VI SA/Wa 405/22

VI SA/Wa 405/22 - Wyrok WSA w Warszawie
Data orzeczenia
2022-08-04
orzeczenie nieprawomocne
Data wpływu
2022-02-21
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Danuta Szydłowska /przewodniczący/
Symbol z opisem
6379 Inne o symbolu podstawowym 637
Sygn. powiązane
II GSK 2062/22 - Wyrok NSA z 2026-02-25
Skarżony organ
Komisja Nadzoru Finansowego
Treść wyniku
Oddalono skargę
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodnicząca Sędzia WSA Dorota Pawłowska Sędziowie Sędzia WSA Aneta Lemiesz Sędzia WSA Danuta Szydłowska (spr.) Protokolant st. ref. Bartłomiej Grzybowski po rozpoznaniu na rozprawie w dniu 19 lipca 2022 r. sprawy ze skargi T. w [...] na decyzję Komisji Nadzoru Finansowego z dnia [...] grudnia 2021 r. nr [...] w przedmiocie kary pieniężnej oddala skargę
Uzasadnienie
Zaskarżoną decyzją z dnia [...] grudnia 2021 roku Komisja Nadzoru Finansowego na podstawie art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (tekst jedn.: Dz.U. z 2021 r. poz. 735, ze zm.) w zw. z art. 127 § 3 kpa w zw. z art. 11 ust. 1 i 5 ustawy z dnia 21 lipca 2006 r, o nadzorze nad rynkiem finansowym (Dz. U. 2020 poz. 2059) oraz na podstawie art. 73 ust. 1 pkt 11 i ust. 3 pkt 10 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2020 r. poz. 1369, ze zm.) w zw. z art. 41 pkt 4 UKSC, po rozpatrzeniu wniosku spółki T. S.A. z siedzibą w [...] o ponowne rozpoznanie sprawy utrzymała w mocy decyzję własną z dnia [...] sierpnia 2021 r. o nałożeniu na T. S.A. kary pieniężnej w wysokości 20 000 zl za naruszenie art. 15 ust. 1 UKSC poprzez niezapewnienie przeprowadzenia audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej w terminie, o którym mowa w art. 16 pkt 3 UKSC.
\W uzasadnieniu swojego stanowiska organ wyjaśnił, że pismem z dnia 6 kwietnia 2021 r. zawiadomił T. S.A. o wszczęciu z urzędu postępowania administracyjnego w przedmiocie nałożenia kary pieniężnej na podstawie art. 73 ust. 1 pkt 11 w zw. z ust. 3 pkt 10 UKSC, w związku z niezapewnieniem przeprowadzenia w terminie, o którym mowa w art. 16 pkt 3 UKSC, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, o którym mowa w art. 15 ust. 1 UKSC. Przyczyną wszczęcia postępowania były ustalenia poczynione przez organ nadzoru w wyniku kontroli w zakresie wykonywania obowiązków ustawowych operatora usługi kluczowej przeprowadzonej w dniach [...] listopada – [...] grudnia 2019 r. zawarte w protokole z kontroli z dnia [...] marca 2020 r. wraz z aneksem z dnia [...] lipca 2020 r.
Decyzją z dnia [...] sierpnia 2021 r. KNF nałożyła na Stronę karę pieniężną w wysokości 20 000 zł za naruszenie art. 15 ust. 1 UKSC poprzez niezapewnienie przeprowadzenia audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej w terminie, o którym mowa w art. 16 pkt 3 UKSC.
Rozpoznając wniosek spółki o ponowne rozpatrzenie sprawy organ wyjaśnił, że strona jest jedyną licencjonowaną giełdą towarową w Polsce, działającą w oparciu o przepisy m.in. ustawy z dnia 26 października 2000 r. o giełdach towarowych (Dz.U. z 2019 r. poz. 312, ze zm.), która posiada zezwolenie na prowadzenie rynku regulowanego. Działalność T. znajduje się pod nadzorem KNF w zakresie obrotu na prowadzonych przez giełdę rynkach, tj. energii elektrycznej, gazu ziemnego, praw majątkowych oraz uprawnień do emisji C02.
Decyzją z dnia [...] listopada 2018 r. Komisja, jako organ właściwy do spraw cyberbezpieczeństwa dla sektora infrastruktury rynków finansowych (zgodnie z art. 41 pkt 4 UKSC) uznała T. za operatora usługi kluczowej polegającej na prowadzeniu rynku regulowanego.
W dniach [...] listopada-[...] grudnia 2019 r. organ nadzoru przeprowadził w T. kontrolę w zakresie wykonywania obowiązków ustawowych operatora usługi kluczowej. Ustalono, że dnia 14 października 2019 r. zawarto pomiędzy T. a E.Sp. z o.o. umowę o wykonanie usługi audytu bezpieczeństwa systemów informacyjnych oraz sporządzenie i przekazanie pisemnego sprawozdania (raportu z audytu). Zgodnie z załącznikiem nr 2 do umowy prace związane z audytem miały zakończyć się do dnia 8 listopada 2019 r., natomiast do dnia 24 listopada 2019 r. miał zostać opracowany raport końcowy. Czynności w ramach pierwszego audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej rozpoczęte 14 października 2019 r. trwały do dnia 8 listopada 2019 r. Raport końcowy (sprawozdanie z audytu), sporządzony przez ENSI, nosi datę 29 listopada 2019 r.
Strona nie kwestionowała ustaleń ani w zastrzeżeniach do protokołu z dnia [...] kwietnia 2020 r., ani w toku postępowania poprzedzającego wydanie Decyzji jak również we wniosku o ponowne rozpatrzenie sprawy. Po wydaniu Decyzji nie przedstawiła i nie powołała się na żadne nowe dowody w sprawie, o które należałoby uzupełnić materiał dowodowy.
KNF wyjaśniła, że zgodnie z art. 15 ust. 1 UKSC operator usługi kluczowej ma obowiązek zapewnić przeprowadzenie, co najmniej raz na 2 lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. Według art. 16 pkt 3 UKSC operator usługi kluczowej realizuje obowiązki określone w art. 15 ust. 1 w terminie roku od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej. Zgodnie z art. 15 ust. 5 UKSC na podstawie zebranych dokumentów i dowodów audytor sporządza pisemne sprawozdanie z przeprowadzonego audytu i przekazuje je operatorowi usługi kluczowej wraz z dokumentacją z przeprowadzonego audytu.
Komisja podkreśliła, że art. 16 UKSC określa obowiązki operatora usługi kluczowej, których termin wykonania rozpoczyna się z chwilą doręczenia decyzji o uznaniu za operatora usługi kluczowej, a kończy z upływem czasu określonego odpowiednio w pkt 1, 2 i 3. W przypadku obowiązku wskazanego w art. 16 pkt 3 ww. ustawy oznacza to, że operator usługi kluczowej zobowiązany jest do zrealizowania audytu bezpieczeństwa systemu informacyjnego, o którym mowa w art. 15 ust. 1 ww. ustawy, w terminie roku od momentu otrzymania stosownej decyzji organu nadzoru.
Wykładnia językowa art. 15 ust. 1 UKSC jednoznacznie wskazuje na konieczność zakończenia audytu w terminie przewidzianym w ustawie. Nie jest zatem wystarczające samo rozpoczęcie audytu w terminie, lecz jego pełne zakończenie w ciągu roku od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej.
Ustawodawca nie precyzuje w jakim momencie możliwe jest uznanie audytu za zakończony. W art. 15 ust. 5 UKSC wprowadzono natomiast prawny obowiązek sporządzenia pisemnego sprawozdania z audytu i przekazania go operatorowi usługi kluczowej. Według art. 15 ust. 7 UKSC operator usługi kluczowej jest zobligowany do przekazania kopii sprawozdania z przeprowadzonego audytu na uzasadniony wniosek wymienionych w tym przepisie podmiotów. Ustawodawca uznał zatem, iż jedynie sprawozdanie z audytu jest dokumentem pozwalającym na stwierdzenie, że operator usługi kluczowej wypełnił obowiązki wynikające z art. 15 UKSC. Celem audytu jest skontrolowanie bezpieczeństwa systemu informacyjnego, a także sporządzenie wniosków dotyczących poprawy tego systemu. Wnioski te, zgodnie z art. 15 ust. 5 UKSC, powinny zostać przekazane operatorowi usługi kluczowej. Samo zakończenie czynności związanych z audytem nie spełnia celów tego audytu, gdyż nie pozwala na poprawę wykrytych nieprawidłowości. Powyższe wskazuje więc jednoznacznie, że sporządzenie sprawozdania z audytu jest jego integralną częścią. Na taką wykładnię art. 15 UKSC wskazują również wytyczne Europejskiej Agencji Bezpieczeństwa Sieci i Informacji z dnia 28 listopada 2018 r. dotyczące oceny zgodności dostawców usług cyfrowych oraz operatorów usług kluczowych z wymogami Dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii. Zdaniem ENISA audyt systemu bezpieczeństwa przewidziany Dyrektywą NIS składa się z trzech faz, z których ostatnia obejmuje sporządzenie końcowego raportu (s. 12 wytycznych). Wytyczne ENISA nie mają charakteru powszechnie obowiązującego, niemniej jednak stanowią istotną wskazówkę interpretacyjną Dyrektywy NIS, której implementacją jest UKSC.
Sporządzenie sprawozdania z audytu po terminie przewidzianym w art. 15 ust. 1 lub art. 16 pkt 3 UKSC jest zatem równoznaczne z niezapewnieniem przeprowadzenia audytu w ustawowym terminie.
Zgodnie z art. 73 ust. 1 pkt 11 UKSC "karze pieniężnej podlega operator usługi kluczowej, który nie przeprowadza audytu". Według art. 73 ust. 3 pkt 10 UKSC wysokość kary pieniężnej, o której mowa w ust. 1 pkt 11 wynosi do 200 000 zł. Zgodnie zaś z art. 73 ust. 4 pkt 3 UKSC kara, o której mowa w ust. 1 pkt 11 nie może być niższa niż 15 000 zł.
