Wersja obowiązująca od 2026.04.03

Rozdział 14

Przepisy o karach pieniężnych

Art. 73. [Kary pieniężne] 1. [473] Karze pieniężnej podlega podmiot kluczowy lub podmiot ważny, który:

1) nie uzupełnił w terminie brakujących danych w wykazie albo nie dokonał korekty danych pomimo wezwania, o którym mowa w art. 7b ust. 2 albo art. 7j ust. 3, albo art. 7k ust. 2, art. 7l ust. 3 pkt 2 albo art. 7m ust. 3;

2) nie przeprowadza systematycznego szacowania ryzyka wystąpienia incydentu lub nie zarządza tym ryzykiem, o którym mowa w art. 8 ust. 1 pkt 1;

3) nie wdrożył systemu zarządzania bezpieczeństwem informacji w systemie informacyjnym wykorzystywanym w procesach wpływających na świadczenie usługi albo system ten nie zapewnia funkcjonalności lub nie spełnia wymogów, o których mowa w art. 8 ust. 1 albo 3;

4) nie wykonuje obowiązków, o których mowa w art. 10 ust. 1;

5) nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 1;

6) nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 4;

7) nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 4a;

8) nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 4b;

9) nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 4c;

10) nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 5;

11) nie przeprowadza audytu w terminie, o którym mowa w art. 15 ust. 1 lub art. 16 pkt 2;

12) nie usuwa podatności, o których mowa w art. 32 ust. 2;

13) nie korzysta z systemu teleinformatycznego, o którym mowa w art. 46 ust. 1, w celu realizacji obowiązków, o których mowa w art. 11, gdy korzystanie z tego systemu przy realizacji tych obowiązków jest wymagane;

14) uniemożliwia lub utrudnia wykonywanie kontroli, o których mowa w art. 53 ust. 2 pkt 1;

15) nie realizuje obowiązku, o którym mowa w art. 53c;

16) uniemożliwia lub utrudnia urzędnikowi monitorującemu, o którym mowa w art. 53 ust. 5 pkt 6, wykonywanie powierzonych mu zadań lub realizację uprawnień, o których mowa w art. 53d ust. 1;

17) nie wykonał w wyznaczonym terminie zaleceń pokontrolnych, o których mowa w art. 59 ust. 1;

18) nie wykonuje obowiązków, o których mowa w art. 67c ust. 1, 2, 4 i 5;

19) nie przekazuje informacji, o których mowa w art. 67d ust. 1;

20) nie wdrożył w terminie określonym w poleceniu zabezpieczającym, o którym mowa w art. 67g ust. 9 pkt 3, określonego zachowania, o którym mowa w art. 67g ust. 10;

21) odstąpił od wykonywania zawartego w poleceniu zabezpieczającym, o którym mowa w art. 67g ust. 9, określonego zachowania, o którym mowa w art. 67g ust. 10, przed wygaśnięciem polecenia zabezpieczającego;

22) nie przekazuje informacji, o których mowa w art. 67h.

1a. [474] Organ właściwy do spraw cyberbezpieczeństwa, jeżeli przemawia za tym waga i znaczenie naruszonych przepisów, może nałożyć karę pieniężną na podmiot, który:

1) w terminie, o którym mowa w art. 7c ust. 1, nie złożył wniosku o wpis do wykazu;

2) nie wykonuje obowiązków, o których mowa w art. 9.

1b. [475] Karze pieniężnej podlega także podmiot kluczowy lub podmiot ważny, którego działanie lub zaniechanie, o którym mowa w ust. 1 pkt 2, 4–12, 14–16, 18, 19 i 22 oraz ust. 1a pkt 2, miało charakter jednorazowy.

1c. [476] Podmiot ważny będący podmiotem publicznym podlega karze pieniężnej, jeżeli nie wykonuje obowiązku, o którym mowa w art. 8 ust. 3.

1d. [477] Przepisu ust. 1 pkt 13 nie stosuje się do Ministra Obrony Narodowej, urzędu go obsługującego oraz podmiotów podległych Ministrowi Obrony Narodowej i przez niego nadzorowanych.

2. [478] (uchylony)

3. [479] Wysokość kary pieniężnej nie może przekroczyć 10 000 000 euro, wyrażonej w złotych i ustalanej przy zastosowaniu kursu średniego ogłaszanego przez Narodowy Bank Polski obowiązującego w dniu 31 grudnia w roku poprzedzającym rok wydania decyzji o wymierzeniu kary lub 2 % przychodów osiągniętych przez podmiot kluczowy z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary, przy czym zastosowanie ma kwota wyższa. Kara ta nie może być jednak niższa niż 20 000 zł.

