System sankcji w znowelizowanej ustawie o krajowym systemie cyberbezpieczeństwa (Dz.U. 2026 poz. 20 t.j., zmiana Dz.U. 2026 poz. 252) jest jednym z najsurowszych w polskim prawie regulacyjnym. Kary sięgają 10 mln EUR lub 2% przychodów dla podmiotu kluczowego, w przypadkach szczególnie niebezpiecznych — do 100 mln zł. Sam kierownik podmiotu może być osobiście ukarany kwotą do 300% własnego wynagrodzenia. Do tego dochodzą rozbudowane środki nadzorcze — od ostrzeżenia, przez urzędnika monitorującego wchodzącego do firmy na miesiąc, aż po wstrzymanie działalności podmiotu kluczowego. W tym ostatnim wpisie naszego cyklu o NIS2 i KSC tłumaczymy, jak wygląda nadzór organów właściwych i kary z art. 53, 53d, 73 i 73a KSC.

Dwa modele nadzoru — prewencyjny dla kluczowych, następczy dla ważnych

Cały model nadzoru wynika z art. 32 dyrektywy 2022/2555 (NIS2), który wymaga od państw członkowskich wyposażenia organów nadzorczych w konkretne, skuteczne uprawnienia kontrolne. Art. 53 ust. 1 KSC stanowi, że nadzór dotyczący stosowania przepisów ustawy sprawują organy właściwe do spraw cyberbezpieczeństwa w zakresie wykonywania przez podmioty kluczowe i podmioty ważne wynikających z ustawy obowiązków. Dla różnych sektorów organy są inne — KNF dla bankowości, Minister Cyfryzacji dla zarządzania usługami ICT, Prezes URE dla energetyki, Minister Zdrowia dla ochrony zdrowia.

Art. 53 ust. 3 KSC wprowadza istotne rozróżnienie, które wprost odzwierciedla podział wprowadzony w art. 32 (nadzór ex ante nad podmiotami kluczowymi) i art. 33 (nadzór ex post nad podmiotami ważnymi) dyrektywy NIS2:

  • wobec podmiotów kluczowych — organ sprawuje nadzór o charakterze prewencyjnym i następczym;
  • wobec podmiotów ważnych — nadzór o charakterze następczym, w szczególności w przypadku uzasadnionego podejrzenia naruszenia przepisów ustawy.

W praktyce różnica jest istotna. Wobec podmiotu kluczowego organ może w dowolnym momencie podjąć aktywne działania nadzorcze — zlecić kontrolę, zażądać dostępu do danych i dokumentów, nakazać audyt zewnętrzny — niezależnie od istnienia konkretnego incydentu lub naruszenia. Wobec podmiotu ważnego organ działa zasadniczo reaktywnie — w odpowiedzi na zdarzenie lub podejrzenie.

Sześć narzędzi nadzorczych z art. 53 ust. 2 KSC

Art. 53 ust. 2 KSC daje organowi właściwemu wobec podmiotów kluczowych sześć podstawowych narzędzi:

  1. prowadzenie kontroli, w tym doraźnych, w siedzibie podmiotu, miejscu wykonywania działalności gospodarczej lub zdalnie;
  2. nałożenie obowiązku przeprowadzenia audytu z art. 15 ust. 1b KSC, w szczególności po incydencie poważnym lub naruszeniu przepisów;
  3. zlecenie CSIRT MON, CSIRT NASK, CSIRT GOV lub CSIRT sektorowemu dokonania oceny bezpieczeństwa systemu informacyjnego podmiotu kluczowego;
  4. wystąpienie z wnioskiem o udzielenie informacji niezbędnych do oceny środków z art. 8 ust. 1 pkt 2 i 5;
  5. wystąpienie z wnioskiem o dostęp do danych, dokumentów i informacji koniecznych do wykonywania nadzoru;
  6. wystąpienie z wnioskiem o przedstawienie dowodów realizacji wymogów z art. 8 ust. 1.

Wobec podmiotów ważnych — art. 53 ust. 17 KSC wskazuje, że stosuje się odpowiednio art. 53 ust. 2 (z ograniczeniami) oraz dalsze przepisy o nadzorze.

