Wersja obowiązująca od 2026.04.03

Art. 7. [Wykaz podmiotów kluczowych i podmiotów ważnych] [68] 1. Wykaz podmiotów kluczowych i podmiotów ważnych, zwany dalej „wykazem”, jest prowadzony w celu:

1) identyfikacji podmiotów kluczowych i podmiotów ważnych;

2) zapewnienia wymiany informacji w zakresie cyberbezpieczeństwa, w tym o incydentach, podatnościach i cyberzagrożeniach między podmiotami kluczowymi i podmiotami ważnymi a CSIRT MON, CSIRT NASK, CSIRT GOV, CSIRT sektorowymi i organami właściwymi do spraw cyberbezpieczeństwa;

3) umożliwienia prowadzenia czynności nadzorczych nad podmiotami kluczowymi i podmiotami ważnymi.

2. Wykaz zawiera:

1) nazwę (firmę) podmiotu kluczowego lub podmiotu ważnego;

2) sektor, podsektor i rodzaj lub rodzaje podmiotu, zgodnie z załącznikiem nr 1 lub 2 do ustawy;

3) adres siedziby i adres do korespondencji;

4) adres do doręczeń elektronicznych, jeżeli został wpisany do bazy adresów elektronicznych;

5) adres poczty elektronicznej;

6) numer identyfikacji podatkowej (NIP), jeżeli został nadany;

7) numer identyfikacyjny podmiotu publicznego w krajowym rejestrze urzędowym podmiotów gospodarki narodowej (REGON), jeżeli został nadany;

8) numer we właściwym rejestrze działalności regulowanej, jeżeli został nadany;

9) zakres publicznych adresów IP wykorzystywanych przez podmiot kluczowy lub podmiot ważny w sposób ciągły;

10) domeny internetowe wykorzystywane przez podmiot kluczowy lub podmiot ważny w sposób ciągły;

11) dane osób do kontaktu z podmiotami z krajowego systemu cyberbezpieczeństwa zawierające: imię i nazwisko, numer telefonu służbowego oraz adres służbowej poczty elektronicznej, a w przypadku osoby, która będzie pełnić rolę administratora konta podmiotu w systemie teleinformatycznym, o którym mowa w art. 46 ust. 1, dodatkowo numer PESEL lub niepowtarzalny identyfikator środka identyfikacji elektronicznej, o którym mowa w aktach wykonawczych Komisji Europejskiej, wydanych na podstawie art. 12 ust. 8 rozporządzenia 910/2014;

12) numer telefonu przyporządkowany do wykonywanej działalności;

13) deklarację podmiotu kluczowego lub podmiotu ważnego, czy spełnia kryteria mikroprzedsiębiorcy, małego przedsiębiorcy, średniego przedsiębiorcy, o którym mowa w art. 2 ust. 1 załącznika I do rozporządzenia 651/2014/UE, albo przekracza te kryteria, a w przypadku podmiotu leczniczego, który nie jest przedsiębiorcą, oraz urzędu gminy – deklarację wskazującą liczbę osób zatrudnionych według stanu na dzień sporządzenia sprawozdania finansowego;

14) informację określającą, w których państwach członkowskich Unii Europejskiej podmiot kluczowy lub podmiot ważny wykonuje działalność, wraz z określeniem rodzaju wykonywanej działalności;

15) w przypadku dostawcy usług DNS, rejestru nazw domen najwyższego poziomu (TLD), podmiotu świadczącego usługi rejestracji nazw domen, dostawcy chmury obliczeniowej, dostawcy usługi centrum przetwarzania danych, dostawcy sieci dostarczania treści, dostawcy usług zarządzanych, dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa, dostawcy internetowej platformy handlowej, dostawcy wyszukiwarki internetowej oraz dostawcy platformy usług sieci społecznościowych – główne miejsce prowadzenia działalności ustalone zgodnie z art. 5a ust. 3–6;

16) informację o zawarciu umowy z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa na realizację zadań, o których mowa w art. 8 i art. 11, wraz z danymi tego dostawcy zawierającymi nazwę (firmę) dostawcy, adres siedziby, adres do korespondencji, numer telefonu, adres poczty elektronicznej;

