Cyberataki na infrastrukturę krytyczną — odpowiedzialność karna i obrona
Prawo karne · 5 min czytania · Redakcja zaufanyprawnik.pl
Atak ransomware na szpital, sparaliżowanie systemu sterowania w wodociągach, włamanie do sieci operatora energetycznego — to już nie scenariusze filmowe, lecz realne sprawy, którymi zajmują się polskie prokuratury i sądy. Cyberataki wymierzone w infrastrukturę krytyczną mają dwa wymiary prawne. Pierwszy to odpowiedzialność karna sprawcy — uregulowana w Rozdziale XXXIII Kodeksu karnego (przestępstwa przeciwko ochronie informacji, art. 267-269b). Drugi to obowiązki samych operatorów takich systemów, wynikające z ustawy o krajowym systemie cyberbezpieczeństwa oraz przepisów unijnych. W tym artykule wyjaśniamy, jakie czyny są karalne, jakie kary realnie grożą, jakie obowiązki ciążą na firmach i instytucjach oraz jak wygląda obrona, gdy ktoś zostaje oskarżony o tego rodzaju przestępstwo. Tekst dotyczy stanu prawnego w Polsce.
Czym jest infrastruktura krytyczna w polskim prawie
Pojęcie infrastruktury krytycznej definiuje ustawa z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym. Są to systemy oraz wchodzące w ich skład obiekty, urządzenia i instalacje kluczowe dla bezpieczeństwa państwa i obywateli — m.in. systemy zaopatrzenia w energię, paliwa, wodę, żywność, łączności, sieci teleinformatyczne, systemy finansowe, ochrony zdrowia, transportowe oraz ratownicze. Ochronę tych systemów w warstwie cyfrowej uzupełnia ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, która nakłada obowiązki na tzw. operatorów usług kluczowych i dostawców usług cyfrowych. Zrozumienie tej definicji ma znaczenie praktyczne: atak na zwykłą stronę internetową firmy to inna sprawa niż atak na system sterowania przepompownią wody — choć oba mogą wypełniać znamiona tych samych przepisów Kodeksu karnego, to drugi wiąże się z dużo wyższym ciężarem gatunkowym i ryzykiem surowszej kary.
Karalne czyny — art. 267-269b Kodeksu karnego
Trzon odpowiedzialności karnej za cyberataki tworzą przepisy Rozdziału XXXIII KK. Nieuprawniony dostęp do informacji (tzw. hacking, art. 267 § 1 KK) — uzyskanie dostępu do informacji nieprzeznaczonej dla sprawcy przez przełamanie lub ominięcie zabezpieczeń — zagrożony jest grzywną, karą ograniczenia wolności albo pozbawienia wolności do lat 2. Naruszenie integralności danych (art. 268 i 268a KK) oraz niszczenie, uszkadzanie lub zmiana danych zagrożone jest karą do 3 lat. Szczególnie istotny przy atakach na infrastrukturę jest art. 269 KK (sabotaż komputerowy): kto niszczy, uszkadza, usuwa lub zmienia dane informatyczne o szczególnym znaczeniu dla obronności, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej albo zakłóca lub uniemożliwia automatyczne przetwarzanie takich danych, podlega karze pozbawienia wolności od 6 miesięcy do lat 8. Art. 269a KK penalizuje zakłócanie pracy systemu lub sieci (np. atak DDoS) — karą od 3 miesięcy do 5 lat, a art. 269b KK — wytwarzanie i udostępnianie tzw. narzędzi hakerskich oraz haseł i kodów dostępu.
Kiedy atak na infrastrukturę zaostrza odpowiedzialność
Cyberatak rzadko jest jednym czynem — zwykle realizuje kilka znamion naraz. Włamanie połączone z kradzieżą danych, ich zniszczeniem i żądaniem okupu może być kwalifikowane łącznie z art. 267, 268a, 269a KK, a przy danych o szczególnym znaczeniu — z art. 269 KK. Jeśli celem jest wymuszenie zapłaty (ransomware), w grę wchodzi dodatkowo wymuszenie rozbójnicze (art. 282 KK), zagrożone karą od roku do 10 lat. Gdy atak godzi w bezpieczeństwo państwa lub ma charakter dywersji wymierzonej w infrastrukturę o znaczeniu strategicznym, możliwa jest kwalifikacja z przepisów o przestępstwach przeciwko Rzeczypospolitej, a nawet o charakterze terrorystycznym (art. 115 § 20 KK), co znacząco podnosi zagrożenie karą. Działanie w zorganizowanej grupie przestępczej (art. 258 KK) jest osobnym przestępstwem i obciąża wymiar kary. Ta kumulacja kwalifikacji to powód, dla którego sprawy cyberataków na infrastrukturę krytyczną należą do najpoważniejszych spraw karnych dotyczących informatyki.
Obowiązki operatorów — ustawa o KSC, NIS2 i RODO
Druga strona medalu to obowiązki podmiotów zarządzających infrastrukturą. Ustawa o krajowym systemie cyberbezpieczeństwa nakłada na operatorów usług kluczowych obowiązek wdrożenia adekwatnych środków technicznych i organizacyjnych, szacowania ryzyka, obsługi i zgłaszania incydentów do właściwego zespołu CSIRT (CSIRT GOV, CSIRT MON lub CSIRT NASK) — co do zasady niezwłocznie, nie później niż w ciągu 24 godzin od wykrycia poważnego incydentu. Kierunek zaostrzenia wyznacza unijna dyrektywa NIS2 (2022/2555), rozszerzająca krąg podmiotów objętych obowiązkami i przewidująca dotkliwe kary administracyjne za ich naruszenie; jest ona wdrażana do prawa polskiego. Jeżeli incydent obejmuje dane osobowe, równolegle uruchamiają się obowiązki z RODO: zgłoszenie naruszenia do Prezesa UODO w ciągu 72 godzin (art. 33 RODO) i — gdy ryzyko jest wysokie — zawiadomienie osób, których dane dotyczą (art. 34 RODO). Za naruszenia RODO grożą kary do 20 mln euro lub 4% rocznego światowego obrotu (art. 83 RODO).
Rola prawnika po incydencie i przed organami ścigania
Po wykryciu ataku liczą się pierwsze godziny — i decyzje podjęte pod presją bywają błędne. Prawnik pomaga uporządkować trzy równoległe ścieżki. Po pierwsze, obowiązki zgłoszeniowe: do CSIRT (ustawa o KSC) oraz do Prezesa UODO (RODO), z zachowaniem ustawowych terminów. Po drugie, zawiadomienie o podejrzeniu popełnienia przestępstwa i współpraca z policją lub prokuraturą — w tym właściwe zabezpieczenie dowodów cyfrowych (logów, obrazów dysków) tak, by zachowały wartość dowodową. Po trzecie, ograniczenie ryzyka odpowiedzialności samego podmiotu: dokumentowanie, że wdrożono wymagane środki bezpieczeństwa, pozwala bronić się przed zarzutem zaniedbania i przed roszczeniami poszkodowanych. Dla osoby oskarżonej o sprawstwo prawnik weryfikuje legalność czynności (przeszukania, zatrzymania danych), prawidłowość opinii biegłych informatyków i to, czy zgromadzony materiał rzeczywiście dowodzi sprawstwa, czy jedynie powiązania adresu IP.
Linie obrony w sprawach o cyberataki
Obrona w sprawach informatycznych jest specyficzna, bo opiera się na dowodach cyfrowych, które łatwo podważyć. Pierwsza linia to kwestionowanie atrybucji: sam adres IP, konto czy urządzenie nie dowodzą, kto fizycznie wykonał czynność — komputer mógł być przejęty (botnet), sieć współdzielona, a logi niekompletne. Druga to legalność i kompletność zabezpieczenia dowodów — naruszenie procedur przy kopiowaniu danych może podważyć ich wartość dowodową. Trzecia to znamiona przestępstwa: czy faktycznie doszło do przełamania zabezpieczeń (art. 267 KK), czy dane miały szczególne znaczenie w rozumieniu art. 269 KK, czy zakłócenie było istotne. Czwarta to strona podmiotowa — odróżnienie umyślnego ataku od działań testera bezpieczeństwa działającego za zgodą (legalny pentest) albo badacza zgłaszającego podatność. Praktycznie: jako podejrzany masz prawo odmówić wyjaśnień (art. 175 KPK), nie powinieneś samodzielnie tłumaczyć się przy zabezpieczonym sprzęcie i jak najszybciej powinieneś skonsultować się z obrońcą znającym specyfikę dowodu elektronicznego.
Najczęstsze pytania
Jakie kary grożą za cyberatak na infrastrukturę krytyczną?
Zależnie od kwalifikacji. Za nieuprawniony dostęp (art. 267 KK) grozi do 2 lat, za sabotaż komputerowy danych o szczególnym znaczeniu (art. 269 KK) od 6 miesięcy do 8 lat, za zakłócanie pracy systemu, np. atak DDoS (art. 269a KK) od 3 miesięcy do 5 lat. Przy żądaniu okupu dochodzi wymuszenie rozbójnicze (art. 282 KK) — od roku do 10 lat.
Czym jest infrastruktura krytyczna w polskim prawie?
To systemy i obiekty kluczowe dla bezpieczeństwa państwa i obywateli — energetyka, woda, paliwa, łączność, finanse, ochrona zdrowia, transport — zdefiniowane w ustawie z 26 kwietnia 2007 r. o zarządzaniu kryzysowym. Ich warstwę cyfrową chroni dodatkowo ustawa o krajowym systemie cyberbezpieczeństwa z 2018 r.
Czy firma ma obowiązek zgłosić cyberatak?
Tak. Operatorzy usług kluczowych mają obowiązek zgłaszania poważnych incydentów do właściwego CSIRT (CSIRT GOV, MON lub NASK), co do zasady w ciągu 24 godzin od wykrycia (ustawa o KSC). Jeśli incydent dotyczy danych osobowych, równolegle trzeba zgłosić naruszenie do Prezesa UODO w ciągu 72 godzin (art. 33 RODO).
Co zrobić, gdy zostanę oskarżony o cyberprzestępstwo?
Nie składaj wyjaśnień bez konsultacji — masz prawo odmówić wyjaśnień (art. 175 KPK). Nie udostępniaj dobrowolnie haseł ani nie loguj się na żądanie przy zabezpieczonym sprzęcie bez porady prawnej. Jak najszybciej skontaktuj się z obrońcą znającym dowód elektroniczny; w sprawach informatycznych kluczowe są atrybucja czynu i legalność zabezpieczenia dowodów.
Czy sam adres IP wystarczy do skazania?
Co do zasady nie. Adres IP wskazuje urządzenie lub łącze, a nie konkretną osobę — komputer mógł być przejęty, a łącze współdzielone. Sąd ocenia całość materiału dowodowego. Podważenie atrybucji (kto faktycznie wykonał czynność) jest jedną z głównych linii obrony w sprawach o cyberprzestępstwa.
Czy legalny test bezpieczeństwa może być przestępstwem?
Nie, jeśli odbywa się za zgodą uprawnionego i w jej granicach (np. pentest na podstawie umowy). Działanie bez zgody albo wykraczające poza ustalony zakres może wypełnić znamiona z art. 267 lub 269a KK. Dlatego zakres testu, zgoda i jej udokumentowanie mają kluczowe znaczenie dla odpowiedzialności.
Powiązane poradniki
- Dystrybucja złośliwego oprogramowania (art. 269b KK) – odpowiedzialność karna i obrona
- Przestępstwa przeciwko ochronie informacji (rozdz. XXXIII KK) – adwokat i obrona
- Naruszenie integralności danych elektronicznych - przestępstwa z art. 267-269b k.k. i rola adwokata
- Cyberatak na infrastrukturę krytyczną – obowiązki i odpowiedzialność prawna w Polsce
Podstawa prawna i źródła
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę