Obowiązek od 2026‑04‑03 — KSC 2.0 art. 8e

Spełnij obowiązek art. 8e KSC 2.0 w trzy godziny.
Z prawnikiem, vCISO i ekspertem z SOC.

Coroczne szkolenie zarządu wymagane od kwietnia 2026. Trzech prowadzących, trzy perspektywy — prawo, strategia, realne incydenty. Dokumentacja zgodności + e‑learning na 12 miesięcy w cenie.

Umów szkolenie zarząduZobacz agendę 3h

Maks. kara dla kierownika podmiotu prywatnego

wynagrodzenia liczonego jak ekwiwalent za urlop (art. 73a ust. 4 KSC)

300%

Częstotliwość obowiązkowego szkolenia

raz w roku kalendarzowym (art. 8e ust. 1)

1×/rok

Liczba podstaw kary z art. 73a ust. 1

brak szkolenia z art. 8e to tylko jedna z nich (pkt 4)

14

Odpowiedzialność osobista

Kara z art. 73a to nie jest „tylko za brak szkolenia”. To 14 podstaw — i dowód staranności.

  • Art. 8e ust. 1 — kierownik podmiotu kluczowego i ważnego raz w roku kalendarzowym przechodzi szkolenie. Udział jest udokumentowany (ust. 3).
  • Art. 8c ust. 1 — kierownik podmiotu ponosi odpowiedzialność za wykonywanie obowiązków cyber. W organie wieloosobowym bez wskazania osoby — odpowiadają wszyscy członkowie (ust. 2).
  • Art. 73a ust. 1 — katalog 14 podstaw kary dla kierownika. Brak szkolenia z art. 8e to jedna z nich (pkt 4).
  • Art. 73a ust. 4 — kierownik podmiotu prywatnego: kara do 300% wynagrodzenia liczonego jak ekwiwalent za urlop. Art. 73a ust. 5 — kierownik podmiotu publicznego: do 100%.
  • W praktyce: brak udokumentowanego szkolenia osłabia dowód staranności kierownika przy zarzutach z pozostałych 13 podstaw — jest najłatwiejszym do wykrycia naruszeniem podczas kontroli.

Więcej o samym art. 8e i mechanice odpowiedzialności: Art. 8e KSC 2.0 — obowiązek szkolenia zarządu krok po kroku.

Agenda

Trzy godziny — co dokładnie się dzieje.

Prawnik

Ustawa, kary, dokumentacja

0:00 — 1:00
  • Art. 8c, 8d, 8e — odpowiedzialność, 5 obowiązków kierownika, coroczne szkolenie
  • Art. 73a ust. 1 — katalog 14 podstaw kar dla kierownika (nie tylko brak szkolenia)
  • Art. 73a ust. 4 i 5 — wysokość kary: 300% (prywatne) / 100% (publiczne) wynagrodzenia
  • Dowód staranności — protokoły, decyzje budżetowe, dokumentacja szkolenia
  • Polisa D&O a kary administracyjne KSC — co pokrywa, czego nie

vCISO

Ryzyko, strategia, decyzje budżetowe

1:00 — 2:00
  • Apetyt na ryzyko — jak wygląda na poziomie zarządu
  • Jak czytać analizę ryzyka, którą podsuwa Ci CISO
  • 5 pytań, które członek zarządu musi zadać o łańcuch dostaw
  • Kiedy nie kupować kolejnego narzędzia — i co kupić zamiast
  • Polityki bezpieczeństwa, które działają vs te dla audytora

Ekspert SOC

Realne incydenty 2025–2026

2:00 — 3:00
  • Case #1 — Ransomware w średniej firmie produkcyjnej. Co zrobił zarząd, czego nie zrobił.
  • Case #2 — BEC ze stratą 1,4 mln EUR. Jak zarząd dowiedział się o nim za późno.
  • Case #3 — Atak supply chain przez polskiego SaaS‑a. Decyzja zarządu w 90 minut.
  • Tabletop exercise — Twój zarząd w roli (15 minut decyzji)
  • Kiedy dzwonić, kiedy płacić, kiedy milczeć — checklist'a
Realne incydenty

Trzy case’y z naszego SOC. Anonimizowane, ale prawdziwe.

W godzinie eksperta z SOC pokazujemy konkretne decyzje, które musiał podjąć zarząd — i co z tego wyszło.

RANSOMWAREQ4 2025

Produkcja, średnia firma

Zaszyfrowane 4 z 6 środowisk produkcyjnych

Zarząd dowiedział się o incydencie z opóźnieniem 11 godzin. Pierwsze decyzje (płacić / nie płacić, czy zgłosić do mediów) podjął przed analizą wpływu na klientów. Konsekwencje: kara administracyjna, pozew zbiorowy klientów, zmiana CEO w 6 miesięcy.

Czego uczy

Decyzja o priorytetach komunikacji musi być przygotowana ZANIM się stanie. W tabletop pokażemy jak.