Pismo z ostrzeżeniem — pierwszy krok w eskalacji (art. 53 ust. 4 KSC)

Art. 53 ust. 4 KSC wprowadza obowiązek pisma z ostrzeżeniem: „W przypadku uzasadnionego podejrzenia, że działania lub zaniechania podmiotu kluczowego mogą naruszać przepisy ustawy, organ właściwy do spraw cyberbezpieczeństwa kieruje do tego podmiotu pismo w formie elektronicznej z ostrzeżeniem, w którym wskazuje czynności, jakie należy podjąć w celu zapobieżenia lub zaprzestania naruszania przepisów ustawy oraz termin na ich wykonanie."

Pismo z ostrzeżeniem to formalny pierwszy krok eskalacji. Z punktu widzenia podmiotu — to bardzo istotny moment. Reakcja w wyznaczonym terminie i w sposób spełniający oczekiwania organu może zatrzymać dalszą eskalację. Brak reakcji albo niepełna reakcja otwiera drogę do twardszych środków z art. 53 ust. 5 — i ostatecznie do kary pieniężnej.

Osiem twardych środków nadzorczych — art. 53 ust. 5 KSC

Jeżeli pismo z ostrzeżeniem nie przyniosło rezultatu (lub jeżeli organ uznaje, że ostrzeżenie nie jest właściwe), wobec podmiotów kluczowych może zastosować osiem środków z art. 53 ust. 5 KSC:

  1. nakazać podjęcie określonych czynności dotyczących obsługi incydentu;
  2. nakazać, w drodze decyzji, zaniechanie naruszania przepisów ustawy;
  3. nakazać, w drodze decyzji, zapewnienie zgodności systemu zarządzania bezpieczeństwem informacji zgodnie z art. 8 ust. 1 pkt 2 lub realizacji obowiązku zgłaszania incydentu poważnego;
  4. nakazać, w drodze decyzji, poinformowanie odbiorców usług o poważnym cyberzagrożeniu i możliwych środkach ochronnych;
  5. nakazać, w drodze decyzji, wdrożenie zaleceń wydanych w wyniku audytu lub audytu z art. 15 ust. 1b;
  6. wyznaczyć urzędnika monitorującego — na czas niedłuższy niż miesiąc — do nadzorowania wykonywania obowiązków;
  7. nakazać podanie do wiadomości publicznej informacji o naruszeniach przepisów ustawy (tzw. naming and shaming);
  8. nakazać, w postępowaniu uproszczonym, podanie do publicznej wiadomości informacji o incydencie poważnym.

Wobec podmiotów ważnych art. 53 ust. 17 KSC wyłącza punkty 6 i 8 (urzędnik monitorujący i ujawnienie informacji o incydencie) — te środki dotyczą wyłącznie podmiotów kluczowych.

Urzędnik monitorujący — najtwardsze narzędzie wewnętrzne (art. 53d KSC)

Z punktu widzenia praktyki najbardziej inwazyjnym środkiem jest urzędnik monitorujący wyznaczany na podstawie art. 53 ust. 5 pkt 6 KSC. Art. 53d ust. 1 KSC daje mu szerokie uprawnienia:

  • swobodny wstęp i poruszanie się po terenie podmiotu kluczowego po uzyskaniu przepustki, której wydania nie można odmówić;
  • wgląd do dokumentów dotyczących działalności podmiotu kluczowego;
  • przetwarzanie danych osobowych w zakresie niezbędnym do realizacji celu nadzoru;
  • żądanie złożenia ustnych lub pisemnych wyjaśnień w sprawach dotyczących zakresu nadzoru;
  • przeprowadzanie oględzin urządzeń, nośników oraz systemów informacyjnych, po wcześniejszym zawiadomieniu (art. 53d ust. 4 — termin 1 dnia przed oględzinami).

Urzędnik monitorujący jest osobą fizyczną zatrudnioną w urzędzie obsługującym organ właściwy. Wyznaczenie odbywa się w drodze decyzji organu na czas nie dłuższy niż 1 miesiąc. Z naszego doświadczenia w praktyce regulacyjnej już sama groźba wyznaczenia urzędnika monitorującego silnie motywuje podmioty do współpracy w postępowaniu nadzorczym — pojawienie się urzędnika w siedzibie firmy, z dostępem do dokumentów i z prawem żądania wyjaśnień, jest dla zarządu zdarzeniem o dużym ciężarze reputacyjnym.

