Baza wiedzy - obowiązek KSC

Szkolenia i świadomość (art. 8e)

Szkolenia w ustawie o KSC: coroczne, udokumentowane szkolenie kierownika (art. 8e), edukacja personelu i cyberhigiena (art. 8 ust. 1 pkt 2 lit. i-j) - co jest wymogiem ustawy, a co dobrą praktyką.

Opublikowano: 11 lipca 2026Ostatnia aktualizacja: 12 lipca 2026

Status tej treści

Poniżej znajduje się pełna treść artykułu w wersji roboczej 0.9-draft - przed przeglądem radcy prawnego (OP-6.2, blueprint-nis2-gtm-operations.md). Mimo formy artykułu poradnikowego nie jest to jeszcze zatwierdzona treść prawna: dopiero po przeglądzie kancelarii treść uzyska status zatwierdzonej. Miejsca oznaczoneTODO-CONTENT/TODO-LEGAL-REVIEW to otwarte pytania i decyzje, których nie wypełniamy domysłem.

TL;DR

  • Kierownik: raz w roku kalendarzowym przechodzi szkolenie z wykonywania obowiązków ustawowych; udział jest udokumentowany (art. 8e ust. 1 i 3 ustawy o KSC). Dotyczy to też osoby, której powierzono obowiązki kierownika w zakresie cyberbezpieczeństwa.
  • Personel: podmiot zapewnia edukację z zakresu cyberbezpieczeństwa i podstawowe zasady cyberhigieny (art. 8 ust. 1 pkt 2 lit. i oraz j); kierownik zapewnia świadomość obowiązków wśród personelu (art. 8d pkt 4). Ustawa NIE określa częstotliwości szkoleń personelu.
  • Coroczny cykl szkolenia personelu to dobra praktyka (PN-EN ISO/IEC 27001, pkt 7.2-7.3), nie wymóg ustawy. Kto twierdzi inaczej, myli dwa różne przepisy.
  • Za brak szkolenia kierownikowi grozi osobista kara pieniężna do 300% wynagrodzenia (art. 73a ust. 1 pkt 4 i ust. 4); kary mogą być nakładane od 3.04.2028 r. (art. 35 ustawy zmieniającej).

Co dokładnie nakazuje ustawa

W tym obszarze ustawa zawiera DWA różne obowiązki o różnych reżimach - i to rozróżnienie jest najczęściej przekłamywane w materiałach rynkowych:

Obowiązek 1: coroczne szkolenie kierownika (art. 8e).

  • Kto: kierownik podmiotu kluczowego lub podmiotu ważnego ORAZ osoba, której powierzono obowiązki kierownika w zakresie cyberbezpieczeństwa (art. 8e ust. 1).
  • Jak często: raz w roku kalendarzowym (ust. 1) - czyli szkolenie trzeba powtórzyć w każdym kolejnym roku kalendarzowym.
  • Z czego: zakres obejmuje wykonywanie obowiązków, o których mowa w art. 7b ust. 4, art. 7c, art. 7f ust. 3, art. 8, art. 8d, art. 8f ust. 1 i 2, art. 9-12b, art. 14 i art. 15 (ust. 2). To nie jest kurs “cyberbezpieczeństwo ogólne” - to szkolenie z konkretnego katalogu obowiązków prawnych: rejestracja, SZBI, zadania kierownika, incydenty, audyt.
  • Dowód: udział w szkoleniu jest udokumentowany (ust. 3).
  • Sankcja: osobista kara pieniężna kierownika (art. 73a ust. 1 pkt 4), do 300% wynagrodzenia (ust. 4); nakładanie kar możliwe od 3.04.2028 r. (art. 35 ustawy zmieniającej).

Obowiązek 2: edukacja personelu i cyberhigiena (art. 8 ust. 1 pkt 2 lit. i oraz j).

