z dnia. o krajowym systemie cyberbezpieczeństwa 1) Rozdział 1 Przepisy ogólne

Transkrypt

1 Projekt z dnia r. U S T AWA z dnia. o krajowym systemie cyberbezpieczeństwa 1) Rozdział 1 Przepisy ogólne Art. 1. Ustawa określa: 1) organizację oraz sposób funkcjonowania krajowego systemu cyberbezpieczeństwa; 2) sposób sprawowania nadzoru i kontroli w zakresie stosowania przepisów ustawy; 3) zakres oraz tryb stanowienia Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej. Art. 2. Użyte w ustawie określenia oznaczają: 1) CSIRT zespół reagowania na incydenty składający się z analityków zajmujących się obsługą incydentu; 2) CSIRT komercyjny przedsiębiorca świadczący usługi CSIRT, na rzecz operatorów usług kluczowych lub dostawców usług cyfrowych; 3) CSIRT sektorowy podmiot świadczący usługi CSIRT dla operatorów usług kluczowych z jednego lub więcej sektorów wymienionych w załączniku do ustawy, obsługujący więcej niż jednego operatora usług kluczowych z danego sektora; 4) CSIRT wewnętrzny komórka organizacyjna operatora usług kluczowych lub dostawcy usług cyfrowych świadcząca usługi CSIRT na jego rzecz; 5) cyberbezpieczeństwo stan systemów teleinformatycznych oznaczający odporność tych systemów, przy danym poziomie zaufania, na wszelkie działania naruszające dostępność, autentyczność, integralność lub poufność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy teleinformatyczne; 6) Grupa Współpracy grupa, o której mowa w decyzji wykonawczej Komisji 2017/179/UE; 7) incydent każde zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo; 8) internetowa platforma handlowa usługa cyfrowa, która umożliwia konsumentom lub przedsiębiorcom zawieranie umów z przedsiębiorcami drogą elektroniczną; 9) obsługa incydentu procedury umożliwiające wykrywanie i analizowanie incydentu, ograniczenie jego skutków oraz reagowanie na niego; 10) poważny incydent incydent lub grupa incydentów, które powodują lub mogą spowodować znaczny wpływ na ciągłość działania usług kluczowych świadczonych w Rzeczypospolitej Polskiej oraz w państwach członkowskich Unii Europejskiej, znaczną szkodę dla bezpieczeństwa publicznego, interesów międzynarodowych, w tym interesów gospodarczych, poziomu zaufania do instytucji publicznych, swobód obywatelskich lub zdrowia obywateli Rzeczypospolitej Polskiej; 1 ) Niniejsza ustawa wdraża dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium UE (Dz.U. UE L 194 z , str. 1) Strona 1 z 19

2 11) Sieć CSIRT sieć składająca się z przedstawicieli CSIRT państw członkowskich Unii Europejskiej, CERT-EU, Komisji Europejskiej oraz Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji; 12) system teleinformatyczny zespół współpracujących ze sobą urządzeń informatycznych i oprogramowania zapewniający przetwarzanie, przechowywanie, a także wysyłanie i odbieranie danych przez sieci telekomunikacyjne za pomocą właściwego dla danego rodzaju sieci telekomunikacyjnego urządzenia końcowego w rozumieniu przepisów ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2016 r. poz. 1489, z późn. zm.); 13) usługa CSIRT usługa polegająca na obsłudze incydentów świadczona przez CSIRT; 14) usługa przetwarzania w chmurze usługa cyfrowa umożliwiająca dostęp do skalowalnego i elastycznego zbioru zasobów obliczeniowych do wspólnego wykorzystywania przez wielu użytkowników; 15) usługa cyfrowa usługa świadczona drogą elektroniczną w rozumieniu ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2016 r. poz i 1579), która dotyczy internetowych platform handlowych, wyszukiwarek internetowych, lub przetwarzania w chmurze. 16) wyszukiwarka internetowa usługa cyfrowa, która umożliwia użytkownikom wyszukiwanie co do zasady wszystkich stron internetowych lub stron internetowych w danym języku za pomocą zapytania na dowolny temat przez podanie słowa kluczowego, wyrażenia lub innej wartości wejściowej oraz przedstawia ona w wyniku odnośniki, pod którymi można znaleźć informacje związane z zadanym zapytaniem; 17) zagrożenie cyberbezpieczeństwa każda dająca się racjonalnie określić okoliczność lub zdarzenie, które ma potencjalnie niekorzystny wpływ na cyberbezpieczeństwo. Art. 3. Ustanawia się krajowy system cyberbezpieczeństwa, którego zadaniem jest zapewnienie niezakłóconego świadczenia usług kluczowych i usług cyfrowych oraz osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów teleinformatycznych służących do świadczenia tych usług. Art Krajowy system cyberbezpieczeństwa tworzą: 1) operatorzy usług kluczowych i dostawcy usług cyfrowych; 2) CSIRT Narodowy; 3) narodowe centrum cyberbezpieczeństwa; 4) CSIRT sektorowe; 5) CSIRT wewnętrzne; 6) CSIRT komercyjne; 7) organy właściwe do spraw cyberbezpieczeństwa, zwane dalej organami właściwymi ; 8) pojedynczy punkt kontaktowy do spraw cyberbezpieczeństwa, zwany dalej pojedynczym punktem kontaktowym ; 9) infrastruktura teleinformatyczna służąca wymianie informacji na potrzeby tego systemu. 2. Minister właściwy do spraw informatyzacji odpowiada za utrzymanie i rozwój technicznych środków łączności niezbędnych do funkcjonowania krajowego systemu cyberbezpieczeństwa oraz infrastruktury teleinformatycznej, o której mowa w ust. 1 pkt 9. Rozdział 2 Usługi kluczowe i operatorzy usług kluczowych Art Operatorami usług kluczowych są: Strona 2 z 19

3 1) przedsiębiorcy w rozumieniu przepisów ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz. U. z 2015 r. poz. 584, z późn. zm.) posiadający jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, 2) organy administracji rządowej oraz jednostki im podległe lub nadzorowane, 3) jednostki samorządu terytorialnego i ich związki oraz tworzone lub prowadzone przez te jednostki samorządowe osoby prawne, 4) podmioty lecznicze, o których mowa w art. 4 ust. 1 pkt 2 i 4-7 ustawy o działalności leczniczej (Dz. U. z 2016 r. poz z późn. zm.), świadczący usługę kluczową powyżej progów kwalifikacji określonych w przepisach wydanych na podstawie ust. 2 i 3 oraz należący do jednego z sektorów i podsektorów określonych w załączniku do ustawy, którzy: 1) świadczą usługę, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, zwaną dalej usługą kluczową ; 2) świadczenie tej usługi kluczowej zależy od systemów teleinformatycznych; 3) incydent miałby istotny skutek zakłócający dla świadczenia tej usługi kluczowej. 2. Rada Ministrów określi w drodze rozporządzenia progi kwalifikacji pozwalające na uznanie usługi za usługę kluczową, właściwe dla charakteru usługi, biorąc pod uwagę co najmniej jedno z poniższych kryteriów: 1) liczbę użytkowników zależnych od usługi świadczonej przez dany podmiot; 2) zależność innych sektorów, o których mowa w załączniku do ustawy, od usługi świadczonej przez ten podmiot; 3) wpływ, jaki incydenty, jeżeli chodzi o ich skalę i czas trwania, mogłyby mieć na działalność gospodarczą i społeczną lub bezpieczeństwo publiczne; 4) udział podmiotu świadczącego usługę kluczową w rynku tej usługi; 5) zasięg geograficzny związany z obszarem, którego mógłby dotyczyć incydent; 6) zdolność podmiotu do utrzymywania wystarczającego poziomu usługi przy uwzględnieniu dostępności alternatywnych sposobów jej świadczenia. Rada Ministrów wydając rozporządzenie uwzględni konieczność zapewnienia prawidłowej identyfikacji usług kluczowych. 3. Właściwi ministrowie, w porozumieniu z ministrem właściwym do spraw informatyzacji, mogą określić w drodze rozporządzenia dodatkowe progi kwalifikacji, pozwalające na uznanie usługi za usługę kluczową, specyficzne dla właściwych dla siebie sektorów, uwzględniając konieczność zapewnienia prawidłowej identyfikacji usług kluczowych w poszczególnych sektorach. Art Minister właściwy do spraw informatyzacji tworzy wykaz usług kluczowych, uwzględniający podział na sektory i podsektory, o których mowa w załączniku do ustawy. 2. Wykaz usług kluczowych jest dostępny w Biuletynie Informacji Publicznej na stronie podmiotowej ministra właściwego do spraw informatyzacji. 3. Wpisania do wykazu usług kluczowych lub wykreślenia z wykazu dokonuje się na podstawie zgłoszenia organów właściwych, które identyfikują usługi we właściwych dla siebie sektorach z uwzględnieniem przepisów wydanych na podstawie art. 40 ust. 2 ustawy z dnia 29 czerwca 1995 r. o statystyce publicznej (Dz.U. z 2016 r. poz. 1068, z późn. zm.). 4. Zgłoszenie do wykazu usług kluczowych zawiera: 1) nazwę usługi; 2) sektor usługi; 3) podsektor usługi, jeżeli występuje. Strona 3 z 19

4 Art Minister właściwy do spraw informatyzacji tworzy wykaz operatorów usług kluczowych, będących przedsiębiorcami, o których mowa w art. 5 ust. 1, uwzględniający podział na sektory i podsektory, o których mowa w załączniku do ustawy. 2. Wykaz operatorów usług kluczowych obejmuje: 1) nazwę podmiotu lub nazwę (firmę) operatora usługi kluczowej; 2) adres siedziby; 3) numer REGON; 4) numer w Krajowym Rejestrze Sądowym, jeżeli został nadany; 5) nazwę usługi kluczowej świadczonej przez operatora; 6) datę rozpoczęcia świadczenia usługi kluczowej; 7) datę zakończenia świadczenia usługi kluczowej; 8) datę wykreślenia z wykazu operatorów usług kluczowych. 3. Wykaz operatorów usług kluczowych stanowi tajemnicę prawnie chronioną. Art Wpisanie podmiotu do wykazu operatorów usług kluczowych następuje na podstawie zgłoszenia dokonanego przez organ właściwy zawierającego informacje, o których mowa w art. 7 ust. 2 pkt Podstawą dokonania zgłoszenia jest wydanie decyzji, przez organ właściwy, o uznaniu podmiotu, który spełnia warunki, określone w przepisach o krajowym systemie cyberbezpieczeństwa, za operatora usługi kluczowej. Art Wykreślenie z wykazu operatorów usług kluczowych następuje na podstawie zgłoszenia dokonanego przez organ właściwy. 2. Podstawą dokonania zgłoszenia jest wydanie decyzji, przez organ właściwy, o odebraniu podmiotowi statusu operatora usługi kluczowej. 3. Organ właściwy wydaje decyzję, o której mowa w ust. 2, gdy podmiot nie spełnia wymogów określonych w przepisach o krajowym systemie cyberbezpieczeństwa albo zaprzestał świadczenia usługi kluczowej. Art. 10. Decyzje, o których mowa w art. 8 i 9, podlegają natychmiastowemu wykonaniu. Przepisu art pkt 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi nie stosuje się. Art Operator usługi kluczowej jest obowiązany informować organ właściwy o każdej zmianie jego danych wpisanych do wykazu operatorów usług kluczowych w terminie 14 dni od zmiany tych danych. 2. Organ właściwy niezwłocznie przekazuje informacje o zmianie danych operatora usługi kluczowej ministrowi właściwemu do spraw informatyzacji. Art. 12. Operatorów usług kluczowych dla sektora administracji publicznej określają organy właściwe, o których mowa w art. 28. Art Operatorzy usług kluczowych odpowiadają za zapewnienie bezpieczeństwa świadczonych przez nich usług kluczowych oraz ciągłości świadczenia tych usług. 2. Operatorzy usług kluczowych, w celu zapewnienia bezpieczeństwa świadczonych usług kluczowych, mają obowiązek wdrożenia efektywnego systemu zarządzania bezpieczeństwem, uwzględniającego Polskie Normy w zakresie zarządzania bezpieczeństwem informacji i zarządzania ciągłością działania oraz obejmującego, w szczególności: Strona 4 z 19

5 1) zarządzanie incydentami obejmujące ich identyfikację, ustalenie priorytetów, rejestrację, analizę, wyszukiwanie powiązań, podejmowanie działań naprawczych oraz usuwanie przyczyn; 2) zarządzanie ryzykiem naruszenia bezpieczeństwa, w tym prowadzenie jego systematycznej analizy oraz dokumentowanie; 3) zapewnienie bezpieczeństwa fizycznego i środowiskowego, w tym zapewnienie kontroli dostępu; 4) zapewnienie utrzymania i bezpiecznej eksploatacji systemów teleinformatycznych; 5) wdrażanie, dokumentowanie i utrzymywanie planów działania zapewniających ciągłe i niezakłócone świadczenie usług kluczowych, ich integralność oraz poufność; 6) przeprowadzanie, co najmniej raz na rok audytu wewnętrznego, oraz co najmniej raz na dwa lata, audytu zewnętrznego; 7) stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo świadczenia usług kluczowych; 8) stworzenie wewnętrznych procedur umożliwiających zgłaszanie i postępowanie z incydentami; 9) objęcie świadczonych usług kluczowych systemem monitorowania w trybie ciągłym. Art Operatorzy usług kluczowych mają obowiązek: 1) wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług kluczowych; 2) opracowania planu zapewnienia cyberbezpieczeństwa, w ciągu sześciu miesięcy od wydania decyzji o uznaniu za operatora usługi kluczowej, o ile ten sam zakres informacji nie został uwzględniony w innych planach opracowanych na podstawie odrębnych przepisów; 3) objęcia ochroną usługi kluczowej przez usługę CSIRT; 4) opracowania i utrzymywania aktualnej dokumentacji dotyczącej cyberbezpieczeństwa wykorzystywanych do świadczenia usług kluczowych oraz przechowywania tej dokumentacji przez okres 5 lat liczonych od początku roku następującego po roku jej wytworzenia; 5) niezwłocznego przekazywania do systemu teleinformatycznego, o którym mowa w art. 22 ust. 1, informacji o zaistniałych incydentach lub podejrzeniu wystąpienia incydentu; 6) obsługi incydentów oraz współpracy w tym zakresie z koordynującymi obsługę incydentów CSIRT sektorowymi, CSIRT komercyjnymi i CSIRT tworzącymi CSIRT Narodowy; 7) zapewnienia użytkownikowi usługi dostępu do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą. 2. W przypadku wykreślenia CSIRT, o którym mowa w ust. 1 pkt 3, z rejestru CSIRT, operatorzy usług kluczowych mają obowiązek do uzyskania wsparcia w innym CSIRT w terminie nie dłuższym niż 30 dni. 3. Rada Ministrów określi w drodze rozporządzenia zakres informacji, który powinny zawierać plany zapewnienia cyberbezpieczeństwa, o których mowa w ust. 1 pkt 2, oraz sposób ich przyjmowania, uwzględniając konieczność zapewnienia cyberbezpieczeństwa. Rozdział 3 Dostawcy usług cyfrowych Strona 5 z 19

6 Art Dostawcą usługi cyfrowej jest przedsiębiorca świadczący usługi cyfrowe, z wyjątkiem podmiotów, o których mowa w art. 104 i art. 105 ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz.U. z 2016 r., poz t.j.). 2. Świadczenie usług cyfrowych na terytorium Unii Europejskiej oraz Europejskiego Porozumienia o Wolnym Handlu (EFTA) podlega prawu Rzeczpospolitej Polskiej, jeśli dostawca usług cyfrowych ma główną siedzibę na terytorium Rzeczypospolitej Polskiej. 3. Za główną siedzibę dostawcy usług cyfrowych uznaje się państwo członkowskie Unii Europejskiej, jeżeli siedziba zarządu tego dostawcy usług cyfrowych znajduje się tym państwie. 4. Dostawca usług cyfrowych, o ile nie posiada siedziby w jednym z państw, o których mowa w ust. 2, ale oferuje usługi cyfrowe w tych państwach i wyznacza przedstawiciela w Rzeczpospolitej Polskiej, to dostawca usług cyfrowych podlega prawu Rzeczypospolitej Polskiej. 5. Jeżeli dostawca usług cyfrowych posiada główną siedzibę lub przedstawiciela na terenie Rzeczypospolitej Polskiej, ale jego systemy teleinformatyczne są zlokalizowane w jednym lub większej liczbie innych państw członkowskich, właściwy organ współpracuje z właściwymi organami tych innych państw członkowskich i udziela im pomocy, odpowiednio do potrzeb. 6. Przepisy ust. 5 stosuje się odpowiednio, jeżeli dostawca usług cyfrowych posiada główną jednostkę organizacyjną lub przedstawiciela w innym państwie członkowskim, ale jego systemy teleinformatyczne są zlokalizowane na terenie Rzeczypospolitej Polskiej. Art. 16. Dostawcy usług cyfrowych są odpowiedzialni za zapewnienie bezpieczeństwa świadczonych przez nich usług cyfrowych i zgłaszanie incydentów, zgodnie z decyzją wykonawczą Komisji Europejskiej 2017/XX/UE. Art Dostawcy usług cyfrowych mają obowiązek informować CSIRT prowadzony przez ministra właściwego do spraw informatyzacji o incydencie mającym wpływ na świadczone przez nich usług cyfrowe, w tym o incydencie dotyczącym dwóch lub większej liczby państw członkowskich Unii Europejskiej, zgodnie z decyzją wykonawczą Komisji Europejskiej 2017/XX/UE. 2. Dostawcy usług cyfrowych mają obowiązek przekazywać operatorowi usługi kluczowej, który świadczy usługę kluczową za pośrednictwem tego dostawcy usług cyfrowych, informacje dotyczące incydentu mające istotny wpływ na ciągłość działania tej usługi kluczowej. 3. Do dostawców usług cyfrowych przepisy art. 13 pkt 5 stosuje się odpowiednio. Rozdział 4 CSIRT Narodowy Art CSIRT Narodowy tworzą współpracujące ze sobą CSIRT prowadzone przez: 1) ministra właściwego do spraw informatyzacji; 2) Ministra Obrony Narodowej; 3) Szefa Agencji Bezpieczeństwa Wewnętrznego. 2. Sposób współpracy, o której mowa w ust. 1, określi porozumienie organów powołujących CSIRT zawierające w szczególności: 1) właściwość rzeczową danego CSIRT; 2) sposób wzajemnej wymiany informacji o incydentach zgłaszanych do danego CSIRT; 3) sposób wzajemnej wymiany informacji o ujawnionych podatnościach; 4) dzielenie się wynikami analiz oprogramowania szkodliwego; 5) procedury ochrony wymienianych informacji; Strona 6 z 19

7 6) sposób przekazywania informacji odpowiednim organom państwowym w związku z obsługą poważnych incydentów. Art CSIRT tworzące CSIRT Narodowy realizują zadania na rzecz przeciwdziałania zagrożeniom cyberbezpieczeństwa o charakterze ponadsektorowym i transgranicznym, a także zapewniają koordynację obsługi poważnych incydentów. 2. CSIRT sektorowy, CSIRT wewnętrzny lub CSIRT komercyjny, w uzasadnionych przypadkach, może wystąpić do CSIRT tworzącego CSIRT Narodowy o obsługę incydentów. 3. Operator usługi kluczowej, w przypadku braku obsługi przez CSIRT, może zgłosić incydent do CSIRT tworzącego CSIRT Narodowy. 4. CSIRT sektorowy, CSIRT wewnętrzny lub CSIRT komercyjny informuje właściwy CSIRT tworzący CSIRT Narodowy o poważnym incydencie. 5. CSIRT tworzący CSIRT Narodowy informuje o poważnym incydencie właściwego ministra lub Szefa Agencji Bezpieczeństwa Wewnętrznego, przez którego został utworzony. 6. CSIRT tworzący CSIRT Narodowy informuje Rządowe Centrum Bezpieczeństwa o poważnym incydencie, który może spowodować wystąpienie sytuacji kryzysowej w rozumieniu ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym (Dz. U. z 2017 poz. 209). 7. Właściwi ministrowie, w porozumieniu z ministrem właściwym do spraw informatyzacji, określą w drodze rozporządzenia kryteria klasyfikacji poważnych incydentów we właściwych dla siebie sektorach, biorąc pod uwagę w szczególności liczbę użytkowników, których dotyczy zakłócenie usługi kluczowej, czas trwania incydentu oraz zasięg geograficzny związany z obszarem, którego dotyczy incydent, uwzględniając konieczność zapewnienia precyzyjnego zidentyfikowania poważnych incydentów. Art CSIRT tworzące CSIRT Narodowy mogą wykonywać czynności specjalistyczne, mające na celu likwidację szkód wyrządzonych przez incydenty, w szczególności jeżeli incydenty mają charakter ponadsektorowy lub transgraniczny. 2. W trakcie obsługi poważnych incydentów CSIRT tworzący CSIRT Narodowy może wystąpić do organu właściwego z wnioskiem o wezwanie operatora usługi kluczowej lub dostawcy usługi cyfrowej aby w wyznaczonym terminie usunął podatności, które doprowadziły lub mogłyby doprowadzić do poważnego incydentu. Rozdział 5 Narodowe centrum cyberbezpieczeństwa Art Minister właściwy do spraw informatyzacji prowadzi narodowe centrum cyberbezpieczeństwa odpowiedzialne za: 1) monitorowanie zagrożeń cyberbezpieczeństwa i rozpoznanie incydentów na poziomie krajowym; 2) prowadzenie systemu teleinformatycznego, o którym mowa w art. 22 3) prowadzenie CSIRT, o którym mowa w art. 18 ust. 1 pkt 1; 4) działania informacyjnych na temat incydentów; 5) działalność badawczo-rozwojową w dziedzinie cyberbezpieczeństwa, w tym opracowywanie standardów, dobrych praktyk i rekomendacji; 6) przyjmowanie zgłoszeń o incydentach z innych państw, w tym państw członkowskich Unii Europejskiej i dokonywanie dystrybucji informacji o nich; 7) doradztwo przy tworzeniu CSIRT sektorowych; 8) analizę zagrożeń cyberbezpieczeństwa i incydentów oraz wydawanie rekomendacji w zakresie przeciwdziałania incydentom; Strona 7 z 19

8 9) przygotowanie materiałów analitycznych i rekomendacji w zakresie wprowadzania, zmieniania i odwoływania stopni alarmowych CRP, o których mowa w przepisach o działaniach antyterrorystycznych; 10) przygotowanie materiałów analitycznych i rekomendacji dla Rządowego Zespołu Zarządzania Kryzysowego w zakresie w zakresie przeciwdziałania i reagowania na incydenty i poważne incydenty; 11) tworzenie i udostępnianie platformy dobrowolnej współpracy i wymiany informacji o zagrożeniach cyberbezpieczeństwa i incydentach pomiędzy CSIRT, operatorami usług kluczowych, dostawcami usług cyfrowych, organami właściwymi i innymi organami państwowymi; 12) przedkładanie corocznie ministrowi właściwemu do spraw informatyzacji sprawozdania podsumowującego dotyczącego: a) poważnych incydentów zgłaszanych przez operatorów usług kluczowych, mających wpływ na ciągłość działania świadczonych przez nich usług kluczowych w Rzeczpospolitej Polskiej oraz ciągłość działania usług kluczowych w państwach członkowskich Unii Europejskiej, b) incydentów zgłaszanych przez dostawców usług cyfrowych, mających wpływ na świadczone przez nich usług cyfrowe, w tym incydentów dotyczących dwóch lub większej liczby państw członkowskich Unii Europejskiej zgodnie z decyzją wykonawczą Komisji Europejskiej 2017/XX/UE; 13) udostępnianie informacji i dobrych praktyk związanych ze zgłaszaniem poważnych incydentów przez operatorów usług kluczowych i dostawców usług cyfrowych, w tym: a) procedur postępowania w zakresie zarządzania incydentem, b) procedur postępowania przy zarządzaniu ryzykiem, c) klasyfikacji informacji, ryzyka i incydentów; 14) koordynację udziału CSIRT w Sieci CSIRT, w tym: a) udostępnianie materiałów i informacji na potrzeby strony internetowej na temat poważnych incydentów na terytorium Unii Europejskiej, prowadzonej przez Sieć CSIRT, b) udzielanie CSIRT wytycznych o charakterze strategicznym w związku z funkcjonowaniem Sieci CSIRT; 15) organizację i koordynację, we współpracy z pojedynczym punktem kontaktowym, ćwiczeń w zakresie cyberbezpieczeństwa uruchamianych na poziomie krajowym i w Unii Europejskiej; 16) prowadzenie działań informacyjnych dotyczących dobrych praktyk, programów edukacyjnych, kampanii na rzecz podnoszenia świadomości i szkoleń z zakresu cyberbezpieczeństwa i bezpiecznego korzystania z Internetu przez różne kategorie użytkowników; 17) przekazywanie pojedynczemu punktowi kontaktowemu informacji o poważnych incydentach, które dotyczą lub mogą dotyczyć innego państwa członkowskiego Unii Europejskiej. 2. Minister do spraw informatyzacji może powierzyć realizację zadań narodowego centrum cyberbezpieczeństwa jednostce nadzorowanej lub podległej. Art Narodowe centrum cyberbezpieczeństwa prowadzi system teleinformatyczny, który umożliwia: 1) zbieranie informacji o zagrożeniach cyberbezpieczeństwa wywołujących lub mogących wywołać incydenty; 2) zbieranie od podmiotów informacji o zaistniałych incydentach; 3) prowadzenie rejestru poważnych incydentów; Strona 8 z 19

9 4) zbieranie informacji o poziomie ryzyka wystąpienia poważnego incydentu; 5) agregowanie i korelowanie pozyskiwanych informacji w celu określenia ryzyka wystąpienia incydentu; 6) automatyczne generowanie ostrzeżeń o zaistniałych incydentach lub możliwości wystąpienia incydentu; 7) generowanie syntetycznej informacji o poziomie ryzyka dla całego terytorium Rzeczypospolitej Polskiej lub jego części; 8) prognozowanie skutków materializacji zagrożeń cyberbezpieczeństwa. 2. Informacje, o których mowa w ust. 1 pkt 1-4, przekazują do systemu operatorzy usług kluczowych, a dostawcy usług cyfrowych w zakresie określonym w decyzji wykonawczej Komisji Europejskiej nr 2017/XX/UE. 3. Narodowe centrum cyberbezpieczeństwa może gromadzić, przetwarzać i udostępniać informacje stanowiące dane osobowe, o których mowa w art. 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101 poz. 926 z późn. zm.). 4. W rozumieniu art. 7 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych administratorem danych osobowych zgromadzonych w systemie teleinformatycznym, o którym mowa w ust. 1, jest narodowe centrum cyberbezpieczeństwa. 5. Gromadzenie informacji w systemie teleinformatycznym, o którym mowa w ust. 1 nie wymaga powiadomienia, o którym mowa w art. 25 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. 6. Przetwarzanie danych w systemie teleinformatycznym, o którym mowa w ust. 1, nie może naruszać przepisów o tajemnicy przedsiębiorstwa, o których mowa w ustawie z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (Dz.U. z 2003 r. Nr 153 poz z późn. zm). 7. Informacje z systemu teleinformatycznego mogą być udostępniane w drodze teletransmisji w pełnym zakresie: 1) ministrowi właściwemu do spraw informatyzacji; 2) Ministrowi Obrony Narodowej; 3) ministrowi właściwemu do spraw wewnętrznych; 4) ministrowi właściwemu do spraw administracji; 5) Szefowi Agencji Bezpieczeństwa Wewnętrznego; 6) Dyrektorowi Rządowego Centrum Bezpieczeństwa; 7) Szefowi Biura Bezpieczeństwa Narodowego; 8. Informacje z systemu teleinformatycznego mogą być udostępniane w drodze teletransmisji w zakresie ich właściwości organom właściwym oraz organowi właściwemu do spraw ochrony danych osobowych. 9. Informacje z systemu teleinformatycznego mogą być udostępniane w drodze teletransmisji operatorom usług kluczowych oraz dostawcom usług cyfrowych posiadających główną siedzibę na terenie Rzeczypospolitej Polskiej albo którzy ustanowili w Rzeczypospolitej Polskiej przedstawiciela w zakresie ich właściwości. 10. Informacje z systemu teleinformatycznego udostępnia się w drodze teletransmisji do CSIRT sektorowych, CSIRT wewnętrznych lub CSIRT komercyjnych w zakresie niezbędnym do zapobiegania, wykrywania, przeciwdziałania i likwidacji skutków w odniesieniu do incydentów dotyczących podmiotów, którym dany CSIRT udziela wsparcia. 11. CSIRT tworzące CSIRT Narodowy mogą przekazywać komunikaty na podstawie informacji z systemu teleinformatycznego, w niezbędnym zakresie, do publicznej wiadomości, o ile przekazywanie tych informacji przyczyni się do zwiększenia cyberbezpieczeństwa systemów teleinformatycznych użytkowanych przez obywateli i przedsiębiorców. Rozdział 6 Strona 9 z 19

10 CSIRT sektorowe, CSIRT wewnętrzne oraz CSIRT komercyjne Art CSIRT sektorowe realizują zadania na rzecz przeciwdziałania zagrożeniom cyberbezpieczeństwa o charakterze sektorowym oraz zapewniają koordynację obsługi incydentów w ramach tego sektora lub jego części, a także uczestniczą w ćwiczeniach w zakresie cyberbezpieczeństwa uruchamianych na poziomie krajowym i w Unii Europejskiej. 2. CSIRT komercyjne realizują zadania na rzecz przeciwdziałania zagrożeniom cyberbezpieczeństwa dla obsługiwanych operatorów usług kluczowych lub dostawców usług cyfrowych. 3. CSIRT wewnętrzne realizują zadania na rzecz przeciwdziałania zagrożeniom cyberbezpieczeństwa dla operatorów usług kluczowych lub dostawców usług cyfrowych, w ramach których funkcjonują. 4. CSIRT, o których mowa w ust. 1-3, w zakresie swojej właściwości, w szczególności: 1) zbierają informacje o zagrożeniach cyberbezpieczeństwa wywołujących lub mogących wywołać incydenty; 2) zbierają informacje o zaistniałych incydentach; 3) wprowadzają informacje do rejestru incydentów; 4) zbierają informacje o poziomie ryzyka wystąpienia incydentu; 5) agregują i korelują pozyskiwane informacje w celu określenia ryzyka wystąpienia incydentu; 6) generują syntetyczną informację o poziomie ryzyka; 7) prognozują skutki materializacji zagrożeń cyberbezpieczeństwa. Art Usługi CSIRT sektorowego i CSIRT komercyjnego, mogą świadczyć podmioty spełniające wymogi określone w przepisach wydanych na podstawie ust. 3, posiadające poświadczenie bezpieczeństwa przemysłowego co najmniej III stopnia oraz wpisane do rejestru CSIRT, o którym mowa w art CSIRT wewnętrzne są obowiązane spełniać wymogi określone w przepisach wydanych na podstawie ust Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia, wymagania dla CSIRT, uwzględniając potrzebę zapewnienia wysokiej dostępności usług łączności, bezpieczeństwa fizycznego i środowiskowego, ciągłości działania oraz wspierania przyjmowania i wykorzystywania wspólnych lub znormalizowanych praktyk w odniesieniu do procedur postepowania w przypadku incydentu i wystąpienia ryzyka oraz systemów klasyfikacji incydentów, ryzyka i informacji. Minister wydając rozporządzenie może powołać się na Polskie Normy. Art Minister właściwy do spraw informatyzacji prowadzi rejestr CSIRT. 2. Do rejestru CSIRT wpisywane są podmioty zamierzające świadczyć usługi CSIRT sektorowych oraz CSIRT komercyjnych. 3. Rejestr CSIRT obejmuje następujące informacje: 1) nazwę CSIRT; 2) adres siedziby; 3) numer REGON, jeżeli został nadany; 4) numer w Krajowym Rejestrze Sądowym, jeżeli został nadany; 5) listę obsługiwanych przez dany CSIRT sektorów; 6) listę obsługiwanych przez dany CSIRT operatorów usług kluczowych; 7) datę rozpoczęcia świadczenia usługi CSIRT; 8) datę zakończenia świadczenia usługi CSIRT. Strona 10 z 19

11 4. Podmiot zamierzający świadczyć usługi CSIRT składa do ministra właściwego do spraw informatyzacji wniosek o wpisanie do rejestru CSIRT, zawierający informacje, o których mowa w ust. 3 pkt Minister właściwy do spraw informatyzacji wydaje decyzję o wpisaniu do rejestru CSIRT podmiotu zamierzającego świadczyć usługi CSIRT. Art Minister właściwy do spraw informatyzacji wykreśla CSIRT sektorowy lub CSIRT komercyjny z rejestru CSIRT w drodze decyzji. 2. Minister właściwy do spraw informatyzacji wydaje decyzję o wykreśleniu z rejestru w przypadku: 1) negatywnego wyniku kontroli, o której mowa w art. 35 ust. 2 pkt 1; 2) utraty poświadczenia bezpieczeństwa przemysłowego co najmniej III stopnia; 3) zaprzestania działalności; 4) zaprzestania świadczenia usług CSIRT; 5) złożenia przez CSIRT wniosku o wykreślenie z rejestru CSIRT. 3. Decyzja o wykreśleniu CSIRT z rejestru podlega natychmiastowemu wykonaniu. Przepisu art pkt 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi nie stosuje się. Rozdział 7 Organy właściwe do spraw cyberbezpieczeństwa Art Organami właściwymi są: 1) dla sektora bankowego i infrastruktury rynków finansowych minister właściwy do spraw instytucji finansowych; 2) dla sektora telekomunikacyjnego oraz infrastruktury cyfrowej minister właściwy do spraw informatyzacji; 3) dla sektora transportu z wyłączeniem podsektora transportu wodnego minister właściwy do spraw transportu; 4) dla podsektora transportu wodnego minister właściwy do spraw gospodarki morskiej i żeglugi śródlądowej; 5) dla sektora energetycznego minister właściwy do spraw energii; 6) dla sektora służby zdrowia minister właściwy do spraw zdrowia; 7) dla sektora poboru, uzdatniania i dostarczania wody pitnej oraz odprowadzania i oczyszczania ścieków minister właściwy do spraw środowiska. 2. Organem właściwym dla dostawców usług cyfrowych jest minister właściwy do spraw informatyzacji. 3. Ministrowie, o których mowa w ust. 1, mogą powierzyć funkcje organu właściwego podległym lub nadzorowanym jednostkom organizacyjnym. Art. 28. Organem właściwym dla operatorów usług kluczowych z sektora administracji publicznej świadczących: 1) usługi kluczowe dla działu administracji rządowej jest minister kierujący tym działem administracji rządowej; 2) usługi kluczowe, używane do realizacji zadań publicznych: a) w jednostkach samorządu terytorialnego i ich związkach oraz w tworzonych lub prowadzonych przez te jednostki samorządowych osobach prawnych i innych samorządowych jednostkach organizacyjnych jest właściwy wojewoda, Strona 11 z 19

12 b) w podmiotach publicznych podległych lub nadzorowanych przez organy administracji rządowej jest organ administracji rządowej nadzorujący dany podmiot publiczny, c) w podmiotach administracji rządowej niewymienionych w lit. a i b minister właściwy do spraw informatyzacji. Art. 29. Organy właściwe dla operatorów usług kluczowych będących przedsiębiorcami, o których mowa w art. 5 ust. 1 pkt 1: 1) prowadzą analizę usług świadczonych w danym sektorze pod kątem uznania ich za usługi kluczowe; 2) prowadzą analizę podmiotów w danym sektorze pod kątem ich uznania za operatorów usług kluczowych lub odebrania im statusu operatorów usług kluczowych; 3) wydają decyzje o uznaniu podmiotów za operatorów usług kluczowych lub decyzje o odebraniu podmiotom statusu operatorów usług kluczowych; 4) przekazują zgłoszenia do ministra właściwego do spraw informatyzacji o wpisanie usługi do wykazu usług kluczowych lub wykreślenie z wykazu; 5) niezwłocznie przekazują zgłoszenia do ministra właściwego do spraw informatyzacji o wpisanie do wykazu operatorów usług kluczowych lub wykreślenie z wykazu; 6) mogą prowadzić współpracę z właściwymi organami państw członkowskich Unii Europejskiej za pośrednictwem pojedynczego punktu kontaktowego; 7) przetwarzają informacje dotyczące świadczonych usług kluczowych oraz operatorów usług kluczowych; 8) przygotowują rekomendacje do działań mających na celu wzmocnienie cyberbezpieczeństwa, w tym wytyczne sektorowe dotyczących zgłaszania incydentów; 9) uczestniczą w ćwiczeniach w zakresie cyberbezpieczeństwa uruchamianych na poziomie krajowym i w Unii Europejskiej. Art Organy właściwe dla sektora administracji publicznej, zgodnie z właściwością określoną w art. 28: 1) prowadzą analizę usług pod kątem uznania ich za usługi kluczowe; 2) prowadzą analizę podmiotów pod kątem ich uznania za operatorów usług kluczowych; 3) realizują zadania, o którym mowa w art. 29 pkt 6-9. Art Organy właściwe, we współpracy z pojedynczym punktem kontaktowym, na bieżąco rozpoznają potencjalnych transgranicznych operatorów usług kluczowych, badając, czy operatorzy spełniają wymogi określone w przepisach wydanych na podstawie art. 5 ust. 2 i Operator usług kluczowych jest uznawany za transgranicznego operatora usług kluczowych, jeśli świadczy usługi kluczowe w dwóch lub większej liczbie państw członkowskich Unii Europejskiej. 3. W celu uznania operatora usług kluczowych za operatora transgranicznego organ właściwy prowadzi uzgodnienia z organami właściwymi państw członkowskich Unii Europejskiej, na których terenie operator świadczy usługi kluczowe. 4. Organ właściwy w uzgodnieniach, o których mowa w ust. 3, przedstawia stanowisko uzgodnione z pojedynczym punktem kontaktowym. 5. W przypadku, gdy operator zlokalizowany na terytorium innego państwa członkowskiego Unii Europejskiej, który nie został rozpoznany jako transgraniczny operator usługi kluczowej, świadczy usługi kluczowe na terenie Rzeczpospolitej Polskiej, organ właściwy informuje pojedynczy punkt kontaktowy o zamiarze przeprowadzenia uzgodnień na ten temat. Strona 12 z 19

13 6. Na podstawie uzgodnień, o których mowa w ust. 3, organ właściwy wydaje decyzję dotyczącą uznania danego operatora usług kluczowych za transgranicznego operatora usług kluczowych. Rozdział 8 Pojedynczy Punkt Kontaktowy Art. 32. Minister właściwy do spraw informatyzacji prowadzi pojedynczy punkt kontaktowy, do którego zadań należy: 1) monitorowanie wdrażania Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej oraz realizacji planów działań na rzecz jej wdrożenia; 2) rekomendowanie obszarów współpracy sektora publicznego z sektorem prywatnym w celu zwiększenia cyberbezpieczeństwa Rzeczypospolitej Polskiej poprzez upowszechnienia partnerstwa publiczno-prywatnego; 1) koordynacja udziału w ćwiczeniach w zakresie cyberbezpieczeństwa na poziomie krajowym i Unii Europejskiej; 2) inicjowanie działań edukacyjnych mających na celu podnoszenie świadomości na temat cyberbezpieczeństwa; 3) prowadzenie polityki informacyjnej dotyczącej krajowego systemu cyberbezpieczeństwa; 4) zapewnienie reprezentacji Rzeczypospolitej Polskiej w Grupie Współpracy; 5) zapewnienie współpracy z Komisją Europejską w dziedzinie cyberbezpieczeństwa; 6) koordynacja współpracy między organami właściwymi w Rzeczpospolitej Polskiej i organami właściwymi państw członkowskich Unii Europejskiej; 7) koordynacja współpracy pomiędzy organami właściwymi i organami władzy publicznej w Rzeczpospolitej Polskiej z odpowiednimi organami w państwach członkowskich Unii Europejskiej; 8) koordynacja współpracy i wymiany informacji pomiędzy organami właściwymi, CSIRT tworzącymi CSIRT Narodowy i innymi organami władzy publicznej na potrzeby Grupy Współpracy oraz Sieci CSIRT. Art Pojedynczy punkt kontaktowy przekazuje Grupie Współpracy: 1) informacje, o których mowa w art. 21 ust. 1 pkt 12; 2) dobre praktyki związane ze zgłaszaniem incydentów, o których mowa w art. 21 ust. 1 pkt 13; 3) propozycje do programu pracy Grupy Współpracy; 4) dobre praktyki krajowe dotyczące podnoszenia świadomości i szkoleń, polityk z zakresu badań i rozwoju; 5) dobre praktyki w odniesieniu do identyfikowania operatorów usług kluczowych w tym w odniesieniu do transgranicznych zależności, dotyczących ryzyk i incydentów. 2. Informacje, o których mowa w ust. 1 nie obejmują informacji, które dotyczą bezpieczeństwa narodowego oraz porządku publicznego. 3. Pojedynczy punkt kontaktowy przekazuje właściwym organom krajowym, CSIRT tworzącym CSIRT Narodowy, narodowemu centrum cyberbezpieczeństwa oraz innym organom administracji rządowej informacje pochodzące z Grupy Współpracy dotyczące: 1) ocen krajowych strategii państw członkowskich w zakresie cyberbezpieczeństwa oraz skuteczności CSIRT, a także określanie dobrych praktyk; 2) prac podjętych w odniesieniu do ćwiczeń dotyczących cyberbezpieczeństwa, europejskich programów edukacyjnych i szkoleń, w tym prac wykonywanych przez Europejską Agencję ds. Bezpieczeństwa Sieci i Informacji (ENISA); 3) wytycznych o charakterze strategicznym dotyczących działalności Sieci CSIRT; Strona 13 z 19

14 4) dobrych praktyk dotyczących wymiany informacji związanych z zgłaszaniem przez operatorów usług kluczowych i dostawców usług cyfrowych poważnych incydentów w Unii Europejskiej; 5) dobrych praktyk w krajach członkowskich Unii Europejskiej dotyczących podnoszenia świadomości i szkolenia, polityk z zakresu badań i rozwoju; 6) dobrych praktyk w odniesieniu do identyfikowania operatorów usług kluczowych przez państwa członkowskie Unii Europejskiej, w tym w odniesieniu do transgranicznych zależności, dotyczących ryzyk i incydentów. Art. 34. Pojedynczy punkt kontaktowy przekazuje Komisji Europejskiej: 1) niezwłocznie informacje: a) o wyznaczonych organach właściwych, pojedynczym punkcie kontaktowym, o ich zadaniach oraz wszelkich późniejszych zmianach w tym zakresie, b) o przepisach dotyczących kar pieniężnych dotyczących krajowego systemu cyberbezpieczeństwa; 2) co roku informacje: a) o liczbie operatorów usług kluczowych w odniesieniu do których prowadzono z pojedynczymi punktami kontaktowymi państw członkowskich Unii Europejskiej rozmowy na temat uznania operatorów usług kluczowych mających siedzibę w innym państwie członkowskim Unii Europejskiej za transgranicznych operatorów usług kluczowych, b) o zlokalizowanych na terytorium Rzeczypospolitej Polskiej transgranicznych operatorach usług kluczowych, oraz o liczbie państw członkowskich Unii Europejskiej, w których świadczą oni usługi kluczowe; 3) co 2 lata informacje, umożliwiające ocenę wdrażania dyrektywy, obejmujące w szczególności: a) krajowe środki umożliwiające identyfikację operatorów usług kluczowych, b) wykaz usług kluczowych, c) liczbę zidentyfikowanych operatorów usług kluczowych w każdym z sektorów, o którym mowa w załączniku do ustawy, oraz wskazanie ich znaczenia w odniesieniu do tego sektora, d) progi kwalifikacji podmiotów jako operatorów usług kluczowych, określone w przepisach wydanych na podstawie art. 5 ust. 2 i 3. 4) informacje o zakresie kompetencji CSIRT, wpisanych do rejestru, o którym mowa w art. 25, w tym o głównych elementach procedur postępowania w przypadku wystąpienia incydentu. Rozdział 9 Nadzór i kontrola Art Nadzór w zakresie stosowania przepisów ustawy dotyczy: 1) świadczenia przez CSIRT sektorowe i CSIRT komercyjne usług na odpowiednim poziomie, sprawowany przez ministra właściwego do spraw informatyzacji; 2) wykonywania przez operatorów usług kluczowych obowiązków dotyczących przeciwdziałania zagrożeniom cyberbezpieczeństwa i zgłaszania incydentów, związanych ze świadczonymi usługami kluczowymi, sprawowany przez organy właściwe i ministra właściwego do spraw informatyzacji; 3) spełniania przez dostawców usług cyfrowych wymogów w zakresie przeciwdziałania zagrożeniom cyberbezpieczeństwa i zgłaszania incydentów związanych ze świadczonymi usługami cyfrowymi, sprawowany przez organ właściwy dla dostawców cyfrowych. Strona 14 z 19

15 2. W ramach nadzoru, o którym mowa w ust. 1 pkt. 1, minister właściwy do spraw informatyzacji: 1) prowadzi kontrole w zakresie prawidłowej obsługi incydentów oraz spełniania wymogów, o których mowa w art. 25; 2) wydaje decyzje o wpisanie do rejestru CSIRT podmiotów zamierzających świadczyć usługi CSIRT oraz wydaje decyzje o wykreśleniu z tego rejestru; 3) nakłada kary pieniężne. 3. W ramach nadzoru, o którym mowa w ust. 1 pkt 2, minister właściwy do spraw informatyzacji prowadzi: 1) wykaz usług kluczowych; 2) wykaz operatorów usług kluczowych; 3) rejestr poważnych incydentów. 4. W ramach nadzoru, o którym mowa w ust. 1 pkt 2, organy właściwe: 1) prowadzą kontrole w zakresie spełniania przez operatorów usług kluczowych obowiązków w zakresie cyberbezpieczeństwa; 2) w przypadku wystąpienia poważnego incydentu mogą zlecać przeprowadzanie audytu; 3) nakładają kary pieniężne. 5. W ramach nadzoru, o którym mowa w ust. 1 pkt 3, będącego nadzorem następczym, organ właściwy bada zgodność dokumentacji dotyczącej cyberbezpieczeństwa pod względem zgodności z decyzją wykonawczą Komisji 2017/XX/UE. 6. Minister właściwy do spraw informatyzacji oraz organy właściwe realizując czynności nadzoru są uprawnieni do żądania niezwłocznego udostępnienia niezbędnych dokumentów. Art Do kontroli, o której mowa w art. 35 ust. 2 pkt 1, stosuje się przepisy rozdziału 5 ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej. 2. Do kontroli, o której mowa w art. 35 ust. 4 pkt 1, realizowanej wobec operatorów usług kluczowych będących przedsiębiorcami, o których mowa w art. 5 ust. 1 pkt 1, stosuje się przepisy rozdziału 5 ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej. 3. Do kontroli, o której mowa w art. 35 ust. 4 pkt 1, realizowanej wobec operatorów usług kluczowych, o których mowa w art. 5 ust. 1 pkt 2-4, stosuje się odpowiednio przepisy o kontroli w administracji rządowej, określające zasady i tryb przeprowadzania kontroli. 4. Jeżeli kontrola dotyczy incydentu, który doprowadził do naruszenia ochrony danych osobowych, organy właściwe mogą prowadzić kontrolę we współpracy z organem właściwym do spraw ochrony danych osobowych. Art W kontrolach operatorów usług kluczowych biorą udział przedstawiciele organów właściwych, spośród których przynajmniej jedna osoba posiada co najmniej jeden z certyfikatów, o których mowa w ust Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia, wykaz certyfikatów uprawniających do prowadzenia kontroli operatorów usług kluczowych w zakresie cyberbezpieczeństwa, uwzględniając konieczność udziału w kontrolach osób posiadających wiedzę i kwalifikację z zakresu cyberbezpieczeństwa. Art W przypadku wystąpienia poważnego incydentu organ właściwy może zobowiązać operatora usługi kluczowej do zlecenia przeprowadzenia audytu w zakresie zgodności działalności operatora usługi kluczowej z wymaganiami zawartymi w ustawie. 2. Zlecenie audytu określonego w ust. 1 może zostać udzielone także bezpośrednio przez organ właściwy. Koszty audytu ponosi wówczas organ właściwy. Strona 15 z 19

16 3. Audytorzy nie mogą prowadzić działalności gospodarczej konkurencyjnej do audytowanego operatora usług kluczowych, być wspólnikami albo akcjonariuszami operatora usługi kluczowej ani wykonywać obowiązków osoby reprezentującej lub członka rady nadzorczej albo komisji rewizyjnej tego operatora, a także pozostawać z tym operatorem w stosunku pracy, zlecenia lub innym stosunku prawnym o podobnym charakterze. 4. Audytorzy są uprawnieni do: 1) dostępu do materiałów, dokumentów oraz innych danych niezbędnych do przeprowadzenia audytu, a także sporządzania ich kopii; 2) wstępu do wszystkich obiektów i nieruchomości oraz pomieszczeń audytowanego podmiotu; 3) przetwarzania danych osobowych w zakresie objętym przedmiotem audytu; 4) prowadzenia oględzin systemów teleinformatycznych oraz innych składników majątkowych związanych ze świadczeniem usług kluczowych, a także sprawdzenia przebiegu czynności związanych ze świadczeniem tych usług, 5) zabezpieczania dokumentów i innych materiałów, z zachowaniem przepisów o ochronie informacji niejawnych i innych informacji prawnie chronionych. 5. Upoważniony przedstawiciel audytowanego operatora usługi kluczowej niezwłocznie udziela wyjaśnień lub przedkłada, na żądanie audytora dokumenty i inne materiały niezbędne do przeprowadzenia audytu. 6. Wyniki audytu audytor przedkłada organowi właściwemu, który podejmuje stosowne działania określone w ustawie. 7. Audytorzy są obowiązani do bezterminowego zachowania w tajemnicy informacji uzyskanych w związku z przeprowadzanym audytem, z zachowaniem przepisów o ochronie informacji niejawnych i innych informacji prawnie chronionych. Art Organ właściwy dla dostawców usług cyfrowych sprawuje nadzór w zakresie zgłaszania incydentów oraz wykonywania kontroli następczej w przypadku zaistnienia incydentu, o którym mowa w decyzji wykonawczej Komisji 2017/XX/UE. 2. W przypadku, gdy organ właściwy dla dostawców usług cyfrowych uzyska informację, że dostawca usług cyfrowych, który nie posiada głównej siedziby na terytorium Rzeczypospolitej Polskiej, bądź nie ustanowił przedstawiciela na terytorium Rzeczypospolitej Polskiej, nie spełnia wymagań określonych w decyzji wykonawczej Komisji 2017/XX/UE, przekazuje informacje do organu właściwego w innym państwie członkowskim Unii Europejskiej, na terytorium, którego posiada główną siedzibę bądź został wyznaczony przedstawiciel. 3. W ramach sprawowanego nadzoru, o którym mowa w ust. 1, organ właściwy jest uprawniony do żądania niezwłocznego udostępnienia wszystkich niezbędnych informacji w zakresie: 1) oceny cyberbezpieczeństwa dostawców usług cyfrowych, w tym dokumentów dotyczących polityki w zakresie cyberbezpieczeństwa; 2) eliminowania wszelkich przypadków niespełnienia wymogów określonych w decyzji wykonawczej Komisji Europejskiej nr 2017/XX/UE; 3) podjętych działań mających na celu obsługę incydentu. Rozdział 10 Strategia Cyberbezpieczeństwa Rzeczypospolitej Polskiej Art Rada Ministrów przyjmuje w drodze uchwały Strategię Cyberbezpieczeństwa Rzeczypospolitej Polskiej, zwaną dalej Strategią. Strona 16 z 19

17 2. Strategia określa cele strategiczne oraz odpowiednie środki polityczne i regulacyjne, mające na celu osiągnięcie i utrzymanie wysokiego poziomu cyberbezpieczeństwa, oraz obejmujące sektory, o których mowa w załączniku do ustawy oraz usługi cyfrowe. 3. Strategia uwzględnia w szczególności: 1) cele w zakresie cyberbezpieczeństwa; 2) podmioty zaangażowane we wdrażanie strategii; 3) środki służące realizacji celów Strategii; 4) określenie środków w zakresie gotowości, reagowania i przywracania stanu normalnego, w tym zasady współpracy pomiędzy sektorami publicznym i prywatnym; 5) podejście do oceny ryzyka; 6) działania odnoszące się do programów edukacyjnych, informacyjnych i szkoleniowych dotyczących cyberbezpieczeństwa; 7) działania odnoszące się do planów badawczo-rozwojowych w zakresie cyberbezpieczeństwa; 8) kierunki współpracy międzynarodowej w zakresie cyberbezpieczeństwa. 4. Projekt Strategii opracowuje minister właściwy do spraw informatyzacji we współpracy z ministrami i właściwymi kierownikami urzędów centralnych. 5. Strategia ustalana jest na okres pięcioletni z możliwością wprowadzenia zmian w okresie jej obowiązywania. 6. Minister właściwy do spraw informatyzacji we współpracy z ministrami i właściwymi kierownikami urzędów centralnych dokonuje przeglądu Strategii co dwa lata. 7. Minister właściwy do spraw informatyzacji przekazuje Komisji Europejskiej Strategię w terminie trzech miesięcy po przyjęciu przez Radę Ministrów. Rozdział 11 Przepisy o karach pieniężnych Art Karze pieniężnej podlega kierownik podmiotu będącego operatorem usługi kluczowej, który: 1) nie poinformował organu właściwego o zmianie danych o której mowa w art. 11 ust. 1; 2) nie ustanowił osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług kluczowych, o której mowa w art. 14 ust. 1 pkt. 1; 3) nie wykonuje obowiązków wynikających z art. 13; 4) nie objął ochroną usługi kluczowej przez usługi CSIRT; 5) nie opracował dokumentacji, o której mowa w art. 11 ust. 1 pkt. 3; 6) nie przekazuje do systemu teleinformatycznego, o którym mowa w art. 22, informacji o zaistniałych incydentach lub podejrzeniu wystąpienia incydentu; 7) nie obsługuje incydentów związanych ze świadczonymi usługami kluczowymi oraz nie współpracuje w tym zakresie z właściwymi zespołami CSIRT; 8) nie zapewnia użytkownikowi usługi dostępu do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania; 9) nie opracował planu zapewnienia cyberbezpieczeństwa, o którym mowa w art. 14 ust. 1 pkt 2; 10) nie usunął w terminie określonym w wezwaniu, o którym mowa w art. 20 ust. 2, stwierdzonych nieprawidłowości w prowadzonej przez siebie działalności; 11) nie udziela informacji lub nie udostępnia dokumentów w przypadku, o którym mowa w art. 35 ust. 6; 12) uniemożliwia lub utrudnia kontrolerowi wykonywanie czynności kontrolnych, o których mowa w art. 36; 13) uniemożliwia lub utrudnia audytorowi wykonywanie czynności audytowych, o których Strona 17 z 19