Przejdź do treści
dyrektywanis2.com

Sankcje

Art. 12a KSC i kary za NIS2

NIS2 jest pierwszą europejską regulacją cybernetyczną, w której kary są tej samej skali co RODO, a polski ustawodawca dołożył do tego instrument unikalny w skali UE: osobistą odpowiedzialność członków zarządu do 600% wynagrodzenia. Poniżej rozkładamy całą strukturę sankcji na czynniki pierwsze.

Skala kar — szybkie zestawienie

KategoriaMaksymalna kara — kwotaMaksymalna kara — % obrotu
Podmiot Kluczowydo 10 000 000 EURdo 2% rocznego obrotu globalnego
Podmiot Ważnydo 7 000 000 EURdo 1,4% rocznego obrotu globalnego

Stosuje się wartość wyższą. Próg odnosi się do obrotu grupy kapitałowej, nie pojedynczej polskiej spółki córki.

Co istotne — kary są progowe, nie skalkulowane na sztywno. Organ właściwy ma uprawnienie do uznaniowego wymiaru w granicach od kary symbolicznej do pełnego progu. W praktyce praktyka KE i precedensy RODO wskazują, że pierwsze decyzje sięgają zazwyczaj 0,3–0,8% obrotu; maksimum 2% jest zarezerwowane dla naruszeń kwalifikowanych — np. wcześniej wydanego nakazu, zlekceważonych zaleceń pokontrolnych albo świadomego ukrywania incydentu.

Za co konkretnie kara — katalog naruszeń

Polski projekt nowelizacji ustawy o KSC nie wprowadza jednej „kary za niezgodność". Każde z osobnych naruszeń jest zagrożone odrębną karą administracyjną. Najważniejsze kategorie:

  1. Brak rejestracji w systemie S46. Jeśli firma spełnia kryteria Podmiotu Kluczowego lub Ważnego i nie zgłosiła się w terminie, naruszenie jest stwierdzane „z urzędu" przy okazji kontroli sektorowej.
  2. Niewdrożenie obowiązkowych środków bezpieczeństwa z Art. 21 NIS2 — m.in. polityki zarządzania ryzykiem, planów ciągłości działania, kryptografii, kontroli dostępu, raportowania podatności. Szczegóły omawiamy w pillarze Obowiązki techniczne NIS2.
  3. Brak raportowania incydentów w wymaganych terminach 24 h, 72 h i 1 miesiąca (Art. 23 NIS2). Szczegóły kaskady są w pillarze Raportowanie do CSIRT.
  4. Brak zarządzania ryzykiem w łańcuchu dostaw (Art. 21(2)(d) NIS2) — nieprzeprowadzenie ocen bezpieczeństwa kluczowych dostawców MSP, MSSP i chmurowych.
  5. Niewykonanie zaleceń pokontrolnych wydanych przez organ właściwy. To naruszenie zwykle eskaluje wymiar kary do górnej granicy.
  6. Utrudnianie kontroli — odmowa dostępu do logów, dokumentacji, systemów lub osób.

Art. 12a KSC — osobista odpowiedzialność członka zarządu

Najważniejsza i najczęściej dyskutowana zmiana w polskiej nowelizacji to projektowany Art. 12a ustawy o KSC. Wprowadza on mechanizm regresu cywilnoprawnego od członka zarządu wobec spółki — w sytuacji, gdy nałożona na spółkę kara administracyjna jest skutkiem niewdrożenia środków, za które konkretny członek zarządu odpowiadał z mocy wewnętrznego podziału kompetencji.

Limit regresu projekt zapisuje na poziomie 600% miesięcznego wynagrodzenia członka zarządu z miesiąca poprzedzającego stwierdzenie naruszenia. Przy wynagrodzeniu 40 000 zł brutto miesięcznie maksymalny regres wynosi więc 240 000 zł. To nie kara karna i nie kara administracyjna — to roszczenie spółki wobec członka zarządu, dochodzone w trybie cywilnoprawnym. Spółka, która płaci 5 mln EUR kary administracyjnej, może odzyskać od konkretnego członka zarządu 240 000 zł, jeżeli udowodni związek przyczynowy z jego zaniechaniem.

Dlaczego to jest groźniejsze niż wygląda

Regres z Art. 12a nie wyłącza odpowiedzialności z innych tytułów — w szczególności Art. 293 i 483 Kodeksu spółek handlowych, które przewidują pełną odpowiedzialność członka zarządu wobec spółki za szkodę wyrządzoną zawinionym działaniem lub zaniechaniem. W praktyce członek zarządu może odpowiadać z dwóch tytułów jednocześnie: Art. 12a (limit 600%) plus KSH (bez limitu) — jeśli kara administracyjna jest tylko jednym z elementów szkody.