W katalogu środków SZBI podmiot zapewnia “edukację z zakresu cyberbezpieczeństwa dla personelu podmiotu” (lit. i) oraz “podstawowe zasady cyberhigieny” (lit. j). Do tego kierownik zapewnia, że personel jest świadomy obowiązków z zakresu cyberbezpieczeństwa (art. 8d pkt 4).

Czego tu NIE ma: częstotliwości. Ustawa nie mówi, że personel szkoli się co roku. Coroczny cykl szkolenia personelu to rekomendacja wdrożeniowa oparta na dobrej praktyce (PN-EN ISO/IEC 27001, pkt 7.2-7.3 i zał. A 6.3) - rozsądna, łatwa do obrony, ale nie ustawowa. Piszemy to wprost, bo różnica ma znaczenie: kierownik, który nie odnowił własnego szkolenia, narusza art. 8e; firma, która szkoli personel co dwa lata zamiast co rok, nie narusza żadnego przepisu wprost - co najwyżej musi umieć obronić adekwatność swojego cyklu (proporcjonalność z art. 8 ust. 1 pkt 2).

Jak to wygląda w praktyce małej firmy

  1. Ustal, kto podlega art. 8e. Kierownik podmiotu oraz - jeżeli obowiązki kierownika w zakresie cyberbezpieczeństwa powierzono innej osobie - także ta osoba (art. 8e ust. 1). TODO-CONTENT: kwalifikacja “kierownika podmiotu” w konkretnych formach prawnych (zarząd wieloosobowy, JST) wymaga potwierdzenia radcy - pozycja w rejestrze niepewności.
  2. Zaplanuj cykl kalendarzowy. “Raz w roku kalendarzowym” oznacza, że szkolenie z grudnia 2026 nie pokrywa roku 2027. Najbezpieczniejszy wzorzec operacyjny: stały termin w pierwszej połowie roku + przypomnienie z wyprzedzeniem.
  3. Dokumentuj tak, żeby dowód był trwały. Art. 8e ust. 3 wymaga udokumentowania udziału. Dobry dowód zawiera: kto, kiedy, jaki zakres (mapowanie na katalog z ust. 2), potwierdzenie ukończenia. Rejestr, którego nie da się wstecznie “poprawić”, broni się lepiej niż luźne certyfikaty PDF w skrzynce mailowej.
  4. Personel: minimum sensowne. Krótkie szkolenie podstawowe (cyberhigiena: hasła, MFA, phishing, zgłaszanie incydentów) dla wszystkich + potwierdzenia ukończenia w rejestrze. Cykl roczny przyjmij jako własną praktykę - i tak nazwij go w dokumentacji (“praktyka podmiotu”, nie “wymóg ustawy”).
  5. Nowi pracownicy. Edukacja personelu (lit. i) obejmuje też onboarding - nowa osoba nie powinna czekać na doroczną turę.

Jakie artefakty trzeba mieć

Artefakt Podstawa Uwagi
Udokumentowane coroczne szkolenie kierownika (i osoby z powierzonymi obowiązkami) art. 8e ust. 1-3 zakres = katalog z ust. 2; cykl = rok kalendarzowy
Program edukacji personelu + zasady cyberhigieny art. 8 ust. 1 pkt 2 lit. i-j częstotliwość = decyzja podmiotu (nasza praktyka: co rok)
Rejestr ukończonych szkoleń personelu art. 8d pkt 4; art. 10 ust. 4 dowód świadomości obowiązków
Materiał szkoleniowy zmapowany na obowiązki ustawowe art. 8e ust. 2 dla szkolenia kierownika: pokrycie katalogu artykułów