3a. [480] W przypadku gdy okres wykonywania działalności gospodarczej jest krótszy niż 12 miesięcy albo podmiot nie osiągnął przychodu za podstawę wymiaru kary pieniężnej przyjmuje się równowartość kwoty 500 000 euro, wyrażonej w złotych i ustalanej przy zastosowaniu kursu średniego ogłaszanego przez Narodowy Bank Polski obowiązującego w dniu 31 grudnia w roku poprzedzającym rok wydania decyzji o wymierzeniu kary.

4. [481] Wysokość kary pieniężnej nie może przekroczyć 7 000 000 euro, wyrażonej w złotych i ustalanej przy zastosowaniu kursu średniego ogłaszanego przez Narodowy Bank Polski obowiązującego w dniu 31 grudnia w roku poprzedzającym rok wydania decyzji o wymierzeniu kary lub 1,4 % przychodów osiągniętych przez podmiot ważny z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary. Kara ta nie może być jednak niższa niż 15 000 zł. Przepis ust. 3a stosuje się odpowiednio z zastrzeżeniem, że za podstawę wymiaru kary pieniężnej przyjmuje się równowartość kwoty 250 000 euro.

5. [482] Jeżeli podmiot kluczowy albo podmiot ważny narusza przepisy ustawy, powodując:

1) bezpośrednie i poważne cyberzagrożenie dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi,

2) zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług

– organ właściwy do spraw cyberbezpieczeństwa nakłada karę w wysokości do 100 000 000 zł.

[473] Art. 73 ust. 1 w brzmieniu ustalonym przez art. 1 pkt 82 lit. a) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[474] Art. 73 ust. 1a dodany przez art. 1 pkt 82 lit. b) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[475] Art. 73 ust. 1b dodany przez art. 1 pkt 82 lit. b) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[476] Art. 73 ust. 1c dodany przez art. 1 pkt 82 lit. b) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[477] Art. 73 ust. 1d dodany przez art. 1 pkt 82 lit. b) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[478] Art. 73 ust. 2 uchylony przez art. 1 pkt 82 lit. c) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[479] Art. 73 ust. 3 w brzmieniu ustalonym przez art. 1 pkt 82 lit. d) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[480] Art. 73 ust. 3a dodany przez art. 1 pkt 82 lit. e) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[481] Art. 73 ust. 4 w brzmieniu ustalonym przez art. 1 pkt 82 lit. f) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[482] Art. 73 ust. 5 w brzmieniu ustalonym przez art. 1 pkt 82 lit. f) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

Wersja obowiązująca od 2026.04.03

Rozdział 14

Przepisy o karach pieniężnych

Art. 73. [Kary pieniężne] 1. [473] Karze pieniężnej podlega podmiot kluczowy lub podmiot ważny, który:

1) nie uzupełnił w terminie brakujących danych w wykazie albo nie dokonał korekty danych pomimo wezwania, o którym mowa w art. 7b ust. 2 albo art. 7j ust. 3, albo art. 7k ust. 2, art. 7l ust. 3 pkt 2 albo art. 7m ust. 3;

2) nie przeprowadza systematycznego szacowania ryzyka wystąpienia incydentu lub nie zarządza tym ryzykiem, o którym mowa w art. 8 ust. 1 pkt 1;

3) nie wdrożył systemu zarządzania bezpieczeństwem informacji w systemie informacyjnym wykorzystywanym w procesach wpływających na świadczenie usługi albo system ten nie zapewnia funkcjonalności lub nie spełnia wymogów, o których mowa w art. 8 ust. 1 albo 3;

4) nie wykonuje obowiązków, o których mowa w art. 10 ust. 1;

5) nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 1;

6) nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 4;

7) nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 4a;

8) nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 4b;

9) nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 4c;

10) nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 5;

11) nie przeprowadza audytu w terminie, o którym mowa w art. 15 ust. 1 lub art. 16 pkt 2;

12) nie usuwa podatności, o których mowa w art. 32 ust. 2;

13) nie korzysta z systemu teleinformatycznego, o którym mowa w art. 46 ust. 1, w celu realizacji obowiązków, o których mowa w art. 11, gdy korzystanie z tego systemu przy realizacji tych obowiązków jest wymagane;

14) uniemożliwia lub utrudnia wykonywanie kontroli, o których mowa w art. 53 ust. 2 pkt 1;

15) nie realizuje obowiązku, o którym mowa w art. 53c;

