Podmioty prowadzące działalność związaną z transportem lotniczym czeka rewolucja w zakresie cyberbezpieczeństwa. W celu zmobilizowania przedsiębiorców do dostosowania się do nowych wymogów, projekt nowelizacji Ustawy o krajowym systemie cyberbezpieczeństwa z dnia 5 lipca 2018 roku („Ustawa KSC”) przewiduje nie tylko podwyższenie progów kar pieniężnych, ale także wprowadzenie nowego rodzaju sankcji. Zdaniem Ministerstwa Cyfryzacji, za takim rozwiązaniem przemawia waga i znaczenie potencjalnego naruszenia przepisów.
Maciej Jóźwiak, Partner, Eversheds Sutherland
Paweł Adamczyk, Senior Associate, Eversheds Sutherland
Wiktoria Wilkowska, Paralegal, Eversheds Sutherland
Jakie konsekwencje spotkają podmiot kluczowy w razie naruszenia przepisów? Kary pieniężne mają być skuteczne, proporcjonalne i odstraszające.
Krajowy system bezpieczeństwa obejmuje przede wszystkim operatorów usług kluczowych. Są to podmioty oferujące usługi mające kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej. Jednym z sektorów usług kluczowych jest transport, w tym transport lotniczy. Projekt nowelizacji nie wprowadza zmian w tym zakresie, natomiast uchyla pojęcie „operatorów usług kluczowych” na rzecz wprowadzenia „podmiotów kluczowych”. Oznacza to, że przewoźnicy lotniczy, zarządzający lotniskami oraz podmioty świadczące usługi na rzecz przewoźników lub użytkowników statków powietrznych będą klasyfikowane podmioty kluczowe.”
Naruszenia podlegające karom pieniężnymNowe brzmienie art. 73 Ustawy KSC przewiduje aż 19 okoliczności, które mogą skutkować nałożeniem sankcji finansowej na podmiot kluczowy. Niektóre z kar dotyczą sytuacji, które zostały już wskazane w obowiązującej wersji Ustawy KSC, nie zabrakło jednak nowości.
Niektóre z wymienionych naruszeń to: nieuzupełnienie brakujących danych w wykazie podmiotów kluczowych, niezgłoszenie do właściwego CSIRT sektorowego wczesnego ostrzeżenia o incydencie, nieprzekazanie sprawozdania okresowego lub końcowego, a także uniemożliwianie lub utrudnianie wykonywania uprawnień urzędnikowi monitorującemu. W projekcie doprecyzowano, że karze pieniężnej podlegają podmioty kluczowe lub podmioty ważne nawet wtedy, gdy ich działanie lub zaniechanie ma charakter jednorazowy.
Wysokość kar pieniężnychDotychczas, każde naruszenie miało indywidualnie ustalony dolny i górny próg sankcji finansowej. Kary pieniężne w tym brzmieniu ustawy wahały się od 1 000 zł do 200 000 zł. W projekcie nowelizacji, za każde przewinienie będzie groziła kara finansowa określona według jednakowego progu.
Minimalna wysokość kary pieniężnej dla podmiotu kluczowego to 20 000 zł. Natomiast maksymalna kara finansowa nie będzie mogła przekroczyć 10 000 000 euro przeliczonych na złote według kursu średniego ogłoszonego przez NBP ostatniego dnia w roku poprzedzającym rok, w którym wydano decyzję o wymierzeniu kary
lub 2% przychodów osiągniętych przez podmiot kluczowy z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary, przy czym zastosowanie będzie miała kwota wyższa.
Co więcej, projekt nowelizacji przewiduje, że jeśli naruszenie przepisów spowodowało bezpośrednie i poważne zagrożenie dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi lub wywołało poważną szkodę majątkową lub poważne utrudnienia w świadczeniu usług, górny próg kary finansowej może zostać podniesiony do 100 000 000 zł.
Ustalenie wymiaru kary finansowejSzeroki zakres kar ma umożliwić indywidualne i adekwatne karanie podmiotów, dopuszczających się naruszeń. Organ właściwy do spraw cyberbezpieczeństwa wymierzając karę powinien brać pod uwagę okoliczności towarzyszące naruszeniu, w tym wagę i znaczenie naruszonych przepisów, czas trwania naruszenia, wcześniejsze poważne naruszenia podmiotu, spowodowane szkody majątkowe i niemajątkowe, a także kondycję finansową podmiotu uwzględniając wysokość przychodu jaki podmiot uzyskał z działalności gospodarczej w roku obrotowym poprzedzającym rok wymierzenia kary i możliwości finansowe przedsiębiorcy.
