Kary5 min czytania

Kary za brak rejestracji w KSC — ile grozi?

Kara za brak wpisu do wykazu

Podmiot, który w terminie 6 miesięcy od spełnienia przesłanek nie złożył wniosku o wpis do wykazu podmiotów kluczowych i ważnych, podlega karze pieniężnej nakładanej przez organ właściwy do spraw cyberbezpieczeństwa (art. 73 ust. 1a pkt 1). Jest to kara fakultatywna — organ może ją nałożyć, jeżeli przemawia za tym waga i znaczenie naruszonych przepisów. Pełny przegląd wszystkich sankcji przedstawiamy w artykule o karach w KSC.

Typ podmiotuMaksymalna karaMinimalna kara
Podmiot kluczowy10 mln EUR lub 2% rocznych przychodów (kwota wyższa)20 000 zł
Podmiot ważny7 mln EUR lub 1,4% rocznych przychodów (kwota wyższa)15 000 zł
Kary pieniężne (z wyjątkiem kary ekstraordynaryjnej) będą nakładane dopiero po 3 kwietnia 2028 r. — tj. 2 lata od wejścia w życie ustawy (Q&A pkt 12.1). Nie oznacza to jednak, że można zwlekać z rejestracją — organ może wpisać podmiot z urzędu i nałożyć obowiązki natychmiast.

Kara za brak SZBI

Podmiot kluczowy lub ważny, który nie wdrożył systemu zarządzania bezpieczeństwem informacji (SZBI) lub wdrożony system nie spełnia wymogów z art. 8 ust. 1 albo 3, podlega obowiązkowej karze pieniężnej (art. 73 ust. 1 pkt 3). Dotyczy to także niewykonywania systematycznego szacowania ryzyka (art. 73 ust. 1 pkt 2) oraz braku zarządzania ryzykiem. Obowiązek wdrożenia SZBI istnieje od momentu wpisu do wykazu.

SZBI musi zapewniać realizację wszystkich wymagań z art. 8 ust. 1, w tym: szacowanie ryzyka, polityki bezpieczeństwa, zarządzanie incydentami, ciągłość działania, bezpieczeństwo łańcucha dostaw, szkolenia i kryptografię. Kara za brak SZBI jest obligatoryjna — organ musi ją nałożyć.

Kara za niezgłoszenie incydentu

Niezgłoszenie incydentu poważnego w wymaganym terminie stanowi odrębną przesłankę kary pieniężnej. Ustawa wymaga: wczesnego ostrzeżenia (24 h, art. 11 ust. 1 pkt 4), zgłoszenia incydentu poważnego (72 h, pkt 4a), sprawozdania okresowego (na wniosek CSIRT, pkt 4b) oraz sprawozdania końcowego (1 mies., pkt 4c). Kary dotyczą osobno każdego z tych obowiązków (art. 73 ust. 1 pkt 6–9).

  • Brak wczesnego ostrzeżenia w ciągu 24 h od wykrycia incydentu poważnego (art. 73 ust. 1 pkt 6 — naruszenie art. 11 ust. 1 pkt 4)
  • Brak zgłoszenia incydentu poważnego w ciągu 72 h (art. 73 ust. 1 pkt 7 — naruszenie art. 11 ust. 1 pkt 4a)
  • Brak sprawozdania okresowego, gdy CSIRT zażądał (art. 73 ust. 1 pkt 8 — naruszenie art. 11 ust. 1 pkt 4b)
  • Brak sprawozdania końcowego w ciągu 1 miesiąca od zgłoszenia (art. 73 ust. 1 pkt 9 — naruszenie art. 11 ust. 1 pkt 4c)
  • Niekorzystanie z systemu S46 do realizacji obowiązków zgłoszeniowych (art. 73 ust. 1 pkt 13)

Kara ekstraordynaryjna — 100 mln zł

Ustawa przewiduje szczególną karę ekstraordynaryjną w wysokości do 100 000 000 zł (100 mln zł). Kara ta jest nakładana, gdy naruszenie przepisów ustawy powoduje jednocześnie: (1) bezpośrednie i poważne cyberzagrożenie dla obronności, bezpieczeństwa państwa, porządku publicznego lub życia i zdrowia ludzi, oraz (2) zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług (art. 73 ust. 5).

