Klikając „Akceptuj wszystkie pliki cookie”, zgadzasz się na przechowywanie plików cookie na swoim urządzeniu w celu ułatwienia nawigacji po stronie, analizy korzystania ze strony oraz wspierania naszych działań marketingowych. Zobacz naszą Politykę prywatności, aby uzyskać więcej informacji.
PreferencjeOdrzućAkceptuj
Powrót na stronę główną bloga
Artykuł

Polska i UE w walce z obchodzeniem sankcji.

Autor/ka
Renata Davidson
ikona facebook
ikona linkedin

Ekspertka zarządzania ryzykiem i ciągłością działania

Termin wdrożenia regulacji, a wraz z nią surowych kar kryminalnych minął 20 maja 2025 roku, ale Polska wciąż nie ma gotowej ustawy.
Rosyjska balistyczna rakieta hiperdźwiękowa "Oriesznik" na wozie transportowym.

Wdrożenie nowej dyrektywy (EU) 2024/1226 z pewnością będzie miało wpływ na skuteczność egzekwowania sankcji w Polsce i całej UE. Termin wdrożenia regulacji, a wraz z nią surowych kar kryminalnych minął 20 maja 2025 roku, ale Polska wciąż nie ma gotowej ustawy. Opóźnienie w transpozycji dyrektywy do polskiego porządku prawnego może kosztować nasz kraj kolejne miliony euro kar, Rosja tymczasem skutecznie korzysta z braku nadzoru omijając sankcje, a przecież sygnaliści mogliby stać się najważniejszym narzędziem w walce z rosyjskim imperium cieni i przyczyniać się do zakończenia wojny.

Gdy w marcu 2022 roku  Komisja Europejska uruchomiła anonimową platformę internetową do zgłaszania naruszeń sankcji przeciwko Rosji, była to pierwsza tak ambitna inicjatywa w historii Unii. Dziś, po prawie trzech latach agresji Rosji, ten eksperyment nabiera nowego znaczenia. Warszawa, która objęła prezydencję w Radzie UE, sygnalizuje zdecydowany zwrot ku zdecydowanemu egzekwowaniu sankcji. Kluczem może okazać się wykorzystanie sygnalistów – osób, które mają bezpośredni wgląd w mechanizmy omijania restrykcji.

Polska spóźniona - termin minął

Do 20 maja 2025 roku wszystkie państwa członkowskie UE musiały wprowadzić do swojego prawa krajowego dyrektywę (EU) 2024/1226, która harmonizuje definicje przestępstw związanych z naruszaniem unijnych sankcji i ustala minimalne kary za przestępstwa tego typu. Polska tego terminu nie dotrzymała. Mimo miesiąca opóźnienia, kraj wciąż nie ma gotowej ustawy implementującej nowe przepisy.

To poważny problem, szczególnie w kontekście polskiej prezydencji w Radzie UE i napiętej sytuacji geopolitycznej. Dla porównania, Niemcy opublikowały projekt ustawy już w październiku 2024 roku, a Hiszpania zatwierdziła swój projekt w marcu 2025 roku. To przełomowa zmiana, która w Polsce może wymagać znacznego wysiłku legislacyjnego, ponieważ naruszenia sankcji UE są obecnie traktowane albo jako wykroczenia administracyjne, albo jako przestępstwa kryminalne – ale tylko wtedy, gdy są wyraźnie określone w prawie krajowym.

Obecnie polskie prawo przewiduje karę administracyjną za naruszenie sankcji UE w maksymalnej wysokości 20 milionów złotych. Po wdrożeniu dyrektywy kary będą znacznie surowsze – od 1 do 5 procent całkowitego światowego obrotu firmy lub od 8 do 40 milionów euro, w zależności od rodzaju przestępstwa.

Opóźnienie w implementacji może kosztować Polskę kolejne miliony euro kar ze strony UE. Podobna sytuacja miała już miejsce przy dyrektywie o ochronie sygnalistów, gdzie trzyletnie opóźnienie kosztowało nas - podatników 40 tysięcy euro dziennie. Polski ustawodawca zapowiadał już w kwietniu 2024 roku wprowadzenie specjalnej nowej ustawy sankcyjnej, ale jak dotąd żaden konkretny projekt nie został przedstawiony.

Polskie doświadczenia z ochroną sygnalistów

Polska miała już okazję sprawdzić się w dziedzinie ochrony whistleblowerów. Po trzyletnim opóźnieniu, które kosztowało nas miliony euro w postaci kar UE, 25 września 2024 roku weszła w życie Ustawa o ochronie sygnalistów . Pracodawcy zatrudniający co najmniej 50 osób musieli ustanowić wewnętrzne kanały zgłaszania naruszeń, które mają być łatwo dostępne, bezpieczne i gwarantować poufność i ochronę sygnalisty.

Polskie prawo wykracza poza minimalne standardy dyrektywy UE  i obejmuje nie tylko naruszenia związane z zamówieniami publicznymi czy usługami finansowymi, ale także korupcję, działania na szkodę interesów finansowych Skarbu Państwa oraz naruszenia konstytucyjnych praw i wolności człowieka i obywatela.

Jednak w kontekście sankcji międzynarodowych polskie rozwiązania mogą okazać się niewystarczające. W Polsce anonimowe zgłoszenia sygnalistów nie są uznawane za uprawnione ujawnienia zgodnie z przepisami prawa. Oznacza to, że osoby decydujące się na ujawnienie nadużyć nadal mogą być narażone na odwet.

Problem tkwi w paradoksie ochrony prawnej. Gdy zgłoszenie jest anonimowe, nie kwalifikuje się do ochrony przed działaniami odwetowymi przewidzianymi w ustawie o sygnalistach. Pracodawca nadal może legalnie podejmować działania wobec pracownika, którego podejrzewa o złożenie zgłoszenia, ponieważ formalnie nie ma "chronionego sygnalisty" w rozumieniu prawa. Z drugiej strony, gdy sygnalista ujawni swoją tożsamość, aby uzyskać ochronę prawną, staje się podatny na różne formy nacisku - od mobbingu i ostracyzmu w miejscu pracy, przez ograniczanie obowiązków, po wypowiedzenie umowy pod pretekstem "reorganizacji".

Jak dramatyczne mogą być konsekwencje dla sygnalistów w Polsce, pokazuje sprawa Gabrieli Fostiak z Uniwersytetu Szczecińskiego z grudnia 2024 roku. Przewodnicząca związku zawodowego poinformowała ministra nauki Dariusza Wieczorka o nieprawidłowościach na uczelni, prosząc o zachowanie anonimowości i potraktowanie jej jako sygnalistki. Ministerstwo jednak uznało, że nie przysługuje jej status sygnalistki, ponieważ sprawa wykracza poza zakres dyrektywy UE, i mimo braku zgody przekazało jej pismo rektorowi "w trosce o dobro społeczności akademickiej". Konsekwencje były natychmiastowe - rektor zawiadomił prokuraturę, poinformował pracowników uczelni, że Fostiak "powiela nieprawdziwe informacje", a kobieta została okrzyknięta donosicielką. "Cała sytuacja odbiła się na moim zdrowiu" - przyznała później Fostiak w wywiadzie dla mediów. Choć minister ostatecznie przeprosił, kobieta odpowiedziała: "Nie przyjmuję przeprosin, oczekuję konsekwencji".

Ta sprawa idealnie ilustruje lukę w polskim systemie ochrony sygnalistów - brak skutecznych mechanizmów anonimowości sprawia, że osoby zgłaszające nieprawidłowości są narażone na represje, co zniechęca innych do przyszłych zgłoszeń.

