history Historia zmian
zamknij

Wersja obowiązująca od 2024-05-29    (Dz.U.2024.812 tekst jednolity)

Art. 32a. [Ocena bezpieczeństwa systemów teleinformatycznych] 1. W celu zapobiegania, przeciwdziałania i zwalczania zdarzeń o charakterze terrorystycznym lub uprawdopodabniających popełnienie przestępstwa szpiegostwa, dotyczących istotnych z punktu widzenia ciągłości funkcjonowania państwa systemów teleinformatycznych organów administracji publicznej lub sieci teleinformatycznych objętych jednolitym wykazem obiektów, instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej, a także systemów teleinformatycznych właścicieli, posiadaczy samoistnych i zależnych obiektów, instalacji lub urządzeń infrastruktury krytycznej, o których mowa w art. 5b ust. 7 pkt 1 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym, lub danych przetwarzanych w tych systemach oraz rozpoznawania, zapobiegania i wykrywania przestępstw o charakterze terrorystycznym lub przestępstwa szpiegostwa w tym obszarze oraz ścigania ich sprawców, ABW może przeprowadzać ocenę bezpieczeństwa tych systemów teleinformatycznych, zwaną dalej „oceną bezpieczeństwa”.

2. Oceny bezpieczeństwa są przeprowadzane zgodnie z rocznym planem przeprowadzania ocen bezpieczeństwa, opracowywanym w terminie do 30 września roku poprzedzającego przez Szefa ABW w uzgodnieniu z ministrem właściwym do spraw informatyzacji. W uzasadnionych przypadkach ocena bezpieczeństwa może zostać przeprowadzona z pominięciem planu.

3. ABW informuje podmiot zarządzający systemem teleinformatycznym, o którym mowa w ust. 1, o włączeniu tego systemu do rocznego planu przeprowadzania ocen bezpieczeństwa.

4. Ocena bezpieczeństwa polega na przeprowadzeniu testów bezpieczeństwa systemu teleinformatycznego w celu identyfikacji podatności, przez które rozumie się słabość zasobu lub zabezpieczenia systemu teleinformatycznego, która może zostać wykorzystana przez zagrożenie, wpływających na integralność, poufność, rozliczalność i dostępność tego systemu.

5. Ocena bezpieczeństwa powinna być prowadzona z uwzględnieniem zasady minimalizacji zakłócenia pracy systemu teleinformatycznego lub ograniczenia jego dostępności i nie może prowadzić do nieodwracalnego zniszczenia danych przetwarzanych w systemie teleinformatycznym podlegającym tej ocenie.

6. W celu minimalizacji negatywnych następstw oceny bezpieczeństwa ABW uzgadnia z podmiotem, o którym mowa w ust. 1, ramowe warunki przeprowadzania tej oceny, w szczególności datę rozpoczęcia, harmonogram oraz zakres i rodzaj przeprowadzanych w ramach oceny bezpieczeństwa testów bezpieczeństwa.

7. ABW może wytwarzać lub pozyskiwać urządzenia lub programy komputerowe, o których mowa w art. 269b Kodeksu karnego, oraz ich używać w celu określenia podatności ocenianego systemu na możliwość popełnienia przestępstw, o których mowa w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a Kodeksu karnego.

8. Używając urządzeń lub programów komputerowych, o których mowa w ust. 7, ABW może uzyskać dostęp do informacji dla niej nieprzeznaczonej, przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, lub może uzyskać dostęp do całości lub części systemu teleinformatycznego.

9. Informacje uzyskane przez ABW w wyniku przeprowadzania oceny bezpieczeństwa stanowią tajemnicę prawnie chronioną i nie mogą być wykorzystane do realizacji innych zadań ustawowych ABW oraz podlegają one niezwłocznemu, komisyjnemu i protokolarnemu zniszczeniu.

10. Po przeprowadzeniu oceny bezpieczeństwa ABW sporządza i przekazuje podmiotowi, którego system podlegał ocenie bezpieczeństwa, raport zawierający podsumowanie przeprowadzonych w ramach oceny bezpieczeństwa czynności oraz wskazanie wykrytych podatności systemu teleinformatycznego.

11. Jeżeli wykryta podatność może wystąpić w innych systemach teleinformatycznych, ABW informuje niezwłocznie ministra właściwego do spraw informatyzacji o wykrytej podatności oraz o możliwości jej wystąpienia w innych systemach teleinformatycznych.

12. Szef ABW określi, w drodze zarządzenia, rodzaje dokonywanych w ramach oceny bezpieczeństwa testów bezpieczeństwa, uwzględniając potrzebę kompletności dokonywanej oceny bezpieczeństwa.

13. Prezes Rady Ministrów określi, w drodze rozporządzenia, sposób niszczenia przez Szefa ABW materiałów zawierających informacje, o których mowa w ust. 9, a także wzory niezbędnych druków, mając na uwadze rodzaj materiałów podlegających zniszczeniu.

14. Rada Ministrów określi, w drodze rozporządzenia, tryb i warunki przeprowadzania oceny bezpieczeństwa, mając na uwadze określenie czynności niezbędnych do jej przeprowadzenia, w tym dokonywanie uzgodnień, o których mowa w ust. 6.

Wersja obowiązująca od 2024-05-29    (Dz.U.2024.812 tekst jednolity)

Art. 32a. [Ocena bezpieczeństwa systemów teleinformatycznych] 1. W celu zapobiegania, przeciwdziałania i zwalczania zdarzeń o charakterze terrorystycznym lub uprawdopodabniających popełnienie przestępstwa szpiegostwa, dotyczących istotnych z punktu widzenia ciągłości funkcjonowania państwa systemów teleinformatycznych organów administracji publicznej lub sieci teleinformatycznych objętych jednolitym wykazem obiektów, instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej, a także systemów teleinformatycznych właścicieli, posiadaczy samoistnych i zależnych obiektów, instalacji lub urządzeń infrastruktury krytycznej, o których mowa w art. 5b ust. 7 pkt 1 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym, lub danych przetwarzanych w tych systemach oraz rozpoznawania, zapobiegania i wykrywania przestępstw o charakterze terrorystycznym lub przestępstwa szpiegostwa w tym obszarze oraz ścigania ich sprawców, ABW może przeprowadzać ocenę bezpieczeństwa tych systemów teleinformatycznych, zwaną dalej „oceną bezpieczeństwa”.

