Nadzór8 min czytania

Nadzór nad podmiotami KSC — ex ante i ex post

Nadzór ex ante vs. ex post

Ustawa o KSC wprowadza dwupoziomowy system nadzoru, różnicujący intensywność kontroli w zależności od statusu podmiotu. Podmioty kluczowe podlegają nadzorowi proaktywnemu (ex ante) — organy właściwe mogą prowadzić kontrole planowe i doraźne bez konieczności uprzedniego wystąpienia incydentu. Podmioty ważne podlegają nadzorowi reaktywnemu (ex post) — kontrola jest podejmowana dopiero po uzyskaniu informacji o możliwym naruszeniu.

AspektPodmiot kluczowy (ex ante)Podmiot ważny (ex post)
Inicjatywa kontroliZ urzędu — nadzór prewencyjny i następczy (art. 53 ust. 3 pkt 1, art. 53b)Po uzyskaniu informacji o naruszeniu (art. 53 ust. 17)
Audyty na żądanieTak — w każdym czasie (art. 15 ust. 1b)Tak — w przypadku incydentu poważnego lub innego naruszenia (art. 15 ust. 1b)
Urzędnik monitorującyTak — wyznaczany decyzją na czas określony, nie dłuższy niż 1 miesiąc (art. 53 ust. 5 pkt 6)Nie przewidziano (art. 53 ust. 17 nie odsyła do ust. 5 pkt 6)
Kontrole planoweTak — w ramach metodyki nadzoru i priorytetów (art. 53b)Nie
Tymczasowe wstrzymanie działalności / zakaz funkcjiTak — ale NIE wobec podmiotów publicznych (art. 53 ust. 9 pkt 1–6, ust. 10)Nie (art. 53 ust. 17 nie odsyła do ust. 9)

Zakres i przebieg kontroli

Kontrola może obejmować weryfikację dokumentacji SZBI, ocenę skuteczności wdrożonych środków bezpieczeństwa, sprawdzenie procedur raportowania incydentów oraz zgodności z wymaganiami ustawy. Wyniki kontroli mogą prowadzić do nakazania audytu bezpieczeństwa. Organ właściwy może żądać udostępnienia dokumentów, systemów informatycznych, a także przeprowadzić wizytację w siedzibie podmiotu.

  • Weryfikacja dokumentacji SZBI i polityk bezpieczeństwa
  • Ocena wyników szacowania ryzyka i adekwatności środków zaradczych
  • Kontrola procedur zgłaszania incydentów i terminowości zgłoszeń
  • Sprawdzenie wyników audytów bezpieczeństwa i realizacji zaleceń poaudytowych
  • Weryfikacja bezpieczeństwa łańcucha dostaw i umów z dostawcami ICT
  • Ocena szkoleń personelu i świadomości cyberbezpieczeństwa

Środki nadzorcze

W przypadku stwierdzenia naruszeń organ właściwy dysponuje szerokim katalogiem środków nadzorczych — od ostrzeżeń i zaleceń pokontrolnych, przez wiążące nakazy, aż po tymczasowe wstrzymanie certyfikacji lub działalności. Pełny przegląd kar finansowych w ustawie o KSC opisujemy w osobnym artykule. Uwaga: środki z art. 53 ust. 9 (wstrzymanie działalności, zakaz pełnienia funkcji) stosuje się wyłącznie wobec podmiotów kluczowych niebędących podmiotami publicznymi (art. 53 ust. 10).

  • Ostrzeżenie o naruszeniu obowiązków ustawowych
  • Wiążące polecenia dotyczące usunięcia stwierdzonych naruszeń z wyznaczonym terminem
  • Nakaz poinformowania użytkowników usług o zagrożeniu
  • Nakaz wdrożenia zaleceń z audytu bezpieczeństwa w określonym terminie
  • Nałożenie kary pieniężnej
  • Tymczasowe wstrzymanie lub ograniczenie koncesji albo zezwolenia, wstrzymanie działalności wpisanej do rejestru działalności regulowanej, do CEIDG lub do KRS (tylko PK niebędące podmiotami publicznymi — art. 53 ust. 9 pkt 1–5, ust. 10)
  • Tymczasowy zakaz pełnienia funkcji zarządczych przez kierownika (tylko PK niebędące podmiotami publicznymi — art. 53 ust. 9 pkt 6, ust. 10)
Tymczasowe wstrzymanie działalności lub zakaz pełnienia funkcji zarządczych to środki ostateczne z art. 53 ust. 9, stosowane wyłącznie wobec podmiotów kluczowych niebędących podmiotami publicznymi (art. 53 ust. 10). Wobec podmiotów publicznych te środki nie mogą być zastosowane — nawet jeśli są podmiotami kluczowymi.