Najczęstsze błędy

  1. “Ustawa wymaga corocznego szkolenia wszystkich pracowników”. Nie wymaga. Coroczność dotyczy kierownika (art. 8e ust. 1); personel ma mieć zapewnioną edukację i cyberhigienę bez ustawowej częstotliwości (art. 8 ust. 1 pkt 2 lit. i-j). To najczęstsze przekłamanie w ofertach szkoleniowych na tym rynku.
  2. Szkolenie kierownika “z cyberbezpieczeństwa” zamiast z obowiązków. Zakres z art. 8e ust. 2 to konkretne przepisy (rejestracja, SZBI, incydenty, audyt) - generyczny kurs o hakerach nie pokrywa katalogu.
  3. Brak dokumentacji udziału. Szkolenie było, dowodu nie ma - art. 8e ust. 3 wymaga udokumentowania; przy kontroli liczy się zapis.
  4. Pominięcie osoby z powierzonymi obowiązkami. Jeżeli zarząd powierzył cyberbezpieczeństwo np. dyrektorowi IT, to art. 8e obejmuje także jego - a odpowiedzialność i tak zostaje przy kierowniku (art. 8c ust. 3).
  5. Szkolenie raz, przy wdrożeniu. Cykl jest kalendarzowy: brak szkolenia w danym roku kalendarzowym to zaległość, której nie nadrobi szkolenie styczniowe następnego roku.

Checklista do odhaczenia

  • Wiem, kto w naszym podmiocie podlega art. 8e (kierownik + ewentualnie osoba z powierzonymi obowiązkami)
  • Szkolenie kierownika za bieżący rok kalendarzowy: zaplanowane albo wykonane (art. 8e ust. 1)
  • Zakres szkolenia pokrywa katalog z art. 8e ust. 2 (mam mapowanie tematów na artykuły)
  • Udział jest udokumentowany w sposób trwały (art. 8e ust. 3)
  • Personel przeszedł szkolenie podstawowe z cyberhigieny (art. 8 ust. 1 pkt 2 lit. i-j)
  • Rejestr szkoleń personelu istnieje i jest aktualny (art. 8d pkt 4)
  • Onboarding nowych pracowników obejmuje moduł edukacji cyber
  • W dokumentacji SZBI cykl szkoleń personelu jest nazwany praktyką podmiotu, nie wymogiem ustawy

Pytania i odpowiedzi

Czy szkolenie kierownika z art. 8e musi kończyć się certyfikatem? Ustawa wymaga udokumentowania udziału (art. 8e ust. 3), nie certyfikatu w konkretnej formie. Trwałe potwierdzenie (kto, kiedy, jaki zakres) spełnia przepis; certyfikat jest wygodną formą tego potwierdzenia.

Kto płaci karę za brak szkolenia kierownika - firma czy kierownik? Kara z art. 73a ust. 1 pkt 4 jest karą osobistą kierownika, do 300% jego wynagrodzenia (ust. 4). Kary mogą być nakładane od 3.04.2028 r. (art. 35 ustawy zmieniającej z 23.01.2026 r.).

Czy e-learning wystarczy jako szkolenie z art. 8e? Ustawa nie określa formy szkolenia - określa zakres (ust. 2) i wymóg udokumentowania (ust. 3). E-learning pokrywający katalog obowiązków, z trwałym potwierdzeniem ukończenia, mieści się w brzmieniu przepisu. TODO-LEGAL-REVIEW: potwierdzić z kancelarią, czy nie ma stanowisk organów zawężających formę.

Jak często szkolić personel? Ustawa nie podaje częstotliwości (art. 8 ust. 1 pkt 2 lit. i-j). Rekomendujemy cykl roczny plus onboarding nowych osób - jako dobrą praktykę zgodną z PN-EN ISO/IEC 27001 pkt 7.2-7.3, świadomie oznaczoną w dokumentacji jako praktyka podmiotu.

Źródła

  • Ustawa o KSC - tekst ujednolicony Kancelarii Sejmu z 2026-07-07: isap.sejm.gov.pl (PDF)
  • Ustawa z 23.01.2026 r. (Dz. U. 2026 poz. 252): ISAP
  • PN-EN ISO/IEC 27001, pkt 7.2-7.3, zał. A 6.3 - norma, dobra praktyka, nie przepis

Ten artykuł jest narzędziem informacyjnym, nie poradą prawną. Status treści: 0.9-draft, przed przeglądem kancelarii (TODO-LEGAL-REVIEW).

