Piąty projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa z 7 lutego 2025 roku („Projekt Ustawy”)[1] wprowadza istotne zmiany w zakresie nadzoru nad podmiotami kluczowymi i ważnymi oraz odpowiedzialności ich kierowników. Modyfikacje te znacząco zwiększają kompetencje organów nadzorczych, a także precyzują zasady stosowania środków nadzoru i kar finansowych. Niniejszy artykuł omawia wybrane modyfikacje w tym zakresie.
Rozszerzone kompetencje organów nadzorczych
Istotną zmianą jest przyznanie organom właściwym do spraw cyberbezpieczeństwa bezpośrednich uprawnień do stosowania środków nadzorczych. Według art. 53 ust. 9 Projektu Ustawy, organ nadzorczy może samodzielnie wydawać decyzje o wstrzymaniu udzielonej koncesji albo ograniczeniu jej zakresu, wstrzymaniu działalności podmiotu wpisanego do rejestru działalności regulowanej, wstrzymaniu zezwolenia na prowadzenie działalności gospodarczej, wstrzymaniu działalności podmiotu wpisanego do CEIDG lub KRS, a także o zakazie pełnienia funkcji zarządczych przez kierownika podmiotu.
W dotychczasowych projektach organy nadzorcze mogły jedynie wnioskować do innych instytucji o zastosowanie takich środków. Nowe rozwiązanie usprawnia proces egzekwowania obowiązków związanych z cyberbezpieczeństwem, jednak może budzić wątpliwości co do zgodności z zasadą proporcjonalności i rozdziału kompetencji między różnymi organami administracji publicznej.
System kontroli doraźnych
Projekt Ustawy wprowadza również rozbudowany system kontroli doraźnych, który stanowi istotne wzmocnienie instrumentarium nadzorczego. Kontrole te mogą być przeprowadzane bez wcześniejszego powiadomienia podmiotu, co zwiększa ich skuteczność. Zgodnie z art. 59c Projektu Ustawy, kontrole doraźne mogą być zarządzane w celu sprawdzenia wykonania zaleceń pokontrolnych, weryfikacji informacji o potencjalnych naruszeniach, analizy dokumentów otrzymanych od podmiotu czy sprawdzenia informacji od urzędnika monitorującego.
Nowym elementem systemu nadzoru jest instytucja urzędnika monitorującego, wprowadzona w art. 53 ust. 5 pkt 6 Projektu Ustawy. Może on być wyznaczony na okres do miesiąca do nadzorowania wykonywania obowiązków przez podmiot. Urzędnik taki otrzymuje szerokie uprawnienia, w tym prawo swobodnego wstępu na teren podmiotu, wglądu do dokumentów oraz przeprowadzania oględzin urządzeń i systemów informacyjnych. Instytucja ta umożliwia bieżący nadzór nad działaniami podmiotu, szczególnie w sytuacjach wysokiego ryzyka.
Ograniczenia zakazu pełnienia funkcji zarządczych
Szczególnie dotkliwym środkiem nadzoru wprowadzonym w piątym projekcie jest możliwość wydania zakazu pełnienia funkcji zarządczych przez kierownika podmiotu. Ustawodawca wprowadził jednak istotne ograniczenie tego środka. Art. 53 ust. 9 pkt 6 Projektu Ustawy precyzuje, że może być on zastosowany tylko w takim zakresie, w jakim „nie doprowadzi to do uniemożliwienia funkcjonowania podmiotu kluczowego w zakresie jaki jest niezbędny do usunięcia uchybień lub zaprzestania naruszeń”.
Oznacza to, że nawet w przypadku zastosowania tego środka, podmiot musi zachować zdolność do usunięcia stwierdzonych nieprawidłowości.
Czasowe ograniczenia środków nadzoru
Projekt Ustawy wprowadza precyzyjne regulacje dotyczące czasu stosowania środków nadzoru, co stanowi istotne zabezpieczenie przed nadużywaniem tych instrumentów. Zgodnie z art. 53e ust. 2 Projekt Ustawy, środki te mogą być zastosowane maksymalnie na 14 dni od doręczenia decyzji. Termin stosowania środków nadzoru określany jest z uwzględnieniem wagi naruszenia, czasu jego trwania, charakteru czynu oraz podjętych działań naprawczych.
