Art. 32a. - [Ocena bezpieczeństwa systemów teleinformatycznych] - Agencja Bezpieczeństwa Wewnętrznego oraz Agencja Wywiadu.

Dziennik Ustaw

Dz.U.2023.1136 t.j.

Akt obowiązujący
Wersja od: 14 grudnia 2023 r.
Art.  32a.  [Ocena bezpieczeństwa systemów teleinformatycznych]
1.  31
 W celu zapobiegania, przeciwdziałania i zwalczania zdarzeń o charakterze terrorystycznym lub uprawdopodabniających popełnienie przestępstwa szpiegostwa, dotyczących istotnych z punktu widzenia ciągłości funkcjonowania państwa systemów teleinformatycznych organów administracji publicznej lub sieci teleinformatycznych objętych jednolitym wykazem obiektów, instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej, a także systemów teleinformatycznych właścicieli, posiadaczy samoistnych i zależnych obiektów, instalacji lub urządzeń infrastruktury krytycznej, o których mowa w art. 5b ust. 7 pkt 1 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym, lub danych przetwarzanych w tych systemach oraz rozpoznawania, zapobiegania i wykrywania przestępstw o charakterze terrorystycznym lub przestępstwa szpiegostwa w tym obszarze oraz ścigania ich sprawców, ABW może przeprowadzać ocenę bezpieczeństwa tych systemów teleinformatycznych, zwaną dalej "oceną bezpieczeństwa".
2. 
Oceny bezpieczeństwa są przeprowadzane zgodnie z rocznym planem przeprowadzania ocen bezpieczeństwa, opracowywanym w terminie do 30 września roku poprzedzającego przez Szefa ABW w uzgodnieniu z ministrem właściwym do spraw informatyzacji. W uzasadnionych przypadkach ocena bezpieczeństwa może zostać przeprowadzona z pominięciem planu.
3. 
ABW informuje podmiot zarządzający systemem teleinformatycznym, o którym mowa w ust. 1, o włączeniu tego systemu do rocznego planu przeprowadzania ocen bezpieczeństwa.
4. 
Ocena bezpieczeństwa polega na przeprowadzeniu testów bezpieczeństwa systemu teleinformatycznego w celu identyfikacji podatności, przez które rozumie się słabość zasobu lub zabezpieczenia systemu teleinformatycznego, która może zostać wykorzystana przez zagrożenie, wpływających na integralność, poufność, rozliczalność i dostępność tego systemu.
5. 
Ocena bezpieczeństwa powinna być prowadzona z uwzględnieniem zasady minimalizacji zakłócenia pracy systemu teleinformatycznego lub ograniczenia jego dostępności i nie może prowadzić do nieodwracalnego zniszczenia danych przetwarzanych w systemie teleinformatycznym podlegającym tej ocenie.
6. 
W celu minimalizacji negatywnych następstw oceny bezpieczeństwa ABW uzgadnia z podmiotem, o którym mowa w ust. 1, ramowe warunki przeprowadzania tej oceny, w szczególności datę rozpoczęcia, harmonogram oraz zakres i rodzaj przeprowadzanych w ramach oceny bezpieczeństwa testów bezpieczeństwa.
7. 
ABW może wytwarzać lub pozyskiwać urządzenia lub programy komputerowe, o których mowa w art. 269b Kodeksu karnego, oraz ich używać w celu określenia podatności ocenianego systemu na możliwość popełnienia przestępstw, o których mowa w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a Kodeksu karnego.
8. 
Używając urządzeń lub programów komputerowych, o których mowa w ust. 7, ABW może uzyskać dostęp do informacji dla niej nieprzeznaczonej, przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, lub może uzyskać dostęp do całości lub części systemu teleinformatycznego.
9. 
Informacje uzyskane przez ABW w wyniku przeprowadzania oceny bezpieczeństwa stanowią tajemnicę prawnie chronioną i nie mogą być wykorzystane do realizacji innych zadań ustawowych ABW oraz podlegają one niezwłocznemu, komisyjnemu i protokolarnemu zniszczeniu.
10. 
Po przeprowadzeniu oceny bezpieczeństwa ABW sporządza i przekazuje podmiotowi, którego system podlegał ocenie bezpieczeństwa, raport zawierający podsumowanie przeprowadzonych w ramach oceny bezpieczeństwa czynności oraz wskazanie wykrytych podatności systemu teleinformatycznego.
11. 
Jeżeli wykryta podatność może wystąpić w innych systemach teleinformatycznych, ABW informuje niezwłocznie ministra właściwego do spraw informatyzacji o wykrytej podatności oraz o możliwości jej wystąpienia w innych systemach teleinformatycznych.
12. 
Szef ABW określi, w drodze zarządzenia, rodzaje dokonywanych w ramach oceny bezpieczeństwa testów bezpieczeństwa, uwzględniając potrzebę kompletności dokonywanej oceny bezpieczeństwa.
13. 
Prezes Rady Ministrów określi, w drodze rozporządzenia, sposób niszczenia przez Szefa ABW materiałów zawierających informacje, o których mowa w ust. 9, a także wzory niezbędnych druków, mając na uwadze rodzaj materiałów podlegających zniszczeniu.
14. 
Rada Ministrów określi, w drodze rozporządzenia, tryb i warunki przeprowadzania oceny bezpieczeństwa, mając na uwadze określenie czynności niezbędnych do jej przeprowadzenia, w tym dokonywanie uzgodnień, o których mowa w ust. 6.
31 Art. 32a ust. 1 zmieniony przez art. 5 pkt 6 ustawy z dnia 17 sierpnia 2023 r. (Dz.U.2023.1834) zmieniającej nin. ustawę z dniem 23 września 2023 r.