Nadzór i kontrola nad podmiotami kluczowymi i ważnymi (NIS2)

przez

Wznawiając jeszcze na moment tematykę wdrożenia NIS2 czas poświęcić kilka słów temu jak wygląda nadzór i kontrola nad podmiotami kluczowymi i ważnymi w zakresie wykonywania przez nie obowiązków wynikających z uczestnictwa w krajowym systemie cyberbezpieczeństwa.

mural ekologiczny
Ujęcie czysto ilustracyjne (fot. Olgierd Rudak, CC0)

A mianowicie, w skrócie i niewyczerpująco:

  • po pierwsze primo nadzór nad podmiotami KSC sprawują organy właściwych do spraw cyberbezpieczeństwa;
  • przy czym właściwość organów nadzoru ustalana jest w/g właściwości sektorowej, np. dla bankowości i finansów jest to KNF, dla sektora dostawców usług cyfrowych i sektora infrastruktury cyfrowej — minister d/s informatyzacji, ale już UKE dla podsektora komunikacji elektronicznej, etc. etc. (art. 41 uksc);

art. 53 ust. 1 ustawy o krajowym systemie cyberbezpieczeństwa
Nadzór dotyczący stosowania przepisów ustawy sprawują organy właściwe do spraw cyberbezpieczeństwa w zakresie wykonywania przez podmioty kluczowe i podmioty ważne wynikających z ustawy obowiązków.

  • w przypadku podmiotów ważnych nadzór ma charakter następczy, tj. czynności są podejmowane w przypadku podejrzenia naruszenia prawa, zaś podmioty kluczowe muszą liczyć się także z nadzorem prewencyjnym; w ramach sprawowanego nadzoru organ ma prawo prowadzić kontrole podmiotów (także doraźne, także w trybie zdalnym), nakazać przeprowadzenie audytu bezpieczeństwa systemu informatycznego lub zlecić CSIRT dokonanie oceny bezpieczeństwa systemu informacyjnego podmiotu kluczowego, etc.;
  • najłagodniejszym środkiem stosowanym przez organ nadzorczy wobec podmiotu kluczowego jest pisemne ostrzeżenie, wysłane w formie elektronicznej, wskazujące dostrzeżone uchybienia i niezbędne czynności, a także termin na zastosowanie się do ostrzeżenia;

art. 53 ust. 4 uksc
W przypadku uzasadnionego podejrzenia, że działania lub zaniechania podmiotu kluczowego mogą naruszać przepisy ustawy, organ właściwy do spraw cyberbezpieczeństwa kieruje do tego podmiotu pismo w formie elektronicznej z ostrzeżeniem, w którym wskazuje czynności, jakie należy podjąć w celu zapobieżenia lub zaprzestania naruszania przepisów ustawy oraz termin na ich wykonanie.

  • podmiot kluczowy może także spotkać się z nakazem prawidłowej obsługi incydentu lub zgłoszenia incydentu poważnego, zapewnienia zgodności SZBI z ustawą, wdrożenia zaleceń poaudytowych, jak też nakazem podania do publicznej wiadomości informacji o naruszeniu przepisów o cyberbezpieczeństwie lub o incydencie poważnym; w celu sprawdzenia realizacji obowiązków organ ma prawo wyznaczyć spośród swych pracowników „urzędnika monitorującego”, uprawnionego m.in. do swobodnego wstępu i poruszania się po terenie podmiotu kluczowego, z prawem do wglądu do dokumentów, żądania złożenia pisemnych lub ustnych wyjaśnień;
  • to się może przydać: wszystkie akty nadzorcze są zaskarżalne, w odpowiednim trybie, do sądu administracyjnego…
  • …albowiem ryzyka eskalują jeśli podmiot kluczowy nie zastosował się do nakazów organu nadzoru: kolejnym etapem jest wstrzymanie lub ograniczenie koncesji (zezwolenia, etc.) na wykonywanie określonej działalności (!), jak też wstrzymanie lub ograniczenie zakresu działalności podmiotu wynikającego z CEIDG lub KRS…
  • …a jeśli podmiot nie zastosuje się do wydanej decyzji, w następnym kroku organ… wydaje kolejną decyzję (art. 53e ust. 4 uksc) — różnica jest taka, że tym razem jest ona natychmiastowo wykonalna;
  • (tak czy inaczej środki tego rodzaju nie są stosowane wobec podmiotów publicznych);
  • natomiast szczególnego rodzaju sankcja spotkać może kierownika podmiotu kluczowego — w ramach odpowiedzialności za niezastosowanie się do nakazu może być wobec niego wydany zakaz pełnienia funkcji zarządczych;
  • a ponieważ mamy system prawa, nie federację przepisów: jeśli w toku nadzoru powstanie podejrzenie, że doszło do naruszenia ochrony danych osobowych, organ ma obowiązek poinformowania PUODO;
  • sprawowane nad podmiotami systemu KSC kontrola i nadzór w zakresie NIS2 oznacza także generalny obowiązek przekazywania, na żądanie organu właściwego d/s cyberbezpieczeństwa, informacji i dokumentów niezbędnych do realizacji uprawnień;

art. 53 ust. 1 uksc
Podmiot kluczowy lub podmiot ważny przekazuje na żądanie organu właściwego do spraw cyberbezpieczeństwa dane, informacje i dokumenty niezbędne do wykonywania przez ten organ jego uprawnień i obowiązków z zakresu sprawowania nadzoru i kontroli określonych w ustawie.

  • takie żądanie — niezaskarżalne i niekoniecznie związane z prowadzoną kontrolą — powinno być „proporcjonalne do celu”, który to cel powinien być przywołany w treści wezwania i w jego uzasadnieniu; organ sporządza żądanie w postaci elektronicznej i doręcza poprzez e-doręczenia lub system S46;
  • ponadto obowiązkiem każdego kontrolowanego podmiotu jest zapewnienie pracownikom urzędu odpowiednich warunków do sprawnego przeprowadzenia kontroli, w tym przedstawiania odpowiedniej dokumentacji, udzielania wyjaśnień, udostępniania urządzeń technicznych oraz sporządzania niezbędnych kopii i wydruków informacji; efektem kontroli jest oczywiście protokół — oraz ewentualnie zalecenia pokontrolne;
  • a na końcu tego wszystkiego są oczywiście kary pieniężne.

Kropka.

subskrybuj
Powiadom o
guest

Ta strona używa Akismet do redukcji spamu. Dowiedz się, w jaki sposób przetwarzane są dane Twoich komentarzy.

0 komentarzy
Oldest
Newest
0
komentarze są tam :-)x