2. Oceny bezpieczeństwa są przeprowadzane zgodnie z rocznym planem przeprowadzania ocen bezpieczeństwa, opracowywanym w terminie do 30 września roku poprzedzającego przez Szefa ABW w uzgodnieniu z ministrem właściwym do spraw informatyzacji. W uzasadnionych przypadkach ocena bezpieczeństwa może zostać przeprowadzona z pominięciem planu.

3. ABW informuje podmiot zarządzający systemem teleinformatycznym, o którym mowa w ust. 1, o włączeniu tego systemu do rocznego planu przeprowadzania ocen bezpieczeństwa.

4. Ocena bezpieczeństwa polega na przeprowadzeniu testów bezpieczeństwa systemu teleinformatycznego w celu identyfikacji podatności, przez które rozumie się słabość zasobu lub zabezpieczenia systemu teleinformatycznego, która może zostać wykorzystana przez zagrożenie, wpływających na integralność, poufność, rozliczalność i dostępność tego systemu.

5. Ocena bezpieczeństwa powinna być prowadzona z uwzględnieniem zasady minimalizacji zakłócenia pracy systemu teleinformatycznego lub ograniczenia jego dostępności i nie może prowadzić do nieodwracalnego zniszczenia danych przetwarzanych w systemie teleinformatycznym podlegającym tej ocenie.

6. W celu minimalizacji negatywnych następstw oceny bezpieczeństwa ABW uzgadnia z podmiotem, o którym mowa w ust. 1, ramowe warunki przeprowadzania tej oceny, w szczególności datę rozpoczęcia, harmonogram oraz zakres i rodzaj przeprowadzanych w ramach oceny bezpieczeństwa testów bezpieczeństwa.

7. ABW może wytwarzać lub pozyskiwać urządzenia lub programy komputerowe, o których mowa w art. 269b Kodeksu karnego, oraz ich używać w celu określenia podatności ocenianego systemu na możliwość popełnienia przestępstw, o których mowa w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a Kodeksu karnego.

8. Używając urządzeń lub programów komputerowych, o których mowa w ust. 7, ABW może uzyskać dostęp do informacji dla niej nieprzeznaczonej, przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, lub może uzyskać dostęp do całości lub części systemu teleinformatycznego.

9. Informacje uzyskane przez ABW w wyniku przeprowadzania oceny bezpieczeństwa stanowią tajemnicę prawnie chronioną i nie mogą być wykorzystane do realizacji innych zadań ustawowych ABW oraz podlegają one niezwłocznemu, komisyjnemu i protokolarnemu zniszczeniu.

10. Po przeprowadzeniu oceny bezpieczeństwa ABW sporządza i przekazuje podmiotowi, którego system podlegał ocenie bezpieczeństwa, raport zawierający podsumowanie przeprowadzonych w ramach oceny bezpieczeństwa czynności oraz wskazanie wykrytych podatności systemu teleinformatycznego.

11. Jeżeli wykryta podatność może wystąpić w innych systemach teleinformatycznych, ABW informuje niezwłocznie ministra właściwego do spraw informatyzacji o wykrytej podatności oraz o możliwości jej wystąpienia w innych systemach teleinformatycznych.

12. Szef ABW określi, w drodze zarządzenia, rodzaje dokonywanych w ramach oceny bezpieczeństwa testów bezpieczeństwa, uwzględniając potrzebę kompletności dokonywanej oceny bezpieczeństwa.

13. Prezes Rady Ministrów określi, w drodze rozporządzenia, sposób niszczenia przez Szefa ABW materiałów zawierających informacje, o których mowa w ust. 9, a także wzory niezbędnych druków, mając na uwadze rodzaj materiałów podlegających zniszczeniu.

14. Rada Ministrów określi, w drodze rozporządzenia, tryb i warunki przeprowadzania oceny bezpieczeństwa, mając na uwadze określenie czynności niezbędnych do jej przeprowadzenia, w tym dokonywanie uzgodnień, o których mowa w ust. 6.

Wersja archiwalna obowiązująca od 2023-09-23 do 2024-05-28

Art. 32a. [Ocena bezpieczeństwa systemów teleinformatycznych] 1. [4] W celu zapobiegania, przeciwdziałania i zwalczania zdarzeń o charakterze terrorystycznym lub uprawdopodabniających popełnienie przestępstwa szpiegostwa, dotyczących istotnych z punktu widzenia ciągłości funkcjonowania państwa systemów teleinformatycznych organów administracji publicznej lub sieci teleinformatycznych objętych jednolitym wykazem obiektów, instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej, a także systemów teleinformatycznych właścicieli, posiadaczy samoistnych i zależnych obiektów, instalacji lub urządzeń infrastruktury krytycznej, o których mowa w art. 5b ust. 7 pkt 1 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym, lub danych przetwarzanych w tych systemach oraz rozpoznawania, zapobiegania i wykrywania przestępstw o charakterze terrorystycznym lub przestępstwa szpiegostwa w tym obszarze oraz ścigania ich sprawców, ABW może przeprowadzać ocenę bezpieczeństwa tych systemów teleinformatycznych, zwaną dalej „oceną bezpieczeństwa”.

2. Oceny bezpieczeństwa są przeprowadzane zgodnie z rocznym planem przeprowadzania ocen bezpieczeństwa, opracowywanym w terminie do 30 września roku poprzedzającego przez Szefa ABW w uzgodnieniu z ministrem właściwym do spraw informatyzacji. W uzasadnionych przypadkach ocena bezpieczeństwa może zostać przeprowadzona z pominięciem planu.

3. ABW informuje podmiot zarządzający systemem teleinformatycznym, o którym mowa w ust. 1, o włączeniu tego systemu do rocznego planu przeprowadzania ocen bezpieczeństwa.

4. Ocena bezpieczeństwa polega na przeprowadzeniu testów bezpieczeństwa systemu teleinformatycznego w celu identyfikacji podatności, przez które rozumie się słabość zasobu lub zabezpieczenia systemu teleinformatycznego, która może zostać wykorzystana przez zagrożenie, wpływających na integralność, poufność, rozliczalność i dostępność tego systemu.

5. Ocena bezpieczeństwa powinna być prowadzona z uwzględnieniem zasady minimalizacji zakłócenia pracy systemu teleinformatycznego lub ograniczenia jego dostępności i nie może prowadzić do nieodwracalnego zniszczenia danych przetwarzanych w systemie teleinformatycznym podlegającym tej ocenie.

6. W celu minimalizacji negatywnych następstw oceny bezpieczeństwa ABW uzgadnia z podmiotem, o którym mowa w ust. 1, ramowe warunki przeprowadzania tej oceny, w szczególności datę rozpoczęcia, harmonogram oraz zakres i rodzaj przeprowadzanych w ramach oceny bezpieczeństwa testów bezpieczeństwa.

7. ABW może wytwarzać lub pozyskiwać urządzenia lub programy komputerowe, o których mowa w art. 269b Kodeksu karnego, oraz ich używać w celu określenia podatności ocenianego systemu na możliwość popełnienia przestępstw, o których mowa w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a Kodeksu karnego.

8. Używając urządzeń lub programów komputerowych, o których mowa w ust. 7, ABW może uzyskać dostęp do informacji dla niej nieprzeznaczonej, przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, lub może uzyskać dostęp do całości lub części systemu teleinformatycznego.

9. Informacje uzyskane przez ABW w wyniku przeprowadzania oceny bezpieczeństwa stanowią tajemnicę prawnie chronioną i nie mogą być wykorzystane do realizacji innych zadań ustawowych ABW oraz podlegają one niezwłocznemu, komisyjnemu i protokolarnemu zniszczeniu.

10. Po przeprowadzeniu oceny bezpieczeństwa ABW sporządza i przekazuje podmiotowi, którego system podlegał ocenie bezpieczeństwa, raport zawierający podsumowanie przeprowadzonych w ramach oceny bezpieczeństwa czynności oraz wskazanie wykrytych podatności systemu teleinformatycznego.

11. Jeżeli wykryta podatność może wystąpić w innych systemach teleinformatycznych, ABW informuje niezwłocznie ministra właściwego do spraw informatyzacji o wykrytej podatności oraz o możliwości jej wystąpienia w innych systemach teleinformatycznych.

12. Szef ABW określi, w drodze zarządzenia, rodzaje dokonywanych w ramach oceny bezpieczeństwa testów bezpieczeństwa, uwzględniając potrzebę kompletności dokonywanej oceny bezpieczeństwa.

13. Prezes Rady Ministrów określi, w drodze rozporządzenia, sposób niszczenia przez Szefa ABW materiałów zawierających informacje, o których mowa w ust. 9, a także wzory niezbędnych druków, mając na uwadze rodzaj materiałów podlegających zniszczeniu.

14. Rada Ministrów określi, w drodze rozporządzenia, tryb i warunki przeprowadzania oceny bezpieczeństwa, mając na uwadze określenie czynności niezbędnych do jej przeprowadzenia, w tym dokonywanie uzgodnień, o których mowa w ust. 6.

[4] Art. 32a ust. 1 w brzmieniu ustalonym przez art. 5 pkt 6 ustawy z dnia 17 sierpnia 2023 r. o zmianie ustawy – Kodeks karny oraz niektórych innych ustaw (Dz.U. poz. 1834). Zmiana weszła w życie 23 września 2023 r.

Wersja archiwalna obowiązująca od 2023-06-19 do 2023-09-22    (Dz.U.2023.1136 tekst jednolity)

Art. 32a. [Ocena bezpieczeństwa systemów teleinformatycznych] 1. W celu zapobiegania i przeciwdziałania oraz zwalczania zdarzeń o charakterze terrorystycznym dotyczących istotnych z punktu widzenia ciągłości funkcjonowania państwa systemów teleinformatycznych organów administracji publicznej lub sieci teleinformatycznych objętych jednolitym wykazem obiektów, instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej, a także systemów teleinformatycznych właścicieli, posiadaczy samoistnych i zależnych obiektów, instalacji lub urządzeń infrastruktury krytycznej, o których mowa w art. 5b ust. 7 pkt 1 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym, lub danych przetwarzanych w tych systemach oraz zapobiegania i wykrywania przestępstw o charakterze terrorystycznym w tym obszarze oraz ścigania ich sprawców ABW może przeprowadzać ocenę bezpieczeństwa tych systemów teleinformatycznych, zwaną dalej „oceną bezpieczeństwa”.

2. Oceny bezpieczeństwa są przeprowadzane zgodnie z rocznym planem przeprowadzania ocen bezpieczeństwa, opracowywanym w terminie do 30 września roku poprzedzającego przez Szefa ABW w uzgodnieniu z ministrem właściwym do spraw informatyzacji. W uzasadnionych przypadkach ocena bezpieczeństwa może zostać przeprowadzona z pominięciem planu.

3. ABW informuje podmiot zarządzający systemem teleinformatycznym, o którym mowa w ust. 1, o włączeniu tego systemu do rocznego planu przeprowadzania ocen bezpieczeństwa.

4. Ocena bezpieczeństwa polega na przeprowadzeniu testów bezpieczeństwa systemu teleinformatycznego w celu identyfikacji podatności, przez które rozumie się słabość zasobu lub zabezpieczenia systemu teleinformatycznego, która może zostać wykorzystana przez zagrożenie, wpływających na integralność, poufność, rozliczalność i dostępność tego systemu.

5. Ocena bezpieczeństwa powinna być prowadzona z uwzględnieniem zasady minimalizacji zakłócenia pracy systemu teleinformatycznego lub ograniczenia jego dostępności i nie może prowadzić do nieodwracalnego zniszczenia danych przetwarzanych w systemie teleinformatycznym podlegającym tej ocenie.

6. W celu minimalizacji negatywnych następstw oceny bezpieczeństwa ABW uzgadnia z podmiotem, o którym mowa w ust. 1, ramowe warunki przeprowadzania tej oceny, w szczególności datę rozpoczęcia, harmonogram oraz zakres i rodzaj przeprowadzanych w ramach oceny bezpieczeństwa testów bezpieczeństwa.

7. ABW może wytwarzać lub pozyskiwać urządzenia lub programy komputerowe, o których mowa w art. 269b Kodeksu karnego, oraz ich używać w celu określenia podatności ocenianego systemu na możliwość popełnienia przestępstw, o których mowa w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a Kodeksu karnego.

8. Używając urządzeń lub programów komputerowych, o których mowa w ust. 7, ABW może uzyskać dostęp do informacji dla niej nieprzeznaczonej, przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, lub może uzyskać dostęp do całości lub części systemu teleinformatycznego.

