Art. 32. Nie popełnia przestępstwa, kto, będąc do tego uprawnionym, wykonuje
czynności określone w art. 29 ust. 1, jeżeli zostały zachowane warunki określone
w art. 29 ust. 3, a także kto wykonuje czynności określone w art. 30 ust. 1.

Art. 32a. 1. W celu zapobiegania i przeciwdziałania oraz zwalczania zdarzeń
o charakterze terrorystycznym dotyczących istotnych z punktu widzenia ciągłości
funkcjonowania państwa systemów teleinformatycznych organów administracji
publicznej lub sieci teleinformatycznych objętych jednolitym wykazem obiektów,
instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej, a także
systemów teleinformatycznych właścicieli, posiadaczy samoistnych i zależnych
obiektów, instalacji lub urządzeń infrastruktury krytycznej, o których mowa w art. 5b
ust. 7 pkt 1 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym, lub danych
przetwarzanych w tych systemach oraz zapobiegania i wykrywania przestępstw
o charakterze terrorystycznym w tym obszarze oraz ścigania ich sprawców ABW
może przeprowadzać ocenę bezpieczeństwa tych systemów teleinformatycznych,
zwaną dalej „oceną bezpieczeństwa”.
2. Oceny bezpieczeństwa są przeprowadzane zgodnie z rocznym planem
przeprowadzania ocen bezpieczeństwa, opracowywanym w terminie do 30 września
roku poprzedzającego przez Szefa ABW w uzgodnieniu z ministrem właściwym do
spraw informatyzacji. W uzasadnionych przypadkach ocena bezpieczeństwa może
zostać przeprowadzona z pominięciem planu.
3. ABW informuje podmiot zarządzający systemem teleinformatycznym,
o którym mowa w ust. 1, o włączeniu tego systemu do rocznego planu
przeprowadzania ocen bezpieczeństwa.
4. Ocena bezpieczeństwa polega na przeprowadzeniu testów bezpieczeństwa
systemu teleinformatycznego w celu identyfikacji podatności, przez które rozumie się
słabość zasobu lub zabezpieczenia systemu teleinformatycznego, która może zostać wykorzystana przez zagrożenie, wpływających na integralność, poufność,
rozliczalność i dostępność tego systemu.
5. Ocena bezpieczeństwa powinna być prowadzona z uwzględnieniem zasady
minimalizacji zakłócenia pracy systemu teleinformatycznego lub ograniczenia jego
dostępności i nie może prowadzić do nieodwracalnego zniszczenia danych
przetwarzanych w systemie teleinformatycznym podlegającym tej ocenie.
6. W celu minimalizacji negatywnych następstw oceny bezpieczeństwa ABW
uzgadnia z podmiotem, o którym mowa w ust. 1, ramowe warunki przeprowadzania
tej oceny, w szczególności datę rozpoczęcia, harmonogram oraz zakres i rodzaj
przeprowadzanych w ramach oceny bezpieczeństwa testów bezpieczeństwa.
7. ABW może wytwarzać lub pozyskiwać urządzenia lub programy
komputerowe, o których mowa w art. 269b Kodeksu karnego, oraz ich używać w celu
określenia podatności ocenianego systemu na możliwość popełnienia przestępstw,
o których mowa w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku
z § 1, art. 269 § 2 albo art. 269a Kodeksu karnego.
8. Używając urządzeń lub programów komputerowych, o których mowa
w ust. 7, ABW może uzyskać dostęp do informacji dla niej nieprzeznaczonej,
przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne
szczególne jej zabezpieczenie, lub może uzyskać dostęp do całości lub części systemu
teleinformatycznego.
9. Informacje uzyskane przez ABW w wyniku przeprowadzania oceny
bezpieczeństwa stanowią tajemnicę prawnie chronioną i nie mogą być wykorzystane
do realizacji innych zadań ustawowych ABW oraz podlegają one niezwłocznemu,
komisyjnemu i protokolarnemu zniszczeniu.
10. Po przeprowadzeniu oceny bezpieczeństwa ABW sporządza i przekazuje
podmiotowi, którego system podlegał ocenie bezpieczeństwa, raport zawierający
podsumowanie przeprowadzonych w ramach oceny bezpieczeństwa czynności oraz
wskazanie wykrytych podatności systemu teleinformatycznego.
11. Jeżeli wykryta podatność może wystąpić w innych systemach
teleinformatycznych, ABW informuje niezwłocznie ministra właściwego do spraw
informatyzacji o wykrytej podatności oraz o możliwości jej wystąpienia w innych
systemach teleinformatycznych.
12. Szef ABW określi, w drodze zarządzenia, rodzaje dokonywanych w ramach
oceny bezpieczeństwa testów bezpieczeństwa, uwzględniając potrzebę kompletności
dokonywanej oceny bezpieczeństwa.
13. Prezes Rady Ministrów określi, w drodze rozporządzenia, sposób niszczenia
przez Szefa ABW materiałów zawierających informacje, o których mowa w ust. 9,
a także wzory niezbędnych druków, mając na uwadze rodzaj materiałów
podlegających zniszczeniu.
14. Rada Ministrów określi, w drodze rozporządzenia, tryb i warunki
przeprowadzania oceny bezpieczeństwa, mając na uwadze określenie czynności
niezbędnych do jej przeprowadzenia, w tym dokonywanie uzgodnień, o których mowa
w ust. 6.

Art. 32aa. 1. W celu zapobiegania i przeciwdziałania oraz zwalczania zdarzeń o
charakterze terrorystycznym dotyczących istotnych z punktu widzenia ciągłości
funkcjonowania państwa systemów teleinformatycznych organów administracji
publicznej lub sieci teleinformatycznych objętych jednolitym wykazem obiektów,
instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej, a także
systemów teleinformatycznych właścicieli, posiadaczy samoistnych i posiadaczy
zależnych obiektów, instalacji lub urządzeń infrastruktury krytycznej, o których mowa
w art. 5b ust. 7 pkt 1 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym,
lub danych przetwarzanych w tych systemach oraz zapobiegania i wykrywania
przestępstw o charakterze terrorystycznym w tym obszarze oraz ścigania ich
sprawców, ABW wdraża w tych podmiotach system wczesnego ostrzegania o
zagrożeniach występujących w sieci Internet, zwany dalej „systemem ostrzegania”,
prowadzi go i koordynuje jego funkcjonowanie.
2. Wdrożenie elementów systemu ostrzegania w podmiotach, o których mowa w
ust. 1, następuje zgodnie z rocznym planem wdrożenia, opracowywanym przez Szefa
ABW w terminie do dnia 30 września roku poprzedzającego. W uzasadnionych
przypadkach, na wniosek podmiotu, wdrożenie elementów systemu ostrzegania może
zostać przeprowadzone z pominięciem planu.
3. ABW niezwłocznie informuje podmiot, o którym mowa w ust. 1, o jego
włączeniu do rocznego planu wdrożenia systemu ostrzegania.
4. Podmiot, o którym mowa w ust. 1, ma obowiązek przystąpić do systemu
ostrzegania oraz przekazać ABW niezbędne informacje umożliwiające wdrożenie
systemu ostrzegania w tym podmiocie.
5. W podmiotach, o których mowa w ust. 1, podległych Ministrowi Obrony
Narodowej lub przez niego nadzorowanych, wdrożenie systemu ostrzegania może
nastąpić za zgodą Ministra Obrony Narodowej.
6. Koszty wdrożenia i utrzymania systemu ostrzegania w podmiotach, o których
mowa w ust. 1, pokrywa ABW.
7. ABW, w drodze porozumienia, uzgadnia z podmiotem, o którym mowa w ust.
1, techniczne aspekty uczestnictwa w systemie ostrzegania oraz model konfiguracji
systemu.
8. W sytuacji braku możliwości zawarcia porozumienia, o którym mowa w ust.
7, z przyczyn leżących po stronie podmiotu, o którym mowa w ust. 1, ABW informuje
podmiot go nadzorujący lub ministra właściwego do spraw informatyzacji.
9. Prezes Rady Ministrów określi, w drodze rozporządzenia, warunki i tryb
prowadzenia, koordynacji i wdrażania systemu ostrzegania, w szczególności określi
czynności niezbędne do jego uruchomienia i utrzymania oraz wzór porozumienia, o
którym mowa w ust. 7, kierując się potrzebą zapewnienia bezpieczeństwa systemów
teleinformatycznych istotnych z punktu widzenia ciągłości funkcjonowania państwa.

Art. 32b. 1. W przypadku powzięcia informacji o wystąpieniu zdarzenia
o charakterze terrorystycznym dotyczącego systemów lub danych, o których mowa
w art. 32a ust. 1, Szef ABW może żądać od podmiotów, o których mowa w art. 5 ust. 1
pkt 2a, przedstawienia informacji o budowie, funkcjonowaniu oraz zasadach
eksploatacji posiadanych systemów teleinformatycznych, w tym informacji
obejmujących hasła komputerowe, kody dostępu i inne dane umożliwiające dostęp do
systemu oraz ich używanie, w celu zapobiegania, reagowania na zdarzenia
o charakterze terrorystycznym dotyczące systemów lub danych, o których mowa
w art. 32a ust. 1, a także zapobiegania i wykrywania przestępstw o charakterze
terrorystycznym w tym obszarze oraz ścigania ich sprawców.
2. Informacje i dane, o których mowa w ust. 1, podlegają ochronie przewidzianej
w przepisach o ochronie informacji niejawnych i mogą być udostępniane jedynie
funkcjonariuszom ABW prowadzącym w danym postępowaniu czynności operacyjno-rozpoznawcze i ich przełożonym, uprawnionym do sprawowania nadzoru
nad tymi czynnościami.
3. Skarb Państwa ponosi odpowiedzialność za szkody wyrządzone naruszeniem
przepisu ust. 2 na zasadach określonych w Kodeksie cywilnym.

Art. 32c. 1. W celu zapobiegania, przeciwdziałania i wykrywania przestępstw
o charakterze terrorystycznym oraz ścigania ich sprawców sąd, na pisemny wniosek
Szefa ABW, złożony po uzyskaniu pisemnej zgody Prokuratora Generalnego,
w drodze postanowienia, może zarządzić zablokowanie przez usługodawcę
świadczącego usługi drogą elektroniczną dostępności w systemie teleinformatycznym
określonych danych informatycznych mających związek ze zdarzeniem o charakterze
terrorystycznym lub określonych usług teleinformatycznych służących lub
wykorzystywanych do spowodowania zdarzenia o charakterze terrorystycznym,
zwane dalej „blokadą dostępności”.
2. Wniosek, o którym mowa w ust. 1, przedstawia się wraz z materiałami
uzasadniającymi potrzebę zastosowanie blokady dostępności.
3. Postanowienie, o którym mowa w ust. 1, wydaje Sąd Okręgowy
w Warszawie.
4. W przypadkach niecierpiących zwłoki, jeżeli mogłaby ona spowodować
zdarzenie o charakterze terrorystycznym, Szef ABW, po uzyskaniu pisemnej zgody
Prokuratora Generalnego, może zarządzić blokadę dostępności, zwracając się
jednocześnie do sądu, o którym mowa w ust. 3, z wnioskiem o wydanie postanowienia
w tej sprawie.
5. Usługodawca świadczący usługi drogą elektroniczną jest obowiązany do
natychmiastowego dokonania czynności określonych w postanowieniu sądu lub
przekazanym mu żądaniu Szefa ABW.
6. Wniosek Szefa ABW, o którym mowa w ust. 1, powinien zawierać
w szczególności:
1) numer sprawy i jej kryptonim, jeżeli został jej nadany;
2) opis zdarzenia o charakterze terrorystycznym z podaniem, w miarę możliwości,
jego kwalifikacji prawnej;
3) okoliczności uzasadniające potrzebę blokady dostępności;
4) szczegółowe określenie rodzaju danych informatycznych lub usług
teleinformatycznych mających podlegać zablokowaniu;
5) dane pozwalające na jednoznaczne określenie podmiotu lub przedmiotu, wobec
którego stosowana będzie blokada dostępności, ze wskazaniem sposobu jej
stosowania;
6) cel i czas prowadzonej blokady dostępności.
7. Blokadę dostępności zarządza się na okres nie dłuższy niż 30 dni. Sąd,
o którym mowa w ust. 3, może, na pisemny wniosek Szefa ABW, złożony po
uzyskaniu pisemnej zgody Prokuratora Generalnego, wydać postanowienie o
jednorazowym przedłużeniu blokady dostępności na okres nie dłuższy niż 3 miesiące,
jeżeli nie ustały przyczyny jej zarządzenia.
8. Do wniosku, o którym mowa w ust. 4 i 7, stosuje się odpowiednio przepisy
ust. 2 i 6. Sąd przed wydaniem postanowienia, o którym mowa w ust. 1, 4 i 7,
zapoznaje się z materiałami uzasadniającymi wniosek.
9. Wnioski, o których mowa w ust. 1, 4 i 7, sąd rozpoznaje jednoosobowo, przy
czym czynności sądu związane z rozpoznawaniem tych wniosków powinny być
realizowane w warunkach przewidzianych dla przekazywania, przechowywania
i udostępniania informacji niejawnych oraz z odpowiednim zastosowaniem przepisów
wydanych na podstawie art. 181 § 2 Kodeksu postępowania karnego. W posiedzeniu
sądu może wziąć udział wyłącznie prokurator i Szef ABW.
10. Na postanowienia sądu, o których mowa w ust. 1, 4 i 7, przysługuje zażalenie
Szefowi ABW i Prokuratorowi Generalnemu. Do zażalenia stosuje się odpowiednio
przepisy Kodeksu postępowania karnego.
11. Blokady dostępności zaprzestaje się w przypadku:
1) nieudzielenia przez sąd, w terminie 5 dni od złożenia wniosku w trybie ust. 4,
zgody na zarządzenie przez Szefa ABW blokady dostępności;
2) nieudzielenia przez sąd zgody na przedłużenie blokady dostępności w trybie
ust. 7;
3) upływu okresu, na który blokada dostępności została wprowadzona.
12. Sąd, Prokurator Generalny oraz Szef ABW prowadzą w formie
elektronicznej, z zachowaniem przepisów o ochronie informacji niejawnych, rejestry
postanowień, pisemnych zgód, zarządzeń i wniosków dotyczących blokady
dostępności.
13. O zastosowaniu blokady dostępności Szef ABW powiadamia ministra
właściwego do spraw informatyzacji, jeżeli usługodawca świadczący usługi drogą
elektroniczną ma siedzibę na terytorium Rzeczypospolitej Polskiej.
14. Prezes Rady Ministrów określi, w drodze rozporządzenia, sposób
dokumentowania blokady dostępności oraz przechowywania i przekazywania
postanowień, pisemnych zgód, zarządzeń i wniosków, uwzględniając potrzebę
zapewnienia niejawnego charakteru podejmowanych czynności i uzyskanych
materiałów.

Art. 32d. 1. Szef ABW prowadzi rejestr zdarzeń naruszających bezpieczeństwo
systemów teleinformatycznych, o których mowa w art. 5 ust. 1 pkt 2a.
2. Rejestr, o którym mowa w ust. 1, zawiera dane obejmujące:
1) identyfikację podmiotu, na rzecz którego działa system teleinformatyczny, oraz
dane administratora systemu;
2) datę i czas wykrycia naruszenia bezpieczeństwa systemu oraz prawdopodobną
początkową datę i czas naruszenia bezpieczeństwa systemu;
3) identyfikację źródła zdarzenia naruszającego bezpieczeństwo systemu;
4) opis stwierdzonego zdarzenia naruszającego bezpieczeństwo systemu oraz
sposób działania podmiotu powodującego naruszenie bezpieczeństwa;
5) opis szkód w systemie powstałych lub mogących powstać wskutek zdarzenia
naruszającego bezpieczeństwo systemu.
3. Dane, o których mowa w ust. 2, przekazuje Szefowi ABW administrator
systemu teleinformatycznego, o którym mowa w art. 5 ust. 1 pkt 2a, niezwłocznie po
wykryciu zdarzenia naruszającego bezpieczeństwo tego systemu.
4. Dane z rejestru są udostępniane ministrowi właściwemu do spraw
informatyzacji.

Art. 32e. 1. Szef ABW przeprowadza analizę zdarzeń naruszających
bezpieczeństwo systemów teleinformatycznych i wydaje podmiotom, o których mowa
w art. 32d ust. 3, rekomendacje zmierzające do podniesienia poziomu bezpieczeństwa
systemów teleinformatycznych w celu zapewnienia ich integralności, poufności,
rozliczalności i dostępności, zwane dalej „rekomendacjami”.
2. Podmioty, o których mowa w art. 32d ust. 3, mogą wnieść do Szefa ABW
zastrzeżenia do rekomendowanych sposobów podniesienia poziomu bezpieczeństwa systemów teleinformatycznych z uwagi na negatywny wpływ rekomendowanych działań na funkcjonalność systemu lub powstanie nowych podatności, jednak nie później niż w terminie 7 dni od dnia otrzymania rekomendacji.
3. Szef ABW odnosi się do zastrzeżeń otrzymanych w trybie ust. 2 niezwłocznie,
jednak nie później niż w terminie 14 dni od dnia ich otrzymania i podtrzymuje
rekomendacje lub przekazuje zmienione rekomendacje.
4. Podmioty, którym Szef ABW przekazał rekomendacje, w terminie miesiąca
od dnia ich otrzymania informują Szefa ABW o sposobie i zakresie ich uwzględnienia.
5. Nieuwzględnienie rekomendacji stanowi podstawę do wystąpienia przez Szefa
ABW do organu sprawującego nadzór nad podmiotem, o którym mowa w ust. 4,
z informacją o nieuwzględnieniu rekomendacji lub z wnioskiem o podjęcie działań
mających na celu wykonanie rekomendacji.

Ustawa o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu art. 32

DODAJ