Urzędnik jest zobowiązany do zachowania tajemnicy prawnie chronionej (art. 53d ust. 2 KSC) — ale to zobowiązanie nie ogranicza jego dostępu do danych podmiotu, w tym do dokumentacji systemu zarządzania bezpieczeństwem.

Wstrzymanie działalności podmiotu kluczowego — art. 53 ust. 9 KSC

Najsurowsze ze środków nadzorczych — wstrzymanie działalności — przewiduje art. 53 ust. 9 KSC. Stosuje się go wyłącznie wobec podmiotów kluczowych (z wyłączeniem podmiotów publicznych — art. 53 ust. 10 KSC), gdy podmiot nie zastosował się do nakazu z ust. 5 pkt 1 lub do decyzji z ust. 5 pkt 2–8.

Organ może w drodze decyzji:

  • wstrzymać udzieloną podmiotowi koncesję lub ograniczyć jej zakres;
  • wstrzymać działalność podmiotu kluczowego wpisanego do rejestru działalności regulowanej;
  • wstrzymać zezwolenie na prowadzenie działalności gospodarczej lub ograniczyć jego zakres;
  • wstrzymać działalność podmiotu wpisanego do CEIDG;
  • wstrzymać działalność podmiotu wpisanego do rejestru przedsiębiorców KRS;
  • zakazać pełnienia funkcji zarządczych przez kierownika podmiotu do czasu usunięcia uchybień, o ile nie doprowadzi to do uniemożliwienia funkcjonowania podmiotu w zakresie niezbędnym do usunięcia uchybień.

Decyzja jest jednoinstancyjna, a podmiot kluczowy może wnieść skargę do sądu administracyjnego (art. 53 ust. 8 KSC). Wniesienie skargi wstrzymuje stosowanie środków z art. 53 ust. 9 — sąd administracyjny rozstrzyga sprawę w terminie miesiąca od dnia wniesienia skargi (art. 53 ust. 11 KSC).

To środek skrajny, ale prawnie dostępny. Z naszego doświadczenia po wprowadzeniu nowelizacji organy właściwe — w szczególności KNF i Minister Cyfryzacji — będą sięgać po ten środek raczej oszczędnie, ale konsekwentnie wobec podmiotów uporczywie niewykonujących obowiązków po wcześniejszych ostrzeżeniach i decyzjach.

Polecenie zabezpieczające ministra — art. 67g KSC

Oprócz nadzoru sektorowego, polski system KSC zna jeszcze jedno narzędzie awaryjne — polecenie zabezpieczające wydawane przez ministra właściwego do spraw informatyzacji w przypadku incydentu krytycznego (art. 67g ust. 1 KSC).

Polecenie zabezpieczające:

  • dotyczy nieokreślonej liczby podmiotów kluczowych, ważnych oraz podmiotów finansowych (z wyłączeniem objętych art. 16 DORA);
  • wydawane jest po analizie obejmującej istotność cyberzagrożenia, szacowanie ryzyka, skutki incydentu, skuteczność nakazu i jego dotkliwość (art. 67g ust. 5);
  • podlega natychmiastowej wykonalności (art. 67g ust. 14);
  • może obowiązywać maksymalnie 2 lata (art. 67g ust. 12);
  • doręczane jest poprzez ogłoszenie komunikatu w dzienniku urzędowym ministra (art. 67g ust. 16).

Art. 67g ust. 10 KSC wymienia 10 obowiązków, jakie polecenie zabezpieczające może nakazać:

  • nakaz przeprowadzenia szacowania ryzyka i wprowadzenia środków ochrony;
  • nakaz przeglądu planów BCP/DRP;
  • nakaz zastosowania określonej poprawki bezpieczeństwa;
  • nakaz szczególnej konfiguracji produktu lub usługi ICT;
  • nakaz wzmożonego monitorowania;
  • zakaz korzystania z określonego produktu ICT lub usługi ICT posiadającego podatność;
  • nakaz ograniczenia ruchu sieciowego;
  • nakaz wstrzymania dystrybucji lub zakaz instalacji określonej wersji oprogramowania;
  • nakaz zabezpieczenia informacji, w tym dzienników systemowych;
  • nakaz wytworzenia obrazów stanu określonych urządzeń.

Skarga na polecenie zabezpieczające — art. 67i ust. 1 KSC — wnosi się w terminie 2 miesięcy od dnia ogłoszenia komunikatu w dzienniku urzędowym ministra. Wniosek o przywrócenie terminu jest niedopuszczalny (art. 67i ust. 3 KSC).

Kary pieniężne — wysokość i podstawy

System kar pieniężnych KSC ma trzy poziomy.

Poziom 1 — podmiot kluczowy (art. 73 ust. 3 KSC): do 10 000 000 EUR lub 2% przychodów osiągniętych z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary, przy czym zastosowanie ma kwota wyższa. Kara nie może być niższa niż 20 000 zł.

Poziom 2 — podmiot ważny (art. 73 ust. 4 KSC): do 7 000 000 EUR lub 1,4% przychodów, kwota wyższa. Kara nie może być niższa niż 15 000 zł.

Poziom 3 — naruszenie szczególne (art. 73 ust. 5 KSC): jeżeli podmiot kluczowy lub podmiot ważny narusza przepisy ustawy, powodując bezpośrednie i poważne cyberzagrożenie dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi, lub zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług, organ właściwy nakłada karę w wysokości do 100 000 000 zł. Ten dodatkowy poziom kar nie wynika wprost z dyrektywy NIS2 — to autorskie rozszerzenie polskiego ustawodawcy, motywowane kontekstem bezpieczeństwa narodowego.

Art. 73a ust. 4 KSC wprowadza karę dla kierownika prywatnego podmiotu — do 300% otrzymywanego wynagrodzenia, obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop. Dla kierownika podmiotu publicznego (art. 73a ust. 5 KSC) — do 100% wynagrodzenia.

Kara na podmiot i kara na kierownika mogą być nałożone niezależnie od siebie (art. 73a ust. 3 KSC). Ten sam czyn może więc skutkować dwiema sankcjami — administracyjną wobec podmiotu i osobistą wobec kierownika.

22 podstawy nałożenia kary z art. 73 ust. 1 KSC

Art. 73 ust. 1 KSC wymienia 22 konkretne podstawy nałożenia kary pieniężnej na podmiot kluczowy lub ważny. Wśród nich:

  • niedopełnienie obowiązków rejestracyjnych w wykazie (pkt 1);
  • nieprzeprowadzanie systematycznego szacowania ryzyka (pkt 2);
  • niewdrożenie systemu zarządzania bezpieczeństwem informacji z art. 8 lub niespełnienie jego wymogów (pkt 3);
  • niewykonywanie obowiązków dokumentacyjnych z art. 10 ust. 1 (pkt 4);
  • niezgłoszenie wczesnego ostrzeżenia w 24 godzinach (pkt 6);
  • niezgłoszenie incydentu poważnego w 72 godzinach (pkt 7);
  • nieprzekazanie sprawozdania końcowego (pkt 9);
  • niewspółdziałanie z CSIRT (pkt 10);
  • nieprzeprowadzenie audytu w terminie z art. 15 (pkt 11);
  • nieusunięcie podatności wskazanych w art. 32 ust. 2 (pkt 12);
  • niekorzystanie z systemu S46 do raportowania (pkt 13);
  • uniemożliwianie kontroli (pkt 14);
  • uniemożliwianie pracy urzędnika monitorującego (pkt 16);
  • niewykonanie zaleceń pokontrolnych (pkt 17);
  • niewykonywanie poleceń zabezpieczających (pkt 20–21).

Art. 73 ust. 1a KSC dodaje, że organ może nałożyć karę także za niezłożenie w terminie wniosku o wpis do wykazu (art. 7c ust. 1) lub za niewykonywanie obowiązków z art. 9 (osoby kontaktowe, informowanie użytkowników) — jeżeli przemawia za tym waga i znaczenie naruszonych przepisów.

Art. 73 ust. 1b KSC stanowi, że karze pieniężnej podlega także podmiot, którego działanie lub zaniechanie miało charakter jednorazowy — znacząca zmiana w stosunku do dawnej praktyki, gdzie sankcje administracyjne często wymagały „uporczywości".

14 podstaw nałożenia kary na kierownika z art. 73a ust. 1 KSC

Art. 73a ust. 1 KSC wymienia 14 osobnych podstaw nałożenia kary pieniężnej na kierownika podmiotu kluczowego lub ważnego:

  • niedopełnienie obowiązków rejestracyjnych — pkt 1;
  • niewykonywanie obowiązków z art. 8 (system zarządzania bezpieczeństwem) — pkt 2;
  • niewykonywanie zadań z art. 8d — pkt 3;
  • nieprzejście corocznego szkolenia z art. 8e — pkt 4;
  • niewykonanie obowiązku KRK z art. 8f ust. 1 lub 2 — pkt 5;
  • niewyznaczenie minimum 2 osób kontaktowych — pkt 6;
  • niezapewnienie użytkownikowi możliwości zgłoszenia cyberzagrożenia — pkt 7;
  • niewykonywanie obowiązków dokumentacyjnych — pkt 8;
  • niewykonywanie obowiązków incydentowych z art. 11 — pkt 9;
  • niewykonywanie obowiązków z art. 12 ust. 5–8 (treść zgłoszeń) — pkt 10;
  • przekazanie sprawozdania końcowego niezawierającego wymaganych elementów — pkt 11;
  • niewykonywanie obowiązków sprawozdawczości z postępu (art. 12b) — pkt 12;
  • niewykonywanie obowiązków z art. 14 (struktury cybersec) — pkt 13;
  • niewykonywanie obowiązków z art. 15 (audyt) — pkt 14.

Karę nakłada się, „jeżeli przemawia za tym czas, zakres lub charakter naruszenia" (art. 73a ust. 1 in fine).

Tarcza anty-RODO — art. 76c KSC

Art. 76c ust. 1 KSC wprowadza zasadę istotną dla incydentów łączących KSC i RODO: jeżeli za czyn zagrożony karą z art. 73 lub 73a KSC nałożono prawomocnie karę przez Prezesa UODO (z tytułu naruszenia ochrony danych), organ KSC nie wszczyna postępowania, poprzestając na pouczeniu.

Art. 76c ust. 2 KSC zachowuje natomiast organowi KSC prawo do stosowania środków nadzorczych z art. 53 ust. 4, 5 i 9 — czyli ostrzeżeń, nakazów i zaleceń bez kary pieniężnej.

To ważny element strategii zarządzania incydentami z elementem naruszenia danych osobowych — szybkie i kompletne zgłoszenie do UODO może zmniejszyć ekspozycję na kanale KSC.

Procedura nakładania kary i kryteria wymiaru

Art. 74 KSC wskazuje, że kary z art. 73, 73a i z art. 73b ust. 1 pkt 4 i 5 nakłada organ właściwy do spraw cyberbezpieczeństwa w drodze decyzji. Kary z art. 73c (dot. podmiotów finansowych spoza KSC, ale objętych poleceniem zabezpieczającym) — właściwy organ w rozumieniu DORA, czyli zwykle KNF.

Art. 76a ust. 1 KSC określa kryteria wymiaru kary:

  • kryteria z art. 53 ust. 12 KSC — m.in. waga naruszenia, czas trwania, wcześniejsze poważne naruszenia, spowodowane szkody, umyślny lub nieumyślny charakter czynu, środki zapobiegawcze, stopień współpracy z organem;
  • wysokość przychodu z działalności gospodarczej w poprzednim roku;
  • możliwości finansowe podmiotu lub kierownika.

Art. 76a ust. 9 KSC daje organowi możliwość odstąpienia od nałożenia kary, jeżeli waga naruszenia i znaczenie naruszonych przepisów są znikome, a podmiot zaprzestał naruszania prawa lub naprawił wyrządzoną szkodę. To istotny detal — w sytuacji, gdy podmiot szybko wykrył naruszenie, samodzielnie je usunął, naprawił szkody i wprowadził środki naprawcze, organ ma narzędzie pozwalające na łagodzenie sankcji.

