WYMAGANIA-PRAWNE.PL

Środowisko

Ustawa
z dnia 5 lipca 2018 r.
o krajowym systemie cyberbezpieczeństwa
(Tekst jednolity)

Dodaj akt prawny»

Dodaj wymaganie własne»


Identyfikator	Dz.U.2018.1560
Data wydania	2018-07-05
Data publikacji	2018-08-13
Data wejścia w życie	2018-08-28
Rodzaj aktu	Ustawa
Organ wydający	Sejm
Status	Obowiązujący
Ostatnie zmiany	2026-03-02 2024-07-19

Źródło zmian	Data publikacji	Data wejścia w życie	Opis zmiany
Aby móc zobaczyć zmiany, należy się zalogować i mieć wykupiony pakiet lub wykupiony dokument za kredyty

Rozdział 1 - Przepisy ogólne
- Artykuł 1
- Artykuł 2
- Artykuł 2a
- Artykuł 3
- Artykuł 3a
- Artykuł 4
Rozdział 2 - Identyfikacja i rejestracja podmiotów kluczowych lub podmiotów ważnych
- Artykuł 5
- Artykuł 5a
- Artykuł 6
- Artykuł 7
- Artykuł 7a
- Artykuł 7b
- Artykuł 7c
- Artykuł 7d
- Artykuł 7e
- Artykuł 7f
- Artykuł 7g
- Artykuł 7h
- Artykuł 7i
- Artykuł 7j
- Artykuł 7k
- Artykuł 7l
- Artykuł 7m
Rozdział 3 - Obowiązki podmiotów kluczowych lub podmiotów ważnych
- Artykuł 8
- Artykuł 8a
- Artykuł 8b
- Artykuł 8c
- Artykuł 8d
- Artykuł 8e
- Artykuł 8f
- Artykuł 8g
- Artykuł 8h
- Artykuł 8i
- Artykuł 9
- Artykuł 10
- Artykuł 11
- Artykuł 12
- Artykuł 12a
- Artykuł 12b
- Artykuł 12c
- Artykuł 13
- Artykuł 14
- Artykuł 15
- Artykuł 16
- Artykuł 16a
Rozdział 3a - Obowiązki rejestrów nazw domen najwyższego poziomu oraz zadania i obowiązki podmiotów świadczących usługi rejestracji nazw domen
- Artykuł 16b
- Artykuł 16c
Rozdział 3b - Wspólne wykonywanie obowiązków z zakresu cyberbezpieczeństwa przez podmioty publiczne
- Artykuł 16d
- Artykuł 16e
- Artykuł 16f
- Artykuł 16g
- Artykuł 16h
Rozdział 4 - Obowiązki dostawców usług cyfrowych
- Artykuł 17
- Artykuł 18
- Artykuł 19
- Artykuł 20
Rozdział 5 - Obowiązki podmiotów publicznych
- Artykuł 21
- Artykuł 22
- Artykuł 23
- Artykuł 24
- Artykuł 25
Rozdział 6 - Zadania CSIRT MON, CSIRT NASK i CSIRT GOV
- Artykuł 26
- Artykuł 26a
- Artykuł 26b
- Artykuł 26c
- Artykuł 26d
- Artykuł 27
- Artykuł 28
- Artykuł 29
- Artykuł 30
- Artykuł 31
- Artykuł 32
- Artykuł 33
- Artykuł 34
- Artykuł 35
- Artykuł 35a
- Artykuł 36
Rozdział 6a - Ocena bezpieczeństwa
- Artykuł 36a
- Artykuł 36b
- Artykuł 36c
- Artykuł 36d
Rozdział 7 - Zasady udostępniania informacji i przetwarzania danych osobowych
- Artykuł 37
- Artykuł 38
- Artykuł 39
- Artykuł 40
- Artykuł 40a
Rozdział 8 - Organy właściwe do spraw cyberbezpieczeństwa
- Artykuł 41
- Artykuł 41a
- Artykuł 42
- Artykuł 43
- Artykuł 44
- Artykuł 44a
- Artykuł 44b
- Artykuł 44c
- Artykuł 44d
- Artykuł 44e
- Artykuł 44f
Rozdział 9 - Zadania ministra właściwego do spraw informatyzacji
- Artykuł 45
- Artykuł 45a
- Artykuł 45b
- Artykuł 45c
- Artykuł 46
- Artykuł 46a
- Artykuł 46b
- Artykuł 47
- Artykuł 48
- Artykuł 49
- Artykuł 50
Rozdział 10 - Zadania Ministra Obrony Narodowej
- Artykuł 51
- Artykuł 52
Rozdział 10a - Zadania ministra właściwego do spraw energii
- Artykuł 52a
- Artykuł 52b
Rozdział 10b - Zadania ministra właściwego do spraw zagranicznych
- Artykuł 52c
- Artykuł 52d
Rozdział 10c - Organy odpowiedzialne za zarządzanie incydentami i zarządzanie kryzysowe w cyberbezpieczeństwie na dużą skalę
- Artykuł 52e
- Artykuł 52f
- Artykuł 52g
- Artykuł 52h
Rozdział 11 - Nadzór i kontrola podmiotów kluczowych lub podmiotów ważnych
- Artykuł 53
- Artykuł 53a
- Artykuł 53b
- Artykuł 53c
- Artykuł 53d
- Artykuł 53e
- Artykuł 53f
- Artykuł 54
- Artykuł 55
- Artykuł 56
- Artykuł 57
- Artykuł 58
- Artykuł 59
- Artykuł 59a
- Artykuł 59b
- Artykuł 59c
Rozdział 12 - Pełnomocnik i Kolegium
- Artykuł 60
- Artykuł 61
- Artykuł 62
- Artykuł 62a
- Artykuł 63
- Artykuł 64
- Artykuł 65
- Artykuł 65a
- Artykuł 66
- Artykuł 67
Rozdział 12a - Szczególne działania na rzecz zapewnienia cyberbezpieczeństwa na poziomie krajowym
- Artykuł 67a
- Artykuł 67b
- Artykuł 67c
- Artykuł 67d
- Artykuł 67e
- Artykuł 67f
- Artykuł 67g
- Artykuł 67h
- Artykuł 67i
- Artykuł 67j
- Artykuł 67k
- Artykuł 67l
Rozdział 13 - Strategia
- Artykuł 68
- Artykuł 69
- Artykuł 70
- Artykuł 70a
- Artykuł 71
- Artykuł 72
Rozdział 13a - Krajowy plan reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę
- Artykuł 72a
- Artykuł 72b
- Artykuł 72c
- Artykuł 72d
- Artykuł 72e
- Artykuł 72f
Rozdział 14 - Przepisy o karach pieniężnych
- Artykuł 73
- Artykuł 73a
- Artykuł 73b
- Artykuł 73c
- Artykuł 74
- Artykuł 75
- Artykuł 76
- Artykuł 76a
- Artykuł 76b
- Artykuł 76c
- Artykuł 76d
- Artykuł 76e
Rozdział 15 - Zmiany w przepisach, przepisy przejściowe, dostosowujące i końcowe
- Artykuł 77
- Artykuł 78
- Artykuł 79
- Artykuł 80
- Artykuł 81
- Artykuł 82
- Artykuł 83
- Artykuł 84
- Artykuł 85
- Artykuł 86
- Artykuł 87
- Artykuł 88
- Artykuł 89
- Artykuł 90
- Artykuł 91
- Artykuł 92
- Artykuł 93
- Artykuł 94

Przypisy

Jesteś tutaj:

Rozdział 6a Ocena bezpieczeństwa

Rozdział 6a
Ocena bezpieczeństwa

        Art. 36a. 1. CSIRT MON, CSIRT NASK, CSIRT GOV lub CSIRT sektorowy mogą przeprowadzić ocenę bez-pieczeństwa systemów informacyjnych wykorzystywanych przez podmioty krajowego systemu cyberbezpieczeństwa.
        2. Ocena bezpieczeństwa polega na przeprowadzeniu testów bezpieczeństwa systemu informacyjnego w celu identyfikacji podatności tego systemu. Wyboru rodzaju testów bezpieczeństwa dokonuje się adekwatnie do systemu informacyjnego i świadczonej usługi z uwzględnieniem specyfiki sektora lub podsektora.
        3. Przepisów niniejszego rozdziału nie stosuje się do ocen bezpieczeństwa systemów teleinformatycznych:
1) podmiotów krajowego systemu cyberbezpieczeństwa, które znajdują się w zbiorze organów
    i podmiotów, o których mowa w art. 32a ustawy z dnia 24 maja 2002 r. o Agencji
    Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu;
2) akredytowanych na podstawie art. 48 ustawy z dnia 5 sierpnia 2010 r. o ochronie
    informacji niejawnych (Dz. U. z 2025 r. poz. 1209).
        4. Zespołem właściwym do przeprowadzenia oceny bezpieczeństwa jest:
1) w przypadku podmiotów, o których mowa w art. 26 ust. 5 – CSIRT MON;
2) w przypadku podmiotów, o których mowa w art. 26 ust. 6 pkt 1 lit. a–k – CSIRT NASK;
3) w przypadku podmiotów, o których mowa w art. 26 ust. 7 pkt 1–4d – CSIRT GOV.
        5. CSIRT MON, CSIRT NASK albo CSIRT GOV przeprowadza ocenę bezpieczeństwa systemu informacyjnego podmiotu krajowego systemu cyberbezpieczeństwa, po poinformowaniu organu właściwego do spraw cyberbezpieczeństwa o zamiarze przeprowadzenia oceny bezpieczeństwa.
        6. CSIRT sektorowy może przeprowadzić ocenę bezpieczeństwa systemu informacyjnego podmiotu kluczowego lub podmiotu ważnego po uzyskaniu zgody CSIRT MON, CSIRT NASK lub CSIRT GOV właściwego dla danego podmiotu kluczowego lub podmiotu ważnego. O zamiarze przeprowadzenia oceny bezpieczeństwa systemu informacyjnego podmiotu krajowego systemu cyberbezpieczeństwa CSIRT sektorowy informuje organ właściwy do spraw cyberbezpieczeństwa dla danego sektora.
        7. Przepisów ust. 5 i 6 nie stosuje się, gdy ocena bezpieczeństwa systemu informacyjnego jest przeprowadzana na zlecenie organu właściwego do spraw cyberbezpieczeństwa.