Art. 1. Ustawa określa:
1) prawa i obowiązki przedsiębiorców telekomunikacyjnych związane z zapobieganiem nadużyciom w komunikacji elektronicznej oraz ich zwalczaniem;
2) kompetencje Prezesa Urzędu Komunikacji Elektronicznej, zwanego dalej „Prezesem UKE”, związane z zapobieganiem nadużyciom w komunikacji elektronicznej oraz ich zwalczaniem;
3) zasady wnoszenia sprzeciwu przez nadawcę krótkiej wiadomości tekstowej (SMS), wobec uznania treści takiej wiadomości za wyczerpującą znamiona nadużycia w komunikacji elektronicznej;
4) zasady świadczenia usług związanych z wysyłaniem krótkich wiadomości tekstowych (SMS) zawierających nadpisy na rzecz podmiotów publicznych;
5) zasady wnoszenia sprzeciwu przez podmiot posiadający tytuł prawny do domeny internetowej wobec wpisania tej domeny na listę ostrzeżeń;
6) obowiązki dostawcy poczty elektronicznej oraz podmiotu publicznego związane ze świadczeniem i korzystaniem z poczty elektronicznej w celu zapobiegania nadużyciom w komunikacji elektronicznej;
7) szczególne zasady przetwarzania informacji objętych tajemnicą komunikacji elektronicznej związane z zapobieganiem nadużyciom w komunikacji elektronicznej oraz ich zwalczaniem.
Art. 2. Określenia użyte w ustawie oznaczają:
1) CSIRT NASK – Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego, w rozumieniu art. 2 pkt 3 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2024 r. poz. 1077 i 1222);
2) dostawca poczty elektronicznej – osobę fizyczną, osobę prawną albo jednostkę organizacyjną nieposiadającą osobowości prawnej, która prowadzi, chociażby ubocznie, działalność zarobkową lub zawodową związaną ze świadczeniem poczty elektronicznej;
3) informacja adresowa – numer telefonu lub identyfikator użytkownika wysyłającego komunikat elektroniczny;
4) integrator usług SMS – dostawcę publicznie dostępnych usług telekomunikacyjnych świadczącego usługę wysyłania krótkich wiadomości tekstowych (SMS);
5) komunikat elektroniczny – komunikat elektroniczny w rozumieniu art. 2 pkt 19 ustawy z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej (Dz. U. poz. 1221);
6) lista ostrzeżeń – jawną listę ostrzeżeń dotyczących domen internetowych, które służą do wyłudzeń danych i niekorzystnego rozporządzenia mieniem użytkowników internetu;
7) nadpis – identyfikator krótkiej wiadomości tekstowej (SMS);
8) nadużycie w komunikacji elektronicznej – świadczenie lub korzystanie z usługi telekomunikacyjnej lub korzystanie z urządzeń telekomunikacyjnych niezgodnie z ich przeznaczeniem lub przepisami prawa, których celem lub skutkiem jest wyrządzenie szkody przedsiębiorcy telekomunikacyjnemu lub użytkownikowi końcowemu lub osiągnięcie nienależnych korzyści dla podmiotu dopuszczającego się nadużycia w komunikacji elektronicznej, innej osoby fizycznej, osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej;
9) operator – operatora w rozumieniu art. 2 pkt 40 lit. b ustawy z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej;
10) poczta elektroniczna – usługę komunikacji interpersonalnej, która nie umożliwia realizacji połączeń z numerami z planu numeracji krajowej lub międzynarodowych planów numeracji, i która umożliwia przekazywanie komunikatu elektronicznego z wykorzystaniem standardu SMTP (Simple Mail Transfer Protocol), POP3 (Post Office Protocol), IMAP4 (Internet Message Access Protocol) lub innego standardu zapewniającego te same funkcje;
11) podmiot publiczny – podmiot wskazany w sektorze podmiotów publicznych w załącznikach nr 1 i 2 do ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa;
12) połączenie głosowe – połączenie ustanowione za pomocą publicznie dostępnej usługi komunikacji interpersonalnej pozwalające na dwukierunkową komunikację głosową;
13) przedsiębiorca telekomunikacyjny – przedsiębiorcę telekomunikacyjnego w rozumieniu art. 2 pkt 40 ustawy z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej;
14) sieć telekomunikacyjna – sieć telekomunikacyjną w rozumieniu art. 2 pkt 58 ustawy z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej;
15) tajemnica komunikacji elektronicznej – tajemnicę, o której mowa w art. 386 ust. 1 ustawy z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej;
16) uprawnione podmioty – podmioty, o których mowa w art. 43 ust. 1 pkt 1 lit. a ustawy z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej;
17) urządzenie telekomunikacyjne – urządzenie telekomunikacyjne w rozumieniu art. 2 pkt 74 ustawy z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej;
18) usługa komunikacji interpersonalnej – usługę umożliwiającą bezpośrednią interpersonalną i interaktywną wymianę informacji za pośrednictwem sieci telekomunikacyjnej między skończoną liczbą osób, gdzie osoby inicjujące połączenie lub uczestniczące w nim decydują o jego odbiorcy lub odbiorcach, z wyłączeniem usług, w których interpersonalna i interaktywna komunikacja stanowi wyłącznie funkcję podrzędną względem innej usługi podstawowej;
19) usługa telekomunikacyjna – usługę telekomunikacyjną w rozumieniu art. 2 pkt 80 ustawy z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej;
20) użytkownik – użytkownika w rozumieniu art. 2 pkt 85 ustawy z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej;
21) użytkownik końcowy – użytkownika końcowego w rozumieniu art. 2 pkt 86 ustawy z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej.
Art. 3. 1. Zakazane są nadużycia w komunikacji elektronicznej, w szczególności:
1) generowanie sztucznego ruchu – wysyłanie lub odbieranie komunikatów elektronicznych lub połączeń głosowych w sieci telekomunikacyjnej z wykorzystaniem urządzeń telekomunikacyjnych lub programów, których celem nie jest skorzystanie z usługi telekomunikacyjnej, lecz ich zarejestrowanie na punkcie połączenia sieci telekomunikacyjnych lub przez systemy rozliczeniowe;
2) smishing – wysłanie krótkiej wiadomości tekstowej (SMS), w której nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy tej wiadomości do określonego zachowania, w szczególności przekazania danych osobowych, niekorzystnego rozporządzenia mieniem, otwarcia strony internetowej, inicjowania połączenia głosowego lub instalacji oprogramowania;
3) CLI spoofing – nieuprawnione posłużenie się lub korzystanie przez użytkownika lub przedsiębiorcę telekomunikacyjnego wywołującego połączenie głosowe informacją adresową wskazującą na osobę fizyczną, osobę prawną albo jednostkę organizacyjną nieposiadającą osobowości prawnej inną niż ten użytkownik lub przedsiębiorca telekomunikacyjny, służące podszyciu się pod inny podmiot, w szczególności w celu wywołania strachu, poczucia zagrożenia lub nakłonienia odbiorcy tego połączenia do określonego zachowania, zwłaszcza do przekazania danych osobowych, niekorzystnego rozporządzenia mieniem lub instalacji oprogramowania;
4) nieuprawniona zmiana informacji adresowej – niezgodne z prawem modyfikowanie informacji adresowej uniemożliwiające albo istotnie utrudniające ustalenie, przez uprawnione podmioty lub przedsiębiorców telekomunikacyjnych uczestniczących w dostarczeniu komunikatu elektronicznego, informacji adresowej użytkownika wysyłającego komunikat elektroniczny. 2. Nie stanowi nieuprawnionej zmiany informacji adresowej zmiana wyłącznie adresu IP użytkownika wysyłającego komunikat elektroniczny. 3. Przedsiębiorca telekomunikacyjny jest obowiązany do podejmowania proporcjonalnych środków organizacyjnych i technicznych mających na celu zapobieganie nadużyciom w komunikacji elektronicznej i ich zwalczanie.
Art. 4. 1. CSIRT NASK na podstawie krótkich wiadomości tekstowych (SMS) otrzymanych od odbiorców tych wiadomości oraz informacji otrzymanych od przedsiębiorców telekomunikacyjnych i innych podmiotów monitoruje występowanie smishingu. 2. CSIRT NASK na podstawie wyników monitorowania, o którym mowa w ust. 1, tworzy wzorzec wiadomości wyczerpującej znamiona smishingu, zwany dalej „wzorcem wiadomości”. 3. CSIRT NASK zapewnia funkcjonowanie systemu teleinformatycznego służącego do udostępniania i przekazywania informacji o wystąpieniu smishingu wraz ze wzorcem wiadomości oraz jest administratorem danych przetwarzanych w tym systemie. 4. CSIRT NASK za pośrednictwem systemu, o którym mowa w ust. 3, zapewnia dostęp do informacji o występowaniu smishingu wraz ze wzorcami wiadomości Komendantowi Centralnego Biura Zwalczania Cyberprzestępczości, Prezesowi UKE i przedsiębiorcom telekomunikacyjnym. 5. CSIRT NASK za pośrednictwem systemu, o którym mowa w ust. 3, przekazuje przedsiębiorcy telekomunikacyjnemu informacje o wystąpieniu smishingu wraz ze wzorcem wiadomości. 6. Podmioty, o których mowa w ust. 4, w celu wymiany informacji o występowaniu smishingu wraz ze wzorcami wiadomości są obowiązane do korzystania z systemu, o którym mowa w ust. 3. 7. Wzorzec wiadomości CSIRT NASK udostępnia na swojej stronie internetowej, nie wcześniej niż w terminie 14 dni i nie później niż w terminie 21 dni od dnia jego przekazania przedsiębiorcy telekomunikacyjnemu w sposób, o którym mowa w ust. 5. 8. CSIRT NASK w przypadku uznania, że:
1) treść wzorca wiadomości nie wyczerpuje znamion smishingu, lub
2) niecelowe jest dalsze blokowanie krótkich wiadomości tekstowych (SMS), zawierających treść zgodną z treścią wzorca wiadomości
– niezwłocznie informuje o tym podmioty, o których mowa w ust. 4, oraz zamieszcza na swojej stronie internetowej informacje o okresie, w jakim wzorzec wiadomości obowiązywał. 9. CSIRT NASK przetwarza dane pozyskane w związku z monitorowaniem występowania smishingu na zasadach określonych w art. 39 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.
Art. 5. 1. CSIRT NASK przyjmuje od odbiorców krótkich wiadomości tekstowych (SMS) zgłoszenia dotyczące wiadomości, co do których istnieje podejrzenie, że ich treść wyczerpuje znamiona smishingu, pod numerem skróconym 8080. 2. Przedsiębiorca telekomunikacyjny zapewnia swoim użytkownikom końcowym oraz CSIRT NASK możliwość bezpłatnego korzystania z numeru skróconego 8080, które polega na przekazywaniu do CSIRT NASK krótkich wiadomości tekstowych (SMS) zgłoszonych na numer skrócony 8080 oraz bezpłatną wysyłkę krótkich wiadomości tekstowych (SMS) z tego numeru przez CSIRT NASK.
Art. 6. Przedsiębiorca telekomunikacyjny po otrzymaniu informacji, o której mowa w art. 4 ust. 5 albo 8, niezwłocznie:
1) blokuje krótkie wiadomości tekstowe (SMS), zawierające treść zgodną z treścią wzorca wiadomości, za pomocą systemu teleinformatycznego pozwalającego na automatyczną identyfikację krótkich wiadomości tekstowych (SMS), albo
2) zaprzestaje blokowania krótkich wiadomości tekstowych (SMS) w przypadku uznania, że treść wzorca wiadomości nie wyczerpuje znamion smishingu lub że niecelowe jest dalsze blokowanie krótkich wiadomości tekstowych (SMS), zawierających treść zgodną z treścią wzorca wiadomości.
Art. 7. 1. Nadawca krótkiej wiadomości tekstowej (SMS) może wnieść do Prezesa UKE sprzeciw wobec zablokowania, o którym mowa w art. 6 pkt 1. 2. Sprzeciw, o którym mowa w ust. 1, zawiera:
1) pełną treść krótkiej wiadomości tekstowej (SMS);
2) uzasadnienie wyjaśniające, dlaczego treść krótkiej wiadomości tekstowej (SMS) nie wyczerpuje znamion smishingu;
3) wskazanie numeru wykorzystanego do nadania krótkiej wiadomości tekstowej (SMS);
4) dane identyfikujące nadawcę:
a) imię (imiona) i nazwisko, adres zamieszkania – w przypadku osób fizycznych,
b) nazwę (firmę) podmiotu, adres siedziby, numer z właściwego rejestru – w przypadku osób prawnych oraz jednostek organizacyjnych nieposiadających osobowości prawnej,
c) imię i nazwisko osoby uprawnionej do reprezentowania nadawcy wraz z upoważnieniem – jeżeli dotyczy. 3. Sprzeciw, o którym mowa w ust. 1, opatruje się kwalifikowanym podpisem elektronicznym, podpisem zaufanym albo podpisem osobistym i wnosi się na adres do doręczeń elektronicznych Prezesa UKE. 4. Sprzeciw, o którym mowa w ust. 1, niespełniający wymagań, o których mowa w ust. 2 i 3, pozostawia się bez rozpoznania.
Art. 8. 1. Prezes UKE:
1) rozpatruje sprzeciw, o którym mowa w art. 7 ust. 1, w terminie 14 dni od dnia jego otrzymania oraz
2) niezwłocznie informuje nadawcę krótkiej wiadomości tekstowej (SMS) o sposobie rozpatrzenia sprzeciwu, o którym mowa w art. 7 ust. 1, za pomocą środków komunikacji elektronicznej, których użył nadawca krótkiej wiadomości tekstowej (SMS), wnosząc ten sprzeciw. 2. Prezes UKE, rozpatrując sprzeciw, o którym mowa w art. 7 ust. 1:
1) uwzględnia ten sprzeciw, jeżeli krótka wiadomość tekstowa (SMS), zawierająca treść zgodną z treścią wzorca wiadomości, nie wyczerpuje znamion smishingu, albo
2) nie uwzględnia tego sprzeciwu, jeżeli krótka wiadomość tekstowa (SMS), zawierająca treść zgodną z treścią wzorca wiadomości, wyczerpuje znamiona smishingu. 3. W przypadku uwzględnienia sprzeciwu, o którym mowa w art. 7 ust. 1, Prezes UKE nakazuje CSIRT NASK niezwłoczną, nie później niż w terminie 3 dni od dnia uwzględnienia tego sprzeciwu, zmianę wzorca wiadomości w taki sposób, aby krótka wiadomość tekstowa (SMS) o treści, o której mowa w art. 7 ust. 2 pkt 1, nie była blokowana. 4. Nieuwzględnienie sprzeciwu, o którym mowa w art. 7 ust. 1, jest inną czynnością z zakresu administracji publicznej, na którą przysługuje skarga do sądu administracyjnego. 5. Prezes UKE może pisemnie upoważnić pracownika Urzędu Komunikacji Elektronicznej do wykonywania czynności, o których mowa w ust. 1–3. 6. Do postępowania w sprawie rozpatrzenia sprzeciwu, o którym mowa w art. 7 ust. 1, przepisów ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572) nie stosuje się.
Art. 9. 1. Przedsiębiorca telekomunikacyjny może blokować krótkie wiadomości tekstowe (SMS), zawierające treść wyczerpującą znamiona smishingu, inną niż treść wzorca wiadomości, za pomocą systemu teleinformatycznego pozwalającego na automatyczną identyfikację takich wiadomości. 2. Przedsiębiorca telekomunikacyjny może blokować wiadomości multimedialne (MMS), w których nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy tej wiadomości do określonego zachowania, w szczególności przekazania danych osobowych, niekorzystnego rozporządzenia mieniem, otwarcia strony internetowej, inicjowania połączenia głosowego lub instalacji oprogramowania. Blokowanie odbywa się za pomocą systemu teleinformatycznego pozwalającego na automatyczną identyfikację takich wiadomości.
Art. 10. 1. CSIRT NASK prowadzi i udostępnia na swojej stronie internetowej wykaz nazw i ich skrótów zastrzeżonych dla podmiotów publicznych jako nadpis wiadomości pochodzącej od tego podmiotu publicznego oraz wariantów tych nazw i skrótów, mogących wprowadzać odbiorcę w błąd co do pochodzenia wiadomości od podmiotu publicznego, zwany dalej „wykazem nadpisów podmiotów publicznych”. 2. CSIRT NASK za pośrednictwem systemu, o którym mowa w art. 4 ust. 3, zapewnia dostęp do wykazu nadpisów podmiotów publicznych Komendantowi Centralnego Biura Zwalczania Cyberprzestępczości, Prezesowi UKE i przedsiębiorcom telekomunikacyjnym. 3. Podmiot publiczny może złożyć do CSIRT NASK wniosek o wpis albo o zmianę wpisu w wykazie nadpisów podmiotów publicznych w zakresie go dotyczącym. Wniosek może dotyczyć zastrzeżenia nazwy lub skrótu jako nadpisu dla wiadomości wysłanej w związku z wykonywaniem konkretnego zadania publicznego. 4. CSIRT NASK może stworzyć warianty nazwy lub skrótu, mogące wprowadzać odbiorcę w błąd co do pochodzenia wiadomości od podmiotu publicznego, zwane dalej „wariantami nazwy lub skrótu”. 5. Zastrzeżone nazwa lub skrót oraz warianty nazwy lub skrótu, jeżeli zostały stworzone, CSIRT NASK wpisuje w wykazie nadpisów podmiotów publicznych. 6. Wykaz nadpisów podmiotów publicznych zawiera:
1) nazwę (firmę) podmiotu publicznego;
2) adres siedziby podmiotu publicznego;
3) numer identyfikacyjny podmiotu publicznego w krajowym rejestrze urzędowym podmiotów gospodarki narodowej (REGON);
4) nazwę lub skrót zastrzeżone dla podmiotu publicznego jako nadpis wiadomości pochodzącej od tego podmiotu publicznego;
5) warianty nazwy lub skrótu, jeżeli zostały stworzone;
6) datę wpisu w wykazie nadpisów podmiotów publicznych;
7) datę wykreślenia wpisu z wykazu nadpisów podmiotów publicznych;
8) numer w wykazie nadpisów podmiotów publicznych. 7. Wpis albo zmiana wpisu w wykazie nadpisów podmiotów publicznych nie może polegać na zastrzeżeniu dla podmiotu publicznego wnioskującego nazwy lub skrótu zastrzeżonych dla innego podmiotu publicznego. 8. Wniosek, o którym mowa w ust. 3, zawiera dane, o których mowa w ust. 6 pkt 1–4. Wniosek o zmianę wpisu w wykazie zawiera wskazanie danych zmienianych. 9. CSIRT NASK dokonuje wpisu albo zmiany wpisu w wykazie nadpisów podmiotów publicznych niezwłocznie, nie później niż w terminie 7 dni od dnia otrzymania wniosku, o którym mowa w ust. 3. 10. CSIRT NASK informuje podmiot publiczny o odmowie wpisu w wykazie nadpisów podmiotów publicznych z powodu, o którym mowa w ust. 7. 11. Wniosek, o którym mowa w ust. 3, sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym, podpisem zaufanym albo podpisem osobistym. 12. Wniosek, o którym mowa w ust. 3, składa się przy użyciu formularza elektronicznego udostępnionego na stronie internetowej CSIRT NASK. 13. CSIRT NASK pozostawia bez rozpoznania wniosek, o którym mowa w ust. 3, niespełniający wymagań, o których mowa w ust. 8, 11 lub 12, o czym informuje niezwłocznie podmiot publiczny. 14. CSIRT NASK co najmniej raz w miesiącu aktualizuje wykaz nadpisów podmiotów publicznych na podstawie nowych danych pozyskanych z krajowego rejestru urzędowego podmiotów gospodarki narodowej (REGON). 15. CSIRT NASK wykreśla wpis z wykazu nadpisów podmiotów publicznych po uzyskaniu informacji o wykreśleniu podmiotu publicznego z krajowego rejestru urzędowego podmiotów gospodarki narodowej (REGON). 16. CSIRT NASK może aktualizować wykaz nadpisów podmiotów publicznych w zakresie wariantów nazwy lub skrótu. 17. Wpis, zmiana wpisu oraz wykreślenie wpisu z wykazu nadpisów podmiotów publicznych są czynnościami materialno-technicznymi. 18. Prezes Głównego Urzędu Statystycznego udostępnia CSIRT NASK dane, o których mowa w art. 45 ust. 1 ustawy z dnia 29 czerwca 1995 r. o statystyce publicznej (Dz. U. z 2023 r. poz. 773 oraz z 2024 r. poz. 1222), zawarte w rejestrze podmiotów, o którym mowa w art. 42 ust. 1 tej ustawy, w celu prowadzenia wykazu nadpisów podmiotów publicznych.
Art. 11. 1. Przedsiębiorca w rozumieniu art. 4 ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców (Dz. U. z 2024 r. poz. 236 i 1222) może złożyć do Prezesa UKE wniosek o wykreślenie z wykazu nadpisów podmiotów publicznych nazwy lub skrótu lub wariantu nazwy lub skrótu. 2. Wniosek, o którym mowa w ust. 1, może dotyczyć wykreślenia nazwy lub skrótu lub wariantu nazwy lub skrótu, który jest identyczny z:
1) firmą przedsiębiorcy;
2) skrótem firmy przedsiębiorcy w rozumieniu art. 435 § 4 ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny (Dz. U. z 2024 r. poz. 1061 i 1237);
3) znakiem towarowym, na który udzielono prawa ochronnego. 3. Wniosek, o którym mowa w ust. 1, zawiera:
1) imię (imiona) i nazwisko oraz adres zamieszkania – w przypadku osób fizycznych;
2) nazwę (firmę) przedsiębiorcy, adres siedziby, numer z właściwego rejestru – w przypadku osób prawnych oraz jednostek organizacyjnych nieposiadających osobowości prawnej;
3) skrót firmy przedsiębiorcy, jeśli przedsiębiorca się nim posługuje;
4) wskazanie znaku towarowego, na który udzielono prawa ochronnego;
5) numer identyfikacyjny przedsiębiorcy w krajowym rejestrze urzędowym podmiotów gospodarki narodowej (REGON);
6) adres do doręczeń elektronicznych przedsiębiorcy, jeżeli przedsiębiorca go posiada;
7) adres poczty elektronicznej przedsiębiorcy przyporządkowany do wykonywanej działalności;
8) imię i nazwisko osoby uprawnionej do złożenia tego wniosku wraz z upoważnieniem, jeżeli dotyczy;
9) wskazanie wariantu nazwy lub skrótu wpisanego w wykazie nadpisów podmiotów publicznych, którego wykreślenia żąda przedsiębiorca;
10) uzasadnienie tego wniosku. 4. Jeżeli przedsiębiorca żąda wykreślenia z wykazu nadpisów podmiotów publicznych nazwy lub skrótu lub wariantu nazwy lub skrótu ze względu na ich identyczność ze skrótem firmy przedsiębiorcy, do wniosku załącza się dokument potwierdzający posługiwanie się przez przedsiębiorcę skrótem firmy. Za dokument potwierdzający posługiwanie się przez przedsiębiorcę skrótem firmy w szczególności uznaje się umowy, wzorce umowne, dowody księgowe oraz pisma przedsiębiorcy kierowane do organów administracji publicznej, w których posłużono się skrótem firmy. 5. Jeżeli przedsiębiorca żąda wykreślenia z wykazu nadpisów podmiotów publicznych nazwy lub skrótu lub wariantu nazwy lub skrótu ze względu na ich identyczność ze znakiem towarowym, na który udzielono prawa ochronnego, do wniosku załącza się świadectwo ochronne. 6. Jeżeli dokument potwierdzający posługiwanie się przez przedsiębiorcę skrótem firmy ma postać papierową, do wniosku, o którym mowa w ust. 1, załącza się odwzorowanie cyfrowe tego dokumentu sporządzone przez przedsiębiorcę i opatrzone przez niego kwalifikowanym podpisem elektronicznym, podpisem zaufanym albo podpisem osobistym potwierdzającym zgodność odwzorowania cyfrowego z dokumentem w postaci papierowej. 7. Wniosek, o którym mowa w ust. 1, sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym, podpisem zaufanym albo podpisem osobistym. 8. Wniosek, o którym mowa w ust. 1, składa się przy użyciu formularza elektronicznego udostępnionego przez Prezesa UKE na stronie internetowej obsługującego go urzędu. 9. Prezes UKE pozostawia bez rozpoznania wniosek, o którym mowa w ust. 1, niespełniający wymagań, o których mowa w ust. 2–8. 10. Prezes UKE pozostawia bez rozpoznania wniosek, o którym mowa w ust. 1, zawierający dane sprzeczne z danymi przedsiębiorcy zawartymi w Centralnej Ewidencji i Informacji o Działalności Gospodarczej albo w Krajowym Rejestrze Sądowym. 11. Prezes UKE rozpoznaje w terminie 14 dni od dnia otrzymania wniosek, o którym mowa w ust. 1, spełniający wymagania, o których mowa w ust. 2–8, oraz zawierający dane zgodne z danymi zawartymi w Centralnej Ewidencji i Informacji o Działalności Gospodarczej albo w Krajowym Rejestrze Sądowym. 12. Prezes UKE uwzględnia wniosek, o którym mowa w ust. 1, jeżeli nazwa lub skrót lub wariant nazwy lub skrótu, których wykreślenia żąda przedsiębiorca, są identyczne z firmą lub skrótem firmy przedsiębiorcy lub znakiem towarowym, na który udzielono prawa ochronnego, w przeciwnym wypadku odmawia wykreślenia. Odmowa wykreślenia jest inną czynnością z zakresu administracji publicznej, na którą przysługuje skarga do sądu administracyjnego. 13. Prezes UKE niezwłocznie informuje przedsiębiorcę o pozostawieniu wniosku, o którym mowa w ust. 1, bez rozpoznania wraz z podaniem przyczyny. 14. W przypadku uwzględnienia wniosku, o którym mowa w ust. 1, Prezes UKE nakazuje CSIRT NASK niezwłoczne, nie później niż w terminie 7 dni od dnia otrzymania informacji o uwzględnieniu tego wniosku, wykreślenie z wykazu nadpisów podmiotów publicznych nazwy lub skrótu lub wariantu nazwy lub skrótu, zgodnie z żądaniem przedsiębiorcy. 15. W przypadku wykreślenia z wykazu nadpisów podmiotów publicznych nazwy lub skrótu CSIRT NASK w terminie 7 dni od dnia otrzymania informacji o uwzględnieniu wniosku, o którym mowa w ust. 1, tworzy nową nazwę lub skrót dla podmiotu publicznego i wpisuje do tego wykazu, o czym informuje podmiot publiczny. 16. Prezes UKE może pisemnie upoważnić pracownika Urzędu Komunikacji Elektronicznej do wykonywania czynności, o których mowa w ust. 9–13. 17. Do postępowania w sprawie rozpatrzenia wniosku, o którym mowa w ust. 1, przepisów ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego nie stosuje się, z wyjątkiem przepisów działu I rozdziału 8 tej ustawy.
Art. 13. 1. Przedsiębiorca telekomunikacyjny blokuje krótkie wiadomości tekstowe (SMS), zawierające nadpis ujęty w wykazie nadpisów podmiotów publicznych, które nie zostały wysłane przez integratora usług SMS wpisanego w wykazie integratorów usług SMS dla podmiotów publicznych, o którym mowa w art. 14 ust. 1. 2. Przedsiębiorca telekomunikacyjny blokuje krótkie wiadomości tekstowe (SMS), w których jako nadpis został użyty wariant nazwy lub skrótu, zawarty w wykazie nadpisów podmiotów publicznych. 3. Przedsiębiorca telekomunikacyjny wykonuje obowiązki, o których mowa w ust. 1 i 2, niezwłocznie, nie później niż w terminie 3 dni od dnia wpisania nadpisu lub wariantu nazwy lub skrótu w wykazie nadpisów podmiotów publicznych.
Art. 14. 1. Podmiot publiczny może, na podstawie umowy, zlecać usługę wysyłania krótkich wiadomości tekstowych (SMS) wyłącznie integratorowi usług SMS wpisanemu w wykazie integratorów usług SMS dla podmiotów publicznych. 2. Integrator usług SMS, wysyłając wiadomość w imieniu podmiotu publicznego, jako nadpis tej wiadomości używa nazwy lub skrótu zastrzeżonych dla danego podmiotu publicznego w wykazie nadpisów podmiotów publicznych. 3. Prezes UKE prowadzi wykaz, o którym mowa w ust. 1, w systemie teleinformatycznym i udostępnia ten wykaz w Biuletynie Informacji Publicznej na stronie internetowej obsługującego go urzędu. 4. Wykaz, o którym mowa w ust. 1, zawiera:
1) imię (imiona) i nazwisko oraz adres zamieszkania – w przypadku osób fizycznych;
2) nazwę (firmę) podmiotu i adres siedziby – w przypadku osób prawnych oraz jednostek organizacyjnych nieposiadających osobowości prawnej;
3) numer z rejestru przedsiębiorców telekomunikacyjnych, o którym mowa w art. 5 ustawy z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej;
4) adres do doręczeń elektronicznych, jeżeli integrator usług SMS go posiada;
5) adres poczty elektronicznej przyporządkowany do wykonywanej działalności;
6) adres strony internetowej, o ile integrator usług SMS ją prowadzi;
7) datę wpisu w tym wykazie;
8) datę wykreślenia z tego wykazu;
9) numer w tym wykazie. 5. W wykazie, o którym mowa w ust. 1, udostępnionym w Biuletynie Informacji Publicznej nie wykazuje się adresu integratora usług SMS będącego osobą fizyczną. 6. Wniosek o wpis, o zmianę wpisu albo o wykreślenie integratora usług SMS z wykazu, o którym mowa w ust. 1, zawiera dane, o których mowa w ust. 4 pkt 1–6. 7. Integrator usług SMS składa wniosek o zmianę wpisu w wykazie, o którym mowa w ust. 1, w zakresie danych, o których mowa w ust. 4 pkt 4–6, w terminie 14 dni od dnia ich zmiany. Wniosek o zmianę wpisu w wykazie, o którym mowa w ust. 1, zawiera wskazanie zmienianych danych, numer w tym wykazie oraz oświadczenie, o którym mowa w ust. 8. 8. Wniosek o wpis albo o zmianę wpisu w wykazie, o którym mowa w ust. 1, zawiera oświadczenie integratora usług SMS o następującej treści: „Świadomy odpowiedzialności karnej za złożenie fałszywego oświadczenia wynikającej z art. 233 § 6 Kodeksu karnego oświadczam, że dane zawarte we wniosku są zgodne z prawdą”. Klauzula ta zastępuje pouczenie o odpowiedzialności karnej za złożenie fałszywego oświadczenia. 9. Wniosek o wpis, o zmianę wpisu albo o wykreślenie integratora usług SMS z wykazu, o którym mowa w ust. 1, sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym, podpisem zaufanym albo podpisem osobistym. 10. Wniosek o wpis, o zmianę wpisu albo o wykreślenie integratora usług SMS z wykazu, o którym mowa w ust. 1, składa się przy użyciu formularza elektronicznego udostępnionego przez Prezesa UKE na stronie internetowej obsługującego go urzędu. 11. Prezes UKE dokonuje wpisu albo zmiany wpisu w wykazie, o którym mowa w ust. 1, w terminie 7 dni od dnia otrzymania wniosku o wpis albo o zmianę wpisu w tym wykazie. 12. Prezes UKE niezwłocznie wzywa integratora usług SMS do uzupełnienia wniosku niespełniającego wymagań, o których mowa w ust. 6–10, w terminie 7 dni od dnia doręczenia wezwania. Wniosek nieuzupełniony w wyznaczonym terminie pozostawia się bez rozpoznania. 13. Prezes UKE weryfikuje dane zawarte we wniosku o wpis albo o zmianę wpisu w wykazie, o którym mowa w ust. 1, z danymi zawartymi w rejestrze przedsiębiorców telekomunikacyjnych. W przypadku wystąpienia rozbieżności między danymi zawartymi w rejestrze przedsiębiorców telekomunikacyjnych a danymi zawartymi we wniosku, Prezes UKE przyjmuje dane z tego rejestru, o czym informuje integratora usług SMS. 14. Prezes UKE aktualizuje wpis w wykazie, o którym mowa w ust. 1, na podstawie danych zawartych w rejestrze przedsiębiorców telekomunikacyjnych. 15. Wpis, zmiana wpisu oraz wykreślenie integratora usług SMS z wykazu, o którym mowa w ust. 1, są czynnościami materialno-technicznymi. 16. Prezes UKE wykreśla integratora usług SMS z wykazu, o którym mowa w ust. 1:
1) na wniosek integratora usług SMS wpisanego w tym wykazie;
2) po wykreśleniu integratora usług SMS z rejestru przedsiębiorców telekomunikacyjnych.
Art. 15. W zakresie dotyczącym współpracy dyrektora Rządowego Centrum Bezpieczeństwa z operatorem ruchomej publicznej sieci telekomunikacyjnej w rozumieniu przepisów ustawy z dnia 12 lipca 2024 r. – Prawo komunikacji elektro- nicznej przy realizacji obowiązków określonych w art. 21a ust. 3 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym (Dz. U. z 2023 r. poz. 122 oraz z 2024 r. poz. 834, 1222, 1473 i 1572), przepisów art. 10–14 nie stosuje się.
Art. 16. W celu zapobiegania i zwalczania CLI spoofing przedsiębiorca telekomunikacyjny blokuje połączenie głosowe albo ukrywa identyfikację numeru wywołującego dla użytkownika końcowego.
Art. 17. 1. Prezes UKE prowadzi, przy pomocy systemu teleinformatycznego, jawny wykaz numerów służących wyłącznie do odbierania połączeń głosowych i udostępnia ten wykaz w Biuletynie Informacji Publicznej na swojej stronie podmiotowej. 2. Prezes UKE dokonuje wpisu w wykazie, o którym mowa w ust. 1, na wniosek:
1) banku,
2) oddziału banku zagranicznego,
3) oddziału instytucji kredytowej,
4) Krajowej Spółdzielczej Kasy Oszczędnościowo-Kredytowej,
5) spółdzielczej kasy oszczędnościowo-kredytowej,
6) firmy inwestycyjnej w rozumieniu art. 3 pkt 33 ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi (Dz. U. z 2024 r. poz. 722),
7) funduszu inwestycyjnego,
8) towarzystwa funduszy inwestycyjnych,
9) instytucji płatniczej,
10) zakładu ubezpieczeń,
11) zakładu reasekuracji,
12) jednostki sektora finansów publicznych
– w zakresie wykorzystywanych przez te podmioty numerów. 3. Prezes UKE na wniosek przedsiębiorcy telekomunikacyjnego dokonuje wpisu w wykazie, o którym mowa w ust. 1, numerów służących wyłącznie do odbierania połączeń głosowych wykorzystywanych przez przedsiębiorcę telekomunikacyjnego wyłącznie na potrzeby własnego biura obsługi klientów lub infolinii. 4. Wniosek, o którym mowa w ust. 2 albo 3, zawiera:
1) dane wnioskodawcy:
a) imię (imiona) i nazwisko, adres zamieszkania – w przypadku osób fizycznych,
b) nazwę (firmę) wnioskodawcy, adres siedziby, numer z właściwego rejestru w przypadku osób prawnych oraz jednostek organizacyjnych nieposiadających osobowości prawnej,
c) imię i nazwisko osoby uprawnionej do reprezentowania wnioskodawcy wraz z upoważnieniem – jeżeli dotyczy;
2) wskazanie numeru, o którym mowa w ust. 1 albo 3. 5. Do wniosku, o którym mowa w ust. 2 albo 3, dołącza się dokument potwierdzający prawo do dysponowania numerem, którego ten wniosek dotyczy. 6. W przypadku gdy wniosek, o którym mowa w ust. 2 albo 3, nie spełnia wymagań, o których mowa w ust. 4, Prezes UKE wzywa wnioskodawcę do uzupełnienia tego wniosku w terminie 7 dni od dnia otrzymania wezwania pod rygorem pozostawienia tego wniosku bez rozpoznania. 7. Prezes UKE dokonuje wpisu w wykazie, o którym mowa w ust. 1, w terminie 5 dni od dnia otrzymania wniosku, o którym mowa w ust. 2 albo 3, spełniającego wymagania, o których mowa w ust. 4 i 5. 8. Wpis w wykazie, o którym mowa w ust. 1, jest czynnością materialno-
-techniczną. 9. Prezes UKE pozostawia wniosek o wpis w wykazie, o którym mowa w ust. 1, bez rozpoznania, jeżeli wniosek ten został złożony przez podmiot, któremu Prezes UKE nie przyznał prawa do wykorzystywania zasobów numeracji, na podstawie decyzji, o której mowa w art. 159 ust. 1 ustawy z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej, albo podmiot, który nie wykorzystuje numeracji na podstawie umowy, o której mowa w art. 164 albo art. 168 ustawy z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej, w zakresie numeru wskazanego we wniosku, o którym mowa w ust. 4 pkt 2. Prezes UKE niezwłocznie informuje wnioskodawcę o pozostawieniu wniosku bez rozpoznania. 10. Wnioskodawca, który złożył wniosek, o którym mowa w ust. 2 albo 3, lub podmiot, który aktualnie korzysta z numeru wpisanego w wykazie, o którym mowa w ust. 1, może złożyć wniosek o wycofanie numeru z tego wykazu. 11. Do wniosku o wycofanie numeru z wykazu, o którym mowa w ust. 1, przepisy ust. 4–6 i 9 stosuje się odpowiednio. 12. W przypadku, o którym mowa w ust. 10, Prezes UKE niezwłocznie, jednak nie później niż w terminie 5 dni od dnia otrzymania wniosku o wycofanie numeru z wykazu, o którym mowa w ust. 1, wykreśla go z tego wykazu. 13. Wniosek, o którym mowa w ust. 2, 3 albo 10, opatruje się kwalifikowanym podpisem elektronicznym, podpisem zaufanym albo podpisem osobistym i wnosi się do Prezesa UKE na adres do doręczeń elektronicznych Prezesa UKE. 14. Wniosek, o którym mowa w ust. 2, 3 albo 10, niespełniający wymagań, o których mowa w ust. 13, pozostawia się bez rozpoznania. 15. Przedsiębiorca telekomunikacyjny świadczący usługę połączeń głosowych niezwłocznie, nie później niż w terminie 3 dni od dnia wpisu numeru w wykazie, o którym mowa w ust. 1, blokuje połączenia przychodzące do jego sieci z wykorzystaniem numeru wpisanego w tym wykazie. 16. Przedsiębiorca telekomunikacyjny zaprzestaje blokowania połączeń przychodzących do jego sieci z wykorzystaniem numeru wpisanego w wykazie, o którym mowa w ust. 1, w terminie 3 dni od dnia wykreślenia numeru z tego wykazu.
Art. 18. Wykaz, o którym mowa w art. 17 ust. 1, obejmuje:
1) wskazanie numeru, o którym mowa w art. 17 ust. 1 albo 3;
2) datę wpisania numeru, o którym mowa w art. 17 ust. 1 albo 3, w tym wykazie;
3) datę wykreślenia numeru, o którym mowa w art. 17 ust. 1 albo 3, z tego wykazu.
Art. 19. 1. W celu realizacji obowiązków, o których mowa w art. 16, przedsiębiorca telekomunikacyjny stosuje środki organizacyjne i techniczne służące monitorowaniu, wykrywaniu oraz wymianie informacji o CLI spoofing, a także blokowaniu połączenia głosowego albo ukrywaniu identyfikacji numeru wywołującego dla użytkownika końcowego. 2. Dostawca publicznie dostępnych usług telekomunikacyjnych świadczący usługi telekomunikacyjne dla co najmniej 50 000 abonentów, będący jednocześnie operatorem, może zawrzeć z Prezesem UKE porozumienie określające szczegółowe środki organizacyjne i techniczne, o których mowa w ust. 1, które będzie stosował przy realizacji obowiązków, o których mowa w art. 16. 3. Zawarcie porozumienia, o którym mowa w ust. 2, i jego prawidłowe wykonywanie stanowi spełnienie przez operatora będącego stroną tego porozumienia obowiązku, o którym mowa w art. 3 ust. 3, w zakresie, o którym mowa w art. 3 ust. 1 pkt 3. 4. Operator prawidłowo wykonujący porozumienie, o którym mowa w ust. 2, nie ponosi odpowiedzialności za niewykonanie albo nienależyte wykonanie usługi telekomunikacyjnej będące skutkiem zastosowanych środków organizacyjnych i technicznych, o których mowa w ust. 1. 5. Prezes UKE kontroluje prawidłowość stosowania środków organizacyjnych i technicznych, o których mowa w ust. 1, określonych w porozumieniu, o którym mowa w ust. 2. Do kontroli stosuje się przepisy działu VIII rozdziału 2 ustawy z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej. 6. Dla przedsiębiorców telekomunikacyjnych innych niż określeni w ust. 2 Prezes UKE może wydać rekomendacje określające szczegółowe środki organizacyjne i techniczne, o których mowa w ust. 1, służące realizacji obowiązków, o których mowa w art. 16. Rekomendacje udostępnia się w Biuletynie Informacji Publicznej na stronie podmiotowej Prezesa UKE. 7. Przedsiębiorca telekomunikacyjny inny niż określony w ust. 2, prawidłowo stosujący środki organizacyjne i techniczne, o których mowa w ust. 1, określone w rekomendacjach, o których mowa w ust. 6, nie ponosi odpowiedzialności za niewykonanie albo nienależyte wykonanie usługi telekomunikacyjnej będące skutkiem wprowadzenia tych środków.
Art. 20. 1. W celu ochrony użytkowników internetu przed stronami internetowymi wyłudzającymi dane, w tym dane osobowe, oraz doprowadzającymi użytkowników internetu do niekorzystnego rozporządzenia ich mieniem, między Prezesem UKE, ministrem właściwym do spraw informatyzacji, Naukową i Akademicką Siecią Komputerową – Państwowym Instytutem Badawczym oraz przedsiębiorcą telekomunikacyjnym lub przedsiębiorcami telekomunikacyjnymi może zostać zawarte porozumienie dotyczące prowadzenia listy ostrzeżeń oraz uniemożliwienia dostępu do tych stron. 2. W przypadku zawarcia porozumienia, o którym mowa w ust. 1, podmiotem odpowiedzialnym za prowadzenie listy ostrzeżeń jest CSIRT NASK. 3. Na listę ostrzeżeń wpisuje się domeny internetowe, które za podstawowy cel swojego działania mają wprowadzenie w błąd użytkowników internetu i doprowadzenie do wyłudzenia ich danych lub niekorzystnego rozporządzenia mieniem. 4. Każdy może zgłosić domenę internetową, o której mowa w ust. 3, do CSIRT NASK. Zgłoszenie może zawierać uzasadnienie. 5. CSIRT NASK z inicjatywy własnej lub po otrzymaniu zgłoszenia, o którym mowa w ust. 4, wpisuje na listę ostrzeżeń domenę internetową, o której mowa w ust. 3. 6. CSIRT NASK udostępnia na stronie podmiotowej Biuletynu Informacji Publicznej Naukowej i Akademickiej Sieci Komputerowej – Państwowego Instytutu Badawczego informację określającą sposób dokonywania zgłoszeń, o których mowa w ust. 4. 7. Porozumienie, o którym mowa w ust. 1, określa co najmniej zasady współpracy stron tego porozumienia. 8. Przedsiębiorca telekomunikacyjny będący stroną porozumienia, o którym mowa w ust. 1, może uniemożliwić użytkownikom internetu dostęp do stron internetowych wykorzystujących nazwy domen internetowych wpisanych na listę ostrzeżeń, przez ich usunięcie z systemów teleinformatycznych przedsiębiorców telekomunikacyjnych służących do zamiany nazw domen internetowych na adresy IP. 9. W przypadku skorzystania z uprawnienia, o którym mowa w ust. 8, przedsiębiorca telekomunikacyjny przekieruje połączenia odwołujące się do nazw domen internetowych wpisanych na listę ostrzeżeń do strony internetowej prowadzonej przez CSIRT NASK zawierającej informację skierowaną do użytkowników internetu zawierającą w szczególności informacje o lokalizacji listy ostrzeżeń, wpisaniu szukanej nazwy domeny internetowej na listę ostrzeżeń oraz o możliwej próbie wyłudzenia danych lub niekorzystnego rozporządzania mieniem.
Art. 21. 1. Podmiot posiadający tytuł prawny do domeny internetowej wpisanej na listę ostrzeżeń może wnieść do Prezesa UKE sprzeciw wobec wpisania domeny internetowej na listę ostrzeżeń. 2. Sprzeciw, o którym mowa w ust. 1, zawiera:
1) wskazanie domeny internetowej, której ten sprzeciw dotyczy;
2) uzasadnienie wyjaśniające, dlaczego wpisanie domeny internetowej na listę ostrzeżeń jest niezasadne;
3) dane identyfikujące podmiot posiadający tytuł prawny do domeny internetowej:
a) imię (imiona) i nazwisko, adres zamieszkania – w przypadku osób fizycznych,
b) nazwę (firmę) podmiotu, adres siedziby, numer z właściwego rejestru – w przypadku osób prawnych oraz jednostek organizacyjnych nieposiadających osobowości prawnej,
c) imię i nazwisko osoby uprawnionej do reprezentowania podmiotu posiadającego tytuł prawny do domeny internetowej wraz z upoważnieniem
– jeżeli dotyczy. 3. Sprzeciw, o którym mowa w ust. 1, opatruje się kwalifikowanym podpisem elektronicznym, podpisem zaufanym albo podpisem osobistym i wnosi się na adres do doręczeń elektronicznych Prezesa UKE. 4. Sprzeciw, o którym mowa w ust. 1, niespełniający wymagań, o których mowa w ust. 2 i 3, pozostawia się bez rozpoznania.
Art. 22. 1. Prezes UKE:
1) rozpatruje sprzeciw, o którym mowa w art. 21 ust. 1, w terminie 14 dni od dnia jego otrzymania oraz
2) niezwłocznie informuje podmiot wnoszący sprzeciw, o którym mowa w art. 21 ust. 1, o sposobie rozpatrzenia tego sprzeciwu za pomocą środków komunikacji elektronicznej, których użył podmiot wnoszący ten sprzeciw. 2. Prezes UKE, rozpatrując sprzeciw, o którym mowa w art. 21 ust. 1:
1) uwzględnia ten sprzeciw, jeżeli domena internetowa nie służy do wyłudzeń danych i niekorzystnego rozporządzania mieniem użytkowników internetu;
2) nie uwzględnia tego sprzeciwu, jeżeli domena internetowa służy do wyłudzeń danych i niekorzystnego rozporządzania mieniem użytkowników internetu. 3. W przypadku uwzględnienia sprzeciwu, o którym mowa w art. 21 ust. 1, Prezes UKE nakazuje CSIRT NASK niezwłoczne, nie później niż w terminie 3 dni od dnia uwzględnienia tego sprzeciwu, usunięcie domeny internetowej z listy ostrzeżeń. 4. Nieuwzględnienie sprzeciwu, o którym mowa w art. 21 ust. 1, jest inną czynnością z zakresu administracji publicznej, na którą przysługuje skarga do sądu administracyjnego. 5. Prezes UKE może pisemnie upoważnić pracownika Urzędu Komunikacji Elektronicznej do wykonywania czynności, o których mowa w ust. 1–3. 6. Do postępowania w sprawie rozpatrzenia sprzeciwu, o którym mowa w art. 21 ust. 1, przepisów ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego nie stosuje się.
Art. 23. 1. Prezes UKE może, gdy jest to uzasadnione ochroną użytkowników końcowych przed nadużyciami w komunikacji elektronicznej, w drodze decyzji, nakazać:
1) przedsiębiorcy telekomunikacyjnemu zablokowanie dostępu do numeru lub usługi oraz nałożyć obowiązek wstrzymania pobierania opłat za połączenia lub usługi zrealizowane po upływie, określonego w decyzji, terminu, o którym mowa w ust. 2;
2) podmiotowi realizującemu dodatkowe świadczenie, o którym mowa w art. 346 ust. 1 ustawy z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej, zaprzestanie świadczenia usługi;
3) usługodawcy w rozumieniu art. 2 pkt 6 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2024 r. poz. 1513) usunięcie wszystkich publicznie dostępnych informacji zawartych w systemie teleinformatycznym, którym posługuje się usługodawca, zmierzających do promocji lub reklamy numeru, lub usługi z dodatkowym świadczeniem. 2. W decyzji, o której mowa w ust. 1, Prezes UKE określa termin na:
1) zablokowanie dostępu do numeru lub usługi,
2) zaprzestanie świadczenia usługi,
3) usunięcie wszystkich publicznie dostępnych informacji zawartych w systemie teleinformatycznym, którym posługuje się usługodawca, zmierzających do promocji lub reklamy numeru lub usługi z dodatkowym świadczeniem
– nie krótszy niż 6 godzin od momentu doręczenia decyzji. 3. (uchylony) 4. Decyzji, o której mowa w ust. 1, nadaje się rygor natychmiastowej wykonalności. 5. Do postępowania w sprawie wydania decyzji, o której mowa w ust. 1, nie stosuje się przepisów ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego, z wyjątkiem przepisów art. 107–113 oraz działu II rozdziałów 12 i 13, które stosuje się odpowiednio.
Art. 24. 1. Dostawca poczty elektronicznej:
1) dla co najmniej 500 000 użytkowników poczty lub
2) dla podmiotu publicznego
– przy świadczeniu poczty elektronicznej ma obowiązek stosowania mechanizmu SPF (Sender Policy Framework), DMARC (Domain-based Message Authentication Reporting and Conformance) oraz DKIM (DomainKeys Identified Mail). 2. Podmiot publiczny jest obowiązany do korzystania z poczty elektronicznej wykorzystującej mechanizmy, o których mowa w ust. 1. 3. Prezes UKE może przeprowadzić kontrolę:
1) wykonywania obowiązku, o którym mowa w ust. 1, przez dostawcę poczty elektronicznej oraz
2) wykonywania obowiązku, o którym mowa w ust. 2, przez podmiot publiczny. 4. Do kontroli, o której mowa w ust. 3, stosuje się przepisy działu VIII rozdziału 2 ustawy z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej. 5. CSIRT NASK udostępnia na swojej stronie internetowej informację na temat standardów sieciowych RFC (Request for Comments) z odniesieniem do dokumentów umieszczonych na stronach internetowych organizacji Internet Engineering Task Force, które składają się na aktualną wersję opisów mechanizmów, o których mowa w ust. 1. 6. Dostawca poczty elektronicznej dla podmiotu publicznego oferuje pocztę elektroniczną umożliwiającą stosowanie metod uwierzytelniania wieloskładnikowego.
Art. 25. 1. Przedsiębiorca telekomunikacyjny jest obowiązany do rejestracji informacji o usługach telekomunikacyjnych, które nie zostały przez tego przedsiębiorcę wykonane w związku z realizacją:
1) obowiązków, o których mowa w art. 6, art. 13 i art. 16,
2) uprawnień, o których mowa w art. 9
– w zakresie umożliwiającym rozpatrzenie reklamacji, o której mowa w art. 378 ustawy z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej. 2. Przedsiębiorca telekomunikacyjny przechowuje informacje, o których mowa w ust. 1, przez okres 12 miesięcy liczony od dnia, w którym usługa miała być wykonana, a w przypadku wniesienia reklamacji – przez okres niezbędny do roz- strzygnięcia sporu.
Art. 26. 1. Przedsiębiorcy telekomunikacyjni mogą przetwarzać i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą komunikacji elektronicznej, z wyłączeniem komunikatu elektronicznego, w celu identyfikacji, zapobiegania i zwalczania nadużyć w komunikacji elektronicznej. 2. Przedsiębiorcy telekomunikacyjni mogą przetwarzać i wzajemnie udostępniać komunikat elektroniczny w celu identyfikacji, zapobiegania i zwalczania smishingu oraz wiadomości multimedialnych (MMS), o których mowa w art. 9 ust. 2. 3. Przedsiębiorca telekomunikacyjny może przetwarzać:
1) treść krótkich wiadomości tekstowych (SMS),
2) treść wiadomości multimedialnych (MMS) oraz
3) informacje o usługach telekomunikacyjnych, które nie zostały przez tego przedsiębiorcę wykonane w związku z realizacją obowiązków, o których mowa w art. 6, art. 13 i art. 16, lub uprawnień, o których mowa w art. 9
– w celu realizacji obowiązków, o których mowa w art. 3 ust. 3, art. 6, art. 13 i art. 16, oraz uprawnień, o których mowa w art. 9, a także w celach związanych z dochodzeniem roszczeń. 4. Przetwarzanie, o którym mowa w ust. 3, jest dopuszczalne tylko do końca okresu, w którym jest możliwe dochodzenie roszczeń. 5. Do przetwarzania danych osobowych przez przedsiębiorców telekomunikacyjnych przepisu art. 15 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.3)) nie stosuje się w zakresie, w jakim jest to niezbędne dla identyfikacji, zapobiegania oraz zwalczania nadużyć w komunikacji elektronicznej. 6. Przedsiębiorca telekomunikacyjny może wykonać obowiązki, o których mowa w art. 14 ust. 1 i 2 rozporządzenia wymienionego w ust. 5, przez udostępnienie informacji, o których mowa w tych przepisach, na swojej stronie internetowej lub przez umieszczenie stosownych informacji w miejscach widocznych w siedzibie lub miejscu działania administratora danych osobowych, w zakresie, w jakim dotyczy to danych osobowych pozyskanych w ramach identyfikacji, zapobiegania oraz zwalczania nadużyć w komunikacji elektronicznej.
Art. 27. 1. Przedsiębiorca telekomunikacyjny, który dokonuje następujących nadużyć w komunikacji elektronicznej:
1) generowania sztucznego ruchu,
2) smishingu,
3) CLI spoofingu,
4) nieuprawnionej zmiany informacji adresowej
– podlega karze pieniężnej. 2. Jeżeli czyn będący nadużyciem w komunikacji elektronicznej, o którym mowa w ust. 1, wyczerpuje jednocześnie znamiona przestępstwa, w stosunku do przedsiębiorcy telekomunikacyjnego będącego osobą fizyczną stosuje się wyłącznie przepisy o odpowiedzialności karnej. 3. Na przedsiębiorcę telekomunikacyjnego, który nie wypełnia obowiązków, o których mowa w:
1) art. 6,
2) art. 13,
3) Zmiany wymienionego rozporządzenia zostały ogłoszone w Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 04.03.2021, str. 35.
3) art. 14 ust. 2,
4) art. 16,
5) art. 17 ust. 15 lub 16
– może zostać nałożona kara pieniężna, jeżeli przemawia za tym zakres lub charakter naruszenia. 3a. Przedsiębiorca telekomunikacyjny, podmiot realizujący dodatkowe świadczenie, o którym mowa w art. 346 ust. 1 ustawy z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej albo usługodawca, w rozumieniu art. 2 pkt 6 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, który nie wypełnia lub nienależycie wypełnia obowiązki wynikające z decyzji, o której mowa w art. 23 ust. 1, podlega karze pieniężnej. 4. Na dostawcę poczty elektronicznej, który nie wypełnia obowiązków, o których mowa w art. 24 ust. 1, może zostać nałożona kara pieniężna, jeżeli przemawia za tym zakres lub charakter naruszenia. 5. Kary pieniężne, o których mowa w ust. 1, 3 i 4, mogą zostać nałożone także w przypadku, gdy podmiot, o którym mowa w ust. 1, 3 lub 4, zaprzestał naruszania prawa lub naprawił wyrządzoną szkodę, jeżeli Prezes UKE uzna, że przemawiają za tym czas trwania, zakres lub skutki naruszenia. 6. Niezależnie od kary pieniężnej, o której mowa w ust. 3, Prezes UKE może, w drodze decyzji, nałożyć na kierującego przedsiębiorstwem telekomunikacyjnym, w szczególności osobę pełniącą funkcję kierowniczą lub wchodzącą w skład organu zarządzającego przedsiębiorcy telekomunikacyjnego lub związku takich przedsiębiorców, karę pieniężną w wysokości do 300 % jego miesięcznego wynagrodzenia, obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop wypoczynkowy. 7. Prezes UKE może, w drodze decyzji, nałożyć karę pieniężną na kierownika podmiotu publicznego, jeżeli nie został wykonany obowiązek, o którym mowa w art. 24 ust. 2. Kara pieniężna nakładana jest w wysokości do jednokrotności przeciętnego wynagrodzenia w gospodarce narodowej, ogłoszonego przez Prezesa Głównego Urzędu Statystycznego, w ostatnim komunikacie, o którym mowa w art. 20 pkt 1 lit. a ustawy z dnia 17 grudnia 1998 r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych (Dz. U. z 2024 r. poz. 1631 i 1674). 8. Jeżeli przemawia za tym zakres lub charakter naruszenia, Prezes UKE może, w drodze decyzji, nałożyć karę pieniężną na kierownika podmiotu publicznego, który korzysta z usług wysyłania krótkich wiadomości tekstowych (SMS) integratora usług SMS niewpisanego w wykazie, o którym mowa w art. 14 ust. 1. Kara pieniężna nakładana jest w wysokości do jednokrotności przeciętnego wynagrodzenia w gospodarce narodowej, ogłoszonego przez Prezesa Głównego Urzędu Statystycznego, w ostatnim komunikacie, o którym mowa w art. 20 pkt 1 lit. a ustawy z dnia 17 grudnia 1998 r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych. 9. Od decyzji Prezesa UKE w sprawie nałożenia kary pieniężnej przysługuje odwołanie do Sądu Okręgowego w Warszawie – Sądu Ochrony Konkurencji i Konsumentów. 10. Kary pieniężne podlegają egzekucji w trybie przepisów o postępowaniu egzekucyjnym w administracji w zakresie egzekucji obowiązków o charakterze pieniężnym.
Art. 28. 1. Kary pieniężne, o których mowa w art. 27 ust. 1, 3, 3a i 4, nakłada Prezes UKE, w drodze decyzji, w wysokości do 3 % przychodu podmiotu, o którym mowa w art. 27 ust. 1, 3, 3a lub 4, osiągniętego w poprzednim roku kalendarzowym. Decyzji o nałożeniu kary pieniężnej nie nadaje się rygoru natychmiastowej wykonalności. 2. W przypadku gdy podmiot, o którym mowa w art. 27 ust. 1, 3, 3a lub 4, w roku kalendarzowym poprzedzającym rok nałożenia kary pieniężnej nie osiągnął przychodu albo osiągnął przychód w wysokości nieprzekraczającej 500 000 zł, Prezes UKE, nakładając karę pieniężną, uwzględnia średni przychód osiągnięty przez ten podmiot w 3 kolejnych latach kalendarzowych poprzedzających rok nałożenia kary pieniężnej. 3. W przypadku gdy podmiot, o którym mowa w art. 27 ust. 1, 3, 3a lub 4, nie osiągnął przychodu w okresie, o którym mowa w ust. 2, albo gdy przychód tego podmiotu w tym okresie nie przekracza 500 000 zł, Prezes UKE może nałożyć na ten podmiot karę pieniężną w wysokości nieprzekraczającej 15 000 zł. 4. W przypadku gdy przed wydaniem decyzji o nałożeniu kary pieniężnej podmiot, o którym mowa w art. 27 ust. 1, 3, 3a lub 4, nie dysponuje danymi finansowymi niezbędnymi do ustalenia przychodu za rok kalendarzowy poprzedzający rok nałożenia kary pieniężnej, Prezes UKE, nakładając karę pieniężną, uwzględnia:
1) przychód osiągnięty przez ten podmiot w roku kalendarzowym poprzedzającym ten rok;
2) w przypadku, o którym mowa w ust. 2 – średni przychód osiągnięty przez ten podmiot w 3 kolejnych latach kalendarzowych poprzedzających ten rok. 5. W przypadku, o którym mowa w ust. 4 pkt 2, przepis ust. 3 stosuje się odpowiednio. 6. W przypadku gdy podmiot, o którym mowa w art. 27 ust. 1, 3, 3a lub 4, powstał w wyniku połączenia lub przekształcenia innych podmiotów, obliczając wysokość jego przychodu, o którym mowa w ust. 1, Prezes UKE uwzględnia przychód osiągnięty przez te podmioty w roku kalendarzowym poprzedzającym rok nałożenia kary. 7. Ustalając wysokość kary pieniężnej, Prezes UKE uwzględnia zakres lub charakter naruszenia, dotychczasową działalność podmiotu oraz jego możliwości finansowe. 8. Podmiot, o którym mowa w art. 27 ust. 1, 3, 3a lub 4, jest obowiązany do dostarczenia Prezesowi UKE, na każde jego żądanie, w terminie 30 dni od dnia otrzymania żądania, danych niezbędnych do określenia podstawy wymiaru kary pieniężnej. W przypadku niedostarczenia danych albo gdy dostarczone dane uniemożliwiają ustalenie podstawy wymiaru kary, Prezes UKE może ustalić podstawę wymiaru kary pieniężnej w sposób szacunkowy, nie mniejszą jednak niż kwota 500 000 zł. 9. Jeżeli okres działania podmiotu, o którym mowa w art. 27 ust. 1, 3, 3a lub 4, jest krótszy niż rok kalendarzowy, za podstawę wymiaru kary przyjmuje się kwotę 500 000 zł.
Art. 29. 1. Kto w celu osiągnięcia korzyści majątkowej, korzyści osobistej lub wyrządzenia innej osobie szkody wysyła lub odbiera komunikaty elektroniczne lub połączenia głosowe w sieci telekomunikacyjnej z wykorzystaniem urządzeń telekomunikacyjnych lub programów, których celem nie jest skorzystanie z usługi telekomunikacyjnej, lecz ich zarejestrowanie na punkcie połączenia sieci telekomunikacyjnych lub przez systemy rozliczeniowe
– podlega karze pozbawienia wolności od 3 miesięcy do lat 5. 2. W wypadku mniejszej wagi, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Art. 30. 1. Kto w celu osiągnięcia korzyści majątkowej, korzyści osobistej lub wyrządzenia innej osobie szkody wysyła krótką wiadomość tekstową (SMS), wiadomość multimedialną (MMS) lub wiadomość za pośrednictwem innych usług komunikacji interpersonalnej, w której podszywa się pod inny podmiot w celu nakłonienia odbiorcy tej wiadomości do przekazania danych osobowych, niekorzystnego rozporządzenia mieniem, otwarcia strony internetowej, inicjowania połączenia głosowego, instalacji oprogramowania, przekazania haseł komputerowych, kodów dostępu lub innych danych umożliwiających nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, teleinformatycznym lub sieci teleinformatycznej
– podlega karze pozbawienia wolności od 3 miesięcy do lat 5. 2. W wypadku mniejszej wagi, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. 3. Jeżeli czyn, o którym mowa w ust. 1, popełniono na szkodę osoby najbliższej, ściganie następuje na wniosek pokrzywdzonego.
Art. 31. 1. Kto w celu osiągnięcia korzyści majątkowej, korzyści osobistej lub wyrządzenia innej osobie szkody, przy wywoływaniu połączenia głosowego posługuje się, nie będąc do tego uprawnionym, informacją adresową wskazującą na inną osobę fizyczną, osobę prawną albo jednostkę organizacyjną nieposiadającą osobowości prawnej, aby podszyć się pod inny podmiot w celu nakłonienia odbiorcy tego połączenia do przekazania danych osobowych, niekorzystnego rozporządzenia mieniem lub instalacji oprogramowania, przekazania haseł komputerowych, kodów dostępu lub innych danych umożliwiających nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, teleinformatycznym lub sieci teleinformatycznej
– podlega karze pozbawienia wolności od 3 miesięcy do lat 5. 2. W wypadku mniejszej wagi, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. 3. Jeżeli czyn, o którym mowa w ust. 1, popełniono na szkodę osoby najbliższej, ściganie następuje na wniosek pokrzywdzonego.
Art. 32. 1. Kto w celu osiągnięcia korzyści majątkowej, korzyści osobistej lub wyrządzenia innej osobie szkody dokonuje niezgodnej z prawem modyfikacji informacji adresowej uniemożliwiającej albo istotnie utrudniającej ustalenie, przez uprawnione podmioty lub przedsiębiorców telekomunikacyjnych uczestniczących w dostarczeniu komunikatu elektronicznego, informacji adresowej użytkownika wysyłającego komunikat elektroniczny
– podlega karze pozbawienia wolności od 3 miesięcy do lat 5. 2. W wypadku mniejszej wagi, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Art. 33. 1. Prezes UKE przedstawia sejmowej komisji właściwej w sprawach telekomunikacji oraz ministrowi właściwemu do spraw informatyzacji roczne sprawozdanie z wykonywania swoich obowiązków i uprawnień określonych w ustawie. 2. Prezes UKE składa sprawozdanie, o którym mowa w ust. 1, w terminie do dnia 31 marca danego roku kalendarzowego, za rok poprzedni. Art. 34–36. (pominięte)4)
Art. 37. 1. CSIRT NASK w terminie 3 miesięcy od dnia wejścia w życie ustawy uruchamia system, o którym mowa w art. 4 ust. 3, i informuje ministra właściwego do spraw informatyzacji o jego uruchomieniu. 2. Minister właściwy do spraw informatyzacji niezwłocznie po otrzymaniu informacji, o której mowa w ust. 1, udostępnia, w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, informację o uruchomieniu systemu, o którym mowa w art. 4 ust. 3. 3. Komendant Centralnego Biura Zwalczania Cyberprzestępczości, Prezes UKE i przedsiębiorcy telekomunikacyjni są obowiązani do podłączenia się do systemu, o którym mowa w art. 4 ust. 3, w terminie 3 miesięcy od dnia udostępnienia przez ministra właściwego do spraw informatyzacji informacji o uruchomieniu tego systemu.
Art. 38. Przedsiębiorcy telekomunikacyjni są obowiązani do wdrożenia proporcjonalnych środków organizacyjnych i technicznych mających na celu zapobieganie nadużyciom w komunikacji elektronicznej i ich zwalczanie, o których mowa w art. 3 ust. 1:
1) pkt 1 i 2 – w terminie 6 miesięcy od dnia wejścia w życie ustawy;
2) pkt 3 i 4 – w terminie 12 miesięcy od dnia wejścia w życie ustawy.
Art. 39. 1. W terminie miesiąca od dnia wejścia w życie niniejszego przepisu strony Porozumienia o współpracy w zakresie ochrony użytkowników internetu przed stronami wyłudzającymi dane, w tym dane osobowe, oraz doprowadzających użytkowników internetu do niekorzystnego rozporządzenia ich środkami finansowymi
4) Zamieszczone w obwieszczeniu Marszałka Sejmu Rzeczypospolitej Polskiej z dnia 27 listopada 2024 r. w sprawie ogłoszenia jednolitego tekstu ustawy o zwalczaniu nadużyć w komunikacji elektronicznej (Dz. U. poz. 1803). w okresie stanów nadzwyczajnych, stanu epidemii lub stanu zagrożenia epidemicznego w Rzeczypospolitej Polskiej, zawartego w dniu 23 marca 2020 r., zwanego dalej „Porozumieniem z 23 marca 2020 r.”, mogą złożyć oświadczenie woli o uznaniu Porozumienia z 23 marca 2020 r. za porozumienie, o którym mowa w art. 20 ust. 1. 2. W przypadku złożenia w terminie, o którym mowa w ust. 1, oświadczeń woli przez wszystkie strony Porozumienia z 23 marca 2020 r. staje się ono porozumieniem, o którym mowa w art. 20 ust. 1, z dniem złożenia oświadczenia woli przez ostatnią ze stron. W takim przypadku postanowienia Porozumienia z 23 marca 2020 r. ograniczające stosowanie tego porozumienia do stanów nadzwyczajnych, stanu epidemii lub stanu zagrożenia epidemicznego w Rzeczypospolitej Polskiej stają się bezskuteczne. 3. Z dniem złożenia oświadczenia woli przez ostatnią ze stron Porozumienia z 23 marca 2020 r. lista ostrzeżeń dotycząca domen internetowych, które służą do wyłudzeń danych i niekorzystnego rozporządzania mieniem użytkowników internetu, prowadzona przez Naukową i Akademicką Sieć Komputerową – Państwowy Instytut Badawczy na podstawie Porozumienia z 23 marca 2020 r. staje się listą, o której mowa w art. 20 ust. 1.
Art. 40. 1. Dostawca poczty elektronicznej, który świadczy pocztę elektroniczną na podstawie umowy, której stroną jest podmiot publiczny, obowiązującej w dniu wejścia w życie ustawy, jest obowiązany w terminie 3 miesięcy od dnia wejścia w życie ustawy do spełnienia obowiązku, o którym mowa w art. 24 ust. 1. 2. Jeżeli dostawca poczty elektronicznej nie spełni wymagań w terminie, o którym mowa w ust. 1, umowa, o której mowa w ust. 1, może zostać jednostronnie rozwiązana przez podmiot publiczny, a dostawcy poczty elektronicznej nie przysługują roszczenia z tego tytułu.
Art. 41. W terminie 6 miesięcy od dnia wejścia w życie ustawy dostawca poczty elektronicznej, który zawarł umowę z podmiotem publicznym o świadczenie poczty elektronicznej, przedstawi ofertę poczty elektronicznej umożliwiającej stosowanie metod uwierzytelniania wieloskładnikowego, chyba że świadczona przez tego dostawcę poczta elektroniczna umożliwia stosowanie tych metod.
Art. 42. 1. Integrator usług SMS, który w dniu wejścia w życie ustawy świadczy usługę wysyłania krótkich wiadomości tekstowych (SMS) dla podmiotu publicznego, jest obowiązany złożyć wniosek o wpis w wykazie, o którym mowa w art. 14 ust. 1, w terminie 30 dni od dnia wejścia w życie ustawy. 2. Jeżeli integrator usług SMS nie spełni wymagań w terminie, o którym mowa w ust. 1, umowa o świadczenie usługi wysyłania krótkich wiadomości tekstowych (SMS) może zostać jednostronnie rozwiązana przez podmiot publiczny, a integratorowi usług SMS nie przysługują roszczenia z tego tytułu.
Art. 43. Prezes Głównego Urzędu Statystycznego udostępnia CSIRT NASK po raz pierwszy dane, o których mowa w art. 45 ust. 1 ustawy z dnia 29 czerwca 1995 r. o statystyce publicznej, zawarte w rejestrze podmiotów, o którym mowa w art. 42 ust. 1 tej ustawy, w terminie 7 dni od dnia wejścia w życie ustawy.
Art. 44. 1. CSIRT NASK w terminie 3 miesięcy od dnia wejścia w życie ustawy tworzy wykaz, o którym mowa w art. 10 ust. 1. 2. Dla podmiotów publicznych wskazanych w art. 9 pkt 1, 2 i 8 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2024 r. poz. 1530 i 1572) CSIRT NASK:
1) tworzy nazwę lub skrót zastrzeżone dla podmiotu publicznego jako nadpis wiadomości pochodzącej od tego podmiotu publicznego;
2) może stworzyć warianty nazwy lub skrótu, mogące wprowadzać odbiorcę w błąd co do pochodzenia wiadomości od podmiotu publicznego.
Art. 45. 1. Przedsiębiorcy telekomunikacyjni rozpoczną wykonywanie obowiązków określonych w art. 13 po upływie 6 miesięcy od dnia wejścia w życie ustawy. 2. Integratorzy usług SMS wpisani w wykazie, o którym mowa w art. 14 ust. 1, rozpoczną wykonywanie obowiązków określonych w art. 14 ust. 2 po upływie 6 miesięcy od dnia wejścia w życie ustawy.
Art. 46. Wnioski, o których mowa w art. 10 ust. 3 oraz art. 11 ust. 1, mogą być złożone po raz pierwszy po upływie 3 miesięcy od dnia wejścia w życie ustawy.
Art. 47. Ustawa wchodzi w życie po upływie 30 dni od dnia ogłoszenia5), z wyjątkiem:
1) art. 2 pkt 1, 6 i 13, art. 20–22 oraz art. 39, które wchodzą w życie z dniem następującym po dniu ogłoszenia;
2) art. 23, który wchodzi w życie z dniem 1 listopada 2023 r.;
5) Ustawa została ogłoszona w dniu 25 sierpnia 2023 r.
3) art. 17, art. 18 oraz art. 27 ust. 3 pkt 1 i 5, które wchodzą w życie po upływie 6 miesięcy od dnia wejścia w życie ustawy;
4) art. 27 ust. 3 pkt 4, który wchodzi w życie po upływie 12 miesięcy od dnia wejścia w życie ustawy.