1. (art. 8 KSC) Wdrożyć system zarządzania bezpieczeństwem w systemie informacyjnym (wykorzystywanym do świadczenia usługi kluczowej), który musi zapewniać:

Komentarz: Z powyższego wynika, że operator usługi kluczowej obowiązany jest do prowadzenia systemu zarządzania bezpieczeństwem w systemie informacyjnym. Przepis ten wskazuje zakres wdrożenia tego systemu. Zaprezentowany tu katalog obowiązków wykazuje szereg podobieństw do wymagań dla Systemów Zarządzania Bezpieczeństwem Informacji wyrażonych w §20 Rozporządzenia Rady Ministrów z 12.04.2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2017 r. poz. 2247).

  1. prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem;

Komentarz: obowiązek zrealizowania w terminie 3 miesięcy od dnia doręczenia decyzji
o uznaniu za operatora usługi kluczowej (art.16 pkt 1 KSC);

Komentarz: Zarządzanie ryzykiem obejmuje skoordynowane działania dotyczące zidentyfikowanych ryzyk. Jednym z nich jest szacowanie ryzyka rozumiane jako całościowy proces jego identyfikacji (wyszukiwanie i rozpoznawanie ryzyka), analizy (proces dążący do poznania charakteru ryzyka oraz określenia poziomu ryzyka) i oceny (proces porównywania wyników analizy ryzyka z kryteriami ryzyka w celu stwierdzenia, czy ryzyko lub jego wielkość są akceptowalne lub tolerowane).

  1. wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, w tym:

  • utrzymanie i bezpieczną eksploatację systemu informacyjnego,

  • bezpieczeństwo fizyczne i środowiskowe, uwzględniające kontrolę dostępu,

  • bezpieczeństwo i ciągłość dostaw usług, od których zależy świadczenie usługi kluczowej,

  • wdrażanie, dokumentowanie i utrzymywanie planów działania umożliwiających ciągłe i niezakłócone świadczenie usługi kluczowej oraz zapewniających poufność, integralność, dostępność i autentyczność informacji,

  • objęcie systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej systemem monitorowania w trybie ciągłym;

Komentarz: obowiązek wynikający z art. 8 pkt 2 KSC należy zrealizować w terminie 6 miesięcy od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej (art.16 pkt 2 KSC);

  1. zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;

Komentarz: obowiązek wynikający z art. 8 pkt 3 KSC należy zrealizować w terminie 6 miesięcy od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej (art.16 pkt 2 KSC);

  1. zarządzanie incydentami

Komentarz: obowiązek wynikający z art. 8 pkt 4 KSC należy zrealizować w terminie 3 miesięcy od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej (art.16 pkt 1 KSC);

  1. stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, w tym:

  • stosowanie mechanizmów zapewniających poufność, integralność, dostępność i autentyczność danych przetwarzanych w systemie informacyjnym,

  • dbałość o aktualizację oprogramowania,

  • ochronę przed nieuprawnioną modyfikacją w systemie informacyjnym,

  • niezwłoczne podejmowanie działań po dostrzeżeniu podatności lub zagrożeń cyberbezpieczeństwa;

Komentarz: obowiązek wynikający z art. 8 pkt 5 KSC należy zrealizować w terminie 6 miesięcy od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej (art.16 pkt 2 KSC);

  1. stosowanie środków łączności umożliwiających prawidłową i bezpieczną komunikację w ramach krajowego systemu cyberbezpieczeństwa.

Komentarz: obowiązek wynikający z art. 8 pkt 6KSC należy zrealizować w terminie 6 miesięcy od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej (art.16 pkt 2 KSC);

Komentarz: Obowiązki nałożone na operatorów usług kluczowych obejmują następujące podstawowe działania i procesy: zarządzanie ryzykiem i wprowadzanie na jego podstawie środków zabezpieczeń fizycznych, technicznych i organizacyjnych; zarządzanie incydentami i skutecznie realizowanymi reakcjami na nie; zagwarantowanie bezpiecznego kanału komunikacji w ramach krajowego systemu cyberbezpieczeństwa. Referencyjnym standardem technicznym w odniesieniu do tej problematyki jest norma ISO 27001 obejmująca wymagania dla systemów zarządzania bezpieczeństwem informacji.

  1. (art. 9 ust. 1 pkt 1 KSC) Wyznaczyć osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa – a następnie przekazać dane tej osoby zawierające imię i nazwisko, numer telefonu oraz adres poczty elektronicznej, w terminie 14 dni od dnia jej wyznaczenia, a także informacje o zmianie tych danych w terminie 14 dni od dnia ich zmiany.

