Adwokat od przestępstw przeciwko infrastrukturze krytycznej – co robi i kiedy pomaga
Prawo karne · 4 min czytania · Redakcja zaufanyprawnik.pl
Infrastruktura krytyczna to systemy, bez których nie funkcjonuje państwo i codzienne życie obywateli: zaopatrzenie w energię, paliwa, wodę, sieci teleinformatyczne, transport, ochrona zdrowia czy systemy finansowe. Zamachy na te systemy – fizyczny sabotaż, uszkodzenie urządzeń, cyberatak na operatora usługi kluczowej – to w polskim prawie poważne przestępstwa, zagrożone wieloletnim pozbawieniem wolności. Sprawami tego rodzaju zajmują się adwokaci specjalizujący się w prawie karnym, cyberbezpieczeństwie i odpowiedzialności operatorów. Bronią osób oskarżonych, reprezentują pokrzywdzone firmy, a także doradzają przedsiębiorstwom w zakresie obowiązków zgodności (compliance). W tym artykule wyjaśniamy, jakie czyny są karalne, jakie kary za nie grożą i co konkretnie robi adwokat w tego typu sprawach – w realiach polskiego prawa.
Czym jest infrastruktura krytyczna w polskim prawie
Pojęcie infrastruktury krytycznej definiuje ustawa z 26 kwietnia 2007 r. o zarządzaniu kryzysowym (art. 3 pkt 2). Są to systemy oraz wchodzące w ich skład powiązane ze sobą obiekty, w tym obiekty budowlane, urządzenia, instalacje i usługi kluczowe dla bezpieczeństwa państwa i jego obywateli oraz dla sprawnego funkcjonowania administracji publicznej, instytucji i przedsiębiorców. Ustawa wymienia systemy m.in.: zaopatrzenia w energię, surowce energetyczne i paliwa; łączności; sieci teleinformatycznych; finansowe; zaopatrzenia w żywność i wodę; ochrony zdrowia; transportowe; ratownicze; zapewniające ciągłość działania administracji publicznej oraz produkcji, składowania i stosowania substancji niebezpiecznych. Wykaz obiektów infrastruktury krytycznej prowadzi Rządowe Centrum Bezpieczeństwa. Równolegle obowiązki ochrony systemów teleinformatycznych nakłada ustawa o krajowym systemie cyberbezpieczeństwa, która wdraża unijną dyrektywę o bezpieczeństwie sieci i informacji.
Jakie czyny są przestępstwem przeciwko infrastrukturze krytycznej
Polski Kodeks karny penalizuje zamachy na infrastrukturę krytyczną na kilka sposobów, zależnie od charakteru działania. Najważniejsze to: zabranie, zniszczenie, uszkodzenie lub uczynienie niezdatnym do użytku elementu wchodzącego w skład sieci wodociągowej, kanalizacyjnej, ciepłowniczej, elektroenergetycznej, gazowej lub telekomunikacyjnej, jeżeli powoduje to zakłócenie działania całości lub części sieci (art. 254a KK); sprowadzenie niebezpieczeństwa powszechnego dla życia, zdrowia lub mienia w wielkich rozmiarach, np. przez zakłócenie dostaw energii czy wody (art. 165 KK); a w obszarze cyfrowym – niszczenie, uszkadzanie lub zmiana danych informatycznych o szczególnym znaczeniu dla bezpieczeństwa państwa (art. 269 KK) oraz zakłócanie pracy systemu informatycznego lub sieci teleinformatycznej (art. 269a KK). Gdy działanie ma charakter dywersji godzącej w bezpieczeństwo państwa, może wchodzić w grę odpowiedzialność za przestępstwa przeciwko Rzeczypospolitej Polskiej (rozdział XVII KK).
Jakie kary grożą za zamach na infrastrukturę krytyczną
Sankcje są surowe. Przestępstwo z art. 254a KK (uszkodzenie elementu sieci powodujące zakłócenie jej działania) zagrożone jest karą pozbawienia wolności od 6 miesięcy do 8 lat. Sprowadzenie niebezpieczeństwa powszechnego z art. 165 KK podlega karze od 6 miesięcy do 8 lat, a gdy następstwem jest śmierć człowieka lub ciężki uszczerbek na zdrowiu wielu osób – nawet do 12 lat. Sabotaż danych istotnych dla bezpieczeństwa państwa (art. 269 KK) jest zagrożony karą pozbawienia wolności od 6 miesięcy do 8 lat, a zakłócenie systemu informatycznego (art. 269a KK) – od 3 miesięcy do 5 lat. Działania o charakterze dywersji lub sabotażu godzące w obronność i bezpieczeństwo państwa mogą być zagrożone karą wieloletniego pozbawienia wolności, łącznie z karą 25 lat. Sąd może też orzec środki karne, w tym przepadek narzędzi i obowiązek naprawienia szkody.
Co robi obrońca osoby oskarżonej w takiej sprawie
Obrona w sprawach o przestępstwa przeciwko infrastrukturze krytycznej wymaga połączenia wiedzy prawnokarnej z rozumieniem techniki (sieci, systemów SCADA, logów, śladów cyfrowych). Adwokat-obrońca analizuje przede wszystkim, czy w ogóle wypełnione zostały znamiona zarzucanego czynu: czy doszło do rzeczywistego zakłócenia działania sieci (art. 254a KK), czy istniała umyślność, czy dane miały „szczególne znaczenie dla bezpieczeństwa państwa” (art. 269 KK). Typowe linie obrony to: kwestionowanie sprawstwa i powiązania oskarżonego z atakiem (analiza dowodów cyfrowych, adresów IP, łańcucha dowodowego), brak zamiaru i działanie nieumyślne, brak skutku w postaci zakłócenia, a także zarzuty proceduralne dotyczące legalności pozyskania dowodów. Obrońca dąży do zmiany kwalifikacji na łagodniejszą, umorzenia lub – gdy sprawstwo jest bezsporne – do nadzwyczajnego złagodzenia kary.
Reprezentacja operatora i firmy pokrzywdzonej
Adwokat działa też po stronie operatora usługi kluczowej lub przedsiębiorstwa, które padło ofiarą ataku. Pomaga prawidłowo udokumentować incydent i złożyć zawiadomienie o przestępstwie, reprezentuje pokrzywdzonego w postępowaniu przygotowawczym i przed sądem oraz dochodzi naprawienia szkody – w postępowaniu karnym (art. 46 KK) lub na drodze cywilnej (odszkodowanie z art. 415 Kodeksu cywilnego). Równie ważne jest wsparcie w obowiązkach raportowych: operatorzy usług kluczowych mają na podstawie ustawy o krajowym systemie cyberbezpieczeństwa obowiązek zgłaszania poważnych incydentów do właściwego CSIRT (m.in. CSIRT NASK, CSIRT GOV, CSIRT MON) w określonych terminach. Adwokat pomaga tak poprowadzić sprawę, by jednocześnie spełnić obowiązki regulacyjne i zabezpieczyć dowody na potrzeby ścigania sprawcy.
Doradztwo compliance – jak firma może uniknąć odpowiedzialności
Najlepszą obroną przed odpowiedzialnością jest zgodność z przepisami. Adwokat doradza operatorom infrastruktury krytycznej i operatorom usług kluczowych w zakresie obowiązków wynikających z ustawy o krajowym systemie cyberbezpieczeństwa oraz z planów ochrony infrastruktury krytycznej wymaganych przez ustawę o zarządzaniu kryzysowym. Obejmuje to: wdrożenie systemu zarządzania bezpieczeństwem i procedur szacowania ryzyka, ustanowienie struktur reagowania na incydenty, wyznaczenie osoby odpowiedzialnej za kontakt w sprawach cyberbezpieczeństwa, przeprowadzanie audytów oraz szkolenia personelu. Niedopełnienie tych obowiązków może skutkować karami pieniężnymi nakładanymi przez organy nadzoru, a w skrajnych przypadkach – odpowiedzialnością osób kierujących za niedbalstwo. Dobrze udokumentowana zgodność (należyta staranność) bywa kluczowym argumentem w razie późniejszego postępowania.
