Chủ quản hệ thống thông tin quan trọng quốc gia không thực hiện đánh giá rủi ro an toàn thông tin mạng theo định kỳ bị xử phạt thế nào?

Nội dung chính

• Trách nhiệm của chủ quản hệ thống thông tin quan trọng quốc gia trong việc bảo đảm an toàn thông tin mạng là gì?
• Chủ quản hệ thống thông tin quan trọng quốc gia không thực hiện đánh giá rủi ro an toàn thông tin mạng theo định kỳ bị xử phạt thế nào?
• Chủ tịch Ủy ban nhân dân cấp huyện có quyền xử phạt chủ quản hệ thống thông tin quan trọng quốc gia không thực hiện đánh giá rủi ro an toàn thông tin mạng theo định kỳ không?

Trách nhiệm của chủ quản hệ thống thông tin quan trọng quốc gia trong việc bảo đảm an toàn thông tin mạng là gì?

Theo quy định tại khoản 1 Điều 27 Luật An toàn thông tin mạng 2015 về trách nhiệm của chủ quản hệ thống thông tin quan trọng quốc gia như sau:

Trách nhiệm bảo đảm an toàn thông tin mạng cho hệ thống thông tin quan trọng quốc gia

1. Chủ quản hệ thống thông tin quan trọng quốc gia có trách nhiệm sau đây:

a) Thực hiện quy định tại khoản 2 Điều 25 của Luật này;

b) Định kỳ đánh giá rủi ro an toàn thông tin mạng. Việc đánh giá rủi ro an toàn thông tin mạng phải do tổ chức chuyên môn được cơ quan nhà nước có thẩm quyền chỉ định thực hiện;

c) Triển khai biện pháp dự phòng cho hệ thống thông tin;

d) Lập kế hoạch bảo vệ, lập phương án và diễn tập phương án bảo vệ hệ thống thông tin quan trọng quốc gia.

...

Theo đó, trong việc bảo đảm an toàn thông tin mạng thì chủ quản hệ thống thông tin quan trọng quốc gia có những trách nhiệm được quy định tại khoản 1 Điều 27 nêu trên.

Trong đó chủ quản hệ thống thông tin quan trọng quốc gia có trách nhiệm định kỳ đánh giá rủi ro an toàn thông tin mạng.

Hệ thống thông tin quan trọng quốc gia (Hình từ Internet)

Chủ quản hệ thống thông tin quan trọng quốc gia không thực hiện đánh giá rủi ro an toàn thông tin mạng theo định kỳ bị xử phạt thế nào?

Căn cứ điểm a khoản 1 Điều 89 Nghị định 15/2020/NĐ-CP quy định về vi phạm quy định về bảo đảm an toàn thông tin mạng cho hệ thống thông tin quan trọng quốc gia như sau:

Vi phạm quy định về bảo đảm an toàn thông tin mạng cho hệ thống thông tin quan trọng quốc gia

1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau:

a) Không thực hiện đánh giá rủi ro an toàn thông tin mạng theo định kỳ;

b) Không triển khai biện pháp dự phòng cho hệ thống thông tin;

c) Kiểm tra, đánh giá an toàn thông tin và đánh giá rủi ro an toàn thông tin đối với hệ thống thông tin quan trọng quốc gia từ cấp độ 3 trở lên do tổ chức chuyên môn không phù hợp thực hiện;

d) Không tổ chức diễn tập bảo đảm an toàn thông tin trong hoạt động của cơ quan, tổ chức theo quy định.

2. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với hành vi không lập kế hoạch bảo vệ hoặc không lập phương án và diễn tập phương án bảo vệ hệ thống thông tin quan trọng quốc gia.

3. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau:

a) Không tham gia diễn tập quốc gia hoặc quốc tế do Bộ Thông tin và Truyền thông tổ chức;

b) Không phối hợp trong việc triển khai thiết bị, kết nối tới hệ thống kỹ thuật xử lý, giảm thiểu tấn công mạng, hỗ trợ giám sát an toàn thông tin cho hệ thống thông tin cung cấp dịch vụ công trực tuyến, phát triển chính phủ điện tử.

Theo khoản 3 Điều 4 Nghị định 15/2020/NĐ-CP quy định về mức phạt tiền đối với cá nhân, tổ chức như sau:

Quy định về mức phạt tiền và thẩm quyền phạt tiền đối với cá nhân, tổ chức

...

3. Mức phạt tiền quy định từ Chương II đến Chương VII tại Nghị định này được áp dụng đối với hành vi vi phạm hành chính của tổ chức, trừ quy định tại Điều 106 Nghị định này. Trường hợp cá nhân có hành vi vi phạm như của tổ chức thì mức phạt tiền bằng 1/2 mức phạt tiền đối với tổ chức.

...

Theo quy định trên, chủ quản hệ thống thông tin quan trọng quốc gia không thực hiện đánh giá rủi ro an toàn thông tin mạng theo định kỳ thì bị xử phạt vi phạm hành chính với mức phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng.

Chủ tịch Ủy ban nhân dân cấp huyện có quyền xử phạt chủ quản hệ thống thông tin quan trọng quốc gia không thực hiện đánh giá rủi ro an toàn thông tin mạng theo định kỳ không?

Theo khoản 2 Điều 115 Nghị định 15/2020/NĐ-CP, được sửa đổi bởi khoản 41 Điều 1 Nghị định 14/2022/NĐ-CP quy định về quyền của Chủ tịch Ủy ban nhân dân cấp huyện như sau:

Thẩm quyền xử phạt của Chủ tịch Ủy ban nhân dân các cấp

...

2. Chủ tịch Ủy ban nhân dân cấp huyện có quyền:

a) Phạt cảnh cáo;

b) Phạt tiền đến 100.000.000 đồng đối với hành vi vi phạm hành chính trong lĩnh vực viễn thông, tần số vô tuyến điện, công nghệ thông tin, an toàn thông tin mạng; phạt tiền đến 40.000.000 đồng đối với hành vi vi phạm hành chính trong lĩnh vực bưu chính, giao dịch điện tử;

c) Tước quyền sử dụng Giấy phép có thời hạn hoặc đình chỉ hoạt động có thời hạn;

d) Tịch thu tang vật, phương tiện vi phạm hành chính;

đ) Áp dụng các biện pháp khắc phục hậu quả quy định tại các điểm a, đ, h, i và k khoản 1 Điều 28 của Luật Xử lý vi phạm hành chính.

...

Như vậy, chủ quản hệ thống thông tin quan trọng quốc gia không thực hiện đánh giá rủi ro an toàn thông tin mạng theo định kỳ thì bị xử phạt vi phạm hành chính với mức phạt tiền cao nhất là 20.000.000 đồng nên Chủ tịch Ủy ban nhân dân cấp huyện có quyền xử phạt tổ chức này.