Podstawa prawna

Numer artykułu ustawy o KSC dla tego obowiązku:art. 8e, art. 8 ust. 1 pkt 2 lit. i i j

  • Kierownik podmiotu kluczowego lub ważnego odbywa szkolenie z zakresu cyberbezpieczeństwa raz w roku kalendarzowym, udokumentowane, na podstawie art. 8e ustawy o KSC.
    ref

    Ustawa o krajowym systemie cyberbezpieczeństwa (nowelizacja), Dz.U. 2026 poz. 252

    art. 8e ust. 1 (obowiązek corocznego szkolenia) i ust. 3 (dokumentowanie udziału)

    TODO-LEGAL-REVIEW

Powiązane wymagania SZBI

  • Szkolenie kierownika podmiotu

    Kierownik podmiotu kluczowego lub podmiotu ważnego oraz osoba, której powierzono obowiązki kierownika w zakresie cyberbezpieczeństwa, raz w roku kalendarzowym przechodzi szkolenie obejmujące wykonywanie obowiązków, o których mowa w art. 7b ust. 4, art. 7c, art. 7f ust. 3, art. 8, art. 8d, art. 8f ust. 1 i 2, art. 9-12b, art. 14 i art. 15; udział w szkoleniu jest udokumentowany (art. 8e ust. 1-3 ustawy o KSC). Za niewykonanie tego obowiązku kierownikowi grozi osobista kara pieniężna (art. 73a ust. 1 pkt 4, do 300% wynagrodzenia - ust. 4; kary mogą być nakładane od 3.04.2028 r. - art. 35 ustawy zmieniającej z 23.01.2026 r.). Platforma dokumentuje wykonanie obowiązku zaliczeniem kursu dla kierownika (wpis w rejestrze szkoleń dla bieżącego roku kalendarzowego) oraz odhaczeniem terminu "Coroczne szkolenie kierownika". Szkolenie odbyte poza platformą odnotuj odhaczeniem terminu - status wymogu pozostanie częściowy, bo platforma nie ma wtedy zapisu samego szkolenia w rejestrze szkoleń.

  • Szkolenie personelu

    Podmiot zapewnia edukację z zakresu cyberbezpieczeństwa dla personelu oraz stosowanie podstawowych zasad cyberhigieny (art. 8 ust. 1 pkt 2 lit. i oraz j ustawy o KSC); kierownik zapewnia, że personel jest świadomy obowiązków i zna wewnętrzne regulacje podmiotu w tym zakresie (art. 8d pkt 4). Ustawa nie określa częstotliwości szkoleń personelu. Domyślna praktyka platformy: coroczne ukończenie szkolenia podstawowego przez personel, dokumentowane w rejestrze szkoleń i odhaczeniem terminu "Coroczne szkolenie personelu" - to nasza rekomendacja wdrożeniowa (dobra praktyka: PN-EN ISO/IEC 27001, pkt 7.2-7.3 i zał. A 6.3), a nie sztywny wymóg ustawy. Uwaga: odrębnym, ustawowo corocznym i dokumentowanym obowiązkiem jest szkolenie samego kierownika (art. 8e) - węzeł "Szkolenie kierownika podmiotu".

Powiązane artefakty w platformie

Klucze artefaktów produktu powiązanych z tym obowiązkiem (mechanika, nie treść prawna):

  • training:nis2-manager-8e:current_year
  • deadline:annual-training-8e:done
  • training:nis2-awareness-basics:current_year
  • deadline:annual-staff-training:done

Powiązane narzędzia

Pełny rejestr zmian prawnych i "stan prawny treści" czyta ten sam źródło co sekcja "Prawo" dokumentacji.