Cyberataki na infrastrukturę krytyczną — odpowiedzialność prawna w Polsce
Prawo karne · 1 min czytania · Redakcja zaufanyprawnik.pl
Cyberatak na systemy zarządzające energią, wodą, transportem czy łącznością może oznaczać zarówno odpowiedzialność karną sprawcy, jak i obowiązki po stronie zaatakowanego podmiotu. W polskim prawie nie ma jednego przepisu o "cyberataku na infrastrukturę krytyczną"; odpowiedzialność wynika z kilku artykułów Kodeksu karnego oraz z przepisów o cyberbezpieczeństwie i ochronie danych.
Przestępstwa komputerowe w Kodeksie karnym
Najważniejsze typy czynów to: nieuprawniony dostęp do systemu lub informacji (art. 267 KK), niszczenie, uszkadzanie lub zmiana danych informatycznych (art. 268 i 268a KK), naruszenie danych o szczególnym znaczeniu dla obronności, bezpieczeństwa lub funkcjonowania administracji (art. 269 KK), zakłócanie pracy systemu lub sieci, np. atak typu DDoS (art. 269a KK), oraz wytwarzanie, pozyskiwanie czy udostępnianie tzw. narzędzi hakerskich i danych dostępowych (art. 269b KK). Kary zależą od typu czynu — sięgają kilku lat pozbawienia wolności, a w przypadku art. 269 KK są surowsze ze względu na rangę chronionych danych.
Obowiązki podmiotu po incydencie
Polska ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (wdrażająca unijną dyrektywę NIS, sukcesywnie aktualizowaną w kierunku NIS2) nakłada na operatorów usług kluczowych obowiązki zarządzania ryzykiem oraz zgłaszania poważnych incydentów do właściwego CSIRT. Jeżeli incydent wiąże się z naruszeniem ochrony danych osobowych, zastosowanie ma RODO — w tym obowiązek zgłoszenia naruszenia do Prezesa UODO co do zasady w ciągu 72 godzin oraz, w określonych przypadkach, zawiadomienia osób, których dane dotyczą. Zaniechanie tych obowiązków rodzi własną odpowiedzialność administracyjną, niezależnie od odpowiedzialności sprawcy ataku.
Rola prawnika — po stronie ofiary i obwinionego
Podmiot zaatakowany potrzebuje wsparcia przy zgłoszeniu zawiadomienia o przestępstwie, zabezpieczeniu dowodów cyfrowych, wykonaniu obowiązków notyfikacyjnych (CSIRT, UODO) oraz ograniczeniu odpowiedzialności wobec klientów i kontrahentów. Z kolei osoba, której postawiono zarzuty, korzysta z obrony skupionej na ustaleniu sprawstwa, zamiaru oraz prawidłowości zabezpieczenia dowodów elektronicznych — w sprawach cyfrowych szczególnie podatnych na błędy proceduralne. Każdy przypadek wymaga indywidualnej analizy i nie zastępuje konsultacji z prawnikiem oraz specjalistą ds. bezpieczeństwa IT.
Najczęstsze pytania
Jakie przepisy w Polsce dotyczą cyberataków?
Przede wszystkim art. 267–269b Kodeksu karnego (nieuprawniony dostęp, niszczenie danych, zakłócanie systemów, narzędzia hakerskie) oraz ustawa o krajowym systemie cyberbezpieczeństwa i RODO. Amerykański Computer Fraud and Abuse Act nie ma w Polsce zastosowania.
Czy po cyberataku trzeba zgłosić incydent?
Operatorzy usług kluczowych mają obowiązek zgłaszania poważnych incydentów do właściwego CSIRT na podstawie ustawy o krajowym systemie cyberbezpieczeństwa. Jeśli doszło do naruszenia danych osobowych, należy też zgłosić je do Prezesa UODO, co do zasady w 72 godziny.
Co grozi za atak na system informatyczny?
W zależności od czynu — kara pozbawienia wolności na podstawie art. 267–269b KK. Najsurowiej traktowane jest naruszenie danych o szczególnym znaczeniu dla obronności i bezpieczeństwa państwa (art. 269 KK). Karze podlega też samo udostępnianie narzędzi hakerskich.
Powiązane poradniki
Podstawa prawna i źródła
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Zgłoś sprawę