BlogPoradnik

Kary KSC 2.0 — ile grozi zarządowi i firmie

KSC 2.0 wprowadza kary do 10 mln EUR i osobistą odpowiedzialność zarządu do 300% pensji. Moratorium nie chroni. Konkretne kwoty, scenariusze, pułapki.

SecIQ Team10 min czytania

Kluczowe wnioski

  • Kary organizacyjne: do 10 mln EUR / 2% obrotu (podmioty kluczowe) lub 7 mln EUR / 1,4% (ważne)
  • Kierownik podmiotu odpowiada osobiście: do 300% wynagrodzenia (sektor prywatny) lub 100% (publiczny)
  • Moratorium 24-miesięczne odracza tylko kary administracyjne — odpowiedzialność osobista obowiązuje od dnia wejścia ustawy
  • Polisy D&O zazwyczaj nie pokrywają kar administracyjnych — sprawdź swoją

Nowy rodzaj odpowiedzialności w polskim prawie

KSC 2.0 wprowadziła coś, czego polskie prawo cyberbezpieczeństwa nie znało. Osobistą odpowiedzialność kierownika podmiotu za cyberbezpieczeństwo.

Nie za incydent. Nie za atak. Za brak przygotowania.

To zasadnicza różnica. Pod starą ustawą KSC firma mogła dostać karę, jeśli coś się wydarzyło. Pod nową — firma i jej zarząd odpowiadają za to, czego nie zrobili, nawet jeśli żaden incydent nie nastąpił. Nie wdrożyłeś SZBI? Kara. Nie przeszedłeś szkolenia z cyberbezpieczeństwa? Kara. Nie wyznaczyłeś dwóch osób kontaktowych dla CSIRT? Kara.

NIS2 a KSC: Dyrektywa NIS2 (2022/2555) deleguje szczegóły kar osobistych do państw członkowskich. Polskie kary — do 300% wynagrodzenia kierownika — to przepis polskiej ustawy KSC 2.0 (Dz.U. 2026 poz. 252), nie dyrektywy.

Kary dla organizacji — trzy mechanizmy

Ustawa przewiduje trzy niezależne mechanizmy karania organizacji. Mogą być stosowane łącznie.

Kara główna

Podmiot kluczowy Podmiot ważny
Maksymalna kara 10 mln EUR 7 mln EUR
lub % obrotu 2% rocznego obrotu 1,4% rocznego obrotu
Minimalna kara 20 000 zł 15 000 zł

Stosowana jest kwota wyższa. Firma z obrotem 800 mln PLN jako podmiot kluczowy — 2% obrotu to 16 mln PLN, czyli więcej niż 10 mln EUR. Stosuje się 16 mln PLN.

Firma z obrotem 30 mln PLN jako podmiot ważny — 1,4% to 420 tys. PLN. Mniej niż 7 mln EUR, więc stosuje się 420 tys. PLN (chyba że organ uzna, że naruszenie uzasadnia wyższą kwotę do limitu 7 mln EUR).

Kary dzienne

Od 500 do 100 000 PLN za każdy dzień utrzymywania się naruszenia po wydaniu decyzji nakazowej. Organ wydaje decyzję nakazującą usunięcie naruszenia w określonym terminie. Firma nie wykonuje. Od tego dnia — kara dzienna.

100 000 PLN dziennie to 3 mln PLN miesięcznie. W ciągu roku — 36 mln PLN. Mechanizm znany z prawa ochrony środowiska. Teraz stosowany w cyberbezpieczeństwie.

Kara ekstraordynaryjna

Do 100 mln złotych. Ale wyłącznie przy poważnych naruszeniach zagrażających obronności państwa, bezpieczeństwu publicznemu lub życiu i zdrowiu ludzi. To nie jest scenariusz dla typowej firmy produkcyjnej. Ale operator infrastruktury krytycznej — elektrownia, szpital, system wodociągowy — powinien o tym wiedzieć.

Kary dla kierownika podmiotu

Tu jest nowość. I tu warto się zatrzymać.

Ustawa nie mówi o „zarządzie" abstrakcyjnie. Mówi o „kierowniku podmiotu" — a to konkretna osoba fizyczna, z imieniem, nazwiskiem i wynagrodzeniem, od którego nalicza się karę.

