Wersja obowiązująca od 2026.04.03

[Powiadomienie o znaczącym cyberzagrożeniu] 1. Podmiot finansowy może przekazać Komisji powiadomienie o znaczącym cyberzagrożeniu w rozumieniu art. 3 pkt 13 rozporządzenia 2022/2554, o którym mowa w art. 19 ust. 2 akapit pierwszy rozporządzenia 2022/2554.

2. Komisja przekazuje niezwłocznie CSIRT MON, CSIRT NASK lub CSIRT GOV, zgodnie z ich właściwością, powiadomienie o znaczącym cyberzagrożeniu w rozumieniu art. 3 pkt 13 rozporządzenia 2022/2554, o którym mowa w art. 19 ust. 2 akapit pierwszy rozporządzenia 2022/2554, pochodzące od podmiotu finansowego będącego podmiotem kluczowym lub podmiotem ważnym w rozumieniu art. 5 ust. 1 i 2 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. [7]

3. W uzasadnionych przypadkach Komisja może przekazać niezwłocznie CSIRT MON, CSIRT NASK lub CSIRT GOV, zgodnie z ich właściwością, powiadomienie o znaczącym cyberzagrożeniu w rozumieniu art. 3 pkt 13 rozporządzenia 2022/2554, o którym mowa w art. 19 ust. 2 akapit pierwszy rozporządzenia 2022/2554, pochodzące od podmiotu finansowego niebędącego podmiotem kluczowym lub podmiotem ważnym w rozumieniu art. 5 ust. 1 i 2 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. [8]

4. Powiadomienie o znaczącym cyberzagrożeniu w rozumieniu art. 3 pkt 13 rozporządzenia 2022/2554, o którym mowa w art. 19 ust. 2 akapit pierwszy rozporządzenia 2022/2554, jest przekazywane w terminach i z wykorzystaniem wzorów określonych we wspólnych regulacyjnych standardach technicznych i wspólnych wykonawczych standardach technicznych, o których mowa w art. 20 rozporządzenia 2022/2554, w postaci elektronicznej, a w przypadku braku możliwości przekazania go w postaci elektronicznej – przy użyciu innych dostępnych środków komunikacji.

[7] Art. 18zh ust. 2 w brzmieniu ustalonym przez art. 13 pkt 2 lit. a) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[8] Art. 18zh ust. 3 w brzmieniu ustalonym przez art. 13 pkt 2 lit. b) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

Wersja obowiązująca od 2026.04.03

[Powiadomienie o znaczącym cyberzagrożeniu] 1. Podmiot finansowy może przekazać Komisji powiadomienie o znaczącym cyberzagrożeniu w rozumieniu art. 3 pkt 13 rozporządzenia 2022/2554, o którym mowa w art. 19 ust. 2 akapit pierwszy rozporządzenia 2022/2554.

2. Komisja przekazuje niezwłocznie CSIRT MON, CSIRT NASK lub CSIRT GOV, zgodnie z ich właściwością, powiadomienie o znaczącym cyberzagrożeniu w rozumieniu art. 3 pkt 13 rozporządzenia 2022/2554, o którym mowa w art. 19 ust. 2 akapit pierwszy rozporządzenia 2022/2554, pochodzące od podmiotu finansowego będącego podmiotem kluczowym lub podmiotem ważnym w rozumieniu art. 5 ust. 1 i 2 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. [7]

3. W uzasadnionych przypadkach Komisja może przekazać niezwłocznie CSIRT MON, CSIRT NASK lub CSIRT GOV, zgodnie z ich właściwością, powiadomienie o znaczącym cyberzagrożeniu w rozumieniu art. 3 pkt 13 rozporządzenia 2022/2554, o którym mowa w art. 19 ust. 2 akapit pierwszy rozporządzenia 2022/2554, pochodzące od podmiotu finansowego niebędącego podmiotem kluczowym lub podmiotem ważnym w rozumieniu art. 5 ust. 1 i 2 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. [8]

4. Powiadomienie o znaczącym cyberzagrożeniu w rozumieniu art. 3 pkt 13 rozporządzenia 2022/2554, o którym mowa w art. 19 ust. 2 akapit pierwszy rozporządzenia 2022/2554, jest przekazywane w terminach i z wykorzystaniem wzorów określonych we wspólnych regulacyjnych standardach technicznych i wspólnych wykonawczych standardach technicznych, o których mowa w art. 20 rozporządzenia 2022/2554, w postaci elektronicznej, a w przypadku braku możliwości przekazania go w postaci elektronicznej – przy użyciu innych dostępnych środków komunikacji.

[7] Art. 18zh ust. 2 w brzmieniu ustalonym przez art. 13 pkt 2 lit. a) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[8] Art. 18zh ust. 3 w brzmieniu ustalonym przez art. 13 pkt 2 lit. b) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

Wersja archiwalna obowiązująca od 2025.08.07 do 2026.04.02

[Powiadomienie o znaczącym cyberzagrożeniu] [17] 1. Podmiot finansowy może przekazać Komisji powiadomienie o znaczącym cyberzagrożeniu w rozumieniu art. 3 pkt 13 rozporządzenia 2022/2554, o którym mowa w art. 19 ust. 2 akapit pierwszy rozporządzenia 2022/2554.

2. Komisja przekazuje niezwłocznie CSIRT MON, CSIRT NASK lub CSIRT GOV, zgodnie z ich właściwością, powiadomienie o znaczącym cyberzagrożeniu w rozumieniu art. 3 pkt 13 rozporządzenia 2022/2554, o którym mowa w art. 19 ust. 2 akapit pierwszy rozporządzenia 2022/2554, pochodzące od podmiotu finansowego będącego podmiotem, o którym mowa w art. 18zg ust. 4 lub 5.

3. W uzasadnionych przypadkach Komisja może przekazać niezwłocznie CSIRT MON, CSIRT NASK lub CSIRT GOV, zgodnie z ich właściwością, powiadomienie o znaczącym cyberzagrożeniu w rozumieniu art. 3 pkt 13 rozporządzenia 2022/2554, o którym mowa w art. 19 ust. 2 akapit pierwszy rozporządzenia 2022/2554, pochodzące od podmiotu finansowego niebędącego podmiotem, o którym mowa w art. 18zg ust. 4 i 5.

4. Powiadomienie o znaczącym cyberzagrożeniu w rozumieniu art. 3 pkt 13 rozporządzenia 2022/2554, o którym mowa w art. 19 ust. 2 akapit pierwszy rozporządzenia 2022/2554, jest przekazywane w terminach i z wykorzystaniem wzorów określonych we wspólnych regulacyjnych standardach technicznych i wspólnych wykonawczych standardach technicznych, o których mowa w art. 20 rozporządzenia 2022/2554, w postaci elektronicznej, a w przypadku braku możliwości przekazania go w postaci elektronicznej – przy użyciu innych dostępnych środków komunikacji.

[17] Rozdział 2c dodany przez art. 8 pkt 6 ustawy z dnia 25 czerwca 2025 r. o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego oraz emitowaniem europejskich zielonych obligacji (Dz.U. poz. 1069). Zmiana weszła w życie 7 sierpnia 2025 r.