NIS2: kary za brak zgodności i jak ich uniknąć
Maksymalna kara administracyjna dla podmiotu kluczowego sięga 10 mln euro lub 2% całkowitego rocznego światowego obrotu — i obowiązuje w Polsce już od 3 kwietnia 2026 roku, kiedy weszła w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) wdrażająca dyrektywę NIS2. Po tej zmianie zakres regulacji rozszerzył się z kilkuset podmiotów do niemal 38 tysięcy polskich firm, a sankcje przestały być teoretyczne.
Artykuł Partnera
Ile dokładnie wynoszą kary finansowe
Polska ustawa przejęła pułapy kar wprost z dyrektywy unijnej, rozróżniając dwie kategorie podmiotów:
- Podmioty kluczowe (m.in. energetyka, bankowość, transport, infrastruktura cyfrowa, zdrowie) — kara do 10 mln euro lub 2% rocznego globalnego obrotu, w zależności od tego, która kwota jest wyższa.
- Podmioty ważne — kara do 7 mln euro lub 1,4% obrotu, również według wartości wyższej.
To nie jest pełna lista możliwych sankcji. Ustawa o KSC przewiduje dodatkowo nadzwyczajną karę pieniężną sięgającą 100 mln zł w przypadkach, gdy naruszenie spowodowało poważny incydent o szczególnie dotkliwych skutkach. Mechanizm „wyższa z dwóch wartości” ma znaczenie praktyczne: dla dużej grupy kapitałowej z obrotem liczonym w miliardach to nie sztywne 10 mln euro jest sufitem, lecz 2% obrotu — a ten próg potrafi być wielokrotnie wyższy.
Odpowiedzialność osobista kierownictwa
Najpoważniejszą zmianą wobec poprzedniego stanu prawnego jest przeniesienie odpowiedzialności na osoby fizyczne. Ustawa utożsamia „kierownika podmiotu” z członkami zarządu, wspólnikami prowadzącymi sprawy spółki lub komplementariuszami. To oni odpowiadają za wdrożenie i nadzór nad środkami zarządzania ryzykiem.
Za niewypełnienie obowiązków — rejestracyjnych, dokumentacyjnych oraz dotyczących zgłaszania incydentów — kierownik podmiotu prywatnego może zostać ukarany grzywną sięgającą 300% otrzymywanego wynagrodzenia (w podmiocie publicznym — do 100%), liczonego według zasad ustalania ekwiwalentu za urlop. Organ nadzoru może też wydać decyzję czasowo zakazującą pełnienia funkcji kierowniczych w podmiocie do czasu usunięcia naruszeń. Cyberbezpieczeństwo przestaje być sprawą wyłącznie działu IT — staje się ryzykiem osobistym i majątkowym zarządu.
Sankcje pozafinansowe
Kary pieniężne to tylko jeden instrument nadzoru. Organ może również:
- nakazać wdrożenie konkretnych środków zaradczych w wyznaczonym terminie,
- zlecić audyt bezpieczeństwa i poinformować opinię publiczną o stwierdzonym naruszeniu,
- żądać przeprowadzenia kontroli i przedstawienia dokumentacji systemu zarządzania ryzykiem.
Konsekwencje reputacyjne bywają dla firmy kosztowniejsze niż sama grzywna. Publiczna informacja, że podmiot zaniedbał obowiązki z zakresu cyberbezpieczeństwa, uderza w zaufanie klientów i partnerów — zwłaszcza w sektorach, gdzie ciągłość usług jest fundamentem relacji biznesowych.
Jak zbudować zgodność i obniżyć ryzyko
Ustawa o KSC rozkłada obowiązki w czasie i daje konkretne punkty kontrolne. Podmioty mają zostać wpisane do wykazu do 3 października 2026 roku, pełne wdrożenie środków zarządzania ryzykiem z rozdziału 3 ustawy musi nastąpić do 3 kwietnia 2027 roku, a pierwszy audyt — do 3 kwietnia 2028 roku. To wyznacza realny harmonogram, ale nie zwalnia z obowiązku zgłaszania incydentów, który działa od momentu wejścia ustawy w życie.
Reżim raportowania jest rygorystyczny: wczesne ostrzeżenie do CSIRT w ciągu 24 godzin, pełne zgłoszenie incydentu w ciągu 72 godzin oraz raport końcowy w ciągu miesiąca. Dotrzymanie tych terminów jest niemożliwe bez systemu, który wykrywa nieprawidłowości w czasie rzeczywistym, zamiast czekać, aż problem ujawni się sam.
Praktyczne minimum dla zgodności obejmuje:
- Zarządzanie ryzykiem — analiza zagrożeń, polityki bezpieczeństwa, plany ciągłości działania i procedury reagowania na incydenty.
- Wykrywanie i monitorowanie — bieżąca obserwacja ruchu sieciowego, która pozwala zauważyć anomalię, zanim przerodzi się w poważny incydent.
- Dokumentację — dowody wdrożenia środków, rejestry incydentów i ślad decyzji zarządu, bo to dokumentacja decyduje o ocenie organu podczas kontroli.
- Kontrolę nad danymi — przetwarzanie informacji w obrębie własnej infrastruktury i na terenie UE, co upraszcza spójność z RODO.
Najtrudniejszym do udokumentowania elementem jest wykrywanie zagrożeń, ponieważ wymaga ciągłego dowodu, że firma rzeczywiście widzi, co dzieje się w jej sieci. Realne bezpieczeństwo sieci i nieprzerwany monitoring ruchu wprost obniżają prawdopodobieństwo incydentu, a tym samym ryzyko kary i odpowiedzialności osobistej zarządu. Narzędzia klasy NDR analizujące przepływy NetFlow, sFlow i IPFIX wykrywają anomalie w czasie rzeczywistym i generują dane, które stają się dowodem zgodności podczas audytu. Wdrożenie on-premise dodatkowo utrzymuje dane w infrastrukturze firmy, co ma znaczenie tam, gdzie liczy się pełna kontrola nad informacją.
Co zrobić w pierwszej kolejności
Zacznij od ustalenia, czy firma jest podmiotem kluczowym, czy ważnym — od tego zależy zarówno wysokość kar, jak i zakres obowiązków. Następnie przypisz odpowiedzialność konkretnym członkom zarządu, uruchom monitoring ruchu sieciowego zdolny do zgłoszenia incydentu w ciągu 24 godzin i zbuduj dokumentację, która przetrwa kontrolę. Audyt w 2028 roku zweryfikuje nie deklaracje, lecz realnie działające mechanizmy — a te trzeba zacząć budować, zanim minie termin wpisu do wykazu w październiku 2026 roku.















Opublikuj komentarz