Wersja obowiązująca od 2026.07.04

Rozdział 10

Identyfikowanie podmiotów krytycznych

Art. 6zo. [Wykaz podmiotów krytycznych: prowadzenie, zakres danych i zasady udostępniania informacji ] [79] 1. Dyrektor Centrum w celu zapewnienia:

1) identyfikacji podmiotów krytycznych,

2) prowadzenia czynności nadzorczych nad podmiotami krytycznymi

– prowadzi wykaz podmiotów krytycznych.

2. Wykaz podmiotów krytycznych zawiera dane podmiotów krytycznych obejmujące:

1) nazwę (firmę);

2) siedzibę i adres oraz adres do doręczeń elektronicznych;

3) numer identyfikacji podatkowej (NIP), jeżeli został nadany;

4) nazwę świadczonej usługi kluczowej;

5) wskazanie sektora, podsektora i kategorii podmiotu, o których mowa w załączniku do ustawy;

6) dane pełnomocnika bezpieczeństwa usługi kluczowej oraz zastępcy pełnomocnika bezpieczeństwa usługi kluczowej obejmujące imię i nazwisko, numer telefonu oraz adres poczty elektronicznej;

7) datę rozpoczęcia świadczenia usługi kluczowej;

8) informację, w których państwach członkowskich Unii Europejskiej podmiot został uznany za podmiot świadczący usługę kluczową;

9) datę zakończenia świadczenia usługi kluczowej;

10) datę wykreślenia z wykazu podmiotów krytycznych.

3. Wykaz podmiotów krytycznych jest prowadzony w systemie, o którym mowa w art. 46 ust. 1 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.

4. Do danych, o których mowa w ust. 2, nie stosuje się przepisów ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. z 2022 r. poz. 902 oraz z 2025 r. poz. 1844) oraz ustawy z dnia 11 sierpnia 2021 r. o otwartych danych i ponownym wykorzystywaniu informacji sektora publicznego (Dz. U. z 2023 r. poz. 1524).

5. Dane, o których mowa w ust. 2, organ do spraw podmiotów krytycznych udostępnia, na wniosek:

1) Agencji Bezpieczeństwa Wewnętrznego,

2) Agencji Wywiadu,

3) Centralnemu Biuru Antykorupcyjnemu,

4) organom Krajowej Administracji Skarbowej,

5) Policji,

6) Pełnomocnikowi Rządu do Spraw Cyberbezpieczeństwa,

7) Prezesowi Urzędu Ochrony Danych Osobowych,

8) Prokuratorii Generalnej Rzeczypospolitej Polskiej,

9) prokuraturze,

10) sądom,

11) Służbie Kontrwywiadu Wojskowego,

12) Służbie Ochrony Państwa,

13) Służbie Wywiadu Wojskowego,

14) Straży Granicznej,

15) Żandarmerii Wojskowej,

16) wojewodom,

17) podmiotowi, w ramach którego funkcjonuje Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT) poziomu krajowego,

18) organom właściwym do spraw cyberbezpieczeństwa, o których mowa w art. 41 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa

– w zakresie niezbędnym do realizacji ich ustawowych zadań.

[79] Rozdział 10 dodany przez art. 1 pkt 7 ustawy z dnia 29 maja 2026 r. o zmianie ustawy o zarządzaniu kryzysowym oraz niektórych innych ustaw (Dz.U. poz. 815). Zmiana weszła w życie 4 lipca 2026 r.

Wersja obowiązująca od 2026.07.04

Rozdział 10

Identyfikowanie podmiotów krytycznych

Art. 6zo. [Wykaz podmiotów krytycznych: prowadzenie, zakres danych i zasady udostępniania informacji ] [79] 1. Dyrektor Centrum w celu zapewnienia:

1) identyfikacji podmiotów krytycznych,

2) prowadzenia czynności nadzorczych nad podmiotami krytycznymi

– prowadzi wykaz podmiotów krytycznych.

2. Wykaz podmiotów krytycznych zawiera dane podmiotów krytycznych obejmujące:

1) nazwę (firmę);

2) siedzibę i adres oraz adres do doręczeń elektronicznych;

3) numer identyfikacji podatkowej (NIP), jeżeli został nadany;

4) nazwę świadczonej usługi kluczowej;

5) wskazanie sektora, podsektora i kategorii podmiotu, o których mowa w załączniku do ustawy;

6) dane pełnomocnika bezpieczeństwa usługi kluczowej oraz zastępcy pełnomocnika bezpieczeństwa usługi kluczowej obejmujące imię i nazwisko, numer telefonu oraz adres poczty elektronicznej;

7) datę rozpoczęcia świadczenia usługi kluczowej;

8) informację, w których państwach członkowskich Unii Europejskiej podmiot został uznany za podmiot świadczący usługę kluczową;

9) datę zakończenia świadczenia usługi kluczowej;

10) datę wykreślenia z wykazu podmiotów krytycznych.

3. Wykaz podmiotów krytycznych jest prowadzony w systemie, o którym mowa w art. 46 ust. 1 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.

4. Do danych, o których mowa w ust. 2, nie stosuje się przepisów ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. z 2022 r. poz. 902 oraz z 2025 r. poz. 1844) oraz ustawy z dnia 11 sierpnia 2021 r. o otwartych danych i ponownym wykorzystywaniu informacji sektora publicznego (Dz. U. z 2023 r. poz. 1524).

5. Dane, o których mowa w ust. 2, organ do spraw podmiotów krytycznych udostępnia, na wniosek:

1) Agencji Bezpieczeństwa Wewnętrznego,

2) Agencji Wywiadu,

3) Centralnemu Biuru Antykorupcyjnemu,

4) organom Krajowej Administracji Skarbowej,

5) Policji,

6) Pełnomocnikowi Rządu do Spraw Cyberbezpieczeństwa,

7) Prezesowi Urzędu Ochrony Danych Osobowych,

8) Prokuratorii Generalnej Rzeczypospolitej Polskiej,

9) prokuraturze,

10) sądom,

11) Służbie Kontrwywiadu Wojskowego,

12) Służbie Ochrony Państwa,

13) Służbie Wywiadu Wojskowego,

14) Straży Granicznej,

15) Żandarmerii Wojskowej,

16) wojewodom,

17) podmiotowi, w ramach którego funkcjonuje Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT) poziomu krajowego,

18) organom właściwym do spraw cyberbezpieczeństwa, o których mowa w art. 41 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa

– w zakresie niezbędnym do realizacji ich ustawowych zadań.

[79] Rozdział 10 dodany przez art. 1 pkt 7 ustawy z dnia 29 maja 2026 r. o zmianie ustawy o zarządzaniu kryzysowym oraz niektórych innych ustaw (Dz.U. poz. 815). Zmiana weszła w życie 4 lipca 2026 r.