17) informację o ustanowieniu przedstawiciela podmiotu kluczowego lub podmiotu ważnego, o którym mowa w art. 5a ust. 7, wraz z danymi kontaktowymi do tego przedstawiciela obejmujące:

a) w przypadku osób fizycznych: imię i nazwisko, adres do korespondencji, numer telefonu służbowego oraz adres służbowej poczty elektronicznej,

b) w przypadku osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej: nazwę (firmę) przedstawiciela, adres siedziby, adres do korespondencji, numer telefonu oraz adres poczty elektronicznej;

18) informację o zawarciu przez podmiot kluczowy lub podmiot ważny porozumienia, o którym mowa w art. 8h ust. 6;

19) informację o uznaniu podmiotu kluczowego lub podmiotu ważnego za podmiot krytyczny;

20) wskazanie organu właściwego do spraw cyberbezpieczeństwa dla podmiotu kluczowego lub podmiotu ważnego;

21) wskazanie CSIRT sektorowego właściwego dla podmiotu kluczowego lub podmiotu ważnego;

22) wskazanie CSIRT MON, CSIRT NASK lub CSIRT GOV właściwego dla podmiotu kluczowego lub podmiotu ważnego;

23) numer w wykazie;

24) datę wpisu do wykazu;

25) podstawę prawną wpisania do wykazu;

26) datę wykreślenia z wykazu.

3. Do danych, o których mowa w ust. 2, nie stosuje się przepisów ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. z 2022 r. poz. 902 oraz z 2025 r. poz. 1844) oraz ustawy z dnia 11 sierpnia 2021 r. o otwartych danych i ponownym wykorzystywaniu informacji sektora publicznego (Dz. U. z 2023 r. poz. 1524).

4. Organ właściwy do spraw cyberbezpieczeństwa prowadzi wykaz w zakresie nadzorowanego sektora i w tym zakresie jest administratorem danych zawartych w wykazie.

5. Organ właściwy do spraw cyberbezpieczeństwa:

1) może wpisać podmiot do wykazu zgodnie z art. 7j i art. 7l ust. 6;

2) wykreśla podmiot z wykazu zgodnie z art. 7f ust. 2;

3) może dokonać czynności sprawdzających, o których mowa w art. 7k.

6. Minister właściwy do spraw informatyzacji zapewnia rozwój lub utrzymanie systemu teleinformatycznego, o którym mowa w art. 46 ust. 1, za pomocą którego wykaz jest prowadzony.

7. Minister właściwy do spraw informatyzacji jest współadministratorem danych, w tym danych osobowych, gromadzonych w wykazie.

8. Minister właściwy do spraw informatyzacji podejmuje czynności, o których mowa w art. 7a, art. 7b ust. 1 i 2, art. 7d ust. 6, art. 7e, art. 7f ust. 1, art. 7g ust. 1 i 2, art. 7i oraz art. 7m.

[68] Art. 7 w brzmieniu ustalonym przez art. 1 pkt 13 ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

Wersja obowiązująca od 2026.04.03

Art. 7. [Wykaz podmiotów kluczowych i podmiotów ważnych] [68] 1. Wykaz podmiotów kluczowych i podmiotów ważnych, zwany dalej „wykazem”, jest prowadzony w celu:

1) identyfikacji podmiotów kluczowych i podmiotów ważnych;

2) zapewnienia wymiany informacji w zakresie cyberbezpieczeństwa, w tym o incydentach, podatnościach i cyberzagrożeniach między podmiotami kluczowymi i podmiotami ważnymi a CSIRT MON, CSIRT NASK, CSIRT GOV, CSIRT sektorowymi i organami właściwymi do spraw cyberbezpieczeństwa;

3) umożliwienia prowadzenia czynności nadzorczych nad podmiotami kluczowymi i podmiotami ważnymi.

