Cyberatak na infrastrukturę krytyczną – obowiązki i odpowiedzialność prawna w Polsce

Cyberatak na infrastrukturę krytyczną – sieci energetyczne, wodociągi i kanalizację, szpitale, transport, systemy finansowe czy administrację publiczną – to zdarzenie o wymiarze nie tylko technicznym, lecz także prawnym. W Polsce nakładają się tu trzy reżimy: obowiązki podmiotów zarządzających taką infrastrukturą wynikają przede wszystkim z ustawy o krajowym systemie cyberbezpieczeństwa (KSC), wdrażającej unijne dyrektywy NIS i NIS2; sam czyn sprawcy jest ścigany na podstawie Kodeksu karnego; a jeśli incydent dotknął dane osobowe, dochodzą obowiązki z RODO. Poniżej porządkujemy, kto za co odpowiada oraz jakie sankcje grożą za zaniedbania i za sam atak. Tekst ma charakter informacyjny i nie zastępuje porady prawnej w konkretnej sprawie.

Ramy prawne ochrony infrastruktury krytycznej w Polsce

Podstawą jest ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. Została ona znowelizowana w celu wdrożenia dyrektywy NIS2 – nowelizację Sejm uchwalił w styczniu 2026 r., Prezydent podpisał ją 19 lutego 2026 r., a przepisy weszły w życie w kwietniu 2026 r. Nowelizacja istotnie poszerzyła zakres ustawy (do kilkunastu sektorów gospodarki, m.in. energetyka, transport, ochrona zdrowia, woda i ścieki, infrastruktura cyfrowa, usługi pocztowe, przestrzeń kosmiczna oraz produkcja i dystrybucja chemikaliów i żywności) i wprowadziła podział na podmioty kluczowe i podmioty ważne (w miejsce dawnych operatorów usług kluczowych i dostawców usług cyfrowych). Na podmioty objęte ustawą nałożono obowiązki: samoidentyfikację i rejestrację w systemie teleinformatycznym prowadzonym przez właściwy organ, szacowanie ryzyka, wdrożenie środków technicznych i organizacyjnych (system zarządzania bezpieczeństwem informacji), zarządzanie incydentami oraz ich zgłaszanie do właściwego zespołu CSIRT poziomu krajowego (CSIRT NASK, CSIRT GOV lub CSIRT MON). Według komunikatów Ministerstwa Cyfryzacji podmioty mają określone terminy na rejestrację oraz na dostosowanie się do wymogów po wejściu ustawy w życie – dlatego konkretne daty graniczne warto ustalać na bieżąco, bo zależą od momentu, w którym dany podmiot spełnił kryteria. Odrębną, choć pokrewną kategorią jest infrastruktura krytyczna w rozumieniu ustawy z 26 kwietnia 2007 r. o zarządzaniu kryzysowym. To systemy oraz powiązane z nimi obiekty (m.in. zaopatrzenie w energię, surowce energetyczne i paliwa, łączność, sieci teleinformatyczne, zaopatrzenie w wodę i żywność, ochrona zdrowia, transport, systemy finansowe), których ochronę koordynuje Rządowe Centrum Bezpieczeństwa, prowadzące – w trybie niejawnym – wykaz infrastruktury krytycznej. Te dwa reżimy (KSC i zarządzanie kryzysowe) mogą obejmować ten sam podmiot równolegle. Ponieważ zakres obowiązków zależy od kategorii podmiotu i sektora, należy go ustalać indywidualnie, najlepiej z prawnikiem lub specjalistą ds. zgodności.

