Ta strona używa cookies do celów analitycznych.
Polityka Prywatności i cookies.
Zaakceptuj
  • English version
  • українська версія
menu

04/10/2024

Jakie kary grożą za niezastosowanie się do NIS2?

NIS2 zobowiązuje państwa członkowskie do zapewnienia skutecznych środków nadzoru lub egzekwowania wywiązywania się przez podmioty kluczowe oraz ważne z nałożonych na nich obowiązków. Jakie kary za naruszenie postanowień dyrektywy zostały przewidziane w polskim projekcie ustawy wdrażającej NIS2?

Zarówno dyrektywac NIS2, jak i polski projekt ustawy wdrażającej NIS2 za niewywiązywanie się z obowiązków, o których pisaliśmy w poprzednim artykule, przewidują karę pieniężną, która będzie nakładana w drodze decyzji administracyjnej przez organ właściwy do spraw cyberbezpieczeństwa.

Na podmiot kluczowy będzie mogła zostać nałożona kara pieniężna nieprzekraczająca kwoty 10 000 000 euro lub 2% przychodów osiągniętych przez ten podmiot w działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary. Jednakże wymierzona kara nie będzie mogła być niższa niż 20 000 zł.

Na podmiot ważny będzie mogła zostać nałożona kara pieniężna nieprzekraczająca 7 000 000 euro lub 1,4% przychodów osiągniętych przez ten podmiot z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary. Jednakże wymierzona kara nie będzie mogła być niższa niż 15 000 zł.

Wyjątek stanowi sytuacja, gdy okres wykonywanej działalności gospodarczej przez podmiot kluczowy lub ważny jest krótszy niż 12 miesięcy albo podmioty te nie osiągnęły w ogóle przychodu. Wtedy podstawę wymiaru kary pieniężnej będzie stanowić równowartość kwoty 500 000 euro.

Surowsza kara pieniężna została przewidziana, gdy naruszenie przepisów ustawy przez podmiot kluczowy lub podmiot ważny spowoduje:

  • bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi,
  • zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług.

W takim przypadku kara pieniężna może zostać nałożona w wysokości nawet do 100 000 000 zł.

Odpowiedzialność za naruszenie obowiązków wynikających z ustawy może ponieść nie tylko przedsiębiorca będący podmiotem kluczowym lub ważnym, ale również kierownik tego podmiotu, który nie wywiązał się ze swoich obowiązków. Wymierzona kara pieniężna nie może przekroczyć 600% otrzymywanego przez kierownika wynagrodzenia obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop.

Ponadto projekt ustawy, oprócz zwykłej kary pieniężnej przewiduje możliwość nałożenia na podmiot kluczowy lub ważny tzw. okresowej kary pieniężnej w celu przymuszenia podmiotu do wykonania swoich obowiązków. Okresowa kara pieniężna może zostać wymierzona w wysokości od 500 zł do 100 000 zł za każdy dzień opóźnienia w wykonaniu:

  1. czynności określonych w elektronicznym ostrzeżeniu wydawanym w przypadku uzasadnionego podejrzenia naruszenia przez ten podmiot przepisów ustawy,
  2. decyzji wydanych w celu egzekwowania przepisów ustawy, w szczególności decyzji nakładających na podmiot kluczowy nakaz podjęcia określonych czynności dotyczących obsługi incydentu.

 

Jeżeli mają Państwo pytania dotyczące tej tematyki zapraszamy Państwa do kontaktu z naszą Kancelarią.