Pytanie, które zadaje co najmniej co drugi członek zarządu fintechu wchodzącego w reżim DORA i KSC: ile dokładnie mogę zapłacić z własnej kieszeni, jeżeli organ nadzoru stwierdzi naruszenie? Odpowiedź jest niewygodna. Polski ustawodawca w znowelizowanej ustawie o krajowym systemie cyberbezpieczeństwa (Dz.U. 2026 poz. 20 t.j., zmiana Dz.U. 2026 poz. 252) wprowadził konkretną sankcję — do 300% wynagrodzenia kierownika podmiotu prywatnego. Rozporządzenie (UE) 2022/2554 (DORA) nie określa kwoty wprost — odsyła do prawa krajowego, gdzie sankcje wynikają z ustaw sektorowych. W tym wpisie cyklu DORA vs NIS2 pokazujemy, jak liczyć ekspozycję członka zarządu, który podlega obu reżimom.

Kim jest „kierownik" w KSC i „organ zarządzający" w DORA?

Definicje są kluczowe, bo decydują, kogo dotyczy odpowiedzialność osobista — i są różne w obu reżimach.

KSC art. 2 pkt 8a odsyła do art. 3 ust. 1 pkt 6 ustawy z dnia 29 września 1994 r. o rachunkowości. „Kierownik jednostki" w praktyce oznacza:

  • w spółce z ograniczoną odpowiedzialnością i spółce akcyjnej — zarząd (cały, jako organ);
  • w jednoosobowej działalności gospodarczej — przedsiębiorcę;
  • w spółkach osobowych (jawnej, partnerskiej, komandytowej) — wspólników prowadzących sprawy spółki;
  • w fundacji, stowarzyszeniu — zarząd jednostki;
  • w jednostce sektora finansów publicznych — kierownika jednostki, o którym mowa w art. 53 ust. 1 ustawy o finansach publicznych.

DORA art. 5 ust. 2 używa pojęcia „organ zarządzający" („management body"). Termin pochodzi z dyrektyw sektorowych UE i obejmuje zazwyczaj zarówno organ wykonawczy (zarząd), jak i nadzorczy (radę nadzorczą) — w zależności od modelu zarządzania w podmiocie. W polskich realiach pierwszoplanową odpowiedzialność wykonawczą ponosi zarząd, ale rola rady nadzorczej w nadzorze nad ramami zarządzania ryzykiem ICT może uruchomić odpowiedzialność jej członków na podstawie przepisów krajowych (art. 50 ust. 5 DORA).

Praktyczna konsekwencja: w fintechu w formie spółki akcyjnej, w której art. 8i ust. 1 KSC nie wyłącza KSC, członek zarządu może być adresatem sankcji równolegle z KSC i z ustaw sektorowych implementujących DORA. Członek rady nadzorczej — tylko z przepisów sektorowych DORA.

KSC — solidarna odpowiedzialność i niemożność delegowania

Konstrukcja odpowiedzialności KSC jest celowo zaostrzona względem dyrektywy NIS2 — i to ważny detal interpretacyjny.

Art. 8c ust. 1 KSC wprowadza osobistą odpowiedzialność kierownika za wykonywanie obowiązków cybersec. Art. 8c ust. 2 KSC stanowi, że w przypadku gdy kierownikiem jest organ wieloosobowy i nie została wskazana osoba odpowiedzialna, odpowiedzialność ponoszą wszyscy członkowie tego organu. Pięcioosobowy zarząd, w którym nie wskazano członka odpowiedzialnego za cyberbezpieczeństwo, odpowiada solidarnie — wszyscy pięcioro za każdy z obowiązków z art. 8c ust. 1.

Zarząd może wskazać jedną osobę spośród siebie jako odpowiedzialną. Ale art. 8c ust. 3 KSC od razu zastrzega: kierownik ponosi odpowiedzialność także wtedy, gdy niektóre z obowiązków albo wszystkie obowiązki zostały powierzone innej osobie za jej zgodą. Powierzenie zadań CISO, kierownikowi działu IT albo zewnętrznemu konsultantowi nie zwalnia kierownika z odpowiedzialności wobec organu nadzorczego. Polski ustawodawca poszedł dalej niż dyrektywa NIS2, która w art. 20 ust. 1 mówi tylko o „zatwierdzaniu" i „nadzorowaniu" przez organ zarządzający — bez wprowadzania klauzuli niemożności delegowania.

DORA — odpowiedzialność organu zarządzającego z odesłaniem do prawa krajowego

W DORA konstrukcja jest dwupoziomowa.

