Art. 1.

1. Ustawa określa zasady ochrony informacji, które wymagają ochrony przed nieuprawnionym ujawnieniem, jako stanowiące tajemnicę państwową lub służbową, niezależnie od formy i sposobu ich wyrażania, także w trakcie ich opracowania, zwanych dalej "informacjami niejawnymi", a w szczególności:

1) organizowania ochrony informacji niejawnych;
2) klasyfikowania informacji niejawnych;
3) udostępniania informacji niejawnych;
4) postępowania sprawdzającego, w celu ustalenia, czy osoba nim objęta daje rękojmięzachowania tajemnicy, zwanego dalej ?postępowaniem sprawdzającym?;
5) szkolenia w zakresie ochrony informacji niejawnych;
6) ewidencjonowania, przechowywania, przetwarzania i udostępniania danych uzyskiwanych w związku z prowadzonymi postępowaniami o ustalenie rękojmi zachowania tajemnicy, w zakresie określonym w ankiecie bezpieczeństwa osobowego oraz w kwestionariuszu bezpieczeństwa przemysłowego;
7) organizacji kontroli przestrzegania zasad ochrony informacji niejawnych;
8) ochrony informacji niejawnych w systemach i sieciach teleinformatycznych;
9) stosowania środków fizycznej ochrony informacji niejawnych.

2. Przepisy ustawy mają zastosowanie do:

1) organów władzy publicznej, w szczególności:
a) Sejmu i Senatu Rzeczypospolitej Polskiej,
b) Prezydenta Rzeczypospolitej Polskiej,
c) organów administracji rządowej,
d) organów jednostek samorządu terytorialnego,
e) sądów i trybunałów,
f) organów kontroli państwowej i ochrony prawa;
Opracowano na podstawie tj. Dz.U z 2005 r. Nr 196, poz. 1631, z 2006 r. Nr 104, poz. 708 i 711, Nr 149, poz. 1078, Nr 218, poz. 1592, Nr 220, poz. 1600, z 007 r. Nr 25, poz. 162. Kancelaria Sejmu s. 2/99 2007-04-24
2) Sił Zbrojnych Rzeczypospolitej Polskiej i ich jednostek organizacyjnych, zwanych dalej "Siłami Zbrojnymi", a także innych jednostek organizacyjnych podległych Ministrowi Obrony Narodowej lub przez niego nadzorowanych;
3) Narodowego Banku Polskiego i banków państwowych;
4) państwowych osób prawnych i innych niż wymienione w pkt 1?3 państwowych jednostek organizacyjnych;
5) przedsiębiorców, jednostek naukowych lub badawczo-rozwojowych, zamierzających ubiegać się, ubiegających się o zawarcie lub wykonujących umowy związane z dostępem do informacji niejawnych albo wykonujących na podstawie przepisów prawa zadania związane z dostępem do informacji niejawnych.

[?..]

Art. 57.

W celu uniemożliwienia osobom nieuprawnionym dostępu do informacji niejawnych, należy w szczególności:

1) wydzielić części obiektów, które poddane są szczególnej kontroli wejść i wyjść oraz kontroli przebywania, zwane dalej "strefami bezpieczeństwa";
2) wydzielić wokół stref bezpieczeństwa strefy administracyjne służące do kontroli osób lub pojazdów;
3) wprowadzić system przepustek lub inny system określający uprawnienia do wejścia, przebywania i wyjścia ze strefy bezpieczeństwa, a także przechowywania kluczy do pomieszczeń chronionych, szaf pancernych i innych pojemników służących do przechowywania informacji niejawnych stanowiących tajemnicę państwową;
4) zapewnić kontrolę stref bezpieczeństwa i stref administracyjnych przez przeszkolonych zgodnie z ustawą pracowników pionu ochrony;
5) stosować wyposażenie i urządzenia służące ochronie informacji niejawnych, którym na podstawie odrębnych przepisów przyznano certyfikaty lub świadectwa kwalifikacyjne.

[?.]

Art. 60.

1. Systemy i sieci teleinformatyczne, w których mają być wytwarzane, przetwarzane, przechowywane lub przekazywane informacje niejawne, podlegają akredytacji bezpieczeństwa teleinformatycznego przez służby ochrony państwa.

[?.]

5. Wytwarzanie, przetwarzanie, przechowywanie lub przekazywanie informacji niejawnych stanowiących tajemnicę państwową, odpowiednio do ich klauzuli tajności, jest dopuszczalne po uzyskaniu certyfikatu akredytacji bezpieczeństwa teleinformatycznego dla systemu lub sieci teleinformatycznej, wydanego przez właściwą służbę ochrony państwa.
6. Certyfikat, o którym mowa w ust. 5, wydaje się na podstawie:
1) przeprowadzonych zgodnie z ustawą postępowań sprawdzających wobec osób mających dostęp do systemu lub sieci teleinformatycznej;
2) zatwierdzonych przez właściwą służbę ochrony państwa dokumentów szczególnych wymagań bezpieczeństwa i procedur bezpiecznej eksploatacji;
3) audytu bezpieczeństwa systemu lub sieci teleinformatycznej, polegającego na weryfikacji poprawności realizacji wymagań i procedur, określonych w dokumentach szczególnych wymagań bezpieczeństwa i procedur bezpiecznej eksploatacji.