Czy są bezpośrednie kary finansowe za brak audytu KRI?

Rozporządzenie KRI nie przewiduje bezpośrednich kar administracyjnych w klasycznym znaczeniu. Konsekwencje są jednak realne: naruszenie dyscypliny finansów publicznych, odpowiedzialność dyscyplinarna kierownika, negatywne wystąpienia NIK i RIO, kary z RODO i UoKSC za pochodne naruszenia, odpowiedzialność cywilna w razie incydentu.

Kto ponosi odpowiedzialność za brak audytu KRI?

Zgodnie z ustawą o informatyzacji działalności podmiotów realizujących zadania publiczne, odpowiedzialność spoczywa na kierowniku jednostki — wójcie, burmistrzu, prezydencie miasta, staroście, marszałku, dyrektorze szkoły, dyrektorze SPZOZ. Odpowiedzialność można delegować operacyjnie, ale ustawowa odpowiedzialność pozostaje przy kierowniku.

Czym jest naruszenie dyscypliny finansów publicznych w kontekście KRI?

Komisja Orzekająca ds. naruszenia dyscypliny finansów publicznych może orzec karę od upomnienia do nagany, kary pieniężnej w wysokości od 0,25 do 3 miesięcznych wynagrodzeń, oraz zakazu pełnienia funkcji w jednostkach sektora finansów publicznych do 5 lat. Brak audytu KRI może być uznany za zaniechanie wydatkowania środków na obowiązkowe zadanie publiczne.

Jakie kary RODO grożą za brak środków technicznych wymaganych przez KRI?

Prezes UODO może nałożyć karę do 100 000 zł na podmiot publiczny (art. 102 ustawy o ochronie danych osobowych z 2018 r.) za naruszenie art. 32 RODO o odpowiednich środkach technicznych. Brak audytu KRI utrudnia wykazanie należytej staranności, co zwiększa ryzyko kary w razie incydentu.

Co sprawdza NIK podczas kontroli zgodności z KRI?

NIK weryfikuje: czy audyt KRI był przeprowadzony w roku poprzednim, czy raport zawiera wszystkie wymagane elementy, czy zalecenia z poprzedniego audytu zostały wdrożone, czy istnieje System Zarządzania Bezpieczeństwem Informacji (SZBI), czy są procedury reagowania na incydenty. Wystąpienia pokontrolne NIK są publikowane i mogą prowadzić do zawiadomień prokuratury w razie podejrzenia czynu zabronionego.

Czy w razie incydentu kierownik odpowiada cywilnie?

Tak. Jeśli incydent (wyciek danych, ransomware, niedostępność e-usług) spowoduje szkodę u mieszkańców, jednostka może odpowiadać cywilnie, a kierownik może być pociągnięty do odpowiedzialności regresowej. Brak audytu KRI utrudnia wykazanie należytej staranności i podnosi ryzyko odpowiedzialności.

Kary za brak audytu KRI 2026 — odpowiedzialność kierownika jednostki

Rozporządzenie KRI (Dz.U. 2024 poz. 773) nakłada obowiązek corocznego audytu na podmioty realizujące zadania publiczne. Wbrew obiegowej opinii, brak audytu KRI nie skutkuje bezpośrednią karą administracyjną — ale konsekwencje prawne, dyscyplinarne i finansowe są realne i mogą dosięgnąć osobiście wójta, burmistrza, prezydenta, starostę czy dyrektora SPZOZ. Poniżej wyjaśniamy, co konkretnie grozi za zaniechanie audytu KRI i jak to ryzyko zminimalizować.

⚠️ Najważniejsze ryzyka jednym zdaniem

Naruszenie dyscypliny finansów publicznych (kara do 3 miesięcznych wynagrodzeń + zakaz pełnienia funkcji do 5 lat), odpowiedzialność dyscyplinarna pracownika samorządowego, kara UODO do 100 000 zł, odpowiedzialność cywilna jednostki w razie incydentu, negatywne wystąpienie pokontrolne NIK/RIO publikowane na stronie BIP.

1. Czy istnieją bezpośrednie kary finansowe za brak audytu KRI?

Nie — w samym Rozporządzeniu KRI (Dz.U. 2024 poz. 773) nie znajdziesz katalogu kar pieniężnych. Rozporządzenie wprowadza obowiązek, ale sankcje wynikają z innych ustaw:

Ustawy o naruszeniu dyscypliny finansów publicznych (Dz.U. 2005 Nr 14 poz. 114 ze zm.)
Ustawy o pracownikach samorządowych (Dz.U. 2008 Nr 223 poz. 1458 ze zm.)
Ustawy o ochronie danych osobowych z 2018 r. (Dz.U. 2018 poz. 1000 ze zm.) — kary UODO
Ustawy o krajowym systemie cyberbezpieczeństwa (Dz.U. 2018 poz. 1560 ze zm.)
Kodeksu cywilnego — odpowiedzialność za szkody
Kodeksu karnego — w skrajnych przypadkach (niedopełnienie obowiązków — art. 231 k.k.)

W praktyce łączny katalog konsekwencji jest poważniejszy niż jedna grzywna — może dotyczyć osobiście kierownika jednostki, a nie tylko budżetu urzędu.

2. Naruszenie dyscypliny finansów publicznych

Najpoważniejsze ryzyko dla osoby kierującej jednostką. Komisja Orzekająca ds. naruszenia dyscypliny finansów publicznych może uznać, że brak audytu KRI = niewykonanie obowiązku ustawowego, co stanowi naruszenie dyscypliny w rozumieniu art. 5 ww. ustawy.

Katalog kar (art. 31 ustawy):

Upomnienie — najlżejsza sankcja, ale wpisana do akt osobowych
Nagana — drugi stopień, również w aktach
Kara pieniężna — od 0,25 do 3 miesięcznych wynagrodzeń osoby ukaranej (dla wójta to typowo 3 000 – 50 000 zł)
Zakaz pełnienia funkcji związanych z dysponowaniem środkami publicznymi — do 5 lat

Zakaz pełnienia funkcji to sankcja najpoważniejsza politycznie — wójt z zakazem 5-letnim faktycznie traci możliwość ubiegania się o reelekcję.

3. Odpowiedzialność dyscyplinarna pracownika samorządowego

Niezależnie od dyscypliny finansów, pracownik samorządowy (sekretarz, kierownik wydziału IT, ASI) może zostać pociągnięty do odpowiedzialności dyscyplinarnej zgodnie z ustawą o pracownikach samorządowych (art. 26-27). Katalog kar:

Upomnienie
Nagana
Nagana z ostrzeżeniem
Nagana z pozbawieniem możliwości awansowania na wyższe stanowisko przez okres 2 lat
Zwolnienie z pracy z zachowaniem okresu wypowiedzenia
Zwolnienie z pracy bez wypowiedzenia (najpoważniejsza)

4. Kary RODO (UODO) — pośrednia konsekwencja

Brak audytu KRI nie jest naruszeniem RODO sam w sobie, ale znacznie ułatwia stwierdzenie naruszenia art. 32 RODO ("odpowiednie środki techniczne i organizacyjne") w razie incydentu. Prezes UODO może nałożyć:

Do 100 000 zł na podmiot publiczny (art. 102 ustawy o ochronie danych osobowych z 2018 r.)
Do 10 000 zł na państwową lub samorządową instytucję kultury, publiczną jednostkę służby zdrowia, instytucję sportu (limit niższy)
Dla podmiotów prywatnych — kara do 20 mln EUR lub 4% obrotu rocznego

W praktyce UODO bardzo rzadko nakłada maksymalne kary na JST — typowo 5 000 – 50 000 zł. Ale każda decyzja UODO jest publikowana, co psuje wizerunek urzędu i czesto kończy się wnioskami opozycji w radzie gminy.

5. Kontrole NIK i Regionalnej Izby Obrachunkowej (RIO)

NIK od 2022 r. systematycznie kontroluje cyberbezpieczeństwo JST. Audyt KRI jest jednym z pierwszych dokumentów, o które kontrolerzy proszą podczas kontroli systemowej. Brak audytu skutkuje:

Negatywnym wystąpieniem pokontrolnym — publikowanym na stronie NIK i przekazywanym do Sejmu
Zaleceniami pokontrolnymi z terminem realizacji (zwykle 3-6 miesięcy)
Możliwym zawiadomieniem prokuratury w razie podejrzenia naruszenia art. 231 k.k. (niedopełnienie obowiązków przez funkcjonariusza publicznego — kara do 3 lat pozbawienia wolności)
Wnioskiem o ukaranie do Komisji Orzekającej ds. dyscypliny finansów publicznych

RIO kontroluje aspekt finansowy — czy środki na audyt KRI były zaplanowane w budżecie, czy wydatkowane zgodnie z umową, czy nie zaistniało niegospodarne wydatkowanie. Wystąpienie RIO również ma charakter publiczny.

6. Odpowiedzialność cywilna w razie incydentu cyberbezpieczeństwa

To rosnące, choć wciąż mało eksploatowane ryzyko. Jeśli urząd doświadczy incydentu (ransomware, wyciek danych, niedostępność e-usług), a poszkodowani mieszkańcy lub przedsiębiorcy poniosą szkodę — jednostka może zostać pozwana cywilnie. W takim postępowaniu kluczowe jest pytanie: "czy jednostka dochowała należytej staranności?".

Brak corocznego audytu KRI jest silnym argumentem przeciwko jednostce — sąd może uznać, że zaniechano standardowych, ustawowo wymaganych środków zapewniających bezpieczeństwo. To otwiera drogę do:

Odpowiedzialności jednostki za szkodę wobec poszkodowanego (art. 415 k.c.)
Roszczeń regresowych jednostki wobec kierownika / odpowiedzialnego pracownika
Odszkodowań grupowych (np. po wycieku danych mieszkańców)

Pierwsze pozwy zbiorowe po wyciekach z polskich JST już są w sądach — np. po incydencie z 2023 r. w jednej z gmin pomorskich.

7. Co konkretnie grozi wójtowi, burmistrzowi, prezydentowi?

Konkretny scenariusz dla osoby na stanowisku kierowniczym (oparty na realnych przypadkach 2022-2025):

Etap 1: Kontrola NIK lub RIO. Standardowa kontrola wykrywa brak audytu KRI w roku poprzednim.
Etap 2: Wystąpienie pokontrolne publikowane na BIP NIK. Sprawa staje się publiczna, opozycja w radzie wykorzystuje politycznie.
Etap 3: Wniosek o ukaranie do Komisji Orzekającej ds. dyscypliny finansów publicznych.
Etap 4: Postępowanie dyscyplinarne — wójt staje przed Komisją, może zostać ukarany finansowo (np. 1-3 wynagrodzenia) i otrzymać zakaz pełnienia funkcji do 5 lat.
Etap 5: Jeśli zdarzy się incydent — pozwy mieszkańców, postępowanie UODO, ewentualne zawiadomienie prokuratury (art. 231 k.k.).

Łączne ryzyko finansowe i polityczne znacznie przewyższa koszt corocznego audytu KRI, który wynosi od 4 000 zł netto dla małej gminy (zobacz pełen cennik audytu KRI).

8. Jak uniknąć kar — checklist dla kierownika

✅ Minimum, które trzeba mieć w 2026 r.:

Raport z audytu KRI z roku poprzedniego (do okazania kontrolerom)
Wdrożoną politykę bezpieczeństwa informacji (SZBI)
Aktualny rejestr ryzyk z planem postępowania
Procedurę zarządzania incydentami
Plan ciągłości działania (BCP) — przynajmniej w wersji podstawowej
Dokumentację MFA dla kont uprzywilejowanych
Strategię backupu zgodną z regułą 3-2-1
Dziennik szkoleń pracowników z cyberbezpieczeństwa
Plan działań naprawczych po poprzednim audycie (z dowodami wdrożenia)

Jeśli któregokolwiek z tych dokumentów brakuje — masz konkretne ryzyko sankcji. Realnie do nadrobienia w 4-6 tygodni przy wsparciu zewnętrznego audytora.

FAQ — kary i odpowiedzialność za KRI

Czy mogę uniknąć audytu KRI tłumacząc brakiem budżetu?

Nie — to argument, który nie obroni Cię przed Komisją ds. dyscypliny finansów publicznych. Brak środków oznacza, że budżet jednostki nie został prawidłowo zaplanowany, a to samo w sobie może być zarzucone kierownikowi. Dodatkowo dostępne są dotacje z Cyberbezpiecznego Samorządu i Cyfrowej Gminy, które finansują audyt w 80-100%.

Czy audyt wewnętrzny zastępuje audyt KRI?

Nie. Audyt wewnętrzny (na podstawie ustawy o finansach publicznych) i audyt KRI to dwa różne dokumenty. Audyt KRI wymaga kompetencji technicznych z zakresu cyberbezpieczeństwa, których audytor wewnętrzny zwykle nie posiada w wymaganym zakresie. Można je realizować równolegle, ale nie zastępują się.

Co jeśli audyt został przeprowadzony, ale zalecenia nie wdrożone?

Sam fakt przeprowadzenia audytu to dopiero połowa drogi. NIK i UODO zwracają uwagę również na wdrożenie zaleceń. Brak działań naprawczych po stwierdzonych w audycie ryzykach to argument za uznaniem naruszenia "należytej staranności". Plan działań naprawczych z mierzalnymi terminami jest standardem.

Czy kontrola NIK informuje wcześniej o terminie?

Tak — NIK informuje o planowanej kontroli z wyprzedzeniem (zwykle 14-30 dni). To wystarczająco mało czasu, by nadrobić wieloletnie zaległości w obszarze KRI. Jeśli dowiedziałeś się o nadchodzącej kontroli i brakuje audytu — zacznij od razu, ekspresowy audyt jest możliwy w 2-3 tygodnie.

Czy odpowiedzialność można zrzucić na zewnętrznego dostawcę IT?

Tylko częściowo. Outsourcing IT do firmy zewnętrznej nie zwalnia kierownika jednostki z ustawowego obowiązku zapewnienia audytu KRI. Umowa z dostawcą może przewidywać jego współudział, ale ustawowo to jednostka jest podmiotem zobowiązanym i to kierownik odpowiada. Należyte zlecenie audytu zewnętrznemu audytorowi to natomiast standard i dobrze świadczy o "należytej staranności".

Ile osobiście może zapłacić wójt za brak audytu?

W skrajnym scenariuszu: kara pieniężna od Komisji ds. dyscypliny finansów publicznych w wysokości do 3 miesięcznych wynagrodzeń (typowo 15 000 – 50 000 zł dla wójta), zakaz pełnienia funkcji do 5 lat, ewentualna grzywna karna z art. 231 k.k. (do 60 000 zł). Łącznie ryzyko osobiste może sięgnąć ponad 100 000 zł — to wielokrotnie więcej niż koszt audytu (od 4 000 zł).

Zabezpiecz się przed kontrolą — zamów audyt KRI

Konsultacja wstępna bezpłatnie, ekspresowy audyt już w 2-3 tygodnie. Wycena w 24 h.

Poproś o wycenę

lub zadzwoń: +48 604 548 169

Powiązane artykuły

Ten artykuł ma charakter informacyjny i nie stanowi porady prawnej. Szczegóły odpowiedzialności w konkretnej sprawie warto omówić z radcą prawnym lub adwokatem specjalizującym się w prawie administracyjnym.