Ważne — kalendarz stosowania kar. Kary pieniężne z nowelizacji ustawy o KSC zaczynają być nakładane dopiero 2 lata po wejściu ustawy w życie, tj. od 3 kwietnia 2028 r. Wyjątkiem jest kara ekstraordynaryjna (do 100 mln zł), która stosuje się od pierwszego dnia obowiązywania ustawy. Czynności nadzorcze — kontrole, ostrzeżenia, nakazy bez kary pieniężnej — organ właściwy może wykonywać od 3 kwietnia 2026 r.
Źródło: Ministerstwo Cyfryzacji, „KSC — pytania i odpowiedzi", pkt 12.1.
Skala kar — szybkie zestawienie
| Kategoria | Maks. — kwota | Maks. — % obrotu | Min. |
|---|---|---|---|
| Podmiot Kluczowy | do 10 000 000 EUR | do 2% obrotu globalnego | nie mniej niż 20 000 zł |
| Podmiot Ważny | do 7 000 000 EUR | do 1,4% obrotu globalnego | nie mniej niż 15 000 zł |
Stosuje się wartość wyższą. Próg % obrotu odnosi się do obrotu grupy kapitałowej, nie pojedynczej polskiej spółki córki. Dolne progi (20 000 / 15 000 zł) wynikają z ustawowych floors — żadna kara nie może być niższa. Min. Cyfr. „KSC pytania i odpowiedzi", pkt 12.4.
Co istotne — kary są progowe, nie skalkulowane na sztywno. Organ właściwy ma uprawnienie do uznaniowego wymiaru w granicach od kary symbolicznej do pełnego progu. W praktyce praktyka KE i precedensy RODO wskazują, że pierwsze decyzje sięgają zazwyczaj 0,3–0,8% obrotu; maksimum 2% jest zarezerwowane dla naruszeń kwalifikowanych — np. wcześniej wydanego nakazu, zlekceważonych zaleceń pokontrolnych albo świadomego ukrywania incydentu.
Trzy szczególne kategorie kar
Oprócz „zwykłej" kary administracyjnej z powyższej tabeli, ustawa o KSC wprowadza trzy odrębne mechanizmy karne, które należy znać oddzielnie. Mają one inne progi, inne przesłanki i — co istotne — inny kalendarz stosowania.
Kara dla kierownika podmiotu
Nakładana bezpośrednio na członka zarządu (a nie na spółkę). Limit zależy od formy organizacyjnej:
- Podmiot prywatny: do 300% miesięcznego wynagrodzenia.
- Podmiot publiczny: do 100% miesięcznego wynagrodzenia.
Min. Cyfr. „KSC pytania i odpowiedzi", pkt 12.4 (osobny mechanizm od Art. 12a omówiony niżej).
Kara okresowa
Środek przymuszający do wykonania nałożonych obowiązków. Nakładana za każdy dzień opóźnienia wykonania decyzji organu właściwego.
Wysokość: od 500 zł do 100 000 zł dziennie. Stosowana niezależnie od kary jednorazowej — może działać równolegle.
Min. Cyfr. „KSC pytania i odpowiedzi", pkt 12.5.
Kara ekstraordynaryjna
Najwyższy próg kar w polskim systemie KSC — do 100 milionów zł. Stosowana wyłącznie przy poważnych naruszeniach, których przesłankami są:
- bezpośrednie i poważne cyberzagrożenie dla obronności, bezpieczeństwa państwa, porządku publicznego lub życia i zdrowia ludzi,
- zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług.
Stosowana od dnia wejścia w życie ustawy (3 kwietnia 2026 r.) — bez moratorium 2-letniego. Min. Cyfr. „KSC pytania i odpowiedzi", pkt 12.6.
Ostrzeżenie poprzedza karę. W przypadku uzasadnionego podejrzenia naruszenia ustawy organ właściwy najpierw kieruje do podmiotu pismo elektroniczne z ostrzeżeniem oraz wskazaniem czynności, które należy podjąć w określonym terminie. Dopiero brak reakcji może uruchomić postępowanie w sprawie kary pieniężnej. Min. Cyfr. „KSC pytania i odpowiedzi", pkt 12.7.
