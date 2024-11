Załącznik do obwieszczenia Marszałka Sejmu Rzeczypospolitej Polskiej

z dnia 7 listopada 2024 r. (Dz. U. poz. 1662)

USTAWA

z dnia 2 grudnia 2021 r.

o szczególnych zasadach wynagradzania osób realizujących zadania z zakresu cyberbezpieczeństwa

Art. 1. Ustawa określa zasady:

1) działania Funduszu Cyberbezpieczeństwa, zwanego dalej „Funduszem”;

2) gromadzenia środków Funduszu;

3) udzielania finansowania ze środków Funduszu;

4) przyznawania świadczenia teleinformatycznego, o którym mowa w art. 5, osobom realizującym zadania z zakresu cyberbezpieczeństwa.

Art. 2. 1. Celem Funduszu jest wsparcie działań zmierzających do zapewnienia bezpieczeństwa systemów teleinformatycznych przed cyberzagrożeniami.

2. Fundusz jest państwowym funduszem celowym.

3. Dysponentem Funduszu jest minister właściwy do spraw informatyzacji.

4. Przychodami Funduszu są:

1) wpływy z kar pieniężnych, o których mowa w art. 73 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2024 r. poz. 1077 i 1222);

2) środki, o których mowa w ust. 6 i 8;

3) dotacje z budżetu państwa;

4) inne przychody.

5. Środki Funduszu przeznacza się na świadczenie teleinformatyczne, o którym mowa w art. 5, oraz koszty z nim związane.

6. Dyrektor Naukowej i Akademickiej Sieci Komputerowej - Państwowego Instytutu Badawczego może, w drodze porozumienia z ministrem właściwym do spraw informatyzacji, przekazać część środków z planu finansowego tego instytutu, w tym z wypracowanego przez Naukową i Akademicką Sieć Komputerową - Państwowy Instytut Badawczy zysku netto za poprzedni rok obrotowy, do Funduszu.

7. Koszty obsługi Funduszu są finansowane z budżetu państwa, z części, której dysponentem jest minister właściwy do spraw informatyzacji.

8.1) Minister właściwy do spraw informatyzacji może przekazać, w drodze decyzji, część środków z Funduszu Szerokopasmowego, o którym mowa w art. 16a ustawy z dnia 7 maja 2010 r. o wspieraniu rozwoju usług i sieci telekomunikacyjnych (Dz. U. z 2024 r. poz. 604, 834 i 1222), do Funduszu, informując o tym ministra właściwego do spraw finansów publicznych. Decyzja, o której mowa w zdaniu pierwszym, nie jest decyzją administracyjną w rozumieniu przepisów ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572).

9. Warunkiem ubiegania się o wsparcie ze środków Funduszu jest realizacja przez osoby, o których mowa w art. 5, zadań zmierzających do zapewnienia bezpieczeństwa systemów teleinformatycznych przed cyberzagrożeniami.

10. Wsparcia ze środków Funduszu udziela się na podstawie umowy zawartej pomiędzy ministrem właściwym do spraw informatyzacji a wnioskodawcą będącym podmiotem wskazanym w art. 5.

11. Minister właściwy do spraw informatyzacji przedstawia sejmowej Komisji do Spraw Służb Specjalnych sprawozdanie z dysponowania środkami Funduszu za dany kwartał w terminie 21 dni od zakończenia kwartału.

Art. 3. 1. Warunkiem ubiegania się o wsparcie ze środków Funduszu jest złożenie przez podmiot, o którym mowa w art. 5, wniosku do ministra właściwego do spraw informatyzacji, zawierającego:

1) szczegółowy opis zadań z zakresu cyberbezpieczeństwa wraz z liczbą osób wykonujących dane zadanie;

2) oświadczenie kierownika podmiotu będącego wnioskodawcą o spełnieniu wymagań określonych w przepisach wydanych na podstawie art. 8 ust. 1 pkt 1 i 2;

3) wskazanie maksymalnej kwoty prognozowanych kosztów związanych z przyznaniem świadczenia teleinformatycznego, o którym mowa w art. 5;

4) oczekiwany termin otrzymania z Funduszu środków na wypłatę świadczenia teleinformatycznego, o którym mowa w art. 5.

2. Maksymalna kwota prognozowanych kosztów stanowi limit kosztów, jakie mógłby ponieść Fundusz w związku z finansowaniem świadczenia teleinformatycznego, o którym mowa w art. 5, dla danego podmiotu w danym roku.

3. Wnioskodawca składa wniosek raz w roku w terminie do dnia 31 sierpnia roku poprzedzającego wypłatę świadczenia teleinformatycznego, o którym mowa w art. 5, pod rygorem pozostawienia wniosku bez rozpoznania.

4. W razie stwierdzenia braków formalnych minister właściwy do spraw informatyzacji wzywa wnioskodawcę do uzupełnienia wniosku w terminie 7 dni od dnia otrzymania wezwania, pod rygorem pozostawienia wniosku bez rozpoznania.

4a. W razie uchybienia terminu, o którym mowa w ust. 4, termin ten przywraca się na prośbę wnioskodawcy, jeżeli uprawdopodobni, że uchybienie temu terminowi nastąpiło bez jego winy. Jednocześnie z wniesieniem prośby o przywrócenie terminu należy wnieść uzupełniony wniosek zgodnie z wezwaniem, o ile nie został wcześniej uzupełniony.

4b. Prośbę o przywrócenie terminu, o której mowa w ust. 4a, wnosi się w ciągu siedmiu dni od dnia ustania przyczyny jego uchybienia.

4c. Przywrócenie terminu do złożenia prośby, o której mowa w ust. 4a, jest niedopuszczalne.

4d. W razie uchybienia terminu, o którym mowa w ust. 4, termin ten może zostać przywrócony, z urzędu lub na uzasadnioną prośbę wnioskodawcy, niezależnie od tego, czy uchybienie terminu nastąpiło z jego winy, gdy przemawiają za tym szczególnie istotne względy bezpieczeństwa państwa i wniosek został uzupełniony zgodnie z wezwaniem.

4e. W razie uchybienia terminowi, o którym mowa w ust. 4, o jego przywróceniu postanawia organ, o którym mowa w ust. 4.

4f. Od postanowienia o odmowie przywrócenia terminu zażalenie nie przysługuje.

4g. Do obliczania terminów, o których mowa w ust. 4 i 4b, stosuje się przepisy art. 57 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego.

5. W razie stwierdzenia omyłki we wniosku minister właściwy do spraw informatyzacji:

1) poprawia tę omyłkę z urzędu, jeżeli jest to oczywista omyłka pisarska, informując o tym wnioskodawcę, albo

2) wzywa wnioskodawcę do poprawienia omyłki w terminie 7 dni od dnia otrzymania wezwania, pod rygorem pozostawienia wniosku bez rozpoznania.

Art. 4. 1. Minister właściwy do spraw informatyzacji przekazuje spełniający wymagania formalne wniosek do Kolegium do Spraw Cyberbezpieczeństwa, o którym mowa w art. 64 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.

2. Kolegium do Spraw Cyberbezpieczeństwa, o którym mowa w art. 64 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, nie później niż do dnia 31 grudnia roku poprzedzającego wypłatę świadczenia teleinformatycznego, o którym mowa w art. 5, wydaje opinię w przedmiocie wniosku w zakresie maksymalnej kwoty prognozowanych kosztów związanych z przyznaniem świadczenia teleinformatycznego.

3. Minister właściwy do spraw informatyzacji przekazuje z Funduszu środki na wypłatę świadczenia teleinformatycznego, o którym mowa w art. 5, na dany rok kalendarzowy w terminie wskazanym przez wnioskodawcę we wniosku, po uzyskaniu pozytywnej opinii Kolegium do Spraw Cyberbezpieczeństwa, o którym mowa w art. 64 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.

4. W przypadku zmiany maksymalnej kwoty prognozowanych kosztów związanych z przyznaniem świadczenia teleinformatycznego, o którym mowa w art. 5, albo negatywnej opinii Kolegium do Spraw Cyberbezpieczeństwa, o którym mowa w art. 64 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, wnioskodawca może złożyć zmieniony wniosek po terminie, o którym mowa w art. 3 ust. 3.

5. Zmieniony wniosek wymaga uzyskania pozytywnej opinii Kolegium do Spraw Cyberbezpieczeństwa, o którym mowa w art. 64 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.

6. Uzyskanie przez tego samego wnioskodawcę dwóch negatywnych opinii Kolegium do Spraw Cyberbezpieczeństwa, o którym mowa w art. 64 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, skutkuje brakiem możliwości ponownego złożenia zmienionego wniosku przez tego wnioskodawcę w danym roku kalendarzowym.

7. Niewykorzystane w danym roku kalendarzowym środki na wypłatę świadczenia teleinformatycznego, o którym mowa w art. 5, wnioskodawca zwraca do Funduszu.

