Błąd pracownika a wymogi NIS2

Po pełnym wdrożeniu dyrektywy NIS2 do polskiego porządku prawnego (poprzez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa), cyberbezpieczeństwo stało się jednym z filarów należytej staranności zarządu. Z prawnego punktu widzenia, kluczowym wyzwaniem nie tylko spisanie procedur z tych związanych, lecz także ich skuteczne i zgodne z prawem egzekwowanie od pracowników.

Zgodnie z aktualnym brzmieniem przepisów, podmioty kluczowe i ważne mają ustawowy obowiązek prowadzenia regularnych szkoleń dla pracowników. Z perspektywy prawa pracy, szkolenie z zakresu cyberbezpieczeństwa w 2026 roku może stać się tak samo istotne jak szkolenie BHP. Pracodawca oczywiście nie może wyciągać konsekwencji wobec pracownika, który naruszył procedurę IT, jeśli wcześniej nie został on z niej skutecznie przeszkolony. Dokumentacja szkoleniowa (potwierdzenia odbioru instrukcji, certyfikaty z testów wiedzy) stanowi kluczowy materiał dowodowy w ewentualnych sporach pracowniczych.

Aby procedury wynikające z NIS2 (np. polityka silnych haseł, zakaz używania prywatnych nośników USB, procedury zgłaszania incydentów) były wiążące, muszą zostać wpisane do Regulaminu Pracy lub stanowić część obwieszczenia.

W 2026 roku standardem jest traktowanie bezpiecznej obsługi systemów informatycznych jako jednego z podstawowych obowiązków pracowniczych dotyczących „przestrzegania ustalonego w zakładzie pracy porządku” (art. 100 § 2 pkt 2 KP) oraz „dbałości o dobro zakładu pracy i ochrony jego mienia” (art. 100 § 2 pkt 4 KP).

W przypadku naruszenia procedur cyberbezpieczeństwa, pracodawca dysponuje tradycyjnym katalogiem kar porządkowych (upomnienie, nagana, kara pieniężna). Co do surowszych sankcji tj. wypowiedzenie umowy –  może być ono uzasadnione przy powtarzających się naruszeniach (np. nagminne zostawianie niezablokowanego komputera mimo wcześniejszych upomnień) – a także dyscyplinarne zwolnienie, które jest dopuszczalne tylko w przypadku ciężkiego naruszenia podstawowych obowiązków. Orzecznictwo skłania się ku uznaniu, że świadome i celowe obejście zabezpieczeń (np. wyłączenie oprogramowania antywirusowego w celu zainstalowania nieautoryzowanego softu) może stanowić podstawę do rozwiązania umowy bez wypowiedzenia.

W związku z NIS2 konieczne jest precyzyjne włączenie obowiązków IT do zakresów czynności pracowników, aktualizacja Regulaminów Pracy o regulacje wynikające z analizy ryzyka cybernetycznego, systematyczne dokumentowanie szkoleń jako fundamentu pod ewentualną odpowiedzialność pracownika.