VI SA/WA 2173/24

VI SA/Wa 2173/24 - Wyrok WSA w Warszawie
Data orzeczenia
2024-11-08
orzeczenie nieprawomocne
Data wpływu
2024-07-02
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Aneta Lemiesz /przewodniczący/
Anna Fyda-Kawula. /sprawozdawca/
Magdalena Maliszewska
Symbol z opisem
6379 Inne o symbolu podstawowym 637
Skarżony organ
Komisja Nadzoru Finansowego
Treść wyniku
Oddalono skargę
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Aneta Lemiesz Sędziowie Sędzia WSA Magdalena Maliszewska Asesor WSA Anna Fyda-Kawula (spr.) Protokolant st. sek. sądowy Katarzyna Bytner po rozpoznaniu na rozprawie w dniu 8 listopada 2024 r. sprawy ze skargi [...] S.A. z siedzibą w W. na decyzję Komisji Nadzoru Finansowego z dnia 26 kwietnia 2024 r. nr [...] w przedmiocie kary pieniężnej oddala skargę
Uzasadnienie
Komisja Nadzoru Finansowego (KNF, Komisja) zaskarżoną decyzją z [...] kwietnia 2024 r. nr [...] na podstawie art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (tekst jedn. Dz.U. z 2024 r., poz. 572, dalej: k.p.a.) w zw. z art. 11 ust. 1 i 5 ustawy z dnia 21 lipca 2006 r. o nadzorze nad rynkiem finansowym (tekst jedn. Dz. U. z 2024 r., poz. 135 ze zm.) oraz art. 41 pkt 4 i art. 73 ust. 1 pkt 11 i ust. 3 pkt 10 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (tekst jedn. Dz. U. z 2023 r., poz. 913 ze zm., dalej: UKSC), po ponownym rozpatrzeniu sprawy w wyniku wniosku [...] w W. S.A. z siedzibą w W. (Skarżąca) utrzymała w mocy decyzję KNF z [...] lipca 2023 r. nr [...] o nałożeniu na Skarżącą kary pieniężnej w wysokości 20.000 zł za naruszenie art. 15 ust. 1 UKSC poprzez niezapewnienie przeprowadzenia audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej w terminie, o którym mowa w art. 16 pkt 3 UKSC.
Zaskarżona decyzja została wydana w następującym stanie faktycznym i prawnym.
Decyzją z [...] listopada 2018 r. nr [...], jako organ właściwy do spraw cyberbezpieczeństwa dla sektora infrastruktury rynków finansowych, uznała Skarżącą za operatora usługi kluczowej, polegającej na prowadzeniu rynku regulowanego oraz na organizowaniu alternatywnego systemu obrotu instrumentami finansowymi. Decyzja ta została doręczona Skarżącej 9 listopada 2018 r.
Pismem z 30 stycznia 2023 r. KNF zawiadomiła Skarżącą o wszczęciu z urzędu postępowania administracyjnego w przedmiocie nałożenia kary pieniężnej na podstawie art. 73 ust. 1 pkt 11 w zw. z ust. 3 pkt 10 UKSC, w związku z niezapewnieniem przeprowadzenia w terminie, o którym mowa w art. 16 pkt 3 UKSC, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, o którym mowa w art. 15 ust. 1 UKSC. Przyczyną wszczęcia postępowania były ustalenia poczynione przez KFN w wyniku kontroli w zakresie wykonywania obowiązków ustawowych operatora usługi kluczowej przeprowadzonej w dniach 24 maja – 16 lipca 2021 r. zawarte w protokole z kontroli z dnia 31 sierpnia 2021 r. W toku kontroli ustalono, że 14 października 2019 r. Skarżąca zawarła z E. N. S. I. Sp. z o.o. (dalej: ENSI) umowę o wykonanie usługi audytu bezpieczeństwa systemów informacyjnych. Zgodnie z załącznikiem nr 2 do umowy prace związane z audytem miały zakończyć się do 8 listopada 2019 r., natomiast do 24 listopada 2019 r. miał zostać opracowany raport końcowy. Audyt bezpieczeństwa rozpoczęto 14 października 2019 r., a czynności audytowe zakończono 8 listopada 2019 r. Raport końcowy (sprawozdanie z audytu), sporządzony przez ENSI, nosi datę 29 listopada 2019 r. Tego samego dnia raport ten został odebrany przez Skarżącą.
KNF wydała w sprawie ww. decyzję z [...] lipca 2023 r. o nałożeniu na Skarżącą kary pieniężnej z powodu 20-dniowego opóźnienia w realizacji obowiązku, o którym mowa w art. 16 pkt 3 w zw. z art. 15 ust. 1 UKSC.
Skarżąca złożyła wniosek o ponowne rozpatrzenie sprawy zakończonej ww. decyzją. Zaskarżyła tę decyzję w całości, wnosząc o jej uchylenie i umorzenie postępowania w całości, ewentualnie o jej uchylenie i odstąpienie na podstawie art. 189f k.p.a. od nałożenia kary pieniężnej i poprzestanie na pouczeniu.
KNF powołaną na wstępie zaskarżoną decyzją utrzymała w mocy ww. decyzję z [...] lipca 2023 r. W uzasadnieniu podkreśliła, że Skarżąca nie kwestionowała ustaleń ani w zastrzeżeniach do protokołu kontroli, ani w toku postępowania poprzedzającego wydanie decyzji z [...] lipca 2023 r., jak również we wniosku o ponowne rozpatrzenie sprawy, w którym nie powołała się na żadne nowe dowody w sprawie, o które należałoby uzupełnić materiał dowodowy.
KNF wyjaśniła, że zgodnie z art. 15 ust. 1 UKSC operator usługi kluczowej ma obowiązek zapewnić przeprowadzenie, co najmniej raz na 2 lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. Według art. 16 pkt 3 UKSC operator usługi kluczowej realizuje obowiązki określone w art. 15 ust. 1 w terminie roku od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej. Zgodnie z art. 15 ust. 5 UKSC na podstawie zebranych dokumentów i dowodów audytor sporządza pisemne sprawozdanie z przeprowadzonego audytu i przekazuje je operatorowi usługi kluczowej wraz z dokumentacją z przeprowadzonego audytu.
