27-11-2025
3 grudnia w Sejmie odbędzie się pierwsze czytanie projektu ustawy. Kary to zawsze elektryzujący temat, więc przyjrzyjmy się konsekwencjom łamania zapisów ustawy o Krajowym Systemie Cyberbezpieczeństwa (wdrażającej dyrektywę NIS2) dla podmiotów kluczowych.
Poniżej przedstawiono kary finansowe za nieprzestrzeganie wymagań ustawy, które może nałożyć Minister Cyfryzacji na podmioty kluczowe:
• Do 10 000 000 Euro lub do 2% przychodów rocznych spółki, gdzie kara nie może być niższa niż 20 000 zł,
• Od 500 do 100 000 zł za każdy dzień opóźnienia działań naprawczych,
• Do 300% wynagrodzenia Członków Zarządu (odpowiedzialność osobista).
Odpowiedzialność osobista jest tu pewną nowością, która ma szczególnie zmobilizować zarządy wielkich spółek. Dodatkowo, jeżeli naruszenie ustawy powoduje zagrożenie dla obronności, bezpieczeństwa państwa, porządku publicznego, zdrowa i życia ludzi, poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług kluczowych, to Minister Cyfryzacji może nałożyć karę do 100 000 000 zł.
Wyżej wymienione kary nakładane są w wyniku kontroli:
• Prewencyjnej – losowa kontrola lub na podstawie zgłoszeń (np. klientów),
• Następczej – po zgłoszeniu incydentu lub w ramach kontroli wykonania wcześniejszych zaleceń pokontrolnych.
Z jaką mocą organ nadzorczy będzie korzystał z tak szerokich widełek kar finansowych pokażą zapewne pierwsze kazusy.