Newsletter
 
 
united kingdom
ukraine
poland
Prawo.pl
  1. Akty Prawne
  2. Dziennik Ustaw
  3. Dz.U.2025.810

Przeprowadzanie oceny bezpieczeństwa związanej z zapobieganiem zdarzeniom o charakterze terrorystycznym lub uprawdopodabniającym popełnienie przestępstwa szpiegostwa

ROZPORZĄDZENIE
RADY MINISTRÓW
z dnia 6 czerwca 2025 r.
w sprawie przeprowadzania oceny bezpieczeństwa związanej z zapobieganiem zdarzeniom o charakterze terrorystycznym lub uprawdopodabniającym popełnienie przestępstwa szpiegostwa

Na podstawie art. 32a ust. 14 ustawy z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu (Dz. U. z 2024 r. poz. 812, z późn. zm.) zarządza się, co następuje:
§  1.
 Rozporządzenie określa:
1)
warunki i tryb przeprowadzania oceny bezpieczeństwa, o której mowa w art. 32a ust. 1 ustawy z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu, zwanej dalej "ustawą";
2)
czynności niezbędne do przeprowadzania oceny bezpieczeństwa;
3)
warunki i tryb dokonywania uzgodnień ramowych warunków przeprowadzania oceny bezpieczeństwa z organami administracji publicznej, właścicielami, posiadaczami samoistnymi i zależnymi obiektów, instalacji lub urządzeń infrastruktury krytycznej, o których mowa w art. 5b ust. 7 pkt 1 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym (Dz. U. z 2023 r. poz. 122 oraz z 2024 r. poz. 834, 1222, 1473, 1572 i 1907).
§  2.
 Użyte w rozporządzeniu określenia oznaczają:
1)
ocena bezpieczeństwa - ocenę, o której mowa w art. 32a ust. 1 ustawy;
2)
system - systemy teleinformatyczne i sieci teleinformatyczne, o których mowa w art. 32a ust. 1 ustawy, podlegające ocenie bezpieczeństwa;
3)
architektura systemu - opis składników systemu teleinformatycznego lub sieci teleinformatycznej oraz powiązań i relacji między tymi składnikami;
4)
usługa sieciowa - właściwość systemu teleinformatycznego polegającą na powtarzalnym wykonywaniu przez ten system z góry określonych funkcji po otrzymaniu, za pomocą sieci teleinformatycznej, danych uporządkowanych w określonej strukturze;
5)
podmiot zarządzający systemem - podmiot, o którym mowa w art. 32a ust. 3 ustawy;
6)
roczny plan - roczny plan przeprowadzania oceny bezpieczeństwa, o którym mowa w art. 32a ust. 2 ustawy.
§  3.
1.
 W ramach oceny bezpieczeństwa przeprowadza się następujące czynności:
1)
pasywne zbieranie informacji - zbieranie w sieci Internet informacji związanych z funkcjonowaniem systemu, wpływających na jego bezpieczeństwo;
2)
półpasywne zbieranie informacji - zbieranie w systemie informacji związanych z funkcjonowaniem tego systemu, wpływających na jego bezpieczeństwo, na zasadach właściwych dla użytkownika tego systemu, z wyłączeniem uprawnień wymagających uwierzytelnienia w tym systemie; czynności te mogą być uzupełnione zbieraniem informacji wynikających z analizy architektury systemu;
3)
aktywne zbieranie informacji - zbieranie w systemie informacji związanych z funkcjonowaniem tego systemu, wpływających na jego bezpieczeństwo, w sposób przekraczający uprawnienia użytkownika systemu, w tym wymagających uwierzytelnienia w systemie, w szczególności polegających na enumeracji usług, portów, wykrywaniu urządzeń pośredniczących, wykrywaniu systemów IDS/IPS oraz zapór ogniowych;
4)
identyfikacja podatności architektury systemu i usług sieciowych - podejmowanie czynności mających na celu identyfikację podatności, o której mowa w art. 32a ust. 4 ustawy, dokonywanych na podstawie informacji uzyskanych w ramach czynności, o których mowa w pkt 1-3 oraz na podstawie informacji na temat architektury systemu udostępnionych przez podmiot zarządzający systemem.
2.
 W ramach oceny bezpieczeństwa poza czynnościami, o których mowa w ust. 1, mogą być również przeprowadzane, za zgodą podmiotu zarządzającego systemem, następujące czynności:
1)
wykorzystanie podatności - podejmowanie w systemie czynności nakierowanych na użycie podatności zidentyfikowanych w ramach czynności, o której mowa w ust. 1 pkt 4, w celu ominięcia zabezpieczeń systemu oraz identyfikacji podatności, których identyfikacja jest niemożliwa w ramach czynności, o której mowa w ust. 1 pkt 4;
2)
analiza wpływu wykorzystania czynników inżynierii społecznej - wykorzystanie ogólnych metod inżynierii społecznej, które mają na celu uzyskanie informacji na temat zachowania użytkowników systemu, w celu weryfikacji procedur bezpieczeństwa badanego systemu realizowanych przez tych użytkowników; czynności mogą być wykonywane z zastosowaniem narzędzi, o których mowa w art. 32a ust. 7 ustawy;
3)
analiza odporności systemu na działania narzędzi, o których mowa w art. 32a ust. 7 ustawy - zaplanowane zastosowanie narzędzi, o których mowa w art. 32a ust. 7 ustawy, w celu zbadania możliwości wykorzystania luk w zabezpieczeniach systemu, polegające na badaniu odporności systemu na możliwość wykorzystania go do popełniania przestępstw, o których mowa w art. 32a ust. 7 ustawy.
§  4.
1.
 Przed przeprowadzeniem oceny bezpieczeństwa Agencja Bezpieczeństwa Wewnętrznego, zwana dalej "ABW", zwraca się do podmiotu zarządzającego systemem o przekazanie informacji dotyczących systemu, które mogą obejmować:
1)
architekturę systemu, w tym informacje o urządzeniach wchodzących w skład infrastruktury systemu;
2)
adresację sieciowej infrastruktury systemu;
3)
informację o posiadaniu aktualnej kopii bezpieczeństwa systemu i zasad jej aktualizacji;
4)
określenie czasu wymaganego do przywrócenia systemu z kopii bezpieczeństwa systemu;
5)
informację o posiadaniu środowiska testowego i o jego zakresie;
6)
zabezpieczenia teleinformatyczne systemu;
7)
procedury bezpieczeństwa systemu;
8)
dane osoby wyznaczonej przez kierownika podmiotu zarządzającego systemem do bieżącego kontaktu z ABW w czasie przeprowadzania oceny bezpieczeństwa, zwanej dalej "osobą wyznaczoną";
9)
dane osoby upoważnionej przez kierownika podmiotu zarządzającego systemem do reprezentowania tego podmiotu w ramach oceny bezpieczeństwa, zwanej dalej "osobą upoważnioną".
2.
 Podmiot zarządzający systemem przekazuje informacje, o których mowa w ust. 1, w terminie:
1)
14 dni od dnia otrzymania wystąpienia ABW - w przypadku systemu ujętego w rocznym planie;
2)
7 dni od dnia otrzymania wystąpienia ABW - w przypadku systemu nieujętego w rocznym planie.
§  5.
1.
 ABW dokonuje analizy informacji, o których mowa w § 4 ust. 1, w celu przygotowania propozycji oceny bezpieczeństwa.
2.
 ABW w terminie 30 dni od dnia otrzymania informacji, o których mowa w § 4 ust. 1, przekazuje podmiotowi zarządzającemu systemem projekt porozumienia zawierającego ramowe warunki przeprowadzenia oceny bezpieczeństwa, obejmujące w szczególności:
1)
datę rozpoczęcia i zakończenia oceny bezpieczeństwa oraz jej harmonogram;
2)
zakres przeprowadzanych testów, w tym czynności, o których mowa w § 3;
3)
rodzaj przeprowadzanych testów, o których mowa w przepisach wydanych na podstawie art. 32a ust. 12 ustawy.
§  6.
1.
 Podmiot zarządzający systemem w terminie 14 dni od dnia otrzymania projektu porozumienia zawierającego ramowe warunki przeprowadzenia oceny bezpieczeństwa może wnieść zastrzeżenia do treści tego projektu wraz z uzasadnieniem tych zastrzeżeń.
2.
 Zastrzeżenia do treści projektu porozumienia zawierającego ramowe warunki przeprowadzenia oceny bezpieczeństwa mogą obejmować w szczególności rodzaj i zakres przeprowadzanych testów z uwzględnieniem konieczności minimalizacji zakłócenia pracy systemu lub ograniczenia jego dostępności bądź nieodwracalnego zniszczenia danych przetwarzanych w systemie.
§  7.
1.
 ABW odnosi się do zastrzeżeń do treści projektu porozumienia zawierającego ramowe warunki przeprowadzenia oceny bezpieczeństwa w terminie 14 dni od dnia ich otrzymania.
2.
 W przypadku gdy uwzględnienie zastrzeżeń do treści projektu porozumienia zawierającego ramowe warunki przeprowadzenia oceny bezpieczeństwa może spowodować, że ocena bezpieczeństwa stanie się niekompletna lub zwiększy możliwość wystąpienia zakłócenia pracy systemu lub ograniczenia jego dostępności bądź nieodwracalnego zniszczenia danych przetwarzanych w systemie, ABW odstępuje od przeprowadzenia tej oceny.
3.
 Podmiot zarządzający systemem w terminie 7 dni od dnia otrzymania informacji o odstąpieniu od przeprowadzenia oceny bezpieczeństwa może zwrócić się z pisemnym wnioskiem do ABW o przeprowadzenie tej oceny w przypadkach, o których mowa w ust. 2, akceptując niekompletność oceny bezpieczeństwa lub możliwość wystąpienia negatywnych następstw oceny bezpieczeństwa związanych z zakłóceniem pracy systemu lub ograniczeniem jego dostępności.
§  8.
1.
 ABW odstępuje od przeprowadzenia oceny bezpieczeństwa, w sytuacji gdy:
1)
podmiot zarządzający systemem przekaże informację o tym, że nie posiada aktualnej kopii bezpieczeństwa systemu;
2)
z analizy, o której mowa w § 5 ust. 1, wynika, że:
a)
istnieje zagrożenie nieodwracalnego zniszczenia danych przetwarzanych w systemie, który będzie podlegał ocenie bezpieczeństwa,
b)
czas potrzebny na przywrócenie systemu z kopii bezpieczeństwa może w istotny sposób zakłócić pracę systemu lub ograniczyć jego dostępność,
c)
podczas przeprowadzania oceny bezpieczeństwa może dojść do uszkodzenia urządzeń wchodzących w skład infrastruktury tego systemu oraz innych systemów teleinformatycznych podmiotu zarządzającego systemem,
d)
istnieje zagrożenie ograniczenia dostępności usług świadczonych drogą elektroniczną przez podmiot zarządzający systemem.
2.
 ABW informuje podmiot zarządzający systemem o odstąpieniu od przeprowadzenia oceny bezpieczeństwa oraz o okolicznościach i przyczynach tego odstąpienia.
3.
 Podmiot zarządzający systemem w terminie 7 dni od dnia otrzymania informacji o odstąpieniu od przeprowadzenia oceny bezpieczeństwa może zwrócić się z pisemnym wnioskiem do ABW o przeprowadzenie tej oceny mimo zaistnienia zagrożeń, o których mowa w ust. 1 pkt 2 lit. b-d, akceptując możliwość wystąpienia tych zagrożeń i ich negatywnych następstw.
§  9.
 W przypadku gdy z analizy, o której mowa w § 5 ust. 1, wynika konieczność udostępnienia pomieszczeń lub urządzeń wchodzących w skład infrastruktury systemu funkcjonariuszowi ABW lub pracownikowi ABW przeprowadzającemu ocenę bezpieczeństwa, ABW uzgadnia z podmiotem zarządzającym systemem sposób udostępniania tych pomieszczeń lub urządzeń.
§  10.
1.
 Po przeprowadzeniu uzgodnień, o których mowa w § 4-9, Szef ABW i kierownik podmiotu zarządzającego systemem zawierają porozumienie o przeprowadzeniu oceny bezpieczeństwa.
2.
 Porozumienie o przeprowadzeniu oceny bezpieczeństwa zawiera w szczególności:
1)
harmonogram oceny bezpieczeństwa, w tym datę jej rozpoczęcia i zakończenia;
2)
zakres przeprowadzanych testów, w tym czynności, o których mowa w § 3;
3)
rodzaj przeprowadzanych testów, o których mowa w przepisach wydanych na podstawie art. 32a ust. 12 ustawy;
4)
zgodę podmiotu zarządzającego systemem na przeprowadzenie oceny bezpieczeństwa w sytuacji, o której mowa w § 7 ust. 3 lub § 8 ust. 3;
5)
sposób udostępniania pomieszczeń lub urządzeń wchodzących w skład infrastruktury tego systemu;
6)
dane osoby wyznaczonej;
7)
dane osoby upoważnionej.
3.
 Wzór porozumienia o przeprowadzeniu oceny bezpieczeństwa jest określony w załączniku do rozporządzenia.
§  11.
 Podmiot zarządzający systemem utrzymuje za pośrednictwem osoby wyznaczonej stały kontakt z funkcjonariuszem ABW lub pracownikiem ABW przeprowadzającym ocenę bezpieczeństwa, w celu bieżącej konsultacji związanej z przebiegiem przeprowadzanej oceny bezpieczeństwa, w tym przekazywania informacji o zidentyfikowanych w systemie zakłóceniach wywołanych przeprowadzaną oceną bezpieczeństwa.
§  12.
1.
 Funkcjonariusz ABW lub pracownik ABW przeprowadzający ocenę bezpieczeństwa wstrzymuje prowadzenie czynności, jeżeli:
1)
otrzymał od osoby wyznaczonej informację o zakłóceniach w prawidłowym funkcjonowaniu systemu, które mogą skutkować zagrożeniami, o których mowa w § 8 ust. 1 pkt 1 lub pkt 2 lit. a, c lub d;
2)
pojawiło się jedno z zagrożeń, o których mowa w § 8 ust. 1 pkt 1 lub pkt 2 lit. a, c lub d, albo uzasadnione podejrzenie ich wystąpienia.
2.
 ABW informuje podmiot zarządzający systemem o wstrzymaniu prowadzenia czynności w przypadkach, o których mowa w ust. 1 oraz o okolicznościach i przyczynach tego wstrzymania.
3.
 Podmiot zarządzający systemem w terminie 2 dni roboczych od daty poinformowania o wstrzymaniu prowadzenia czynności w przypadkach, o których mowa w ust. 1, może zwrócić się z pisemnym wnioskiem do ABW o dalsze prowadzenie czynności w ramach oceny bezpieczeństwa mimo zaistnienia zagrożeń, o których mowa w § 8 ust. 1 pkt 2 lit. c lub d, akceptując możliwość wystąpienia tych zagrożeń lub ich negatywnych następstw.
4.
 W przypadku nieotrzymania wniosku, o którym mowa w ust. 3, ABW odstępuje od dalszego przeprowadzania oceny bezpieczeństwa.
§  13.
1.
 Po przeprowadzeniu oceny bezpieczeństwa ABW opracowuje raport z przeprowadzonej oceny bezpieczeństwa w terminie 60 dni od dnia jej zakończenia.
2.
 Raport z przeprowadzonej oceny bezpieczeństwa zawiera w szczególności:
1)
datę rozpoczęcia i zakończenia oceny bezpieczeństwa oraz jej harmonogram;
2)
zakres przeprowadzonych testów, w tym czynności, o których mowa w § 3;
3)
rodzaj przeprowadzonych testów, o których mowa w przepisach wydanych na podstawie art. 32a ust. 12 ustawy;
4)
informację o zgodzie podmiotu zarządzającego systemem na przeprowadzenie oceny bezpieczeństwa w sytuacji, o której mowa w § 7 ust. 3 lub § 8 ust. 3, lub o braku tej zgody;
5)
informację o zaistnieniu okoliczności, o których mowa w § 12 ust. 1 oraz informację o otrzymaniu wniosku, o którym mowa w § 12 ust. 3, lub informację o odstąpieniu od przeprowadzania oceny bezpieczeństwa, o którym mowa w § 12 ust. 4;
6)
informację o aktualności wyników przeprowadzonej oceny bezpieczeństwa w odniesieniu do czasu jej przeprowadzenia i zakończenia;
7)
wyniki przeprowadzonej oceny bezpieczeństwa zawierające wykaz zidentyfikowanych podatności oraz poziom ich zagrożenia dla ocenianego systemu;
8)
zalecenia i rekomendacje.
§  14.
 Rozporządzenie wchodzi w życie po upływie 14 dni od dnia ogłoszenia. 1

ZAŁĄCZNIK

WZÓR

POROZUMIENIE zawarte w dniu..................................... w Warszawie o przeprowadzeniu oceny bezpieczeństwa

grafika

1 Niniejsze rozporządzenie było poprzedzone rozporządzeniem Rady Ministrów z dnia 19 lipca 2016 r. w sprawie przeprowadzania oceny bezpieczeństwa związanej z zapobieganiem zdarzeniom o charakterze terrorystycznym (Dz. U. poz. 1076), które traci moc z dniem wejścia w życie niniejszego rozporządzenia zgodnie z art. 11 ust. 2 ustawy z dnia 17 sierpnia 2023 r. o zmianie ustawy - Kodeks karny oraz niektórych innych ustaw (Dz. U. poz. 1834).

Zmiany w prawie

Są rozporządzenia wykonawcze do KSeF
Są rozporządzenia wykonawcze do KSeF

Minister finansów i gospodarki podpisał cztery rozporządzenia wykonawcze dotyczące funkcjonowania KSeF – potwierdził we wtorek resort finansów. Rozporządzenia określają m.in.: zasady korzystania z KSeF, w tym wzór zawiadomienia ZAW-FA, przypadki, w których nie ma obowiązku wystawiania faktur ustrukturyzowanych, a także zasady wystawiania faktur uproszczonych.

Krzysztof Koślicki 16.12.2025
Od stycznia nowe zasady prowadzenia PKPiR
Od stycznia nowe zasady prowadzenia PKPiR

Od 1 stycznia 2026 r. zasadą będzie prowadzenie podatkowej księgi przychodów i rozchodów przy użyciu programu komputerowego. Nie będzie już można dokumentować zakupów, np. środków czystości lub materiałów biurowych, za pomocą paragonów bez NIP nabywcy. Takie zmiany przewiduje nowe rozporządzenie w sprawie PKPiR.

Marcin Szymankiewicz 15.12.2025
Senat poprawia reformę orzecznictwa lekarskiego w ZUS
Senat poprawia reformę orzecznictwa lekarskiego w ZUS

Senat zgłosił w środę poprawki do reformy orzecznictwa lekarskiego w ZUS. Zaproponował, aby w sprawach szczególnie skomplikowanych możliwe było orzekanie w drugiej instancji przez grupę trzech lekarzy orzeczników. W pozostałych sprawach, zgodnie z ustawą, orzekać będzie jeden. Teraz ustawa wróci do Sejmu.

Grażyna J. Leśniak 10.12.2025
Co się zmieni w podatkach w 2026 roku? Wciąż wiele niewiadomych
Co się zmieni w podatkach w 2026 roku? Wciąż wiele niewiadomych

Mimo iż do 1 stycznia zostały trzy tygodnie, przedsiębiorcy wciąż nie mają pewności, które zmiany wejdą w życie w nowym roku. Brakuje m.in. rozporządzeń wykonawczych do KSeF i rozporządzenia w sprawie JPK VAT. Część ustaw nadal jest na etapie prac parlamentu lub czeka na podpis prezydenta. Wiadomo już jednak, że nie będzie dużej nowelizacji ustaw o PIT i CIT. W 2026 r. nadal będzie można korzystać na starych zasadach z ulgi mieszkaniowej i IP Box oraz sprzedać bez podatku poleasingowy samochód.

Monika Pogroszewska 10.12.2025
Maciej Berek: Do projektu MRPiPS o PIP wprowadziliśmy bardzo istotne zmiany
Maciej Berek: Do projektu MRPiPS o PIP wprowadziliśmy bardzo istotne zmiany

Komitet Stały Rady Ministrów wprowadził bardzo istotne zmiany do projektu ustawy przygotowanego przez Ministerstwo Rodziny, Pracy i Polityki Społecznej – poinformował minister Maciej Berek w czwartek wieczorem, w programie „Pytanie dnia” na antenie TVP Info. Jak poinformował, projekt nowelizacji ustawy o PIP powinien trafić do Sejmu w grudniu 2025 roku, aby prace nad nim w Parlamencie trwały w I kwartale 2026 r.

Grażyna J. Leśniak 05.12.2025
Lekarze i pielęgniarki na kontraktach „uratują” firmy przed przekształcaniem umów?
Lekarze i pielęgniarki na kontraktach „uratują” firmy przed przekształcaniem umów?

4 grudnia Komitet Stały Rady Ministrów przyjął projekt zmian w ustawie o PIP - przekazało w czwartek MRPiPS. Nie wiadomo jednak, jaki jest jego ostateczny kształt. Jeszcze w środę Ministerstwo Zdrowia informowało Komitet, że zgadza się na propozycję, by skutki rozstrzygnięć PIP i ich zakres działał na przyszłość, a skutkiem polecenia inspektora pracy nie było ustalenie istnienia stosunku pracy między stronami umowy B2B, ale ustalenie zgodności jej z prawem. Zdaniem prawników, to byłaby kontrrewolucja w stosunku do projektu resortu pracy.

Grażyna J. Leśniak 05.12.2025
Metryka aktu
Identyfikator:

Dz.U.2025.810
Rodzaj: Rozporządzenie
Tytuł: Przeprowadzanie oceny bezpieczeństwa związanej z zapobieganiem zdarzeniom o charakterze terrorystycznym lub uprawdopodabniającym popełnienie przestępstwa szpiegostwa
Data aktu: 06/06/2025
Data ogłoszenia: 23/06/2025
Data wejścia w życie: 08/07/2025