2. Wykaz zawiera:

1) nazwę (firmę) podmiotu kluczowego lub podmiotu ważnego;

2) sektor, podsektor i rodzaj lub rodzaje podmiotu, zgodnie z załącznikiem nr 1 lub 2 do ustawy;

3) adres siedziby i adres do korespondencji;

4) adres do doręczeń elektronicznych, jeżeli został wpisany do bazy adresów elektronicznych;

5) adres poczty elektronicznej;

6) numer identyfikacji podatkowej (NIP), jeżeli został nadany;

7) numer identyfikacyjny podmiotu publicznego w krajowym rejestrze urzędowym podmiotów gospodarki narodowej (REGON), jeżeli został nadany;

8) numer we właściwym rejestrze działalności regulowanej, jeżeli został nadany;

9) zakres publicznych adresów IP wykorzystywanych przez podmiot kluczowy lub podmiot ważny w sposób ciągły;

10) domeny internetowe wykorzystywane przez podmiot kluczowy lub podmiot ważny w sposób ciągły;

11) dane osób do kontaktu z podmiotami z krajowego systemu cyberbezpieczeństwa zawierające: imię i nazwisko, numer telefonu służbowego oraz adres służbowej poczty elektronicznej, a w przypadku osoby, która będzie pełnić rolę administratora konta podmiotu w systemie teleinformatycznym, o którym mowa w art. 46 ust. 1, dodatkowo numer PESEL lub niepowtarzalny identyfikator środka identyfikacji elektronicznej, o którym mowa w aktach wykonawczych Komisji Europejskiej, wydanych na podstawie art. 12 ust. 8 rozporządzenia 910/2014;

12) numer telefonu przyporządkowany do wykonywanej działalności;

13) deklarację podmiotu kluczowego lub podmiotu ważnego, czy spełnia kryteria mikroprzedsiębiorcy, małego przedsiębiorcy, średniego przedsiębiorcy, o którym mowa w art. 2 ust. 1 załącznika I do rozporządzenia 651/2014/UE, albo przekracza te kryteria, a w przypadku podmiotu leczniczego, który nie jest przedsiębiorcą, oraz urzędu gminy – deklarację wskazującą liczbę osób zatrudnionych według stanu na dzień sporządzenia sprawozdania finansowego;

14) informację określającą, w których państwach członkowskich Unii Europejskiej podmiot kluczowy lub podmiot ważny wykonuje działalność, wraz z określeniem rodzaju wykonywanej działalności;

15) w przypadku dostawcy usług DNS, rejestru nazw domen najwyższego poziomu (TLD), podmiotu świadczącego usługi rejestracji nazw domen, dostawcy chmury obliczeniowej, dostawcy usługi centrum przetwarzania danych, dostawcy sieci dostarczania treści, dostawcy usług zarządzanych, dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa, dostawcy internetowej platformy handlowej, dostawcy wyszukiwarki internetowej oraz dostawcy platformy usług sieci społecznościowych – główne miejsce prowadzenia działalności ustalone zgodnie z art. 5a ust. 3–6;

16) informację o zawarciu umowy z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa na realizację zadań, o których mowa w art. 8 i art. 11, wraz z danymi tego dostawcy zawierającymi nazwę (firmę) dostawcy, adres siedziby, adres do korespondencji, numer telefonu, adres poczty elektronicznej;

17) informację o ustanowieniu przedstawiciela podmiotu kluczowego lub podmiotu ważnego, o którym mowa w art. 5a ust. 7, wraz z danymi kontaktowymi do tego przedstawiciela obejmujące:

a) w przypadku osób fizycznych: imię i nazwisko, adres do korespondencji, numer telefonu służbowego oraz adres służbowej poczty elektronicznej,

b) w przypadku osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej: nazwę (firmę) przedstawiciela, adres siedziby, adres do korespondencji, numer telefonu oraz adres poczty elektronicznej;

18) informację o zawarciu przez podmiot kluczowy lub podmiot ważny porozumienia, o którym mowa w art. 8h ust. 6;

19) informację o uznaniu podmiotu kluczowego lub podmiotu ważnego za podmiot krytyczny;

20) wskazanie organu właściwego do spraw cyberbezpieczeństwa dla podmiotu kluczowego lub podmiotu ważnego;

21) wskazanie CSIRT sektorowego właściwego dla podmiotu kluczowego lub podmiotu ważnego;

22) wskazanie CSIRT MON, CSIRT NASK lub CSIRT GOV właściwego dla podmiotu kluczowego lub podmiotu ważnego;

23) numer w wykazie;

24) datę wpisu do wykazu;

25) podstawę prawną wpisania do wykazu;

26) datę wykreślenia z wykazu.

