Wersja obowiązująca od 2026.07.04

Rozdział 11

Obowiązki podmiotów krytycznych

Art. 6zt. [Zintegrowany system zarządzania bezpieczeństwem świadczenia usługi kluczowej ] [84] 1. Podmiot krytyczny wdraża zintegrowany system zarządzania bezpieczeństwem świadczenia usługi kluczowej obejmujący:

1) przeprowadzenie nierzadziej niż raz na 2 lata oceny ryzyka z uwzględnieniem:

a) zagrożeń i związanych z tym ryzyk wymienionych w KOR oraz innych zagrożeń charakterystycznych dla świadczonej usługi kluczowej, w tym zagrożeń antagonistycznych,

b) stopnia zależności innych sektorów lub podsektorów, o których mowa w załączniku do ustawy, od usługi kluczowej świadczonej przez podmiot krytyczny oraz stopnia zależności tego podmiotu krytycznego od usług kluczowych świadczonych przez inne podmioty w innych sektorach, w tym w uzasadnionych przypadkach w sąsiadujących państwach członkowskich Unii Europejskiej i w państwach trzecich,

c) identyfikacji alternatywnych łańcuchów dostaw w celu przywrócenia świadczenia usługi kluczowej,

d) ocen ryzyka prowadzonych na podstawie odrębnych przepisów;

2) wdrożenie odpowiednich i proporcjonalnych do wyników oceny ryzyka rozwiązań organizacyjno-technicznych, w zakresie:

a) polityk zarządzania ryzykiem,

b) bezpieczeństwa fizycznego w formie ochrony fizycznej budynków i terenów należących do podmiotu krytycznego lub ich zabezpieczeń technicznych uwzględniających systemy kontroli dostępu,

c) ochrony infrastruktury krytycznej niezbędnej do świadczenia usługi kluczowej,

d) bezpieczeństwa osobowego dotyczącego pracowników i dostawców zewnętrznych,

e) cyberbezpieczeństwa, zgodnie z wymogami dotyczącymi podmiotów kluczowych, o których mowa w przepisach ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa,

f) bezpieczeństwa prawnego świadczenia usługi kluczowej,

g) ciągłości działania i odtwarzania, w tym utrzymywania własnych systemów rezerwowych zapewniających bezpieczeństwo i podtrzymujących funkcjonowanie świadczenia usługi kluczowej do czasu jej pełnego odtworzenia,

h) zdolności do ochrony informacji niejawnych w niezbędnym zakresie do zapewnienia świadczenia usługi kluczowej,

i) szkoleń i ćwiczeń personelu w celu jego przygotowania na zagrożenia i incydenty,

j) realizacji okresowych audytów i certyfikacji;

3) bieżącą współpracę z właściwymi organami zarządzania kryzysowego oraz służbami, strażami i inspekcjami dotyczącą wymiany informacji o zagrożeniach i incydentach zakłócających lub mogących zakłócić funkcjonowanie usługi kluczowej oraz sposobu postępowania w przypadku takiego zdarzenia;

4) gromadzenie informacji o zagrożeniach i incydentach zakłócających lub mogących zakłócić świadczenie usługi kluczowej;

5) zarządzanie incydentami;

6) stosowanie środków zapobiegających i ograniczających wpływ incydentów na świadczenie usługi kluczowej.

2. Rozwiązania organizacyjno-techniczne, o których mowa w ust. 1 pkt 2, uwzględniają wymagania określone w normach oraz wytycznych do ich stosowania, wskazanych w przepisach wydanych na podstawie ust. 5.

3. Podmiot krytyczny przeprowadza ocenę ryzyka, o której mowa w ust. 1 pkt 1, w terminie 9 miesięcy od dnia otrzymania informacji o wpisie do wykazu podmiotów krytycznych.

4. Podmiot krytyczny wdraża rozwiązania organizacyjno-techniczne, o których mowa w ust. 1 pkt 2, w terminie 3 miesięcy od dnia przeprowadzenia oceny ryzyka, a następnie stosownie do potrzeb, w zależności od wyników przeprowadzonej oceny ryzyka.

5. Rada Ministrów określi, w drodze rozporządzenia, wykaz norm oraz wytycznych do ich stosowania, które podmiot krytyczny uwzględnia przy wdrażaniu rozwiązań organizacyjno-technicznych, o których mowa w ust. 1 pkt 2, w zakresie:

1) zarządzania bezpieczeństwem informacji,

2) zarządzania ciągłością działania usługi kluczowej,

3) zapewnienia bezpieczeństwa fizycznego, w tym ochrony fizycznej infrastruktury służącej do świadczenia usługi kluczowej oraz zabezpieczeń technicznych, uwzględniających systemy kontroli dostępu

– mając na uwadze konieczność zapewnienia bezpieczeństwa świadczenia usług kluczowych oraz zapewnienia jednolitości rozwiązań.

6. Organ do spraw podmiotów krytycznych może opracować, odrębnie dla nadzorowanego sektora lub podsektora, o którym mowa w załączniku do ustawy, i udostępnić na swojej stronie podmiotowej Biuletynu Informacji Publicznej zestawienie wymogów dokumentów normalizacyjnych, o których mowa w art. 2 pkt 3 ustawy z dnia 12 września 2002 r. o normalizacji, które podmiot krytyczny uwzględnia przy wdrażaniu rozwiązań organizacyjno-technicznych, o których mowa w ust. 1 pkt 2.

7. W celu wdrożenia rozwiązań organizacyjno-technicznych, o których mowa w ust. 1 pkt 2, podmiot krytyczny uwzględnia specyfikacje techniczne określone w aktach wykonawczych Komisji Europejskiej dotyczących środków technicznych, środków bezpieczeństwa oraz środków organizacyjnych służących zapewnieniu odporności podmiotów krytycznych.

8. Podmiot krytyczny, w celu zapewnienia wdrażania rozwiązań, o których mowa w ust. 1 pkt 2, może zawierać umowy, w których żąda od usługodawców:

1) certyfikatów, uwzględniając dokumenty równoważne, zgodnie z zasadami wzajemnego uznawania w Unii Europejskiej, lub w przypadku ich braku – innych dokumentów właściwych dla poszczególnych rozwiązań, potwierdzających posiadanie odpowiednich kompetencji i uprawnień niezbędnych do ich realizacji;

2) potwierdzenia zdolności do ochrony informacji niejawnych oraz stosowania przepisów o ochronie informacji niejawnych, jeżeli opracowanie, przygotowanie i wykonanie umowy wiążą się z dostępem do informacji niejawnych.

9. Organ do spraw podmiotów krytycznych, po zasięgnięciu opinii właściwych sektorowych rad do spraw kompetencji, o których mowa w art. 4c ust. 1 pkt 2 ustawy z dnia 9 listopada 2000 r. o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości, może opracować i udostępnić na stronie podmiotowej Biuletynu Informacji Publicznej zestawienie certyfikatów lub innych dokumentów zapewniających wdrożenie rozwiązań, o których mowa w ust. 1 pkt 2.

10. Organ do spraw podmiotów krytycznych, we współpracy z dyrektorem Centrum, ustala klauzulę tajności oraz szczegółowe wymagania dotyczące ochrony informacji niejawnych związanych z realizacją przez podmiot krytyczny przedsięwzięć związanych z zapewnieniem bezpieczeństwa świadczenia usługi kluczowej.

11. W przypadku gdy podmiot krytyczny prowadzi ocenę ryzyka oraz opracowuje dokumentację dotyczącą oceny ryzyka na podstawie odrębnych przepisów, odpowiadającą przepisom niniejszego rozdziału, uznaje się wymóg prowadzenia oceny ryzyka za spełniony w całości lub w części.

[84] Rozdział 11 dodany przez art. 1 pkt 7 ustawy z dnia 29 maja 2026 r. o zmianie ustawy o zarządzaniu kryzysowym oraz niektórych innych ustaw (Dz.U. poz. 815). Zmiana weszła w życie 4 lipca 2026 r.

Wersja obowiązująca od 2026.07.04

Rozdział 11

Obowiązki podmiotów krytycznych

Art. 6zt. [Zintegrowany system zarządzania bezpieczeństwem świadczenia usługi kluczowej ] [84] 1. Podmiot krytyczny wdraża zintegrowany system zarządzania bezpieczeństwem świadczenia usługi kluczowej obejmujący:

1) przeprowadzenie nierzadziej niż raz na 2 lata oceny ryzyka z uwzględnieniem:

a) zagrożeń i związanych z tym ryzyk wymienionych w KOR oraz innych zagrożeń charakterystycznych dla świadczonej usługi kluczowej, w tym zagrożeń antagonistycznych,

b) stopnia zależności innych sektorów lub podsektorów, o których mowa w załączniku do ustawy, od usługi kluczowej świadczonej przez podmiot krytyczny oraz stopnia zależności tego podmiotu krytycznego od usług kluczowych świadczonych przez inne podmioty w innych sektorach, w tym w uzasadnionych przypadkach w sąsiadujących państwach członkowskich Unii Europejskiej i w państwach trzecich,

c) identyfikacji alternatywnych łańcuchów dostaw w celu przywrócenia świadczenia usługi kluczowej,

d) ocen ryzyka prowadzonych na podstawie odrębnych przepisów;

2) wdrożenie odpowiednich i proporcjonalnych do wyników oceny ryzyka rozwiązań organizacyjno-technicznych, w zakresie:

a) polityk zarządzania ryzykiem,

b) bezpieczeństwa fizycznego w formie ochrony fizycznej budynków i terenów należących do podmiotu krytycznego lub ich zabezpieczeń technicznych uwzględniających systemy kontroli dostępu,

c) ochrony infrastruktury krytycznej niezbędnej do świadczenia usługi kluczowej,

d) bezpieczeństwa osobowego dotyczącego pracowników i dostawców zewnętrznych,

e) cyberbezpieczeństwa, zgodnie z wymogami dotyczącymi podmiotów kluczowych, o których mowa w przepisach ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa,

f) bezpieczeństwa prawnego świadczenia usługi kluczowej,

g) ciągłości działania i odtwarzania, w tym utrzymywania własnych systemów rezerwowych zapewniających bezpieczeństwo i podtrzymujących funkcjonowanie świadczenia usługi kluczowej do czasu jej pełnego odtworzenia,

h) zdolności do ochrony informacji niejawnych w niezbędnym zakresie do zapewnienia świadczenia usługi kluczowej,

i) szkoleń i ćwiczeń personelu w celu jego przygotowania na zagrożenia i incydenty,

j) realizacji okresowych audytów i certyfikacji;

3) bieżącą współpracę z właściwymi organami zarządzania kryzysowego oraz służbami, strażami i inspekcjami dotyczącą wymiany informacji o zagrożeniach i incydentach zakłócających lub mogących zakłócić funkcjonowanie usługi kluczowej oraz sposobu postępowania w przypadku takiego zdarzenia;

4) gromadzenie informacji o zagrożeniach i incydentach zakłócających lub mogących zakłócić świadczenie usługi kluczowej;

5) zarządzanie incydentami;

6) stosowanie środków zapobiegających i ograniczających wpływ incydentów na świadczenie usługi kluczowej.

2. Rozwiązania organizacyjno-techniczne, o których mowa w ust. 1 pkt 2, uwzględniają wymagania określone w normach oraz wytycznych do ich stosowania, wskazanych w przepisach wydanych na podstawie ust. 5.

3. Podmiot krytyczny przeprowadza ocenę ryzyka, o której mowa w ust. 1 pkt 1, w terminie 9 miesięcy od dnia otrzymania informacji o wpisie do wykazu podmiotów krytycznych.

4. Podmiot krytyczny wdraża rozwiązania organizacyjno-techniczne, o których mowa w ust. 1 pkt 2, w terminie 3 miesięcy od dnia przeprowadzenia oceny ryzyka, a następnie stosownie do potrzeb, w zależności od wyników przeprowadzonej oceny ryzyka.