W przypadku sankcji międzynarodowych ryzyko jest szczególnie wysokie, ponieważ naruszenia często dotyczą wysokowartościowych transakcji i mogą angażować wpływowe podmioty gospodarcze, a nawet zorganizowane grupy przestępcze i służby obcych państw. Sygnalista ujawniający np. obchodzenie embarga na ropę rosyjską czy eksport technologii podwójnego zastosowania może narazić firmę na kary finansowe sięgające setek milionów euro, co zwiększa motywację do uciszenia informatora.

Europejska platforma na straży sankcji

Komisja Europejska uruchomiła w marcu 2022 roku bezpieczną platformę internetową, z której whistleblowerzy z całego świata mogą anonimowo zgłaszać minione, bieżące lub planowane naruszenia sankcji UE. Narzędzie zostało zapowiedziane w komunikacie z stycznia 2021 roku dotyczącym wspierania otwartości, siły i odporności europejskiego systemu gospodarczego i finansowego.

Jeśli Unia Europejska uzna, że dostarczone informacje są wiarygodne, udostępni zanonimizowany raport i wszelkie dodatkowe informacje zebrane podczas wewnętrznego dochodzenia właściwym organom krajowym w odpowiednich państwach członkowskich.

Niestety, działanie platformy jest ograniczone przez brak jednolitych kar kryminalnych w całej UE. W Unii funkcjonuje obecnie ponad 40 reżimów sankcyjnych, a ich skuteczność zależy od właściwego wdrożenia i egzekwowania, w tym zapobiegania obchodzeniu i uchylaniu się od sankcji.

Unijne “sprawdzam” dla regulacji sankcyjnych

Rok 2024 przyniósł wzrost aktywności organów UE w egzekwowaniu sankcji i kontroli eksportu. Gdy wojna na Ukrainie zbliża się do trzeciej rocznicy, UE (szczególnie pod polską prezydencją w Radzie) sygnalizuje teraz swoje zobowiązanie do wprowadzenia "silniejszych sankcji".

Rok 2024 oznaczał niezwykłą zmianę – aktywność w zakresie egzekwowania sankcji osiągnęła bezprecedensowy poziom w całej Europie. W 2024 roku, prawdopodobnie po raz pierwszy w historii, Europa (UE, Wielka Brytania, Szwajcaria i Norwegia) nałożyła większą liczbę kar i uzyskała więcej wyroków skazujących niż Stany Zjednoczone - 118 zakończonych sukcesem działań egzekucyjnych w Europie wobec 52 w USA.

Skala wzrostu jest imponująca w poszczególnych krajach. Od 2022 roku niemieckie władze wszczęły ponad 1400 dochodzeń w sprawie podejrzanych naruszeń sankcji związanych z Rosją i Białorusią, z co najmniej 176 sprawami wciąż otwartymi w 2024 roku. Do czerwca 2025 roku prowadzono co najmniej 41 spraw karnych dotyczących eksportu samochodów do Rosji, co jest poważnym naruszeniem sankcji.

W Hiszpanii od połowy 2024 roku nastąpił wzrost skoordynowanych nalotów i postępowań karnych. W lutym 2025 roku ujawniono nielegalny eksport prekursorów broni chemicznej do Rosji, co zakończyło się aresztowaniami. Łotwa kontynuuje wzrost liczby postępowań – 453 sprawy od 2022 roku, z 61 nowymi oskarżeniami w pierwszej połowie 2025 roku. Polskie władze potwierdziły, że prowadzą 275 dochodzeń sankcyjnych.

W 2025 roku obserwuje się dalszy wzrost liczby postępowań karnych i zaostrzenie kar w UE, w tym wysokie kary finansowe i wyroki więzienia. Trend ten pokazuje, że implementacja nowej dyrektywy już przynosi rezultaty w krajach, które zdążyły ją wdrożyć.

UE wprowadził również nowe narzędzia prawne, takie jak zobowiązanie "najlepszych starań" dla operatorów unijnych z filiami poza UE. Firmy-matki z UE muszą teraz zapewnić, że ich filie spoza UE nie podważają sankcji handlowych UE-Rosja i sankcji UE-Białoruś.

