Cyberbezpieczeństwo przestało być wyłącznie domeną działu IT. W 2026 roku coraz wyraźniej widać, że staje się ono elementem nadzoru korporacyjnego, odpowiedzialności zarządczej i ładu właścicielskiego. Dlatego warto spojrzeć łącznie na dwa porządki prawne: obowiązujące od 13 października 2022 r. wzmocnione uprawnienia rady nadzorczej w Kodeksie spółek handlowych oraz aktualne wymogi wynikające z NIS2 i polskiej nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa z 2026 r.
Zmiana w KSH nie została napisana wyłącznie z myślą o cyberbezpieczeństwie, jednak w praktyce bardzo dobrze odpowiada na dzisiejsze potrzeby spółek. Rada nadzorcza w spółce z o.o. i spółce akcyjnej może badać dokumenty spółki, dokonywać rewizji stanu majątku oraz żądać od zarządu, prokurentów i osób wykonujących regularne czynności na rzecz spółki wszelkich informacji, dokumentów, sprawozdań
i wyjaśnień dotyczących spółki, w tym jej działalności lub majątku. Materiały powinny zostać przekazane niezwłocznie, co do zasady nie później niż w ciągu dwóch tygodni, a zarząd nie może ograniczać dostępu rady do żądanych danych.
Z perspektywy bezpieczeństwa to bardzo konkretne narzędzie nadzorcze. Rada nadzorcza może dziś skutecznie pytać o:
Innymi słowy, nadzór nie musi już kończyć się na finansach i formalnej zgodności. Może obejmować również odporność cyfrową spółki.
Bardzo ważnym rozwiązaniem jest także możliwość powołania doradcy rady nadzorczej. KSH pozwala radzie zlecić zbadanie określonej sprawy dotyczącej działalności spółki lub jej majątku, a także przygotowanie analiz i opinii. Zarząd ma obowiązek zapewnić takiemu doradcy dostęp do dokumentów i potrzebnych informacji.
W praktyce oznacza to możliwość zamówienia niezależnej oceny takich obszarów jak:
To ważne, ponieważ rada nadzorcza nie musi opierać się wyłącznie na zapewnieniach zarządu. Może sięgnąć po zewnętrzną, niezależną ekspertyzę.
Znaczenie tych uprawnień rośnie w świetle NIS2. Dyrektywa wyraźnie przesuwa odpowiedzialność za cyberbezpieczeństwo na poziom organów zarządzających. Zgodnie z art. 20 dyrektywy państwa członkowskie mają zapewnić, aby organy zarządzające podmiotów kluczowych i ważnych zatwierdzały środki zarządzania ryzykiem w cyberbezpieczeństwie, nadzorowały ich wdrożenie oraz mogły być pociągane do odpowiedzialności za naruszenia obowiązków tych podmiotów.
To już nie jest model, w którym zarząd może traktować cyberbezpieczeństwo wyłącznie jako sprawę operacyjną. NIS2 wymaga, aby bezpieczeństwo było elementem zarządzania organizacją, a nie tylko obszarem technicznym. Właśnie dlatego rola rady nadzorczej staje się tak ważna. Może ona weryfikować, czy zarząd rzeczywiście wdrożył odpowiednie środki oraz czy ryzyko cybernetyczne jest monitorowane na poziomie adekwatnym do skali działalności.
Polska nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa z 23 stycznia 2026 r. wzmacnia ten kierunek. Ustawa przewiduje, że podmiot kluczowy lub ważny powinien wdrożyć system zarządzania bezpieczeństwem informacji obejmujący między innymi:
Nowe przepisy wskazują również, że kierownik podmiotu odpowiada za wykonywanie obowiązków w zakresie cyberbezpieczeństwa, podejmuje decyzje dotyczące systemu bezpieczeństwa, planuje środki finansowe, nadzoruje wykonanie zadań i ma obowiązek regularnego szkolenia. To wzmacnia zarządczy wymiar bezpieczeństwa i sprawia, że rada nadzorcza zyskuje jeszcze mocniejsze uzasadnienie do aktywnej kontroli tego obszaru.
W praktyce rada nadzorcza może dziś realnie wspierać cyberbezpieczeństwo spółki, zadając właściwe pytania i wymagając konkretnych odpowiedzi. Dotyczy to zwłaszcza takich zagadnień jak:
Rada może żądać informacji o najważniejszych zagrożeniach, podatnościach i scenariuszach wpływających na ciągłość działania spółki.
Warto sprawdzać, czy spółka ma procedury reagowania, plan odtworzenia po awarii i mechanizmy eskalacji incydentów.
NIS2 silnie akcentuje bezpieczeństwo łańcucha dostaw, dlatego rada powinna interesować się także poziomem zabezpieczeń partnerów i dostawców ICT.
Nadzór powinien obejmować także jakość raportowania. Zarząd powinien przekazywać informacje nie tylko o incydentach, ale również o poziomie gotowości organizacji i stanie realizacji działań naprawczych.
Powołanie doradcy rady nadzorczej może pomóc oddzielić stan faktyczny od deklaracji i lepiej ocenić poziom dojrzałości cyberbezpieczeństwa w spółce.
W 2026 roku dobre zarządzanie ryzykiem nie kończy się już na compliance i dokumentacji. Rosnące znaczenie NIS2, obowiązki wynikające z krajowych regulacji oraz coraz wyższe koszty incydentów sprawiają, że cyberbezpieczeństwo staje się jednym z kluczowych elementów ochrony wartości spółki. Dlatego rada nadzorcza nie powinna być biernym odbiorcą informacji. Powinna aktywnie korzystać z narzędzi, które już dziś daje jej KSH.
Rada nadzorcza może dziś realnie wspierać cyberbezpieczeństwo spółki, ale tylko wtedy, gdy korzysta z przysługujących jej uprawnień w sposób aktywny i świadomy. Zmiany obowiązujące od 13 października 2022 r. dały jej mocniejsze narzędzia dostępu do informacji i możliwość sięgania po niezależnych doradców. Z kolei NIS2 oraz polska nowelizacja KSC z 2026 r. wzmacniają odpowiedzialność zarządczą za bezpieczeństwo i zarządzanie ryzykiem. Razem tworzą podstawę, by cyberbezpieczeństwo traktować jako stały element nadzoru korporacyjnego, a nie wyłącznie temat techniczny.
