vCISO dokumentuje

Wirtualny CISO tworzy i utrzymuje pełną dokumentację wymaganą przez KSC 2.0 — polityki, procedury, rejestry ryzyk. Wszystko aktualne i gotowe na kontrolę.

  • 12+ dokumentów wymaganych przez KSC 2.0
  • Aktualizacja przy zmianach przepisów
  • Gotowość na audyt w każdej chwili

IQ Academy szkoli

Platforma szkoleniowa z dedykowaną ścieżką dla zarządu — spełniasz wymóg Art. 20 NIS2 dotyczący szkoleń. Certyfikaty, testy, dokumentacja ukończenia.

  • Szkolenia dopasowane do roli
  • Certyfikaty potwierdzające ukończenie
  • Symulacje phishingowe dla całej firmy

Porównanie

Koszt ochrony vs koszt kary

Liczby mówią same za siebie. Roczny koszt profesjonalnej ochrony to ułamek potencjalnych konsekwencji.

Roczny koszt ochrony SecIQ

94 800 PLN

7 900 PLN/mies. (pakiet rozszerzony)

  • SOC 24/7 z dedykowanym opiekunem
  • Pełna dokumentacja KSC 2.0
  • Szkolenia dla zarządu i pracowników
  • vCISO — doradztwo strategiczne

Potencjalne konsekwencje

40+ mln PLN

Kary + koszty incydentu + utrata reputacji

  • Kara administracyjna do 10 mln EUR
  • Zawieszenie w funkcji zarządczej
  • Koszty incydentu: śr. 4,45 mln USD
  • Utrata klientów i reputacji

ROI: 420:1

Za każdą złotówkę zainwestowaną w ochronę SecIQ unikasz 420 zł potencjalnych strat. To nie koszt — to polisa ubezpieczeniowa z gwarantowaną wartością.

Najczęstsze pytania

Pytania, które zadaje zarząd

KSC 2.0 (implementacja NIS2) obejmuje podmioty kluczowe i ważne w 18 sektorach — od energetyki i transportu po produkcję, usługi cyfrowe i łańcuch dostaw. Jeśli Twoja firma zatrudnia ponad 50 osób lub ma obroty powyżej 10 mln EUR, a działa w jednym z tych sektorów — z dużym prawdopodobieństwem podlega regulacji.

Ustawa o Krajowym Systemie Cyberbezpieczeństwa 2.0 wchodzi w życie w 2026 roku. Podmioty objęte regulacją mają ograniczony czas na dostosowanie się do wymagań — zarówno technicznych, jak i organizacyjnych.

Art. 20 dyrektywy NIS2 wymaga, aby zarząd uczestniczył w szkoleniach z cyberbezpieczeństwa i rozumiał ryzyka. Nie musisz być ekspertem technicznym — ale musisz rozumieć ryzyka i podejmować świadome decyzje. Dlatego oferujemy dedykowane szkolenia dla zarządów w ramach IQ Academy.

Organ nadzorczy może nałożyć kary administracyjne do 10 mln EUR lub 2% rocznego obrotu (dla podmiotów kluczowych), nakazać wstrzymanie działalności lub zawiesić członków zarządu w funkcjach kierowniczych. Dodatkowo, w przypadku rażącego zaniedbania, możliwa jest odpowiedzialność karna.

Umów rozmowę z ekspertem

Omówimy sytuację Twojej firmy w kontekście KSC 2.0, zidentyfikujemy luki i pokażemy konkretny plan działania. Bez zobowiązań.

Umów konsultacjęZobacz pakiety