# Szkolenia i świadomość (art. 8e)

Ostatnia aktualizacja: 2026-07-12
Wersja HTML (kanoniczna): https://szbihub.pl/wiedza/szkolenia-i-swiadomosc-art-8e/

---

## TL;DR

- **Kierownik**: raz w roku kalendarzowym przechodzi szkolenie z wykonywania obowiązków ustawowych; udział jest udokumentowany (art. 8e ust. 1 i 3 ustawy o KSC). Dotyczy to też osoby, której powierzono obowiązki kierownika w zakresie cyberbezpieczeństwa.
- **Personel**: podmiot zapewnia edukację z zakresu cyberbezpieczeństwa i podstawowe zasady cyberhigieny (art. 8 ust. 1 pkt 2 lit. i oraz j); kierownik zapewnia świadomość obowiązków wśród personelu (art. 8d pkt 4). Ustawa NIE określa częstotliwości szkoleń personelu.
- Coroczny cykl szkolenia personelu to dobra praktyka (PN-EN ISO/IEC 27001, pkt 7.2-7.3), nie wymóg ustawy. Kto twierdzi inaczej, myli dwa różne przepisy.
- Za brak szkolenia kierownikowi grozi osobista kara pieniężna do 300% wynagrodzenia (art. 73a ust. 1 pkt 4 i ust. 4); kary mogą być nakładane od 3.04.2028 r. (art. 35 ustawy zmieniającej).

## Co dokładnie nakazuje ustawa

W tym obszarze ustawa zawiera DWA różne obowiązki o różnych reżimach - i to rozróżnienie jest najczęściej przekłamywane w materiałach rynkowych:

**Obowiązek 1: coroczne szkolenie kierownika (art. 8e).**

- Kto: kierownik podmiotu kluczowego lub podmiotu ważnego ORAZ osoba, której powierzono obowiązki kierownika w zakresie cyberbezpieczeństwa (art. 8e ust. 1).
- Jak często: raz w roku kalendarzowym (ust. 1) - czyli szkolenie trzeba powtórzyć w każdym kolejnym roku kalendarzowym.
- Z czego: zakres obejmuje wykonywanie obowiązków, o których mowa w art. 7b ust. 4, art. 7c, art. 7f ust. 3, art. 8, art. 8d, art. 8f ust. 1 i 2, art. 9-12b, art. 14 i art. 15 (ust. 2). To nie jest kurs "cyberbezpieczeństwo ogólne" - to szkolenie z konkretnego katalogu obowiązków prawnych: rejestracja, SZBI, zadania kierownika, incydenty, audyt.
- Dowód: udział w szkoleniu jest udokumentowany (ust. 3).
- Sankcja: osobista kara pieniężna kierownika (art. 73a ust. 1 pkt 4), do 300% wynagrodzenia (ust. 4); nakładanie kar możliwe od 3.04.2028 r. (art. 35 ustawy zmieniającej).

**Obowiązek 2: edukacja personelu i cyberhigiena (art. 8 ust. 1 pkt 2 lit. i oraz j).**

W katalogu środków SZBI podmiot zapewnia "edukację z zakresu cyberbezpieczeństwa dla personelu podmiotu" (lit. i) oraz "podstawowe zasady cyberhigieny" (lit. j). Do tego kierownik zapewnia, że personel jest świadomy obowiązków z zakresu cyberbezpieczeństwa (art. 8d pkt 4).

Czego tu NIE ma: częstotliwości. Ustawa nie mówi, że personel szkoli się co roku. Coroczny cykl szkolenia personelu to rekomendacja wdrożeniowa oparta na dobrej praktyce (PN-EN ISO/IEC 27001, pkt 7.2-7.3 i zał. A 6.3) - rozsądna, łatwa do obrony, ale nie ustawowa. Piszemy to wprost, bo różnica ma znaczenie: kierownik, który nie odnowił własnego szkolenia, narusza art. 8e; firma, która szkoli personel co dwa lata zamiast co rok, nie narusza żadnego przepisu wprost - co najwyżej musi umieć obronić adekwatność swojego cyklu (proporcjonalność z art. 8 ust. 1 pkt 2).

## Jak to wygląda w praktyce małej firmy

1. **Ustal, kto podlega art. 8e.** Kierownik podmiotu oraz - jeżeli obowiązki kierownika w zakresie cyberbezpieczeństwa powierzono innej osobie - także ta osoba (art. 8e ust. 1). TODO-CONTENT: kwalifikacja "kierownika podmiotu" w konkretnych formach prawnych (zarząd wieloosobowy, JST) wymaga potwierdzenia radcy - pozycja w rejestrze niepewności.
2. **Zaplanuj cykl kalendarzowy.** "Raz w roku kalendarzowym" oznacza, że szkolenie z grudnia 2026 nie pokrywa roku 2027. Najbezpieczniejszy wzorzec operacyjny: stały termin w pierwszej połowie roku + przypomnienie z wyprzedzeniem.
3. **Dokumentuj tak, żeby dowód był trwały.** Art. 8e ust. 3 wymaga udokumentowania udziału. Dobry dowód zawiera: kto, kiedy, jaki zakres (mapowanie na katalog z ust. 2), potwierdzenie ukończenia. Rejestr, którego nie da się wstecznie "poprawić", broni się lepiej niż luźne certyfikaty PDF w skrzynce mailowej.
4. **Personel: minimum sensowne.** Krótkie szkolenie podstawowe (cyberhigiena: hasła, MFA, phishing, zgłaszanie incydentów) dla wszystkich + potwierdzenia ukończenia w rejestrze. Cykl roczny przyjmij jako własną praktykę - i tak nazwij go w dokumentacji ("praktyka podmiotu", nie "wymóg ustawy").
5. **Nowi pracownicy.** Edukacja personelu (lit. i) obejmuje też onboarding - nowa osoba nie powinna czekać na doroczną turę.

