Art. 6.
Ustawa z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym
1. Zadania z zakresu ochrony infrastruktury krytycznej obejmują:
1) gromadzenie i przetwarzanie informacji dotyczących zagrożeń infrastruktury krytycznej;
2) (uchylony)
3) opracowywanie i wdrażanie procedur na wypadek wystąpienia zagrożeń infrastruktury krytycznej;
4) odtwarzanie infrastruktury krytycznej;
5) współpracę między administracją publiczną a właścicielami oraz posiadaczami samoistnymi i zależnymi obiektów, instalacji lub urządzeń infrastruktury krytycznej w zakresie jej ochrony.
2. (uchylony)
3. (uchylony)
4. (uchylony)
5. Właściciele oraz posiadacze samoistni i zależni obiektów, instalacji lub urządzeń infrastruktury krytycznej mają obowiązek ich ochrony, w szczególności przez przygotowanie i wdrażanie, stosownie do przewidywanych zagrożeń, planów ochrony infrastruktury krytycznej oraz utrzymywanie własnych systemów rezerwowych zapewniających bezpieczeństwo i podtrzymujących funkcjonowanie tej infrastruktury, do czasu jej pełnego odtworzenia.
5a. Właściciele, posiadacze samoistni i zależni, o których mowa w ust. 5, mają obowiązek wyznaczyć, w terminie 30 dni od dnia otrzymania informacji, o której mowa w art. 5b ust. 7 pkt 4, osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami właściwymi w zakresie ochrony infrastruktury krytycznej.
5b. Właściciele, posiadacze samoistni i zależni, o których mowa w ust. 5, będący jednocześnie operatorami usług kluczowych w rozumieniu ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2020 r. poz. 1369), uwzględniają w planach ochrony infrastruktury krytycznej dokumentację dotyczącą cyberbezpieczeństwa systemów informacyjnych wykorzystywanych do świadczenia usług kluczowych zgodnie z zakresem informacji określonym w przepisach wydanych na podstawie art. 10 ust. 5 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyber-bezpieczeństwa.
6. Jeżeli dla obiektów, instalacji, urządzeń i usług infrastruktury krytycznej istnieją, tworzone na podstawie innych przepisów, plany odpowiadające wymogom planu ochrony infrastruktury krytycznej, uznaje się, iż wymóg posiadania takiego planu jest spełniony.
7. Rada Ministrów określi, w drodze rozporządzenia:
1) sposób tworzenia, aktualizacji oraz strukturę planów, o których mowa w ust. 5,
2) warunki i tryb uznania spełnienia obowiązku posiadania planu odpowiadającego wymogom planu ochrony infrastruktury krytycznej
– uwzględniając potrzebę zapewnienia ciągłości funkcjonowania infrastruktury krytycznej.