Trustlinks free webinar: Turning regulation into resilience – Register now

Bądź na bieżąco z najnowszymi trendami i najlepszymi praktykamiBlog Trustlinks

NIS2 – nowe obowiązki członków organów zarządzających w 2026 roku

Guest post Gras i Wspolnicy. NIS2 - new obligations for board members.

Niniejszy artykuł został napisany przez Mariusza Bonisławskiego, radcę prawnego, oraz Mateusza Grosickiego, adwokata i partnera, w Kancelarii Graś i Wspólnicy – wiodącej polskiej kancelarii prawnej specjalizującej się w prawie cyberbezpieczeństwa, compliance i odpowiedzialności korporacyjnej.

Analiza dyrektywy i projektu ustawy

Dyrektywa NIS2 wprowadza fundamentalną zmianę w podejściu do cyberbezpieczeństwa w Unii Europejskiej. Po raz pierwszy wprost przypisuje osobistą odpowiedzialność za cyberbezpieczeństwo członkom organów zarządzających, w tym członkom zarządów spółek. Oznacza to, że cyberbezpieczeństwo przestaje być wyłącznie domeną działów IT czy compliance, a staje się obszarem bezpośredniego nadzoru kadry kierowniczej.

W artykule wyjaśniamy:

  • czym jest dyrektywa NIS2,
  • kogo obejmują nowe regulacje,
  • jakie obowiązki i sankcje dotyczą członków organów zarządzających,
  • jak przygotować się na nowe przepisy według stanu prac legislacyjnych na styczeń 2026 r.

Czym jest dyrektywa NIS2 i dlaczego ma znaczenie dla zarządów?

Dyrektywa NIS2 (dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 r.) dotyczy środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w UE. Zastępuje wcześniejszą dyrektywę NIS1 i znacząco rozszerza zarówno zakres podmiotowy, jak i katalog obowiązków.

Dyrektywa nie stosuje się bezpośrednio – wymaga implementacji do prawa krajowego.
Państwa członkowskie miały czas na transpozycję do 17 października 2024 r.

W Polsce wdrożenie następuje poprzez nowelizację:

  • ustawy o krajowym systemie cyberbezpieczeństwa,
  • oraz niektórych innych ustaw (projekt – druk sejmowy nr 1955, etap prac sejmowych).

Kogo dotyczy NIS2?

Dyrektywa NIS2 obejmuje:

  • podmioty kluczowe,
  • podmioty ważne.



Ich definicje zawarto w art. 3 dyrektywy. Ostateczne wykazy mają zostać określone przez państwa członkowskie.

Na obecnym etapie przedsiębiorcy mogą dokonać wstępnej samooceny, analizując m.in.:

  • czy spełniają kryterium co najmniej średniego przedsiębiorcy,
  • czy działają w sektorach objętych NIS2 (np. energia, transport, zdrowie, usługi cyfrowe, infrastruktura krytyczna, usługi zaufania),
  • czy dotychczas posiadali status operatora usług kluczowych lub podmiotu istotnego.

Jak NIS2 zmienia odpowiedzialność członków organów zarządzających?

Najistotniejszą zmianą w NIS2 jest bezpośrednie przypisanie odpowiedzialności organom zarządzającym. Zgodnie z art. 20 ust. 1 dyrektywy, to organy zarządzające:

  • zatwierdzają środki zarządzania ryzykiem w cyberbezpieczeństwie,
  • nadzorują ich wdrażanie,
  • mogą ponosić odpowiedzialność za naruszenia.



Obowiązki te mają charakter osobisty i nie mogą być skutecznie przerzucone wyłącznie na działy IT, zewnętrznych dostawców czy pełnomocników.

Jakie środki cyberbezpieczeństwa muszą nadzorować zarządy?

Podmioty objęte NIS2 muszą wdrożyć środki zarządzania ryzykiem, których minimalny katalog określa art. 21 ust. 2 dyrektywy. Obejmują one m.in.:

  • polityki analizy ryzyka i bezpieczeństwa systemów informatycznych,
  • procedury obsługi incydentów,
  • mechanizmy ciągłości działania (kopie zapasowe, odtwarzanie danych),
  • zarządzanie kryzysowe,
  • bezpieczeństwo łańcucha dostaw.


Środki te muszą być adekwatne, proporcjonalne i stale aktualizowane, a nadzór nad nimi spoczywa na organach zarządzających.

Obowiązek zgłaszania incydentów – rola zarządu

Dyrektywa NIS2 wprowadza szczegółowe zasady zgłaszania poważnych incydentów cyberbezpieczeństwa (art. 23).

Choć formalnie zgłoszenia dokonuje podmiot, to członkowie zarządu odpowiadają za:

  • ustanowienie procedur wykrywania i oceny incydentów,
  • prawidłową kwalifikację zdarzeń,
  • terminowość i kompletność zgłoszeń.



Brak procedur lub błędna ocena zdarzenia może zostać uznana za naruszenie obowiązków nadzorczych.

Czy członkowie zarządu muszą posiadać wiedzę z zakresu cyberbezpieczeństwa?