KNF stwierdziła, iż Strona, wbrew ciążącemu na niej obowiązkowi z art. 15 ust. 1 w zw. z art. 16 pkt 3 UKSC, nie przeprowadziła w terminie roku od dnia doręczenia pisemnej decyzji o uznaniu za operatora usługi kluczowej ([....] listopada 2018 r.) audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia tej usługi. Termin na przeprowadzenie audytu, włącznie z przygotowaniem i przekazaniem pisemnego sprawozdania T., upływał w dniu [...] listopada 2019 r., zaś sprawozdanie z audytu w rozpatrywanej sprawie sporządzono [...] listopada 2019 r., tj. z 20-dniowym opóźnieniem. W związku z tym w przedmiotowej sprawie istnieją przesłanki do zastosowania sankcji administracyjnej, o której mowa w art. 73 ust. 1 pkt 11 w związku z art. 73 ust. 3 pkt 10 UKSC.
Odnosząc się do zarzutu niezastosowania art 76 UKSC oraz art. 189f § 1 pkt 1 kpa Komisja wyjaśniła, że w związku z brakiem zawarcia w UKSC regulacji tyczących się odstąpienia od nałożenia kary pieniężnej, zastosowanie znajdą regulacje art. 189f w zw. z art. 189a § 2 pkt 2 kpa. Art. 189a § 2 pkt 2 kpa wskazuje, iż w przypadku uregulowania w przepisach odrębnych odstąpienia od nałożenia administracyjnej kary pieniężnej lub udzielenia pouczenia, przepisów niniejszej działu (w tym przepisów regulujących zagadnienia odstąpienia) nie stosuje się.
Jak wynika z art. 189f § 1 kpa ustawodawca przewidział dwie przesłanki odstąpienia od wymierzenia kary pieniężnej, nie wymagając ich łącznego wystąpienia: (1) waga naruszenia prawa jest znikoma, a strona zaprzestała naruszania prawa lub (2) za to samo zachowanie na stronę została uprzednio nałożona administracyjna kara pieniężna przez inny uprawniony organ administracji publicznej albo kara za wykroczenie albo wykroczenie skarbowe albo strona została prawomocnie skazana za przestępstwo albo przestępstwo skarbowe i uprzednia kara spełnia cele, dla których miałaby być nałożona administracyjna kara pieniężna.
Organ, wskazując na formułowany przez doktrynę pogląd dokonał wykładni przesłanki wagi naruszenia oraz pojęcia zaprzestania naruszenia prawa i stwierdził, że brak jest możliwości odstąpienia od wymierzenia kary i poprzestania na pouczeniu zgodnie z art. 189f § 1 kpa. Brak jest również możliwości odstąpienia od nałożenia administracyjnej kary pieniężnej na podstawie art. 189f § 1 pkt 2 kpa jak i art. 189f § 2 i 3 kpa.
Organ wyjaśnił, że odstąpienie fakultatywne następuje w przypadkach jeżeli pozwoli to na spełnienie celów, dla których miałaby być nałożona administracyjna kara pieniężna. W takiej sytuacji organ administracji publicznej może wyznaczyć termin do przedstawienia dowodów, potwierdzających (1) usunięcie naruszenia prawa łub (2) powiadomienie właściwych podmiotów o stwierdzonym naruszeniu prawa. Jeżeli strona - we właściwym trybie - przedstawi dowody potwierdzające (1) usunięcie naruszenia prawa lub (2) powiadomienie właściwych podmiotów o stwierdzonym naruszeniu prawa, organ administracji jest wówczas zobligowany do odstąpienia od nałożenia administracyjnej kary pieniężnej i poprzestaje na samym pouczeniu.
W ocenie organu brak jest podstaw do zastosowania fakultatywnego odstąpienia od nałożenia administracyjnej kary pieniężnej. Po pierwsze, z uwagi na charakter popełnionego naruszenia, brak jest możliwości usunięcia naruszenia prawa.
Po drugie, T. pełni funkcję operatora infrastruktury rynku finansowego i nakładanie na Stronę obowiązku powiadamiania kogokolwiek o zaistniałym naruszeniu, skoro wiedzę o nim posiada organ nadzoru, byłoby bezcelowe.
Po trzecie, ewentualnie odstąpienie od nałożenia sankcji administracyjnej nie pozwoliłoby na spełnienie celów prewencyjnych niniejszego postępowania.
Odnosząc się do argumentacji, że organ nadzoru powołując się na rozstrzygnięcie WSA w Warszawie z dnia 13 marca 2020 r., błędnie je zinterpretował, gdyż dotyczyło ono innego stanu faktycznego, Komisja podkreśliła, iż w uzasadnieniu powołanego orzeczenia znajdują się ogólne rozważania dotyczące przesłanki zaprzestania naruszenia prawa, co umożliwia odniesienie tych rozważań również do rozpatrywanej sprawy.
W ocenie organu Strona błędnie również odnosi do przedmiotowej sprawy wnioski wywiedzione z normy zawartej w art. 56 ust. 6a ustawy z dnia 10 kwietnia 1997 r. Prawo energetyczne (tekst jedn.: Dz.U. z 2021 r., poz. 716 ze zm.) oraz wydanego w jej oparciu rozstrzygnięcia Sądu Najwyższego z dnia 15 października 2014 r., sygn. III SK 47/13. W pierwszej kolejności organ wskazał na rozbieżności między art. 56 ust. 6a Prawa energetycznego, a art. 189f § 1 pkt 1 kpa. Zgodnie bowiem z treścią art. 56 ust. 6a Prawa energetycznego: "Prezes URE może odstąpić od wymierzenia kary, jeżeli stopień szkodliwości czynu jest znikomy, a podmiot zaprzestał naruszania prawa lub zrealizował obowiązek. " Przywołany zatem przez Stronę art. 56 ust. 6a Prawa energetycznego, jako przesłanki odstąpienia, rozróżnia, poza znikomością szkodliwości czynu, "zaprzestanie naruszenia prawa" - wymóg ujęty w art. 189f § 1 pkt 1 kpa lub "realizację obowiązku" - wymóg nieujęty art. 189f § 1 pkt 1 kpa. Stąd też w pełni trafne i zasadne jest wyróżnienie przez SN w wyroku z dnia 15 października 2014 r., sygn. III SK 47/13 dwóch typów zachowań, jakich może się dopuścić przedsiębiorstwo energetyczne, które naruszyło przepisy Prawa energetycznego: (1) zaprzestanie dalszego naruszania norm Prawa energetycznego, a zatem zmiana postępowania, w wyniku której zachowanie przedsiębiorstwa, które do tej pory było niezgodne z prawem przestaje już być z nim sprzeczne - dotyczy naruszeń Prawa energetycznego polegających na niewykonaniu obowiązku zachowania o charakterze ciągłym oraz (2) realizację obowiązku - dotyczy naruszeń Prawa energetycznego polegających na niewykonaniu obowiązku określonego zachowania o charakterze jednorazowym bądź terminowym. SN trafnie wywiódł, iż zrealizowanie obowiązku, który nie został przez przedsiębiorstwo energetyczne wykonany prawidłowo, bądź został wykonany nieterminowo lub niepełnie, uprawnia Prezesa Urzędu do odstąpienia od wymierzenia kary pieniężnej, którą w innym przypadku organ ten byłby zobowiązany nałożyć na przedsiębiorstwo energetyczne. Wniosek taki wynika bowiem wprost z art. 56 ust. 6a Prawa energetycznego in fine.
Opisanego powyżej wniosku SN nie sposób odnieść do rozpatrywanej sprawy, gdyż redakcja przepisu art. 189f § 1 pkt 1 kpa i zawarte w nim sformułowanie "zaprzestanie naruszania prawa" determinuje, iż instytucja odstąpienia może znaleźć zastosowanie jedynie do zachowań ciągłych.
Odnosząc się do zarzutu pobieżnej analizy sprawy, o czym świadczyć miało rzekomo pominięcie bogatej linii orzeczniczej wskazującej, że dopełnienie obowiązku po terminie świadczy o zaprzestaniu naruszania prawa, a w konsekwencji może uprawniać organ nadzoru do odstąpienia od wymierzenia kary pieniężnej, KNF wskazało, iż poza przywołanymi przez Stronę orzeczeniami, z których większość jest nieprawomocna, w orzecznictwie sądów administracyjnych prezentowany jest również pogląd, że wymóg zaprzestania naruszania prawa znajduje zastosowanie wyłącznie w odniesieniu do naruszeń o charakterze ciągłym, trwałym i powtarzającym się, a nie ma zastosowania do jednorazowego naruszenia obowiązku lub zakazu.
KNF uznała, iż Strona błędnie argumentuje, iż podstawą ewentualnego nałożenia sankcji administracyjnej w rozpatrywanej sprawie mógł potencjalnie być jedynie art. 76 UKSC, który - w jej ocenie - reguluje reżim odpowiedzialności po wykonaniu audytu. Zgodnie z art. 76 UKSC: "Kara, o której mowa w art. 73, może zostać nałożona również w przypadku, gdy podmiot zaprzestał naruszania prawa lub naprawił wyrządzoną szkodę, jeżeli organ właściwy do spraw cyberbezpieczeństwa uzna, że przemawiają za tym czas trwania, zakres lub skutki naruszenia. " Jak słusznie zauważyła Strona, zarówno art. 76 UKSC, jak art. 189f § 1 pkt 1 kpa obok kryterium istotności naruszenia posługują się także przesłanką "zaprzestania naruszania prawa", a co za tym idzie, jej interpretacja w obu przepisach powinna być dokonywana tożsamo. W przedmiotowej sprawie Strona nie mogła zaprzestać naruszania prawa, gdyż przypisane jej naruszenie miało charakter jednorazowy. W konsekwencji niecelowe było przeprowadzanie postępowania dowodowego i analizowanie, czy czas trwania naruszenia, jego zakres oraz skutki uzasadniają nałożenie kary. W opisanym bowiem stanie faktycznym, podstawą nałożenia kary administracyjnej na T. mógł być jedynie art. 73 UKSC, a nie art. 76 UKSC.
Odnosząc się do zarzutu naruszenia art. 73 ust. 1 pkt 11 w zw. z ust. 3 pkt 10 UKSC w zw. z art. 6 kpa organ wyjaśnił, że stosownie do treści art. 73 ust. 1 pkt 11 UKSC: Karze pieniężnej podlega operator usługi kluczowej, który nie przeprowadza audytu. Art. 73 ust. 3 pkt 10 UKSC określa maksymalną wysokość kary pieniężnej, jaka może zostać nałożona na podstawie art. 73 ust. 1 pkt 11 UKSC i wynosi ona 200 000 zł.