BECQ1 2026

Spedycja, duża firma

Strata 1,4 mln EUR w jednym przelewie

Atakujący podszył się pod CFO przez 6 tygodni — kompromitacja Outlooka, dokładny styl pisania, reguły inbox. Zarząd zatwierdził transfer bez weryfikacji telefonicznej. Bank odmówił cofnięcia. Polisa cyber pokryła 30% straty.

Czego uczy

Procedura weryfikacji transferów >X EUR musi być sformalizowana i podpisana przez zarząd. Pokażemy wzór.

SUPPLY CHAINQ2 2026

B2B SaaS, dostawca regulowanych

Atak przez polską platformę księgową

Zaufany dostawca SaaS został skompromitowany. Atakujący przez 8 dni miał dostęp do księgowości 200+ klientów. Zarządy klientów dostały informację z mediów (nie od dostawcy). Skutek: kary KSC i zerwanie kontraktów.

Czego uczy

Klauzule cyber w umowach z dostawcami muszą zawierać obowiązek powiadomienia w 24h. Pokażemy minimalne klauzule.

Wszystkie case’y są anonimizowane — branża, skala, mechanika ataku są prawdziwe, ale nazwa firmy, lokalizacje i dane osobowe są zmienione. To te same incydenty, które trafiały do naszego SOC i nad którymi pracowaliśmy w czasie rzeczywistym.

W cenie

Pakiet dowodowy — wszystko, co potrzebne na audyt.

Certyfikat zgodności art. 8e KSC 2.0

Imienny dla każdego uczestnika. Data, agenda, podpis SecIQ — dokument do akt zarządu.

Biblioteka e‑learning na 12 m‑cy

Video (każdy moduł 8‑15 min), quizy, case studies. Aktualizacja po każdym nowym incydencie z naszego SOC.

Raport agendy z listą uczestników

Wzór dla organu nadzorczego — co, kiedy, kto, jak długo. Pakiet dowodowy na żądanie audytora.

Zestaw checklist i wzorów

Wzór polityki bezpieczeństwa, klauzule cyber do umów z dostawcami, checklist'a kryzysowa „pierwsza godzina po telefonie”.

Oświadczenie zgodności art. 8e ust. 1

Dokument, który członek zarządu może podpisać i włożyć do akt — formalne potwierdzenie odbycia szkolenia w danym roku.

Konsultacja follow‑up 30 minut

W ciągu 90 dni po szkoleniu — call z vCISO, żeby przepracować to co się pojawiło w międzyczasie.

Formaty i cennik

Trzy formaty, cena z góry.

U Ciebie. Dedykowane.

Onsite

19 500 PLN

netto

Trzech prowadzących + dojazd. Materiały dopasowane do branży.

  • do 12 osób
  • Dojazd na terenie PL w cenie
  • Sesja w sali zarządu klienta
Wybierz Onsite
Najczęściej wybierane

Zdalnie. Dedykowane.

Online

12 000 PLN

netto

Ta sama treść, prowadzona przez Teams/Meet. Pełna dedykacja.

  • do 15 osób
  • Teams / Google Meet
  • Materiały i e‑learning identyczne jak onsite
Wybierz Online

Pojedyncze osoby.

Otwarte

2 500 PLN

netto

Standardowy program raz na kwartał. Z innymi firmami.

  • per osoba (netto)
  • Kalendarz kwartalnych terminów
  • Bez dedykowania, ten sam standard
Wybierz Otwarte

Cyber to nie konsulting. Zarządy nie potrzebują frameworka.
Potrzebują wiedzy co robić w piątek o 17:00, kiedy zadzwoni telefon o ransomware.

FAQ zarządu

Pytania, które zadają zarządy.