  2. (art. 9 ust. 1 pkt 2 KSC) Zapewnić użytkownikowi usługi kluczowej dostęp do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową, w szczególności przez publikowanie informacji na ten temat na swojej stronie internetowej.

Komentarz: Operator usługi kluczowej powinien wypełnić obowiązek informacyjny wobec osoby będącej użytkownikiem takiej usługi. Przekazywanie informacji może odbywać się za pośrednictwem strony internetowej operatora. Regulacje te nie wymagają bezpośredniego przesyłania takich spersonalizowanych wiadomości środkami komunikacji elektronicznej, takimi jak poczta elektroniczna.

  1. (art. 9 ust. 1 pkt 2 KSC) Przekazać organowi właściwemu do spraw cyberbezpieczeństwa dane, o których mowa w art. 7 ust. 2 pkt 8 i 9, nie później niż w terminie 3 miesięcy od zmiany tych danych.

Komentarz: Operator usługi kluczowej zobowiązany jest poinformować organ właściwy do spraw cyberbezpieczeństwa o tym, w których państwach członkowskich Unii Europejskiej podmiot został uznany za operatora usługi kluczowej, jak również o dacie zakończenia świadczenia usługi kluczowej w terminie 3 miesięcy od zmiany tych danych.

Komentarz: obowiązki wynikające z art. 9 KSC należy zrealizować

w terminie 3 miesięcy od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej (art.16 pkt 1 KSC);

  1. (art. 10 ust. 1 i 2 KSC) Obowiązek opracowania, wdrożenia i aktualizacji dokumentacji cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej:

  1. z w/w obowiązkiem związany jest obowiązek do ustanowienia nadzoru nad dokumentacją dotyczącą cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, zapewniającego:

  • dostępność dokumentów wyłącznie dla osób upoważnionych zgodnie
    z realizowanymi przez nie zadaniami;

  • ochronę dokumentów przed niewłaściwym użyciem lub utratą integralności;

  • oznaczanie kolejnych wersji dokumentów umożliwiające określenie zmian dokonanych w tych dokumentach.

Komentarz: obowiązek wynikający z art. 10 ust. 1 i 2 KSC należy zrealizować

w terminie 6 miesięcy od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej (art.16 pkt 2 KSC);

Uwaga!: wyjątek od obowiązku opracowania, wdrożenia i aktualizacji dokumentacji cyberbezpieczeństwa systemu informacyjnego występuje wtedy, gdy operator usługi kluczowej będący jednocześnie właścicielem, posiadaczem samoistnym albo posiadaczem zależnym obiektów, instalacji, urządzeń lub usług wchodzących w skład infrastruktury krytycznej, wymienionych w wykazie, o którym mowa w art. 5b ust. 7 pkt 1 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym (Dz. U. z 2018 r. poz. 1401), posiada zatwierdzony plan ochrony infrastruktury krytycznej uwzględniający dokumentację dotyczącą cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. (art. 10 ust. 3 KSC)

Komentarz: Rodzaj dokumentacji cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej została określony Rozporządzeniem Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz.U. z 2018 r., poz. 2080)

Dokumentacja wskazana w/w Rozporządzeniem została podzielona na dokumentację normatywną i dokumentację operacyjną. Dokumentacja normatywna obejmuje przede wszystkim polityki i strategie odnoszące się m.in. do zarządzania bezpieczeństwem, ciągłością działania wraz z dokumentacją techniczną infrastruktury, z wykorzystaniem której świadczona jest usługa kluczowa. Dokumentacja operacyjna jest związana z opisem procedur, w tym opisem sposobów dokumentowania wykonania czynności w ramach ustalonych procedur. Poniższa tabela zawiera dokładny wykaz obu dokumentacji.

