Ministerstwo Energii

Ustawa o krajowym systemie cyberbezpieczeństwa również reguluje kwestię nakładania kar pieniężnych (rozdział 14. Przepisy o karach pieniężnych). Zgodnie z art. 73 UKSC karze pieniężnej podlega operator usługi kluczowej, który:

1. nie przeprowadza systematycznego szacowania ryzyka lub nie zarządza ryzykiem wystąpienia incydentu, o których mowa w art. 8 pkt 1 (wysokość kary pieniężnej do 150 000 zł);

2. nie wdrożył środków technicznych i organizacyjnych uwzględniających wymagania, o których mowa w art. 8 pkt 2 lit. a-e (wysokość kary pieniężnej do 100 000 zł);

3. nie stosuje środków, o których mowa w art. 8 pkt 5 lit. a-d (wysokość kary pieniężnej do 50 000 zł);

4. nie wyznaczył osoby, o której mowa w art. 9 ust. 1 pkt 1 (wysokość kary pieniężnej do 15 000 zł);

5. nie wykonuje obowiązków, o których mowa w art. 10 ust. 1 (wysokość kary pieniężnej do 50 000 zł);

6. nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 1 (wysokość kary pieniężnej do 15 000 zł za każdy stwierdzony przypadek zaniechania obsługi incydentu);

7. nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 4 (wysokość kary pieniężnej do 20 000 zł za każdy stwierdzony przypadek niezgłoszenia incydentu poważnego);

8. nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 5 (wysokość kary pieniężnej do 20 000 zł);

9. nie usuwa podatności, o których mowa w art. 32 ust. 2 (wysokość kary pieniężnej do 20 000 zł);

10. nie wykonuje obowiązku, o którym mowa w art. 14 ust. 1 (wysokość kary pieniężnej do 100 000 zł);

11. nie przeprowadza audytu (wysokość kary pieniężnej do 200 000 zł);

12. uniemożliwia lub utrudnia wykonywanie kontroli, o której mowa w art. 53 ust. 2 pkt 1 (wysokość kary pieniężnej do 50 000 zł);

13. nie wykonał w wyznaczonym terminie zaleceń pokontrolnych, o których mowa w art. 59 ust. 1 (wysokość kary pieniężnej do 200 000 zł).

 Jeżeli w wyniku kontroli organ właściwy do spraw cyberbezpieczeństwa stwierdzi, że operator usługi kluczowej uporczywie narusza przepisy ustawy, powodując:

1. bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi,

2. zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług kluczowych

- organ właściwy do spraw cyberbezpieczeństwa nakłada karę w wysokości do 1 000 000 zł.

Organ właściwy ds. cyberbezpieczeństwa nakłada karę pieniężną w drodze decyzji administracyjnej.

Ponadto, organ właściwy do spraw cyberbezpieczeństwa może nałożyć karę pieniężną na kierownika operatora usługi kluczowej w przypadku, gdy nie dochował należytej staranności celem spełnienia obowiązków, o których mowa w art. 8 pkt 1, art. 9 ust. 1 pkt 1 oraz art. 15 ust. 1 UKSC, z tym, że kara ta może być wymierzona w kwocie nie większej niż 200% jego miesięcznego wynagrodzenia.

Organ właściwy ds. cyberbezpieczeństwa może nałożyć karę pieniężną również w przypadku, gdy podmiot zaprzestał naruszania prawa lub naprawił wyrządzoną szkodę, jeżeli organ właściwy do spraw cyberbezpieczeństwa uzna, że przemawiają za tym czas trwania, zakres lub skutki naruszenia.