NIS2 nie nakłada wprost obowiązku certyfikacji czy określonego wykształcenia, ale w praktyce wymaga, aby członkowie organów zarządzających:

  • rozumieli ryzyka cybernetyczne,
  • potrafili ocenić skutki incydentów (prawne, finansowe, operacyjne),
  • podejmowali świadome decyzje nadzorcze.



W praktyce oznacza to konieczność:

  • szkoleń zarządczych,
  • stałego wsparcia doradczego,
  • regularnych raportów z obszaru cyberbezpieczeństwa.

Bezpieczeństwo łańcucha dostaw jako obowiązek zarządu

Dyrektywa NIS2 kładzie szczególny nacisk na bezpieczeństwo łańcucha dostaw. Organy zarządzające muszą nadzorować m.in.:

  • ocenę podatności kluczowych dostawców IT,
  • ryzyka wynikające z zależności od podmiotów trzecich,
  • adekwatność zapisów umownych dotyczących cyberbezpieczeństwa.



Cyberatak u dostawcy może bowiem skutkować odpowiedzialnością po stronie podmiotu objętego NIS2.

Jakie sankcje grożą za naruszenie obowiązków z NIS2?

Dyrektywa NIS2 przewiduje zarówno sankcje wobec podmiotów, jak i sankcje osobiste wobec osób pełniących funkcje zarządcze. Możliwe sankcje obejmują:

  • tymczasowy zakaz pełnienia funkcji zarządczych,
  • administracyjne kary pieniężne:
    • do 10 mln euro lub 2% światowego obrotu – podmioty kluczowe,
    • do 7 mln euro lub 1,4% światowego obrotu – podmioty ważne.



Projekt polskiej ustawy przewiduje dodatkowo możliwość kar pieniężnych wobec kierowników podmiotów w rozumieniu ustawy o rachunkowości oraz ustawy o finansach publicznych.

Podsumowanie

Dyrektywa NIS2 zasadniczo zmienia model odpowiedzialności za cyberbezpieczeństwo, przenosząc ciężar nadzoru bezpośrednio na organy zarządzające. Członkowie zarządów muszą liczyć się z osobistą odpowiedzialnością, w tym finansową i organizacyjną.

Już na etapie prac legislacyjnych zasadne jest:

  • przeprowadzenie audytu zgodności,
  • przegląd struktur decyzyjnych,
  • przygotowanie zarządów na nowe obowiązki nadzorcze.

FAQ – NIS2 a odpowiedzialność zarządu

Czy NIS2 dotyczy wszystkich spółek?
– Nie. Dyrektywa obejmuje podmioty kluczowe i ważne działające w określonych sektorach.

Czy odpowiedzialność można przenieść na dział IT?
– Nie. Organy zarządzające ponoszą osobistą odpowiedzialność nadzorczą.

Czy grozi zakaz pełnienia funkcji w zarządzie?
– Tak – w skrajnych przypadkach dyrektywa przewiduje takie sankcje.

Czy warto przygotować się przed wejściem ustawy w życie?
– Tak. Wczesne działania ograniczają ryzyko sankcji i odpowiedzialności osobistej.

O Kancelarii Graś i Wspólnicy

Kancelaria Graś i Wspólnicy to polska kancelaria prawna z bogatym doświadczeniem w zakresie prawa cyberbezpieczeństwa, compliance korporacyjnego i kwestii regulacyjnych. Jako partner firmy Whistleblowing Solutions AB, dostawcy systemu Whistlelink i Trustlinks, kancelaria ściśle współpracuje z organizacjami w całej Polsce, pomagając im zrozumieć i wypełniać obowiązki wynikające z implementacji dyrektywy NIS2 oraz innych unijnych regulacji do polskiego porządku prawnego.

Więcej informacji o usługach kancelarii znajdziesz na stronie kglegal.pl.

Looking for a secure and user-friendly compliance solution?Share your details, and we’ll contact you to discuss how Trustlinks can help.

Porozmawiaj z Territory Manager
Urszula Brys

Blog TrustlinksPrzeczytaj dalej..

Sztuczna inteligencja przyspiesza rozwój zagrożeń cybernetycznych – jednak działania w zakresie zapewnienia zgodności z przepisami wciąż pozostają w tyle
Rosnące wyzwanie w zakresie zgodności dla małych i średnich organizacji
Prawdziwym zagrożeniem nie jest sztuczna inteligencja. Jest nim luka między zagrożeniami a gotowością do zapewnienia zgodności z przepisami

Umów spotkanie

Wyślij nam wiadomość, a nasz zespół wkrótce się z Tobą skontaktuje.

Umów spotkanie

Wyślij nam wiadomość, a nasz zespół wkrótce się z Tobą skontaktuje.
Logo Trustlinks w kolorze białym.

Porozmawiaj z działem sprzedaży

Masz pytania dotyczące cen, ram regulacyjnych lub tego, jak Trustlinks pasuje do Twojej organizacji? Nasz zespół jest tutaj, aby pomóc Ci znaleźć odpowiednie podejście.

→ Lub zapoznaj się z naszymi często zadawanymi pytaniami

Uzyskaj wsparcie dotyczące produktu

Potrzebujesz pomocy w korzystaniu z platformy lub masz problem? Nasz zespół wsparcia jest gotowy do pomocy.

Skontaktuj się z nami