Komisja podkreśliła, że art. 16 UKSC określa obowiązki operatora usługi kluczowej, których termin wykonania rozpoczyna się z chwilą doręczenia decyzji o uznaniu za operatora usługi kluczowej, a kończy z upływem czasu określonego odpowiednio w pkt 1, 2 i 3. W przypadku obowiązku wskazanego w art. 16 pkt 3 ww. ustawy oznacza to, że operator usługi kluczowej zobowiązany jest do zrealizowania audytu bezpieczeństwa systemu informacyjnego, o którym mowa w art. 15 ust. 1 ww. ustawy, w terminie roku od momentu otrzymania stosownej decyzji organu nadzoru. Wykładnia językowa art. 15 ust. 1 UKSC jednoznacznie wskazuje na konieczność zakończenia audytu w terminie przewidzianym w ustawie. Nie jest zatem wystarczające samo rozpoczęcie audytu w terminie, lecz jego pełne zakończenie w ciągu roku od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej. Ustawodawca pomimo braku wskazania w jakim momencie możliwe jest uznanie audytu za zakończony, w art. 15 ust. 5 UKSC wprowadził prawny obowiązek sporządzenia pisemnego sprawozdania z audytu i przekazania go operatorowi usługi kluczowej. Według art. 15 ust. 7 UKSC operator usługi kluczowej jest zobligowany do przekazania kopii sprawozdania z przeprowadzonego audytu na uzasadniony wniosek wymienionych w tym przepisie podmiotów. Ustawodawca uznał zatem, iż jedynie sprawozdanie z audytu jest dokumentem pozwalającym na stwierdzenie, że operator usługi kluczowej wypełnił obowiązki wynikające z art. 15 UKSC. Celem audytu jest skontrolowanie bezpieczeństwa systemu informacyjnego, a także sporządzenie wniosków dotyczących poprawy tego systemu. Wnioski te, zgodnie z art. 15 ust. 5 UKSC, powinny zostać przekazane operatorowi usługi kluczowej. Samo zakończenie czynności związanych z audytem nie spełnia celów tego audytu, gdyż nie pozwala na identyfikację i w efekcie poprawę wykrytych nieprawidłowości. Powyższe wskazuje więc jednoznacznie, że sporządzenie sprawozdania z audytu jest jego integralną częścią. Na taką wykładnię art. 15 UKSC wskazują również wytyczne Europejskiej Agencji Bezpieczeństwa Sieci i Informacji (ENISA) z dnia 28 listopada 2018 r. dotyczące oceny zgodności dostawców usług cyfrowych oraz operatorów usług kluczowych z wymogami Dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii. Zdaniem ENISA audyt systemu bezpieczeństwa przewidziany ww. dyrektywą składa się z trzech faz, z których ostatnia obejmuje sporządzenie końcowego raportu (s. 12 wytycznych). Wytyczne ENISA nie mają charakteru powszechnie obowiązującego, niemniej jednak stanowią istotną wskazówkę interpretacyjną tej dyrektywy, której implementacją jest UKSC. Sporządzenie sprawozdania z audytu po terminie przewidzianym w art. 15 ust. 1 lub art. 16 pkt 3 UKSC jest zatem równoznaczne z niezapewnieniem przeprowadzenia audytu w ustawowym terminie.
Komisja podkreśliła, że zgodnie z art. 73 ust. 1 pkt 11 UKSC karze pieniężnej podlega operator usługi kluczowej, który nie przeprowadza audytu. Według art. 73 ust. 3 pkt 10 UKSC wysokość kary pieniężnej, o której mowa w ust. 1 pkt 11 wynosi do 200.000 zł. Zgodnie zaś z art. 73 ust. 4 pkt 3 UKSC kara, o której mowa w ust. 1 pkt 11 nie może być niższa niż 15.000 zł.
KNF stwierdziła, że Skarżąca, wbrew ciążącemu na niej obowiązkowi z art. 15 ust. 1 w zw. z art. 16 pkt 3 UKSC, nie przeprowadziła w terminie roku od dnia doręczenia pisemnej decyzji o uznaniu za operatora usługi kluczowej (9 listopada 2018 r.) audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia tej usługi. Termin na przeprowadzenie audytu, włącznie z przygotowaniem i przekazaniem pisemnego sprawozdania, upływał w dniu 9 listopada 2019 r., zaś sprawozdanie z audytu w rozpatrywanej sprawie sporządzono 29 listopada 2019 r., tj. z 20-dniowym opóźnieniem. W związku z tym zaistniały przesłanki do zastosowania sankcji administracyjnej, o której mowa w art. 73 ust. 1 pkt 11 w związku z art. 73 ust. 3 pkt 10 UKSC.
Komisja stwierdziła, że w sprawie nie zostały spełnione przesłanki warunkujące możliwość zastosowania art. 189f § 1 pkt 1 k.p.a. O ile w sprawie tej można mówić o niskiej wadze naruszeń, to brak jest jednak spełnienia przesłanki zaprzestania naruszenia prawa przez Skarżącą. Jej spełnienie w realiach tej sprawy nie było bowiem możliwe, gdyż przesłanka ta znajduje zastosowanie wyłącznie w odniesieniu do naruszeń o charakterze ciągłym, trwałym lub powtarzającym się.
W ocenie Komisji, nie mógł zostać też spełniony warunek przedstawienia dowodów potwierdzających usunięcie naruszenia prawa (art. 189f § 2 pkt 1 lub 2) k.p.a., ponieważ naruszenie prawa w tej sprawie jest nieusuwalne. Ponadto, Skarżąca pełni funkcję operatora infrastruktury rynku finansowego i nakładanie na nią obowiązku powiadamiania kogokolwiek o zaistniałym naruszeniu, skoro wiedzę o nim posiada organ nadzoru, byłoby bezcelowe. Ewentualnie odstąpienie od nałożenia sankcji administracyjnej nie pozwoliłoby również na spełnienie celów prewencyjno-represyjnych kary.
W ocenie Komisji, Skarżąca błędnie argumentuje, że podstawą ewentualnego nałożenia sankcji administracyjnej w rozpatrywanej sprawie mógł potencjalnie być jedynie art. 76 UKSC, zgodnie z którym kara, o której mowa w art. 73, może zostać nałożona również w przypadku, gdy podmiot zaprzestał naruszania prawa lub naprawił wyrządzoną szkodę, jeżeli organ właściwy do spraw cyberbezpieczeństwa uzna, że przemawiają za tym czas trwania, zakres lub skutki naruszenia. Jak słusznie zauważyła Skarżąca, zarówno art. 76 UKSC, jak art. 189f § 1 pkt 1 k.p.a. obok kryterium istotności naruszenia posługują się także przesłanką "zaprzestania naruszania prawa", a co za tym idzie, jej interpretacja w obu przepisach powinna być dokonywana tożsamo. W sprawie tej Skarżąca nie mogła zaprzestać naruszania prawa, gdyż przypisane jej naruszenie miało charakter jednorazowy.
Zdaniem KNF sankcja z art. 73 ust. 1 pkt 11 UKSC obejmuje zarówno przypadek, kiedy operator usługi kluczowej nie przeprowadza audytu w ogóle, jak i przypadek kiedy nie przeprowadza audytu w przewidzianym terminie wynikającym z art. 15 ust. 1 w zw. z art. 16 pkt 3 UKSC. Rozróżnienie to będzie istotne, ale w kontekście miarkowania wysokości kary pieniężnej. W sprawie tej Komisja wymierzając karę wzięła pod uwagę okoliczność, że finalnie Skarżąca przeprowadziła pierwszy audyt bezpieczeństwa. W ramach miarkowania nakładanej kary Komisja wzięła pod uwagę na korzyść Strony również upływ czasu od momentu, kiedy obowiązek ciążący na Stronie powinien zostać wykonany do momentu, kiedy Strona dokonała pierwszego audytu, tj. opóźnienie wynoszące 20 dni. Między innymi z tych względów Komisja nałożyła na Stronę karę jedynie w wysokości 10% ustawowego zagrożenia.
