Rozdział 11 - Nadzór i kontrola operatorów usług kluczowych, dostawców usług cyfrowych i podmiotów świadczących usługi w zakresie cyberbezpieczeństwa - Krajowy system cyberbezpieczeństwa.
Dziennik Ustaw
Dz.U.2023.913 t.j.
Akt obowiązujący Wersja od: 25 września 2023 r.
Rozdział 11
Nadzór i kontrola operatorów usług kluczowych, dostawców usług cyfrowych i podmiotów świadczących usługi w zakresie cyberbezpieczeństwa
Nadzór i kontrola operatorów usług kluczowych, dostawców usług cyfrowych i podmiotów świadczących usługi w zakresie cyberbezpieczeństwa
1.
Nadzór w zakresie stosowania przepisów ustawy sprawują:1)
minister właściwy do spraw informatyzacji w zakresie spełniania przez podmioty świadczące usługi z zakresu cyberbezpieczeństwa wymogów, o których mowa w art. 14 ust. 2;2)
organy właściwe do spraw cyberbezpieczeństwa w zakresie:a)
wykonywania przez operatorów usług kluczowych wynikających z ustawy obowiązków dotyczących przeciwdziałania zagrożeniom cyberbezpieczeństwa i zgłaszania incydentów poważnych,b)
spełniania przez dostawców usług cyfrowych wymogów bezpieczeństwa świadczonych przez nich usług cyfrowych określonych w rozporządzeniu wykonawczym 2018/151 oraz wykonywania wynikających z ustawy obowiązków dotyczących zgłaszania incydentów istotnych.2.
W ramach nadzoru, o którym mowa w ust. 1:1)
organ właściwy do spraw cyberbezpieczeństwa lub minister właściwy do spraw informatyzacji prowadzi kontrole w zakresie, o którym mowa w ust. 1;2)
organ właściwy do spraw cyberbezpieczeństwa nakłada kary pieniężne na operatorów usług kluczowych i dostawców usług cyfrowych.3.
W stosunku do dostawcy usług cyfrowych podjęcie czynności, o których mowa w ust. 2, następuje po uzyskaniu dowodu, że dostawca usług cyfrowych nie spełnia wymogów określonych w rozporządzeniu wykonawczym 2018/151 lub nie wykonuje wynikających z ustawy obowiązków dotyczących zgłaszania incydentów istotnych.1.
Do kontroli, której zakres określony jest w art. 53 ust. 1 pkt 1, stosuje się przepisy rozdziału 5 ustawy z dnia 6 marca 2018 r. - Prawo przedsiębiorców.2.
Do kontroli, której zakres określony jest w art. 53 ust. 1 pkt 2, realizowanej wobec podmiotów:1)
będących przedsiębiorcami stosuje się przepisy rozdziału 5 ustawy z dnia 6 marca 2018 r. - Prawo przedsiębiorców;2)
niebędących przedsiębiorcami stosuje się przepisy ustawy z dnia 15 lipca 2011 r. o kontroli w administracji rządowej określające zasady i tryb przeprowadzania kontroli.Osoba prowadząca czynności kontrolne wobec podmiotów będących przedsiębiorcami ma prawo do:
1)
swobodnego wstępu i poruszania się po terenie podmiotu kontrolowanego bez obowiązku uzyskiwania przepustki;2)
wglądu do dokumentów dotyczących działalności podmiotu kontrolowanego, pobierania za pokwitowaniem oraz zabezpieczania dokumentów związanych z zakresem kontroli, z zachowaniem przepisów o tajemnicy prawnie chronionej;3)
sporządzania, a w razie potrzeby żądania sporządzenia, niezbędnych do kontroli kopii, odpisów lub wyciągów z dokumentów oraz zestawień lub obliczeń;4)
przetwarzania danych osobowych w zakresie niezbędnym do realizacji celu kontroli;5)
żądania złożenia ustnych lub pisemnych wyjaśnień w sprawach dotyczących zakresu kontroli;6)
przeprowadzania oględzin urządzeń, nośników oraz systemów informacyjnych.1.
Kontrolowane podmioty będące przedsiębiorcami zapewniają osobie prowadzącej czynności kontrolne warunki niezbędne do sprawnego przeprowadzenia kontroli, w szczególności przez zapewnienie niezwłocznego przedstawienia żądanych dokumentów, terminowego udzielania ustnych i pisemnych wyjaśnień w sprawach objętych kontrolą, udostępniania niezbędnych urządzeń technicznych, a także sporządzania we własnym zakresie kopii lub wydruków dokumentów oraz informacji zgromadzonych na nośnikach, w urządzeniach lub w systemach informacyjnych.2.
Podmiot kontrolowany dokonuje potwierdzenia za zgodność z oryginałem sporządzonych kopii lub wydruków, o których mowa w ust. 1. W przypadku odmowy potwierdzenia za zgodność z oryginałem potwierdza je osoba prowadząca czynności kontrolne, o czym czyni wzmiankę w protokole kontroli.Osoba prowadząca czynności kontrolne wobec podmiotów będących przedsiębiorcami ustala stan faktyczny na podstawie dowodów zebranych w toku kontroli, w szczególności dokumentów, przedmiotów, oględzin oraz ustnych lub pisemnych wyjaśnień i oświadczeń.
1.
Osoba prowadząca czynności kontrolne wobec podmiotów będących przedsiębiorcami przedstawia przebieg przeprowadzonej kontroli w protokole kontroli.2.
Protokół kontroli zawiera:1)
wskazanie nazwy albo imienia i nazwiska oraz adresu podmiotu kontrolowanego;2)
imię i nazwisko osoby reprezentującej podmiot kontrolowany oraz nazwę organu reprezentującego ten podmiot;3)
imię i nazwisko, stanowisko oraz numer upoważnienia osoby prowadzącej czynności kontrolne;4)
datę rozpoczęcia i zakończenia czynności kontrolnych;5)
określenie przedmiotu i zakresu kontroli;6)
opis stanu faktycznego ustalonego w toku kontroli oraz inne informacje mające istotne znaczenie dla przeprowadzonej kontroli, w tym zakres, przyczyny i skutki stwierdzonych nieprawidłowości;7)
wyszczególnienie załączników.3.
Protokół kontroli podpisują osoba prowadząca czynności kontrolne oraz osoba reprezentująca podmiot kontrolowany.4.
Przed podpisaniem protokołu podmiot kontrolowany może, w terminie 7 dni od dnia przedstawienia mu go do podpisu, złożyć pisemne zastrzeżenia do tego protokołu.5.
W razie zgłoszenia zastrzeżeń osoba prowadząca czynności kontrolne dokonuje ich analizy i w razie potrzeby podejmuje dodatkowe czynności kontrolne, a w przypadku stwierdzenia zasadności zastrzeżeń zmienia lub uzupełnia odpowiednią część protokołu w formie aneksu do protokołu.6.
W razie nieuwzględnienia zastrzeżeń w całości lub w części osoba prowadząca czynności kontrolne informuje podmiot kontrolowany na piśmie.7.
O odmowie podpisania protokołu osoba prowadząca czynności kontrolne czyni w protokole wzmiankę zawierającą datę jej dokonania.8.
Protokół w postaci papierowej sporządza się w dwóch egzemplarzach, z których jeden pozostawia się podmiotowi kontrolowanemu, a w przypadku protokołu sporządzonego w postaci elektronicznej doręcza się go podmiotowi kontrolowanemu.1.
Jeżeli na podstawie informacji zgromadzonych w protokole kontroli organ właściwy do spraw cyberbezpieczeństwa lub minister właściwy do spraw informatyzacji uzna, że mogło dojść do naruszenia przepisów ustawy przez podmiot kontrolowany, przekazuje zalecenia pokontrolne dotyczące usunięcia nieprawidłowości.2.
Od zaleceń pokontrolnych nie przysługują środki odwoławcze.3.
Podmiot kontrolowany, w wyznaczonym terminie, informuje organ właściwy do spraw cyberbezpieczeństwa lub ministra właściwego do spraw informatyzacji o sposobie wykonania zaleceń.