Odpowiedzialność karna sprawcy ataku

Sam cyberatak wyczerpuje zwykle znamiona przestępstw z rozdziału XXXIII Kodeksu karnego (przestępstwa przeciwko ochronie informacji). Najważniejsze przepisy to: • art. 267 KK – bezprawne uzyskanie informacji, w tym nieuprawniony dostęp do całości lub części systemu informatycznego (tzw. hacking); zagrożenie: grzywna, ograniczenie wolności albo pozbawienie wolności do lat 2 (ściganie na wniosek pokrzywdzonego); • art. 268 i 268a KK – niszczenie, uszkadzanie, usuwanie, zmiana lub utrudnianie dostępu do danych (art. 268a KK: do 3 lat, a gdy czyn wyrządził znaczną szkodę majątkową – od 3 miesięcy do 5 lat); • art. 269 KK – sabotaż komputerowy wymierzony w dane o szczególnym znaczeniu m.in. dla obronności kraju, bezpieczeństwa w komunikacji czy funkcjonowania administracji rządowej; zagrożenie: pozbawienie wolności od 6 miesięcy do 8 lat; • art. 269a KK – istotne zakłócenie pracy systemu informatycznego, teleinformatycznego lub sieci (np. atak DDoS); zagrożenie: od 3 miesięcy do 5 lat; • art. 269b KK – wytwarzanie, pozyskiwanie, zbywanie lub udostępnianie narzędzi (urządzeń, programów, haseł, kodów dostępu) służących do popełnienia tych czynów; zagrożenie: od 3 miesięcy do 5 lat (z wyłączeniem działań służących wyłącznie zabezpieczeniu systemów). Atak ransomware łączy zwykle kilka z tych przepisów (np. art. 267, 268a i 269a KK) z wymuszeniem rozbójniczym z art. 282 KK – żądanie okupu pod groźbą trwałego zaszyfrowania lub ujawnienia danych. Wymuszenie rozbójnicze jest zagrożone karą pozbawienia wolności od roku do lat 10. Kwalifikacja prawna zależy od konkretnych okoliczności czynu, dlatego o ostatecznej ocenie i wymiarze kary rozstrzyga sąd.

Sankcje administracyjne za zaniedbania podmiotu

Podmiot, który zaniedba obowiązki wynikające z ustawy o KSC, naraża się na administracyjne kary pieniężne nakładane przez organ właściwy do spraw cyberbezpieczeństwa. Reżim wdrażający NIS2 znacząco podniósł górne pułapy tych kar. Według informacji Ministerstwa Cyfryzacji o nowelizacji najwyższe sankcje dla podmiotów kluczowych mogą sięgać kilku milionów euro lub być liczone jako procent rocznego obrotu, a ustawa przewiduje również możliwość pociągnięcia do osobistej odpowiedzialności kadry kierowniczej za nieprawidłowe wdrożenie wymogów. Ministerstwo wskazało jednocześnie, że administracyjne kary pieniężne za niewykonanie obowiązków będą mogły być nakładane dopiero po upływie określonego okresu przejściowego od wejścia ustawy w życie. Dla obrony podmiotu kluczowe znaczenie ma więc dokumentacja: wykazanie, że organizacja przeprowadziła analizę ryzyka, wdrożyła wymagane środki bezpieczeństwa oraz terminowo i prawidłowo zgłosiła incydent. Rzetelnie prowadzona dokumentacja zgodności (polityki, rejestr incydentów, dowody wdrożenia środków) zmniejsza ryzyko sankcji i ułatwia wykazanie należytej staranności. Ze względu na to, że dokładna wysokość kar oraz okresy przejściowe wynikają z aktualnego brzmienia ustawy i aktów wykonawczych, konkretne wartości należy każdorazowo weryfikować w tekście obowiązujących przepisów.

Co zrobić po incydencie

Po wykryciu ataku warto działać równolegle na kilku poziomach. Po pierwsze – zabezpieczyć dowody: logi systemowe, kopie zaatakowanych systemów i nośników, korespondencję z atakującym, tak aby były przydatne w ewentualnym postępowaniu karnym i administracyjnym. Po drugie – zgłosić incydent do właściwego zespołu CSIRT w terminie wynikającym z ustawy o KSC (termin i tryb zależą od kategorii podmiotu oraz rodzaju i wagi incydentu). Po trzecie – zawiadomić organy ścigania (Policję lub prokuraturę) o podejrzeniu popełnienia przestępstwa. Po czwarte – jeśli doszło do naruszenia ochrony danych osobowych, dokonać zgłoszenia do Prezesa UODO zgodnie z art. 33 RODO, co do zasady bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 72 godzin od stwierdzenia naruszenia (chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem dla praw lub wolności osób), a gdy ryzyko jest wysokie – także zawiadomić osoby, których dane dotyczą (art. 34 RODO). Równolegle warto skonsultować się z prawnikiem, aby ocenić pełny zakres obowiązków sprawozdawczych (które mogą się nakładać: KSC, RODO, regulacje sektorowe) i właściwie udokumentować przebieg reakcji. Każdy przypadek jest inny, a wskazane wyżej terminy i obowiązki zależą od statusu podmiotu oraz charakteru zdarzenia – ten artykuł przedstawia ogólne ramy, a nie ocenę konkretnej sytuacji.