Pi\u0105ty projekt nowelizacji ustawy\n o krajowym systemie cyberbezpiecze\u0144stwa z 7 lutego 2025 roku (\u201eProjekt\n Ustawy\u201d)[1]\n wprowadza istotne zmiany w zakresie nadzoru nad podmiotami kluczowymi i wa\u017cnymi\n oraz odpowiedzialno\u015bci ich kierownik\u00f3w. Modyfikacje te znacz\u0105co zwi\u0119kszaj\u0105\n kompetencje organ\u00f3w nadzorczych, a tak\u017ce precyzuj\u0105 zasady stosowania \u015brodk\u00f3w\n nadzoru i kar finansowych. Niniejszy artyku\u0142 omawia wybrane modyfikacje w tym\n zakresie.<\/p>\n
Rozszerzone kompetencje organ\u00f3w nadzorczych<\/p>\n
Istotn\u0105 zmian\u0105 jest przyznanie\n organom w\u0142a\u015bciwym do spraw cyberbezpiecze\u0144stwa bezpo\u015brednich uprawnie\u0144 do\n stosowania \u015brodk\u00f3w nadzorczych. Wed\u0142ug art. 53 ust. 9 Projektu Ustawy, organ\n nadzorczy mo\u017ce samodzielnie wydawa\u0107 decyzje o wstrzymaniu udzielonej koncesji\n albo ograniczeniu jej zakresu, wstrzymaniu dzia\u0142alno\u015bci podmiotu wpisanego do\n rejestru dzia\u0142alno\u015bci regulowanej, wstrzymaniu zezwolenia na prowadzenie\n dzia\u0142alno\u015bci gospodarczej, wstrzymaniu dzia\u0142alno\u015bci podmiotu wpisanego do CEIDG\n lub KRS, a tak\u017ce o zakazie pe\u0142nienia funkcji zarz\u0105dczych przez kierownika\n podmiotu.<\/p>\n
W dotychczasowych projektach\n organy nadzorcze mog\u0142y jedynie wnioskowa\u0107 do innych instytucji o zastosowanie\n takich \u015brodk\u00f3w. Nowe rozwi\u0105zanie usprawnia proces egzekwowania obowi\u0105zk\u00f3w\n zwi\u0105zanych z cyberbezpiecze\u0144stwem, jednak mo\u017ce budzi\u0107 w\u0105tpliwo\u015bci co do zgodno\u015bci\n z zasad\u0105 proporcjonalno\u015bci i rozdzia\u0142u kompetencji mi\u0119dzy r\u00f3\u017cnymi organami\n administracji publicznej.<\/p>\n
System kontroli dora\u017anych<\/p>\n
Projekt Ustawy wprowadza r\u00f3wnie\u017c\n rozbudowany system kontroli dora\u017anych, kt\u00f3ry stanowi istotne wzmocnienie\n instrumentarium nadzorczego. Kontrole te mog\u0105 by\u0107 przeprowadzane bez\n wcze\u015bniejszego powiadomienia podmiotu, co zwi\u0119ksza ich skuteczno\u015b\u0107. Zgodnie z\n art. 59c Projektu Ustawy, kontrole dora\u017ane mog\u0105 by\u0107 zarz\u0105dzane w celu\n sprawdzenia wykonania zalece\u0144 pokontrolnych, weryfikacji informacji o\n potencjalnych naruszeniach, analizy dokument\u00f3w otrzymanych od podmiotu czy\n sprawdzenia informacji od urz\u0119dnika monitoruj\u0105cego.<\/p>\n
Nowym elementem systemu nadzoru\n jest instytucja urz\u0119dnika monitoruj\u0105cego, wprowadzona w art. 53 ust. 5 pkt 6\n Projektu Ustawy. Mo\u017ce on by\u0107 wyznaczony na okres do miesi\u0105ca do nadzorowania\n wykonywania obowi\u0105zk\u00f3w przez podmiot. Urz\u0119dnik taki otrzymuje szerokie\n uprawnienia, w tym prawo swobodnego wst\u0119pu na teren podmiotu, wgl\u0105du do\n dokument\u00f3w oraz przeprowadzania ogl\u0119dzin urz\u0105dze\u0144 i system\u00f3w informacyjnych.\n Instytucja ta umo\u017cliwia bie\u017c\u0105cy nadz\u00f3r nad dzia\u0142aniami podmiotu, szczeg\u00f3lnie w\n sytuacjach wysokiego ryzyka.<\/p>\n
Ograniczenia zakazu pe\u0142nienia funkcji zarz\u0105dczych<\/p>\n
Szczeg\u00f3lnie dotkliwym \u015brodkiem\n nadzoru wprowadzonym w pi\u0105tym projekcie jest mo\u017cliwo\u015b\u0107 wydania zakazu pe\u0142nienia\n funkcji zarz\u0105dczych przez kierownika podmiotu. Ustawodawca wprowadzi\u0142 jednak\n istotne ograniczenie tego \u015brodka. Art. 53 ust. 9 pkt 6 Projektu Ustawy precyzuje,\n \u017ce mo\u017ce by\u0107 on zastosowany tylko w takim zakresie, w jakim \u201enie doprowadzi to\n do uniemo\u017cliwienia funkcjonowania podmiotu kluczowego w zakresie jaki jest\n niezb\u0119dny do usuni\u0119cia uchybie\u0144 lub zaprzestania narusze\u0144”.<\/p>\n
Oznacza to, \u017ce nawet w przypadku zastosowania tego \u015brodka,\n podmiot musi zachowa\u0107 zdolno\u015b\u0107 do usuni\u0119cia stwierdzonych nieprawid\u0142owo\u015bci. <\/p>\n
Czasowe ograniczenia \u015brodk\u00f3w nadzoru<\/p>\n
Projekt Ustawy wprowadza\n precyzyjne regulacje dotycz\u0105ce czasu stosowania \u015brodk\u00f3w nadzoru, co stanowi\n istotne zabezpieczenie przed nadu\u017cywaniem tych instrument\u00f3w. Zgodnie z art. 53e\n ust. 2 Projekt Ustawy, \u015brodki te mog\u0105 by\u0107 zastosowane maksymalnie na 14 dni od\n dor\u0119czenia decyzji. Termin stosowania \u015brodk\u00f3w nadzoru okre\u015blany jest z\n uwzgl\u0119dnieniem wagi naruszenia, czasu jego trwania, charakteru czynu oraz\n podj\u0119tych dzia\u0142a\u0144 naprawczych.<\/p>\n
Je\u015bli podmiot nie usunie narusze\u0144\n w wyznaczonym terminie, organ mo\u017ce wyda\u0107 kolejn\u0105 decyzj\u0119 na nast\u0119pny okres\n nieprzekraczaj\u0105cy 14 dni. Procedura ta mo\u017ce by\u0107 kontynuowana a\u017c do usuni\u0119cia\n uchybie\u0144. Takie rozwi\u0105zanie daje organom nadzorczym elastyczno\u015b\u0107 w stosowaniu\n \u015brodk\u00f3w, jednocze\u015bnie zmuszaj\u0105c je do cyklicznej weryfikacji zasadno\u015bci ich\n utrzymywania.<\/p>\n
Procedury uchylania decyzji o \u015brodkach nadzoru<\/p>\n
Uzupe\u0142nieniem regulacji\n dotycz\u0105cych stosowania \u015brodk\u00f3w nadzoru s\u0105 przepisy o ich uchylaniu. Projekt\n precyzyjnie okre\u015bla procedury w tym zakresie, co ma istotne znaczenie dla\n podmiot\u00f3w poddanych nadzorowi. Zgodnie z art. 53e ust. 5 Projektu Ustawy, organ\n w\u0142a\u015bciwy do spraw cyberbezpiecze\u0144stwa uchyla decyzj\u0119 o zastosowaniu \u015brodka\n nadzorczego z urz\u0119du lub na wniosek podmiotu po usuni\u0119ciu uchybie\u0144 lub\n zaprzestaniu narusze\u0144.<\/p>\n
Podmiot kluczowy mo\u017ce z\u0142o\u017cy\u0107\n wniosek o uchylenie decyzji, przedstawiaj\u0105c dowody potwierdzaj\u0105ce zastosowanie\n si\u0119 do na\u0142o\u017conych obowi\u0105zk\u00f3w. Na rozpatrzenie takiego wniosku organ nadzorczy\n ma zaledwie 7 dni, co ma zapewni\u0107 sprawne przywr\u00f3cenie normalnego funkcjonowania\n podmiotu. Takie rozwi\u0105zanie r\u00f3wnowa\u017cy interesy organu nadzorczego i\n nadzorowanego podmiotu, zapewniaj\u0105c, \u017ce \u015brodki nadzoru nie b\u0119d\u0105 stosowane\n d\u0142u\u017cej, ni\u017c jest to konieczne.<\/p>\n
Kary pieni\u0119\u017cne dla kierownik\u00f3w podmiot\u00f3w<\/p>\n
Uzupe\u0142nieniem przepis\u00f3w o\n odpowiedzialno\u015bci kierownik\u00f3w s\u0105 regulacje dotycz\u0105ce kar pieni\u0119\u017cnych. Art. 73a\n Projekt Ustawy okre\u015bla szczeg\u00f3\u0142owy katalog narusze\u0144, za kt\u00f3re kierownik\n podmiotu mo\u017ce podlega\u0107 karze finansowej. Obejmuje on m.in. niewykonanie\n obowi\u0105zk\u00f3w zwi\u0105zanych z wpisem do wykazu podmiot\u00f3w kluczowych i wa\u017cnych, brak\n wdro\u017cenia systemu zarz\u0105dzania bezpiecze\u0144stwem informacji, brak wymaganej\n dokumentacji bezpiecze\u0144stwa czy niezapewnienie mo\u017cliwo\u015bci zg\u0142oszenia\n cyberzagro\u017cenia.<\/p>\n
