Wersja obowiązująca od 2026.07.04

Rozdział 7

Obowiązki operatorów infrastruktury krytycznej

Art. 6ze. [Ochrona infrastruktury krytycznej] [69] 1. Operator infrastruktury krytycznej zapewnia jej ochronę przez:

1) prowadzenie bieżącej analizy zagrożeń dla infrastruktury krytycznej;

2) wdrażanie adekwatnych do wyników przeprowadzonej analizy zagrożeń, o której mowa w pkt 1, rozwiązań w zakresie:

a) bezpieczeństwa fizycznego w formie ochrony fizycznej lub zabezpieczeń technicznych uwzględniających systemy kontroli dostępu,

b) bezpieczeństwa technicznego,

c) bezpieczeństwa osobowego dotyczącego pracowników i dostawców zewnętrznych,

d) cyberbezpieczeństwa,

e) bezpieczeństwa prawnego,

f) ciągłości działania i odtwarzania, w tym utrzymywania własnych systemów rezerwowych zapewniających bezpieczeństwo i podtrzymujących funkcjonalność infrastruktury krytycznej do czasu jej pełnego odtworzenia;

3) bieżącą współpracę z organami zarządzania kryzysowego, służbami, strażami i inspekcjami oraz dyrektorem Centrum przez sporządzanie, przekazywanie oraz odbieranie informacji o:

a) zagrożeniach zakłócających lub mogących zakłócić funkcjonowanie infrastruktury krytycznej,

b) spodziewanych przerwach lub zakłóceniach w funkcjonowaniu infrastruktury krytycznej;

4) sporządzanie i przekazywanie informacji w zakresie zapewnienia ochrony infrastruktury krytycznej na żądanie:

a) odpowiednio:

– ministra, o którym mowa w art. 6t ust. 1,

– właściwego miejscowo wojewody,

– Komisji Nadzoru Finansowego,

b) dyrektora Centrum,

c) Szefa Agencji Bezpieczeństwa Wewnętrznego lub Szefa Agencji Wywiadu;

5) zapewnienie zdolności do ochrony informacji niejawnych rozumianej jako spełnienie wymagań określonych w przepisach ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2025 r. poz. 1209), zwaną dalej „zdolnością do ochrony informacji niejawnych”.

2. Operator infrastruktury krytycznej przeprowadza analizę zagrożeń, o której mowa w ust. 1 pkt 1, w terminie 6 miesięcy od dnia otrzymania informacji o dokonaniu wpisu do wykazu infrastruktury krytycznej.

3. Operator infrastruktury krytycznej wdraża rozwiązania, o których mowa w ust. 1 pkt 2, w terminie 6 miesięcy od dnia przeprowadzenia analizy zagrożeń, o której mowa w ust. 1 pkt 1, a następnie stosownie do potrzeb, w zależności od wyników przeprowadzonej analizy zagrożeń.

4. Rada Ministrów określi, w drodze rozporządzenia, minimalne wymagania w zakresie bezpieczeństwa fizycznego, technicznego, osobowego, cyberbezpieczeństwa, prawnego oraz ciągłości działania, niezbędne do wdrażania rozwiązań, o których mowa w ust. 1 pkt 2, mając na uwadze potrzebę podejmowania działań zapewniających bezpieczeństwo infrastruktury krytycznej oraz zapewnienia jednolitości rozwiązań.

5. Operator infrastruktury krytycznej w celu zapewnienia wdrażania rozwiązań, o których mowa w ust. 1 pkt 2, może zawierać umowy. Przy zawieraniu umów operator ochrony infrastruktury krytycznej żąda od usługodawców:

1) certyfikatów, uwzględniając dokumenty równoważne, zgodnie z zasadami wzajemnego uznawania w Unii Europejskiej, lub w przypadku ich braku – innych dokumentów właściwych dla poszczególnych rozwiązań, potwierdzających posiadanie odpowiednich kompetencji i uprawnień niezbędnych do ich realizacji;

2) potwierdzenia zdolności do ochrony informacji niejawnych oraz stosowania przepisów o ochronie informacji niejawnych, jeżeli opracowanie, przygotowanie i wykonanie umowy wiążą się z dostępem do informacji niejawnych.

6. Minister, o którym mowa w art. 6t ust. 1, właściwy miejscowo wojewoda lub Komisja Nadzoru Finansowego, po zasięgnięciu opinii właściwych sektorowych rad do spraw kompetencji, o których mowa w art. 4c ust. 1 pkt 2 ustawy z dnia 9 listopada 2000 r. o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości (Dz. U. z 2025 r. poz. 98), mogą opracować i udostępnić na stronie podmiotowej Biuletynu Informacji Publicznej zestawienie certyfikatów lub innych dokumentów zapewniających wdrożenie rozwiązań, o których mowa w ust. 1 pkt 2.

7. Minister, o którym mowa w art. 6t ust. 1, właściwy miejscowo wojewoda, Komisja Nadzoru Finansowego lub Narodowy Bank Polski, w zakresie swojej właściwości, we współpracy z dyrektorem Centrum, ustalają klauzule tajności oraz szczegółowe wymagania dotyczące ochrony informacji niejawnych związanych z realizacją przez operatora infrastruktury krytycznej przedsięwzięć związanych z ochroną tej infrastruktury.

[69] Rozdział 7 dodany przez art. 1 pkt 7 ustawy z dnia 29 maja 2026 r. o zmianie ustawy o zarządzaniu kryzysowym oraz niektórych innych ustaw (Dz.U. poz. 815). Zmiana weszła w życie 4 lipca 2026 r.

Wersja obowiązująca od 2026.07.04

Rozdział 7

Obowiązki operatorów infrastruktury krytycznej

Art. 6ze. [Ochrona infrastruktury krytycznej] [69] 1. Operator infrastruktury krytycznej zapewnia jej ochronę przez:

1) prowadzenie bieżącej analizy zagrożeń dla infrastruktury krytycznej;

2) wdrażanie adekwatnych do wyników przeprowadzonej analizy zagrożeń, o której mowa w pkt 1, rozwiązań w zakresie:

a) bezpieczeństwa fizycznego w formie ochrony fizycznej lub zabezpieczeń technicznych uwzględniających systemy kontroli dostępu,

b) bezpieczeństwa technicznego,

c) bezpieczeństwa osobowego dotyczącego pracowników i dostawców zewnętrznych,

d) cyberbezpieczeństwa,

e) bezpieczeństwa prawnego,

f) ciągłości działania i odtwarzania, w tym utrzymywania własnych systemów rezerwowych zapewniających bezpieczeństwo i podtrzymujących funkcjonalność infrastruktury krytycznej do czasu jej pełnego odtworzenia;

3) bieżącą współpracę z organami zarządzania kryzysowego, służbami, strażami i inspekcjami oraz dyrektorem Centrum przez sporządzanie, przekazywanie oraz odbieranie informacji o:

a) zagrożeniach zakłócających lub mogących zakłócić funkcjonowanie infrastruktury krytycznej,

b) spodziewanych przerwach lub zakłóceniach w funkcjonowaniu infrastruktury krytycznej;

4) sporządzanie i przekazywanie informacji w zakresie zapewnienia ochrony infrastruktury krytycznej na żądanie:

a) odpowiednio:

– ministra, o którym mowa w art. 6t ust. 1,

– właściwego miejscowo wojewody,

– Komisji Nadzoru Finansowego,

b) dyrektora Centrum,

c) Szefa Agencji Bezpieczeństwa Wewnętrznego lub Szefa Agencji Wywiadu;

5) zapewnienie zdolności do ochrony informacji niejawnych rozumianej jako spełnienie wymagań określonych w przepisach ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2025 r. poz. 1209), zwaną dalej „zdolnością do ochrony informacji niejawnych”.

2. Operator infrastruktury krytycznej przeprowadza analizę zagrożeń, o której mowa w ust. 1 pkt 1, w terminie 6 miesięcy od dnia otrzymania informacji o dokonaniu wpisu do wykazu infrastruktury krytycznej.

3. Operator infrastruktury krytycznej wdraża rozwiązania, o których mowa w ust. 1 pkt 2, w terminie 6 miesięcy od dnia przeprowadzenia analizy zagrożeń, o której mowa w ust. 1 pkt 1, a następnie stosownie do potrzeb, w zależności od wyników przeprowadzonej analizy zagrożeń.

4. Rada Ministrów określi, w drodze rozporządzenia, minimalne wymagania w zakresie bezpieczeństwa fizycznego, technicznego, osobowego, cyberbezpieczeństwa, prawnego oraz ciągłości działania, niezbędne do wdrażania rozwiązań, o których mowa w ust. 1 pkt 2, mając na uwadze potrzebę podejmowania działań zapewniających bezpieczeństwo infrastruktury krytycznej oraz zapewnienia jednolitości rozwiązań.

5. Operator infrastruktury krytycznej w celu zapewnienia wdrażania rozwiązań, o których mowa w ust. 1 pkt 2, może zawierać umowy. Przy zawieraniu umów operator ochrony infrastruktury krytycznej żąda od usługodawców:

1) certyfikatów, uwzględniając dokumenty równoważne, zgodnie z zasadami wzajemnego uznawania w Unii Europejskiej, lub w przypadku ich braku – innych dokumentów właściwych dla poszczególnych rozwiązań, potwierdzających posiadanie odpowiednich kompetencji i uprawnień niezbędnych do ich realizacji;

2) potwierdzenia zdolności do ochrony informacji niejawnych oraz stosowania przepisów o ochronie informacji niejawnych, jeżeli opracowanie, przygotowanie i wykonanie umowy wiążą się z dostępem do informacji niejawnych.

6. Minister, o którym mowa w art. 6t ust. 1, właściwy miejscowo wojewoda lub Komisja Nadzoru Finansowego, po zasięgnięciu opinii właściwych sektorowych rad do spraw kompetencji, o których mowa w art. 4c ust. 1 pkt 2 ustawy z dnia 9 listopada 2000 r. o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości (Dz. U. z 2025 r. poz. 98), mogą opracować i udostępnić na stronie podmiotowej Biuletynu Informacji Publicznej zestawienie certyfikatów lub innych dokumentów zapewniających wdrożenie rozwiązań, o których mowa w ust. 1 pkt 2.

7. Minister, o którym mowa w art. 6t ust. 1, właściwy miejscowo wojewoda, Komisja Nadzoru Finansowego lub Narodowy Bank Polski, w zakresie swojej właściwości, we współpracy z dyrektorem Centrum, ustalają klauzule tajności oraz szczegółowe wymagania dotyczące ochrony informacji niejawnych związanych z realizacją przez operatora infrastruktury krytycznej przedsięwzięć związanych z ochroną tej infrastruktury.

[69] Rozdział 7 dodany przez art. 1 pkt 7 ustawy z dnia 29 maja 2026 r. o zmianie ustawy o zarządzaniu kryzysowym oraz niektórych innych ustaw (Dz.U. poz. 815). Zmiana weszła w życie 4 lipca 2026 r.