Termin zapłaty kary — 14 dni od dnia, w którym decyzja stała się ostateczna lub od dnia doręczenia decyzji z rygorem natychmiastowej wykonalności (art. 76a ust. 5 KSC). Wpływy z kar — na rachunek Funduszu Cyberbezpieczeństwa (art. 74 ust. 5 KSC).

Kontrola doraźna — art. 59c KSC

Oddzielnie od głównych ścieżek nadzoru, organ właściwy może przeprowadzić kontrolę doraźną w trybie art. 59c KSC. Cztery przesłanki:

  • uzasadniony charakter sprawy lub pilność;
  • ochrona bezpieczeństwa państwa;
  • realizacja wzajemnej pomocy UE;
  • sprawdzenie usunięcia uchybień stwierdzonych wcześniej.

Uprawnienia kontrolera (art. 55 KSC) — szerokie: swobodny wstęp bez przepustki, wgląd do dokumentów i pobieranie kopii, żądanie ustnych i pisemnych wyjaśnień, oględziny urządzeń, nośników i systemów. Co istotne — w trybie kontroli doraźnej nie obowiązują standardowe wymogi powiadamiania z wyprzedzeniem.

Najważniejsze działania do podjęcia w obszarze nadzoru i ekspozycji na sankcje

Z naszego doświadczenia kompleksowe przygotowanie organizacji do nadzoru KSC wymaga uwzględnienia następujących elementów:

  • rejestr ryzyk regulacyjnych — identyfikacja wszystkich obszarów, w których podmiot mógłby być ukarany z art. 73 lub 73a KSC; rangowanie wagi i prawdopodobieństwa;
  • gotowość na pismo z ostrzeżeniem — procedura odpowiedzi na pismo z art. 53 ust. 4 KSC (kto reaguje, w jakim terminie, jak weryfikujemy zgodność);
  • procedura dla urzędnika monitorującego — kto towarzyszy urzędnikowi, jak udostępniamy dokumenty, jak chronimy tajemnice prawnie chronione;
  • udokumentowane szkolenie zarządu z art. 8e — bo to najprostsza i najczęstsza podstawa kary z art. 73a ust. 1 pkt 4 KSC;
  • dokumentacja audytu z art. 15 w 24-miesięcznym oknie — bo niewykonanie audytu jest podstawą kary z art. 73 ust. 1 pkt 11 KSC;
  • mapa decyzyjna na incydent poważny — zegar tyka od momentu wykrycia (24h, 72h, 1 mies.), a niezachowanie terminu jest podstawą kary z art. 73 ust. 1 pkt 6, 7 i 9 KSC;
  • scenariusz „polecenie zabezpieczające" — kto monitoruje dziennik urzędowy ministra i jak organizacja reaguje na publikację z art. 67g ust. 15 KSC.

Zarząd, który ma te elementy zoperacjonalizowane przed pierwszą realną kontrolą, znacznie skuteczniej zarządza ekspozycją na sankcje administracyjne i osobiste.

Jak możemy Ci pomóc?

Architektura nadzoru i kar w KSC tworzy realne ryzyko sankcji administracyjnych i osobistych dla podmiotów oraz ich zarządów. W Legal Geek wspieramy Klientów w przygotowaniu do nadzoru organów właściwych — od polityki reakcji na pismo z ostrzeżeniem z art. 53 ust. 4 KSC, przez procedurę współpracy z urzędnikiem monitorującym, aż po obronę w postępowaniach z art. 73 i 73a KSC. Pomagamy także wykorzystać art. 76a ust. 9 KSC (odstąpienie od kary) tam, gdzie to możliwe. Jeżeli chcesz przygotować organizację na realny scenariusz nadzoru lub potrzebujesz wsparcia w toczącym się postępowaniu — napisz do nas.

To ostatni wpis naszego cyklu o NIS2 i KSC. Cały cykl artykułów dostępny jest pod tagiem #KSC i #NIS2 — od wprowadzenia, przez klasyfikację podmiotu, rejestrację, odpowiedzialność zarządu, system zarządzania bezpieczeństwem, raportowanie incydentów, audyt z art. 15 i lex specialis dla sektora finansowego, aż po niniejszy wpis o nadzorze i karach.

Co dalej w cyklu?