Wykaz skrótów... Wykaz literatury... Wprowadzenie...

Podobne dokumenty
Nowa Strategia Cyberbezpieczeństwa RP na lata główne założenia i cele

dr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo

Miejsce NASK w systemie cyberbezpieczeństwa państwa. Juliusz Brzostek Dyrektor NC Cyber NASK Państwowy Instytut Badawczy

Ustawa o Krajowym Systemie Cyberbezbieczeństwa

Poradnik dla samorządów - ustawa o krajowym systemie cyberbezpieczeństwa

USTAWA. z dnia. o krajowym systemie cyberbezpieczeństwa. Rozdział 1. Przepisy ogólne

Warszawa, dnia 13 sierpnia 2018 r. Poz. 1560

Krajowy System Cyberbezpieczeństwa. Krzysztof Silicki p.o. Dyrektora NASK PIB, Wiceprzewodniczący Rady Zarządzającej ENISA

z dnia. o krajowym systemie cyberbezpieczeństwa

Analiza Ustawa o krajowym systemie cyberbezpieczeństwa 27 sierpnia 2018

Funkcjonowanie KSC oraz plany jego rozwoju. Tomasz Wlaź

z dnia. o krajowym systemie cyberbezpieczeństwa 1) Rozdział 1 Przepisy ogólne

Miejsce NC Cyber w systemie bezpieczeństwa teleinformatycznego państwa

Ustawa o krajowym systemie cyberbezpieczeństwa

Plan działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP

REALIZACJA PRZEZ PODMIOTY PAŃSTWOWE ZADAŃ W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP. Wstępne wyniki kontroli przeprowadzonej w 2014 r.

2. Proces tworzenie wewnętrznego systemu ochrony danych osobowych przedsiębiorcy. 3. Postanowienia dyrektywy 95/46/WE, które pozostaną aktualne

Spis treści Przedmowa Wykaz skrótów Ustawa o kontroli skarbowej Rozdział 1. Przepisy ogólne

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Spis treści. Wykaz skrótów... Wprowadzenie...

Krajowe Ramy Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata znaczenie i najbliższe działania

Nowe obowiązki przedsiębiorców w zakresie cyberbezpieczeństwa.

SZCZEGÓŁOWY HARMONOGRAM KURSU

Polityka Ochrony Cyberprzestrzeni RP

Spis treści. Przedmowa... Wykaz skrótów... Komentarz Ustawa o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji

Kto zapłaci za cyberbezpieczeństwo przedsiębiorstwa?

Warszawa, dnia 4 lutego 2019 r. Pozycja 13

DZIENNIK URZĘDOWY. Warszawa, dnia 15 lutego 2019 r. Poz. 7. ZARZĄDZENIE Nr 7 MINISTRA GOSPODARKI MORSKIEJ I ŻEGLUGI ŚRÓDLĄDOWEJ 1)

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Wrocław, Wrocław - Centrum miasta. Koszt szkolenia: 1790.

USTAWA O KRAJOWYM SYSTEMIE CYBERBEZPIECZEŃSTWA

Wykaz skrótów... Wykaz literatury... Wprowadzenie... Część I. Komentarz do ustawy o ponownym wykorzystywaniu informacji sektora publicznego...

1. Planowanie i organizowanie świadczeń rzeczowych i osobistych niezbędnych do wykonywania zadań obronnych obejmuje:

ABI potrzebny i przydatny Zakres i sposób wykonywania zadań ABI w praktyce. Andrzej Rutkowski

Dziennik Urzędowy Unii Europejskiej

3) urzędów wojewódzkich oraz urzędów stanowiących aparat pomocniczy terenowych organów niezespolonej administracji rządowej;

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Wykaz skrótów... Wykaz literatury... O Autorach... Wstęp... XXIII

Zarządzenie nr 52 Rektora Uniwersytetu Jagiellońskiego z 19 lipca 2019 roku

Spis treści. Art. 7d. Pozyskiwanie informacji przez organy kontroli skarbowej. od podmiotów gospodarczych

Zarządzenie nr 100 /2011

DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ

ABI nie tylko audytor i koordynator. Wykonywanie przez ABI innych obowiązków niż określone w ustawie o ochronie danych osobowych.

Szkolenie otwarte 2016 r.

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Ministerstwo Cyfryzacji

ZARZĄDZENIE Nr 12/2019 WÓJTA GMINY STANISŁAWÓW z dnia 15 lutego 2019 r. w sprawie zmiany Regulaminu Organizacyjnego Urzędu Gminy Stanislawów

Wpływ nowych regulacji prawnych na dopuszczalność outsourcingu procesów biznesowych.

Wojewódzkie centra. zarządzania kryzysowego.

Szkolenie. Funkcja Administratora Bezpieczeństwa Informacji po deregulacji. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Zaufanie i bezpieczeństwo w Europejskiej Agendzie Cyfrowej. Od idei do wdrożenia. Sesja Europejska droga do nowego ładu informacyjnego

Zasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin

Warszawa, dnia 13 sierpnia 2013 r. Poz. 927 OBWIESZCZENIE PREZESA RADY MINISTRÓW. z dnia 29 kwietnia 2013 r.

Uzasadnienie I. Potrzeba i cel regulacji

Warszawa, dnia 13 lipca 2012 r. Poz. 45. ZARZĄDZENIE Nr 45 MINISTRA TRANSPORTU, BUDOWNICTWA I GOSPODARKI MORSKIEJ. z dnia 13 lipca 2012 r.

OBOWIĄZKI I ODPOWIEDZIALNOŚĆ ZA ZADANIA ZWIĄZANE Z OCHRONĄ DANYCH OSOBOWYCH W SZKOLE GŁÓWNEJ HANDLOWEJ W WARSZAWIE

Ustawa o krajowym systemie cyberbezpieczeństwa - ciągłość świadczenia usług kluczowych.

DZIENNIK URZĘDOWY MINISTRA KULTURY I DZIEDZICTWA NARODOWEGO. Warszawa, dnia 29 września 2014 r. Pozycja 38

Warszawa, dnia 6 maja 2015 r. Poz. 16 M I N I S T R A S P R AW Z A G R A N I C Z N Y C H 1) z dnia 6 maja 2015 r.

ZARZĄDZENIE Nr 63/2011 MINISTRA NAUKI I SZKOLNICTWA WYŻSZEGO 1) z dnia 18 sierpnia 2011 r.

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne.

Spis treści. Przedmowa... Wykaz skrótów... Literatura... Komentarz... 1

Monitoring stanu zagrożeń dla bezpieczeństwa teleinformatycznego Polski

Warunki organizacyjne Zarówno podmiot, który świadczy usługi z zakresu cyberbezpieczeństwa, jak i wewnętrzna struktura operatora

Warszawa, dnia 12 maja 2016 r. Poz. 20

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

Warszawa, dnia 21 lipca 2016 r. Poz. 1076

Opis systemu kontroli wewnętrznej w mbanku S.A.

Spis treści. Przedmowa... Wykaz skrótów... Literatura...

DZIENNIK URZĘDOWY. Warszawa, 17 kwietnia 2019 r. Poz. 20. ZARZĄDZENIE Nr 20 MINISTRA GOSPODARKI MORSKIEJ I ŻEGLUGI ŚRÓDLĄDOWEJ 1)

Warszawa, 2 września 2013 r.

Załącznik Nr 4 Do Załącznika Nr 7 Do SIWZ [WZORU UMOWY]

DZIENNIK URZĘDOWY KOMENDY GŁÓWNEJ STRAŻY GRANICZNEJ

ZARZĄDZENIE NR 111/2011 PREZYDENTA MIASTA TOMASZOWA MAZOWIECKIEGO z dnia 2 maja 2011 roku

Inspektor Ochrony Danych w podmiotach publicznych

5 Kierownicy jednostek organizacyjnych w ramach wykonywanych zadań obronnych zobowiązani są do:

PROGRAM TRZYDNIOWEGO KURSU DLA IOD - JAK DOSTOSOWAĆ ORGANIZACJĘ DO WYMOGÓW OGÓLNEGO ROZPORZĄDZENIA O OCHRONIE DANYCH (RODO/GDPR)

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ

WYTYCZNE DOTYCZĄCE MINIMALNEGO WYKAZU USŁUG I INFRASTRUKTURY EBA/GL/2015/ Wytyczne

Umowa powierzenia przetwarzania danych osobowych zawarta w dniu 2018 r. pomiędzy:

Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A.

ZARZĄDZENIE NR 130/2012 BURMISTRZA WŁODAWY z dnia 18 grudnia 2012 r.

Zarządzenie Nr W ojewody Dolnośląskiego z dnia sierpnia 2016 r.

Nowe obowiązki przedsiębiorców w zakresie cyberbezpieczeństwa.

Założenia projektu ustawy o zmianie niektórych ustaw, w związku z pozyskiwaniem i wykorzystywaniem danych telekomunikacyjnych. Warszawa, maj 2012 r.

"Rozporządzenie GDPR w praktyce e-administracji oraz biznesu w Polsce i UE" dr Magdalena Marucha-Jaworska Expert of Innovations and New Technology

Krok w przyszłość od biurokratycznej irracjonalności do kompleksowego zarządzania jakością

USTAWA. z dnia 23 grudnia 1994 r. o Najwyższej Izbie Kontroli

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

Polityka prywatności serwisu medycynapolska.pl. 1. Dane operatora serwisu :

Reforma ochrony danych osobowych RODO/GDPR

Na podstawie art ustawy z dnia 2016 r.. o ochronie ludności (Dz. U. z r. Nr.), ustala się co następuje:

UCHWAŁA NR XLIX/1221/13 RADY MIEJSKIEJ WROCŁAWIA z dnia 17 października 2013 r.

Ogólne zasady organizacji i wykonywania zadań oraz plan realizacji zadań w ramach powszechnego obowiązku obrony w 2013 roku.

Zarządzenie Nr 6/2012 Rektora Uniwersytetu Wrocławskiego z dnia 25 stycznia 2012 r.

Załącznik do obwieszczenia Prezesa Rady Ministrów z dnia 15 lipca 2015 r. Rozporządzenie. Rady Ministrów. z dnia 3 listopada 2009 r.

DZIENNIK URZĘDOWY. Warszawa, dnia 23 października 2015 r. Poz. 19 ZARZĄDZENIE NR 19 SZEFA AGENCJI BEZPIECZEŃSTWA WEWNĘTRZNEGO

Kontrola zarządcza stanowi ogół działań podejmowanych dla zapewnienia realizacji celów w sposób zgodny z prawem, efektywny, oszczędny i terminowy.

Projekt z dnia z dnia r.

Transkrypt:

Wykaz skrótów... Wykaz literatury... Wprowadzenie... XV XIX XXI Komentarz do ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2018 r. poz. 1560)... 1 Rozdział 1. Przepisy ogólne... 3 Art. 1. [Zakres przedmiotowy ustawy i wyłączenia podmiotowe] (J. Dysarz)... 3 I..Implementacja dyrektywy NIS... 4 II..Zakres obowiązywania ustawy... 5 III..Wyłączenia ustawowe... 5 Art. 2. [Słowniczek] (J. Dysarz)... 6 I..Uwagi ogólne... 8 II..Cyberbezpieczeństwo... 8 III..System teleinformatyczny a system informacyjny... 10 IV..Incydent, rodzaje incydentów... 11 V..Obsługa incydentu, zarządzanie incydentem... 13 VI..Wokół ryzyka: ryzyko, szacowanie ryzyka zarządzanie ryzykiem, zagrożenie cyberbezpieczeństwa, podatność... 14 VII..Zespoły CSIRT... 14 VIII..Usługa kluczowa, usługa cyfrowa... 14 Art. 3. [Cel krajowego systemu cyberbezpieczeństwa] (J. Dysarz)... 17 Art. 4. [Zakres podmiotowy] (W. Wąsowicz)... 18 I..Krajowy system cyberbezpieczeństwa... 19 II..Podmioty publiczne w krajowym systemie cyberbezpieczeństwa... 20 III..Szczególne uprawnienia podmiotów krajowego systemu cyberbezpieczeństwa... 21 Rozdział 2. Identyfikacja i rejestracja operatorów usług kluczowych... 23 Art. 5. [Decyzja o uznaniu podmiotu za operatora usługi kluczowej] (W. Wąsowicz)... 23 I..Definicja operatora usługi kluczowej... 24 II..Postępowanie w przedmiocie uznania za operatora usługi kluczowej... 24 V

VI III..Działalność na terytorium Rzeczpospolitej Polskiej... 25 IV..Sektory podstawowe dla cyberbezpieczeństwa... 26 V..Świadczenie usługi kluczowej... 26 VI..Decyzja o uznaniu za operatora usługi kluczowej... 27 VII..Procedura odwoławcza... 28 Art. 6. [Upoważnienie ustawowe] (W. Wąsowicz)... 30 Art. 7. [Wykaz operatorów usług kluczowych] (W. Wąsowicz)... 31 Rozdział 3. Obowiązki operatorów usług kluczowych... 35 Art. 8. [Obowiązek wdrożenia systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej] (A. Besiekierska)... 37 I..Pojęcie systemu zarządzania bezpieczeństwem w systemie informacyjnym... 38 II..Właściwości systemu zarządzania bezpieczeństwem w systemie informacyjnym... 39 A..Systematyczne szacowanie ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem (art. 8 pkt 1 CyberbezpU)... 39 B..Wdrożenie środków technicznych i organizacyjnych (art. 8 pkt 2 CyberbezpU)... 41 C..Zbieranie informacji o zagrożeniach i podatnościach (art. 8 pkt 3 CyberbezpU)... 47 D..Zarządzanie incydentami (art. 8 pkt 4 CyberbezpU)... 49 E..Stosowanie środków zapobiegających i ograniczających wpływ incydentów (art. 8 pkt 5 CyberbezpU)... 50 F..Stosowanie odpowiednich środków łączności (art. 8 pkt 6 CyberbezpU)... 51 III..Wzorce dla systemu zarządzania bezpieczeństwem w systemie informacyjnym... 53 IV..System zarządzania bezpieczeństwem w systemie informacyjnym a wymogi RODO... 54 Art. 9. [Obowiązek wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa; obowiązek zapewnienia użytkownikowi usługi kluczowej dostępu do wiedzy w zakresie zagrożeń cyberbezpieczeństwa] (A. Besiekierska)... 55 I..Obowiązek wyznaczenia osoby kontaktowej... 56 II..Obowiązek zapewnienia dostępu do wiedzy... 56 III..Obowiązek informacyjny... 58 Art. 10. [Obowiązek opracowania, wdrożenia i aktualizacji dokumentacji cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej] (A. Besiekierska)... 58 I..Charakter dokumentacji... 59 II..Nadzór nad dokumentacją... 59 III..Okres przechowania dokumentacji... 60 IV..Dokumentacja właścicieli infrastruktury krytycznej... 60 V..Dokumentacja zgodnie z DokCyberSysInfR... 60 Art. 11. [Obowiązek obsługi incydentów, zgłaszania incydentów poważnych i współdziałania przy obsłudze incydentu poważnego i incydentu krytycznego] (A. Besiekierska)... 64

I..Uwagi ogólne... 65 II..Obsługa incydentu... 66 III..Zgłaszanie incydentu... 69 Art. 12. [Zgłoszenie incydentu poważnego] (A. Besiekierska)... 70 I..Zakres zgłoszenia incydentu poważnego... 71 II..Tajemnica prawnie chroniona... 71 III..Obsługa incydentów w CyberbezpU a obsługa incydentów w RODO... 73 Art. 13. [Informacje przekazywane do właściwego CSIRT] (A. Besiekierska)... 73 I..Informacje fakultatywne... 74 II..Forma przekazywania informacji... 74 III..Tajemnice prawnie chronione... 74 Art. 14. [Powołanie wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo lub zawarcie umowy z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa] (A. Besiekierska)... 74 I..Uwagi ogólne... 75 II..Wymogi organizacyjne wobec wewnętrznych struktur odpowiedzialnych oraz podmiotów świadczących usługi z zakresu cyberbezpieczeństwa... 76 A..Warunki organizacyjne i techniczne... 76 B..Odpowiednie pomieszczenia... 76 C..Odpowiednie zabezpieczenia... 77 III..Współpraca z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa... 78 Art. 15. [Audyt bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej] (A. Besiekierska)... 79 I..Uwagi ogólne... 81 II..Podmioty uprawnione do przeprowadzenia audytu... 82 III..Obowiązek zachowania poufności przez audytora... 83 IV..Sprawozdanie z audytu... 84 Art. 16. [Terminy realizacji obowiązków przez operatora usługi kluczowej] (A. Besiekierska)... 84 I..Uwagi ogólne... 85 II..Termin trzech miesięcy... 85 III..Termin sześciu miesięcy... 86 IV..Termin roku... 86 Rozdział 4. Obowiązki dostawców usług cyfrowych... 87 Art. 17. [Status i obowiązki dostawcy usługi cyfrowej] (A. Besiekierska)... 88 I..Definicja dostawy usługi cyfrowej... 89 II..Obowiązek podjęcia właściwych i proporcjonalnych środków technicznych i organizacyjnych... 90 III..Obowiązek wyznaczenia przedstawiciela dla podmiotów nieposiadających siedziby w UE... 94 VII

Art. 18. [Obowiązki w zakresie wykrywania, rejestrowania, analizowania oraz klasyfikowania incydentów] (A. Besiekierska)... 95 I..Uwagi ogólne... 96 II..Obsługa incydentu... 96 III..Zgłoszenie incydentu... 98 Art. 19. [Zgłoszenie incydentu istotnego] (A. Besiekierska)... 99 I..Zakres zgłoszenia incydentu istotnego... 100 II..Tajemnice prawnie chronione w zgłoszeniu... 100 Art. 20. [Informacje przekazywane do właściwego CSIRT] (A. Besiekierska)... 100 I..Informacje fakultatywne przekazywane do właściwego zespołu CSIRT... 101 II..Forma przekazywania informacji... 101 Rozdział 5. Obowiązki podmiotów publicznych... 103 Art. 21. [Obowiązek wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa] (A. Besiekierska)... 104 VIII I..Definicja podmiotu publicznego... 104 II..Obowiązek wyznaczenia osoby odpowiedzialnej za utrzymanie kontaktu... 106 Art. 22. [Obowiązki w zakresie zgłaszania i obsługi incydentu w podmiocie publicznym] (A. Besiekierska)... 106 I..Uwagi ogólne... 107 II..Zarządzanie incydentem w podmiocie publicznym... 107 III..Zgłaszanie incydentu w podmiocie publicznym do zespołu CSIRT... 107 IV..Dostęp do informacji... 107 V..Przekazywanie informacji o osobie... 108 Art. 23. [Zgłoszenie incydentu w podmiocie publicznym] (A. Besiekierska)... 108 I..Zakres zgłoszenia incydentu w podmiocie publicznym... 109 II..Tajemnice prawnie chronione w zgłoszeniu... 109 Art. 24. [Zgłoszenie fakultatywne] (A. Besiekierska)... 110 Art. 25. [Przepisy stosowane do podmiotu publicznego uznanego za operatora usługi kluczowej] (A. Besiekierska)... 110 Rozdział 6. Zadania CSIRT MON, CSIRT NASK i CSIRT GOV... 113 Art. 26. [Zadania zespołów CSRIT, podział właściwości rzeczowej, dodatkowe uprawnienia] (J. Dysarz)... 113 I..Rola Zespołu CSIRT w Krajowym Systemie Cyberbezpieczeństwa... 117 II..Zadania zespołów CSIRT... 118 III..Główne elementy procedur postępowania w przypadku incydentu... 119 IV..Szczegółowe zadania CSIRT MON... 119 V..Szczegółowe zadania zespołu CSIRT NASK... 120 VI..Szczegółowe zadania CSIRT GOV... 121

VII..Przekazywanie informacji między zespołami CSIRT... 121 VIII..Finansowanie działalności zespołów CSIRT... 122 IX..Powierzenie zadań... 122 Art. 27. [Wyłączność CSIRT GOV i CSIRT MON w przypadku incydentów o charakterze terrorystycznym cywilnym i wojskowym] (J. Dysarz)... 122 Art. 28. [Przekazywanie informacji o incydencie poważnym] (J. Dysarz)... 123 Art. 29. [Przekazywanie informacji o incydencie istotnym] (J. Dysarz)... 124 Art. 30. [Dobrowolne zgłaszanie incydentów] (J. Dysarz)... 125 Art. 31. [Sposób dokonywania zgłoszeń i informowanie o nim] (J. Dysarz)... 127 Art. 32. [Specjalne uprawnienia techniczne] (J. Dysarz)... 128 Art. 33. [Rekomendacje stosowania sprzętu i oprogramowania] (J. Dysarz)... 129 Art. 34. [Współpraca z organami ścigania i organem właściwym do spraw ochrony danych osobowych] (J. Dysarz)... 131 Art. 35. [Wymiana informacji na temat incydentu krytycznego] (J. Dysarz)... 133 Art. 36. [Koordynacja obsługi incydentu krytycznego] (J. Dysarz)... 134 Rozdział 7. Zasady udostępniania informacji i przetwarzania danych osobowych... 137 Art. 37. [Publikacja informacji o incydentach] (A. Besiekierska)... 137 I..Brak zastosowania DostInfPubU... 138 II..Udostępnienie informacji o incydentach poważnych i istotnych... 138 Art. 38. [Negatywne przesłanki udostępniania informacji przetwarzanych na podstawie ustawy] (A. Besiekierska)... 139 Art. 39. [Dane przetwarzane na podstawie ustawy] (A. Besiekierska)... 139 I..Upoważnienie do przetwarzania danych osobowych... 141 II..Obowiązki związane z przetwarzaniem danych osobowych... 142 Art. 40. [Przetwarzanie danych stanowiących tajemnice prawnie chronione] (A. Besiekierska)... 144 Rozdział 8. Organy właściwe do spraw cyberbezpieczeństwa... 147 Art. 41. [Organy właściwe do spraw cyberbezpieczeństwa dla wybranych sektorów gospodarki] (J. Dysarz)... 147 Art. 42. [Zadania organów właściwych] (J. Dysarz)... 149 I..Uwagi ogólne... 150 II..Zadania związane z wyznaczaniem operatorów... 151 III..Zadania związane z nadzorem... 151 IV..Inne zadania i uprawnienia... 151 V..Możliwość powierzenia... 151 IX

