Przejdź do treści
dyrektywaNIS2

Sankcje

Art. 12a KSC i kary za NIS2

NIS2 jest pierwszą europejską regulacją cybernetyczną, w której kary są tej samej skali co RODO, a polski ustawodawca dołożył do tego instrument unikalny w skali UE: osobistą odpowiedzialność członków zarządu do 600% wynagrodzenia. Poniżej rozkładamy całą strukturę sankcji na czynniki pierwsze.

Aktualizacja: 8 min czytania

Autor:Dariusz ZającLead vCISO, Cyber Alterity

10 mln EUR

Max kara — Podmiot Kluczowy

lub 2 % obrotu globalnego (wyższa)

600 %

Regres z Art. 12a KSC

miesięcznego wynagrodzenia członka zarządu

0,3–0,8 %

Pierwsze decyzje w UE

obrotu — nie pełne 2 %

Ważne — kalendarz stosowania kar. Kary pieniężne z nowelizacji ustawy o KSC zaczynają być nakładane dopiero 2 lata po wejściu ustawy w życie, tj. od 3 kwietnia 2028 r. Wyjątkiem jest kara ekstraordynaryjna (do 100 mln zł), która stosuje się od pierwszego dnia obowiązywania ustawy. Czynności nadzorcze — kontrole, ostrzeżenia, nakazy bez kary pieniężnej — organ właściwy może wykonywać od 3 kwietnia 2026 r.

Źródło: Ministerstwo Cyfryzacji, „KSC — pytania i odpowiedzi", pkt 12.1.

Skala kar — szybkie zestawienie

KategoriaMaks. — kwotaMaks. — % obrotuMin.
Podmiot Kluczowydo 10 000 000 EURdo 2% obrotu globalnegonie mniej niż 20 000 zł
Podmiot Ważnydo 7 000 000 EURdo 1,4% obrotu globalnegonie mniej niż 15 000 zł

Stosuje się wartość wyższą. Próg % obrotu odnosi się do obrotu grupy kapitałowej, nie pojedynczej polskiej spółki córki. Dolne progi (20 000 / 15 000 zł) wynikają z ustawowych floors — żadna kara nie może być niższa. Min. Cyfr. „KSC pytania i odpowiedzi", pkt 12.4.

Co istotne — kary są progowe, nie skalkulowane na sztywno. Organ właściwy ma uprawnienie do uznaniowego wymiaru w granicach od kary symbolicznej do pełnego progu. W praktyce praktyka KE i precedensy RODO wskazują, że pierwsze decyzje sięgają zazwyczaj 0,3–0,8% obrotu; maksimum 2% jest zarezerwowane dla naruszeń kwalifikowanych — np. wcześniej wydanego nakazu, zlekceważonych zaleceń pokontrolnych albo świadomego ukrywania incydentu.

Trzy szczególne kategorie kar

Oprócz „zwykłej" kary administracyjnej z powyższej tabeli, ustawa o KSC wprowadza trzy odrębne mechanizmy karne, które należy znać oddzielnie. Mają one inne progi, inne przesłanki i — co istotne — inny kalendarz stosowania.

Kara dla kierownika podmiotu

Nakładana bezpośrednio na członka zarządu (a nie na spółkę). Limit zależy od formy organizacyjnej:

  • Podmiot prywatny: do 300% miesięcznego wynagrodzenia.
  • Podmiot publiczny: do 100% miesięcznego wynagrodzenia.

Min. Cyfr. „KSC pytania i odpowiedzi", pkt 12.4 (osobny mechanizm od Art. 12a omówiony niżej).

Kara okresowa

Środek przymuszający do wykonania nałożonych obowiązków. Nakładana za każdy dzień opóźnienia wykonania decyzji organu właściwego.

Wysokość: od 500 zł do 100 000 zł dziennie. Stosowana niezależnie od kary jednorazowej — może działać równolegle.

Min. Cyfr. „KSC pytania i odpowiedzi", pkt 12.5.

Kara ekstraordynaryjna

Najwyższy próg kar w polskim systemie KSC — do 100 milionów zł. Stosowana wyłącznie przy poważnych naruszeniach, których przesłankami są:

  • bezpośrednie i poważne cyberzagrożenie dla obronności, bezpieczeństwa państwa, porządku publicznego lub życia i zdrowia ludzi,
  • zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług.

Stosowana od dnia wejścia w życie ustawy (3 kwietnia 2026 r.) — bez moratorium 2-letniego. Min. Cyfr. „KSC pytania i odpowiedzi", pkt 12.6.

