Baza wiedzy - obowiązek KSC
Szkolenia i świadomość (art. 8e)
Szkolenia w ustawie o KSC: coroczne, udokumentowane szkolenie kierownika (art. 8e), edukacja personelu i cyberhigiena (art. 8 ust. 1 pkt 2 lit. i-j) - co jest wymogiem ustawy, a co dobrą praktyką.
Status tej treści
TODO-CONTENT/TODO-LEGAL-REVIEW to otwarte pytania i decyzje, których nie wypełniamy domysłem.TL;DR
- Kierownik: raz w roku kalendarzowym przechodzi szkolenie z wykonywania obowiązków ustawowych; udział jest udokumentowany (art. 8e ust. 1 i 3 ustawy o KSC). Dotyczy to też osoby, której powierzono obowiązki kierownika w zakresie cyberbezpieczeństwa.
- Personel: podmiot zapewnia edukację z zakresu cyberbezpieczeństwa i podstawowe zasady cyberhigieny (art. 8 ust. 1 pkt 2 lit. i oraz j); kierownik zapewnia świadomość obowiązków wśród personelu (art. 8d pkt 4). Ustawa NIE określa częstotliwości szkoleń personelu.
- Coroczny cykl szkolenia personelu to dobra praktyka (PN-EN ISO/IEC 27001, pkt 7.2-7.3), nie wymóg ustawy. Kto twierdzi inaczej, myli dwa różne przepisy.
- Za brak szkolenia kierownikowi grozi osobista kara pieniężna do 300% wynagrodzenia (art. 73a ust. 1 pkt 4 i ust. 4); kary mogą być nakładane od 3.04.2028 r. (art. 35 ustawy zmieniającej).
Co dokładnie nakazuje ustawa
W tym obszarze ustawa zawiera DWA różne obowiązki o różnych reżimach - i to rozróżnienie jest najczęściej przekłamywane w materiałach rynkowych:
Obowiązek 1: coroczne szkolenie kierownika (art. 8e).
- Kto: kierownik podmiotu kluczowego lub podmiotu ważnego ORAZ osoba, której powierzono obowiązki kierownika w zakresie cyberbezpieczeństwa (art. 8e ust. 1).
- Jak często: raz w roku kalendarzowym (ust. 1) - czyli szkolenie trzeba powtórzyć w każdym kolejnym roku kalendarzowym.
- Z czego: zakres obejmuje wykonywanie obowiązków, o których mowa w art. 7b ust. 4, art. 7c, art. 7f ust. 3, art. 8, art. 8d, art. 8f ust. 1 i 2, art. 9-12b, art. 14 i art. 15 (ust. 2). To nie jest kurs “cyberbezpieczeństwo ogólne” - to szkolenie z konkretnego katalogu obowiązków prawnych: rejestracja, SZBI, zadania kierownika, incydenty, audyt.
- Dowód: udział w szkoleniu jest udokumentowany (ust. 3).
- Sankcja: osobista kara pieniężna kierownika (art. 73a ust. 1 pkt 4), do 300% wynagrodzenia (ust. 4); nakładanie kar możliwe od 3.04.2028 r. (art. 35 ustawy zmieniającej).
Obowiązek 2: edukacja personelu i cyberhigiena (art. 8 ust. 1 pkt 2 lit. i oraz j).
W katalogu środków SZBI podmiot zapewnia “edukację z zakresu cyberbezpieczeństwa dla personelu podmiotu” (lit. i) oraz “podstawowe zasady cyberhigieny” (lit. j). Do tego kierownik zapewnia, że personel jest świadomy obowiązków z zakresu cyberbezpieczeństwa (art. 8d pkt 4).
Czego tu NIE ma: częstotliwości. Ustawa nie mówi, że personel szkoli się co roku. Coroczny cykl szkolenia personelu to rekomendacja wdrożeniowa oparta na dobrej praktyce (PN-EN ISO/IEC 27001, pkt 7.2-7.3 i zał. A 6.3) - rozsądna, łatwa do obrony, ale nie ustawowa. Piszemy to wprost, bo różnica ma znaczenie: kierownik, który nie odnowił własnego szkolenia, narusza art. 8e; firma, która szkoli personel co dwa lata zamiast co rok, nie narusza żadnego przepisu wprost - co najwyżej musi umieć obronić adekwatność swojego cyklu (proporcjonalność z art. 8 ust. 1 pkt 2).
Jak to wygląda w praktyce małej firmy
- Ustal, kto podlega art. 8e. Kierownik podmiotu oraz - jeżeli obowiązki kierownika w zakresie cyberbezpieczeństwa powierzono innej osobie - także ta osoba (art. 8e ust. 1). TODO-CONTENT: kwalifikacja “kierownika podmiotu” w konkretnych formach prawnych (zarząd wieloosobowy, JST) wymaga potwierdzenia radcy - pozycja w rejestrze niepewności.
- Zaplanuj cykl kalendarzowy. “Raz w roku kalendarzowym” oznacza, że szkolenie z grudnia 2026 nie pokrywa roku 2027. Najbezpieczniejszy wzorzec operacyjny: stały termin w pierwszej połowie roku + przypomnienie z wyprzedzeniem.