3. Do danych, o których mowa w ust. 2, nie stosuje się przepisów ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. z 2022 r. poz. 902 oraz z 2025 r. poz. 1844) oraz ustawy z dnia 11 sierpnia 2021 r. o otwartych danych i ponownym wykorzystywaniu informacji sektora publicznego (Dz. U. z 2023 r. poz. 1524).

4. Organ właściwy do spraw cyberbezpieczeństwa prowadzi wykaz w zakresie nadzorowanego sektora i w tym zakresie jest administratorem danych zawartych w wykazie.

5. Organ właściwy do spraw cyberbezpieczeństwa:

1) może wpisać podmiot do wykazu zgodnie z art. 7j i art. 7l ust. 6;

2) wykreśla podmiot z wykazu zgodnie z art. 7f ust. 2;

3) może dokonać czynności sprawdzających, o których mowa w art. 7k.

6. Minister właściwy do spraw informatyzacji zapewnia rozwój lub utrzymanie systemu teleinformatycznego, o którym mowa w art. 46 ust. 1, za pomocą którego wykaz jest prowadzony.

7. Minister właściwy do spraw informatyzacji jest współadministratorem danych, w tym danych osobowych, gromadzonych w wykazie.

8. Minister właściwy do spraw informatyzacji podejmuje czynności, o których mowa w art. 7a, art. 7b ust. 1 i 2, art. 7d ust. 6, art. 7e, art. 7f ust. 1, art. 7g ust. 1 i 2, art. 7i oraz art. 7m.

[68] Art. 7 w brzmieniu ustalonym przez art. 1 pkt 13 ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

Wersja archiwalna obowiązująca od 2026.01.09 do 2026.04.02     (Dz.U.2026.20 tekst jednolity)

Art. 7. [Wykaz operatorów usług kluczowych] 1. Minister właściwy do spraw informatyzacji prowadzi wykaz operatorów usług kluczowych.

2. Wykaz operatorów usług kluczowych zawiera:

1) nazwę (firmę) operatora usługi kluczowej;

2) sektor, podsektor i rodzaj podmiotu;

3) siedzibę i adres;

4) numer identyfikacji podatkowej (NIP), jeżeli został nadany;

5) numer we właściwym rejestrze, jeżeli został nadany;

6) nazwę usługi kluczowej, zgodną z wykazem usług kluczowych;

7) datę rozpoczęcia świadczenia usługi kluczowej;

8) informację określającą, w których państwach członkowskich Unii Europejskiej podmiot został uznany za operatora usługi kluczowej;

9) datę zakończenia świadczenia usługi kluczowej;

10) datę wykreślenia z wykazu operatorów usług kluczowych.

3. Wpisanie do wykazu operatorów usług kluczowych i wykreślenie z tego wykazu następuje na wniosek organu właściwego do spraw cyberbezpieczeństwa złożony niezwłocznie po wydaniu decyzji o uznaniu za operatora usługi kluczowej albo decyzji stwierdzającej wygaśnięcie decyzji o uznaniu za operatora usługi kluczowej. Wniosek zawiera dane, o których mowa w ust. 2 pkt 1–9.

4. Zmiana danych w wykazie operatorów usług kluczowych następuje na wniosek organu właściwego do spraw cyberbezpieczeństwa, złożony nie później niż w terminie 6 miesięcy od zmiany tych danych.

5. Wnioski, o których mowa w ust. 3 i 4, sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP.

6. Wpisanie do wykazu operatorów usług kluczowych i wykreślenie z tego wykazu oraz zmiana danych w wykazie operatorów usług kluczowych jest czynnością materialno-techniczną.

7. Dane z wykazu operatorów usług kluczowych minister właściwy do spraw informatyzacji udostępnia CSIRT MON, CSIRT NASK i CSIRT GOV oraz sektorowemu zespołowi cyberbezpieczeństwa w zakresie sektora lub podsektora, dla którego został ustanowiony, a także operatorowi usługi kluczowej w zakresie go dotyczącym.

