Wersja obowiązująca od 2026.04.03

Art. 14. [Wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub umowa z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa ] [113] Podmiot kluczowy lub podmiot ważny w celu realizacji zadań, o których mowa w art. 8 oraz w art. 9–13, powołuje wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub zawiera umowę z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa.

[113] Art. 14 w brzmieniu ustalonym przez art. 1 pkt 22 ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

Wersja obowiązująca od 2026.04.03

Art. 14. [Wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub umowa z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa ] [113] Podmiot kluczowy lub podmiot ważny w celu realizacji zadań, o których mowa w art. 8 oraz w art. 9–13, powołuje wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub zawiera umowę z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa.

[113] Art. 14 w brzmieniu ustalonym przez art. 1 pkt 22 ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

Wersja archiwalna obowiązująca od 2026.01.09 do 2026.04.02     (Dz.U.2026.20 tekst jednolity)

Art. 14. [Wewnętrzne struktury powołane przez operatora usługi kluczowej odpowiedzialne za cyberbezpieczeństwo oraz podmioty świadczące usługi z zakresu cyberbezpieczeństwa] 1. Operator usługi kluczowej w celu realizacji zadań, o których mowa w art. 8, art. 9, art. 10 ust. 1–3, art. 11 ust. 1–3, art. 12 i art. 13, powołuje wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub zawiera umowę z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa.

2. Wewnętrzne struktury powołane przez operatora usługi kluczowej odpowiedzialne za cyberbezpieczeństwo oraz podmioty świadczące usługi z zakresu cyberbezpieczeństwa są obowiązane:

1) spełniać warunki organizacyjne i techniczne pozwalające na zapewnienie cyberbezpieczeństwa obsługiwanemu operatorowi usługi kluczowej;

2) dysponować pomieszczeniami służącymi do świadczenia usług z zakresu reagowania na incydenty, zabezpieczonymi przed zagrożeniami fizycznymi i środowiskowymi;

3) stosować zabezpieczenia w celu zapewnienia poufności, integralności, dostępności i autentyczności przetwarzanych informacji, z uwzględnieniem bezpieczeństwa osobowego, eksploatacji i architektury systemów.

3. Operator usługi kluczowej informuje organ właściwy do spraw cyberbezpieczeństwa i właściwy CSIRT MON, CSIRT NASK, CSIRT GOV i sektorowy zespół cyberbezpieczeństwa o podmiocie, z którym została zawarta umowa o świadczenie usług z zakresu cyberbezpieczeństwa, danych kontaktowych tego podmiotu, zakresie świadczonej usługi oraz o rozwiązaniu umowy w terminie 14 dni od dnia zawarcia lub rozwiązania umowy.

4. Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia, warunki organizacyjne i techniczne dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo, uwzględniając Polskie Normy oraz konieczność zapewnienia bezpieczeństwa dla wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo i podmiotów świadczących usługi z zakresu cyberbezpieczeństwa dla operatorów usług kluczowych, a także konieczność zapewnienia bezpieczeństwa informacji przetwarzanych w tych strukturach albo podmiotach.

Wersja archiwalna obowiązująca od 2024.07.19 do 2026.01.08     (Dz.U.2024.1077 tekst jednolity)

[Wewnętrzne struktury powołane przez operatora usługi kluczowej odpowiedzialne za cyberbezpieczeństwo oraz podmioty świadczące usługi z zakresu cyberbezpieczeństwa ] 1. Operator usługi kluczowej w celu realizacji zadań, o których mowa w art. 8, art. 9, art. 10 ust. 1–3, art. 11 ust. 1–3, art. 12 i art. 13, powołuje wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub zawiera umowę z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa.

2. Wewnętrzne struktury powołane przez operatora usługi kluczowej odpowiedzialne za cyberbezpieczeństwo oraz podmioty świadczące usługi z zakresu cyberbezpieczeństwa są obowiązane:

1) spełniać warunki organizacyjne i techniczne pozwalające na zapewnienie cyberbezpieczeństwa obsługiwanemu operatorowi usługi kluczowej;

2) dysponować pomieszczeniami służącymi do świadczenia usług z zakresu reagowania na incydenty, zabezpieczonymi przed zagrożeniami fizycznymi i środowiskowymi;

3) stosować zabezpieczenia w celu zapewnienia poufności, integralności, dostępności i autentyczności przetwarzanych informacji, z uwzględnieniem bezpieczeństwa osobowego, eksploatacji i architektury systemów.

3. Operator usługi kluczowej informuje organ właściwy do spraw cyberbezpieczeństwa i właściwy CSIRT MON, CSIRT NASK, CSIRT GOV i sektorowy zespół cyberbezpieczeństwa o podmiocie, z którym została zawarta umowa o świadczenie usług z zakresu cyberbezpieczeństwa, danych kontaktowych tego podmiotu, zakresie świadczonej usługi oraz o rozwiązaniu umowy w terminie 14 dni od dnia zawarcia lub rozwiązania umowy.

4. Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia, warunki organizacyjne i techniczne dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo, uwzględniając Polskie Normy oraz konieczność zapewnienia bezpieczeństwa dla wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo i podmiotów świadczących usługi z zakresu cyberbezpieczeństwa dla operatorów usług kluczowych, a także konieczność zapewnienia bezpieczeństwa informacji przetwarzanych w tych strukturach albo podmiotach.

Wersja archiwalna obowiązująca od 2023.05.15 do 2024.07.18     (Dz.U.2023.913 tekst jednolity)

Art. 14. [Wewnętrzne struktury powołane przez operatora usługi kluczowej odpowiedzialne za cyberbezpieczeństwo oraz podmioty świadczące usługi z zakresu cyberbezpieczeństwa] 1. Operator usługi kluczowej w celu realizacji zadań, o których mowa w art. 8, art. 9, art. 10 ust. 1–3, art. 11 ust. 1–3, art. 12 i art. 13, powołuje wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub zawiera umowę z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa.

2. Wewnętrzne struktury powołane przez operatora usługi kluczowej odpowiedzialne za cyberbezpieczeństwo oraz podmioty świadczące usługi z zakresu cyberbezpieczeństwa są obowiązane:

1) spełniać warunki organizacyjne i techniczne pozwalające na zapewnienie cyberbezpieczeństwa obsługiwanemu operatorowi usługi kluczowej;

2) dysponować pomieszczeniami służącymi do świadczenia usług z zakresu reagowania na incydenty, zabezpieczonymi przed zagrożeniami fizycznymi i środowiskowymi;

3) stosować zabezpieczenia w celu zapewnienia poufności, integralności, dostępności i autentyczności przetwarzanych informacji, z uwzględnieniem bezpieczeństwa osobowego, eksploatacji i architektury systemów.

3. Operator usługi kluczowej informuje organ właściwy do spraw cyberbezpieczeństwa i właściwy CSIRT MON, CSIRT NASK, CSIRT GOV i sektorowy zespół cyberbezpieczeństwa o podmiocie, z którym została zawarta umowa o świadczenie usług z zakresu cyberbezpieczeństwa, danych kontaktowych tego podmiotu, zakresie świadczonej usługi oraz o rozwiązaniu umowy w terminie 14 dni od dnia zawarcia lub rozwiązania umowy.

4. Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia, warunki organizacyjne i techniczne dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo, uwzględniając Polskie Normy oraz konieczność zapewnienia bezpieczeństwa dla wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo i podmiotów świadczących usługi z zakresu cyberbezpieczeństwa dla operatorów usług kluczowych, a także konieczność zapewnienia bezpieczeństwa informacji przetwarzanych w tych strukturach albo podmiotach.

Wersja archiwalna obowiązująca od 2022.09.05 do 2023.05.14     (Dz.U.2022.1863 tekst jednolity)

Art. 14. [Wewnętrzne struktury powołane przez operatora usługi kluczowej odpowiedzialne za cyberbezpieczeństwo oraz podmioty świadczące usługi z zakresu cyberbezpieczeństwa] 1. Operator usługi kluczowej w celu realizacji zadań, o których mowa w art. 8, art. 9, art. 10 ust. 1–3, art. 11 ust. 1–3, art. 12 i art. 13, powołuje wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub zawiera umowę z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa.

2. Wewnętrzne struktury powołane przez operatora usługi kluczowej odpowiedzialne za cyberbezpieczeństwo oraz podmioty świadczące usługi z zakresu cyberbezpieczeństwa są obowiązane:

1) spełniać warunki organizacyjne i techniczne pozwalające na zapewnienie cyberbezpieczeństwa obsługiwanemu operatorowi usługi kluczowej;

2) dysponować pomieszczeniami służącymi do świadczenia usług z zakresu reagowania na incydenty, zabezpieczonymi przed zagrożeniami fizycznymi i środowiskowymi;

3) stosować zabezpieczenia w celu zapewnienia poufności, integralności, dostępności i autentyczności przetwarzanych informacji, z uwzględnieniem bezpieczeństwa osobowego, eksploatacji i architektury systemów.

3. Operator usługi kluczowej informuje organ właściwy do spraw cyberbezpieczeństwa i właściwy CSIRT MON, CSIRT NASK, CSIRT GOV i sektorowy zespół cyberbezpieczeństwa o podmiocie, z którym została zawarta umowa o świadczenie usług z zakresu cyberbezpieczeństwa, danych kontaktowych tego podmiotu, zakresie świadczonej usługi oraz o rozwiązaniu umowy w terminie 14 dni od dnia zawarcia lub rozwiązania umowy.

4. Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia, warunki organizacyjne i techniczne dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo, uwzględniając Polskie Normy oraz konieczność zapewnienia bezpieczeństwa dla wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo i podmiotów świadczących usługi z zakresu cyberbezpieczeństwa dla operatorów usług kluczowych, a także konieczność zapewnienia bezpieczeństwa informacji przetwarzanych w tych strukturach albo podmiotach.

Wersja archiwalna obowiązująca od 2020.08.11 do 2022.09.04     (Dz.U.2020.1369 tekst jednolity)

[Wewnętrzne struktury powołane przez operatora usługi kluczowej odpowiedzialne za cyberbezpieczeństwo oraz podmioty świadczące usługi z zakresu cyberbezpieczeństwa ] 1. Operator usługi kluczowej w celu realizacji zadań, o których mowa w art. 8, art. 9, art. 10 ust. 1–3, art. 11 ust. 1–3, art. 12 i art. 13, powołuje wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub zawiera umowę z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa.

2. Wewnętrzne struktury powołane przez operatora usługi kluczowej odpowiedzialne za cyberbezpieczeństwo oraz podmioty świadczące usługi z zakresu cyberbezpieczeństwa są obowiązane:

1) spełniać warunki organizacyjne i techniczne pozwalające na zapewnienie cyberbezpieczeństwa obsługiwanemu operatorowi usługi kluczowej;

2) dysponować pomieszczeniami służącymi do świadczenia usług z zakresu reagowania na incydenty, zabezpieczonymi przed zagrożeniami fizycznymi i środowiskowymi;

3) stosować zabezpieczenia w celu zapewnienia poufności, integralności, dostępności i autentyczności przetwarzanych informacji, z uwzględnieniem bezpieczeństwa osobowego, eksploatacji i architektury systemów.

3. Operator usługi kluczowej informuje organ właściwy do spraw cyberbezpieczeństwa i właściwy CSIRT MON, CSIRT NASK, CSIRT GOV i sektorowy zespół cyberbezpieczeństwa o podmiocie, z którym została zawarta umowa o świadczenie usług z zakresu cyberbezpieczeństwa, danych kontaktowych tego podmiotu, zakresie świadczonej usługi oraz o rozwiązaniu umowy w terminie 14 dni od dnia zawarcia lub rozwiązania umowy.

4. Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia, warunki organizacyjne i techniczne dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo, uwzględniając Polskie Normy oraz konieczność zapewnienia bezpieczeństwa dla wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo i podmiotów świadczących usługi z zakresu cyberbezpieczeństwa dla operatorów usług kluczowych, a także konieczność zapewnienia bezpieczeństwa informacji przetwarzanych w tych strukturach albo podmiotach.

Wersja archiwalna obowiązująca od 2018.08.28 do 2020.08.10

[Wewnętrzne struktury powołane przez operatora usługi kluczowej odpowiedzialne za cyberbezpieczeństwo oraz podmioty świadczące usługi z zakresu cyberbezpieczeństwa ] 1. Operator usługi kluczowej w celu realizacji zadań, o których mowa w art. 8, art. 9, art. 10 ust. 1–3, art. 11 ust. 1–3, art. 12 i art. 13, powołuje wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub zawiera umowę z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa.

2. Wewnętrzne struktury powołane przez operatora usługi kluczowej odpowiedzialne za cyberbezpieczeństwo oraz podmioty świadczące usługi z zakresu cyberbezpieczeństwa są obowiązane:

1) spełniać warunki organizacyjne i techniczne pozwalające na zapewnienie cyberbezpieczeństwa obsługiwanemu operatorowi usługi kluczowej;

2) dysponować pomieszczeniami służącymi do świadczenia usług z zakresu reagowania na incydenty, zabezpieczonymi przed zagrożeniami fizycznymi i środowiskowymi;

3) stosować zabezpieczenia w celu zapewnienia poufności, integralności, dostępności i autentyczności przetwarzanych informacji, z uwzględnieniem bezpieczeństwa osobowego, eksploatacji i architektury systemów.

3. Operator usługi kluczowej informuje organ właściwy do spraw cyberbezpieczeństwa i właściwy CSIRT MON, CSIRT NASK, CSIRT GOV i sektorowy zespół cyberbezpieczeństwa o podmiocie, z którym została zawarta umowa o świadczenie usług z zakresu cyberbezpieczeństwa, danych kontaktowych tego podmiotu, zakresie świadczonej usługi oraz o rozwiązaniu umowy w terminie 14 dni od dnia zawarcia lub rozwiązania umowy.

4. Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia, warunki organizacyjne i techniczne dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo, uwzględniając Polskie Normy oraz konieczność zapewnienia bezpieczeństwa dla wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo i podmiotów świadczących usługi z zakresu cyberbezpieczeństwa dla operatorów usług kluczowych, a także konieczność zapewnienia bezpieczeństwa informacji przetwarzanych w tych strukturach albo podmiotach.