Wersja obowiązująca od 2026.07.04

Art. 6zz. [Audyt zintegrowanego systemu zarządzania bezpieczeństwem świadczenia usługi kluczowej ] [90] 1. Podmiot krytyczny przeprowadza co najmniej raz na 3 lata, na własny koszt, audyt zintegrowanego systemu zarządzania bezpieczeństwem świadczenia usługi kluczowej, zwany dalej „audytem”, w zakresie:

1) zarządzania bezpieczeństwem informacji;

2) zarządzania ciągłością działania usługi kluczowej;

3) zapewnienia bezpieczeństwa fizycznego w formie ochrony fizycznej budynków i terenów należących do podmiotu krytycznego lub ich zabezpieczeń technicznych uwzględniających systemy kontroli dostępu.

2. W przypadku wystąpienia incydentu istotnego organ do spraw podmiotów krytycznych może nakazać podmiotowi krytycznemu, w drodze decyzji, przeprowadzenie zewnętrznego audytu wraz z określeniem terminu przekazania kopii raportu z przeprowadzonego audytu i wskazaniem kategorii podmiotów do przeprowadzenia audytu. Organ do spraw podmiotów krytycznych może również określić zakres audytu. Decyzja nakazująca przeprowadzenie zewnętrznego audytu podlega natychmiastowemu wykonaniu.

[90] Rozdział 11 dodany przez art. 1 pkt 7 ustawy z dnia 29 maja 2026 r. o zmianie ustawy o zarządzaniu kryzysowym oraz niektórych innych ustaw (Dz.U. poz. 815). Zmiana weszła w życie 4 lipca 2026 r.

Wersja obowiązująca od 2026.07.04

Art. 6zz. [Audyt zintegrowanego systemu zarządzania bezpieczeństwem świadczenia usługi kluczowej ] [90] 1. Podmiot krytyczny przeprowadza co najmniej raz na 3 lata, na własny koszt, audyt zintegrowanego systemu zarządzania bezpieczeństwem świadczenia usługi kluczowej, zwany dalej „audytem”, w zakresie:

1) zarządzania bezpieczeństwem informacji;

2) zarządzania ciągłością działania usługi kluczowej;

3) zapewnienia bezpieczeństwa fizycznego w formie ochrony fizycznej budynków i terenów należących do podmiotu krytycznego lub ich zabezpieczeń technicznych uwzględniających systemy kontroli dostępu.

2. W przypadku wystąpienia incydentu istotnego organ do spraw podmiotów krytycznych może nakazać podmiotowi krytycznemu, w drodze decyzji, przeprowadzenie zewnętrznego audytu wraz z określeniem terminu przekazania kopii raportu z przeprowadzonego audytu i wskazaniem kategorii podmiotów do przeprowadzenia audytu. Organ do spraw podmiotów krytycznych może również określić zakres audytu. Decyzja nakazująca przeprowadzenie zewnętrznego audytu podlega natychmiastowemu wykonaniu.

[90] Rozdział 11 dodany przez art. 1 pkt 7 ustawy z dnia 29 maja 2026 r. o zmianie ustawy o zarządzaniu kryzysowym oraz niektórych innych ustaw (Dz.U. poz. 815). Zmiana weszła w życie 4 lipca 2026 r.