Być może od tego właśnie tematu wątek zmian w przepisach o cyberbezpieczeństwie trzeba było zacząć… Cóż, od rzemyczka do koniczka, aż kobyłka u płota, więc przyszedł czas i na kilka słów o tym jakie kary grożą za naruszenie obowiązków wynikających z NIS2.
Bez zbytecznego detalizmu:
- po pierwsze ustawa o krajowym systemie cyberbezpieczeństwa przewiduje dwie kategorie kar pieniężnych: kary za niewykonywanie niektórych obowiązków wynikających z NIS2 są obligatoryjnie nakładane bezpośrednio na podmiot kluczowy lub ważny (za brak szacowania ryzyka, za niewdrożenie systemu zarządzania bezpieczeństwem informacji, za nieprawidłową obsługę incydentów, za niekorzystanie z systemu S46, za niezastosowanie się do decyzji w/s uznania dostawcy za dostawcę wysokiego ryzyka lub polecenia zabezpieczającego, etc., etc.);
- teraz przejdźmy do maksa, bo maks zawsze robi najlepsze wrażenie: jeśli podmiot kluczowy lub podmiot ważny dopuścił się naruszenia warunków ustawy powodującego zagrożenie szczególnego rodzaju dla obronności, bezpieczeństwa czy majątku, górny pułap sankcji szybuje do astronomicznej kwoty 100 mln złotych;
art. 73 ust. 5 ustawy o krajowym systemie cyberbezpieczeństwa
Jeżeli podmiot kluczowy albo podmiot ważny narusza przepisy ustawy, powodując:
1) bezpośrednie i poważne cyberzagrożenie dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi,
2) zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług
– organ właściwy do spraw cyberbezpieczeństwa nakłada karę w wysokości do 100 000 000 zł.
- kara nieobligatoryjna grozi natomiast za uchybienie terminu wpisu do rejestru podmiotów i ważnych oraz brak wyznaczenia osób odpowiedzialnych za kontakt z podmiotami KSC, brak umożliwienia użytkownikowi zgłoszenia cyberzagrożenia, incydentu, podatności, etc.;
- wysokość kary pieniężnej za naruszenie wymogów NIS2 w przypadku podmiotów kluczowych może sięgać 10 mln euro (przeliczone na złotówki w/g kursu średniego NBP z 31 grudnia roku poprzedzającego) lub 2% przychodów osiągniętych z działalności w roku poprzedzającym jej wymierzenie, przy czym kara nie może być niższa niż 20 tys. złotych; kary nakładane na podmioty ważne są nieco niższe i wynoszą odpowiednio 7 mln euro lub 1,4% przychodów, nie mniej jednak niż 15 tys. zł;
- co do zasady nałożenia kary nie wyklucza jednorazowość uchybienia (przypuszczam, że w praktyce przepis ten może być interpretowany jako możliwość multiplikowania sankcji za „ciąg” naruszeń — rzucił bym w tym miejscu bon-motem, że znów wychodzi na to, że lepiej zapobiegać niż bulić);
- analogicznej sankcji podlega brak weryfikacji danych osobowych abonentów domen i nieprzekazywania tych danych na żądanie odpowiednich służb;
- natomiast dostawcy usług cyfrowych spoza Unii Europejskiej (m.in. dostawcy usług DNS, internetowe platformy handlowe i platformy usług sieci społecznościowych), które świadcząc usługi w Polsce nie wyznaczyły przedstawiciela d/s NIS2, ryzykują karą w wysokości 50 tys. zł;
- (jeszcze inne odrębności dotyczą podmiotów finansowych nie będących podmiotami kluczowymi lub ważnymi, lecz podlegającym rozporządzeniu w/s odporności cyfrowej sektora finansowego (dodać warto, że DORA przewiduje swoje kary);
- o tym już było, więc tylko napomknę: odrębną odpowiedzialność za naruszenie obowiązków wynikających z NIS2 ponosi kierownik podmiotu, zaś górny pułap kary sięga 300% jego wynagrodzenia (acz organ nakładający karę powinien wziąć pod uwagę „możliwości finansowe” ukaranej osoby);
- po siódme przepisy przewidują okresowe kary pieniężne — od 500 zł do 100 tys. zł za każdy dzień opóźnienia — w celu przymuszenia podmiotu do wykonania obowiązków nałożonych w wydanym przez nadzór nakazie (taki nakaz może dotyczyć m.in. zaniechania naruszeń, wdrożenia SZBI, zgłoszenia incydentu, etc., a organ nadzoru może go wydać w przypadku zignorowania przez podmiot pisemnego ostrzeżenia, art. 53 uksc);
- a ponieważ naruszenie NIS2 może być równocześnie naruszeniem RODO: jeśli uchybienie podmiotu zostało już zakwalifikowane jako naruszenie ochrony danych osobowych, za które podmiot został już prawomocnie ukarany przez PUODO — zgodnie z zasadą ne bis in idem — nie wszczyna się postępowania w/s naruszenia, a organ „poprzestaje na pouczeniu”…
art. 76c ust. 1 uksc
Jeżeli za czyn zagrożony karą określoną w art. 73 lub art. 73a została nałożona prawomocnie kara pieniężna przez Prezesa Urzędu Ochrony Danych Osobowych w związku z naruszeniem ochrony danych osobowych, organ właściwy do spraw cyberbezpieczeństwa nie wszczyna postępowania w sprawie nałożenia kary i poprzestaje na pouczeniu. Jeżeli zostało wszczęte postępowanie w sprawie nałożenia kary pieniężnej, stosuje się odpowiednio przepis art. 189f ust. 1 pkt 2 [kpa].
- …aczkolwiek można też zastosować środki nadzoru w postaci pisemnego ostrzeżenia, nakazu oraz zakazów (prowadzenia działalności, etc.) — a skoro niezastosowanie się do nakazu podlega odrębnej sankcji, to na końcu tej historii czają się kary wynikające z NIS2;
- i jeszcze raz: nowelizacja ustawy KSC przewiduje, iż „nowe” kary za naruszenie NIS2 nie będą nakładane przez pierwsze 2 lata, licząc od 3 kwietnia 2026 r. — co rzecz jasna nie może być rozumiane ani jako przyzwolenie na dezynwolturę wobec regulacji…
art. 35 ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2026 r. póz. 252)
Kary pieniężne, o których mowa w art. 73 ust. 1-4 oraz art. 73a-73c i art. 76b ustawy zmienianej w art. 1 w brzmieniu nadanym niniejszą ustawą mogą być po raz pierwszy nałożone po upływie 2 lat od dnia wejścia w życie ustawy.
- …ani jako zakaz wszczynania postępowań w sprawie naruszeń, które miały miejsce przed upływem owego terminu — i ewentualnego nałożenia kary później (praktyka pokaże czy taka będzie interpretacja tego przepisu).
I to by było na tyle, na razie — nie mogę obiecać, że to już koniec tematyki NIS2 na tutejszych łamach.