8. Dane z wykazu operatorów usług kluczowych, w zakresie niezbędnym do realizacji ich ustawowych zadań, minister właściwy do spraw informatyzacji udostępnia, na wniosek, następującym podmiotom:

1) organom właściwym do spraw cyberbezpieczeństwa;

2) Policji;

3) Żandarmerii Wojskowej;

4) Straży Granicznej;

5) Centralnemu Biuru Antykorupcyjnemu;

6) Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu;

7) Służbie Kontrwywiadu Wojskowego oraz Służbie Wywiadu Wojskowego;

8) sądom;

9) prokuraturze;

10) organom Krajowej Administracji Skarbowej;

11) dyrektorowi Rządowego Centrum Bezpieczeństwa;

12) Służbie Ochrony Państwa.

Wersja archiwalna obowiązująca od 2024.07.19 do 2026.01.08     (Dz.U.2024.1077 tekst jednolity)

[Wykaz operatorów usług kluczowych ] 1. Minister właściwy do spraw informatyzacji prowadzi wykaz operatorów usług kluczowych.

2. Wykaz operatorów usług kluczowych zawiera:

1) nazwę (firmę) operatora usługi kluczowej;

2) sektor, podsektor i rodzaj podmiotu;

3) siedzibę i adres;

4) numer identyfikacji podatkowej (NIP), jeżeli został nadany;

5) numer we właściwym rejestrze, jeżeli został nadany;

6) nazwę usługi kluczowej, zgodną z wykazem usług kluczowych;

7) datę rozpoczęcia świadczenia usługi kluczowej;

8) informację określającą, w których państwach członkowskich Unii Europejskiej podmiot został uznany za operatora usługi kluczowej;

9) datę zakończenia świadczenia usługi kluczowej;

10) datę wykreślenia z wykazu operatorów usług kluczowych.

3. Wpisanie do wykazu operatorów usług kluczowych i wykreślenie z tego wykazu następuje na wniosek organu właściwego do spraw cyberbezpieczeństwa złożony niezwłocznie po wydaniu decyzji o uznaniu za operatora usługi kluczowej albo decyzji stwierdzającej wygaśnięcie decyzji o uznaniu za operatora usługi kluczowej. Wniosek zawiera dane, o których mowa w ust. 2 pkt 1–9.

4. Zmiana danych w wykazie operatorów usług kluczowych następuje na wniosek organu właściwego do spraw cyberbezpieczeństwa, złożony nie później niż w terminie 6 miesięcy od zmiany tych danych.

5. Wnioski, o których mowa w ust. 3 i 4, sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP.

6. Wpisanie do wykazu operatorów usług kluczowych i wykreślenie z tego wykazu oraz zmiana danych w wykazie operatorów usług kluczowych jest czynnością materialno-techniczną.

7. Dane z wykazu operatorów usług kluczowych minister właściwy do spraw informatyzacji udostępnia CSIRT MON, CSIRT NASK i CSIRT GOV oraz sektorowemu zespołowi cyberbezpieczeństwa w zakresie sektora lub podsektora, dla którego został ustanowiony, a także operatorowi usługi kluczowej w zakresie go dotyczącym.

8. Dane z wykazu operatorów usług kluczowych, w zakresie niezbędnym do realizacji ich ustawowych zadań, minister właściwy do spraw informatyzacji udostępnia, na wniosek, następującym podmiotom:

1) organom właściwym do spraw cyberbezpieczeństwa;

2) Policji;

3) Żandarmerii Wojskowej;

4) Straży Granicznej;

5) Centralnemu Biuru Antykorupcyjnemu;

6) Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu;

7) Służbie Kontrwywiadu Wojskowego oraz Służbie Wywiadu Wojskowego;

8) sądom;

9) prokuraturze;

10) organom Krajowej Administracji Skarbowej;

11) dyrektorowi Rządowego Centrum Bezpieczeństwa;

12) Służbie Ochrony Państwa.

