Pojawienie się nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa to oczywiście wypadkowa dyrektywy NIS 2 i próba jej implementacji w krajowym porządku prawnym. Na Kapitanie Hacku podejmiemy ten temat i opublikujemy cykl artykułów, w których opiszemy zmiany, zdefiniujemy pojawiające się wymogi oraz wskażemy niezbędne naszym zdaniem obszary do zaadresowania przez grupy produktów. Jak Hitchcock zaczynał od trzęsienia ziemi, tak my dla wysokiego poziomu dramatyzmu zaczniemy od kar.
Polska, tak jak inne państwa członkowskie UE, na implementację NIS 2 ma wyznaczony termin do 17 października br. Czasu naprawdę mało, a konsekwencje – srogie.
Kary finansowe, które mogą być nałożone na podmioty (organizacje)
Zwiększona (znacznie!) została górna granica kary możliwej do nałożenia na podmiot najważniejszy lub ważny. Aktualnie najwyższa dopuszczalna kara wynosi milion złotych i można ją nałożyć w przypadku najcięższych naruszeń, które prowadzą do skutków takich jak spowodowanie bezpośredniego i poważnego zagrożenia w dziedzinie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa lub życia i zdrowia ludzi czy też zagrożenia wywołania poważnej szkody majątkowej. W znowelizowanej wersji ustawy na podmiot, który dopuści się tego rodzaju naruszeń, organ może nałożyć karę w maksymalnej wysokości do 100 milionów złotych.
Zaostrzeniu uległy również sankcje za inne rodzaje uchybień przepisom ustawy. Za niewypełnianie obowiązków na podmiot najważniejszy może zostać nałożona kara w wysokości do 10 milionów euro (oczywiście w PLN-ach) lub 2% przychodów z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary, a na podmiot istotny – do 7 milionów euro lub 1,4% przychodu. Co więcej, taka kara nie może być niższa niż 20 000 złotych w przypadku podmiotu kluczowego i 15 000 złotych w przypadku ważnego.
Kary finansowe dla osób
W nowelizacji zaproponowane zostały także zmiany w przepisach dotyczących kary pieniężnej, która może zostać nałożona na kierownika podmiotu objętego obowiązkami wynikającymi z ustawy. Zgodnie z obecną wersją przepisów za niedochowanie należytej staranności w zakresie wypełniania określonych obowiązków na kierownika operatora usługi kluczowej może zostać nałożona kara w kwocie nie większej niż 200% jego miesięcznego wynagrodzenia. Według znowelizowanej wersji przepisów karze pieniężnej może podlegać kierownik podmiotu kluczowego lub ważnego za niewykonanie wskazanych w ustawie obowiązków, o ile przemawia za tym czas, zakres lub charakter naruszenia. Zwiększeniu ulega również maksymalna kwota kary możliwej do wymierzenia – do 600% otrzymywanego przez kierownika wynagrodzenia, obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop.
Co więcej, kara pieniężna może zostać nałożona na kierownika podmiotu kluczowego lub ważnego niezależnie od kary nałożonej na sam podmiot.
Okresowe kary finansowe
Niezależnie od wymierzenia kary za naruszenia ustawy, organ adekwatny może ukarać podmiot najważniejszy lub istotny okresową karą pieniężną, o ile spóźnia się on z wykonaniem obowiązków nałożonych na niego w ramach czynności nadzorczych lub środków egzekwowania przepisów. Taka kara wynosi od 500 do 100 000 złotych za każdy dzień opóźnienia.
Natychmiastowa egzekucja nałożonej kary
Zwiększeniu skuteczności egzekucji kary ma służyć przyznanie organowi adekwatnemu kompetencji do nadania decyzji o wymierzeniu kary rygoru natychmiastowej wykonalności w całości lub w części. Może on jednak skorzystać z tego uprawnienia jedynie w przypadku, gdy wymaga tego ochrona bezpieczeństwa lub porządku publicznego.
Ponadto podmiot najważniejszy lub ważny, wobec którego wszczęto postępowanie o nałożenie kary lub zatrudniający kierownika, wobec którego je wszczęto, jest zobowiązany do dostarczenia organowi na każde jego żądanie, we wskazanym przez niego terminie, danych niezbędnych do określenia podstawy wymiaru kary pieniężnej. W przypadku gdy podmiot ich nie dostarczy lub będą one niewystarczające, organ adekwatny ustali podstawę wymiaru kary pieniężnej w sposób szacunkowy, uwzględniając w szczególności wielkość danego podmiotu, specyfikę jego działalności lub ogólnodostępne dane finansowe.
Nałożona na podmiot lub jego kierownika kara pieniężna musi zostać uiszczona w terminie 14 dni od dnia, w którym decyzja o jej wymierzeniu stała się ostateczna lub od dnia doręczenia decyzji z klauzulą natychmiastowej wykonalności.
No to najgorsze mamy z głowy. Na początku przyszłego tygodnia wskażemy, kogo i w jakim zakresie dotyczy ustawa.