Art. 76a. [Zasady ustalania, wymiaru i egzekwowania kar pieniężnych w cyberbezpieczeństwie ] [489] 1. Organ właściwy do spraw cyberbezpieczeństwa, podejmując decyzję o nałożeniu kary pieniężnej i ustalając jej wysokość, uwzględnia odpowiednio kryteria określone w art. 53 ust. 12 oraz wysokość przychodu uzyskanego z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary pieniężnej, możliwości finansowe podmiotu kluczowego lub podmiotu ważnego będącego podmiotem publicznym albo możliwości finansowe kierownika podmiotu kluczowego lub podmiotu ważnego. Przepisu art. 189a § 2 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego nie stosuje się.

2. W przypadku gdy podmiot kluczowy lub podmiot ważny powstał w wyniku połączenia lub przekształcenia innych podmiotów, obliczając wysokość jego przychodu organ właściwy do spraw cyberbezpieczeństwa uwzględnia przychód osiągnięty przez te podmioty w roku obrotowym poprzedzającym rok nałożenia kary pieniężnej. Przepisy art. 73 ust. 3–4 stosuje się odpowiednio.

3. W związku z toczącym się postępowaniem w sprawie nałożenia kary pieniężnej, podmiot, wobec którego wszczęto to postępowanie lub podmiot zatrudniający kierownika podmiotu kluczowego lub podmiotu ważnego jest obowiązany do dostarczenia organowi uprawnionemu do nałożenia kary pieniężnej na każde jego żądanie, w terminie wskazanym w wezwaniu, nie dłuższym niż 1 miesiąc od dnia otrzymania żądania, danych niezbędnych do określenia podstawy wymiaru kary pieniężnej.

4. W przypadku niedostarczenia danych lub dostarczenia danych uniemożliwiających ustalenie podstawy wymiaru kary pieniężnej, organ właściwy do spraw cyberbezpieczeństwa ustala podstawę wymiaru kary pieniężnej w sposób szacunkowy, uwzględniając w szczególności wielkość danego podmiotu kluczowego lub podmiotu ważnego, specyfikę działalności tego podmiotu lub ogólnodostępne dane finansowe.

5. Karę pieniężną uiszcza się w terminie 14 dni od dnia, w którym decyzja o jej wymierzeniu stała się ostateczna, lub od dnia doręczenia decyzji z rygorem natychmiastowej wykonalności, na rachunek bankowy organu właściwego do spraw cyberbezpieczeństwa, wskazany w decyzji o wymierzeniu kary pieniężnej.

6. Kary pieniężne nieuiszczone w terminie wraz z odsetkami podlegają ściągnięciu przez organ właściwy do spraw cyberbezpieczeństwa, który wymierzył karę pieniężną, w trybie określonym w przepisach o postępowaniu egzekucyjnym w administracji.

7. Organ właściwy do spraw cyberbezpieczeństwa przekazuje na rachunek Funduszu Cyberbezpieczeństwa środki pochodzące z kar pieniężnych w terminie 14 dni od dnia ich uiszczenia albo pobrania. W tym samym terminie przekazuje ministrowi właściwemu do spraw informatyzacji kopię decyzji o wymierzeniu kary pieniężnej lub innego dokumentu stanowiącego podstawę naliczenia, pobrania i przekazania na rachunek Funduszu Cyberbezpieczeństwa kary pieniężnej lub odsetek od nieterminowej wpłaty.

8. Organ właściwy do spraw cyberbezpieczeństwa w terminie 14 dni od dnia wystąpienia zdarzenia mogącego skutkować zmianą lub uchyleniem decyzji lub innego dokumentu stanowiącego podstawę do naliczenia, pobrania i przekazania na rachunek Funduszu Cyberbezpieczeństwa środków pochodzących z kar pieniężnych, informuje ministra właściwego do spraw informatyzacji o tym zdarzeniu, a w szczególności o wniesieniu skargi do sądu administracyjnego, skargi kasacyjnej, wydaniu prawomocnego wyroku, wszczęciu lub zakończeniu postępowania administracyjnego w zakresie wznowienia postępowania, uchylenia, zmiany lub stwierdzenia nieważności decyzji.

9. Organ właściwy do spraw cyberbezpieczeństwa może odstąpić od nałożenia kary pieniężnej, jeżeli waga naruszenia i znaczenie naruszonych przepisów są znikome, a podmiot albo kierownik podmiotu kluczowego lub podmiotu ważnego zaprzestał naruszania prawa lub naprawił wyrządzoną szkodę.

10. Do postępowania w sprawie nałożenia kar pieniężnych, o których mowa w art. 73b ust. 1 i art. 73c ust. 1, stosuje się odpowiednio przepisy ust. 1–9.