Podmioty ważne i kluczowe – obowiązki kierownika

Spis treści:

1. 1. Koszty odpowiedzialności

Zagadnienie ciekawe i niewynikające wprost z przepisów dyrektywy NIS 2 stanowią obowiązki i odpowiedzialność kierownika podmiotu kluczowego i ważnego. Tą właśnie kwestią zajmiemy się w niniejszym artykule.

Polski ustawodawca w nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa zawarł szeroki zakres regulacji w obydwóch tych obszarach. Co dość istotne, ustanowił w ten sposób częściowo swoisty, a częściowo równoległy reżim odpowiedzialności na gruncie przepisów implementujących dyrektywę NIS 2 do polskiego porządku prawnego. Innymi słowy, polska ustawa implementująca ustawy o krajowym systemie cyberbezpieczeństwa (dalej: uoksc) wprowadza oddzielny katalog naruszeń obowiązków możliwych do popełnienia przez kierownika podmiotu kluczowego i ważnego. Co więcej, kary pieniężne nakładane na podmiot kluczowy i ważny nie wyłączają odpowiedzialności finansowej kierownika takiego podmiotu, na co wskazuje art. 73a ust. 3 uoksc: „Niezależnie od kary pieniężnej, o której mowa w art. 73 ust. 1, karę pieniężną można nałożyć również na kierownika podmiotu kluczowego lub podmiotu ważnego za niedokonanie obowiązków wskazanych w tym przepisie”. Nie wyłącza odpowiedzialności także scedowanie obowiązków w zakresie cyberbezpieczeństwa na inne osoby. Jak czytamy w art. 8c ust. 3 uoksc: „Kierownik podmiotu kluczowego lub podmiotu ważnego ponosi odpowiedzialność także wtedy, gdy niektóre z obowiązków albo wszystkie obowiązki zostały powierzone innej osobie za jej zgodą”.

Dyrektywa NIS 2 nie zawiera żadnych szczególnych regulacji dotyczących odpowiedzialności finansowej kierownika podmiotu kluczowego i ważnego. Nie zawiera ona także wskazań dotyczących szczegółowych obowiązków takiej osoby. Z jej treści wynika, że obowiązki w zakresie wdrożenia i stosowania odpowiednich środków zarządzania ryzykiem w cyberbezpieczeństwie oraz te dotyczące zgłaszania incydentów mają obowiązywać podmioty kluczowe i ważne. Polski ustawodawca uzupełnia takie rozwiązanie o dość liczne propozycje przepisów dotyczących odpowiedzialności pieniężnej kierownika podmiotu kluczowego i ważnego. Aczkolwiek należy zauważyć, że ich zakres stanowi pochodną dość szerokiego zakresu obowiązków nałożonych na kierownika takich podmiotów przez nowelizację ustawy.

Zgodnie z art. 73 a ust. 1 uoksc istnieje sporo sytuacji, w których kierownik podmiotu kluczowego lub podmiotu ważnego może podlegać karze pieniężnej – przedstawiamy je poniżej.

Niewykonanie co najmniej jednego z obowiązków, o których mowa w art. 7b ust. 4, art. 7c ust. 1, art. 7c ust. 3 lub art. 7f ust. 3

Dotyczy to realizacji obowiązków związanych ze wpisem do wykazu podmiotów kluczowych i podmiotów ważnych. Kierownik podmiotu ważnego i kluczowego ponosi odpowiedzialność w przypadku:

• niezłożenia wniosku o wpis do wykazu, w terminie trzech miesięcy od dnia spełnienia przesłanek uznania za podmiot kluczowy lub podmiot ważny (art. 7c ust. 1 uoksc);
• niezłożenia wniosku o zmianę wpisu w wykazie w zakresie danych, o których mowa w art. 7 ust. 2 pkt 1–18 uoksc, w terminie 14 dni od dnia ich zmiany (art. 7c ust. 3 uoksc);
• niedokonania uzupełnienia danych w wykazie podmiotów kluczowych i podmiotów ważnych (art. 7b ust. 4 uoksc);
• niezłożenia wniosku o wykreślenie z wykazu w zakresie sektora, podsektora lub rodzaju działalności, jeżeli przestały spełniać przesłanki uznania za podmiot kluczowy lub podmiot ważny w tym sektorze, podsektorze lub dla określonego rodzaju działalności (art. 7f ust. 3 uoksc).