KNF nie zgodziła się także z zaprezentowaną przez Skarżącą wykładnią art. 15 ust. 1 w zw. z art. 16 pkt 3 UKSC. Stwierdziła, że w art. 15 ust. 1 UKSC ustawodawca przewidział ciążący na operatorze usługi kluczowej obowiązek wykonywania cyklicznego, nie rzadziej niż raz na 2 lata, audytu bezpieczeństwa. Powyższy obowiązek dotyczy tych podmiotów, które przeprowadziły już co najmniej jeden audyt bezpieczeństwa, gdyż wówczas możliwe jest określenie, czy kolejny audyt został przeprowadzony w przepisanym czasie. W art. 16 UKSC ustawodawca wskazał natomiast, w jakim terminie obowiązki ciążące na operatorze usługi kluczowej powinny być wypełnione w sytuacji, kiedy operator ten dopiero co uzyskał taki status. W art. 16 pkt 3 UKSC ustawodawca zmodyfikował więc termin wykonania obowiązku z art. 15 ust. 1 UKSC w ten sposób, iż podmiot, który uzyskał status operatora usługi kluczowej ma obowiązek przeprowadzić pierwszy audyt bezpieczeństwa w terminie roku od dnia doręczenia decyzji przyznającej status operatora usługi kluczowej. Odmienne rozumienie przepisu art. 15 ust. 1 w zw. z art. 16 pkt 3 UKSC prowadziłoby do nieuzasadnionego wniosku, iż podmiot, który dopiero co uzyskał status operatora usługi kluczowej ma dłuższy okres na przeprowadzenie audytu bezpieczeństwa, niż podmiot który już ten status posiada i stosuje się do brzmienia art. 15 ust. 1 UKSC. Zaprezentowany wniosek jest spójny z redakcją art. 16 pkt 1 i 2 UKSC. W art. 16 pkt 1 i 2 UKSC ustawodawca przewidział bowiem terminy, odpowiednio 3 miesięczny i 6 miesięczny, na wdrożenie obowiązków operatorów usług kluczowych w sytuacji uzyskania takiego statusu przez operatora. Przedstawione rozumienie art. 15 ust. 1 w zw. z art. 16 pkt 3 UKSC znajduje również oparcie w piśmiennictwie oraz jest zbieżne z uzasadnieniem projektu UKSC.
W ocenie KNF za niemający oparcia w art. 15 ust. 1 w zw. z art. 16 pkt 3 UKSC należy uznać wniosek Strony, że termin roku od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej, o którym mowa w art. 16 pkt 3 ww. ustawy, jest to czas na podjęcie czynności przygotowawczych mających na celu przeprowadzenie audytu. Przyjęcie powyższego oznaczałoby, że od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej pierwszy audyt bezpieczeństwa powinien być wykonany w terminie maksymalnie 3 lat (jeden rok na przeprowadzenie czynności przygotowawczych a następnie 2 lata na przeprowadzenie audytu).
Zdaniem Komisji, w rozpatrywanej sprawie - wbrew argumentacji Skarżącej - nie zachodzi konieczność zastosowania art. 7a § 1 k.p.a., z uwagi na wątpliwości co do wykładni art. 15 ust. 1 w zw. z art. 16 pkt 3 UKSC. W art. 7a § 1 k.p.a. nie chodzi o jakiekolwiek wątpliwości, co do znaczenia przepisu prawa, ale o wątpliwości, które pozostają, a zatem te, których nie dało się usunąć w drodze uznanych lub nakazanych metod (reguł, dyrektyw, wskazówek) wykładni. W rozpatrywanej sprawie nie zachodzą wątpliwości co do treści przepisów art. 15 ust. 1 w zw. z art. 16 pkt 3 UKSC, których nie można usunąć w toku wykładni. W szczególności w toku wykładni przywołanych przepisów nie stwierdzono, aby istniała więcej niż jedna alternatywna treść normy prawnej.
Komisja, odnosząc się do zarzutu naruszenia art. 7, art. 77 § 1 oraz art. 80 k.p.a. podkreśliła, iż stan faktyczny sprawy nie budzi żadnych wątpliwości i nie ma podstaw do jego uzupełniania w postępowaniu odwoławczym, czego zresztą Skarżąca nie kwestionuje, nie powołując dodatkowych dowodów w sprawie.
W końcowej części uzasadnienia Komisja dokonała wykładni przepisu sankcyjnego i szczegółowo uzasadniła wysokość nałożonej kary pieniężnej.
W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie Skarżąca zaskarżyła powyższą decyzję w całości wnosząc o uchylenie w całości wydanych w sprawie decyzji oraz zasądzenie kosztów postępowania.
Zaskarżonej decyzji Skarżąca zarzuciła naruszenie:
I. przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj.:
1) art. 189f § 1 pkt 1 k.p.a. poprzez dokonanie błędnej wykładni pojęcia "zaprzestanie naruszania prawa" w odniesieniu do obowiązku sporządzenia audytu bezpieczeństwa systemu informacyjnego przez Skarżącą, jako operatora usługi kluczowej, polegającej na uznaniu, że nieprzeprowadzenie audytu w terminie ma charakter jednorazowy, nieodwracalny, nienaprawialny oraz skończony, a powstałe (w opinii Komisji) naruszenie prawa nie może zostać usunięte przez późniejsze wykonanie audytu, przez co wymóg zaprzestania naruszania prawa, o którym mowa w tym przepisie, jako mający zastosowanie wyłącznie do naruszeń o charakterze ciągłym, trwałym lub powtarzającym się, nie został i nie mógł zostać spełniony, co w konsekwencji doprowadziło do niezastosowania względem Skarżącej tego przepisu, tj. doprowadziło do nieodstąpienia od nałożenia na Skarżącą kary pieniężnej. Tymczasem, prawidłowa wykładnia pojęcia "zaprzestanie naruszania prawa" prowadzi do wniosku, że w odniesieniu do nieterminowego przeprowadzenia audytu do naruszenia dochodzi z chwilą upływu pierwotnego terminu jego przeprowadzenia, a zaprzestanie naruszania ma miejsce z chwilą jego ukończenia (na skutek czego dochodzi do pełnej realizacji obowiązku), gdzie w tej sprawie w związku z przeprowadzeniem audytu (odpowiednio w ocenie Skarżącej w dniu 8 listopada
2019 r., oraz w ocenie Organu - 29 listopada 2019 r.), doszło do zaprzestania naruszania prawa przez Skarżącą, co z kolei, na skutek spełnienia wszystkich przesłanek z art. 189f § 1 pkt 1 k.p.a. (w związku z pełną realizacją przez Skarżącą obowiązku przeprowadzenia pierwszego audytu bezpieczeństwa), obligowało organ do odstąpienia od nałożenia kary pieniężnej, i poprzestania na pouczeniu skoro przesłanka znikomości wagi naruszenia została w tej sprawie spełniona, co zostało wprost i wielokrotnie przyznane przez KNF;
2) art. 189f § 2 k.p.a. poprzez:
a) błędną jego wykładnię, polegającą na uznaniu, że w sprawie brak jest możliwości "usunięcia naruszenia prawa", rozumianego przez Organ jako "usunięcie przyczyny powstania stanu niezgodnego z prawem" z uwagi na fakt, że nieprzeprowadzenie audytu w terminie ma charakter jednorazowy, nieodwracalny nienaprawialny oraz skończony, w sytuacji, gdy prawidłowa wykładnia tego pojęcia powinna prowadzić do wniosku, że w sprawie, poprzez przeprowadzenie audytu (nawet - jak utrzymuje Organ - po terminie), w związku z zakończeniem okresu pozostawania w naruszeniu (tj. w okresie od upływu terminu na przeprowadzenie audytu do dnia jego przeprowadzenia) doszło do usunięcia przez Skarżącą stanu naruszenia poprzez samoczynne usunięcie tego naruszenia, a także terminowe przeprowadzenie audytu w okresach kolejnych;
b) nieuzasadnione uznanie, że zastosowanie w sprawie rzeczonego przepisu nie spełni prewencyjno - represyjnych celów kary, które polegają na konieczności adekwatnej reakcji nadzorczej wobec podmiotów nadzorowanych, w sytuacji gdy zastosowanie tego przepisu było obligatoryjne wobec przedstawienia przez Skarżącą dowodów usunięcia naruszenia prawa (ostateczne przeprowadzenia audytu, nawet jeśli uznać, że po terminie), a nadto w sytuacji, gdzie jednocześnie Komisja uznała w skarżonej decyzji, że (i) opóźnienie w przeprowadzeniu audytu systemu bezpieczeństwa wynosiło jedynie 20 dni, (ii) niezakończenie audytu w ustawowym terminie nie rodziło istotnych ryzyk systemowych, (iii) naruszenie prawa przez Skarżącą nie stwarzało niebezpieczeństwa dla życia lub zdrowia, mienia w znacznych rozmiarach lub ochrony interesu publicznego lub wyjątkowo ważnego interesu strony, a nadto że (iv) Skarżąca podjęła działania mające na celu zapobiec naruszeniom prawa w przyszłości, w tym zapewniając przeprowadzenie drugiego audytu w terminie ustawowym oraz podejmując kroki w celu terminowego zakończenia trzeciego audytu - które to zdarzenia i działania miały miejsce jeszcze przed wszczęciem przez Komisję postępowania w przedmiocie nałożenia kary pieniężnej, a więc w oderwaniu od "prewencyjno - represyjnych" działań nadzorcy;
3) art. 7a § 1 k.p.a. poprzez jego niezastosowanie:
a) polegające na braku rozstrzygnięcia na korzyść Skarżącej wątpliwości interpretacyjnych, co do treści normy prawnej zawartej w art. 15 ust. 1 w zw. z art. 16 pkt 3 UKSC w zakresie: (i) terminu przeprowadzenia pierwszego audytu przez operatora usługi kluczowej oraz (ii) momentu uznania audytu za zakończony;
b) polegające na braku rozstrzygnięcia na korzyść Skarżącej wątpliwości interpretacyjnych co do treści normy prawnej zawartej w art. 73 ust. 1 pkt 11 UKSC co do zakresu sankcjonowania zaniechać operatora usługi kluczowej, tj. wyłącznie za nieprzeprowadzenie audytu w ogóle, czy też zarówno za nieprzeprowadzenie audytu jako takiego, jak i za przeprowadzenie audytu, jednakże nieterminowe;
oraz uznanie, że w tej sprawie nie występują wątpliwości co do treści przytoczonych przepisów w sytuacji, gdy wykładnia powyższych przepisów, dokonana zgodnie z zasadami i dyrektywami wykładni, prowadzi do kilku możliwych rezultatów, a nadto w sytuacji, gdy przed podjęciem czynności kontrolnych wobec Skarżącej, jak również do dnia sporządzenia skargi Organ nie wydał stanowiska, wyrażającego podejście Organu nadzoru w zakresie kierunków interpretacji przepisów wprowadzających obowiązek zapewnienia przeprowadzenia audytu oraz sposobu i terminów wykonania tego obowiązku;
4) art. 7 w zw. z art. 77 § 1 w zw. z art. 80 oraz art. 8 k.p.a. poprzez ich niewłaściwe zastosowanie polegające na braku wszechstronnego rozważenia wszelkich okoliczności sprawy, prowadzenie postępowania w sposób niebudzący zaufania strony oraz niekompletne i nierzetelne wyjaśnienie zasadności przesłanek, którymi Organ kierował się przy załatwieniu sprawy, w szczególności: (i) nierozważenie przez Organ wszelkich przesłanek konstytuujących odpowiedzialność administracyjnoprawną Skarżącej, (ii) arbitralne uznanie odpowiedzialności Skarżącej za zaniechanie polegające na nieprzeprowadzeniu audytu, gdy Skarżąca co najwyżej spóźniła się z jego przeprowadzeniem (czemu jednak Skarżąca stanowczo zaprzecza), a w konsekwencji (iii) nierozważenie zasad ewentualnej odpowiedzialności Skarżącej na podstawie art. 76 UKSC, który w zaistniałym stanie faktycznym, co najwyżej stanowi wyłączną przesłankę do nałożenia na Skarżącą administracyjnej kary pieniężnej, w szczególnych okolicznościach, o których mowa tamże oraz błędne uznanie niemożliwości zastosowania do stanu faktycznego sprawy instytucji odstąpienia od wymierzenia kary z uwagi na pobieżne, wybiórcze i niepełne przeanalizowanie orzecznictwa, mającego zastosowanie do sprawy;
5) art. 107 § 1 pkt 2 oraz pkt 8 k.p.a. poprzez podpisanie zaskarżonej decyzji w stanie prawnym i faktycznym obowiązującym kilka dni przed faktycznym wydaniem tej decyzji (utożsamianym z chwilą podpisania decyzji przez Organ), które to naruszenie polegało na złożeniu podpisu pod decyzją w dniu 30 kwietnia 2024 r. (kwalifikowany podpis elektroniczny), gdzie z treści decyzji wynika, że data jej wydania została oznaczona jako 26 kwietnia 2024 r., a więc kilka dni przed jej podpisaniem, w konsekwencji czego Skarżąca nie ma możliwości w sposób niewątpliwy dokonać ustalenia według stanu prawnego i faktycznego na jaki dzień decyzja została wydana;
6) art. 107 § 3 w zw. z art. 8, art. 9 i art. 11 k.p.a. poprzez ich niewłaściwe zastosowanie polegające na braku wyczerpującego odniesienia się w uzasadnieniu skarżonej decyzji do całości zebranego materiału dowodowego oraz braku wyczerpującego odniesienia się do wszystkich zarzutów oraz argumentów podniesionych przez Skarżącą w toku postępowania, w szczególności:
a) nie odniesienie się w sposób wyczerpujący do powołanej przez Skarżącą, a jednoznacznie zgodnej ze stanowiskiem Skarżącej, linii orzeczniczej sądów administracyjnych, z której wynika w sposób niebudzący wątpliwości, że przeprowadzenie audytu nawet z uchybieniem terminu stanowi o zaprzestaniu naruszania prawa;
