Wersja obowiązująca od 2026.04.03

Art. 15. [Audyt bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi ] 1. [114] Podmiot kluczowy przeprowadza, na własny koszt, co najmniej raz na 3 lata, audyt bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi, zwany dalej „audytem”, licząc od dnia sporządzenia i podpisania przez audytorów przeprowadzających audyt raportu z ostatniego audytu.

1a. [115] Podmiot kluczowy przedstawia w postaci elektronicznej kopię raportu z przeprowadzonego audytu organowi właściwemu do spraw cyberbezpieczeństwa, w terminie 3 dni roboczych od dnia jego otrzymania przez podmiot kluczowy lub podmiot ważny.

1b. [116] Organ właściwy do spraw cyberbezpieczeństwa może nakazać podmiotowi kluczowemu w każdym czasie lub podmiotowi ważnemu w przypadku wystąpienia incydentu poważnego lub innego naruszenia przepisów ustawy przez ten podmiot, w drodze decyzji, przeprowadzenie zewnętrznego audytu bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi, wraz z określeniem terminu przekazania kopii raportu z przeprowadzonego audytu i wskazaniem rodzaju podmiotów uprawnionych do przeprowadzenia audytu. Organ właściwy do spraw cyberbezpieczeństwa może również określić zakres audytu, o którym mowa w zdaniu pierwszym.

1c. [117] Decyzja, o której mowa w ust. 1b, podlega natychmiastowemu wykonaniu.

2. Audyt może być przeprowadzony przez:

1) jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2025 r. poz. 568), w zakresie właściwym do podejmowanych ocen bezpieczeństwa systemów informacyjnych;

2) co najmniej dwóch audytorów posiadających:

a) certyfikaty określone w przepisach wydanych na podstawie ust. 8 lub

b) co najmniej trzyletnią praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych, lub

c) co najmniej dwuletnią praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych i legitymujących się dyplomem ukończenia studiów podyplomowych w zakresie audytu bezpieczeństwa systemów informacyjnych, wydanym przez jednostkę organizacyjną, która w dniu wydania dyplomu była uprawniona, zgodnie z odrębnymi przepisami, do nadawania stopnia naukowego doktora nauk ekonomicznych, technicznych lub prawnych;

3) CSIRT sektorowy [118], ustanowiony w ramach sektora lub podsektora wymienionego w załączniku nr 1 do ustawy, jeżeli audytorzy spełniają warunki, o których mowa w pkt 2.

2a. [119] Audyt nie może być przeprowadzony przez osobę realizującą w podmiocie audytowanym zadania, o których mowa w art. 8 oraz art. 9–13, lub która realizowała te zadania w podmiocie audytowanym w przeciągu roku przed dniem rozpoczęcia audytu.

3. Za praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych, o której mowa w ust. 2 pkt 2 lit. b i c, uważa się udokumentowane wykonanie w ciągu ostatnich 3 lat przed dniem rozpoczęcia audytu 3 audytów w zakresie bezpieczeństwa systemów informacyjnych lub ciągłości działania albo wykonywanie audytów bezpieczeństwa systemów informacyjnych lub ciągłości działania w wymiarze czasu pracy nie mniejszym niż 1/2 etatu, związanych z:

1) przeprowadzaniem audytu wewnętrznego pod nadzorem audytora wewnętrznego;

2) przeprowadzaniem audytu zewnętrznego pod nadzorem audytora wiodącego;

3) [120] (uchylony)

4) wykonywaniem czynności kontrolnych, o których mowa w ustawie z dnia 15 lipca 2011 r. o kontroli w administracji rządowej (Dz. U. z 2020 r. poz. 224 oraz z 2025 r. poz. 1158);

5) wykonywaniem czynności kontrolnych, o których mowa w ustawie z dnia 23 grudnia 1994 r. o Najwyższej Izbie Kontroli (Dz. U. z 2022 r. poz. 623).

4. Audytor jest obowiązany do zachowania w tajemnicy informacji uzyskanych w związku z przeprowadzanym audytem, z zachowaniem przepisów o ochronie informacji niejawnych i innych informacji prawnie chronionych.

5. Na podstawie zebranych dokumentów i dowodów audytor sporządza pisemne sprawozdanie z przeprowadzonego audytu i przekazuje je podmiotowi kluczowemu lub podmiotowi ważnemu [121] wraz z dokumentacją z przeprowadzonego audytu.

6. [122] (uchylony)

7. Podmiot kluczowy lub podmiot ważny przekazuje kopię raportu z przeprowadzonego audytu na wniosek: [123]

1) [124] (uchylony)

2) dyrektora Rządowego Centrum Bezpieczeństwa – w przypadku gdy podmiot kluczowy lub podmiot ważny [125] jest jednocześnie właścicielem, posiadaczem samoistnym albo posiadaczem zależnym obiektów, instalacji, urządzeń lub usług wchodzących w skład infrastruktury krytycznej, wymienionych w wykazie, o którym mowa w art. 5b ust. 7 pkt 1 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym;

3) Szefa Agencji Bezpieczeństwa Wewnętrznego.

8. Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia, wykaz certyfikatów uprawniających do przeprowadzenia audytu, uwzględniając zakres wiedzy specjalistycznej wymaganej od osób legitymujących się poszczególnymi certyfikatami.

[114] Art. 15 ust. 1 w brzmieniu ustalonym przez art. 1 pkt 23 lit. a) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[115] Art. 15 ust. 1a dodany przez art. 1 pkt 23 lit. b) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[116] Art. 15 ust. 1b dodany przez art. 1 pkt 23 lit. b) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[117] Art. 15 ust. 1c dodany przez art. 1 pkt 23 lit. b) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[118] Art. 15 ust. 2 pkt 3 w brzmieniu ustalonym przez art. 1 pkt 23 lit. c) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[119] Art. 15 ust. 2a dodany przez art. 1 pkt 23 lit. d) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[120] Art. 15 ust. 3 pkt 3 uchylony przez art. 1 pkt 23 lit. e) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[121] Art. 15 ust. 5 w brzmieniu ustalonym przez art. 1 pkt 23 lit. f) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[122] Art. 15 ust. 6 uchylony przez art. 1 pkt 23 lit. g) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[123] Art. 15 ust. 7 w brzmieniu ustalonym przez art. 1 pkt 23 lit. h) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[124] Art. 15 ust. 7 pkt 1 uchylony przez art. 1 pkt 23 lit. h) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[125] Art. 15 ust. 7 pkt 2 w brzmieniu ustalonym przez art. 1 pkt 23 lit. h) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

Wersja obowiązująca od 2026.04.03

1c. [117] Decyzja, o której mowa w ust. 1b, podlega natychmiastowemu wykonaniu.

2. Audyt może być przeprowadzony przez:

2) co najmniej dwóch audytorów posiadających:

a) certyfikaty określone w przepisach wydanych na podstawie ust. 8 lub

b) co najmniej trzyletnią praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych, lub

3) CSIRT sektorowy [118], ustanowiony w ramach sektora lub podsektora wymienionego w załączniku nr 1 do ustawy, jeżeli audytorzy spełniają warunki, o których mowa w pkt 2.

1) przeprowadzaniem audytu wewnętrznego pod nadzorem audytora wewnętrznego;

2) przeprowadzaniem audytu zewnętrznego pod nadzorem audytora wiodącego;

3) [120] (uchylony)

4) wykonywaniem czynności kontrolnych, o których mowa w ustawie z dnia 15 lipca 2011 r. o kontroli w administracji rządowej (Dz. U. z 2020 r. poz. 224 oraz z 2025 r. poz. 1158);

5) wykonywaniem czynności kontrolnych, o których mowa w ustawie z dnia 23 grudnia 1994 r. o Najwyższej Izbie Kontroli (Dz. U. z 2022 r. poz. 623).

6. [122] (uchylony)

7. Podmiot kluczowy lub podmiot ważny przekazuje kopię raportu z przeprowadzonego audytu na wniosek: [123]

1) [124] (uchylony)

3) Szefa Agencji Bezpieczeństwa Wewnętrznego.

Wersja archiwalna obowiązująca od 2026.01.09 do 2026.04.02 (Dz.U.2026.20 tekst jednolity)

Art. 15. [Audyt bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej] 1. Operator usługi kluczowej ma obowiązek zapewnić przeprowadzenie, co najmniej raz na 2 lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, zwanego dalej „audytem”.