Za co konkretnie kara — katalog naruszeń
Polski projekt nowelizacji ustawy o KSC nie wprowadza jednej „kary za niezgodność". Każde z osobnych naruszeń jest zagrożone odrębną karą administracyjną. Najważniejsze kategorie:
- Brak rejestracji w systemie S46. Jeśli firma spełnia kryteria Podmiotu Kluczowego lub Ważnego i nie zgłosiła się w terminie, naruszenie jest stwierdzane „z urzędu" przy okazji kontroli sektorowej.
- Niewdrożenie obowiązkowych środków bezpieczeństwa z Art. 21 NIS2 — m.in. polityki zarządzania ryzykiem, planów ciągłości działania, kryptografii, kontroli dostępu, raportowania podatności. Szczegóły omawiamy w pillarze Obowiązki techniczne NIS2.
- Brak raportowania incydentów w wymaganych terminach 24 h, 72 h i 1 miesiąca (Art. 23 NIS2). Szczegóły kaskady są w pillarze Raportowanie do CSIRT.
- Brak zarządzania ryzykiem w łańcuchu dostaw (Art. 21(2)(d) NIS2) — nieprzeprowadzenie ocen bezpieczeństwa kluczowych dostawców MSP, MSSP i chmurowych.
- Niewykonanie zaleceń pokontrolnych wydanych przez organ właściwy. To naruszenie zwykle eskaluje wymiar kary do górnej granicy.
- Utrudnianie kontroli — odmowa dostępu do logów, dokumentacji, systemów lub osób.
Art. 12a KSC — osobista odpowiedzialność członka zarządu
To odrębny mechanizm od kary administracyjnej na kierownika podmiotu omówionej powyżej (300% prywatnie / 100% publicznie). Art. 12a jest regresem cywilnoprawnym spółki wobec członka zarządu po zapłacie kary administracyjnej; kara na kierownika z poprzedniej sekcji jest nakładana bezpośrednio przez organ na członka zarządu. Mogą się stosować równolegle.
Najważniejsza i najczęściej dyskutowana zmiana w polskiej nowelizacji to projektowany Art. 12a ustawy o KSC. Wprowadza on mechanizm regresu cywilnoprawnego od członka zarządu wobec spółki — w sytuacji, gdy nałożona na spółkę kara administracyjna jest skutkiem niewdrożenia środków, za które konkretny członek zarządu odpowiadał z mocy wewnętrznego podziału kompetencji.
Limit regresu projekt zapisuje na poziomie 600% miesięcznego wynagrodzenia członka zarządu z miesiąca poprzedzającego stwierdzenie naruszenia. Przy wynagrodzeniu 40 000 zł brutto miesięcznie maksymalny regres wynosi więc 240 000 zł. To nie kara karna i nie kara administracyjna — to roszczenie spółki wobec członka zarządu, dochodzone w trybie cywilnoprawnym. Spółka, która płaci 5 mln EUR kary administracyjnej, może odzyskać od konkretnego członka zarządu 240 000 zł, jeżeli udowodni związek przyczynowy z jego zaniechaniem.
Dlaczego to jest groźniejsze niż wygląda
Regres z Art. 12a nie wyłącza odpowiedzialności z innych tytułów — w szczególności Art. 293 i 483 Kodeksu spółek handlowych, które przewidują pełną odpowiedzialność członka zarządu wobec spółki za szkodę wyrządzoną zawinionym działaniem lub zaniechaniem. W praktyce członek zarządu może odpowiadać z dwóch tytułów jednocześnie: Art. 12a (limit 600%) plus KSH (bez limitu) — jeśli kara administracyjna jest tylko jednym z elementów szkody.
Dodatkowe sankcje niefinansowe
NIS2 — tak jak RODO — wprowadza katalog sankcji, które dla niejednego zarządu są dotkliwsze od kary pieniężnej. Trzy z nich warto znać:
- Czasowy zakaz pełnienia funkcji. Organ właściwy może na wniosek wydać decyzję o czasowym zakazie pełnienia funkcji kierowniczej w podmiocie kluczowym lub ważnym. Zakaz dotyczy konkretnej osoby i jest publikowany w rejestrze. W praktyce wykluczenie z rynku menedżerskiego na rok lub dwa lata.
- Publikacja informacji o naruszeniu. Decyzje o nałożeniu kary administracyjnej są upubliczniane — z nazwą firmy i opisem naruszenia. Skutek reputacyjny dla spółek B2B i przetargowych bywa dotkliwszy niż sama kara.
- Utrata zdolności kontraktowej w przetargach publicznych. W projektowanym modelu polski zamawiający publiczny będzie miał prawo (a w niektórych sektorach — obowiązek) wykluczyć z postępowania firmę, wobec której wydano decyzję o naruszeniu KSC w okresie poprzedzających 3 lat.
Co decyduje o wymiarze kary
Polska ustawa o KSC w obecnym brzmieniu — i projekt nowelizacji — przyjmują katalog kryteriów wymiaru kary zbliżony do RODO. Organ właściwy bierze pod uwagę m.in.:
- Stopień szkody i liczbę dotkniętych osób. Incydent, który zatrzymał produkcję w fabryce na 4 godziny, jest oceniany inaczej niż wyciek danych medycznych 200 tys. pacjentów.
- Czas trwania naruszenia. Brak rejestracji w S46 przez 2 miesiące to coś innego niż brak rejestracji przez 18 miesięcy.
- Umyślność lub niedbalstwo. Świadome ukrywanie incydentu prowadzi do wymiaru kary w górnej granicy. Wystąpienie incydentu mimo wdrożonych proporcjonalnych środków — w dolnej.
- Wcześniejsze naruszenia. Recydywa w okresie 3 lat skutkuje istotną eskalacją wymiaru.
- Współpraca z organem właściwym. Spółki, które same zgłaszają incydent, prowadzą rzetelną dokumentację i wykonują zalecenia pokontrolne, otrzymują kary o 30–60% niższe — to obserwacja z praktyki RODO i pierwszych decyzji KSC.
Pierwsze decyzje w UE — z czego można się uczyć
Choć NIS2 w wielu państwach członkowskich dopiero zaczyna być stosowana, pierwsze decyzje są już publiczne. Z dostępnych źródeł: irlandzki organ właściwy nałożył w 2024 r. karę na operatora chmury za niezaraportowanie incydentu w terminie 24 h; niemiecki BSI prowadzi co najmniej kilkanaście postępowań wobec podmiotów z sektora produkcji i transportu. Wnioski są spójne z RODO:
- Pierwszą decyzję dostaje zazwyczaj firma, która nie raportowała incydentu — naruszenie obowiązków sprawozdawczych jest łatwo udowodnione i szybko karane.
- Wymiar pierwszych kar to 0,3–0,8% obrotu, nie 2%. Górne progi są zarezerwowane na naruszenia kwalifikowane.
- Spółki, które dobrze dokumentują własną analizę ryzyka i decyzje o niewdrażaniu konkretnych środków — z uzasadnieniem proporcjonalności — zwykle unikają kary nawet po incydencie.
Jak się ubezpieczyć przed regresem osobistym
Trzy działania ograniczają ryzyko regresu z Art. 12a w sposób, który praktycznie zawsze przekłada się na decyzję organu właściwego:
- Formalny podział kompetencji w zarządzie. Uchwała zarządu wskazująca, kto odpowiada za bezpieczeństwo informacji (zazwyczaj CIO albo dyrektor finansowy w mniejszych firmach), redukuje ryzyko regresu wobec pozostałych członków zarządu.
- Ubezpieczenie D&O z klauzulą cybernetyczną. Polskie polisy D&O zaczynają obejmować ryzyko z Art. 12a, ale warunki różnią się istotnie — kluczowa jest klauzula obejmująca kary administracyjne i regres cywilnoprawny w obrębie tej samej polisy.
- Outsourcing roli CISO do podmiotu zewnętrznego (vCISO). Z perspektywy odpowiedzialności zarządu vCISO bierze na siebie odpowiedzialność zawodową za nadzór nad wdrożeniem środków. To dla zarządu transfer części ryzyka prawnego — szczegóły modelu omawia Cyber Alterity w ramach swojej usługi NIS2 as a Service.
Co dalej
Jeżeli Państwa firma jest Podmiotem Kluczowym lub Ważnym, a regres osobisty z Art. 12a brzmi realnie — kolejny krok to zweryfikowanie, jakie konkretnie środki muszą Państwo wdrożyć. Pełna lista znajduje się w pillarze Obowiązki techniczne NIS2, a praktyczny plan na pierwszy miesiąc w artykule NIS2 w praktyce — pierwsze 30 dni.
Art. 12a jest specyfiką polskiej transpozycji — ISO 27001 (kontrola A.5.4) ustanawia odpowiedzialność kierownictwa za SZBI, ale nie zna mechanizmu regresu finansowego.