Kary za NIS2 w Polsce – do 10 mln EUR i osobista odpowiedzialność zarządu

Podmioty kluczowe mogą zostać ukarane do 10 mln EUR lub 2% rocznego globalnego obrotu – w zależności co wyższe. Dla firmy o globalnym obrocie 1 mld EUR maksymalna kara to 20 mln EUR (2% > 10 mln EUR).

Podmioty ważne mogą zostać ukarane do 7 mln EUR lub 1,4% rocznego globalnego obrotu – w zależności co wyższe. Niższa kara odzwierciedla węższy zakres obowiązków podmiotów ważnych.

Polska ustawa UoKSC precyzuje, że kary nakładane są przez organy nadzoru właściwe dla sektora (KNF, UKE, ministrowie właściwi). Wysokość kary w konkretnym przypadku zależy od wagi naruszenia, jego skutków, postawy podmiotu.

W pierwszych miesiącach obowiązywania NIS2 organy nadzoru będą prawdopodobnie koncentrować się na obszarach najbardziej zaniedbanych. Firmy, które rozpoczęły wdrożenie zgodności w odpowiednim czasie, mogą liczyć na łagodniejsze podejście.

NIS2 wprowadziła obowiązek odpowiedzialności osobistej członków zarządu za wdrożenie środków zarządzania ryzykiem cyberbezpieczeństwa. To kluczowa zmiana – wcześniej odpowiedzialność za bezpieczeństwo była rozproszona w organizacji.

Konkretne obowiązki członków zarządu: zatwierdzanie polityki cyberbezpieczeństwa, regularny przegląd raportów stanu bezpieczeństwa, obowiązkowe szkolenia z zarządzania ryzykiem cyberbezpieczeństwa, decyzje o alokacji zasobów na bezpieczeństwo.

Konsekwencja braku wdrożenia: oprócz kary nakładanej na organizację, organ nadzoru może wystąpić o tymczasowy zakaz pełnienia funkcji kierowniczych przez konkretną osobę. To bezprecedensowa sankcja w polskim prawie cyberbezpieczeństwa.

Obowiązek publicznego ujawnienia incydentu lub niedostosowania: organ nadzoru może nakazać podmiotowi publiczne ogłoszenie informacji o incydencie istotnym lub o naruszeniu obowiązków regulacyjnych. Wpływ na reputację marki jest realny i długotrwały.

Nakaz wdrożenia konkretnych środków technicznych i organizacyjnych: organ nadzoru może nakazać wdrożenie konkretnych zabezpieczeń w określonym terminie. Niedotrzymanie terminu skutkuje kolejnymi karami.

Tymczasowy zakaz świadczenia usług: w skrajnych przypadkach organ nadzoru może zażądać tymczasowego zaprzestania świadczenia usług. To rzadka, ale możliwa sankcja.

Krok pierwszy: oficjalne zatwierdzenie polityki bezpieczeństwa przez zarząd. Polityka musi być pisemna, datowana, opatrzona uchwałą zarządu. Bez tego dokumentu organ nadzoru zakwestionuje wdrożenie.

Krok drugi: udokumentowane szkolenia członków zarządu z zarządzania ryzykiem cyberbezpieczeństwa. Szkolenia są obowiązkowe i powtarzane regularnie (typowo raz w roku).

Krok trzeci: regularne raporty stanu bezpieczeństwa dla zarządu. Co najmniej kwartalnie, w formie pisemnej, z konkretnymi metrykami.

Krok czwarty: procedura notyfikacji incydentu wdrożona i przetestowana. Jasna ścieżka decyzyjna: kto ocenia istotność, kto kontaktuje CSIRT NASK, kto powiadamia zarząd.

Krok piąty: gotowa dokumentacja na kontrolę. Komplet polityk, procedur, ewidencji szkoleń, raportów stanu bezpieczeństwa. Praktyczne wsparcie zapewnia audyt zgodności z NIS2.