📄 Tekst ustawy
DZIENNIK USTAW
RZECZYPOSPOLITEJ POLSKIEJ
Warszawa, dnia 19 czerwca 2026 r.
Poz. 815
US T AW A
z dnia 29 maja 2026 r.
o zmianie ustawy o zarządzaniu kryzysowym oraz niektórych innych ustaw 1), 2)
Art. 1. W ustawie z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym (Dz. U. z 2026 r. poz. 574) wprowadza się
następujące zmiany:
1)
do tytułu ustawy dodaje się odnośnik nr 1 w brzmieniu:
„1) Niniejsza ustawa w zakresie swojej regulacji wdraża dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2557
z dnia 14 grudnia 2022 r. w sprawie odporności podmiotów krytycznych i uchylającą dyrektywę Rady 2008/114/WE
(Dz. Urz. UE L 333 z 27.12.2022, str. 164).”;
2)
po tytule ustawy dodaje się oznaczenie i tytuł rozdziału 1 w brzmieniu:
„Rozdział 1
Przepisy ogólne”;
3)
art. 1 otrzymuje brzmienie:
„Art. 1. 1. Ustawa określa:
1)
2)
1)
organy właściwe w sprawach zarządzania kryzysowego oraz zadania i zasady działania tych organów;
2)
organy właściwe w sprawach identyfikacji infrastruktury krytycznej oraz ich zadania;
3)
zadania i obowiązki operatorów infrastruktury krytycznej;
Niniejsza ustawa w zakresie swojej regulacji wdraża dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2557 z dnia 14 grudnia
2022 r. w sprawie odporności podmiotów krytycznych i uchylającą dyrektywę Rady 2008/114/WE (Dz. Urz. UE L 333 z 27.12.2022,
str. 164).
Niniejszą ustawą zmienia się ustawy: ustawę z dnia 21 marca 1985 r. o drogach publicznych, ustawę z dnia 6 kwietnia 1990 r. o Policji,
ustawę z dnia 12 października 1990 r. o Straży Granicznej, ustawę z dnia 24 sierpnia 1991 r. o ochronie przeciwpożarowej, ustawę
z dnia 19 października 1991 r. o gospodarowaniu nieruchomościami rolnymi Skarbu Państwa, ustawę z dnia 22 sierpnia 1997 r.
o ochronie osób i mienia, ustawę z dnia 24 sierpnia 2001 r. o Żandarmerii Wojskowej i wojskowych organach porządkowych, ustawę
z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu, ustawę z dnia 28 marca 2003 r. o transporcie
kolejowym, ustawę z dnia 4 września 2008 r. o ochronie żeglugi i portów morskich, ustawę z dnia 18 marca 2010 r. o szczególnych
uprawnieniach ministra właściwego do spraw aktywów państwowych oraz ich wykonywaniu w niektórych spółkach kapitałowych lub
grupach kapitałowych prowadzących działalność w sektorach energii elektrycznej, ropy naftowej oraz paliw gazowych, ustawę z dnia
7 maja 2010 r. o wspieraniu rozwoju usług i sieci telekomunikacyjnych, ustawę z dnia 14 grudnia 2012 r. o odpadach, ustawę z dnia
24 maja 2013 r. o środkach przymusu bezpośredniego i broni palnej, ustawę z dnia 24 lipca 2015 r. o kontroli niektórych inwestycji,
ustawę z dnia 10 czerwca 2016 r. o działaniach antyterrorystycznych, ustawę z dnia 20 lipca 2017 r. – Prawo wodne, ustawę z dnia
8 grudnia 2017 r. o Służbie Ochrony Państwa, ustawę z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, ustawę z dnia
17 grudnia 2020 r. o rezerwach strategicznych, ustawę z dnia 2 grudnia 2021 r. o szczególnych zasadach wynagradzania osób realizujących zadania z zakresu cyberbezpieczeństwa, ustawę z dnia 11 marca 2022 r. o obronie Ojczyzny, ustawę z dnia 7 października
2022 r. o szczególnych rozwiązaniach służących ochronie odbiorców energii elektrycznej w 2023 roku oraz w 2024 roku w związku
z sytuacją na rynku energii elektrycznej, ustawę z dnia 7 lipca 2023 r. o przygotowaniu i realizacji inwestycji w zakresie Krajowego
Centrum Przetwarzania Danych, ustawę z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej oraz ustawę z dnia 5 grudnia
2024 r. o ochronie ludności i obronie cywilnej.
Dziennik Ustaw
–2–
4)
usługi kluczowe oraz zadania i obowiązki podmiotów krytycznych;
5)
organy do spraw podmiotów krytycznych oraz ich zadania;
6)
zasady sprawowania nadzoru nad podmiotami krytycznymi oraz ich kontroli;
7)
zasady finansowania zadań, o których mowa w pkt 1–6.
Poz. 815
2. Ustawy w zakresie, o którym mowa w ust. 1:
4)
1)
pkt 3 i 4, nie stosuje się do organów oraz jednostek organizacyjnych podległych Ministrowi Obrony Narodowej
lub przez niego nadzorowanych;
2)
pkt 4, nie stosuje się do podmiotów, które w zakresie swojej działalności prowadzą postępowania przygotowawcze,
o których mowa w art. 297 ustawy z dnia 6 czerwca 1997 r. – Kodeks postępowania karnego (Dz. U. z 2026 r.
poz. 490, 421, 638 i 760).”;
w art. 3:
a)
pkt 1 otrzymuje brzmienie:
„1)
sytuacji kryzysowej – należy przez to rozumieć sytuację wpływającą negatywnie na poziom bezpieczeństwa
ludzi, mienia w znacznych rozmiarach, środowiska lub dziedzictwa kulturowego, wywołującą znaczne ograniczenia w działaniu właściwych organów administracji publicznej ze względu na nieadekwatność posiadanych
sił i środków lub zakłócenia w obsłudze tych organów;”,
b) po pkt 1 dodaje się pkt 1a–1g w brzmieniu:
„1a) podmiocie krytycznym – należy przez to rozumieć operatora infrastruktury krytycznej wpisanego do wykazu
podmiotów krytycznych;
c)
1b)
dostawcy krytycznym – należy przez to rozumieć podmiot dostarczający produkty, usługi lub technologie,
których zakłócenie może spowodować incydent istotny u podmiotu krytycznego;
1c)
podmiocie krytycznym o szczególnym znaczeniu europejskim – należy przez to rozumieć podmiot krytyczny
świadczący co najmniej jedną usługę kluczową lub świadczący te same lub podobne usługi kluczowe na rzecz
co najmniej sześciu państw członkowskich Unii Europejskiej lub w co najmniej sześciu państwach członkowskich Unii Europejskiej, uznany za taki podmiot przez Komisję Europejską;
1d)
odporności podmiotu krytycznego – należy przez to rozumieć zdolność do zapobiegania incydentowi,
ochrony przed incydentem realizowanej w drodze zaplanowanych działań, z wykorzystaniem posiadanych
zasobów, reagowania w przypadku wystąpienia incydentu i jego absorbowania oraz adaptacji i usuwania skutków incydentu, w tym odtwarzania infrastruktury krytycznej niezbędnej do świadczenia usługi kluczowej;
1e)
usłudze kluczowej – należy przez to rozumieć usługę, która ma decydujące znaczenie dla utrzymania niezbędnych funkcji społecznych, niezbędnej działalności gospodarczej, zdrowia i bezpieczeństwa publicznego
lub środowiska;
1f)
incydencie – należy przez to rozumieć każde zdarzenie mające lub mogące mieć niekorzystny wpływ na świadczenie usługi kluczowej;
1g)
incydencie istotnym – należy przez to rozumieć incydent, który powoduje lub może spowodować istotne
obniżenie jakości lub przerwanie ciągłości świadczenia usługi kluczowej, spełniający progi uznania incydentu
za istotny;”,
pkt 2 otrzymuje brzmienie:
„2)
infrastrukturze krytycznej – należy przez to rozumieć obiekt, urządzenie, instalację, sieć, system lub usługę
lub połączone ze sobą funkcjonalnie obiekty, urządzenia, instalacje, sieci, systemy lub usługi niezbędne do:
a)
realizacji ważnych interesów państwa, w tym zapewnienia funkcjonowania organów administracji
publicznej,
b) zapewnienia funkcjonowania przedsiębiorstw,
c)
zaspokajania oraz utrzymywania potrzeb obywateli, w tym potrzeb o charakterze lokalnym,
d) zapewnienia świadczenia usług kluczowych;”,
d) uchyla się pkt 2a,
Dziennik Ustaw
e)
–3–
Poz. 815
po pkt 2a dodaje się pkt 2b w brzmieniu:
„2b) potencjalnej infrastrukturze krytycznej – należy przez to rozumieć obiekt, urządzenie, instalację, sieć, system
lub usługę lub połączone ze sobą funkcjonalnie obiekty, urządzenia, instalacje, sieci, systemy lub usługi
będące na etapie projektowania lub budowy, które po ich zakończeniu mogą być niezbędne do:
a)
realizacji ważnych interesów państwa, w tym zapewnienia funkcjonowania organów administracji
publicznej,
b) zapewnienia funkcjonowania przedsiębiorstw,
c)
zaspokajania oraz utrzymywania potrzeb obywateli, w tym potrzeb o charakterze lokalnym,
d) zapewnienia świadczenia usług kluczowych;”,
f)
pkt 3 otrzymuje brzmienie:
„3)
ochronie infrastruktury krytycznej – należy przez to rozumieć wszelkie działania zmierzające do zapewnienia
funkcjonalności, ciągłości działania oraz integralności infrastruktury krytycznej;”,
g) po pkt 3 dodaje się pkt 3a w brzmieniu:
„3a) operatorze infrastruktury krytycznej – należy przez to rozumieć właściciela lub posiadacza obiektu, urządzenia,
instalacji, sieci, systemu lub usługi lub połączonych ze sobą funkcjonalnie obiektów, urządzeń, instalacji,
sieci, systemów lub usług wpisanych do wykazu infrastruktury krytycznej;”,
h) pkt 8 otrzymuje brzmienie:
„8)
siatce bezpieczeństwa – należy przez to rozumieć zestawienie potencjalnych zagrożeń ze wskazaniem podmiotu wiodącego oraz podmiotów współpracujących w realizacji działań zarządzania kryzysowego;”,
i)
uchyla się pkt 9 i 10,
j)
w pkt 11 kropkę zastępuje się średnikiem i dodaje się pkt 12–27 w brzmieniu:
„12) ryzyku – należy przez to rozumieć prawdopodobieństwo wystąpienia zagrożenia wraz z jego skutkami;
13)
ocenie ryzyka – należy przez to rozumieć proces identyfikacji zagrożenia, podatności na zagrożenie, prawdopodobieństwa wystąpienia zagrożenia wraz z jego skutkami, który określa wartość ryzyka;
14)
zarządzaniu ryzykiem – należy przez to rozumieć działania polegające na:
a)
ocenie ryzyka,
b) planowaniu postępowania z ryzykiem,
c)
wdrażaniu postępowania z ryzykiem,
d) osiąganiu gotowości do reagowania w przypadku wystąpienia sytuacji kryzysowej,
e)
okresowej ocenie osiągniętych efektów działań, o których mowa w lit. a–d;
15)
module zadaniowym – należy przez to rozumieć zestawienie przedsięwzięć i zadań przewidzianych do realizacji w sytuacji kryzysowej przez podmioty wymienione w siatce bezpieczeństwa, z wykorzystaniem sił i środków, którymi dysponują;
16)
planach zarządzania kryzysowego – należy przez to rozumieć plany zarządzania ryzykiem oraz plany reagowania kryzysowego;
17)
planach zarządzania ryzykiem – należy przez to rozumieć Krajowy Plan Zarządzania Ryzykiem, plany zarządzania ryzykiem ministrów kierujących działami administracji rządowej i kierowników urzędów centralnych oraz wojewódzkie, powiatowe i gminne plany zarządzania ryzykiem;
18)
planach reagowania kryzysowego – należy przez to rozumieć Krajowy Plan Reagowania Kryzysowego,
plany reagowania kryzysowego ministrów kierujących działami administracji rządowej i kierowników urzędów
centralnych oraz wojewódzkie, powiatowe i gminne plany reagowania kryzysowego;
19)
Grupie do spraw Odporności Podmiotów Krytycznych – należy przez to rozumieć grupę zapewniającą
wsparcie Komisji Europejskiej oraz współpracę państwom członkowskim Unii Europejskiej w zakresie budowania odporności podmiotów krytycznych;
20)
misji doradczej – należy przez to rozumieć misję organizowaną przez Komisję Europejską w celu zapewnienia podmiotowi krytycznemu wsparcia w zakresie realizacji zadań, o których mowa w rozdziale 11;
21)
zagrożeniu hybrydowym – należy przez to rozumieć kombinację wrogich działań realizowanych przy zastosowaniu środków politycznych, gospodarczych, dyplomatycznych, informacyjnych, militarnych lub innych,
które nie stanowią zbrojnej napaści, o której mowa w art. 51 Karty Narodów Zjednoczonych;
Dziennik Ustaw
5)
–4–
Poz. 815
22)
zagrożeniu antagonistycznym – należy przez to rozumieć rodzaj zagrożenia hybrydowego ukierunkowanego
przeciwko usługom kluczowym i infrastrukturze krytycznej niezbędnej do świadczenia tych usług, realizowanego w sposób celowy i świadomy, bez względu na motywację postępowania;
23)
normie – należy przez to rozumieć normę, o której mowa w art. 2 pkt 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1025/2012 z dnia 25 października 2012 r. w sprawie normalizacji europejskiej, zmieniającego dyrektywy Rady 89/686/EWG i 93/15/EWG oraz dyrektywy Parlamentu Europejskiego i Rady
94/9/WE, 94/25/WE, 95/16/WE, 97/23/WE, 98/34/WE, 2004/22/WE, 2007/23/WE, 2009/23/WE i 2009/105/WE
oraz uchylającego decyzję Rady 87/95/EWG i decyzję Parlamentu Europejskiego i Rady nr 1673/2006/WE
(Dz. Urz. UE L 316 z 14.11.2012, str. 12, z późn. zm.3));
24)
specyfikacji technicznej – należy przez to rozumieć specyfikację techniczną, o której mowa w art. 2 pkt 4
rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1025/2012 z dnia 25 października 2012 r. w sprawie normalizacji europejskiej, zmieniającego dyrektywy Rady 89/686/EWG i 93/15/EWG oraz dyrektywy
Parlamentu Europejskiego i Rady 94/9/WE, 94/25/WE, 95/16/WE, 97/23/WE, 98/34/WE, 2004/22/WE,
2007/23/WE, 2009/23/WE i 2009/105/WE oraz uchylającego decyzję Rady 87/95/EWG i decyzję Parlamentu
Europejskiego i Rady nr 1673/2006/WE;
25)
jednostce certyfikującej – należy przez to rozumieć jednostkę oceniającą zgodność akredytowaną zgodnie
z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2025 r.
poz. 568) lub upoważnioną do certyfikacji zgodnie z przepisami ustawy z dnia 12 września 2002 r. o normalizacji (Dz. U. z 2015 r. poz. 1483);
26)
certyfikacie – należy przez to rozumieć dokument wydany przez jednostkę certyfikującą, potwierdzający, że
wyrób, instalacja, system, proces, usługa lub osoba spełniają wymagania właściwego dokumentu normalizacyjnego, o którym mowa w art. 2 pkt 3 ustawy z dnia 12 września 2002 r. o normalizacji;
27)
certyfikacji – należy przez to rozumieć działania jednostki certyfikującej wykazujące, że wyrób, instalacja,
system, proces, usługa lub osoba spełniają wymagania właściwego dokumentu normalizacyjnego, o którym
mowa w art. 2 pkt 3 ustawy z dnia 12 września 2002 r. o normalizacji.”;
w art. 4 w ust. 1 po pkt 1 dodaje się pkt 1a w brzmieniu:
„1a) prowadzenie oceny ryzyka;”;
6)
uchyla się art. 5–6d;
7)
po art. 6d dodaje się rozdziały 2–16 w brzmieniu:
„Rozdział 2
Dokumenty strategiczne
Art. 6e. 1. W celu dokonania oceny ryzyka zidentyfikowanych zagrożeń opracowuje się Krajową Ocenę Ryzyka,
zwaną dalej „KOR”. Rada Ministrów przyjmuje KOR w drodze uchwały.
2. KOR zawiera:
1)
zidentyfikowane na poziomie krajowym zagrożenia:
a)
stanowiące katastrofę naturalną w rozumieniu art. 3 ust. 1 pkt 2 ustawy z dnia 18 kwietnia 2002 r. o stanie
klęski żywiołowej (Dz. U. z 2025 r. poz. 112) lub awarię techniczną w rozumieniu art. 3 ust. 1 pkt 3 tej ustawy,
b) hybrydowe,
c)
cyberbezpieczeństwa,
d) o charakterze terrorystycznym,
3)
e)
mogące spowodować niedostępność usług kluczowych,
f)
inne, mogące spowodować znaczące negatywne skutki dla ludności, gospodarki lub dóbr kultury;
2)
zagrożenia niezidentyfikowane jednoznacznie, które mogą wystąpić w przyszłości;
3)
ocenę ryzyka wystąpienia zagrożeń, o których mowa w pkt 1.
Zmiany wymienionego rozporządzenia zostały ogłoszone w Dz. Urz. UE L 323 z 19.12.2022, str. 1 oraz Dz. Urz. UE L 135 z 23.05.2023,
str. 1.
Dziennik Ustaw
–5–
Poz. 815
3. Przy opracowaniu oceny ryzyka, o której mowa w ust. 2 pkt 3, uwzględnia się w szczególności:
1)
zagrożenia, o których mowa w ust. 2 pkt 1;
2)
powiązania między zagrożeniami wynikające z oddziaływań transgranicznych, zależności międzysektorowych
i zmian klimatu;
3)
ocenę ryzyka przeprowadzoną na podstawie art. 6 ust. 1 decyzji Parlamentu Europejskiego i Rady nr 1313/2013/EU
z dnia 17 grudnia 2013 r. w sprawie Unijnego Mechanizmu Ochrony Ludności (Dz. Urz. UE L 347 z 20.12.2013,
str. 924, z późn. zm.4));
4)
dane o stratach i szkodach spowodowanych przez zagrożenia, o których mowa w ust. 2 pkt 1, gromadzone przez
podmioty, o których mowa w art. 6g ust. 2;
5)
inne istotne oceny ryzyka przeprowadzone zgodnie z wymogami właściwych sektorowych aktów Unii Europejskiej.