5. Rada Ministrów określi, w drodze rozporządzenia, wykaz norm oraz wytycznych do ich stosowania, które podmiot krytyczny uwzględnia przy wdrażaniu rozwiązań organizacyjno-technicznych, o których mowa w ust. 1 pkt 2, w zakresie:

1) zarządzania bezpieczeństwem informacji,

2) zarządzania ciągłością działania usługi kluczowej,

3) zapewnienia bezpieczeństwa fizycznego, w tym ochrony fizycznej infrastruktury służącej do świadczenia usługi kluczowej oraz zabezpieczeń technicznych, uwzględniających systemy kontroli dostępu

– mając na uwadze konieczność zapewnienia bezpieczeństwa świadczenia usług kluczowych oraz zapewnienia jednolitości rozwiązań.

6. Organ do spraw podmiotów krytycznych może opracować, odrębnie dla nadzorowanego sektora lub podsektora, o którym mowa w załączniku do ustawy, i udostępnić na swojej stronie podmiotowej Biuletynu Informacji Publicznej zestawienie wymogów dokumentów normalizacyjnych, o których mowa w art. 2 pkt 3 ustawy z dnia 12 września 2002 r. o normalizacji, które podmiot krytyczny uwzględnia przy wdrażaniu rozwiązań organizacyjno-technicznych, o których mowa w ust. 1 pkt 2.

7. W celu wdrożenia rozwiązań organizacyjno-technicznych, o których mowa w ust. 1 pkt 2, podmiot krytyczny uwzględnia specyfikacje techniczne określone w aktach wykonawczych Komisji Europejskiej dotyczących środków technicznych, środków bezpieczeństwa oraz środków organizacyjnych służących zapewnieniu odporności podmiotów krytycznych.

8. Podmiot krytyczny, w celu zapewnienia wdrażania rozwiązań, o których mowa w ust. 1 pkt 2, może zawierać umowy, w których żąda od usługodawców:

1) certyfikatów, uwzględniając dokumenty równoważne, zgodnie z zasadami wzajemnego uznawania w Unii Europejskiej, lub w przypadku ich braku – innych dokumentów właściwych dla poszczególnych rozwiązań, potwierdzających posiadanie odpowiednich kompetencji i uprawnień niezbędnych do ich realizacji;

2) potwierdzenia zdolności do ochrony informacji niejawnych oraz stosowania przepisów o ochronie informacji niejawnych, jeżeli opracowanie, przygotowanie i wykonanie umowy wiążą się z dostępem do informacji niejawnych.

9. Organ do spraw podmiotów krytycznych, po zasięgnięciu opinii właściwych sektorowych rad do spraw kompetencji, o których mowa w art. 4c ust. 1 pkt 2 ustawy z dnia 9 listopada 2000 r. o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości, może opracować i udostępnić na stronie podmiotowej Biuletynu Informacji Publicznej zestawienie certyfikatów lub innych dokumentów zapewniających wdrożenie rozwiązań, o których mowa w ust. 1 pkt 2.

10. Organ do spraw podmiotów krytycznych, we współpracy z dyrektorem Centrum, ustala klauzulę tajności oraz szczegółowe wymagania dotyczące ochrony informacji niejawnych związanych z realizacją przez podmiot krytyczny przedsięwzięć związanych z zapewnieniem bezpieczeństwa świadczenia usługi kluczowej.

11. W przypadku gdy podmiot krytyczny prowadzi ocenę ryzyka oraz opracowuje dokumentację dotyczącą oceny ryzyka na podstawie odrębnych przepisów, odpowiadającą przepisom niniejszego rozdziału, uznaje się wymóg prowadzenia oceny ryzyka za spełniony w całości lub w części.

[84] Rozdział 11 dodany przez art. 1 pkt 7 ustawy z dnia 29 maja 2026 r. o zmianie ustawy o zarządzaniu kryzysowym oraz niektórych innych ustaw (Dz.U. poz. 815). Zmiana weszła w życie 4 lipca 2026 r.