Ostrzeżenie poprzedza karę. W przypadku uzasadnionego podejrzenia naruszenia ustawy organ właściwy najpierw kieruje do podmiotu pismo elektroniczne z ostrzeżeniem oraz wskazaniem czynności, które należy podjąć w określonym terminie. Dopiero brak reakcji może uruchomić postępowanie w sprawie kary pieniężnej. Min. Cyfr. „KSC pytania i odpowiedzi", pkt 12.7.

Za co konkretnie kara — katalog naruszeń

Polski projekt nowelizacji ustawy o KSC nie wprowadza jednej „kary za niezgodność". Każde z osobnych naruszeń jest zagrożone odrębną karą administracyjną. Najważniejsze kategorie:

  1. Brak rejestracji w systemie S46. Jeśli firma spełnia kryteria Podmiotu Kluczowego lub Ważnego i nie zgłosiła się w terminie, naruszenie jest stwierdzane „z urzędu" przy okazji kontroli sektorowej.
  2. Niewdrożenie obowiązkowych środków bezpieczeństwa z Art. 21 NIS2 — m.in. polityki zarządzania ryzykiem, planów ciągłości działania, kryptografii, kontroli dostępu, raportowania podatności. Szczegóły omawiamy w pillarze Obowiązki techniczne NIS2.
  3. Brak raportowania incydentów w wymaganych terminach 24 h, 72 h i 1 miesiąca (Art. 23 NIS2). Szczegóły kaskady są w pillarze Raportowanie do CSIRT.
  4. Brak zarządzania ryzykiem w łańcuchu dostaw (Art. 21(2)(d) NIS2) — nieprzeprowadzenie ocen bezpieczeństwa kluczowych dostawców MSP, MSSP i chmurowych.
  5. Niewykonanie zaleceń pokontrolnych wydanych przez organ właściwy. To naruszenie zwykle eskaluje wymiar kary do górnej granicy.
  6. Utrudnianie kontroli — odmowa dostępu do logów, dokumentacji, systemów lub osób.

Art. 12a KSC — osobista odpowiedzialność członka zarządu

To odrębny mechanizm od kary administracyjnej na kierownika podmiotu omówionej powyżej (300% prywatnie / 100% publicznie). Art. 12a jest regresem cywilnoprawnym spółki wobec członka zarządu po zapłacie kary administracyjnej; kara na kierownika z poprzedniej sekcji jest nakładana bezpośrednio przez organ na członka zarządu. Mogą się stosować równolegle.

Najważniejsza i najczęściej dyskutowana zmiana w polskiej nowelizacji to projektowany Art. 12a ustawy o KSC. Wprowadza on mechanizm regresu cywilnoprawnego od członka zarządu wobec spółki — w sytuacji, gdy nałożona na spółkę kara administracyjna jest skutkiem niewdrożenia środków, za które konkretny członek zarządu odpowiadał z mocy wewnętrznego podziału kompetencji.

Limit regresu projekt zapisuje na poziomie 600% miesięcznego wynagrodzenia członka zarządu z miesiąca poprzedzającego stwierdzenie naruszenia. Przy wynagrodzeniu 40 000 zł brutto miesięcznie maksymalny regres wynosi więc 240 000 zł. To nie kara karna i nie kara administracyjna — to roszczenie spółki wobec członka zarządu, dochodzone w trybie cywilnoprawnym. Spółka, która płaci 5 mln EUR kary administracyjnej, może odzyskać od konkretnego członka zarządu 240 000 zł, jeżeli udowodni związek przyczynowy z jego zaniechaniem.

Dlaczego to jest groźniejsze niż wygląda

Regres z Art. 12a nie wyłącza odpowiedzialności z innych tytułów — w szczególności Art. 293 i 483 Kodeksu spółek handlowych, które przewidują pełną odpowiedzialność członka zarządu wobec spółki za szkodę wyrządzoną zawinionym działaniem lub zaniechaniem. W praktyce członek zarządu może odpowiadać z dwóch tytułów jednocześnie: Art. 12a (limit 600%) plus KSH (bez limitu) — jeśli kara administracyjna jest tylko jednym z elementów szkody.

Dodatkowe sankcje niefinansowe

NIS2 — tak jak RODO — wprowadza katalog sankcji, które dla niejednego zarządu są dotkliwsze od kary pieniężnej. Trzy z nich warto znać:

  • Czasowy zakaz pełnienia funkcji. Organ właściwy może na wniosek wydać decyzję o czasowym zakazie pełnienia funkcji kierowniczej w podmiocie kluczowym lub ważnym. Zakaz dotyczy konkretnej osoby i jest publikowany w rejestrze. W praktyce wykluczenie z rynku menedżerskiego na rok lub dwa lata.
  • Publikacja informacji o naruszeniu. Decyzje o nałożeniu kary administracyjnej są upubliczniane — z nazwą firmy i opisem naruszenia. Skutek reputacyjny dla spółek B2B i przetargowych bywa dotkliwszy niż sama kara.
  • Utrata zdolności kontraktowej w przetargach publicznych. W projektowanym modelu polski zamawiający publiczny będzie miał prawo (a w niektórych sektorach — obowiązek) wykluczyć z postępowania firmę, wobec której wydano decyzję o naruszeniu KSC w okresie poprzedzających 3 lat.