Kara pieniężna również dla kierownika podmiotuKierownik podmiotu kluczowego będzie ponosił odpowiedzialność finansową za niewykonanie obowiązków określonych w ustawie. Kara będzie mogła zostać nałożona niezależnie od tego czy została nałożona na podmiot kluczowy. Wysokość kary wobec kierownika nie będzie mogła przekroczyć 300% otrzymywanego przez ukaranego wynagrodzenia obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop. Wymierzając karę organ powinien kierować się przede wszystkim możliwościami finansowymi kierownika podmiotu.
Okresowa kara pieniężnaNowym rozwiązaniem, które proponuje projekt ustawy jest instytucja okresowej kary pieniężnej. Będzie ona nakładana na podmioty kluczowe niezależnie od wymierzonej kary pieniężnej w związku z naruszeniem przepisów. Okresowa kara ma służyć przymuszeniu podmiotu kluczowego do wykonania nałożonych na niego obowiązków i penalizować zwłokę podmiotu. Wysokość tej kary wyniesie od 500 zł do 100 000 zł za każdy dzień opóźnienia, licząc od daty wskazanej w decyzji organu o nałożeniu okresowej kary pieniężnej.
Wykonalność decyzji o nałożeniu kary finansowejW podstawowym trybie kara pieniężna powinna zostać uiszczona w ciągu 14 dni od dnia, w którym decyzja o jej nałożeniu stała się ostateczna. Nowelizacja przewiduje, że decyzja w sprawie wymierzenia sankcji finansowej będzie mogła zostać opatrzona klauzulą natychmiastowej wykonalności.
Będzie to miało miejsce w sytuacji, gdy organ uzna, że wymaga tego ochrona bezpieczeństwa lub porządku publicznego. Projekt nie precyzuje, jakie przesłanki musi spełniać czyn, aby uznać go za zagrażający ochronie bezpieczeństwa lub porządku publicznego, więc organy będą miały wolną rękę w podjęciu decyzji o nałożeniu rygoru natychmiastowej wykonalności, co może powodować nadużywanie tego uprawnienia w praktyce.
Zaskarżanie kar finansowychKary finansowe przewidziane w nowelizacji Ustawy o KSC nakładane będą w formie decyzji administracyjnej, co powoduje, że w tym zakresie zastosowanie będą miały przepisy Kodeksu postępowania administracyjnego.
Oznacza to, że ukarany podmiot będzie mógł w terminie 14 dni od dnia doręczenia decyzji zwrócić się do organu wydającego decyzję o ponowne rozpatrzenie sprawy. W razie utrzymania w mocy zaskarżonej decyzji, skarżącemu przysługiwać będzie możliwość wniesienia w ciągu 30 dni od dnia doręczenia rozstrzygnięcia w sprawie skargi do sądu administracyjnego.
Alternatywnie, podmiot kluczowy będzie od razu mógł skierować do sądu administracyjnego za pośrednictwem organu właściwego do spraw cyberbezpieczeństwa, skargę na decyzję w przedmiocie wymierzenia kary pieniężnej w terminie 30 dni od dnia jej doręczenia, rezygnując tym samym z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy do organu.
Tymczasowe środki egzekwowania przepisów ustawyW sytuacji, gdy podmiot kluczowy nie zastosuje się do uprzednio wydanych nakazów lub decyzji, organ właściwy do spraw cyberbezpieczeństwa uzyska kompetencje do zastosowania bardziej dotkliwych tymczasowych środków egzekwowania przepisów ustawy takich jak: wstrzymanie albo ograniczenie zakresu udzielonej podmiotowi koncesji, wstrzymanie w całości albo w części działalności podmiotu wpisanej do rejestru działalności regulowanej, wstrzymanie albo ograniczenie zakresu zezwolenia na prowadzenie działalności gospodarczej wydane podmiotowi, wstrzymanie w całości albo w części działalności podmiotu, wpisanego do CEIDG, wstrzymanie w całości albo w części działalności podmiotu, wpisanego do rejestru przedsiębiorców Krajowego Rejestru Sądowego, zakazać pełnienia w podmiocie kluczowym funkcji zarządczych przez kierownika podmiotu. Środki mają mieć charakter tymczasowy, ponieważ będą obowiązywać jedynie do czasu usunięcia uchybień lub zaprzestania naruszeń.
Warto zaznaczyć, że w poprzednich wersjach projektu niniejsze kompetencje należały do konkretnych organów, które miały działać na wniosek organu właściwego do spraw cyberbezpieczeństwa.
Pierwsza część artykułu tutaj 
Zapisz
się do newslettera:
