Wersja obowiązująca od 2026.04.03

Art. 11. [Zadania podmiotu kluczowego lub podmiotu ważnego] 1. Podmiot kluczowy lub podmiot ważny: [95]

1) zapewnia obsługę incydentu;

2) [96] zapewnia dostęp do informacji o rejestrowanych incydentach właściwemu CSIRT MON, CSIRT NASK, CSIRT GOV lub CSIRT sektorowemu w zakresie niezbędnym do realizacji jego zadań;

3) klasyfikuje incydent jako poważny na podstawie progów uznawania incydentu za poważny;

4) [97] zgłasza wczesne ostrzeżenie o incydencie poważnym niezwłocznie, niepóźniej niż w ciągu 24 godzin od momentu jego wykrycia, do właściwego CSIRT sektorowego;

4a) [98] zgłasza incydent poważny niezwłocznie, niepóźniej niż w ciągu 72 godzin od momentu jego wykrycia, do właściwego CSIRT sektorowego;

4b) [99] przekazuje, na wniosek właściwego CSIRT sektorowego, sprawozdanie okresowe z obsługi incydentu poważnego;

4c) [100] przekazuje właściwemu CSIRT sektorowemu sprawozdanie końcowe z obsługi incydentu poważnego, niepóźniej niż w ciągu miesiąca od dnia zgłoszenia, o którym mowa w pkt 4a;

5) [101] współdziała podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT MON, CSIRT NASK, CSIRT GOV lub CSIRT sektorowym, przekazując niezbędne dane, w tym dane osobowe;

6) usuwa podatności, o których mowa w art. 32 ust. 2, oraz informuje o ich usunięciu organ właściwy do spraw cyberbezpieczeństwa.

1a. [102] Dostawca usług zaufania zgłasza incydent poważny niezwłocznie, niepóźniej niż w ciągu 24 godzin od momentu jego wykrycia do właściwego CSIRT sektorowego.

2. [103] Wczesne ostrzeżenie, o którym mowa w ust. 1 pkt 4, zgłoszenie, o którym mowa w ust. 1 pkt 4a, sprawozdanie okresowe, o którym mowa w ust. 1 pkt 4b, sprawozdanie końcowe, o którym mowa w ust. 1 pkt 4c, oraz sprawozdanie z postępu obsługi incydentu poważnego, o którym mowa w art. 12b ust. 1, są przekazywane za pomocą systemu teleinformatycznego, o którym mowa w art. 46 ust. 1.

2a. [104] W przypadku zaistnienia poważnego cyberzagrożenia podmiot kluczowy lub podmiot ważny informuje użytkowników swoich usług, na których takie cyberzagrożenie może mieć wpływ, o możliwych środkach zapobiegawczych, które użytkownicy ci mogą podjąć. Podmiot kluczowy lub podmiot ważny informuje tych użytkowników o samym poważnym cyberzagrożeniu, jeżeli nie spowoduje to zwiększenia poziomu ryzyka dla bezpieczeństwa systemów informacyjnych.

2b. [105] Podmiot kluczowy lub podmiot ważny informuje użytkowników swoich usług o incydencie poważnym, jeżeli ma on niekorzystny wpływ na świadczenie tych usług.

3. [106] (uchylony)

4. [107] Rada Ministrów określi, w drodze rozporządzenia, progi uznania incydentu za poważny według rodzaju zdarzenia w poszczególnych sektorach i podsektorach określonych w załącznikach nr 1 i 2 do ustawy, z wyłączeniem progów uznania incydentu za poważny, dla podmiotów, dla których progi te określiła Komisja Europejska w akcie wykonawczym wydanym na podstawie art. 23 ust. 11 dyrektywy 2022/2555, wskazując w zależności od rodzaju zdarzenia, czy odnosi się ono do:

1) liczby użytkowników, których dotyczy zakłócenie świadczenia usługi,

2) czasu oddziaływania incydentu na świadczoną usługę,

3) zasięgu geograficznego obszaru, którego dotyczy incydent,

4) innych czynników charakterystycznych dla danego sektora lub podsektora, jeżeli występują

– kierując się potrzebą zapewnienia ochrony przed zagrożeniem życia lub zdrowia ludzi, znacznymi stratami majątkowymi oraz obniżeniem jakości świadczonej usługi.

[95] Art. 11 ust. 1 w brzmieniu ustalonym przez art. 1 pkt 19 lit. a) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[96] Art. 11 ust. 1 pkt 2 w brzmieniu ustalonym przez art. 1 pkt 19 lit. a) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[97] Art. 11 ust. 1 pkt 4 w brzmieniu ustalonym przez art. 1 pkt 19 lit. a) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[98] Art. 11 ust. 1 pkt 4a dodany przez art. 1 pkt 19 lit. a) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[99] Art. 11 ust. 1 pkt 4b dodany przez art. 1 pkt 19 lit. a) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[100] Art. 11 ust. 1 pkt 4c dodany przez art. 1 pkt 19 lit. a) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[101] Art. 11 ust. 1 pkt 5 w brzmieniu ustalonym przez art. 1 pkt 19 lit. a) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[102] Art. 11 ust. 1a dodany przez art. 1 pkt 19 lit. b) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[103] Art. 11 ust. 2 w brzmieniu ustalonym przez art. 1 pkt 19 lit. c) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[104] Art. 11 ust. 2a dodany przez art. 1 pkt 19 lit. d) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[105] Art. 11 ust. 2b dodany przez art. 1 pkt 19 lit. d) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[106] Art. 11 ust. 3 uchylony przez art. 1 pkt 19 lit. e) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[107] Art. 11 ust. 4 w brzmieniu ustalonym przez art. 1 pkt 19 lit. f) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

Wersja obowiązująca od 2026.04.03

Art. 11. [Zadania podmiotu kluczowego lub podmiotu ważnego] 1. Podmiot kluczowy lub podmiot ważny: [95]

1) zapewnia obsługę incydentu;

2) [96] zapewnia dostęp do informacji o rejestrowanych incydentach właściwemu CSIRT MON, CSIRT NASK, CSIRT GOV lub CSIRT sektorowemu w zakresie niezbędnym do realizacji jego zadań;

3) klasyfikuje incydent jako poważny na podstawie progów uznawania incydentu za poważny;

4) [97] zgłasza wczesne ostrzeżenie o incydencie poważnym niezwłocznie, niepóźniej niż w ciągu 24 godzin od momentu jego wykrycia, do właściwego CSIRT sektorowego;

4a) [98] zgłasza incydent poważny niezwłocznie, niepóźniej niż w ciągu 72 godzin od momentu jego wykrycia, do właściwego CSIRT sektorowego;

4b) [99] przekazuje, na wniosek właściwego CSIRT sektorowego, sprawozdanie okresowe z obsługi incydentu poważnego;

4c) [100] przekazuje właściwemu CSIRT sektorowemu sprawozdanie końcowe z obsługi incydentu poważnego, niepóźniej niż w ciągu miesiąca od dnia zgłoszenia, o którym mowa w pkt 4a;

5) [101] współdziała podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT MON, CSIRT NASK, CSIRT GOV lub CSIRT sektorowym, przekazując niezbędne dane, w tym dane osobowe;

6) usuwa podatności, o których mowa w art. 32 ust. 2, oraz informuje o ich usunięciu organ właściwy do spraw cyberbezpieczeństwa.

1a. [102] Dostawca usług zaufania zgłasza incydent poważny niezwłocznie, niepóźniej niż w ciągu 24 godzin od momentu jego wykrycia do właściwego CSIRT sektorowego.

2. [103] Wczesne ostrzeżenie, o którym mowa w ust. 1 pkt 4, zgłoszenie, o którym mowa w ust. 1 pkt 4a, sprawozdanie okresowe, o którym mowa w ust. 1 pkt 4b, sprawozdanie końcowe, o którym mowa w ust. 1 pkt 4c, oraz sprawozdanie z postępu obsługi incydentu poważnego, o którym mowa w art. 12b ust. 1, są przekazywane za pomocą systemu teleinformatycznego, o którym mowa w art. 46 ust. 1.

2a. [104] W przypadku zaistnienia poważnego cyberzagrożenia podmiot kluczowy lub podmiot ważny informuje użytkowników swoich usług, na których takie cyberzagrożenie może mieć wpływ, o możliwych środkach zapobiegawczych, które użytkownicy ci mogą podjąć. Podmiot kluczowy lub podmiot ważny informuje tych użytkowników o samym poważnym cyberzagrożeniu, jeżeli nie spowoduje to zwiększenia poziomu ryzyka dla bezpieczeństwa systemów informacyjnych.

2b. [105] Podmiot kluczowy lub podmiot ważny informuje użytkowników swoich usług o incydencie poważnym, jeżeli ma on niekorzystny wpływ na świadczenie tych usług.

3. [106] (uchylony)

4. [107] Rada Ministrów określi, w drodze rozporządzenia, progi uznania incydentu za poważny według rodzaju zdarzenia w poszczególnych sektorach i podsektorach określonych w załącznikach nr 1 i 2 do ustawy, z wyłączeniem progów uznania incydentu za poważny, dla podmiotów, dla których progi te określiła Komisja Europejska w akcie wykonawczym wydanym na podstawie art. 23 ust. 11 dyrektywy 2022/2555, wskazując w zależności od rodzaju zdarzenia, czy odnosi się ono do:

1) liczby użytkowników, których dotyczy zakłócenie świadczenia usługi,

2) czasu oddziaływania incydentu na świadczoną usługę,

3) zasięgu geograficznego obszaru, którego dotyczy incydent,

4) innych czynników charakterystycznych dla danego sektora lub podsektora, jeżeli występują

– kierując się potrzebą zapewnienia ochrony przed zagrożeniem życia lub zdrowia ludzi, znacznymi stratami majątkowymi oraz obniżeniem jakości świadczonej usługi.

[95] Art. 11 ust. 1 w brzmieniu ustalonym przez art. 1 pkt 19 lit. a) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[96] Art. 11 ust. 1 pkt 2 w brzmieniu ustalonym przez art. 1 pkt 19 lit. a) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[97] Art. 11 ust. 1 pkt 4 w brzmieniu ustalonym przez art. 1 pkt 19 lit. a) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[98] Art. 11 ust. 1 pkt 4a dodany przez art. 1 pkt 19 lit. a) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[99] Art. 11 ust. 1 pkt 4b dodany przez art. 1 pkt 19 lit. a) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[100] Art. 11 ust. 1 pkt 4c dodany przez art. 1 pkt 19 lit. a) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[101] Art. 11 ust. 1 pkt 5 w brzmieniu ustalonym przez art. 1 pkt 19 lit. a) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[102] Art. 11 ust. 1a dodany przez art. 1 pkt 19 lit. b) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[103] Art. 11 ust. 2 w brzmieniu ustalonym przez art. 1 pkt 19 lit. c) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[104] Art. 11 ust. 2a dodany przez art. 1 pkt 19 lit. d) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[105] Art. 11 ust. 2b dodany przez art. 1 pkt 19 lit. d) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[106] Art. 11 ust. 3 uchylony przez art. 1 pkt 19 lit. e) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[107] Art. 11 ust. 4 w brzmieniu ustalonym przez art. 1 pkt 19 lit. f) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

Wersja archiwalna obowiązująca od 2026.01.09 do 2026.04.02     (Dz.U.2026.20 tekst jednolity)

Art. 11. [Zadania operatora usługi kluczowej] 1. Operator usługi kluczowej:

1) zapewnia obsługę incydentu;

2) zapewnia dostęp do informacji o rejestrowanych incydentach właściwemu CSIRT MON, CSIRT NASK lub CSIRT GOV w zakresie niezbędnym do realizacji jego zadań;

3) klasyfikuje incydent jako poważny na podstawie progów uznawania incydentu za poważny;

4) zgłasza incydent poważny niezwłocznie, nie później niż w ciągu 24 godzin od momentu jego wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV;

5) współdziała podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne dane, w tym dane osobowe;

6) usuwa podatności, o których mowa w art. 32 ust. 2, oraz informuje o ich usunięciu organ właściwy do spraw cyberbezpieczeństwa.

2. Zgłoszenie, o którym mowa w ust. 1 pkt 4, przekazywane jest w postaci elektronicznej, a w przypadku braku możliwości przekazania go w postaci elektronicznej – przy użyciu innych dostępnych środków komunikacji.

3. W przypadku ustanowienia sektorowego zespołu cyberbezpieczeństwa operator usługi kluczowej niezależnie od zadań określonych w ust. 1:

1) przekazuje jednocześnie temu zespołowi w postaci elektronicznej zgłoszenie, o którym mowa w ust. 1 pkt 4;

2) współdziała z tym zespołem na poziomie sektora lub podsektora podczas obsługi incydentu poważnego lub incydentu krytycznego, przekazując niezbędne dane, w tym dane osobowe;

3) zapewnia temu zespołowi dostęp do informacji o rejestrowanych incydentach w zakresie niezbędnym do realizacji jego zadań.

4. Rada Ministrów określi, w drodze rozporządzenia, progi uznania incydentu za poważny według rodzaju zdarzenia w poszczególnych sektorach i podsektorach określonych w załączniku nr 1 do ustawy, uwzględniając:

1) liczbę użytkowników, których dotyczy zakłócenie świadczenia usługi kluczowej,

2) czas oddziaływania incydentu na świadczoną usługę kluczową,

3) zasięg geograficzny obszaru, którego dotyczy incydent,

4) inne czynniki charakterystyczne dla danego sektora lub podsektora, jeżeli występują

– kierując się potrzebą zapewnienia ochrony przed zagrożeniem życia lub zdrowia ludzi, znacznymi stratami majątkowymi oraz obniżeniem jakości świadczonej usługi kluczowej.

Wersja archiwalna obowiązująca od 2024.07.19 do 2026.01.08     (Dz.U.2024.1077 tekst jednolity)

[Zadania operatora usługi kluczowej ] 1. Operator usługi kluczowej:

1) zapewnia obsługę incydentu;

2) zapewnia dostęp do informacji o rejestrowanych incydentach właściwemu CSIRT MON, CSIRT NASK lub CSIRT GOV w zakresie niezbędnym do realizacji jego zadań;

3) klasyfikuje incydent jako poważny na podstawie progów uznawania incydentu za poważny;

4) zgłasza incydent poważny niezwłocznie, nie później niż w ciągu 24 godzin od momentu jego wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV;

5) współdziała podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne dane, w tym dane osobowe;

6) usuwa podatności, o których mowa w art. 32 ust. 2, oraz informuje o ich usunięciu organ właściwy do spraw cyberbezpieczeństwa.

2. Zgłoszenie, o którym mowa w ust. 1 pkt 4, przekazywane jest w postaci elektronicznej, a w przypadku braku możliwości przekazania go w postaci elektronicznej – przy użyciu innych dostępnych środków komunikacji.

3. W przypadku ustanowienia sektorowego zespołu cyberbezpieczeństwa operator usługi kluczowej niezależnie od zadań określonych w ust. 1:

1) przekazuje jednocześnie temu zespołowi w postaci elektronicznej zgłoszenie, o którym mowa w ust. 1 pkt 4;

2) współdziała z tym zespołem na poziomie sektora lub podsektora podczas obsługi incydentu poważnego lub incydentu krytycznego, przekazując niezbędne dane, w tym dane osobowe;

3) zapewnia temu zespołowi dostęp do informacji o rejestrowanych incydentach w zakresie niezbędnym do realizacji jego zadań.

4. Rada Ministrów określi, w drodze rozporządzenia, progi uznania incydentu za poważny według rodzaju zdarzenia w poszczególnych sektorach i podsektorach określonych w załączniku nr 1 do ustawy, uwzględniając:

1) liczbę użytkowników, których dotyczy zakłócenie świadczenia usługi kluczowej,

2) czas oddziaływania incydentu na świadczoną usługę kluczową,

3) zasięg geograficzny obszaru, którego dotyczy incydent,

4) inne czynniki charakterystyczne dla danego sektora lub podsektora, jeżeli występują

– kierując się potrzebą zapewnienia ochrony przed zagrożeniem życia lub zdrowia ludzi, znacznymi stratami majątkowymi oraz obniżeniem jakości świadczonej usługi kluczowej.

Wersja archiwalna obowiązująca od 2023.05.15 do 2024.07.18     (Dz.U.2023.913 tekst jednolity)

Art. 11. [Zadania operatora usługi kluczowej] 1. Operator usługi kluczowej:

1) zapewnia obsługę incydentu;

2) zapewnia dostęp do informacji o rejestrowanych incydentach właściwemu CSIRT MON, CSIRT NASK lub CSIRT GOV w zakresie niezbędnym do realizacji jego zadań;

3) klasyfikuje incydent jako poważny na podstawie progów uznawania incydentu za poważny;

4) zgłasza incydent poważny niezwłocznie, nie później niż w ciągu 24 godzin od momentu jego wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV;

5) współdziała podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne dane, w tym dane osobowe;

6) usuwa podatności, o których mowa w art. 32 ust. 2, oraz informuje o ich usunięciu organ właściwy do spraw cyberbezpieczeństwa.

2. Zgłoszenie, o którym mowa w ust. 1 pkt 4, przekazywane jest w postaci elektronicznej, a w przypadku braku możliwości przekazania go w postaci elektronicznej – przy użyciu innych dostępnych środków komunikacji.

3. W przypadku ustanowienia sektorowego zespołu cyberbezpieczeństwa operator usługi kluczowej niezależnie od zadań określonych w ust. 1:

1) przekazuje jednocześnie temu zespołowi w postaci elektronicznej zgłoszenie, o którym mowa w ust. 1 pkt 4;

2) współdziała z tym zespołem na poziomie sektora lub podsektora podczas obsługi incydentu poważnego lub incydentu krytycznego, przekazując niezbędne dane, w tym dane osobowe;

3) zapewnia temu zespołowi dostęp do informacji o rejestrowanych incydentach w zakresie niezbędnym do realizacji jego zadań.

4. Rada Ministrów określi, w drodze rozporządzenia, progi uznania incydentu za poważny według rodzaju zdarzenia w poszczególnych sektorach i podsektorach określonych w załączniku nr 1 do ustawy, uwzględniając:

1) liczbę użytkowników, których dotyczy zakłócenie świadczenia usługi kluczowej,

2) czas oddziaływania incydentu na świadczoną usługę kluczową,

3) zasięg geograficzny obszaru, którego dotyczy incydent,

4) inne czynniki charakterystyczne dla danego sektora lub podsektora, jeżeli występują

– kierując się potrzebą zapewnienia ochrony przed zagrożeniem życia lub zdrowia ludzi, znacznymi stratami majątkowymi oraz obniżeniem jakości świadczonej usługi kluczowej.

Wersja archiwalna obowiązująca od 2022.09.05 do 2023.05.14     (Dz.U.2022.1863 tekst jednolity)

Art. 11. [Zadania operatora usługi kluczowej] 1. Operator usługi kluczowej:

1) zapewnia obsługę incydentu;

2) zapewnia dostęp do informacji o rejestrowanych incydentach właściwemu CSIRT MON, CSIRT NASK lub CSIRT GOV w zakresie niezbędnym do realizacji jego zadań;

3) klasyfikuje incydent jako poważny na podstawie progów uznawania incydentu za poważny;

4) zgłasza incydent poważny niezwłocznie, nie później niż w ciągu 24 godzin od momentu jego wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV;

5) współdziała podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne dane, w tym dane osobowe;

6) usuwa podatności, o których mowa w art. 32 ust. 2, oraz informuje o ich usunięciu organ właściwy do spraw cyberbezpieczeństwa.

2. Zgłoszenie, o którym mowa w ust. 1 pkt 4, przekazywane jest w postaci elektronicznej, a w przypadku braku możliwości przekazania go w postaci elektronicznej – przy użyciu innych dostępnych środków komunikacji.

3. W przypadku ustanowienia sektorowego zespołu cyberbezpieczeństwa operator usługi kluczowej niezależnie od zadań określonych w ust. 1:

1) przekazuje jednocześnie temu zespołowi w postaci elektronicznej zgłoszenie, o którym mowa w ust. 1 pkt 4;

2) współdziała z tym zespołem na poziomie sektora lub podsektora podczas obsługi incydentu poważnego lub incydentu krytycznego, przekazując niezbędne dane, w tym dane osobowe;

3) zapewnia temu zespołowi dostęp do informacji o rejestrowanych incydentach w zakresie niezbędnym do realizacji jego zadań.

4. Rada Ministrów określi, w drodze rozporządzenia, progi uznania incydentu za poważny według rodzaju zdarzenia w poszczególnych sektorach i podsektorach określonych w załączniku nr 1 do ustawy, uwzględniając:

1) liczbę użytkowników, których dotyczy zakłócenie świadczenia usługi kluczowej,

2) czas oddziaływania incydentu na świadczoną usługę kluczową,

3) zasięg geograficzny obszaru, którego dotyczy incydent,

4) inne czynniki charakterystyczne dla danego sektora lub podsektora, jeżeli występują

– kierując się potrzebą zapewnienia ochrony przed zagrożeniem życia lub zdrowia ludzi, znacznymi stratami majątkowymi oraz obniżeniem jakości świadczonej usługi kluczowej.

Wersja archiwalna obowiązująca od 2020.08.11 do 2022.09.04     (Dz.U.2020.1369 tekst jednolity)

[Zadania operatora usługi kluczowej] 1. Operator usługi kluczowej:

1) zapewnia obsługę incydentu;

2) zapewnia dostęp do informacji o rejestrowanych incydentach właściwemu CSIRT MON, CSIRT NASK lub CSIRT GOV w zakresie niezbędnym do realizacji jego zadań;

3) klasyfikuje incydent jako poważny na podstawie progów uznawania incydentu za poważny;

4) zgłasza incydent poważny niezwłocznie, nie później niż w ciągu 24 godzin od momentu jego wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV;

5) współdziała podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne dane, w tym dane osobowe;

6) usuwa podatności, o których mowa w art. 32 ust. 2, oraz informuje o ich usunięciu organ właściwy do spraw cyberbezpieczeństwa.

2. Zgłoszenie, o którym mowa w ust. 1 pkt 4, przekazywane jest w postaci elektronicznej, a w przypadku braku możliwości przekazania go w postaci elektronicznej – przy użyciu innych dostępnych środków komunikacji.

3. W przypadku ustanowienia sektorowego zespołu cyberbezpieczeństwa operator usługi kluczowej niezależnie od zadań określonych w ust. 1:

1) przekazuje jednocześnie temu zespołowi w postaci elektronicznej zgłoszenie, o którym mowa w ust. 1 pkt 4;

2) współdziała z tym zespołem na poziomie sektora lub podsektora podczas obsługi incydentu poważnego lub incydentu krytycznego, przekazując niezbędne dane, w tym dane osobowe;

3) zapewnia temu zespołowi dostęp do informacji o rejestrowanych incydentach w zakresie niezbędnym do realizacji jego zadań.

4. Rada Ministrów określi, w drodze rozporządzenia, progi uznania incydentu za poważny według rodzaju zdarzenia w poszczególnych sektorach i podsektorach określonych w załączniku nr 1 do ustawy, uwzględniając:

1) liczbę użytkowników, których dotyczy zakłócenie świadczenia usługi kluczowej,

2) czas oddziaływania incydentu na świadczoną usługę kluczową,

3) zasięg geograficzny obszaru, którego dotyczy incydent,

4) inne czynniki charakterystyczne dla danego sektora lub podsektora, jeżeli występują

– kierując się potrzebą zapewnienia ochrony przed zagrożeniem życia lub zdrowia ludzi, znacznymi stratami majątkowymi oraz obniżeniem jakości świadczonej usługi kluczowej.

Wersja archiwalna obowiązująca od 2018.08.28 do 2020.08.10

[Zadania operatora usługi kluczowej ] 1. Operator usługi kluczowej:

1) zapewnia obsługę incydentu;

2) zapewnia dostęp do informacji o rejestrowanych incydentach właściwemu CSIRT MON, CSIRT NASK lub CSIRT GOV w zakresie niezbędnym do realizacji jego zadań;

3) klasyfikuje incydent jako poważny na podstawie progów uznawania incydentu za poważny;

4) zgłasza incydent poważny niezwłocznie, nie później niż w ciągu 24 godzin od momentu jego wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV;

5) współdziała podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne dane, w tym dane osobowe;

6) usuwa podatności, o których mowa w art. 32 ust. 2, oraz informuje o ich usunięciu organ właściwy do spraw cyberbezpieczeństwa.

2. Zgłoszenie, o którym mowa w ust. 1 pkt 4, przekazywane jest w postaci elektronicznej, a w przypadku braku możliwości przekazania go w postaci elektronicznej – przy użyciu innych dostępnych środków komunikacji.

3. W przypadku ustanowienia sektorowego zespołu cyberbezpieczeństwa operator usługi kluczowej niezależnie od zadań określonych w ust. 1:

1) przekazuje jednocześnie temu zespołowi w postaci elektronicznej zgłoszenie, o którym mowa w ust. 1 pkt 4;

2) współdziała z tym zespołem na poziomie sektora lub podsektora podczas obsługi incydentu poważnego lub incydentu krytycznego, przekazując niezbędne dane, w tym dane osobowe;

3) zapewnia temu zespołowi dostęp do informacji o rejestrowanych incydentach w zakresie niezbędnym do realizacji jego zadań.

4. Rada Ministrów określi, w drodze rozporządzenia, progi uznania incydentu za poważny według rodzaju zdarzenia w poszczególnych sektorach i podsektorach określonych w załączniku nr 1 do ustawy, uwzględniając:

1) liczbę użytkowników, których dotyczy zakłócenie świadczenia usługi kluczowej,

2) czas oddziaływania incydentu na świadczoną usługę kluczową,

3) zasięg geograficzny obszaru, którego dotyczy incydent,

4) inne czynniki charakterystyczne dla danego sektora lub podsektora, jeżeli występują

– kierując się potrzebą zapewnienia ochrony przed zagrożeniem życia lub zdrowia ludzi, znacznymi stratami majątkowymi oraz obniżeniem jakości świadczonej usługi kluczowej.