Kary7 min czytaniaOpublikowano: 15 marca 2026Zaktualizowano NaN miesiące temu

Kary finansowe w ustawie o KSC i NIS 2 — ile wynoszą?

Q: Ile wynosi maksymalna kara za naruszenie KSC?

Kara pieniężna może wynieść do 10 000 000 EUR dla podmiotów kluczowych i do 7 000 000 EUR dla podmiotów ważnych. W przypadkach ekstraordynaryjnych kara może sięgnąć 100 000 000 PLN.

Q: Kto nakłada kary za naruszenie KSC?

Kary nakłada organ właściwy do spraw cyberbezpieczeństwa dla danego sektora — w drodze decyzji administracyjnej, na podstawie wyników kontroli lub postępowania wyjaśniającego (art. 74 ust. 1 KSC). Dla przykładu kary dla sektora łączności elektronicznej i pocztowego nakłada Prezes UKE, dla sektora finansowego — KNF, dla zdrowia — minister zdrowia. Minister właściwy ds. informatyzacji ma wąskie kompetencje (art. 73b ust. 1 pkt 1–3 — m.in. kary za uchybienia rejestrowe).

Q: Czy podmiot publiczny (gmina, urząd, SP ZOZ) zapłaci karę?

Tak — ustawa o KSC nie zwalnia podmiotów publicznych z kar pieniężnych. Wyjątek jest bardzo wąski: art. 73 ust. 1d KSC wyłącza tylko Ministra Obrony Narodowej, urząd go obsługujący oraz podmioty podległe MON z obowiązku korzystania z systemu S46 (art. 73 ust. 1 pkt 13) — wszystkie inne kary z art. 73 obejmują również podmioty publiczne. Art. 74 ust. 6 KSC dodatkowo nakłada na Ministra Cyfryzacji obowiązek corocznego raportowania Komisji Wspólnej Rządu i Samorządu Terytorialnego o wpływach z kar nałożonych na samorządowe podmioty publiczne — co potwierdza realne karanie samorządów. Specyfika polega na sposobie obliczania kary: podmioty publiczne (urzędy, JST, biblioteki, muzea, SP ZOZ-y) zwykle nie mają przychodów z działalności gospodarczej, więc nie stosuje się procentu z ust. 3/4, tylko ryczałt z ust. 3a — równowartość 500 000 EUR (PK) lub 250 000 EUR (PW). Organ obowiązkowo uwzględnia możliwości finansowe podmiotu publicznego (art. 76a ust. 1) — realna kara jest dostosowywana do budżetu, ale nie znika. Minimum ustawowe 20 000 zł (PK) lub 15 000 zł (PW) obowiązuje również podmioty publiczne.

Q: Jak ustalana jest wysokość kary dla podmiotu publicznego?

Przy ustalaniu kary dla podmiotu publicznego organ właściwy do spraw cyberbezpieczeństwa stosuje art. 76a ust. 1 KSC — uwzględnia kryteria z art. 53 ust. 12 (m.in. wagę i czas trwania naruszenia, liczbę dotkniętych użytkowników, umyślność, stopień współpracy z organem), wysokość przychodu z działalności gospodarczej (jeśli występuje) oraz możliwości finansowe podmiotu kluczowego lub podmiotu ważnego będącego podmiotem publicznym albo możliwości finansowych kierownika. Jeśli podmiot nie ma przychodów z działalności gospodarczej, podstawa wymiaru to równowartość 500 000 EUR (PK) lub 250 000 EUR (PW) z ust. 3a — od tej kwoty stosuje się odpowiednio limit ust. 3 / 4 i minimum 20 000 / 15 000 zł. W praktyce dla małej gminy lub powiatowej biblioteki kara będzie znacznie niższa od ryczałtu — organ ma obowiązek brać pod uwagę realne możliwości budżetowe podmiotu.

Wysokość kar pieniężnych

Znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa wprowadza znacznie wyższe sankcje finansowe, zgodne z wymogami dyrektywy NIS 2. Wysokość maksymalnych kar zależy od klasyfikacji podmiotu — czy jest to podmiot kluczowy, czy podmiot ważny. Szczegółowe informacje o karach za brak rejestracji w wykazie KSC znajdziesz w osobnym artykule.