Wersja archiwalna obowiązująca od 2023.05.15 do 2024.07.18     (Dz.U.2023.913 tekst jednolity)

Art. 7. [Wykaz operatorów usług kluczowych] 1. Minister właściwy do spraw informatyzacji prowadzi wykaz operatorów usług kluczowych.

2. Wykaz operatorów usług kluczowych zawiera:

1) nazwę (firmę) operatora usługi kluczowej;

2) sektor, podsektor i rodzaj podmiotu;

3) siedzibę i adres;

4) numer identyfikacji podatkowej (NIP), jeżeli został nadany;

5) numer we właściwym rejestrze, jeżeli został nadany;

6) nazwę usługi kluczowej, zgodną z wykazem usług kluczowych;

7) datę rozpoczęcia świadczenia usługi kluczowej;

8) informację określającą, w których państwach członkowskich Unii Europejskiej podmiot został uznany za operatora usługi kluczowej;

9) datę zakończenia świadczenia usługi kluczowej;

10) datę wykreślenia z wykazu operatorów usług kluczowych.

3. Wpisanie do wykazu operatorów usług kluczowych i wykreślenie z tego wykazu następuje na wniosek organu właściwego do spraw cyberbezpieczeństwa złożony niezwłocznie po wydaniu decyzji o uznaniu za operatora usługi kluczowej albo decyzji stwierdzającej wygaśnięcie decyzji o uznaniu za operatora usługi kluczowej. Wniosek zawiera dane, o których mowa w ust. 2 pkt 1–9.

4. Zmiana danych w wykazie operatorów usług kluczowych następuje na wniosek organu właściwego do spraw cyberbezpieczeństwa, złożony nie później niż w terminie 6 miesięcy od zmiany tych danych.

5. Wnioski, o których mowa w ust. 3 i 4, sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP.

6. Wpisanie do wykazu operatorów usług kluczowych i wykreślenie z tego wykazu oraz zmiana danych w wykazie operatorów usług kluczowych jest czynnością materialno-techniczną.

7. Dane z wykazu operatorów usług kluczowych minister właściwy do spraw informatyzacji udostępnia CSIRT MON, CSIRT NASK i CSIRT GOV oraz sektorowemu zespołowi cyberbezpieczeństwa w zakresie sektora lub podsektora, dla którego został ustanowiony, a także operatorowi usługi kluczowej w zakresie go dotyczącym.

8. Dane z wykazu operatorów usług kluczowych, w zakresie niezbędnym do realizacji ich ustawowych zadań, minister właściwy do spraw informatyzacji udostępnia, na wniosek, następującym podmiotom:

1) organom właściwym do spraw cyberbezpieczeństwa;

2) Policji;

3) Żandarmerii Wojskowej;

4) Straży Granicznej;

5) Centralnemu Biuru Antykorupcyjnemu;

6) Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu;

7) Służbie Kontrwywiadu Wojskowego oraz Służbie Wywiadu Wojskowego;

8) sądom;

9) prokuraturze;

10) organom Krajowej Administracji Skarbowej;

11) dyrektorowi Rządowego Centrum Bezpieczeństwa;

12) Służbie Ochrony Państwa.

Wersja archiwalna obowiązująca od 2022.09.05 do 2023.05.14     (Dz.U.2022.1863 tekst jednolity)

Art. 7. [Wykaz operatorów usług kluczowych] 1. Minister właściwy do spraw informatyzacji prowadzi wykaz operatorów usług kluczowych.

2. Wykaz operatorów usług kluczowych zawiera:

1) nazwę (firmę) operatora usługi kluczowej;

2) sektor, podsektor i rodzaj podmiotu;

3) siedzibę i adres;

4) numer identyfikacji podatkowej (NIP), jeżeli został nadany;

5) numer we właściwym rejestrze, jeżeli został nadany;

6) nazwę usługi kluczowej, zgodną z wykazem usług kluczowych;

7) datę rozpoczęcia świadczenia usługi kluczowej;

8) informację określającą, w których państwach członkowskich Unii Europejskiej podmiot został uznany za operatora usługi kluczowej;

9) datę zakończenia świadczenia usługi kluczowej;

10) datę wykreślenia z wykazu operatorów usług kluczowych.

