Wokół NIS2 najwięcej emocji budzą liczby. 10 mln euro, 7 mln euro, procent od obrotu, a w polskiej dyskusji także nawet 100 mln zł. Łatwo więc ulec wrażeniu, że każda firma za pojedynczy błąd dostanie natychmiast gigantyczną karę. To zbyt proste. NIS2 przewiduje surowe sankcje, ale patrzy przede wszystkim na wagę naruszenia, skalę ryzyka i to, czy organizacja realnie zaniedbała obowiązki.
- NIS2 przewiduje nie tylko kary finansowe, ale też nakazy, audyty, polecenia naprawcze i silniejszy nadzór.
- Dla podmiotów kluczowych unijny poziom sankcji sięga co najmniej 10 mln euro lub 2 proc. globalnego rocznego obrotu.
- Dla podmiotów ważnych mowa o co najmniej 7 mln euro lub 1,4 proc. globalnego rocznego obrotu.
- Wysokość kary zależy od okoliczności: znaczenia naruszenia, jego czasu trwania, skutków i stopnia winy.
- Już 5 marca premiera raportu NIS2 i wyniki badania zrealizowanego na probie 1018 firm zatrudniających powyżej 300 osób
Zacznijmy od podstaw: NIS2 nie ogranicza się do prostego mechanizmu „naruszyłeś przepis, płać”. Dyrektywa buduje cały system egzekwowania zgodności. Organ nadzorczy może wydawać wiążące instrukcje, nakazy wdrożenia zaleceń z audytu, polecenia dostosowania zabezpieczeń do wymogów, a obok tego stosować administracyjne kary pieniężne. Dla wielu firm to ważna informacja, bo ryzyko zaczyna się dużo wcześniej niż sam moment nałożenia grzywny.
Na poziomie unijnym granice są jasne. Wobec podmiotów kluczowych państwa członkowskie muszą przewidzieć maksymalną karę co najmniej 10 mln euro albo 2 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego – stosuje się kwotę wyższą. W przypadku podmiotów ważnych próg wynosi co najmniej 7 mln euro albo 1,4 proc. światowego obrotu. To nie są stawki automatyczne, ale pułapy, które mają być realnie odczuwalne także dla dużych organizacji.
Bardzo ważne jest też to, za co firma może zapłacić. Nie chodzi wyłącznie o sam incydent. Problemem może być brak adekwatnego zarządzania ryzykiem, niewdrożenie wymaganych środków technicznych i organizacyjnych, zaniedbanie bezpieczeństwa dostawców, brak procedur ciągłości działania, niewłaściwe raportowanie poważnego incydentu albo zignorowanie zaleceń organu. Kara grozi więc nie tylko za skutek, ale również za brak przygotowania.
NIS2 – Czy firmy w Polsce są gotowe na dyrektywę?
NIS2 przesuwa odpowiedzialność na poziom zarządu. Kierownictwo ma zatwierdzać środki zarządzania ryzykiem i nadzorować ich wdrożenie. To oznacza, że cyberbezpieczeństwo przestaje być wyłącznie sprawą działu IT. Jeśli zarząd nie traktuje tematu poważnie, ryzyko prawne i finansowe rośnie, a obrona w razie kontroli staje się dużo trudniejsza.
W polskiej implementacji NIS2, czyli nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, pojawiają się dodatkowo bardzo wysokie sankcje krajowe. Według aktualnych informacji po podpisaniu ustawy przewidziano także kwalifikowane kary do 100 mln zł w przypadkach, gdy naruszenie powoduje bezpośrednie i poważne zagrożenie dla bezpieczeństwa państwa, porządku publicznego, życia, zdrowia albo grozi poważną szkodą majątkową. To pokazuje, że ustawodawca chce uderzać przede wszystkim w rażące zaniedbania o dużych skutkach.
Najrozsądniejsza strategia nie polega więc na pytaniu „ile wynosi kara?”, lecz „co musimy zrobić, żeby do niej nie doprowadzić?”. Rejestr obowiązków, analiza luk, przegląd dostawców, szkolenia dla kierownictwa i procedura zgłaszania incydentów są dziś tańsze niż spóźniona reakcja po kontroli.
FAQ
Czy każda pomyłka kończy się maksymalną karą z NIS2?
Nie. Dyrektywa wymaga uwzględnienia okoliczności konkretnej sprawy, takich jak natura, waga, czas trwania naruszenia, szkoda oraz umyślność albo niedbalstwo.
Jakie są unijne maksymalne pułapy kar?
Dla podmiotów kluczowych to co najmniej 10 mln euro lub 2 proc. światowego rocznego obrotu, a dla podmiotów ważnych co najmniej 7 mln euro lub 1,4 proc. światowego rocznego obrotu — stosuje się wyższą wartość.
Czy w Polsce mogą pojawić się jeszcze surowsze sankcje?
Tak. W aktualnych informacjach dotyczących polskiej implementacji pojawiają się także kwalifikowane kary do 100 mln zł w szczególnie poważnych przypadkach.
Czytaj też:
