Rozdział 1 - Przepisy ogólne - Krajowy system cyberbezpieczeństwa.

Dziennik Ustaw

Dz.U.2023.913 t.j.

Akt obowiązujący
Wersja od: 25 września 2023 r.

Rozdział  1

Przepisy ogólne

Art.  1.  [Zakres przedmiotowy ustawy]
1. 
Ustawa określa:
1)
organizację krajowego systemu cyberbezpieczeństwa oraz zadania i obowiązki podmiotów wchodzących w skład tego systemu;
2)
sposób sprawowania nadzoru i kontroli w zakresie stosowania przepisów ustawy;
3)
zakres Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej.
2. 
Ustawy nie stosuje się do:
1)
przedsiębiorców telekomunikacyjnych, o których mowa w ustawie z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne (Dz. U. z 2022 r. poz. 1648, 1933 i 2581), w zakresie wymogów dotyczących bezpieczeństwa i zgłaszania incydentów;
2)
dostawców usług zaufania, którzy podlegają wymogom art. 19 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylającego dyrektywę 1999/93/WE (Dz. Urz. UE L 257 z 28.08.2014, str. 73);
3)
podmiotów wykonujących działalność leczniczą, tworzonych przez Szefa Agencji Bezpieczeństwa Wewnętrznego lub Szefa Agencji Wywiadu.
Art.  2.  [Definicje legalne]

Użyte w ustawie określenia oznaczają:

1)
CSIRT GOV - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Szefa Agencji Bezpieczeństwa Wewnętrznego;
2)
CSIRT MON - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Ministra Obrony Narodowej;
3)
CSIRT NASK - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Naukową i Akademicką Sieć Komputerową - Państwowy Instytut Badawczy;
4)
cyberbezpieczeństwo - odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy;
5)
incydent - zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo;
6)
incydent krytyczny - incydent skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi, klasyfikowany przez właściwy CSIRT MON, CSIRT NASK lub CSIRT GOV;
7)
incydent poważny - incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi kluczowej;
8)
incydent istotny - incydent, który ma istotny wpływ na świadczenie usługi cyfrowej w rozumieniu art. 4 rozporządzenia wykonawczego Komisji (UE) 2018/151 z dnia 30 stycznia 2018 r. ustanawiającego zasady stosowania dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 w odniesieniu do dalszego doprecyzowania elementów, jakie mają być uwzględnione przez dostawców usług cyfrowych w zakresie zarządzania istniejącymi ryzykami dla bezpieczeństwa sieci i systemów informatycznych, oraz parametrów służących do określenia, czy incydent ma istotny wpływ (Dz. Urz. UE L 26 z 31.01.2018, str. 48), zwanego dalej "rozporządzeniem wykonawczym 2018/151";
9)
incydent w podmiocie publicznym - incydent, który powoduje lub może spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego realizowanego przez podmiot publiczny, o którym mowa w art. 4 pkt 7-15;
10)
obsługa incydentu - czynności umożliwiające wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację, podejmowanie działań naprawczych i ograniczenie skutków incydentu;
11)
podatność - właściwość systemu informacyjnego, która może być wykorzystana przez zagrożenie cyberbezpieczeństwa;
12)
ryzyko - kombinację prawdopodobieństwa wystąpienia zdarzenia niepożądanego i jego konsekwencji;
13)
szacowanie ryzyka - całościowy proces identyfikacji, analizy i oceny ryzyka;
14)
system informacyjny - system teleinformatyczny, o którym mowa w art. 3 pkt 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2023 r. poz. 57), wraz z przetwarzanymi w nim danymi w postaci elektronicznej;
15)
usługa cyfrowa - usługę świadczoną drogą elektroniczną w rozumieniu przepisów ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2020 r. poz. 344), wymienioną w załączniku nr 2 do ustawy;
16)
usługa kluczowa - usługę, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, wymienioną w wykazie usług kluczowych;
17)
zagrożenie cyberbezpieczeństwa - potencjalną przyczynę wystąpienia incydentu;
18)
zarządzanie incydentem - obsługę incydentu, wyszukiwanie powiązań między incydentami, usuwanie przyczyn ich wystąpienia oraz opracowywanie wniosków wynikających z obsługi incydentu;
19)
zarządzanie ryzykiem - skoordynowane działania w zakresie zarządzania cyberbezpieczeństwem w odniesieniu do oszacowanego ryzyka.
Art.  3.  [Cele krajowego systemu cyberbezpieczeństwa]

Krajowy system cyberbezpieczeństwa ma na celu zapewnienie cyberbezpieczeństwa na poziomie krajowym, w tym niezakłóconego świadczenia usług kluczowych i usług cyfrowych, przez osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług oraz zapewnienie obsługi incydentów.

Art.  4.  [Podmioty objęte krajowym systemem cyberbezpieczeństwa]

Krajowy system cyberbezpieczeństwa obejmuje:

1)
operatorów usług kluczowych;
2)
dostawców usług cyfrowych;
3)
CSIRT MON;
4)
CSIRT NASK;
5)
CSIRT GOV;
6)
sektorowe zespoły cyberbezpieczeństwa;
7)
jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1-6, 8, 9, 11 i 12 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2022 r. poz. 1634, z późn. zm.);
8)
instytuty badawcze;
9)
Narodowy Bank Polski;
10)
Bank Gospodarstwa Krajowego;
11)
Urząd Dozoru Technicznego;
12)
Polską Agencję Żeglugi Powietrznej;
13)
Polskie Centrum Akredytacji;
14)
Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej oraz wojewódzkie fundusze ochrony środowiska i gospodarki wodnej;
15)
spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej w rozumieniu art. 1 ust. 2 ustawy z dnia 20 grudnia 1996 r. o gospodarce komunalnej (Dz. U. z 2021 r. poz. 679);
16)
podmioty świadczące usługi z zakresu cyberbezpieczeństwa;
17)
organy właściwe do spraw cyberbezpieczeństwa;
18)
Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa, zwany dalej "Pojedynczym Punktem Kontaktowym";
19)
Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa, zwanego dalej "Pełnomocnikiem";
20)
Kolegium do Spraw Cyberbezpieczeństwa, zwane dalej "Kolegium".
Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .