Cyberterroryzm i cyberprzestępczość - jaką pomoc prawną można uzyskać?

Cyberprzestępczość obejmuje czyny od oszustw internetowych i włamań do systemów informatycznych po ataki paraliżujące infrastrukturę krytyczną. Ich najpoważniejsza postać bywa określana jako cyberterroryzm - gdy atak ma na celu wywarcie przymusu na organach państwa, poważne zastraszenie wielu osób albo wywołanie poważnych zakłóceń w ustroju lub gospodarce. W polskim systemie prawnym takie zachowania są ścigane przede wszystkim na podstawie Kodeksu karnego, a obowiązki organizacji w zakresie bezpieczeństwa i ochrony danych wynikają m.in. z RODO oraz z ustawy o krajowym systemie cyberbezpieczeństwa. Poniższy materiał ma charakter wyłącznie informacyjny i nie stanowi porady prawnej - ocena konkretnej sprawy wymaga indywidualnej analizy przez prawnika.

Przestępstwa komputerowe w Kodeksie karnym

Kodeks karny penalizuje szereg czynów wymierzonych w dane i systemy informatyczne, zebranych głównie w rozdziale XXXIII (przestępstwa przeciwko ochronie informacji). Należą do nich m.in. bezprawne uzyskanie dostępu do informacji lub do całości albo części systemu informatycznego (art. 267 k.k.), niszczenie, uszkadzanie, usuwanie lub zmiana zapisu istotnej informacji oraz danych informatycznych (art. 268 i art. 268a k.k.), zakłócanie pracy systemu lub sieci teleinformatycznej (art. 269a k.k.) oraz wytwarzanie, pozyskiwanie i udostępnianie tzw. narzędzi hakerskich, haseł i kodów dostępu (art. 269b k.k.). Zagrożenie karą jest zróżnicowane - od grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2 (art. 267 k.k.), przez karę do lat 3, aż po pozbawienie wolności od 3 miesięcy do lat 5 (m.in. art. 269a k.k. czy w typach kwalifikowanych art. 268 i 268a k.k.). Warto pamiętać, że ściganie niektórych z tych czynów (np. art. 268a k.k.) następuje na wniosek pokrzywdzonego. Działania o charakterze terrorystycznym wymierzone w systemy informatyczne mogą być dodatkowo kwalifikowane z uwzględnieniem definicji przestępstwa o charakterze terrorystycznym z art. 115 § 20 k.k. - obejmuje ona czyny zagrożone karą pozbawienia wolności, której górna granica wynosi co najmniej 5 lat, popełnione w jednym z określonych w przepisie celów (m.in. zmuszenie organu władzy do określonego działania). Pokrzywdzony przestępstwem komputerowym korzysta w postępowaniu karnym z praw pokrzywdzonego, w tym z możliwości złożenia wniosku o naprawienie szkody.

Obowiązki w zakresie ochrony danych - RODO

Jeśli atak prowadzi do naruszenia ochrony danych osobowych, na administratorze danych ciążą obowiązki wynikające z RODO. Naruszenie należy zgłosić Prezesowi Urzędu Ochrony Danych Osobowych bez zbędnej zwłoki - w miarę możliwości nie później niż w terminie 72 godzin po jego stwierdzeniu - chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych (art. 33 RODO). Gdy naruszenie może powodować wysokie ryzyko dla praw i wolności osób, których dane dotyczą, administrator musi bez zbędnej zwłoki zawiadomić także te osoby (art. 34 RODO). Niezależnie od obowiązków zgłoszeniowych administrator powinien udokumentować naruszenie oraz podjęte działania zaradcze. Za naruszenia przepisów RODO grożą administracyjne kary pieniężne, które w najpoważniejszych przypadkach mogą sięgać 20 mln euro, a w przypadku przedsiębiorstwa - do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym stosuje się kwotę wyższą (art. 83 RODO). Wysokość konkretnej kary zależy od okoliczności sprawy i jest ustalana indywidualnie przez organ nadzorczy.

Bezpieczeństwo systemów - krajowy system cyberbezpieczeństwa i NIS2

Odrębną warstwę obowiązków - obok odpowiedzialności karnej sprawcy i obowiązków administratora danych - tworzy ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. Reguluje ona organizację krajowego systemu cyberbezpieczeństwa oraz zadania zespołów reagowania na incydenty (CSIRT poziomu krajowego: CSIRT GOV przy Szefie ABW, CSIRT MON oraz CSIRT NASK). Ustawa została znowelizowana w celu wdrożenia do polskiego porządku prawnego dyrektywy NIS2. Po wejściu w życie nowelizacji dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych ustępuje miejsca szerszym kategoriom: podmiotom kluczowym i podmiotom ważnym, obejmującym kolejne sektory gospodarki (m.in. energetykę, ochronę zdrowia, bankowość, infrastrukturę cyfrową, produkcję). Podmioty te są zobowiązane m.in. do wdrożenia systemu zarządzania bezpieczeństwem informacji, zarządzania ryzykiem, dbałości o bezpieczeństwo łańcucha dostaw ICT oraz do zgłaszania poważnych incydentów do właściwego CSIRT w terminach określonych w ustawie. Z wdrożeniem NIS2 wiążą się przejściowe terminy dostosowawcze (m.in. obowiązek autoidentyfikacji i rejestracji), a za niewykonanie obowiązków przewidziano kary pieniężne. Ponieważ przepisy są stosunkowo nowe, dokładny zakres podmiotów objętych regulacją, terminy zgłoszeń oraz harmonogram obowiązków należy każdorazowo zweryfikować w aktualnym tekście ustawy.

Kiedy warto skorzystać z pomocy prawnej

Sprawy dotyczące cyberprzestępczości bywają złożone - po stronie pokrzywdzonego dotyczą zabezpieczenia dowodów i dochodzenia roszczeń, a po stronie organizacji - prawidłowego wywiązania się z obowiązków wobec PUODO oraz organów właściwych w sprawach cyberbezpieczeństwa, a w niektórych sytuacjach także obrony przed zarzutami karnymi. Pomoc prawnika może obejmować m.in. ocenę kwalifikacji prawnej zdarzenia, przygotowanie zawiadomienia o przestępstwie, reprezentację pokrzywdzonego lub obwinionego w postępowaniu karnym, a także doradztwo w zakresie obowiązków zgłoszeniowych i dokumentacyjnych. Niniejszy artykuł nie zastępuje indywidualnej porady prawnej.