Wersja obowiązująca od 2026.04.03

Art. 4. [Zakres krajowego systemu cyberbezpieczeństwa] Krajowy system cyberbezpieczeństwa obejmuje:

1) [51] podmioty kluczowe;

2) [52] podmioty ważne;

3) CSIRT MON;

4) CSIRT NASK;

5) CSIRT GOV;

6) [53] CSIRT sektorowe;

7) [54] (uchylony)

8) [55] (uchylony)

9) [56] (uchylony)

10) [57] (uchylony)

11) [58] (uchylony)

12) [59] (uchylony)

13) [60] (uchylony)

14) [61] (uchylony)

15) [62] (uchylony)

16) [63] (uchylony)

17) organy właściwe do spraw cyberbezpieczeństwa;

17a) [64] Połączone Centrum Operacyjne Cyberbezpieczeństwa, zwane dalej „PCOC”;

18) Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa, zwany dalej „Pojedynczym Punktem Kontaktowym”;

19) Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa, zwanego dalej „Pełnomocnikiem”;

20) Kolegium do Spraw Cyberbezpieczeństwa, zwane dalej „Kolegium”.

[51] Art. 4 pkt 1 w brzmieniu ustalonym przez art. 1 pkt 8 lit. a) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[52] Art. 4 pkt 2 w brzmieniu ustalonym przez art. 1 pkt 8 lit. a) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[53] Art. 4 pkt 6 w brzmieniu ustalonym przez art. 1 pkt 8 lit. b) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[54] Art. 4 pkt 7 uchylony przez art. 1 pkt 8 lit. c) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[55] Art. 4 pkt 8 uchylony przez art. 1 pkt 8 lit. c) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[56] Art. 4 pkt 9 uchylony przez art. 1 pkt 8 lit. c) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[57] Art. 4 pkt 10 uchylony przez art. 1 pkt 8 lit. c) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[58] Art. 4 pkt 11 uchylony przez art. 1 pkt 8 lit. c) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[59] Art. 4 pkt 12 uchylony przez art. 1 pkt 8 lit. c) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[60] Art. 4 pkt 13 uchylony przez art. 1 pkt 8 lit. c) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[61] Art. 4 pkt 14 uchylony przez art. 1 pkt 8 lit. c) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[62] Art. 4 pkt 15 uchylony przez art. 1 pkt 8 lit. c) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[63] Art. 4 pkt 16 uchylony przez art. 1 pkt 8 lit. c) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[64] Art. 4 pkt 17a dodany przez art. 1 pkt 8 lit. d) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

Wersja obowiązująca od 2026.04.03

Art. 4. [Zakres krajowego systemu cyberbezpieczeństwa] Krajowy system cyberbezpieczeństwa obejmuje:

1) [51] podmioty kluczowe;

2) [52] podmioty ważne;

3) CSIRT MON;

4) CSIRT NASK;

5) CSIRT GOV;

6) [53] CSIRT sektorowe;

7) [54] (uchylony)

8) [55] (uchylony)

9) [56] (uchylony)

10) [57] (uchylony)

11) [58] (uchylony)

12) [59] (uchylony)

13) [60] (uchylony)

14) [61] (uchylony)

15) [62] (uchylony)

16) [63] (uchylony)

17) organy właściwe do spraw cyberbezpieczeństwa;

17a) [64] Połączone Centrum Operacyjne Cyberbezpieczeństwa, zwane dalej „PCOC”;

18) Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa, zwany dalej „Pojedynczym Punktem Kontaktowym”;

19) Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa, zwanego dalej „Pełnomocnikiem”;

20) Kolegium do Spraw Cyberbezpieczeństwa, zwane dalej „Kolegium”.

[51] Art. 4 pkt 1 w brzmieniu ustalonym przez art. 1 pkt 8 lit. a) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[52] Art. 4 pkt 2 w brzmieniu ustalonym przez art. 1 pkt 8 lit. a) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[53] Art. 4 pkt 6 w brzmieniu ustalonym przez art. 1 pkt 8 lit. b) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[54] Art. 4 pkt 7 uchylony przez art. 1 pkt 8 lit. c) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[55] Art. 4 pkt 8 uchylony przez art. 1 pkt 8 lit. c) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[56] Art. 4 pkt 9 uchylony przez art. 1 pkt 8 lit. c) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[57] Art. 4 pkt 10 uchylony przez art. 1 pkt 8 lit. c) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[58] Art. 4 pkt 11 uchylony przez art. 1 pkt 8 lit. c) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[59] Art. 4 pkt 12 uchylony przez art. 1 pkt 8 lit. c) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[60] Art. 4 pkt 13 uchylony przez art. 1 pkt 8 lit. c) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[61] Art. 4 pkt 14 uchylony przez art. 1 pkt 8 lit. c) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[62] Art. 4 pkt 15 uchylony przez art. 1 pkt 8 lit. c) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[63] Art. 4 pkt 16 uchylony przez art. 1 pkt 8 lit. c) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[64] Art. 4 pkt 17a dodany przez art. 1 pkt 8 lit. d) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

Wersja archiwalna obowiązująca od 2026.01.09 do 2026.04.02     (Dz.U.2026.20 tekst jednolity)

Art. 4. [Zakres krajowego systemu cyberbezpieczeństwa] Krajowy system cyberbezpieczeństwa obejmuje:

1) operatorów usług kluczowych;

2) dostawców usług cyfrowych;

3) CSIRT MON;

4) CSIRT NASK;

5) CSIRT GOV;

6) sektorowe zespoły cyberbezpieczeństwa;

7) jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1–6, 8, 9, 11 i 12 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2025 r. poz. 1483);

8) instytuty badawcze;

9) Narodowy Bank Polski;

10) Bank Gospodarstwa Krajowego;

11) Urząd Dozoru Technicznego;

12) Polską Agencję Żeglugi Powietrznej;

13) Polskie Centrum Akredytacji;

14) Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej oraz wojewódzkie fundusze ochrony środowiska i gospodarki wodnej;

15) spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej w rozumieniu art. 1 ust. 2 ustawy z dnia 20 grudnia 1996 r. o gospodarce komunalnej (Dz. U. z 2021 r. poz. 679);

16) podmioty świadczące usługi z zakresu cyberbezpieczeństwa;

17) organy właściwe do spraw cyberbezpieczeństwa;

18) Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa, zwany dalej „Pojedynczym Punktem Kontaktowym”;

19) Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa, zwanego dalej „Pełnomocnikiem”;

20) Kolegium do Spraw Cyberbezpieczeństwa, zwane dalej „Kolegium”.

Wersja archiwalna obowiązująca od 2024.07.19 do 2026.01.08     (Dz.U.2024.1077 tekst jednolity)

[Zakres krajowego systemu cyberbezpieczeństwa ] Krajowy system cyberbezpieczeństwa obejmuje:

1) operatorów usług kluczowych;

2) dostawców usług cyfrowych;

3) CSIRT MON;

4) CSIRT NASK;

5) CSIRT GOV;

6) sektorowe zespoły cyberbezpieczeństwa;

7) jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1–6, 8, 9, 11 i 12 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2023 r. poz. 1270, z późn. zm.);

8) instytuty badawcze;

9) Narodowy Bank Polski;

10) Bank Gospodarstwa Krajowego;

11) Urząd Dozoru Technicznego;

12) Polską Agencję Żeglugi Powietrznej;

13) Polskie Centrum Akredytacji;

14) Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej oraz wojewódzkie fundusze ochrony środowiska i gospodarki wodnej;

15) spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej w rozumieniu art. 1 ust. 2 ustawy z dnia 20 grudnia 1996 r. o gospodarce komunalnej (Dz. U. z 2021 r. poz. 679);

16) podmioty świadczące usługi z zakresu cyberbezpieczeństwa;

17) organy właściwe do spraw cyberbezpieczeństwa;

18) Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa, zwany dalej „Pojedynczym Punktem Kontaktowym”;

19) Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa, zwanego dalej „Pełnomocnikiem”;

20) Kolegium do Spraw Cyberbezpieczeństwa, zwane dalej „Kolegium”.

Wersja archiwalna obowiązująca od 2023.05.15 do 2024.07.18     (Dz.U.2023.913 tekst jednolity)

Art. 4. [Zakres krajowego systemu cyberbezpieczeństwa] Krajowy system cyberbezpieczeństwa obejmuje:

1) operatorów usług kluczowych;

2) dostawców usług cyfrowych;

3) CSIRT MON;

4) CSIRT NASK;

5) CSIRT GOV;

6) sektorowe zespoły cyberbezpieczeństwa;

7) jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1–6, 8, 9, 11 i 12 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2022 r. poz. 1634, z późn. zm.);

8) instytuty badawcze;

9) Narodowy Bank Polski;

10) Bank Gospodarstwa Krajowego;

11) Urząd Dozoru Technicznego;

12) Polską Agencję Żeglugi Powietrznej;

13) Polskie Centrum Akredytacji;

14) Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej oraz wojewódzkie fundusze ochrony środowiska i gospodarki wodnej;

15) spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej w rozumieniu art. 1 ust. 2 ustawy z dnia 20 grudnia 1996 r. o gospodarce komunalnej (Dz. U. z 2021 r. poz. 679);

16) podmioty świadczące usługi z zakresu cyberbezpieczeństwa;

17) organy właściwe do spraw cyberbezpieczeństwa;

18) Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa, zwany dalej „Pojedynczym Punktem Kontaktowym”;

19) Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa, zwanego dalej „Pełnomocnikiem”;

20) Kolegium do Spraw Cyberbezpieczeństwa, zwane dalej „Kolegium”.