Kara ekstraordynaryjna do 100 mln zł (art. 73 ust. 5 KSC) może być nałożona od razu po wejściu w życie ustawy — art. 35 ustawy nowelizującej wymienia 2-letnią karencję dla kar z art. 73 ust. 1–4 oraz 73a–73c i 76b, ale NIE dla art. 73 ust. 5. Jest to jedyny rodzaj kary, który nie podlega karencji. Organ nakłada ją obligatoryjnie po spełnieniu przesłanek (cyberzagrożenie + zagrożenie wywołania szkody).

Odpowiedzialność osobista kierownika

Niezależnie od kary nałożonej na podmiot, karze pieniężnej podlega również osobiście kierownik podmiotu kluczowego lub ważnego (art. 73a). Kara dla kierownika podmiotu prywatnego wynosi do 300% wynagrodzenia obliczanego według zasad ekwiwalentu za urlop. Dla kierownika podmiotu publicznego — do 100% wynagrodzenia (art. 73a ust. 4–5). Aby uniknąć sankcji, warto jak najszybciej przejść przez rejestrację krok po kroku i dotrzymać terminów harmonogramu.

Odpowiedzialność kierownika jest niezależna od kary nałożonej na podmiot — organ może ukarać jednocześnie organizację i jej kierownika (art. 73a ust. 3). Kierownik odpowiada nawet wtedy, gdy powierzył obowiązki innej osobie (art. 8c ust. 3).
FAQ4 pytania

Najczęstsze pytania

Jaka kara za brak rejestracji w KSC?
Kara pieniężna do 10 mln EUR lub 2% rocznych przychodów z działalności gospodarczej z roku poprzedniego dla podmiotu kluczowego (art. 73 ust. 3 KSC) albo do 7 mln EUR lub 1,4% rocznych przychodów z działalności gospodarczej dla podmiotu ważnego (art. 73 ust. 4 KSC) — w obu wypadkach stosuje się kwotę wyższą. Niezależnie od kary na podmiot — kara osobista na kierownika do 300% miesięcznego wynagrodzenia obliczonego jak ekwiwalent za niewykorzystany urlop (art. 73a ust. 4 KSC); dla kierownika podmiotu publicznego do 100% (art. 73a ust. 5 KSC). Kary mogą być po raz pierwszy nałożone po upływie 2 lat od wejścia w życie ustawy (art. 35 nowelizacji).
Czy kierownik odpowiada osobiście za brak rejestracji?
Tak — ustawa wprowadza osobistą odpowiedzialność finansową kierownika podmiotu (wójt, burmistrz, prezydent, prezes zarządu, dyrektor) niezależnie od kary na podmiot. Obowiązek samoidentyfikacji i rejestracji leży po stronie podmiotu — brak powiadomienia z urzędu nie zwalnia z odpowiedzialności. Art. 73a ust. 1 pkt 1 KSC.
Czy można uniknąć kary rejestrując się po terminie?
Rejestracja po terminie nie umarza naruszenia, ale organ właściwy w ocenie miarkowanej bierze pod uwagę: (1) okoliczności opóźnienia (siła wyższa, błąd organu), (2) stopień współpracy podmiotu, (3) brak wcześniejszych naruszeń, (4) dobrowolne uzupełnienie braków. W praktyce rejestracja po terminie z dobrą wiarą skutkuje karą złagodzoną lub odstąpieniem od kary przy pierwszym naruszeniu.
Czy można działać bez rejestracji w wykazie S46?
Brak rejestracji nie blokuje komercyjnej działalności firmy, ale: (1) podmiot łamie ustawowy obowiązek, (2) grozi kara pieniężna i osobista, (3) organ właściwy może wpisać podmiot do wykazu z urzędu (co uruchamia terminy z mocą wsteczną), (4) podmiot traci ochronę prawną przy wymianie informacji z CSIRT, (5) ryzyko reputacyjne i wykluczenia z zamówień publicznych.
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.