Ustawa KSC przewiduje kary do 10 mln EUR lub 2% rocznego obrotu dla podmiotu kluczowego, do 7 mln EUR lub 1,4% obrotu dla podmiotu ważnego, w przypadkach kwalifikowanych — do 100 mln zł, a dla kierownika podmiotu karę osobistą do 300% wynagrodzenia. Poniżej pełny obraz: kto, za co i w jakiej kolejności — oraz co realnie chroni przed karą.
Kary w ustawie KSC — pełna tabela
| Kogo dotyczy | Maksymalna kara |
|---|---|
| Podmiot kluczowy | do 10 mln EUR lub 2% całkowitego rocznego obrotu (wyższa z kwot) |
| Podmiot ważny | do 7 mln EUR lub 1,4% obrotu |
| Przypadki kwalifikowane (naruszenie wywołało bezpośrednie zagrożenie bezpieczeństwa lub poważną szkodę) | kara może sięgnąć 100 mln zł |
| Kierownik podmiotu (osobiście) | do 300% wynagrodzenia |
Wobec podmiotów kluczowych ustawa przewiduje też środki ostateczne: m.in. czasowy zakaz pełnienia funkcji zarządczych oraz ograniczenia w prowadzeniu działalności do czasu usunięcia naruszeń.
Kary NIS2/KSC nie spadają z nieba — drabina nadzoru
Organy właściwe (co do zasady ministrowie nadzorujący poszczególne sektory) mają uprawnienia do kontroli — u podmiotów kluczowych także planowych, bez szczególnego powodu — żądania informacji i dokumentów, wydawania zaleceń, ostrzeżeń i nakazów usunięcia naruszeń w terminie. Dopiero na końcu tej drabiny stoją kary pieniężne.
Przy wymierzaniu kar organ uwzględnia okoliczności: wagę i czas trwania naruszenia, jego skutki, wcześniejsze naruszenia, stopień współpracy i działania naprawcze. System jest skonstruowany tak, by karać przede wszystkim ignorowanie obowiązków, nie niedoskonałość wdrożenia.
Naruszenia „zero-jedynkowe” — od nich zaczyna się egzekwowanie
Najbardziej ryzykowne są naruszenia trywialne do stwierdzenia i niemożliwe do wytłumaczenia:
- brak wpisu do wykazu podmiotów kluczowych i ważnych,
- brak zgłoszenia incydentu w ustawowych terminach,
- brak wymaganego audytu bezpieczeństwa,
- brak przeszkolonego zarządu.
Każde z nich organ widzi „gołym okiem” w rejestrach i dokumentach — nie potrzebuje do tego skomplikowanej oceny jakości zabezpieczeń.
Kara osobista dla kierownika: 300% wynagrodzenia i dlaczego nie da się jej delegować
„Kierownik podmiotu kluczowego lub ważnego” to w spółkach co do zasady cały zarząd — a nie tylko prezes czy członek „od IT”. Kierownik zatwierdza SZBI i dokumentację, nadzoruje wdrożenie i utrzymanie systemu, przechodzi coroczne szkolenie z cyberbezpieczeństwa i ponosi osobistą odpowiedzialność za realizację obowiązków — z karą pieniężną do 300% własnego wynagrodzenia włącznie.
Konstrukcja jest celowa i odporna na klasyczny unik: można delegować zadania (do CISO, działu IT, firmy doradczej) — nie można delegować odpowiedzialności. W kontroli zarząd broni się dowodami własnego zaangażowania: uchwałami, zatwierdzeniami, udziałem w przeglądach, odbytymi szkoleniami. Ich brak to gotowy materiał na karę osobistą, niezależnie od tego, ile firma wydała na technologie.
Czego organ realnie szuka w kontroli
Warto wiedzieć, na co patrzy kontroler — bo to pokazuje, co naprawdę „broni” firmę:
- dowodów decyzji zarządu: uchwał, zatwierdzeń, udziału w przeglądach,
- żywej analizy ryzyka z datami przeglądów — nie jednorazowego dokumentu,
- rejestru incydentów, także tych drobnych — pusty rejestr nie uspokaja, tylko niepokoi,
- wyników testów ciągłości działania,
- umów z dostawcami zawierających klauzule bezpieczeństwa,
- zaświadczeń ze szkoleń kierownictwa,
- spójności między papierem a praktyką — kontrolerzy pytają pracowników, nie tylko czytają procedury.
Pułapki, które najczęściej kończą się karą
- **Czekanie „aż nas wpiszą”.** Obowiązki biegną od spełnienia przesłanek; wpis jest deklaratoryjny, a organ może wpisać z urzędu.
- **Dokumentacja z półki.** Kupione polityki bez wdrożenia i dowodów stosowania bronią się w kontroli gorzej niż skromny, ale prawdziwy system.
- **Dostawcy IT na starych umowach.** Brak klauzul bezpieczeństwa to naruszenie widoczne gołym okiem w papierach — najłatwiejszy łup kontrolny.
- **Zarząd, który „oddelegował i zapomniał”.** Brak uchwał, zatwierdzeń i szkoleń to materiał na karę osobistą niezależnie od wydatków na technologie.
- **Planowanie „na Trybunał”.** Spór konstytucyjny nie zawiesił żadnego terminu — to zła polisa.
Co realnie chroni przed karą
- **Wpis do wykazu w terminie** — samoidentyfikacja i wniosek do 3 października 2026 r. zamykają najłatwiejszy do stwierdzenia zarzut.
- **Działający SZBI, nie segregator polityk** — w kontroli dokumentacja operacyjna (rejestry, raporty z testów, zapisy decyzji) waży więcej niż normatywna; „segregator pięknych polityk bez śladu ich stosowania to klasyczna droga do kary mimo poniesionych kosztów”.
- **Gotowość incydentowa** — wewnętrzna ścieżka eskalacji liczona w godzinach, bo zegar zgłoszeń startuje od wykrycia incydentu w organizacji, nie od dowiedzenia się zarządu.
- **Dowody zaangażowania zarządu** — uchwały, zatwierdzenia, udział w przeglądach, coroczne szkolenia z zaświadczeniami.
- **Współpraca i działania naprawcze** — organ uwzględnia je przy wymiarze kary.
Tak — kary dotyczą wszystkich podmiotów kluczowych i ważnych, a progi wielkości obejmują już przedsiębiorstwa od 50 osób lub 10 mln EUR obrotu. Pułapy kar (10/7 mln EUR lub procent obrotu) są maksymalne; organ uwzględnia okoliczności, w tym wagę naruszenia i współpracę.
Sprawdź, gdzie jesteś, zanim sprawdzi to organ
Zrób bezpłatny test kwalifikacji albo samoocenę zarządczą — zobaczysz, które obowiązki dotyczą Twojej firmy i od czego zacząć.
Przewodnik po ustawie KSC 2026 (PDF)