NIS2 i DORA. Cyberbezpieczeństwo przestało być sprawą działu IT. Teraz to problem zarządu — i to osobisty

Przez lata kwestie bezpieczeństwa cyfrowego były traktowane jako domena specjalistów od infrastruktury — zagadnienie techniczne, delegowane niżej i rozliczane przy okazji budżetu IT. Dwa unijne akty prawne — dyrektywa NIS2 oraz rozporządzenie DORA — zmieniają tę logikę fundamentalnie. Cyberbezpieczeństwo i odporność cyfrowa stają się obowiązkami zarządu, a ich zaniedbanie może skutkować sankcjami wymierzonymi nie w spółkę, lecz bezpośrednio w członków jej organów.

NIS2: osobista odpowiedzialność kierownika podmiotu

Dyrektywa NIS2, wdrożona do polskiego porządku prawnego ustawą, która weszła w życie w kwietniu 2026 roku, poszerzyła zakres podmiotów objętych obowiązkami z zakresu cyberbezpieczeństwa z kilkuset do kilkudziesięciu tysięcy organizacji. W kręgu zainteresowania regulatora znalazły się nie tylko sektor energetyczny, transportowy czy finansowy, ale również producenci, dostawcy usług cyfrowych, podmioty z sektora zdrowia i wiele innych.

Kluczową zmianą jest jednak nie zakres, lecz mechanizm odpowiedzialności. Ustawa wprowadza osobistą odpowiedzialność finansową kierownika podmiotu — w spółkach kapitałowych są nimi członkowie zarządu. Organ nadzoru może nałożyć na kierownika karę niezależnie od sankcji wymierzonej samej organizacji. W przypadku podmiotów prywatnych kara może sięgnąć trzykrotności miesięcznego wynagrodzenia ukaranego. Jeśli członek zarządu zarabia 40 000 zł miesięcznie, jego osobista sankcja może wynieść 120 000 zł — i jest to kwota odrębna od kar nałożonych na spółkę, które dla podmiotów kluczowych mogą sięgać 10 milionów euro lub 2% rocznego obrotu.

Co istotne — kara osobista nie jest nakładana za sam fakt incydentu cyberbezpieczeństwa. Sankcja grozi za niedopełnienie obowiązków organizacyjnych i nadzorczych: brak wdrożonego systemu zarządzania bezpieczeństwem informacji, brak zatwierdzonych przez zarząd polityk bezpieczeństwa, brak mechanizmów reagowania na incydenty czy zaniechanie wymaganej rejestracji. Innymi słowy — za to, że zarząd nie zajął się tematem, zanim doszło do problemów.

Prawidłowe wdrożenie obejmuje m.in. przeprowadzenie analizy ryzyka, ustanowienie procedur reagowania na incydenty, zapewnienie ciągłości działania, a także przeprowadzenie audytu bezpieczeństwa. Obowiązki te muszą być zatwierdzone i nadzorowane przez organ zarządzający — nie wystarczy ich delegowanie.

DORA: zarząd jako ostateczny właściciel ryzyka ICT

Rozporządzenie DORA, stosowane od 17 stycznia 2025 roku, kieruje się do podmiotów sektora finansowego: banków, ubezpieczycieli, instytucji płatniczych, firm inwestycyjnych, funduszy, dostawców usług kryptoaktywów i wielu innych. W Polsce polska ustawa wdrażająca weszła w życie w sierpniu 2025 roku, powierzając nadzór Komisji Nadzoru Finansowego.

W odróżnieniu od NIS2, DORA jest rozporządzeniem — stosowanym bezpośrednio, bez potrzeby krajowej implementacji. Jego logika jest precyzyjna: ostateczna odpowiedzialność za zarządzanie ryzykiem ICT spoczywa na organie zarządzającym i nie może zostać przeniesiona. Nie wystarczy powierzenie tematyki dyrektorowi ds. IT ani zewnętrznemu dostawcy. Zarząd odpowiada za to, że ramy zarządzania ryzykiem ICT istnieją, są zatwierdzone, wdrożone i regularnie przeglądane.

Konkretne obowiązki organu zarządzającego obejmują:

• zatwierdzenie i nadzór nad całościową strategią odporności cyfrowej, w tym określenie poziomu tolerancji ryzyka ICT;

• nadzór nad wdrożeniem planów ciągłości działania i planów odtwarzania po incydentach;

• zapewnienie regularnego raportowania — zarząd musi być informowany o poważnych incydentach ICT i aktywnie uczestniczyć w decyzjach dotyczących reakcji na nie;

• nadzór nad relacjami z zewnętrznymi dostawcami usług ICT, w tym nad umowami, monitoringiem i strategiami wyjścia;

• bieżące aktualizowanie własnej wiedzy w zakresie ryzyk ICT — rozporządzenie wprost wymaga, by członkowie zarządu regularnie uczestniczyli w szkoleniach z tej tematyki.

