Art. 53. 1. Nadzór dotyczący stosowania przepisów ustawy sprawują organy właściwe do spraw cyberbezpieczeństwa w zakresie wykonywania przez podmioty kluczowe i podmioty ważne wynikających z ustawy obowiązków.
        2. W ramach nadzoru, o którym mowa w ust. 1, organ właściwy do spraw cyberbezpieczeństwa w stosunku do podmiotów kluczowych może:
1) prowadzić kontrole, w tym doraźne, w siedzibie podmiotu, miejscu wykonywania
    działalności gospodarczej lub zdalnie;
2) w drodze decyzji nałożyć na podmiot obowiązek przeprowadzania audytu, o którym mowa
    w art. 15 ust. 1b, w szczególności w sytuacji wystąpienia poważnego incydentu lub
    naruszenia przepisów ustawy;
3) zlecić CSIRT MON, CSIRT NASK, CSIRT GOV lub CSIRT sektorowemu, dokonanie oceny
    bezpieczeństwa systemu informacyjnego podmiotu kluczowego;
4) wystąpić z wnioskiem o udzielenie informacji niezbędnych do oceny środków, o których
    mowa w art. 8 ust. 1 pkt 2 i 5, a także zgodności danych i informacji przekazanych
    przez podmiot do wykazu;
5) wystąpić z wnioskiem o udzielenie dostępu do danych, dokumentów i informacji
    koniecznych do wykonywania nadzoru;
6) wystąpić z wnioskiem o przedstawienie dowodów realizacji wymogów, o których mowa
    w art. 8 ust. 1.
        3. Organy właściwe do spraw cyberbezpieczeństwa za pomocą działań nadzorczych sprawują nadzór o charakterze:
1) prewencyjnym i następczym nad podmiotami kluczowymi;
2) następczym nad podmiotami ważnymi, w szczególności w przypadku uzasadnionego
    podejrzenia, że zachodzi możliwość naruszenia przepisów ustawy.
        4. W przypadku uzasadnionego podejrzenia, że działania lub zaniechania podmiotu kluczowego mogą naruszać przepisy ustawy, organ właściwy do spraw cyberbezpieczeństwa kieruje do tego podmiotu pismo w formie elektronicznej z ostrzeżeniem, w którym wskazuje czynności, jakie należy podjąć w celu zapobieżenia lub zaprzestania naruszania przepisów ustawy oraz termin na ich wykonanie.
        5. W celu egzekwowania przepisów ustawy organ właściwy do spraw cyberbezpieczeństwa w stosunku do pod-miotów kluczowych, także wtedy gdy podmiot kluczowy nie zastosował się do pisma z ostrzeżeniem, o którym mowa w ust. 4, może:
1) nakazać podjęcie określonych czynności dotyczących obsługi incydentu;
2) nakazać, w drodze decyzji, zaniechanie naruszania przepisów ustawy;
3) nakazać, w drodze decyzji, zapewnienie zgodności systemu zarządzania bezpieczeństwem
    informacji zgodnie z art. 8 ust. 1 pkt 2 lub zgodnie z art. 8 ust. 3 lub realizacji
    obowiązku zgłaszania incydentu poważnego;
4) nakazać, w drodze decyzji, poinformowanie, w określony przez niego sposób, odbiorców
    usług tego podmiotu, których dotyczy poważne cyberzagrożenie, o charakterze tego
    zagrożenia oraz o możliwych środkach ochronnych lub naprawczych, jakie należy podjąć
    w reakcji na to zagrożenie;
5) nakazać, w drodze decyzji, wdrożenie, w określonym terminie, zaleceń wydanych w wyniku
    audytu lub audytu, o którym mowa w art. 15 ust. 1b;
6) wyznaczyć, w drodze decyzji, na określony czas, niedłuższy niż miesiąc, spośród osób
    zatrudnionych w urzędzie obsługującym ten organ, urzędnika monitorującego
    do nadzorowania wykonywania obowiązków, o których mowa w rozdziale 3, wskazując ściśle
    określone zadania, które urzędnik monitorujący realizuje w tym czasie;
7) nakazać, w drodze decyzji, podanie do wiadomości publicznej informacji o naruszeniach
    przepisów ustawy;
8) nakazać, w drodze decyzji wydanej w postępowaniu uproszczonym, o którym mowa
    w rozdziale 14 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania
    administracyjnego, podanie do publicznej wiadomości infor-macji o incydencie poważnym.
        6. Organ właściwy do spraw cyberbezpieczeństwa, podejmując działania, o których mowa w ust. 5, wyznacza podmiotowi kluczowemu termin, w którym zobowiązuje ten podmiot do podjęcia określonych czynności, usunięcia uchybień lub zapewnienia zgodności z wymogami określonymi przez organ.
        7. Nakaz, o którym mowa w ust. 5 pkt 1, jest inną czynnością z zakresu administracji publicznej, na którą przysługuje skarga do sądu administracyjnego i wymaga uzasadnienia.
        8. Postępowanie w sprawach, o którym mowa w ust. 5 pkt 2–8, jest jednoinstancyjne, a na decyzję organu właściwego do spraw cyberbezpieczeństwa przysługuje skarga do sądu administracyjnego.