16) uniemożliwia lub utrudnia urzędnikowi monitorującemu, o którym mowa w art. 53 ust. 5 pkt 6, wykonywanie powierzonych mu zadań lub realizację uprawnień, o których mowa w art. 53d ust. 1;

17) nie wykonał w wyznaczonym terminie zaleceń pokontrolnych, o których mowa w art. 59 ust. 1;

18) nie wykonuje obowiązków, o których mowa w art. 67c ust. 1, 2, 4 i 5;

19) nie przekazuje informacji, o których mowa w art. 67d ust. 1;

20) nie wdrożył w terminie określonym w poleceniu zabezpieczającym, o którym mowa w art. 67g ust. 9 pkt 3, określonego zachowania, o którym mowa w art. 67g ust. 10;

21) odstąpił od wykonywania zawartego w poleceniu zabezpieczającym, o którym mowa w art. 67g ust. 9, określonego zachowania, o którym mowa w art. 67g ust. 10, przed wygaśnięciem polecenia zabezpieczającego;

22) nie przekazuje informacji, o których mowa w art. 67h.

1a. [474] Organ właściwy do spraw cyberbezpieczeństwa, jeżeli przemawia za tym waga i znaczenie naruszonych przepisów, może nałożyć karę pieniężną na podmiot, który:

1) w terminie, o którym mowa w art. 7c ust. 1, nie złożył wniosku o wpis do wykazu;

2) nie wykonuje obowiązków, o których mowa w art. 9.

1b. [475] Karze pieniężnej podlega także podmiot kluczowy lub podmiot ważny, którego działanie lub zaniechanie, o którym mowa w ust. 1 pkt 2, 4–12, 14–16, 18, 19 i 22 oraz ust. 1a pkt 2, miało charakter jednorazowy.

1c. [476] Podmiot ważny będący podmiotem publicznym podlega karze pieniężnej, jeżeli nie wykonuje obowiązku, o którym mowa w art. 8 ust. 3.

1d. [477] Przepisu ust. 1 pkt 13 nie stosuje się do Ministra Obrony Narodowej, urzędu go obsługującego oraz podmiotów podległych Ministrowi Obrony Narodowej i przez niego nadzorowanych.

2. [478] (uchylony)

3. [479] Wysokość kary pieniężnej nie może przekroczyć 10 000 000 euro, wyrażonej w złotych i ustalanej przy zastosowaniu kursu średniego ogłaszanego przez Narodowy Bank Polski obowiązującego w dniu 31 grudnia w roku poprzedzającym rok wydania decyzji o wymierzeniu kary lub 2 % przychodów osiągniętych przez podmiot kluczowy z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary, przy czym zastosowanie ma kwota wyższa. Kara ta nie może być jednak niższa niż 20 000 zł.

3a. [480] W przypadku gdy okres wykonywania działalności gospodarczej jest krótszy niż 12 miesięcy albo podmiot nie osiągnął przychodu za podstawę wymiaru kary pieniężnej przyjmuje się równowartość kwoty 500 000 euro, wyrażonej w złotych i ustalanej przy zastosowaniu kursu średniego ogłaszanego przez Narodowy Bank Polski obowiązującego w dniu 31 grudnia w roku poprzedzającym rok wydania decyzji o wymierzeniu kary.

4. [481] Wysokość kary pieniężnej nie może przekroczyć 7 000 000 euro, wyrażonej w złotych i ustalanej przy zastosowaniu kursu średniego ogłaszanego przez Narodowy Bank Polski obowiązującego w dniu 31 grudnia w roku poprzedzającym rok wydania decyzji o wymierzeniu kary lub 1,4 % przychodów osiągniętych przez podmiot ważny z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary. Kara ta nie może być jednak niższa niż 15 000 zł. Przepis ust. 3a stosuje się odpowiednio z zastrzeżeniem, że za podstawę wymiaru kary pieniężnej przyjmuje się równowartość kwoty 250 000 euro.

5. [482] Jeżeli podmiot kluczowy albo podmiot ważny narusza przepisy ustawy, powodując:

1) bezpośrednie i poważne cyberzagrożenie dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi,

2) zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług

– organ właściwy do spraw cyberbezpieczeństwa nakłada karę w wysokości do 100 000 000 zł.

[473] Art. 73 ust. 1 w brzmieniu ustalonym przez art. 1 pkt 82 lit. a) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[474] Art. 73 ust. 1a dodany przez art. 1 pkt 82 lit. b) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[475] Art. 73 ust. 1b dodany przez art. 1 pkt 82 lit. b) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[476] Art. 73 ust. 1c dodany przez art. 1 pkt 82 lit. b) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[477] Art. 73 ust. 1d dodany przez art. 1 pkt 82 lit. b) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[478] Art. 73 ust. 2 uchylony przez art. 1 pkt 82 lit. c) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[479] Art. 73 ust. 3 w brzmieniu ustalonym przez art. 1 pkt 82 lit. d) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[480] Art. 73 ust. 3a dodany przez art. 1 pkt 82 lit. e) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[481] Art. 73 ust. 4 w brzmieniu ustalonym przez art. 1 pkt 82 lit. f) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[482] Art. 73 ust. 5 w brzmieniu ustalonym przez art. 1 pkt 82 lit. f) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

Wersja archiwalna obowiązująca od 2026.01.09 do 2026.04.02     (Dz.U.2026.20 tekst jednolity)

Rozdział 14

Przepisy o karach pieniężnych

Art. 73. [Kary pieniężne] 1. Karze pieniężnej podlega operator usługi kluczowej, który:

1) nie przeprowadza systematycznego szacowania ryzyka lub nie zarządza ryzykiem wystąpienia incydentu, o których mowa w art. 8 pkt 1;

2) nie wdrożył środków technicznych i organizacyjnych uwzględniających wymagania, o których mowa w art. 8 pkt 2 lit. a–e;

3) nie stosuje środków, o których mowa w art. 8 pkt 5 lit. a–d;

4) nie wyznaczył osoby, o której mowa w art. 9 ust. 1 pkt 1;

5) nie wykonuje obowiązków, o których mowa w art. 10 ust. 1;

6) nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 1;

7) nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 4;

8) nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 5;

9) nie usuwa podatności, o których mowa w art. 32 ust. 2;

10) nie wykonuje obowiązku, o którym mowa w art. 14 ust. 1;

11) nie przeprowadza audytu;

12) uniemożliwia lub utrudnia wykonywanie kontroli, o której mowa w art. 53 ust. 2 pkt 1;

13) nie wykonał w wyznaczonym terminie zaleceń pokontrolnych, o których mowa w art. 59 ust. 1.

2. Karze pieniężnej podlega dostawca usługi cyfrowej, który:

1) nie wykonuje obowiązku, o którym mowa w art. 18 ust. 1 pkt 4;

2) nie wykonuje obowiązku, o którym mowa w art. 18 ust. 1 pkt 5;

3) nie usuwa podatności, o których mowa w art. 32 ust. 2.

3. Wysokość kary pieniężnej, o której mowa w:

1) ust. 1 pkt 1, wynosi do 150 000 zł;

2) ust. 1 pkt 2, wynosi do 100 000 zł;

3) ust. 1 pkt 3, wynosi do 50 000 zł;

4) ust. 1 pkt 4, wynosi do 15 000 zł;

5) ust. 1 pkt 5, wynosi do 50 000 zł;

6) ust. 1 pkt 6, wynosi do 15 000 zł za każdy stwierdzony przypadek zaniechania obsługi incydentu;

7) ust. 1 pkt 7, wynosi do 20 000 zł za każdy stwierdzony przypadek niezgłoszenia incydentu poważnego;

8) ust. 1 pkt 8 i 9, wynosi do 20 000 zł;

9) ust. 1 pkt 10, wynosi 100 000 zł;

10) ust. 1 pkt 11 i 13, wynosi do 200 000 zł;

11) ust. 1 pkt 12, wynosi do 50 000 zł;

12) ust. 2 pkt 1, wynosi do 20 000 zł za każdy stwierdzony przypadek niezgłoszenia incydentu istotnego;

13) ust. 2 pkt 2 i 3, wynosi do 20 000 zł.

4. Kara, o której mowa w:

1) ust. 1 pkt 4, nie może być niższa niż 1000 zł;

2) ust. 1 pkt 1–3, 6–9 i 12, nie może być niższa niż 5000 zł;

3) ust. 1 pkt 5, 10, 11 i 13, nie może być niższa niż 15 000 zł.

5. Jeżeli w wyniku kontroli organ właściwy do spraw cyberbezpieczeństwa stwierdzi, że operator usługi kluczowej albo dostawca usługi cyfrowej uporczywie narusza przepisy ustawy, powodując:

1) bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi,

2) zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług kluczowych

– organ właściwy do spraw cyberbezpieczeństwa nakłada karę w wysokości do 1 000 000 zł.

