W celu świadczenia usług na najwyższym poziomie stosujemy pliki cookies. Korzystanie z naszej witryny oznacza, że będą one zamieszczane w Państwa urządzeniu. W każdym momencie można dokonać zmiany ustawień Państwa przeglądarki. Zobacz politykę cookies.
Powrót

Schemat kontroli

W ustawie z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2022 r. poz. 1863)(dalej: UKSC) znajduje się rozdział 11 – „Nadzór i kontrola operatorów usług kluczowych, dostawców usług cyfrowych i podmiotów świadczących usługi w zakresie cyberbezpieczeństwa”. Reguluje on kwestie związane z prowadzeniem kontroli i nadzorem nad operatorami usług kluczowych w tym z sektora energii.

Podstawa prawna

Schemat kontroli

W ustawie z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2022 r. poz. 1863)(dalej: UKSC) znajduje się rozdział 11 – „Nadzór i kontrola operatorów usług kluczowych, dostawców usług cyfrowych i podmiotów świadczących usługi w zakresie cyberbezpieczeństwa”. Reguluje on kwestie związane z prowadzeniem kontroli i nadzorem nad operatorami usług kluczowych w tym  z sektora energii.

Podstawa prawna

Zgodnie z art. 53 ust. 1 UKSC, nadzór w zakresie stosowania przepisów ustawy sprawują organy właściwe do spraw cyberbezpieczeństwa w zakresie wykonywania przez operatorów usług kluczowych wynikających z ustawy obowiązków dotyczących przeciwdziałania zagrożeniom cyberbezpieczeństwa i zgłaszania incydentów poważnych. Organ właściwy ds. cyberbezpieczeństwa dla sektora energii, którym jest minister właściwy ds. energii może prowadzić kontrole u operatorów usług kluczowych.

Zgodnie z UKSC do kontroli, której zakres określony jest w art. 53 ust. 1 pkt 2 UKSC, realizowanej wobec podmiotów będących przedsiębiorcami stosuje się przepisy rozdziału 5 ustawy z dnia 6 marca 2018 r. - Prawo przedsiębiorców. Do podmiotów niebędących przedsiębiorcami stosuje się przepisy ustawy z dnia 15 lipca 2011 r. o kontroli w administracji rządowej określające zasady i tryb przeprowadzania kontroli.

Ustawa o krajowym systemie cyberbezpieczeństwa również reguluję kwestię nakładania kar pieniężnych (rozdział 14. Przepisy o karach pieniężnych). Zgodnie z art. 73 UKSC karze pieniężnej podlega operator usługi kluczowej, który:

  1. nie przeprowadza systematycznego szacowania ryzyka lub nie zarządza ryzykiem wystąpienia incydentu, o których mowa w art. 8 pkt 1 (wysokość kary pieniężnej do 150 000 zł);
  2. nie wdrożył środków technicznych i organizacyjnych uwzględniających wymagania, o których mowa w art. 8 pkt 2 lit. a-e (wysokość kary pieniężnej do 100 000 zł);
  3. nie stosuje środków, o których mowa w art. 8 pkt 5 lit. a-d (wysokość kary pieniężnej do 50 000 zł);
  4. nie wyznaczył osoby, o której mowa w art. 9 ust. 1 pkt 1 (wysokość kary pieniężnej do 15 000 zł);
  5. nie wykonuje obowiązków, o których mowa w art. 10 ust. 1 (wysokość kary pieniężnej do 50 000 zł);
  6. nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 1 (wysokość kary pieniężnej do 15 000 zł za każdy stwierdzony przypadek zaniechania obsługi incydentu);
  7. nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 4 (wysokość kary pieniężnej do 20 000 zł za każdy stwierdzony przypadek niezgłoszenia incydentu poważnego);
  8. nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 5 (wysokość kary pieniężnej do 20 000 zł);
  9. nie usuwa podatności, o których mowa w art. 32 ust. 2 (wysokość kary pieniężnej do 20 000 zł);
  10. nie wykonuje obowiązku, o którym mowa w art. 14 ust. 1 (wysokość kary pieniężnej do 100 000 zł);
  11. nie przeprowadza audytu (wysokość kary pieniężnej do 200 000 zł);
  12. uniemożliwia lub utrudnia wykonywanie kontroli, o której mowa w art. 53 ust. 2 pkt 1 (wysokość kary pieniężnej do 50 000 zł);
  13. nie wykonał w wyznaczonym terminie zaleceń pokontrolnych, o których mowa w art. 59 ust. 1 (wysokość kary pieniężnej do 200 000 zł).