Co decyduje o wymiarze kary

Polska ustawa o KSC w obecnym brzmieniu — i projekt nowelizacji — przyjmują katalog kryteriów wymiaru kary zbliżony do RODO. Organ właściwy bierze pod uwagę m.in.:

  • Stopień szkody i liczbę dotkniętych osób. Incydent, który zatrzymał produkcję w fabryce na 4 godziny, jest oceniany inaczej niż wyciek danych medycznych 200 tys. pacjentów.
  • Czas trwania naruszenia. Brak rejestracji w S46 przez 2 miesiące to coś innego niż brak rejestracji przez 18 miesięcy.
  • Umyślność lub niedbalstwo. Świadome ukrywanie incydentu prowadzi do wymiaru kary w górnej granicy. Wystąpienie incydentu mimo wdrożonych proporcjonalnych środków — w dolnej.
  • Wcześniejsze naruszenia. Recydywa w okresie 3 lat skutkuje istotną eskalacją wymiaru.
  • Współpraca z organem właściwym. Spółki, które same zgłaszają incydent, prowadzą rzetelną dokumentację i wykonują zalecenia pokontrolne, otrzymują kary o 30–60% niższe — to obserwacja z praktyki RODO i pierwszych decyzji KSC.

Pierwsze decyzje w UE — z czego można się uczyć

Choć NIS2 w wielu państwach członkowskich dopiero zaczyna być stosowana, pierwsze decyzje są już publiczne. Z dostępnych źródeł: irlandzki organ właściwy nałożył w 2024 r. karę na operatora chmury za niezaraportowanie incydentu w terminie 24 h; niemiecki BSI prowadzi co najmniej kilkanaście postępowań wobec podmiotów z sektora produkcji i transportu. Wnioski są spójne z RODO:

  1. Pierwszą decyzję dostaje zazwyczaj firma, która nie raportowała incydentu — naruszenie obowiązków sprawozdawczych jest łatwo udowodnione i szybko karane.
  2. Wymiar pierwszych kar to 0,3–0,8% obrotu, nie 2%. Górne progi są zarezerwowane na naruszenia kwalifikowane.
  3. Spółki, które dobrze dokumentują własną analizę ryzyka i decyzje o niewdrażaniu konkretnych środków — z uzasadnieniem proporcjonalności — zwykle unikają kary nawet po incydencie.

Jak się ubezpieczyć przed regresem osobistym

Trzy działania ograniczają ryzyko regresu z Art. 12a w sposób, który praktycznie zawsze przekłada się na decyzję organu właściwego:

  • Formalny podział kompetencji w zarządzie. Uchwała zarządu wskazująca, kto odpowiada za bezpieczeństwo informacji (zazwyczaj CIO albo dyrektor finansowy w mniejszych firmach), redukuje ryzyko regresu wobec pozostałych członków zarządu.
  • Ubezpieczenie D&O z klauzulą cybernetyczną. Polskie polisy D&O zaczynają obejmować ryzyko z Art. 12a, ale warunki różnią się istotnie — kluczowa jest klauzula obejmująca kary administracyjne i regres cywilnoprawny w obrębie tej samej polisy.
  • Outsourcing roli CISO do podmiotu zewnętrznego (vCISO). Z perspektywy odpowiedzialności zarządu vCISO bierze na siebie odpowiedzialność zawodową za nadzór nad wdrożeniem środków. To dla zarządu transfer części ryzyka prawnego — szczegóły modelu omawia Cyber Alterity w ramach swojej usługi NIS2 as a Service.

Co dalej

Jeżeli Państwa firma jest Podmiotem Kluczowym lub Ważnym, a regres osobisty z Art. 12a brzmi realnie — kolejny krok to zweryfikowanie, jakie konkretnie środki muszą Państwo wdrożyć. Pełna lista znajduje się w pillarze Obowiązki techniczne NIS2, a praktyczny plan na pierwszy miesiąc w artykule NIS2 w praktyce — pierwsze 30 dni.

Art. 12a jest specyfiką polskiej transpozycji — ISO 27001 (kontrola A.5.4) ustanawia odpowiedzialność kierownictwa za SZBI, ale nie zna mechanizmu regresu finansowego.

Umów konsultację