Kary za NIS2 w 2026 r.: 10 mln EUR lub 2% przychodów — Co powinna wiedzieć Pana rada nadzorcza

Średnia firma energetyczna w Niemczech otrzymuje pismo od BSI. Termin rejestracji NIS2 minął trzy miesiące temu. Nigdy się nie zarejestrowała. Kara? Do 10 mln EUR — lub 2% światowych rocznych przychodów, w zależności od tego, która kwota jest wyższa. A zgodnie z artykułem 20 dyrektywy NIS2, członkowie rady, którzy nie zatwierdzili środków cyberbezpieczeństwa, mogą ponosić odpowiedzialność osobistą.

To nie jest scenariusz hipotetyczny. (Jeśli chce Pan/Pani poznać pełen zakres uprawnień egzekucyjnych wykraczających poza kary finansowe, prosimy przeczytać naszą wcześniejszą analizę: 7 sankcji NIS2 gorszych niż pieniądze.) Niemiecka ustawa wdrażająca NIS2 obowiązuje od grudnia 2025 r., a pod nadzorem BSI znajduje się obecnie około 29 500 firm. Niderlandy, Francja i kilkanaście innych państw członkowskich UE idą szybko w ślad za nimi.

Jeśli Pana organizacja podlega dyrektywie NIS2, a rada nadzorcza jeszcze nie podjęła działań, okno na przygotowanie się bez presji szybko się zamyka.

Jak naprawdę działają kary NIS2

Dyrektywa NIS2 (UE 2022/2555) ustanawia dwa poziomy kar na mocy artykułu 34. Kwoty zależą od tego, czy Pana organizacja jest sklasyfikowana jako podmiot kluczowy czy ważny.

Podmioty kluczowe — energetyka, transport, opieka zdrowotna, bankowość, infrastruktura cyfrowa, woda i dostawcy usług ICT — narażone są na kary do 10 mln EUR lub 2% całkowitych światowych rocznych przychodów, w zależności od tego, która kwota jest wyższa.

Podmioty ważne — usługi pocztowe, gospodarka odpadami, produkcja żywności, chemia, produkcja przemysłowa i dostawcy cyfrowi — narażone są na kary do 7 mln EUR lub 1,4% całkowitych światowych rocznych przychodów, w zależności od tego, która kwota jest wyższa.

Klauzula „w zależności od tego, która kwota jest wyższa" ma kluczowe znaczenie. Dla firmy z rocznymi przychodami w wysokości 800 mln EUR, 2% to 16 mln EUR — znacznie powyżej progu 10 mln EUR. Kwoty stałe ograniczają jedynie mniejsze organizacje.

Unknown comparison key: finesComparison

Kary te dotyczą naruszeń w dwóch obszarach: niewdrożenia wymaganych środków cyberbezpieczeństwa (artykuł 21) i niespełnienia obowiązków zgłaszania incydentów (artykuł 23). Organy krajowe mogą również nakładać okresowe kary pieniężne w celu wymuszenia bieżącej zgodności.

Konkretny przykład

Rozważmy zarządzanego dostawcę usług IT z rocznymi przychodami 50 mln EUR, sklasyfikowanego jako podmiot kluczowy. Jeśli regulator stwierdzi brak odpowiednich procedur reagowania na incydenty i kontroli bezpieczeństwa łańcucha dostaw, maksymalna ekspozycja na karę wynosi 10 mln EUR (ponieważ 2% z 50 mln EUR to 1 mln EUR, obowiązuje stała kwota). To 20% rocznych przychodów — wystarczająco, by zagrozić przetrwaniu firmy.

Pana Rada Nadzorcza Ponosi Osobistą Odpowiedzialność

Artykuł 20 dyrektywy NIS2 wprowadza coś, czego wielu członków rad nie w pełni zrozumiało: odpowiedzialność organu zarządzającego za cyberbezpieczeństwo.

