Podmioty kluczowe: Do 10 000 000 € lub 2 % całkowitego rocznego obrotu światowego (poprzedni rok obrotowy), w zależności od tego, która kwota jest wyższa. Podmioty ważne: Do 7 000 000 € lub 1,4 % całkowitego rocznego obrotu światowego (poprzedni rok obrotowy), w zależności od tego, która kwota jest wyższa. Są to maksymalne pułapy ustalone w dyrektywie (art. 34). Rzeczywiste kary są ustalane krajowo i muszą być skuteczne, proporcjonalne i odstraszające, z uwzględnieniem wagi, czasu trwania i Twojej współpracy. Potwierdź dokładne zasady transpozycji w swoim kraju u wykwalifikowanego doradcy.

Przewodnik NIS2 · 8 min

Kary i sankcje NIS2: ile, kto odpowiada i jak ich uniknąć

NIS2 daje regulatorom realne narzędzia: kary oparte na obrocie, wiążące nakazy oraz, w przypadku podmiotów kluczowych, uprawnienie do tymczasowego zawieszenia certyfikacji lub zakazania członkowi kierownictwa pełnienia funkcji. Ten przewodnik wyjaśnia, czym są sankcje, kto odpowiada osobiście, jak różni się nadzór dla podmiotów kluczowych i ważnych oraz praktyczny sposób uniknięcia kłopotów: wdróż środki z artykułu 21 ust. 2 i zachowuj ciągłe, datowane dowody, że to robisz.

Najważniejsze wnioski

Maksymalne kary są oparte na obrocie: do 10 mln € lub 2 % całkowitego rocznego obrotu światowego dla podmiotów kluczowych oraz 7 mln € lub 1,4 % dla podmiotów ważnych, w zależności od tego, która kwota jest wyższa.
Organ zarządzający musi zatwierdzić i nadzorować środki bezpieczeństwa (art. 20) i może ponosić osobistą odpowiedzialność; w przypadku podmiotów kluczowych organy mogą tymczasowo zakazać członkowi kierownictwa pełnienia funkcji (art. 32 ust. 5).
Kary to ostateczność: codzienne ryzyko to wiążące nakazy, audyty i koszt udowodnienia należytej staranności. Ciągłe, udokumentowane monitorowanie łańcucha dostaw to najtańsze ubezpieczenie.

Co obejmują sankcje NIS2

NIS2 (dyrektywa (UE) 2022/2555) jest transponowana do prawa krajowego przez każde państwo członkowskie, więc dokładne kwoty i procedury są ustalane krajowo, ale dyrektywa ustala progi maksymalnych kar administracyjnych i zestaw narzędzi egzekwowania. Kary wiążą się z niewywiązaniem się podmiotu z obowiązków: środków zarządzania ryzykiem z artykułu 21 ust. 2, obowiązków zgłaszania incydentów z artykułu 23, rejestracji oraz współpracy z organami.

Co istotne, NIS2 nie dotyczy tylko pieniędzy. Artykuł 32 (podmioty kluczowe) i artykuł 33 (podmioty ważne) dają właściwym organom stopniowane uprawnienia, od ostrzeżeń przez wiążące instrukcje aż po, w przypadku podmiotów kluczowych, zawieszenie i zakazy zarządzania. Kara to nagłówek; środki operacyjne to to, z czym większość podmiotów faktycznie się zetknie.

Maksymalne kary

Podmioty kluczowe

Do 10 000 000 € lub 2 % całkowitego rocznego obrotu światowego (poprzedni rok obrotowy), w zależności od tego, która kwota jest wyższa.

Więksi operatorzy w sektorach o wysokiej krytyczności: energetyka, transport, bankowość, infrastruktura rynku finansowego, zdrowie, woda pitna i ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT, administracja publiczna, przestrzeń kosmiczna.

Podmioty ważne

Do 7 000 000 € lub 1,4 % całkowitego rocznego obrotu światowego (poprzedni rok obrotowy), w zależności od tego, która kwota jest wyższa.

Inne średnie i duże podmioty w objętych sektorach, w tym usługi pocztowe i kurierskie, gospodarka odpadami, chemikalia, żywność, produkcja, dostawcy cyfrowi i badania naukowe.

Są to maksymalne pułapy ustalone w dyrektywie (art. 34). Rzeczywiste kary są ustalane krajowo i muszą być skuteczne, proporcjonalne i odstraszające, z uwzględnieniem wagi, czasu trwania i Twojej współpracy. Potwierdź dokładne zasady transpozycji w swoim kraju u wykwalifikowanego doradcy.

Odpowiedzialność osobista i kierownictwa

NIS2 celowo kładzie cyberbezpieczeństwo na biurku zarządu. Zgodnie z artykułem 20 organ zarządzający musi zatwierdzić środki zarządzania ryzykiem cybernetycznym, nadzorować ich wdrożenie i może ponosić odpowiedzialność za uchybienia. Członkowie organów zarządzających muszą również odbywać szkolenia i oczekuje się, że zaoferują podobne szkolenia swojemu personelowi.

W przypadku podmiotów kluczowych artykuł 32 ust. 5 idzie dalej: gdy inne środki egzekwowania zawiodły, właściwe organy mogą tymczasowo zawiesić certyfikację lub zezwolenie i tymczasowo zakazać osobie na poziomie dyrektora generalnego lub przedstawiciela prawnego pełnienia funkcji zarządczych. Ta osobista odpowiedzialność to powód, dla którego zarządzanie NIS2 sięga teraz szczytu organizacji.

Zobacz, jak naprawdę wypadają Twoi dostawcy

Rozpocznij bezpłatny okres próbny Zobacz przykładowy raport

7 dni bezpłatnie · bez karty kredytowej · anuluj w każdej chwili

Zestaw narzędzi egzekwowania (poza karami)

Przed karą lub obok niej organy mogą zastosować szereg wiążących środków (art. 32 i 33). W praktyce z tym najprawdopodobniej się zetkniesz:

Ostrzeżenia i wiążące instrukcje usunięcia konkretnych uchybień w wyznaczonym terminie.
Nakazy zastosowania się, poinformowania zagrożonych klientów o istotnym zagrożeniu lub wdrożenia zaleceń audytu.
Obowiązkowe audyty bezpieczeństwa i inspekcje na miejscu, na Twój koszt.
Wyznaczenie urzędnika monitorującego, który nadzoruje Twoją zgodność przez określony czas.
Publiczne ujawnienie naruszenia oraz nakazy upublicznienia aspektów incydentu.
Tylko dla podmiotów kluczowych: tymczasowe zawieszenie certyfikacji lub zezwolenia oraz tymczasowy zakaz zarządzania (art. 32 ust. 5).

Nadzór różni się w zależności od kategorii

Podmioty kluczowe podlegają nadzorowi proaktywnemu (ex ante) i reaktywnemu (ex post) na podstawie artykułu 32: regularne i ukierunkowane audyty, inspekcje na miejscu, skany bezpieczeństwa i żądania informacji mogą nastąpić niezależnie od tego, czy istnieje podejrzenie problemu.

Podmioty ważne są nadzorowane wyłącznie ex post na podstawie artykułu 33: organy działają, gdy istnieją dowody lub przesłanki niezgodności, zwykle po incydencie lub skardze. Tak czy inaczej, to na Tobie spoczywa ciężar wykazania, że odpowiednie środki były wdrożone, co jest znacznie łatwiejsze przy ciągłych zapisach niż przy migawce raz w roku.

Źródła: Dyrektywa (UE) 2022/2555 (NIS2), artykuły 20, 32, 33 i 34 Maksymalne kwoty kar ustala dyrektywa; transpozycje krajowe ustalają dokładne zasady i procedury. Ten przewodnik to informacja ogólna, nie porada prawna.

Jak norppa.io zmniejsza Twoje ryzyko

Większość kar wynika z dwóch uchybień: niewystarczających środków z artykułu 21 ust. 2 (zwłaszcza bezpieczeństwa łańcucha dostaw) oraz niemożności udowodnienia należytej staranności na żądanie. norppa.io odpowiada na oba, monitorując w sposób ciągły każdą domenę dostawcy i przypisując każde ustalenie do artykułu NIS2, którego dotyczy.

Ponieważ każdy cykl monitorowania jest rejestrowany, masz ciągły, datowany ślad audytowy, dokładnie dowód, którego wymaga nadzór na podstawie artykułów 32 i 33, a nie migawkę w danym momencie. To zamienia „zamierzaliśmy” w „oto zapis” i jest najtańszym ubezpieczeniem przed powyższymi karami i nakazami.

Udowodnij należytą staranność łańcucha dostaw

Zobacz przykładowy raport dostawcy (ustalenia, dowody i mapowanie artykułów NIS2) w około dwie minuty.

Rozpocznij bezpłatny okres próbny Zobacz przykładowy raport

7 dni bezpłatnie · bez karty kredytowej · anuluj w każdej chwili

Zobacz przykładowy pulpit

Ostatnio sprawdzono: 19 czerwca 2026

Ten przewodnik zawiera ogólne informacje o prawie UE, a nie poradę prawną. NIS2 wchodzi w życie poprzez krajową ustawę wdrażającą każdego państwa członkowskiego UE, która może różnić się w szczegółach. Zweryfikuj obowiązki, które Cię dotyczą, u właściwego organu lub doradcy prawnego.

Powiązane przewodniki

Jak spełnić NIS2: mapa drogowa krok po kroku

Kroki do zgodności z NIS2 po kolei: potwierdzenie zakresu, rejestracja, odpowiedzialność kierownictwa (art. 20), środki z art. 21 ust. 2, bezpieczeństwo łańcucha dostaw, zgłaszanie incydentów (art. 23) oraz ciągłe, udokumentowane zapewnienie.

Kogo dotyczy NIS2? Podmioty kluczowe i ważne, sektory i progi wielkości

Ustal, czy NIS2 dotyczy Ciebie: dwie kategorie, sektory z załączników I/II, progi wielkości, wyjątki niezależne od wielkości i jak łańcuch dostaw wciąga Cię nawet bez wyznaczenia.

NIS2 dla dostawców: nie jesteś wyznaczony, ale Twoi klienci tak

Większość firm nigdy nie zostaje wyznaczona w ramach NIS2, a mimo to wiele musi go spełniać. Jak obowiązek bezpieczeństwa łańcucha dostaw objętego klienta (artykuł 21 ust. 2 lit. d) przenosi się na Ciebie, czego zażąda i jak odpowiedzieć wiarygodnie.

NIS2 i wymóg łańcucha dostaw: co oznacza w praktyce

NIS2 zobowiązuje podmioty kluczowe i ważne do oceny cyberryzyk w łańcuchu dostaw. Poziomy dostawców, ryzyko czwartej strony, obowiązek zgłoszenia z Art. 23 i na co zwracają uwagę audytorzy.

Ocena cyberzagrożeń dostawcy: co sprawdza automatyczny monitoring NIS2

Wszystkie kategorie kontroli wyjaśnione: ransomware, wycieki dark web, TLS/DNSSEC, bezpieczeństwo cookies, CVE/EPSS, sankcje, czarne listy MX i SAQ. Cykl życia wyników i mapowanie artykułów NIS2.

NIS2 Art. 21(2): lista kontrolna bezpieczeństwa dla dostawców

Lista kontrolna dla zespołów zakupowych i bezpieczeństwa: co pytać, jakie dowody zbierać i jak reagować, gdy dostawca nie spełnia wymagań. Zawiera propozycje dokumentów potwierdzających.

Kwestionariusz dostawcy NIS2 (SAQ): o co pytać, jak punktować i darmowy szablon

O co pytać dostawców zgodnie z art. 21 ust. 2 lit. d), jak punktować odpowiedzi i reagować na luki, dlaczego samoocena wymaga weryfikacji, oraz darmowy szablon.

Zgłaszanie incydentów NIS2: terminy 24 i 72 godzin wyjaśnione

Czym jest istotny incydent, harmonogram z artykułu 23 (wczesne ostrzeżenie 24 h, zgłoszenie 72 h, raport końcowy w miesiąc) i kiedy incydent dostawcy staje się Twoim obowiązkiem.

NIS2 a odpowiedzialność kierownictwa: co muszą wiedzieć zarząd i kadra zarządzająca

Czego NIS2 oczekuje od organu zarządzającego: obowiązki zatwierdzania i nadzoru, osobista odpowiedzialność (art. 20), szkolenia, wskaźniki raportowania do zarządu i kary z art. 34.

ISO 27001 a NIS2: co Twój SZBI już obejmuje, i luki, których nie

Jeśli masz ISO 27001: co przenosi się na NIS2, a co nie (ustawowe zgłaszanie incydentów, odpowiedzialność kierownictwa, rejestracja i ciągłe zapewnienie łańcucha dostaw) oraz jak zamknąć lukę.

NIS2 a DORA: czym się różnią, gdzie się pokrywają i który dotyczy Ciebie

Czym różnią się i pokrywają dwa reżimy UE, dlaczego DORA to lex specialis dla podmiotów finansowych, który dotyczy Ciebie, i co oba oznaczają dla ryzyka stron trzecich.

RODO a NIS2: pokrywanie się, różnice i kiedy jeden incydent uruchamia oba

Czym różnią się i pokrywają RODO i NIS2, kiedy jeden incydent uruchamia oba (RODO art. 33 72 h do organu nadzorczego vs NIS2 art. 23 24 h/72 h/miesiąc do CSIRT), współpraca z art. 35 i zakaz podwójnej kary oraz co oba oznaczają dla należytej staranności wobec dostawców.

Unijny akt o cyberodporności (CRA): zakres, harmonogram i co oznacza dla Twojego łańcucha dostaw

Czego wymaga CRA, jego etapowe terminy (obowiązuje od 2024, zgłaszanie wrz 2026, pełna zgodność gru 2027), kogo dotyczy i dlaczego czysty SaaS często nie, jak uzupełnia NIS2 oraz co oznacza dla zakupów i należytej staranności wobec dostawców.

Unijny akt o sztucznej inteligencji: poziomy ryzyka, harmonogram i obowiązki podmiotów stosujących (artykuł 26)

Czego wymaga unijny akt o AI: poziomy ryzyka, etapowe daty (obowiązuje 2024, zakazane luty 2025, GPAI sie 2025, wysokie ryzyko sie 2026), obowiązki podmiotu stosującego z art. 26, jak nakłada się na NIS2 i RODO oraz co oznacza dla zakupów AI.