Przepisy o karach pieniężnych - Rozdział 14 - Krajowy system cyberbezpieczeństwa. - Dz.U.2022.1863 t.j. - OpenLEX

Rozdział 14 - Przepisy o karach pieniężnych - Krajowy system cyberbezpieczeństwa.

Dziennik Ustaw

Dz.U.2022.1863 t.j.

Akt obowiązujący
Wersja od: 5 września 2022 r.

Rozdział  14

Przepisy o karach pieniężnych

1. 
Karze pieniężnej podlega operator usługi kluczowej, który:
1)
nie przeprowadza systematycznego szacowania ryzyka lub nie zarządza ryzykiem wystąpienia incydentu, o których mowa w art. 8 pkt 1;
2)
nie wdrożył środków technicznych i organizacyjnych uwzględniających wymagania, o których mowa w art. 8 pkt 2 lit. a-e;
3)
nie stosuje środków, o których mowa w art. 8 pkt 5 lit. a-d;
4)
nie wyznaczył osoby, o której mowa w art. 9 ust. 1 pkt 1;
5)
nie wykonuje obowiązków, o których mowa w art. 10 ust. 1;
6)
nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 1;
7)
nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 4;
8)
nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 5;
9)
nie usuwa podatności, o których mowa w art. 32 ust. 2;
10)
nie wykonuje obowiązku, o którym mowa w art. 14 ust. 1;
11)
nie przeprowadza audytu;
12)
uniemożliwia lub utrudnia wykonywanie kontroli, o której mowa w art. 53 ust. 2 pkt 1;
13)
nie wykonał w wyznaczonym terminie zaleceń pokontrolnych, o których mowa w art. 59 ust. 1.
2. 
Karze pieniężnej podlega dostawca usługi cyfrowej, który:
1)
nie wykonuje obowiązku, o którym mowa w art. 18 ust. 1 pkt 4;
2)
nie wykonuje obowiązku, o którym mowa w art. 18 ust. 1 pkt 5;
3)
nie usuwa podatności, o których mowa w art. 32 ust. 2.
3. 
Wysokość kary pieniężnej, o której mowa w:
1)
ust. 1 pkt 1, wynosi do 150 000 zł;
2)
ust. 1 pkt 2, wynosi do 100 000 zł;
3)
ust. 1 pkt 3, wynosi do 50 000 zł;
4)
ust. 1 pkt 4, wynosi do 15 000 zł;
5)
ust. 1 pkt 5, wynosi do 50 000 zł;
6)
ust. 1 pkt 6, wynosi do 15 000 zł za każdy stwierdzony przypadek zaniechania obsługi incydentu;
7)
ust. 1 pkt 7, wynosi do 20 000 zł za każdy stwierdzony przypadek niezgłoszenia incydentu poważnego;
8)
ust. 1 pkt 8 i 9, wynosi do 20 000 zł;
9)
ust. 1 pkt 10, wynosi 100 000 zł;
10)
ust. 1 pkt 11 i 13, wynosi do 200 000 zł;
11)
ust. 1 pkt 12, wynosi do 50 000 zł;
12)
ust. 2 pkt 1, wynosi do 20 000 zł za każdy stwierdzony przypadek niezgłoszenia incydentu istotnego;
13)
ust. 2 pkt 2 i 3, wynosi do 20 000 zł.
4. 
Kara, o której mowa w:
1)
ust. 1 pkt 4, nie może być niższa niż 1000 zł;
2)
ust. 1 pkt 1-3, 6-9 i 12, nie może być niższa niż 5000 zł;
3)
ust. 1 pkt 5, 10, 11 i 13, nie może być niższa niż 15 000 zł.
5. 
Jeżeli w wyniku kontroli organ właściwy do spraw cyberbezpieczeństwa stwierdzi, że operator usługi kluczowej albo dostawca usługi cyfrowej uporczywie narusza przepisy ustawy, powodując:
1)
bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi,
2)
zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług kluczowych

- organ właściwy do spraw cyberbezpieczeństwa nakłada karę w wysokości do 1 000 000 zł.

1. 
Karę pieniężną, o której mowa w art. 73, nakłada, w drodze decyzji, organ właściwy do spraw cyberbezpieczeństwa.
2. 
Wpływy z tytułu kar pieniężnych, o których mowa w art. 73, stanowią przychód Funduszu Cyberbezpieczeństwa, o którym mowa w art. 2 ustawy z dnia 2 grudnia 2021 r. o szczególnych zasadach wynagradzania osób realizujących zadania z zakresu cyberbezpieczeństwa, w zakresie maksymalnej kwoty prognozowanych kosztów związanych z przyznaniem świadczenia teleinformatycznego, o którym mowa w art. 5 tej ustawy.

Organ właściwy do spraw cyberbezpieczeństwa może nałożyć karę pieniężną na kierownika operatora usługi kluczowej w przypadku, gdy nie dochował należytej staranności celem spełnienia obowiązków, o których mowa w art. 8 pkt 1, art. 9 ust. 1 pkt 1 oraz art. 15 ust. 1, z tym że kara ta może być wymierzona w kwocie nie większej niż 200% jego miesięcznego wynagrodzenia.

Kara, o której mowa w art. 73, może zostać nałożona również w przypadku, gdy podmiot zaprzestał naruszania prawa lub naprawił wyrządzoną szkodę, jeżeli organ właściwy do spraw cyberbezpieczeństwa uzna, że przemawiają za tym czas trwania, zakres lub skutki naruszenia.