Wersja obowiązująca od 2024.07.19     (Dz.U.2024.1077 tekst jednolity)

[Badanie urządzenia informatycznego lub oprogramowania ] 1. CSIRT MON, CSIRT NASK lub CSIRT GOV może przeprowadzić badanie urządzenia informatycznego lub oprogramowania w celu identyfikacji podatności, której wykorzystanie może zagrozić w szczególności integralności, poufności, rozliczalności, autentyczności lub dostępności przetwarzanych danych, które może mieć wpływ na bezpieczeństwo publiczne lub istotny interes bezpieczeństwa państwa.

2. CSIRT MON, CSIRT NASK albo CSIRT GOV, podejmując badanie urządzenia informatycznego lub oprogramowania, informuje pozostałe CSIRT o fakcie podjęcia badań oraz urządzeniu informatycznym lub oprogramowaniu, którego badanie dotyczy.

3. CSIRT MON, CSIRT NASK lub CSIRT GOV w przypadku identyfikacji podatności, o której mowa w ust. 1, składa wniosek w sprawie rekomendacji, o których mowa w ust. 4.

4. Pełnomocnik po uzyskaniu opinii Kolegium wydaje, zmienia lub odwołuje rekomendacje dotyczące stosowania urządzeń informatycznych lub oprogramowania, w szczególności w zakresie wpływu na bezpieczeństwo publiczne lub istotny interes bezpieczeństwa państwa.

4a. W przypadku uzyskania przez Pełnomocnika informacji o zagrożeniu cyberbezpieczeństwa, która uprawdopodobni możliwość wystąpienia incydentu krytycznego, Pełnomocnik może wydać rekomendacje, o których mowa w ust. 4, z urzędu.

4b. Przed wydaniem rekomendacji w trybie ust. 4a, Pełnomocnik przeprowadza konsultację z CSIRT MON, CSIRT NASK lub CSIRT GOV.

5. Podmiot krajowego systemu cyberbezpieczeństwa może wnieść do Pełnomocnika zastrzeżenia do rekomendacji dotyczących stosowania urządzeń informatycznych lub oprogramowania, z uwagi na ich negatywny wpływ na świadczoną usługę lub realizowane zadanie publiczne, nie później niż w terminie 7 dni od dnia otrzymania rekomendacji.

6. Pełnomocnik odnosi się do zastrzeżeń otrzymanych w trybie ust. 5 niezwłocznie, jednak nie później niż w terminie 14 dni od dnia ich otrzymania, i podtrzymuje rekomendacje dotyczące stosowania urządzeń informatycznych lub oprogramowania albo wydaje zmienione rekomendacje.

7. Podmiot krajowego systemu cyberbezpieczeństwa informuje Pełnomocnika, na jego wniosek, o sposobie i zakresie uwzględnienia rekomendacji dotyczących stosowania urządzeń informatycznych lub oprogramowania.

8. Nieuwzględnienie rekomendacji dotyczących stosowania urządzeń informatycznych lub oprogramowania stanowi podstawę do wystąpienia przez Pełnomocnika do organu sprawującego nadzór nad podmiotem, o którym mowa w ust. 7, z informacją o ich nieuwzględnieniu.

Wersja obowiązująca od 2024.07.19     (Dz.U.2024.1077 tekst jednolity)

[Badanie urządzenia informatycznego lub oprogramowania ] 1. CSIRT MON, CSIRT NASK lub CSIRT GOV może przeprowadzić badanie urządzenia informatycznego lub oprogramowania w celu identyfikacji podatności, której wykorzystanie może zagrozić w szczególności integralności, poufności, rozliczalności, autentyczności lub dostępności przetwarzanych danych, które może mieć wpływ na bezpieczeństwo publiczne lub istotny interes bezpieczeństwa państwa.

2. CSIRT MON, CSIRT NASK albo CSIRT GOV, podejmując badanie urządzenia informatycznego lub oprogramowania, informuje pozostałe CSIRT o fakcie podjęcia badań oraz urządzeniu informatycznym lub oprogramowaniu, którego badanie dotyczy.

3. CSIRT MON, CSIRT NASK lub CSIRT GOV w przypadku identyfikacji podatności, o której mowa w ust. 1, składa wniosek w sprawie rekomendacji, o których mowa w ust. 4.

4. Pełnomocnik po uzyskaniu opinii Kolegium wydaje, zmienia lub odwołuje rekomendacje dotyczące stosowania urządzeń informatycznych lub oprogramowania, w szczególności w zakresie wpływu na bezpieczeństwo publiczne lub istotny interes bezpieczeństwa państwa.

4a. W przypadku uzyskania przez Pełnomocnika informacji o zagrożeniu cyberbezpieczeństwa, która uprawdopodobni możliwość wystąpienia incydentu krytycznego, Pełnomocnik może wydać rekomendacje, o których mowa w ust. 4, z urzędu.

4b. Przed wydaniem rekomendacji w trybie ust. 4a, Pełnomocnik przeprowadza konsultację z CSIRT MON, CSIRT NASK lub CSIRT GOV.

5. Podmiot krajowego systemu cyberbezpieczeństwa może wnieść do Pełnomocnika zastrzeżenia do rekomendacji dotyczących stosowania urządzeń informatycznych lub oprogramowania, z uwagi na ich negatywny wpływ na świadczoną usługę lub realizowane zadanie publiczne, nie później niż w terminie 7 dni od dnia otrzymania rekomendacji.

6. Pełnomocnik odnosi się do zastrzeżeń otrzymanych w trybie ust. 5 niezwłocznie, jednak nie później niż w terminie 14 dni od dnia ich otrzymania, i podtrzymuje rekomendacje dotyczące stosowania urządzeń informatycznych lub oprogramowania albo wydaje zmienione rekomendacje.

7. Podmiot krajowego systemu cyberbezpieczeństwa informuje Pełnomocnika, na jego wniosek, o sposobie i zakresie uwzględnienia rekomendacji dotyczących stosowania urządzeń informatycznych lub oprogramowania.

8. Nieuwzględnienie rekomendacji dotyczących stosowania urządzeń informatycznych lub oprogramowania stanowi podstawę do wystąpienia przez Pełnomocnika do organu sprawującego nadzór nad podmiotem, o którym mowa w ust. 7, z informacją o ich nieuwzględnieniu.

Wersja archiwalna obowiązująca od 2023.05.15 do 2024.07.18     (Dz.U.2023.913 tekst jednolity)

Art. 33. [Badanie urządzenia informatycznego lub oprogramowania] 1. CSIRT MON, CSIRT NASK lub CSIRT GOV może przeprowadzić badanie urządzenia informatycznego lub oprogramowania w celu identyfikacji podatności, której wykorzystanie może zagrozić w szczególności integralności, poufności, rozliczalności, autentyczności lub dostępności przetwarzanych danych, które może mieć wpływ na bezpieczeństwo publiczne lub istotny interes bezpieczeństwa państwa.

2. CSIRT MON, CSIRT NASK albo CSIRT GOV, podejmując badanie urządzenia informatycznego lub oprogramowania, informuje pozostałe CSIRT o fakcie podjęcia badań oraz urządzeniu informatycznym lub oprogramowaniu, którego badanie dotyczy.

3. CSIRT MON, CSIRT NASK lub CSIRT GOV w przypadku identyfikacji podatności, o której mowa w ust. 1, składa wniosek w sprawie rekomendacji, o których mowa w ust. 4.

4. Pełnomocnik po uzyskaniu opinii Kolegium wydaje, zmienia lub odwołuje rekomendacje dotyczące stosowania urządzeń informatycznych lub oprogramowania, w szczególności w zakresie wpływu na bezpieczeństwo publiczne lub istotny interes bezpieczeństwa państwa.

4a. W przypadku uzyskania przez Pełnomocnika informacji o zagrożeniu cyberbezpieczeństwa, która uprawdopodobni możliwość wystąpienia incydentu krytycznego, Pełnomocnik może wydać rekomendacje, o których mowa w ust. 4, z urzędu.

4b. Przed wydaniem rekomendacji w trybie ust. 4a, Pełnomocnik przeprowadza konsultację z CSIRT MON, CSIRT NASK lub CSIRT GOV.

5. Podmiot krajowego systemu cyberbezpieczeństwa może wnieść do Pełnomocnika zastrzeżenia do rekomendacji dotyczących stosowania urządzeń informatycznych lub oprogramowania, z uwagi na ich negatywny wpływ na świadczoną usługę lub realizowane zadanie publiczne, nie później niż w terminie 7 dni od dnia otrzymania rekomendacji.

6. Pełnomocnik odnosi się do zastrzeżeń otrzymanych w trybie ust. 5 niezwłocznie, jednak nie później niż w terminie 14 dni od dnia ich otrzymania, i podtrzymuje rekomendacje dotyczące stosowania urządzeń informatycznych lub oprogramowania albo wydaje zmienione rekomendacje.

7. Podmiot krajowego systemu cyberbezpieczeństwa informuje Pełnomocnika, na jego wniosek, o sposobie i zakresie uwzględnienia rekomendacji dotyczących stosowania urządzeń informatycznych lub oprogramowania.

8. Nieuwzględnienie rekomendacji dotyczących stosowania urządzeń informatycznych lub oprogramowania stanowi podstawę do wystąpienia przez Pełnomocnika do organu sprawującego nadzór nad podmiotem, o którym mowa w ust. 7, z informacją o ich nieuwzględnieniu.

Wersja archiwalna obowiązująca od 2022.09.05 do 2023.05.14     (Dz.U.2022.1863 tekst jednolity)

Art. 33. [Badanie urządzenia informatycznego lub oprogramowania] 1. CSIRT MON, CSIRT NASK lub CSIRT GOV może przeprowadzić badanie urządzenia informatycznego lub oprogramowania w celu identyfikacji podatności, której wykorzystanie może zagrozić w szczególności integralności, poufności, rozliczalności, autentyczności lub dostępności przetwarzanych danych, które może mieć wpływ na bezpieczeństwo publiczne lub istotny interes bezpieczeństwa państwa.

2. CSIRT MON, CSIRT NASK albo CSIRT GOV, podejmując badanie urządzenia informatycznego lub oprogramowania, informuje pozostałe CSIRT o fakcie podjęcia badań oraz urządzeniu informatycznym lub oprogramowaniu, którego badanie dotyczy.

3. CSIRT MON, CSIRT NASK lub CSIRT GOV w przypadku identyfikacji podatności, o której mowa w ust. 1, składa wniosek w sprawie rekomendacji, o których mowa w ust. 4.

4. Pełnomocnik po uzyskaniu opinii Kolegium wydaje, zmienia lub odwołuje rekomendacje dotyczące stosowania urządzeń informatycznych lub oprogramowania, w szczególności w zakresie wpływu na bezpieczeństwo publiczne lub istotny interes bezpieczeństwa państwa.

4a. W przypadku uzyskania przez Pełnomocnika informacji o zagrożeniu cyberbezpieczeństwa, która uprawdopodobni możliwość wystąpienia incydentu krytycznego, Pełnomocnik może wydać rekomendacje, o których mowa w ust. 4, z urzędu.

4b. Przed wydaniem rekomendacji w trybie ust. 4a, Pełnomocnik przeprowadza konsultację z CSIRT MON, CSIRT NASK lub CSIRT GOV.

5. Podmiot krajowego systemu cyberbezpieczeństwa może wnieść do Pełnomocnika zastrzeżenia do rekomendacji dotyczących stosowania urządzeń informatycznych lub oprogramowania, z uwagi na ich negatywny wpływ na świadczoną usługę lub realizowane zadanie publiczne, nie później niż w terminie 7 dni od dnia otrzymania rekomendacji.

6. Pełnomocnik odnosi się do zastrzeżeń otrzymanych w trybie ust. 5 niezwłocznie, jednak nie później niż w terminie 14 dni od dnia ich otrzymania, i podtrzymuje rekomendacje dotyczące stosowania urządzeń informatycznych lub oprogramowania albo wydaje zmienione rekomendacje.

7. Podmiot krajowego systemu cyberbezpieczeństwa informuje Pełnomocnika, na jego wniosek, o sposobie i zakresie uwzględnienia rekomendacji dotyczących stosowania urządzeń informatycznych lub oprogramowania.

8. Nieuwzględnienie rekomendacji dotyczących stosowania urządzeń informatycznych lub oprogramowania stanowi podstawę do wystąpienia przez Pełnomocnika do organu sprawującego nadzór nad podmiotem, o którym mowa w ust. 7, z informacją o ich nieuwzględnieniu.

Wersja archiwalna obowiązująca od 2021.01.01 do 2022.09.04

[Badanie urządzenia informatycznego lub oprogramowania ] 1. CSIRT MON, CSIRT NASK lub CSIRT GOV może przeprowadzić badanie urządzenia informatycznego lub oprogramowania w celu identyfikacji podatności, której wykorzystanie może zagrozić w szczególności integralności, poufności, rozliczalności, autentyczności lub dostępności przetwarzanych danych, które może mieć wpływ na bezpieczeństwo publiczne lub istotny interes bezpieczeństwa państwa.

2. CSIRT MON, CSIRT NASK albo CSIRT GOV, podejmując badanie urządzenia informatycznego lub oprogramowania, informuje pozostałe CSIRT o fakcie podjęcia badań oraz urządzeniu informatycznym lub oprogramowaniu, którego badanie dotyczy.

3. CSIRT MON, CSIRT NASK lub CSIRT GOV w przypadku identyfikacji podatności, o której mowa w ust. 1, składa wniosek w sprawie rekomendacji, o których mowa w ust. 4.

4. Pełnomocnik po uzyskaniu opinii Kolegium wydaje, zmienia lub odwołuje rekomendacje dotyczące stosowania urządzeń informatycznych lub oprogramowania, w szczególności w zakresie wpływu na bezpieczeństwo publiczne lub istotny interes bezpieczeństwa państwa.

4a. [1] W przypadku uzyskania przez Pełnomocnika informacji o zagrożeniu cyberbezpieczeństwa, która uprawdopodobni możliwość wystąpienia incydentu krytycznego, Pełnomocnik może wydać rekomendacje, o których mowa w ust. 4, z urzędu.

4b. [2] Przed wydaniem rekomendacji w trybie ust. 4a, Pełnomocnik przeprowadza konsultację z CSIRT MON, CSIRT NASK lub CSIRT GOV.

5. Podmiot krajowego systemu cyberbezpieczeństwa może wnieść do Pełnomocnika zastrzeżenia do rekomendacji dotyczących stosowania urządzeń informatycznych lub oprogramowania, z uwagi na ich negatywny wpływ na świadczoną usługę lub realizowane zadanie publiczne, nie później niż w terminie 7 dni od dnia otrzymania rekomendacji.

6. Pełnomocnik odnosi się do zastrzeżeń otrzymanych w trybie ust. 5 niezwłocznie, jednak nie później niż w terminie 14 dni od dnia ich otrzymania, i podtrzymuje rekomendacje dotyczące stosowania urządzeń informatycznych lub oprogramowania albo wydaje zmienione rekomendacje.

7. Podmiot krajowego systemu cyberbezpieczeństwa informuje Pełnomocnika, na jego wniosek, o sposobie i zakresie uwzględnienia rekomendacji dotyczących stosowania urządzeń informatycznych lub oprogramowania.

8. Nieuwzględnienie rekomendacji dotyczących stosowania urządzeń informatycznych lub oprogramowania stanowi podstawę do wystąpienia przez Pełnomocnika do organu sprawującego nadzór nad podmiotem, o którym mowa w ust. 7, z informacją o ich nieuwzględnieniu.

[1] Art. 33 ust. 4a dodany przez art. 83 ustawy z dnia 11 września 2019 r. Przepisy wprowadzające ustawę – Prawo zamówień publicznych (Dz.U. poz. 2020; ost. zm.: Dz.U. z 2020 r., poz. 1086). Zmiana weszła w życie 1 stycznia 2021 r.

[2] Art. 33 ust. 4b dodany przez art. 83 ustawy z dnia 11 września 2019 r. Przepisy wprowadzające ustawę – Prawo zamówień publicznych (Dz.U. poz. 2020; ost. zm.: Dz.U. z 2020 r., poz. 1086). Zmiana weszła w życie 1 stycznia 2021 r.

Wersja archiwalna obowiązująca od 2020.08.11 do 2020.12.31     (Dz.U.2020.1369 tekst jednolity)

[Badanie urządzenia informatycznego lub oprogramowania] 1. CSIRT MON, CSIRT NASK lub CSIRT GOV może przeprowadzić badanie urządzenia informatycznego lub oprogramowania w celu identyfikacji podatności, której wykorzystanie może zagrozić w szczególności integralności, poufności, rozliczalności, autentyczności lub dostępności przetwarzanych danych, które może mieć wpływ na bezpieczeństwo publiczne lub istotny interes bezpieczeństwa państwa.

2. CSIRT MON, CSIRT NASK albo CSIRT GOV, podejmując badanie urządzenia informatycznego lub oprogramowania, informuje pozostałe CSIRT o fakcie podjęcia badań oraz urządzeniu informatycznym lub oprogramowaniu, którego badanie dotyczy.

3. CSIRT MON, CSIRT NASK lub CSIRT GOV w przypadku identyfikacji podatności, o której mowa w ust. 1, składa wniosek w sprawie rekomendacji, o których mowa w ust. 4.

4. Pełnomocnik po uzyskaniu opinii Kolegium wydaje, zmienia lub odwołuje rekomendacje dotyczące stosowania urządzeń informatycznych lub oprogramowania, w szczególności w zakresie wpływu na bezpieczeństwo publiczne lub istotny interes bezpieczeństwa państwa.

5. Podmiot krajowego systemu cyberbezpieczeństwa może wnieść do Pełnomocnika zastrzeżenia do rekomendacji dotyczących stosowania urządzeń informatycznych lub oprogramowania, z uwagi na ich negatywny wpływ na świadczoną usługę lub realizowane zadanie publiczne, nie później niż w terminie 7 dni od dnia otrzymania rekomendacji.

6. Pełnomocnik odnosi się do zastrzeżeń otrzymanych w trybie ust. 5 niezwłocznie, jednak nie później niż w terminie 14 dni od dnia ich otrzymania, i podtrzymuje rekomendacje dotyczące stosowania urządzeń informatycznych lub oprogramowania albo wydaje zmienione rekomendacje.

7. Podmiot krajowego systemu cyberbezpieczeństwa informuje Pełnomocnika, na jego wniosek, o sposobie i zakresie uwzględnienia rekomendacji dotyczących stosowania urządzeń informatycznych lub oprogramowania.

8. Nieuwzględnienie rekomendacji dotyczących stosowania urządzeń informatycznych lub oprogramowania stanowi podstawę do wystąpienia przez Pełnomocnika do organu sprawującego nadzór nad podmiotem, o którym mowa w ust. 7, z informacją o ich nieuwzględnieniu.

Wersja archiwalna obowiązująca od 2018.08.28 do 2020.08.10

[Badanie urządzenia informatycznego lub oprogramowania ] 1. CSIRT MON, CSIRT NASK lub CSIRT GOV może przeprowadzić badanie urządzenia informatycznego lub oprogramowania w celu identyfikacji podatności, której wykorzystanie może zagrozić w szczególności integralności, poufności, rozliczalności, autentyczności lub dostępności przetwarzanych danych, które może mieć wpływ na bezpieczeństwo publiczne lub istotny interes bezpieczeństwa państwa.

2. CSIRT MON, CSIRT NASK albo CSIRT GOV, podejmując badanie urządzenia informatycznego lub oprogramowania, informuje pozostałe CSIRT o fakcie podjęcia badań oraz urządzeniu informatycznym lub oprogramowaniu, którego badanie dotyczy.

3. CSIRT MON, CSIRT NASK lub CSIRT GOV w przypadku identyfikacji podatności, o której mowa w ust. 1, składa wniosek w sprawie rekomendacji, o których mowa w ust. 4.

4. Pełnomocnik po uzyskaniu opinii Kolegium wydaje, zmienia lub odwołuje rekomendacje dotyczące stosowania urządzeń informatycznych lub oprogramowania, w szczególności w zakresie wpływu na bezpieczeństwo publiczne lub istotny interes bezpieczeństwa państwa.

5. Podmiot krajowego systemu cyberbezpieczeństwa może wnieść do Pełnomocnika zastrzeżenia do rekomendacji dotyczących stosowania urządzeń informatycznych lub oprogramowania, z uwagi na ich negatywny wpływ na świadczoną usługę lub realizowane zadanie publiczne, nie później niż w terminie 7 dni od dnia otrzymania rekomendacji.

6. Pełnomocnik odnosi się do zastrzeżeń otrzymanych w trybie ust. 5 niezwłocznie, jednak nie później niż w terminie 14 dni od dnia ich otrzymania, i podtrzymuje rekomendacje dotyczące stosowania urządzeń informatycznych lub oprogramowania albo wydaje zmienione rekomendacje.

7. Podmiot krajowego systemu cyberbezpieczeństwa informuje Pełnomocnika, na jego wniosek, o sposobie i zakresie uwzględnienia rekomendacji dotyczących stosowania urządzeń informatycznych lub oprogramowania.

8. Nieuwzględnienie rekomendacji dotyczących stosowania urządzeń informatycznych lub oprogramowania stanowi podstawę do wystąpienia przez Pełnomocnika do organu sprawującego nadzór nad podmiotem, o którym mowa w ust. 7, z informacją o ich nieuwzględnieniu.