Niewykonanie co najmniej jednego z obowiązków, o których mowa w art. 8

Obowiązkiem podmiotu ważnego jest wdrożenie systemu zarządzania bezpieczeństwem informacji w systemie informacyjnym wykorzystywanym w procesach wpływających na świadczenie usługi przez ten podmiot. Art. 8 uoksc przewiduje bardzo szczegółowy zakres SZBI. Warto przy tym zauważyć, że ustawodawca przewiduje odpowiedzialność za niewykonanie co najmniej jednego z obowiązków dotyczących wdrożenia systemu zarządzania bezpieczeństwem informacji.

Niewykonanie co najmniej jednego z obowiązków, o których mowa w art. 8d

Obowiązki wskazane w tym przepisie mają charakter osobisty i są silnie powiązane z rolą kierownika podmiotu ważnego i kluczowego. Zwraca przy tym uwagę ich niedookreślony charakter i podobieństwo do postanowień często spotykanych w politykach bezpieczeństwa informacji tworzonych przy wykorzystaniu normy ISO 27001:2022. Zakresem obowiązków oraz odpowiedzialności kierownika podmiotu ważnego i kluczowego ustawodawca objął:

• podejmowanie decyzji w zakresie przygotowania, wdrażania, stosowania, przeglądu i nadzoru systemu zarządzania bezpieczeństwem informacji w podmiocie;
• planowanie adekwatnych środków finansowych na realizację obowiązków z zakresu cyberbezpieczeństwa;
• przydzielanie zadań z zakresu cyberbezpieczeństwa w tym podmiocie i nadzorowanie ich wykonania;
• zapewnianie, że personel podmiotu jest świadomy obowiązków z zakresu cyberbezpieczeństwa i zna wewnętrzne regulacje podmiotu w tym zakresie;
• zapewnianie zgodności działania tego podmiotu z przepisami prawa oraz z wewnętrznymi regulacjami podmiotu.

Niewykonanie obowiązku, o którym mowa w art. 8e

Kierownik podmiotu kluczowego lub podmiotu ważnego oraz osoba, której powierzono obowiązki kierownika w zakresie cyberbezpieczeństwa, ma obowiązek raz w roku kalendarzowym przejść udokumentowane szkolenie. Powinno ono obejmować obowiązki w zakresie:

• dokonania uzupełnienia danych w wykazie podmiotów kluczowych i podmiotów ważnych (art. 7b ust. 4 uoksc);
• dokonania wpisu oraz zmiany wpisu w wykazie podmiotów kluczowych i podmiotów ważnych (art. 7 c uoksc);
• dokonania uzupełnienia wpisu w wykazie podmiotów kluczowych i ważnych (art. 7f ust. 3 uoksc);
• wdrożenia systemu zarządzania bezpieczeństwem informacji (art. 8 uoksc);
• wskazanym w art. 8 d uoksc (patrz: punkt powyżej);
• dopuszczenia do realizacji zadań związanych z wdrożeniem systemu zarządzania bezpieczeństwem informacji oraz zgłaszaniem incydentów wyłącznie osób niekaranych za przestępstwa przeciwko bezpieczeństwu informacji (art. 8 f ust. 1. i 2 uoksc);
• wyznaczenia osób odpowiedzialnych za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa i zapewnienia im możliwości działania (art. 9 uoksc);
• opracowania, stosowania i aktualizacji dokumentacji dotyczącej bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi (art. 10 uoksc);
• zgłaszania incydentów (art. 11 uoksc);
• niezwłocznego przekazywania wczesnych ostrzeżeń o incydencie poważnym, nie później niż w ciągu 24 godzin od momentu jego wykrycia, do właściwego CSIRT sektorowego (art. 12 uoksc);
• przekazywania właściwemu CSIRT sektorowemu sprawozdania końcowego z obsługi incydentu poważnego, nie później niż w ciągu miesiąca od dnia zgłoszenia (art. 12a uoksc);
• przekazywania właściwemu CSIRT sektorowemu sprawozdania z postępu obsługi tego incydentu, w przypadku gdy obsługa incydentu poważnego nie zakończyła się w terminie składania sprawozdania końcowego (art. 12b uoksc);
• powołania wewnętrznej struktury odpowiedzialnej za cyberbezpieczeństwo lub zawarcia umowy z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa (art. 14 uoksc);
• przeprowadzenia przez podmiot kluczowy, na własny koszt, co najmniej raz na trzy lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi (art. 15 uoksc).

