ISO Forge/Baza wiedzy ISO/NIS2 / UKSC
NIS2 / UKSC

Kary NIS2/UKSC 2026 - ile grozi za brak zgodnosci i kto je naklada

9 lipca 2026·8 min czytania·Marcin Rabiasz · Pełnomocnik ZSZ

Kara to nie jedna liczba - to proces

Wiekszosc materialow o NIS2 podaje jedna cyfre: "do 10 mln EUR". To prawda, ale niepelna - w praktyce kara to koncowy etap procesu, ktory zaczyna sie dlugo wczesniej i w wiekszosci przypadkow nigdy do niej nie dochodzi, bo organ nadzorczy najpierw daje szanse na naprawe. Ponizej pelny obraz: ile realnie grozi, kto o tym decyduje, jak wyglada droga do kary i kto personalnie za nia odpowiada.

Wysokosc kar - kluczowe kontra wazne podmioty

Maksymalne sankcje roznia sie w zaleznosci od kategorii podmiotu:

Podmioty kluczowe - do 10 mln EUR lub 2 proc. calkowitego rocznego swiatowego obrotu grupy kapitalowej, w zaleznosci od tego, ktora kwota jest wyzsza
Podmioty wazne - do 7 mln EUR lub 1,4 proc. calkowitego rocznego swiatowego obrotu, rowniez wedlug wyzszej kwoty

To sa progi maksymalne, nie automatyczne stawki. Organ nadzorczy ustala wysokosc kary indywidualnie, biorac pod uwage m.in. wage naruszenia, czas jego trwania, wspolprace z organem podczas kontroli i to, czy naruszenie bylo powtarzalne.

Kto naklada kary i jak wyglada proces

Nadzor nad podmiotami kluczowymi i waznymi sprawuja wlasciwe organy sektorowe (dla kazdego z sektorow zalacznika 1 i 2 wskazany jest inny organ nadzorczy - np. dla energetyki, transportu, ochrony zdrowia), koordynowane przez organ wlasciwy ds. cyberbezpieczenstwa na poziomie krajowym.

Proces zwykle wyglada tak:

1.Kontrola lub zgloszenie - kontrola planowa (podmioty kluczowe) albo reakcja na sygnal/incydent (podmioty wazne)
2.Stwierdzenie naruszenia - organ dokumentuje braki wzgledem wymogow ustawy
3.Zalecenia lub nakaz naprawczy - w wiekszosci przypadkow pierwszym krokiem jest wskazanie terminu na usuniecie naruszen, nie kara finansowa
ISO Forge
Generator dokumentow NIS2 i UKSC 2026
3 dokumenty za darmo - bez karty kredytowej
4.Kara - nakladana, gdy naruszenie nie zostanie usuniete w terminie albo ma charakter powazny lub powtarzalny

Innymi slowy: dokumentacja i wdrozone procedury to pierwsza linia obrony - jesli sa gotowe zanim przyjdzie kontrola, ryzyko przejscia od razu do etapu kary jest niskie.

Odpowiedzialnosc osobista kierownictwa

To czesc, o ktorej najczesciej sie zapomina. NIS2 nie ogranicza odpowiedzialnosci do samej organizacji - organy zarzadzajace (zarzad, osoby kierujace) maja obowiazek zatwierdzac i nadzorowac wdrozone srodki zarzadzania ryzykiem, a takze przechodzic szkolenia z cyberbezpieczenstwa. Za zaniedbanie tego obowiazku czlonkowie zarzadu moga ponosic odpowiedzialnosc osobista, niezaleznie od kary nalozonej na sama organizacje.

W praktyce oznacza to, ze samo zlecenie tematu dzialowi IT bez formalnego zatwierdzenia polityk przez zarzad juz jest ryzykiem compliance.

Kiedy przepisy zaczynaja obowiazywac

Dyrektywa NIS2 (UE 2022/2555) weszla w zycie w calej Unii z terminem transpozycji do prawa krajowego do 17 pazdziernika 2024. Polska implementuje ja poprzez nowelizacje Ustawy o Krajowym Systemie Cyberbezpieczenstwa (UKSC) - obowiazki dla podmiotow objetych ustawa wchodza w zycie wraz z jej przyjeciem, czesciowo z okresami przejsciowymi na dostosowanie (np. na rejestracje w wykazie czy wdrozenie pelnej dokumentacji).

Jesli Twoja firma podlega ustawie, nie warto czekac na ostateczne doprecyzowanie terminow - wdrozenie dokumentacji i procedur to proces, ktory realnie zajmuje tygodnie, a kontrola moze przyjsc zanim skonczysz.

Jak sie przygotowac, zanim ktos to sprawdzi

Trzy rzeczy, ktore realnie obnizaja ryzyko kary:

Rejestracja w wykazie podmiotow kluczowych i waznych - podstawowy obowiazek formalny, latwy do pominiecia
Komplet dokumentacji zatwierdzonej przez zarzad - polityka cyberbezpieczenstwa, procedura incydentow z terminami CSIRT (24h/72h/1 miesiac), ocena i rejestr ryzyk, plan ciaglosci dzialania
Slad dowodowy nadzoru zarzadu - protokol zatwierdzenia polityk, potwierdzenie szkolen kierownictwa

ISO Forge generuje kompletny pakiet dokumentow NIS2/UKSC dopasowany do Twojej organizacji, z terminami CSIRT wbudowanymi w procedury - gotowy do przegladu i zatwierdzenia przez zarzad w minuty, nie tygodnie.

Podsumowanie

Kara NIS2/UKSC to gorny limit, nie automatyczna stawka - w praktyce poprzedza ja proces z szansa na naprawe. Prawdziwe ryzyko to nie sama kwota kary, ale brak dokumentacji i formalnego zatwierdzenia przez zarzad, ktore NIS2 traktuje jako odrebny obowiazek z osobista odpowiedzialnoscia kierownictwa.

Sprawdz generator NIS2/UKSC w ISO Forge - kompletna dokumentacja gotowa do przegladu w 30 minut.

Wygeneruj dokumentację ISO w minuty

Pierwszy dokument za darmo. Bez karty kredytowej.

Inne artykuły

Gap Audit
Czym jest Gap Audit ISO i jak go przeprowadzić?
Czytaj dalej →
ISO 9001
Obowiązkowa dokumentacja ISO 9001:2015 - kompletna lista
Czytaj dalej →
Audyt ISO
Audyt wewnętrzny ISO - jak się przygotować krok po kroku
Czytaj dalej →