b) nie odniesienie się w sposób wyczerpujący do zarzutu naruszenia art. 76 UKSC wprowadzającego możliwość ukarania naruszającego, nawet jeśli ten ostatecznie dopełnił naruszanego obowiązku, o ile za takim ukaraniem przemawiają czas trwania, zakres lub skutki naruszenia (a które to przesłanki w sprawie nie wystąpiły, co z kolei obligowało Organ do odstąpienia od nałożenia kary) i ograniczenie się do argumentacji sprowadzającej się do stwierdzenia, że przesłanka zaprzestania naruszania prawa wyrażona w tym przepisie powinna być interpretowana tożsamo do wykładni przeprowadzonej na podstawie art. 189f § 1 pkt 1 k.p.a., a ze względu na podnoszony przez Komisję jednorazowy charakter naruszenia, art. 76 UKSC nie może zostać zastosowany w tej sprawie;
c) nie odniesienie się w żadnym zakresie do powołanych przez Skarżącą innych regulacji, w szczególności przepisów z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne, analogicznie kształtujących (i) wyłączenie odpowiedzialności podmiotu w sytuacji zaprzestania naruszania prawa i (ii) ewentualną odpowiedzialność w takim przypadku po spełnieniu ściśle określonych przesłanek, tj. jeśli przemawiają za tym czas trwania, zakres lub skutki naruszenia (tak jak w art. 76 UKSC);
oraz w konsekwencji powyższych naruszeń, oparcie przez Organ rozstrzygnięcia wyłącznie na podstawie ustaleń dokonanych w I instancji, niesporządzenie wyczerpującego uzasadnienia faktycznego i prawnego wydanej decyzji, w tym w szczególności niedostateczne wyjaśnienie przez KNF przesłanek, którymi kierował się, wydając zaskarżoną decyzję, przez przeprowadzenie przez Organ wykładni wszystkich przepisów mających w sprawie zastosowanie w sposób arbitralnie niekorzystny dla Skarżącej, nawet w sytuacji, gdy zachodziła wątpliwość co do ich wykładni, co uniemożliwiło Skarżącej wszechstronne zapoznanie się z głównymi, merytorycznymi motywami rozstrzygnięcia w jej indywidualnej sprawie, co z kolei utrudnia Skarżącej odniesienie się do rozstrzygnięcia zawartego w zaskarżonej decyzji w sposób kompletny;
7) art. 77 § 4 w zw. z art. 9 k.p.a. poprzez jego niezastosowanie, polegające na niezawiadomieniu Skarżącej, mimo, że taki obowiązek spoczywał na Komisji, o wprowadzeniu w poczet materiału dowodowego prowadzonego postępowania dokumentów odrębnego postępowania prowadzonego przez inny Departament Komisji, tj. Departament Cyberbezpieczeństwa, przy jednoczesnym wezwaniu Skarżącej pismem z 24 marca 2023 r. do wypowiedzenia się co do zebranego w sprawie materiału dowodowego i wyznaczenie w tym zakresie terminu 7 dni od dnia doręczenia wezwania, mimo braku wiedzy Skarżącej na ten czas co do tego, jakie faktycznie dokumenty znajdują się w aktach sprawy, w tym że znajdują się w nich dokumenty innego toczącego się względem Skarżącej postępowania, o czym Skarżąca dowiedziała się dopiero w dniu 29 marca 2023 r., tj. dopiero po zapoznaniu z aktami sprawy;
8) art. 80 w zw. z art. 10 k.p.a. poprzez jego niezastosowanie, polegające na braku umożliwienia Skarżącej ponownego zapoznania się z zebranym w sprawie materiałem dowodowym, jak również brakiem udzielenia odpowiedzi na pismo Skarżącej z 17 lipca 2023 r., stanowiące odpowiedź na zawiadomienie Komisji z 11 lipca 2023 r., w którym to zawiadomieniu Komisja powiadomiła Skarżącą o podjęciu czynności w zakresie uzupełnienia materiału dowodowego w sprawie, w tym niemożliwości z tego powodu zakończenia postępowania w przewidzianym przepisami prawa terminie, gdzie Skarżąca wnioskowała pismem z 17 lipca 2023 r. m.in. o zawiadomienie jej, odrębnym pismem, o zakończeniu czynności dowodowych oraz umożliwienie ponownego zapoznania się z tak zebranym materiałem dowodowym sprawy, w konsekwencji czego Skarżąca nie ma wiedzy co do tego, na podstawie jakich ostatecznie dowodów w sprawie została podjęta decyzja w I instancji, jak również czy od dnia pierwotnego zapoznania się z aktami sprawy (marzec 2023 r.) do dnia wydania decyzji w I instancji (lipiec 2023 r.) do akt postępowania zostały faktycznie dołączone dodatkowe dowody - skoro Komisja w tym właśnie celu przedłużała postępowanie i ostateczne wydanie w sprawie rozstrzygnięcia co do istoty;
9) art. 189d pkt 5 k.p.a. poprzez niezastosowanie w stanie faktycznym sprawy dyrektywy wymiaru kary, polegającej na konieczności wzięcia pod uwagę działań podjętych przez stronę dobrowolnie w celu uniknięcia skutków naruszenia prawa, będące rezultatem błędnego uznania, że ze względu na charakter spoczywającego na Skarżącej obowiązku, niemożliwa jest sanacja naruszenia, polegającego na nieprzeprowadzeniu audytu, w sytuacji, gdy Skarżąca ostatecznie przeprowadziła audyt, przez co doprowadziła do zaprzestania naruszania, (przy czym w ocenie Skarżącej do naruszenia nigdy nie doszło), przez co zapobiegła również ewentualnym skutkom tego naruszenia i poprzestanie a stwierdzeniu przez Komisję, że uwzględnienie tej dyrektywy wymiaru kary mogło dotyczyć jedynie działań Skarżącej mających zapobiec naruszeniom prawa w przyszłości, tj. przeprowadzanie kolejnych audytów bezpieczeństwa w terminach zgodnych z interpretacją Komisji;
10) art. 138 § 1 pkt 2 k.p.a. poprzez jego niezastosowanie, polegające na nieuchyleniu zaskarżonej decyzji I instancji w całości i w tym zakresie nieumorzeniu postępowania I instancji w całości i tym samym błędne zastosowanie art. 138 § 1 pkt 1) k.p.a., polegające na utrzymaniu w mocy decyzji I instancji, podczas gdy z uwagi na brak podstaw do nałożenia na Skarżącą kary pieniężnej istniały przesłanki do uchylenia decyzji i umorzenia postępowania w całości, ewentualnie do wydania decyzji o odstąpieniu od nałożenia na Skarżącą kary pieniężnej i poprzestaniu na pouczeniu;
II. przepisów prawa materialnego, które miało wpływ na wynik sprawy, tj.:
1) art. 15 ust. 1 w zw. z art. 73 ust. 1 pkt 11 UKSC, poprzez błędną wykładnię pojęcia przeprowadzenie audytu, polegającą na stwierdzeniu, iż momentem uznania, że audyt został zakończony jest sporządzenie raportu z przeprowadzonego audytu, a nie dokonanie ostatniej czynności tzw. fazy wykonawczej audytu, co w konsekwencji doprowadziło do uznania przez Organ, że Skarżąca nie przeprowadziła audytu w terminie;
2) art. 73 ust. 1 pkt 11 w zw. z art. 3 pkt 10 UKSC poprzez ich niewłaściwe zastosowanie do stanu faktycznego sprawy, będące konsekwencją błędnej wykładni, polegającej na przyjęciu, że sankcja z art. 73 ust. 1 pkt 11 UKSC obejmuje zarówno przypadek, kiedy operator usługi kluczowej nie przeprowadza audytu w ogóle, jak i przypadek, kiedy nie przeprowadza audytu w przewidzianym terminie, co doprowadziło do nałożenia kary pieniężnej na Skarżącą za nieprzeprowadzenie audytu, gdy Skarżąca co najwyżej nie przeprowadziła tego audytu w terminie (czemu jednak Skarżąca stanowczo zaprzecza), podczas gdy prawidłowa i jedyna właściwa wykładania przepisu art. 73 ust. 1 pkt 11 UKSC prowadzi do wniosku, że przepis ten zawiera normę sankcjonującą jedynie zaniechanie, polegające na nieprowadzeniu audytu jako takiego, nie sankcjonując tym samym ewentualnego nieprzeprowadzenia audytu w terminie;
3) art. 73 ust. 1 pkt 11 w zw. z art. 76 UKSC poprzez dokonanie wykładni podstaw odpowiedzialności administracyjnoprawnej Skarżącej wyłącznie na podstawie art. 73 ust. 1 pkt 11 UKSC, z pominięciem art. 76 UKSC, który stanowi dopełnienie zasad kształtowania odpowiedzialności administracyjnoprawnej, przez co Organ w sposób niemający oparcia w przepisach prawa uznał, że Skarżąca podlega odpowiedzialności pomimo przeprowadzenia audytu, w sytuacji, gdy prawidłowa wykładnia przepisów konstytuujących podstawy odpowiedzialności Skarżącej, prowadziłaby do wniosku, że okoliczność przeprowadzenia audytu, nawet z uchybieniem terminu, stanowi przesłankę wyłączającą odpowiedzialność na podstawie art. 73 ust. 1 pkt 11 UKSC, a ewentualna odpowiedzialność administracyjnoprawna, nawet w przypadku zrealizowania obowiązku (aczkolwiek po terminie) może mieć miejsce wyłącznie na podstawie art. 76 UKSC, tj. gdy przemawiają za tym czas trwania, zakres lub skutki naruszenia (które to przesłanki w sprawie nie zostały jednak spełnione, a co wyłącza w rezultacie odpowiedzialność administracyjną Skarżącej);
4) art. 76 UKSC w zw. z art. 6 k.p.a. - poprzez jego niezastosowanie, będące konsekwencją dokonania błędnej wykładni pojęcia zaprzestanie naruszania prawa, które to pojęcie Organ wyłożył na gruncie art. 189f § 1 pkt 1 k.p.a., uznając, że zakres pojęciowy sformułowania użytego na gruncie tych dwóch przepisów jest tożsamy, w konsekwencji czego interpretacja powinna być dokonywana tożsamo, przez co Organ pominął zupełnie dokonanie wykładni tego pojęcia na gruncie art. 76 UKSC, podczas gdy, w tej sprawie, o ile wynik wykładni pojęcia zaprzestanie naruszania prawa na gruncie tych przepisów powinien być zakresowo spójny, o tyle proces wykładni tego pojęcia nie powinien następować w oderwaniu od przepisu art. 76 UKSC, w którym następuje wprost odwołanie do sankcjonowanych zaniechać, o których mowa w art. 73 UKSC, w tym również do nieprzeprowadzenia audytu, przez co przepis ten również i do tego rodzaju zaniechania ma pełne zastosowanie;
5) art. 15 ust. 1 w zw. z art. 16 pkt 3 UKSC, poprzez błędną ich wykładnię, polegającą, na uznaniu, że z redakcji art. 16 pkt 3 UKSC wynika jednoznacznie, iż ustawodawca zmodyfikował termin obowiązku z art. 15 ust. 1 UKSC w ten sposób, iż podmiot, który uzyskał status operatora usługi kluczowej winien audyt bezpieczeństwa systemu informacyjnego przeprowadzić w terminie roku od dnia doręczenia decyzji przyznającej status operatora usługi kluczowej, co w konsekwencji doprowadziło do błędnego uznania przez Organ, że Skarżąca nie zapewniła przeprowadzenia audytu bezpieczeństwa systemu informacyjnego w terminie, podczas gdy prawidłowa wykładnia tych przepisów prowadziłaby do wniosku, że z normy art. 16 pkt 3 UKSC wynika, że Skarżąca, jako operator usługi kluczowej była zobowiązana w terminie roku od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej do realizacji obowiązku przeprowadzania co najmniej raz na 2 lata, audytu bezpieczeństwa systemu, przez co pierwszy audyt powinien zostać przeprowadzony najpóźniej w terminie 3 lat od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej, co też Skarżąca uczyniła, zapewniając przeprowadzenie pierwszego audytu w dniu 8 listopada 2019 r.
W uzasadnieniu skargi Skarżąca przedstawiła argumentację na poparcie podniesionych zarzutów.
KNF w odpowiedzi na skargę wniosła o jej oddalenie, podtrzymując stanowisko wyrażone w uzasadnieniu zaskarżonej decyzji.
W piśmie z 21 sierpnia 2024 r. Skarżąca złożyła replikę na odpowiedź na skargę podtrzymując stanowisko zaprezentowane w skardze.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Skarga jest niezasadna i nie zasługuje na uwzględnienie.
Sądy administracyjne sprawują kontrolę działalności administracji publicznej pod względem zgodności z prawem. W zakresie dokonywanej kontroli Sąd bada, czy organ administracji rozstrzygając w sprawie nie naruszył prawa w stopniu mogącym mieć wpływ na wynik sprawy. Zgodnie z treścią art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (tekst jedn. Dz. U. z 202 r., poz. 935, zwanej dalej: p.p.s.a.) Sąd rozstrzyga w granicach danej sprawy nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną (...). Sąd nie może natomiast orzekać w kwestiach wykraczających poza przedmiot zaskarżenia (tak Naczelny Sąd Administracyjny w wyroku z dnia 12 stycznia 2005 r., sygn. akt OSK 1595/04).
Wojewódzki Sąd Administracyjny w Warszawie dokonał kontroli wydanych w tej sprawie decyzji na podstawie powołanego kryterium i stwierdził, że decyzje te są zgodne z prawem z następujących powodów.
Decyzją z [...] listopada 2018 r. KNF, jako organ właściwy do spraw cyberbezpieczeństwa dla sektora infrastruktury rynków finansowych uznała Skarżącą za operatora usługi kluczowej polegającej na prowadzeniu rynku regulowanego oraz na organizowaniu alternatywnego systemu obrotu instrumentami finansowymi. Jak wynika z akt sprawy, Skarżąca w dniu 14 października 2019 r. zawarła z E. N. S. I. Sp. z o.o. umowę o wykonanie usługi audytu bezpieczeństwa systemów informacyjnych. Zgodnie z załącznikiem nr 2 do umowy prace związane z audytem miały zakończyć się do 8 listopada 2019 r., natomiast do 24 listopada 2019 r. miał zostać opracowany raport końcowy. Czynności w ramach pierwszego audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej rozpoczęto 14 października 2019 r. a zakończono 8 listopada 2019 r. Raport końcowy (sprawozdanie z audytu) nosi datę 29 listopada 2019 r. Tego też dnia raport ten został odebrany przez Skarżącą.
Opisane ustalenia poczynione przez KNF są bezsporne.
Zgodnie z treścią art. 73 ust. 1 pkt 11 UKSC, stanowiącego podstawę prawną zaskarżonej decyzji, karze pieniężnej podlega operator usługi kluczowej, który nie przeprowadza audytu. Jak stanowi art. 73 ust. 3 pkt 10 UKSC wysokość kary pieniężnej, o której mowa w ust. 1 pkt 11 i 13, wynosi do 200 000 zł.
W myśl zaś art. 15 ust. 1 powołanej ustawy operator usługi kluczowej ma obowiązek zapewnić przeprowadzenie, co najmniej raz na 2 lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. Operatorem usługi kluczowej jest podmiot, w stosunku do którego organ właściwy wydał decyzję administracyjną o uznaniu za operatora usługi kluczowej (art. 5 ust. 1 UKSC). Obowiązki operatora usługi kluczowej, których termin wykonania rozpoczyna się z chwilą doręczenia decyzji o uznaniu za operatora usługi kluczowej, a kończy z upływem czasu określonego odpowiednio w pkt 1, 2 i 3 określa art. 16 powołanej ustawy, który w pkt 3 stanowi, że operator usługi kluczowej realizuje obowiązki określone w art. 15 ust. 1 - w terminie roku od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej.
Powołane przepisy zobowiązują operatora usługi kluczowej do przeprowadzania co najmniej raz na 2 lata audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. Pierwszy audyt powinien zostać przeprowadzony w ciągu roku od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej. Zgodnie natomiast z treścią art. 15 ust. 2 lit. b dyrektywy 2016/1148 operatorzy usług kluczowych powinni przekazywać właściwym organom krajowym dowody skutecznej realizacji polityk w zakresie bezpieczeństwa, takie jak wyniki audytu bezpieczeństwa.
Na operatorze usługi kluczowej spoczywa więc obowiązek zaplanowania audytu i zabezpieczenia terminowego wykonania czynności audytu (w tym sporządzenia raportu z przeprowadzonego audytu) w terminie wynikającym z art. 15 ust. 1 UKSC. To operator ponosi w świetle ww. przepisu odpowiedzialność również za działania jednostki audytującej.
Sąd podziela ocenę KNF, że "zapewnienie przeprowadzenia audytu", nie polega wyłącznie na podjęciu działań i czynności w ramach należytej staranności operatora usługi kluczowej. Okoliczność wywiązania się przez operatora usługi kluczowej z obowiązku zapewnienia przeprowadzenia audytu nie może być oceniana tylko przez pryzmat działań zmierzających do przeprowadzenia tego audytu (jak zawarcie umowy z jednostką audytującą i zakończenie czynności audytowych w terminie wynikającym z tej umowy). Operator kluczowy odpowiada za rezultat jakim jest przeprowadzenie audytu zakończone sporządzeniem raportu audytowego w terminie wynikającym z art. 15 ust. 1 UKSC (por. wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 4 sierpnia 2022 r., sygn. akt VI SA/Wa 405/22).
Powyższe rozumienie tak określonego obowiązku operatora usługi kluczowej potwierdza treść art. 15 ust. 5 UKSC, w którym wprowadzono prawny obowiązek sporządzenia pisemnego sprawozdania z audytu i przekazania go operatorowi usługi kluczowej. Pisemne sprawozdanie z przeprowadzonego audytu sporządza audytor na podstawie zebranych dokumentów i dowodów, które przekazuje operatorowi usługi kluczowej wraz z dokumentacją z przeprowadzonego audytu. Zgodnie zaś z treścią art. 15 ust. 7 UKSC kopia omawianego dokumentu jest przekazywana na uzasadniony wniosek organu właściwego do spraw cyberbezpieczeństwa, dyrektora Rządowego Centrum Bezpieczeństwa i Szefa Agencji Bezpieczeństwa Wewnętrznego. Jedynie sprawozdanie z audytu jest więc dokumentem pozwalającym na stwierdzenie, że operator usługi kluczowej wypełnił obowiązki wynikające z art. 15 UKSC. W konsekwencji raport stanowi dowód z przeprowadzonych prac audytowych oraz umożliwia ocenę, czy operator usługi kluczowej podjął działania zmierzające do eliminacji wykrytych ryzyk. Samo zakończenie czynności związanych z audytem nie spełnia bowiem celów audytu, gdyż nie pozwala na poprawę wykrytych nieprawidłowości. Powyższe wskazuje, że sporządzenie sprawozdania z audytu jest jego integralną częścią. Celem audytu jest bowiem dostosowanie procesów operatora usługi kluczowej do wymagań przewidzianych prawem. Wbrew przekonaniu Skarżącej, nie jest więc wystarczające samo rozpoczęcie audytu w terminie, lecz jego pełne zakończenie w ciągu roku od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej, którym to zakończeniem jest dzień sporządzenia raportu z przeprowadzonego audytu. Tym samym prawidłowo Organ stwierdził, że za termin zakończenia audytu należało przyjąć dzień sporządzenia raportu z przeprowadzonego audytu, tj. dzień 29 listopada 2019 r.
W ocenie Sądu, sformułowanie "nie przeprowadza audytu", o którym stanowi art. 73 ust. 1 pkt 11 UKSC odnosi się także do nieprzeprowadzenia audytu w sposób i w terminach określonych w art. 15 oraz art. 16 UKSC. Tym samym niedopełnienie terminu na przeprowadzenie pierwszego audytu systemu bezpieczeństwa jest objęte zakresem art. 73 ust. 1 pkt 11 UKSC. W omawianej regulacji Ustawodawca nie wyodrębnił przy tym penalizowania nieterminowego przeprowadzenia audytu bezpieczeństwa uznając, że penalizacja taka następuje poprzez zastosowanie art. 73 ust. 1 pkt 11 UKSC.
Organ trafnie stwierdził, że na taką wykładnię powołanych przepisów UKSC wskazują również wytyczne Europejskiej Agencji Bezpieczeństwa Sieci i Informacji z dnia 28 listopada 2018 r., z których wynika, że audyt systemu bezpieczeństwa przewidziany dyrektywą 2016/1148 składa się z trzech faz, gdzie ostatnia obejmuje sporządzenie końcowego raportu.
