Art. 73. - [Zaniechania podlegające karze pieniężnej; wysokość kary pieniężnej] - Krajowy system cyberbezpieczeństwa.
Dziennik Ustaw
Dz.U.2023.913 t.j.
Akt obowiązujący Wersja od: 25 września 2023 r.
Art. 73. [Zaniechania podlegające karze pieniężnej; wysokość kary pieniężnej]
1.
Karze pieniężnej podlega operator usługi kluczowej, który:1)
nie przeprowadza systematycznego szacowania ryzyka lub nie zarządza ryzykiem wystąpienia incydentu, o których mowa w art. 8 pkt 1;2)
nie wdrożył środków technicznych i organizacyjnych uwzględniających wymagania, o których mowa w art. 8 pkt 2 lit. a-e;3)
nie stosuje środków, o których mowa w art. 8 pkt 5 lit. a-d;4)
nie wyznaczył osoby, o której mowa w art. 9 ust. 1 pkt 1;5)
nie wykonuje obowiązków, o których mowa w art. 10 ust. 1;6)
nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 1;7)
nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 4;8)
nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 5;9)
nie usuwa podatności, o których mowa w art. 32 ust. 2;10)
nie wykonuje obowiązku, o którym mowa w art. 14 ust. 1;11)
nie przeprowadza audytu;12)
uniemożliwia lub utrudnia wykonywanie kontroli, o której mowa w art. 53 ust. 2 pkt 1;13)
nie wykonał w wyznaczonym terminie zaleceń pokontrolnych, o których mowa w art. 59 ust. 1.2.
Karze pieniężnej podlega dostawca usługi cyfrowej, który:1)
nie wykonuje obowiązku, o którym mowa w art. 18 ust. 1 pkt 4;2)
nie wykonuje obowiązku, o którym mowa w art. 18 ust. 1 pkt 5;3)
nie usuwa podatności, o których mowa w art. 32 ust. 2.3.
Wysokość kary pieniężnej, o której mowa w:1)
ust. 1 pkt 1, wynosi do 150 000 zł;2)
ust. 1 pkt 2, wynosi do 100 000 zł;3)
ust. 1 pkt 3, wynosi do 50 000 zł;4)
ust. 1 pkt 4, wynosi do 15 000 zł;5)
ust. 1 pkt 5, wynosi do 50 000 zł;6)
ust. 1 pkt 6, wynosi do 15 000 zł za każdy stwierdzony przypadek zaniechania obsługi incydentu;7)
ust. 1 pkt 7, wynosi do 20 000 zł za każdy stwierdzony przypadek niezgłoszenia incydentu poważnego;8)
ust. 1 pkt 8 i 9, wynosi do 20 000 zł;9)
ust. 1 pkt 10, wynosi 100 000 zł;10)
ust. 1 pkt 11 i 13, wynosi do 200 000 zł;11)
ust. 1 pkt 12, wynosi do 50 000 zł;12)
ust. 2 pkt 1, wynosi do 20 000 zł za każdy stwierdzony przypadek niezgłoszenia incydentu istotnego;13)
ust. 2 pkt 2 i 3, wynosi do 20 000 zł.4.
Kara, o której mowa w:1)
ust. 1 pkt 4, nie może być niższa niż 1000 zł;2)
ust. 1 pkt 1-3, 6-9 i 12, nie może być niższa niż 5000 zł;3)
ust. 1 pkt 5, 10, 11 i 13, nie może być niższa niż 15 000 zł.5.
Jeżeli w wyniku kontroli organ właściwy do spraw cyberbezpieczeństwa stwierdzi, że operator usługi kluczowej albo dostawca usługi cyfrowej uporczywie narusza przepisy ustawy, powodując:1)
bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi,2)
zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług kluczowych- organ właściwy do spraw cyberbezpieczeństwa nakłada karę w wysokości do 1 000 000 zł.
Dokumenty powiązane
Jeżeli chcesz mieć dostęp do wszystkich dokumentów powiązanych, zaloguj się do LEX-a Nie korzystasz jeszcze z programów LEX? Zamów dostęp testowy »