- Dokumentuj tak, żeby dowód był trwały. Art. 8e ust. 3 wymaga udokumentowania udziału. Dobry dowód zawiera: kto, kiedy, jaki zakres (mapowanie na katalog z ust. 2), potwierdzenie ukończenia. Rejestr, którego nie da się wstecznie “poprawić”, broni się lepiej niż luźne certyfikaty PDF w skrzynce mailowej.
- Personel: minimum sensowne. Krótkie szkolenie podstawowe (cyberhigiena: hasła, MFA, phishing, zgłaszanie incydentów) dla wszystkich + potwierdzenia ukończenia w rejestrze. Cykl roczny przyjmij jako własną praktykę - i tak nazwij go w dokumentacji (“praktyka podmiotu”, nie “wymóg ustawy”).
- Nowi pracownicy. Edukacja personelu (lit. i) obejmuje też onboarding - nowa osoba nie powinna czekać na doroczną turę.
Jakie artefakty trzeba mieć
| Artefakt | Podstawa | Uwagi |
|---|---|---|
| Udokumentowane coroczne szkolenie kierownika (i osoby z powierzonymi obowiązkami) | art. 8e ust. 1-3 | zakres = katalog z ust. 2; cykl = rok kalendarzowy |
| Program edukacji personelu + zasady cyberhigieny | art. 8 ust. 1 pkt 2 lit. i-j | częstotliwość = decyzja podmiotu (nasza praktyka: co rok) |
| Rejestr ukończonych szkoleń personelu | art. 8d pkt 4; art. 10 ust. 4 | dowód świadomości obowiązków |
| Materiał szkoleniowy zmapowany na obowiązki ustawowe | art. 8e ust. 2 | dla szkolenia kierownika: pokrycie katalogu artykułów |
Najczęstsze błędy
- “Ustawa wymaga corocznego szkolenia wszystkich pracowników”. Nie wymaga. Coroczność dotyczy kierownika (art. 8e ust. 1); personel ma mieć zapewnioną edukację i cyberhigienę bez ustawowej częstotliwości (art. 8 ust. 1 pkt 2 lit. i-j). To najczęstsze przekłamanie w ofertach szkoleniowych na tym rynku.
- Szkolenie kierownika “z cyberbezpieczeństwa” zamiast z obowiązków. Zakres z art. 8e ust. 2 to konkretne przepisy (rejestracja, SZBI, incydenty, audyt) - generyczny kurs o hakerach nie pokrywa katalogu.
- Brak dokumentacji udziału. Szkolenie było, dowodu nie ma - art. 8e ust. 3 wymaga udokumentowania; przy kontroli liczy się zapis.
- Pominięcie osoby z powierzonymi obowiązkami. Jeżeli zarząd powierzył cyberbezpieczeństwo np. dyrektorowi IT, to art. 8e obejmuje także jego - a odpowiedzialność i tak zostaje przy kierowniku (art. 8c ust. 3).
- Szkolenie raz, przy wdrożeniu. Cykl jest kalendarzowy: brak szkolenia w danym roku kalendarzowym to zaległość, której nie nadrobi szkolenie styczniowe następnego roku.
Checklista do odhaczenia
- Wiem, kto w naszym podmiocie podlega art. 8e (kierownik + ewentualnie osoba z powierzonymi obowiązkami)
- Szkolenie kierownika za bieżący rok kalendarzowy: zaplanowane albo wykonane (art. 8e ust. 1)
- Zakres szkolenia pokrywa katalog z art. 8e ust. 2 (mam mapowanie tematów na artykuły)
- Udział jest udokumentowany w sposób trwały (art. 8e ust. 3)
- Personel przeszedł szkolenie podstawowe z cyberhigieny (art. 8 ust. 1 pkt 2 lit. i-j)
- Rejestr szkoleń personelu istnieje i jest aktualny (art. 8d pkt 4)
- Onboarding nowych pracowników obejmuje moduł edukacji cyber
- W dokumentacji SZBI cykl szkoleń personelu jest nazwany praktyką podmiotu, nie wymogiem ustawy
Pytania i odpowiedzi
Czy szkolenie kierownika z art. 8e musi kończyć się certyfikatem? Ustawa wymaga udokumentowania udziału (art. 8e ust. 3), nie certyfikatu w konkretnej formie. Trwałe potwierdzenie (kto, kiedy, jaki zakres) spełnia przepis; certyfikat jest wygodną formą tego potwierdzenia.
Kto płaci karę za brak szkolenia kierownika - firma czy kierownik? Kara z art. 73a ust. 1 pkt 4 jest karą osobistą kierownika, do 300% jego wynagrodzenia (ust. 4). Kary mogą być nakładane od 3.04.2028 r. (art. 35 ustawy zmieniającej z 23.01.2026 r.).