Art. 5 ust. 1 DORA wymaga od podmiotów finansowych posiadania wewnętrznych ram zarządzania i kontroli ICT. Art. 5 ust. 2 DORA stanowi: „Organ zarządzający podmiotu finansowego określa, zatwierdza i nadzoruje wdrażanie wszystkich ustaleń dotyczących ram zarządzania ryzykiem związanym z ICT, o których mowa w art. 6 ust. 1, oraz ponosi odpowiedzialność za ich wdrażanie". Z art. 5 ust. 2 lit. a–i DORA wynika dziewięć konkretnych obowiązków zarządu — od ostatecznej odpowiedzialności za zarządzanie ryzykiem ICT po zatwierdzenie polityki outsourcingu i wprowadzenie kanałów raportowania.

Art. 50 ust. 5 DORA przekazuje sankcjonowanie osobiste do prawa krajowego: „W przypadku gdy ust. 2 lit. c) i ust. 4 mają zastosowanie do osób prawnych, państwa członkowskie powierzają właściwym organom uprawnienie do stosowania kar administracyjnych i środków naprawczych, z zastrzeżeniem warunków przewidzianych w prawie krajowym, wobec członków organu zarządzającego oraz innych osób fizycznych, które w świetle prawa krajowego ponoszą odpowiedzialność za naruszenie".

W polskim porządku prawnym oznacza to, że konkretne sankcje za naruszenie DORA wobec członka zarządu wynikają z przepisów krajowych — w szczególności z ustawy o nadzorze nad rynkiem finansowym oraz z regulacji sektorowych (Prawo bankowe, ustawa o usługach płatniczych, ustawa o obrocie instrumentami finansowymi, ustawa o kryptoaktywach). DORA nie ustanawia jednolitej, ogólnounijnej kwoty kary administracyjnej — w odróżnieniu od KSC, który podaje konkretny próg (300% wynagrodzenia).

Kara z KSC — ile dokładnie

Art. 73a ust. 4 KSC dopuszcza karę pieniężną dla kierownika podmiotu prywatnego do 300% otrzymywanego wynagrodzenia obliczanego jak ekwiwalent pieniężny za urlop. Art. 73a ust. 5 KSC — dla kierownika podmiotu publicznego — do 100% wynagrodzenia.

Dwa praktyczne detale:

1. Podstawa wymiaru — wynagrodzenie miesięczne, nie roczne. „300% wynagrodzenia" oznacza trzykrotność wynagrodzenia obliczanego według zasad ekwiwalentu za urlop (rozporządzenie Ministra Pracy i Polityki Socjalnej z dnia 8 stycznia 1997 r. w sprawie szczegółowych zasad udzielania urlopu wypoczynkowego, ustalania i wypłacania wynagrodzenia za czas urlopu oraz ekwiwalentu pieniężnego za urlop). Praktycznie — trzykrotność średniego wynagrodzenia miesięcznego z odpowiedniego okresu.

2. Niezależność od kary podmiotu. Art. 73a ust. 3 KSC: kara dla kierownika może być nałożona niezależnie od kary dla podmiotu. Ten sam czyn (np. nieprzeszkolenie zarządu w terminie z art. 8e KSC) może skutkować dwiema sankcjami — administracyjną na spółkę z art. 73 KSC i osobistą na kierownika z art. 73a KSC.

Przykład numeryczny — ilustracja, nie wiążąca interpretacja

Członek zarządu fintechu z miesięcznym wynagrodzeniem brutto na poziomie 50 000 zł. Wynagrodzenie obliczane jak ekwiwalent za urlop = 50 000 zł (zakładając, że nie ma istotnych zmiennych składników). Maksymalna kara z art. 73a ust. 4 KSC = 300% × 50 000 zł = 150 000 zł.

To nie jest „300 000 zł" ani „450 000 zł". Trzeba dokładnie czytać przepis: 300% otrzymywanego wynagrodzenia, gdzie jednostką jest miesięczne wynagrodzenie wyliczone jak ekwiwalent. Nie liczy się tu wynagrodzenie roczne ani trzymiesięczne.

Powyższy przykład ma charakter ilustracyjny — w postępowaniu nadzorczym konkretna kwota wynagrodzenia obliczanego jako ekwiwalent za urlop jest ustalana na podstawie dokumentacji kadrowej podmiotu i może istotnie różnić się od kwoty brutto z umowy o pracę (zwłaszcza gdy w grę wchodzą zmienne składniki, premie, akcje pracownicze, nagrody roczne).

