Odpowiedzialność kierownictwa w świetle krajowych regulacji implementujących Dyrektywy CER i
Seagate SkyHawk AI – dyski do nowoczesnych systemów monitoringu
Głos branży – bezpieczeństwo infrastruktury krytycznej (2/2026)
Rusza druga edycja Śniadania #KobietySecurity
MS Tech Summit 2026
5 czerwca 2026
Nasze eventy
Notyfikacje Zobacz wszystkie
Najnowsze wpisy
Odpowiedzialność kierownictwa w świetle krajowych regulacji implementujących Dyrektywy
3 cze 2026
Seagate SkyHawk AI
Seagate SkyHawk AI – dyski do nowoczesnych systemów
28 maj 2026
Bezpieczeństwo IK głos branży
Głos branży – bezpieczeństwo infrastruktury krytycznej (2/2026)
27 maj 2026
Zaproszenie na śniadanie #KobietySecurity
Rusza druga edycja Śniadania #KobietySecurity
26 maj 2026
Zaproszenie na MS Tech Summit 2026
MS Tech Summit 2026
20 maj 2026
Jubileuszowa edycja Security BootCamp
20 maj 2026
Mistrzostwa Polski Securex 2026
VIII Mistrzostwa Polski Instalatorów Systemów Alarmowych
18 maj 2026
Uroczystość 25-lecia EVVA Polska
EVVA Polska świętuje 25 lat działalności na polskim
12 maj 2026
Granica ochrony perymetrycznej się przesuwa
Granica się przesuwa. Jak inteligentne systemy ochrony obwodowej
11 maj 2026
Wizualizacja tematu infrastruktury krytycznej
Infrastruktura krytyczna – sabotaż, chaos i dane
6 maj 2026
a&s Polska > Sektory rynku > Bezpieczeństwo biznesu > Odpowiedzialność kierownictwa w świetle krajowych regulacji implementujących Dyrektywy CER i NIS2
#Bezpieczeństwo biznesu #COVER STORY #Cybersecurity

Odpowiedzialność kierownictwa w świetle krajowych regulacji implementujących Dyrektywy CER i NIS2

  • 3 czerwca 2026
  • 0
  • 7 min czytania

Dynamiczny wzrost zagrożeń w cyberprzestrzeni oraz rosnące znaczenie infrastruktury krytycznej spowodowały istotną zmianę podejścia do kwestii cyberbezpieczeństwa. W obliczu poważnych zagrożeń przyspieszający rozwój cyfrowego świata wymaga wspólnych i odpowiedzialnych działań, które powinny być kluczowym elementem budowania cyberbezpieczeństwa w każdej organizacji.

Dorota Duda

Dbanie o cyberbezpieczeństwo obejmuje nie tylko implementację odpowiednich narzędzi i  technologii, ale także rozwój kultury bezpieczeństwa, regularne szkolenia pracowników oraz tworzenie i utrzymywanie planów reagowania na incydenty. Tylko kompleksowe podejście do cyberbezpieczeństwa może zapewnić organizacji trwałą ochronę.

Unia Europejska (UE) w ramach coraz bardziej zglobalizowanego i cyfrowego świata uznaje cyberbezpieczeństwo za priorytetową kwestię. 27 grudnia 2022 r. opublikowała pakiet regulacji prawnych, wśród których znalazły się dyrektywy CER oraz NIS2. Pierwsza z nich koncentruje się na wzmocnieniu cyberbezpieczeństwa, druga zaś skupia się na odporności podmiotów krytycznych. W obu dyrektywach podkreślone jest znaczenie ról i odpowiedzialności za realizację działań w zakresie odporności organizacji.

Dyrektywa NIS2 kładzie szczególny nacisk na odpowiedzialność kierownictwa poszczególnych podmiotów w zakresie zapewnienia cyberbezpieczeństwa. W polskim porządku prawnym zmiany te znajdują odzwierciedlenie w znowelizowanej ustawie o krajowym systemie cyberbezpieczeństwa z 2026 r. Wprowadza ona do polskiego porządku prawnego nową, istotną rolę: kierownika podmiotu kluczowego lub podmiotu ważnego. Ponosi on odpowiedzialność za wykonywanie obowiązków podmiotu w zakresie cyberbezpieczeństwa.