Wyzwania dla polskich przedsiębiorców

Nowe regulacje niosą ze sobą konkretne konsekwencje dla firm działających w Polsce. Dyrektywa obejmuje wszystkie przedsiębiorstwa prowadzące działalność na terenie UE, które mogą być narażone na ryzyko naruszeń sankcji, niezależnie od ich wielkości.

Kto będzie objęty nowymi obowiązkami?  To przede wszystkim firmy prowadzące handel międzynarodowy, instytucje finansowe, przedsiębiorstwa logistyczne i transportowe, firmy energetyczne, przedsiębiorstwa technologiczne eksportujące produkty podwójnego zastosowania oraz kancelarie prawne obsługujące międzynarodowych klientów.

Adaptacja systemów ochrony sygnalistów będzie kluczowa.

Firmy, które już wdrożyły kanały zgłaszania naruszeń zgodnie z polską ustawą o sygnalistach, muszą je dostosować do specyfiki sankcji. Oznacza to nie tylko szkolenie osób odpowiedzialnych za obsługę zgłoszeń w zakresie rozpoznawania potencjalnych naruszeń sankcji, ale także rozszerzenie procedur o nowe kategorie zagrożeń. Podczas gdy typowe zgłoszenia whistleblowingowe dotyczą naruszeń prawa pracy czy korupcji, sankcje międzynarodowe wymagają specjalistycznej wiedzy o handlu podwójnego zastosowania, strukturach omijających przez kraje trzecie, czy fałszywych certyfikatach końcowego użytkownika. Pracownik musi wiedzieć, że transport "części zamiennych do ciągników" do Uzbekistanu może w rzeczywistości oznaczać dostawę komponentów militarnych dla Rosji, a zmiana dokumentów transportowych z "Białoruś" na "Kirgistan" może być próbą obejścia embarga na nawozy. To wymaga od firm inwestycji w specjalistyczne szkolenia i aktualizację procedur compliance o międzynarodowy wymiar sankcji.

Monitoring łańcucha dostaw staje się obowiązkowy.

Polskie firmy-matki muszą zapewnić, że ich zagraniczne oddziały nie podważają sankcji handlowych. To radykalna zmiana - wcześniej firmy odpowiadały tylko za swoje bezpośrednie działania na terytorium UE, teraz są odpowiedzialne także za filie działające w krajach, gdzie sankcje UE formalnie nie obowiązują. Wymaga to wdrożenia zaawansowanych systemów monitorowania partnerów biznesowych działających w czasie rzeczywistym, które automatycznie sprawdzają każdego nowego klienta względem list sankcyjnych i weryfikują beneficjentów rzeczywistych. Firmy muszą śledzić towary co najmniej 2-3 poziomy dalej od bezpośredniego klienta, wymagać certyfikatów końcowego użytkowania i kontrolować trasy transportowe. Przykład: jeśli polska firma budowlana ma filię w Gruzji, która sprzedaje cement lokalnej firmie, musi sprawdzić czy ta gruzińska firma nie jest własnością Rosjan, czy cement nie trafi do rosyjskich projektów infrastrukturalnych i czy płatność nie przejdzie przez rosyjskie banki. Nieprzestrzeganie może skutkować karą do 5% światowego obrotu firmy-matki, nawet jeśli sama nie wiedziała o problematycznej transakcji filii.

Szczególną uwagę firmy muszą zwrócić na produkty podwójnego zastosowania.

Te podlegają najsurowszym karom – do 5 lat więzienia dla osób fizycznych i kary do 5% światowego obrotu dla firm. Instytucje finansowe muszą wzmocnić systemy wykrywania transakcji mogących omijać sankcje, w tym operacje w kryptowalutach. Kadra zarządzająca będzie ponosić osobistą odpowiedzialność karną za zaniedbania w obszarze zgodności z przepisami sankcyjnymi.

