Kto nie zdąży, ten płaci – kary za brak dostosowania organizacji do wymogów dyrektywy NIS2 i UKSC.

Uchwalona przez organy Unii Europejskiej dyrektywa NIS2 oraz projekt ustawy implementującej przedmiotową dyrektywę do krajowego porządku prawnego znacząco zaostrzają odpowiedzialność podmiotów za niedopełnienie obowiązków w zakresie cyberbezpieczeństwa. Poniżej wskazane zostaną sankcje przewidziane w dyrektywie 2022/2555 oraz w najnowszym projekcie rządowym nowelizującym ustawę o krajowym systemie cyberbezpieczeństwa.

Zgodnie z art. 34 ust. 1 NIS2 prawodawca tworzy naczelną zasadę, zgodnie z którą państwa członkowskie mają zapewnić, by administracyjne kary pieniężne nakładane na podmioty kluczowe i ważne za naruszenia niniejszej dyrektywy były skuteczne, proporcjonalne i odstraszające – stosownie do okoliczności każdego indywidualnego przypadku.

W zakresie kar jednostkowych organy UE różnicują je ze względu na status podmiotu. Podmiot kluczowy dokonujący naruszeń może zostać obciążony karą pieniężną w maksymalnej wysokości co najmniej 10 000 000 EUR lub co najmniej 2% łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, do którego należy podmiot kluczowy, przy czym zastosowanie ma kwota wyższa. Natomiast podmiot ważny dokonujący naruszeń może otrzymać karę pieniężną w maksymalnej wysokości co najmniej 7 000 000 EUR lub 1,4% łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa.

Warto wspomnieć, że Rząd RP 21 października 2025 roku przyjął projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw. Projekt ten został skierowany do Sejmu RP w dniu 7 listopada 2025 roku. Projekt ustawy zastrzega, że organ właściwy do spraw cyberbezpieczeństwa, jeżeli przemawia za tym waga i znaczenie naruszonych przepisów, może nałożyć karę pieniężną na podmiot nieprzestrzegający obowiązków wskazanych w UKSC. Przepisy UKSC precyzują kary wskazane w dyrektywie NIS2 o kwoty minimalne, tj. dla podmiotu kluczowego kara nie może być niższa niż 20 000 zł, a dla podmiotu ważnego – niższa niż 15 000 zł.

Projekt ustawy przewiduje również tzw. „superkarę”.

Zgodnie z art. 73 ust. 5 projektu UKSC, gdy podmiot kluczowy albo podmiot ważny narusza przepisy ustawy, powodując:

• bezpośrednie i poważne cyberzagrożenie dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi;
• zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług,
• organ właściwy do spraw cyberbezpieczeństwa nakłada karę w wysokości do 100 000 000 zł.

Karze pieniężnej może podlegać również kierownik podmiotu kluczowego lub podmiotu ważnego. Kara pieniężna może być wymierzona w kwocie nie większej niż 300% otrzymywanego przez ukaranego wynagrodzenia, obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop.

Dyrektywa NIS2 podnosi wymagania w zakresie cyberbezpieczeństwa dla wszystkich podmiotów kluczowych i ważnych w państwach członkowskich Unii Europejskiej, wprowadzając surowe przepisy karne i administracyjne. Polski projekt nowelizacji UKSC wprowadza bardziej dotkliwe sankcje niż sama dyrektywa unijna, dlatego już dziś warto zadbać o swoje praktyki w zakresie cyberbezpieczeństwa.