Ustawodawca na gruncie UKSC przewidział dwa przypadki, kiedy na operatorze usługi kluczowej ciąży obowiązek przeprowadzenia audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia ww. usługi. Po pierwsze, jest to art. 15 ust. 1 UKSC, który nakłada na operatora usługi kluczowej obowiązek wykonywania cyklicznego, nie rzadziej niż raz na 2 lata, audytu. Po drugie, w art. 16 pkt 3 UKSC ustawodawca, zmodyfikował obowiązek wynikający z art. 15 ust. 1 UKSC w ten sposób, iż podmiot uznany za operatora usługi kluczowej ma obowiązek przeprowadzić pierwszy audyt bezpieczeństwa w terminie roku od dnia doręczenia decyzji przyznającej taki status.
Zdaniem KNF sankcja z art. 73 ust. 1 pkt 11 UKSC obejmuje zarówno przypadek, kiedy operator usługi kluczowej nie przeprowadza audytu w ogóle, jak i przypadek kiedy nie przeprowadza audytu w przewidzianym terminie - tak jak wynika to z art. 15 ust. 1 w zw. z art. 16 pkt 3 UKSC. Istota obowiązku wynikającego z art. 15 ust. 1 w zw. z art. 16 pkt 3 UKSC polegała na przeprowadzeniu audytu w określonym terminie, a skoro Strona opisanego obowiązku nie zrealizowała, to zaistniał delikt prawa administracyjnego zobowiązujący KNF do nałożenia sankcji. Przeprowadzenie pierwszego audytu bezpieczeństwa po upływie wyznaczonego czasu nie będzie oznaczało, że Strona wypełniła ciążący na niej obowiązek, a będzie stanowić okoliczność wpływającą na wymiar kary, co zostało uwzględnione w Decyzji.
KNF nie zgodziła się także z zaprezentowaną przez Stronę wykładnią art. 15 ust. 1 w zw. z art. 16 pkt 3 UKSC z której wynika, iż w terminie jednego roku od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej, operator ten ma zapewnić przeprowadzenie, co najmniej raz na dwa lata, audytu bezpieczeństwa systemu informatycznego wykorzystywanego do świadczenia usługi kluczowej.
Podniosła, że w art. 15 ust. 1 UKSC ustawodawca przewidział ciążący na operatorze usługi kluczowej obowiązek wykonywania cyklicznego, nie rzadziej niż raz na 2 lata, audytu bezpieczeństwa. Powyższy obowiązek - w ocenie KNF - dotyczy tych podmiotów, które przeprowadziły już co najmniej jeden audyt bezpieczeństwa, gdyż wówczas możliwe jest określenie, czy kolejny audyt został przeprowadzony w przepisanym czasie.
Następnie w art. 16 UKSC ustawodawca wskazał, w jakim terminie obowiązki ciążące na operatorze usługi kluczowej powinny być wypełnione w sytuacji, kiedy operator ten dopiero co uzyskał taki status - doręczono mu decyzję o uznaniu za operatora usługi kluczowej. W art. 16 pkt 3 UKSC ustawodawca wskazał, iż: "Operator usługi kluczowej realizuje obowiązki określone w art. 15 ust. 1 - w terminie roku od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej.'" W ocenie KNF z redakcji art. 16 pkt 3 UKSC wynika jednoznacznie, iż ustawodawca zmodyfikował termin wykonania obowiązku z art. 15 ust. 1 UKSC w ten sposób, iż podmiot, który uzyskał status operatora usługi kluczowej winien audyt bezpieczeństwa systemu informacyjnego (de facto pierwszy taki audyt) przeprowadzić w terminie roku od dnia doręczenia decyzji przyznającej status operatora usługi kluczowej.
Odmienne rozumienie przepisu art. 15 ust. 1 w zw. z art. 16 pkt 3 UKSC prowadziłoby do nieuzasadnionego wniosku, iż podmiot, który dopiero co uzyskał status operatora usługi kluczowej ma dłuższy okres na przeprowadzenie audytu bezpieczeństwa, niż podmiot który już ten status posiada i stosuje się do brzmienia art. 15 ust. 1 UKSC. Zaprezentowany wniosek jest spójny z redakcją art. 16 pkt 1 i 2 UKSC. W art. 16 pkt 1 i 2 UKSC ustawodawca przewidział bowiem terminy, odpowiednio 3 miesięczny i 6 miesięczny, na wdrożenie obowiązków operatorów usług kluczowych w sytuacji uzyskania takiego statusu przez operatora. Przedstawione rozumienie art. 15 ust. 1 w zw. z art. 16 pkt 3 UKSC znajduje również oparcie w piśmiennictwie oraz jest zbieżne z uzasadnieniem projektu UKSC. Niewątpliwie bowiem celem przeprowadzenia pierwszego audytu przez operatora usługi kluczowej jest sformułowanie obiektywnej oceny w zakresie spełniania przez niego wymogów bezpieczeństwa.
W ocenie KNF za niemający oparcia w art. 15 ust. 1 w zw. z art. 16 pkt 3 UKSC należy uznać wniosek Strony, że termin roku od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej, o którym mowa w art. 16 pkt 3 ww. ustawy, jest to czas na podjęcie czynności przygotowawczych mających na celu przeprowadzenie audytu. Strona wywiodła, iż oznacza to, że od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej pierwszy audyt bezpieczeństwa powinien być wykonany w terminie maksymalnie 3 lat (jeden rok na przeprowadzenie czynności przygotowawczych a następnie 2 lata na przeprowadzenie audytu). KNF wskazało, iż z treści art. 16 pkt 3 UKSC wynika jedynie nakaz, aby obowiązek przeprowadzenia audytu został zrealizowany w terminie 1 roku. Ustawodawca nie poczynił tym zakresie rozróżnienia na czynności przygotowawcze i czynności wchodzące w skład audytu. Powyższy wniosek jest też o tyle zasadny, że pierwszy audyt bezpieczeństwa ma służyć weryfikacji m.in. wdrożonego systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej - art. 8 UKSC, czy też powołania wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo względnie zlecenia tych zadań podmiotom zewnętrznym - art. 14 UKSC, a te obowiązki zgodnie z art. 16 pkt 1 i 2 UKSC operator ma obowiązek spełnić w terminie 3 miesięcy i 6 miesięcy od otrzymania decyzji przyznającej status operatora kluczowego.
Nie zasługuje również na uwzględnienie argumentacja, że sprawozdanie z przeprowadzonego audytu (raport) nie należy do samego audytu, a jak wynika z wytycznych ENISA, stanowi jedynie etap czynności powykonawczych.
Ustawodawca nie sprecyzował, w jakim momencie możliwe jest uznanie audytu za zakończony. Przewidział jednak prawny obowiązek audytora sporządzenia pisemnego sprawozdania z przeprowadzonego audytu i przekazania go wraz z dokumentami operatorowi usługi kluczowej (art. 15 ust. 5 UKSC). Według art. 15 ust. 7 UKSC operator usługi kluczowej jest zobligowany do przekazania kopii sprawozdania z przeprowadzonego audytu na uzasadniony wniosek wymienionych w tym przepisie podmiotów. W konsekwencji trafnym jest wniosek, że ustawodawca przyjął, iż jedynie sprawozdanie z audytu jest dokumentem pozwalającym na stwierdzenie, że operator usługi kluczowej wypełnił obowiązki wynikające z art. 15 UKSC.
Rozważając zagadnienie, czy raport z audytu stanowi integralną część audytu nie sposób pominąć celu, jakiemu ma służyć przeprowadzenie audytu, tj. skontrolowanie bezpieczeństwa systemu informacyjnego, a także sporządzenie wniosków dotyczących poprawy tego systemu. W konsekwencji raport stanowi dowód z przeprowadzonych prac audytowych oraz umożliwia ocenę, czy operator usługi kluczowej podjął działania zmierzające do eliminacji wykrytych ryzyk.
Powyższego stanowiska nie zmienia przywołany przez Stronę "Szablon sprawozdania z Audytu zgodnego z ustawą o Krajowym Systemie Cyberbezpieczeństwa" opublikowany przez Ministerstwo Cyfryzacji, w którego metryce rozróżniono datę rozpoczęcia i zakończenia audytu od daty sporządzenia raportu. Organ podkreślił, iż ww. dokument, jak wynika z informacji zamieszczonej na stronie Ministerstwa Cyfryzacji stanowi wzór sprawozdania, który ma służyć zapewnieniu jednolitości sprawozdań z audytu. Przy czym na gruncie UKSC brak jest przepisów przewidujących uprawnienie Ministra Cyfryzacji do wydawania aktów podustawowych zawierających wzory sprawozdań z audytu. W ocenie KNF nie powinno się zatem wywodzić - tak jak to czyni Strona - wniosków co do wykładni UKSC z prawnie niewiążących informacji zamieszczanych na stronach Ministerstwa Cyfryzacji, które dodatkowo służyć miały innemu celowi.
Zdaniem KNF Strona błędnie również wywodzi, że skoro w art. 15 ust. 5 UKSC jest mowa o sprawozdaniu z "przeprowadzonego audytu ", to sprawozdanie (raport) odnosi się do wykonanego audytu i jest w stosunku do niego czynnością następczą. W ocenie KNF redakcja ww. przepisu wskazuje jedynie, że w pierwszej kolejności przeprowadzane są czynności audytowe a w drugiej kolejności, sporządzony jest w oparciu o poczynione ustalenia raport. Redakcja przepisu art. 15 ust. 5 UKSC nie przesądza zatem, że raport nie stanowi integralnej części audytu.
Za brakiem uznania sprawozdania z audytu jako integralnej części audytu nie przemawiają również przywołane przez Stronę wytyczne ENISA, z których wynika, iż raport z audytu jest wymieniony jako czynności powykonawcze i należy go odróżnić od fazy wykonawczej audytu, która stanowi główną fazę audytu. Z wytycznych wynika, iż audyt systemu bezpieczeństwa przewidziany Dyrektywą NIS składa się z trzech faz, gdzie ostatnia obejmuje sporządzenie końcowego raportu ("Post-Execution Phase"), nie wynika natomiast, iż audyt sprowadza się jedynie do fazy wykonawczej ("Audit Execution/Fieldwork Phase"), zaś faza powykonawcza obejmująca m.in. sporządzenie raportu końcowego stanowi odrębny etap od samego audytu.
Odwołanie się do wytycznych ENISA prowadzi do wniosku, że ENISA szeroko ujmuje zakres audytu przesądzając, że pełen cykl audytu obejmuje wszystkie etapy procesu audytowego, od fazy przygotowawczej, poprzez fazę wykonawczą a kończąc na fazie powykonawczej.
W ocenie KNF w rozpatrywanej sprawie - wbrew argumentacji Strony - nie zachodzi konieczność zastosowania art. 7a § 1 kpa, z uwagi na wątpliwości co do wykładni art. 15 ust. 1 w zw. z art. 16 pkt 3 UKSC. Przepis art. 7a § 1 kpa, nakazuje, aby w postępowaniu, którego przedmiotem jest nałożenie na stronę obowiązku bądź ograniczenie lub odebranie stronie uprawnienia, wszelkie wątpliwości co do treści normy prawnej rozstrzygać na korzyść strony, chyba że sprzeciwiają się temu sporne interesy stron albo interesy osób trzecich, na które wynik postępowania ma bezpośredni wpływ. Jak wskazuje się w orzecznictwie " (...) w przypadku, gdy rezultat przeprowadzonej wykładni, mimo zastosowania różnych metod interpretacji, pozwala na przyjęcie alternatywnych względem siebie treści normy prawnej, prawidłowym rozwiązaniem jest wybór znaczenia, które jest korzystne dla strony. Jeśli jednak wynik przeprowadzonej wykładni daje jasność co do treści normy prawnej, to nie ma podstaw do zastosowania art. 7a § 1 Kpa. Tylko niedające się usunąć wątpliwości co do treści przepisów stosowanego prawa rozstrzyga się na korzyść strony," W ślad za doktryną organ wskazał, iż w przywołanym przepisie nie chodzi o jakiekolwiek wątpliwości, co do znaczenia przepisu prawa, ale o wątpliwości, które pozostają, a zatem te, których nie dało się usunąć w drodze uznanych lub nakazanych metod (reguł, dyrektyw, wskazówek) wykładni .W rozpatrywanej sprawie nie zachodzą wątpliwości co do treści przepisów art. 15 ust. 1 w zw. z art. 16 pkt 3 UKSC, których nie można usunąć w toku wykładni. W szczególności w toku wykładni przywołanych przepisów nie stwierdzono, aby istniała więcej niż jedna alternatywna treść normy prawnej.
KNF, zgadzając się z argumentacją tyczącą się prawidłowej budowy normy prawnej, spełniającej zasadę przyzwoitej legislacji stwierdziła, że jej adresatem winien być ustawodawca, a nie organ administracji publicznej stosujący prawo.
Komisja, odnosząc się do zarzutu naruszenia art. 7 kpa, art. 77 § 1 kpa oraz art. 80 kpa podkreśliła, iż ustalony stan faktyczny ma pełne odzwierciedlenie w zgromadzonym materiale dowodowym i w toku postępowania zakończonego wydaniem Decyzji nie był kwestionowany przez Stronę.
W sprawie zakończonej wydaniem Decyzji nie było konieczności rozpatrywania przesłanek wymienionych w art. 76 UKSC. albowiem przepis ten, z uwagi na brak spełnienia przesłanki zaprzestania naruszania prawa, nie znajdzie zastosowania w niniejszej sprawie.
Strona wyprowadziła również niezasadny wniosek o sprzeczności w Decyzji, gdzie w stanie faktycznym Komisja ustaliła, iż audyt został zakończony w dniu [...] listopada 2020 r., a następnie twierdziła, że audyt został zakończony w dniu sporządzenia raportu czyli [...] listopada 2020 r. Z uzasadnienia Decyzji wynika bowiem jednoznaczne stanowisko KNF, iż do zakończenia audytu konieczne jest sporządzenie sprawozdania z przeprowadzonego audytu. Zatem to data sporządzenia tego sprawozdania stanowi zakończenie audytu - czyli jego przeprowadzenie w rozumieniu art. 15 ust. 1 UKSC. Organ, dostrzegając nie dość precyzyjne sfomułowanie w opisie stanu faktycznego Decyzji i kierując się zasadą przekonywania, doprecyzował kwestionowany element stan faktyczny poprzez użycie sformułowania czynności audytowe, które to sformułowanie zbieżne jest z treścią protokołu z kontroli
Komisja skonkludowała, że T. dopuściło się naruszenia prawa wobec braku przeprowadzenia audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej w terminie roku od dnia doręczenia decyzji przyznającej Stronie taki status. Z uwagi zatem na brak zasadności wniosku o uchylenie Decyzji, nietrafny jest również wniosek T. o umorzenie postępowania z uwagi na jego bezprzedmiotowość. Ustalenia przez organ nadzoru, że Strona dopuściła się naruszenia prawa oraz uwzględniając, iż T. nadal istnieje i nie odpadła podstawa prawna umożliwiająca załatwienie sprawy, nie zachodzi w rozpatrywanej sprawie bezprzedmiotowość.
Organ stwierdził nadto, że brak jest podstaw do zastosowania art. 138 § 1 pkt 2 w zw. z art. 189f § 1 pkt 1 kpa. Strona nie powołała nowych okoliczności, nie znanych organowi nadzoru z dotychczasowego toku postępowania, w tym z wniosku o ponowne rozpatrzenie sprawy.
W końcowej części uzasadnienia Komisja dokonała wykładni przepisu sankcyjnego i szczegółowo uzasadniła wysokość nałożonej kary pieniężnej.
W skardze złożonej do Wojewódzkiego Sądu Administracyjnego w Warszawie, T.S.A. wniosła o uchylenie zaskarżonej decyzji oraz poprzedzającej ją decyzji wydanej w I instancji i zasądzenie kosztów postępowania.
Skarżąca podniosła zarzuty naruszenia:
I. przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj.:
1) art. 189f § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego poprzez dokonanie błędnej wykładni pojęcia "zaprzestanie naruszania prawa" w odniesieniu do obowiązku sporządzenia audytu bezpieczeństwa systemu informacyjnego, przez Skarżącą, jako operatora usługi kluczowej, polegającej na uznaniu, że nieprzeprowadzenie audytu w terminie ma charakter jednorazowy, skończony, nieodwracalny oraz nienaprawialny, przez co wymóg zaprzestania naruszania prawa, o którym mowa w przedmiotowym przepisie, jako mający zastosowanie wyłącznie do naruszeń o charakterze ciągłym, trwałym lub powtarzającym się, nie został i nie mógł zostać spełniony, co w konsekwencji doprowadziło do niezastosowania względem Skarżącej przedmiotowego przepisu, tj. doprowadziło do nieodstąpienia od nałożenia na Skarżącą kary pieniężnej, podczas gdy prawidłowa wykładnia pojęcia "zaprzestanie naruszania prawa" winna prowadzić do wniosku, że w odniesieniu do nieterminowego przeprowadzenia audytu do naruszenia dochodzi z chwilą upływu pierwotnego terminu jego przeprowadzenia, a zaprzestanie naruszania ma miejsce z chwilą jego ukończenia (na skutek czego dochodzi do pełnej realizacji obowiązku), gdzie w przedmiotowej sprawie w związku z przeprowadzeniem audytu (odpowiednio w ocenie Skarżącej w dniu [...] listopada 2019 roku, oraz w ocenie organu – [...] listopada 2019 roku), doszło do zaprzestania naruszania prawa przez Skarżącą, co z kolei, na skutek spełnienia wszystkich przesłanek z art. 189f § 1 pkt 1 k.p.a., obligowało organ do odstąpienia od nałożenia kary pieniężnej, i poprzestania na pouczeniu skoro przesłanka znikomości wagi naruszenia została w przedmiotowej sprawie spełniona, co zostało wprost i wielokrotnie przyznane przez KNF;
2) art. 189f § 2 k.p.a. poprzez:
a) błędną jego wykładnię, polegającą na uznaniu, że w sprawie brak jest możliwości "usunięcia naruszenia prawa", rozumianego przez organ jako "usunięcie przyczyny powstania stanu niezgodnego z prawem" z uwagi na fakt, że nieprzeprowadzenie audytu w terminie ma charakter jednorazowy, skończony, nieodwracalny oraz nienaprawialny, w sytuacji, gdy prawidłowa wykładnia tego pojęcia powinna prowadzić do wniosku, że w sprawie, poprzez przeprowadzenie audytu (nawet-jak utrzymuje organ - po terminie), w związku z zakończeniem okresu pozostawania w naruszeniu (tj. w okresie od upływu terminu na przeprowadzenie audytu do dnia jego przeprowadzenia) doszło do usunięcia przez Skarżącą stanu naruszenia poprzez samoczynne usunięcie tego naruszenia, a także terminowe przeprowadzenie audytu w okresach kolejnych;
b) dorozumiane przyjęcie, że przesłanki odstąpienia od wymierzenia kary pieniężnej na podstawie art. 189f § 2 k.p.a. muszą zostać łącznie spełnione, w sytuacji, gdy ustawodawca w przepisie posłużył się spójnikiem "lub", tj. alternatywą nierozłączną, co oznacza, że nawet spełnienie jednej z przesłanek (w przedmiotowej sprawie przesłanki "usunięcia naruszenia prawa"), przy jednoczesnym spełnieniu celów, dla których miałaby być nałożona administracyjna kara pieniężna, skutkuje możliwością odstąpienia od nałożenia kary pieniężnej;
c) błędną wykładnię pojęcia "spełnienie celów, dla których miałaby być nałożona administracyjna kara pieniężna", polegającą na przyjęciu, że wyłącznie nałożenie kary pieniężnej, w miejsce zastosowania pouczenia, pozwoli na spełnienie celów prewencyjnych postępowania, zmierzającego do zapewniania, aby podmioty nadzorowane wykonywały ciążące na nich obowiązki nałożone przez obowiązujące przepisy prawa, która to wykładnia wypacza sens wprowadzenia przez ustawodawcę instytucji odstąpienia od wymierzenia kary pieniężnej, skoro w ocenie organu tylko jej wymierzenie skutkować może osiągnięciem celów postępowania;
3) art. 7a § 1 k.p.a. poprzez jego niezastosowanie:
a) polegające na braku rozstrzygnięcia, na korzyść Strony, wątpliwości interpretacyjnych co do treści normy prawnej zawartej w art. 15 ust. 1 w zw. z art. 16 pkt 3 u.k.s.c., w zakresie:
(i) terminu przeprowadzenia pierwszego audytu przez operatora usługi kluczowej oraz
(ii) momentu uznania audytu za zakończony;
b) polegające na braku rozstrzygnięcia, na korzyść Strony, wątpliwości interpretacyjnych co do treści normy prawnej zawartej w art. 73 ust. 1 pkt 11. u.k.s.c., co do zakresu sankcjonowania zaniechać operatora usługi kluczowej, tj. wyłącznie za nieprzeprowadzenie audytu w ogóle, czy też zarówno za nieprzeprowadzenie audytu jako takiego, jak i za przeprowadzenie audytu, jednakże nieterminowe;
c) w sytuacji, gdy przed podjęciem czynności kontrolnych wobec Skarżącej organ nie wydał stanowiska, wyrażającego podejście organu nadzoru w zakresie kierunków interpretacji przepisów wprowadzających obowiązek zapewnienia przeprowadzenia audytu oraz sposobu i terminów wykonania tego obowiązku;
4) art. 7 k.p.a. w zw. z art. 77 § 1 k.p.a. w zw. z art. 80 k.p.a. oraz art. 8 k.p.a. poprzez ich niewłaściwe zastosowanie polegające na braku wszechstronnego rozważenia wszelkich okoliczności sprawy, niepodjęcia dostatecznych kroków niezbędnych do dokładnego wyjaśnienia stanu faktycznego sprawy, prowadzenie postępowania w sposób niebudzący zaufania strony oraz niewyjaśnienie zasadności przesłanek, którymi organ kierował się przy załatwieniu sprawy, w szczególności nierozważenie przez organ wszelkich przesłanek konstytuujących odpowiedzialność administracyjnoprawną Skarżącej, w tym arbitralne uznanie odpowiedzialności Skarżącej za zaniechanie polegające na nieprzeprowadzeniu audytu, gdy Skarżąca co najwyżej spóźniła się z jego przeprowadzeniem (czemu jednak Skarżąca stanowczo zaprzecza), w konsekwencji nierozważenie zasad ewentualnej odpowiedzialności Skarżącej na podstawie art. 76 u.k.s.c., który w zaistniałym stanie faktycznym, co najwyżej stanowi wyłączną przesłankę do nałożenia na Skarżącą administracyjnej kary pieniężnej, w szczególnych okolicznościach, o których mowa tamże oraz błędne uznanie niemożliwości zastosowania do stanu faktycznego sprawy instytucji odstąpienia od wymierzenia kary z uwagi na pobieżne, wybiórcze i niepełne przeanalizowanie orzecznictwa, mającego zastosowanie do sprawy;
5) art. 107 § 1 pkt 2 oraz pkt 8 k.p.a. poprzez podpisanie Decyzji w stanie prawnym i faktycznym obowiązującym kilka dni przed faktycznym wydaniem Decyzji (utożsamianym z chwilą podpisania Decyzji przez organ), które to naruszenie polegało na złożeniu podpisu pod Decyzją w dniu [...] grudnia 2021 roku (kwalifikowany podpis elektroniczny), gdzie z treści Decyzji wynika, że data jej wydania została oznaczona jako [...] grudnia 2021 roku, a więc kilka dni przed jej podpisaniem, w konsekwencji czego Skarżąca nie ma możliwości w sposób niewątpliwy dokonać ustalenia według stanu prawnego i faktycznego na jaki dzień Decyzja została wydana;
6) art. 107 § 3 k.p.a. w zw. z art. 8, 9 i 11 k.p.a. poprzez ich niewłaściwe zastosowanie polegające na braku wyczerpującego odniesienia się w uzasadnieniu skarżonej Decyzji do całości zebranego materiału dowodowego oraz braku wyczerpującego odniesienia się do wszystkich zarzutów oraz argumentów podniesionych przez Skarżącą w toku postępowania, w szczególności:
a) nie odniesienie się w sposób wyczerpujący do powołanej przez Skarżącą, a jednoznacznie zgodną ze stanowiskiem Skarżącej, linii orzeczniczej sądów administracyjnych, z której wynika w sposób niebudzący wątpliwości, że przeprowadzenie audytu nawet z uchybieniem terminu stanowi o zaprzestaniu naruszania prawa;
b) nie odniesienie się w sposób wyczerpujący do zarzutu naruszenia art. 76 u.k.s.c. i ograniczenie się do argumentacji sprowadzającej się do zdawkowego stwierdzenia, że powołany przepis nie ma zastosowania, co świadczy o braku zrozumienia treści dyspozycji tego przepisu;
c) nie odniesienie się w żadnym zakresie do powołanego przez Skarżącą przepisu art. 209 ust. 1a ustawy - Prawo telekomunikacyjne, analogicznie kształtującego (i) wyłączenie odpowiedzialności podmiotu w sytuacji zaprzestania naruszania prawa i (ii) ewentualną odpowiedzialność w takim przypadku po spełnieniu ściśle określonych przesłanek, tj. jeśli przemawiają za tym czas trwania, zakres lub skutki naruszenia (tak jak w art. 76 u.k.s.c.);
oraz w konsekwencji powyższych naruszeń, oparcie przez organ rozstrzygnięcia wyłącznie na podstawie ustaleń dokonanych przez organ I instancji, niesporządzenie wyczerpującego uzasadnienia faktycznego i prawnego wydanej Decyzji, w tym w szczególności niedostateczne wyjaśnienie przez KNF przesłanek, którymi kierował się, wydając zaskarżoną Decyzję, przez przeprowadzenie przez organ wykładni wszystkich przepisów mających w sprawie zastosowanie w sposób arbitralnie niekorzystny dla Skarżącej, nawet w sytuacji, gdy zachodziła wątpliwość co do ich wykładni, co uniemożliwiło Skarżącej wszechstronne zapoznanie się z głównymi, merytorycznymi motywami rozstrzygnięcia w jej indywidualnej sprawie, co z kolei utrudnia Skarżącej odniesienie się do rozstrzygnięcia zawartego w zaskarżonej Decyzji w sposób kompletny;
7) art. 107 § 1 pkt 7 k.p.a. w zw. z § 1 Rozporządzenia Rady Ministrów z dnia 16 grudnia 2003 r. w sprawie wysokości oraz szczegółowych zasad pobierania wpisu w postępowaniu przed sądami administracyjnymi, poprzez błędne pouczenie Skarżącej o wysokości wpisu należnego od skargi na Decyzję, polegające na wskazaniu, że od skargi należny jest wpis stosunkowy wynoszący 1 % wartości przedmiotu zaskarżenia, nie mniej niż 2.000,00 zł i nie więcej niż 100.000,00 zł, w sytuacji, gdy w związku z tym, że kara pieniężna objęta skarżoną Decyzją wynosi 20.000,00 zł wpis od skargi należało ustalić na podstawie § 1 pkt 2 Rozporządzenia, przez co wynosi on 3 % wartości przedmiotu zaskarżenia, tj. 600,00 zł;
8) art. 189d pkt 5 k.p.a. poprzez niezastosowanie w stanie faktycznym sprawy dyrektywy wymiaru kary, polegającej na konieczności wzięcia pod uwagę działań podjętych przez stronę dobrowolnie w celu uniknięcia skutków naruszenia prawa, będące rezultatem błędnego uznania, że ze względu na charakter spoczywającego na Skarżącej obowiązku, niemożliwa jest sanacja naruszenia, polegającego na nieprzeprowadzeniu audytu, w sytuacji, gdy Skarżąca ostatecznie przeprowadziła audyt, przez co doprowadziła do zaprzestania naruszania, (przy czym w ocenie Skarżącej do naruszenia nigdy nie doszło), przez co zapobiegła również ewentualnym skutkom tego naruszenia;
9) art. 138 § 1 pkt 2 k.p.a. poprzez jego niezastosowanie, polegające na nieuchyleniu zaskarżonej decyzji I instancji w całości i w tym zakresie nieumorzeniu postępowania I instancji w całości i tym samym błędne zastosowanie art. 138 § 1 pkt 1) k.p.a., polegające na utrzymaniu w mocy zaskarżonej decyzji I instancji, podczas gdy z uwagi na brak podstaw do nałożenia na Skarżącą kary pieniężnej istniały przesłanki do uchylenia decyzji i umorzenia postępowania w całości, ewentualnie do wydania decyzji o odstąpieniu od nałożenia na Skarżącą kary pieniężnej i poprzestaniu na pouczeniu;
II przepisów prawa materialnego, które miało wpływ na wynik sprawy, tj.:
1) art. 15 ust. 1 w zw. z art. 73 ust. 1 pkt 11 u.k.s.c., poprzez błędną wykładnię pojęcia "przeprowadzenie audytu", polegającą na stwierdzeniu, iż momentem uznania, że audyt został zakończony jest sporządzenie raportu z przeprowadzonego audytu, a nie dokonanie ostatniej czynności tzw. fazy wykonawczej audytu, co w konsekwencji doprowadziło do uznania przez organ, że Skarżąca nie przeprowadziła audytu w terminie;
2) art. 73 ust. 1 pkt 11 w zw. z art. 3 pkt 10 u.k.s.c. poprzez ich niewłaściwe zastosowanie do stanu faktycznego sprawy, będące konsekwencją błędnej wykładni, polegającej na przyjęciu, że sankcja z art. 73 ust. 1 pkt 11 u.k.s.c. obejmuje zarówno przypadek, kiedy operator usługi kluczowej nie przeprowadza audytu w ogóle, jak i przypadek, kiedy nie przeprowadza audytu w przewidzianym terminie, co doprowadziło do nałożenia kary pieniężnej na Skarżącą za nieprzeprowadzenie audytu, gdy Skarżąca co najwyżej nie przeprowadziła tego audytu w terminie (czemu jednak Skarżąca stanowczo zaprzecza), podczas gdy prawidłowa i jedyna właściwa wykładania przepisu art. 73 ust. 1 pkt 11 u.k.s.c. prowadzi do wniosku, że przepis ten zawiera normę sankcjonującą jedynie zaniechanie, polegające na nieprowadzeniu audytu jako takiego, nie sankcjonując tym samym ewentualnego nieprzeprowadzenia audytu w terminie;
3) art. 73 ust. 1 pkt 11 w zw. z art. 76 u.k.s.c. poprzez dokonanie wykładni podstaw odpowiedzialności administracyjnoprawnej Skarżącej wyłącznie na podstawie art. 73 ust. 1 pkt 11 u.k.s.c., z pominięciem art. 76 u.k.s.c., który stanowi dopełnienie zasad kształtowania odpowiedzialności administracyjnoprawnej, przez co organ w sposób niemający oparcia w przepisach prawa uznał, że Skarżąca podlega odpowiedzialności pomimo przeprowadzenia audytu, w sytuacji, gdy prawidłowa wykładnia przepisów statuujących podstawy odpowiedzialności Skarżącej, prowadziłaby do wniosku, że okoliczność przeprowadzenia audytu, nawet z uchybieniem terminu, stanowi przesłankę wyłączającą odpowiedzialność na podstawie art. 73 ust. 1 pkt 11 u.k.s.c., a ewentualna odpowiedzialność administracyjnoprawna, nawet w przypadku zrealizowania obowiązku (aczkolwiek po terminie) może mieć miejsce wyłącznie na podstawie art. 76 u.k.s.c., tj. gdy przemawiają za tym czas trwania, zakres lub skutki naruszenia (które to przesłanki w sprawie nie zostały jednak spełnione, a co wyłącza w rezultacie odpowiedzialność administracyjną Skarżącej);
4) art. 76 u.k.s.c. w zw. z art. 6 k.p.a. - poprzez jego niezastosowanie, będące konsekwencją dokonania błędnej wykładni pojęcia "zaprzestanie naruszania prawa", które to pojęcie organ wyłożył na gruncie art. 189f § 1 pkt 1 k.p.a., uznając, że zakres pojęciowy sformułowania użytego na gruncie tych dwóch przepisów jest tożsamy, w konsekwencji czego interpretacja powinna być dokonywana tożsamo, przez co organ pominął zupełnie dokonanie wykładni tego pojęcia na gruncie art. 76 u.k.s.c., podczas gdy, w przedmiotowej sprawie, o ile wynik wykładni pojęcia "zaprzestanie naruszania prawa" na gruncie tych przepisów powinien być zakresowo spójny, o tyle proces wykładni tego pojęcia nie powinien następować w oderwaniu od przepisu art. 76 u.k.s.c., w którym następuje wprost odwołanie do sankcjonowanych zaniechać,
o których mowa w art. 73 u.k.s.c., w tym również do nieprzeprowadzenia audytu, przez co przepis ten również i do tego rodzaju zaniechania ma pełne zastosowanie;
5) art. 15 ust. 1 w zw. z art. 16 pkt 3 u.k.s.c., poprzez błędną ich wykładnię, polegającą, na uznaniu, że z redakcji art. 16 pkt 3 u.k.s.c. wynika jednoznacznie, iż ustawodawca zmodyfikował termin obowiązku z art. 15 ust. 1 u.k.s.c. w ten sposób, iż podmiot, który uzyskał status operatora usługi kluczowej winien audyt bezpieczeństwa systemu informacyjnego przeprowadzić w terminie roku od dnia doręczenia decyzji przyznającej status operatora usługi kluczowej, co w konsekwencji doprowadziło do błędnego uznania przez organ, że Skarżąca nie zapewniła przeprowadzenia audytu bezpieczeństwa systemu informacyjnego w terminie, podczas gdy prawidłowa wykładnia przedmiotowych przepisów prowadziłaby do wniosku, że z normy art. 16 pkt 3 u.k.s.c. wynika, że Skarżąca, jako operator usługi kluczowej była zobowiązana w terminie roku od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej do realizacji obowiązku przeprowadzania co najmniej raz na 2 lata, audytu bezpieczeństwa systemu, przez co pierwszy audyt powinien zostać przeprowadzony najpóźniej w terminie 3 lat od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej, co też Skarżąca uczyniła, zapewniając przeprowadzenie pierwszego audytu w dniu [...] listopada 2019 roku.
W obszernym uzasadnieniu skargi skarżąca rozwinęła i szczegółowo uzasadniła wskazane zarzuty.
W odpowiedzi na skargę Komisja Nadzoru Audytowego wnosząc o jej oddalenie podtrzymała dotychczasową argumentację.
Wojewódzki Sąd Administracyjny zważył, co następuje:
Skarga nie zasługuje na uwzględnienie, albowiem zaskarżona decyzja nie narusza prawa w stopniu mogącym mieć wpływ na treść rozstrzygnięcia.
W działaniu organu rozstrzygającego w niniejszej sprawie Sąd nie dopatrzył się nieprawidłowości, zarówno, gdy idzie o ustalenie stanu faktycznego sprawy, jak i o zastosowanie do jego oceny przepisów prawa. Wyjaśnione zostały motywy podjętego rozstrzygnięcia, a przytoczona na ten temat argumentacja jest wyczerpująca.
Działalność skarżącej, która jest jedyną licencjonowaną giełdą towarową w Polsce posiadającą zezwolenie na prowadzenie rynku regulowanego, znajduje się pod nadzorem KNF w zakresie obrotu na prowadzonych przez giełdę rynkach.
Poza sporem pozostaje, że decyzją z dnia [...] listopada 2018 r. Komisja, jako organ właściwy do spraw cyberbezpieczeństwa dla sektora infrastruktury rynków finansowych uznała skarżącą za operatora usługi kluczowej polegającej na prowadzeniu rynku regulowanego. Jak wynika z akt sprawy skarżąca dnia 14 października 2019 r. zawarła z E. Sp. z o.o. umowę na wykonanie usługi audytu bezpieczeństwa systemów informacyjnych oraz sporządzenie i przekazanie pisemnego sprawozdania. Zgodnie z załącznikiem nr 2 do umowy prace związane z audytem miały zakończyć się do dnia 8 listopada 2019 r., natomiast do dnia 24 listopada 2019 r. miał zostać opracowany raport końcowy. Czynności w ramach pierwszego audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej rozpoczęto dnia [...] października 2019 r. a zakończono dnia [...] listopada 2019 r. Raport końcowy (sprawozdanie z audytu) nosi datę [...] listopada 2019 r.
Ustaleń tych skarżąca nie kwestionuje.
Zgodnie z art. 73. ust. 1 pkt 11 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa karze pieniężnej podlega operator usługi kluczowej, który nie przeprowadza audytu.
Podstawą wymierzenia kar jest naruszenie przez operatora usługi kluczowej lub dostawcę usługi cyfrowej konkretnych obowiązków określonych odpowiednio w rozdziale 3 i 4 omawianej ustawy.
Jak stanowi art. 73 ust. 3 pkt 10 wysokość kary pieniężnej, o której mowa w ust. 1 pkt 11 i 13, wynosi do 200 000 zł.
W myśl art. 15 ust. 1 omawianej ustawy Operator usługi kluczowej ma obowiązek zapewnić przeprowadzenie, co najmniej raz na 2 lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. Operatorem usługi kluczowej jest podmiot, w stosunku do którego organ właściwy wydał decyzję administracyjną o uznaniu za operatora usługi kluczowej. Obowiązki operatora usługi kluczowej, których termin wykonania rozpoczyna się z chwilą doręczenia decyzji o uznaniu za operatora usługi kluczowej, a kończy z upływem czasu określonego odpowiednio w pkt 1, 2 i 3 określa art. 16 ustawy , który w pkt 3 stanowi, że Operator usługi kluczowej realizuje obowiązki określone w art. 15 ust. 1 - w terminie roku od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej.
Pojęcie audytu bezpieczeństwa zostało zdefiniowane w normie ISO 27000 odnoszącej się do przeglądów i terminologii związanej z systemami zarządzania bezpieczeństwem informacji jako systematyczny, niezależny i udokumentowany proces przeprowadzany w celu uzyskania dowodów z kontroli i ich późniejszej oceny, która pozwoli obiektywnie określić zakres, w jakim spełnione są ustalone wcześniej kryteria.
Zatem komentowany przepis zobowiązuje operatora usług kluczowych do przeprowadzania raz na 2 lata audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. Pierwszy audyt powinien zostać przeprowadzony w ciągu roku od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej. Zgodnie z art. 15 ust. 2 lit. b dyrektywy NIS operatorzy usług kluczowych powinni przekazywać właściwym organom krajowym dowody skutecznej realizacji polityk w zakresie bezpieczeństwa, takie jak wyniki audytu bezpieczeństwa.
Na operatorze usługi kluczowej spoczywa obowiązek zaplanowania audytu i zabezpieczenia terminowego wykonania czynności audytu (w tym sporządzenia raportu z przeprowadzonego audytu) w terminie wynikającym z art. 15 ust. 1 UKSC. To operator ponosi w świetle ww. przepisu odpowiedzialność również za działania jednostki audytującej. Sąd podziela ocenę organu, że "zapewnienie przeprowadzenia audytu", nie polega wyłącznie na podjęciu działań i czynności w ramach należytej staranności operatora usługi kluczowej. Okoliczność wywiązania się przez operatora usługi kluczowej z obowiązku "zapewnienia przeprowadzenia" nie może być oceniana tylko przez pryzmat działań zmierzających do przeprowadzenia tego audytu (jak zawarcie umowy z jednostką audytującą i zakończenie czynności audytowych w terminie wynikającym z tej umowy). Operator kluczowy odpowiada za rezultat jakim jest przeprowadzenie audytu zakończone sporządzeniem raportu audytowego w terminie wynikającym z art. 15 ust. 1 UKSC.
W art. 15 ust. 5 wprowadzono prawny obowiązek sporządzenia pisemnego sprawozdania z audytu i przekazania go operatorowi usługi kluczowej. Audytor sporządza pisemne sprawozdanie z przeprowadzonego audytu (na podstawie zebranych dokumentów i dowodów), które przekazuje operatorowi usługi kluczowej wraz z dokumentacją z przeprowadzonego audytu oraz ustalonych na tej podstawie wniosków. Zgodnie z treścią art. 15 ust. 7 kopia omawianego dokumentu jest przekazywana na uzasadniony wniosek organu właściwego do spraw cyberbezpieczeństwa, dyrektora Rządowego Centrum Bezpieczeństwa (obowiązek ten dotyczy operatorów usług kluczowych objętych regulacjami odnoszącymi się do zarządzania kryzysowego) i Szefa Agencji Bezpieczeństwa Wewnętrznego. Ustawodawca uznał zatem, iż jedynie sprawozdanie z audytu jest dokumentem pozwalającym na stwierdzenie, że operator usługi kluczowej wypełnił obowiązki wynikające z art. 15 UKSC. W konsekwencji raport stanowi dowód z przeprowadzonych prac audytowych oraz umożliwia ocenę, czy operator usługi kluczowej podjął działania zmierzające do eliminacji wykrytych ryzyk. Samo zakończenie czynności związanych z audytem nie spełnia celów audytu, gdyż nie pozwala na poprawę wykrytych nieprawidłowości. Powyższe wskazuje więc jednoznacznie, że sporządzenie sprawozdania z audytu jest jego integralną częścią. Celem audytu jest bowiem dostosowanie procesów operatora usługi kluczowej do wymagań przewidzianych prawem. Wbrew przekonaniu skarżącej nie jest wystarczające samo rozpoczęcie audytu w terminie, lecz jego pełne zakończenie w ciągu roku od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej, którym to zakończeniem jest dzień sporządzenia raportu z przeprowadzonego audytu. Tym samym prawidłowo organ stwierdził, że dla określenia terminu zakończenia audytu należało wziąć pod uwagę dzień sporządzenia raportu z przeprowadzonego audytu, tj. dzień [...] listopada 2019 roku.
Sformułowanie "nie przeprowadza audytu" odnosi się także do nieprzeprowadzenia audytu w sposób i w terminach opisanych zarówno w art. 15 oraz art. 16 UKSC. Profesjonalny dostawca usługi mającej kluczowe znaczenie dla utrzymania krytycznej działalności gospodarczej jest zatem prawnie zobowiązany do spełnienia wszystkich stawianych przez prawo wymogów dotyczących przeprowadzenia audytu. Tym samym niedopełnienie terminu na przeprowadzenie pierwszego audytu systemu bezpieczeństwa jest objęte zakresem art. 73 ust. 1 pkt 11 UKSC.
Sąd podziela ocenę organu, że raport z audytu służy udokumentowaniu czynności podjętych w ramach przeprowadzonego audytu, wskazaniu ewentualnych naruszeń i nieprawidłowości w audytowanej działalności operatora usługi kluczowej. Jedynie sprawozdanie z audytu jest dokumentem pozwalającym na stwierdzenie, że operator usługi kluczowej wypełnił obowiązki wynikające z art. 15 UKSC oraz, że tylko raport stanowi dowód przeprowadzonych prac audytowych oraz umożliwia ocenę, czy operator usługi kluczowej podjął działania zmierzające do eliminacji wykrytych ryzyk. W omawianej regulacji Ustawodawca nie wyodrębnił penalizowania nieterminowego przeprowadzenia audytu bezpieczeństwa uznając, że penalizacja taka następuje poprzez zastosowanie art. 73 ust. 1 pkt 11 UKSC.
Organ trafnie stwierdził, że na taką wykładnię art. 15 wskazują również stanowiące wskazówkę interpretacyjną Dyrektywy NIS, której implementacją jest omawiana ustawa, wytyczne Europejskiej Agencji Bezpieczeństwa Sieci i Informacji cyfrowych oraz operatorów usług kluczowych z wymogami Dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii z których wynika, że audyt systemu bezpieczeństwa przewidziany Dyrektywą NIS składa się z trzech faz, gdzie ostatnia obejmuje sporządzenie końcowego raportu. Zatem pełen cykl audytu obejmuje wszystkie etapy procesu audytowego, od fazy przygotowawczej, poprzez fazę wykonawczą a kończąc na fazie powykonawczej. Z wytycznych ENISA nie wynika natomiast, iż audyt sprowadza się jedynie do fazy wykonawczej, zaś faza powykonawcza obejmująca m.in. sporządzenie raportu końcowego stanowi odrębny etap od samego audytu.
Skarżąca była więc zobowiązana do przeprowadzenia pierwszego audytu zakończonego sprawozdaniem w terminie roku od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej. Przy czym nie ulega wątpliwości, że obowiązek przeprowadzenia pierwszego audytu bezpieczeństwa ma charakter jednorazowy. Obowiązek cyklicznego wykonywania (nie rzadziej niż raz na 2 lata), audytu bezpieczeństwa dotyczy bowiem tych podmiotów, które przeprowadziły już co najmniej jeden audyt bezpieczeństwa.
Wymierzając karę pieniężną organ prawidłowo zastosował w sprawie zarówno przepisy ustawy o krajowym systemie cyberbezpieczeństwa jak i przepisy Działu IV a k.p.a.
Jak stanowi art. 189f. § 1 ust. 1 kpa Organ administracji publicznej, w drodze decyzji, odstępuje od nałożenia administracyjnej kary pieniężnej i poprzestaje na pouczeniu, jeżeli waga naruszenia prawa jest znikoma, a strona zaprzestała naruszania prawa.
.Kodeks postępowania administracyjnego w § 1 pkt 1 art. 189f wymaga dla odstąpienia od nałożenia kary wystąpienia dwóch przesłanek: znikomej wagi naruszenia oraz zaprzestania naruszenia prawa. Przy tym ustawodawca nie wskazał okoliczności, którymi organ powinien kierować się przy dokonywaniu oceny czy w danej sprawie mamy do czynienia ze znikomym naruszeniem prawa, czy też nie. Przyjmuje się jednak, że oceniając czy w danej sprawie mamy do czynienia z naruszeniem o znikomej wadze można odwołać się do rozwiązań obowiązujących w prawie karnym, gdzie stopień ciężkości naruszenia przez sprawcę prawa mierzony jest tzw. stopniem społecznej szkodliwości czynu, którego "znikomość" również stanowi negatywną przesłankę do wszczęcia lub dalszego prowadzenia postępowania karnego (patrz: Dudziak Sławomir. Zasady wymiaru administracyjnych kar pieniężnych po nowelizacji Kodeksu postępowania administracyjnego. Samorząd Terytorialny, 2018, nr 6. s. 23-32.). Wskazać zatem trzeba, że zgodnie z art. 115 § 1 k.k. przy ocenie stopnia społecznej szkodliwości czynu sąd bierze pod uwagę rodzaj i charakter naruszonego dobra, rozmiary wyrządzonej lub grożącej szkody, sposób i okoliczności popełnienia czynu, wagę naruszonych przez sprawcę obowiązków, a także postać zamiaru, motywację sprawcy, rodzaj naruszonych reguł ostrożności i stopień ich naruszenia. W piśmiennictwie wskazuje się również, że oceniając czy dane naruszenie można określić mianem "znikomego" należy odwołać się do przesłanek wymierzenia kary administracyjnej określonych w art. 189d pkt 1 k.p.a. (patrz: Wróbel Andrzej. Art. 189(f). W: Komentarz aktualizowany do Kodeksu postępowania administracyjnego. System Informacji Prawnej LEX, 2019). Jeszcze inny pogląd (Cebera Agata i Firlus Jakub Grzegorz. Art. 189(f). W: Kodeks postępowania administracyjnego. Komentarz, wyd. II. Wolters Kluwer Polska, 2019) nakazuje przy ocenie wagi naruszenia prawa kierować się tym, czy konkretne naruszenie prawa wywołało (lub mogło wywołać) skutki faktyczne lub prawne w obszarze konkretnych dóbr prawnie chronionych, tj. dóbr chronionych przez naruszoną normę sankcjonowaną, wskazując że jeżeli konkretne naruszenie prawa:
– wywołało (lub mogło wywołać) poważne negatywne skutki w obszarze dóbr prawnie chronionych, to przyjąć należy, że waga naruszenia prawa jest znaczna;
– wywołało (lub mogło wywołać) sporadyczne negatywne skutki w obszarze dóbr prawnie chronionych, to przyjąć należy, że waga naruszenia prawa nie jest znaczna;
– wywołało jednostkowe i nieznacznie negatywne skutki w obszarze dóbr prawnie chronionych lub skutków tych w ogóle nie wywołało i wywołać nie mogło, to przyjąć należy, że waga naruszenia prawa jest znikoma.
W dwóch ostatnich publikacjach wskazuje się jednak również, że z uwagi na zawarty w art. 189f § 1 pkt 1 k.p.a. wymóg zaprzestania naruszania prawa, przepis ten znajduje zastosowanie wyłącznie w odniesieniu do naruszeń o charakterze ciągłym, trwałym lub powtarzającym się. Przepis ten nie ma natomiast zastosowania do zachowania osoby polegającego na jednorazowym naruszeniu obowiązku lub zakazu. Powyższe zaś oznacza, że przepis ten nie mógłby być podstawą odstąpienia do wymierzenia kary w rozpoznanej sprawie. Jest to, zdaniem Sądu, koncepcja o tyle słuszna, że w przypadku jednorazowego naruszenia obowiązku lub zakazu, z uwagi na ich specyfikę, nie można mówić o zaprzestaniu popełniania deliktu. Delikt się bowiem popełniło raz, nie można go popełnić więcej razy, nie można też stanu naruszenia cofnąć. Pierwszy audyt bezpieczeństwa w podmiotach uznanych za operatorów kluczowych można przeprowadzić tylko raz. Pojęcia zaprzestania naruszania prawa nie należy utożsamiać z obowiązkiem przywrócenia przez stronę stanu zgodnego z prawem lub usunięciem skutków naruszenia prawa. Innymi słowy sporządzenie przez stronę wymaganego sprawozdania nie stanowi zaprzestania naruszania prawa, ale jest wyrazem przywrócenia stanu zgodnego z prawem.