2. Audyt może być przeprowadzony przez:

2) co najmniej dwóch audytorów posiadających:

a) certyfikaty określone w przepisach wydanych na podstawie ust. 8 lub

b) co najmniej trzyletnią praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych, lub

3) sektorowy zespół cyberbezpieczeństwa, ustanowiony w ramach sektora lub podsektora wymienionego w załączniku nr 1 do ustawy, jeżeli audytorzy spełniają warunki, o których mowa w pkt 2.

1) przeprowadzaniem audytu wewnętrznego pod nadzorem audytora wewnętrznego;

2) przeprowadzaniem audytu zewnętrznego pod nadzorem audytora wiodącego;

3) przeprowadzaniem audytu wewnętrznego w zakresie bezpieczeństwa informacji, o którym mowa w przepisach wydanych na podstawie art. 18 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne;

4) wykonywaniem czynności kontrolnych, o których mowa w ustawie z dnia 15 lipca 2011 r. o kontroli w administracji rządowej (Dz. U. z 2020 r. poz. 224 oraz z 2025 r. poz. 1158);

5) wykonywaniem czynności kontrolnych, o których mowa w ustawie z dnia 23 grudnia 1994 r. o Najwyższej Izbie Kontroli (Dz. U. z 2022 r. poz. 623).

5. Na podstawie zebranych dokumentów i dowodów audytor sporządza pisemne sprawozdanie z przeprowadzonego audytu i przekazuje je operatorowi usługi kluczowej wraz z dokumentacją z przeprowadzonego audytu.

6. Operator usługi kluczowej, u którego w danym roku w stosunku do systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej został przeprowadzony przez osoby spełniające warunki określone w ust. 2 pkt 2 audyt wewnętrzny w zakresie bezpieczeństwa informacji, o którym mowa w przepisach wydanych na podstawie art. 18 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, nie ma obowiązku przeprowadzania audytu przez 2 lata.

7. Operator usługi kluczowej przekazuje kopię sprawozdania z przeprowadzonego audytu na uzasadniony wniosek:

1) organu właściwego do spraw cyberbezpieczeństwa;

2) dyrektora Rządowego Centrum Bezpieczeństwa – w przypadku gdy operator usługi kluczowej jest jednocześnie właścicielem, posiadaczem samoistnym albo posiadaczem zależnym obiektów, instalacji, urządzeń lub usług wchodzących w skład infrastruktury krytycznej, wymienionych w wykazie, o którym mowa w art. 5b ust. 7 pkt 1 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym;

3) Szefa Agencji Bezpieczeństwa Wewnętrznego.

Wersja archiwalna obowiązująca od 2024.07.19 do 2026.01.08 (Dz.U.2024.1077 tekst jednolity)

Art. 15. [Audyt bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej ] 1. Operator usługi kluczowej ma obowiązek zapewnić przeprowadzenie, co najmniej raz na 2 lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, zwanego dalej „audytem”.

2. Audyt może być przeprowadzony przez:

1) jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2022 r. poz. 1854), w zakresie właściwym do podejmowanych ocen bezpieczeństwa systemów informacyjnych;

2) co najmniej dwóch audytorów posiadających:

a) certyfikaty określone w przepisach wydanych na podstawie ust. 8 lub

b) co najmniej trzyletnią praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych, lub

3) sektorowy zespół cyberbezpieczeństwa, ustanowiony w ramach sektora lub podsektora wymienionego w załączniku nr 1 do ustawy, jeżeli audytorzy spełniają warunki, o których mowa w pkt 2.

1) przeprowadzaniem audytu wewnętrznego pod nadzorem audytora wewnętrznego;

2) przeprowadzaniem audytu zewnętrznego pod nadzorem audytora wiodącego;

4) wykonywaniem czynności kontrolnych, o których mowa w ustawie z dnia 15 lipca 2011 r. o kontroli w administracji rządowej (Dz. U. z 2020 r. poz. 224);

5) wykonywaniem czynności kontrolnych, o których mowa w ustawie z dnia 23 grudnia 1994 r. o Najwyższej Izbie Kontroli (Dz. U. z 2022 r. poz. 623).

7. Operator usługi kluczowej przekazuje kopię sprawozdania z przeprowadzonego audytu na uzasadniony wniosek:

1) organu właściwego do spraw cyberbezpieczeństwa;

3) Szefa Agencji Bezpieczeństwa Wewnętrznego.

Wersja archiwalna obowiązująca od 2023.05.15 do 2024.07.18 (Dz.U.2023.913 tekst jednolity)