9. Informacje uzyskane przez ABW w wyniku przeprowadzania oceny bezpieczeństwa stanowią tajemnicę prawnie chronioną i nie mogą być wykorzystane do realizacji innych zadań ustawowych ABW oraz podlegają one niezwłocznemu, komisyjnemu i protokolarnemu zniszczeniu.

10. Po przeprowadzeniu oceny bezpieczeństwa ABW sporządza i przekazuje podmiotowi, którego system podlegał ocenie bezpieczeństwa, raport zawierający podsumowanie przeprowadzonych w ramach oceny bezpieczeństwa czynności oraz wskazanie wykrytych podatności systemu teleinformatycznego.

11. Jeżeli wykryta podatność może wystąpić w innych systemach teleinformatycznych, ABW informuje niezwłocznie ministra właściwego do spraw informatyzacji o wykrytej podatności oraz o możliwości jej wystąpienia w innych systemach teleinformatycznych.

12. Szef ABW określi, w drodze zarządzenia, rodzaje dokonywanych w ramach oceny bezpieczeństwa testów bezpieczeństwa, uwzględniając potrzebę kompletności dokonywanej oceny bezpieczeństwa.

13. Prezes Rady Ministrów określi, w drodze rozporządzenia, sposób niszczenia przez Szefa ABW materiałów zawierających informacje, o których mowa w ust. 9, a także wzory niezbędnych druków, mając na uwadze rodzaj materiałów podlegających zniszczeniu.

14. Rada Ministrów określi, w drodze rozporządzenia, tryb i warunki przeprowadzania oceny bezpieczeństwa, mając na uwadze określenie czynności niezbędnych do jej przeprowadzenia, w tym dokonywanie uzgodnień, o których mowa w ust. 6.

Wersja archiwalna obowiązująca od 2022-03-09 do 2023-06-18    (Dz.U.2022.557 tekst jednolity)

Art. 32a. [Ocena bezpieczeństwa systemów teleinformatycznych] 1. W celu zapobiegania i przeciwdziałania oraz zwalczania zdarzeń o charakterze terrorystycznym dotyczących istotnych z punktu widzenia ciągłości funkcjonowania państwa systemów teleinformatycznych organów administracji publicznej lub sieci teleinformatycznych objętych jednolitym wykazem obiektów, instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej, a także systemów teleinformatycznych właścicieli, posiadaczy samoistnych i zależnych obiektów, instalacji lub urządzeń infrastruktury krytycznej, o których mowa w art. 5b ust. 7 pkt 1 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym, lub danych przetwarzanych w tych systemach oraz zapobiegania i wykrywania przestępstw o charakterze terrorystycznym w tym obszarze oraz ścigania ich sprawców ABW może przeprowadzać ocenę bezpieczeństwa tych systemów teleinformatycznych, zwaną dalej „oceną bezpieczeństwa”.

2. Oceny bezpieczeństwa są przeprowadzane zgodnie z rocznym planem przeprowadzania ocen bezpieczeństwa, opracowywanym w terminie do 30 września roku poprzedzającego przez Szefa ABW w uzgodnieniu z ministrem właściwym do spraw informatyzacji. W uzasadnionych przypadkach ocena bezpieczeństwa może zostać przeprowadzona z pominięciem planu.

3. ABW informuje podmiot zarządzający systemem teleinformatycznym, o którym mowa w ust. 1, o włączeniu tego systemu do rocznego planu przeprowadzania ocen bezpieczeństwa.

4. Ocena bezpieczeństwa polega na przeprowadzeniu testów bezpieczeństwa systemu teleinformatycznego w celu identyfikacji podatności, przez które rozumie się słabość zasobu lub zabezpieczenia systemu teleinformatycznego, która może zostać wykorzystana przez zagrożenie, wpływających na integralność, poufność, rozliczalność i dostępność tego systemu.

5. Ocena bezpieczeństwa powinna być prowadzona z uwzględnieniem zasady minimalizacji zakłócenia pracy systemu teleinformatycznego lub ograniczenia jego dostępności i nie może prowadzić do nieodwracalnego zniszczenia danych przetwarzanych w systemie teleinformatycznym podlegającym tej ocenie.

6. W celu minimalizacji negatywnych następstw oceny bezpieczeństwa ABW uzgadnia z podmiotem, o którym mowa w ust. 1, ramowe warunki przeprowadzania tej oceny, w szczególności datę rozpoczęcia, harmonogram oraz zakres i rodzaj przeprowadzanych w ramach oceny bezpieczeństwa testów bezpieczeństwa.

7. ABW może wytwarzać lub pozyskiwać urządzenia lub programy komputerowe, o których mowa w art. 269b Kodeksu karnego, oraz ich używać w celu określenia podatności ocenianego systemu na możliwość popełnienia przestępstw, o których mowa w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a Kodeksu karnego.

8. Używając urządzeń lub programów komputerowych, o których mowa w ust. 7, ABW może uzyskać dostęp do informacji dla niej nieprzeznaczonej, przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, lub może uzyskać dostęp do całości lub części systemu teleinformatycznego.

9. Informacje uzyskane przez ABW w wyniku przeprowadzania oceny bezpieczeństwa stanowią tajemnicę prawnie chronioną i nie mogą być wykorzystane do realizacji innych zadań ustawowych ABW oraz podlegają one niezwłocznemu, komisyjnemu i protokolarnemu zniszczeniu.

10. Po przeprowadzeniu oceny bezpieczeństwa ABW sporządza i przekazuje podmiotowi, którego system podlegał ocenie bezpieczeństwa, raport zawierający podsumowanie przeprowadzonych w ramach oceny bezpieczeństwa czynności oraz wskazanie wykrytych podatności systemu teleinformatycznego.

11. Jeżeli wykryta podatność może wystąpić w innych systemach teleinformatycznych, ABW informuje niezwłocznie ministra właściwego do spraw informatyzacji o wykrytej podatności oraz o możliwości jej wystąpienia w innych systemach teleinformatycznych.

12. Szef ABW określi, w drodze zarządzenia, rodzaje dokonywanych w ramach oceny bezpieczeństwa testów bezpieczeństwa, uwzględniając potrzebę kompletności dokonywanej oceny bezpieczeństwa.

13. Prezes Rady Ministrów określi, w drodze rozporządzenia, sposób niszczenia przez Szefa ABW materiałów zawierających informacje, o których mowa w ust. 9, a także wzory niezbędnych druków, mając na uwadze rodzaj materiałów podlegających zniszczeniu.

14. Rada Ministrów określi, w drodze rozporządzenia, tryb i warunki przeprowadzania oceny bezpieczeństwa, mając na uwadze określenie czynności niezbędnych do jej przeprowadzenia, w tym dokonywanie uzgodnień, o których mowa w ust. 6.

Wersja archiwalna obowiązująca od 2020-01-09 do 2022-03-08    (Dz.U.2020.27 tekst jednolity)

[Ocena bezpieczeństwa systemów teleinformatycznych ] 1. W celu zapobiegania i przeciwdziałania oraz zwalczania zdarzeń o charakterze terrorystycznym dotyczących istotnych z punktu widzenia ciągłości funkcjonowania państwa systemów teleinformatycznych organów administracji publicznej lub sieci teleinformatycznych objętych jednolitym wykazem obiektów, instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej, a także systemów teleinformatycznych właścicieli, posiadaczy samoistnych i zależnych obiektów, instalacji lub urządzeń infrastruktury krytycznej, o których mowa w art. 5b ust. 7 pkt 1 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym, lub danych przetwarzanych w tych systemach oraz zapobiegania i wykrywania przestępstw o charakterze terrorystycznym w tym obszarze oraz ścigania ich sprawców ABW może przeprowadzać ocenę bezpieczeństwa tych systemów teleinformatycznych, zwaną dalej „oceną bezpieczeństwa”.

2. Oceny bezpieczeństwa są przeprowadzane zgodnie z rocznym planem przeprowadzania ocen bezpieczeństwa, opracowywanym w terminie do 30 września roku poprzedzającego przez Szefa ABW w uzgodnieniu z ministrem właściwym do spraw informatyzacji. W uzasadnionych przypadkach ocena bezpieczeństwa może zostać przeprowadzona z pominięciem planu.

3. ABW informuje podmiot zarządzający systemem teleinformatycznym, o którym mowa w ust. 1, o włączeniu tego systemu do rocznego planu przeprowadzania ocen bezpieczeństwa.

4. Ocena bezpieczeństwa polega na przeprowadzeniu testów bezpieczeństwa systemu teleinformatycznego w celu identyfikacji podatności, przez które rozumie się słabość zasobu lub zabezpieczenia systemu teleinformatycznego, która może zostać wykorzystana przez zagrożenie, wpływających na integralność, poufność, rozliczalność i dostępność tego systemu.

5. Ocena bezpieczeństwa powinna być prowadzona z uwzględnieniem zasady minimalizacji zakłócenia pracy systemu teleinformatycznego lub ograniczenia jego dostępności i nie może prowadzić do nieodwracalnego zniszczenia danych przetwarzanych w systemie teleinformatycznym podlegającym tej ocenie.

6. W celu minimalizacji negatywnych następstw oceny bezpieczeństwa ABW uzgadnia z podmiotem, o którym mowa w ust. 1, ramowe warunki przeprowadzania tej oceny, w szczególności datę rozpoczęcia, harmonogram oraz zakres i rodzaj przeprowadzanych w ramach oceny bezpieczeństwa testów bezpieczeństwa.

7. ABW może wytwarzać lub pozyskiwać urządzenia lub programy komputerowe, o których mowa w art. 269b Kodeksu karnego, oraz ich używać w celu określenia podatności ocenianego systemu na możliwość popełnienia przestępstw, o których mowa w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a Kodeksu karnego.

8. Używając urządzeń lub programów komputerowych, o których mowa w ust. 7, ABW może uzyskać dostęp do informacji dla niej nieprzeznaczonej, przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, lub może uzyskać dostęp do całości lub części systemu teleinformatycznego.

9. Informacje uzyskane przez ABW w wyniku przeprowadzania oceny bezpieczeństwa stanowią tajemnicę prawnie chronioną i nie mogą być wykorzystane do realizacji innych zadań ustawowych ABW oraz podlegają one niezwłocznemu, komisyjnemu i protokolarnemu zniszczeniu.

10. Po przeprowadzeniu oceny bezpieczeństwa ABW sporządza i przekazuje podmiotowi, którego system podlegał ocenie bezpieczeństwa, raport zawierający podsumowanie przeprowadzonych w ramach oceny bezpieczeństwa czynności oraz wskazanie wykrytych podatności systemu teleinformatycznego.

11. Jeżeli wykryta podatność może wystąpić w innych systemach teleinformatycznych, ABW informuje niezwłocznie ministra właściwego do spraw informatyzacji o wykrytej podatności oraz o możliwości jej wystąpienia w innych systemach teleinformatycznych.

12. Szef ABW określi, w drodze zarządzenia, rodzaje dokonywanych w ramach oceny bezpieczeństwa testów bezpieczeństwa, uwzględniając potrzebę kompletności dokonywanej oceny bezpieczeństwa.

13. Prezes Rady Ministrów określi, w drodze rozporządzenia, sposób niszczenia przez Szefa ABW materiałów zawierających informacje, o których mowa w ust. 9, a także wzory niezbędnych druków, mając na uwadze rodzaj materiałów podlegających zniszczeniu.

14. Rada Ministrów określi, w drodze rozporządzenia, tryb i warunki przeprowadzania oceny bezpieczeństwa, mając na uwadze określenie czynności niezbędnych do jej przeprowadzenia, w tym dokonywanie uzgodnień, o których mowa w ust. 6.

Wersja archiwalna obowiązująca od 2018-12-21 do 2020-01-08    (Dz.U.2018.2387 tekst jednolity)

[Ocena bezpieczeństwa systemów teleinformatycznych ] 1. W celu zapobiegania i przeciwdziałania oraz zwalczania zdarzeń o charakterze terrorystycznym dotyczących istotnych z punktu widzenia ciągłości funkcjonowania państwa systemów teleinformatycznych organów administracji publicznej lub sieci teleinformatycznych objętych jednolitym wykazem obiektów, instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej, a także systemów teleinformatycznych właścicieli, posiadaczy samoistnych i zależnych obiektów, instalacji lub urządzeń infrastruktury krytycznej, o których mowa w art. 5b ust. 7 pkt 1 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym, lub danych przetwarzanych w tych systemach oraz zapobiegania i wykrywania przestępstw o charakterze terrorystycznym w tym obszarze oraz ścigania ich sprawców ABW może przeprowadzać ocenę bezpieczeństwa tych systemów teleinformatycznych, zwaną dalej „oceną bezpieczeństwa”.

2. Oceny bezpieczeństwa są przeprowadzane zgodnie z rocznym planem przeprowadzania ocen bezpieczeństwa, opracowywanym w terminie do 30 września roku poprzedzającego przez Szefa ABW w uzgodnieniu z ministrem właściwym do spraw informatyzacji. W uzasadnionych przypadkach ocena bezpieczeństwa może zostać przeprowadzona z pominięciem planu.

3. ABW informuje podmiot zarządzający systemem teleinformatycznym, o którym mowa w ust. 1, o włączeniu tego systemu do rocznego planu przeprowadzania ocen bezpieczeństwa.

4. Ocena bezpieczeństwa polega na przeprowadzeniu testów bezpieczeństwa systemu teleinformatycznego w celu identyfikacji podatności, przez które rozumie się słabość zasobu lub zabezpieczenia systemu teleinformatycznego, która może zostać wykorzystana przez zagrożenie, wpływających na integralność, poufność, rozliczalność i dostępność tego systemu.

5. Ocena bezpieczeństwa powinna być prowadzona z uwzględnieniem zasady minimalizacji zakłócenia pracy systemu teleinformatycznego lub ograniczenia jego dostępności i nie może prowadzić do nieodwracalnego zniszczenia danych przetwarzanych w systemie teleinformatycznym podlegającym tej ocenie.

6. W celu minimalizacji negatywnych następstw oceny bezpieczeństwa ABW uzgadnia z podmiotem, o którym mowa w ust. 1, ramowe warunki przeprowadzania tej oceny, w szczególności datę rozpoczęcia, harmonogram oraz zakres i rodzaj przeprowadzanych w ramach oceny bezpieczeństwa testów bezpieczeństwa.

7. ABW może wytwarzać lub pozyskiwać urządzenia lub programy komputerowe, o których mowa w art. 269b Kodeksu karnego, oraz ich używać w celu określenia podatności ocenianego systemu na możliwość popełnienia przestępstw, o których mowa w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a Kodeksu karnego.

8. Używając urządzeń lub programów komputerowych, o których mowa w ust. 7, ABW może uzyskać dostęp do informacji dla niej nieprzeznaczonej, przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, lub może uzyskać dostęp do całości lub części systemu teleinformatycznego.

9. Informacje uzyskane przez ABW w wyniku przeprowadzania oceny bezpieczeństwa stanowią tajemnicę prawnie chronioną i nie mogą być wykorzystane do realizacji innych zadań ustawowych ABW oraz podlegają one niezwłocznemu, komisyjnemu i protokolarnemu zniszczeniu.

10. Po przeprowadzeniu oceny bezpieczeństwa ABW sporządza i przekazuje podmiotowi, którego system podlegał ocenie bezpieczeństwa, raport zawierający podsumowanie przeprowadzonych w ramach oceny bezpieczeństwa czynności oraz wskazanie wykrytych podatności systemu teleinformatycznego.

11. Jeżeli wykryta podatność może wystąpić w innych systemach teleinformatycznych, ABW informuje niezwłocznie ministra właściwego do spraw informatyzacji o wykrytej podatności oraz o możliwości jej wystąpienia w innych systemach teleinformatycznych.

12. Szef ABW określi, w drodze zarządzenia, rodzaje dokonywanych w ramach oceny bezpieczeństwa testów bezpieczeństwa, uwzględniając potrzebę kompletności dokonywanej oceny bezpieczeństwa.

13. Prezes Rady Ministrów określi, w drodze rozporządzenia, sposób niszczenia przez Szefa ABW materiałów zawierających informacje, o których mowa w ust. 9, a także wzory niezbędnych druków, mając na uwadze rodzaj materiałów podlegających zniszczeniu.

14. Rada Ministrów określi, w drodze rozporządzenia, tryb i warunki przeprowadzania oceny bezpieczeństwa, mając na uwadze określenie czynności niezbędnych do jej przeprowadzenia, w tym dokonywanie uzgodnień, o których mowa w ust. 6.

Wersja archiwalna obowiązująca od 2017-10-16 do 2018-12-20    (Dz.U.2017.1920 tekst jednolity)

Art. 32a. [Ocena bezpieczeństwa systemów teleinformatycznych ] 1. W celu zapobiegania i przeciwdziałania oraz zwalczania zdarzeń o charakterze terrorystycznym dotyczących istotnych z punktu widzenia ciągłości funkcjonowania państwa systemów teleinformatycznych organów administracji publicznej lub sieci teleinformatycznych objętych jednolitym wykazem obiektów, instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej, a także systemów teleinformatycznych właścicieli, posiadaczy samoistnych i zależnych obiektów, instalacji lub urządzeń infrastruktury krytycznej, o których mowa w art. 5b ust. 7 pkt 1 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym, lub danych przetwarzanych w tych systemach oraz zapobiegania i wykrywania przestępstw o charakterze terrorystycznym w tym obszarze oraz ścigania ich sprawców ABW może przeprowadzać ocenę bezpieczeństwa tych systemów teleinformatycznych, zwaną dalej „oceną bezpieczeństwa”.

2. Oceny bezpieczeństwa są przeprowadzane zgodnie z rocznym planem przeprowadzania ocen bezpieczeństwa, opracowywanym w terminie do 30 września roku poprzedzającego przez Szefa ABW w uzgodnieniu z ministrem właściwym do spraw informatyzacji. W uzasadnionych przypadkach ocena bezpieczeństwa może zostać przeprowadzona z pominięciem planu.

3. ABW informuje podmiot zarządzający systemem teleinformatycznym, o którym mowa w ust. 1, o włączeniu tego systemu do rocznego planu przeprowadzania ocen bezpieczeństwa.

4. Ocena bezpieczeństwa polega na przeprowadzeniu testów bezpieczeństwa systemu teleinformatycznego w celu identyfikacji podatności, przez które rozumie się słabość zasobu lub zabezpieczenia systemu teleinformatycznego, która może zostać wykorzystana przez zagrożenie, wpływających na integralność, poufność, rozliczalność i dostępność tego systemu.

5. Ocena bezpieczeństwa powinna być prowadzona z uwzględnieniem zasady minimalizacji zakłócenia pracy systemu teleinformatycznego lub ograniczenia jego dostępności i nie może prowadzić do nieodwracalnego zniszczenia danych przetwarzanych w systemie teleinformatycznym podlegającym tej ocenie.

6. W celu minimalizacji negatywnych następstw oceny bezpieczeństwa ABW uzgadnia z podmiotem, o którym mowa w ust. 1, ramowe warunki przeprowadzania tej oceny, w szczególności datę rozpoczęcia, harmonogram oraz zakres i rodzaj przeprowadzanych w ramach oceny bezpieczeństwa testów bezpieczeństwa.

7. ABW może wytwarzać lub pozyskiwać urządzenia lub programy komputerowe, o których mowa w art. 269b Kodeksu karnego, oraz ich używać w celu określenia podatności ocenianego systemu na możliwość popełnienia przestępstw, o których mowa w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a Kodeksu karnego.

8. Używając urządzeń lub programów komputerowych, o których mowa w ust. 7, ABW może uzyskać dostęp do informacji dla niej nieprzeznaczonej, przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, lub może uzyskać dostęp do całości lub części systemu teleinformatycznego.

9. Informacje uzyskane przez ABW w wyniku przeprowadzania oceny bezpieczeństwa stanowią tajemnicę prawnie chronioną i nie mogą być wykorzystane do realizacji innych zadań ustawowych ABW oraz podlegają one niezwłocznemu, komisyjnemu i protokolarnemu zniszczeniu.

10. Po przeprowadzeniu oceny bezpieczeństwa ABW sporządza i przekazuje podmiotowi, którego system podlegał ocenie bezpieczeństwa, raport zawierający podsumowanie przeprowadzonych w ramach oceny bezpieczeństwa czynności oraz wskazanie wykrytych podatności systemu teleinformatycznego.

11. Jeżeli wykryta podatność może wystąpić w innych systemach teleinformatycznych, ABW informuje niezwłocznie ministra właściwego do spraw informatyzacji o wykrytej podatności oraz o możliwości jej wystąpienia w innych systemach teleinformatycznych.

12. Szef ABW określi, w drodze zarządzenia, rodzaje dokonywanych w ramach oceny bezpieczeństwa testów bezpieczeństwa, uwzględniając potrzebę kompletności dokonywanej oceny bezpieczeństwa.

13. Prezes Rady Ministrów określi, w drodze rozporządzenia, sposób niszczenia przez Szefa ABW materiałów zawierających informacje, o których mowa w ust. 9, a także wzory niezbędnych druków, mając na uwadze rodzaj materiałów podlegających zniszczeniu.

14. Rada Ministrów określi, w drodze rozporządzenia, tryb i warunki przeprowadzania oceny bezpieczeństwa, mając na uwadze określenie czynności niezbędnych do jej przeprowadzenia, w tym dokonywanie uzgodnień, o których mowa w ust. 6.

Wersja archiwalna obowiązująca od 2016-11-25 do 2017-10-15    (Dz.U.2016.1897 tekst jednolity)

Art. 32a. [Ocena bezpieczeństwa systemów teleinformatycznych ] 1. W celu zapobiegania i przeciwdziałania oraz zwalczania zdarzeń o charakterze terrorystycznym dotyczących istotnych z punktu widzenia ciągłości funkcjonowania państwa systemów teleinformatycznych organów administracji publicznej lub sieci teleinformatycznych objętych jednolitym wykazem obiektów, instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej, a także systemów teleinformatycznych właścicieli, posiadaczy samoistnych i zależnych obiektów, instalacji lub urządzeń infrastruktury krytycznej, o których mowa w art. 5b ust. 7 pkt 1 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym, lub danych przetwarzanych w tych systemach oraz zapobiegania i wykrywania przestępstw o charakterze terrorystycznym w tym obszarze oraz ścigania ich sprawców ABW może przeprowadzać ocenę bezpieczeństwa tych systemów teleinformatycznych, zwaną dalej „oceną bezpieczeństwa”.

2. Oceny bezpieczeństwa są przeprowadzane zgodnie z rocznym planem przeprowadzania ocen bezpieczeństwa, opracowywanym w terminie do 30 września roku poprzedzającego przez Szefa ABW w uzgodnieniu z ministrem właściwym do spraw informatyzacji. W uzasadnionych przypadkach ocena bezpieczeństwa może zostać przeprowadzona z pominięciem planu.

3. ABW informuje podmiot zarządzający systemem teleinformatycznym, o którym mowa w ust. 1, o włączeniu tego systemu do rocznego planu przeprowadzania ocen bezpieczeństwa.

4. Ocena bezpieczeństwa polega na przeprowadzeniu testów bezpieczeństwa systemu teleinformatycznego w celu identyfikacji podatności, przez które rozumie się słabość zasobu lub zabezpieczenia systemu teleinformatycznego, która może zostać wykorzystana przez zagrożenie, wpływających na integralność, poufność, rozliczalność i dostępność tego systemu.

5. Ocena bezpieczeństwa powinna być prowadzona z uwzględnieniem zasady minimalizacji zakłócenia pracy systemu teleinformatycznego lub ograniczenia jego dostępności i nie może prowadzić do nieodwracalnego zniszczenia danych przetwarzanych w systemie teleinformatycznym podlegającym tej ocenie.

6. W celu minimalizacji negatywnych następstw oceny bezpieczeństwa ABW uzgadnia z podmiotem, o którym mowa w ust. 1, ramowe warunki przeprowadzania tej oceny, w szczególności datę rozpoczęcia, harmonogram oraz zakres i rodzaj przeprowadzanych w ramach oceny bezpieczeństwa testów bezpieczeństwa.

7. ABW może wytwarzać lub pozyskiwać urządzenia lub programy komputerowe, o których mowa w art. 269b Kodeksu karnego, oraz ich używać w celu określenia podatności ocenianego systemu na możliwość popełnienia przestępstw, o których mowa w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a Kodeksu karnego.

8. Używając urządzeń lub programów komputerowych, o których mowa w ust. 7, ABW może uzyskać dostęp do informacji dla niej nieprzeznaczonej, przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, lub może uzyskać dostęp do całości lub części systemu teleinformatycznego.

9. Informacje uzyskane przez ABW w wyniku przeprowadzania oceny bezpieczeństwa stanowią tajemnicę prawnie chronioną i nie mogą być wykorzystane do realizacji innych zadań ustawowych ABW oraz podlegają one niezwłocznemu, komisyjnemu i protokolarnemu zniszczeniu.

10. Po przeprowadzeniu oceny bezpieczeństwa ABW sporządza i przekazuje podmiotowi, którego system podlegał ocenie bezpieczeństwa, raport zawierający podsumowanie przeprowadzonych w ramach oceny bezpieczeństwa czynności oraz wskazanie wykrytych podatności systemu teleinformatycznego.

