Kary NIS2: co faktycznie ryzykujesz
Cztery poziomy kar, konkretne przykłady obliczeń dla trzech wielkości firm, realistyczne scenariusze egzekucji oraz osobista odpowiedzialność kierownictwa, której ubezpieczenie D&O prawdopodobnie nie pokrywa.
System kar jest realny, ale proporcjonalny
Kary NIS2 są wzorowane na strukturze kar GDPR, zaprojektowanej tak, by były na tyle wysokie, że firmy nie mogą traktować kar jako kosztu prowadzenia działalności. Kwoty maksymalne (do 10 mln EUR lub 2% światowego obrotu) trafiają na nagłówki, ale rzeczywistość większości firm średniej wielkości jest bardziej zniuansowana. Kary są wymierzane na podstawie wagi naruszenia, wielkości firmy, tego, czy firma działała w dobrej wierze, oraz podjętych działań naprawczych.
Mimo to system kar nie jest teoretyczny. BSI ma uprawnienia egzekucyjne, kary są skodyfikowane w §65 BSIG, a osobista odpowiedzialność kierownictwa na podstawie §38 jest odrębnym mechanizmem prawnym. Ignorowanie NIS2 nie jest realną strategią zarządzania ryzykiem. Zrozumienie rzeczywistej struktury kar pomaga podejmować proporcjonalne decyzje o inwestycjach w zgodność, bez popadania w panikę i bez bagatelizowania ryzyka.
Do 10 000 000 EUR lub 2% rocznego światowego obrotu
Podmioty kluczowe - naruszenia środków cyberbezpieczeństwa
Dotyczy podmiotów kluczowych (sektory z Załącznika I), które nie wdrażają odpowiednich środków cyberbezpieczeństwa na podstawie §30 BSIG, nie zgłaszają poważnych incydentów na podstawie §32 lub w inny sposób naruszają materialne obowiązki NIS2. Kara stanowi WYŻSZĄ z kwot: 10 mln EUR lub 2% światowego obrotu z poprzedniego roku obrotowego.
Do 7 000 000 EUR lub 1,4% rocznego światowego obrotu
Podmioty ważne - naruszenia środków cyberbezpieczeństwa
Dotyczy wichtige Einrichtungen (podmiotów ważnych, sektory z Załącznika II) za te same materialne naruszenia. Niższy pułap odzwierciedla zasadę proporcjonalności dyrektywy NIS2 - podmioty ważne działają w sektorach o niższej krytyczności. Kara stanowi WYŻSZĄ z kwot: 7 mln EUR lub 1,4% światowego obrotu z poprzedniego roku obrotowego.
Do 500 000 EUR
Naruszenia rejestracyjne
Odrębna kara za brak rejestracji w BSI na podstawie §33 BSIG lub podanie nieprawidłowych danych rejestracyjnych. Jest to samodzielne naruszenie - można zostać ukaranym za brak rejestracji, nawet jeśli faktyczne środki cyberbezpieczeństwa są odpowiednie. Kara rejestracyjna dotyczy zarówno podmiotów kluczowych, jak i ważnych.
Do 500 000 EUR
Naruszenia obowiązku zgłaszania
Odrębna kara za brak zgłoszenia poważnych incydentów w wymaganych terminach (24h wczesne ostrzeżenie, 72h zgłoszenie, 1 miesiąc raport końcowy) lub za brak udzielenia wymaganych informacji podczas dochodzeń BSI. Każde uchybienie w zgłaszaniu jest odrębnym potencjalnym naruszeniem.
| Typ firmy | Roczny obrót | Maks. kara (kluczowy) | Maks. kara (ważny) |
|---|---|---|---|
| Mały podmiot średniej wielkości | 15 000 000 EUR | 10 000 000 EUR (obowiązuje stały pułap - 2% wyniosłoby tylko 300 000 EUR) | 7 000 000 EUR (obowiązuje stały pułap - 1,4% wyniosłoby tylko 210 000 EUR) |
| Średni podmiot średniej wielkości | 50 000 000 EUR | 10 000 000 EUR (obowiązuje stały pułap - 2% wyniosłoby tylko 1 000 000 EUR) | 7 000 000 EUR (obowiązuje stały pułap - 1,4% wyniosłoby tylko 700 000 EUR) |
| Duże przedsiębiorstwo | 200 000 000 EUR | 10 000 000 EUR (obowiązuje stały pułap - 2% wyniosłoby 4 000 000 EUR) | 7 000 000 EUR (obowiązuje stały pułap - 1,4% wyniosłoby 2 800 000 EUR) |
Cztery realistyczne scenariusze egzekucji
Co faktycznie uruchamia egzekucję BSI i jak wyglądają konsekwencje w praktyce.