Sektor prywatny Sektor publiczny
Kara maksymalna do 300% miesięcznego wynagrodzenia do 100% miesięcznego wynagrodzenia

Przy pensji prezesa 50 000 PLN miesięcznie — kara do 150 000 PLN. Przy pensji 80 000 PLN — do 240 000 PLN. Przy pensji 120 000 PLN — do 360 000 PLN.

Za co konkretnie może być ukarany kierownik?

Ustawa wymienia przesłanki. To nie są ogólniki „za zaniedbania w cyberbezpieczeństwie". To konkretna lista:

  • Nie wykonał obowiązków dotyczących wpisania do wykazu podmiotów
  • Nie wykonał obowiązków dotyczących wdrożenia i utrzymywania SZBI
  • Nie przeszedł rocznego szkolenia z cyberbezpieczeństwa
  • Nie wyznaczył 2 osób do kontaktu z podmiotami KSC
  • Nie wykonał obowiązków dotyczących obsługi incydentów
  • Nie wykonał obowiązków dotyczących audytu bezpieczeństwa

Każda z tych przesłanek jest osobną podstawą do kary. Prezes, który nie wdrożył SZBI i nie przeszedł szkolenia — może dostać dwie kary. Nie jedną.

Co to oznacza w praktyce

Wyobraź sobie taką sytuację. Firma produkcyjna, 180 pracowników, podmiot ważny. Prezes zarabia 40 000 PLN miesięcznie. W grudniu 2027 dochodzi do incydentu ransomware. Firma nie ma procedur obsługi incydentów, nie jest podłączona do S46, prezes nie przeszedł szkolenia.

Organ nadzorczy stwierdza trzy naruszenia: brak SZBI, brak obsługi incydentów, brak szkolenia kierownika. Kara osobista: do 3 x 120 000 PLN = potencjalnie do 360 000 PLN. Plus kara dla organizacji: do 7 mln EUR.

Czy organ nałoży maksymalne kary? Raczej nie przy pierwszym naruszeniu. Ale sam fakt, że może — zmienia kalkulację ryzyka.

Moratorium — co odracza, a czego nie

Polska ustawa przewiduje 24-miesięczne moratorium na kary administracyjne. Liczy się od dnia wejścia w życie — czyli od 3 kwietnia 2026 do 3 kwietnia 2028.

Wiele firm interpretuje to jako „mamy dwa lata na wdrożenie". To jest częściowo prawda i częściowo pułapka.

Co moratorium odracza:

  • Kary administracyjne nakładane na organizację (te wielomilionowe)
  • Kary dzienne (te po 100 000 PLN dziennie)

Czego moratorium NIE odracza:

  • Odpowiedzialności osobistej kierownika podmiotu
  • Obowiązku rejestracji w wykazie (termin: 3 października 2026)
  • Obowiązku wdrożenia SZBI (termin: 3 kwietnia 2027)
  • Obowiązku podłączenia do S46 (termin: 3 kwietnia 2027)
  • Obowiązku zgłaszania incydentów poważnych (24h / 72h / 30 dni)
  • Obowiązku wyznaczenia osób kontaktowych
  • Obowiązku szkolenia kierownika podmiotu

Innymi słowy: wszystkie obowiązki obowiązują od dnia wejścia ustawy. Moratorium odracza wyłącznie rachunek za organizację. Rachunek za kierownika nie jest odroczony.

Scenariusz, który powinien niepokoić zarządy

Sierpień 2026. Firma odkłada wdrożenie na „po moratorium, bo i tak nie mogą nas ukarać". Dochodzi do incydentu — kompromitacja konta, wyciek danych klientów. Firma nie ma procedur, nie jest zarejestrowana w wykazie, prezes nie przeszedł szkolenia.

CSIRT NASK dowiaduje się o incydencie z mediów (bo firma nie zgłosiła — nie ma procedury ani podłączenia do S46). Organ właściwy wszczyna postępowanie.

Kara administracyjna dla organizacji? Moratorium chroni — do kwietnia 2028. Kara osobista dla prezesa? Moratorium nie chroni. Odpowiedzialność obowiązuje od 3 kwietnia 2026.

Moratorium to nie tarcza. To odroczenie płatności.

Polisy D&O — luka, o której mało kto mówi

Większość spółek kapitałowych w Polsce ma polisę D&O (Directors & Officers). Zarządy zakładają, że polisa chroni ich przed odpowiedzialnością finansową.

Kurs online

Kurs NIS2 dla zarządów i IT managerów

Poznaj wymagania dyrektywy NIS2, harmonogram wdrożenia i kary. 4 moduły, certyfikat ukończenia.

