Art. 26. 1. CSIRT MON, CSIRT NASK i CSIRT GOV współpracują ze sobą, z organami właściwymi do spraw cyberbezpieczeństwa, ministrem właściwym do spraw informatyzacji, CSIRT sektorowymi oraz Pełnomocnikiem, zapewniając spójny i kompletny system zarządzania ryzykiem na poziomie krajowym, realizując zadania na rzecz przeciwdziałania cyberzagrożeniom o charakterze ponadsektorowym i transgranicznym, a także zapewniając koordynację obsługi zgłoszonych incydentów.
        1a. W czasie stanu wojennego lub w czasie wojny CSIRT MON, w imieniu Ministra Obrony Narodowej, koordynuje działania CSIRT NASK i CSIRT GOV.
        2. CSIRT MON, CSIRT NASK i CSIRT GOV na wniosek podmiotów krajowego systemu cyberbezpieczeństwa mogą zapewnić wsparcie tym podmiotom w obsłudze incydentów, w przypadku gdy:
1) incydent może wpłynąć na inne podmioty krajowego systemu cyberbezpieczeństwa;
2) podmiot obsługujący incydent nie dysponuje środkami pozwalającymi mu na jego skuteczną
    obsługę, a incydent powoduje przerwanie ciągłości świadczenia usługi.
        2a. Pełnomocnik może zlecić zapewnienie wsparcia w obsłudze incydentów, o których mowa w ust. 2:
1) CSIRT MON, za zgodą Ministra Obrony Narodowej lub
2) CSIRT NASK, lub
3) CSIRT GOV, za zgodą Szefa Agencji Bezpieczeństwa Wewnętrznego.
        2b. Zgoda może być wyrażona w formie ustnej lub dokumentowej, w szczególności z wykorzystaniem środków komunikacji elektronicznej. Zgoda wyrażona w formie ustnej wymaga udokumentowania w ciągu 14 dni od dnia jej wydania.
        2c. O zapewnieniu wsparcia w obsłudze incydentów, o którym mowa w ust. 2 lub 2a, jest informowany właściwy CSIRT sektorowy.
        3. Do zadań CSIRT MON, CSIRT NASK i CSIRT GOV, zgodnie z właściwością wskazaną w ust. 5–7, należy:
1) monitorowanie cyberzagrożeń i incydentów na poziomie krajowym;
2) szacowanie ryzyka związanego z ujawnionym cyberzagrożeniem oraz zaistniałymi
    incydentami, w tym zapewnianie dynamicznej analizy ryzyka;
3) przekazywanie informacji dotyczących cyberzagrożeń, podatności, incydentów i ryzyk,
    wczesne ostrzeganie i alarmowanie podmiotów krajowego systemu cyberbezpieczeństwa;
4) wydawanie komunikatów o zidentyfikowanych cyberzagrożeniach;
5) reagowanie na zgłoszone incydenty;
6) klasyfikowanie incydentów, w tym incydentów poważnych, jako incydenty krytyczne oraz
    koordynowanie obsługi incydentów krytycznych;
7) zmiana klasyfikacji incydentów;
8) przekazywanie do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV informacji technicznych
    dotyczących incydentu, którego koordynacja obsługi wymaga współpracy CSIRT;
9) przeprowadzanie w uzasadnionych przypadkach badania urządzenia informatycznego lub
    oprogramowania w celu identyfikacji podatności, której wykorzystanie może zagrozić
    w szczególności integralności, poufności, rozliczalności, autentyczności lub
    dostępności przetwarzanych danych, które może mieć wpływ na bezpieczeństwo publiczne
    lub istotny interes bezpieczeństwa państwa, oraz składanie wniosków w sprawie
    rekomendacji dla podmiotów krajowego systemu cyberbezpieczeństwa dotyczących
    stosowania urządzeń informatycznych lub oprogramowania, w szczególności w zakresie
    wpływu na bezpieczeństwo publiczne lub istotny interes bezpieczeństwa państwa, zwanych
    dalej „rekomendacjami dotyczącymi stosowania urządzeń informatycznych lub
    oprogramowania";
10) współpraca z CSIRT sektorowymi w zakresie koordynowania obsługi incydentów poważnych,
    w tym dotyczących dwóch lub większej liczby państw członkowskich Unii Europejskiej,
    i incydentów krytycznych oraz w zakresie wymiany informacji pozwalających
    przeciwdziałać cyberzagrożeniom;
11) przekazywanie do innych państw, w tym państw członkowskich Unii Europejskiej,
    i przyjmowanie z tych państw informacji o incydentach poważnych dotyczących dwóch lub
    większej liczby państw, a także przekazywanie do Pojedynczego Punktu Kontaktowego
