# Zarządzanie i nadzór nad SZBI

Ostatnia aktualizacja: 2026-07-12
Wersja HTML (kanoniczna): https://szbihub.pl/wiedza/zarzadzanie-i-nadzor/

---

## TL;DR

- Podmiot kluczowy lub podmiot ważny wdraża system zarządzania bezpieczeństwem informacji (SZBI) w systemie informacyjnym wykorzystywanym w procesach wpływających na świadczenie usługi (art. 8 ust. 1 ustawy o KSC).
- Za wykonywanie obowiązków z zakresu cyberbezpieczeństwa odpowiada osobiście kierownik podmiotu (art. 8c ust. 1) - i nie zwalnia go z tej odpowiedzialności powierzenie zadań innej osobie (art. 8c ust. 3).
- Podmioty, które 3.04.2026 r. spełniały przesłanki ustawy, mają czas na realizację obowiązków z rozdziału 3 (w tym SZBI) do 3.04.2027 r. (art. 33 ust. 1 ustawy z 23.01.2026 r., Dz. U. poz. 252).
- Kary pieniężne mogą być nakładane od 3.04.2028 r. (art. 35 ustawy zmieniającej), ale środki nadzorcze - kontrole i nakazy z art. 53 - obowiązują już od 3.04.2026 r.
- Kierownikowi za zaniechania grozi osobista kara pieniężna do 300% wynagrodzenia (art. 73a ust. 1 i 4).

## Co dokładnie nakazuje ustawa

Fundament jest w jednym zdaniu: podmiot kluczowy lub podmiot ważny "wdraża system zarządzania bezpieczeństwem informacji w systemie informacyjnym wykorzystywanym w procesach wpływających na świadczenie usługi" (art. 8 ust. 1 ustawy o KSC). Wszystkie pozostałe obowiązki - zarządzanie ryzykiem, incydenty, ciągłość działania, łańcuch dostaw - są środkami tego systemu, wyliczonymi w art. 8 ust. 1 pkt 1-4.

Wokół tego fundamentu ustawa buduje nadzór:

- **Odpowiedzialność kierownika (art. 8c).** Kierownik podmiotu ponosi odpowiedzialność za wykonywanie obowiązków z zakresu cyberbezpieczeństwa (ust. 1). Powierzenie obowiązków innej osobie nie zwalnia z odpowiedzialności (ust. 3).
- **Zadania kierownika (art. 8d).** Kierownik: podejmuje decyzje w zakresie przygotowania, wdrażania, stosowania, przeglądu i nadzoru SZBI (pkt 1), planuje adekwatne środki finansowe (pkt 2), przydziela zadania z zakresu cyberbezpieczeństwa i nadzoruje ich wykonanie (pkt 3), zapewnia świadomość obowiązków wśród personelu (pkt 4) oraz zgodność działania podmiotu z prawem i regulacjami wewnętrznymi (pkt 5).
- **Coroczne szkolenie kierownika (art. 8e).** Raz w roku kalendarzowym, udokumentowane - szczegóły w osobnym artykule o szkoleniach.
- **Niekaralność osób realizujących zadania (art. 8f).** Osoby realizujące zadania z art. 8 lub art. 11 przedstawiają przed dopuszczeniem do zadań informację o niekaralności z Krajowego Rejestru Karnego.
- **Osoby kontaktowe (art. 9).** Podmiot wyznacza co najmniej dwie osoby do kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa; mikro- i mali przedsiębiorcy oraz ważne podmioty publiczne - co najmniej jedną (art. 9 ust. 1 pkt 1, ust. 2-3).
- **Dokumentacja (art. 10).** Podmiot opracowuje, stosuje i aktualizuje dokumentację bezpieczeństwa systemu informacyjnego: normatywną (m.in. dokumentacja SZBI - art. 10 ust. 3 pkt 1) i operacyjną (zapisy potwierdzające wykonywanie czynności - art. 10 ust. 4). Dokumentację przechowuje się co najmniej 2 lata (art. 10).
- **Struktury albo umowa (art. 14).** Podmiot powołuje wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo albo zawiera umowę z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa.

Wyjątek: podmiot ważny będący podmiotem publicznym zamiast art. 8 ust. 1 stosuje wymogi SZBI określone w załączniku nr 4 do ustawy (art. 8 ust. 3). To odrębny, lżejszy katalog wymogów - TODO-CONTENT: omówienie reżimu załącznika nr 4 wymaga osobnego opracowania (pozycja nr 6 rejestru niepewności S2, pytanie do radcy).

## Jak to wygląda w praktyce małej firmy

Mała firma nie ma działu bezpieczeństwa, więc "system zarządzania" brzmi groźnie. W praktyce SZBI dla podmiotu ważnego zatrudniającego 50-100 osób to komplet kilku dokumentów, kilka rejestrów prowadzonych na bieżąco i kalendarz cyklicznych czynności:

1. **Polityka SZBI** - dokument, który wyznacza zakres systemu (jaki system informacyjny, jakie procesy wpływają na świadczenie usługi - art. 8 ust. 1) i deklaruje zaangażowanie kierownictwa (art. 8d).
2. **Przypisane role** - kto jest kierownikiem w rozumieniu ustawy, komu powierzono zadania, kto jest osobą kontaktową (art. 9). Uwaga: powierzenie nie przenosi odpowiedzialności (art. 8c ust. 3).
3. **Decyzja: struktura własna czy umowa z MSSP (art. 14)** - dla małej firmy zwykle realniejsza jest umowa z zewnętrznym dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa. Uwaga dla firm IT: dostawca takich usług sam jest podmiotem kluczowym już od statusu małego przedsiębiorstwa (art. 5 ust. 1 pkt 3) - jeśli świadczysz je klientom, sprawdź własny status.
4. **Dokumentacja, która żyje** - art. 10 wymaga nie tylko opracowania, ale stosowania i aktualizacji. Dokument wygenerowany raz i zapomniany nie spełnia wymogu; zapisy operacyjne (art. 10 ust. 4) mają pokazywać, że czynności faktycznie się dzieją.
5. **Cykl przeglądu** - ustawa nakłada na kierownika zadanie przeglądu i nadzoru SZBI (art. 8d pkt 1) oraz utrzymywania polityk oceny skuteczności (art. 8 ust. 1 pkt 2 lit. h), ale nie narzuca częstotliwości. Coroczny przegląd SZBI to dobra praktyka (PN-EN ISO/IEC 27001, pkt 9.3), którą przyjmujemy jako domyślny cykl - nie wymóg ustawowy.

## Jakie artefakty trzeba mieć

| Artefakt                                                                  | Podstawa                            | Uwagi                                                                                              |
| ------------------------------------------------------------------------- | ----------------------------------- | -------------------------------------------------------------------------------------------------- |
| Polityka SZBI (zakres + zaangażowanie kierownictwa)                       | art. 8 ust. 1, art. 10 ust. 3 pkt 1 | forma dokumentu nie jest narzucona przez ustawę; dobra praktyka: PN-EN ISO/IEC 27001 pkt 4.3 i 5.2 |
| Wyznaczone osoby kontaktowe                                               | art. 9 ust. 1 pkt 1, ust. 2-3       | 2 osoby; mikro/mali i ważne publiczne: 1                                                           |
| Dokumentacja normatywna i operacyjna                                      | art. 10 ust. 3-4                    | przechowywanie co najmniej 2 lata                                                                  |
| Umowa z MSSP albo struktura wewnętrzna                                    | art. 14                             | decyzja kierownika                                                                                 |
| Informacje o niekaralności (KRK) osób realizujących zadania z art. 8 i 11 | art. 8f                             | przed dopuszczeniem do zadań                                                                       |
| Udokumentowane coroczne szkolenie kierownika                              | art. 8e                             | patrz artykuł o szkoleniach                                                                        |

## Najczęstsze błędy

1. **"Wydelegowałem, więc nie odpowiadam."** Art. 8c ust. 3 mówi wprost: powierzenie obowiązków innej osobie nie zwalnia kierownika z odpowiedzialności. Delegować można pracę, nie odpowiedzialność.
2. **Dokumentacja-fasada.** Komplet PDF-ów z jedną datą i bez zapisów operacyjnych (art. 10 ust. 4) obroni się gorzej niż skromniejszy system, który faktycznie działa.
3. **Czekanie na 2028 r.** Kary pieniężne faktycznie mogą być nakładane dopiero od 3.04.2028 r. (art. 35 ustawy zmieniającej), ale kontrole i nakazy organu właściwego (art. 53) obowiązują od 3.04.2026 r. Organ może nakazać usunięcie nieprawidłowości na długo zanim będzie mógł karać. Wyjątek od odroczenia: kara do 100 mln zł za naruszenia powodujące bezpośrednie i poważne zagrożenie (art. 73 ust. 5) - nie jest objęta odroczeniem.
4. **Pominięcie art. 9 i art. 8f.** Osoby kontaktowe i zaświadczenia o niekaralności to obowiązki proste do spełnienia i łatwe do skontrolowania - a często w ogóle nieobecne na checklistach.
5. **Publiczna JST wdraża "pełne" SZBI z art. 8 ust. 1.** Podmiot ważny będący podmiotem publicznym stosuje załącznik nr 4 (art. 8 ust. 3) - inna podstawa prawna, którą trzeba poprawnie cytować w dokumentacji.

## Checklista do odhaczenia

- [ ] Ustaliłem, kto jest kierownikiem podmiotu w rozumieniu ustawy i kto formalnie przyjął zadania z art. 8d
- [ ] Mam Politykę SZBI wyznaczającą zakres systemu (art. 8 ust. 1, art. 10 ust. 3 pkt 1)
- [ ] Wyznaczyłem osoby kontaktowe (art. 9) i wiem, gdzie zaktualizować ich dane
- [ ] Podjąłem decyzję: struktury wewnętrzne czy umowa z MSSP (art. 14) - i mam ją na piśmie
- [ ] Osoby realizujące zadania z art. 8/11 przedstawiły informację z KRK (art. 8f)
- [ ] Dokumentacja ma właściciela, cykl aktualizacji i miejsce przechowywania przez min. 2 lata (art. 10)
- [ ] Kierownik ma zaplanowane coroczne szkolenie (art. 8e)
- [ ] Zaplanowany przegląd SZBI (nasza praktyka: co 12 miesięcy; realizuje art. 8d pkt 1)

## Pytania i odpowiedzi

**Czy kierownik może zlecić cyberbezpieczeństwo zewnętrznej firmie i mieć spokój?**
Może zlecić wykonywanie zadań (art. 14 przewiduje umowę z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa), ale odpowiedzialność za wykonywanie obowiązków pozostaje przy kierowniku (art. 8c ust. 1 i 3).

**Do kiedy trzeba mieć wdrożone SZBI?**
Podmiot, który 3.04.2026 r. spełniał przesłanki uznania za podmiot kluczowy lub ważny - do 3.04.2027 r. (art. 33 ust. 1 ustawy z 23.01.2026 r., Dz. U. poz. 252). Podmiot, który spełni przesłanki później - w 12 miesięcy od ich spełnienia (art. 16 pkt 1).

**Czy ustawa wymaga corocznego przeglądu SZBI?**
Nie wprost. Ustawa nakłada na kierownika zadanie przeglądu i nadzoru SZBI (art. 8d pkt 1) oraz wymaga polityk oceny skuteczności środków (art. 8 ust. 1 pkt 2 lit. h), ale nie określa częstotliwości. Cykl roczny to dobra praktyka z PN-EN ISO/IEC 27001 (pkt 9.3) - rekomendujemy go, uczciwie oznaczając jako praktykę, nie przepis.

**Co realnie grozi za brak SZBI?**
Od 3.04.2026 r.: kontrole i nakazy organu właściwego (art. 53). Od 3.04.2028 r.: kary pieniężne dla podmiotu (art. 73) oraz osobista kara kierownika do 300% wynagrodzenia (art. 73a ust. 1 i 4). Niezależnie od dat: pytania kontrahentów o dowód zgodności, których nie zbywa się "jeszcze nad tym pracujemy".

## Źródła

- Ustawa o KSC - tekst ujednolicony Kancelarii Sejmu z 2026-07-07: [isap.sejm.gov.pl (PDF)](https://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU20180001560/U/D20181560Lj.pdf); strona aktu: [ISAP WDU20180001560](https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20180001560)
- Ustawa z 23.01.2026 r. o zmianie ustawy o KSC (Dz. U. 2026 poz. 252): [ISAP](https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20260000252), [ELI](https://eli.gov.pl/eli/DU/2026/252/ogl)
- PN-EN ISO/IEC 27001 (przegląd zarządzania, pkt 9.3) - norma, dobra praktyka, nie przepis

---

_Ten artykuł jest narzędziem informacyjnym, nie poradą prawną. Tam, gdzie Twoja sytuacja wymaga interpretacji przepisu, skonsultuj się z radcą prawnym. Status treści: 0.9-draft, przed przeglądem kancelarii (TODO-LEGAL-REVIEW)._