Jeśli podmiot nie usunie naruszeń w wyznaczonym terminie, organ może wydać kolejną decyzję na następny okres nieprzekraczający 14 dni. Procedura ta może być kontynuowana aż do usunięcia uchybień. Takie rozwiązanie daje organom nadzorczym elastyczność w stosowaniu środków, jednocześnie zmuszając je do cyklicznej weryfikacji zasadności ich utrzymywania.
Procedury uchylania decyzji o środkach nadzoru
Uzupełnieniem regulacji dotyczących stosowania środków nadzoru są przepisy o ich uchylaniu. Projekt precyzyjnie określa procedury w tym zakresie, co ma istotne znaczenie dla podmiotów poddanych nadzorowi. Zgodnie z art. 53e ust. 5 Projektu Ustawy, organ właściwy do spraw cyberbezpieczeństwa uchyla decyzję o zastosowaniu środka nadzorczego z urzędu lub na wniosek podmiotu po usunięciu uchybień lub zaprzestaniu naruszeń.
Podmiot kluczowy może złożyć wniosek o uchylenie decyzji, przedstawiając dowody potwierdzające zastosowanie się do nałożonych obowiązków. Na rozpatrzenie takiego wniosku organ nadzorczy ma zaledwie 7 dni, co ma zapewnić sprawne przywrócenie normalnego funkcjonowania podmiotu. Takie rozwiązanie równoważy interesy organu nadzorczego i nadzorowanego podmiotu, zapewniając, że środki nadzoru nie będą stosowane dłużej, niż jest to konieczne.
Kary pieniężne dla kierowników podmiotów
Uzupełnieniem przepisów o odpowiedzialności kierowników są regulacje dotyczące kar pieniężnych. Art. 73a Projekt Ustawy określa szczegółowy katalog naruszeń, za które kierownik podmiotu może podlegać karze finansowej. Obejmuje on m.in. niewykonanie obowiązków związanych z wpisem do wykazu podmiotów kluczowych i ważnych, brak wdrożenia systemu zarządzania bezpieczeństwem informacji, brak wymaganej dokumentacji bezpieczeństwa czy niezapewnienie możliwości zgłoszenia cyberzagrożenia.
W porównaniu do wcześniejszych wersji projektu, maksymalny wymiar kary dla kierowników został zmniejszony. Zgodnie z art. 73a ust. 4 Projekt Ustawy, kara może wynosić maksymalnie 300% wynagrodzenia ukaranego, obliczanego według zasad stosowanych przy ustalaniu ekwiwalentu za urlop. Jest to złagodzenie w stosunku do wcześniejszych propozycji, ale nadal stanowi dotkliwą sankcję finansową. Kary dla kierowników mogą być nakładane niezależnie od kar dla samych podmiotów, co stanowi dodatkowy element motywujący osoby zarządzające do zapewnienia zgodności z przepisami. Rozwiązanie to ma na celu wzmocnienie osobistej odpowiedzialności za stan cyberbezpieczeństwa w nadzorowanych podmiotach.
Podsumowanie
Zmiany wprowadzone w Projekcie Ustawy istotnie wpływają na sytuację prawną podmiotów kluczowych i ważnych oraz ich kierowników. Zwiększają ryzyko prawne i operacyjne związane z nieprzestrzeganiem przepisów o cyberbezpieczeństwie. W dalszym ciągu jednak mówimy o projekcie ustawy, w związku z czym finalny kształt polskich regulacji może ulec zmianom.
Zespół kancelarii BSJP bnt we współpracy ze specjalistami z zakresu cyberbezpieczeństwa zapewnia kompleksowe doradztwo w zakresie spełnienia wymogów określonych w Dyrektywie NIS2. W razie jakichkolwiek pytań związanych ze zmianami zachęcamy do kontaktu z naszymi ekspertami Marcinem Krollem (marcin.kroll@bsjp.pl) oraz Rafałem Wieczerzakiem (rafal.wieczerzak@bsjp.pl).
[1] https://legislacja.rcl.gov.pl/docs//2/12384504/13055217/13055218/dokument704631.pdf