Dokumentacja normatywna:
Dokumentacja operacyjna:

dokumentacja dotycząca systemu zarządzania bezpieczeństwem informacji wytworzona zgodnie z wymaganiami normy PN-EN ISO/IEC 27001

 dokumentacja dotycząca procedur oraz instrukcji wynikających z dokumentacji normatywnej
dokumentacja ochrony infrastruktury, z wykorzystaniem której świadczona jest usługa kluczowa, dotycząca:

a) charakterystyki usługi kluczowej oraz infrastruktury,
b) szacowania ryzyka dla obiektów infrastruktury,
c) oceny aktualnego stanu ochrony infrastruktury (plan postępowania z ryzykiem),
d) opisu zabezpieczeń technicznych obiektów infrastruktury,
e) zasad organizacji i wykonywania ochrony fizycznej infrastruktury,
f) danych o specjalistycznej uzbrojonej formacji ochronnej chroniącej infrastrukturę, jeśli taka formacja występuje

 opisy sposobów dokumentowania wykonania czynności w ramach ustalonych procedur
dokumentacja systemu zarządzania ciągłością działania usługi kluczowej wytworzona zgodnie z wymaganiami normy PN-EN ISO 22301 dokumentacja poświadczająca każdorazowe wykonanie procedury
dokumentacja techniczna systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej
dokumentacja wynikająca ze specyfiki świadczonej usługi kluczowej w danym sektorze lub podsektorze

  1. (art. 11 KSC) Obowiązek obsługi incydentów, zgłaszania incydentów poważnych i współdziałania przy obsłudze incydentu poważnego i incydentu krytycznego.

Obsługa incydentu powinna polegać m.in. na:

  1. zapewnieniu dostępu do informacji o rejestrowanych incydentach właściwemu CSIRT MON, CSIRT NASK lub CSIRT GOV w zakresie niezbędnym do realizacji jego zadań;

  2. klasyfikacji incydentu jako poważny na podstawie progów uznawania incydentu za poważny – komentarz: warunki uznania incydentu za poważny wskazano w Rozporządzeniu Rady Ministrów z dnia 31 października 2018 r. w sprawie progów uznania incydentu za poważny (Dz. U.2018 r., poz.2180);

  3. zgłaszaniu incydentów poważnych niezwłocznie, nie później niż w ciągu 24 godzin od momentu jego wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV;

  4. współdziałaniu podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne dane, w tym dane osobowe;

  5. usuwaniu podatności, które doprowadziły do wystąpienia incydentu (o których mowa w art. 32 ust. 2 KSC) oraz informowaniu o ich usunięciu organ właściwy do spraw cyberbezpieczeństwa.

Komentarz: Obowiązki wynikające z art.11 ust. 1 – 3 KSC należy zrealizować w terminie 3 miesięcy od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej (art.16 pkt 1 KSC);

  1. (art. 14 ust. 1 KSC) W celu realizacji zadań, o których mowa w art. 8, art. 9, art. 10 ust. 1-3, art. 11 ust. 1-3, art. 12 i art. 13 KSC powołuje wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub zawiera umowę z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa;

Komentarz: obowiązki wynikające z 14 ust. 1 KSC należy zrealizować w terminie 3 miesięcy od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej (art.16 pkt 1 KSC);

Komentarz: Wymogi warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo zostały uregulowane w Rozporządzeniu Ministra Cyfryzacji z dnia 10 września 2018 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo (Dz.U. z 2018 r., poz. 1780).

Rozporządzenie to (podstawa prawna: § 1 ust. 1 ptk 1, 2, 4 i 5, § 2 oraz § 3 w/w Rozporządzenia) wobec wewnętrznych struktur operatora usług kluczowych odpowiedzialnych za cyberbezpieczeństwo wymaga następująco:

§ 1.

1)posiadać i utrzymywać w aktualności system zarządzania bezpieczeństwem informacji spełniający wymagania Polskiej Normy PN-EN ISO/IEC 27001;

2)zapewnić ciągłość działania usłudze reagowania na incydenty, polegającej na podejmowaniu działań w zakresie rejestrowania i obsługi zdarzeń naruszających bezpieczeństwo systemów informacyjnych zgodnie z wymaganiami Polskiej Normy PN-EN ISO 22301;

4)zapewnić wsparcie operatorowi usługi kluczowej w trybie całodobowym przez wszystkie dni w roku, z czasem reakcji adekwatnym do charakteru usługi kluczowej;

5)dysponować personelem posiadającym umiejętności i doświadczenie w zakresie:

a)identyfikowania zagrożeń w odniesieniu do systemów informacyjnych,

b)analizowania oprogramowania szkodliwego i określania jego wpływu na system informacyjny operatora usługi kluczowej,

c)zabezpieczania śladów kryminalistycznych na potrzeby postępowań prowadzonych przez organy ścigania.

§ 2.