Co ważne, jeżeli kierownikiem jest organ wieloosobowy, to odpowiedzialność ponoszą wszyscy członkowie tego organu. Odpowiedzialność kierownika podmiotu następuje także wtedy, gdy niektóre z  obowiązków zostały powierzone innej osobie za jej zgodą. Jaki jest cel tych rozwiązań? Istotne jest, aby kierownictwo podmiotu poważnie podchodziło do zapewnienia cyberbezpieczeństwa podmiotu. Obecnie bez bezpiecznych systemów informacyjnych nie jest możliwe sprawne świadczenie usług innym podmiotom i konsumentom. A więc cyberbezpieczeństwo przestaje być jedynie domeną działów IT, a staje się priorytetowym zadaniem kadry zarządzającej.

Jakie są najistotniejsze zadania kierownika podmiotu kluczowego lub podmiotu ważnego?

  • Podejmowanie decyzji w zakresie przygotowania, wdrażania, stosowania i przeglądu systemu zarządzania bezpieczeństwem informacji (SZBI) w podmiocie. Kierownik odpowiada za SZBI i jego rozwój zgodnie z cyklem Deminga.
  • Planowanie adekwatnych środków finansowych na realizację obowiązków z zakresu cyberbezpieczeństwa, które wymagają nakładów (nie powinny one być pomijane w  budżetach podmiotów kluczowych lub ważnych).
  • Przydzielanie zadań z zakresu cyberbezpieczeństwa w podmiocie i nadzorowanie ich wykonania.
  • Zapewnienie, że personel podmiotu jest świadomy obowiązków z zakresu cyberbezpieczeństwa i zna przepisy prawa oraz wewnętrzne regulacje w tym zakresie. SZBI wymaga, aby każdy pracownik organizacji miał przypisaną rolę i zadania do wykonania celem zachowania bezpieczeństwa informacji.
  • Zapewnienie zgodności działania podmiotu z przepisami prawa oraz z wewnętrznymi regulacjami podmiotu.

Mając na względzie, jak ważną rolę odgrywa w każdej organizacji kształtowanie kultury bezpieczeństwa, osoby kierujące podmiotami kluczowymi lub ważnymi muszą raz na rok przejść szkolenie z zakresu cyberbezpieczeństwa, którego realizacja musi być udokumentowana.

Powyższe gwarantuje, że osoby te będą posiadać świadomość i aktualną wiedzę na temat zagrożeń, obszarów ich występowania i wzajemnych powiązań oraz możliwości podejmowania działań prewencyjnych, które pozwalają na budowanie bezpieczeństwa organizacji.

Ważną gwarancją prawidłowego wykonywania zadań z zakresu cyberbezpieczeństwa jest potwierdzenie, że zadań tych nie mogą wykonywać osoby skazane za przestępstwa przeciwko ochronie informacji. Daje to odpowiednią gwarancję, że zadania te będą wykonywały osoby dające rękojmię ich prawidłowej realizacji. Zaświadczenia w tym zakresie będą weryfikowane przez ich pracodawców. Weryfikacja personelu przed przydzieleniem zadań z zakresu cyberbezpieczeństwa jest przewidywana przez normy techniczne, np. normę ISO 27001.

W kontekście odpowiedzialności kierownictwa kluczowe znaczenie mają przepisy nakładające obowiązek:

  • wdrożenia systemu zarządzania bezpieczeństwem informacji;
  • przeprowadzania analizy ryzyka;
  • zapewnienia ciągłości działania oraz bezpieczeństwa łańcucha dostaw produktów, usług i procesów;
  • raportowania incydentów.

Co więcej, istotne znaczenie ma również edukacja z zakresu cyberbezpieczeństwa dla personelu podmiotu kluczowego lub ważnego oraz stosowanie podstawowych zasad cyberhigieny.

Z kolei dyrektywa CER koncentruje się na odporności podmiotów krytycznych wobec różnorodnych zagrożeń, nie tylko cybernetycznych. W polskim porządku prawnym zmiany te znajdują odzwierciedlenie w nowelizowanej ustawie o zarządzaniu kryzysowym.