Prawa kontrolowanego podmiotu

Podmiot objęty kontrolą ma prawo do przedstawienia swojego stanowiska przed wydaniem decyzji, odwołania się od decyzji organu oraz do udziału w czynnościach kontrolnych. Organ ma obowiązek doręczenia protokołu kontroli i umożliwienia zgłoszenia zastrzeżeń. Warto pamiętać, że kierownik podmiotu ponosi osobistą odpowiedzialność za stwierdzone naruszenia.

  • Prawo do informacji o zakresie i przedmiocie kontroli
  • Prawo do obecności podczas czynności kontrolnych
  • Prawo do zgłoszenia zastrzeżeń do protokołu kontroli w terminie 7 dni od dnia jego doręczenia (art. 58 ust. 4 KSC)
  • Prawo do przedstawienia stanowiska przed wydaniem decyzji
  • Prawo do skargi na decyzję wprost do wojewódzkiego sądu administracyjnego — postępowanie z art. 53 ust. 5 pkt 2–8 jest jednoinstancyjne, bez odwołania do organu wyższego stopnia (art. 53 ust. 8 KSC)
  • W sprawach decyzji uznającej dostawcę za HRV — skarga rozpoznawana na posiedzeniu niejawnym w składzie 3 sędziów (art. 67e ust. 1 KSC)
FAQ4 pytania

Najczęstsze pytania

Co to jest nadzór ex-ante w KSC?
Nadzór ex-ante to proaktywny reżim nadzoru stosowany wobec podmiotów kluczowych — organ właściwy może prowadzić kontrole z urzędu, bez konieczności wystąpienia incydentu czy złożenia skargi. Obejmuje planowe audyty zgodności, skanowanie bezpieczeństwa, żądanie informacji i dokumentacji, kontrolę osobistą w siedzibie podmiotu (art. 53-54 KSC).
Co to jest nadzór ex-post w KSC?
Nadzór ex-post to reaktywny reżim nadzoru stosowany wobec podmiotów ważnych — kontrola następuje dopiero po wystąpieniu incydentu, otrzymaniu skargi lub uzasadnionego sygnału o naruszeniu. Organ właściwy nie prowadzi planowych kontroli ex-ante wobec PW, ale w razie potrzeby może wykorzystać pełny zestaw uprawnień kontrolnych.
Jakie narzędzia nadzoru ma organ właściwy?
Organ może: (1) żądać informacji i dokumentów, (2) przeprowadzić skan bezpieczeństwa systemów, (3) wykonać audyt na miejscu, (4) wydać wiążące polecenie usunięcia naruszenia, (5) nałożyć karę pieniężną (art. 73 KSC) lub karę osobistą na kierownika (art. 73a), (6) wydać ostrzeżenie publiczne o zagrożeniu. Kontrola musi być proporcjonalna i udokumentowana.
Kto sprawuje nadzór KSC nad daną branżą?
Organ właściwy do spraw cyberbezpieczeństwa jest różny dla każdego sektora (art. 41–41a KSC): Prezes UKE — podsektor komunikacji elektronicznej (pkt 8a) i sektor pocztowy; KNF — bankowość i infrastruktura rynków finansowych (pkt 4); Minister Zdrowia — zdrowie (pkt 5); Minister Klimatu — odpady i energetyka jądrowa, Minister Aktywów Państwowych — energia (pkt 1, 9i); Minister Infrastruktury — transport i woda (pkt 2, 6); Minister Cyfryzacji — infrastruktura cyfrowa (pkt 8), zarządzanie usługami ICT (pkt 9b), dostawcy usług cyfrowych (pkt 9j) oraz podmioty publiczne (art. 41a ust. 1). Pełną listę zawiera art. 41 KSC.
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.