Podmioty świadczące usługi z zakresu cyberbezpieczeństwa oraz a są obowiązane dysponować prawem do wyłącznego korzystania z pomieszczeń, które wyposażone są w zabezpieczenia techniczne adekwatne do przeprowadzonego szacowania ryzyka, w tym co najmniej w:

1)system sygnalizacji włamania i napadu klasy 2 według Polskiej Normy PN-EN 50131-1;

2)system kontroli dostępu klasy 2 według Polskiej Normy PN-EN 60839-11-1, zapewniający osobie przyznanie dostępu do pomieszczenia przez rzecz posiadaną przez tą osobę oraz zapamiętanie zdarzenia przyznania dostępu danej osobie wraz z datą i czasem;

3)system wykrywania i sygnalizacji pożaru z powiadamianiem do centrum odbiorczego alarmów pożarowych;

4)szafy służące do przechowywania dokumentów oraz informatycznych nośników danych o istotnym znaczeniu dla prowadzonej działalności, klasy S1 spełniającymi wymagania Polskiej Normy PN-EN 14450, chyba że inne przepisy wymagają wyższej klasy odporności szaf;

5)zewnętrzne drzwi wejściowe do pomieszczeń o klasie odporności RC4 według wymagań Polskiej Normy PN-EN 1627, wyposażone w zamki o klasie nie niższej niż klasa odporności drzwi;

6)wewnętrzne drzwi do pomieszczeń o klasie odporności RC2 według wymagań Polskiej Normy PN-EN 1627, wyposażone w zamki o klasie nie niższej niż klasa odporności drzwi;

7)okna o klasie odporności RC4 według wymagań Polskiej Normy PN-EN 1627, o ile na podstawie przeprowadzonego szacowania ryzyka dostęp do nich rodziłby nieakceptowalne ryzyko nieuprawnionego wejścia do pomieszczenia;

8)ściany zewnętrzne o odporności na włamanie równoważnej odporności muru o grubości 25 cm wykonanego z pełnej cegły;

9)ściany wewnętrzne o odporności na włamanie adekwatnej do klasy odporności drzwi.

2. W przypadku, gdy obiekt, w którym znajdują się pomieszczenia wskazane w ust. 1, nie jest wyposażony w system, o którym mowa w ust. 1 pkt 3, dopuszcza się, po wykonaniu szacowania ryzyka i gdy brak jest przeciwwskazań wynikających z innych przepisów, wyposażenie tych pomieszczeń w czujki wykrywające pożar podłączone do systemu sygnalizacji włamania i napadu, o ile stacja monitorująca alarmy z tego systemu będzie w stanie ustalić przyczynę poszczególnych alarmów.

§ 3.

Podmioty świadczące usługi z zakresu cyberbezpieczeństwa oraz wewnętrzne struktury organizacyjne operatorów usług kluczowych odpowiedzialne za cyberbezpieczeństwo w zakresie spełnienia warunków technicznych dysponują:

1)sprzętem komputerowym oraz specjalizowanymi narzędziami informatycznymi umożliwiającymi:

a)automatyczne rejestrowanie zgłoszeń incydentów,

b)analizę kodu oprogramowania uznanego za szkodliwe,

c)badanie odporności systemów informacyjnych na przełamanie zabezpieczeń,

d)zabezpieczanie śladów kryminalistycznych na potrzeby postępowań prowadzonych przez organy ścigania;

2)środkami łączności umożliwiającymi wymianę informacji z podmiotami, dla których świadczą usługi, oraz właściwym Zespołem Reagowania na Incydenty Bezpieczeństwa Komputerowego działającym na poziomie krajowym.

Komentarz: W przypadku wyboru podmiotu na zasadzie outsourcingu – operator usługi kluczowej informuje organ właściwy do spraw cyberbezpieczeństwa i właściwy CSIRT MON, CSIRT NASK, CSIRT GOV i sektorowy zespół cyberbezpieczeństwa o podmiocie, z którym została zawarta umowa o świadczenie usług z zakresu cyberbezpieczeństwa, danych kontaktowych tego podmiotu, zakresie świadczonej usługi oraz o rozwiązaniu umowy w terminie 14 dni od dnia zawarcia lub rozwiązania umowy (art. 14 ust. 3 KSC).

Operatorzy usług kluczowych mają trzy miesiące od daty doręczenia decyzji o uznaniu za operatora usługi kluczowej na powołanie wewnętrznych struktur lub podpisanie umowy
z zewnętrznym podmiotem specjalistycznym, który świadczy usługi w zakresie cyberbezpieczeństwa. Jak określają komentatorzy ustawy KSC – jest to okres bardzo krótki w stosunku do złożoności technicznej i merytorycznej przedsięwzięć, które należy podjąć, by spełnić wszystkie wymagania wynikające z treści rozporządzenia.

