Kary5 min czytania

Kary za brak rejestracji w KSC — ile grozi?

Kara za brak wpisu do wykazu

Podmiot, który w terminie 6 miesięcy od spełnienia przesłanek nie złożył wniosku o wpis do wykazu podmiotów kluczowych i ważnych, podlega karze pieniężnej nakładanej przez organ właściwy do spraw cyberbezpieczeństwa (art. 73 ust. 1a pkt 1). Jest to kara fakultatywna — organ może ją nałożyć, jeżeli przemawia za tym waga i znaczenie naruszonych przepisów.

Typ podmiotuMaksymalna karaMinimalna kara
Podmiot kluczowy10 mln EUR lub 2% rocznych przychodów (kwota wyższa)20 000 zł
Podmiot ważny7 mln EUR lub 1,4% rocznych przychodów (kwota wyższa)15 000 zł
Kary pieniężne (z wyjątkiem kary ekstraordynaryjnej) będą nakładane dopiero po 3 kwietnia 2028 r. — tj. 2 lata od wejścia w życie ustawy (Q&A pkt 12.1). Nie oznacza to jednak, że można zwlekać z rejestracją — organ może wpisać podmiot z urzędu i nałożyć obowiązki natychmiast.

Kara za brak SZBI

Podmiot kluczowy lub ważny, który nie wdrożył systemu zarządzania bezpieczeństwem informacji (SZBI) lub wdrożony system nie spełnia wymogów z art. 8 ust. 1 albo 3, podlega obowiązkowej karze pieniężnej (art. 73 ust. 1 pkt 3). Dotyczy to także niewykonywania systematycznego szacowania ryzyka (art. 73 ust. 1 pkt 2) oraz braku zarządzania ryzykiem. Obowiązek wdrożenia SZBI istnieje od momentu wpisu do wykazu.

SZBI musi zapewniać realizację wszystkich wymagań z art. 8 ust. 1, w tym: szacowanie ryzyka, polityki bezpieczeństwa, zarządzanie incydentami, ciągłość działania, bezpieczeństwo łańcucha dostaw, szkolenia i kryptografię. Kara za brak SZBI jest obligatoryjna — organ musi ją nałożyć.

Kara za niezgłoszenie incydentu

Niezgłoszenie incydentu poważnego w wymaganym terminie stanowi odrębną przesłankę kary pieniężnej. Ustawa wymaga zgłoszenia wczesnego ostrzeżenia (24 h), zgłoszenia incydentu (72 h), sprawozdania wstępnego i końcowego (art. 11 ust. 1). Kary dotyczą osobno każdego z tych obowiązków (art. 73 ust. 1 pkt 5–9).

  • Brak wczesnego ostrzeżenia w ciągu 24 h od wykrycia incydentu poważnego (art. 73 ust. 1 pkt 5)
  • Brak zgłoszenia incydentu poważnego w ciągu 72 h (art. 73 ust. 1 pkt 6)
  • Brak sprawozdania wstępnego lub końcowego (art. 73 ust. 1 pkt 7–9)
  • Niekorzystanie z systemu S46 do realizacji obowiązków zgłoszeniowych (art. 73 ust. 1 pkt 13)

Kara ekstraordynaryjna — 100 mln zł

Ustawa przewiduje szczególną karę ekstraordynaryjną w wysokości do 100 000 000 zł (100 mln zł). Kara ta jest nakładana, gdy naruszenie przepisów ustawy powoduje jednocześnie: (1) bezpośrednie i poważne cyberzagrożenie dla obronności, bezpieczeństwa państwa, porządku publicznego lub życia i zdrowia ludzi, oraz (2) zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług (art. 73 ust. 5).

Kara ekstraordynaryjna do 100 mln zł może być nałożona od razu po wejściu w życie ustawy — nie obowiązuje tu 2-letni okres przejściowy (Q&A pkt 12.1). Jest to jedyny rodzaj kary, który nie podlega karencji. Organ nakłada ją obligatoryjnie po spełnieniu przesłanek.

Odpowiedzialność osobista kierownika

Niezależnie od kary nałożonej na podmiot, karze pieniężnej podlega również osobiście kierownik podmiotu kluczowego lub ważnego (art. 73a). Kara dla kierownika podmiotu prywatnego wynosi do 300% wynagrodzenia obliczanego według zasad ekwiwalentu za urlop. Dla kierownika podmiotu publicznego — do 100% wynagrodzenia (art. 73a ust. 4–5).

Odpowiedzialność kierownika jest niezależna od kary nałożonej na podmiot — organ może ukarać jednocześnie organizację i jej kierownika (art. 73a ust. 3). Kierownik odpowiada nawet wtedy, gdy powierzył obowiązki innej osobie (art. 8c ust. 3).
Spis treści
Kara za brak wpisu do wykazu
Kara za brak SZBI
Kara za niezgłoszenie incydentu
Kara ekstraordynaryjna — 100 mln zł
Odpowiedzialność osobista kierownika
Potrzebujesz wsparcia?

Pomagamy we wdrożeniu KSC od identyfikacji statusu po pełny audyt.

Pozostałe artykuły
KlasyfikacjaPodmiot kluczowy vs. ważny — sprawdź swój statusWdrożenieSZBI wg Załącznika nr 4 — przewodnik dla JSTKaryKary finansowe w ustawie o KSC — ile wynoszą?IncydentyRaportowanie incydentów KSC — 24h, 72h, miesiącAudytAudyt bezpieczeństwa KSC — kto i kiedy?ZarządzanieKierownik a cyberbezpieczeństwo — obowiązki KSCWykazRejestracja w wykazie KSC — system S46Łańcuch dostawBezpieczeństwo łańcucha dostaw wg KSCDostawcyDostawca wysokiego ryzyka — procedura KSCNadzórNadzór nad podmiotami KSC — ex ante i ex postTerminyTerminy wdrożenia KSC 2026–2028Sektor finansowyKSC a DORA — obowiązki sektora finansowegoPersonelWeryfikacja niekaralności personelu — art. 8f KSCWspółpracaWymiana informacji o cyberzagrożeniach w KSCKlasyfikacjaNiezależność systemów — wyłączenie z KSCŻywnośćProducent żywności a KSC — obowiązki 2026ICTDostawca chmury a KSC — kto podlega?PrawoKSC a RODO — czym się różnią?ZdrowieSzpital a KSC/NIS2 — lista obowiązkówJSTGmina a KSC — plan wdrożenia krok po krokuOdpadyFirma odpadowa a KSC — czy podlegam?KlasyfikacjaCzy podlegam pod KSC? Sprawdź w 5 minutWykazRejestracja KSC krok po kroku — system S46ZarządzanieZarząd a KSC — odpowiedzialność osobista
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.