Ustawa o Krajowym Systemie Cyberbezpieczeństwa. Dlaczego organizacje potrzebują dziś CISO?

Jeszcze do niedawna w wielu firmach cyberbezpieczeństwo było po prostu częścią IT. Ten sam zespół wdrażał systemy, utrzymywał infrastrukturę, nadawał uprawnienia, reagował na awarie i jednocześnie miał „pilnować bezpieczeństwa”. uKSC zmienia tę logikę. Nowelizacja ogłoszona jako Dz.U. 2026 poz. 252, wdrażająca polski model spójny z NIS2, przenosi cyberbezpieczeństwo z poziomu technicznego na poziom odpowiedzialności zarządczej, organizacyjnej i nadzorczej.

Najważniejsza zmiana polega na tym, że kierownik podmiotu kluczowego lub ważnego ponosi odpowiedzialność za wykonywanie obowiązków w zakresie cyberbezpieczeństwa, podejmuje decyzje dotyczące przygotowania, wdrażania, stosowania, przeglądu i nadzoru systemu zarządzania bezpieczeństwem informacji, planuje środki finansowe i nadzoruje wykonanie zadań. Dodatkowo kierownik oraz osoba, której powierzono te obowiązki, mają przechodzić coroczne szkolenie. To jest model, w którym cyberbezpieczeństwo staje się elementem ładu zarządczego.

I właśnie tutaj pojawia się pytanie o rolę CISO. Ustawa wprowadza istnienie realnej funkcji odpowiedzialnej za cyberbezpieczeństwo, wprost stanowi, że podmiot kluczowy lub ważny ma powołać wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo albo zawrzeć umowę z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa. Innymi słowy: ustawodawca dopuszcza zarówno model wewnętrzny, jak i zewnętrzny.

To otwiera drogę do modelu CISO-as-a-service, dlatego, że pozwala powierzyć realizację zadań wyspecjalizowanemu podmiotowi zewnętrznemu. Jednocześnie uKSC zastrzega, że odpowiedzialność kierownika nie znika nawet wtedy, gdy część albo całość obowiązków została powierzona innej osobie. To bardzo ważne rozróżnienie: outsourcing jest dopuszczalny, ale nie oznacza outsourcingu odpowiedzialności. W praktyce właśnie dlatego model usługowy ma sens wtedy, gdy daje zarządowi niezależną funkcję nadzorczą, a nie tylko „dodatkowe ręce do administrowania”.

Dlaczego sam dział IT nie powinien już być jedynym właścicielem cyberbezpieczeństwa? Bo w wielu organizacjach pojawia się klasyczny konflikt interesów. IT odpowiada zwykle za dostępność, szybkość zmian, ciągłość działania, budżet i wygodę użytkownika. Funkcja bezpieczeństwa musi czasem powiedzieć: „stop”, wymusić dodatkowy etap akceptacji, zakwestionować architekturę, ograniczyć uprawnienia, zablokować wdrożenie albo zażądać zmiany dostawcy. Gdy te role są skupione w jednym miejscu, rośnie ryzyko, że ta sama funkcja będzie jednocześnie budować środowisko, oceniać własne decyzje i bronić ich przed zarządem. To nie jest zdrowy model nadzorczy w szczególności w organizacjach objętych uKSC. Wniosek ten wynika z samej logiki nowych obowiązków zarządczych i nadzorczych w ustawie.

Co ciekawe, sam tekst uKSC pokazuje, że ustawodawca rozumie problem niezależności funkcji bezpieczeństwa. Ustawa wprost stanowi, że audytu nie może przeprowadzać osoba realizująca w audytowanym podmiocie zadania z obszaru cyberbezpieczeństwa albo taka, która realizowała je w ciągu roku przed rozpoczęciem audytu. To bardzo czytelny sygnał: ten, kto wdraża zabezpieczenia i operacyjnie nimi zarządza, nie powinien sam oceniać własnej pracy w trybie niezależnego potwierdzenia.

Ten sam kierunek widać także w uznanych benchmarkach organizacyjnych. NIST wskazuje zasadę separation of duties jako mechanizm ograniczający nadużycie uprawnień i ryzyko działań niepożądanych bez zmowy, a w katalogu zarządczym mówi wprost o wyznaczeniu senior information security officer, określanego również jako chief information security officer. To oczywiście nie jest polski wymóg ustawowy dla każdego przedsiębiorcy, ale bardzo standard organizacyjny: bezpieczeństwo powinno mieć własną rolę przywódczą i odpowiedni poziom odrębności od codziennej administracji IT.

W praktyce biznesowej oznacza to, że po wejściu uKSC organizacje powinny przestać pytać „czy potrzebujemy nowych procedur?” ale „kto u nas naprawdę pełni funkcję drugiej pary oczu wobec IT?”. Kto raportuje ryzyko do zarządu? Kto opiniuje architekturę, dostęp uprzywilejowany, dostawców, incydenty i wyjątki od polityk? Kto potrafi rozmawiać z biznesem, prawnikami, audytem, dostawcami i regulatorami, a nie tylko z administratorami? W dobrze poukładanej organizacji właśnie tę rolę pełni CISO — wewnętrzny albo zewnętrzny.

Model CISO-as-a-service będzie szczególnie atrakcyjny dla średnich organizacji i tych, które podlegają uKSC, ale nie mają potrzeb, aby budować dojrzałą funkcję bezpieczeństwa w pełnym wymiarze. Taki model może dać dostęp do kompetencji regulacyjnych, architektonicznych i zarządzania incydentami, bez konieczności natychmiastowego zatrudniania seniora na pełen etat. Pod jednym warunkiem: zewnętrzny CISO nie może być sprowadzony do roli nadzorcy papierów. Musi mieć mandat do raportowania ryzyka, uczestniczenia w decyzjach zarządczych, opiniowania zmian technologicznych i egzekwowania działań naprawczych. Inaczej organizacja dostanie usługę doradczą, ale nie zbuduje funkcji bezpieczeństwa. Taki wniosek jest logiczną konsekwencją tego, że uKSC pozwala na model zewnętrzny, ale pozostawia odpowiedzialność po stronie kierownictwa.

Organizacje objęte ustawą mają wdrażać system zarządzania bezpieczeństwem informacji, organizować struktury cyberbezpieczeństwa, realizować obowiązki zarządzania incydentami i podlegać audytowi; dla incydentów poważnych ustawa przewiduje m.in. wczesne ostrzeżenie, zgłoszenie do 72 godzin i sprawozdanie końcowe w terminie miesiąca. To wymaga stałego właściciela procesu, a nie tylko reaktywnego działania administratorów po godzinach.

Dlatego najważniejszy wniosek dla zarządów – uKSC kończy model, w którym cyberbezpieczeństwo może pozostawać wyłącznie częścią IT. Nowe przepisy premiują dojrzałość zarządczą, rozdzielenie ról i zdolność do niezależnego nadzoru nad ryzykiem. W wielu organizacjach najrozsądniejszą odpowiedzią będzie właśnie powołanie CISO, wewnętrznie albo w formule CISO-as-a-service, jako brakującego elementu ładu organizacyjnego.

Tomasz Janas

Autor artykułu jest prezesem zarządu PKF Advisory Sp. z o.o. należącej do grupy PKF Polska. Jest ekspertem z ponad 16-letnim doświadczeniem w audytach bezpieczeństwa IT, analizie ryzyka oraz wdrażaniu systemów zgodnych z ISO 27001, ISO 22301 i DORA. Specjalizuje się w przygotowaniu firm do zgodności z dyrektywą NIS2 i ustawą o KSC.