Baker Tilly Poland Legal
Zamknij
Adobe Stock 837801517
Aktualności

Brak działania też kosztuje – sankcje w nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa

Aleksandra Połojko-Marciniak 27 kwi 2026
Prawo

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która wdraża w Polsce dyrektywę NIS 2, istotnie zmienia dotychczasową filozofię odpowiedzialności za cyberbezpieczeństwo. 

Regulacja nie koncentruje się wyłącznie na technicznych aspektach ochrony systemów IT, lecz wprowadza rozbudowany i realnie odczuwalny system sankcji administracyjnych, obejmujący zarówno podmioty objęte ustawą, jak i ich kierownictwo. 

Nowy model sankcji – odpowiedzialność za brak działania

Ustawodawca odchodzi od podejścia, w którym odpowiedzialność pojawia się dopiero w przypadku poważnego incydentu o widocznych skutkach. Nowelizacja KSC zakłada, że już sam brak wdrożenia wymaganych mechanizmów, takich jak system zarządzania bezpieczeństwem informacji, analiza ryzyka, czy procedury reagowania na incydenty, może stanowić podstawę do interwencji organu nadzorczego.

Odpowiedzialność nie jest już więc uzależniona wyłącznie od wystąpienia zagrożenia, lecz od braku zgodności systemowej z ustawowymi obowiązkami. Celem regulacji jest „wymuszenie” rzeczywistego, a nie jedynie formalnego podejścia do cyberbezpieczeństwa. W efekcie interwencja organu może zostać podjęta w związku z szerokim katalogiem uchybień, także takich, które wcześniej bywały postrzegane jako drugorzędne.

Za co grożą sankcje?

Przede wszystkim sankcje mogą zostać nałożone w związku z brakiem prawidłowego funkcjonowania podmiotu w systemie KSC, w szczególności w przypadkach: 

  • braku wpisu podmiotu do wykazu podmiotów kluczowych/ważnych,
  • niewywiązywania się z obowiązku współpracy z właściwym organem,
  • nieprzekazywania informacji wymaganych na etapie identyfikacji lub w toku sprawowanego nadzoru.

Istotnym źródłem ryzyka jest także niewdrożenie wymaganych środków bezpieczeństwa, rozumianych nie wyłącznie technicznie, lecz jako element całościowego systemu zarządzania cyberbezpieczeństwem. Chodzi w szczególności o: 

  • brak systematycznej analizy ryzyka, 
  • brak odpowiednich środków organizacyjnych, 
  • niewystarczające zabezpieczenia ciągłości działania systemów informacyjnych, 
  • brak procedur zarządzania incydentami. 

Ponadto, jako naruszenie podlegające sankcji może zostać zakwalifikowany brak zgłoszenia do właściwego CSIRT incydentu poważnego lub istotnego, opóźnienie w jego zgłoszeniu albo przekazanie informacji niepełnych lub nieprecyzyjnych. 

Wreszcie, ryzyko sankcyjne wiąże się także z uchybieniami w dokumentacji oraz audytach cyberbezpieczeństwa. Brak dokumentacji, nieprzeprowadzenie audytu w wymaganym zakresie lub terminie, a także audyt przeprowadzony w sposób nierzetelny, mogą zostać uznane przez organ nadzorczy za naruszenie obowiązków ustawowych. 

Wszystkie wskazane wyżej naruszenia łączy to, że do zastosowania środków nadzorczych lub kar finansowych nie jest konieczne wystąpienie szkody ani faktyczne ziszczenie się zagrożenia. Wystarczy ustalenie, że dany podmiot nie zorganizował swoich procesów zgodnie z wymogami określonymi w przepisach.

Kary pieniężne powiązane z obrotami przedsiębiorcy

Nowelizacja wprowadza kary pieniężne, których maksymalna wysokość została powiązana z sytuacją ekonomiczną podmiotu. Taka konstrukcja wyraźnie nawiązuje do modelu znanego z RODO.

W przypadku podmiotów kluczowych ustawodawca przewidział możliwość nałożenia kary sięgającej do 10 mln euro albo do 2% przychodów osiągniętych przez podmiot kluczowy z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary. W odniesieniu do podmiotów ważnych progi te są niższe, lecz nadal istotne – do 7 mln euro albo do 1,4% przychodów.

Sankcje za najpoważniejsze naruszenia – do 100 mln zł

KSC przewiduje szczególnie dotkliwe sankcje w przypadkach, gdy naruszenia wiążą się z podwyższonym poziomem ryzyka. Dotyczy to przypadków, w których uchybienia w zakresie cyberbezpieczeństwa mogą powodować bezpośrednie i poważne cyberzagrożenie dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi, a także zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług.

W takich sytuacjach kara pieniężna może sięgnąć nawet 100 mln zł, niezależnie od standardowych limitów procentowych. 

Odpowiedzialność osobista kierownika podmiotu

Jedną z najbardziej doniosłych zmian w nowelizacji KSC jest wprowadzenie osobistej odpowiedzialności kierownika podmiotu kluczowego lub ważnego. Ustawa jednoznacznie wskazuje, że to kierownictwo ponosi odpowiedzialność za organizację systemu cyberbezpieczeństwa, nadzór nad jego funkcjonowaniem oraz zapewnienie odpowiednich zasobów finansowych i organizacyjnych. Co istotne, przypisanie odpowiedzialności bezpośrednio osobom zarządzającym jest możliwe niezależnie od sankcji nakładanych na sam podmiot.

Kluczowe znaczenie ma to, że odpowiedzialność nie ustaje wraz z powierzeniem obowiązków – ani jednostkom wewnętrznym, ani zewnętrznym usługodawcom. W konsekwencji możliwe jest nałożenie sankcji bezpośrednio na osoby zarządzające, w tym: 

  • kar finansowych powiązanych z ich wynagrodzeniem (do 300% wynagrodzenia, a w przypadku kierowników podmiotów publicznych – do 100% wynagrodzenia),
  • czasowego zakazu pełnienia funkcji kierowniczych (w przypadku podmiotów kluczowych).

Cyberbezpieczeństwo przestaje być więc wyłącznie domeną działów IT, a staje się elementem odpowiedzialności zarządczej.

Nie tylko kara pieniężna – środki nadzorcze i presja wykonania decyzji

Poza karami pieniężnymi, organy właściwe ds. cyberbezpieczeństwa zyskują szeroki katalog środków nadzorczych, takich jak ostrzeżenia, nakazy usunięcia naruszeń, obowiązek przeprowadzenia audytu czy wdrożenia wskazanych zabezpieczeń.

W praktyce szczególnie istotne jest to, że decyzje organów co do zasady są natychmiast wykonalne, a ich niewykonanie może skutkować nałożeniem dodatkowych kar za każdy dzień opóźnienia – od kilkuset do nawet 100 tys. zł dziennie. Taki mechanizm istotnie zwiększa skuteczność egzekwowania przepisów i ogranicza możliwość odkładania działań naprawczych „na później“.

Wnioski dla przedsiębiorców

Nowelizacja KSC jednoznacznie wskazuje, że zaniechania w obszarze cyberbezpieczeństwa również są traktowane jako naruszenie. Dokumentacja, procedury, audyty oraz struktury zarządcze zyskują dziś znaczenie równorzędne z rozwiązaniami technicznymi.

W realiach NIS 2 cyberbezpieczeństwo staje się integralnym elementem zarządzania ryzykiem prawnym i finansowym. Dla wielu przedsiębiorców właściwe wdrożenie obowiązków wynikających z ustawy może okazać się kluczowe dla ograniczenia ryzyka sankcji – zarówno na poziomie organizacji, jak i kadry zarządzającej.

 

*Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148. 

Kontakt
Photo of Aleksandra Połojko-Marciniak
Aleksandra Połojko-Marciniak
Associate I Radca prawny
Zobacz profil

Zobacz także

Prawo
Umowy Agile – charakterystyka, wady i zalety
Grzegorz Antonowicz 15 kwi 2026
Wideo Prawo
Widełkowe podwyższenie kapitału zakładowego w spółce z o.o.
Emilia Drzazgowska-Bzdok Krzysztof Rubas 13 kwi 2026
Prawo Aktualności
Istotne zmiany w kontroli umów B2B – nowelizacja ustawy o PIP
Joanna Jędrzejewska 2 kwi 2026
Chcesz skorzystać z naszych usług? Wypełnij formularz zapytań ofertowych – to najszybsza droga do kontaktu z właściwym ekspertem.
Zapytanie ofertowe