Pana rada nadzorcza musi:

1. Zatwierdzić środki zarządzania ryzykiem cyberbezpieczeństwa, które organizacja wdraża zgodnie z artykułem 21
2. Nadzorować wdrażanie tych środków
3. Ukończyć regularne szkolenie z cyberbezpieczeństwa — i zapewnić, że pracownicy również otrzymują ciągłe szkolenia
4. Zaakceptować odpowiedzialność za naruszenia artykułu 21

To nie jest obowiązek, który można delegować. Dyrektywa wyraźnie stanowi, że organy zarządzające mogą ponosić odpowiedzialność za brak zgodności. W przypadku podmiotów kluczowych artykuły 32 i 33 idą dalej: właściwe organy mogą zwrócić się do sądów o tymczasowy zakaz pełnienia funkcji kierowniczych przez poszczególnych członków rady do czasu osiągnięcia przez organizację zgodności.

Dokładny zakres odpowiedzialności osobistej różni się w zależności od państwa członkowskiego — Niemcy, Włochy i Belgia wdrożyły już konkretne mechanizmy odpowiedzialności osobistej w swoich przepisach krajowych. Ale kierunek jest jasny w całej UE: cyberbezpieczeństwo jest teraz odpowiedzialnością na poziomie rady, a nie problemem działu IT.

Co to oznacza w praktyce

Jeśli Pana organizacja doświadczy znaczącego incydentu cyberbezpieczeństwa, a regulator ustali, że rada nigdy nie zatwierdziła polityki cyberbezpieczeństwa, nigdy nie ukończyła szkolenia i nigdy nie przeglądiła pozycji ryzyka organizacji — osobiste konsekwencje dla członków rady wykraczają poza karę korporacyjną.

10 Środków, Które Pana Organizacja Musi Wdrożyć

Artykuł 21 określa dziesięć minimalnych środków zarządzania ryzykiem cyberbezpieczeństwa. Nie są one opcjonalne i dotyczą każdego podmiotu objętego zakresem:

1. Analiza ryzyka i polityki bezpieczeństwa informacji — udokumentowane, zatwierdzone przez radę
2. Obsługa incydentów — procedury wspierające terminy zgłaszania 24/72 godzin
3. Ciągłość działania — zarządzanie kopiami zapasowymi, odzyskiwanie po awarii i zarządzanie kryzysowe
4. Bezpieczeństwo łańcucha dostaw — wymagania bezpieczeństwa dla bezpośrednich dostawców i usługodawców
5. Bezpieczeństwo w nabywaniu, rozwoju i utrzymaniu systemów — w tym obsługa podatności
6. Ocena skuteczności — polityki i procedury oceny, czy wdrożone środki rzeczywiście działają
7. Higiena cybernetyczna i szkolenia — podstawowe praktyki dla wszystkich pracowników
8. Polityki kryptograficzne — w tym szyfrowanie tam, gdzie jest to właściwe
9. Bezpieczeństwo zasobów ludzkich, kontrola dostępu i zarządzanie aktywami
10. Uwierzytelnianie wieloskładnikowe — i zabezpieczona komunikacja tam, gdzie jest to właściwe

Artykuł 21 — 10 Środków Cyberbezpieczeństwa NIS2
🛡️
Artykuł 21
10 Środków Cyberbezpieczeństwa
📊
Zarządzanie & Strategia
1Analiza ryzyka & polityki bezpieczeństwa informacji
6Ocena skuteczności środków bezpieczeństwa
🚨
Incydenty & Ciągłość
2Obsługa incydentów & zgłaszanie
3Ciągłość działania & odtwarzanie po awarii
🔗
Łańcuch Dostaw & Systemy
4Bezpieczeństwo łańcucha dostaw
5Bezpieczeństwo w rozwoju systemów sieciowych i informatycznych
🔐
Kontrole Techniczne
8Kryptografia & szyfrowanie
10Uwierzytelnianie wieloskładnikowe & bezpieczna komunikacja
👥
Ludzie & Zasoby
7Cyberhigiena & szkolenia
9Bezpieczeństwo HR & kontrola dostępu

Nie jest Pan/Pani pewien/pewna, czy organizacja spełnia te 10 wymagań? Wykonaj bezpłatny Quick Scan NIS2 — mapuje obecną pozycję względem Artykułu 21 w mniej niż 10 minut.

Środki najczęściej brakujące w średnich organizacjach to bezpieczeństwo łańcucha dostaw, formalne procedury obsługi incydentów, ocena skuteczności i wdrożenie MFA wykraczające poza pocztę elektroniczną. To również obszary, na których regulatorzy prawdopodobnie skupią się w pierwszej kolejności.

Zgłaszanie Incydentów: Harmonogram 24-72-30

Artykuł 23 ustanawia ścisłe terminy zgłaszania, na które wiele organizacji nie jest przygotowanych:

Etap	Termin	Co należy zgłosić
Wczesne ostrzeżenie	24 godziny od momentu uzyskania informacji	Czy incydent jest podejrzany o działanie złośliwe; potencjalny wpływ transgraniczny
Zgłoszenie incydentu	72 godziny od momentu uzyskania informacji	Zaktualizowane informacje, wstępna ocena powagi, wskaźniki naruszenia
Raport końcowy	1 miesiąc po zgłoszeniu	Analiza przyczyn źródłowych, podjęte środki zaradcze, pełna ocena wpływu

Harmonogram Zgłaszania Incydentów NIS2
24h
⚡
Wczesne Ostrzeżenie
Powiadom właściwy organ (CSIRT/KNB) w ciągu 24 godzin od uzyskania informacji o znaczącym incydencie.
Krok 1
72h
📋
Zgłoszenie Incydentu
Złóż szczegółowe zgłoszenie w ciągu 72 godzin z wstępną oceną powagi, wpływu i wskaźników naruszenia bezpieczeństwa.
Krok 2
1mo
📊
Raport Końcowy
Dostarcz kompleksowy raport końcowy w ciągu jednego miesiąca obejmujący przyczynę źródłową, podjęte działania naprawcze i wpływ transgraniczny.
Krok 3
24h
⚡
Wczesne Ostrzeżenie
Powiadom właściwy organ (CSIRT/KNB) w ciągu 24 godzin od uzyskania informacji o znaczącym incydencie.
72h
📋
Zgłoszenie Incydentu
Złóż szczegółowe zgłoszenie w ciągu 72 godzin z wstępną oceną powagi, wpływu i wskaźników naruszenia bezpieczeństwa.
1mo
📊
Raport Końcowy
Dostarcz kompleksowy raport końcowy w ciągu jednego miesiąca obejmujący przyczynę źródłową, podjęte działania naprawcze i wpływ transgraniczny.

Niedotrzymanie tych terminów naraża organizację na takie same kary z artykułu 34, jak za niewdrożenie środków bezpieczeństwa. Wczesne ostrzeżenie w ciągu 24 godzin jest szczególnie wymagające — wymaga, by organizacja dysponowała procesami monitorowania, klasyfikacji i eskalacji jeszcze przed wystąpieniem incydentu.

Gdzie Stoi Egzekwowanie Teraz

Krajobraz egzekwowania w Europie jest nierówny, ale przyspiesza:

Niemcy są w pełni operacyjne. Ustawa NIS2UmsuCG weszła w życie 6 grudnia 2025 r. Portal rejestracyjny BSI został uruchomiony 6 stycznia 2026 r., z terminem rejestracji do 6 marca 2026 r. Około 29 500 podmiotów jest objętych zakresem — w porównaniu z 4 500 w ramach poprzedniego reżimu NIS1.

Niderlandy są tuż za nimi. Cyberbeveiligingswet (Cbw) była przedmiotem debaty parlamentarnej pod koniec marca 2026 r., z oczekiwanym wejściem w życie w Q2 2026 r. RDI będzie nadzorować infrastrukturę cyfrową; ILT obejmuje transport. Infrastruktura rejestracyjna jest już dostępna do wczesnego przygotowania.

Francja uruchomiła swoje ramach ReCyF przez ANSSI (marzec 2026 r.) z 20 celami bezpieczeństwa dla podmiotów kluczowych i 15 dla podmiotów ważnych. Jednak francuska ustawa transponująca nie została jeszcze uchwalona — rozpatrzenie parlamentarne zaplanowano na lipiec 2026 r.

Belgia, Włochy, Chorwacja, Węgry i kilka innych państw członkowskich w pełni transponowały dyrektywę. Komisja Europejska wydała uzasadnione opinie wobec 19 państw członkowskich w maju 2025 r. za niedotrzymanie pierwotnego terminu z października 2024 r.

Status Wdrożenia NIS2 według Kraju (2025–2026)
✅
W pełni obowiązuje
🇧🇪Belgia
🇭🇷Chorwacja
🇭🇺Węgry
🇱🇹Litwa
🇱🇻Łotwa
🇮🇹Włochy
6 krajów
📋
Przyjęta — koniec 2025
🇩🇪Niemcy
🇨🇿Czechy
🇫🇮Finlandia
3 krajów
⏳
W trakcie — oczekiwane 2026
🇳🇱Holandia
🇫🇷Francja
🇪🇸Hiszpania
🇵🇱Polska
🇦🇹Austria
🇸🇪Szwecja
🇮🇪Irlandia
7 krajów

Konkluzja: egzekwowanie nie jest problemem przyszłości. W wielu krajach UE dzieje się to teraz.

Co Pana Rada Powinna Zrobić w Tym Tygodniu

Nie trzeba rozwiązywać wszystkiego naraz. Ale rada musi zacząć — widocznie, formalnie i w sposób udokumentowany.

Krok 1: Określ klasyfikację. Czy jest Pan podmiotem kluczowym czy ważnym? Progi są jasne: 50+ pracowników lub przychody powyżej 10 mln EUR w objętym sektorze. Niektóre podmioty (dostawcy DNS, usługi zaufania) zawsze podlegają niezależnie od wielkości.

Krok 2: Formalnie zaangażuj radę. Zaplanuj uchwałę rady zatwierdzającą podejście do zarządzania ryzykiem cyberbezpieczeństwa. Udokumentuj to. To bezpośrednio odpowiada na wymóg odpowiedzialności z artykułu 20.

Krok 3: Zarezerwuj szkolenie dla zarządu. Dyrektywa tego wymaga. Jedna sesja nie wystarczy — musi to być proces ciągły. Upewnij się, że członkowie rady mogą wykazać, że rozumieją pozycję ryzyka cybernetycznego organizacji.

Krok 4: Oceń obecne luki. Zmapuj istniejące środki bezpieczeństwa względem 10 wymagań artykułu 21. Gdzie jesteś najsłabszy? Bezpieczeństwo łańcucha dostaw i reagowanie na incydenty to typowe luki.

Krok 5: Przygotuj zdolność raportowania. Czy Pana organizacja potrafi wykryć, sklasyfikować i zgłosić incydent w ciągu 24 godzin? Jeśli nie, ten proces musi być zbudowany teraz — nie po pierwszym incydencie.

Chce Pan wiedzieć, jak wypada Pana organizacja? Rozpocznij bezpłatny skan gotowości NIS2 — zajmuje 10 minut i daje jasny obraz luk zgodności względem artykułu 21.

Koszt Czekania

Każdy miesiąc opóźnienia zwiększa ekspozycję na ryzyko. Niemcy już egzekwują. Niderlandy są o tygodnie. Francja, Hiszpania i Polska są w zaawansowanych etapach transpozycji.

Kary NIS2 są zaprojektowane tak, by być proporcjonalne, ale znaczące — wystarczająco duże, by ignorowanie dyrektywy nigdy nie było ekonomicznie racjonalnym wyborem. A z osobistą odpowiedzialnością rady wpisaną teraz w prawo UE, konsekwencje wykraczają poza bilans.

Organizacje, które działają teraz, wydadzą mniej, napotkają mniej niespodzianek i unikną pośpiechu, gdy egzekwowanie zacznie się na poważnie. Droga do zgodności jest do przejścia — ale tylko jeśli zaczniesz, zanim zrobi to regulator.

---

Powiązana lektura: 7 sankcji NIS2 gorszych niż pieniądze — Poza karami finansowymi NIS2 daje organom regulacyjnym uprawnienia do zakazywania pełnienia funkcji zarządczych, publicznego ujawniania nazwy organizacji i zawieszania działalności. Poznaj pełny obraz.