Dodatkowe sankcje niefinansowe

NIS2 — tak jak RODO — wprowadza katalog sankcji, które dla niejednego zarządu są dotkliwsze od kary pieniężnej. Trzy z nich warto znać:

  • Czasowy zakaz pełnienia funkcji. Organ właściwy może na wniosek wydać decyzję o czasowym zakazie pełnienia funkcji kierowniczej w podmiocie kluczowym lub ważnym. Zakaz dotyczy konkretnej osoby i jest publikowany w rejestrze. W praktyce wykluczenie z rynku menedżerskiego na rok lub dwa lata.
  • Publikacja informacji o naruszeniu. Decyzje o nałożeniu kary administracyjnej są upubliczniane — z nazwą firmy i opisem naruszenia. Skutek reputacyjny dla spółek B2B i przetargowych bywa dotkliwszy niż sama kara.
  • Utrata zdolności kontraktowej w przetargach publicznych. W projektowanym modelu polski zamawiający publiczny będzie miał prawo (a w niektórych sektorach — obowiązek) wykluczyć z postępowania firmę, wobec której wydano decyzję o naruszeniu KSC w okresie poprzedzających 3 lat.

Co decyduje o wymiarze kary

Polska ustawa o KSC w obecnym brzmieniu — i projekt nowelizacji — przyjmują katalog kryteriów wymiaru kary zbliżony do RODO. Organ właściwy bierze pod uwagę m.in.:

  • Stopień szkody i liczbę dotkniętych osób. Incydent, który zatrzymał produkcję w fabryce na 4 godziny, jest oceniany inaczej niż wyciek danych medycznych 200 tys. pacjentów.
  • Czas trwania naruszenia. Brak rejestracji w S46 przez 2 miesiące to coś innego niż brak rejestracji przez 18 miesięcy.
  • Umyślność lub niedbalstwo. Świadome ukrywanie incydentu prowadzi do wymiaru kary w górnej granicy. Wystąpienie incydentu mimo wdrożonych proporcjonalnych środków — w dolnej.
  • Wcześniejsze naruszenia. Recydywa w okresie 3 lat skutkuje istotną eskalacją wymiaru.
  • Współpraca z organem właściwym. Spółki, które same zgłaszają incydent, prowadzą rzetelną dokumentację i wykonują zalecenia pokontrolne, otrzymują kary o 30–60% niższe — to obserwacja z praktyki RODO i pierwszych decyzji KSC.

Pierwsze decyzje w UE — z czego można się uczyć

Choć NIS2 w wielu państwach członkowskich dopiero zaczyna być stosowana, pierwsze decyzje są już publiczne. Z dostępnych źródeł: irlandzki organ właściwy nałożył w 2024 r. karę na operatora chmury za niezaraportowanie incydentu w terminie 24 h; niemiecki BSI prowadzi co najmniej kilkanaście postępowań wobec podmiotów z sektora produkcji i transportu. Wnioski są spójne z RODO:

  1. Pierwszą decyzję dostaje zazwyczaj firma, która nie raportowała incydentu — naruszenie obowiązków sprawozdawczych jest łatwo udowodnione i szybko karane.
  2. Wymiar pierwszych kar to 0,3–0,8% obrotu, nie 2%. Górne progi są zarezerwowane na naruszenia kwalifikowane.
  3. Spółki, które dobrze dokumentują własną analizę ryzyka i decyzje o niewdrażaniu konkretnych środków — z uzasadnieniem proporcjonalności — zwykle unikają kary nawet po incydencie.

Jak się ubezpieczyć przed regresem osobistym

Trzy działania ograniczają ryzyko regresu z Art. 12a w sposób, który praktycznie zawsze przekłada się na decyzję organu właściwego:

  • Formalny podział kompetencji w zarządzie. Uchwała zarządu wskazująca, kto odpowiada za bezpieczeństwo informacji (zazwyczaj CIO albo dyrektor finansowy w mniejszych firmach), redukuje ryzyko regresu wobec pozostałych członków zarządu.
  • Ubezpieczenie D&O z klauzulą cybernetyczną. Polskie polisy D&O zaczynają obejmować ryzyko z Art. 12a, ale warunki różnią się istotnie — kluczowa jest klauzula obejmująca kary administracyjne i regres cywilnoprawny w obrębie tej samej polisy.
  • Outsourcing roli CISO do podmiotu zewnętrznego (vCISO). Z perspektywy odpowiedzialności zarządu vCISO bierze na siebie odpowiedzialność zawodową za nadzór nad wdrożeniem środków. To dla zarządu transfer części ryzyka prawnego — szczegóły modelu omawia Alterity Solutions w ramach swojej usługi NIS2 as a Service.

Co dalej

Jeżeli Państwa firma jest Podmiotem Kluczowym lub Ważnym, a regres osobisty z Art. 12a brzmi realnie — kolejny krok to zweryfikowanie, jakie konkretnie środki muszą Państwo wdrożyć. Pełna lista znajduje się w pillarze Obowiązki techniczne NIS2, a praktyczny plan na pierwszy miesiąc w artykule NIS2 w praktyce — pierwsze 30 dni.

Umów konsultację