Rodzaj podmiotu	Maksymalna kara	Alternatywny próg przychodowy
Podmiot kluczowy	10 000 000 EUR	2% przychodów z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary (art. 73 ust. 3)
Podmiot ważny	7 000 000 EUR	1,4% przychodów z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary (art. 73 ust. 4)

Zastosowanie ma kwota wyższa — jeśli 2% rocznych przychodów podmiotu kluczowego przekracza 10 mln EUR, kara może być wyższa niż 10 mln EUR. Analogiczna zasada dotyczy podmiotów ważnych. Minimalna kara to 20 000 zł dla podmiotów kluczowych i 15 000 zł dla ważnych.

Art. 73 ust. 3a — podstawa ryczałtowa dla podmiotów bez przychodów z działalności gospodarczej. Przepis stosuje się w dwóch sytuacjach: (1) gdy okres wykonywania działalności gospodarczej jest krótszy niż 12 miesięcy (np. nowo powstała spółka, młoda firma); (2) gdy podmiot nie osiągnął przychodu z działalności gospodarczej — co dotyczy zwłaszcza podmiotów publicznych (urzędy, JST, biblioteki, muzea, samorządowe instytucje kultury, SP ZOZ-y nieprowadzące działalności komercyjnej). W takim przypadku za podstawę wymiaru kary przyjmuje się równowartość: 500 000 EUR dla podmiotu kluczowego i 250 000 EUR dla podmiotu ważnego (z odpowiednim zastosowaniem górnego limitu z ust. 3 / 4 oraz minimum 20 000 / 15 000 zł).

Specyfika kar dla podmiotów publicznych. Ustawa nie zwalnia podmiotów publicznych z kar pieniężnych. Co więcej, art. 74 ust. 6 KSC nakłada na Ministra Cyfryzacji obowiązek corocznego raportowania Komisji Wspólnej Rządu i Samorządu Terytorialnego o wpływach z kar nałożonych na samorządowe podmioty publiczne — co potwierdza, że ustawodawca zakłada realne egzekwowanie sankcji wobec gmin, powiatów, JST i ich jednostek. Praktyczne łagodzenie: art. 76a ust. 1 KSC wymaga od organu właściwego uwzględnienia „możliwości finansowych podmiotu kluczowego lub podmiotu ważnego będącego podmiotem publicznym albo możliwości finansowych kierownika” przy ustalaniu wysokości kary. Czyli realna kara dla małej gminy będzie znacznie niższa od ryczałtu 250 000 EUR, ale nie zniknie. Wyjątki bardzo wąskie: art. 73 ust. 1d wyłącza tylko MON, urząd MON i podmioty podległe MON z obowiązku korzystania z S46 (art. 73 ust. 1 pkt 13) — wszystkie inne sankcje pozostają.

Art. 73 ust. 1c — odrębna podstawa dla PW publicznych. Podmiot ważny będący podmiotem publicznym (np. mała gmina < 50 FTE, biblioteka, samorządowa instytucja kultury) podlega karze pieniężnej, jeżeli nie wykonuje obowiązku z art. 8 ust. 3 KSC — czyli nie wdroży uproszczonego SZBI z załącznika nr 4. Przepis ten ma symetryczną logikę do ust. 1 pkt 3 (kara za brak pełnego SZBI z art. 8 ust. 1), ale specjalnie dotyczy PW publicznych, dla których ustawa dopuszcza wariant uproszczony. Patrz: SZBI wg Załącznika nr 4 — przewodnik dla JST.

Rodzaj kary	Kwota	Podstawa prawna
Kara ekstraordynaryjna	Do 100 000 000 zł	Art. 73 ust. 5 — za poważne naruszenia zagrażające bezpieczeństwu państwa
Kara okresowa	500–100 000 zł za każdy dzień utrzymywania naruszenia	Art. 76b ust. 1 — za każdy dzień opóźnienia w wykonaniu decyzji z art. 53 ust. 5 pkt 2-8

Ustawowa karencja 2 lat na kary pieniężne (art. 35 ustawy nowelizującej). Zgodnie z art. 35 ustawy z 23 stycznia 2026 r. (Dz.U. 2026 poz. 252) kary pieniężne, o których mowa w art. 73 ust. 1–4, art. 73a–73c i art. 76b ustawy o KSC, mogą być po raz pierwszy nałożone dopiero po upływie 2 lat od dnia wejścia w życie ustawy nowelizującej, tj. od 3 kwietnia 2028 r. Karencja NIE obejmuje kary ekstraordynaryjnej z art. 73 ust. 5 KSC (do 100 mln zł) — ta może być nałożona od dnia wejścia w życie ustawy. Karencja jest wyraźnie zapisana w ustawie nowelizującej i nie jest jedynie polityką egzekucyjną ministerstwa.

