📄 Tekst ustawy
Obwieszczenie Marszałka Sejmu Rzeczypospolitej Polskiejz dnia 22 lipca 2020 r.w sprawie ogłoszenia jednolitego tekstu ustawy o krajowym systemie cyberbezpieczeństwa
Spis treści
Treść obwieszczenia
Załącznik - Tekst jednolity ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa
Rozdział 1 - Przepisy ogólne
Rozdział 2 - Identyfikacja i rejestracja operatorów usług kluczowych
Rozdział 3 - Obowiązki operatorów usług kluczowych
Rozdział 4 - Obowiązki dostawców usług cyfrowych
Rozdział 5 - Obowiązki podmiotów publicznych
Rozdział 6 - Zadania CSIRT MON, CSIRT NASK i CSIRT GOV
Rozdział 7 - Zasady udostępniania informacji i przetwarzania danych osobowych
Rozdział 8 - Organy właściwe do spraw cyberbezpieczeństwa
Rozdział 9 - Zadania ministra właściwego do spraw informatyzacji
Rozdział 10 - Zadania Ministra Obrony Narodowej
Rozdział 11 - Nadzór i kontrola operatorów usług kluczowych, dostawców usług cyfrowych i podmiotów
świadczących usługi w zakresie cyberbezpieczeństwa
Rozdział 12 - Pełnomocnik i Kolegium
Rozdział 13 - Strategia
Rozdział 14 - Przepisy o karach pieniężnych
Rozdział 15 - Zmiany w przepisach, przepisy przejściowe, dostosowujące i końcowe
Załącznik nr 1 - Sektory i podsektory oraz rodzaje podmiotów
Załącznik nr 2 - Usługi cyfrowe
Treść obwieszczenia
1.
Na podstawie art. 16 ust. 1 zdanie pierwsze ustawy z dnia 20 lipca 2000 r. o ogłaszaniu aktów normatywnych
i niektórych innych aktów prawnych
(Dz. U. z 2019 r. poz. 1461) ogłasza się w załączniku do niniejszego obwieszczenia jednolity tekst ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa
(Dz. U. poz. 1560), z uwzględnieniem zmian wprowadzonych:
1)
ustawą z dnia 11 września 2019 r. - Przepisy wprowadzające ustawę - Prawo zamówień
publicznych
(Dz. U. poz. 2020),
2)
ustawą z dnia 16 października 2019 r. o zmianie ustawy - Prawo oświatowe oraz niektórych
innych ustaw
(Dz. U. poz. 2248),
3)
ustawą z dnia 16 kwietnia 2020 r. o szczególnych instrumentach wsparcia w związku
z rozprzestrzenianiem się wirusa SARS-CoV-2
(Dz. U. poz. 695),
4)
ustawą z dnia 14 maja 2020 r. o zmianie niektórych ustaw w zakresie działań osłonowych
w związku z rozprzestrzenianiem się wirusa SARS-CoV-2
(Dz. U. poz. 875)
oraz zmian wynikających z przepisów ogłoszonych przed dniem 22 lipca 2020 r.
2.
Podany w załączniku do niniejszego obwieszczenia jednolity tekst ustawy nie obejmuje:
1)
art. 77-82 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa
(Dz. U. poz. 1560), które stanowią:
„
Art. 77.
W ustawie z dnia 7 września 1991 r. o systemie oświaty
(Dz. U. z 2018 r. poz. 1457) w art. 90u:
1)
w ust. 1 pkt 6 otrzymuje brzmienie:
„
6)
rozwijanie kompetencji, zainteresowań i uzdolnień dzieci i młodzieży oraz innych grup
społecznych, w tym wspomaganie organów prowadzących szkoły lub placówki w realizacji
przedsięwzięć w tym obszarze, w szczególności w zakresie bezpiecznego korzystania
z technologii informacyjno-komunikacyjnych;
”
;
2)
w ust. 4 pkt 6 otrzymuje brzmienie:
„
6)
szczegółowe warunki, formy i tryb realizacji przedsięwzięć w zakresie rozwijania kompetencji,
zainteresowań i uzdolnień dzieci i młodzieży oraz innych grup społecznych, a także
warunki i tryb wspomagania organów prowadzących szkoły lub placówki w realizacji przedsięwzięć
w tym obszarze, w szczególności w zakresie bezpiecznego korzystania z technologii
informacyjno-komunikacyjnych, uwzględniając konieczność rozwijania umiejętności ułatwiających
przystosowanie się do zmian zachodzących w życiu społecznym i gospodarczym, możliwość
udzielenia wsparcia finansowego organów prowadzących szkoły lub placówki oraz wymóg
skuteczności i efektywności wydatkowania środków budżetowych;
”
.
Art. 78.
W ustawie z dnia 4 września 1997 r. o działach administracji rządowej
(Dz. U. z 2018 r. poz. 762, 810, 1090, 1467 i 1544) wprowadza się następujące zmiany:
1)
w art. 12a w ust. 1 pkt 10 otrzymuje brzmienie:
„
10)
bezpieczeństwa cyberprzestrzeni w wymiarze cywilnym;
”
;
2)
w art. 19 w ust. 1 po pkt 1 dodaje się pkt 1a w brzmieniu:
„
1a)
bezpieczeństwa cyberprzestrzeni w wymiarze militarnym,
”
.
Art. 79.
W ustawie z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji
Wywiadu
(Dz. U. z 2017 r. poz. 1920, z późn. zm.a)Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r.
poz. 2405 oraz z 2018 r. poz. 138, 650, 723, 730 i 1544.) po art. 32a dodaje się art. 32aa w brzmieniu:
„
Art. 32aa.
1.
W celu zapobiegania i przeciwdziałania oraz zwalczania zdarzeń o charakterze terrorystycznym
dotyczących istotnych z punktu widzenia ciągłości funkcjonowania państwa systemów
teleinformatycznych organów administracji publicznej lub sieci teleinformatycznych
objętych jednolitym wykazem obiektów, instalacji, urządzeń i usług wchodzących w skład
infrastruktury krytycznej, a także systemów teleinformatycznych właścicieli, posiadaczy
samoistnych i posiadaczy zależnych obiektów, instalacji lub urządzeń infrastruktury
krytycznej, o których mowa w art. 5b ust. 7 pkt 1 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym, lub danych przetwarzanych w tych systemach oraz zapobiegania i wykrywania przestępstw
o charakterze terrorystycznym w tym obszarze oraz ścigania ich sprawców, ABW wdraża
w tych podmiotach system wczesnego ostrzegania o zagrożeniach występujących w sieci
Internet, zwany dalej „systemem ostrzegania”, prowadzi go i koordynuje jego funkcjonowanie.
2.
Wdrożenie elementów systemu ostrzegania w podmiotach, o których mowa w ust. 1, następuje
zgodnie z rocznym planem wdrożenia, opracowywanym przez Szefa ABW w terminie do dnia
30 września roku poprzedzającego. W uzasadnionych przypadkach, na wniosek podmiotu,
wdrożenie elementów systemu ostrzegania może zostać przeprowadzone z pominięciem planu.
3.
ABW niezwłocznie informuje podmiot, o którym mowa w ust. 1, o jego włączeniu do rocznego
planu wdrożenia systemu ostrzegania.
4.
Podmiot, o którym mowa w ust. 1, ma obowiązek przystąpić do systemu ostrzegania oraz
przekazać ABW niezbędne informacje umożliwiające wdrożenie systemu ostrzegania w tym
podmiocie.
5.
W podmiotach, o których mowa w ust. 1, podległych Ministrowi Obrony Narodowej lub
przez niego nadzorowanych, wdrożenie systemu ostrzegania może nastąpić za zgodą Ministra
Obrony Narodowej.
6.
Koszty wdrożenia i utrzymania systemu ostrzegania w podmiotach, o których mowa w ust.
1, pokrywa ABW.
7.
ABW, w drodze porozumienia, uzgadnia z podmiotem, o którym mowa w ust. 1, techniczne
aspekty uczestnictwa w systemie ostrzegania oraz model konfiguracji systemu.
8.
W sytuacji braku możliwości zawarcia porozumienia, o którym mowa w ust. 7, z przyczyn
leżących po stronie podmiotu, o którym mowa w ust. 1, ABW informuje podmiot go nadzorujący
lub ministra właściwego do spraw informatyzacji.
9.
Prezes Rady Ministrów określi, w drodze rozporządzenia, warunki i tryb prowadzenia,
koordynacji i wdrażania systemu ostrzegania, w szczególności określi czynności niezbędne
do jego uruchomienia i utrzymania oraz wzór porozumienia, o którym mowa w ust. 7,
kierując się potrzebą zapewnienia bezpieczeństwa systemów teleinformatycznych istotnych
z punktu widzenia ciągłości funkcjonowania państwa.
”
.
Art. 80.
W ustawie z dnia 29 stycznia 2004 r. - Prawo zamówień publicznych
(Dz. U. z 2017 r. poz. 1579 i 2018) w art. 89 w ust. 1 pkt 7d otrzymuje brzmienie:
„
7d)
jej przyjęcie naruszałoby bezpieczeństwo publiczne lub istotny interes bezpieczeństwa
państwa, w tym bezpieczeństwo podmiotów objętych jednolitym wykazem obiektów, instalacji,
urządzeń i usług wchodzących w skład infrastruktury krytycznej, o której mowa w art. 5b ust. 7 pkt 1 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym
(Dz. U. z 2018 r. poz. 1401), a tego bezpieczeństwa lub interesu nie można zagwarantować w inny sposób;
”
.
Art. 81.
W ustawie z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne
(Dz. U. z 2017 r. poz. 1907 i 2201 oraz z 2018 r. poz. 106, 138, 650 i 1118) wprowadza się następujące zmiany:
1)
w art. 175a:
a)
po ust. 1 dodaje się ust. 1a i 1b w brzmieniu:
„
1a.
Prezes UKE przekazuje informacje, o których mowa w ust. 1, jeżeli dotyczą one zdarzeń
będących incydentami w rozumieniu ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa
(Dz. U. poz. 1560), CSIRT właściwemu dla zgłaszającego przedsiębiorcy telekomunikacyjnego, zgodnie z
art. 26 ust. 5-7 tej ustawy, z wyłączeniem informacji stanowiących tajemnicę przedsiębiorstwa,
zastrzeżonych na podstawie art. 9.
1b.
Przekazanie, o którym mowa w ust. 1a, następuje w postaci elektronicznej, a w przypadku
braku możliwości przekazania w postaci elektronicznej - przy użyciu innych dostępnych
środków komunikacji.
”
,
b)
po ust. 2 dodaje się ust. 2a w brzmieniu:
„
2a.
Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia, kryteria
uznania naruszenia bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych
za naruszenie o istotnym wpływie na funkcjonowanie sieci lub usług, biorąc pod uwagę
w szczególności wartość procentową użytkowników, na których naruszenie bezpieczeństwa
lub integralności sieci lub usług telekomunikacyjnych miało wpływ, czas trwania naruszenia
bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych powodującego
niedostępność lub ograniczenie dostępności sieci lub usług telekomunikacyjnych oraz
rekomendacje i wytyczne Europejskiej Agencji do spraw Bezpieczeństwa Sieci i Informacji
(ENISA).
”
;
2)
w art. 176a:
a)
w ust. 1 pkt 3 otrzymuje brzmienie:
„
3)
bezpośrednich zagrożeń dla bezpieczeństwa lub integralności infrastruktury telekomunikacyjnej
przedsiębiorcy lub świadczonych przez niego usług
”
,
b)
w ust. 2 pkt 4 otrzymuje brzmienie:
„
4)
technicznych i organizacyjnych środków zapewnienia bezpieczeństwa i integralności
infrastruktury telekomunikacyjnej i świadczonych usług, w tym ochrony przed wystąpieniem
incydentów w rozumieniu ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa;
”
;
3)
w art. 209 w ust. 1 po pkt 27 dodaje się pkt 27¹ w brzmieniu:
„
27¹) nie wypełnia obowiązku, o którym mowa w art. 175a ust. 1,
”
.
Art. 82.
W ustawie z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym
(Dz. U. z 2018 r. poz. 1401) wprowadza się następujące zmiany:
1)
w art. 5a ust. 2 otrzymuje brzmienie:
„
2.
Koordynację przygotowania Raportu zapewnia dyrektor Rządowego Centrum Bezpieczeństwa,
natomiast w części dotyczącej zagrożeń o charakterze terrorystycznym, mogących doprowadzić
do sytuacji kryzysowej, Szef Agencji Bezpieczeństwa Wewnętrznego, a w części dotyczącej
zagrożeń cyberbezpieczeństwa mogących doprowadzić do sytuacji kryzysowej - Pełnomocnik
Rządu do spraw Cyberbezpieczeństwa.
”
;
2)
w art. 6 po ust. 5a dodaje się ust. 5b w brzmieniu:
„
5b.
Właściciele, posiadacze samoistni i zależni, o których mowa w ust. 5, będący jednocześnie
operatorami usług kluczowych w rozumieniu ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa
(Dz. U. poz. 1560), uwzględniają w planach ochrony infrastruktury krytycznej dokumentację dotyczącą
cyberbezpieczeństwa systemów informacyjnych wykorzystywanych do świadczenia usług
kluczowych zgodnie z zakresem informacji określonym w przepisach wydanych na podstawie
art. 10 ust. 5 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.
”
;
3)
w art. 8 w ust. 3 w pkt 14 kropkę zastępuje się średnikiem i dodaje się pkt 15 w brzmieniu:
„
15)
Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa.
”
;
4)
w art. 11 po ust. 1 dodaje się ust. 1a w brzmieniu:
„
1a.
Centrum zapewnia obsługę Zespołu do spraw Incydentów Krytycznych, o którym mowa w
art. 36 ust. 1 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.”.
”
;
”
;
2)
art. 109 ustawy z dnia 11 września 2019 r. - Przepisy wprowadzające ustawę - Prawo
zamówień publicznych
(Dz. U. poz. 2020), który stanowi:
„
Art. 109.
Ustawa wchodzi w życie z dniem 1 stycznia 2021 r., z wyjątkiem:
1)
art. 85 pkt 5, który wchodzi w życie po upływie 14 dni od dnia ogłoszenia;
2)
art. 88, który wchodzi w życie z dniem 1 marca 2020 r.
”
;
3)
art. 7 ustawy z dnia 16 października 2019 r. o zmianie ustawy - Prawo oświatowe oraz
niektórych innych ustaw
(Dz. U. poz. 2248), który stanowi:
„
Art. 7.
Ustawa wchodzi w życie po upływie 14 dni od dnia ogłoszenia, z wyjątkiem:
1)
art. 2, który wchodzi w życie z dniem następującym po dniu ogłoszenia;
2)
art. 4, który wchodzi w życie z dniem 1 stycznia 2020 r.
”
;
4)
art. 118 ustawy z dnia 16 kwietnia 2020 r. o szczególnych instrumentach wsparcia w
związku z rozprzestrzenianiem się wirusa SARS-CoV-2
(Dz. U. poz. 695), który stanowi:
„
Art. 118.
Ustawa wchodzi w życie z dniem następującym po dniu ogłoszenia, z wyjątkiem:
1)
art. 22, który wchodzi w życie z mocą od dnia 13 marca 2020 r.;
2)
art. 28, który wchodzi w życie z dniem 1 lipca 2020 r.;
3)
art. 53 pkt 8 w zakresie dodawanego art. 67c - który wchodzi w życie z mocą od dnia
31 marca 2020 r.;
4)
art. 73 pkt 45, który wchodzi w życie z mocą od dnia 13 kwietnia 2020 r.;
5)
art. 73 pkt 57 w zakresie dodawanego art. 15zzzzm - który wchodzi w życie z mocą od
dnia 12 marca 2020 r.;
6)
art. 73 pkt 20, 38, 39 i 41, które wchodzą w życie z mocą od dnia 1 kwietnia 2020 r.;
7)
art. 73 pkt 68 w zakresie dodawanego art. 31zy6 - który wchodzi w życie z mocą od dnia 14 marca 2020 r.
”
;
5)
art. 71 i art. 76 ustawy z dnia 14 maja 2020 r. o zmianie niektórych ustaw w zakresie
działań osłonowych w związku z rozprzestrzenianiem się wirusa SARS-CoV-2
(Dz. U. poz. 875), które stanowią:
„
Art. 71.
1.
Przepisy art. 14 pkt 8 i 9 oraz art. 36 stosuje się do ogłoszonych przed dniem wejścia
w życie niniejszej ustawy przetargów, konkursów i aukcji.
2.
W przypadku gdy w ogłoszonym przetargu, konkursie lub aukcji przed dniem wejścia w
życie niniejszej ustawy zostały złożone oferty Prezes Urzędu Komunikacji Elektronicznej:
1)
zwraca niezwłocznie złożone oferty uczestnikom;
2)
wpłacone przez uczestników przetargu albo aukcji wadium zwraca w terminie 21 dni od
dnia unieważnienia przetargu albo aukcji z przyczyny, o której mowa w art. 118d ust.
1a ustawy zmienianej w art. 14 w brzmieniu nadanym niniejszą ustawą.
”
„
Art. 76.
Ustawa wchodzi w życie z dniem następującym po dniu ogłoszenia, z wyjątkiem:
1)
art. 1, art. 2, art. 8, art. 46 pkt 47 w zakresie dodawanego art. 31zzg, oraz art.
63-65, które wchodzą w życie po upływie 14 dni od dnia ogłoszenia;
2)
art. 7 w zakresie art. 12a ust. 4, art. 27 w zakresie art. 72a ust. 1, oraz art. 30
w zakresie 139b ust. 1, które wchodzą w życie z dniem ogłoszenia z mocą od dnia 30
kwietnia 2020 r.;
3)
art. 10:
a)
pkt 1 i 2, które wchodzą w życie po upływie 12 miesięcy od dnia ogłoszenia,
b)
pkt 3, który wchodzi w życie z dniem 1 stycznia 2021 r.;
4)
art. 14 pkt 1-7 i 12, które wchodzą w życie z dniem 21 grudnia 2020 r.;
5)
art. 9, art. 16, art. 18 oraz art. 72, które wchodzą w życie z dniem 1 lipca 2020 r.;
6)
art. 29 pkt 7, który wchodzi w życie z dniem ogłoszenia z mocą od dnia 13 marca 2020 r.;
7)
art. 33, który wchodzi w życie po upływie 30 dni od dnia ogłoszenia, z wyjątkiem pkt
1 w zakresie art. 4b ust. 5, który wchodzi w życie z dniem 1 stycznia 2021 r.;
8)
art. 46:
a)
pkt 1 i 2, które wchodzą w życie z dniem 25 maja 2020 r.,
b)
pkt 3:
-
w zakresie art. 4d, który wchodzi w życie z dniem ogłoszenia z mocą od dnia 1 kwietnia
2020 r.,
-
w zakresie art. 4e, który wchodzi w życie z dniem ogłoszenia z mocą od dnia 8 marca
2020 r.,
c)
pkt 19, który wchodzi w życie z dniem ogłoszenia z mocą od dnia 1 maja 2020 r.,
d)
pkt 31, który wchodzi w życie z dniem ogłoszenia z mocą od dnia 1 kwietnia 2020 r.,
e)
pkt 36, który wchodzi w życie z dniem ogłoszenia z mocą od dnia 7 marca 2020 r.;
9)
art. 58, który wchodzi w życie z dniem ogłoszenia z mocą od dnia 1 kwietnia 2020 r.;
10)
art. 59, który wchodzi w życie z dniem ogłoszenia z mocą od dnia 18 kwietnia 2020 r.
”
.
a)
Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r.
poz. 2405 oraz z 2018 r. poz. 138, 650, 723, 730 i 1544.
Załącznik
-
Tekst jednolity ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa1)Niniejsza ustawa w zakresie swojej regulacji wdraża dyrektywę Parlamentu Europejskiego
i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego
wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii
(Dz. Urz. UE L 194 z 19.07.2016, str. 1).
Rozdział 1
Przepisy ogólne
Art. 1.
1.
Ustawa określa:
1)
organizację krajowego systemu cyberbezpieczeństwa oraz zadania i obowiązki podmiotów
wchodzących w skład tego systemu;
2)
sposób sprawowania nadzoru i kontroli w zakresie stosowania przepisów ustawy;
3)
zakres Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej.
2.
Ustawy nie stosuje się do:
1)
przedsiębiorców telekomunikacyjnych, o których mowa w ustawie z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne
(Dz. U. z 2019 r. poz. 2460 oraz z 2020 r. poz. 374, 695 i 875), w zakresie wymogów dotyczących bezpieczeństwa i zgłaszania incydentów;
2)
dostawców usług zaufania, którzy podlegają wymogom art. 19 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23
lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu
do transakcji elektronicznych na rynku wewnętrznym oraz uchylającego dyrektywę 1999/93/WE
(Dz. Urz. UE L 257 z 28.08.2014, str. 73);
3)
podmiotów wykonujących działalność leczniczą, tworzonych przez Szefa Agencji Bezpieczeństwa
Wewnętrznego lub Szefa Agencji Wywiadu.
Art. 2.
Użyte w ustawie określenia oznaczają:
1)
CSIRT GOV - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający
na poziomie krajowym, prowadzony przez Szefa Agencji Bezpieczeństwa Wewnętrznego;
2)
CSIRT MON - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający
na poziomie krajowym, prowadzony przez Ministra Obrony Narodowej;
3)
CSIRT NASK - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający
na poziomie krajowym, prowadzony przez Naukową i Akademicką Sieć Komputerową - Państwowy
Instytut Badawczy;
4)
cyberbezpieczeństwo - odporność systemów informacyjnych na działania naruszające poufność,
integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi
usług oferowanych przez te systemy;
5)
incydent - zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo;
6)
incydent krytyczny - incydent skutkujący znaczną szkodą dla bezpieczeństwa lub porządku
publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji
publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi, klasyfikowany
przez właściwy CSIRT MON, CSIRT NASK lub CSIRT GOV;
7)
incydent poważny - incydent, który powoduje lub może spowodować poważne obniżenie
jakości lub przerwanie ciągłości świadczenia usługi kluczowej;
8)
incydent istotny - incydent, który ma istotny wpływ na świadczenie usługi cyfrowej
w rozumieniu art. 4 rozporządzenia wykonawczego Komisji (UE) 2018/151 z dnia 30 stycznia 2018 r.
ustanawiającego zasady stosowania dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148
w odniesieniu do dalszego doprecyzowania elementów, jakie mają być uwzględnione przez
dostawców usług cyfrowych w zakresie zarządzania istniejącymi ryzykami dla bezpieczeństwa
sieci i systemów informatycznych, oraz parametrów służących do określenia, czy incydent
ma istotny wpływ
(Dz. Urz. UE L 26 z 31.01.2018, str. 48), zwanego dalej „rozporządzeniem wykonawczym 2018/151”;
9)
incydent w podmiocie publicznym - incydent, który powoduje lub może spowodować obniżenie
jakości lub przerwanie realizacji zadania publicznego realizowanego przez podmiot
publiczny, o którym mowa w art. 4 pkt 7-15;
10)
obsługa incydentu - czynności umożliwiające wykrywanie, rejestrowanie, analizowanie,
klasyfikowanie, priorytetyzację, podejmowanie działań naprawczych i ograniczenie skutków
incydentu;
11)
podatność - właściwość systemu informacyjnego, która może być wykorzystana przez zagrożenie
cyberbezpieczeństwa;
12)
ryzyko - kombinację prawdopodobieństwa wystąpienia zdarzenia niepożądanego i jego
konsekwencji;
13)
szacowanie ryzyka - całościowy proces identyfikacji, analizy i oceny ryzyka;
14)
system informacyjny - system teleinformatyczny, o którym mowa w art. 3 pkt 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów
realizujących zadania publiczne
(Dz. U. z 2020 r. poz. 346, 568 i 695), wraz z przetwarzanymi w nim danymi w postaci elektronicznej;
15)
usługa cyfrowa - usługę świadczoną drogą elektroniczną w rozumieniu przepisów ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną
(Dz. U. z 2020 r. poz. 344), wymienioną w załączniku nr 2 do ustawy;
16)
usługa kluczowa - usługę, która ma kluczowe znaczenie dla utrzymania krytycznej działalności
społecznej lub gospodarczej, wymienioną w wykazie usług kluczowych;
17)
zagrożenie cyberbezpieczeństwa - potencjalną przyczynę wystąpienia incydentu;
18)
zarządzanie incydentem - obsługę incydentu, wyszukiwanie powiązań między incydentami,
usuwanie przyczyn ich wystąpienia oraz opracowywanie wniosków wynikających z obsługi
incydentu;
19)
zarządzanie ryzykiem - skoordynowane działania w zakresie zarządzania cyberbezpieczeństwem
w odniesieniu do oszacowanego ryzyka.
Art. 3.
Krajowy system cyberbezpieczeństwa ma na celu zapewnienie cyberbezpieczeństwa na poziomie
krajowym, w tym niezakłóconego świadczenia usług kluczowych i usług cyfrowych, przez
osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących
do świadczenia tych usług oraz zapewnienie obsługi incydentów.
Art. 4.
Krajowy system cyberbezpieczeństwa obejmuje:
1)
operatorów usług kluczowych;
2)
dostawców usług cyfrowych;
3)
CSIRT MON;
4)
CSIRT NASK;
5)
CSIRT GOV;
6)
sektorowe zespoły cyberbezpieczeństwa;
7)
jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1-6, 8, 9, 11 i 12 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych
(Dz. U. z 2019 r. poz. 869, z późn. zm.2)Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2019 r.
poz. 1622, 1649, 2020 i 2473 oraz z 2020 r. poz. 284, 374, 568, 695 i 1175.);
8)
instytuty badawcze;
9)
Narodowy Bank Polski;
10)
Bank Gospodarstwa Krajowego;
11)
Urząd Dozoru Technicznego;
12)
Polską Agencję Żeglugi Powietrznej;
13)
Polskie Centrum Akredytacji;
14)
Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej oraz wojewódzkie fundusze
ochrony środowiska i gospodarki wodnej;
15)
spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej w
rozumieniu art. 1 ust. 2 ustawy z dnia 20 grudnia 1996 r. o gospodarce komunalnej
(Dz. U. z 2019 r. poz. 712 i 2020);
16)
podmioty świadczące usługi z zakresu cyberbezpieczeństwa;
17)
organy właściwe do spraw cyberbezpieczeństwa;
18)
Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa, zwany dalej „Pojedynczym
Punktem Kontaktowym”;
19)
Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa, zwanego dalej „Pełnomocnikiem”;
20)
Kolegium do Spraw Cyberbezpieczeństwa, zwane dalej „Kolegium”.
Rozdział 2
Identyfikacja i rejestracja operatorów usług kluczowych
Art. 5.
1.
Operatorem usługi kluczowej jest podmiot, o którym mowa w załączniku nr 1 do ustawy,
posiadający jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, wobec
którego organ właściwy do spraw cyberbezpieczeństwa wydał decyzję o uznaniu za operatora
usługi kluczowej. Sektory, podsektory oraz rodzaje podmiotów określa załącznik nr
1 do ustawy.
2.
Organ właściwy do spraw cyberbezpieczeństwa wydaje decyzję o uznaniu podmiotu za operatora
usługi kluczowej, jeżeli:
1)
podmiot świadczy usługę kluczową;
2)
świadczenie tej usługi zależy od systemów informacyjnych;
3)
incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez
tego operatora.
3.
Istotność skutku zakłócającego incydentu dla świadczenia usługi kluczowej, o którym
mowa w ust. 2 pkt 3, określana jest na podstawie progów istotności skutku zakłócającego.
4.
W przypadku gdy podmiot świadczy usługę kluczową w innych państwach członkowskich
Unii Europejskiej, organ właściwy do spraw cyberbezpieczeństwa w toku postępowania
administracyjnego, za pośrednictwem Pojedynczego Punktu Kontaktowego, prowadzi konsultacje
z tymi państwami w celu ustalenia, czy ten podmiot został uznany w tych państwach
za operatora usługi kluczowej.
5.
Okresu na przeprowadzenie konsultacji, o których mowa w ust. 4, nie wlicza się do
terminów, o których mowa w art. 35 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego
(Dz. U. z 2020 r. poz. 256 i 695).
6.
W stosunku do podmiotu, który przestał spełniać warunki, o których mowa w ust. 1 i
2, organ właściwy do spraw cyberbezpieczeństwa wydaje decyzję stwierdzającą wygaśnięcie
decyzji o uznaniu za operatora usługi kluczowej.
7.
Decyzje, o których mowa w ust. 2 i 6, podlegają natychmiastowemu wykonaniu.
Art. 6.
Rada Ministrów określi, w drodze rozporządzenia:
1)
wykaz usług kluczowych, o których mowa w art. 5 ust. 2 pkt 1, kierując się przyporządkowaniem
usługi kluczowej do danego sektora, podsektora i rodzaju podmiotu wymienionych w załączniku
nr 1 do ustawy oraz znaczeniem usługi dla utrzymania krytycznej działalności społecznej
lub gospodarczej;
2)
progi istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych,
wymienionych w wykazie usług kluczowych, uwzględniając:
a)
liczbę użytkowników zależnych od usługi kluczowej świadczonej przez dany podmiot,
b)
zależność innych sektorów, o których mowa w załączniku nr 1 do ustawy, od usługi świadczonej
przez ten podmiot,
c)
wpływ, jaki mógłby mieć incydent, ze względu na jego skalę i czas trwania, na działalność
gospodarczą i społeczną lub bezpieczeństwo publiczne,
d)
udział podmiotu świadczącego usługę kluczową w rynku,
e)
zasięg geograficzny obszaru, którego mógłby dotyczyć incydent,
f)
zdolność podmiotu do utrzymywania wystarczającego poziomu świadczenia usługi kluczowej,
przy uwzględnieniu dostępności alternatywnych sposobów jej świadczenia,
g)
inne czynniki charakterystyczne dla danego sektora lub podsektora, jeżeli występują
- kierując się potrzebą zapewnienia ochrony przed zagrożeniem życia lub zdrowia ludzi,
znacznymi stratami majątkowymi oraz obniżeniem jakości świadczonej usługi kluczowej.
Art. 7.
1.
Minister właściwy do spraw informatyzacji prowadzi wykaz operatorów usług kluczowych.
2.
Wykaz operatorów usług kluczowych zawiera:
1)
nazwę (firmę) operatora usługi kluczowej;
2)
sektor, podsektor i rodzaj podmiotu;
3)
siedzibę i adres;
4)
numer identyfikacji podatkowej (NIP), jeżeli został nadany;
5)
numer we właściwym rejestrze, jeżeli został nadany;
6)
nazwę usługi kluczowej, zgodną z wykazem usług kluczowych;
7)
datę rozpoczęcia świadczenia usługi kluczowej;
8)
informację określającą, w których państwach członkowskich Unii Europejskiej podmiot
został uznany za operatora usługi kluczowej;
9)
datę zakończenia świadczenia usługi kluczowej;
10)
datę wykreślenia z wykazu operatorów usług kluczowych.
3.
Wpisanie do wykazu operatorów usług kluczowych i wykreślenie z tego wykazu następuje
na wniosek organu właściwego do spraw cyberbezpieczeństwa złożony niezwłocznie po
wydaniu decyzji o uznaniu za operatora usługi kluczowej albo decyzji stwierdzającej
wygaśnięcie decyzji o uznaniu za operatora usługi kluczowej. Wniosek zawiera dane,
o których mowa w ust. 2 pkt 1-9.
4.
Zmiana danych w wykazie operatorów usług kluczowych następuje na wniosek organu właściwego
do spraw cyberbezpieczeństwa, złożony nie później niż w terminie 6 miesięcy od zmiany
tych danych.
5.
Wnioski, o których mowa w ust. 3 i 4, sporządza się w postaci elektronicznej i opatruje
kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym
ePUAP.
6.
Wpisanie do wykazu operatorów usług kluczowych i wykreślenie z tego wykazu oraz zmiana
danych w wykazie operatorów usług kluczowych jest czynnością materialno-techniczną.
7.
Dane z wykazu operatorów usług kluczowych minister właściwy do spraw informatyzacji
udostępnia CSIRT MON, CSIRT NASK i CSIRT GOV oraz sektorowemu zespołowi cyberbezpieczeństwa
w zakresie sektora lub podsektora, dla którego został ustanowiony, a także operatorowi
usługi kluczowej w zakresie go dotyczącym.
8.
Dane z wykazu operatorów usług kluczowych, w zakresie niezbędnym do realizacji ich
ustawowych zadań, minister właściwy do spraw informatyzacji udostępnia, na wniosek,
następującym podmiotom:
1)
organom właściwym do spraw cyberbezpieczeństwa;
2)
Policji;
3)
Żandarmerii Wojskowej;
4)
Straży Granicznej;
5)
Centralnemu Biuru Antykorupcyjnemu;
6)
Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu;
7)
Służbie Kontrwywiadu Wojskowego oraz Służbie Wywiadu Wojskowego;
8)
sądom;
9)
prokuraturze;
10)
organom Krajowej Administracji Skarbowej;
11)
dyrektorowi Rządowego Centrum Bezpieczeństwa;
12)
Służbie Ochrony Państwa.
Rozdział 3
Obowiązki operatorów usług kluczowych
Art. 8.
Operator usługi kluczowej wdraża system zarządzania bezpieczeństwem w systemie informacyjnym
wykorzystywanym do świadczenia usługi kluczowej, zapewniający:
1)
prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie
tym ryzykiem;
2)
wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych
i organizacyjnych, uwzględniających najnowszy stan wiedzy, w tym:
a)
utrzymanie i bezpieczną eksploatację systemu informacyjnego,
b)
bezpieczeństwo fizyczne i środowiskowe, uwzględniające kontrolę dostępu,
c)
bezpieczeństwo i ciągłość dostaw usług, od których zależy świadczenie usługi kluczowej,
d)
wdrażanie, dokumentowanie i utrzymywanie planów działania umożliwiających ciągłe i
niezakłócone świadczenie usługi kluczowej oraz zapewniających poufność, integralność,
dostępność i autentyczność informacji,
e)
objęcie systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej systemem
monitorowania w trybie ciągłym;
3)
zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty
systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;
4)
zarządzanie incydentami;
5)
stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo
systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, w tym:
a)
stosowanie mechanizmów zapewniających poufność, integralność, dostępność i autentyczność
danych przetwarzanych w systemie informacyjnym,
b)
dbałość o aktualizację oprogramowania,
c)
ochronę przed nieuprawnioną modyfikacją w systemie informacyjnym,
d)
niezwłoczne podejmowanie działań po dostrzeżeniu podatności lub zagrożeń cyberbezpieczeństwa;
6)
stosowanie środków łączności umożliwiających prawidłową i bezpieczną komunikację w
ramach krajowego systemu cyberbezpieczeństwa.
Art. 9.
1.
Operator usługi kluczowej:
1)
wyznacza osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami krajowego systemu
cyberbezpieczeństwa;
2)
zapewnia użytkownikowi usługi kluczowej dostęp do wiedzy pozwalającej na zrozumienie
zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się
przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową, w szczególności
przez publikowanie informacji na ten temat na swojej stronie internetowej;
3)
przekazuje organowi właściwemu do spraw cyberbezpieczeństwa dane, o których mowa w
art. 7 ust. 2 pkt 8 i 9, nie później niż w terminie 3 miesięcy od zmiany tych danych.
2.
Operator usługi kluczowej przekazuje do organu właściwego do spraw cyberbezpieczeństwa,
właściwego CSIRT MON, CSIRT NASK, CSIRT GOV i sektorowego zespołu cyberbezpieczeństwa
dane osoby, o której mowa w ust. 1 pkt 1, zawierające imię i nazwisko, numer telefonu
oraz adres poczty elektronicznej, w terminie 14 dni od dnia jej wyznaczenia, a także
informacje o zmianie tych danych - w terminie 14 dni od dnia ich zmiany.
Art. 10.
1.
Operator usługi kluczowej opracowuje, stosuje i aktualizuje dokumentację dotyczącą
cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi
kluczowej.
2.
Operator usługi kluczowej jest obowiązany do ustanowienia nadzoru nad dokumentacją
dotyczącą cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia
usługi kluczowej, zapewniającego:
1)
dostępność dokumentów wyłącznie dla osób upoważnionych zgodnie z realizowanymi przez
nie zadaniami;
2)
ochronę dokumentów przed niewłaściwym użyciem lub utratą integralności;
3)
oznaczanie kolejnych wersji dokumentów umożliwiające określenie zmian dokonanych w
tych dokumentach.
3.
Operator usługi kluczowej przechowuje dokumentację dotyczącą cyberbezpieczeństwa systemu
informacyjnego wykorzystywanego do świadczenia usługi kluczowej przez co najmniej
2 lata od dnia jej wycofania z użytkowania lub zakończenia świadczenia usługi kluczowej,
z uwzględnieniem przepisów ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach
(Dz. U. z 2020 r. poz. 164).
4.
Operator usługi kluczowej będący jednocześnie właścicielem, posiadaczem samoistnym
albo posiadaczem zależnym obiektów, instalacji, urządzeń lub usług wchodzących w skład
infrastruktury krytycznej, wymienionych w wykazie, o którym mowa w art. 5b ust. 7 pkt 1 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym
(Dz. U. z 2019 r. poz. 1398 oraz z 2020 r. poz. 148, 284, 374 i 695), który posiada zatwierdzony plan ochrony infrastruktury krytycznej uwzględniający
dokumentację dotyczącą cyberbezpieczeństwa systemu informacyjnego wykorzystywanego
do świadczenia usługi kluczowej, nie ma obowiązku opracowania dokumentacji, o której
mowa w ust. 1.
5.
Rada Ministrów określi, w drodze rozporządzenia, rodzaje dokumentacji, o której mowa
w ust. 1, uwzględniając Polskie Normy oraz potrzebę zapewnienia cyberbezpieczeństwa
podczas świadczenia usług kluczowych i ciągłości świadczenia tych usług.
Art. 11.
1.
Operator usługi kluczowej:
1)
zapewnia obsługę incydentu;
2)
zapewnia dostęp do informacji o rejestrowanych incydentach właściwemu CSIRT MON, CSIRT
NASK lub CSIRT GOV w zakresie niezbędnym do realizacji jego zadań;
3)
klasyfikuje incydent jako poważny na podstawie progów uznawania incydentu za poważny;
4)
zgłasza incydent poważny niezwłocznie, nie później niż w ciągu 24 godzin od momentu
jego wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV;
5)
współdziała podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym
CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne dane, w tym dane osobowe;
6)
usuwa podatności, o których mowa w art. 32 ust. 2, oraz informuje o ich usunięciu
organ właściwy do spraw cyberbezpieczeństwa.
2.
Zgłoszenie, o którym mowa w ust. 1 pkt 4, przekazywane jest w postaci elektronicznej,
a w przypadku braku możliwości przekazania go w postaci elektronicznej - przy użyciu
innych dostępnych środków komunikacji.
3.
W przypadku ustanowienia sektorowego zespołu cyberbezpieczeństwa operator usługi kluczowej
niezależnie od zadań określonych w ust. 1:
1)
przekazuje jednocześnie temu zespołowi w postaci elektronicznej zgłoszenie, o którym
mowa w ust. 1 pkt 4;
2)
współdziała z tym zespołem na poziomie sektora lub podsektora podczas obsługi incydentu
poważnego lub incydentu krytycznego, przekazując niezbędne dane, w tym dane osobowe;
3)
zapewnia temu zespołowi dostęp do informacji o rejestrowanych incydentach w zakresie
niezbędnym do realizacji jego zadań.
4.
Rada Ministrów określi, w drodze rozporządzenia, progi uznania incydentu za poważny
według rodzaju zdarzenia w poszczególnych sektorach i podsektorach określonych w załączniku
nr 1 do ustawy, uwzględniając:
1)
liczbę użytkowników, których dotyczy zakłócenie świadczenia usługi kluczowej,
2)
czas oddziaływania incydentu na świadczoną usługę kluczową,
3)
zasięg geograficzny obszaru, którego dotyczy incydent,
4)
inne czynniki charakterystyczne dla danego sektora lub podsektora, jeżeli występują
- kierując się potrzebą zapewnienia ochrony przed zagrożeniem życia lub zdrowia ludzi,
znacznymi stratami majątkowymi oraz obniżeniem jakości świadczonej usługi kluczowej.
Art. 12.
1.
Zgłoszenie, o którym mowa w art. 11 ust. 1 pkt 4, zawiera:
1)
dane podmiotu zgłaszającego, w tym firmę przedsiębiorcy, numer we właściwym rejestrze,
siedzibę i adres;
2)
imię i nazwisko, numer telefonu oraz adres poczty elektronicznej osoby dokonującej
zgłoszenia;
3)
imię i nazwisko, numer telefonu oraz adres poczty elektronicznej osoby uprawnionej
do składania wyjaśnień dotyczących zgłaszanych informacji;
4)
opis wpływu incydentu poważnego na świadczenie usługi kluczowej, w tym:
a)
usługi kluczowe zgłaszającego, na które incydent poważny miał wpływ,
b)
liczbę użytkowników usługi kluczowej, na których incydent poważny miał wpływ,
c)
moment wystąpienia i wykrycia incydentu poważnego oraz czas jego trwania,
d)
zasięg geograficzny obszaru, którego dotyczy incydent poważny,
e)
wpływ incydentu poważnego na świadczenie usługi kluczowej przez innych operatorów
usług kluczowych i dostawców usług cyfrowych,
f)
przyczynę zaistnienia incydentu poważnego i sposób jego przebiegu oraz skutki jego
oddziaływania na systemy informacyjne lub świadczone usługi kluczowe;
5)
informacje umożliwiające właściwemu CSIRT MON, CSIRT NASK lub CSIRT GOV określenie,
czy incydent dotyczy dwóch lub większej liczby państw członkowskich Unii Europejskiej;
6)
w przypadku incydentu, który mógł mieć wpływ na świadczenie usługi kluczowej, opis
przyczyn tego incydentu, sposób jego przebiegu oraz prawdopodobne skutki oddziaływania
na systemy informacyjne;
7)
informacje o podjętych działaniach zapobiegawczych;
8)
informacje o podjętych działaniach naprawczych;
9)
inne istotne informacje.
2.
Operator usługi kluczowej przekazuje informacje znane mu w chwili dokonywania zgłoszenia,
które uzupełnia w trakcie obsługi incydentu poważnego.
3.
Operator usługi kluczowej przekazuje, w niezbędnym zakresie, w zgłoszeniu, o którym
mowa w art. 11 ust. 1 pkt 4, informacje stanowiące tajemnice prawnie chronione, w
tym stanowiące tajemnicę przedsiębiorstwa, gdy jest to konieczne do realizacji zadań
właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV oraz sektorowego zespołu cyberbezpieczeństwa.
4.
Właściwy CSIRT MON, CSIRT NASK lub CSIRT GOV oraz sektorowy zespół cyberbezpieczeństwa
może zwrócić się do operatora usługi kluczowej o uzupełnienie zgłoszenia o informacje,
w tym informacje stanowiące tajemnice prawnie chronione, w zakresie niezbędnym do
realizacji zadań, o których mowa w ustawie.
5.
W zgłoszeniu operator usługi kluczowej oznacza informacje stanowiące tajemnice prawnie
chronione, w tym stanowiące tajemnicę przedsiębiorstwa.
Art. 13.
1.
Operator usługi kluczowej może przekazywać do właściwego CSIRT MON, CSIRT NASK lub
CSIRT GOV informacje:
1)
o innych incydentach;
2)
o zagrożeniach cyberbezpieczeństwa;
3)
dotyczące szacowania ryzyka;
4)
o podatnościach;
5)
o wykorzystywanych technologiach.
2.
Informacje, o których mowa w ust. 1, są przekazywane w postaci elektronicznej, a w
przypadku braku możliwości przekazania w postaci elektronicznej, przy użyciu innych
dostępnych środków komunikacji.
3.
W przypadku ustanowienia sektorowego zespołu cyberbezpieczeństwa operator usługi kluczowej
może przekazywać jednocześnie temu zespołowi, w postaci elektronicznej, informacje,
o których mowa w ust. 1.
4.
Operator usługi kluczowej oznacza informacje stanowiące tajemnice prawnie chronione,
w tym stanowiące tajemnicę przedsiębiorstwa.
Art. 14.
1.
Operator usługi kluczowej w celu realizacji zadań, o których mowa w art. 8, art. 9,
art. 10 ust. 1-3, art. 11 ust. 1-3, art. 12 i art. 13, powołuje wewnętrzne struktury
odpowiedzialne za cyberbezpieczeństwo lub zawiera umowę z podmiotem świadczącym usługi
z zakresu cyberbezpieczeństwa.
2.
Wewnętrzne struktury powołane przez operatora usługi kluczowej odpowiedzialne za cyberbezpieczeństwo
oraz podmioty świadczące usługi z zakresu cyberbezpieczeństwa są obowiązane:
1)
spełniać warunki organizacyjne i techniczne pozwalające na zapewnienie cyberbezpieczeństwa
obsługiwanemu operatorowi usługi kluczowej;
2)
dysponować pomieszczeniami służącymi do świadczenia usług z zakresu reagowania na
incydenty, zabezpieczonymi przed zagrożeniami fizycznymi i środowiskowymi;
3)
stosować zabezpieczenia w celu zapewnienia poufności, integralności, dostępności i
autentyczności przetwarzanych informacji, z uwzględnieniem bezpieczeństwa osobowego,
eksploatacji i architektury systemów.
3.
Operator usługi kluczowej informuje organ właściwy do spraw cyberbezpieczeństwa i
właściwy CSIRT MON, CSIRT NASK, CSIRT GOV i sektorowy zespół cyberbezpieczeństwa o
podmiocie, z którym została zawarta umowa o świadczenie usług z zakresu cyberbezpieczeństwa,
danych kontaktowych tego podmiotu, zakresie świadczonej usługi oraz o rozwiązaniu
umowy w terminie 14 dni od dnia zawarcia lub rozwiązania umowy.
4.
Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia, warunki
organizacyjne i techniczne dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa
oraz wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo, uwzględniając
Polskie Normy oraz konieczność zapewnienia bezpieczeństwa dla wewnętrznych struktur
odpowiedzialnych za cyberbezpieczeństwo i podmiotów świadczących usługi z zakresu
cyberbezpieczeństwa dla operatorów usług kluczowych, a także konieczność zapewnienia
bezpieczeństwa informacji przetwarzanych w tych strukturach albo podmiotach.
Art. 15.
1.
Operator usługi kluczowej ma obowiązek zapewnić przeprowadzenie, co najmniej raz na
2 lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia
usługi kluczowej, zwanego dalej „audytem”.
2.
Audyt może być przeprowadzony przez:
1)
jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku
(Dz. U. z 2019 r. poz. 544 oraz z 2020 r. poz. 1086), w zakresie właściwym do podejmowanych ocen bezpieczeństwa systemów informacyjnych;
2)
co najmniej dwóch audytorów posiadających:
a)
certyfikaty określone w przepisach wydanych na podstawie ust. 8 lub
b)
co najmniej trzyletnią praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych,
lub
c)
co najmniej dwuletnią praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych
i legitymujących się dyplomem ukończenia studiów podyplomowych w zakresie audytu bezpieczeństwa
systemów informacyjnych, wydanym przez jednostkę organizacyjną, która w dniu wydania
dyplomu była uprawniona, zgodnie z odrębnymi przepisami, do nadawania stopnia naukowego
doktora nauk ekonomicznych, technicznych lub prawnych;
3)
sektorowy zespół cyberbezpieczeństwa, ustanowiony w ramach sektora lub podsektora
wymienionego w załączniku nr 1 do ustawy, jeżeli audytorzy spełniają warunki, o których
mowa w pkt 2.
3.
Za praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych, o której mowa
w ust. 2 pkt 2 lit. b i c, uważa się udokumentowane wykonanie w ciągu ostatnich 3
lat przed dniem rozpoczęcia audytu 3 audytów w zakresie bezpieczeństwa systemów informacyjnych
lub ciągłości działania albo wykonywanie audytów bezpieczeństwa systemów informacyjnych
lub ciągłości działania w wymiarze czasu pracy nie mniejszym niż 1/2 etatu, związanych
z:
1)
przeprowadzaniem audytu wewnętrznego pod nadzorem audytora wewnętrznego;
2)
przeprowadzaniem audytu zewnętrznego pod nadzorem audytora wiodącego;
3)
przeprowadzaniem audytu wewnętrznego w zakresie bezpieczeństwa informacji, o którym
mowa w przepisach wydanych na podstawie art. 18 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących
zadania publiczne;
4)
wykonywaniem czynności kontrolnych, o których mowa w ustawie z dnia 15 lipca 2011 r. o kontroli w administracji rządowej
(Dz. U. z 2020 r. poz. 224);
5)
wykonywaniem czynności kontrolnych, o których mowa w ustawie z dnia 23 grudnia 1994 r. o Najwyższej Izbie Kontroli
(Dz. U. z 2020 r. poz. 1200).
4.
Audytor jest obowiązany do zachowania w tajemnicy informacji uzyskanych w związku
z przeprowadzanym audytem, z zachowaniem przepisów o ochronie informacji niejawnych
i innych informacji prawnie chronionych.
5.
Na podstawie zebranych dokumentów i dowodów audytor sporządza pisemne sprawozdanie
z przeprowadzonego audytu i przekazuje je operatorowi usługi kluczowej wraz z dokumentacją
z przeprowadzonego audytu.
6.
Operator usługi kluczowej, u którego w danym roku w stosunku do systemu informacyjnego
wykorzystywanego do świadczenia usługi kluczowej został przeprowadzony przez osoby
spełniające warunki określone w ust. 2 pkt 2 audyt wewnętrzny w zakresie bezpieczeństwa
informacji, o którym mowa w przepisach wydanych na podstawie art. 18 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących
zadania publiczne, nie ma obowiązku przeprowadzania audytu przez 2 lata.
7.
Operator usługi kluczowej przekazuje kopię sprawozdania z przeprowadzonego audytu
na uzasadniony wniosek:
1)
organu właściwego do spraw cyberbezpieczeństwa;
2)
dyrektora Rządowego Centrum Bezpieczeństwa - w przypadku gdy operator usługi kluczowej
jest jednocześnie właścicielem, posiadaczem samoistnym albo posiadaczem zależnym obiektów,
instalacji, urządzeń lub usług wchodzących w skład infrastruktury krytycznej, wymienionych
w wykazie, o którym mowa w art. 5b ust. 7 pkt 1 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym;
3)
Szefa Agencji Bezpieczeństwa Wewnętrznego.
8.
Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia, wykaz
certyfikatów uprawniających do przeprowadzenia audytu, uwzględniając zakres wiedzy
specjalistycznej wymaganej od osób legitymujących się poszczególnymi certyfikatami.
Art. 16.
Operator usługi kluczowej realizuje obowiązki określone w:
1)
art. 8 pkt 1 i 4, art. 9, art. 11 ust. 1-3, art. 12 i art. 14 ust. 1 - w terminie
3 miesięcy od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej;
2)
art. 8 pkt 2, 3, 5 i 6 oraz art. 10 ust. 1-3 - w terminie 6 miesięcy od dnia doręczenia
decyzji o uznaniu za operatora usługi kluczowej;
3)
art. 15 ust. 1 - w terminie roku od dnia doręczenia decyzji o uznaniu za operatora
usługi kluczowej.
Rozdział 4
Obowiązki dostawców usług cyfrowych
Art. 17.
1.
Dostawcą usługi cyfrowej jest osoba prawna albo jednostka organizacyjna nieposiadająca
osobowości prawnej mająca siedzibę lub zarząd na terytorium Rzeczypospolitej Polskiej
albo przedstawiciela mającego jednostkę organizacyjną na terytorium Rzeczypospolitej
Polskiej, świadcząca usługę cyfrową, z wyjątkiem mikroprzedsiębiorców i małych przedsiębiorców,
o których mowa w art. 7 ust. 1 pkt 1 i 2 ustawy z dnia 6 marca 2018 r. - Prawo przedsiębiorców
(Dz. U. z 2019 r. poz. 1292 i 1495 oraz z 2020 r. poz. 424 i 1086). Rodzaje usług cyfrowych określa załącznik nr 2 do ustawy.
2.
Dostawca usługi cyfrowej podejmuje właściwe i proporcjonalne środki techniczne i organizacyjne
określone w rozporządzeniu wykonawczym 2018/151 w celu zarządzania ryzykiem, na jakie
narażone są systemy informacyjne wykorzystywane do świadczenia usługi cyfrowej. Środki
te zapewniają cyberbezpieczeństwo odpowiednie do istniejącego ryzyka oraz uwzględniają:
1)
bezpieczeństwo systemów informacyjnych i obiektów;
2)
postępowanie w przypadku obsługi incydentu;
3)
zarządzanie ciągłością działania dostawcy w celu świadczenia usługi cyfrowej;
4)
monitorowanie, audyt i testowanie;
5)
najnowszy stan wiedzy, w tym zgodność z normami międzynarodowymi, o których mowa w
rozporządzeniu wykonawczym 2018/151.
3.
Dostawca usługi cyfrowej podejmuje środki zapobiegające i minimalizujące wpływ incydentów
na usługę cyfrową w celu zapewnienia ciągłości świadczenia tej usługi.
4.
Dostawca usługi cyfrowej, który nie posiada jednostki organizacyjnej w jednym z państw
członkowskich Unii Europejskiej, ale oferuje usługi cyfrowe w Rzeczypospolitej Polskiej,
wyznacza przedstawiciela posiadającego jednostkę organizacyjną na terytorium Rzeczypospolitej
Polskiej, o ile nie wyznaczył przedstawiciela posiadającego jednostkę organizacyjną
w innym państwie członkowskim Unii Europejskiej.
5.
Przedstawicielem może być osoba fizyczna, osoba prawna lub jednostka organizacyjna
nieposiadająca osobowości prawnej, ustanowiona w Rzeczypospolitej Polskiej lub w innym
państwie członkowskim Unii Europejskiej, wyznaczona do występowania w imieniu dostawcy
usługi cyfrowej, który nie posiada jednostki organizacyjnej w Unii Europejskiej, do
którego organ właściwy do spraw cyberbezpieczeństwa, CSIRT MON, CSIRT NASK lub CSIRT
GOV może się zwrócić w związku z obowiązkami dostawcy usługi cyfrowej wynikającymi
z ustawy.
Art. 18.
1.
Dostawca usługi cyfrowej:
1)
przeprowadza czynności umożliwiające wykrywanie, rejestrowanie, analizowanie oraz
klasyfikowanie incydentów;
2)
zapewnia w niezbędnym zakresie dostęp do informacji dla właściwego CSIRT MON, CSIRT
NASK lub CSIRT GOV o incydentach zakwalifikowanych jako krytyczne przez właściwy CSIRT
MON, CSIRT NASK lub CSIRT GOV;
3)
klasyfikuje incydent jako istotny;
4)
zgłasza incydent istotny niezwłocznie, nie później niż w ciągu 24 godzin od momentu
wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV;
5)
zapewnia obsługę incydentu istotnego i incydentu krytycznego we współpracy z właściwym
CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne dane, w tym dane osobowe;
6)
usuwa podatności, o których mowa w art. 32 ust. 2;
7)
przekazuje operatorowi usługi kluczowej, który świadczy usługę kluczową za pośrednictwem
tego dostawcy usługi cyfrowej, informacje dotyczące incydentu mającego wpływ na ciągłość
świadczenia usługi kluczowej tego operatora.
2.
Dostawca usługi cyfrowej w celu sklasyfikowania incydentu jako istotnego uwzględnia
w szczególności:
1)
liczbę użytkowników, których dotyczy incydent, w szczególności użytkowników zależnych
od usługi na potrzeby świadczenia ich własnych usług;
2)
czas trwania incydentu;
3)
zasięg geograficzny obszaru, którego dotyczy incydent;
4)
zakres zakłócenia funkcjonowania usługi;
5)
zakres wpływu incydentu na działalność gospodarczą i społeczną.
3.
Dostawca usługi cyfrowej, klasyfikując incydent jako istotny, ocenia istotność wpływu
incydentu na świadczenie usługi cyfrowej na podstawie parametrów, o których mowa w
ust. 2, oraz progów określonych w rozporządzeniu wykonawczym 2018/151.
4.
Dostawca usługi cyfrowej nie ma obowiązku dokonania zgłoszenia, o którym mowa w ust.
1 pkt 4, gdy nie posiada informacji pozwalających na ocenę istotności wpływu incydentu
na świadczenie usługi cyfrowej.
5.
Zgłoszenie, o którym mowa w ust. 1 pkt 4, przekazywane jest w postaci elektronicznej,
a w przypadku braku możliwości przekazania go w postaci elektronicznej - przy użyciu
innych dostępnych środków komunikacji.
Art. 19.
1.
Zgłoszenie, o którym mowa w art. 18 ust. 1 pkt 4, zawiera:
1)
dane podmiotu zgłaszającego, w tym firmę przedsiębiorcy, numer we właściwym rejestrze,
siedzibę i adres;
2)
imię i nazwisko, numer telefonu oraz adres poczty elektronicznej osoby składającej
zgłoszenie;
3)
imię i nazwisko, numer telefonu oraz adres poczty elektronicznej osoby uprawnionej
do składania wyjaśnień dotyczących zgłaszanych informacji;
4)
opis wpływu incydentu istotnego na świadczenie usługi cyfrowej, w tym:
a)
liczbę użytkowników, na których incydent istotny miał wpływ,
b)
moment wystąpienia i wykrycia incydentu istotnego oraz czas jego trwania,
c)
zasięg geograficzny obszaru, którego dotyczy incydent istotny,
d)
zakres zakłócenia funkcjonowania usługi cyfrowej,
e)
zakres wpływu incydentu istotnego na działalność gospodarczą i społeczną;
5)
informacje umożliwiające właściwemu CSIRT MON, CSIRT NASK lub CSIRT GOV określenie,
czy incydent istotny dotyczy dwóch lub większej liczby państw członkowskich Unii Europejskiej;
6)
informacje o przyczynie i źródle incydentu istotnego;
7)
informacje o podjętych działaniach zapobiegawczych;
8)
informacje o podjętych działaniach naprawczych;
9)
inne istotne informacje.
2.
Dostawca usługi cyfrowej przekazuje informacje znane mu w chwili dokonywania zgłoszenia,
które uzupełnia w trakcie obsługi incydentu istotnego.
3.
Dostawca usługi cyfrowej przekazuje, w niezbędnym zakresie, w zgłoszeniu, o którym
mowa w art. 18 ust. 1 pkt 4, informacje stanowiące tajemnice prawnie chronione, w
tym stanowiące tajemnicę przedsiębiorstwa, gdy jest to konieczne do realizacji zadań
właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV.
4.
Właściwy CSIRT MON, CSIRT NASK lub CSIRT GOV może zwrócić się do dostawcy usługi cyfrowej
o uzupełnienie zgłoszenia o informacje, w tym informacje stanowiące tajemnice prawnie
chronione, w zakresie niezbędnym do realizacji zadań, o których mowa w ustawie.
5.
W zgłoszeniu dostawcy usług cyfrowych oznaczają informacje stanowiące tajemnice prawnie
chronione, w tym stanowiące tajemnicę przedsiębiorstwa.
Art. 20.
Dostawca usługi cyfrowej może przekazywać do właściwego CSIRT MON, CSIRT NASK lub
CSIRT GOV informacje, o których mowa w art. 13 ust. 1. Informacje te przekazywane
są w postaci elektronicznej, a w przypadku braku możliwości przekazania ich w postaci
elektronicznej - przy użyciu innych dostępnych środków komunikacji.
Rozdział 5
Obowiązki podmiotów publicznych
Art. 21.
1.
Podmiot publiczny, o którym mowa w art. 4 pkt 7-15, realizujący zadanie publiczne
zależne od systemu informacyjnego jest obowiązany do wyznaczenia osoby odpowiedzialnej
za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa.
2.
Organ administracji publicznej może wyznaczyć jedną osobę odpowiedzialną za utrzymywanie
kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa w zakresie zadań publicznych
zależnych od systemów informacyjnych, realizowanych przez jednostki jemu podległe
lub przez niego nadzorowane.
3.
Jednostka samorządu terytorialnego może wyznaczyć jedną osobę odpowiedzialną za utrzymywanie
kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa w zakresie zadań publicznych
zależnych od systemów informacyjnych, realizowanych przez jej jednostki organizacyjne.
Art. 22.
1.
Podmiot publiczny, o którym mowa w art. 4 pkt 7-15, realizujący zadanie publiczne
zależne od systemu informacyjnego:
1)
zapewnia zarządzanie incydentem w podmiocie publicznym;
2)
zgłasza incydent w podmiocie publicznym niezwłocznie, nie później niż w ciągu 24 godzin
od momentu wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV;
3)
zapewnia obsługę incydentu w podmiocie publicznym i incydentu krytycznego we współpracy
z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne dane, w tym
dane osobowe;
4)
zapewnia osobom, na rzecz których zadanie publiczne jest realizowane, dostęp do wiedzy
pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych
sposobów zabezpieczania się przed tymi zagrożeniami, w szczególności przez publikowanie
informacji w tym zakresie na swojej stronie internetowej;
5)
przekazuje do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV dane osoby, o której
mowa w art. 21, obejmujące imię i nazwisko, numer telefonu oraz adres poczty elektronicznej,
w terminie 14 dni od dnia jej wyznaczenia, a także informacje o zmianie tych danych
w terminie 14 dni od dnia ich zmiany.
2.
Zgłoszenie, o którym mowa w ust. 1 pkt 2, przekazywane jest w postaci elektronicznej,
a w przypadku braku możliwości przekazania go w postaci elektronicznej - przy użyciu
innych dostępnych środków komunikacji.
Art. 23.
1.
Zgłoszenie, o którym mowa w art. 22 ust. 1 pkt 2, zawiera:
1)
dane podmiotu zgłaszającego, w tym nazwę podmiotu, numer we właściwym rejestrze, siedzibę
i adres;
2)
imię i nazwisko, numer telefonu oraz adres poczty elektronicznej osoby składającej
zgłoszenie;
3)
imię i nazwisko, numer telefonu oraz adres poczty elektronicznej osoby uprawnionej
do składania wyjaśnień dotyczących zgłaszanych informacji;
4)
opis wpływu incydentu w podmiocie publicznym na realizowane zadanie publiczne, w tym:
a)
wskazanie zadania publicznego, na które incydent miał wpływ,
b)
liczbę osób, na które incydent miał wpływ,
c)
moment wystąpienia i wykrycia incydentu oraz czas jego trwania,
d)
zasięg geograficzny obszaru, którego dotyczy incydent,
e)
przyczynę zaistnienia incydentu i sposób jego przebiegu oraz skutki jego oddziaływania
na systemy informacyjne podmiotu publicznego;
5)
informacje o przyczynie i źródle incydentu;
6)
informacje o podjętych działaniach zapobiegawczych;
7)
informacje o podjętych działaniach naprawczych;
8)
inne istotne informacje.
2.
Podmiot publiczny, o którym mowa w art. 4 pkt 7-15, przekazuje informacje znane mu
w chwili dokonywania zgłoszenia, które uzupełnia w trakcie obsługi incydentu w podmiocie
publicznym.
3.
Podmiot publiczny, o którym mowa w art. 4 pkt 7-15, przekazuje, w niezbędnym zakresie,
w zgłoszeniu, o którym mowa w art. 22 ust. 1 pkt 2, informacje stanowiące tajemnice
prawnie chronione, w tym stanowiące tajemnicę przedsiębiorstwa, gdy jest to konieczne
do realizacji zadań właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV.
4.
Właściwy CSIRT MON, CSIRT NASK lub CSIRT GOV może zwrócić się do podmiotu publicznego,
o którym mowa w art. 4 pkt 7-15, o uzupełnienie zgłoszenia o informacje, w tym informacje
stanowiące tajemnice prawnie chronione, w zakresie niezbędnym do realizacji zadań,
o których mowa w ustawie.
5.
W zgłoszeniu podmiot publiczny, o którym mowa w art. 4 pkt 7-15, oznacza informacje
stanowiące tajemnice prawnie chronione, w tym stanowiące tajemnicę przedsiębiorstwa.
Art. 24.
Podmiot publiczny, o którym mowa w art. 4 pkt 7-15, realizujący zadanie publiczne
zależne od systemu informacyjnego może przekazywać do właściwego CSIRT MON, CSIRT
NASK lub CSIRT GOV informacje, o których mowa w art. 13 ust. 1. Informacje te przekazywane
są w postaci elektronicznej, a w przypadku braku możliwości przekazania ich w postaci
elektronicznej - przy użyciu innych dostępnych środków komunikacji.
Art. 25.
Do podmiotu publicznego, o którym mowa w art. 4 pkt 7-15, wobec którego wydana została
decyzja o uznaniu za operatora usługi kluczowej, stosuje się przepisy rozdziału 3
w zakresie świadczenia usługi kluczowej, w związku z której świadczeniem został uznany
za operatora usługi kluczowej.
Rozdział 6
Zadania CSIRT MON, CSIRT NASK i CSIRT GOV
Art. 26.
1.
CSIRT MON, CSIRT NASK i CSIRT GOV współpracują ze sobą, z organami właściwymi do spraw
cyberbezpieczeństwa, ministrem właściwym do spraw informatyzacji oraz Pełnomocnikiem,
zapewniając spójny i kompletny system zarządzania ryzykiem na poziomie krajowym, realizując
zadania na rzecz przeciwdziałania zagrożeniom cyberbezpieczeństwa o charakterze ponadsektorowym
i transgranicznym, a także zapewniając koordynację obsługi zgłoszonych incydentów.
2.
CSIRT MON, CSIRT NASK i CSIRT GOV w uzasadnionych przypadkach na wniosek operatorów
usług kluczowych, dostawców usług cyfrowych, podmiotów publicznych, o których mowa
w art. 4 pkt 7-15, sektorowych zespołów cyberbezpieczeństwa lub właścicieli, posiadaczy
samoistn …
Wyjaśnienie AI na podstawie urzędowego tekstu ustawy. Orientacyjne, nie zastępuje porady prawnej.