Wersja obowiązująca od 2026.07.04

Rozdział 13

Nadzór nad podmiotami krytycznymi i ich kontrola

Art. 6zzi. [Zakres nadzoru nad podmiotami krytycznymi oraz instrumenty kontrolne i sankcyjne organów właściwych ] [99] 1. Nadzór w zakresie stosowania przepisów ustawy sprawują organy do spraw podmiotów krytycznych w zakresie:

1) spełniania przez podmioty krytyczne wymogów bezpieczeństwa dotyczących świadczenia usług kluczowych;

2) wykonywania przez podmioty krytyczne obowiązków wynikających z ustawy dotyczących przeciwdziałania zagrożeniom dla świadczonych usług kluczowych i zgłaszania incydentów istotnych.

2. W ramach nadzoru, o którym mowa w ust. 1, organ do spraw podmiotów krytycznych:

1) prowadzi kontrole podmiotów krytycznych w ich siedzibach, miejscach wykonywania działalności gospodarczej lub zdalnie;

2) zleca audyt na koszt podmiotu krytycznego w przypadku, o którym mowa w art. 6zz ust. 2;

3) nakłada kary pieniężne na podmioty krytyczne.

3. Organ do spraw podmiotów krytycznych może żądać od podmiotu krytycznego informacji w zakresie wdrożenia rozwiązań zawartych w dokumentacji cyberbezpieczeństwa, o której mowa w art. 6zu ust. 2 pkt 5, obejmujących:

1) wpływ wdrożonych rozwiązań na bezpieczeństwo świadczenia usługi kluczowej;

2) dowody potwierdzające wdrożone rozwiązania, w tym wyniki audytów przeprowadzonych przez podmiot krytyczny.

4. Organ do spraw podmiotów krytycznych wskazuje cel i uzasadnienie żądania, o którym mowa w ust. 3.

[99] Rozdział 13 dodany przez art. 1 pkt 7 ustawy z dnia 29 maja 2026 r. o zmianie ustawy o zarządzaniu kryzysowym oraz niektórych innych ustaw (Dz.U. poz. 815). Zmiana weszła w życie 4 lipca 2026 r.

Wersja obowiązująca od 2026.07.04

Rozdział 13

Nadzór nad podmiotami krytycznymi i ich kontrola

Art. 6zzi. [Zakres nadzoru nad podmiotami krytycznymi oraz instrumenty kontrolne i sankcyjne organów właściwych ] [99] 1. Nadzór w zakresie stosowania przepisów ustawy sprawują organy do spraw podmiotów krytycznych w zakresie:

1) spełniania przez podmioty krytyczne wymogów bezpieczeństwa dotyczących świadczenia usług kluczowych;

2) wykonywania przez podmioty krytyczne obowiązków wynikających z ustawy dotyczących przeciwdziałania zagrożeniom dla świadczonych usług kluczowych i zgłaszania incydentów istotnych.

2. W ramach nadzoru, o którym mowa w ust. 1, organ do spraw podmiotów krytycznych:

1) prowadzi kontrole podmiotów krytycznych w ich siedzibach, miejscach wykonywania działalności gospodarczej lub zdalnie;

2) zleca audyt na koszt podmiotu krytycznego w przypadku, o którym mowa w art. 6zz ust. 2;

3) nakłada kary pieniężne na podmioty krytyczne.

3. Organ do spraw podmiotów krytycznych może żądać od podmiotu krytycznego informacji w zakresie wdrożenia rozwiązań zawartych w dokumentacji cyberbezpieczeństwa, o której mowa w art. 6zu ust. 2 pkt 5, obejmujących:

1) wpływ wdrożonych rozwiązań na bezpieczeństwo świadczenia usługi kluczowej;

2) dowody potwierdzające wdrożone rozwiązania, w tym wyniki audytów przeprowadzonych przez podmiot krytyczny.

4. Organ do spraw podmiotów krytycznych wskazuje cel i uzasadnienie żądania, o którym mowa w ust. 3.

[99] Rozdział 13 dodany przez art. 1 pkt 7 ustawy z dnia 29 maja 2026 r. o zmianie ustawy o zarządzaniu kryzysowym oraz niektórych innych ustaw (Dz.U. poz. 815). Zmiana weszła w życie 4 lipca 2026 r.