## Jakie artefakty trzeba mieć

| Artefakt                                                                          | Podstawa                      | Uwagi                                                     |
| --------------------------------------------------------------------------------- | ----------------------------- | --------------------------------------------------------- |
| Udokumentowane coroczne szkolenie kierownika (i osoby z powierzonymi obowiązkami) | art. 8e ust. 1-3              | zakres = katalog z ust. 2; cykl = rok kalendarzowy        |
| Program edukacji personelu + zasady cyberhigieny                                  | art. 8 ust. 1 pkt 2 lit. i-j  | częstotliwość = decyzja podmiotu (nasza praktyka: co rok) |
| Rejestr ukończonych szkoleń personelu                                             | art. 8d pkt 4; art. 10 ust. 4 | dowód świadomości obowiązków                              |
| Materiał szkoleniowy zmapowany na obowiązki ustawowe                              | art. 8e ust. 2                | dla szkolenia kierownika: pokrycie katalogu artykułów     |

## Najczęstsze błędy

1. **"Ustawa wymaga corocznego szkolenia wszystkich pracowników".** Nie wymaga. Coroczność dotyczy kierownika (art. 8e ust. 1); personel ma mieć zapewnioną edukację i cyberhigienę bez ustawowej częstotliwości (art. 8 ust. 1 pkt 2 lit. i-j). To najczęstsze przekłamanie w ofertach szkoleniowych na tym rynku.
2. **Szkolenie kierownika "z cyberbezpieczeństwa" zamiast z obowiązków.** Zakres z art. 8e ust. 2 to konkretne przepisy (rejestracja, SZBI, incydenty, audyt) - generyczny kurs o hakerach nie pokrywa katalogu.
3. **Brak dokumentacji udziału.** Szkolenie było, dowodu nie ma - art. 8e ust. 3 wymaga udokumentowania; przy kontroli liczy się zapis.
4. **Pominięcie osoby z powierzonymi obowiązkami.** Jeżeli zarząd powierzył cyberbezpieczeństwo np. dyrektorowi IT, to art. 8e obejmuje także jego - a odpowiedzialność i tak zostaje przy kierowniku (art. 8c ust. 3).
5. **Szkolenie raz, przy wdrożeniu.** Cykl jest kalendarzowy: brak szkolenia w danym roku kalendarzowym to zaległość, której nie nadrobi szkolenie styczniowe następnego roku.

## Checklista do odhaczenia

- [ ] Wiem, kto w naszym podmiocie podlega art. 8e (kierownik + ewentualnie osoba z powierzonymi obowiązkami)
- [ ] Szkolenie kierownika za bieżący rok kalendarzowy: zaplanowane albo wykonane (art. 8e ust. 1)
- [ ] Zakres szkolenia pokrywa katalog z art. 8e ust. 2 (mam mapowanie tematów na artykuły)
- [ ] Udział jest udokumentowany w sposób trwały (art. 8e ust. 3)
- [ ] Personel przeszedł szkolenie podstawowe z cyberhigieny (art. 8 ust. 1 pkt 2 lit. i-j)
- [ ] Rejestr szkoleń personelu istnieje i jest aktualny (art. 8d pkt 4)
- [ ] Onboarding nowych pracowników obejmuje moduł edukacji cyber
- [ ] W dokumentacji SZBI cykl szkoleń personelu jest nazwany praktyką podmiotu, nie wymogiem ustawy

## Pytania i odpowiedzi

**Czy szkolenie kierownika z art. 8e musi kończyć się certyfikatem?**
Ustawa wymaga udokumentowania udziału (art. 8e ust. 3), nie certyfikatu w konkretnej formie. Trwałe potwierdzenie (kto, kiedy, jaki zakres) spełnia przepis; certyfikat jest wygodną formą tego potwierdzenia.

**Kto płaci karę za brak szkolenia kierownika - firma czy kierownik?**
Kara z art. 73a ust. 1 pkt 4 jest karą osobistą kierownika, do 300% jego wynagrodzenia (ust. 4). Kary mogą być nakładane od 3.04.2028 r. (art. 35 ustawy zmieniającej z 23.01.2026 r.).

**Czy e-learning wystarczy jako szkolenie z art. 8e?**
Ustawa nie określa formy szkolenia - określa zakres (ust. 2) i wymóg udokumentowania (ust. 3). E-learning pokrywający katalog obowiązków, z trwałym potwierdzeniem ukończenia, mieści się w brzmieniu przepisu. TODO-LEGAL-REVIEW: potwierdzić z kancelarią, czy nie ma stanowisk organów zawężających formę.

**Jak często szkolić personel?**
Ustawa nie podaje częstotliwości (art. 8 ust. 1 pkt 2 lit. i-j). Rekomendujemy cykl roczny plus onboarding nowych osób - jako dobrą praktykę zgodną z PN-EN ISO/IEC 27001 pkt 7.2-7.3, świadomie oznaczoną w dokumentacji jako praktyka podmiotu.

## Źródła

- Ustawa o KSC - tekst ujednolicony Kancelarii Sejmu z 2026-07-07: [isap.sejm.gov.pl (PDF)](https://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU20180001560/U/D20181560Lj.pdf)
- Ustawa z 23.01.2026 r. (Dz. U. 2026 poz. 252): [ISAP](https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20260000252)
- PN-EN ISO/IEC 27001, pkt 7.2-7.3, zał. A 6.3 - norma, dobra praktyka, nie przepis

---

_Ten artykuł jest narzędziem informacyjnym, nie poradą prawną. Status treści: 0.9-draft, przed przeglądem kancelarii (TODO-LEGAL-REVIEW)._