Art. 5. - [Uznanie podmiotu za operatora usługi kluczowej] - Krajowy system cyberbezpieczeństwa.

Dziennik Ustaw

Dz.U.2023.913 t.j.

Akt obowiązujący

Wersja od: 25 września 2023 r.

Art. 5. [Uznanie podmiotu za operatora usługi kluczowej]

Operatorem usługi kluczowej jest podmiot, o którym mowa w załączniku nr 1 do ustawy, posiadający jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, wobec którego organ właściwy do spraw cyberbezpieczeństwa wydał decyzję o uznaniu za operatora usługi kluczowej. Sektory, podsektory oraz rodzaje podmiotów określa załącznik nr 1 do ustawy.

Organ właściwy do spraw cyberbezpieczeństwa wydaje decyzję o uznaniu podmiotu za operatora usługi kluczowej, jeżeli:

podmiot świadczy usługę kluczową;

świadczenie tej usługi zależy od systemów informacyjnych;

incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora.

Istotność skutku zakłócającego incydentu dla świadczenia usługi kluczowej, o którym mowa w ust. 2 pkt 3, określana jest na podstawie progów istotności skutku zakłócającego.

W przypadku gdy podmiot świadczy usługę kluczową w innych państwach członkowskich Unii Europejskiej, organ właściwy do spraw cyberbezpieczeństwa w toku postępowania administracyjnego, za pośrednictwem Pojedynczego Punktu Kontaktowego, prowadzi konsultacje z tymi państwami w celu ustalenia, czy ten podmiot został uznany w tych państwach za operatora usługi kluczowej.

Okresu na przeprowadzenie konsultacji, o których mowa w ust. 4, nie wlicza się do terminów, o których mowa w art. 35 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2022 r. poz. 2000 i 2185).

W stosunku do podmiotu, który przestał spełniać warunki, o których mowa w ust. 1 i 2, organ właściwy do spraw cyberbezpieczeństwa wydaje decyzję stwierdzającą wygaśnięcie decyzji o uznaniu za operatora usługi kluczowej.

Decyzje, o których mowa w ust. 2 i 6, podlegają natychmiastowemu wykonaniu.

Dokumenty powiązane

Jeżeli chcesz mieć dostęp do wszystkich dokumentów powiązanych, zaloguj się do LEX-a Nie korzystasz jeszcze z programów LEX? Zamów dostęp testowy

Pytania i odpowiedzi liczba obiektów na liście: (4)

Jaki podmiot leczniczy może być zakwalifikowany jako operator usługi kluczowej?
Czy podmiot leczniczy spółka jawna musi wyznaczać osobę kontaktową w sprawie zgłaszania incydentów IT do CSIRT?
Czy szkoła niepubliczna ma obowiązek zgłoszenie osoby kontaktowej według ustawy o krajowym systemie cyberbezpieczeństwa?

Orzeczenia i pisma urzędowe liczba obiektów na liście: (5)

Orzeczenia sądów liczba obiektów na liście: (4)

VI SA/Wa 2293/20 - Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie
VI SA/Wa 2151/19 - Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie
VI SA/Wa 2667/19 - Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie

Komentarze i publikacje liczba obiektów na liście: (4)

Komentarze praktyczne liczba obiektów na liście: (2)

Praktyczne konsekwencje dla banków stosowania Ustawy o krajowym systemie cyberbezpieczeństwa
Zakres podmiotowy zastosowania ustawy o cyberbezpieczeństwie w sektorze ochrony zdrowia

Komentarze liczba obiektów na liście: (1)

Ustawa o krajowym systemie cyberbezpieczeństwa. Komentarz

Poradniki liczba obiektów na liście: (1)

Poradnik dla samorządów - ustawa o krajowym systemie cyberbezpieczeństwa