Art. 43. [Wstępna ocena spełnienia wymogów] (J. Dysarz)... 152 Art. 44. [Sektorowe zespoły do spraw cyberbezpieczeństwa] (J. Dysarz)... 153 I..Powoływanie sektorowych zespołów cyberbezpieczeństwa... 154 II..Zadania sektorowych zespołów cyberbezpieczeństwa... 154 Rozdział 9. Zadania ministra właściwego do spraw informatyzacji... 157 Art. 45. [Zadania ministra] (I. Szulc)... 157 I..Zakres odpowiedzialności ministra... 158 A..Monitorowanie wdrażania Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej... 158 B..Współpraca z sektorem prywatnym w celu zapewnienia cyberbezpieczeństwa... 159 C..Roczne sprawozdania dotyczące incydentów poważnych i incydentów istotnych... 159 D..Działania informacyjne dotyczące dobrych praktyk, programów edukacyjnych, kampanii i szkoleń... 160 E..Gromadzenie informacji o incydentach poważnych... 161 F..Udostępnianie informacji i dobrych praktyk uzyskanych z Grupy Współpracy... 161 II..Rola Grupy Współpracy... 162 Art. 46. [Obowiązek zapewnienia rozwoju lub utrzymania systemu teleinformatycznego wspierającego współpracę w ramach krajowego systemu cyberbezpieczeństwa] (I. Szulc)... 163 I..System teleinformatyczny... 163 II..Porozumienie jako podstawa korzystania z systemu teleinformatycznego... 164 Art. 47. [Delegowanie realizacji zadań na jednostki podległe lub nadzorowane przez ministra] (I. Szulc)... 164 I..Rodzaj zadań powierzonych do realizacji... 165 II..Podmioty podległe Ministrowi Cyfryzacji lub przez niego nadzorowane... 165 III..Zasady powierzenia i finansowania zadań... 165 Art. 48. [Zadania Pojedynczego Punktu Kontaktowego] (I. Szulc)... 165 I..Prowadzenie Pojedynczego Punktu Kontaktowego do spraw cyberbezpieczeństwa... 166 II..Zadania Pojedynczego Punktu Kontaktowego do spraw cyberbezpieczeństwa... 167 A..Przekazywanie i odbieranie zgłoszeń incydentu poważnego i istotnego dotyczącego dwóch lub większej liczby państw członkowskich Unii Europejskiej... 167 B..Zadania w zakresie koordynacji współpracy w dziedzinie cyberbezpieczeństwa na forum Unii Europejskiej... 168 Art. 49. [Dane przekazywane przez Pojedynczy Punkt Kontaktowy Grupie Współpracy] (I. Szulc)... 168 I..Informacje przekazywane do Grupy Współpracy... 169 II..Informacje pochodzące z Grupy Współpracy przekazywane podmiotom krajowym... 170 X

Art. 50. [Dane przekazywane przez Pojedynczy Punkt Kontaktowy Komisji Europejskiej] (I. Szulc)... 170 I..Obowiązki informacyjne wobec Komisji Europejskiej dotyczące organów właściwych do spraw cyberbezpieczeństwa, Pojedynczego Punktu Kontaktowego i CSIRT... 171 II..Obowiązek przekazywania Komisji Europejskiej informacji umożliwiających ocenę wdrażania dyrektywy NIS... 171 Rozdział 10. Zadania Ministra Obrony Narodowej... 173 I..Uwagi ogólne... 173 II..Wojska Obrony Cyberprzestrzeni... 175 III..Pełnomocnik Ministra Obrony Narodowej do spraw utworzenia wojsk obrony cyberprzestrzeni... 175 IV..Doktryna Cyberbezpieczeństwa Rzeczypospolitej Polskiej... 176 Art. 51. [Zadania ministra] (I. Szulc)... 176 I..Zadania MON... 177 II..Pełnomocnik Ministra Obrony Narodowej do spraw Bezpieczeństwa Cyberprzestrzeni... 178 Art. 52. [Zadania Narodowego Punktu Kontaktowego do współpracy z Organizacją Traktatu] (I. Szulc)... 178 I..Zadania Narodowego Punktu Kontaktowego do współpracy z Organizacją Traktatu Północnoatlantyckiego... 179 II..Narodowe Centrum Bezpieczeństwa Cyberprzestrzeni... 180 Rozdział 11. Nadzór i kontrola operatorów usług kluczowych, dostawców usług cyfrowych i podmiotów świadczących usługi w zakresie cyberbezpieczeństwa... 181 Art. 53. [Organy nadzoru] (W. Wąsowicz)... 181 Art. 54. [Odesłanie do ustawy Prawo przedsiębiorców] (W. Wąsowicz)... 182 Art. 55. [Uprawnienia osoby kontrolującej] (W. Wąsowicz)... 184 I..Podstawowe warunki prowadzenia kontroli... 184 II..Kontrola a tajemnice prawnie chronione... 185 III..Gromadzenie dowodów w toku kontroli... 186 Art. 56. [Obowiązki podmiotu kontrolowanego] (W. Wąsowicz)... 186 I..Podstawowe obowiązki podmiotów kontrolowanych... 187 II..Instytucja sprzeciwu... 187 Art. 57. [Postępowanie dowodowe] (W. Wąsowicz)... 188 Art. 58. [Protokół kontroli] (W. Wąsowicz)... 189 Art. 59. [Zalecenia pokontrolne] (W. Wąsowicz)... 191 Rozdział 12. Pełnomocnik i Kolegium... 193 Art. 60. [Realizacja polityki rządu w zakresie zapewnienia cyberbezpieczeństwa przez Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa] (I. Szulc)... 194 XI

Art. 61. [Powołanie i odwołanie Pełnomocnika; podległość Radzie Ministrów] (I. Szulc)... 194 Art. 62. [Zadania Pełnomocnika] (I. Szulc)... 195 I..Zadania Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa... 196 II..Zadania Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa realizowane z właściwymi ministrami... 197 Art. 63. [Roczne sprawozdanie Pełnomocnika; przedstawianie wniosków i rekomendacji] (I. Szulc)... 198 I..Sprawozdanie z działalności Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa... 199 II..Wnioski i rekomendacje przekazywane Radzie Ministrów... 199 Art. 64. [Status Kolegium do Spraw Cyberbezpieczeństwa] (I. Szulc)... 199 I..Charakter Kolegium do Spraw Cyberbezpieczeństwa... 200 II..Rola Kolegium do Spraw Cyberbezpieczeństwa... 200 Art. 65. [Zadania Kolegium] (I. Szulc)... 200 I..Działania opiniowane przez Kolegium do Spraw Cyberbezpieczeństwa... 201 II..Rekomendacje dla Rady Ministrów... 202 Art. 66. [Skład Kolegium; Przewodniczący i Sekretarz Kolegium; szczegółowy zakres działania i tryb pracy Kolegium] (I. Szulc)... 202 I..Skład Kolegium do Spraw Cyberbezpieczeństwa... 203 II..Organizacja pracy Kolegium do Spraw Cyberbezpieczeństwa... 204 Art. 67. [Wytyczne Prezesa Rady Ministrów wydawane na podstawie rekomendacji Kolegium] (I. Szulc)... 205 I..Wydawanie wiążących wytycznych dotyczących zapewnienia cyberbezpieczeństwa na poziomie krajowym oraz funkcjonowania krajowego systemu cyberbezpieczeństwa oraz żądanie informacji i opinii... 206 II..Wiążące wytyczne w zakresie obsługi incydentów krytycznych... 206 Rozdział 13. Strategia... 209 Art. 68. [Przyjęcie Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej] (I. Szulc)... 211 I..Przyjęcie Strategii w drodze uchwały Rady Ministrów... 211 II..Procedowanie projektu uchwały Rady Ministrów... 212 Art. 69. [Treść Strategii] (I. Szulc)... 212 I..Zakres Strategii... 213 II..Podmioty obowiązane do realizacji Strategii... 214 III..Czas obowiązywania Strategii... 215 Art. 70. [Opracowanie projektu Strategii] (I. Szulc)... 215 I..Podmioty zaangażowane w opracowanie Strategii... 216 XII

II..Udział przedstawiciela Prezydenta Rzeczypospolitej Polskiej w opracowaniu Strategii... 216 III..Pomoc ENISA przy opracowywaniu Strategii... 217 Art. 71. [Przegląd Strategii] (I. Szulc)... 217 Art. 72. [Przekazanie Strategii Komisji Europejskiej] (I. Szulc)... 218 Rozdział 14. Przepisy o karach pieniężnych... 219 Art. 73. [Katalog kar pieniężnych] (W. Wąsowicz)... 219 I..Uwagi ogólne instytucja kar administracyjnych... 220 II..Ogólne uregulowania administracyjnych kar pieniężnych... 221 III..Administracyjne kary pieniężne w CyberbezpU... 222 IV..Wymierzanie kar pieniężnych według CyberbezpU... 223 V..Przedawnienie karalności i wykonania kary... 224 VI..Procedura odwoławcza... 225 Art. 74. [Nałożenie kary pieniężnej; wpływy z kar pieniężnych jako dochód budżetu państwa] (W. Wąsowicz)... 226 Art. 75. [Niedochowanie należytej staranności przez kierownika operatora usługi kluczowej] (W. Wąsowicz)... 226 Art. 76. [Inne przyczyny nałożenia kary] (W. Wąsowicz)... 228 Rozdział 15. Zmiany w przepisach, przepisy przejściowe, dostosowujące i końcowe... 229 Art. 77. [Zmiany w ustawie o systemie oświaty] (W. Wąsowicz)... 229 Art. 78. [Zmiany w ustawie o działach administracji rządowej] (I. Szulc)... 230 Art. 79. [Zmiany w ustawie o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu] (I. Szulc)... 231 I..Uprawnienie dla ABW do wdrażania, prowadzenia i koordynowania funkcjonowania systemu wczesnego ostrzegania o zagrożeniach występujących w sieci Internet... 232 II..System ARAKIS-GOV... 233 III..Obowiązek przystąpienia do systemu wczesnego ostrzegania o zagrożeniach występujących w sieci Internet... 234 IV..Warunki i tryb wdrażania systemu wczesnego ostrzegania o zagrożeniach w sieci Internet... 235 V..Koszty wdrożenia systemu wczesnego ostrzegania o zagrożeniach w sieci Internet... 237 Art. 80. [Zmiany w ustawie Prawo zamówień publicznych] (W. Wąsowicz)... 237 Art. 81. [Zmiany w ustawie Prawo telekomunikacyjne] (A. Besiekierska)... 238 Art. 82. [Zmiany w ustawie o zarządzaniu kryzysowym] (I. Szulc)... 240 XIII

I..Koordynacja przygotowania Raportu o zagrożeniach bezpieczeństwa narodowego w części dotyczącej zagrożeń cyberbezpieczeństwa... 240 II..Uwzględnianie w planach ochrony infrastruktury krytycznej dokumentacji dotyczącej cyberbezpieczeństwa systemów informacyjnych wykorzystywanych do świadczenia usług kluczowych... 242 III..Udział Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa w posiedzeniach Rządowego Zespołu Zarządzania Kryzysowego... 242 IV..Obsługa Zespołu do spraw Incydentów Krytycznych przez Rządowe Centrum Bezpieczeństwa... 243 Art. 83. [Raport o zagrożeniach bezpieczeństwa narodowego] (I. Szulc)... 243 Art. 84. [Termin powołania Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa] (I. Szulc)... 244 Art. 85. [Informacje o właściwych organach oraz o zakresie zadań CSIRT przekazywane Komisji Europejskiej] (I. Szulc)... 244 Art. 86. [Termin wydania decyzji o uznaniu za operatora usługi kluczowej] (W. Wąsowicz)... 245 Art. 87. [Sprawozdanie podsumowujące przekazywane Grupie Współpracy] (I. Szulc)... 245 Art. 88. [Termin i zakres przekazania Komisji Europejskiej] (W. Wąsowicz)... 246 Art. 89. [Termin uruchomienia systemu teleinformatycznego] (I. Szulc)... 247 Art. 90. [Termin przyjęcia Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej] (I. Szulc)... 247 I..Termin przyjęcia Strategii... 247 II..Krajowe Ramy Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017 2022... 247 Art. 91. [Opracowanie pierwszego rocznego planu wdrożenia systemu wczesnego ostrzegania o zagrożeniach występujących w sieci Internet] (I. Szulc)... 248 Art. 92. [Utrzymanie w mocy przepisów wykonawczych] (A. Besiekierska)... 249 Art. 93. [Reguła wydatkowa] (J. Dysarz)... 251 I..Podstawa prawna sporządzania reguł wydatkowych... 256 II..Wydatki wynikające z CyberbezpU... 256 III..Mechanizmy korygujące... 257 Art. 94. [Wejście w życie] (W. Wąsowicz)... 257 XIV