Niewykonanie obowiązku, o którym mowa w art. 8f ust. 2 lub 3

W przypadku powzięcia uzasadnionego podejrzenia, że osoba realizująca zadania związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji oraz zgłaszaniem incydentów została skazana za przestępstwo przeciwko ochronie informacji, podmiot kluczowy lub ważny wzywa ją do ponownego przedstawienia informacji o osobie z Krajowego Rejestru Karnego (art. 8 f ust. 2 uoksc).

O ile odpowiedzialność za naruszenie wskazanego obowiązku wydaje się uzasadniona, o tyle wprowadzenie jej w przypadku art. 8f ust. 3 uoksc wydaje się co najmniej dziwne. Przepis ten bowiem stanowi, że „wymagania, o których mowa w ust. 1 i 2, uznaje się za spełnione, jeżeli osoba realizująca zadania, o których mowa w art. 8 i art. 11, posiada ważne poświadczenie bezpieczeństwa upoważniające do dostępu do informacji niejawnych o klauzuli «poufne» lub wyższej”. Co więcej, w zakresie odpowiedzialności brak jest odniesienia do kluczowego, jak się wydaje, obowiązku w tej kwestii, a mianowicie samego dopuszczenia osoby niekaranej do realizacji określonych obowiązków na gruncie uoksc. Oznacza to, że kierownik ponosi odpowiedzialność za brak wezwania do ponownego przedstawienia informacji o osobie z Krajowego Rejestru Karnego w przypadku uzasadnionego podejrzenia, że osoba realizująca zadania związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji oraz zgłaszaniem incydentów została skazana za przestępstwo przeciwko ochronie informacji. Nie ponosi jej jednak za dopuszczenie osoby karanej do wykonywania tych obowiązków.

Niewyznaczenie co najmniej dwóch osób do kontaktu z podmiotami kluczowymi lub podmiotami ważnymi, albo w przypadku kierowania mikrolub małym przedsiębiorstwem, o którym mowa w art. 2 ust. 1 załącznika I do rozporządzenia 651/2014/UE, co najmniej jednej osoby do kontaktu z podmiotami krajowego systemu cyberbezpieczeństwa

W tym przypadku zakres obowiązku wydaje się jasny, aczkolwiek wątpliwości może budzić jego redakcja. Pojawia się w nim bowiem wskazanie, że odpowiedzialności podlega kierownik podmiotu ważnego lub kluczowego, który „nie wyznaczył co najmniej dwóch osób do kontaktu z podmiotami kluczowymi lub podmiotami ważnymi”. Natomiast zarówno omawiany przepis in fine, art. 9 ust. 1 lit. a uoksc, jak i uzasadnienie projektu wiążą obowiązek wyznaczenia osób z kontaktem z podmiotami krajowego systemu cyberbezpieczeństwa (s. 59 uzasadnienia). Jasne jest, że podmioty kluczowe i podmioty ważne są podmiotami krajowego systemu cyberbezpieczeństwa, niemniej zakres krajowego systemu cyberbezpieczeństwa jest szerszy niż tylko te dwie kategorie podmiotów.

Odniesienie do innych podmiotów kluczowych lub ważnych wiąże się jedynie z art. 9 ust. 2 uoksc, który brzmi następująco: „Podmiot kluczowy lub podmiot ważny będący mikro- lub małym przedsiębiorcą, o którym mowa w art. 2 ust. 1 załącznika I do rozporządzenia 651/2014/UE, wyznacza co najmniej jedną osobę odpowiedzialną za utrzymywanie kontaktów z innymi podmiotami kluczowymi lub podmiotami ważnymi”.

Wobec tego, aby uniknąć wątpliwości, należałoby skorygować terminologię, aby uniknąć problemów na etapie stosowania aktu prawnego. Zwłaszcza że projektodawca nie wytłumaczył tej różnicy terminologicznej w uzasadnieniu projektu.

Niezapewnienie użytkownikowi możliwości zgłoszenia cyberzagrożenia, incydentu lub podatności związanych ze świadczoną usługą

Sankcja odwołuje się do obowiązku określonego w art. 9 ust. 1 punkt 3 uoksc. Zgodnie z jego treścią podmiot ważny lub kluczowy zapewnia użytkownikowi usługi możliwość zgłoszenia cyberzagrożenia, incydentu lub podatności związanych ze świadczoną usługą.

Niewykonanie co najmniej jednego z obowiązków, o których mowa w art. 10 ust. 1 i 6–8 uoksc

W tym przypadku odpowiedzialności finansowej podlega kierownik podmiotu ważnego lub kluczowego, gdy ów podmiot nie opracował, nie stosuje i nie aktualizuje dokumentacji dotyczącej bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi (art. 10 ust. 1 uoksc), a także gdy nie nadzoruje i nie zarządza odpowiednio taką dokumentacją.

W tym drugim przypadku odpowiedzialność powstaje, gdy podmiot kluczowy lub podmiot ważny:

• nie ustanowił nadzoru nad dokumentacją dotyczącą bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi, zapewniającego:
  • dostępność dokumentów wyłącznie dla osób upoważnionych, zgodnie z realizowanymi przez nie zadaniami,
  • ochronę dokumentów przed uszkodzeniem, zniszczeniem, utratą, nieuprawnionym dostępem, niewłaściwym użyciem lub utratą integralności,
  • oznaczanie kolejnych wersji dokumentów umożliwiające określenie zmian dokonanych w tych dokumentach;
• nie przechowuje dokumentacji dotyczącej bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi przez określony czas;
• nie niszczy protokolarnie wycofanej z użytkowania dokumentacji dotyczącej bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi.

Niewykonywanie co najmniej jednego z obowiązków, o których mowa w art. 11 uoksc

Omawiany obowiązek obejmuje zarządzanie incydentami. W tym zakresie podmiot kluczowy lub podmiot ważny:

• zapewnia obsługę incydentu;
• zapewnia dostęp do informacji o rejestrowanych incydentach właściwemu CSIRT MON, CSIRT NASK, CSIRT GOV lub CSIRT sektorowemu w zakresie niezbędnym do realizacji jego zadań;
• klasyfikuje incydent jako poważny na podstawie progów uznawania incydentu za poważny;
• zgłasza wczesne ostrzeżenie o incydencie poważnym niezwłocznie, nie później niż w ciągu 24 godzin od momentu jego wykrycia, do właściwego CSIRT sektorowego:
  • zgłasza incydent poważny niezwłocznie, nie później niż w ciągu 72 godzin od momentu jego wykrycia, do właściwego CSIRT sektorowego,
  • przekazuje, na wniosek właściwego CSIRT sektorowego, sprawozdanie okresowe z obsługi incydentu poważnego,
  • przekazuje właściwemu CSIRT sektorowemu sprawozdanie końcowe z obsługi incydentu poważnego, nie później niż w ciągu miesiąca od dnia zgłoszenia, o którym mowa powyżej;
• współdziała podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT MON, CSIRT NASK, CSIRT GOV lub CSIRT sektorowym, przekazując niezbędne dane, w tym dane osobowe;
• usuwa podatności, o których mowa w art. 32 ust. 2, oraz informuje o ich usunięciu organ właściwy do spraw cyberbezpieczeństwa.

Niewykonywanie co najmniej jednego z obowiązków, o których mowa w art. 12 ust. 5– 8 uoksc

Jednym z obowiązków podmiotu kluczowego i ważnego w ramach zarządzania incydentami jest zgłoszenie wczesnego ostrzeżenia o incydencie poważnym niezwłocznie, nie później niż w ciągu 24 godzin od momentu jego wykrycia, do właściwego CSIRT sektorowego. W tym przypadku sankcjonowaniu podlega także:

• nieprzekazanie przez podmiot kluczowy lub podmiot ważny informacji znanych mu w chwili dokonywania zgłoszenia oraz nieuzupełnienie ich w trakcie obsługi incydentu poważnego;
• nieprzekazanie, w niezbędnym zakresie, informacji stanowiących tajemnice prawnie chronione, w tym stanowiące tajemnicę przedsiębiorstwa, gdy jest to konieczne do realizacji zadań właściwego CSIRT MON, CSIRT NASK, CSIRT GOV lub CSIRT sektorowego;
• nieprzekazanie informacji, w tym informacji stanowiących tajemnice prawnie chronione, w zakresie niezbędnym do realizacji zadań właściwego CSIRT MON, CSIRT NASK, CSIRT GOV lub CSIRT sektorowego, gdy ten zwróci się do podmiotu kluczowego lub podmiotu ważnego o uzupełnienie wczesnego ostrzeżenia lub zgłoszenia o takie informacje;
• nieoznaczenie we wczesnym ostrzeżeniu lub w zgłoszeniu informacji stanowiących tajemnice prawnie chronione, w tym stanowiących tajemnicę przedsiębiorstwa.

Przekazanie sprawozdania końcowego, o którym mowa w art. 11 ust. 1 pkt 4c uoksc, bez elementów określonych w art. 12a uoksc

Elementy sprawozdania końcowego stanowią:

• szczegółowy opis incydentu poważnego, w tym spowodowane zakłócenia i szkody;
• rodzaj zagrożenia lub przyczynę, która prawdopodobnie była źródłem incydentu;
• zastosowane i wdrażane środki ograniczające ryzyko;
• w odpowiednich przypadkach transgraniczne skutki incydentu.

Ich brak będzie skutkować odpowiedzialnością pieniężną kierownika podmiotu kluczowego i ważnego.

Niewykonanie obowiązku, o którym mowa w art. 12b uoksc

Kolejny obowiązek wiążący się z odpowiedzialnością finansową kierownika podmiotu ważnego lub kluczowego dotyczy nieprzekazania właściwemu CSIRT sektorowemu sprawozdania z postępu obsługi tego incydentu poważnego, gdy jego obsługa nie zakończyła się w terminie miesiąca od dnia zgłoszenia incydentu poważnego (art. 12 b ust. 1 uoksc) oraz nieprzekazania sprawozdania końcowego nie później niż w ciągu miesiąca od zakończenia obsługi incydentu poważnego (art. 12b ust. 2 uoksc).

Niewykonanie obowiązku, o którym mowa w art. 14 uoksc

Odpowiedzialność finansową kierownik podmiotu kluczowego i ważnego ponosi także w przypadku niepowołania wewnętrznej struktury odpowiedzialnej za cyberbezpieczeństwo lub niezawarcia umowy z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa w celu realizacji zadań określonych w ustawie (art. 8 oraz art. 9–13 uoksc).

Niewykonanie co najmniej jednego z obowiązków, o których mowa w art. 15 uoksc

Przepis reguluje zagadnienie audytów prowadzonych przez podmioty kluczowe i ważne. Naruszenie któregokolwiek z obowiązków w tym zakresie może pociągnąć za sobą odpowiedzialność finansową kierownika odpowiedniego podmiotu.

Ustawa wskazuje przy tym, że kierownik podmiotu kluczowego i ważnego ponosi odpowiedzialność wyłącznie wtedy, gdy przemawia za tym czas, zakres lub charakter naruszenia. Wprowadza to element oceny na etapie decydowania o odpowiedzialności tych osób. Należy także zauważyć, że karze pieniężnej może podlegać również kierownik podmiotu kluczowego lub podmiotu ważnego, którego zaniechanie w realizacji obowiązków miało charakter jednorazowy.

Zgodnie z nowelizacją kara pieniężna może być wymierzona w kwocie nie większej niż 300% otrzymywanego przez ukaranego wynagrodzenia obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop, a w przypadku kierownika podmiotu kluczowego lub podmiotu ważnego będącego podmiotem publicznym w kwocie nie większej niż 100% otrzymywanego przez ukaranego wynagrodzenia obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop.

Koszty odpowiedzialności

Jak widać na podstawie powyższego omówienia, na kierowniku podmiotu ważnego i kluczowego ciąży wiele obowiązków, z którymi wiąże się odpowiedzialność. Co za tym idzie warto przygotować swoją organizację do uoksc już dziś, zamiast czekać do momentu, gdy nowelizacja ustawy wejdzie w życie.

---

Autor

Tomasz Cygan

Autor jest adwokatem, inspektorem ochrony danych i wykładowcą. Posiada certyfikat Certified in Cybersecurity oraz Certified Information System Security Professional.