Art. 6. 1. Zadania z zakresu ochrony infrastruktury krytycznej obejmują:
1) gromadzenie i przetwarzanie informacji dotyczących zagrożeń infrastruktury
krytycznej;
2) (uchylony)
3) opracowywanie i wdrażanie procedur na wypadek wystąpienia zagrożeń
infrastruktury krytycznej;
4) odtwarzanie infrastruktury krytycznej;
5) współpracę między administracją publiczną a właścicielami oraz posiadaczami
samoistnymi i zależnymi obiektów, instalacji lub urządzeń infrastruktury
krytycznej w zakresie jej ochrony.
2. (uchylony)
3. (uchylony)
4. (uchylony)
5. Właściciele oraz posiadacze samoistni i zależni obiektów, instalacji lub
urządzeń infrastruktury krytycznej mają obowiązek ich ochrony, w szczególności
przez przygotowanie i wdrażanie, stosownie do przewidywanych zagrożeń, planów
ochrony infrastruktury krytycznej oraz utrzymywanie własnych systemów
rezerwowych zapewniających bezpieczeństwo i podtrzymujących funkcjonowanie tej
infrastruktury, do czasu jej pełnego odtworzenia.
5a. Właściciele, posiadacze samoistni i zależni, o których mowa w ust. 5, mają
obowiązek wyznaczyć, w terminie 30 dni od dnia otrzymania informacji, o której
mowa w art. 5b ust. 7 pkt 4, osobę odpowiedzialną za utrzymywanie kontaktów
z podmiotami właściwymi w zakresie ochrony infrastruktury krytycznej.
5b. Właściciele, posiadacze samoistni i zależni, o których mowa w ust. 5, będący
jednocześnie operatorami usług kluczowych w rozumieniu ustawy z dnia 5 lipca
2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2020 r. poz. 1369), uwzględniają w planach ochrony infrastruktury krytycznej dokumentację dotyczącą
cyberbezpieczeństwa systemów informacyjnych wykorzystywanych do świadczenia
usług kluczowych zgodnie z zakresem informacji określonym w przepisach wydanych
na podstawie art. 10 ust. 5 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.
6. Jeżeli dla obiektów, instalacji, urządzeń i usług infrastruktury krytycznej
istnieją, tworzone na podstawie innych przepisów, plany odpowiadające wymogom
planu ochrony infrastruktury krytycznej, uznaje się, iż wymóg posiadania takiego
planu jest spełniony.
7. Rada Ministrów określi, w drodze rozporządzenia:
1) sposób tworzenia, aktualizacji oraz strukturę planów, o których mowa w ust. 5,
2) warunki i tryb uznania spełnienia obowiązku posiadania planu odpowiadającego
wymogom planu ochrony infrastruktury krytycznej
– uwzględniając potrzebę zapewnienia ciągłości funkcjonowania infrastruktury krytycznej.

Art. 6a. 1. Dyrektor Rządowego Centrum Bezpieczeństwa, we współpracy
z ministrami i kierownikami urzędów centralnych odpowiedzialnymi za systemy,
o których mowa w art. 3 pkt 2a, na bieżąco rozpoznaje potencjalną europejską
infrastrukturę krytyczną, badając, czy infrastruktura krytyczna spełnia kolejno
następujące wymogi:
1) kryteria sektorowe – przybliżone progi liczbowe ustalone przez Komisję
Europejską i państwa członkowskie Unii Europejskiej, charakteryzujące
parametry, wchodzących w skład systemów infrastruktury krytycznej obiektów,
urządzeń oraz instalacji lub funkcje realizowane przez te obiekty, urządzenia oraz
instalacje, warunkujące identyfikację infrastruktury krytycznej;
2) stanowi składnik, system lub część infrastruktury, które mają podstawowe
znaczenie dla utrzymania niezbędnych funkcji społecznych, zdrowia,
bezpieczeństwa, ochrony, dobrobytu materialnego lub społecznego ludności,
oraz których zakłócenie lub zniszczenie miałoby istotny wpływ na
Rzeczpospolitą Polską w wyniku utraty tych funkcji;
3) jej zakłócenie lub zniszczenie miałoby istotny wpływ na co najmniej dwa
państwa członkowskie Unii Europejskiej;
4) kryteria przekrojowe – w zakresie przybliżonych progów ustalonych przez
Komisję Europejską i państwa członkowskie Unii Europejskiej – obejmujące:
a) kryterium ofiar w ludziach – oceniane w odniesieniu do ewentualnej liczby
ofiar śmiertelnych lub liczby rannych,
b) kryterium skutków ekonomicznych – oceniane w odniesieniu do znaczenia
strat ekonomicznych lub pogorszenia jakości towarów lub usług, w tym
potencjalnych skutków ekologicznych,
c) kryterium skutków społecznych – oceniane w odniesieniu do wpływu na
zaufanie opinii publicznej, cierpień fizycznych osób i zakłócenia
codziennego życia, w tym utraty podstawowych usług.
2. Infrastruktura krytyczna jest uznawana za potencjalną europejską
infrastrukturę krytyczną po spełnieniu łącznie kolejnych wymogów, o których mowa
w ust. 1 pkt 1–3 oraz co najmniej jednego z wymogów, o których mowa w ust. 1 pkt 4.

Art. 6b. 1. O potencjalnej europejskiej infrastrukturze krytycznej dyrektor
Rządowego Centrum Bezpieczeństwa informuje właściwe organy państw
członkowskich Unii Europejskiej, na które ta infrastruktura może mieć istotny wpływ.
Dyrektor Rządowego Centrum Bezpieczeństwa podaje nazwę i lokalizację
potencjalnej europejskiej infrastruktury krytycznej i przyczyny jej wyznaczenia.
2. W celu wyznaczenia europejskiej infrastruktury krytycznej oraz dokładnych
progów kryteriów, o których mowa w art. 6a ust. 1 pkt 1 i 4, dyrektor Rządowego
Centrum Bezpieczeństwa prowadzi rozmowy z właściwymi organami państw
członkowskich Unii Europejskiej:
1) na które potencjalna europejska infrastruktura krytyczna zlokalizowana na
terytorium Rzeczypospolitej Polskiej może mieć istotny wpływ;
2) na terytorium których jest zlokalizowana potencjalna europejska infrastruktura
krytyczna mogąca mieć istotny wpływ na Rzeczpospolitą Polską.
3. Dyrektor Rządowego Centrum Bezpieczeństwa w rozmowach, o których
mowa w ust. 2, przedstawia stanowisko uzgodnione z ministrami i kierownikami
urzędów centralnych odpowiedzialnych za systemy, o których mowa w art. 3 pkt 2a,
których przedstawiciele mogą brać udział w rozmowach.
4. W przypadku gdy infrastruktura zlokalizowana na terytorium innego państwa
członkowskiego Unii Europejskiej, która nie została rozpoznana jako europejska infrastruktura krytyczna, może mieć istotny wpływ na Rzeczpospolitą Polską, dyrektor
Rządowego Centrum Bezpieczeństwa informuje Komisję Europejską o zamiarze
przeprowadzenia rozmów na ten temat.
5. Na podstawie ustaleń będących wynikiem rozmów, o których mowa w ust. 2,
Rada Ministrów wyznacza, w drodze uchwały, z zakresu potencjalnej europejskiej
infrastruktury krytycznej zlokalizowanej na terytorium Rzeczypospolitej Polskiej,
europejską infrastrukturę krytyczną.
6. Właściwym organom państw członkowskich Unii Europejskiej, na które ma
wpływ europejska infrastruktura krytyczna zlokalizowana na terytorium
Rzeczypospolitej Polskiej, dyrektor Rządowego Centrum Bezpieczeństwa przekazuje
dane identyfikujące europejską infrastrukturę krytyczną, w tym jej nazwę i lokalizację.
7. Dane, o których mowa w ust. 1 i 6, oraz uchwała, o której mowa w ust. 5, mają
charakter niejawny.

Art. 6c. 1. Dyrektor Rządowego Centrum Bezpieczeństwa przekazuje Komisji
Europejskiej:
1) co roku informacje o liczbie infrastruktur krytycznych:
a) w odniesieniu do których prowadzono z właściwymi organami państw
członkowskich Unii Europejskiej rozmowy na temat progów kryteriów
przekrojowych, umożliwiających wyznaczenie europejskiej infrastruktury
krytycznej zlokalizowanej na terytorium Rzeczypospolitej Polskiej,
b) zlokalizowanych na terytorium Rzeczypospolitej Polskiej wchodzących
w skład europejskiej infrastruktury krytycznej w poszczególnych
systemach, o których mowa w art. 3 pkt 2a, oraz o liczbie państw
członkowskich Unii Europejskiej, na które ma ona wpływ;
2) co 2 lata sprawozdanie zawierające ogólne dane dotyczące rodzajów ryzyka,
zagrożeń i słabych punktów stwierdzonych w każdym z systemów, w których
została wyznaczona europejska infrastruktura krytyczna zlokalizowana na
terytorium Rzeczypospolitej Polskiej.
2. Informacje, o których mowa w ust. 1, mają charakter niejawny.

Art. 6d. 1. W przypadku pracownika zatrudnionego na stanowisku
umożliwiającym dostęp do informacji o bezpieczeństwie obiektu infrastruktury krytycznej i osoby ubiegającej się o zatrudnienie na tym stanowisku, operator infrastruktury krytycznej żąda od pracownika i tej osoby przedłożenia informacji dotyczących karalności, w tym informacji, czy ich dane osobowe są zgromadzone
w Krajowym Rejestrze Karnym.
2. Operator infrastruktury krytycznej żąda od pracownika danych
biometrycznych w postaci odcisków palców, głosu, obrazu rogówki lub sieci żył
palców, jeżeli podanie takich danych jest konieczne ze względu na kontrolę dostępu
do informacji o bezpieczeństwie obiektu infrastruktury krytycznej i pomieszczeń.
3. Operator infrastruktury krytycznej przechowuje informacje i dane, o których
mowa w ust. 1 i 2, wyłącznie przez okres zatrudnienia pracownika, którego te dane dotyczą.

Ustawa o zarządzaniu kryzysowym art. 6

DODAJ