Art. 20a.

1. Dostawcy usług zaufania podejmują odpowiednie środki techniczne i organizacyjne w celu zarządzania ryzykiem, na jakie narażone jest bezpieczeństwo świadczonych przez nich usług zaufania, w szczególności środki zapobiegające zdarzeniom powodującym naruszenie bezpieczeństwa lub utratę integralności, związanym z usługami zaufania lub minimalizujące wpływ tych zdarzeń. W ramach zadania, o którym mowa w zdaniu pierwszym, dostawcy usług zaufania uwzględniają najnowsze osiągnięcia w dziedzinie cyberbezpieczeństwa.

2. Dostawca usług zaufania zawiadamia ministra właściwego do spraw informatyzacji o zdarzeniu powodującym naruszenie bezpieczeństwa lub utratę integralności, które mają znaczący wpływ na świadczoną usługę zaufania lub przetwarzane w jej ramach dane osobowe, niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia.

3. W przypadku gdy prawdopodobne jest, że zdarzenie, o którym mowa w ust. 2, niekorzystnie wpłynie na osobę fizyczną lub prawną, na rzecz której świadczona była usługa zaufania, dostawca usług zaufania bez zbędnej zwłoki zawiadamia także tę osobę fizyczną lub prawną o tym zdarzeniu i jego potencjalnych skutkach.