z dnia 5 lipca 2018 r.
o krajowym systemie cyberbezpieczeństwa
(Tekst jednolity)
| Identyfikator | Dz.U.2018.1560 | |
|---|---|---|
| Data wydania | 2018-07-05 | |
| Data publikacji | 2018-08-13 | |
| Data wejścia w życie | 2018-08-28 | |
| Rodzaj aktu | Ustawa | |
| Organ wydający | Sejm | |
| Status | Obowiązujący | |
| Ostatnie zmiany | | |
Przepisy o karach pieniężnych
Art. 73. 1. Karze pieniężnej podlega podmiot kluczowy lub podmiot ważny, który:
1) nie uzupełnił w terminie brakujących danych w wykazie albo nie dokonał korekty danych
pomimo wezwania, o którym mowa w art. 7b ust. 2 albo art. 7j ust. 3, albo art. 7k
ust. 2, art. 7l ust. 3 pkt 2 albo art. 7m ust. 3;
2) nie przeprowadza systematycznego szacowania ryzyka wystąpienia incydentu lub nie
zarządza tym ryzykiem, o którym mowa w art. 8 ust. 1 pkt 1;
3) nie wdrożył systemu zarządzania bezpieczeństwem informacji w systemie informacyjnym
wykorzystywanym w procesach wpływających na świadczenie usługi albo system ten
nie zapewnia funkcjonalności lub nie spełnia wymogów, o których mowa w art. 8 ust. 1
albo 3;
4) nie wykonuje obowiązków, o których mowa w art. 10 ust. 1;
5) nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 1;
6) nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 4;
7) nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 4a;
8) nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 4b;
9) nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 4c;
10) nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 5;
11) nie przeprowadza audytu w terminie, o którym mowa w art. 15 ust. 1 lub art. 16 pkt 2;
12) nie usuwa podatności, o których mowa w art. 32 ust. 2;
13) nie korzysta z systemu teleinformatycznego, o którym mowa w art. 46 ust. 1, w celu
realizacji obowiązków, o których mowa w art. 11, gdy korzystanie z tego systemu przy
realizacji tych obowiązków jest wymagane;
14) uniemożliwia lub utrudnia wykonywanie kontroli, o których mowa w art. 53 ust. 2 pkt 1;
15) nie realizuje obowiązku, o którym mowa w art. 53c;
16) uniemożliwia lub utrudnia urzędnikowi monitorującemu, o którym mowa w art. 53 ust. 5
pkt 6, wykonywanie powierzonych mu zadań lub realizację uprawnień, o których mowa
w art. 53d ust. 1;
17) nie wykonał w wyznaczonym terminie zaleceń pokontrolnych, o których mowa w art. 59
ust. 1;
18) nie wykonuje obowiązków, o których mowa w art. 67c ust. 1, 2, 4 i 5;
19) nie przekazuje informacji, o których mowa w art. 67d ust. 1;
20) nie wdrożył w terminie określonym w poleceniu zabezpieczającym, o którym mowa
w art. 67g ust. 9 pkt 3, określonego zachowania, o którym mowa w art. 67g ust. 10;
21) odstąpił od wykonywania zawartego w poleceniu zabezpieczającym, o którym mowa
w art. 67g ust. 9, określonego zachowania, o którym mowa w art. 67g ust. 10,
przed wygaśnięciem polecenia zabezpieczającego;
22) nie przekazuje informacji, o których mowa w art. 67h.
1a. Organ właściwy do spraw cyberbezpieczeństwa, jeżeli przemawia za tym waga i znaczenie naruszonych przepisów, może nałożyć karę pieniężną na podmiot, który:
1) w terminie, o którym mowa w art. 7c ust. 1, nie złożył wniosku o wpis do wykazu;
2) nie wykonuje obowiązków, o których mowa w art. 9.
1b. Karze pieniężnej podlega także podmiot kluczowy lub podmiot ważny, którego działanie lub zaniechanie, o którym mowa w ust. 1 pkt 2, 4–12, 14–16, 18, 19 i 22 oraz ust. 1a pkt 2, miało charakter jednorazowy.
1c. Podmiot ważny będący podmiotem publicznym podlega karze pieniężnej, jeżeli nie wykonuje obowiązku, o którym mowa w art. 8 ust. 3.
1d. Przepisu ust. 1 pkt 13 nie stosuje się do Ministra Obrony Narodowej, urzędu go obsługującego oraz podmiotów podległych Ministrowi Obrony Narodowej i przez niego nadzorowanych.
2. (uchylony)
3. Wysokość kary pieniężnej nie może przekroczyć 10 000 000 euro, wyrażonej w złotych i ustalanej przy zastosowaniu kursu średniego ogłaszanego przez Narodowy Bank Polski obowiązującego w dniu 31 grudnia w roku poprzedzającym rok wydania decyzji o wymierzeniu kary lub 2 % przychodów osiągniętych przez podmiot kluczowy z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary, przy czym zastosowanie ma kwota wyższa. Kara ta nie może być jednak niższa niż 20 000 zł.
3a. W przypadku gdy okres wykonywania działalności gospodarczej jest krótszy niż 12 miesięcy albo podmiot nie osiągnął przychodu za podstawę wymiaru kary pieniężnej przyjmuje się równowartość kwoty 500 000 euro, wyrażonej w złotych i ustalanej przy zastosowaniu kursu średniego ogłaszanego przez Narodowy Bank Polski obowiązującego w dniu 31 grudnia w roku poprzedzającym rok wydania decyzji o wymierzeniu kary.
4. Wysokość kary pieniężnej nie może przekroczyć 7 000 000 euro, wyrażonej w złotych i ustalanej przy zastosowaniu kursu średniego ogłaszanego przez Narodowy Bank Polski obowiązującego w dniu 31 grudnia w roku poprzedzającym rok wydania decyzji o wymierzeniu kary lub 1,4 % przychodów osiągniętych przez podmiot ważny z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary. Kara ta nie może być jednak niższa niż 15 000 zł. Przepis ust. 3a stosuje się odpowiednio z zastrzeżeniem, że za podstawę wymiaru kary pieniężnej przyjmuje się równowartość kwoty 250 000 euro.
5. Jeżeli podmiot kluczowy albo podmiot ważny narusza przepisy ustawy, powodując:
1) bezpośrednie i poważne cyberzagrożenie dla obronności, bezpieczeństwa państwa,
bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi,
2) zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu
usług
– organ właściwy do spraw cyberbezpieczeństwa nakłada karę w wysokości do 100 000 000 zł.
.
.
Logowanie do serwisu
Zaloguj się do portalu by zobaczyć treści.
Logowanie do serwisu
Zaloguj się do portalu by zobaczyć treści.