Tytuł
Odpowiedzialność karnoadministracyjna kierownika operatora usługi kluczowej za niezachowanie należytej staranności
ORCID
Mariusz Czyżak – 0000-0003-0869-3713
Keywords
Cybersecurity, monetary penalty, operator of essential service
Słowa kluczowe
cyberbezpieczeństwo, kara pieniężna, operator usługi kluczowej
Abstract
This article discusses the liability of the manager of an essential service operator for violating their due diligence obligations while performing the duties of that operator. These duties include implementing a security management system in the information system used to provide the essential service, appointing a responsible person to maintain contacts with the entities of the national cybersecurity system, and ensuring security audits of the information system used to provide the essential service. An individual who manages or co-manages such entity, especially a member of its governing body (such as the board of directors), may be considered the “manager” of a key service operator. The liability of a manager is distinct from that of the operator itself. According to legal doctrine and jurisprudence, observing due diligence requires professionalism and conscientiousness. The cybersecurity authority imposes a monetary penalty for the failure to exercise due diligence, guided by the requirements stated in the Polish Code of Administrative Procedure. The article provides de lege ferenda conclusions, including proposals for a specific allocation of funds from such monetary penalty to the Cybersecurity Fund.
Abstrakt
W artykule omówiono kwestię odpowiedzialność kierownika operatora usług kluczowych za naruszenie obowiązku dochowania należytej staranności przy wykonywaniu obowiązków przez operatora. Obowiązki te obejmują wdrożenie systemu zarządzania bezpieczeństwem w systemie informatycznym służącym do świadczenia usługi kluczowej, wyznaczenie osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa oraz zapewnienie prowadzenia audytów bezpieczeństwa systemu informatycznego wykorzystywanego do świadczenia usługi kluczowej. Za kierownika operatora usługi kluczowej uznać można osobę, która osobę zarządzającą lub współzarządzającą operatorem usługi kluczowej, w szczególności członka organu zarządzającego (zarządu). Odpowiedzialność zarządcy jest odpowiedzialnością odrębną od odpowiedzialności operatora usługi kluczowej. Zgodnie z poglądami doktryny i orzecznictwa zachowanie należytej staranności wymaga profesjonalizmu i sumienności. Organ ds. cyberbezpieczeństwa nakłada karę pieniężną za niezachowanie należytej staranności, kierując się wytycznymi zawartymi w Kodeksie postępowania administracyjnego. W artykule przedstawiono również wnioski de lege ferenda, w tym propozycję przeznaczenia środków z kary pieniężnej na Fundusz Cyberbezpieczeństwa.
Recommended Citation
Czyżak, M. (2024). Penal-Administrative Liability of the Person that Manages an Essential Service Operator for Breaching their Duty of Due Diligence. internetowy Kwartalnik Antymonopolowy i Regulacyjny (internet Quarterly on Antitrust and Regulation), 12(4), 83-96. https://doi.org/10.7172/2299-5749.IKAR.4.12.5
First Page
83
Last Page
96
Page Count
14
DOI
10.7172/2299-5749.IKAR.4.12.5
JEL Code
K23, K24, K32, K42
Publisher
University of Warsaw