Projektowane rozwiązania mają na celu m.in. wzmocnienie ochrony infrastruktury krytycznej, w szczególności niezbędnej do świadczenia tzw. usług kluczowych przez podmioty krytyczne czy też wdrożenie rozwiązań umożliwiających wzmocnienie ochrony najważniejszych dla państwa obszarów, obiektów i urządzeń, w szczególności infrastruktury morskiej. Obowiązki podmiotów krytycznych dotyczą m.in. przeprowadzania oceny ryzyka oraz wdrożenie adekwatnie do jej wyników odpowiednich rozwiązań organizacyjno-technicznych, zapewnienie: bezpieczeństwa osobowego dotyczącego pracowników i  dostawców zewnętrznych, bezpieczeństwa prawnego świadczenia usługi kluczowej, ciągłości działania i odtwarzania usługi kluczowej czy też przeprowadzania szkoleń i ćwiczeń personelu celem przygotowania na różnego rodzaju zagrożenia i incydenty.

Przepisy nowelizowanej ustawy wprowadzają rolę pełnomocnika bezpieczeństwa usługi kluczowej oraz jego zastępcę, który wyznaczany jest przez podmiot krytyczny. Jego obowiązki dotyczą efektywnej realizacji zadań związanych z bezpieczeństwem świadczenia usługi kluczowej. Posiada on wiedzę, umiejętności i doświadczenie w zakresie zarządzania bezpieczeństwem, z uwzględnieniem przedmiotu działalności podmiotu świadczącego usługę kluczową. Co ważne, nie był skazany prawomocnym wyrokiem za umyślne przestępstwo lub umyślne przestępstwo skarbowe oraz spełnia wymagania bezpieczeństwa osobowego w  zakresie dostępu do informacji niejawnych o klauzuli „poufne”. Pełnomocnik bezpieczeństwa usługi kluczowej podlega bezpośrednio organowi zarządzającemu podmiotu krytycznego.

Z kolei operator infrastruktury krytycznej (IK) wyznacza koordynatora ochrony infrastruktury krytycznej oraz jego zastępcę. Zgodnie z projektowanymi regulacjami może nim być osoba, która m.in. korzysta z pełni praw publicznych, posiada wiedzę, umiejętności i  doświadczenie w zakresie zarządzania bezpieczeństwem, z uwzględnieniem przedmiotu działalności operatora infrastruktury krytycznej, nie była skazana prawomocnym wyrokiem za  umyślne przestępstwo lub umyślne przestępstwo skarbowe oraz spełnia wymagania bezpieczeństwa osobowego w zakresie dostępu do informacji niejawnych. Aby skutecznie realizować powierzone obowiązki, koordynator ochrony infrastruktury krytycznej podlega bezpośrednio organowi zarządzającemu operatora IK.

Implementacja dyrektyw NIS2 oraz CER na gruncie prawa krajowego stanowi istotny krok w  kierunku wzmocnienia bezpieczeństwa państwa i gospodarki.

To istotne zwiększenie odpowiedzialności zarządów podmiotów objętych regulacjami, dla których istotna stała się konieczność integracji systemów zarządzania ryzykiem, unikania silosowego podejścia, jak również budowania kultury bezpieczeństwa w całej organizacji.

Kierownictwo nie może już ograniczać się do roli biernego nadzorcy. Konieczne jest aktywne zaangażowanie w procesy zarządzania ryzykiem, budowanie odporności organizacyjnej oraz zapewnienie zgodności z przepisami.

 
Dorota Duda
główny specjalista
Wydział Ochrony Infrastruktury Krytycznej
Rządowe Centrum Bezpieczeństwa  

Ilustracje: Marta Kołodziejak / A&S AI Studio

Odpowiedzialność kierownictwa w świetle krajowych regulacji implementujących Dyrektywy CER i NIS2

Seagate SkyHawk AI – dyski do nowoczesnych

a&s Polska
3 czerwca 2026
Odpowiedzialność kierownictwa w świetle krajowych regulacji implementujących Dyrektywy CER i NIS2

Odpowiedzialność kierownictwa w świetle krajowych regulacji implementujących

a&s Polska
3 czerwca 2026

Zostaw komentarz

Serwis wykorzystuje pliki cookies. Korzystając ze strony wyrażasz zgodę na wykorzystywanie plików cookies.

OK Więcej >