Ustawa o krajowym systemie cyberbezpieczeństwa. Komentarz

Autorzy

Od Redaktorów

Wykaz literatury

Wykaz skrótów

Ustawa o krajowym systemie cyberbezpieczeństwa z dnia 5 lipca 2018 r. (Dz.U. z 2018 r. poz. 1560). Tekst jednolity z dnia 29 grudnia 2025 r. (Dz.U. z 2026 r. poz. 20)

Rozdział 1. Przepisy ogólne

• Art. 1. Zakres przedmiotowy
• Art. 2. Objaśnienie pojęć
• Art. 2a. Pojęcie usługi
• Art. 3. Cel regulacji
• Art. 3a. Wykrywanie źródła lub dokonywanie analizy aktywności
• Art. 4. Zakres podmiotowy

Rozdział 2. Identyfikacja i rejestracja podmiotów kluczowych lub podmiotów ważnych

• Art. 5. Podmiot kluczowy
• Art. 5a. Zakres obowiązków
• Art. 6. (uchylony)
• Art. 7. Wykaz
• Art. 7a. Uzupełnianie danych
• Art. 7b. Zawiadomienie o wpisie do wykazu, wezwanie
• Art. 7c. Wniosek o wpis do wykazu
• Art. 7d. Wpis do wykazu
• Art. 7e. Aktualizacja danych
• Art. 7f. Wykreślenie podmiotu z wykazu
• Art. 7g. Udostępnianie danych
• Art. 7h. Informacja o uznaniu podmiotu kluczowego lub podmiotu ważnego za podmiot krytyczny
• Art. 7i. Aktualizacja danych
• Art. 7j. Wpis podmiotu do wykazu
• Art. 7k. Czynności sprawdzające
• Art. 7l. Uznanie za podmiot kluczowy lub podmiot ważny
• Art. 7m. Uznanie

Rozdział 3. Obowiązki podmiotów kluczowych lub podmiotów ważnych

• Art. 8. System zarządzania bezpieczeństwem informacji w systemie informacyjnym
• Art. 8a. Upoważnienie ustawowe
• Art. 8b. Stosowanie środków zarządzania ryzykiem
• Art. 8c. Zakres odpowiedzialności
• Art. 8d. Zakres zadań kierownika podmiotu kluczowego
• Art. 8e. Szkolenie
• Art. 8f. Wymagania
• Art. 8g. Udostępnienie informacji dotyczących działalności
• Art. 8h. Wymiana informacji, ostrzeżeń i zaleceń
• Art. 8i. Wyłączenie zastosowania przepisów
• Art. 8j. Uprawnienia służb specjalnych
• Art. 9. Obowiązek wyznaczenia
• Art. 10. Dokumentacja
• Art. 11. Uznanie incydentu za poważny
• Art. 12. Wczesne ostrzeżenie
• Art. 12a. Sprawozdanie końcowe
• Art. 12b. Sprawozdania
• Art. 12c. Zastosowanie przepisów
• Art. 13. Informacje
• Art. 14. Realizacja zadań
• Art. 15. Audyt bezpieczeństwa systemu informacyjnego
• Art. 16. Termin realizacji obowiązków określonych w ustawie
• Art. 16a. (uchylony)

Rozdział 3a. Obowiązki rejestrów nazw domen najwyższego poziomu oraz zadania i obowiązki podmiotów świadczących usługi rejestracji nazw domen

• Art. 16b. Baza danych dotycząca rejestracji nazw domen
• Art. 16c. Udostępnianie danych

Rozdział 3b. Wspólne wykonywanie obowiązków z zakresu cyberbezpieczeństwa przez podmioty publiczne

• Art. 16d. Realizacja obowiązków
• Art. 16e. Jednostka odpowiedzialna za realizację obowiązków
• Art. 16f. Współpraca
• Art. 16g. Terminy na przekazanie informacji o incydentach
• Art. 16h. Zakres zadań jednostki wyznaczonej

Rozdziały 4–5. (uchylone)

• Art. 17–25. (uchylone)

Rozdział 6. Zadania CSIRT MON, CSIRT NASK i CSIRT GOV

• Art. 26. Zadania poszczególnych CSIRT
• Art. 26a. Zgłoszenie podatności
• Art. 26b. Udostępnienie listy
• Art. 26c. Usługa online
• Art. 26d. Wymagania
• Art. 27. Właściwość CSIRT GOV i CSIRT MON
• Art. 28. Informowanie innych państw członkowskich UE o zgłoszeniu incydentu poważnego
• Art. 29. (uchylony)
• Art. 30. Zgłaszanie incydentów do CSIRT NASK
• Art. 31. Alternatywne kanały zgłoszeń
• Art. 32. Obsługa incydentu
• Art. 33. Badanie produktu ICT lub usługi ICT
• Art. 34. Współpraca z organami i służbami
• Art. 35. Wzajemne przekazywanie informacji
• Art. 35a. Wsparcie CSIRT koordynującego obsługę incydentu
• Art. 36. Zespół ds. Incydentów Krytycznych

Rozdział 6a. Ocena bezpieczeństwa

• Art. 36a. Ocena bezpieczeństwa
• Art. 36b. Przeprowadzenie oceny
• Art. 36c. Wykryta podatność
• Art. 36d. Delegacja ustawowa

Rozdział 7. Zasady udostępniania informacji i przetwarzania danych osobowych

• Art. 37. Ochrona informacji i danych osobowych
• Art. 38. Informacje nieudostępniane
• Art. 39. Przetwarzanie danych pozyskanych w związku z incydentami i zagrożeniami cyberbezpieczeństwa
• Art. 40. Przetwarzanie informacji stanowiących tajemnice prawnie chronione
• Art. 40a. Ocena wzajemna

Rozdział 8. Organy właściwe do spraw cyberbezpieczeństwa

• Art. 41. Organy właściwe
• Art. 41a. Organy właściwe do spraw cyberbezpieczeństwa w sektorze podmiotów publicznych
• Art. 42. Zakres zadań
• Art. 43. Wystąpienie o udzielenie informacji
• Art. 44. CSIRT sektorowy
• Art. 44a. Powierzenie realizacji zadań CSIRT sektorowego
• Art. 44b. Powierzenie realizacji zadań CSIRT sektorowego przez ministra kierującego kilkoma działami administracji rządowej
• Art. 44c. Powierzenie CSIRT poziomu krajowego realizacji zadań CSIRT sektorowego
• Art. 44d. Finansowanie CSIRT sektorowego
• Art. 44e. Obowiązki informacyjne dotyczące porozumień
• Art. 44f. Sprawozdanie z funkcjonowania CSIRT sektorowego

Rozdział 9. Zadania ministra właściwego do spraw informatyzacji

• Art. 45. Zadania ministra
• Art. 45a. Wsparcie finansowe
• Art. 45b. Podmiot odpowiedzialny
• Art. 45c. Wybór projektów
• Art. 46. Obowiązek zapewnienia rozwoju
• Art. 46a. Zasady korzystania ze środków komunikacji elektronicznej
• Art. 46b. Zawiadomienie o możliwości odebrania pisma
• Art. 47. Delegowanie realizacji zadań na jednostki podległe lub nadzorowane przez ministra
• Art. 48. Zadania Pojedynczego Punktu Kontaktowego
• Art. 49. Dane przekazywane przez Pojedynczy Punkt Kontaktowy Grupie Współpracy
• Art. 50. Dane przekazywane przez Pojedynczy Punkt Kontaktowy KE

Rozdział 10. Zadania Ministra Obrony Narodowej

• Art. 51. Zadania ministra
• Art. 52. Zadania Narodowego Punktu Kontaktowego do współpracy z Organizacją Traktatu

Rozdział 10a. Zadania ministra właściwego do spraw energii

• Art. 52a. Właściwy organ
• Art. 52b. Kontrole podmiotów zidentyfikowanych jako podmioty o krytycznym wpływie

Rozdział 10b. Zadania ministra właściwego do spraw zagranicznych

• Art. 52c. Działalność dyplomatyczna
• Art. 52d. Informacja

Rozdział 10c. Organy odpowiedzialne za zarządzanie incydentami i zarządzanie kryzysowe w cyberbezpieczeństwie na dużą skalę

• Art. 52e. Organ odpowiedzialny za zarządzanie incydentami i zarządzanie kryzysowe
• Art. 52f. Podmiot odpowiedzialny
• Art. 52g. Podmiot odpowiedzialny
• Art. 52h. Koordynacja działań organów państwa zgodnie z Krajowym planem

Rozdział 11. Nadzór i kontrola podmiotów kluczowych lub podmiotów ważnych

• Art. 53. Nadzór nad podmiotami kluczowymi i podmiotami ważnymi
• Art. 53a. Metodyki nadzoru
• Art. 53b. Hierarchia priorytetów w sprawowaniu nadzoru
• Art. 53c. Obowiązek przekazania danych niezbędnych do wykonywania nadzoru
• Art. 53d. Uprawnienia urzędnika monitorującego
• Art. 53e. Elementy składowe decyzji; postępowanie w zakresie wydania decyzji
• Art. 53f. Wspólne wykonywanie nadzoru
• Art. 54. Przepisy szczególne dotyczące wykonywania kontroli
• Art. 55. Uprawnienia osoby kontrolującej
• Art. 56. Obowiązki podmiotu kontrolowanego
• Art. 57. Postępowanie dowodowe
• Art. 58. Protokół kontroli
• Art. 59. Zalecenia pokontrolne
• Art. 59a. Podejrzenie naruszenia ochrony danych osobowych
• Art. 59b. Europejska współpraca administracyjna w ramach cyberbezpieczeństwa
• Art. 59c. Kontrola doraźna

Rozdział 12. Pełnomocnik i Kolegium

• Art. 60. Pełnomocnik Rządu do Sprawa Cyberbezpieczeństwa
• Art. 61. Organ powołujący
• Art. 62. Zakres zadań Pełnomocnika
• Art. 62a. Połączone Centrum Operacyjne Cyberbezpieczeństwa
• Art. 63. Sprawozdanie, wnioski i rekomendacje
• Art. 64. Kolegium, forma organizacyjna
• Art. 65. Zakres zadań Kolegium
• Art. 65a. Zlecanie analiz
• Art. 66. Skład Kolegium
• Art. 67. Wytyczne dotyczące zapewnienia cyberbezpieczeństwa

Rozdział 12a. Szczególne działania na rzecz zapewnienia cyberbezpieczeństwa na poziomie krajowym

• Art. 67a. Rekomendacje Pełnomocnika
• Art. 67b. Postępowanie w sprawie uznania za dostawcę wysokiego ryzyka
• Art. 67c. Wycofanie sprzętu lub oprogramowania
• Art. 67d. Wniosek
• Art. 67e. Skarga na decyzję
• Art. 67f. Obowiązek publikacyjny
• Art. 67g. Polecenie zabezpieczające
• Art. 67h. Obowiązek przekazania informacji
• Art. 67i. Skarga na polecenie zabezpieczające
• Art. 67j. Wyłączenie zastosowania przepisów
• Art. 67k. Nadzór i kontrola wykonywania obowiązków
• Art. 67l. Powierzenie realizacji wybranych zadań

Rozdział 13. Strategia

• Art. 68. Przyjęcie Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej
• Art. 69. Zakres Strategii
• Art. 70. Opracowanie projektu Strategii
• Art. 70a. Monitorowanie realizacji Strategii
• Art. 71. Okresowe przeglądy Strategii
• Art. 72. Przekazanie Strategii KE

Rozdział 13a. Krajowy plan reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę

• Art. 72a. Krajowy plan
• Art. 72b. Zakres
• Art. 72c. Przekazywanie informacji o bieżącym stanie realizacji zadań wynikających z Krajowego planu
• Art. 72d. Projekt Krajowego planu
• Art. 72e. Aktualizacja planu
• Art. 72f. Przekazywanie informacji

Rozdział 14. Przepisy o karach pieniężnych

• Art. 73. Działania lub zaniechania podlegające karze pieniężnej; wysokość kary pieniężnej
• Art. 73a. Nałożenie kary pieniężnej na kierownika podmiotu kluczowego lub podmiotu ważnego
• Art. 73b. Nałożenie kary pieniężnej na inne podmioty
• Art. 73c. Nałożenie kary pieniężnej na podmiot finansowy niebędący podmiotem kluczowym lub podmiotem ważnym
• Art. 74. Procedura nałożenia kary pieniężnej; wpływy z kar pieniężnych jako przychód Funduszu Cyberbezpieczeństwa
• Art. 75–76. (uchylone)
• Art. 76a. Kryteria uwzględniane przy ustalaniu wysokości kary pieniężnej; uiszczenie kary pieniężnej
• Art. 76b. Okresowa kara pieniężna
• Art. 76c. Pouczenie w przypadku nałożenia kary pieniężnej przez Prezesa UODO
• Art. 76d. Procedura nałożenia kary pieniężnej z wykorzystaniem pism generowanych automatycznie. Odesłanie do KPA
• Art. 76e. Uzupełniające stosowanie przepisów KPA

Rozdział 15. Zmiany w przepisach, przepisy przejściowe, dostosowujące i końcowe

• Art. 77–82. (pominięte)
• Art. 83. Raport o zagrożeniach bezpieczeństwa narodowego
• Art. 84. Powołanie Pełnomocnika
• Art. 85. Zakres informacji przekazanych KE
• Art. 86. Wydanie decyzji o uznaniu za operatora usługi kluczowej
• Art. 87. Przekazanie sprawozdania podsumowującego
• Art. 88. Przekazanie informacji KE
• Art. 89. Uruchomienie systemu teleinformatycznego
• Art. 90. Przyjęcie strategii
• Art. 91. Roczny plan wdrożenia
• Art. 92. Derogacja przepisów wykonawczych
• Art. 93. Limit wydatków z budżetu państwa
• Art. 94. Wejście w życie
• Odnośnik nr 1
• Odnośnik nr 2
• Załącznik nr 1
• Załącznik nr 2
• Załącznik nr 3
• Załącznik nr 4