Rozdział 8 - Organy właściwe do spraw cyberbezpieczeństwa - Krajowy system cyberbezpieczeństwa.
Dziennik Ustaw
Dz.U.2023.913 t.j.
Akt obowiązujący Wersja od: 25 września 2023 r.
Rozdział 8
Organy właściwe do spraw cyberbezpieczeństwa
Organy właściwe do spraw cyberbezpieczeństwa
Organami właściwymi do spraw cyberbezpieczeństwa są:
1)
dla sektora energii - minister właściwy do spraw energii;2)
dla sektora transportu z wyłączeniem podsektora transportu wodnego - minister właściwy do spraw transportu;3)
dla podsektora transportu wodnego - minister właściwy do spraw gospodarki morskiej i minister właściwy do spraw żeglugi śródlądowej;4)
dla sektora bankowego i infrastruktury rynków finansowych - Komisja Nadzoru Finansowego;5)
dla sektora ochrony zdrowia z wyłączeniem podmiotów, o których mowa w art. 26 ust. 5 - minister właściwy do spraw zdrowia;6)
dla sektora ochrony zdrowia obejmującego podmioty, o których mowa w art. 26 ust. 5 - Minister Obrony Narodowej;7)
dla sektora zaopatrzenia w wodę pitną i jej dystrybucji - minister właściwy do spraw gospodarki wodnej;8)
dla sektora infrastruktury cyfrowej z wyłączeniem podmiotów, o których mowa w art. 26 ust. 5 - minister właściwy do spraw informatyzacji;9)
dla sektora infrastruktury cyfrowej obejmującego podmioty, o których mowa w art. 26 ust. 5 - Minister Obrony Narodowej;10)
dla dostawców usług cyfrowych z wyłączeniem podmiotów, o których mowa w art. 26 ust. 5 - minister właściwy do spraw informatyzacji;11)
dla dostawców usług cyfrowych obejmujących podmioty, o których mowa w art. 26 ust. 5 - Minister Obrony Narodowej.1.
Organ właściwy do spraw cyberbezpieczeństwa:1)
prowadzi bieżącą analizę podmiotów w danym sektorze lub podsektorze pod kątem uznania ich za operatora usługi kluczowej lub niespełniania warunków kwalifikujących podmiot jako operatora usługi kluczowej;2)
wydaje decyzje o uznaniu podmiotu za operatora usługi kluczowej albo decyzje stwierdzające wygaśnięcie decyzji o uznaniu podmiotu za operatora usługi kluczowej;3)
niezwłocznie po wydaniu decyzji o uznaniu za operatora usługi kluczowej albo decyzji stwierdzającej wygaśnięcie decyzji o uznaniu za operatora usługi kluczowej przekazuje wnioski do ministra właściwego do spraw informatyzacji o wpisanie do wykazu operatorów usług kluczowych albo wykreślenie z tego wykazu;4)
składa wnioski o zmianę danych w wykazie operatorów usług kluczowych, nie później niż w terminie 6 miesięcy od zmiany tych danych;5)
przygotowuje we współpracy z CSIRT NASK, CSIRT GOV, CSIRT MON i sektorowymi zespołami cyberbezpieczeństwa rekomendacje dotyczące działań mających na celu wzmocnienie cyberbezpieczeństwa, w tym wytyczne sektorowe dotyczące zgłaszania incydentów;6)
monitoruje stosowanie przepisów ustawy przez operatorów usług kluczowych i dostawców usług cyfrowych;7)
wzywa na wniosek CSIRT NASK, CSIRT GOV lub CSIRT MON operatorów usług kluczowych lub dostawców usług cyfrowych do usunięcia w wyznaczonym terminie podatności, które doprowadziły lub mogły doprowadzić do incydentu poważnego, istotnego lub krytycznego;8)
prowadzi kontrole operatorów usług kluczowych i dostawców usług cyfrowych;9)
może prowadzić współpracę z właściwymi organami państw członkowskich Unii Europejskiej za pośrednictwem Pojedynczego Punktu Kontaktowego;10)
przetwarza informacje, w tym dane osobowe, dotyczące świadczonych usług kluczowych i usług cyfrowych oraz operatorów usług kluczowych lub dostawców usług cyfrowych w zakresie niezbędnym do realizacji zadań wynikających z ustawy;11)
uczestniczy w ćwiczeniach w zakresie cyberbezpieczeństwa organizowanych w Rzeczypospolitej Polskiej lub w Unii Europejskiej.2.
W przypadku gdy osoba prawna lub jednostka organizacyjna nieposiadająca osobowości prawnej, świadcząca usługi cyfrowe, nie posiada siedziby lub zarządu na terytorium Rzeczypospolitej Polskiej albo nie wyznaczyła przedstawiciela na terytorium Rzeczypospolitej Polskiej, ale jej systemy informacyjne znajdują się na terytorium Rzeczypospolitej Polskiej, ani nie spełnia wymagań określonych w rozporządzeniu wykonawczym 2018/151, organ właściwy do spraw cyberbezpieczeństwa dla dostawców usług cyfrowych może przekazywać informacje oraz zwracać się o podejmowanie działań, o których mowa w art. 53 ust. 2, do organu właściwego w innym państwie członkowskim Unii Europejskiej, na terytorium którego posiada ona siedzibę lub zarząd albo został wyznaczony jej przedstawiciel.3.
Organ właściwy do spraw cyberbezpieczeństwa może powierzyć realizację, w jego imieniu, niektórych zadań, o których mowa w ust. 1, jednostkom podległym lub nadzorowanym przez ten organ.4.
Powierzenie następuje na podstawie porozumienia organu właściwego do spraw cyberbezpieczeństwa z podmiotami, o których mowa w ust. 3.5.
W porozumieniu, o którym mowa w ust. 4, określa się zasady sprawowania przez organ właściwy do spraw cyberbezpieczeństwa kontroli nad prawidłowym wykonywaniem powierzonych zadań.6.
Komunikat o zawarciu porozumienia ogłasza się w dzienniku urzędowym organu właściwego do spraw cyberbezpieczeństwa. W komunikacie wskazuje się informacje o:1)
adresie strony internetowej, na której zostanie zamieszczona treść porozumienia wraz ze stanowiącymi jego integralną treść załącznikami;2)
terminie, od którego porozumienie będzie obowiązywało.7.
Organy właściwe do spraw cyberbezpieczeństwa i Pojedynczy Punkt Kontaktowy w uzasadnionych przypadkach współpracują z organami ścigania i organem właściwym do spraw ochrony danych osobowych.8.
Rekomendacje dotyczące działań mających na celu wzmocnienie cyberbezpieczeństwa, w tym wytyczne sektorowe dotyczące zgłaszania incydentów, o których mowa w ust. 1 pkt 5, przygotowuje się z uwzględnieniem w szczególności Polskich Norm przenoszących normy europejskie, wspólnych specyfikacji technicznych, rozumianych jako specyfikacje techniczne w dziedzinie produktów teleinformatycznych określone zgodnie z art. 13 i art. 14 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1025/2012 z dnia 25 października 2012 r. w sprawie normalizacji europejskiej, zmieniającego dyrektywy Rady 89/686/EWG i 93/15/EWG oraz dyrektywy Parlamentu Europejskiego i Rady 94/9/WE, 94/25/WE, 95/16/WE, 97/23/WE, 98/34/WE, 2004/22/WE, 2007/23/WE, 2009/23/WE i 2009/105/WE oraz uchylającego decyzję Rady 87/95/EWG i decyzję Parlamentu Europejskiego i Rady nr 1673/2006/WE (Dz. Urz. UE L 316 z 14.11.2012, str. 12) oraz wytycznych Komisji Europejskiej oraz Europejskiej Agencji do spraw Bezpieczeństwa Sieci i Informacji (ENISA) w tym zakresie.1.
Organ właściwy do spraw cyberbezpieczeństwa może, bez wszczynania postępowania w sprawie uznania podmiotu za operatora usługi kluczowej, wystąpić do podmiotu, o którym mowa w załączniku nr 1 do ustawy, o udzielenie informacji, które umożliwią wstępną ocenę, czy dany podmiot spełnia warunki do uznania go za operatora usługi kluczowej.2.
Organ właściwy do spraw cyberbezpieczeństwa może, bez wszczynania kontroli, wystąpić do operatora usługi kluczowej o udzielenie informacji, które umożliwią ustalenie potrzeby przeprowadzania kontroli, a także może, bez wszczynania postępowania, wystąpić do operatora usługi kluczowej o udzielenie informacji, które umożliwią wstępną ocenę, czy dany podmiot przestał spełniać warunki do uznania go za operatora usługi kluczowej.3.
Organ właściwy do spraw cyberbezpieczeństwa, występując do podmiotu, o którym mowa w załączniku nr 1 do ustawy, lub operatora usługi kluczowej wskazuje termin udzielenia informacji. Wyznaczony termin nie może być krótszy niż 14 dni, licząc od dnia otrzymania wystąpienia przez podmiot lub operatora usługi kluczowej.4.
Podmiot, o którym mowa w załączniku nr 1 do ustawy, lub operator usługi kluczowej, do których organ właściwy do spraw cyberbezpieczeństwa skierował wystąpienie, mogą przekazać informacje w sprawie, której dotyczy wystąpienie, lub poinformować o odmowie udzielenia informacji.5.
Wystąpienie o udzielenie informacji oraz brak udzielenia informacji nie wpływa na możliwości wszczęcia postępowania administracyjnego lub kontroli.6.
Informacje udzielone przez podmiot lub operatora usługi kluczowej, o których mowa w ust. 1 i 2, mogą stanowić materiał dowodowy we wszczętym postępowaniu administracyjnym lub kontroli. Brak udzielenia informacji nie wpływa na sytuację procesową strony albo kontrolowanego ani na wszczęte postępowanie administracyjne lub kontrolę.1.
Organ właściwy do spraw cyberbezpieczeństwa może ustanowić, zgodnie z odrębnymi przepisami, sektorowy zespół cyberbezpieczeństwa dla danego sektora lub podsektora wymienionego w załączniku nr 1 do ustawy, odpowiedzialny w szczególności za:1)
przyjmowanie zgłoszeń o incydentach poważnych oraz wsparcie w obsłudze tych incydentów;2)
wspieranie operatorów usług kluczowych w wykonywaniu obowiązków określonych w art. 8, art. 9, art. 10 ust. 1-3, art. 11 ust. 1-3, art. 12 i art. 13;3)
analizowanie incydentów poważnych, wyszukiwanie powiązań pomiędzy incydentami oraz opracowywanie wniosków z obsługi incydentu;4)
współpracę z właściwym CSIRT MON, CSIRT NASK i CSIRT GOV w zakresie koordynowania obsługi incydentów poważnych.2.
Sektorowy zespół cyberbezpieczeństwa może przekazywać do innych państw, w tym państw członkowskich Unii Europejskiej, i przyjmować z tych państw informacje o incydentach poważnych, w tym dotyczących dwóch lub większej liczby państw członkowskich Unii Europejskiej.3.
Sektorowy zespół cyberbezpieczeństwa może otrzymywać zgłoszenia incydentu poważnego z innego państwa członkowskiego Unii Europejskiej dotyczącego dwóch lub większej liczby państw członkowskich Unii Europejskiej. Sektorowy zespół cyberbezpieczeństwa przekazuje te zgłoszenia do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV oraz Pojedynczego Punktu Kontaktowego.4.
W przypadku ustanowienia sektorowego zespołu cyberbezpieczeństwa organ właściwy do spraw cyberbezpieczeństwa informuje operatorów usług kluczowych w danym sektorze oraz CSIRT MON, CSIRT NASK i CSIRT GOV o ustanowieniu tego zespołu i zakresie realizowanych zadań.