        9. Organ właściwy do spraw cyberbezpieczeństwa, w przypadku gdy podmiot kluczowy nie zastosował się do nakazu, o którym mowa w ust. 5 pkt 1, lub postanowień decyzji, o której mowa w ust. 5 pkt 2–8, może:
1) wstrzymać udzieloną temu podmiotowi koncesję albo ograniczyć jej zakres do czasu
    usunięcia uchybień lub zaprzestania naruszeń lub
2) wstrzymać w całości albo w części działalność podmiotu kluczowego wpisanego do rejestru
    działalności regulowanej, do czasu usunięcia uchybień lub zaprzestania naruszeń, lub
3) wstrzymać zezwolenie na prowadzenie działalności gospodarczej wydane podmiotowi
kluczowemu albo ograniczyć zakres tego zezwolenia do czasu usunięcia uchybień lub
zaprzestania naruszeń, lub
4) wstrzymać w całości albo w części działalność podmiotu kluczowego, wpisanego
    do Centralnej Ewidencji i Informacji o Działalności Gospodarczej, do czasu usunięcia
    uchybień lub zaprzestania naruszeń, lub
5) wstrzymać w całości albo w części działalność podmiotu kluczowego, wpisanego
    do rejestru przedsiębiorców Krajowego Rejestru Sądowego, do czasu usunięcia uchybień
    lub zaprzestania naruszeń, lub
6) zakazać pełnienia w podmiocie kluczowym funkcji zarządczych przez kierownika podmiotu
    do czasu usunięcia uchybień lub zaprzestania naruszeń, o ile nie doprowadzi to
    do uniemożliwienia funkcjonowania podmiotu kluczowego w zakresie, jaki jest niezbędny
    do usunięcia uchybień lub zaprzestania naruszeń.
        10. Środków, o których mowa w ust. 9, nie stosuje się do podmiotów publicznych.
        11. W przypadku wniesienia przez podmiot kluczowy skargi do sądu administracyjnego, o której mowa w ust. 7 lub 8, środków, o których mowa w ust. 9, nie stosuje się do czasu rozstrzygnięcia sprawy przez ten sąd. Sąd rozstrzyga sprawę w terminie miesiąca od dnia wniesienia skargi.
        12. Organ właściwy do spraw cyberbezpieczeństwa, podejmując działania, o których mowa w ust. 5 i 9, uwzględnia:
1) wagę naruszenia i znaczenie naruszonych przepisów ustawy, przy czym za poważne
    naruszenie należy uznać:
    a) powtarzające się naruszenie,
    b) niezgłoszenie lub nieobsłużenie incydentów poważnych,
    c) nieusunięcie uchybień zgodnie z wiążącymi nakazami organów właściwych do spraw
        cyberbezpieczeństwa,
    d) utrudnianie prowadzenia audytów lub działań monitorujących nakazanych przez organ
        właściwy do spraw cyberbezpieczeństwa po stwierdzeniu naruszenia,
    e) dostarczanie nieprawdziwych lub rażąco niedokładnych informacji w odniesieniu
        do środków zarządzania ryzykiem w cyberbezpieczeństwie lub obowiązków zgłaszania
        incydentów poważnych;
2) czas trwania naruszenia;
3) wcześniejsze poważne naruszenia ze strony danego podmiotu;
4) spowodowane szkody majątkowe i niemajątkowe, w tym straty finansowe lub gospodarcze,
    wpływ na inne usługi i liczbę użytkowników, których dotyka incydent;
5) umyślny lub nieumyślny charakter czynu ze strony sprawcy naruszenia;
6) środki zastosowane przez podmiot, aby zapobiec szkodom majątkowym i niemajątkowym lub
    je ograniczyć;
7) stopień współpracy podmiotu z organem właściwym do spraw cyberbezpieczeństwa.
        13. Organ właściwy do spraw cyberbezpieczeństwa przed zastosowaniem środków, o których mowa w ust. 4, 5 i 9, oraz przed nałożeniem kary pieniężnej, informuje podmiot kluczowy o wstępnych ustaleniach, które mogą prowadzić do wydania decyzji lub podjęcia działań, o których mowa w ust. 4, 5 i 9, lub do nałożenia kary pieniężnej. Informacja o wstępnych ustaleniach zawiera szczegółowe uzasadnienie, potwierdzające zasadność zamiaru zastosowania środków lub nałożenia kary pieniężnej.
        14. Podmiot kluczowy może przedstawić swoje stanowisko niezwłocznie, niepóźniej niż w terminie 7 dni od dnia poinformowania o wstępnych ustaleniach, o których mowa w ust. 13.
        15. Organ właściwy do spraw cyberbezpieczeństwa po przedstawieniu przez podmiot kluczowy swojego stanowiska:
1) uwzględnia stanowisko tego podmiotu i odstępuje od zastosowania środków, o których mowa
    w ust. 4, 5 lub 9, lub od nałożenia kary pieniężnej, oraz informuje podmiot o tym
    fakcie;
2) odrzuca stanowisko tego podmiotu i stosuje środki, o których mowa w ust. 4, 5 lub 9,
    lub nakłada karę pieniężną, oraz informuje podmiot o tym fakcie wraz ze szczegółowym
    uzasadnieniem przyczyn odrzucenia stanowiska podmiotu.
        16. Organ właściwy do spraw cyberbezpieczeństwa może odstąpić od poinformowania o wstępnych ustaleniach w przypadku, gdy utrudniłoby to natychmiastowe działanie w celu zapobieżenia incydentom, reakcji na nie lub mo-głoby mieć niekorzystny wpływ na bezpieczeństwo państwa lub porządek publiczny.
        17. Organ właściwy do spraw cyberbezpieczeństwa sprawując nadzór w stosunku do podmiotu ważnego stosuje przepisy ust. 2, 4, 5 pkt 1–5 i 7–8 oraz ust. 6–8 i 12–16.