Jak wybrać adwokata i jak się przygotować do sprawy
Sprawy dotyczące infrastruktury krytycznej leżą na styku prawa karnego, prawa nowych technologii i regulacji bezpieczeństwa, dlatego warto wybrać prawnika z doświadczeniem w sprawach cyberprzestępczości i obsłudze podmiotów regulowanych. Przygotowując się – jako oskarżony lub jako pokrzywdzony – zgromadź całość dokumentacji: logi systemowe, raporty z incydentu, korespondencję z organami i CSIRT, umowy i wewnętrzne procedury bezpieczeństwa, a w sprawach fizycznych – protokoły oględzin i dokumentację techniczną uszkodzonych urządzeń. Im wcześniej skonsultujesz się z adwokatem, tym lepiej, bo wiele decyzji (sposób złożenia zawiadomienia, zabezpieczenie dowodów cyfrowych, treść oświadczeń wobec organów) ma trwałe skutki. Osoby o niskich dochodach mogą wnioskować o obrońcę lub pełnomocnika z urzędu.
Najczęstsze pytania
Jakie przepisy chronią infrastrukturę krytyczną w Polsce?
Definicję i obowiązki ochronne zawiera ustawa o zarządzaniu kryzysowym (art. 3 pkt 2 i przepisy o planach ochrony), a obowiązki w sferze cyfrowej – ustawa o krajowym systemie cyberbezpieczeństwa. Sankcje karne za zamachy na te systemy przewiduje Kodeks karny, m.in. art. 254a, 165, 269 i 269a.
Co grozi za uszkodzenie sieci energetycznej lub wodociągowej?
Zniszczenie lub uszkodzenie elementu sieci wodociągowej, kanalizacyjnej, ciepłowniczej, elektroenergetycznej, gazowej lub telekomunikacyjnej, jeśli zakłóca działanie sieci, to przestępstwo z art. 254a Kodeksu karnego zagrożone karą od 6 miesięcy do 8 lat pozbawienia wolności. W grę może też wejść art. 165 KK (niebezpieczeństwo powszechne).
Czy cyberatak na operatora usługi kluczowej to przestępstwo?
Tak. W zależności od charakteru ataku zastosowanie mają m.in. art. 269 KK (sabotaż danych o znaczeniu dla bezpieczeństwa państwa, do 8 lat) lub art. 269a KK (zakłócenie pracy systemu informatycznego, do 5 lat). Niezależnie operator ma obowiązek zgłosić poważny incydent do właściwego CSIRT.
Czy firma może odpowiadać za zaniedbanie bezpieczeństwa infrastruktury?
Tak. Operatorzy usług kluczowych mają obowiązki wynikające z ustawy o krajowym systemie cyberbezpieczeństwa (m.in. szacowanie ryzyka, zgłaszanie incydentów, audyty). Ich niedopełnienie grozi karami pieniężnymi od organu nadzoru, a osoby kierujące mogą odpowiadać za niedbalstwo, jeśli zaniechanie doprowadziło do szkody.
Gdzie zgłosić atak lub incydent dotyczący infrastruktury krytycznej?
Czyn o znamionach przestępstwa zgłasza się policji lub prokuraturze (zawiadomienie o przestępstwie). Incydenty cyberbezpieczeństwa operatorzy usług kluczowych zgłaszają do właściwego CSIRT (CSIRT NASK, CSIRT GOV lub CSIRT MON). Warto równolegle zabezpieczyć dowody i skonsultować się z adwokatem.
Powiązane poradniki
Podstawa prawna i źródła
- Ustawa z dnia 6 czerwca 1997 r. – Kodeks karny (art. 165, 254a, 269, 269a)
- Ustawa z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym (art. 3 pkt 2 – definicja infrastruktury krytycznej)
- Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa
- Rządowe Centrum Bezpieczeństwa – infrastruktura krytyczna i Narodowy Program Ochrony Infrastruktury Krytycznej
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę