Wersja obowiązująca od 2026.07.04

Rozdział 9

Pojedynczy Punkt Kontaktowy

Art. 6zm. [Zadania Pojedynczego Punktu Kontaktowego w zakresie obsługi incydentów i współpracy międzynarodowej oraz sprawozdawczości ] [77] 1. Dyrektor Centrum prowadzi Pojedynczy Punkt Kontaktowy, do którego zadań należy:

1) odbieranie zgłoszeń incydentów istotnych z pojedynczych punktów kontaktowych w innych państwach członkowskich Unii Europejskiej;

2) przekazywanie zgłoszeń incydentów istotnych dotyczących innych państw członkowskich Unii Europejskiej do pojedynczych punktów kontaktowych tych państw;

3) opracowywanie i przekazywanie raz na 2 lata Komisji Europejskiej oraz Grupie do spraw Odporności Podmiotów Krytycznych sprawozdań dotyczących incydentów istotnych zgłaszanych przez podmioty krytyczne mających wpływ na ciągłość świadczonych przez nie usług kluczowych na terytorium Rzeczypospolitej Polskiej oraz ciągłość świadczonych usług kluczowych w państwach członkowskich Unii Europejskiej;

4) zapewnienie reprezentacji Rzeczypospolitej Polskiej w Grupie do spraw Odporności Podmiotów Krytycznych;

5) zapewnienie współpracy z Komisją Europejską w obszarze bezpieczeństwa świadczenia usług kluczowych;

6) koordynacja współpracy między organami do spraw podmiotów krytycznych a organami administracji publicznej w Rzeczypospolitej Polskiej z odpowiednimi organami w państwach członkowskich Unii Europejskiej;

7) zapewnienie wymiany informacji na potrzeby Grupy Współpracy, o której mowa w dyrektywie Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającej rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającej dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz. Urz. UE L 333 z 27.12.2022, str. 80, z późn. zm.), oraz organów właściwych do spraw cyberbezpieczeństwa, o których mowa w art. 41 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa;

8) współpraca z Pojedynczym Punktem Kontaktowym, o którym mowa w art. 4 pkt 18 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.

2. Pojedynczy Punkt Kontaktowy przekazuje Grupie do spraw Odporności Podmiotów Krytycznych:

1) informacje na temat infrastruktury krytycznej zlokalizowanej na terytorium Rzeczypospolitej Polskiej służącej realizacji usług kluczowych w innych państwach członkowskich Unii Europejskiej;

2) dobre praktyki związane ze zgłaszaniem i obsługą incydentów istotnych;

3) propozycje do programu prac Grupy do spraw Odporności Podmiotów Krytycznych;

4) dobre praktyki krajowe dotyczące podnoszenia świadomości, szkoleń, badań i rozwoju w obszarze zapewnienia ciągłości świadczenia usług kluczowych;

5) dobre praktyki w odniesieniu do identyfikowania podmiotów krytycznych, w tym w odniesieniu do występujących w dwóch lub większej liczbie państw członkowskich Unii Europejskiej zależności dotyczących ryzyka i incydentów.

3. Dane przekazywane Grupie do spraw Odporności Podmiotów Krytycznych nie obejmują informacji, które dotyczą bezpieczeństwa narodowego oraz porządku publicznego.

4. Pojedynczy Punkt Kontaktowy przekazuje organom do spraw podmiotów krytycznych oraz innym organom administracji publicznej zgodnie z ich właściwością informacje pochodzące z Grupy do spraw Odporności Podmiotów Krytycznych, dotyczące:

1) analiz i ocen krajowych strategii państw członkowskich Unii Europejskiej w zakresie odporności podmiotów krytycznych, a także dobrych praktyk w obszarze zapewnienia świadczenia usług kluczowych;

2) wytycznych o charakterze strategicznym w obszarze zapewnienia świadczenia usług kluczowych;

3) dobrych praktyk w zakresie wymiany informacji związanych ze zgłaszaniem w Unii Europejskiej incydentów istotnych przez podmioty krytyczne;

4) dobrych praktyk w państwach członkowskich Unii Europejskiej dotyczących innowacji badań i rozwoju w zakresie budowania odporności podmiotów krytycznych;

5) dobrych praktyk w zakresie identyfikowania podmiotów krytycznych przez państwa członkowskie Unii Europejskiej, w tym w odniesieniu do transgranicznych i międzysektorowych zależności dotyczących ryzyka i incydentów.

5. Pojedynczy Punkt Kontaktowy przekazuje Komisji Europejskiej:

1) informacje o:

a) wyznaczonych organach do spraw podmiotów krytycznych, Pojedynczym Punkcie Kontaktowym, ich zadaniach oraz późniejszych zmianach w tym zakresie,

b) przepisach dotyczących kar pieniężnych;

2) raz na 2 lata informacje umożliwiające ocenę wdrażania dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2557 z dnia 14 grudnia 2022 r. w sprawie odporności podmiotów krytycznych i uchylającej dyrektywę Rady 2008/114/WE (Dz. Urz. UE L 333 z 27.12.2022, str. 164) obejmujące w szczególności:

a) środki umożliwiające identyfikację podmiotów krytycznych,

b) wykaz usług kluczowych,

c) liczbę zidentyfikowanych podmiotów krytycznych w każdym sektorze lub podsektorze, o którym mowa w załączniku do ustawy, oraz wskazanie ich znaczenia w odniesieniu do tego sektora lub podsektora,

d) progi istotności skutku zakłócającego dla świadczonej usługi kluczowej brane pod uwagę przy kwalifikowaniu podmiotów jako podmiotów krytycznych, przedstawiane wprost lub w formie zagregowanej;

3) informacje o środkach mających na celu zwiększenie odporności podmiotów krytycznych.

[77] Rozdział 9 dodany przez art. 1 pkt 7 ustawy z dnia 29 maja 2026 r. o zmianie ustawy o zarządzaniu kryzysowym oraz niektórych innych ustaw (Dz.U. poz. 815). Zmiana weszła w życie 4 lipca 2026 r.

Wersja obowiązująca od 2026.07.04

Rozdział 9

Pojedynczy Punkt Kontaktowy

Art. 6zm. [Zadania Pojedynczego Punktu Kontaktowego w zakresie obsługi incydentów i współpracy międzynarodowej oraz sprawozdawczości ] [77] 1. Dyrektor Centrum prowadzi Pojedynczy Punkt Kontaktowy, do którego zadań należy:

1) odbieranie zgłoszeń incydentów istotnych z pojedynczych punktów kontaktowych w innych państwach członkowskich Unii Europejskiej;

2) przekazywanie zgłoszeń incydentów istotnych dotyczących innych państw członkowskich Unii Europejskiej do pojedynczych punktów kontaktowych tych państw;

3) opracowywanie i przekazywanie raz na 2 lata Komisji Europejskiej oraz Grupie do spraw Odporności Podmiotów Krytycznych sprawozdań dotyczących incydentów istotnych zgłaszanych przez podmioty krytyczne mających wpływ na ciągłość świadczonych przez nie usług kluczowych na terytorium Rzeczypospolitej Polskiej oraz ciągłość świadczonych usług kluczowych w państwach członkowskich Unii Europejskiej;

4) zapewnienie reprezentacji Rzeczypospolitej Polskiej w Grupie do spraw Odporności Podmiotów Krytycznych;

5) zapewnienie współpracy z Komisją Europejską w obszarze bezpieczeństwa świadczenia usług kluczowych;

6) koordynacja współpracy między organami do spraw podmiotów krytycznych a organami administracji publicznej w Rzeczypospolitej Polskiej z odpowiednimi organami w państwach członkowskich Unii Europejskiej;

7) zapewnienie wymiany informacji na potrzeby Grupy Współpracy, o której mowa w dyrektywie Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającej rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającej dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz. Urz. UE L 333 z 27.12.2022, str. 80, z późn. zm.), oraz organów właściwych do spraw cyberbezpieczeństwa, o których mowa w art. 41 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa;

8) współpraca z Pojedynczym Punktem Kontaktowym, o którym mowa w art. 4 pkt 18 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.

2. Pojedynczy Punkt Kontaktowy przekazuje Grupie do spraw Odporności Podmiotów Krytycznych:

1) informacje na temat infrastruktury krytycznej zlokalizowanej na terytorium Rzeczypospolitej Polskiej służącej realizacji usług kluczowych w innych państwach członkowskich Unii Europejskiej;

2) dobre praktyki związane ze zgłaszaniem i obsługą incydentów istotnych;

3) propozycje do programu prac Grupy do spraw Odporności Podmiotów Krytycznych;

4) dobre praktyki krajowe dotyczące podnoszenia świadomości, szkoleń, badań i rozwoju w obszarze zapewnienia ciągłości świadczenia usług kluczowych;

5) dobre praktyki w odniesieniu do identyfikowania podmiotów krytycznych, w tym w odniesieniu do występujących w dwóch lub większej liczbie państw członkowskich Unii Europejskiej zależności dotyczących ryzyka i incydentów.

3. Dane przekazywane Grupie do spraw Odporności Podmiotów Krytycznych nie obejmują informacji, które dotyczą bezpieczeństwa narodowego oraz porządku publicznego.

4. Pojedynczy Punkt Kontaktowy przekazuje organom do spraw podmiotów krytycznych oraz innym organom administracji publicznej zgodnie z ich właściwością informacje pochodzące z Grupy do spraw Odporności Podmiotów Krytycznych, dotyczące:

1) analiz i ocen krajowych strategii państw członkowskich Unii Europejskiej w zakresie odporności podmiotów krytycznych, a także dobrych praktyk w obszarze zapewnienia świadczenia usług kluczowych;

2) wytycznych o charakterze strategicznym w obszarze zapewnienia świadczenia usług kluczowych;

3) dobrych praktyk w zakresie wymiany informacji związanych ze zgłaszaniem w Unii Europejskiej incydentów istotnych przez podmioty krytyczne;

4) dobrych praktyk w państwach członkowskich Unii Europejskiej dotyczących innowacji badań i rozwoju w zakresie budowania odporności podmiotów krytycznych;

5) dobrych praktyk w zakresie identyfikowania podmiotów krytycznych przez państwa członkowskie Unii Europejskiej, w tym w odniesieniu do transgranicznych i międzysektorowych zależności dotyczących ryzyka i incydentów.

5. Pojedynczy Punkt Kontaktowy przekazuje Komisji Europejskiej:

1) informacje o:

a) wyznaczonych organach do spraw podmiotów krytycznych, Pojedynczym Punkcie Kontaktowym, ich zadaniach oraz późniejszych zmianach w tym zakresie,

b) przepisach dotyczących kar pieniężnych;

2) raz na 2 lata informacje umożliwiające ocenę wdrażania dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2557 z dnia 14 grudnia 2022 r. w sprawie odporności podmiotów krytycznych i uchylającej dyrektywę Rady 2008/114/WE (Dz. Urz. UE L 333 z 27.12.2022, str. 164) obejmujące w szczególności:

a) środki umożliwiające identyfikację podmiotów krytycznych,

b) wykaz usług kluczowych,

c) liczbę zidentyfikowanych podmiotów krytycznych w każdym sektorze lub podsektorze, o którym mowa w załączniku do ustawy, oraz wskazanie ich znaczenia w odniesieniu do tego sektora lub podsektora,

d) progi istotności skutku zakłócającego dla świadczonej usługi kluczowej brane pod uwagę przy kwalifikowaniu podmiotów jako podmiotów krytycznych, przedstawiane wprost lub w formie zagregowanej;

3) informacje o środkach mających na celu zwiększenie odporności podmiotów krytycznych.

[77] Rozdział 9 dodany przez art. 1 pkt 7 ustawy z dnia 29 maja 2026 r. o zmianie ustawy o zarządzaniu kryzysowym oraz niektórych innych ustaw (Dz.U. poz. 815). Zmiana weszła w życie 4 lipca 2026 r.