Wersja obowiązująca od 2026.07.04

Art. 6zv. [Zarządzanie incydentami przez podmiot krytyczny] [86] 1. Podmiot krytyczny jest obowiązany do zarządzania incydentem w zakresie:

1) zapewnienia obsługi incydentu;

2) zapewnienia dostępu do informacji o zarejestrowanym incydencie organowi do spraw podmiotów krytycznych oraz dyrektorowi Centrum;

3) klasyfikowania incydentu jako istotnego na podstawie progów uznawania incydentu za istotny określonych w przepisach wydanych na podstawie ust. 4;

4) zgłaszania incydentu istotnego niezwłocznie, niepóźniej niż w terminie 24 godzin od momentu jego wystąpienia lub wykrycia:

a) właściwemu organowi do spraw podmiotów krytycznych oraz dyrektorowi Centrum,

b) Szefowi Agencji Bezpieczeństwa Wewnętrznego,

c) podmiotowi, w ramach którego funkcjonuje Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT) poziomu krajowego;

5) współdziałania podczas obsługi incydentu istotnego z właściwym organem do spraw podmiotów krytycznych lub dyrektorem Centrum;

6) informowania właściwego organu do spraw podmiotów krytycznych oraz dyrektora Centrum o usunięciu incydentu istotnego;

7) przekazywania sprawozdania z czynności, o których mowa w pkt 1–6, organowi do spraw podmiotów krytycznych oraz dyrektorowi Centrum w terminie niedłuższym niż 30 dni, licząc od dnia wystąpienia incydentu istotnego.

2. Zgłoszenie, o którym mowa w ust. 1 pkt 4, dokonuje się za pomocą systemu, o którym mowa w art. 46 ust. 1 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.

3. W przypadku braku możliwości dokonania zgłoszenia w systemie, o którym mowa w art. 46 ust. 1 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, zgłoszenie jest przekazywane na piśmie utrwalonym w postaci elektronicznej, opatrzonym kwalifikowanym podpisem elektronicznym, podpisem osobistym, podpisem zaufanym albo kwalifikowaną pieczęcią elektroniczną.

4. Rada Ministrów określi, w drodze rozporządzenia, progi uznania incydentu za incydent istotny według zdarzenia w poszczególnych sektorach i podsektorach, o których mowa w załączniku do ustawy, w zależności od:

1) liczby użytkowników dotkniętych zakłóceniem;

2) czasu trwania zakłócenia usługi kluczowej;

3) obszaru geograficznego, którego dotyczy zakłócenie, z uwzględnieniem jego odizolowania geograficznego;

4) innych czynników charakterystycznych dla danego sektora lub podsektora, o którym mowa w załączniku do ustawy, jeżeli występują.

5. W rozporządzeniu, o którym mowa w ust. 4, Rada Ministrów określi co najmniej jeden próg uznania incydentu za incydent istotny dla każdego zdarzenia, kierując się potrzebą zapewnienia ochrony przed zagrożeniami życia lub zdrowia ludzi, znacznymi stratami majątkowymi oraz zagrożeniem obniżenia jakości świadczonej usługi kluczowej.

[86] Rozdział 11 dodany przez art. 1 pkt 7 ustawy z dnia 29 maja 2026 r. o zmianie ustawy o zarządzaniu kryzysowym oraz niektórych innych ustaw (Dz.U. poz. 815). Zmiana weszła w życie 4 lipca 2026 r.

Wersja obowiązująca od 2026.07.04

Art. 6zv. [Zarządzanie incydentami przez podmiot krytyczny] [86] 1. Podmiot krytyczny jest obowiązany do zarządzania incydentem w zakresie:

1) zapewnienia obsługi incydentu;

2) zapewnienia dostępu do informacji o zarejestrowanym incydencie organowi do spraw podmiotów krytycznych oraz dyrektorowi Centrum;

3) klasyfikowania incydentu jako istotnego na podstawie progów uznawania incydentu za istotny określonych w przepisach wydanych na podstawie ust. 4;

4) zgłaszania incydentu istotnego niezwłocznie, niepóźniej niż w terminie 24 godzin od momentu jego wystąpienia lub wykrycia:

a) właściwemu organowi do spraw podmiotów krytycznych oraz dyrektorowi Centrum,

b) Szefowi Agencji Bezpieczeństwa Wewnętrznego,

c) podmiotowi, w ramach którego funkcjonuje Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT) poziomu krajowego;

5) współdziałania podczas obsługi incydentu istotnego z właściwym organem do spraw podmiotów krytycznych lub dyrektorem Centrum;

6) informowania właściwego organu do spraw podmiotów krytycznych oraz dyrektora Centrum o usunięciu incydentu istotnego;

7) przekazywania sprawozdania z czynności, o których mowa w pkt 1–6, organowi do spraw podmiotów krytycznych oraz dyrektorowi Centrum w terminie niedłuższym niż 30 dni, licząc od dnia wystąpienia incydentu istotnego.

2. Zgłoszenie, o którym mowa w ust. 1 pkt 4, dokonuje się za pomocą systemu, o którym mowa w art. 46 ust. 1 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.

3. W przypadku braku możliwości dokonania zgłoszenia w systemie, o którym mowa w art. 46 ust. 1 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, zgłoszenie jest przekazywane na piśmie utrwalonym w postaci elektronicznej, opatrzonym kwalifikowanym podpisem elektronicznym, podpisem osobistym, podpisem zaufanym albo kwalifikowaną pieczęcią elektroniczną.

4. Rada Ministrów określi, w drodze rozporządzenia, progi uznania incydentu za incydent istotny według zdarzenia w poszczególnych sektorach i podsektorach, o których mowa w załączniku do ustawy, w zależności od:

1) liczby użytkowników dotkniętych zakłóceniem;

2) czasu trwania zakłócenia usługi kluczowej;

3) obszaru geograficznego, którego dotyczy zakłócenie, z uwzględnieniem jego odizolowania geograficznego;

4) innych czynników charakterystycznych dla danego sektora lub podsektora, o którym mowa w załączniku do ustawy, jeżeli występują.

5. W rozporządzeniu, o którym mowa w ust. 4, Rada Ministrów określi co najmniej jeden próg uznania incydentu za incydent istotny dla każdego zdarzenia, kierując się potrzebą zapewnienia ochrony przed zagrożeniami życia lub zdrowia ludzi, znacznymi stratami majątkowymi oraz zagrożeniem obniżenia jakości świadczonej usługi kluczowej.

[86] Rozdział 11 dodany przez art. 1 pkt 7 ustawy z dnia 29 maja 2026 r. o zmianie ustawy o zarządzaniu kryzysowym oraz niektórych innych ustaw (Dz.U. poz. 815). Zmiana weszła w życie 4 lipca 2026 r.