Kary7 min czytania

Kary finansowe w znowelizowanej ustawie o KSC

Wysokość kar pieniężnych

Znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa wprowadza znacznie wyższe sankcje finansowe, zgodne z wymogami dyrektywy NIS 2. Wysokość maksymalnych kar zależy od klasyfikacji podmiotu — czy jest to podmiot kluczowy, czy podmiot ważny.

Rodzaj podmiotuMaksymalna karaAlternatywny próg przychodowy
Podmiot kluczowy10 000 000 EUR2% przychodów z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary (art. 73 ust. 3)
Podmiot ważny7 000 000 EUR1,4% przychodów z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary (art. 73 ust. 4)
Zastosowanie ma kwota wyższa — jeśli 2% rocznych przychodów podmiotu kluczowego przekracza 10 mln EUR, kara może być wyższa niż 10 mln EUR. Analogiczna zasada dotyczy podmiotów ważnych. Minimalna kara to 20 000 zł dla podmiotów kluczowych i 15 000 zł dla ważnych.
Rodzaj karyKwotaPodstawa prawna
Kara ekstraordynaryjnaDo 100 000 000 złArt. 73 ust. 5 — za poważne naruszenia zagrażające bezpieczeństwu państwa
Kara okresowa500–100 000 zł za każdy dzień utrzymywania naruszeniaArt. 73 — za niewykonanie nakazu organu w terminie
Kary pieniężne za naruszenia ustawy mogą być nakładane dopiero po upływie 2 lat od wejścia w życie nowelizacji, tj. od 3 kwietnia 2028 r. (Q&A pkt 12.1). Wyjątkiem jest kara ekstraordynaryjna, która może być nakładana wcześniej. W początkowym okresie organy uwzględniają, czy podmiot miał wystarczający czas na wdrożenie wymogów.

Przesłanki nałożenia kary

Kary pieniężne mogą zostać nałożone za szereg naruszeń obowiązków wynikających z ustawy. Organ właściwy bierze pod uwagę wagę naruszenia, czas jego trwania, liczbę dotkniętych użytkowników oraz stopień współpracy podmiotu z organem.

  • Brak wdrożenia adekwatnych środków zarządzania ryzykiem w cyberbezpieczeństwie
  • Niedopełnienie obowiązku zgłaszania incydentów poważnych w wymaganych terminach
  • Niezarejestrowanie się w wykazie podmiotów kluczowych lub ważnych
  • Utrudnianie lub uniemożliwianie przeprowadzenia audytu lub kontroli
  • Nieprzeprowadzenie wymaganego audytu bezpieczeństwa w terminie
  • Niedostarczenie informacji żądanych przez organ właściwy

Odpowiedzialność osobista kierowników

Nowelizacja ustawy wprowadza bezpośrednią odpowiedzialność finansową osób zarządzających podmiotem kluczowym lub ważnym. Zgodnie z art. 73a ust. 4–5 ustawy o KSC, kierownik podmiotu, który dopuścił do naruszenia obowiązków ustawowych, może zostać ukarany karą pieniężną w wysokości do 300% otrzymywanego wynagrodzenia (a w przypadku kierownika podmiotu publicznego — do 100%).

Odpowiedzialność osobista kierownika jest niezależna od kary nałożonej na podmiot. Oznacza to, że zarówno organizacja, jak i jej kierownik mogą zostać ukarani za to samo naruszenie.

Procedura odwoławcza i czynniki łagodzące

Od decyzji o nałożeniu kary pieniężnej przysługuje odwołanie do organu wyższego stopnia, a następnie skarga do sądu administracyjnego. Organ nakładający karę uwzględnia okoliczności łagodzące, takie jak podjęte działania naprawcze, dobrowolne zgłoszenie naruszenia oraz dotychczasową historię zgodności podmiotu.

  • Waga i czas trwania naruszenia
  • Liczba dotkniętych użytkowników i rozmiar poniesionej szkody
  • Umyślność lub nieumyślność naruszenia
  • Działania podjęte w celu zapobieżenia lub ograniczenia szkody
  • Stopień współpracy z organem właściwym
  • Wcześniejsze naruszenia obowiązków wynikających z ustawy
Spis treści
Wysokość kar pieniężnych
Przesłanki nałożenia kary
Odpowiedzialność osobista kierowników
Procedura odwoławcza i czynniki łagodzące
Potrzebujesz wsparcia?

Pomagamy we wdrożeniu KSC od identyfikacji statusu po pełny audyt.

Pozostałe artykuły
KlasyfikacjaPodmiot kluczowy vs. podmiot ważny — jak ustalić swój status?WdrożenieSystem zarządzania bezpieczeństwem informacji wg Załącznika nr 4IncydentyRaportowanie incydentów — terminy, formularze i proceduryAudytAudyt bezpieczeństwa — kto, kiedy i jak go przeprowadzić?ZarządzanieOdpowiedzialność kierownika podmiotu — co musisz wiedziećWykazRejestracja w wykazie podmiotów kluczowych i ważnych — procedura i system S46Łańcuch dostawZarządzanie bezpieczeństwem łańcucha dostaw według KSCDostawcyDostawca wysokiego ryzyka — procedura uznania i obowiązki podmiotów KSCNadzórNadzór nad podmiotami KSC — tryb ex ante i ex postTerminyKalendarz wdrożenia KSC 2026–2028 — kluczowe daty dla podmiotówSektor finansowyRelacja KSC i rozporządzenia DORA — obowiązki sektora finansowegoPersonelWeryfikacja niekaralności personelu — wymóg art. 8f ustawy o KSCWspółpracaWymiana informacji o cyberbezpieczeństwie między podmiotami KSCKlasyfikacjaNiezależność systemów informacyjnych — kiedy nie podlegasz KSC mimo przekroczenia progów
ksc.EXPERTIdealdata Sp. z o.o. · Chwaszczyno k. Gdańska
© 2026 Idealdata Sp. z o.o.Informacje mają charakter informacyjny i nie stanowią opinii prawnej.
🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.