14 podstaw kary z art. 73a ust. 1 KSC

Art. 73a ust. 1 KSC wymienia 14 osobnych podstaw nałożenia kary pieniężnej na kierownika podmiotu kluczowego lub ważnego:

Punkt Podstawa kary
1 Niedopełnienie obowiązków rejestracyjnych w wykazie
2 Niewykonywanie obowiązków z art. 8 (system zarządzania bezpieczeństwem)
3 Niewykonywanie zadań z art. 8d
4 Nieprzejście corocznego szkolenia z art. 8e
5 Niewykonanie obowiązku KRK z art. 8f ust. 1 lub 2
6 Niewyznaczenie minimum 2 osób kontaktowych
7 Niezapewnienie użytkownikowi możliwości zgłoszenia cyberzagrożenia
8 Niewykonywanie obowiązków dokumentacyjnych
9 Niewykonywanie obowiązków incydentowych z art. 11
10 Niewykonywanie obowiązków z art. 12 ust. 5–8 (treść zgłoszeń)
11 Przekazanie sprawozdania końcowego niezawierającego wymaganych elementów
12 Niewykonywanie obowiązków sprawozdawczości z postępu (art. 12b)
13 Niewykonywanie obowiązków z art. 14 (struktury cybersec)
14 Niewykonywanie obowiązków z art. 15 (audyt)

Karę nakłada się, „jeżeli przemawia za tym czas, zakres lub charakter naruszenia" (art. 73a ust. 1 in fine). Z naszego doświadczenia najprostsze i najczęstsze podstawy do uruchomienia kary z art. 73a to pkt 4 (brak udokumentowanego corocznego szkolenia z art. 8e KSC) i pkt 14 (niewykonanie audytu z art. 15 w 24-miesięcznym oknie z art. 16 KSC) — bo te obowiązki mają sztywny, łatwo weryfikowalny termin.

Sankcje DORA z prawa polskiego — gdzie szukać kwot

W odróżnieniu od KSC, DORA nie wprowadza jednolitej kwoty kary osobistej. Konkretne sankcje wynikają z przepisów krajowych implementujących rozporządzenie 2022/2554 — m.in.:

  • Prawo bankowe — sankcje wobec członków zarządu banków;
  • Ustawa o usługach płatniczych — sankcje wobec zarządów instytucji płatniczych, AISP, instytucji pieniądza elektronicznego;
  • Ustawa o obrocie instrumentami finansowymi — sankcje wobec firm inwestycyjnych, kontrahentów centralnych, podmiotów infrastruktury rynków finansowych;
  • Ustawa o kryptoaktywach — sankcje wobec dostawców usług kryptoaktywów (CASP) na podstawie MiCA i DORA.

Konkretne kwoty i podstawy nałożenia kary należy każdorazowo zweryfikować względem aktualnego brzmienia ustawy sektorowej właściwej dla danego rodzaju podmiotu. Z perspektywy zarządu praktyczna implikacja jest taka, że w razie naruszenia DORA członek zarządu może odpowiadać z dwóch równoległych podstaw — KSC art. 73a ust. 4 (jeżeli podmiot wpada do KSC) i ustawy sektorowej (z tytułu naruszenia DORA).

Siedem kryteriów wymiaru kary DORA — art. 51 ust. 2

Art. 51 ust. 2 DORA wymienia siedem kryteriów, które organ nadzoru bierze pod uwagę przy wymiarze kary administracyjnej:

  • Istotność i waga naruszenia oraz czas jego trwania — lit. a.
  • Stopień przyczynienia się osoby fizycznej lub prawnej do naruszenia — lit. b.
  • Sytuacja finansowa odpowiedzialnej osoby — lit. c.
  • Skala korzyści uzyskanych lub strat unikniętych — lit. d.
  • Straty poniesione przez osoby trzecie — lit. e.
  • Poziom współpracy z właściwym organem — lit. f.
  • Uprzednie naruszenia — lit. g.

Z naszego doświadczenia kryterium f (poziom współpracy z organem) i g (uprzednie naruszenia) są dwoma czynnikami, które w postępowaniu sankcyjnym najszybciej zmieniają kwotę kary w jedną lub drugą stronę. Pełna współpraca z udokumentowanymi działaniami naprawczymi może istotnie zmniejszyć wymiar kary.

KSC ma własne kryteria wymiaru kary — art. 76a ust. 1 KSC w zw. z art. 53 ust. 12 KSC: waga naruszenia, czas trwania, wcześniejsze poważne naruszenia, spowodowane szkody, umyślny lub nieumyślny charakter, środki zapobiegawcze, stopień współpracy. Konstrukcja jest funkcjonalnie zbliżona do art. 51 ust. 2 DORA — nie warto budować osobnych „strategii dla DORA" i „strategii dla KSC", to ten sam zestaw argumentów łagodzących.

Tarcza anty-RODO — kiedy działa, kiedy nie

Art. 76c ust. 1 KSC wprowadza zasadę, którą warto znać z perspektywy strategii zarządzania incydentem łączącym KSC i RODO: jeżeli za czyn zagrożony karą z art. 73 lub 73a KSC nałożono prawomocnie karę przez Prezesa UODO, organ KSC nie wszczyna postępowania, poprzestając na pouczeniu.

Trzy istotne ograniczenia:

1. Tylko po stronie kar pieniężnych. Art. 76c ust. 2 KSC zachowuje organowi KSC prawo do stosowania środków nadzorczych z art. 53 ust. 4, 5 i 9 — czyli ostrzeżeń, nakazów, zaleceń bez kary pieniężnej, w tym wstrzymania działalności podmiotu kluczowego (art. 53 ust. 9).

2. Wymaga prawomocnej kary UODO. Sama decyzja UODO nie wystarcza — musi być prawomocna. Praktycznie oznacza to wykorzystanie ścieżki RODO jako pierwszej, aby kara UODO uprawomocniła się przed ewentualną decyzją organu KSC.

3. Nie konsumuje sankcji DORA. Art. 76c KSC odnosi się wyłącznie do kar z art. 73 i 73a KSC. Sankcje sektorowe implementujące DORA — z Prawa bankowego, ustawy o usługach płatniczych, ustawy o kryptoaktywach — nie są objęte tarczą anty-RODO. Członek zarządu, którego incydent narusza dane osobowe i równocześnie obowiązki DORA, może odpowiadać z RODO (art. 83 RODO) i równolegle z DORA — kara UODO blokuje tylko ścieżkę KSC.

Mapa ekspozycji członka zarządu — trzy pytania

Z naszego doświadczenia członek zarządu fintechu, który chce realnie ocenić swoją ekspozycję, musi sobie odpowiedzieć na trzy pytania:

Pytanie 1 — czy podmiot wpada do KSC? Sektor bankowości i infrastruktury rynków finansowych z załącznika nr 1 to art. 8i ust. 1 KSC i wyłączenie większości obowiązków KSC. Inne sektory załącznika nr 1 lub nr 2 — pełen KSC, w tym art. 73a ust. 4. Instytucje płatnicze, AISP, EMI, CASP — wymagają osobnej analizy, czy są w KSC z innego tytułu (MSSP, sektor zarządzania usługami ICT itd.).

Pytanie 2 — czy podmiot jest objęty DORA? Art. 2 ust. 1 DORA wymienia 20 kategorii podmiotów finansowych. Jeżeli tak — uruchamia się art. 5 DORA, a w razie naruszenia art. 50 ust. 5 DORA i sankcje z prawa krajowego (Prawo bankowe, ustawa o usługach płatniczych, ustawa o obrocie instrumentami finansowymi, ustawa o kryptoaktywach).

Pytanie 3 — czy w grę mogą wchodzić dane osobowe? Każde naruszenie ICT z eksfiltracją lub naruszeniem poufności danych klientów uruchamia RODO art. 33 (zgłoszenie) i art. 83 (kary do 20 mln EUR lub 4% obrotu globalnego — sankcja na podmiot, ale i osoby na warunkach prawa krajowego). Tarcza anty-RODO z art. 76c KSC może zatrzymać karę KSC, ale nie zatrzyma sankcji DORA.

Mapa ekspozycji w tabeli poglądowej:

Reżim Sankcja na członka zarządu Podstawa
KSC (jeśli podmiot wpada) Do 300% wynagrodzenia (kierownik prywatny) art. 73a ust. 4 KSC
KSC (sektor publiczny) Do 100% wynagrodzenia art. 73a ust. 5 KSC
DORA Sankcje z ustaw sektorowych implementujących DORA art. 50 ust. 5 DORA + Prawo bankowe / u. o usł. płat. / u. o obr. instr. fin. / u. o kryptoaktywach
RODO Kary administracyjne na warunkach prawa krajowego art. 83 RODO

Sumowanie: członek zarządu fintechu, który podlega KSC (np. jako MSSP) i DORA, może być adresatem sankcji z trzech podstaw równolegle — KSC, DORA i RODO — choć tarcza anty-RODO z art. 76c KSC może zablokować pierwszą z nich, pod warunkiem prawomocnej kary UODO.