4. Przy opracowaniu oceny ryzyka, o której mowa w ust. 2 pkt 3, w odniesieniu do podmiotów krytycznych
uwzględnia się dodatkowo:
1)
wykaz usług kluczowych, o którym mowa w przepisach wydanych na podstawie art. 6zp ust. 3;
2)
zidentyfikowane zagrożenia antagonistyczne;
3)
ryzyka określane jako potencjalne straty lub potencjalne zakłócenia spowodowane incydentami, wyrażane jako
wypadkowe skali tych strat lub zakłóceń oraz prawdopodobieństwa wystąpienia takich incydentów;
4)
istotne ryzyka wynikające ze stopnia wzajemnej zależności między sektorami, o których mowa w załączniku do
ustawy;
5)
zależność ciągłości działania usług kluczowych od funkcjonowania podmiotów znajdujących się w innych państwach
członkowskich Unii Europejskiej i państwach trzecich;
6)
wpływ znaczącego zakłócenia w jednym z sektorów, o których mowa w załączniku do ustawy, na inne sektory,
o których mowa w tym załączniku, w tym wszelkie istotne czynniki ryzyka dla obywateli i rynku wewnętrznego;
7)
informacje dotyczące incydentów zgłaszanych przez podmioty krytyczne świadczące usługi kluczowe.
5. Projekt KOR opracowuje dyrektor Rządowego Centrum Bezpieczeństwa, zwanego dalej „Centrum”.
6. Na potrzeby opracowania projektu KOR dyrektor Centrum wydaje wytyczne do jego opracowania obejmujące
elementy, o których mowa w ust. 2, oraz uwzględniające elementy, o których mowa w ust. 3 i 4.
7. Dyrektor Centrum przekazuje wytyczne do opracowania projektu KOR:
1)
ministrom kierującym działami administracji rządowej;
2)
Szefowi Agencji Bezpieczeństwa Wewnętrznego, Szefowi Agencji Wywiadu oraz Szefowi Centralnego Biura
Antykorupcyjnego;
3)
wojewodom;
4)
Pełnomocnikowi Rządu do spraw Cyberbezpieczeństwa;
5)
innym podmiotom, jeżeli jest to konieczne.
8. W zakresie swojej właściwości organy i podmioty, o których mowa w ust. 7, uwzględniając wytyczne przekazane przez dyrektora Centrum, opracowują propozycje do ujęcia w projekcie KOR.
9. Propozycje do ujęcia w projekcie KOR wraz z danymi stanowiącymi podstawę do ich przygotowania, z wyłączeniem informacji niejawnych, organy i podmioty, o których mowa w ust. 7, przekazują dyrektorowi Centrum we
wskazanym przez niego terminie.
10. Dyrektor Centrum może wystąpić do organów i podmiotów, o których mowa w ust. 7, o przekazanie dodatkowych propozycji do ujęcia w projekcie KOR, jeżeli uzna, że ich umieszczenie w KOR jest niezbędne. Wystąpienie
wymaga uzasadnienia.
11. Propozycje do ujęcia w projekcie KOR przekazane przez ministra kierującego działem administracji rządowej uwzględniają wkład do propozycji do ujęcia w projekcie KOR kierownika urzędu centralnego podległego temu
ministrowi lub przez niego nadzorowanego.
12. Kierownik urzędu centralnego podległy ministrowi kierującemu działem administracji rządowej lub przez
niego nadzorowany opracowuje i przekazuje temu ministrowi wkład do propozycji do ujęcia w projekcie KOR ministra
kierującego działem administracji rządowej.
4)
Zmiany wymienionej decyzji zostały ogłoszone w Dz. Urz. UE L 250 z 04.10.2018, str. 1, Dz. Urz. UE L 77I z 20.03.2019, str. 1,
Dz. Urz. UE L 117 z 15.04.2020, str. 3, Dz. Urz. UE L 185 z 26.05.2021, str. 1 oraz Dz. Urz. UE L 2023/2671 z 28.11.2023.
Dziennik Ustaw
–6–
Poz. 815
13. Dyrektor Centrum przedkłada Radzie Ministrów projekt KOR nierzadziej niż raz na 3 lata.
14. KOR uwzględnia się w:
1)
2)
3)
planach zarządzania kryzysowego;
procesach identyfikacji podmiotów krytycznych;
opracowywaniu ocen ryzyka podmiotów krytycznych oraz wdrażaniu przez podmioty krytyczne środków w zakresie zwiększenia ich odporności;
4)
innych dokumentach opracowywanych przez organy administracji publicznej w zakresie zarządzania kryzysowego.
15. Dyrektor Centrum, na podstawie KOR, opracowuje i udostępnia Komisji Europejskiej streszczenie istotnych
elementów krajowej oceny ryzyka, o której mowa w art. 6 ust. 1 lit. a decyzji Parlamentu Europejskiego i Rady
nr 1313/2013/EU z dnia 17 grudnia 2013 r. w sprawie Unijnego Mechanizmu Ochrony Ludności.
16. Dyrektor Centrum, na podstawie KOR, opracowuje i udostępnia Komisji Europejskiej informacje dotyczące
rodzajów ryzyka oraz wyników oceny ryzyka w odniesieniu do sektorów i podsektorów, o których mowa w załączniku
do ustawy, w terminie 3 miesięcy od dnia przyjęcia KOR przez Radę Ministrów.
Art. 6f. 1. W celu zwiększenia odporności podmiotów krytycznych opracowuje się Krajową Strategię Odporności
Podmiotów Krytycznych, zwaną dalej „KSOPK”. Rada Ministrów przyjmuje KSOPK w drodze uchwały.
2. KSOPK:
1)
określa cele strategiczne i priorytety w zakresie zapewnienia niezakłóconego świadczenia usług kluczowych
przez podmioty krytyczne oraz niezakłóconego funkcjonowania infrastruktury krytycznej z uwzględnieniem powiązań między zagrożeniami wynikającymi z oddziaływań transgranicznych oraz zależności międzysektorowych;
2)
określa zakresy działań oraz formy działań służące osiąganiu celów strategicznych i priorytetów przez:
a) organy do spraw podmiotów krytycznych,
3)
b) ministrów kierujących działami administracji rządowej, którzy identyfikują infrastrukturę krytyczną,
c) Komisję Nadzoru Finansowego, która identyfikuje infrastrukturę krytyczną,
d) wojewodów, którzy identyfikują infrastrukturę krytyczną,
e) inne podmioty zaangażowane we wdrażanie i realizację KSOPK;
zawiera opisy:
a) procesów identyfikujących podmioty krytyczne,
b) środków niezbędnych do zwiększenia ogólnej odporności podmiotów krytycznych, w tym opis oceny ryzyka,
o której mowa w KOR,
c) procesów wspierania podmiotów krytycznych przez organy, o których mowa w pkt 2 lit. a–d,
d) środków mających na celu ułatwienie realizacji zadań, o których mowa w rozdziale 11, przez małe i średnie
przedsiębiorstwa, o których mowa w art. 2 ust. 1 załącznika I do rozporządzenia Komisji (UE) nr 651/2014
z dnia 17 czerwca 2014 r. uznającego niektóre rodzaje pomocy za zgodne z rynkiem wewnętrznym w zastosowaniu art. 107 i 108 Traktatu (Dz. Urz. UE L 187 z 26.06.2014, str. 1, z późn. zm.5)), które zostały zidentyfikowane jako podmioty krytyczne;
4)
określa zakres koordynacji działań organów do spraw podmiotów krytycznych i organów właściwych do spraw
cyberbezpieczeństwa, o których mowa w art. 41 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2026 r. poz. 20, 252 i 815).
3. Na potrzeby opracowania projektu KSOPK dyrektor Centrum wydaje wytyczne do jego opracowania obejmujące
elementy, o których mowa w ust. 2.
4. Dyrektor Centrum przekazuje wytyczne do opracowania projektu KSOPK:
1)
2)
3)
4)
5)
5)
ministrom kierującym działami administracji rządowej;
Szefowi Agencji Bezpieczeństwa Wewnętrznego, Szefowi Agencji Wywiadu oraz Szefowi Centralnego Biura
Antykorupcyjnego;
Komisji Nadzoru Finansowego;
wojewodom;
innym podmiotom, jeżeli jest to konieczne.
Zmiany wymienionego rozporządzenia zostały ogłoszone w Dz. Urz. UE L 329 z 15.12.2015, str. 28, Dz. Urz. UE L 149 z 07.06.2016,
str. 10, Dz. Urz. UE L 156 z 20.06.2017, str. 1, Dz. Urz. UE L 26 z 31.01.2018, str. 53, Dz. Urz. UE L 215 z 07.07.2020, str. 3,
Dz. Urz. UE L 89 z 16.03.2021, str. 1, Dz. Urz. UE L 270 z 29.07.2021, str. 39, Dz. Urz. UE L 119 z 05.05.2023, str. 159, Dz. Urz.
UE L 167 z 30.06.2023, str. 1 oraz Dz. Urz. UE L 2025/90138 z 13.02.2025.
Dziennik Ustaw
–7–
Poz. 815
5. W zakresie swojej właściwości organy i podmioty, o których mowa w ust. 4, uwzględniając wytyczne przekazane przez dyrektora Centrum, opracowują propozycje do ujęcia w projekcie KSOPK.
6. Propozycje do ujęcia w projekcie KSOPK wraz z danymi stanowiącymi podstawę do ich przygotowania, z wyłączeniem informacji niejawnych, organy i podmioty, o których mowa w ust. 4, przekazują dyrektorowi Centrum we
wskazanym przez niego terminie.
7. Dyrektor Centrum może wystąpić do organów i podmiotów, o których mowa w ust. 4, o przekazanie dodatkowych propozycji do ujęcia w projekcie KSOPK, jeżeli uzna, że ich umieszczenie w KSOPK jest niezbędne. Wystąpienie
wymaga uzasadnienia.
8. Propozycje do ujęcia w projekcie KSOPK przekazane przez ministra kierującego działem administracji rządowej uwzględniają wkład do propozycji do ujęcia w projekcie KSOPK kierownika urzędu centralnego podległego temu
ministrowi lub przez niego nadzorowanego.
9. Kierownik urzędu centralnego podległy ministrowi kierującemu działem administracji rządowej lub przez
niego nadzorowany opracowuje i przekazuje temu ministrowi wkład do propozycji do ujęcia w projekcie KSOPK ministra
kierującego działem administracji rządowej.
10. Dyrektor Centrum udostępnia opracowany projekt KSOPK na stronie podmiotowej Biuletynu Informacji
Publicznej Centrum.
11. Dyrektor Centrum kieruje projekt KSOPK do 30-dniowych konsultacji publicznych, z przeprowadzenia których
sporządza raport, wskazując główne tezy zawarte w stanowiskach zgłoszonych do projektu KSOPK oraz odniesienie się
do nich.
12. Dyrektor Centrum udostępnia raport, o którym mowa w ust. 11, na stronie podmiotowej Biuletynu Informacji
Publicznej Centrum.
13. Dyrektor Centrum przedkłada Radzie Ministrów projekt KSOPK raz na 3 lata.
14. Dyrektor Centrum udostępnia Komisji Europejskiej KSOPK niepóźniej niż w terminie 3 miesięcy od dnia
przyjęcia KSOPK przez Radę Ministrów.
15. Przepisy ust. 3–12 i 14 stosuje się do aktualizacji KSOPK.
16. Dyrektor Centrum monitoruje wdrażanie postanowień KSOPK oraz w terminie do dnia 31 marca każdego
roku przedkłada Radzie Ministrów sprawozdanie z jej wdrażania za poprzedni rok.
Rozdział 3
Plany zarządzania kryzysowego
Art. 6g. 1. Plany zarządzania ryzykiem zawierają:
1)
cele strategiczne;
2)
opis zasad współpracy podmiotów wymienionych w siatce bezpieczeństwa;
3)
listę działań na rzecz ograniczenia ryzyka wystąpienia zidentyfikowanych zagrożeń w zakresie organizacyjnym,
technicznym i finansowym z uwzględnieniem:
a)
hierarchii działań,
b) ram czasowych ich realizacji,
c)
podmiotów wiodących oraz współpracujących przy ich wykonywaniu,
d) sposobów finansowania oraz wysokości nakładów finansowych,
e)
oceny osiągniętych efektów oraz wniosków z wdrożonych działań,
f)
danych o stratach powstałych na skutek wystąpienia zagrożeń.
2. Plany zarządzania ryzykiem opracowują:
1)
dyrektor Centrum – Krajowy Plan Zarządzania Ryzykiem, zwany dalej „KPZR”;
2)
minister kierujący działem administracji rządowej – plan zarządzania ryzykiem ministra kierującego działem
administracji rządowej;
3)
Szef Agencji Bezpieczeństwa Wewnętrznego, Szef Agencji Wywiadu oraz Szef Centralnego Biura Antykorupcyjnego – plan zarządzania ryzykiem odpowiednio Szefa Agencji Bezpieczeństwa Wewnętrznego, Szefa Agencji
Wywiadu oraz Szefa Centralnego Biura Antykorupcyjnego;
4)
kierownik urzędu centralnego wskazany przez ministra kierującego działem administracji rządowej, któremu
podlega lub przez którego jest nadzorowany – plan zarządzania ryzykiem kierownika urzędu centralnego;
Dziennik Ustaw
–8–
5)
wojewoda – wojewódzki plan zarządzania ryzykiem;
6)
starosta – powiatowy plan zarządzania ryzykiem;
7)
wójt (burmistrz, prezydent miasta) – gminny plan zarządzania ryzykiem.
Poz. 815
3. Plany zarządzania ryzykiem opracowuje się z uwzględnieniem zagrożeń wskazanych w KOR.
4. Plany zarządzania ryzykiem, o których mowa w ust. 2 pkt 2–5, opracowuje się z zachowaniem spójności z KPZR.
5. W planach zarządzania ryzykiem, o których mowa w ust. 2 pkt 6 i 7, uwzględnia się postanowienia KPZR.
Art. 6h. 1. Na potrzeby opracowania projektu KPZR dyrektor Centrum wydaje wytyczne do jego opracowania
obejmujące elementy, o których mowa w art. 6g ust. 1.
2. Dyrektor Centrum przekazuje wytyczne do opracowania projektu KPZR:
1)
ministrom kierującym działami administracji rządowej;
2)
Szefowi Agencji Bezpieczeństwa Wewnętrznego, Szefowi Agencji Wywiadu oraz Szefowi Centralnego Biura
Antykorupcyjnego;
3)
wojewodom;
4)
innym podmiotom, jeżeli jest to konieczne.
3. W zakresie swojej właściwości organy i podmioty, o których mowa w ust. 2, uwzględniając wytyczne przekazane przez dyrektora Centrum, opracowują propozycje do ujęcia w projekcie KPZR.
4. Propozycje do ujęcia w projekcie KPZR wraz z danymi stanowiącymi podstawę do ich przygotowania, z wyłączeniem informacji niejawnych, organy i podmioty, o których mowa w ust. 2, przekazują dyrektorowi Centrum we
wskazanym przez niego terminie.
5. Dyrektor Centrum może wystąpić do organów i podmiotów, o których mowa w ust. 2, o przekazanie dodatkowych propozycji do ujęcia w projekcie KPZR, jeżeli uzna, że ich umieszczenie w KPZR jest niezbędne.
6. Propozycje do ujęcia w projekcie KPZR przekazane przez ministra kierującego działem administracji rządowej uwzględniają wkład do propozycji do ujęcia w projekcie KPZR kierownika urzędu centralnego podległego temu
ministrowi lub przez niego nadzorowanego.
7. Kierownik urzędu centralnego podległy ministrowi kierującemu działem administracji rządowej lub przez
niego nadzorowany opracowuje i przekazuje temu ministrowi wkład do propozycji do ujęcia w projekcie KPZR ministra
kierującego działem administracji rządowej.
8. Dyrektor Centrum przedkłada Radzie Ministrów projekt KPZR nierzadziej niż raz na 3 lata. Rada Ministrów
przyjmuje KPZR w drodze uchwały.
9. Dyrektor Centrum, na podstawie KPZR, opracowuje i udostępnia Komisji Europejskiej streszczenie istotnych
elementów krajowej oceny zdolności zarządzania ryzykiem, o której mowa w art. 6 ust. 1 lit. b decyzji Parlamentu Europejskiego i Rady nr 1313/2013/EU z dnia 17 grudnia 2013 r. w sprawie Unijnego Mechanizmu Ochrony Ludności.
Art. 6i. 1. Plan zarządzania ryzykiem ministra kierującego działem administracji rządowej obejmuje plan zarządzania ryzykiem tego ministra oraz plany zarządzania ryzykiem kierowników urzędów centralnych podległych temu
ministrowi lub przez niego nadzorowanych.
2. Minister kierujący działem administracji rządowej, w zakresie swojej właściwości, wskazuje kierownika urzędu
centralnego podległego temu ministrowi lub przez niego nadzorowanego, który jest obowiązany do opracowania planu
zarządzania ryzykiem.
3. Plan zarządzania ryzykiem Ministra Obrony Narodowej uwzględnia plany zarządzania ryzykiem Szefa Służby
Kontrwywiadu Wojskowego oraz Szefa Służby Wywiadu Wojskowego.
4. Minister kierujący działem administracji rządowej, Szef Agencji Bezpieczeństwa Wewnętrznego, Szef Agencji
Wywiadu oraz Szef Centralnego Biura Antykorupcyjnego:
1)
uzgadniają projekt planu zarządzania ryzykiem z dyrektorem Centrum pod względem spójności z KPZR;
2)
zatwierdzają uzgodniony plan zarządzania ryzykiem;
3)
przekazują kopię zatwierdzonego planu zarządzania ryzykiem dyrektorowi Centrum.
Dziennik Ustaw
–9–
Poz. 815
5. Kierownik urzędu centralnego, o którym mowa w ust. 2:
1)
uzgadnia projekt planu zarządzania ryzykiem z ministrem kierującym działem administracji rządowej, któremu
podlega lub przez którego jest nadzorowany;
2)
uzgadnia projekt planu zarządzania ryzykiem z dyrektorem Centrum pod względem spójności z KPZR;
3)
zatwierdza uzgodniony plan zarządzania ryzykiem;
4)
przekazuje kopię zatwierdzonego planu zarządzania ryzykiem właściwemu ministrowi oraz dyrektorowi Centrum.
6. Wojewoda przekazuje:
1)
projekt wojewódzkiego planu zarządzania ryzykiem do zatwierdzenia ministrowi właściwemu do spraw administracji publicznej;
2)
kopię zatwierdzonego wojewódzkiego planu zarządzania ryzykiem do wiadomości dyrektorowi Centrum.
7. Starosta przekazuje projekt powiatowego planu zarządzania ryzykiem do zatwierdzenia właściwemu wojewodzie.
8. Wójt (burmistrz, prezydent miasta) przekazuje projekt gminnego planu zarządzania ryzykiem do zatwierdzenia
właściwemu staroście.
Art. 6j. 1. Plany reagowania kryzysowego opracowują:
1)
dyrektor Centrum – Krajowy Plan Reagowania Kryzysowego, zwany dalej „KPRK”;
2)
minister kierujący działem administracji rządowej – plan reagowania kryzysowego ministra kierującego działem
administracji rządowej;
3)
Szef Agencji Bezpieczeństwa Wewnętrznego, Szef Agencji Wywiadu oraz Szef Centralnego Biura Antykorupcyjnego – plan reagowania kryzysowego odpowiednio Szefa Agencji Bezpieczeństwa Wewnętrznego, Szefa
Agencji Wywiadu oraz Szefa Centralnego Biura Antykorupcyjnego;
4)
kierownik urzędu centralnego wskazany przez ministra kierującego działem administracji rządowej, któremu
podlega lub przez którego jest nadzorowany – plan reagowania kryzysowego kierownika urzędu centralnego;
5)
wojewoda – wojewódzki plan reagowania kryzysowego;
6)
starosta – powiatowy plan reagowania kryzysowego;
7)
wójt (burmistrz, prezydent miasta) – gminny plan reagowania kryzysowego.
2. Plany reagowania kryzysowego, o których mowa w ust. 1, opracowuje się w odniesieniu do zagrożeń wskazanych w KOR oraz z uwzględnieniem odpowiedniego planu zarządzania ryzykiem.
3. Plany reagowania kryzysowego, o których mowa w ust. 1 pkt 2–5, opracowuje się z zachowaniem spójności
z KPRK.
Art. 6k. 1. KPRK zawiera:
1)
określenie zadań i obowiązków podmiotów wymienionych w siatce bezpieczeństwa w zakresie reagowania
w przypadku wystąpienia sytuacji kryzysowej oraz usuwania jej skutków;
2)
opis zasad współpracy podmiotów, o których mowa w pkt 1, w tym wymiany informacji w relacjach krajowych
i międzynarodowych;
3)
zestawienie pogrupowanych modułów zadaniowych;
4)
załączniki określające:
a)
opis organizacji systemu monitorowania zagrożeń, ostrzegania i alarmowania,
b) opis organizacji łączności,
c)
opis informowania ludności o zagrożeniach i sposobach postępowania na wypadek zagrożeń,
d) procedury oceniania i dokumentowania strat i szkód,
e)
procedury uruchamiania rezerw strategicznych,
f)
procedury realizacji zadań związanych z ochroną ludności oraz obroną cywilną,
g) procedury reagowania kryzysowego – standardowe procedury operacyjne,
h) priorytety w zakresie ochrony oraz odtwarzania infrastruktury krytycznej.
2. Dyrektor Centrum, we współpracy z organami, o których mowa w art. 6j ust. 1 pkt 2–5, opracowuje projekt
KPRK.
3. Na potrzeby opracowania projektu KPRK dyrektor Centrum wydaje wytyczne do jego opracowania obejmujące elementy, o których mowa w ust. 1.
Dziennik Ustaw
– 10 –
Poz. 815
4. Dyrektor Centrum przekazuje wytyczne do opracowania projektu KPRK organom, o których mowa w art. 6j
ust. 1 pkt 2–5.
5. W zakresie swojej właściwości organy, o których mowa w art. 6j ust. 1 pkt 2–5, uwzględniając wytyczne przekazane przez dyrektora Centrum, opracowują propozycje do ujęcia w projekcie KPRK.
6. Propozycje do ujęcia w projekcie KPRK wraz z danymi stanowiącymi podstawę do ich przygotowania, z wyłączeniem informacji niejawnych, organy, o których mowa w art. 6j ust. 1 pkt 2–5, przekazują dyrektorowi Centrum
we wskazanym przez niego terminie.
7. Dyrektor Centrum może wystąpić do organów, o których mowa w art. 6j ust. 1 pkt 2–5, o przekazanie dodatkowych propozycji do ujęcia w projekcie KPRK, jeżeli uzna, że ich umieszczenie w KPRK jest niezbędne.
8. Propozycje do ujęcia w projekcie KPRK przekazane przez ministra kierującego działem administracji rządowej uwzględniają wkład do propozycji do ujęcia w projekcie KPRK kierownika urzędu centralnego podległego temu
ministrowi lub przez niego nadzorowanego.
9. Kierownik urzędu centralnego podległy ministrowi kierującemu działem administracji rządowej lub przez
niego nadzorowany opracowuje i przekazuje temu ministrowi wkład do propozycji do ujęcia w projekcie KPRK ministra kierującego działem administracji rządowej.
10. Dyrektor Centrum przedkłada Radzie Ministrów projekt KPRK nierzadziej niż raz na 3 lata. Rada Ministrów
przyjmuje KPRK w drodze uchwały.
Art. 6l. 1. Plan reagowania kryzysowego ministra kierującego działem administracji rządowej, Szefa Agencji
Bezpieczeństwa Wewnętrznego, Szefa Agencji Wywiadu, Szefa Centralnego Biura Antykorupcyjnego oraz kierownika
urzędu centralnego podległego ministrowi kierującemu działem administracji rządowej lub przez niego nadzorowanego
zawiera:
1)
określenie zadań i obowiązków podmiotów wymienionych w siatce bezpieczeństwa w zakresie reagowania w przypadku wystąpienia sytuacji kryzysowej oraz usuwania jej skutków;
2)
określenie zadań w zakresie monitorowania zagrożeń;
3)
zestawienie pogrupowanych modułów zadaniowych wraz z opisem realizacji zadań ujętych w tych modułach;
4)
opis zadań z zakresu ochrony infrastruktury krytycznej lub zapewnienia ciągłości świadczenia usług kluczowych.
2. Plan reagowania kryzysowego ministra kierującego działem administracji rządowej obejmuje plan reagowania
kryzysowego tego ministra oraz plany reagowania kryzysowego kierowników urzędów centralnych podległych temu
ministrowi lub przez niego nadzorowanych.
3. Minister kierujący działem administracji rządowej, w zakresie swojej właściwości, wskazuje kierownika
urzędu centralnego podległego temu ministrowi lub przez niego nadzorowanego, który jest obowiązany do opracowania planu reagowania kryzysowego.
4. Plan reagowania kryzysowego Ministra Obrony Narodowej uwzględnia plany reagowania kryzysowego Szefa
Służby Kontrwywiadu Wojskowego oraz Szefa Służby Wywiadu Wojskowego.
5. Minister kierujący działem administracji rządowej, Szef Agencji Bezpieczeństwa Wewnętrznego, Szef Agencji
Wywiadu oraz Szef Centralnego Biura Antykorupcyjnego:
1)
uzgadniają projekt planu reagowania kryzysowego z dyrektorem Centrum pod względem spójności z KPRK;
2)
zatwierdzają uzgodniony plan reagowania kryzysowego;
3)
przekazują kopię zatwierdzonego planu reagowania kryzysowego dyrektorowi Centrum.
6. Kierownik urzędu centralnego, o którym mowa w ust. 3:
1)
uzgadnia projekt planu reagowania kryzysowego z ministrem kierującym działem administracji rządowej, któremu
podlega lub przez którego jest nadzorowany;
2)
uzgadnia projekt planu reagowania kryzysowego z dyrektorem Centrum pod względem spójności z KPRK;
3)
zatwierdza uzgodniony plan reagowania kryzysowego;
4)
przekazuje kopię zatwierdzonego planu reagowania kryzysowego właściwemu ministrowi oraz dyrektorowi
Centrum.
Dziennik Ustaw
– 11 –
Poz. 815
Art. 6m. 1. Wojewódzki plan reagowania kryzysowego zawiera:
1)
elementy, o których mowa w art. 6k ust. 1 pkt 1, 2 i 4 oraz art. 6l ust. 1 pkt 2 i 3, w odniesieniu do terenu województwa;
2)
zestawienie przedsięwzięć minimalizujących skutki zakłócenia funkcjonowania infrastruktury krytycznej dla ludności na terenie województwa wraz z ich opisem.
2. Wojewoda przekazuje:
1)
projekt wojewódzkiego planu reagowania kryzysowego do zatwierdzenia ministrowi właściwemu do spraw
administracji publicznej;
2)
kopię zatwierdzonego wojewódzkiego planu reagowania kryzysowego do wiadomości dyrektorowi Centrum.
Art. 6n. 1. Powiatowy plan reagowania kryzysowego oraz gminny plan reagowania kryzysowego zawierają:
1)
elementy, o których mowa w art. 6k ust. 1 pkt 1, 2 i 4 oraz art. 6l ust. 1 pkt 2 i 3, w odniesieniu do terenu właściwej jednostki samorządu terytorialnego;
2)
zestawienie przedsięwzięć minimalizujących skutki zakłócenia funkcjonowania infrastruktury krytycznej dla
ludności na terenie właściwej jednostki samorządu terytorialnego wraz z ich opisem.
2. Starosta przekazuje projekt powiatowego planu reagowania kryzysowego do zatwierdzenia właściwemu
wojewodzie.
3. Wójt (burmistrz, prezydent miasta) przekazuje projekt gminnego planu reagowania kryzysowego do zatwierdzenia właściwemu staroście.
Art. 6o. 1. Plany zarządzania kryzysowego podlegają aktualizacji w cyklu planowania niedłuższym niż 3 lata.
2. Plany zarządzania kryzysowego uzgadnia się z podmiotami wymienionymi w siatce bezpieczeństwa, w zakresie
ich dotyczącym.
3. Przy opracowywaniu planów zarządzania kryzysowego uwzględnia się:
1)
zawarte umowy i porozumienia,
2)
plany opracowane na podstawie odrębnych przepisów, w tym wynikające z aktów Unii Europejskiej
– niezbędne do realizacji przedsięwzięć określonych w planach zarządzania kryzysowego.
4. Minister kierujący działem administracji rządowej może określić, w drodze zarządzenia, wytyczne do opracowania planów zarządzania kryzysowego kierowników urzędów centralnych podległych temu ministrowi lub przez
niego nadzorowanych, kierując się zachowaniem spójności z planami zarządzania kryzysowego opracowanymi przez
tego ministra.
Rozdział 4
Infrastruktura krytyczna
Art. 6p. Zadania dotyczące infrastruktury krytycznej obejmują:
1)
identyfikację infrastruktury krytycznej;
2)
gromadzenie i przetwarzanie informacji dotyczących zagrożeń infrastruktury krytycznej;
3)
opracowywanie i wdrażanie procedur na wypadek wystąpienia zagrożeń infrastruktury krytycznej;
4)
odtwarzanie infrastruktury krytycznej;
5)
współpracę między organami administracji publicznej a operatorami infrastruktury krytycznej w zakresie ochrony
infrastruktury krytycznej.
Art. 6q. 1. Organami właściwymi w sprawie identyfikacji infrastruktury krytycznej, w zakresie swojej właściwości, są:
1)
ministrowie kierujący działami administracji rządowej;
2)
wojewodowie;
3)
Komisja Nadzoru Finansowego.
2. Organy, o których mowa w ust. 1, w zakresie identyfikacji infrastruktury krytycznej współpracują z dyrektorem Centrum.
Dziennik Ustaw
– 12 –
Poz. 815
3. Minister kierujący działem administracji rządowej, wojewoda, Komisja Nadzoru Finansowego, w zakresie
swojej właściwości, oraz dyrektor Centrum zapewniają bieżącą współpracę z operatorem infrastruktury krytycznej,
w szczególności przez:
1)
prowadzenie bieżącej wymiany informacji na temat zagrożeń;
2)
prowadzenie działań informacyjnych dotyczących dobrych praktyk oraz działań edukacyjnych na rzecz poszerzania wiedzy w zakresie bezpieczeństwa oraz zapewnienia funkcjonowania infrastruktury krytycznej, w tym
organizowanie konferencji, seminariów lub forów wymiany wiedzy;
3)
udzielanie wsparcia merytorycznego operatorom infrastruktury krytycznej:
a)
w zakresie wdrażania dobrych praktyk oraz niezbędnych rozwiązań dotyczących ochrony infrastruktury
krytycznej,
b) w celu zapewnienia właściwego funkcjonowania infrastruktury krytycznej lub jej ochrony lub odbudowy,
c)
w sytuacji kryzysowej lub w przypadku możliwości wystąpienia sytuacji kryzysowej.
Rozdział 5
Identyfikowanie infrastruktury krytycznej
Art. 6r. 1. Dyrektor Centrum w celu zapewnienia:
1)
identyfikacji obiektu, urządzenia, instalacji, sieci, systemu lub usługi lub połączonych ze sobą funkcjonalnie
obiektów, urządzeń, instalacji, sieci, systemów lub usług jako infrastruktury krytycznej,
2)
realizacji zadań w zakresie ochrony infrastruktury krytycznej
– prowadzi wykaz infrastruktury krytycznej.
2. Wykaz infrastruktury krytycznej zawiera:
1)
nazwę i lokalizację infrastruktury krytycznej, w tym wskazanie infrastruktury krytycznej niezbędnej do świadczenia usług kluczowych;
2)
dane operatora infrastruktury krytycznej obejmujące siedzibę i adres oraz numer identyfikacji podatkowej (NIP),
jeżeli został nadany;
3)
wskazanie organu identyfikującego infrastrukturę krytyczną.
3. Wykaz infrastruktury krytycznej jest prowadzony w postaci papierowej lub elektronicznej. Wykaz jest dokumentem niejawnym.
4. Obiekt, urządzenie, instalacja, sieć, system lub usługa lub połączone ze sobą funkcjonalnie obiekty, urządzenia,
instalacje, sieci, systemy lub usługi zostają wpisane do wykazu infrastruktury krytycznej, w przypadku gdy spełniają
kryteria, o których mowa w przepisach wydanych na podstawie ust. 5.
5. Rada Ministrów określi, w drodze uchwały, kryteria pozwalające identyfikować obiekt, urządzenie, instalację,
sieć, system lub usługę lub połączone ze sobą funkcjonalnie obiekty, urządzenia, instalacje, sieci, systemy lub usługi
jako infrastrukturę krytyczną obejmujące:
1)
kryteria sektorowe – progi, w tym progi liczbowe, charakteryzujące zdolność obiektu, urządzenia, instalacji,
sieci, systemu lub usługi lub połączonych ze sobą funkcjonalnie obiektów, urządzeń, instalacji, sieci, systemów
lub usług do zapewnienia funkcjonowania organów administracji publicznej, zapewnienia funkcjonowania
przedsiębiorstw, zaspokajania potrzeb obywateli oraz zapewnienia świadczenia usług kluczowych,
2)
kryteria przekrojowe – progi odnoszące się do znaczenia obiektu, urządzenia, instalacji, sieci, systemu lub usługi
lub połączonych ze sobą funkcjonalnie obiektów, urządzeń, instalacji, sieci, systemów lub usług obejmujące:
a)
kryteria ofiar w ludziach – oceniane w odniesieniu do ewentualnej liczby ofiar śmiertelnych lub liczby rannych,
b) kryteria ewakuacji – oceniane w odniesieniu do liczby osób ewakuowanych lub czasu ewakuacji,
c)
kryteria skutków ekonomicznych – oceniane w odniesieniu do znaczenia strat ekonomicznych lub pogorszenia jakości świadczenia usług kluczowych,
d) kryteria skutków społecznych – oceniane w odniesieniu do wpływu na zaufanie opinii publicznej lub zakłócenia codziennego życia obywateli, w tym utraty dostępu do usług kluczowych,
Dziennik Ustaw
– 13 –
Poz. 815
e)
kryteria wpływu międzynarodowego – oceniane w odniesieniu do pogorszenia wizerunku kraju na arenie
międzynarodowej lub możliwości realizacji zobowiązań międzynarodowych,
f)
kryteria unikatowości – oceniane w odniesieniu do braku możliwości zastąpienia lub odtworzenia w akceptowalnym czasie
– uwzględniając sektory lub podsektory, o których mowa w załączniku do ustawy, oraz znaczenie obiektu, urządzenia,
instalacji, sieci, systemu lub usługi lub połączonych ze sobą funkcjonalnie obiektów, urządzeń, instalacji, sieci, systemów lub usług dla realizacji interesów państwa, funkcjonowania przedsiębiorstw, zaspokajania potrzeb obywateli,
w tym potrzeb o charakterze lokalnym, oraz zapewnienia świadczenia usług kluczowych.
6. Uchwała, o której mowa w ust. 5, jest dokumentem niejawnym.
Art. 6s. 1. Dyrektor Centrum dokonuje wpisu do wykazu infrastruktury krytycznej na podstawie wniosku złożonego przez:
1)
ministra kierującego działem administracji rządowej;
2)
właściwego miejscowo wojewodę;
3)
Komisję Nadzoru Finansowego;
4)
Narodowy Bank Polski.
2. W przypadku Narodowego Banku Polskiego wpis do wykazu infrastruktury krytycznej obejmuje obiekt, urządzenie, instalację, sieć, system lub usługę lub połączone ze sobą funkcjonalnie obiekty, urządzenia, instalacje, sieci,
systemy lub usługi, których Narodowy Bank Polski jest właścicielem lub posiadaczem, niezbędne do wykonywania
zadań Narodowego Banku Polskiego, spełniające co najmniej jedno z kryteriów przekrojowych, o których mowa
w art. 6r ust. 5 pkt 2. Do wniosku składanego przez Narodowy Bank Polski o wpis do wykazu infrastruktury krytycznej
przepisy art. 6t ust. 5 i 6 stosuje się odpowiednio.
3. Dyrektor Centrum opracowuje wyciągi z wykazu infrastruktury krytycznej znajdującej się na terenie poszczególnych województw i przekazuje je właściwym wojewodom.
Art. 6t. 1. Minister kierujący działem administracji rządowej, we współpracy z dyrektorem Centrum, identyfikuje
obiekt, urządzenie, instalację, sieć, system lub usługę lub połączone ze sobą funkcjonalnie obiekty, urządzenia, instalacje, sieci, systemy lub usługi mogące stanowić infrastrukturę krytyczną.
2. W przypadku identyfikacji prowadzonej przez ministra kierującego działem administracji rządowej obiekt,
urządzenie, instalacja, sieć, system lub usługa lub połączone ze sobą funkcjonalnie obiekty, urządzenia, instalacje,
sieci, systemy lub usługi zostają wpisane do wykazu infrastruktury krytycznej, jeżeli spełniają łącznie kryterium sektorowe, o którym mowa w art. 6r ust. 5 pkt 1, oraz co najmniej jedno z kryteriów przekrojowych, o których mowa
w art. 6r ust. 5 pkt 2.
3. Minister kierujący działem administracji rządowej może wystąpić do właściciela lub posiadacza obiektu, urządzenia, instalacji, sieci, systemu lub usługi lub połączonych ze sobą funkcjonalnie obiektów, urządzeń, instalacji, sieci,
systemów lub usług o udzielenie informacji, które umożliwią ocenę, czy spełniają one odpowiednie kryteria, o których
mowa w art. 6r ust. 5, uznania ich za infrastrukturę krytyczną, przekazując dokumenty niezbędne do udzielenia informacji.
4. Minister kierujący działem administracji rządowej w wystąpieniu, o którym mowa w ust. 3, wskazuje termin
udzielenia informacji. Wyznaczony termin nie może być krótszy niż 14 dni, licząc od dnia otrzymania wystąpienia
przez właściciela lub posiadacza obiektu, urządzenia, instalacji, sieci, systemu lub usługi lub połączonych ze sobą
funkcjonalnie obiektów, urządzeń, instalacji, sieci, systemów lub usług.
5. Minister kierujący działem administracji rządowej składa dyrektorowi Centrum wniosek o wpis do wykazu
infrastruktury krytycznej zawierający:
1)
nazwę i lokalizację obiektu, urządzenia, instalacji, sieci, systemu lub usługi lub połączonych ze sobą funkcjonalnie obiektów, urządzeń, instalacji, sieci, systemów lub usług;
2)
dane właściciela lub posiadacza obiektu, urządzenia, instalacji, sieci, systemu lub usługi lub połączonych ze sobą
funkcjonalnie obiektów, urządzeń, instalacji, sieci, systemów lub usług obejmujące siedzibę i adres oraz numer
identyfikacji podatkowej (NIP), jeżeli został nadany.
6. Wniosek sporządza się i składa się w postaci papierowej. Wniosek jest dokumentem niejawnym.
Art. 6u. 1. Wojewoda, we współpracy z dyrektorem Centrum, identyfikuje obiekt, urządzenie, instalację, sieć,
system lub usługę lub połączone ze sobą funkcjonalnie obiekty, urządzenia, instalacje, sieci, systemy lub usługi mogące
stanowić infrastrukturę krytyczną na terenie właściwego województwa.
2. W przypadku identyfikacji prowadzonej przez wojewodę obiekt, urządzenie, instalacja, sieć, system lub usługa
lub połączone ze sobą funkcjonalnie obiekty, urządzenia, instalacje, sieci, systemy lub usługi mogą zostać wpisane do
wykazu infrastruktury krytycznej, jeżeli spełniają co najmniej jedno z kryteriów przekrojowych, o których mowa w art. 6r
ust. 5 pkt 2. Przepisy art. 6t ust. 3–6 stosuje się odpowiednio.
Dziennik Ustaw
– 14 –
Poz. 815
Art. 6v. 1. Komisja Nadzoru Finansowego, w zakresie swojej właściwości, we współpracy z dyrektorem Centrum, identyfikuje obiekt, urządzenie, instalację, sieć, system lub usługę lub połączone ze sobą funkcjonalnie obiekty,
urządzenia, instalacje, sieci, systemy lub usługi mogące stanowić infrastrukturę krytyczną.
2. W przypadku identyfikacji prowadzonej przez Komisję Nadzoru Finansowego obiekt, urządzenie, instalacja,
sieć, system lub usługa lub połączone ze sobą funkcjonalnie obiekty, urządzenia, instalacje, sieci, systemy lub usługi
mogą zostać wpisane do wykazu infrastruktury krytycznej, jeżeli spełniają łącznie kryterium sektorowe, o którym
mowa w art. 6r ust. 5 pkt 1, oraz co najmniej jedno z kryteriów przekrojowych, o których mowa w art. 6r ust. 5 pkt 2.
Przepisy art. 6t ust. 3–6 stosuje się odpowiednio.
Art. 6w. 1. Dyrektor Centrum informuje właściciela lub posiadacza obiektu, urządzenia, instalacji, sieci, systemu
lub usługi lub połączonych ze sobą funkcjonalnie obiektów, urządzeń, instalacji, sieci, systemów lub usług o dokonaniu
wpisu do wykazu infrastruktury krytycznej oraz obowiązkach wynikających z przepisów rozdziału 7, w terminie 30 dni
od dnia wpisu do wykazu.
2. Informacje, o których mowa w ust. 1, dyrektor Centrum przekazuje niezwłocznie organowi składającemu
wniosek o wpis do wykazu infrastruktury krytycznej.
Art. 6x. Organy, o których mowa w art. 6s ust. 1, oraz dyrektor Centrum prowadzą bieżącą wymianę informacji
dotyczących realizacji czynności w zakresie identyfikacji obiektu, urządzenia, instalacji, sieci, systemu lub usługi lub
połączonych ze sobą funkcjonalnie obiektów, urządzeń, instalacji, sieci, systemów lub usług, które mogą zostać wpisane
do wykazu infrastruktury krytycznej.
Rozdział 6
Identyfikowanie potencjalnej infrastruktury krytycznej
Art. 6y. 1. Dyrektor Centrum w celu zapewnienia:
identyfikacji obiektu, urządzenia, instalacji, sieci, systemu lub usługi lub połączonych ze sobą funkcjonalnie
obiektów, urządzeń, instalacji, sieci, systemów lub usług będących na etapie projektowania lub budowy jako
potencjalnej infrastruktury krytycznej,
2)
realizacji zadań w zakresie ochrony potencjalnej infrastruktury krytycznej
– prowadzi wykaz potencjalnej infrastruktury krytycznej.
2. Wykaz potencjalnej infrastruktury krytycznej zawiera:
1)
nazwę i lokalizację potencjalnej infrastruktury krytycznej;
2)
dane inwestora realizującego obowiązki określone w art. 18 ust. 1 ustawy z dnia 7 lipca 1994 r. – Prawo budowlane
(Dz. U. z 2026 r. poz. 524, 605 i 646), prowadzącego prace projektowe lub budowlane dotyczące potencjalnej
infrastruktury krytycznej, obejmujące siedzibę i adres oraz numer identyfikacji podatkowej (NIP), jeżeli został
nadany, zwanego dalej „inwestorem”;
3)
wskazanie organu identyfikującego potencjalną infrastrukturę krytyczną.
3. Wykaz potencjalnej infrastruktury krytycznej jest prowadzony w postaci papierowej lub elektronicznej. Wykaz
jest dokumentem niejawnym.
4. Obiekt, urządzenie, instalacja, sieć, system lub usługa lub połączone ze sobą funkcjonalnie obiekty, urządzenia, instalacje, sieci, systemy lub usługi będące na etapie projektowania lub budowy mogą zostać wpisane do wykazu
potencjalnej infrastruktury krytycznej, w przypadku gdy z dokumentacji budowy, o której mowa w art. 3 pkt 13 ustawy
z dnia 7 lipca 1994 r. – Prawo budowlane, wynika, że spełnią kryteria, o których mowa w przepisach wydanych na podstawie art. 6r ust. 5.
1)
Art. 6z. 1. Dyrektor Centrum dokonuje wpisu do wykazu potencjalnej infrastruktury krytycznej na podstawie
wniosku złożonego przez:
1)
ministra kierującego działem administracji rządowej;
2)
właściwego miejscowo wojewodę;
3)
Komisję Nadzoru Finansowego;
4)
Narodowy Bank Polski.
2. W przypadku Narodowego Banku Polskiego wpis do wykazu potencjalnej infrastruktury krytycznej obejmuje
obiekt, urządzenie, instalację, sieć, system lub usługę lub połączone ze sobą funkcjonalnie obiekty, urządzenia, instalacje, sieci, systemy lub usługi, w przypadku gdy z dokumentacji budowy, o której mowa w art. 3 pkt 13 ustawy z dnia
7 lipca 1994 r. – Prawo budowlane, wynika, że spełnią kryteria, o których mowa w przepisach wydanych na podstawie
art. 6r ust. 5 pkt 2, a których Narodowy Bank Polski jest inwestorem. Do wniosku składanego przez Narodowy Bank
Polski o wpis do wykazu potencjalnej infrastruktury krytycznej przepisy art. 6t ust. 5 i 6 stosuje się odpowiednio.
3. Dyrektor Centrum opracowuje wyciągi z wykazu potencjalnej infrastruktury krytycznej znajdującej się na terenie
poszczególnych województw i przekazuje je właściwym wojewodom.
Dziennik Ustaw
– 15 –
Poz. 815
Art. 6za. 1. Minister kierujący działem administracji rządowej, we współpracy z dyrektorem Centrum, identyfikuje
potencjalną infrastrukturę krytyczną. Przepisy art. 6t ust. 2–6 stosuje się odpowiednio.
2. Wojewoda, we współpracy z dyrektorem Centrum, identyfikuje potencjalną infrastrukturę krytyczną. Przepisy
art. 6t ust. 3–6 oraz art. 6u ust. 2 zdanie pierwsze stosuje się odpowiednio.
3. Komisja Nadzoru Finansowego, we współpracy z dyrektorem Centrum, identyfikuje potencjalną infrastrukturę krytyczną. Przepisy art. 6t ust. 3–6 oraz art. 6v ust. 2 zdanie pierwsze stosuje się odpowiednio.
Art. 6zb. 1. Dyrektor Centrum informuje inwestora o dokonaniu wpisu do wykazu potencjalnej infrastruktury
krytycznej oraz obowiązkach wskazanych w art. 6zc ust. 2, w terminie 30 dni od dnia wpisu do wykazu.
2. Informacje, o których mowa w ust. 1, dyrektor Centrum przekazuje niezwłocznie organowi składającemu
wniosek o wpis do wykazu potencjalnej infrastruktury krytycznej.
Art. 6zc. 1. Organy, o których mowa w art. 6z ust. 1, w zakresie swojej właściwości, we współpracy z dyrektorem Centrum, przedstawiają inwestorowi informacje oraz dokumenty pozwalające na uwzględnienie wymogów dotyczących infrastruktury krytycznej w dokumentacji budowy, o której mowa w art. 3 pkt 13 ustawy z dnia 7 lipca 1994 r. –
Prawo budowlane, lub podczas realizacji inwestycji oraz zapewniają bieżącą współpracę w zakresie, o którym mowa
w art. 6p.
2. Do obowiązków inwestora w zakresie ochrony potencjalnej infrastruktury krytycznej stosuje się przepisy art. 6ze
ust. 1 pkt 1, pkt 2 lit. a, pkt 3 lit. a i pkt 4 oraz art. 6zf ust. 2 pkt 1, pkt 3 lit. a i pkt 4 lit. a.
Art. 6zd. Organy, o których mowa w art. 6z ust. 1, oraz dyrektor Centrum prowadzą bieżącą wymianę informacji
dotyczących realizacji czynności w zakresie identyfikacji obiektu, urządzenia, instalacji, sieci, systemu lub usługi lub
połączonych ze sobą funkcjonalnie obiektów, urządzeń, instalacji, sieci, systemów lub usług będących na etapie projektowania lub budowy, które mogą zostać wpisane do wykazu potencjalnej infrastruktury krytycznej.
Rozdział 7
Obowiązki operatorów infrastruktury krytycznej
Art. 6ze. 1. Operator infrastruktury krytycznej zapewnia jej ochronę przez:
1)
prowadzenie bieżącej analizy zagrożeń dla infrastruktury krytycznej;
2)
wdrażanie adekwatnych do wyników przeprowadzonej analizy zagrożeń, o której mowa w pkt 1, rozwiązań
w zakresie:
a)
bezpieczeństwa fizycznego w formie ochrony fizycznej lub zabezpieczeń technicznych uwzględniających
systemy kontroli dostępu,
b) bezpieczeństwa technicznego,
c)
bezpieczeństwa osobowego dotyczącego pracowników i dostawców zewnętrznych,
d) cyberbezpieczeństwa,
3)
e)
bezpieczeństwa prawnego,
f)
ciągłości działania i odtwarzania, w tym utrzymywania własnych systemów rezerwowych zapewniających
bezpieczeństwo i podtrzymujących funkcjonalność infrastruktury krytycznej do czasu jej pełnego odtworzenia;
bieżącą współpracę z organami zarządzania kryzysowego, służbami, strażami i inspekcjami oraz dyrektorem
Centrum przez sporządzanie, przekazywanie oraz odbieranie informacji o:
a)
zagrożeniach zakłócających lub mogących zakłócić funkcjonowanie infrastruktury krytycznej,
b) spodziewanych przerwach lub zakłóceniach w funkcjonowaniu infrastruktury krytycznej;
4)
sporządzanie i przekazywanie informacji w zakresie zapewnienia ochrony infrastruktury krytycznej na żądanie:
a)
odpowiednio:
– ministra, o którym mowa w art. 6t ust. 1,
– właściwego miejscowo wojewody,
– Komisji Nadzoru Finansowego,
b) dyrektora Centrum,
c)
5)
Szefa Agencji Bezpieczeństwa Wewnętrznego lub Szefa Agencji Wywiadu;
zapewnienie zdolności do ochrony informacji niejawnych rozumianej jako spełnienie wymagań określonych
w przepisach ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2025 r. poz. 1209),
zwaną dalej „zdolnością do ochrony informacji niejawnych”.
Dziennik Ustaw
– 16 –
Poz. 815
2. Operator infrastruktury krytycznej przeprowadza analizę zagrożeń, o której mowa w ust. 1 pkt 1, w terminie
6 miesięcy od dnia otrzymania informacji o dokonaniu wpisu do wykazu infrastruktury krytycznej.
3. Operator infrastruktury krytycznej wdraża rozwiązania, o których mowa w ust. 1 pkt 2, w terminie 6 miesięcy
od dnia przeprowadzenia analizy zagrożeń, o której mowa w ust. 1 pkt 1, a następnie stosownie do potrzeb, w zależności od wyników przeprowadzonej analizy zagrożeń.
4. Rada Ministrów określi, w drodze rozporządzenia, minimalne wymagania w zakresie bezpieczeństwa fizycznego, technicznego, osobowego, cyberbezpieczeństwa, prawnego oraz ciągłości działania, niezbędne do wdrażania
rozwiązań, o których mowa w ust. 1 pkt 2, mając na uwadze potrzebę podejmowania działań zapewniających bezpieczeństwo infrastruktury krytycznej oraz zapewnienia jednolitości rozwiązań.
5. Operator infrastruktury krytycznej w celu zapewnienia wdrażania rozwiązań, o których mowa w ust. 1 pkt 2,
może zawierać umowy. Przy zawieraniu umów operator ochrony infrastruktury krytycznej żąda od usługodawców:
1)
certyfikatów, uwzględniając dokumenty równoważne, zgodnie z zasadami wzajemnego uznawania w Unii Europejskiej, lub w przypadku ich braku – innych dokumentów właściwych dla poszczególnych rozwiązań, potwierdzających posiadanie odpowiednich kompetencji i uprawnień niezbędnych do ich realizacji;
2)
potwierdzenia zdolności do ochrony informacji niejawnych oraz stosowania przepisów o ochronie informacji niejawnych, jeżeli opracowanie, przygotowanie i wykonanie umowy wiążą się z dostępem do informacji niejawnych.
6. Minister, o którym mowa w art. 6t ust. 1, właściwy miejscowo wojewoda lub Komisja Nadzoru Finansowego,
po zasięgnięciu opinii właściwych sektorowych rad do spraw kompetencji, o których mowa w art. 4c ust. 1 pkt 2
ustawy z dnia 9 listopada 2000 r. o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości (Dz. U. z 2025 r. poz. 98),
mogą opracować i udostępnić na stronie podmiotowej Biuletynu Informacji Publicznej zestawienie certyfikatów lub
innych dokumentów zapewniających wdrożenie rozwiązań, o których mowa w ust. 1 pkt 2.
7. Minister, o którym mowa w art. 6t ust. 1, właściwy miejscowo wojewoda, Komisja Nadzoru Finansowego lub
Narodowy Bank Polski, w zakresie swojej właściwości, we współpracy z dyrektorem Centrum, ustalają klauzule tajności oraz szczegółowe wymagania dotyczące ochrony informacji niejawnych związanych z realizacją przez operatora
infrastruktury krytycznej przedsięwzięć związanych z ochroną tej infrastruktury.
Art. 6zf. 1. Operator infrastruktury krytycznej opracowuje i na bieżąco aktualizuje dokumentację ochrony infrastruktury krytycznej.
2. Dokumentacja ochrony infrastruktury krytycznej zawiera:
1)
opis infrastruktury krytycznej oraz analizę zagrożeń, o której mowa w art. 6ze ust. 1 pkt 1;
2)
opis wdrożonych rozwiązań, o których mowa w art. 6ze ust. 1 pkt 2;
3)
opis:
a)
zasobów umożliwiających podtrzymanie f …
Wyjaśnienie AI na podstawie urzędowego tekstu ustawy. Orientacyjne, nie zastępuje porady prawnej.