Spóźniona lub brakująca rejestracja w BSI
Twoja firma spełnia kryteria zakresu NIS2, ale nie zarejestrowała się w BSI na podstawie §33 BSIG. BSI identyfikuje cię na podstawie baz danych sektorowych, list członkowskich izb branżowych lub rejestrów handlowych.
BSI wydaje nakaz zgodności wymagający rejestracji w wyznaczonym terminie. Jeśli się zastosujesz, sprawa może na tym się zakończyć, zwłaszcza jeśli wykażesz, że naprawdę nie miałeś świadomości. Jeśli zignorujesz nakaz, mogą zostać wymierzone kary do 500 000 EUR. Luka rejestracyjna tworzy też dokumentację, że od początku byłeś niezgodny, co osłabia twoją pozycję przy każdym innym naruszeniu NIS2.
Brak zgłoszenia poważnego incydentu
Twoja firma doświadcza ataku ransomware, który zakłóca usługi na 48 godzin. Obsługujesz reakcję techniczną, ale nie zgłaszasz tego do BSI. Incydent staje się publiczny w wyniku doniesień medialnych lub skarg klientów.
Brak złożenia wstępnego wczesnego ostrzeżenia w ciągu 24 godzin jest odrębnym naruszeniem od braku złożenia zgłoszenia w ciągu 72 godzin i raportu końcowego - każde stanowi niezależną podstawę kary. BSI prowadzi dochodzenie i stwierdza, że nie złożono żadnego zgłoszenia. Poza karą (do 500 000 EUR za każde uchybienie w zgłaszaniu), brak zgłoszenia rodzi pytania o całą twoją postawę w zakresie zgodności, potencjalnie uruchamiając szerszy audyt.
Brak wdrożonego procesu zarządzania ryzykiem
Podczas audytu BSI (dla podmiotów kluczowych) lub po incydencie (dla podmiotów ważnych) BSI stwierdza, że twoja firma nie ma udokumentowanej oceny ryzyka, inwentaryzacji zasobów ani środków cyberbezpieczeństwa wykraczających poza podstawowe operacje IT.
Jest to najpoważniejsze materialne naruszenie - całkowity brak zgodności z §30 BSIG. Obowiązują kary maksymalne (10 mln EUR/2% dla kluczowych, 7 mln EUR/1,4% dla ważnych). W praktyce BSI prawdopodobnie najpierw wyda wiążące instrukcje i nałoży kary za ich niewykonanie. Jednak brak jakiegokolwiek procesu zarządzania ryzykiem nie pozostawia miejsca na obronę typu „próbowaliśmy w dobrej wierze”.
Luki w bezpieczeństwie łańcucha dostaw
Twoja firma zleca operacje IT zewnętrznemu dostawcy usług zarządzanych. Dostawca doświadcza naruszenia danych, które ujawnia dane twoich klientów. BSI prowadzi dochodzenie i stwierdza brak oceny bezpieczeństwa dostawcy, brak umownych wymogów cyberbezpieczeństwa oraz brak monitorowania postawy bezpieczeństwa dostawcy.
Odpowiadasz za bezpieczeństwo swojego łańcucha dostaw na podstawie §30(2)(4) BSIG, niezależnie od tego, gdzie doszło do naruszenia. Brak należytej staranności wobec dostawcy oznacza, że nie wdrożyłeś wymaganych środków. Może to uruchomić kary w ramach systemu środków cyberbezpieczeństwa (do 10 mln EUR/7 mln EUR w zależności od typu podmiotu), a sam incydent uruchamia obowiązki zgłoszeniowe. Jeśli dodatkowo nie zgłosisz, kary się kumulują.
§38 BSIG tworzy mechanizm osobistej odpowiedzialności kierownictwa firmy, odrębny od kar administracyjnych nakładanych na firmę. Geschäftsführung musi zatwierdzić środki zarządzania ryzykiem w cyberbezpieczeństwie, nadzorować ich wdrożenie i ukończyć szkolenie z cyberbezpieczeństwa. Jeśli te obowiązki zostaną zaniedbane, a firma poniesie w ich następstwie szkody, kierownictwo może zostać pociągnięte do osobistej odpowiedzialności za te szkody. Jest to odpowiedzialność cywilna - roszczenie odszkodowawcze pochodzi od firmy (lub jej syndyka) wobec poszczególnych członków zarządu.
Co kluczowe, §38 BSIG stanowi, że tej odpowiedzialności nie można zrzec się uchwałą wspólników. Nawet w spółce GmbH zarządzanej przez właściciela, gdzie Geschäftsführer jest zarazem jedynym wspólnikiem, odpowiedzialność istnieje. Polisy ubezpieczeniowe D&O zazwyczaj wyłączają kary regulacyjne i grzywny, a ochrona dla odpowiedzialności specyficznej dla NIS2 jest obszarem rozwijającym się - sprawdź swoją konkretną polisę, a nie zakładaj ochrony. Praktyczny wniosek: zgodność z NIS2 jest teraz kwestią osobistego zarządzania ryzykiem dla każdego Geschäftsführer, a nie tylko punktem na liście ładu korporacyjnego.
Najczęściej zadawane pytania
Jaka jest maksymalna kara dla mojej firmy?
Zależy od klasyfikacji twojego podmiotu. Podmioty kluczowe (sektory z Załącznika I): wyższa z kwot: 10 mln EUR lub 2% rocznego światowego obrotu. Podmioty ważne (sektory z Załącznika II): wyższa z kwot: 7 mln EUR lub 1,4% rocznego światowego obrotu. Dla większości firm średniej wielkości (poniżej 500 mln EUR obrotu) obowiązuje kwota stała, ponieważ 2% obrotu jest niższe niż 10 mln EUR. Odrębne kary do 500 000 EUR obowiązują za naruszenia rejestracyjne i zgłoszeniowe.
Czy mogę zostać osobiście ukarany jako Geschäftsführer?
Kary administracyjne na podstawie §65 BSIG są nakładane na firmę, a nie na osobę fizyczną. Jednak §38 BSIG tworzy osobistą odpowiedzialność cywilną za szkody wynikające z braku zatwierdzenia i nadzoru nad środkami cyberbezpieczeństwa. Oznacza to, że ponosisz osobistą odpowiedzialność za straty firmy - nie jest to grzywna państwowa, lecz potencjalnie roszczenie odszkodowawcze. W scenariuszu niewypłacalności syndyk może dochodzić tego roszczenia wobec ciebie osobiście.
Czy ubezpieczenie D&O pokrywa kary NIS2?
Większość polis D&O wyłącza kary regulacyjne i grzywny administracyjne - są one zazwyczaj nieubezpieczalne na gruncie prawa niemieckiego. Odpowiedzialność cywilna na podstawie §38 BSIG (roszczenia odszkodowawcze) może być objęta ubezpieczeniem D&O, w zależności od warunków twojej polisy. Przejrzyj swoją konkretną polisę i omów ekspozycję na NIS2 ze swoim brokerem. Nie zakładaj, że ochrona istnieje - poproś o pisemne potwierdzenie, co jest, a co nie jest objęte ochroną.
Co uruchamia egzekucję BSI?
Dla podmiotów kluczowych: BSI może przeprowadzać proaktywne audyty i kontrole bez konkretnego czynnika wyzwalającego. Dla podmiotów ważnych: egzekucja jest zazwyczaj reaktywna - uruchamiana przez zgłoszony incydent, skargę osoby trzeciej, doniesienia medialne o naruszeniu lub brak rejestracji. BSI krzyżowo weryfikuje też rejestr handlowy i bazy danych sektorowych, aby zidentyfikować podmioty, które powinny być zarejestrowane, a nie są.
Czy kary są proporcjonalne do wielkości firmy?
Tak, z założenia. Obliczenie procentu od obrotu zapewnia, że kary skalują się wraz z wielkością firmy. Dla firmy o obrocie 15 mln EUR maksymalna kara dla podmiotu kluczowego to 10 mln EUR (stały pułap, ponieważ 2% to tylko 300 000 EUR). Dla firmy o obrocie 600 mln EUR maksimum wynosi 12 mln EUR (2% obrotu przekracza dolny próg 10 mln EUR). Dodatkowo BSI jest zobowiązane uwzględnić proporcjonalność przy wymierzaniu kar - wielkość firmy, waga naruszenia, czas trwania i działania w dobrej wierze wpływają na rzeczywistą wysokość kary.
- BSIG - §38 (odpowiedzialność kierownictwa), §65 (kary administracyjne i system kar)
- Dyrektywa NIS2 (UE) 2022/2555 - artykuł 34 (środki nadzorcze wobec podmiotów kluczowych), artykuł 35 (środki nadzorcze wobec podmiotów ważnych), artykuł 36 (kary)
- NIS2UmsuCG - Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Stärkung der Cybersicherheit
- BMI - dokumentacja parlamentarna dotycząca projektu systemu kar i zagadnień proporcjonalności
- GDV (Gesamtverband der Deutschen Versicherungswirtschaft) - analiza zakresu ubezpieczenia D&O dla odpowiedzialności regulacyjnej (2025)