Wersja obowiązująca od 2026.07.04

Art. 6zza. [Wymagania dotyczące audytorów i przeprowadzania audytu systemu bezpieczeństwa ] [91] 1. Audyt może być przeprowadzony przez:

1) jednostkę certyfikującą właściwą w zakresie, o którym mowa w art. 6zz ust. 1,

2) co najmniej dwóch audytorów, w tym jednego z ukończonym szkoleniem audytora wiodącego, spełniających wymogi określone w przepisach wydanych na podstawie ust. 10

– spełniających wymagania bezpieczeństwa osobowego i przemysłowego w zakresie dostępu do informacji niejawnych o klauzuli „poufne”.

2. Wymogu posiadania dostępu do informacji niejawnych o klauzuli „poufne” nie stosuje się do audytorów, o których mowa w ust. 1 pkt 2, w przypadku gdy są oni pracownikami podmiotu krytycznego.

3. Jednostka certyfikująca oraz audytorzy, o których mowa w ust. 1 pkt 2, są obowiązani do zachowania w tajemnicy informacji uzyskanych w związku z przeprowadzanym audytem, z zachowaniem przepisów o ochronie informacji niejawnych i innych informacji prawnie chronionych.

4. Audyt nie może być przeprowadzony przez osobę realizującą w podmiocie audytowanym zadania, o których mowa w art. 6zt ust. 1, art. 6zu ust. 1 oraz art. 6zv ust. 1, lub która realizowała te zadania w podmiocie audytowanym niepóźniej niż w terminie 2 lat przed dniem rozpoczęcia audytu.

5. Na podstawie zebranych dokumentów i dowodów jednostka certyfikująca oraz audytorzy, o których mowa w ust. 1 pkt 2, sporządzają raport z przeprowadzonego audytu i przekazują je podmiotowi krytycznemu wraz z dokumentacją z przeprowadzonego audytu.

6. Audytu nie przeprowadza się w przypadku posiadania przez podmiot krytyczny certyfikatów w zakresie, o którym mowa w art. 6zz ust. 1.

7. Podmiot krytyczny przedstawia kopię raportu z przeprowadzonego audytu lub certyfikatu, o którym mowa w ust. 6, właściwemu organowi do spraw podmiotów krytycznych, w terminie 7 dni roboczych od dnia jego otrzymania, oraz dyrektorowi Centrum na jego uzasadniony wniosek.

8. Kopię raportu z przeprowadzonego audytu lub certyfikatu, o którym mowa w ust. 6, przekazuje się za pomocą systemu, o którym mowa w art. 46 ust. 1 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.

9. W przypadku braku możliwości przekazania kopii audytu lub certyfikatu, o którym mowa w ust. 6, za pomocą systemu, o którym mowa w art. 46 ust. 1 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, przekazanie następuje na piśmie utrwalonym w postaci elektronicznej, opatrzonym kwalifikowanym podpisem elektronicznym, podpisem osobistym, podpisem zaufanym albo kwalifikowaną pieczęcią elektroniczną.

10. Rada Ministrów określi, w drodze rozporządzenia, wymogi dla audytorów, o których mowa w ust. 1 pkt 2, w tym zakres wymaganej wiedzy specjalistycznej oraz wymaganego doświadczenia, mając na względzie zapewnienie skutecznego i rzetelnego przeprowadzania audytu.

[91] Rozdział 11 dodany przez art. 1 pkt 7 ustawy z dnia 29 maja 2026 r. o zmianie ustawy o zarządzaniu kryzysowym oraz niektórych innych ustaw (Dz.U. poz. 815). Zmiana weszła w życie 4 lipca 2026 r.

Wersja obowiązująca od 2026.07.04

Art. 6zza. [Wymagania dotyczące audytorów i przeprowadzania audytu systemu bezpieczeństwa ] [91] 1. Audyt może być przeprowadzony przez:

1) jednostkę certyfikującą właściwą w zakresie, o którym mowa w art. 6zz ust. 1,

2) co najmniej dwóch audytorów, w tym jednego z ukończonym szkoleniem audytora wiodącego, spełniających wymogi określone w przepisach wydanych na podstawie ust. 10

– spełniających wymagania bezpieczeństwa osobowego i przemysłowego w zakresie dostępu do informacji niejawnych o klauzuli „poufne”.

2. Wymogu posiadania dostępu do informacji niejawnych o klauzuli „poufne” nie stosuje się do audytorów, o których mowa w ust. 1 pkt 2, w przypadku gdy są oni pracownikami podmiotu krytycznego.

3. Jednostka certyfikująca oraz audytorzy, o których mowa w ust. 1 pkt 2, są obowiązani do zachowania w tajemnicy informacji uzyskanych w związku z przeprowadzanym audytem, z zachowaniem przepisów o ochronie informacji niejawnych i innych informacji prawnie chronionych.

4. Audyt nie może być przeprowadzony przez osobę realizującą w podmiocie audytowanym zadania, o których mowa w art. 6zt ust. 1, art. 6zu ust. 1 oraz art. 6zv ust. 1, lub która realizowała te zadania w podmiocie audytowanym niepóźniej niż w terminie 2 lat przed dniem rozpoczęcia audytu.

5. Na podstawie zebranych dokumentów i dowodów jednostka certyfikująca oraz audytorzy, o których mowa w ust. 1 pkt 2, sporządzają raport z przeprowadzonego audytu i przekazują je podmiotowi krytycznemu wraz z dokumentacją z przeprowadzonego audytu.

6. Audytu nie przeprowadza się w przypadku posiadania przez podmiot krytyczny certyfikatów w zakresie, o którym mowa w art. 6zz ust. 1.

7. Podmiot krytyczny przedstawia kopię raportu z przeprowadzonego audytu lub certyfikatu, o którym mowa w ust. 6, właściwemu organowi do spraw podmiotów krytycznych, w terminie 7 dni roboczych od dnia jego otrzymania, oraz dyrektorowi Centrum na jego uzasadniony wniosek.

8. Kopię raportu z przeprowadzonego audytu lub certyfikatu, o którym mowa w ust. 6, przekazuje się za pomocą systemu, o którym mowa w art. 46 ust. 1 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.

9. W przypadku braku możliwości przekazania kopii audytu lub certyfikatu, o którym mowa w ust. 6, za pomocą systemu, o którym mowa w art. 46 ust. 1 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, przekazanie następuje na piśmie utrwalonym w postaci elektronicznej, opatrzonym kwalifikowanym podpisem elektronicznym, podpisem osobistym, podpisem zaufanym albo kwalifikowaną pieczęcią elektroniczną.

10. Rada Ministrów określi, w drodze rozporządzenia, wymogi dla audytorów, o których mowa w ust. 1 pkt 2, w tym zakres wymaganej wiedzy specjalistycznej oraz wymaganego doświadczenia, mając na względzie zapewnienie skutecznego i rzetelnego przeprowadzania audytu.

[91] Rozdział 11 dodany przez art. 1 pkt 7 ustawy z dnia 29 maja 2026 r. o zmianie ustawy o zarządzaniu kryzysowym oraz niektórych innych ustaw (Dz.U. poz. 815). Zmiana weszła w życie 4 lipca 2026 r.