Art. 42. 1. Organ właściwy do spraw cyberbezpieczeństwa:
1) prowadzi bieżącą analizę podmiotów w danym sektorze lub podsektorze pod kątem uznania ich za podmiot kluczowy lub podmiot ważny;
2) wpisuje z urzędu podmiot kluczowy lub podmiot ważny do wykazu, jeżeli podmiot ten nie zarejestrował się w tym wykazie;
3) wydaje decyzję o uznaniu podmiotu za podmiot kluczowy lub podmiot ważny, o której mowa w art. 7l ust. 1;
4) (uchylony)
5) przygotowuje we współpracy z CSIRT NASK, CSIRT GOV, CSIRT MON i CSIRT sektorowymi rekomendacje dotyczące działań mających na celu wzmocnienie cyberbezpieczeństwa, w tym wytyczne sektorowe dotyczące zgłaszania incydentów;
6) monitoruje stosowanie przepisów ustawy przez podmioty kluczowe lub podmioty ważne;
7) wzywa na wniosek CSIRT MON, CSIRT NASK, CSIRT GOV lub CSIRT sektorowego podmioty kluczowe lub podmioty ważne do usunięcia w wyznaczonym terminie podatności, które doprowadziły lub mogły doprowadzić do incydentu poważnego lub krytycznego;
8) prowadzi kontrole podmiotów kluczowych lub podmiotów ważnych;
9) może prowadzić współpracę z właściwymi organami państw członkowskich Unii Europejskiej za pośrednictwem Pojedynczego Punktu Kontaktowego;
10) przetwarza informacje, w tym dane osobowe, dotyczące podmiotów kluczowych lub podmiotów ważnych oraz świadczonych przez nich usług, w zakresie niezbędnym do:
a) identyfikacji podmiotów kluczowych lub podmiotów ważnych,
b) zapewnienia wymiany informacji w zakresie cyberbezpieczeństwa, w tym o incydentach, podatnościach i cyberzagrożeniach między podmiotami kluczowymi lub podmiotami ważnymi a CSIRT MON, CSIRT NASK, CSIRT GOV, CSIRT sektorowymi i organami właściwymi do spraw cyberbezpieczeństwa,
c) prowadzenia czynności nadzorczych nad podmiotami kluczowymi lub podmiotami ważnymi;
11) uczestniczy w ćwiczeniach w zakresie cyberbezpieczeństwa organizowanych w Rzeczypospolitej Polskiej lub w Unii Europejskiej;
12) współpracuje oraz wymienia informacje i dokumenty z właściwym organem w rozumieniu rozporządzenia 2022/2554, w zakresie niezbędnym do wykonywania przez ten organ obowiązków wynikających z rozporządzenia 2022/2554;
13) współpracuje oraz wymienia informacje i dokumenty z organem właściwym do spraw podmiotów krytycznych w zakresie nadzoru nad podmiotem kluczowym będącym podmiotem krytycznym. 2. (uchylony) 3. Organ właściwy do spraw cyberbezpieczeństwa może powierzyć realizację, w jego imieniu, niektórych zadań, o których mowa w ust. 1, jednostkom podległym lub nadzorowanym przez ten organ. 4. Powierzenie następuje na podstawie porozumienia organu właściwego do spraw cyberbezpieczeństwa z podmiotami, o których mowa w ust. 3. 5. W porozumieniu, o którym mowa w ust. 4, określa się zasady sprawowania przez organ właściwy do spraw cyberbezpieczeństwa kontroli nad prawidłowym wykonywaniem powierzonych zadań. 6. Komunikat o zawarciu porozumienia ogłasza się w dzienniku urzędowym organu właściwego do spraw cyberbezpieczeństwa. W komunikacie wskazuje się informacje o:
1) adresie strony internetowej, na której zostanie zamieszczona treść porozumienia wraz ze stanowiącymi jego integralną treść załącznikami;
2) terminie, od którego porozumienie będzie obowiązywało. 7. Organy właściwe do spraw cyberbezpieczeństwa i Pojedynczy Punkt Kontaktowy w uzasadnionych przypadkach współpracują z organami ścigania i organem właściwym do spraw ochrony danych osobowych. 8. Rekomendacje dotyczące działań mających na celu wzmocnienie cyberbezpieczeństwa, w tym wytyczne sektorowe dotyczące zgłaszania incydentów, o których mowa w ust. 1 pkt 5, przygotowuje się z uwzględnieniem w szczególności Polskich Norm przenoszących normy europejskie, wspólnych specyfikacji technicznych, rozumianych jako specyfikacje techniczne w dziedzinie produktów teleinformatycznych określone zgodnie z art. 13 i art. 14 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1025/2012 z dnia 25 października 2012 r. w sprawie normalizacji europejskiej, zmieniającego dyrektywy Rady 89/686/EWG i 93/15/EWG oraz dyrektywy Parlamentu Europejskiego i Rady 94/9/WE, 94/25/WE, 95/16/WE, 97/23/WE, 98/34/WE, 2004/22/WE, 2007/23/WE, 2009/23/WE i 2009/105/WE oraz uchylającego decyzję Rady 87/95/EWG i decyzję Parlamentu Europejskiego i Rady nr 1673/2006/WE (Dz. Urz. UE L 316 z 14.11.2012, str. 12) oraz wytycznych Komisji Europejskiej oraz ENISA w tym zakresie. 9. Organ właściwy do spraw cyberbezpieczeństwa dla sektora bankowości i infrastruktury rynków finansowych realizuje swoje zadania, z uwzględnieniem zakresu zastosowania ustawy do podmiotów finansowych. 10. W ramach współpracy, o której mowa w ust. 1 pkt 12, mającej związek z podmiotem kluczowym lub podmiotem ważnym, który zgodnie z rozporządzeniem 2022/2554 został wyznaczony jako kluczowy zewnętrzny dostawca usług ICT, organ właściwy do spraw cyberbezpieczeństwa w szczególności udziela informacji oraz istotnych zaleceń technicznych i pomocy technicznej, a także umożliwia skuteczną i szybką koordynację działań nadzorczych, w tym na potrzeby prowadzenia kontroli. 11. Organ właściwy do spraw cyberbezpieczeństwa prowadzi i regularnie aktualizuje wykaz osób, wobec których wydana została decyzja o zastosowaniu środka nadzorczego, o którym mowa w art. 53 ust. 9 pkt 6, obejmujący:
1) imię (imiona);
2) nazwisko;
3) numer PESEL, a w przypadku jego nieposiadania – datę urodzenia;
4) nazwę podmiotu kluczowego;
5) datę wydania decyzji;
6) znak sprawy;
7) okres obowiązywania zakazu;
8) podstawę prawną wydania decyzji.