Przestępstwa przeciwko bezpieczeństwu infrastruktury przemysłowej – sabotaż, cyberataki i odpowiedzialność prawna
Prawo karne · 5 min czytania · Redakcja zaufanyprawnik.pl
Infrastruktura przemysłowa – zakłady produkcyjne, sieci energetyczne, instalacje przesyłowe, systemy sterowania (OT/SCADA) – jest dziś celem zarówno klasycznego sabotażu i wandalizmu, jak i ataków cybernetycznych oraz szpiegostwa gospodarczego. W polskim porządku prawnym czyny te nie są ujęte w jednym „rozdziale”, lecz rozproszone między Kodeksem karnym, ustawą o zwalczaniu nieuczciwej konkurencji oraz przepisami administracyjnymi o cyberbezpieczeństwie. Niżej wyjaśniamy, jakie zachowania są karalne, jakie sankcje grożą sprawcom, jakie obowiązki ciążą na operatorach infrastruktury oraz jak wygląda rola kancelarii po stronie pokrzywdzonego przedsiębiorstwa i po stronie osoby oskarżonej. Tekst dotyczy wyłącznie prawa polskiego i unijnego obowiązującego w Polsce.
Jakie czyny godzą w bezpieczeństwo infrastruktury przemysłowej
W praktyce mamy do czynienia z kilkoma kategoriami. Sabotaż i celowe niszczenie mienia to przede wszystkim zniszczenie lub uszkodzenie cudzej rzeczy (art. 288 Kodeksu karnego) oraz sprowadzenie zdarzeń powszechnie niebezpiecznych, np. pożaru, eksplozji, awarii energetycznej zagrażającej życiu wielu osób (art. 163 i art. 165 KK). Sprowadzenie bezpośredniego niebezpieczeństwa takiego zdarzenia karze art. 164 KK. Ataki na systemy teleinformatyczne sterujące produkcją to przestępstwa „komputerowe” z Rozdziału XXXIII KK: nieuprawniony dostęp do informacji (art. 267 KK), niszczenie danych informatycznych (art. 268a KK), sabotaż komputerowy danych o znaczeniu dla bezpieczeństwa (art. 269 KK) oraz zakłócanie pracy systemu lub sieci, np. atak DDoS (art. 269a KK). Osobną kategorią jest szpiegostwo gospodarcze, czyli bezprawne pozyskanie cudzej tajemnicy przedsiębiorstwa.
Sabotaż i zdarzenia powszechnie niebezpieczne – jakie kary
Za zniszczenie lub uszkodzenie mienia (art. 288 § 1 KK) grozi kara pozbawienia wolności od 3 miesięcy do 5 lat, a w wypadku mniejszej wagi – grzywna, ograniczenie wolności albo pozbawienie wolności do roku. Znacznie surowsze są przepisy o zdarzeniach powszechnie niebezpiecznych: sprowadzenie pożaru, eksplozji albo katastrofy energetycznej zagrażającej życiu lub zdrowiu wielu osób (art. 163 KK) zagrożone jest karą od roku do 10 lat pozbawienia wolności, a jeżeli następstwem jest śmierć lub ciężki uszczerbek na zdrowiu wielu osób – od 2 do 12 lat. Sprowadzenie zagrożenia dla mienia w wielkich rozmiarach (art. 165 KK) zagrożone jest karą od 6 miesięcy do 8 lat. Czyny te są zwykle umyślne, ale Kodeks penalizuje też ich nieumyślne odmiany (łagodniej). Krok praktyczny dla zakładu: po incydencie należy natychmiast zabezpieczyć miejsce zdarzenia i zapisy monitoringu, ponieważ od nich zależy ustalenie, czy doszło do sabotażu, czy do awarii technicznej.
Cyberataki na systemy sterowania (OT/SCADA) – kwalifikacja i sankcje
Ataki na przemysłowe systemy informatyczne kwalifikuje się zwykle z Rozdziału XXXIII KK. Za nieuprawniony dostęp do informacji (art. 267 KK) grozi grzywna, ograniczenie wolności albo pozbawienie wolności do lat 2. Za niszczenie, uszkadzanie lub utrudnianie dostępu do danych informatycznych (art. 268a KK) – do 3 lat. Najsurowiej traktowany jest sabotaż komputerowy danych o szczególnym znaczeniu dla obronności, bezpieczeństwa lub funkcjonowania administracji i gospodarki (art. 269 KK) – od 6 miesięcy do 8 lat pozbawienia wolności. Zakłócanie pracy systemu lub sieci, np. atak DDoS na sterowanie produkcją (art. 269a KK), zagrożone jest karą do 5 lat. Karalne jest też wytwarzanie i udostępnianie tzw. narzędzi hakerskich służących do tych czynów (art. 269b KK). Warto pamiętać, że art. 267 KK jest w wielu wariantach ścigany na wniosek pokrzywdzonego – bez zawiadomienia firmy organy zwykle nie wszczną sprawy.
Szpiegostwo gospodarcze i ochrona tajemnicy przedsiębiorstwa
Bezprawne pozyskanie, ujawnienie lub wykorzystanie cudzej tajemnicy przedsiębiorstwa jest przestępstwem z art. 23 ustawy z 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (uznk) – grozi za nie grzywna, ograniczenie wolności albo pozbawienie wolności do lat 5, w zależności od typu czynu. Definicję tajemnicy przedsiębiorstwa zawiera art. 11 uznk: chodzi o informacje techniczne, technologiczne, organizacyjne lub handlowe mające wartość gospodarczą, które nie są powszechnie znane i co do których podjęto rozsądne działania w celu zachowania poufności. To ostatnie jest kluczowe: jeśli firma nie wdrożyła realnych zabezpieczeń (umowy o poufności, kontrola dostępu, oznaczenie dokumentów), sąd może uznać, że informacja nie była tajemnicą przedsiębiorstwa. Niezależnie od ścieżki karnej, uprawniony może dochodzić roszczeń cywilnych z art. 18 uznk (zaniechanie, usunięcie skutków, odszkodowanie, wydanie korzyści). W sprawach dotyczących bezpieczeństwa państwa zastosowanie ma natomiast szpiegostwo z art. 130 KK, ścigane z urzędu i znacznie surowiej.
Obowiązki operatorów: ustawa o krajowym systemie cyberbezpieczeństwa i NIS2
Operatorzy infrastruktury, zwłaszcza w energetyce, transporcie czy zaopatrzeniu w wodę, podlegają obowiązkom administracyjnym wynikającym z ustawy z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (uKSC), wdrażającej unijną dyrektywę NIS. Operatorzy usług kluczowych muszą m.in. wdrożyć system zarządzania bezpieczeństwem, wyznaczyć osoby kontaktowe oraz zgłaszać poważne incydenty do właściwego CSIRT, co do zasady niezwłocznie, nie później niż w ciągu 24 godzin od wykrycia. Za niewykonanie tych obowiązków grożą administracyjne kary pieniężne nakładane decyzją organu. Dyrektywa NIS2 (UE 2022/2555) rozszerza ten reżim na znacznie szerszy krąg podmiotów i zaostrza sankcje; jej wdrożenie do prawa polskiego następuje przez nowelizację uKSC. Uwaga: to odpowiedzialność administracyjna firmy za niezapewnienie bezpieczeństwa, odrębna od odpowiedzialności karnej sprawcy ataku.
Rola kancelarii po stronie pokrzywdzonego przedsiębiorstwa
Pełnomocnik firmy działa dwutorowo: zabezpiecza dowody i prowadzi postępowanie. Pomaga prawidłowo udokumentować incydent (logi, zapisy monitoringu, korespondencję), sformułować zawiadomienie o przestępstwie oraz – tam, gdzie czyn jest ścigany na wniosek (np. art. 267 KK) – złożyć wniosek o ściganie. W toku sprawy reprezentuje pokrzywdzonego, także jako oskarżyciel posiłkowy obok prokuratora. Równolegle prowadzi ścieżkę cywilną: roszczenia odszkodowawcze z art. 415 Kodeksu cywilnego, roszczenia z art. 18 uznk przy naruszeniu tajemnicy przedsiębiorstwa, a w sprawie karnej wniosek o naprawienie szkody na podstawie art. 46 KK. Doradza też w wymiarze prewencyjnym: opracowanie umów o poufności i o zakazie konkurencji, polityk bezpieczeństwa, klauzul w umowach z dostawcami IT oraz planu reakcji na incydent zgodnego z uKSC. Krok praktyczny: po wykryciu naruszenia nie kontaktuj się samodzielnie z podejrzanym pracownikiem przed konsultacją z prawnikiem – grozi to zatarciem śladów.
Rola obrońcy po stronie osoby oskarżonej
Obrona w tych sprawach opiera się na precyzyjnej analizie dowodów, najczęściej cyfrowych i opinii biegłych z informatyki śledczej. Obrońca bada, czy dostęp był rzeczywiście „nieuprawniony”, czy doszło do przełamania zabezpieczeń, czy materiał dowodowy pozyskano legalnie i czy zachowano łańcuch dowodowy. Częste linie obrony to brak zamiaru (czyny z Rozdziału XXXIII są umyślne), błędne przypisanie czynu konkretnej osobie wyłącznie na podstawie adresu IP, działanie w granicach uprawnień (administrator, audytor z umową na testy penetracyjne) oraz kwestionowanie wysokości szacowanej szkody, co wpływa na kwalifikację i wymiar kary. W sprawach o sabotaż fizyczny istotne jest odróżnienie umyślnego działania od awarii technicznej lub błędu eksploatacyjnego. Krok praktyczny dla oskarżonego: nie składaj wyjaśnień i nie usuwaj danych z urządzeń bez konsultacji z obrońcą – masz prawo do milczenia i do obrony.
