Kary dla podmiotu

Ustawa o krajowym systemie cyberbezpieczeństwa reguluje również kwestię nakładania kar pieniężnych (rozdział 14. Przepisy o karach pieniężnych). Zgodnie z art. 73 UKSC, karze pieniężnej podlega podmiot kluczowy lub ważny, który:

1.  nie uzupełnił w terminie brakujących danych w wykazie albo nie dokonał korekty danych pomimo wezwania, o którym mowa w art. 7b ust. 2 albo art. 7j ust. 3, albo art. 7k ust. 2, art. 7l ust. 3 pkt 2 albo art. 7m ust. 3;
2. nie przeprowadza systematycznego szacowania ryzyka wystąpienia incydentu lub nie zarządza tym ryzykiem, o którym mowa w art. 8 ust. 1 pkt 1;
3. nie wdrożył systemu zarządzania bezpieczeństwem informacji w systemie informacyjnym wykorzystywanym w procesach wpływających na świadczenie usługi albo system ten nie zapewnia funkcjonalności lub nie spełnia wymogów, o których mowa w art. 8 ust. 1 albo 3;
4. nie wykonuje obowiązków, o których mowa w art. 10 ust. 1;
5. nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 1;
6.  nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 4;
7. nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 4a;
8. nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 4b;
9. nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 4c;
10. nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 5;
11. nie przeprowadza audytu w terminie, o którym mowa w art. 15 ust. 1 lub art. 16 pkt 2;
12. nie usuwa podatności, o których mowa w art. 32 ust. 2;
13. nie korzysta z systemu teleinformatycznego, o którym mowa w art. 46 ust. 1, w celu realizacji obowiązków, o których mowa w art. 11, gdy korzystanie z tego systemu przy realizacji tych obowiązków jest wymagane;
14. uniemożliwia lub utrudnia wykonywanie kontroli, o których mowa w art. 53 ust. 2 pkt 1;
15. nie realizuje obowiązku, o którym mowa w art. 53c;
16. uniemożliwia lub utrudnia urzędnikowi monitorującemu, o którym mowa w art. 53 ust. 5 pkt 6, wykonywa-nie powierzonych mu zadań lub realizację uprawnień, o których mowa w art. 53d ust. 1;
17. nie wykonał w wyznaczonym terminie zaleceń pokontrolnych, o których mowa w art. 59 ust. 1;

Organ właściwy do spraw cyberbezpieczeństwa, jeżeli przemawia za tym waga i znaczenie naruszonych przepisów, może nałożyć karę pieniężną na podmiot, który: 1) w terminie, o którym mowa w art. 7c ust. 1, nie złożył wniosku o wpis do wykazu; 2) nie wykonuje obowiązków, o których mowa w art. 9 Wysokość kary, przewidywana w UKSC, wynosi dla:

1. podmiotów kluczowych od 20 000 zł do 10 000 000 EUR, lub 2% przychodów osiągniętych przez podmiot kluczowy z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary, przy czym zastosowanie ma kwota wyższa;
2. podmiotów ważnych od 15 000 zł do 7 000 000 EUR lub 1,4% przychodów osiągniętych przez pod miot ważny z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary

Dodatkowo, art. 73a UKSC przewiduje kary dla kierownika podmiotu kluczowego lub podmiotu ważnego, jeśli przemawia za tym czas, zakres lub charakter naruszenia.