Czy e-learning wystarczy jako szkolenie z art. 8e? Ustawa nie określa formy szkolenia - określa zakres (ust. 2) i wymóg udokumentowania (ust. 3). E-learning pokrywający katalog obowiązków, z trwałym potwierdzeniem ukończenia, mieści się w brzmieniu przepisu. TODO-LEGAL-REVIEW: potwierdzić z kancelarią, czy nie ma stanowisk organów zawężających formę.
Jak często szkolić personel? Ustawa nie podaje częstotliwości (art. 8 ust. 1 pkt 2 lit. i-j). Rekomendujemy cykl roczny plus onboarding nowych osób - jako dobrą praktykę zgodną z PN-EN ISO/IEC 27001 pkt 7.2-7.3, świadomie oznaczoną w dokumentacji jako praktyka podmiotu.
Źródła
- Ustawa o KSC - tekst ujednolicony Kancelarii Sejmu z 2026-07-07: isap.sejm.gov.pl (PDF)
- Ustawa z 23.01.2026 r. (Dz. U. 2026 poz. 252): ISAP
- PN-EN ISO/IEC 27001, pkt 7.2-7.3, zał. A 6.3 - norma, dobra praktyka, nie przepis
Ten artykuł jest narzędziem informacyjnym, nie poradą prawną. Status treści: 0.9-draft, przed przeglądem kancelarii (TODO-LEGAL-REVIEW).
Podstawa prawna
Numer artykułu ustawy o KSC dla tego obowiązku:art. 8e, art. 8 ust. 1 pkt 2 lit. i i j
- Kierownik podmiotu kluczowego lub ważnego odbywa szkolenie z zakresu cyberbezpieczeństwa raz w roku kalendarzowym, udokumentowane, na podstawie art. 8e ustawy o KSC.
ref
Ustawa o krajowym systemie cyberbezpieczeństwa (nowelizacja), Dz.U. 2026 poz. 252
art. 8e ust. 1 (obowiązek corocznego szkolenia) i ust. 3 (dokumentowanie udziału)
TODO-LEGAL-REVIEW
Powiązane wymagania SZBI
Szkolenie kierownika podmiotu
Kierownik podmiotu kluczowego lub podmiotu ważnego oraz osoba, której powierzono obowiązki kierownika w zakresie cyberbezpieczeństwa, raz w roku kalendarzowym przechodzi szkolenie obejmujące wykonywanie obowiązków, o których mowa w art. 7b ust. 4, art. 7c, art. 7f ust. 3, art. 8, art. 8d, art. 8f ust. 1 i 2, art. 9-12b, art. 14 i art. 15; udział w szkoleniu jest udokumentowany (art. 8e ust. 1-3 ustawy o KSC). Za niewykonanie tego obowiązku kierownikowi grozi osobista kara pieniężna (art. 73a ust. 1 pkt 4, do 300% wynagrodzenia - ust. 4; kary mogą być nakładane od 3.04.2028 r. - art. 35 ustawy zmieniającej z 23.01.2026 r.). Platforma dokumentuje wykonanie obowiązku zaliczeniem kursu dla kierownika (wpis w rejestrze szkoleń dla bieżącego roku kalendarzowego) oraz odhaczeniem terminu "Coroczne szkolenie kierownika". Szkolenie odbyte poza platformą odnotuj odhaczeniem terminu - status wymogu pozostanie częściowy, bo platforma nie ma wtedy zapisu samego szkolenia w rejestrze szkoleń.
Szkolenie personelu
Podmiot zapewnia edukację z zakresu cyberbezpieczeństwa dla personelu oraz stosowanie podstawowych zasad cyberhigieny (art. 8 ust. 1 pkt 2 lit. i oraz j ustawy o KSC); kierownik zapewnia, że personel jest świadomy obowiązków i zna wewnętrzne regulacje podmiotu w tym zakresie (art. 8d pkt 4). Ustawa nie określa częstotliwości szkoleń personelu. Domyślna praktyka platformy: coroczne ukończenie szkolenia podstawowego przez personel, dokumentowane w rejestrze szkoleń i odhaczeniem terminu "Coroczne szkolenie personelu" - to nasza rekomendacja wdrożeniowa (dobra praktyka: PN-EN ISO/IEC 27001, pkt 7.2-7.3 i zał. A 6.3), a nie sztywny wymóg ustawy. Uwaga: odrębnym, ustawowo corocznym i dokumentowanym obowiązkiem jest szkolenie samego kierownika (art. 8e) - węzeł "Szkolenie kierownika podmiotu".
Powiązane artefakty w platformie
Klucze artefaktów produktu powiązanych z tym obowiązkiem (mechanika, nie treść prawna):
training:nis2-manager-8e:current_yeardeadline:annual-training-8e:donetraining:nis2-awareness-basics:current_yeardeadline:annual-staff-training:done
Powiązane narzędzia
- Kalkulator kwalifikacji KSC - sprawdź, czy ten obowiązek dotyczy Twojego klienta.
- Generator terminów .ics - pobierz ustawowe terminy KSC do kalendarza.
Pełny rejestr zmian prawnych i "stan prawny treści" czyta ten sam źródło co sekcja "Prawo" dokumentacji.