  1. (art. 15 KSC) Obowiązek zapewnienia przeprowadzenia audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej co najmniej raz na 2 lata.

Bardzo wazne! Zgodnie z art. 15 ust. 6 KSC operator usługi kluczowej, u którego w danym roku w stosunku do systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej został przeprowadzony przez osoby spełniające warunki określone w ust. 2 pkt 2 audyt wewnętrzny w zakresie bezpieczeństwa informacji, o którym mowa w przepisach wydanych na podstawie art. 18 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, nie ma obowiązku przeprowadzania audytu przez 2 lata.

Komentarz: Pierwszy audyt powinien zostać przeprowadzony w ciągu roku od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej (art. 16 pkt. 3 KSC)

 

Odpowiedzialność karna operatorów usług kluczowych (art. 73 ust. 1 KSC oraz art.75 i 76 KSC).

Organ właściwy do spraw cyberbezpieczeństwa, jest uprawniony do nałożenia w drodze decyzji na operatora usług kluczowych administracyjnych kar pieniężnych, za brak wykonania przez niego następujących czynności:

Art. 73. [Zaniechania podlegające karze pieniężnej; wysokość kary pieniężnej]

1. Karze pieniężnej podlega operator usługi kluczowej, który:

  1. nie przeprowadza systematycznego szacowania ryzyka lub nie zarządza ryzykiem wystąpienia incydentu, o których mowa w art. 8 pkt 1;

  2. nie wdrożył środków technicznych i organizacyjnych uwzględniających wymagania, o których mowa w art. 8 pkt 2 lit. a-e;

  3. nie stosuje środków, o których mowa w art. 8 pkt 5 lit. a-d;

  4. nie wyznaczył osoby, o której mowa w art. 9 ust. 1 pkt 1;

  5. nie wykonuje obowiązków, o których mowa w art. 10 ust. 1;

  6. nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 1;

  7. nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 4;

  8. nie wykonuje obowiązku, o którym mowa w art. 11 ust. 1 pkt 5;

  9. nie usuwa podatności, o których mowa w art. 32 ust. 2;

  10. nie wykonuje obowiązku, o którym mowa w art. 14 ust. 1;

  11. nie przeprowadza audytu – *[uwaga autora opracowania – dot. audytu, o którym mowa w art. 15 KSC]

  12. uniemożliwia lub utrudnia wykonywanie kontroli, o której mowa w art. 53 ust. 2 pkt 1;

  13. nie wykonał w wyznaczonym terminie zaleceń pokontrolnych, o których mowa w art. 59 ust. 1.


Wysokość kar na niedokonanie w/w czynności precyzuje art. 73 ust. 3, 4 i 5 KSC, które w zakresie operatora usług kluczowych stanowią następująco:

3. Wysokość kary pieniężnej, o której mowa w:

  1. ust. 1 pkt 1, wynosi do 150 000 zł;

  2. ust. 1 pkt 2, wynosi do 100 000 zł;

  3. ust. 1 pkt 3, wynosi do 50 000 zł;

  4. ust. 1 pkt 4, wynosi do 15 000 zł;

  5. ust. 1 pkt 5, wynosi do 50 000 zł;

  6. ust. 1 pkt 6, wynosi do 15 000 zł za każdy stwierdzony przypadek zaniechania obsługi incydentu;

  7. ust. 1 pkt 7, wynosi do 20 000 zł za każdy stwierdzony przypadek niezgłoszenia incydentu poważnego;

  8. ust. 1 pkt 8 i 9, wynosi do 20 000 zł;

  9. ust. 1 pkt 10, wynosi 100 000 zł;

  10. ust. 1 pkt 11 i 13, wynosi do 200 000 zł;

  11. )ust. 1 pkt 12, wynosi do 50 000 zł;

4. Kara, o której mowa w:

  1. ust. 1 pkt 4, nie może być niższa niż 1000 zł;

  2. ust. 1 pkt 1-3, 6-9 i 12, nie może być niższa niż 5000 zł;

  3. ust. 1 pkt 5, 10, 11 i 13, nie może być niższa niż 15 000 zł.

5. Jeżeli w wyniku kontroli organ właściwy do spraw cyberbezpieczeństwa stwierdzi, że operator usługi kluczowej uporczywie narusza przepisy ustawy, powodując:

  1. bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi,

  2. zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług kluczowych

– organ właściwy do spraw cyberbezpieczeństwa nakłada karę w wysokości do 1 000 000 zł.