Art. 5. Dodatek do wynagrodzenia za pracę, a w przypadku funkcjonariuszy i żołnierzy zawodowych świadczenie pieniężne, zwane dalej „świadczeniem teleinformatycznym”, może być przyznane osobom realizującym zadania:

1) w organach i podmiotach, o których mowa w art. 26, art. 41, art. 44 lub art. 60 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa,

2) w zakresie zapewnienia cyberbezpieczeństwa w:

a) Agencji Bezpieczeństwa Wewnętrznego,

b) Agencji Wywiadu,

c) Centralnym Biurze Antykorupcyjnym,

d) jednostkach organizacyjnych podległych Prezesowi Rady Ministrów lub ministrom,

e) Kancelarii Prezesa Rady Ministrów oraz w urzędach obsługujących ministrów,

f) Kancelarii Prezydenta Rzeczypospolitej Polskiej,

g) Kancelarii Sejmu,

h) Kancelarii Senatu,

i) Policji,

j) prokuraturze,

k) Służbie Kontrwywiadu Wojskowego,

l) Służbie Wywiadu Wojskowego,

m) Straży Granicznej,

n) Służbie Ochrony Państwa

- zwane dalej „zadaniami z zakresu cyberbezpieczeństwa”.

Art. 6. Osoby realizujące zadania z zakresu cyberbezpieczeństwa korzystają z ochrony przewidzianej w ustawie z dnia 6 czerwca 1997 r. - Kodeks karny (Dz. U. z 2024 r. poz. 17 i 1228) dla funkcjonariuszy publicznych.

Art. 7. 1. Wysokość wynagrodzenia za pracę wraz z dodatkami albo uposażenia wraz z dodatkami, z uwzględnieniem świadczenia teleinformatycznego, nie może przekroczyć dwudziestojednokrotności kwoty bazowej dla członków korpusu służby cywilnej określonej w ustawie budżetowej.

2. Świadczenie teleinformatyczne jest przyznawane corocznie na okres realizacji zadań z zakresu cyberbezpieczeństwa.

3. Przyznania i cofnięcia świadczenia teleinformatycznego dokonuje kierownik podmiotu, w którym osoby realizujące zadania z zakresu cyberbezpieczeństwa są zatrudnione albo pełnią służbę jako funkcjonariusze albo żołnierze zawodowi.

4. Osoba realizująca zadania z zakresu cyberbezpieczeństwa traci prawo do przyznanego świadczenia teleinformatycznego w przypadku:

1) ukarania karą porządkową albo karą dyscyplinarną;

2) nieusprawiedliwionej nieobecności w pracy, trwającej co najmniej 2 dni;

3) stawienia się do pracy albo do pełnienia służby w stanie nietrzeźwości lub wskazującym na spożycie alkoholu albo pod wpływem środków odurzających;

4) spożywania alkoholu lub używania środków odurzających w czasie pracy albo pełnienia służby;

5) opuszczenia miejsca pracy albo pełnienia służby bez usprawiedliwienia.

5. Ponowne ustalenie wysokości świadczenia teleinformatycznego, w przypadku zaistnienia okoliczności, o których mowa w ust. 4, nie może nastąpić wcześniej niż po upływie:

1) okresu 3 miesięcy - w przypadkach, o których mowa w ust. 4 pkt 2 lub 5;

2) okresu 6 miesięcy - w przypadkach, o których mowa w ust. 4 pkt 1, 3 lub 4.

6. Świadczenia teleinformatycznego nie wypłaca się za okres:

1) korzystania z urlopu bezpłatnego;

2) nieusprawiedliwionej nieobecności w pracy albo w służbie, trwającej krócej niż 2 dni;

3) usprawiedliwionej nieobecności w pracy albo w służbie, z wyłączeniem urlopu wypoczynkowego, dodatkowego urlopu wypoczynkowego oraz urlopu okolicznościowego.

7. Świadczenie teleinformatyczne jest wypłacane w terminie płatności wynagrodzenia za pracę albo uposażenia w miesiącu następującym po miesiącu, za który to świadczenie przysługuje, a za grudzień - w tym miesiącu.

8. Jeżeli podmiot zobowiązany do wypłaty świadczenia teleinformatycznego nie otrzymał środków finansowych na ten cel, świadczenie może nie zostać wypłacone.

9. W zakresie nieuregulowanym w ustawie stosuje się przepisy dotyczące zatrudnienia albo pełnienia służby stosowane w podmiotach, w których osoby realizujące zadania z zakresu cyberbezpieczeństwa są zatrudnione albo pełnią służbę.

10. Świadczenia teleinformatycznego nie wlicza się do ustalania wysokości wynagrodzenia na potrzeby obliczenia wysokości nagrody jubileuszowej lub odprawy emerytalnej lub rentowej, a także nie uwzględnia się przy ustalaniu wysokości wynagrodzenia rocznego, o której mowa w art. 4 ust. 1 ustawy z dnia 12 grudnia 1997 r. o dodatkowym wynagrodzeniu rocznym dla pracowników jednostek sfery budżetowej (Dz. U. z 2023 r. poz. 1690).

Art. 8. 1. Rada Ministrów określi, w drodze rozporządzenia:

1) szczegółowe zadania z zakresu cyberbezpieczeństwa i podział ich na grupy,

2) doświadczenie zawodowe lub wymóg posiadania specjalistycznej wiedzy z zakresu cyberbezpieczeństwa wymagane do realizacji zadań z poszczególnych grup,

3) przedziały kwotowe wysokości świadczenia teleinformatycznego, uwzględniając podział zadań z zakresu cyberbezpieczeństwa na grupy, o którym mowa w pkt 1

- biorąc pod uwagę znaczenie i wpływ realizacji poszczególnych zadań dla zapewnienia bezpieczeństwa systemów teleinformatycznych przed cyberzagrożeniami, stawki rynkowe, plan finansowy Funduszu, wymagania kwalifikacyjne określone dla osób realizujących podobne zadania z zakresu cyberbezpieczeństwa na rynku oraz potrzebę zapewnienia właściwej realizacji zadań.

2. Kierownik podmiotu, w którym są zatrudnione osoby realizujące zadania z zakresu cyberbezpieczeństwa albo na rzecz którego realizują te zadania osoby będące funkcjonariuszami bądź żołnierzami zawodowymi, przed przyznaniem świadczenia teleinformatycznego weryfikuje spełnienie przez te osoby wymagań określonych w przepisach wydanych na podstawie ust. 1 pkt 1 i 2.

3. Weryfikacja spełnienia wymagań w zakresie wymaganego doświadczenia zawodowego odbywa się przez analizę dokumentów potwierdzających ich spełnienie, przedłożonych przez osobę realizującą albo mającą realizować zadania z zakresu cyberbezpieczeństwa.

4. Wymóg posiadania specjalistycznej wiedzy z zakresu cyberbezpieczeństwa jest weryfikowany przez sprawdzian wiedzy, przeprowadzany w formie pisemnej lub ustnej, przez kierownika podmiotu.

5. Kierownik podmiotu może zdecydować o przeprowadzeniu sprawdzianu wiedzy przy użyciu środków komunikacji elektronicznej. Przeprowadzenie sprawdzianu przy użyciu środków komunikacji elektronicznej obejmuje w szczególności wielostronną komunikację w czasie rzeczywistym, w ramach której sprawdzający wiedzę i osoba, której wiedza jest sprawdzana, mogą wypowiadać się w toku posiedzenia, z zachowaniem niezbędnych zasad bezpieczeństwa. Z przeprowadzonego sprawdzianu sporządza się protokół.

6. Kierownik podmiotu może odstąpić od przeprowadzenia sprawdzianu wiedzy w przypadku przedłożenia przez osobę realizującą albo mającą realizować zadania z zakresu cyberbezpieczeństwa aktualnego dokumentu potwierdzającego posiadanie specjalistycznej wiedzy z zakresu cyberbezpieczeństwa w zakresie zgodnym z zadaniami na stanowisku.

7. W przypadku odstąpienia od przeprowadzenia sprawdzianu wiedzy w trybie określonym w ust. 6, w miejsce protokołu przeprowadzonego egzaminu załącza się kopie dokumentów potwierdzających posiadanie specjalistycznej wiedzy z zakresu cyberbezpieczeństwa.

Art. 9-22. (pominięte)

Art. 23. Tworzy się Fundusz.

Art. 24. 1. W terminie 2 miesięcy od dnia wejścia w życie ustawy minister właściwy do spraw informatyzacji przekaże środki w wysokości do 150,00 mln zł na rachunek Funduszu, ze środków budżetu państwa, z części, której jest dysponentem.

2. Dyrektor Naukowej i Akademickiej Sieci Komputerowej - Państwowego Instytutu Badawczego może przekazać, na podstawie porozumienia zawartego z ministrem właściwym do spraw informatyzacji, do dnia 31 grudnia 2022 r. na rachunek Funduszu łącznie środki w wysokości do 100,00 mln zł ze środków z zysku instytutu oraz z funduszu rezerwowego, o którym mowa w art. 19 ust. 1 pkt 2 ustawy zmienianej w art. 182).

3. Przekazanie środków, o których mowa w ust. 2, ujmuje się w planie finansowym Naukowej i Akademickiej Sieci Komputerowej - Państwowego Instytutu Badawczego jako odrębną pozycję.

