Ten artykuł należy do cyklu o akcie o cyberodporności (CRA); kontekst znajdziesz we wprowadzeniu do CRA. Każda regulacja produktowa jest tyle warta, ile jej egzekwowanie. CRA wyposaża organy nadzoru rynku w realne uprawnienia, a sankcje sięgają poziomu znanego z RODO.
Kto sprawuje nadzór nad przestrzeganiem CRA?
Nad przestrzeganiem CRA czuwają organy nadzoru rynku wyznaczone przez państwa członkowskie.
Rozdział V rozporządzenia (od art. 52) reguluje nadzór rynku i egzekwowanie przepisów. Organy nadzoru rynku kontrolują produkty z elementami cyfrowymi udostępniane na rynku Unii, mogą żądać informacji i dokumentacji, a w razie niezgodności — stosować środki naprawcze i ograniczające (np. nakazać wycofanie produktu z obrotu). CRA korzysta przy tym z ram rozporządzenia (UE) 2019/1020 o nadzorze rynku. Warto zestawić tę strukturę z modelem nadzoru nad podmiotami kluczowymi i ważnymi w systemie cyberbezpieczeństwa, opisanym w artykule Kary i nadzór w KSC.
Jakie kary grożą za naruszenie CRA?
Za naruszenie CRA grożą administracyjne kary pieniężne w trzech progach — najwyższy sięga 15 mln euro lub 2,5% łącznego rocznego światowego obrotu.
Art. 64 przewiduje następujące progi sankcji (stosuje się kwotę wyższą):
| Próg | Czego dotyczy | Maksymalna kara |
|---|---|---|
| Najwyższy | Niezgodność z wymaganiami zasadniczymi (Załącznik I) oraz obowiązkami z art. 13 i 14 | do 15 000 000 EUR lub 2,5% łącznego rocznego światowego obrotu |
| Średni | Naruszenie pozostałych obowiązków (m.in. art. 18–23, 28, 30 ust. 1–4, 31 ust. 1–4, 32 ust. 1–3, 33 ust. 5, 39, 41, 47, 49, 53) | do 10 000 000 EUR lub 2% obrotu |
| Niższy | Przekazanie jednostkom notyfikowanym lub organom nadzoru rynku informacji nieprawidłowych, niekompletnych lub wprowadzających w błąd | do 5 000 000 EUR lub 1% obrotu |
Co bierze się pod uwagę przy wymiarze kary?
Wysokość kary zależy m.in. od charakteru, wagi i czasu trwania naruszenia, wcześniejszych kar oraz wielkości podmiotu.
Zgodnie z art. 64 organ uwzględnia w szczególności: charakter, wagę i czas trwania naruszenia oraz jego konsekwencje; to, czy na ten sam podmiot nałożono już kary za podobne naruszenie; oraz wielkość podmiotu — zwłaszcza w przypadku mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw — i jego udział w rynku. Kary mają być skuteczne, proporcjonalne i odstraszające.
Czy małe firmy są chronione przed karami?
Mikroprzedsiębiorstwom i małym przedsiębiorstwom nie grożą kary za niedotrzymanie 24-godzinnego terminu wczesnego ostrzegania o podatnościach lub incydentach.
To wyraz proporcjonalności wbudowanej w art. 64. Obowiązek zgłaszania (art. 14) pozostaje, ale reżim sankcyjny wobec najmniejszych podmiotów jest łagodniejszy — przy spóźnionym wczesnym ostrzeżeniu nie nakłada się na nie administracyjnej kary pieniężnej. Mechanizm zgłaszania omawiamy w artykule Zgłaszanie aktywnie wykorzystywanych podatności i poważnych incydentów.
Czy konsumenci mogą dochodzić roszczeń zbiorowo?
Do naruszeń CRA szkodzących zbiorowym interesom konsumentów stosuje się dyrektywę o powództwach przedstawicielskich.
CRA zmienia dyrektywę (UE) 2020/1828, dzięki czemu do powództw wytaczanych przeciwko podmiotom gospodarczym za naruszenia szkodzące lub mogące szkodzić zbiorowym interesom konsumentów ma zastosowanie reżim powództw przedstawicielskich. Obok kar administracyjnych pojawia się więc ścieżka dochodzenia roszczeń zbiorowych. Porównując CRA z innymi reżimami sankcyjnymi w cyberbezpieczeństwie, warto zapoznać się też z artykułem Kary i sankcje za naruszenie DORA.
Jak możemy Ci pomóc?
W Legal Geek pomagamy ocenić ekspozycję na sankcje CRA, przygotować podmiot na kontrolę organu nadzoru rynku oraz uporządkować dokumentację, która w razie kontroli przesądza o wyniku. Wspieramy też w komunikacji z organami i — gdy trzeba — w postępowaniu sankcyjnym.
