Wersja obowiązująca od 2026.07.04

Art. 6zf. [Dokumentacja ochrony infrastruktury krytycznej] [70] 1. Operator infrastruktury krytycznej opracowuje i na bieżąco aktualizuje dokumentację ochrony infrastruktury krytycznej.

2. Dokumentacja ochrony infrastruktury krytycznej zawiera:

1) opis infrastruktury krytycznej oraz analizę zagrożeń, o której mowa w art. 6ze ust. 1 pkt 1;

2) opis wdrożonych rozwiązań, o których mowa w art. 6ze ust. 1 pkt 2;

3) opis:

a) zasobów umożliwiających podtrzymanie funkcjonowania infrastruktury krytycznej do czasu jej pełnego odtworzenia,

b) współpracy z organami zarządzania kryzysowego, służbami, strażami i inspekcjami oraz dyrektorem Centrum, dotyczący wymiany informacji o zdarzeniu zakłócającym lub mogącym zakłócić funkcjonowanie infrastruktury krytycznej oraz sposobu postępowania w przypadku takiego zdarzenia;

4) procedury:

a) działania w sytuacji zagrożenia lub zakłócenia funkcjonowania infrastruktury krytycznej,

b) zapewnienia ciągłości funkcjonowania infrastruktury krytycznej,

c) odtwarzania infrastruktury krytycznej;

5) inne elementy niż wskazane w pkt 1–4, biorąc pod uwagę opis infrastruktury krytycznej.

3. Procedury, o których mowa w ust. 2 pkt 4 lit. a, uzgadnia się z właściwymi organami zarządzania kryzysowego, służbami, strażami i inspekcjami, w zakresie ich dotyczącym, planowanymi do wykorzystania w realizacji przedsięwzięć określonych w dokumentacji ochrony infrastruktury krytycznej.

4. Dokumentacja ochrony infrastruktury krytycznej jest dokumentem niejawnym.

5. Operator infrastruktury krytycznej, w terminie 15 miesięcy od dnia uzyskania informacji o dokonaniu wpisu do wykazu infrastruktury krytycznej, przedkłada oświadczenie o opracowaniu dokumentacji ochrony infrastruktury krytycznej dyrektorowi Centrum oraz odpowiednio:

1) ministrowi, o którym mowa w art. 6t ust. 1;

2) właściwemu miejscowo wojewodzie;

3) Komisji Nadzoru Finansowego.

6. Operator infrastruktury krytycznej może dołączyć do oświadczenia o opracowaniu dokumentacji ochrony infrastruktury krytycznej informację o braku możliwości wdrożenia rozwiązań, o których mowa w art. 6ze ust. 1 pkt 2, wskazując przyczynę tego braku, wraz z uzasadnieniem. Operator infrastruktury krytycznej uzgadnia odpowiednio z ministrem, wojewodą lub Komisją Nadzoru Finansowego działania mające na celu wdrożenie brakujących rozwiązań.

7. Operator infrastruktury krytycznej przekazuje dokumentację ochrony infrastruktury krytycznej na żądanie organów, o których mowa w ust. 5, oraz dyrektora Centrum.

8. Operator infrastruktury krytycznej, będący jednocześnie podmiotem kluczowym lub ważnym w rozumieniu ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, w dokumentacji ochrony infrastruktury krytycznej uwzględnia dokumentację dotyczącą bezpieczeństwa systemu informacyjnego, o której mowa w art. 10 tej ustawy.

[70] Rozdział 7 dodany przez art. 1 pkt 7 ustawy z dnia 29 maja 2026 r. o zmianie ustawy o zarządzaniu kryzysowym oraz niektórych innych ustaw (Dz.U. poz. 815). Zmiana weszła w życie 4 lipca 2026 r.

Wersja obowiązująca od 2026.07.04

Art. 6zf. [Dokumentacja ochrony infrastruktury krytycznej] [70] 1. Operator infrastruktury krytycznej opracowuje i na bieżąco aktualizuje dokumentację ochrony infrastruktury krytycznej.

2. Dokumentacja ochrony infrastruktury krytycznej zawiera:

1) opis infrastruktury krytycznej oraz analizę zagrożeń, o której mowa w art. 6ze ust. 1 pkt 1;

2) opis wdrożonych rozwiązań, o których mowa w art. 6ze ust. 1 pkt 2;

3) opis:

a) zasobów umożliwiających podtrzymanie funkcjonowania infrastruktury krytycznej do czasu jej pełnego odtworzenia,

b) współpracy z organami zarządzania kryzysowego, służbami, strażami i inspekcjami oraz dyrektorem Centrum, dotyczący wymiany informacji o zdarzeniu zakłócającym lub mogącym zakłócić funkcjonowanie infrastruktury krytycznej oraz sposobu postępowania w przypadku takiego zdarzenia;

4) procedury:

a) działania w sytuacji zagrożenia lub zakłócenia funkcjonowania infrastruktury krytycznej,

b) zapewnienia ciągłości funkcjonowania infrastruktury krytycznej,

c) odtwarzania infrastruktury krytycznej;

5) inne elementy niż wskazane w pkt 1–4, biorąc pod uwagę opis infrastruktury krytycznej.

3. Procedury, o których mowa w ust. 2 pkt 4 lit. a, uzgadnia się z właściwymi organami zarządzania kryzysowego, służbami, strażami i inspekcjami, w zakresie ich dotyczącym, planowanymi do wykorzystania w realizacji przedsięwzięć określonych w dokumentacji ochrony infrastruktury krytycznej.

4. Dokumentacja ochrony infrastruktury krytycznej jest dokumentem niejawnym.

5. Operator infrastruktury krytycznej, w terminie 15 miesięcy od dnia uzyskania informacji o dokonaniu wpisu do wykazu infrastruktury krytycznej, przedkłada oświadczenie o opracowaniu dokumentacji ochrony infrastruktury krytycznej dyrektorowi Centrum oraz odpowiednio:

1) ministrowi, o którym mowa w art. 6t ust. 1;

2) właściwemu miejscowo wojewodzie;

3) Komisji Nadzoru Finansowego.

6. Operator infrastruktury krytycznej może dołączyć do oświadczenia o opracowaniu dokumentacji ochrony infrastruktury krytycznej informację o braku możliwości wdrożenia rozwiązań, o których mowa w art. 6ze ust. 1 pkt 2, wskazując przyczynę tego braku, wraz z uzasadnieniem. Operator infrastruktury krytycznej uzgadnia odpowiednio z ministrem, wojewodą lub Komisją Nadzoru Finansowego działania mające na celu wdrożenie brakujących rozwiązań.

7. Operator infrastruktury krytycznej przekazuje dokumentację ochrony infrastruktury krytycznej na żądanie organów, o których mowa w ust. 5, oraz dyrektora Centrum.

8. Operator infrastruktury krytycznej, będący jednocześnie podmiotem kluczowym lub ważnym w rozumieniu ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, w dokumentacji ochrony infrastruktury krytycznej uwzględnia dokumentację dotyczącą bezpieczeństwa systemu informacyjnego, o której mowa w art. 10 tej ustawy.

[70] Rozdział 7 dodany przez art. 1 pkt 7 ustawy z dnia 29 maja 2026 r. o zmianie ustawy o zarządzaniu kryzysowym oraz niektórych innych ustaw (Dz.U. poz. 815). Zmiana weszła w życie 4 lipca 2026 r.