Przejdź do treści
nis2.org.plby AYO Solutions
← Blog

Kary w ustawie KSC 2026: ile grozi firmie i osobiście kierownikowi

Opublikowano 16 lipca 2026Igor Bielecki

Stan prawny: 10 lipca 2026 r.

Ustawa KSC przewiduje kary do 10 mln EUR lub 2% rocznego obrotu dla podmiotu kluczowego, do 7 mln EUR lub 1,4% obrotu dla podmiotu ważnego, w przypadkach kwalifikowanych — do 100 mln zł, a dla kierownika podmiotu karę osobistą do 300% wynagrodzenia. Poniżej pełny obraz: kto, za co i w jakiej kolejności — oraz co realnie chroni przed karą.

Kary w ustawie KSC — pełna tabela

Kogo dotyczyMaksymalna kara
Podmiot kluczowydo 10 mln EUR lub 2% całkowitego rocznego obrotu (wyższa z kwot)
Podmiot ważnydo 7 mln EUR lub 1,4% obrotu
Przypadki kwalifikowane (naruszenie wywołało bezpośrednie zagrożenie bezpieczeństwa lub poważną szkodę)kara może sięgnąć 100 mln zł
Kierownik podmiotu (osobiście)do 300% wynagrodzenia

Wobec podmiotów kluczowych ustawa przewiduje też środki ostateczne: m.in. czasowy zakaz pełnienia funkcji zarządczych oraz ograniczenia w prowadzeniu działalności do czasu usunięcia naruszeń.

Kary NIS2/KSC nie spadają z nieba — drabina nadzoru

Organy właściwe (co do zasady ministrowie nadzorujący poszczególne sektory) mają uprawnienia do kontroli — u podmiotów kluczowych także planowych, bez szczególnego powodu — żądania informacji i dokumentów, wydawania zaleceń, ostrzeżeń i nakazów usunięcia naruszeń w terminie. Dopiero na końcu tej drabiny stoją kary pieniężne.

Przy wymierzaniu kar organ uwzględnia okoliczności: wagę i czas trwania naruszenia, jego skutki, wcześniejsze naruszenia, stopień współpracy i działania naprawcze. System jest skonstruowany tak, by karać przede wszystkim ignorowanie obowiązków, nie niedoskonałość wdrożenia.

Naruszenia „zero-jedynkowe” — od nich zaczyna się egzekwowanie

Najbardziej ryzykowne są naruszenia trywialne do stwierdzenia i niemożliwe do wytłumaczenia:

  • brak wpisu do wykazu podmiotów kluczowych i ważnych,
  • brak zgłoszenia incydentu w ustawowych terminach,
  • brak wymaganego audytu bezpieczeństwa,
  • brak przeszkolonego zarządu.

Każde z nich organ widzi „gołym okiem” w rejestrach i dokumentach — nie potrzebuje do tego skomplikowanej oceny jakości zabezpieczeń.

Kara osobista dla kierownika: 300% wynagrodzenia i dlaczego nie da się jej delegować

„Kierownik podmiotu kluczowego lub ważnego” to w spółkach co do zasady cały zarząd — a nie tylko prezes czy członek „od IT”. Kierownik zatwierdza SZBI i dokumentację, nadzoruje wdrożenie i utrzymanie systemu, przechodzi coroczne szkolenie z cyberbezpieczeństwa i ponosi osobistą odpowiedzialność za realizację obowiązków — z karą pieniężną do 300% własnego wynagrodzenia włącznie.

Konstrukcja jest celowa i odporna na klasyczny unik: można delegować zadania (do CISO, działu IT, firmy doradczej) — nie można delegować odpowiedzialności. W kontroli zarząd broni się dowodami własnego zaangażowania: uchwałami, zatwierdzeniami, udziałem w przeglądach, odbytymi szkoleniami. Ich brak to gotowy materiał na karę osobistą, niezależnie od tego, ile firma wydała na technologie.

Czego organ realnie szuka w kontroli

Warto wiedzieć, na co patrzy kontroler — bo to pokazuje, co naprawdę „broni” firmę:

  • dowodów decyzji zarządu: uchwał, zatwierdzeń, udziału w przeglądach,
  • żywej analizy ryzyka z datami przeglądów — nie jednorazowego dokumentu,
  • rejestru incydentów, także tych drobnych — pusty rejestr nie uspokaja, tylko niepokoi,
  • wyników testów ciągłości działania,
  • umów z dostawcami zawierających klauzule bezpieczeństwa,
  • zaświadczeń ze szkoleń kierownictwa,
  • spójności między papierem a praktyką — kontrolerzy pytają pracowników, nie tylko czytają procedury.

Pułapki, które najczęściej kończą się karą

  1. **Czekanie „aż nas wpiszą”.** Obowiązki biegną od spełnienia przesłanek; wpis jest deklaratoryjny, a organ może wpisać z urzędu.
  2. **Dokumentacja z półki.** Kupione polityki bez wdrożenia i dowodów stosowania bronią się w kontroli gorzej niż skromny, ale prawdziwy system.
  3. **Dostawcy IT na starych umowach.** Brak klauzul bezpieczeństwa to naruszenie widoczne gołym okiem w papierach — najłatwiejszy łup kontrolny.
  4. **Zarząd, który „oddelegował i zapomniał”.** Brak uchwał, zatwierdzeń i szkoleń to materiał na karę osobistą niezależnie od wydatków na technologie.
  5. **Planowanie „na Trybunał”.** Spór konstytucyjny nie zawiesił żadnego terminu — to zła polisa.

Co realnie chroni przed karą

  1. **Wpis do wykazu w terminie** — samoidentyfikacja i wniosek do 3 października 2026 r. zamykają najłatwiejszy do stwierdzenia zarzut.
  2. **Działający SZBI, nie segregator polityk** — w kontroli dokumentacja operacyjna (rejestry, raporty z testów, zapisy decyzji) waży więcej niż normatywna; „segregator pięknych polityk bez śladu ich stosowania to klasyczna droga do kary mimo poniesionych kosztów”.
  3. **Gotowość incydentowa** — wewnętrzna ścieżka eskalacji liczona w godzinach, bo zegar zgłoszeń startuje od wykrycia incydentu w organizacji, nie od dowiedzenia się zarządu.
  4. **Dowody zaangażowania zarządu** — uchwały, zatwierdzenia, udział w przeglądach, coroczne szkolenia z zaświadczeniami.
  5. **Współpraca i działania naprawcze** — organ uwzględnia je przy wymiarze kary.

Tak — kary dotyczą wszystkich podmiotów kluczowych i ważnych, a progi wielkości obejmują już przedsiębiorstwa od 50 osób lub 10 mln EUR obrotu. Pułapy kar (10/7 mln EUR lub procent obrotu) są maksymalne; organ uwzględnia okoliczności, w tym wagę naruszenia i współpracę.

Sprawdź, gdzie jesteś, zanim sprawdzi to organ

Zrób bezpłatny test kwalifikacji albo samoocenę zarządczą — zobaczysz, które obowiązki dotyczą Twojej firmy i od czego zacząć.

Przewodnik po ustawie KSC 2026 (PDF)

Kwalifikacja, obowiązki, terminy i kary — prostym językiem, do pobrania za e-mail.

Sprawdźmy, na czym stoisz

Bezpłatna, ok. 15-minutowa rozmowa. Ustalimy, czy i jako jaki podmiot podlegasz pod ustawę, jakie masz najbliższe terminy i co warto zrobić w pierwszej kolejności. Bez zobowiązań.

office@ayo-solutions.com