Za naruszenia DORA Komisja Nadzoru Finansowego może nałożyć kary finansowe do 20 milionów złotych lub 10% rocznego przychodu podmiotu, a wobec kadry kierowniczej — czasowy zakaz pełnienia funkcji. Możliwe są również sankcje wobec kluczowych zewnętrznych dostawców usług ICT.

Wspólny mianownik: koniec delegowania odpowiedzialności

NIS2 i DORA różnią się zakresem podmiotowym i instrumentami prawnymi, ale łączy je jedna zasada: odpowiedzialność za cyberbezpieczeństwo i odporność cyfrową jest zarządcza, a nie techniczna. Można — i często warto — powierzyć wdrożenie konkretnych środków zewnętrznym partnerom lub wewnętrznemu zespołowi. Formalna odpowiedzialność pozostaje jednak po stronie zarządu i podlega weryfikacji organów nadzoru.

Praktyczne wnioski dla członków zarządów są następujące. Po pierwsze, konieczna jest weryfikacja, czy organizacja w ogóle podlega NIS2 lub DORA — zakres obu regulacji jest szeroki i nierzadko zaskakuje. Po drugie, niezbędne jest potwierdzenie, że wymagane polityki, procedury i systemy zarządzania ryzykiem faktycznie istnieją i są udokumentowane. Po trzecie, zarząd powinien dysponować mechanizmem regularnego raportowania w zakresie bezpieczeństwa IT — nie jednorazowym briefingiem, lecz usystematyzowanym procesem. Po czwarte, decyzje zarządu dotyczące cyberbezpieczeństwa powinny być właściwie protokołowane, co może mieć istotne znaczenie w przypadku postępowania nadzorczego. Argument „nie wiedziałem" przestał być neutralny — stał się dowodem zaniedbania należytej staranności.

Najczęściej zadawane pytania

Czy NIS2 dotyczy mojej firmy, skoro nie działamy w sektorze „krytycznym"? Niekoniecznie. Zakres NIS2 jest znacznie szerszy niż poprzedniej regulacji i obejmuje m.in. producentów, dostawców usług cyfrowych, firmy z branży pocztowej, gospodarki odpadami czy przetwórstwa spożywczego. Wiele firm zostaje objętych obowiązkami bez świadomości, że spełniają ustawowe kryteria wielkości i sektora. Weryfikacja statusu powinna być pierwszym krokiem.

Czy jeśli zleciliśmy cyberbezpieczeństwo zewnętrznej firmie, zarząd jest chroniony przed odpowiedzialnością? Nie. Outsourcing konkretnych działań jest dopuszczalny i często racjonalny ekonomicznie, ale formalna odpowiedzialność za nadzór nad systemem bezpieczeństwa pozostaje po stronie zarządu. Zarówno NIS2, jak i DORA wprost stanowią, że organ zarządzający zatwierdza polityki, nadzoruje ich wdrożenie i ponosi odpowiedzialność za efekt — niezależnie od tego, kto technicznie realizuje poszczególne zadania.

Jak kara osobista ma się do ubezpieczenia OC członka zarządu (D&O)? To istotna kwestia, która wymaga indywidualnej analizy polisy. Standardowe ubezpieczenia D&O mogą nie obejmować sankcji administracyjnych wynikających z naruszeń regulacji cyberbezpieczeństwa lub przewidywać w tym zakresie wyłączenia. Przed uznaniem, że polisa stanowi wystarczającą ochronę, warto zweryfikować jej zakres z doradcą prawnym.

Kiedy grozi zakaz pełnienia funkcji kierowniczych? W reżimie DORA KNF dysponuje uprawnieniem do orzeczenia czasowego zakazu pełnienia funkcji wobec kadry kierowniczej odpowiedzialnej za poważne naruszenia. W reżimie NIS2 analogiczne środki są przewidziane wobec kierowników podmiotów kluczowych. Sankcja ta ma charakter wyjątkowy, ale jej możliwość świadczy o tym, że regulator traktuje odpowiedzialność zarządu poważnie — nie tylko jako element finansowy.

Od kiedy faktycznie grożą kary i czy jest jeszcze czas na wdrożenie? W przypadku NIS2 pełna egzekucja finansowa rusza od kwietnia 2028 roku, jednak obowiązki formalne — w tym rejestracja i wdrożenie systemu zarządzania bezpieczeństwem — obowiązują już teraz. Zaniechania z 2026 roku będą rozliczane w 2028 roku. W przypadku DORA rozporządzenie stosowane jest od stycznia 2025 roku i nie przewiduje okresu przejściowego dla egzekucji. Czas na działanie był wcześniej — dziś liczy się dokumentowanie postępów.

Jeśli potrzebują Państwo wsparcia w ocenie statusu organizacji pod kątem NIS2 lub DORA, analizy ryzyka odpowiedzialności zarządu albo pomocy we wdrożeniu wymaganych procedur — zapraszamy do kontaktu z kancelarią.