Art. 25. 1. Wniosek, o którym mowa w art. 3 ust. 1, składany w celu sfinansowania świadczenia teleinformatycznego w 2022 r., kierownik podmiotu, o którym mowa w art. 5, składa w terminie do dnia 21 stycznia 2022 r.

2. Kolegium do Spraw Cyberbezpieczeństwa, o którym mowa w art. 64 ustawy zmienianej w art. 213), wydaje opinię, o której mowa w art. 4 ust. 2, nie później niż do dnia 14 lutego 2022 r.

3. Świadczenie teleinformatyczne jest wypłacane od dnia 1 marca 2022 r.

Art. 26. Minister właściwy do spraw informatyzacji przekaże sejmowej Komisji do Spraw Służb Specjalnych pierwsze sprawozdanie z dysponowania środkami Funduszu, za I kwartał 2022 r., w terminie 21 dni od dnia zakończenia tego kwartału.

Art. 26a. 1. Świadczenie teleinformatyczne może być przyznane osobom realizującym zadania z zakresu cyberbezpieczeństwa w Dowództwie Komponentu Wojsk Obrony Cyberprzestrzeni oraz w jednostkach podporządkowanych Dowódcy Komponentu Wojsk Obrony Cyberprzestrzeni.

2. Świadczenie teleinformatyczne osobom, o których mowa w ust. 1, przyznaje i cofa Minister Obrony Narodowej.

3. Wniosek, o którym mowa w art. 25 ust. 1, złożony przez Narodowe Centrum Bezpieczeństwa Cyberprzestrzeni, staje się wnioskiem Dowództwa Komponentu Wojsk Obrony Cyberprzestrzeni. Pozytywna opinia Kolegium do Spraw Cyberbezpieczeństwa, o którym mowa w art. 64 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, w przedmiocie wniosku w zakresie maksymalnej kwoty prognozowanych kosztów związanych z przyznaniem świadczenia teleinformatycznego pozostaje w mocy, chyba że wniosek zostanie zmieniony. Stosuje się art. 4 ust. 4 i 5.

Art. 27. 1. Maksymalny limit wydatków z budżetu państwa dla części budżetowej 27 - informatyzacja, będących skutkiem finansowym wejścia w życie ustawy, wynosi:

1) w 2022 r. - 150,00 mln zł;

2) w 2023 r. - 100,00 mln zł;

3)4) w 2024 r. - 250,00 mln zł;

4)4) w 2025 r. - 250,00 mln zł;

5)4) w 2026 r. - 250,00 mln zł;

6)4) w 2027 r. - 250,00 mln zł;

7)4) w 2028 r. - 250,00 mln zł;

8)4) w 2029 r. - 250,00 mln zł;

9)4) w 2030 r. - 250,00 mln zł;

10)4) w 2031 r. - 250,00 mln zł.

2. Minister właściwy do spraw informatyzacji nadzoruje i monitoruje wykorzystanie limitu wydatków, o których mowa w ust. 1, i dokonuje oceny wykorzystania tego limitu według stanu na koniec każdego kwartału, a w przypadku IV kwartału - według stanu na dzień 20 listopada.

3. W przypadku gdy wysokość wydatków, o których mowa w ust. 1, po trzech kwartałach wyniesie łącznie więcej niż 75 % limitu przewidzianego na dany rok, wysokość wydatków w czwartym kwartale obniża się o kwotę przekroczenia, określając zakres ograniczeń dla poszczególnych zadań realizowanych na podstawie ustawy.

Art. 28. Ustawa wchodzi w życie po upływie 14 dni od dnia ogłoszenia5), z wyjątkiem art. 22, który wchodzi w życie z dniem następującym po dniu ogłoszenia.

1) W brzmieniu ustalonym przez art. 63 ustawy z dnia 12 lipca 2024 r. - Przepisy wprowadzające ustawę - Prawo komunikacji elektronicznej (Dz. U. poz. 1222); wszedł w życie z dniem 10 sierpnia 2024 r.

2) Artykuł 18 zawiera zmiany do ustawy z dnia 30 kwietnia 2010 r. o instytutach badawczych.

3) Artykuł 21 zawiera zmiany do ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.

4) W brzmieniu ustalonym przez art. 53 ustawy z dnia 15 maja 2024 r. o zmianie niektórych ustaw związanych z funkcjonowaniem administracji rządowej (Dz. U. poz. 834), która weszła w życie z dniem 1 lipca 2024 r.

5) Ustawa została ogłoszona w dniu 17 grudnia 2021 r.