Przesłanki nałożenia kary

Kary pieniężne mogą zostać nałożone za szereg naruszeń obowiązków wynikających z ustawy. Organ właściwy bierze pod uwagę wagę naruszenia, czas jego trwania, liczbę dotkniętych użytkowników oraz stopień współpracy podmiotu z organem.

Brak wdrożenia adekwatnych środków zarządzania ryzykiem w cyberbezpieczeństwie
Niedopełnienie obowiązku zgłaszania incydentów poważnych w wymaganych terminach
Niezarejestrowanie się w wykazie podmiotów kluczowych lub ważnych
Utrudnianie lub uniemożliwianie przeprowadzenia audytu lub kontroli
Nieprzeprowadzenie wymaganego audytu bezpieczeństwa w terminie
Niedostarczenie informacji żądanych przez organ właściwy

Odpowiedzialność osobista kierowników

Nowelizacja ustawy wprowadza bezpośrednią odpowiedzialność finansową osób zarządzających podmiotem kluczowym lub ważnym. Szczegóły dotyczące odpowiedzialności zarządu omawiamy w osobnym artykule. Zgodnie z art. 73a ust. 4–5 ustawy o KSC, kierownik podmiotu może zostać ukarany karą pieniężną w wysokości do 300% wynagrodzenia. Kierownik podmiotu publicznego — do 100% wynagrodzenia, CHYBA ŻE podmiot publiczny podlega KSC również na podstawie innego sektora z załącznika 1 lub 2 (np. spółka wodociągowa gminy) — wtedy stosuje się pełne 300% (art. 73a ust. 5 zd. 2).

Odpowiedzialność osobista kierownika jest niezależna od kary nałożonej na podmiot. Oznacza to, że zarówno organizacja, jak i jej kierownik mogą zostać ukarani za to samo naruszenie.

Procedura odwoławcza i czynniki łagodzące

Od decyzji o nałożeniu kary pieniężnej przysługuje odwołanie do organu wyższego stopnia, a następnie skarga do sądu administracyjnego. Kary są egzekwowane w ramach nadzoru ex ante i ex post sprawowanego przez organy właściwe. Organ nakładający karę uwzględnia okoliczności łagodzące, takie jak podjęte działania naprawcze, dobrowolne zgłoszenie naruszenia oraz dotychczasową historię zgodności podmiotu.

Waga i czas trwania naruszenia
Liczba dotkniętych użytkowników i rozmiar poniesionej szkody
Umyślność lub nieumyślność naruszenia
Działania podjęte w celu zapobieżenia lub ograniczenia szkody
Stopień współpracy z organem właściwym
Wcześniejsze naruszenia obowiązków wynikających z ustawy

Spis treści

Wysokość kar pieniężnych Przesłanki nałożenia kary Odpowiedzialność osobista kierowników Procedura odwoławcza i czynniki łagodzące

Potrzebujesz wsparcia?

Pomagamy we wdrożeniu KSC od identyfikacji statusu po pełny audyt.

Pozostałe artykuły

KaryKary za brak rejestracji w KSC — ile grozi?KlasyfikacjaPodmiot kluczowy vs ważny w KSC / NIS 2 — sprawdź status WdrożenieSZBI wg Załącznika nr 4 — przewodnik dla JST IncydentyRaportowanie incydentów KSC / NIS 2 — 24h, 72h, miesiąc AudytAudyt bezpieczeństwa KSC / NIS 2 — kto i kiedy?

FAQ4 pytania

Najczęstsze pytania

Ile wynosi maksymalna kara za naruszenie KSC?

Kara pieniężna może wynieść do 10 000 000 EUR dla podmiotów kluczowych i do 7 000 000 EUR dla podmiotów ważnych. W przypadkach ekstraordynaryjnych kara może sięgnąć 100 000 000 PLN.

Kto nakłada kary za naruszenie KSC?