Zgodnie z art. 189f. § 2 w przypadkach innych niż wymienione w § 1, jeżeli pozwoli to na spełnienie celów, dla których miałaby być nałożona administracyjna kara pieniężna, organ administracji publicznej, w drodze postanowienia, może wyznaczyć stronie termin do przedstawienia dowodów potwierdzających:
1) usunięcie naruszenia prawa lub
2) powiadomienie właściwych podmiotów o stwierdzonym naruszeniu prawa, określając termin i sposób powiadomienia.
Pojęcie usunięcia naruszenia prawa mimo krótkiego okresu obowiązania art. 189f wywołało już sporo dylematów interpretacyjnych. W piśmiennictwie trafnie bowiem zwrócono uwagę na niefrasobliwość wyrażenia ustawowego, wskazując, że "naruszenia prawa, gdy miało ono charakter jednorazowy i nieciągły, usunąć się nie da. Przykładowo nie da się usunąć naruszenia prawa polegającego na wycięciu drzewa niezgodnie z przepisami ustawy" (A. Wróbel [w:] A. Wróbel, M. Jaśkowska, Komentarz..., art. 189f, nb 22). W literaturze przedmiotu wskazuje się, że w przypadku komentowanego przepisu chodzi o "przywrócenie przez stronę stanu zgodnego z prawem" (tak S. Gajewski, Kodeks..., s. 113; A. Wróbel [w:] A. Wróbel, M. Jaśkowska, Komentarz..., art. 189f, nb 22) bądź "usunięcie skutków naruszenia" (M. Jabłoński [w:] Kodeks..., red. M. Wierzbowski, A. Wiktorowska, art. 189f, nb 14). W nawiązaniu do powyższych stanowisk oscylujących wokół zbieżnej idei "usunięcie naruszenia prawa" rozumieć należy jako "usunięcie przyczyny powstania stanu niezgodnego z prawem", np. uzyskanie stosownego zezwolenia lub koncesji, wycofanie z obrotu sfałszowanej partii żywności czy też przedłożenie prawem wymaganego zabezpieczenia.
W niniejszej sprawie, z uwagi na charakter popełnionego naruszenia, brak jest możliwości usunięcia naruszenia prawa. Nie można bowiem usunąć skutków naruszenia niewykonania w terminie pierwszego audytu bezpieczeństwa. Wykonanie obowiązku po terminie nie będzie stanowić usunięcia skutków naruszenia ani też zaprzestania naruszania,
W myśl art. 189d ust. 5 wymierzając administracyjną karę pieniężną, organ administracji publicznej bierze pod uwagę działania podjęte przez stronę dobrowolnie w celu uniknięcia skutków naruszenia prawa;
Komentowany przepis ma zastosowanie wyłącznie w zakresie wymierzania administracyjnej kary pieniężnej, tj. ustalenia jej wysokości w kwocie pieniężnej (w pieniądzu). Nie ma natomiast zastosowania do nakładania tej kary.
Okolicznościami naruszenia prawa są okoliczności niedopełnienia obowiązku (naruszenia zakazu) przez zindywidualizowanego sprawcę w konkretnej sytuacji faktycznej i prawnej. Obowiązki (zakazy) ustawowe mogą być bowiem niedopełniane (naruszane) w różny sposób. Okoliczności te mogą wpływać na wysokość wymierzanej kary pieniężnej zarówno przez jej obniżenie, jak i podwyższenie w granicach ustawowego zagrożenia.
Nie trafnym jest także zarzut naruszenia art. 7a. § 1 kpa w myśl którego jeżeli przedmiotem postępowania administracyjnego jest nałożenie na stronę obowiązku bądź ograniczenie lub odebranie stronie uprawnienia, a w sprawie pozostają wątpliwości co do treści normy prawnej, wątpliwości te są rozstrzygane na korzyść strony, chyba że sprzeciwiają się temu sporne interesy stron albo interesy osób trzecich, na które wynik postępowania ma bezpośredni wpływ.
Jak stanowi § 2 pkt 1 przepisu § 1 nie stosuje się jeżeli wymaga tego ważny interes publiczny, w tym istotne interesy państwa, a w szczególności jego bezpieczeństwa, obronności lub porządku publicznego;
O istnieniu wątpliwości co do treści normy prawnej można mówić wówczas, gdy treść normy prawa po zastosowaniu różnych metod wykładni przepisów nadal budzi wątpliwości. W komentowanym przepisie chodzi o taką wątpliwość, która pozostaje aktualna po zastosowaniu reguł interpretacji językowej oraz systemowej. Mianowicie omawiana reguła jako reguła interpretacji jest dyrektywą wykładni funkcjonalnej, która wyklucza w procesie interpretacji przepisów prawa inne racje odwołujące się do wartości lub celów przypisywanych prawodawcy. Zapatrywanie, że zasada rozstrzygania wątpliwości na korzyść strony znajduje zastosowanie dopiero po uwzględnieniu wszystkich rodzajów dyrektyw interpretacyjnych, prowadzi do oczywistego absurdu, wykluczając spełnianie przez tę zasadę jakiejkolwiek rzeczywistej funkcji, a w szczególności roli wyznaczonej jej przez ustawodawcę (por. wyrok TK z 13 grudnia 2017 r., SK 48/15, Dz.U. z 2017 r. poz. 2432). Winna to być wątpliwość o charakterze obiektywnym – nie jest wystarczające powzięcie wątpliwości przez stronę. Zasada rozstrzygania "na korzyść strony" odnosi się wyłącznie do wątpliwości co do stanu prawnego, a nie stanu faktycznego.
Podnoszone przez skarżącą wątpliwości interpretacyjne przepisów wskazanych w skardze zostały przez organ prawidłowo rozstrzygnięte a sposób wykładni został zaprezentowany w uzasadnieniu skarżonej decyzji. Sąd uznając za trafną podziela argumentację organu
Zgodnie z art. 76. UKSC kara, o której mowa w art. 73, może zostać nałożona również w przypadku, gdy podmiot zaprzestał naruszania prawa lub naprawił wyrządzoną szkodę, jeżeli organ właściwy do spraw cyberbezpieczeństwa uzna, że przemawiają za tym czas trwania, zakres lub skutki naruszenia.
Organy właściwe do spraw cyberbezpieczeństwa będą zatem uprawnione do nałożenia kary pieniężnej w przypadkach opisanych w art. 73 ustawy, także w przypadku gdy operator usługi kluczowej lub dostawca usługi cyfrowej zaprzestał naruszania prawa lub naprawił wyrządzoną szkodę, jeżeli przemawiają za tym czas trwania, zakres lub skutki naruszenia. Przepis ten pozwala zatem na nałożenie kary pieniężnej po ustaniu stanu niezgodnego z prawem i wywiązaniu się przez operatora usługi kluczowej lub dostawcę usługi cyfrowej z obowiązków, których brak realizacji zagrożony jest karą. Organ właściwy do spraw cyberbezpieczeństwa w zaskarżonej decyzji wskazał, jakie okoliczności faktyczne w tej konkretnej sprawie przemawiają za wymierzeniem kary.
Zarówno art. 76 UKSC, jak art. 189f § 1 pkt 1 kpa obok kryterium istotności naruszenia posługują się także przesłanką "zaprzestania naruszania prawa", a co za tym idzie, jej interpretacja w obu przepisach powinna być dokonywana tożsamo. Skarżąca nie mogła zaprzestać naruszania prawa, gdyż przypisane jej naruszenie miało charakter jednorazowy.
Sąd nie podzielił również zarzutu nieprawidłowego podpisania zaskarżonej decyzji. Zgodnie z art. 11 ust. 1 ustawy o nadzorze nad rynkiem finansowym, Komisja w zakresie swojej właściwości podejmuje uchwały, w tym wydaje decyzje administracyjne i postanowienia, określone w przepisach odrębnych. Uchwały w imieniu Komisji podpisuje Przewodniczący Komisji lub Zastępca Przewodniczącego (ust. 3). Orzecznictwo Naczelnego Sądu Administracyjnego wskazuje na specyfikę organu, jakim jest Komisja i na specyfikę wydawanych przez nią aktów administracyjnych. Według NSA na każdy wydawany przez organ nadzoru akt administracyjny składają się dwa dokumenty, tj. zaprotokołowana uchwała Komisji (dokumentująca fakt oraz treść podjętego aktu administracyjnego przez członków Komisji) oraz decyzja (postanowienie), którą, stosownie do art. 11 ust. 3 ustawy o nadzorze nad rynkiem finansowym podpisuje Przewodniczący Komisji lub upoważniony przez niego Zastępca. W ocenie Sądu, w przypadku Komisji, decyzję administracyjną tworzą oba te dokumenty (uchwała i decyzja), a podpisana przez Przewodniczącego Komisji decyzja nie jest odrębnym aktem od uchwały Komisji.
Reasumując, w stanie faktycznym ustalonym w niniejszej sprawie organ miał w pełni uzasadnione podstawy do tego, aby nałożyć na skarżącą karę pieniężną. Komisja szczegółowo omówiła wszystkie ustawowe przesłanki wymiaru kary oraz uzasadniła ich wpływ na jej wysokość. Również i w tym zakresie zaskarżona decyzja znamion dowolności nie nosi.
W konsekwencji Sąd nie dopatrzył się nieprawidłowości, zarówno, gdy idzie o ustalenie stanu faktycznego sprawy, jak i o zastosowanie do jego oceny przepisów prawa materialnego. Organ zbadał sprawę we wszystkich jej aspektach, natomiast zarzuty skargi mają charakter polemiczny, zaś podnoszona w nich argumentacja nie miała istotnego wpływu na wynik sprawy. Sąd nie stwierdził naruszenia wskazanych w skardze przepisów postępowania, które mogłoby mieć istotny wpływ na wynik sprawy. Nie stwierdził także naruszenia przepisów prawa materialnego mającego wpływ na wynik sprawy.
Wobec niezasadności zarzutów skargi oraz niestwierdzenia przez Sąd z urzędu tego rodzaju uchybień, które mogłyby mieć wpływ na treść rozstrzygnięcia, które sąd ma obowiązek badać z urzędu - skargę należało oddalić.
Mając powyższe na uwadze Sąd na podstawie art. 151 ustawy z 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi orzekł, jak w sentencji wyroku.