Wyzwania implementacji - presja czasu

Najbliższe tygodnie będą kluczowe dla Polski. Nie tylko musimy nadrobić opóźnienie, ale także stworzyć kompleksowy system egzekwowania sankcji praktycznie od podstaw. Potrzeba implementacji dyrektywy jest szczególnie paląca, ponieważ egzekwowanie sankcji w Polsce jest obecnie słabo rozwinięte.

Dyrektywa nakłada również obowiązki na państwa członkowskie ułatwiające dochodzenie, ściganie i karanie naruszeń sankcji UE, takie jak narzędzia do badania naruszeń sankcji lub ochrona sygnalistów. To oznacza, że Polska będzie musiała nie tylko zaostrzyć kary, ale także stworzyć skuteczne mechanizmy ochrony osób zgłaszających naruszenia.

W kierunku prawdziwego egzekwowania

Polski rząd Donalda Tuska jest silnie zaangażowany w przestrzeganie praworządności, co kontrastuje z poprzednim rządem. Polska należy do czołowych dostawców pomocy wojskowej dla Ukrainy, co pokazuje determinację Warszawy w wspieraniu Kijowa i egzekwowaniu sankcji przeciwko Rosji.

Sukces nowego systemu będzie zależał od kilku czynników: szybkości implementacji nowych przepisów, skuteczności ochrony sygnalistów oraz zdolności organów ścigania do wykorzystania napływających informacji. Dyrektywa ustanawia podstawy dla bardziej jednolitego egzekwowania w całej UE, ale jej sukces będzie zależał m.in. od terminowej implementacji przez państwa członkowskie.

Polska stoi przed szansą stania się liderem w europejskiej walce z obchodzeniem sankcji, ale musi najpierw nadrobić opóźnienia legislacyjne. Pytanie brzmi, czy zdoła szybko wprowadzić niezbędne przepisy i wykorzystać potencjał sygnalistów w tej kluczowej batalii przeciwko rosyjskiej machinie wojennej. Czas nagli – każdy dzień zwłoki może oznaczać kolejne kary finansowe i osłabienie wiarygodności Polski jako poważnego partnera we wdrażaniu polityki sankcyjnej.

Najnowsze artykuły:

Plan ciągłości działania – instrukcja przetrwania dla Twojej firmy
Niemcy i Skandynawia przygotowują obywateli do wojny. Czy my też powinniśmy o tym myśleć?
Zarządzanie Ciągłością Działania wg NIS2
Dzięki reakcji na zgłoszenie Sygnalistów Adidas chroni reputację i wizerunek
Zaskakująca skuteczność Rosjan – przypadek?

Kategorie:

ICT Navigator
Geopolityka a biznes
Ochrona ludności
Bezpieczeństwo łańcucha dostaw
Zarządzanie kryzysowe
Incydenty
Szkolenia
Wydarzenia
Komunikacja kryzysowa
Audyt
Sygnaliści
Zgodność
Cyberbezpieczeństwo
Ciągłość działania

Oferta Davidson Consulting:

Business ContinuityZarządzanie ryzykiemCyberbezpieczeństwoRozmowy o ryzykuRaporty

Najnowsze artykuły

ShadowLeak: Pierwsza luka zero-click w agentach AI

ChatGPT wykradał dane z Gmaila, OpenAI milczało przez miesiące.
Czytaj dalej
Case Study

ShadowLeak: Pierwsza luka zero-click w agentach AI

Cyberbezpieczeństwo
Zgodność
Komunikacja kryzysowa
Incydenty
ShadowLeak, ChatGPT Deep Research, atak zero-click, wstrzyknięcie poleceń, prompt injection, server-side attack, steganografia, Base64, HTML injection, cyberbezpieczeństwo AI, autonomiczne agenty AI, zatrucie modelu, model poisoning, wejścia przeciwstawne, adversarial inputs, manipulacja danych treningowych, Gmail, Google Drive, Dropbox, GitHub, Microsoft Outlook, SharePoint, OpenAI, Radware, zarządzanie ryzykiem, modelowanie zagrożeń, threat modeling, zasada najmniejszych uprawnień, least privilege, izolacja w kontrolowanym środowisku, sandboxing, monitorowanie wyników działania, segmentacja dostępu, ciągłe monitorowanie, responsible disclosure, ocena ryzyka AI, compliance AI, ciągłość biznesowa, programy nagród za luki, bug bounty, procedury zatwierdzania, approval workflows, reagowanie na incydenty, vendor risk management, metryki bezpieczeństwa AI, wskaźniki operacyjne, wskaźniki biznesowe, behavioral metrics, czas reakcji na incydenty, ISO, NIST, RODO, SOX, AI Security by Design, czerwiec 2025, sierpień 2025, wrzesień 2025, łowcy błędów, bug hunters, badania bezpieczeństwa, security research, możliwości szybkiego reagowania, rapid response capabilities, SIEM, EDR, firewalle, endpoint detection, łańcuch zaufania, chain of trust, AI agents, agenci sztucznej inteligencji, eksfiltracja danych, kompromitacja systemu, vendor lock-in, due diligence, threat landscape, ewolucja zagrożeń
IT i technologia

Vibe hacking - cyberataki z wykorzystaniem sztucznej inteligencji

Ewolucja cyberprzestępczości z wykorzystaniem sztucznej inteligencji radykalnie zmienia krajobraz zagrożeń bezpieczeństwa, głównie poprzez automatyzację niemal każdego etapu ataku i znaczne obniżenie bariery wejścia dla cyberprzestępców.
Czytaj dalej
Artykuł

Vibe hacking - cyberataki z wykorzystaniem sztucznej inteligencji

Cyberbezpieczeństwo
sztuczna inteligencja, cyberbezpieczeństwo, chatbot, vibe hacking, cyberataki, haker, Claude, LLM, cyberprzestępczość, złośliwe oprogramowanie, menedżer haseł, uwierzytelnianie wieloskładnikowe (2FA), zarządzanie podatnościami, phishing, ochrona danych, aktualizacje systemu, VPN, antywirus
IT i technologia

Jak Cloudflare zDDOS-owało samo siebie… przez jeden mały błąd w użyciu React.

Przyczyną chaosu był jeden z najbardziej znanych, ale i zdradliwych hooków w React.
Czytaj dalej
Case Study

Jak Cloudflare zDDOS-owało samo siebie… przez jeden mały błąd w użyciu React.

Cyberbezpieczeństwo
Incydenty
Cloudflare DDoS, React useEffect błąd, atak DDoS Cloudflare, problem Cloudflare React, samodzielny DDoS, błąd programistyczny Cloudflare, awaria Cloudflare, React dependency array, JavaScript porównanie obiektów, useEffect pętla nieskończona, DDoS panel administracyjny, front-end błędy bezpieczeństwa, architektura Cloudflare awaria, lekcje z awarii Cloudflare, jak Cloudflare zDDOS-owało samo siebie, useEffect porównanie referencji, zapobieganie atakom DDoS wewnętrznie, cyberbezpieczeństwo, atak, incydent, bezpieczeństwo IT, awaria systemu, programowanie React, web development, błędy w kodzie, zarządzanie ryzykiem, analiza incydentów
IT i technologia

Plan ciągłości działania – instrukcja przetrwania dla Twojej firmy

Ostatni raz, kiedy tak dużo mówiło się o planach ciągłości działania to był chyba 2018 rok, gdy wchodziła w życie dyrektywa NIS. W 2025 roku wracamy do tematu ponownie ze względu na jej nowelizację - czyli NIS2 i oczekiwaną nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC).
Czytaj dalej
Baza wiedzy

Plan ciągłości działania – instrukcja przetrwania dla Twojej firmy

Ciągłość działania
plan ciągłości działania, ciągłość działania, tworzenie planów ciągłości działania, ocena ryzyka, ocena ryzyka w BCP, BCP
Podmioty ważne i kluczowe
Organizacje pozarządowe
Energetyka
Przemysł
Przejdź do wszystkich wpisów