Zapisz się na kurs

Problem: standardowe polisy D&O zawierają klauzulę wyłączającą pokrycie „fines and penalties" nakładanych przez organy regulacyjne. Kara z KSC 2.0 — czy to 150 000 PLN osobistej, czy miliony EUR organizacyjnej — jest karą administracyjną. I zazwyczaj nie jest pokryta.

To nie jest kwestia akademicka. To jest konkretne ryzyko finansowe.

Co z tym zrobić:

Pierwszy krok — przeczytaj swoją polisę. A raczej: poproś brokera, żeby przeczytał ją pod kątem kar z KSC 2.0 / NIS2. Sprawdź: czy kary administracyjne są wyłączone? Czy koszty obrony prawnej (defense costs) są pokryte nawet jeśli kara nie jest? Czy polisa obejmuje kary nakładane na podstawie prawa UE implementowanego do prawa krajowego?

Drugi krok — negocjuj pokrycie kosztów obrony. Nawet jeśli sama kara nie jest pokryta, koszty prawników powinny być. Postępowanie administracyjne w sprawie kary z KSC 2.0 to nie jest pismo na jedną stronę. To mogą być miesiące wymiany pism, opinii, stanowisk.

Trzeci krok — dokumentuj decyzje budżetowe. Uchwały zarządu o przeznaczeniu budżetu na cyberbezpieczeństwo. Wnioski o budżet. A jeśli właściciel lub rada nadzorcza odmówiła budżetu — dokumentacja tej odmowy. To zmienia rozkład odpowiedzialności. Kierownik, który wnioskował o budżet i został odrzucony, ma inną pozycję niż kierownik, który tematu nie podnosił.

KSC 2.0 vs RODO — porównanie, które powinno otrzeźwić

Większość polskich firm zna kary z RODO. KSC 2.0 idzie dalej:

RODO KSC 2.0
Max kara (wyższy próg) 20 mln EUR / 4% obrotu 10 mln EUR / 2% obrotu
Max kara (niższy próg) 10 mln EUR / 2% obrotu 7 mln EUR / 1,4% obrotu
Odpowiedzialność osobista Brak wprost Do 300% wynagrodzenia
Zawieszenie w funkcji Nie Tak (pośrednio — urzędnik monitorujący, cofnięcie koncesji)
Kary dzienne Nie 500–100 000 PLN/dzień
Szkolenia obowiązkowe dla zarządu Nie Tak — coroczne
Kara ekstraordynaryjna Nie Do 100 mln zł

Kwoty maksymalne RODO są wyższe. Ale RODO karze organizację. KSC 2.0 karze również osoby. I to jest fundamentalna różnica.

Pod RODO prezes mógł powiedzieć: „to odpowiedzialność firmy, niech zapłaci firma". Pod KSC 2.0 firma zapłaci swoją karę, a prezes — swoją. Osobno.

Procedura przed karą — to nie wyrok z zaskoczenia

Warto wiedzieć, jak wygląda procedura. Organ właściwy nie nakłada kary bez ostrzeżenia.

Krok 1: Organ ostrzega — wysyła pismo z opisem naruszenia i terminem naprawy. Krok 2: Podmiot ma 7 dni na przedstawienie stanowiska. Krok 3: Organ może odstąpić od kary, jeśli waga naruszenia jest znikoma lub podmiot naprawił wyrządzoną szkodę.

To oznacza, że system nie jest „zero-jedynkowy". Firma, która podjęła działania, nawet z opóźnieniem, ma lepszą pozycję niż firma, która nie zrobiła nic. Częściowa zgodność jest lepsza niż żadna. Udokumentowany plan wdrożenia z harmonogramem jest lepszy niż brak planu.

Ale procedura nie dotyczy kary ekstraordynaryjnej (100 mln zł). Ta może być nałożona natychmiast, przy poważnych naruszeniach.

Co robić — konkretnie

Nie będziemy udawać, że istnieje sposób na „zminimalizowanie ryzyka do zera". Nie istnieje. Ale można zamienić ryzyko katastroficzne w ryzyko zarządzane.

Szkolenie zarządu — teraz. Obowiązek jest formalny i obowiązuje od 3 kwietnia 2026. Każdy dzień bez szkolenia to dzień, w którym kierownik podmiotu ponosi odpowiedzialność za niewykonanie obowiązku. Szkolenie nie musi trwać tygodnia. 4-8 godzin, zakres: obowiązki z KSC 2.0, zarządzanie ryzykiem, procedury incydentowe, odpowiedzialność prawna. Z certyfikatem potwierdzającym odbycie.

Dokumentowanie decyzji — od dziś. Każda uchwała zarządu dotycząca cyberbezpieczeństwa. Każdy wniosek budżetowy. Każda decyzja o alokacji zasobów. Protokoły posiedzeń. W przypadku postępowania ta dokumentacja jest Twoją linią obrony.

Plan wdrożenia z harmonogramem. Nawet jeśli nie masz budżetu na pełne wdrożenie teraz — miej plan. Plan z datami, odpowiedzialnymi, szacunkami kosztów. Pokazuje, że temat jest na agendzie zarządu. Brak planu pokazuje, że temat jest ignorowany.

Przegląd polisy D&O. Umów spotkanie z brokerem. Jedno spotkanie. Pokaż mu listę kar z KSC 2.0. Zapytaj: „co z tego pokrywa nasza polisa?". Odpowiedź może być nieprzyjemna, ale lepiej ją poznać teraz niż po nałożeniu kary.

Rejestracja w wykazie. Termin: 3 października 2026. To nie jest „opcja". To obowiązek z sankcją. Brak rejestracji jest samodzielną przesłanką do kary.

Jedna rzecz na koniec

Polskie firmy mają za sobą wdrożenie RODO. Pamiętacie 2018 rok? Panikę, firmy kupujące RODO-pakiety za 30 000 PLN, „inspektorów ochrony danych" z jedno-dniowego szkolenia?

KSC 2.0 to poważniejsze wyzwanie. RODO dotyczyło danych osobowych — temat abstrakcyjny dla wielu zarządów. KSC 2.0 dotyczy ciągłości działania firmy i osobistego portfela prezesa. To jest bardziej zrozumiałe i bardziej motywujące.

Ale też bardziej wymagające. RODO można było „odfajkować" polityką prywatności na stronie i rejestrem czynności przetwarzania. KSC 2.0 wymaga realnych zdolności — monitoringu, detekcji, reagowania, raportowania. Papierowa zgodność nie przejdzie audytu, który sprawdza, czy firma potrafi wykryć incydent i zgłosić go w 24 godziny.

Jeśli szukasz konkretnego planu wdrożenia — opisaliśmy go w mapie drogowej KSC 2.0. Jeśli chcesz wiedzieć, kogo dokładnie dotyczą nowe przepisy. A jeśli masz ISO 27001 — sprawdź, ile z wymagań już pokrywasz.

Źródła

FAQ

Czy kierownik podmiotu może być zawieszony za naruszenie KSC 2.0?
Tak. Organ nadzorczy może wyznaczyć urzędnika monitorującego na okres do 1 miesiąca, a w skrajnych przypadkach wnioskować o zawieszenie lub cofnięcie zezwolenia/koncesji. Odpowiedzialność osobista kierownika obejmuje karę do 300% wynagrodzenia.
Czy moratorium na kary chroni zarząd?
Nie. 24-miesięczne moratorium odracza wyłącznie kary administracyjne nakładane na organizację. Odpowiedzialność osobista kierownika podmiotu, obowiązki zgłaszania incydentów i rejestracja w wykazie obowiązują od dnia wejścia ustawy w życie (3 kwietnia 2026).
Ile wynosi kara osobista dla prezesa?
Kara osobista to do 300% miesięcznego wynagrodzenia w sektorze prywatnym i do 100% w sektorze publicznym. Przy pensji 50 000 PLN miesięcznie oznacza to do 150 000 PLN. Kara może być nałożona za brak szkolenia, brak wdrożenia SZBI, brak wyznaczenia osób kontaktowych czy brak obsługi incydentów.
SECIQ

SecIQ Team

Zespół inżynierów bezpieczeństwa SecIQ. Monitorujemy zagrożenia 24/7, reagujemy w minutach i dzielimy się wiedzą.

O zespole →

Powiązane artykuły

Poradnik

Cyberatak — rodzaje, scenariusze i ochrona firmy

10 min czytania

Poradnik

Cyberbezpieczeństwo dla firm — kompletny przewodnik 2026

12 min czytania

Poradnik

KSC 2.0 — ustawa o krajowym systemie cyberbezpieczeństwa

10 min czytania
Wróć do bloga