1. Podmiot kluczowy, na własny koszt, przeprowadza audyt bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi, zwany dalej "audytem”, co najmniej raz na 3 lata, licząc od dnia sporządzenia i podpisania protokołu z audytu przez audytorów przeprowadzających audyt.

1. Podmiot kluczowy przekazuje kopię elektroniczną protokołu z audytu, o którym mowa w ust. 1, do organu właściwego do spraw cyberbezpieczeństwa w terminie trzech dni roboczych od dnia jego otrzymania przez podmiot kluczowy albo podmiot istotny.
2. Organ właściwy do spraw cyberbezpieczeństwa może, w każdym czasie, w drodze decyzji, nakazać podmiotowi kluczowemu, a w przypadku poważnego incydentu lub innego naruszenia ustawy przez podmiot istotny – przeprowadzenie zewnętrznego audytu bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi, określając termin przekazania kopii protokołu z audytu oraz wskazując rodzaj podmiotów uprawnionych do przeprowadzenia audytu. Organ właściwy do spraw cyberbezpieczeństwa może również określić zakres audytu.

2. Audyt może być przeprowadzony przez:

1. jednostkę oceniającą zgodność akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2022 r. poz. 1854), w zakresie właściwym dla podejmowanych ocen bezpieczeństwa systemów informacyjnych;
2. co najmniej dwóch audytorów, którzy posiadają:
   1. certyfikaty określone w przepisach wydanych na podstawie ust. 8, lub
   2. co najmniej trzyletnie doświadczenie w zakresie audytowania bezpieczeństwa systemów informacyjnych, lub
   3. co najmniej dwuletnie doświadczenie w zakresie audytowania bezpieczeństwa systemów informacyjnych i posiadają dyplom ukończenia studiów podyplomowych w zakresie audytu bezpieczeństwa systemów informacyjnych, wydany przez jednostkę organizacyjną, która w dniu wydania dyplomu była uprawniona, zgodnie z odrębnymi przepisami, do nadawania stopnia naukowego doktora nauk ekonomicznych, technicznych lub prawnych;
3. CSIRT sektorowy, utworzony w ramach sektora lub podsektora wymienionego w załączniku nr 1 do ustawy, jeżeli audytorzy spełniają warunki, o których mowa w pkt 2.

7. Podmiot kluczowy albo podmiot istotny udostępnia kopię protokołu z audytu na żądanie:

• 7.2. dyrektora Rządowego Centrum Bezpieczeństwa – jeżeli podmiot kluczowy albo podmiot istotny jest jednocześnie właścicielem, samoistnym posiadaczem albo zależnym posiadaczem obiektów, instalacji, urządzeń lub usług wchodzących w skład infrastruktury krytycznej ujętych w wykazie, o którym mowa w art. 5b ust. 7 pkt 1 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym;
• 7.3. Szefa Agencji Bezpieczeństwa Wewnętrznego.