Prowadzę firmy od ponad dwudziestu lat i znam zdanie, którym prezes uspokaja sam siebie: „Od AI mam ludzi w IT”. Otóż nie. Możesz oddać wykonanie. Odpowiedzialności nie oddasz nikomu. Tę różnicę większość zarządów odkrywa za późno — przy kontroli.
Usiądźmy więc na chłodno i prześledźmy, kto naprawdę płaci, gdy na polu minowym dochodzi do wybuchu.
Firma płaci karę. Ty płacisz resztę.
Zacznijmy od AI Act. Unijne rozporządzenie przewiduje kary na firmę: do 35 mln euro lub 7% światowego obrotu za praktyki zakazane, do 15 mln euro lub 3% za złamanie obowiązków dotyczących systemów wysokiego ryzyka — w tym brak nadzoru człowieka, brak dokumentacji, brak rejestru zdarzeń. Od 2 sierpnia 2026 organy nadzoru dostają pełne narzędzia: mogą zażądać dostępu do systemu, nakazać poprawki, a w skrajnym przypadku kazać wycofać system z rynku. To uderza w firmę.
I tu zaczyna się Twoja część. Od kwietnia 2026 obowiązuje znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa (KSC 2.0, wdrażająca NIS2). Mówi rzecz, której większość prezesów nie zna: odpowiedzialność kierownictwa jest osobista. Nie spółki — Twoja. Kara może sięgnąć kilkuset procent Twojego miesięcznego wynagrodzenia, niezależnie od kary na firmę. A organ nadzoru może zakazać Ci pełnienia funkcji zarządczych do czasu usunięcia uchybień.
A teraz zdanie, które wywraca „mam ludzi w IT”: powierzenie obowiązków z zakresu cyberbezpieczeństwa innej osobie nie zwalnia kierownika z jego własnej odpowiedzialności. Czarno na białym, w ustawie. Możesz mieć najlepszego dyrektora IT — i tak odpowiadasz Ty.
Do tego prawo spółek: członek zarządu odpowiada wobec spółki za szkodę z działania lub zaniechania sprzecznego z prawem, jeśli nie dochował należytej staranności. Świadome zignorowanie znanego ryzyka to podręcznikowy brak staranności. W finansach DORA mówi to wprost: ostateczną odpowiedzialność ponosi organ zarządzający.
Cztery miejsca w prawie, jeden wniosek: za bałagan w AI firma dostanie po kieszeni, a Ty — po nazwisku.
Najgorsze: te przepisy mogą zostać użyte PRZECIWKO Tobie
Większość ludzi myśli o tych regulacjach jak o ryzyku „wypadku”. A teraz pomyśl jak o broni. Wyobraź sobie, że zwolniony albo nielojalny pracownik wie o Twojej osobistej odpowiedzialności z KSC 2.0. Celowo konfiguruje publiczne AI tak, by złamać AI Act — i anonimowo zgłasza to do urzędu. Kto traci fotel i płaci karę z własnej pensji? Ty.
Jeden pracownik może dziś wywołać wielomilionową karę dla firmy — choćby po to, by obniżyć jej wycenę tuż przed wrogim przejęciem. To nie jest political fiction. To jest najtańszy dziś sposób, żeby pogrążyć zarząd, nie wynosząc ani jednej teczki z biura.
„To jak mam udowodnić należytą staranność, skoro nie znam się na IT?”
To pierwsze pytanie, jakie zadaje każdy rozsądny prezes. I tu jest darmowa tarcza, zanim ktokolwiek sprzeda Ci jakiekolwiek narzędzie: niezmienny rejestr zdarzeń (Immutable Audit Trail).
Jedyną twardą obroną przed zarzutem braku nadzoru nie są Twoje dobre intencje. Jest log systemowy, który zapisuje zapytania pracowników do AI w sposób, którego nie skasuje nawet administrator. Tylko taki wyciąg — pokazany audytorowi czy prokuratorowi — udowadnia, że panowałeś nad procesem. Bez niego masz słowo przeciwko słowu, a przegrasz, bo to Ty odpowiadasz.
Pytanie, które każdy prezes powinien sobie zadać
Nie chcę Cię straszyć. Chcę, żebyś policzył to jak przedsiębiorca. Masz dwie drogi.
Droga pierwsza — robisz to teraz. Inwestujesz w bezpieczne wdrożenie AI. Ten koszt ponosi firma — to wydatek inwestycyjny, nie Twoja prywatna kieszeń. Pole jest rozminowane, masz log na obronę, śpisz spokojnie.
Droga druga — odkładasz. „Jakoś to będzie”. Aż przychodzi kontrola albo incydent. Firma dostaje karę, Ty dostajesz karę osobistą, tracisz wiarygodność, a może i fotel, firma w skrajnym przypadku staje na tygodnie. I na koniec i tak musisz wdrożyć to, czego nie chciałeś wdrożyć na początku — tyle że pod ścianą, drożej i w panice.
Pytanie nie brzmi „czy wydać te pieniądze”. Brzmi: wolisz wydać je teraz, z kasy firmy, na spokojnie — czy później, po części z własnej kieszeni, pod ścianą i z karą w tle? Wydasz tak czy inaczej. Różnica jest w cenie i w tym, czyją skórą zapłacisz.
Nie zaczynaj od zakupu. Zacznij od kontroli.
I rzecz najważniejsza, wbrew temu, czego się po mnie spodziewasz. Nie kupuj kolejnego narzędzia AI od swojego dyrektora IT, dopóki nie udowodni Ci, że masz nad nim kontrolę z poziomu zarządu. Najpierw wymagaj architektury Zero Trust — żeby nawet admin nie omijał filtra. Żądaj niezależnych kluczy do logów — żeby historii nie mógł zatrzeć ten, kto miałby najwięcej powodów, by ją zatrzeć. Wprowadź rozdzielenie ról i zewnętrzny audyt raportujący wprost do zarządu, z pominięciem wewnętrznych struktur.
Narzędzie jest wtórne. Liczy się, czy klucze trzymasz Ty, czy Twój administrator. AiTrust zbudowaliśmy właśnie po to, żeby trzymał je zarząd — ale zacznij od pytania o kontrolę, nie od faktury.
Sedno
Bezpieczeństwo AI to dziś nie pozycja w budżecie IT. To polisa na Twój fotel i Twój majątek. A polisę wykupuje się przed pożarem, nie po. I wykupuje ją osobiście prezes — bo to on, a nie dział IT, stanie przed audytorem.
Marcin Zając
Polski Instytut Ai Sp. z o.o.
—————————————————————————————————————————————————————————-
Autor prowadzi firmy od ponad 20 lat i współtworzy Polski Instytut AI — zespół, który najpierw oddaje zarządowi kontrolę nad AI (Zero Trust, niezmienne logi, niezależny audyt), a dopiero potem sięga po narzędzia.
Źródła do weryfikacji: AI Act (rozporządzenie UE 2024/1689), art. 99 — kary administracyjne; pełne uprawnienia nadzoru od 2.08.2026. Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa wdrażająca NIS2 (Dz.U. 2.03.2026, obowiązuje od kwietnia 2026) — osobista odpowiedzialność kierownika podmiotu, kara do kilkuset procent miesięcznego wynagrodzenia, zakaz pełnienia funkcji zarządczych, zasada że powierzenie obowiązków innej osobie nie zwalnia kierownika z odpowiedzialności (art. 8c ust. 2 uksc). Kodeks spółek handlowych, art. 293/483. Rozporządzenie DORA (UE 2022/2554) — odpowiedzialność organu zarządzającego.