3. Wpisanie do wykazu operatorów usług kluczowych i wykreślenie z tego wykazu następuje na wniosek organu właściwego do spraw cyberbezpieczeństwa złożony niezwłocznie po wydaniu decyzji o uznaniu za operatora usługi kluczowej albo decyzji stwierdzającej wygaśnięcie decyzji o uznaniu za operatora usługi kluczowej. Wniosek zawiera dane, o których mowa w ust. 2 pkt 1–9.

4. Zmiana danych w wykazie operatorów usług kluczowych następuje na wniosek organu właściwego do spraw cyberbezpieczeństwa, złożony nie później niż w terminie 6 miesięcy od zmiany tych danych.

5. Wnioski, o których mowa w ust. 3 i 4, sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP.

6. Wpisanie do wykazu operatorów usług kluczowych i wykreślenie z tego wykazu oraz zmiana danych w wykazie operatorów usług kluczowych jest czynnością materialno-techniczną.

7. Dane z wykazu operatorów usług kluczowych minister właściwy do spraw informatyzacji udostępnia CSIRT MON, CSIRT NASK i CSIRT GOV oraz sektorowemu zespołowi cyberbezpieczeństwa w zakresie sektora lub podsektora, dla którego został ustanowiony, a także operatorowi usługi kluczowej w zakresie go dotyczącym.

8. Dane z wykazu operatorów usług kluczowych, w zakresie niezbędnym do realizacji ich ustawowych zadań, minister właściwy do spraw informatyzacji udostępnia, na wniosek, następującym podmiotom:

1) organom właściwym do spraw cyberbezpieczeństwa;

2) Policji;

3) Żandarmerii Wojskowej;

4) Straży Granicznej;

5) Centralnemu Biuru Antykorupcyjnemu;

6) Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu;

7) Służbie Kontrwywiadu Wojskowego oraz Służbie Wywiadu Wojskowego;

8) sądom;

9) prokuraturze;

10) organom Krajowej Administracji Skarbowej;

11) dyrektorowi Rządowego Centrum Bezpieczeństwa;

12) Służbie Ochrony Państwa.

Wersja archiwalna obowiązująca od 2020.08.11 do 2022.09.04     (Dz.U.2020.1369 tekst jednolity)

[Wykaz operatorów usług kluczowych] 1. Minister właściwy do spraw informatyzacji prowadzi wykaz operatorów usług kluczowych.

2. Wykaz operatorów usług kluczowych zawiera:

1) nazwę (firmę) operatora usługi kluczowej;

2) sektor, podsektor i rodzaj podmiotu;

3) siedzibę i adres;

4) numer identyfikacji podatkowej (NIP), jeżeli został nadany;

5) numer we właściwym rejestrze, jeżeli został nadany;

6) nazwę usługi kluczowej, zgodną z wykazem usług kluczowych;

7) datę rozpoczęcia świadczenia usługi kluczowej;

8) informację określającą, w których państwach członkowskich Unii Europejskiej podmiot został uznany za operatora usługi kluczowej;

9) datę zakończenia świadczenia usługi kluczowej;

10) datę wykreślenia z wykazu operatorów usług kluczowych.

3. Wpisanie do wykazu operatorów usług kluczowych i wykreślenie z tego wykazu następuje na wniosek organu właściwego do spraw cyberbezpieczeństwa złożony niezwłocznie po wydaniu decyzji o uznaniu za operatora usługi kluczowej albo decyzji stwierdzającej wygaśnięcie decyzji o uznaniu za operatora usługi kluczowej. Wniosek zawiera dane, o których mowa w ust. 2 pkt 1–9.

4. Zmiana danych w wykazie operatorów usług kluczowych następuje na wniosek organu właściwego do spraw cyberbezpieczeństwa, złożony nie później niż w terminie 6 miesięcy od zmiany tych danych.

5. Wnioski, o których mowa w ust. 3 i 4, sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP.

6. Wpisanie do wykazu operatorów usług kluczowych i wykreślenie z tego wykazu oraz zmiana danych w wykazie operatorów usług kluczowych jest czynnością materialno-techniczną.