Najważniejsze działania do podjęcia w obszarze odpowiedzialności osobistej

Z naszego doświadczenia członek zarządu, który chce realnie zarządzać ekspozycją z KSC i DORA, ma do wykonania pięć ruchów:

  • Wskazanie odpowiedzialnego. Uchwała zarządu o przypisaniu konkretnej osobie z art. 8c ust. 2 KSC odpowiedzialności za cyberbezpieczeństwo. Bez tego — solidarna odpowiedzialność wszystkich członków organu wieloosobowego.
  • Udokumentowane szkolenie z art. 8e KSC. Coroczne, w roku kalendarzowym, z zakresem ustawowym (art. 7b ust. 4, 7c, 7f ust. 3, 8, 8d, 8f ust. 1 i 2, 9–12b, 14, 15). Lista obecności, data, prowadzący, materiały. Brak dokumentacji = brak szkolenia w oczach organu.
  • Macierz RACI z DORA art. 5 ust. 2 lit. a–i. Każdy z dziewięciu obowiązków organu zarządzającego DORA przypisany do konkretnego członka zarządu, z rolami Responsible / Accountable / Consulted / Informed.
  • Dokumentacja działań zarządu. Protokoły posiedzeń zarządu, w których cyberbezpieczeństwo pojawia się jako stały punkt (przegląd ryzyk, decyzje budżetowe, akceptacja polityk). To materiał dowodowy w razie postępowania nadzorczego.
  • Strategia komunikacji z UODO. Procedura, która w przypadku incydentu z naruszeniem danych osobowych uruchamia zgłoszenie do UODO jako pierwsze — bo prawomocna kara UODO może aktywować tarczę anty-RODO z art. 76c KSC.

Te ruchy nie eliminują ryzyka kary, ale istotnie obniżają prawdopodobieństwo jej nałożenia, a w razie postępowania — dają twardy materiał dowodowy do argumentacji łagodzących z art. 51 ust. 2 DORA i art. 76a ust. 1 KSC.

Jak możemy Ci pomóc?

Mapowanie odpowiedzialności osobistej członka zarządu w podmiocie objętym KSC i DORA jest detalem, który większość organizacji ignoruje do pierwszego pisma z ostrzeżeniem z art. 53 ust. 4 KSC lub do pierwszej kontroli sektorowej KNF. Z naszego doświadczenia projekt mapowania ekspozycji członków zarządu — z uchwałami przypisującymi obowiązki, macierzą RACI dla DORA art. 5, dokumentacją szkoleń z art. 8e KSC i procedurą aktywacji tarczy anty-RODO — zajmuje 3–6 tygodni, ale realnie zmienia pozycję zarządu w razie postępowania nadzorczego. W Legal Geek wspieramy zarządy fintechów, instytucji płatniczych, banków i dostawców usług kryptoaktywów we wdrożeniu modelu odpowiedzialności osobistej zgodnego z art. 8c–8f KSC i art. 5 DORA. Jeżeli chcesz przed pierwszym postępowaniem nadzorczym sprawdzić, jakie są realne ścieżki sankcji wobec Ciebie i Twojego zarządu — napisz do nas.

W kolejnych wpisach cyklu DORA vs NIS2 planujemy rozwinąć temat pułapki instytucji płatniczej (art. 8i KSC nie wyłącza KSC dla IP/EMI/AISP/CASP), porównanie TLPT (DORA art. 26) z audytem zewnętrznym KSC (art. 15) oraz mapowanie obowiązków łańcucha dostaw ICT.

Co dalej w cyklu?

Źródła

  • Ustawa o KSC, art. 8c, 8c–8f, 73, 73a, 76a, 76c (Dz.U. 2026 poz. 20 t.j.) — ISAP
  • Rozporządzenie (UE) 2022/2554 (DORA), art. 5, 50, 51, 52 — EUR-Lex
  • Dyrektywa (UE) 2022/2555 (NIS2), art. 20 — EUR-Lex
  • Ustawa o rachunkowości, art. 3 ust. 1 pkt 6 — ISAP
  • Rozporządzenie Ministra Pracy i Polityki Socjalnej z 8 stycznia 1997 r. w sprawie szczegółowych zasad udzielania urlopu wypoczynkowego (Dz.U. 1997 nr 2 poz. 14) — ISAP
  • RODO, art. 33, 83 — EUR-Lex