Art. 39. Minister właściwy do spraw informatyzacji, w porozumieniu z innymi
organami określonymi w art. 19 ust. 2 rozporządzenia 910/2014, ustala sposób
zgłaszania drogą elektroniczną przypadków naruszenia bezpieczeństwa lub utraty
integralności, które mają znaczący wpływ na świadczoną usługę zaufania lub
przetwarzane w jej ramach dane osobowe.

Art. 39a. Nadzór nad krajowym schematem identyfikacji elektronicznej
sprawuje minister właściwy do spraw informatyzacji.

Art. 39b. 1. W ramach nadzoru minister właściwy do spraw informatyzacji:
1) prowadzi kontrole:
a) spełniania przez systemy identyfikacji elektronicznej przyłączone do węzła
krajowego wymagań, o których mowa w art. 21b ust. 1,
b) spełniania przez systemy teleinformatyczne, w których udostępniane są
usługi online, przyłączone do węzła krajowego wymagań, o których mowa
w art. 21t ust. 1;
2) prowadzi działania zapobiegające naruszeniom bezpieczeństwa w krajowym
schemacie identyfikacji elektronicznej, w szczególności dokonuje
systematycznego szacowania ryzyka wystąpienia incydentów w krajowym
schemacie identyfikacji elektronicznej;
3) określa i udostępnia w Biuletynie Informacji Publicznej na swojej stronie
podmiotowej politykę bezpieczeństwa węzła krajowego;
4) uczestniczy w inicjatywach krajowych i międzynarodowych mających na celu
podnoszenie bezpieczeństwa węzła krajowego, węzła transgranicznego oraz
systemów identyfikacji elektronicznej;
5) współpracuje z organem właściwym do spraw ochrony danych osobowych.
2. W ramach działań zapobiegających naruszeniom bezpieczeństwa w krajowym
schemacie identyfikacji elektronicznej minister właściwy do spraw informatyzacji:
1) prowadzi systematyczne szacowanie ryzyka wystąpienia incydentów, przez które
rozumie się każde zdarzenie, które ma lub może mieć niekorzystny wpływ na
poufność danych albo rozliczalność działań dokonywanych w ramach
świadczonych usług w krajowym schemacie identyfikacji elektronicznej, w tym
za pośrednictwem węzła krajowego;
2) wdraża, rozwija i upowszechnia stosowanie środków technicznych
i organizacyjnych uwzględniających najnowszy stan wiedzy, odpowiednich
i proporcjonalnych do zidentyfikowanych ryzyk, zapewniających
bezpieczeństwo systemów teleinformatycznych wykorzystywanych do
świadczenia usług za pośrednictwem węzła krajowego;
3) po dostrzeżeniu podatności lub zagrożeń naruszających lub mogących naruszać
poufność, integralność, dostępność i autentyczność danych przetwarzanych
w systemach teleinformatycznych działających w ramach krajowego schematu
identyfikacji elektronicznej niezwłocznie podejmuje działania zaradcze.

Art. 39c. 1. W przypadku naruszenia polityki bezpieczeństwa węzła krajowego
lub niespełniania wymagań, o których mowa w art. 21b ust. 1, dotyczących systemu
identyfikacji elektronicznej przyłączonego do węzła krajowego, w zakresie mającym
wpływ na wiarygodność uwierzytelnienia z wykorzystaniem środków identyfikacji
elektronicznej wydanych w tym systemie, minister właściwy do spraw informatyzacji
wydaje decyzję o zawieszeniu:
1) możliwości korzystania z tego systemu, jeżeli naruszenie dotyczy całego systemu, albo
2) możliwości korzystania z części środków identyfikacji elektronicznej wydanych
w tym systemie, jeżeli naruszenie dotyczy części środków identyfikacji
elektronicznej i zawieszenie takie jest możliwe technicznie.
2. Minister właściwy do spraw informatyzacji wydaje decyzję o przywróceniu
możliwości korzystania z systemu identyfikacji elektronicznej lub zawieszonej części
środków identyfikacji elektronicznej niezwłocznie po otrzymaniu od podmiotu odpowiedzialnego za system identyfikacji elektronicznej potwierdzenia usunięcia naruszenia, które było podstawą do zawieszenia, o którym mowa w ust. 1.
3. Decyzja, o której mowa w ust. 1, podlega natychmiastowemu wykonaniu.
Przepisu art. 61 § 2 pkt 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu
przed sądami administracyjnymi nie stosuje się.

Art. 39d. Minister właściwy do spraw informatyzacji wydaje decyzję
o odłączeniu systemu identyfikacji elektronicznej od węzła krajowego i odłącza ten
system od węzła krajowego w przypadku:
1) złożenia przez podmiot odpowiedzialny za system identyfikacji elektronicznej
wniosku o odłączenie od węzła krajowego;
2) zaprzestania prowadzenia działalności przez podmiot odpowiedzialny za system
identyfikacji elektronicznej;
3) nieusunięcia przyczyny zawieszenia możliwości uwierzytelniania, o której
mowa w art. 21r ust. 1, lub możliwości korzystania z systemu, o której mowa
w art. 39c ust. 1, w terminie 3 miesięcy od dnia jego zawieszenia;
4) nieprzedstawienia kolejnej umowy ubezpieczenia odpowiedzialności cywilnej za
szkody wyrządzone w związku z wykorzystywaniem środków identyfikacji
elektronicznej wydanych w systemie identyfikacji elektronicznej;
5) wydania przez Szefa Agencji Bezpieczeństwa Wewnętrznego negatywnej opinii
w przypadku, o którym mowa w art. 21s ust. 3, w stosunku do podmiotu
odpowiedzialnego za system identyfikacji elektronicznej.

Art. 39e. 1. Decyzja o odłączeniu systemu identyfikacji elektronicznej od węzła
krajowego jest podstawą do wykreślenia tego systemu z rejestru systemów.
2. Decyzja podlega natychmiastowemu wykonaniu. Przepisu art. 61 § 2 pkt 1
ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami
administracyjnymi nie stosuje się.

Art. 39f. Podmiot odpowiedzialny za system identyfikacji elektronicznej, na
żądanie ministra właściwego do spraw informatyzacji oraz Szefa Agencji
Bezpieczeństwa Wewnętrznego, z zachowaniem przepisów o ochronie informacji
niejawnych i innych informacji prawnie chronionych, jest obowiązany udzielać
informacji oraz udostępniać dokumenty, które są bezpośrednio związane
z funkcjonowaniem systemu identyfikacji elektronicznej, w tym dotyczą naruszeń, o
których mowa w art. 21r ust. 1 lub art. 39c ust. 1.

Art. 39g. 1. W przypadku naruszenia polityki bezpieczeństwa, o której mowa
w art. 39b ust. 1 pkt 3, lub niespełniania wymagań, o których mowa w art. 21t ust. 1,
dotyczących systemu teleinformatycznego, w którym udostępniane są usługi online,
przyłączonego do węzła krajowego, w zakresie mającym wpływ na bezpieczeństwo
uwierzytelnienia z wykorzystaniem węzła krajowego, minister właściwy do spraw
informatyzacji zawiesza w tym systemie możliwość uwierzytelniania
z wykorzystaniem węzła krajowego.
2. Minister właściwy do spraw informatyzacji przywraca możliwość
uwierzytelniania z wykorzystaniem węzła krajowego w systemie teleinformatycznym,
w którym udostępniane są usługi online, niezwłocznie po otrzymaniu od podmiotu
odpowiedzialnego za ten system potwierdzenia usunięcia naruszenia, które było
podstawą do zawieszenia, o którym mowa w ust. 1.

Art. 39h. Minister właściwy do spraw informatyzacji wydaje decyzję
o odłączeniu systemu teleinformatycznego, w którym udostępniane są usługi online,
i odłącza ten system od węzła krajowego w przypadku:
1) złożenia przez podmiot odpowiedzialny za ten system wniosku o odłączenie
systemu od węzła krajowego;
2) zaprzestania udostępniania usług online w tym systemie;
3) nieusunięcia przyczyny zawieszenia tego systemu, o której mowa w art. 39g
ust. 1, w terminie 3 miesięcy od dnia jego zawieszenia.

Art. 39i. Podmiot odpowiedzialny za system teleinformatyczny, w którym
udostępniane są usługi online, na żądanie ministra właściwego do spraw
informatyzacji oraz Szefa Agencji Bezpieczeństwa Wewnętrznego, z zachowaniem
przepisów o ochronie informacji niejawnych i innych informacji prawnie
chronionych, jest obowiązany udzielać informacji oraz udostępniać dokumenty, które
są bezpośrednio związane z funkcjonowaniem tego systemu, w tym dotyczą naruszeń,
o których mowa w art. 39g ust. 1.

Art. 39j. 1. Kontrola, o której mowa w art. 39b ust. 1 pkt 1, jest przeprowadzana
przez osoby upoważnione przez ministra właściwego do spraw informatyzacji.
2. Osoby, o których mowa w ust. 1, są uprawnione do:
1) wstępu do obiektów i pomieszczeń podmiotu odpowiedzialnego za system
identyfikacji elektronicznej lub podmiotu wydającego środek identyfikacji
elektronicznej w tym systemie;
2) wglądu do dokumentów zawierających dane dotyczące funkcjonowania systemu
identyfikacji elektronicznej oraz wydanych w tym systemie środków
identyfikacji elektronicznej;
3) przetwarzania danych osobowych w zakresie objętym przedmiotem kontroli;
4) przeprowadzania oględzin obiektów oraz innych składników majątkowych
związanych z funkcjonowaniem systemu identyfikacji elektronicznej, a także
sprawdzania przebiegu czynności związanych z wydawaniem środków identyfikacji elektronicznej oraz oceny technicznej środków identyfikacji elektronicznej;
5) żądania udzielenia ustnych lub pisemnych wyjaśnień od pracowników podmiotu
odpowiedzialnego za system identyfikacji elektronicznej, podmiotu wydającego
środek identyfikacji elektronicznej oraz przeprowadzającego procedurę
uwierzytelniania w tym systemie;
6) zabezpieczania dokumentów i innych materiałów, z zachowaniem przepisów
o ochronie informacji niejawnych i innych informacji prawnie chronionych.

Art. 39k. W przypadku gdy wyniki kontroli wykażą niezgodność z przepisami
ustawy, minister właściwy do spraw informatyzacji, po zapoznaniu się
z zastrzeżeniami oraz wyjaśnieniami zgłoszonymi przez podmiot kontrolowany, może
wydać decyzję nakładającą obowiązek usunięcia stwierdzonych niezgodności
w terminie nie krótszym niż 14 dni.

Art. 39l. W sprawach nieuregulowanych w ustawie, do przeprowadzenia
kontroli, o której mowa w art. 39b ust. 1 pkt 1, stosuje się odpowiednio przepisy
rozdziału 5 ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców.

Ustawa o usługach zaufania oraz identyfikacji elektronicznej art. 39

DODAJ