Skarżąca była więc zobowiązana do przeprowadzenia pierwszego audytu zakończonego sprawozdaniem w terminie roku od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej.
Sąd podziela również stanowisko Organu, zgodnie z którym obowiązek przeprowadzenia pierwszego audytu bezpieczeństwa ma charakter jednorazowy. Obowiązek cyklicznego wykonywania (nie rzadziej niż raz na 2 lata), audytu bezpieczeństwa dotyczy bowiem tych podmiotów, które przeprowadziły już co najmniej jeden audyt bezpieczeństwa.
Wymierzając karę pieniężną KNF prawidłowo zastosowała więc zarówno przepisy UKSC, jak i przepisy Działu IVa k.p.a.
Zgodnie z treścią art. 189f § 1 pkt 1 k.p.a. organ administracji publicznej, w drodze decyzji, odstępuje od nałożenia administracyjnej kary pieniężnej i poprzestaje na pouczeniu, jeżeli waga naruszenia prawa jest znikoma, a strona zaprzestała naruszania prawa.
W świetle poczynionych ustaleń Organ nie miał podstaw do zastosowania w sprawie art. 189f § 1 pkt 1 k.p.a. Przepis ten obliguje bowiem organ do odstąpienia od nałożenia kary i poprzestania na pouczeniu, jeżeli waga naruszenia jest znikoma, a strona zaprzestała naruszania prawa. Warunkiem jego zastosowania w okolicznościach danej sprawy jest kumulatywne zaktualizowanie się obydwu określonych nim przesłanek (vide wyrok Naczelnego Sądu Administracyjnego z 30 listopada 2022 r., sygn. akt II GSK 1091/19). W okolicznościach tej sprawy, KNF w sposób wyczerpujący wyjaśniła, dlaczego regulacja z art. 189f nie może mieć zastosowania, wypełniając tym samym obowiązek rozważenia z urzędu przesłanek odstąpienia od nałożenia kary pieniężnej. Pierwszy audyt bezpieczeństwa w podmiotach uznanych za operatorów kluczowych można przeprowadzić tylko raz. Pojęcia zaprzestania naruszania prawa nie należy utożsamiać z obowiązkiem przywrócenia przez stronę stanu zgodnego z prawem lub usunięciem skutków naruszenia prawa. Innymi słowy sporządzenie przez stronę wymaganego sprawozdania po terminie określonym w art. 16 pkt 3 UKSC nie stanowi zaprzestania naruszania prawa, ale jest wyrazem przywrócenia stanu zgodnego z prawem.
Zgodnie z treścią art. 189f § 2 k.p.a. w przypadkach innych niż wymienione w § 1, jeżeli pozwoli to na spełnienie celów, dla których miałaby być nałożona administracyjna kara pieniężna, organ administracji publicznej, w drodze postanowienia, może wyznaczyć stronie termin do przedstawienia dowodów potwierdzających:
1) usunięcie naruszenia prawa lub
2) powiadomienie właściwych podmiotów o stwierdzonym naruszeniu prawa, określając termin i sposób powiadomienia.
W sprawie tej, z uwagi na charakter popełnionego naruszenia, brak jest możliwości usunięcia naruszenia prawa. Nie można bowiem usunąć skutków naruszenia niewykonania w terminie pierwszego audytu bezpieczeństwa. Wykonanie obowiązku po terminie nie będzie stanowić usunięcia naruszenia prawa.
W myśl art. 189d pkt 5 k.p.a. wymierzając administracyjną karę pieniężną, organ administracji publicznej bierze pod uwagę działania podjęte przez stronę dobrowolnie w celu uniknięcia skutków naruszenia prawa. Przepis ten ma zastosowanie wyłącznie w zakresie wymierzania administracyjnej kary pieniężnej, tj. ustalenia jej wysokości. Nie ma natomiast zastosowania do nakładania tej kary. Okolicznościami naruszenia prawa są okoliczności niedopełnienia obowiązku (naruszenia zakazu) przez zindywidualizowanego sprawcę w konkretnej sytuacji faktycznej i prawnej. Okoliczności te mogą wpływać na wysokość wymierzanej kary pieniężnej. W rozpoznawanej sprawie Komisja wymierzając Skarżącej karę wzięła pod uwagę na korzyść Skarżącej upływ czasu od momentu, kiedy obowiązek powinien zostać wykonany do momentu, kiedy Skarżąca go wykonała, tj. opóźnienie wynoszące 20 dni. Komisja uwzględniając to nałożyła na Skarżącą karę jedynie w wysokości 10% ustawowego zagrożenia.
Podnoszone przez Skarżącą - z powołaniem na art. 7a § 1 k.p.a. - wątpliwości interpretacyjne dotyczące przepisów wskazanych w skardze zostały przez KNF prawidłowo rozstrzygnięte, a sposób ich wykładni został wszechstronnie wyjaśniony w uzasadnieniu zaskarżonej decyzji.
Sąd podziela też stanowisko Komisji, zgodnie z którym zarówno art. 76 UKSC, jak i art. 189f § 1 pkt 1 k.p.a. posługują się przesłanką "zaprzestania naruszania prawa", a co za tym idzie, jej interpretacja w obu przepisach powinna być dokonywana tożsamo. Skarżąca nie mogła zaprzestać naruszania prawa, gdyż przypisane jej naruszenie - o czym była mowa powyżej - miało charakter jednorazowy.
Reasumując, w stanie faktycznym tej sprawy Organ miał uzasadnione podstawy do tego, aby nałożyć na Skarżącą karę pieniężną. Komisja szczegółowo omówiła przy tym wszystkie ustawowe przesłanki wymiaru kary oraz uzasadniła ich wpływ na jej wysokość. Również i w tym zakresie zaskarżona decyzja w pełni odpowiada prawu.
Sąd nie podzielił również zarzutu nieprawidłowego podpisania zaskarżonej decyzji. Zgodnie z art. 11 ust. 1 ustawy o nadzorze nad rynkiem finansowym, Komisja w zakresie swojej właściwości podejmuje uchwały, w tym wydaje decyzje administracyjne i postanowienia, określone w przepisach odrębnych. Uchwały w imieniu Komisji podpisuje Przewodniczący Komisji lub Zastępca Przewodniczącego (ust. 3 powołanego przepisu). Podpisana przez Przewodniczącego Komisji decyzja nie jest odrębnym aktem od uchwały Komisji.
Zaskarżona decyzja zawiera wszystkie elementy wymagane art. 107 § 1 i 3 k.p.a. Stan faktyczny opisany w decyzji nie wymagał czynienia dodatkowych ustaleń. Skarżąca miała zapewniony czynny udział w postępowaniu. W uzasadnieniu prawnym przytoczono przepisy prawa i wyjaśniono ich zastosowanie. Sam fakt, że Skarżąca nie zgadza się ze stanowiskiem Komisji, nie dowodzi naruszenia przez Organ obowiązujących przepisów.
Ze wskazanych powodów Wojewódzki Sąd Administracyjny w Warszawie stwierdził, że wydane w tej sprawie decyzje są zgodne z prawem i dlatego oddalił skargę na podstawie art. 151 p.p.s.a.