Rozdział 1 - Przepisy ogólne - Krajowy system cyberbezpieczeństwa.
Dziennik Ustaw
Dz.U.2023.913 t.j.
Akt obowiązujący Wersja od: 25 września 2023 r.
Rozdział 1
Przepisy ogólne
Przepisy ogólne
1.
Ustawa określa:1)
organizację krajowego systemu cyberbezpieczeństwa oraz zadania i obowiązki podmiotów wchodzących w skład tego systemu;2)
sposób sprawowania nadzoru i kontroli w zakresie stosowania przepisów ustawy;3)
zakres Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej.2.
Ustawy nie stosuje się do:1)
przedsiębiorców telekomunikacyjnych, o których mowa w ustawie z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne (Dz. U. z 2022 r. poz. 1648, 1933 i 2581), w zakresie wymogów dotyczących bezpieczeństwa i zgłaszania incydentów;2)
dostawców usług zaufania, którzy podlegają wymogom art. 19 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylającego dyrektywę 1999/93/WE (Dz. Urz. UE L 257 z 28.08.2014, str. 73);3)
podmiotów wykonujących działalność leczniczą, tworzonych przez Szefa Agencji Bezpieczeństwa Wewnętrznego lub Szefa Agencji Wywiadu.Użyte w ustawie określenia oznaczają:
1)
CSIRT GOV - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Szefa Agencji Bezpieczeństwa Wewnętrznego;2)
CSIRT MON - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Ministra Obrony Narodowej;3)
CSIRT NASK - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Naukową i Akademicką Sieć Komputerową - Państwowy Instytut Badawczy;4)
cyberbezpieczeństwo - odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy;5)
incydent - zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo;6)
incydent krytyczny - incydent skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi, klasyfikowany przez właściwy CSIRT MON, CSIRT NASK lub CSIRT GOV;7)
incydent poważny - incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi kluczowej;8)
incydent istotny - incydent, który ma istotny wpływ na świadczenie usługi cyfrowej w rozumieniu art. 4 rozporządzenia wykonawczego Komisji (UE) 2018/151 z dnia 30 stycznia 2018 r. ustanawiającego zasady stosowania dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 w odniesieniu do dalszego doprecyzowania elementów, jakie mają być uwzględnione przez dostawców usług cyfrowych w zakresie zarządzania istniejącymi ryzykami dla bezpieczeństwa sieci i systemów informatycznych, oraz parametrów służących do określenia, czy incydent ma istotny wpływ (Dz. Urz. UE L 26 z 31.01.2018, str. 48), zwanego dalej "rozporządzeniem wykonawczym 2018/151";9)
incydent w podmiocie publicznym - incydent, który powoduje lub może spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego realizowanego przez podmiot publiczny, o którym mowa w art. 4 pkt 7-15;10)
obsługa incydentu - czynności umożliwiające wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację, podejmowanie działań naprawczych i ograniczenie skutków incydentu;11)
podatność - właściwość systemu informacyjnego, która może być wykorzystana przez zagrożenie cyberbezpieczeństwa;12)
ryzyko - kombinację prawdopodobieństwa wystąpienia zdarzenia niepożądanego i jego konsekwencji;13)
szacowanie ryzyka - całościowy proces identyfikacji, analizy i oceny ryzyka;14)
system informacyjny - system teleinformatyczny, o którym mowa w art. 3 pkt 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2023 r. poz. 57), wraz z przetwarzanymi w nim danymi w postaci elektronicznej;15)
usługa cyfrowa - usługę świadczoną drogą elektroniczną w rozumieniu przepisów ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2020 r. poz. 344), wymienioną w załączniku nr 2 do ustawy;16)
usługa kluczowa - usługę, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, wymienioną w wykazie usług kluczowych;17)
zagrożenie cyberbezpieczeństwa - potencjalną przyczynę wystąpienia incydentu;18)
zarządzanie incydentem - obsługę incydentu, wyszukiwanie powiązań między incydentami, usuwanie przyczyn ich wystąpienia oraz opracowywanie wniosków wynikających z obsługi incydentu;19)
zarządzanie ryzykiem - skoordynowane działania w zakresie zarządzania cyberbezpieczeństwem w odniesieniu do oszacowanego ryzyka.Krajowy system cyberbezpieczeństwa ma na celu zapewnienie cyberbezpieczeństwa na poziomie krajowym, w tym niezakłóconego świadczenia usług kluczowych i usług cyfrowych, przez osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług oraz zapewnienie obsługi incydentów.
Krajowy system cyberbezpieczeństwa obejmuje:
1)
operatorów usług kluczowych;2)
dostawców usług cyfrowych;3)
CSIRT MON;4)
CSIRT NASK;5)
CSIRT GOV;6)
sektorowe zespoły cyberbezpieczeństwa;7)
jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1-6, 8, 9, 11 i 12 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2022 r. poz. 1634, z późn. zm.);8)
instytuty badawcze;9)
Narodowy Bank Polski;10)
Bank Gospodarstwa Krajowego;11)
Urząd Dozoru Technicznego;12)
Polską Agencję Żeglugi Powietrznej;13)
Polskie Centrum Akredytacji;14)
Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej oraz wojewódzkie fundusze ochrony środowiska i gospodarki wodnej;15)
spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej w rozumieniu art. 1 ust. 2 ustawy z dnia 20 grudnia 1996 r. o gospodarce komunalnej (Dz. U. z 2021 r. poz. 679);16)
podmioty świadczące usługi z zakresu cyberbezpieczeństwa;17)
organy właściwe do spraw cyberbezpieczeństwa;18)
Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa, zwany dalej "Pojedynczym Punktem Kontaktowym";19)
Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa, zwanego dalej "Pełnomocnikiem";20)
Kolegium do Spraw Cyberbezpieczeństwa, zwane dalej "Kolegium".