Czy obowiązek z art. 8e dotyczy całego zarządu, czy tylko prezesa?
Art. 8e dotyczy kierownika podmiotu kluczowego lub ważnego oraz osoby, której powierzono obowiązki kierownika w cyberbezpieczeństwie. Art. 8c ust. 2 doprecyzowuje: jeśli kierownikiem jest organ wieloosobowy (np. zarząd) i nie wskazano osoby odpowiedzialnej, odpowiedzialność ponoszą wszyscy członkowie. W praktyce w spółkach prawa handlowego — bez uchwały o delegacji — szkolić trzeba cały zarząd.
Czy kara z art. 73a grozi tylko za brak szkolenia?
Nie. Art. 73a ust. 1 wymienia 14 podstaw kary dla kierownika — brak corocznego szkolenia z art. 8e to tylko pkt 4. Pozostałe to m.in. niewykonanie obowiązków rejestracyjnych (pkt 1), brak wdrożenia SZBI (pkt 2), brak zadań z art. 8d (pkt 3), brak osób kontaktowych (pkt 6), niewykonanie obowiązków incydentowych (pkt 9–12) czy brak audytu (pkt 14). Brak szkolenia jest jednak najłatwiejszy do wykrycia podczas kontroli — i osłabia obronę przy pozostałych zarzutach.
Czy szkolenie online wystarcza do spełnienia art. 8e?
Tak — ustawa nie wymaga formy stacjonarnej. Art. 8e ust. 3 wymaga, by udział w szkoleniu był udokumentowany. Format online jest równoprawny, jeśli każdy uczestnik jest zalogowany imiennie, jest log uczestnictwa z platformy i podpisał oświadczenie po szkoleniu. Onsite wybierają zarządy, dla których 3 godziny w sali to też element budowania zespołu oraz te, które chcą dyskutować case'y na konkretnych danych swojej firmy.
Dlaczego 3 godziny — to za mało albo za dużo?
Bo trzy są w sam raz. 1 godzina (jak ODO 24) to powierzchnia — można odhaczyć obowiązek, ale zarząd nie wyniesie z tego decyzji. 2 dni (jak EITT) to za dużo dla zajętego zarządu — w praktyce drugi dzień jest oklepywany lub odwoływany. 3 godziny to optimum: 1 godzina prawnika to konkretna mapa odpowiedzialności, 1 godzina vCISO to rama strategiczna, 1 godzina case'ów z SOC to ten moment, w którym zarząd przestaje pytać „czy to się dzieje” i pyta „co zrobić, jeśli”. Po tym e‑learning utrzymuje wiedzę przez 12 miesięcy.
Czemu nie pokazujecie nazwisk prowadzących?
Bo zespół trzech ekspertów rotuje w zależności od terminu, branży klienta i typu case'ów. Każdy z prowadzących to certyfikowany ekspert (prawnik — radca prawny, vCISO — 20+ lat w cyber, ekspert SOC — analityk z certyfikatem Microsoft Security). Jeśli przed podpisaniem chcesz poznać konkretne osoby, które poprowadzą Twoją sesję — wskazujemy je w ofercie po pierwszej rozmowie.
Czy mogę porównać Was z Big 5 (Deloitte/PwC/EY/KPMG)?
Tak. Big 5 ma silną markę, sieć i typowo wybiera format strategiczny (1‑2 dni warsztatów, wyniki wpinają się w retainer doradczy). SecIQ ma transparentny cennik, prawnika w panelu i case'y z własnego operacyjnego SOC. Jeśli szukasz „strategy partner” — Big 5. Jeśli szukasz „spełnić art. 8e dobrym programem za znaną cenę” — my. Pełne porównanie w artykule blogowym (link w sekcji niżej).
Co jeśli mam już radcę prawnego — czy potrzebuję jeszcze prawnika z SecIQ?
Radca prawny to nie konflikt — to dopełnienie. Twój radca zna Twoją spółkę, kontekst i historię decyzji. Nasz prawnik zna KSC 2.0 i orzeczenia z innych spraw cyber. W szkoleniu prawnik SecIQ tłumaczy ustawę, a nie Twoje konkretne umowy. Wielu klientów zaprasza swojego radcę jako uczestnika — wówczas radca dostaje update z linii orzeczeń, a Wy macie spójną interpretację.
Co dokładnie dostaję jako pakiet dowodowy do audytu?
Cztery dokumenty: (1) certyfikat imienny dla każdego uczestnika, (2) raport agendy podpisany przez SecIQ z mapowaniem modułów na art. 8e ust. 2 (art. 7b, 7c, 7f, 8, 8d, 8f, 9–12b, 14, 15), (3) oświadczenie zgodności art. 8e ust. 1 do podpisu uczestnika, (4) wyciąg z biblioteki e‑learning z logiem aktywności. Wszystko w formie PDF + paczki SCORM kompatybilnej z większością systemów LMS.
Czy szkolenie zawiera coś o AI i nowych zagrożeniach?
Tak — w ramach godziny eksperta z SOC. Pokażemy realne case'y z 2025‑2026 obejmujące deepfake voice phishing (BEC z głosem CFO), AI‑driven malware (poliforficzne payloady), oraz manipulację narzędzi AI używanych przez firmę (prompt injection w wewnętrznych asystentach). Ale nie zaczynamy od AI — zaczynamy od ransomware i BEC, bo to one wciąż generują 80% strat.
Co po szkoleniu — czy oferujecie dalsze wsparcie?
Tak. Konsultacja follow‑up (30 minut z vCISO w ciągu 90 dni) jest w cenie. Dalej: opcjonalnie vCISO w abonamencie, retainer prawny, lub SOC 24/7 — ale to są osobne usługi, nie domyślne. Większość klientów po szkoleniu wraca tylko na coroczną rocznicę (znów obowiązek art. 8e). To OK — nie sprzedajemy zależności.

Trzy godziny, spełniony obowiązek na cały rok.

Zostaw kontakt — wyślemy 3 propozycje terminów, wycenę i przykładową agendę dopasowaną do branży w 24 godziny.

Umów szkolenie zarząduPozostałe szkolenia

Pełne porównanie: Big 4 vs MSSP — kogo wybrać do szkolenia zarządu