7. Dane z wykazu operatorów usług kluczowych minister właściwy do spraw informatyzacji udostępnia CSIRT MON, CSIRT NASK i CSIRT GOV oraz sektorowemu zespołowi cyberbezpieczeństwa w zakresie sektora lub podsektora, dla którego został ustanowiony, a także operatorowi usługi kluczowej w zakresie go dotyczącym.

8. Dane z wykazu operatorów usług kluczowych, w zakresie niezbędnym do realizacji ich ustawowych zadań, minister właściwy do spraw informatyzacji udostępnia, na wniosek, następującym podmiotom:

1) organom właściwym do spraw cyberbezpieczeństwa;

2) Policji;

3) Żandarmerii Wojskowej;

4) Straży Granicznej;

5) Centralnemu Biuru Antykorupcyjnemu;

6) Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu;

7) Służbie Kontrwywiadu Wojskowego oraz Służbie Wywiadu Wojskowego;

8) sądom;

9) prokuraturze;

10) organom Krajowej Administracji Skarbowej;

11) dyrektorowi Rządowego Centrum Bezpieczeństwa;

12) Służbie Ochrony Państwa.

Wersja archiwalna obowiązująca od 2018.08.28 do 2020.08.10

[Wykaz operatorów usług kluczowych ] 1. Minister właściwy do spraw informatyzacji prowadzi wykaz operatorów usług kluczowych.

2. Wykaz operatorów usług kluczowych zawiera:

1) nazwę (firmę) operatora usługi kluczowej;

2) sektor, podsektor i rodzaj podmiotu;

3) siedzibę i adres;

4) numer identyfikacji podatkowej (NIP), jeżeli został nadany;

5) numer we właściwym rejestrze, jeżeli został nadany;

6) nazwę usługi kluczowej, zgodną z wykazem usług kluczowych;

7) datę rozpoczęcia świadczenia usługi kluczowej;

8) informację określającą, w których państwach członkowskich Unii Europejskiej podmiot został uznany za operatora usługi kluczowej;

9) datę zakończenia świadczenia usługi kluczowej;

10) datę wykreślenia z wykazu operatorów usług kluczowych.

3. Wpisanie do wykazu operatorów usług kluczowych i wykreślenie z tego wykazu następuje na wniosek organu właściwego do spraw cyberbezpieczeństwa złożony niezwłocznie po wydaniu decyzji o uznaniu za operatora usługi kluczowej albo decyzji stwierdzającej wygaśnięcie decyzji o uznaniu za operatora usługi kluczowej. Wniosek zawiera dane, o których mowa w ust. 2 pkt 1–9.

4. Zmiana danych w wykazie operatorów usług kluczowych następuje na wniosek organu właściwego do spraw cyberbezpieczeństwa, złożony nie później niż w terminie 6 miesięcy od zmiany tych danych.

5. Wnioski, o których mowa w ust. 3 i 4, sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP.

6. Wpisanie do wykazu operatorów usług kluczowych i wykreślenie z tego wykazu oraz zmiana danych w wykazie operatorów usług kluczowych jest czynnością materialno-techniczną.

7. Dane z wykazu operatorów usług kluczowych minister właściwy do spraw informatyzacji udostępnia CSIRT MON, CSIRT NASK i CSIRT GOV oraz sektorowemu zespołowi cyberbezpieczeństwa w zakresie sektora lub podsektora, dla którego został ustanowiony, a także operatorowi usługi kluczowej w zakresie go dotyczącym.

8. Dane z wykazu operatorów usług kluczowych, w zakresie niezbędnym do realizacji ich ustawowych zadań, minister właściwy do spraw informatyzacji udostępnia, na wniosek, następującym podmiotom:

1) organom właściwym do spraw cyberbezpieczeństwa;

2) Policji;

3) Żandarmerii Wojskowej;

4) Straży Granicznej;

5) Centralnemu Biuru Antykorupcyjnemu;

6) Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu;

7) Służbie Kontrwywiadu Wojskowego oraz Służbie Wywiadu Wojskowego;

8) sądom;

9) prokuraturze;

10) organom Krajowej Administracji Skarbowej;

11) dyrektorowi Rządowego Centrum Bezpieczeństwa;

12) Służbie Ochrony Państwa.