Kary nakłada organ właściwy do spraw cyberbezpieczeństwa dla danego sektora — w drodze decyzji administracyjnej, na podstawie wyników kontroli lub postępowania wyjaśniającego (art. 74 ust. 1 KSC). Dla przykładu kary dla sektora łączności elektronicznej i pocztowego nakłada Prezes UKE, dla sektora finansowego — KNF, dla zdrowia — minister zdrowia. Minister właściwy ds. informatyzacji ma wąskie kompetencje (art. 73b ust. 1 pkt 1–3 — m.in. kary za uchybienia rejestrowe).

Czy podmiot publiczny (gmina, urząd, SP ZOZ) zapłaci karę?

Tak — ustawa o KSC nie zwalnia podmiotów publicznych z kar pieniężnych. Wyjątek jest bardzo wąski: art. 73 ust. 1d KSC wyłącza tylko Ministra Obrony Narodowej, urząd go obsługujący oraz podmioty podległe MON z obowiązku korzystania z systemu S46 (art. 73 ust. 1 pkt 13) — wszystkie inne kary z art. 73 obejmują również podmioty publiczne. Art. 74 ust. 6 KSC dodatkowo nakłada na Ministra Cyfryzacji obowiązek corocznego raportowania Komisji Wspólnej Rządu i Samorządu Terytorialnego o wpływach z kar nałożonych na samorządowe podmioty publiczne — co potwierdza realne karanie samorządów. Specyfika polega na sposobie obliczania kary: podmioty publiczne (urzędy, JST, biblioteki, muzea, SP ZOZ-y) zwykle nie mają przychodów z działalności gospodarczej, więc nie stosuje się procentu z ust. 3/4, tylko ryczałt z ust. 3a — równowartość 500 000 EUR (PK) lub 250 000 EUR (PW). Organ obowiązkowo uwzględnia możliwości finansowe podmiotu publicznego (art. 76a ust. 1) — realna kara jest dostosowywana do budżetu, ale nie znika. Minimum ustawowe 20 000 zł (PK) lub 15 000 zł (PW) obowiązuje również podmioty publiczne.

Jak ustalana jest wysokość kary dla podmiotu publicznego?

Przy ustalaniu kary dla podmiotu publicznego organ właściwy do spraw cyberbezpieczeństwa stosuje art. 76a ust. 1 KSC — uwzględnia kryteria z art. 53 ust. 12 (m.in. wagę i czas trwania naruszenia, liczbę dotkniętych użytkowników, umyślność, stopień współpracy z organem), wysokość przychodu z działalności gospodarczej (jeśli występuje) oraz możliwości finansowe podmiotu kluczowego lub podmiotu ważnego będącego podmiotem publicznym albo możliwości finansowych kierownika. Jeśli podmiot nie ma przychodów z działalności gospodarczej, podstawa wymiaru to równowartość 500 000 EUR (PK) lub 250 000 EUR (PW) z ust. 3a — od tej kwoty stosuje się odpowiednio limit ust. 3 / 4 i minimum 20 000 / 15 000 zł. W praktyce dla małej gminy lub powiatowej biblioteki kara będzie znacznie niższa od ryczałtu — organ ma obowiązek brać pod uwagę realne możliwości budżetowe podmiotu.

Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

Zastrzeżenie prawne

Niniejszy artykuł ma charakter informacyjny i edukacyjny. Treść opieramy na tekście ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. 2026 poz. 20) wraz z nowelizacją z 23 stycznia 2026 r. (Dz.U. 2026 poz. 252) oraz na oficjalnych komunikatach Ministerstwa Cyfryzacji.

Artykuł nie stanowi opinii prawnej w rozumieniu ustawy z 6 lipca 1982 r. o radcach prawnych ani porady prawnej w rozumieniu ustawy z 26 maja 1982 r. — Prawo o adwokaturze. Klasyfikacja konkretnego podmiotu jako kluczowy lub ważny, ocena obowiązków materialnych (SZBI z art. 8 KSC, raportowanie incydentów z art. 11, audyt z art. 15) oraz interpretacja przepisów przejściowych z art. 33–35 ustawy nowelizującej wymagają indywidualnej analizy z uwzględnieniem struktury organizacyjnej, sektora działalności i specyfiki świadczonych usług.

W razie wątpliwości prawnych zalecamy konsultację z radcą prawnym lub adwokatem specjalizującym się w cyberprawie / NIS 2. Stan prawny: 3 kwietnia 2026 r. (data wejścia w życie nowelizacji). Wydawca: Idealdata Sp. z o.o. — Chwaszczyno k. Gdańska.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.