    zgłoszenia incydentu poważnego dotyczącego dwóch lub większej liczby państw
    członkowskich Unii Europejskiej;
12) przekazywanie, w terminie 14 dni od zakończenia danego kwartału, do Pojedynczego
    Punktu Kontaktowego zestawienia zgłoszonych w poprzednich 3 miesiącach:
    a) poważnych incydentów,
    b) incydentów,
    c) cyberzagrożeń,
    d) potencjalnych zdarzeń dla cyberbezpieczeństwa;
13) wspólne opracowywanie i przekazywanie ministrowi właściwemu do spraw informatyzacji
    części Raportu o zagrożeniach bezpieczeństwa narodowego, o którym mowa w art. 5a
    ust. 1 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym, dotyczącej
    cyberbezpieczeństwa;
14) zapewnienie zaplecza analitycznego oraz badawczo-rozwojowego, które w szczególności:
    a) prowadzi zaawansowane analizy złośliwego oprogramowania oraz analizy podatności,
    b) monitoruje wskaźniki cyberzagrożeń,
    c) rozwija narzędzia i metody do wykrywania i zwalczania cyberzagrożeń,
    d) prowadzi analizy i opracowuje standardy, rekomendacje i dobre praktyki w zakresie
        cyberbezpieczeństwa,
    e) wspiera podmioty krajowego systemu cyberbezpieczeństwa w budowaniu potencjału
        i zdolności w obszarze cyberbezpieczeństwa,
    f) prowadzi działania z zakresu budowania świadomości w obszarze cyberbezpieczeństwa,
    g) współpracuje w zakresie rozwiązań edukacyjnych w obszarze cyberbezpieczeństwa;
15) (uchylony)
16) udział w Sieci CSIRT składającej się z przedstawicieli CSIRT państw członkowskich Unii
    Europejskiej, CSIRT właściwego dla instytucji Unii Europejskiej oraz Komisji
    Europejskiej;
17) w odpowiednich przypadkach gromadzenie i zabezpieczanie danych na potrzeby postępowań
    karnych;
18) współpraca z sektorowymi i międzysektorowymi społecznościami podmiotów kluczowych lub
    podmiotów ważnych oraz wymiana informacji dotyczących cyberbezpieczeństwa, jeżeli
    wymiana informacji zapewnia zwiększenie poziomu cyberbezpieczeństwa lub służy
    przeciwdziałaniu incydentom;
19) współpraca z krajowymi zespołami reagowania na incydenty bezpieczeństwa komputerowego
    z państw trzecich;
20) udział we wdrażaniu bezpiecznych narzędzi wymiany informacji z podmiotami kluczowymi
    i podmiotami ważnymi oraz innymi podmiotami;
21) prowadzenie działań na rzecz podnoszenia poziomu bezpieczeństwa systemów
    informacyjnych podmiotów krajowego systemu cyberbezpieczeństwa przez:
    a) wykonywanie oceny bezpieczeństwa,
    b) identyfikowanie podatności systemów dostępnych w otwartych sieciach
        teleinformatycznych, a także powiadamianie właścicieli tych systemów o wykrytych
        podatnościach oraz cyberzagrożeniach;
22) promowanie, przyjmowanie i stosowanie wspólnych lub znormalizowanych praktyk, systemów
    klasyfikacji i systematyki związanych z:
    a) procedurami obsługi incydentu,
    b) zarządzaniem kryzysowym w obszarze cyberbezpieczeństwa,
    c) ujawnianiem podatności;
23) przekazywanie Pełnomocnikowi sprawozdania z wykonywania swoich zadań ustawowych
    zawierającego w szczególności informacje o zgłoszonych do CSIRT incydentach
    krytycznych, incydentach poważnych, incydentach, cyberzagrożeniach oraz potencjalnych
    zdarzeniach dla cyberbezpieczeństwa.
        3a. Przy realizacji zadania, o którym mowa w ust. 3 pkt 19, CSIRT MON, CSIRT NASK i CSIRT GOV mogą wymieniać informacje, w tym dane osobowe w celu informowania o potencjalnych cyberzagrożeniach oraz zastosowanych sposobach ich zwalczania, w celu przeciwdziałania cyberzagrożeniom o charakterze transgranicznym. Informacje, w tym dane osobowe, o których mowa w zdaniu pierwszym, przekazuje się w postaci elektronicznej.
        4. CSIRT MON, CSIRT NASK i CSIRT GOV wspólnie opracowują główne elementy procedur postępowania w przypadku incydentu, którego koordynacja obsługi wymaga współpracy CSIRT, oraz określą we współpracy z CSIRT sektorowymi sposób współdziałania z tymi zespołami, w tym sposób koordynacji obsługi incydentu.
        5. Do zadań CSIRT MON należy koordynacja obsługi incydentów zgłaszanych przez:
1) podmioty podległe Ministrowi Obrony Narodowej lub przez niego nadzorowane, w tym
    podmioty, których systemy teleinformatyczne lub sieci teleinformatyczne objęte są
    jednolitym wykazem obiektów, instalacji, urządzeń i usług wchodzących w skład
    infrastruktury krytycznej, o którym mowa w art. 5b ust. 7 pkt 1 ustawy z dnia
    26 kwietnia 2007 r. o zarządzaniu kryzysowym;
2) przedsiębiorcy realizujący zadania na rzecz Sił Zbrojnych, o których mowa w art. 648
    ustawy z dnia 11 marca 2022 r. o obronie Ojczyzny (Dz. U. z 2024 r. poz. 248 i 834);
3) Ministra Obrony Narodowej.    
        6. Do zadań CSIRT NASK należy:
1) koordynacja obsługi incydentów zgłaszanych przez:
    a) jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 2a–6 i 10–13
        ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, z wyjątkiem podmiotów,
        o których mowa w ust. 5,
    aa) urzędy obsługujące jednostki sektora finansów publicznych, o których mowa w art. 9
        pkt 2 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych,
    b) jednostki podległe organom administracji rządowej lub przez nie nadzorowane,
        z wyjątkiem podmiotów, o których mowa w ust. 5, oraz jednostek, o których mowa
        w ust. 7 pkt 2,
    c) instytuty badawcze, z wyjątkiem podmiotów, o których mowa w ust. 5,
    ca) międzynarodowe instytuty badawcze, z wyjątkiem podmiotów, o których mowa w ust. 5
        pkt 2,
    cb) Centrum Łukasiewicz,
    cc) instytuty działające w ramach Sieci Badawczej Łukasiewicz, z wyjątkiem podmiotów,
        o których mowa w ust. 5 pkt 2,
    d) Urząd Dozoru Technicznego,
    e) (uchylony)
    f) Polskie Centrum Akredytacji,
    g) Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej oraz wojewódzkie fundusze
        ochrony środowiska i gospodarki wodnej,
    h) spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej
        w rozumieniu art. 1 ust. 2 ustawy z dnia 20 grudnia 1996 r. o gospodarce
        komunalnej,
    i) (uchylony)
    j) podmioty kluczowe lub podmioty ważne, z wyjątkiem wymienionych w ust. 5 i 7,
    k) inne podmioty niż wymienione w lit. a–j oraz ust. 5 i 7,
    l) osoby fizyczne;
2) tworzenie i udostępnianie narzędzi dobrowolnej współpracy i wymiany informacji
    o cyberzagrożeniach i incydentach;
3) zapewnienie obsługi linii telefonicznej lub serwisu internetowego prowadzących
    działalność w zakresie zgłaszania i analizy przypadków dystrybucji, rozpowszechniania
    lub przesyłania pornografii dziecięcej za pośrednictwem technologii informacyjno-
    komunikacyjnych, o których mowa w dyrektywie Parlamentu Europejskiego
    i Rady 2011/92/UE z dnia 13 grudnia 2011 r. w sprawie zwalczania niegodziwego
    traktowania w celach seksualnych i wykorzystywania seksualnego dzieci oraz pornografii
    dziecięcej, zastępującej decyzję ramową Rady 2004/68/WSiSW (Dz. Urz. UE L 335
    z 17.12.2011, str. 1);
4) monitorowanie występowania smishingu oraz tworzenie wzorca wiadomości wyczerpującej
    znamiona smishingu, o którym mowa w art. 4 ustawy z dnia 28 lipca 2023 r. o zwalczaniu
    nadużyć w komunikacji elektronicznej (Dz. U. poz. 1703);
5) prowadzenie i udostępnianie na swojej stronie internetowej wykazu nazw oraz ich skrótów
    zastrzeżonych dla podmiotów publicznych jako nadpis wiadomości pochodzącej od podmiotu
    publicznego oraz wariantów tych nazw i skrótów, mogących wprowadzać odbiorcę w błąd
    co do pochodzenia wiadomości od podmiotu publicznego, o którym mowa w art. 10 ust. 1
    ustawy z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej.
        7. Do zadań CSIRT GOV należy koordynacja obsługi incydentów zgłaszanych przez:
1) jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1, 8 i 9 ustawy
    z dnia 27 sierpnia 2009 r. o finansach publicznych, i urzędy je obsługujące,
    z wyjątkiem wymienionych w ust. 5 i 6;
2) jednostki podległe Prezesowi Rady Ministrów lub przez niego nadzorowane;
3) Narodowy Bank Polski;
4) Bank Gospodarstwa Krajowego;
4a) Polską Agencję Żeglugi Powietrznej;
4b) Polską Agencję Prasową;
4c) Państwowe Gospodarstwo Wodne Wody Polskie;
4d) Polski Fundusz Rozwoju i inne instytucje rozwoju, o których mowa w art. 2 ust. 1
    pkt 3–6 ustawy z dnia 4 lipca 2019 r. o systemie instytucji rozwoju (Dz. U. z 2026 r.
    poz. 9);
4e) Urząd Komisji Nadzoru Finansowego;
5) inne niż wymienione w pkt 1–4 oraz ust. 5 podmioty, których systemy teleinformatyczne
    lub sieci teleinformatyczne objęte są jednolitym wykazem obiektów, instalacji,
    urządzeń i usług wchodzących w skład infrastruktury krytycznej, o którym mowa
    w art. 5b ust. 7 pkt 1 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym;
6) podmioty, o których mowa w ust. 6, jeżeli incydent dotyczy systemów teleinformatycznych
    lub sieci teleinformatycznych objętych jednolitym wykazem obiektów, instalacji,
    urządzeń i usług wchodzących w skład infrastruktury krytycznej, o którym mowa
    w art. 5b ust. 7 pkt 1 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym.
        8. CSIRT MON, CSIRT NASK lub CSIRT GOV, który otrzymał zgłoszenie incydentu, a nie jest właściwy do koordynacji jego obsługi, przekazuje niezwłocznie to zgłoszenie do właściwego CSIRT wraz z otrzymanymi informacjami.
        8a. Minister właściwy do spraw informatyzacji może udzielić CSIRT NASK dotacji celowej na zakup, utrzymanie i rozbudowę infrastruktury teleinformatycznej niezbędnej do wykonywania zadań CSIRT NASK.
        9. Działalność CSIRT NASK jest finansowana w formie dotacji podmiotowej z części budżetu państwa, której dysponentem jest minister właściwy do spraw informatyzacji.
        10. CSIRT MON, CSIRT NASK i CSIRT GOV mogą, w drodze porozumienia, powierzyć sobie wzajemnie wykonywanie zadań w stosunku do niektórych rodzajów podmiotów, o których mowa w ust. 5–7. O zawarciu porozumienia CSIRT, który powierzył wykonywanie zadań, informuje podmioty, w stosunku do których nastąpiła zmiana CSIRT.
        11. Komunikat o zawarciu porozumienia, o którym mowa w ust. 10, ogłasza się w dzienniku urzędowym odpowiednio Ministra Obrony Narodowej, Ministra Cyfryzacji lub Agencji Bezpieczeństwa Wewnętrznego. W komunikacie wskazuje się informacje o:
1) adresie strony internetowej, na której zostanie zamieszczona treść porozumienia wraz
    ze stanowiącymi jego integralną treść załącznikami;
2) terminie, od którego porozumienie będzie obowiązywało.
        12. CSIRT MON, CSIRT NASK i CSIRT GOV mogą uczestniczyć w procesie wzajemnej oceny, o którym mowa w art. 40a.
        13. Przepisy ust. 2 i 3 stosuje się odpowiednio do zadań realizowanych przez CSIRT NASK lub CSIRT GOV w sektorze bankowości i infrastruktury rynków finansowych, w szczególności w zakresie poważnych incydentów związanych z ICT zgłaszanych przez podmioty kluczowe lub podmioty ważne z tego sektora.
        14. CSIRT NASK lub CSIRT GOV może również realizować swoje zadania w odniesieniu do podmiotów finansowych niebędących podmiotami kluczowymi lub podmiotami ważnymi, gdy nie stanowi to dla tego zespołu nieproporcjonalnego czy nadmiernego obciążenia, z uwzględnieniem priorytetowego traktowania poważnych incydentów związanych z ICT zgłaszanych przez podmioty finansowe będące podmiotami kluczowymi lub pod-miotami ważnymi, oraz z uwzględnieniem odpowiedniego stosowania przepisów ust. 2 i 3 do realizacji zadań przez CSIRT NASK lub CSIRT GOV.
        15. CSIRT NASK lub CSIRT GOV współpracują i wymieniają informacje z właściwym organem w rozumieniu rozporządzenia 2022/2554, gdy jest to niezbędne dla realizacji zadań CSIRT NASK lub CSIRT GOV bądź realizacji zadań tego właściwego organu.
        16. CSIRT MON, CSIRT NASK i CSIRT GOV informują organ właściwy do spraw podmiotów krytycz-nych o poważnych incydentach, cyberzagrożeniach i potencjalnych zdarzeniach dla cyberbezpieczeństwa zgłoszonych przez podmiot krytyczny.