Polska cyfrowa. Od compliance do prawdziwej odporności
Czy polskie prawo nadąża za cyfrowymi zagrożeniami? Odpowiedzi na to pytanie szukają Monika Maćkowska-Morytz, Robert Brodzik, Natalia Kotłowska-Wochna i Konrad Grussy, którzy są współautorami polskiego rozdziału międzynarodowej publikacji „Cybersecurity 2026” wydawnictwa International Comparative Legal Guides.
To kompleksowy przewodnik po regulacjach dotyczących cyberbezpieczeństwa w 21 systemach prawnych świata, a także szczegółowa mapa dla przedsiębiorców, zarządów i dyrektorów prawnych, którzy muszą odnaleźć się w stale zmieniającym się otoczeniu regulacyjnym. Sprawdzamy, co mówią nasi eksperci w kontekście Polski i krajowych regulacji.
Orientacja na trwałą odporność organizacji
Główną tezą opracowania jest konieczność zmiany myślenia o cyberbezpieczeństwie i przejście od modelu opartego na formalnym spełnianiu wymogów zgodności (compliance-driven) do modelu skoncentrowanego na budowaniu trwałej odporności organizacji (resilience-driven).
Polska, będąc częścią unijnego ekosystemu prawnego, ma rygorystyczny system karania cyberprzestępczości, a ustawodawca nie pozostawia złudzeń – ataki na informacje są traktowane poważnie.
Warto więc mieć świadomość, że odpowiedzialność ta jest bardzo szeroka, a sankcje, jeśli skutek nastąpił w Polsce (np. atak na rachunek bankowy w polskim banku), mogą dotknąć sprawców niezależnie od ich fizycznej lokalizacji.
Do najpoważniejszych przestępstw należą:
- Kradzież tożsamości (podszywanie się), czyli posługiwanie się cudzymi danymi lub wizerunkiem w celu wyrządzenia szkody majątkowej albo osobistej zagrożone jest karą do 8 lat pozbawienia wolności
- Ataki DDoS, czyli zakłócanie pracy systemu lub sieci, może skutkować karą do 5 lat więzienia
- Sabotaż danych, czyli niszczenie, usuwanie, zmiana i utrudnianie dostępu do danych, może być zagrożone nawet do 5 lat pozbawienia wolności.
- Phishing i oszustwa komputerowe, czyli manipulacja procesami przetwarzania danych w celu osiągnięcia korzyści majątkowej, to przestępstwo zagrożone karą od 3 miesięcy do 5 lat
- Hacking, czyli uzyskanie dostępu do informacji albo do systemu bez uprawnienia jest zagrożone karą do 2 lat pozbawienia wolności
Regulacyjna rewolucja: NIS2, DORA i nowa rola compliance
Polskie ramy cyberbezpieczeństwa, do niedawna oparte głównie na Ustawie o Krajowym Systemie Cyberbezpieczeństwa z 2018 r. (UKSC) przechodzą obecnie gruntowną transformację, m.in. za sprawą nowych unijnych dyrektyw.
Dla biznesu oznacza to jednak konieczność wdrożenia zaawansowanych procedur, które wykraczają poza dział IT i dotykają samej istoty zarządzania ryzykiem w całej organizacji.
Kluczowe zmiany i obowiązki obejmują bowiem:
- Implementację dyrektywy NIS2: prace nad nowelizacją UKSC znacząco rozszerzą katalog podmiotów objętych regulacjami. Nowe przepisy podniosą standardy bezpieczeństwa i nałożą surowsze wymogi raportowania incydentów
- Sektor finansowy pod parasolem DORA: Instytucje finansowe muszą dostosować się do jednolitych standardów odporności operacyjnej, co wymusza na nich szczegółowe zarządzanie ryzykiem ICT
Dotkliwe mogą być też konsekwencje finansowe.
Kary administracyjne w ramach RODO sięgają 20 mln EUR lub 4% globalnego obrotu, a nadchodząca implementacja NIS2 przewiduje sankcje do 10 mln EUR lub 2% obrotu.
UODO aktywnie korzysta ze swoich uprawnień. W 2025 r. w jednej z głośnych spraw nałożono jednostkową karę przekraczającą 27 mln zł.
Zarząd na celowniku – osobista odpowiedzialność za cyberbezpieczeństwo
Jednym z najważniejszych wniosków płynących z raportu jest przeniesienie punktu ciężkości odpowiedzialności na poziom ładu korporacyjnego (Corporate Governance). Cyberbezpieczeństwo przestało być bowiem problemem technicznym, a stało się wyzwaniem strategicznym i prawnym.
Z punktu widzenia kadry zarządzającej najważniejsze ryzyka to:
- Konieczność zachowania należytej staranności – jeżeli zaniechania w obszarze cyberbezpieczeństwa naruszają obowiązki prawne lub korporacyjne i prowadzą do szkody, mogą uruchamiać odpowiedzialność członków zarządu na zasadach określonych w Kodeksie Spółek Handlowych
- Kary osobiste – projekt nowelizacji ustawy wdrażającej dyrektywę NIS2 wprowadza karę za niedopełnienie obowiązków w zakresie cyberbezpieczeństwa, czyli możliwość nakładania kar finansowych bezpośrednio na członków zarządu
- Nieusuwalność obowiązku nadzoru – organ zarządzający zatwierdza środki zarządzania ryzykiem cybernetycznym i sprawuje nadzór nad ich wdrożeniem. Delegowanie czynności operacyjnych nie zwalnia zarządu z odpowiedzialności. Znaczenie rozstrzygające ma możliwość wykazania należytej staranności.
Gdzie leżą granice aktywnej obrony
Firmy coraz częściej pytają o możliwość stosowania środków ofensywnych lub aktywnie defensywnych. Polskie prawo wyznacza tu jednak wyraźne granice.
Dozwolone środki techniczne to m.in.:
- Honeypots (pułapki) – są legalne, o ile służą pasywnej obronie i zbieraniu informacji o ataku, a nie prowokowaniu przestępstwa
- Sinkholes – przekierowywanie złośliwego ruchu (np. podczas ataku DDoS) jest standardową i dozwoloną praktyką obronną
- Monitoring pracowników – pracodawcy mogą monitorować służbową pocztę w celu wykrywania zagrożeń (np. phishingu czy wycieku danych), pod warunkiem uprzedniego poinformowania pracowników i poszanowania tajemnicy korespondencji
Przyszłość? Odporność i współpraca
Polska zmierza w kierunku bardziej kompleksowego reżimu regulacyjnego. Kluczem do przetrwania na cyfrowym rynku w 2026 roku nie będzie jedynie posiadanie odpowiednich certyfikatów, ale prawdziwa zdolność do przetrwania ataku i szybkiego powrotu do prawidłowego funkcjonowania (resilience).
Niezbędne jest pogłębienie wymiany informacji o zagrożeniach w czasie rzeczywistym, pomiędzy sektorem prywatnym, infrastrukturą krytyczną a instytucjami państwa. Transparentna współpraca w tym zakresie pozwoli na skuteczną obronę przed coraz bardziej wyrafinowanymi metodami cyberprzestępców.
Zapraszamy do lektury pełnego rozdziału o Polsce w publikacji „Cybersecurity 2026” na platformie ICLG.
Masz pytania dotyczące wdrożenia NIS2 lub DORA w Twojej organizacji? Skontaktuj się z nami