Wersja archiwalna obowiązująca od 2022.09.05 do 2023.05.14     (Dz.U.2022.1863 tekst jednolity)

Art. 4. [Zakres krajowego systemu cyberbezpieczeństwa] Krajowy system cyberbezpieczeństwa obejmuje:

1) operatorów usług kluczowych;

2) dostawców usług cyfrowych;

3) CSIRT MON;

4) CSIRT NASK;

5) CSIRT GOV;

6) sektorowe zespoły cyberbezpieczeństwa;

7) jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1–6, 8, 9, 11 i 12 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2021 r. poz. 305, z późn. zm.);

8) instytuty badawcze;

9) Narodowy Bank Polski;

10) Bank Gospodarstwa Krajowego;

11) Urząd Dozoru Technicznego;

12) Polską Agencję Żeglugi Powietrznej;

13) Polskie Centrum Akredytacji;

14) Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej oraz wojewódzkie fundusze ochrony środowiska i gospodarki wodnej;

15) spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej w rozumieniu art. 1 ust. 2 ustawy z dnia 20 grudnia 1996 r. o gospodarce komunalnej (Dz. U. z 2021 r. poz. 679);

16) podmioty świadczące usługi z zakresu cyberbezpieczeństwa;

17) organy właściwe do spraw cyberbezpieczeństwa;

18) Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa, zwany dalej „Pojedynczym Punktem Kontaktowym”;

19) Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa, zwanego dalej „Pełnomocnikiem”;

20) Kolegium do Spraw Cyberbezpieczeństwa, zwane dalej „Kolegium”.

Wersja archiwalna obowiązująca od 2020.08.11 do 2022.09.04     (Dz.U.2020.1369 tekst jednolity)

[Zakres krajowego systemu cyberbezpieczeństwa] Krajowy system cyberbezpieczeństwa obejmuje:

1) operatorów usług kluczowych;

2) dostawców usług cyfrowych;

3) CSIRT MON;

4) CSIRT NASK;

5) CSIRT GOV;

6) sektorowe zespoły cyberbezpieczeństwa;

7) jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1–6, 8, 9, 11 i 12 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2019 r. poz. 869, z późn. zm.);

8) instytuty badawcze;

9) Narodowy Bank Polski;

10) Bank Gospodarstwa Krajowego;

11) Urząd Dozoru Technicznego;

12) Polską Agencję Żeglugi Powietrznej;

13) Polskie Centrum Akredytacji;

14) Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej oraz wojewódzkie fundusze ochrony środowiska i gospodarki wodnej;

15) spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej w rozumieniu art. 1 ust. 2 ustawy z dnia 20 grudnia 1996 r. o gospodarce komunalnej (Dz. U. z 2019 r. poz. 712 i 2020);

16) podmioty świadczące usługi z zakresu cyberbezpieczeństwa;

17) organy właściwe do spraw cyberbezpieczeństwa;

18) Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa, zwany dalej „Pojedynczym Punktem Kontaktowym”;

19) Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa, zwanego dalej „Pełnomocnikiem”;

20) Kolegium do Spraw Cyberbezpieczeństwa, zwane dalej „Kolegium”.

Wersja archiwalna obowiązująca od 2018.08.28 do 2020.08.10

[Zakres krajowego systemu cyberbezpieczeństwa ] Krajowy system cyberbezpieczeństwa obejmuje:

1) operatorów usług kluczowych;

2) dostawców usług cyfrowych;

3) CSIRT MON;

4) CSIRT NASK;

5) CSIRT GOV;

6) sektorowe zespoły cyberbezpieczeństwa;

7) jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1–6, 8, 9, 11 i 12 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2017 r. poz. 2077 oraz z 2018 r. poz. 62, 1000 i 1366);

8) instytuty badawcze;

9) Narodowy Bank Polski;

10) Bank Gospodarstwa Krajowego;

11) Urząd Dozoru Technicznego;

12) Polską Agencję Żeglugi Powietrznej;

13) Polskie Centrum Akredytacji;

14) Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej oraz wojewódzkie fundusze ochrony środowiska i gospodarki wodnej;

15) spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej w rozumieniu art. 1 ust. 2 ustawy z dnia 20 grudnia 1996 r. o gospodarce komunalnej (Dz. U. z 2017 r. poz. 827 oraz z 2018 r. poz. 1496);

16) podmioty świadczące usługi z zakresu cyberbezpieczeństwa;

17) organy właściwe do spraw cyberbezpieczeństwa;

18) Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa, zwany dalej „Pojedynczym Punktem Kontaktowym”;

19) Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa, zwanego dalej „Pełnomocnikiem”;

20) Kolegium do Spraw Cyberbezpieczeństwa, zwane dalej „Kolegium”.