Jak przygotować się do postępowania
Postępowania dotyczące infrastruktury przemysłowej bywają długie, bo wymagają opinii biegłych z zakresu informatyki, energetyki czy bezpieczeństwa technicznego, a same śledztwa mogą trwać wiele miesięcy. Niezależnie od tego, po której stronie się jest, kluczowe jest jak najwcześniejsze zgromadzenie dokumentacji: umów, regulaminów, polityk bezpieczeństwa, logów systemowych, zapisów dostępu i korespondencji. Pokrzywdzony powinien działać szybko, by ślady cyfrowe nie uległy nadpisaniu; oskarżony – by zabezpieczyć dowody przemawiające na jego korzyść, zanim utrwalą się niekorzystne ustalenia. W obu przypadkach wczesny kontakt z kancelarią pozwala ukształtować strategię procesową i ocenić, czy obok sprawy karnej zasadne jest prowadzenie postępowania cywilnego lub administracyjnego.
Najczęstsze pytania
Jaka kara grozi za sabotaż instalacji przemysłowej w Polsce?
Zależy od kwalifikacji. Za zniszczenie lub uszkodzenie mienia (art. 288 KK) grozi od 3 miesięcy do 5 lat pozbawienia wolności. Jeśli czyn sprowadza pożar, eksplozję lub katastrofę energetyczną zagrażającą życiu wielu osób (art. 163 KK), kara wynosi od roku do 10 lat, a przy skutku śmiertelnym – do 12 lat.
Jak kwalifikowany jest cyberatak na system sterowania produkcją?
Najczęściej z Rozdziału XXXIII Kodeksu karnego: nieuprawniony dostęp (art. 267 KK, do 2 lat), niszczenie danych (art. 268a KK, do 3 lat), sabotaż komputerowy danych o znaczeniu dla bezpieczeństwa (art. 269 KK, od 6 miesięcy do 8 lat) lub zakłócanie pracy systemu, np. atak DDoS (art. 269a KK, do 5 lat).
Czy kradzież tajemnicy firmy przez pracownika jest przestępstwem?
Tak. Bezprawne ujawnienie lub wykorzystanie tajemnicy przedsiębiorstwa to przestępstwo z art. 23 ustawy o zwalczaniu nieuczciwej konkurencji, zagrożone karą do 5 lat pozbawienia wolności. Warunkiem ochrony jest, by firma realnie zabezpieczyła informację (umowy o poufności, kontrola dostępu). Równolegle przysługują roszczenia cywilne z art. 18 tej ustawy.
Jakie obowiązki ma operator infrastruktury po wykryciu incydentu?
Operatorzy usług kluczowych podlegają ustawie o krajowym systemie cyberbezpieczeństwa i muszą zgłaszać poważne incydenty do właściwego CSIRT, co do zasady niezwłocznie, w ciągu 24 godzin od wykrycia. Za zaniechanie grożą administracyjne kary pieniężne. Dyrektywa NIS2 rozszerza te obowiązki na szerszy krąg podmiotów.
Czy sam adres IP wystarczy, by skazać sprawcę cyberataku?
Nie. Adres IP wskazuje urządzenie lub łącze, a nie konkretną osobę. Do skazania potrzebne są dodatkowe dowody łączące oskarżonego z czynem. Kwestionowanie przypisania czynu wyłącznie na podstawie IP to częsta i skuteczna linia obrony budowana przez adwokata.
Czy firma może odpowiadać administracyjnie za atak, którego padła ofiarą?
Tak, ale za co innego niż sprawca. Sprawca odpowiada karnie za atak, a operator usługi kluczowej może odpowiadać administracyjnie, jeśli nie wdrożył wymaganych zabezpieczeń lub nie zgłosił incydentu zgodnie z ustawą o krajowym systemie cyberbezpieczeństwa. To dwa odrębne reżimy odpowiedzialności.
Powiązane poradniki
- Nielegalne pozyskanie danych z systemu bezpieczeństwa chemicznego — odpowiedzialność z art. 267-269b KK i obrona
- Przestępstwa przeciwko bezpieczeństwu infrastruktury bankowej - kwestie prawne
- Cyberatak na infrastrukturę krytyczną – obowiązki i odpowiedzialność prawna w Polsce
- Cyberterroryzm i cyberprzestępczość - jaką pomoc prawną można uzyskać?
Podstawa prawna i źródła
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę