Rozdział 2 - Identyfikacja i rejestracja operatorów usług kluczowych - Krajowy system cyberbezpieczeństwa.
Dziennik Ustaw
Dz.U.2023.913 t.j.
Akt obowiązujący Wersja od: 25 września 2023 r.
Rozdział 2
Identyfikacja i rejestracja operatorów usług kluczowych
Identyfikacja i rejestracja operatorów usług kluczowych
1.
Operatorem usługi kluczowej jest podmiot, o którym mowa w załączniku nr 1 do ustawy, posiadający jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, wobec którego organ właściwy do spraw cyberbezpieczeństwa wydał decyzję o uznaniu za operatora usługi kluczowej. Sektory, podsektory oraz rodzaje podmiotów określa załącznik nr 1 do ustawy.2.
Organ właściwy do spraw cyberbezpieczeństwa wydaje decyzję o uznaniu podmiotu za operatora usługi kluczowej, jeżeli:1)
podmiot świadczy usługę kluczową;2)
świadczenie tej usługi zależy od systemów informacyjnych;3)
incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora.3.
Istotność skutku zakłócającego incydentu dla świadczenia usługi kluczowej, o którym mowa w ust. 2 pkt 3, określana jest na podstawie progów istotności skutku zakłócającego.4.
W przypadku gdy podmiot świadczy usługę kluczową w innych państwach członkowskich Unii Europejskiej, organ właściwy do spraw cyberbezpieczeństwa w toku postępowania administracyjnego, za pośrednictwem Pojedynczego Punktu Kontaktowego, prowadzi konsultacje z tymi państwami w celu ustalenia, czy ten podmiot został uznany w tych państwach za operatora usługi kluczowej.5.
Okresu na przeprowadzenie konsultacji, o których mowa w ust. 4, nie wlicza się do terminów, o których mowa w art. 35 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2022 r. poz. 2000 i 2185).6.
W stosunku do podmiotu, który przestał spełniać warunki, o których mowa w ust. 1 i 2, organ właściwy do spraw cyberbezpieczeństwa wydaje decyzję stwierdzającą wygaśnięcie decyzji o uznaniu za operatora usługi kluczowej.7.
Decyzje, o których mowa w ust. 2 i 6, podlegają natychmiastowemu wykonaniu.Art. 6. [Delegacja ustawowa - wykaz usług kluczowych, progi istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych]
Rada Ministrów określi, w drodze rozporządzenia:
1)
wykaz usług kluczowych, o których mowa w art. 5 ust. 2 pkt 1, kierując się przyporządkowaniem usługi kluczowej do danego sektora, podsektora i rodzaju podmiotu wymienionych w załączniku nr 1 do ustawy oraz znaczeniem usługi dla utrzymania krytycznej działalności społecznej lub gospodarczej;2)
progi istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych, wymienionych w wykazie usług kluczowych, uwzględniając:a)
liczbę użytkowników zależnych od usługi kluczowej świadczonej przez dany podmiot,b)
zależność innych sektorów, o których mowa w załączniku nr 1 do ustawy, od usługi świadczonej przez ten podmiot,c)
wpływ, jaki mógłby mieć incydent, ze względu na jego skalę i czas trwania, na działalność gospodarczą i społeczną lub bezpieczeństwo publiczne,d)
udział podmiotu świadczącego usługę kluczową w rynku,e)
zasięg geograficzny obszaru, którego mógłby dotyczyć incydent,f)
zdolność podmiotu do utrzymywania wystarczającego poziomu świadczenia usługi kluczowej, przy uwzględnieniu dostępności alternatywnych sposobów jej świadczenia,g)
inne czynniki charakterystyczne dla danego sektora lub podsektora, jeżeli występują- kierując się potrzebą zapewnienia ochrony przed zagrożeniem życia lub zdrowia ludzi, znacznymi stratami majątkowymi oraz obniżeniem jakości świadczonej usługi kluczowej.
1.
Minister właściwy do spraw informatyzacji prowadzi wykaz operatorów usług kluczowych.2.
Wykaz operatorów usług kluczowych zawiera:1)
nazwę (firmę) operatora usługi kluczowej;2)
sektor, podsektor i rodzaj podmiotu;3)
siedzibę i adres;4)
numer identyfikacji podatkowej (NIP), jeżeli został nadany;5)
numer we właściwym rejestrze, jeżeli został nadany;6)
nazwę usługi kluczowej, zgodną z wykazem usług kluczowych;7)
datę rozpoczęcia świadczenia usługi kluczowej;8)
informację określającą, w których państwach członkowskich Unii Europejskiej podmiot został uznany za operatora usługi kluczowej;9)
datę zakończenia świadczenia usługi kluczowej;10)
datę wykreślenia z wykazu operatorów usług kluczowych.3.
Wpisanie do wykazu operatorów usług kluczowych i wykreślenie z tego wykazu następuje na wniosek organu właściwego do spraw cyberbezpieczeństwa złożony niezwłocznie po wydaniu decyzji o uznaniu za operatora usługi kluczowej albo decyzji stwierdzającej wygaśnięcie decyzji o uznaniu za operatora usługi kluczowej. Wniosek zawiera dane, o których mowa w ust. 2 pkt 1-9.4.
Zmiana danych w wykazie operatorów usług kluczowych następuje na wniosek organu właściwego do spraw cyberbezpieczeństwa, złożony nie później niż w terminie 6 miesięcy od zmiany tych danych.5.
Wnioski, o których mowa w ust. 3 i 4, sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP.6.
Wpisanie do wykazu operatorów usług kluczowych i wykreślenie z tego wykazu oraz zmiana danych w wykazie operatorów usług kluczowych jest czynnością materialno-techniczną.7.
Dane z wykazu operatorów usług kluczowych minister właściwy do spraw informatyzacji udostępnia CSIRT MON, CSIRT NASK i CSIRT GOV oraz sektorowemu zespołowi cyberbezpieczeństwa w zakresie sektora lub podsektora, dla którego został ustanowiony, a także operatorowi usługi kluczowej w zakresie go dotyczącym.8.
Dane z wykazu operatorów usług kluczowych, w zakresie niezbędnym do realizacji ich ustawowych zadań, minister właściwy do spraw informatyzacji udostępnia, na wniosek, następującym podmiotom:1)
organom właściwym do spraw cyberbezpieczeństwa;2)
Policji;3)
Żandarmerii Wojskowej;4)
Straży Granicznej;5)
Centralnemu Biuru Antykorupcyjnemu;6)
Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu;7)
Służbie Kontrwywiadu Wojskowego oraz Służbie Wywiadu Wojskowego;8)
sądom;9)
prokuraturze;10)
organom Krajowej Administracji Skarbowej;11)
dyrektorowi Rządowego Centrum Bezpieczeństwa;12)
Służbie Ochrony Państwa.