W por\u00f3wnaniu do wcze\u015bniejszych\n wersji projektu, maksymalny wymiar kary dla kierownik\u00f3w zosta\u0142 zmniejszony.\n Zgodnie z art. 73a ust. 4 Projekt Ustawy, kara mo\u017ce wynosi\u0107 maksymalnie 300%\n wynagrodzenia ukaranego, obliczanego wed\u0142ug zasad stosowanych przy ustalaniu\n ekwiwalentu za urlop. Jest to z\u0142agodzenie w stosunku do wcze\u015bniejszych\n propozycji, ale nadal stanowi dotkliw\u0105 sankcj\u0119 finansow\u0105. Kary dla kierownik\u00f3w\n mog\u0105 by\u0107 nak\u0142adane niezale\u017cnie od kar dla samych podmiot\u00f3w, co stanowi\n dodatkowy element motywuj\u0105cy osoby zarz\u0105dzaj\u0105ce do zapewnienia zgodno\u015bci z\n przepisami. Rozwi\u0105zanie to ma na celu wzmocnienie osobistej odpowiedzialno\u015bci\n za stan cyberbezpiecze\u0144stwa w nadzorowanych podmiotach.<\/p>\n
Podsumowanie<\/p>\n
Zmiany wprowadzone w Projekcie\n Ustawy istotnie wp\u0142ywaj\u0105 na sytuacj\u0119 prawn\u0105 podmiot\u00f3w kluczowych i wa\u017cnych oraz\n ich kierownik\u00f3w. Zwi\u0119kszaj\u0105 ryzyko prawne i operacyjne zwi\u0105zane z\n nieprzestrzeganiem przepis\u00f3w o cyberbezpiecze\u0144stwie. W dalszym ci\u0105gu jednak\n m\u00f3wimy o projekcie ustawy, w zwi\u0105zku z czym finalny kszta\u0142t polskich regulacji\n mo\u017ce ulec zmianom. <\/p>\n
Zesp\u00f3\u0142 kancelarii BSJP bnt we\n wsp\u00f3\u0142pracy ze specjalistami z zakresu cyberbezpiecze\u0144stwa zapewnia kompleksowe\n doradztwo w zakresie spe\u0142nienia wymog\u00f3w okre\u015blonych w Dyrektywie NIS2. W\n razie jakichkolwiek pyta\u0144 zwi\u0105zanych ze zmianami zach\u0119camy do kontaktu z\n naszymi ekspertami Marcinem Krollem (marcin.kroll@bsjp.pl)\n oraz Rafa\u0142em Wieczerzakiem (rafal.wieczerzak@bsjp.pl).<\/p>\n \n \n \n
[1] https:\/\/legislacja.rcl.gov.pl\/docs\/\/2\/12384504\/13055217\/13055218\/dokument704631.pdf<\/p>
<\/p>\n","protected":false},"excerpt":{"rendered":"
Pi\u0105ty projekt nowelizacji ustawy o krajowym systemie cyberbezpiecze\u0144stwa z 7 lutego 2025 roku (\u201eProjekt Ustawy\u201d)[1] wprowadza istotne zmiany w zakresie nadzoru nad podmiotami kluczowymi i wa\u017cnymi oraz odpowiedzialno\u015bci ich kierownik\u00f3w. Modyfikacje te znacz\u0105co zwi\u0119kszaj\u0105 kompetencje organ\u00f3w nadzorczych, a tak\u017ce precyzuj\u0105 zasady stosowania \u015brodk\u00f3w nadzoru i kar finansowych. Niniejszy artyku\u0142 omawia wybrane modyfikacje w tym zakresie. […]<\/p>\n","protected":false},"author":1,"featured_media":5464,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[62],"tags":[64],"class_list":["post-6720","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-bsjp","tag-poland"],"acf":[],"_links":{"self":[{"href":"https:\/\/lynx.legal\/pl\/wp-json\/wp\/v2\/posts\/6720","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/lynx.legal\/pl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/lynx.legal\/pl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/lynx.legal\/pl\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/lynx.legal\/pl\/wp-json\/wp\/v2\/comments?post=6720"}],"version-history":[{"count":0,"href":"https:\/\/lynx.legal\/pl\/wp-json\/wp\/v2\/posts\/6720\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/lynx.legal\/pl\/wp-json\/wp\/v2\/media\/5464"}],"wp:attachment":[{"href":"https:\/\/lynx.legal\/pl\/wp-json\/wp\/v2\/media?parent=6720"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/lynx.legal\/pl\/wp-json\/wp\/v2\/categories?post=6720"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/lynx.legal\/pl\/wp-json\/wp\/v2\/tags?post=6720"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}