Wersja archiwalna obowiązująca od 2024.07.19 do 2026.01.08     (Dz.U.2024.1077 tekst jednolity)

Rozdział 14

Przepisy o karach pieniężnych

Art. 73. [Kary pieniężne] 1. Karze pieniężnej podlega operator usługi kluczowej, który:

1) nie przeprowadza systematycznego szacowania ryzyka lub nie zarządza ryzykiem wystąpienia incydentu, o których mowa w art. 8 pkt 1;

2) nie wdrożył środków technicznych i organizacyjnych uwzględniających wymagania, o których mowa w art. 8 pkt 2 lit. a–e;

3) nie stosuje środków, o których mowa w art. 8 pkt 5 lit. a–d;

4) nie wyznaczył osoby, o której mowa w art. 9 ust. 1 pkt 1;

5) nie wykonuje obowiązków, o których mowa w art. 10 ust. 1;

6) nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 1;

7) nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 4;

8) nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 5;

9) nie usuwa podatności, o których mowa w art. 32 ust. 2;

10) nie wykonuje obowiązku, o którym mowa w art. 14 ust. 1;

11) nie przeprowadza audytu;

12) uniemożliwia lub utrudnia wykonywanie kontroli, o której mowa w art. 53 ust. 2 pkt 1;

13) nie wykonał w wyznaczonym terminie zaleceń pokontrolnych, o których mowa w art. 59 ust. 1.

2. Karze pieniężnej podlega dostawca usługi cyfrowej, który:

1) nie wykonuje obowiązku, o którym mowa w art. 18 ust. 1 pkt 4;

2) nie wykonuje obowiązku, o którym mowa w art. 18 ust. 1 pkt 5;

3) nie usuwa podatności, o których mowa w art. 32 ust. 2.

3. Wysokość kary pieniężnej, o której mowa w:

1) ust. 1 pkt 1, wynosi do 150 000 zł;

2) ust. 1 pkt 2, wynosi do 100 000 zł;

3) ust. 1 pkt 3, wynosi do 50 000 zł;

4) ust. 1 pkt 4, wynosi do 15 000 zł;

5) ust. 1 pkt 5, wynosi do 50 000 zł;

6) ust. 1 pkt 6, wynosi do 15 000 zł za każdy stwierdzony przypadek zaniechania obsługi incydentu;

7) ust. 1 pkt 7, wynosi do 20 000 zł za każdy stwierdzony przypadek niezgłoszenia incydentu poważnego;

8) ust. 1 pkt 8 i 9, wynosi do 20 000 zł;

9) ust. 1 pkt 10, wynosi 100 000 zł;

10) ust. 1 pkt 11 i 13, wynosi do 200 000 zł;

11) ust. 1 pkt 12, wynosi do 50 000 zł;

12) ust. 2 pkt 1, wynosi do 20 000 zł za każdy stwierdzony przypadek niezgłoszenia incydentu istotnego;

13) ust. 2 pkt 2 i 3, wynosi do 20 000 zł.

4. Kara, o której mowa w:

1) ust. 1 pkt 4, nie może być niższa niż 1000 zł;

2) ust. 1 pkt 1–3, 6–9 i 12, nie może być niższa niż 5000 zł;

3) ust. 1 pkt 5, 10, 11 i 13, nie może być niższa niż 15 000 zł.

5. Jeżeli w wyniku kontroli organ właściwy do spraw cyberbezpieczeństwa stwierdzi, że operator usługi kluczowej albo dostawca usługi cyfrowej uporczywie narusza przepisy ustawy, powodując:

1) bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi,

2) zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług kluczowych

– organ właściwy do spraw cyberbezpieczeństwa nakłada karę w wysokości do 1 000 000 zł.

Wersja archiwalna obowiązująca od 2023.05.15 do 2024.07.18     (Dz.U.2023.913 tekst jednolity)

Rozdział 14

Przepisy o karach pieniężnych

Art. 73. [Kary pieniężne] 1. Karze pieniężnej podlega operator usługi kluczowej, który:

1) nie przeprowadza systematycznego szacowania ryzyka lub nie zarządza ryzykiem wystąpienia incydentu, o których mowa w art. 8 pkt 1;

2) nie wdrożył środków technicznych i organizacyjnych uwzględniających wymagania, o których mowa w art. 8 pkt 2 lit. a–e;

3) nie stosuje środków, o których mowa w art. 8 pkt 5 lit. a–d;

4) nie wyznaczył osoby, o której mowa w art. 9 ust. 1 pkt 1;

5) nie wykonuje obowiązków, o których mowa w art. 10 ust. 1;

6) nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 1;

7) nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 4;

8) nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 5;

9) nie usuwa podatności, o których mowa w art. 32 ust. 2;

10) nie wykonuje obowiązku, o którym mowa w art. 14 ust. 1;

11) nie przeprowadza audytu;

12) uniemożliwia lub utrudnia wykonywanie kontroli, o której mowa w art. 53 ust. 2 pkt 1;

13) nie wykonał w wyznaczonym terminie zaleceń pokontrolnych, o których mowa w art. 59 ust. 1.

2. Karze pieniężnej podlega dostawca usługi cyfrowej, który:

1) nie wykonuje obowiązku, o którym mowa w art. 18 ust. 1 pkt 4;

2) nie wykonuje obowiązku, o którym mowa w art. 18 ust. 1 pkt 5;

3) nie usuwa podatności, o których mowa w art. 32 ust. 2.

3. Wysokość kary pieniężnej, o której mowa w:

1) ust. 1 pkt 1, wynosi do 150 000 zł;

2) ust. 1 pkt 2, wynosi do 100 000 zł;

3) ust. 1 pkt 3, wynosi do 50 000 zł;

4) ust. 1 pkt 4, wynosi do 15 000 zł;

5) ust. 1 pkt 5, wynosi do 50 000 zł;

6) ust. 1 pkt 6, wynosi do 15 000 zł za każdy stwierdzony przypadek zaniechania obsługi incydentu;

7) ust. 1 pkt 7, wynosi do 20 000 zł za każdy stwierdzony przypadek niezgłoszenia incydentu poważnego;

8) ust. 1 pkt 8 i 9, wynosi do 20 000 zł;

9) ust. 1 pkt 10, wynosi 100 000 zł;

10) ust. 1 pkt 11 i 13, wynosi do 200 000 zł;

11) ust. 1 pkt 12, wynosi do 50 000 zł;

12) ust. 2 pkt 1, wynosi do 20 000 zł za każdy stwierdzony przypadek niezgłoszenia incydentu istotnego;

13) ust. 2 pkt 2 i 3, wynosi do 20 000 zł.

4. Kara, o której mowa w:

1) ust. 1 pkt 4, nie może być niższa niż 1000 zł;

2) ust. 1 pkt 1–3, 6–9 i 12, nie może być niższa niż 5000 zł;

3) ust. 1 pkt 5, 10, 11 i 13, nie może być niższa niż 15 000 zł.

5. Jeżeli w wyniku kontroli organ właściwy do spraw cyberbezpieczeństwa stwierdzi, że operator usługi kluczowej albo dostawca usługi cyfrowej uporczywie narusza przepisy ustawy, powodując:

1) bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi,

2) zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług kluczowych

– organ właściwy do spraw cyberbezpieczeństwa nakłada karę w wysokości do 1 000 000 zł.

Wersja archiwalna obowiązująca od 2022.09.05 do 2023.05.14     (Dz.U.2022.1863 tekst jednolity)

Rozdział 14

Przepisy o karach pieniężnych

Art. 73. [Kary pieniężne] 1. Karze pieniężnej podlega operator usługi kluczowej, który:

1) nie przeprowadza systematycznego szacowania ryzyka lub nie zarządza ryzykiem wystąpienia incydentu, o których mowa w art. 8 pkt 1;

2) nie wdrożył środków technicznych i organizacyjnych uwzględniających wymagania, o których mowa w art. 8 pkt 2 lit. a–e;

3) nie stosuje środków, o których mowa w art. 8 pkt 5 lit. a–d;

4) nie wyznaczył osoby, o której mowa w art. 9 ust. 1 pkt 1;

5) nie wykonuje obowiązków, o których mowa w art. 10 ust. 1;

6) nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 1;

7) nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 4;

8) nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 5;

9) nie usuwa podatności, o których mowa w art. 32 ust. 2;

10) nie wykonuje obowiązku, o którym mowa w art. 14 ust. 1;

11) nie przeprowadza audytu;

12) uniemożliwia lub utrudnia wykonywanie kontroli, o której mowa w art. 53 ust. 2 pkt 1;

13) nie wykonał w wyznaczonym terminie zaleceń pokontrolnych, o których mowa w art. 59 ust. 1.

2. Karze pieniężnej podlega dostawca usługi cyfrowej, który:

1) nie wykonuje obowiązku, o którym mowa w art. 18 ust. 1 pkt 4;

2) nie wykonuje obowiązku, o którym mowa w art. 18 ust. 1 pkt 5;

3) nie usuwa podatności, o których mowa w art. 32 ust. 2.

3. Wysokość kary pieniężnej, o której mowa w:

1) ust. 1 pkt 1, wynosi do 150 000 zł;

2) ust. 1 pkt 2, wynosi do 100 000 zł;

3) ust. 1 pkt 3, wynosi do 50 000 zł;

4) ust. 1 pkt 4, wynosi do 15 000 zł;

5) ust. 1 pkt 5, wynosi do 50 000 zł;

6) ust. 1 pkt 6, wynosi do 15 000 zł za każdy stwierdzony przypadek zaniechania obsługi incydentu;

7) ust. 1 pkt 7, wynosi do 20 000 zł za każdy stwierdzony przypadek niezgłoszenia incydentu poważnego;

8) ust. 1 pkt 8 i 9, wynosi do 20 000 zł;

9) ust. 1 pkt 10, wynosi 100 000 zł;

10) ust. 1 pkt 11 i 13, wynosi do 200 000 zł;

11) ust. 1 pkt 12, wynosi do 50 000 zł;

12) ust. 2 pkt 1, wynosi do 20 000 zł za każdy stwierdzony przypadek niezgłoszenia incydentu istotnego;

13) ust. 2 pkt 2 i 3, wynosi do 20 000 zł.

4. Kara, o której mowa w:

1) ust. 1 pkt 4, nie może być niższa niż 1000 zł;

2) ust. 1 pkt 1–3, 6–9 i 12, nie może być niższa niż 5000 zł;

3) ust. 1 pkt 5, 10, 11 i 13, nie może być niższa niż 15 000 zł.

5. Jeżeli w wyniku kontroli organ właściwy do spraw cyberbezpieczeństwa stwierdzi, że operator usługi kluczowej albo dostawca usługi cyfrowej uporczywie narusza przepisy ustawy, powodując:

1) bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi,

2) zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług kluczowych

– organ właściwy do spraw cyberbezpieczeństwa nakłada karę w wysokości do 1 000 000 zł.

Wersja archiwalna obowiązująca od 2020.08.11 do 2022.09.04     (Dz.U.2020.1369 tekst jednolity)

Rozdział 14

Przepisy o karach pieniężnych

Art. 73. [Kary pieniężne] 1. Karze pieniężnej podlega operator usługi kluczowej, który:

1) nie przeprowadza systematycznego szacowania ryzyka lub nie zarządza ryzykiem wystąpienia incydentu, o których mowa w art. 8 pkt 1;

2) nie wdrożył środków technicznych i organizacyjnych uwzględniających wymagania, o których mowa w art. 8 pkt 2 lit. a–e;

3) nie stosuje środków, o których mowa w art. 8 pkt 5 lit. a–d;

4) nie wyznaczył osoby, o której mowa w art. 9 ust. 1 pkt 1;

5) nie wykonuje obowiązków, o których mowa w art. 10 ust. 1;

6) nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 1;

7) nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 4;

8) nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 5;

9) nie usuwa podatności, o których mowa w art. 32 ust. 2;

10) nie wykonuje obowiązku, o którym mowa w art. 14 ust. 1;

11) nie przeprowadza audytu;

12) uniemożliwia lub utrudnia wykonywanie kontroli, o której mowa w art. 53 ust. 2 pkt 1;

13) nie wykonał w wyznaczonym terminie zaleceń pokontrolnych, o których mowa w art. 59 ust. 1.

2. Karze pieniężnej podlega dostawca usługi cyfrowej, który:

1) nie wykonuje obowiązku, o którym mowa w art. 18 ust. 1 pkt 4;

2) nie wykonuje obowiązku, o którym mowa w art. 18 ust. 1 pkt 5;

3) nie usuwa podatności, o których mowa w art. 32 ust. 2.

3. Wysokość kary pieniężnej, o której mowa w:

1) ust. 1 pkt 1, wynosi do 150 000 zł;

2) ust. 1 pkt 2, wynosi do 100 000 zł;

3) ust. 1 pkt 3, wynosi do 50 000 zł;

4) ust. 1 pkt 4, wynosi do 15 000 zł;

5) ust. 1 pkt 5, wynosi do 50 000 zł;

6) ust. 1 pkt 6, wynosi do 15 000 zł za każdy stwierdzony przypadek zaniechania obsługi incydentu;

7) ust. 1 pkt 7, wynosi do 20 000 zł za każdy stwierdzony przypadek niezgłoszenia incydentu poważnego;

8) ust. 1 pkt 8 i 9, wynosi do 20 000 zł;

9) ust. 1 pkt 10, wynosi 100 000 zł;

10) ust. 1 pkt 11 i 13, wynosi do 200 000 zł;

11) ust. 1 pkt 12, wynosi do 50 000 zł;

12) ust. 2 pkt 1, wynosi do 20 000 zł za każdy stwierdzony przypadek niezgłoszenia incydentu istotnego;

13) ust. 2 pkt 2 i 3, wynosi do 20 000 zł.

4. Kara, o której mowa w:

1) ust. 1 pkt 4, nie może być niższa niż 1000 zł;

2) ust. 1 pkt 1–3, 6–9 i 12, nie może być niższa niż 5000 zł;

3) ust. 1 pkt 5, 10, 11 i 13, nie może być niższa niż 15 000 zł.

5. Jeżeli w wyniku kontroli organ właściwy do spraw cyberbezpieczeństwa stwierdzi, że operator usługi kluczowej albo dostawca usługi cyfrowej uporczywie narusza przepisy ustawy, powodując:

1) bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi,

2) zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług kluczowych

– organ właściwy do spraw cyberbezpieczeństwa nakłada karę w wysokości do 1 000 000 zł.

Wersja archiwalna obowiązująca od 2018.08.28 do 2020.08.10

Rozdział 14

Przepisy o karach pieniężnych

Art. 73. [Kary pieniężne] 1. Karze pieniężnej podlega operator usługi kluczowej, który:

1) nie przeprowadza systematycznego szacowania ryzyka lub nie zarządza ryzykiem wystąpienia incydentu, o których mowa w art. 8 pkt 1;

2) nie wdrożył środków technicznych i organizacyjnych uwzględniających wymagania, o których mowa w art. 8 pkt 2 lit. a–e;

3) nie stosuje środków, o których mowa w art. 8 pkt 5 lit. a–d;

4) nie wyznaczył osoby, o której mowa w art. 9 ust. 1 pkt 1;

5) nie wykonuje obowiązków, o których mowa w art. 10 ust. 1;

6) nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 1;

7) nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 4;

8) nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 5;

9) nie usuwa podatności, o których mowa w art. 32 ust. 2;

10) nie wykonuje obowiązku, o którym mowa w art. 14 ust. 1;

11) nie przeprowadza audytu;

12) uniemożliwia lub utrudnia wykonywanie kontroli, o której mowa w art. 53 ust. 2 pkt 1;

13) nie wykonał w wyznaczonym terminie zaleceń pokontrolnych, o których mowa w art. 59 ust. 1.

2. Karze pieniężnej podlega dostawca usługi cyfrowej, który:

1) nie wykonuje obowiązku, o którym mowa w art. 18 ust. 1 pkt 4;

2) nie wykonuje obowiązku, o którym mowa w art. 18 ust. 1 pkt 5;

3) nie usuwa podatności, o których mowa w art. 32 ust. 2.

3. Wysokość kary pieniężnej, o której mowa w:

1) ust. 1 pkt 1, wynosi do 150 000 zł;

2) ust. 1 pkt 2, wynosi do 100 000 zł;

3) ust. 1 pkt 3, wynosi do 50 000 zł;

4) ust. 1 pkt 4, wynosi do 15 000 zł;

5) ust. 1 pkt 5, wynosi do 50 000 zł;

6) ust. 1 pkt 6, wynosi do 15 000 zł za każdy stwierdzony przypadek zaniechania obsługi incydentu;

7) ust. 1 pkt 7, wynosi do 20 000 zł za każdy stwierdzony przypadek niezgłoszenia incydentu poważnego;

8) ust. 1 pkt 8 i 9, wynosi do 20 000 zł;

9) ust. 1 pkt 10, wynosi 100 000 zł;

10) ust. 1 pkt 11 i 13, wynosi do 200 000 zł;

11) ust. 1 pkt 12, wynosi do 50 000 zł;

12) ust. 2 pkt 1, wynosi do 20 000 zł za każdy stwierdzony przypadek niezgłoszenia incydentu istotnego;

13) ust. 2 pkt 2 i 3, wynosi do 20 000 zł.

4. Kara, o której mowa w:

1) ust. 1 pkt 4, nie może być niższa niż 1000 zł;

2) ust. 1 pkt 1–3, 6–9 i 12, nie może być niższa niż 5000 zł;

3) ust. 1 pkt 5, 10, 11 i 13, nie może być niższa niż 15 000 zł.

5. Jeżeli w wyniku kontroli organ właściwy do spraw cyberbezpieczeństwa stwierdzi, że operator usługi kluczowej albo dostawca usługi cyfrowej uporczywie narusza przepisy ustawy, powodując:

1) bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi,

2) zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług kluczowych

– organ właściwy do spraw cyberbezpieczeństwa nakłada karę w wysokości do 1 000 000 zł.