 Jeżeli w wyniku kontroli organ właściwy do spraw cyberbezpieczeństwa stwierdzi, że operator usługi kluczowej uporczywie narusza przepisy ustawy, powodując:

  1. bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi,
  2. zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług kluczowych

- organ właściwy do spraw cyberbezpieczeństwa nakłada karę w wysokości do 1 000 000 zł.

Organ właściwy ds. cyberbezpieczeństwa nakłada karę pieniężną w drodze decyzji administracyjnej.

Ponadto, organ właściwy do spraw cyberbezpieczeństwa może nałożyć karę pieniężną na kierownika operatora usługi kluczowej w przypadku, gdy nie dochował należytej staranności celem spełnienia obowiązków, o których mowa w art. 8 pkt 1, art. 9 ust. 1 pkt 1 oraz art. 15 ust. 1 UKSC, z tym że kara ta może być wymierzona w kwocie nie większej niż 200% jego miesięcznego wynagrodzenia.

Organ właściwy ds. cyberbezpieczeństwa może nałożyć również karę pieniężną również w przypadku, gdy podmiot zaprzestał naruszania prawa lub naprawił wyrządzoną szkodę, jeżeli organ właściwy do spraw cyberbezpieczeństwa uzna, że przemawiają za tym czas trwania, zakres lub skutki naruszenia.

Planowanie i przebieg kontroli

Rozdział 5 ustawy z dnia 6 marca 2018 r. - Prawo przedsiębiorców (t.j. Dz.U. z 2021 r. poz. 162) (dalej: UPP) przedstawia ograniczenia kontroli działalności gospodarczej. Zgodnie z art. 47 UPP kontrole planuje się i przeprowadza po uprzednim dokonaniu analizy prawdopodobieństwa naruszenia prawa w ramach wykonywania działalności gospodarczej. Analiza obejmuje identyfikację obszarów podmiotowych i przedmiotowych, w których ryzyko naruszenia przepisów jest największe. Sposób przeprowadzenia analizy określa organ kontroli lub organ nadrzędny.

Organ kontroli ma obowiązek zawiadomić przedsiębiorcę o zamiarze wszczęcia kontroli. Kontrolę wszczyna się nie wcześniej niż po upływie 7 dni i nie później niż przed upływem 30 dni od dnia doręczenia zawiadomienia o zamiarze wszczęcia kontroli. Jeżeli kontrola nie zostanie wszczęta w terminie 30 dni od dnia doręczenia zawiadomienia, wszczęcie kontroli wymaga ponownego zawiadomienia.

Zawiadomienie o zamiarze wszczęcia kontroli zawiera:

  • oznaczenie organu;
  • datę i miejsce wystawienia;
  • oznaczenie przedsiębiorcy;
  • wskazanie zakresu przedmiotowego kontroli;
  • imię, nazwisko oraz podpis osoby upoważnionej do zawiadomienia z podaniem zajmowanego stanowiska lub funkcji.

Czynności kontrolne mogą być wykonywane przez pracowników organu kontroli po okazaniu przedsiębiorcy albo osobie przez niego upoważnionej legitymacji służbowej upoważniającej do wykonywania takich czynności oraz po doręczeniu upoważnienia do przeprowadzenia kontroli.

Zmiana osób upoważnionych do przeprowadzenia kontroli, zakresu przedmiotowego kontroli oraz miejsca wykonywania czynności kontrolnych wymaga każdorazowo wydania odrębnego upoważnienia. Zmiany te nie mogą prowadzić do wydłużenia przewidywanego wcześniej terminu zakończenia kontroli.

Upoważnienie, o którym mowa powyżej, zawiera w szczególności:

  1. wskazanie podstawy prawnej;
  2. oznaczenie organu kontroli;
  3. datę i miejsce wystawienia;
  4. imię i nazwisko pracownika organu kontroli uprawnionego do przeprowadzenia kontroli oraz numer jego legitymacji służbowej;
  5. oznaczenie przedsiębiorcy objętego kontrolą;
  6. określenie zakresu przedmiotowego kontroli;
  7. wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia kontroli;
  8. imię, nazwisko oraz podpis osoby udzielającej upoważnienia z podaniem zajmowanego stanowiska lub funkcji;
  9. pouczenie o prawach i obowiązkach przedsiębiorcy.

Dokument, który nie spełnia wymagań, o których mowa wyżej, nie stanowi podstawy do przeprowadzenia kontroli.

Zakres kontroli nie może wykraczać poza zakres wskazany w upoważnieniu.

Czynności kontrolne wykonuje się w obecności przedsiębiorcy lub osoby przez niego upoważnionej. Przedsiębiorca wskazuje na piśmie osobę upoważnioną w szczególności w czasie swojej nieobecności. W przypadku nieobecności przedsiębiorcy lub osoby przez niego upoważnionej albo niewykonania przez przedsiębiorcę obowiązku, o którym mowa w art. 50 ust. 3 UPP, czynności kontrolne mogą być wykonywane w obecności innego pracownika przedsiębiorcy lub osoby zatrudnionej u przedsiębiorcy w ramach innego stosunku prawnego, którzy mogą być uznani za osobę, o której mowa w art. 97 ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny, lub w obecności przywołanego świadka, którym powinien być funkcjonariusz publiczny, niebędący jednak pracownikiem organu przeprowadzającego kontrolę.

Kontrolę przeprowadza się w siedzibie przedsiębiorcy lub w miejscu wykonywania działalności gospodarczej oraz w godzinach pracy lub w czasie faktycznego wykonywania działalności gospodarczej przez przedsiębiorcę.

Za zgodą lub na wniosek przedsiębiorcy kontrolę przeprowadza się w miejscu przechowywania dokumentacji, w tym ksiąg podatkowych, innym niż siedziba lub miejsce wykonywania działalności gospodarczej, jeżeli może to usprawnić prowadzenie kontroli.

Za zgodą przedsiębiorcy kontrola lub poszczególne czynności kontrolne mogą być przeprowadzane również w siedzibie organu kontroli, jeżeli może to usprawnić prowadzenie kontroli.

Za zgodą przedsiębiorcy kontrola lub poszczególne czynności kontrolne mogą być przeprowadzone w sposób zdalny za pośrednictwem operatora pocztowego w rozumieniu ustawy z dnia 23 listopada 2012 r. - Prawo pocztowe (Dz.U. z 2020 r. poz. 1041) lub za pomocą środków komunikacji elektronicznej w rozumieniu art. 2 pkt 5 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. z 2020 r. poz. 344), jeżeli może to usprawnić prowadzenie kontroli lub przemawia za tym charakter prowadzonej przez przedsiębiorcę działalności gospodarczej.

Ustalenia kontroli zamieszcza się w protokole kontroli.

BIP MKiŚ

Informacje o kontroli OUK na stronie BIP MKiŚ

logo

Materiały

Kliknij tutaj, aby pobrać ogólny schemat procedur kontroli
Ogólny​_schemat​_procedur​_kontroli.pdf 0.48MB
{"register":{"columns":[]}}