W ustawie o Krajowym systemie Cyberbezpieczeństwa przewidziano czynności nadzoru, a w przypadku stwierdzenia naruszeń mogą został nałożone kary na operatora usługi kluczowej.
W ramach nadzoru:
- organ właściwy do spraw cyberbezpieczeństwa lub minister właściwy do spraw informatyzacji prowadzi kontrole ;
- organ właściwy do spraw cyberbezpieczeństwa nakłada kary pieniężne na operatorów usług kluczowych i dostawców usług cyfrowych
Osoba prowadząca czynności kontrolne wobec podmiotów będących przedsiębiorcami ma prawo do:
- swobodnego wstępu i poruszania się po terenie podmiotu kontrolowanego bez obowiązku uzyskiwania przepustki;
- wglądu do dokumentów dotyczących działalności podmiotu kontrolowanego, pobierania za pokwitowaniem oraz zabezpieczania dokumentów związanych z zakresem kontroli, z zachowaniem przepisów o tajemnicy prawnie chronionej;
- sporządzania, a w razie potrzeby żądania sporządzenia, niezbędnych do kontroli kopii, odpisów lub wyciągów z dokumentów oraz zestawień lub obliczeń;
- przetwarzania danych osobowych w zakresie niezbędnym do realizacji celu kontroli;
- żądania złożenia ustnych lub pisemnych wyjaśnień w sprawach dotyczących zakresu kontroli;
- przeprowadzania oględzin urządzeń, nośników oraz systemów informacyjnych.
Kontrolowane podmioty będące przedsiębiorcami zapewniają osobie prowadzącej czynności kontrolne warunki niezbędne do sprawnego przeprowadzenia kontroli, w szczególności przez zapewnienie niezwłocznego przedstawienia żądanych dokumentów, terminowego udzielania ustnych i pisemnych wyjaśnień w sprawach objętych kontrolą, udostępniania niezbędnych urządzeń technicznych, a także sporządzania we własnym zakresie kopii lub wydruków dokumentów oraz informacji zgromadzonych na nośnikach, w urządzeniach lub w systemach informacyjnych.
Podmiot kontrolowany dokonuje potwierdzenia za zgodność z oryginałem sporządzonych kopii lub wydruków. W przypadku odmowy potwierdzenia za zgodność z oryginałem potwierdza je osoba prowadząca czynności kontrolne, o czym czyni wzmiankę w protokole kontroli.
Osoba prowadząca czynności kontrolne wobec podmiotów będących przedsiębiorcami ustala stan faktyczny na podstawie dowodów zebranych w toku kontroli, w szczególności dokumentów, przedmiotów, oględzin oraz ustnych lub pisemnych wyjaśnień i oświadczeń.
Osoba prowadząca czynności kontrolne wobec podmiotów będących przedsiębiorcami przedstawia przebieg przeprowadzonej kontroli w protokole kontroli.
Jeżeli na podstawie informacji zgromadzonych w protokole kontroli organ właściwy do spraw cyberbezpieczeństwa lub minister właściwy do spraw informatyzacji uzna, że mogło dojść do naruszenia przepisów ustawy przez podmiot kontrolowany, przekazuje zalecenia pokontrolne dotyczące usunięcia nieprawidłowości.
Od zaleceń pokontrolnych nie przysługują środki odwoławcze.
Podmiot kontrolowany, w wyznaczonym terminie, informuje organ właściwy do spraw cyberbezpieczeństwa lub ministra właściwego do spraw informatyzacji o sposobie wykonania zaleceń.
Wysokość kar
Kary mogą zostać nałożone na operatora usługi kluczowej za poniższe naruszenia:
| Naruszenie | Minimalna wysokość kary | Maksymalna wysokość kary |
| nie przeprowadza systematycznego szacowania ryzyka lub nie zarządza ryzykiem wystąpienia incydentu, o których mowa w art. 8 pkt 1; | 5 000 | 150 000 |
| nie wdrożył środków technicznych i organizacyjnych uwzględniających wymagania, o których mowa w art. 8 pkt 2 lit. a–e; | 5 000 | 100 000 |
| nie stosuje środków, o których mowa w art. 8 pkt 5 lit. a–d; | 5 000 | 50 000 |
| nie wyznaczył osoby, o której mowa w art. 9 ust. 1 pkt 1; | 1 000 | 15 000 |
| nie wykonuje obowiązków, o których mowa w art. 10 ust. 1; | 15 000 | 50 000 |
| nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 1; za każdy stwierdzony przypadek zaniechania obsługi incydentu | 5 000 | 15 000 |
| nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 4; za każdy stwierdzony przypadek niezgłoszenia incydentu poważnego | 5 000 | 20 000 |
| nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 5; | 5 000 | 20 000 |
| nie usuwa podatności, o których mowa w art. 32 ust. 2; | 5 000 | 20 000 |
| nie wykonuje obowiązku, o którym mowa w art. 14 ust. 1; | 15 000 | 100 000 |
| nie przeprowadza audytu; | 15 000 | 200 000 |
| uniemożliwia lub utrudnia wykonywanie kontroli, o której mowa w art. 53 ust. 2 pkt 1; | 5 000 | 50 000 |
| nie wykonał w wyznaczonym terminie zaleceń pokontrolnych, o których mowa w art. 59 ust. 1. | 15 000 | 200 000 |
| uporczywa naruszanie przepisów | 1 000 000 |
Kara za uporczywe naruszanie przepisów ustawy
Jeżeli w wyniku kontroli organ właściwy do spraw cyberbezpieczeństwa stwierdzi, że operator usługi kluczowej albo dostawca usługi cyfrowej uporczywie narusza przepisy ustawy, powodując:
- bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi,
- zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług kluczowych
organ właściwy do spraw cyberbezpieczeństwa nakłada karę w wysokości do 1 000 000 zł.
Kara pieniężna na kierownika
Organ właściwy do spraw cyberbezpieczeństwa może nałożyć karę pieniężną na kierownika operatora usługi kluczowej w przypadku, gdy nie dochował należytej staranności celem spełnienia obowiązków, o których mowa w art. 8 pkt 1, art. 9 ust. 1 pkt 1 oraz art. 15 ust. 1, z tym że kara ta może być wymierzona w kwocie nie większej niż 200% jego miesięcznego wynagrodzenia.
Kara ta może zostać nałożona również w przypadku, gdy podmiot zaprzestał naruszania prawa lub naprawił wyrządzoną szkodę, jeżeli organ właściwy do spraw cyberbezpieczeństwa uzna, że przemawiają za tym czas trwania, zakres lub skutki naruszenia.