11. Jeżeli wykryta podatność może wystąpić w innych systemach teleinformatycznych, ABW informuje niezwłocznie ministra właściwego do spraw informatyzacji o wykrytej podatności oraz o możliwości jej wystąpienia w innych systemach teleinformatycznych.

12. Szef ABW określi, w drodze zarządzenia, rodzaje dokonywanych w ramach oceny bezpieczeństwa testów bezpieczeństwa, uwzględniając potrzebę kompletności dokonywanej oceny bezpieczeństwa.

13. Prezes Rady Ministrów określi, w drodze rozporządzenia, sposób niszczenia przez Szefa ABW materiałów zawierających informacje, o których mowa w ust. 9, a także wzory niezbędnych druków, mając na uwadze rodzaj materiałów podlegających zniszczeniu.

14. Rada Ministrów określi, w drodze rozporządzenia, tryb i warunki przeprowadzania oceny bezpieczeństwa, mając na uwadze określenie czynności niezbędnych do jej przeprowadzenia, w tym dokonywanie uzgodnień, o których mowa w ust. 6.

Wersja archiwalna obowiązująca od 2016-07-02 do 2016-11-24

[Ocena bezpieczeństwa systemów teleinformatycznych] [6] 1. W celu zapobiegania i przeciwdziałania oraz zwalczania zdarzeń o charakterze terrorystycznym dotyczących istotnych z punktu widzenia ciągłości funkcjonowania państwa systemów teleinformatycznych organów administracji publicznej lub sieci teleinformatycznych objętych jednolitym wykazem obiektów, instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej, a także systemów teleinformatycznych właścicieli, posiadaczy samoistnych i zależnych obiektów, instalacji lub urządzeń infrastruktury krytycznej, o których mowa w art. 5b ust. 7 pkt 1 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym, lub danych przetwarzanych w tych systemach oraz zapobiegania i wykrywania przestępstw o charakterze terrorystycznym w tym obszarze oraz ścigania ich sprawców ABW może przeprowadzać ocenę bezpieczeństwa tych systemów teleinformatycznych, zwaną dalej „oceną bezpieczeństwa”.

2. Oceny bezpieczeństwa są przeprowadzane zgodnie z rocznym planem przeprowadzania ocen bezpieczeństwa, opracowywanym w terminie do 30 września roku poprzedzającego przez Szefa ABW w uzgodnieniu z ministrem właściwym do spraw informatyzacji. W uzasadnionych przypadkach ocena bezpieczeństwa może zostać przeprowadzona z pominięciem planu.

3. ABW informuje podmiot zarządzający systemem teleinformatycznym, o którym mowa w ust. 1, o włączeniu tego systemu do rocznego planu przeprowadzania ocen bezpieczeństwa.

4. Ocena bezpieczeństwa polega na przeprowadzeniu testów bezpieczeństwa systemu teleinformatycznego w celu identyfikacji podatności, przez które rozumie się słabość zasobu lub zabezpieczenia systemu teleinformatycznego, która może zostać wykorzystana przez zagrożenie, wpływających na integralność, poufność, rozliczalność i dostępność tego systemu.

5. Ocena bezpieczeństwa powinna być prowadzona z uwzględnieniem zasady minimalizacji zakłócenia pracy systemu teleinformatycznego lub ograniczenia jego dostępności i nie może prowadzić do nieodwracalnego zniszczenia danych przetwarzanych w systemie teleinformatycznym podlegającym tej ocenie.

6. W celu minimalizacji negatywnych następstw oceny bezpieczeństwa ABW uzgadnia z podmiotem, o którym mowa w ust. 1, ramowe warunki przeprowadzania tej oceny, w szczególności datę rozpoczęcia, harmonogram oraz zakres i rodzaj przeprowadzanych w ramach oceny bezpieczeństwa testów bezpieczeństwa.

7. ABW może wytwarzać lub pozyskiwać urządzenia lub programy komputerowe, o których mowa w art. 269b Kodeksu karnego, oraz ich używać w celu określenia podatności ocenianego systemu na możliwość popełnienia przestępstw, o których mowa w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a Kodeksu karnego.

8. Używając urządzeń lub programów komputerowych, o których mowa w ust. 7, ABW może uzyskać dostęp do informacji dla niej nieprzeznaczonej, przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, lub może uzyskać dostęp do całości lub części systemu teleinformatycznego.

9. Informacje uzyskane przez ABW w wyniku przeprowadzania oceny bezpieczeństwa stanowią tajemnicę prawnie chronioną i nie mogą być wykorzystane do realizacji innych zadań ustawowych ABW oraz podlegają one niezwłocznemu, komisyjnemu i protokolarnemu zniszczeniu.

10. Po przeprowadzeniu oceny bezpieczeństwa ABW sporządza i przekazuje podmiotowi, którego system podlegał ocenie bezpieczeństwa, raport zawierający podsumowanie przeprowadzonych w ramach oceny bezpieczeństwa czynności oraz wskazanie wykrytych podatności systemu teleinformatycznego.

11. Jeżeli wykryta podatność może wystąpić w innych systemach teleinformatycznych, ABW informuje niezwłocznie ministra właściwego do spraw informatyzacji o wykrytej podatności oraz o możliwości jej wystąpienia w innych systemach teleinformatycznych.

12. Szef ABW określi, w drodze zarządzenia, rodzaje dokonywanych w ramach oceny bezpieczeństwa testów bezpieczeństwa, uwzględniając potrzebę kompletności dokonywanej oceny bezpieczeństwa.

13. Prezes Rady Ministrów określi, w drodze rozporządzenia, sposób niszczenia przez Szefa ABW materiałów zawierających informacje, o których mowa w ust. 9, a także wzory niezbędnych druków, mając na uwadze rodzaj materiałów podlegających zniszczeniu.

14. Rada Ministrów określi, w drodze rozporządzenia, tryb i warunki przeprowadzania oceny bezpieczeństwa, mając na uwadze określenie czynności niezbędnych do jej przeprowadzenia, w tym dokonywanie uzgodnień, o których mowa w ust. 6.

[6] Art. 32a dodany przez art. 38 pkt 6 ustawy z dnia 10 czerwca 2016 r. o działaniach antyterrorystycznych (Dz.U. poz. 904). Zmiana weszła w życie 2 lipca 2016 r.