§ 3
Dz.U. 2025 poz. 810
Treść przepisu
§ 3. 1. W ramach oceny bezpieczeństwa przeprowadza się następujące czynności:1) pasywne zbieranie informacji – zbieranie w sieci Internet informacji związanych z funkcjonowaniem systemu, wpły-wających na jego bezpieczeństwo;2) półpasywne zbieranie informacji – zbieranie w systemie informacji związanych z funkcjonowaniem tego systemu, wpływających na jego bezpieczeństwo, na zasadach właściwych dla użytkownika tego systemu, z wyłączeniem uprawnień wymagających uwierzytelnienia w tym systemie; czynności te mogą być uzupełnione zbieraniem informa-cji wynikających z analizy architektury systemu;1) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2024 r. poz. 1222, 1562, 1684 i 1871 oraz z 2025 r. poz. 179 i 718.
Dziennik Ustaw – 2 – Poz. 810 3) aktywne zbieranie informacji – zbieranie w systemie informacji związanych z funkcjonowaniem tego systemu, wpły-wających na jego bezpieczeństwo, w sposób przekraczający uprawnienia użytkownika systemu, w tym wymagających uwierzytelnienia w systemie, w szczególności polegających na enumeracji usług, portów, wykrywaniu urządzeń po-średniczących, wykrywaniu systemów IDS/IPS oraz zapór ogniowych;4) identyfikacja podatności architektury systemu i usług sieciowych – podejmowanie czynności mających na celu iden-tyfikację podatności, o której mowa w art. 32a ust. 4 ustawy, dokonywanych na podstawie informacji uzyskanych w ramach czynności, o których mowa w pkt 1–3, oraz na podstawie informacji na temat architektury systemu udostęp-nionych przez podmiot zarządzający systemem.2. W ramach oceny bezpieczeństwa poza czynnościami, o których mowa w ust. 1, mogą być również przeprowadzane, za zgodą podmiotu zarządzającego systemem, następujące czynności:1) wykorzystanie podatności – podejmowanie w systemie czynności nakierowanych na użycie podatności zidentyfiko-wanych w ramach czynności, o której mowa w ust. 1 pkt 4, w celu ominięcia zabezpieczeń systemu oraz identyfikacji podatności, których identyfikacja jest niemożliwa w ramach czynności, o której mowa w ust. 1 pkt 4;2) analiza wpływu wykorzystania czynników inżynierii społecznej – wykorzystanie ogólnych metod inżynierii społecznej, które mają na celu uzyskanie informacji na temat zachowania użytkowników systemu, w celu weryfikacji procedur bezpieczeństwa badanego systemu realizowanych przez tych użytkowników; czynności mogą być wykonywane z za-stosowaniem narzędzi, o których mowa w art. 32a ust. 7 ustawy;3) analiza odporności systemu na działania narzędzi, o których mowa w art. 32a ust. 7 ustawy – zaplanowane zastosowanie narzędzi, o których mowa w art. 32a ust. 7 ustawy, w celu zbadania możliwości wykorzystania luk w zabezpieczeniach systemu, polegające na badaniu odporności systemu na możliwość wykorzystania go do popełniania przestępstw, o których mowa w art. 32a ust. 7 ustawy.
Źródło: Internetowy System Aktów Prawnych — ISAP (isap.sejm.gov.pl), pozyskano 12.07.2026. · PDF źródłowy