O krajowym systemie cyberbezpieczeństwa
Artykuł 6.

Rada Ministrów określi, w drodze rozporządzenia:

1. wykaz usług kluczowych, o których mowa w art. 5 ust. 2 pkt 1, kierując się przyporządkowaniem usługi kluczowej do danego sektora, podsektora i rodzaju podmiotu wymienionych w załączniku nr 1 do ustawy oraz znaczeniem usługi dla utrzymania krytycznej działalności społecznej lub gospodarczej;
    
2. progi istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych, wymienionych w wykazie usług kluczowych, uwzględniając:
   
   
   1. liczbę użytkowników zależnych od usługi kluczowej świadczonej przez dany podmiot,
       
   2. zależność innych sektorów, o których mowa w załączniku nr 1 do ustawy, od usługi świadczonej przez ten podmiot,
       
   3. wpływ, jaki mógłby mieć incydent, ze względu na jego skalę i czas trwania, na działalność gospodarczą i społeczną lub bezpieczeństwo publiczne,
       
   4. udział podmiotu świadczącego usługę kluczową w rynku,
       
   5. zasięg geograficzny obszaru, którego mógłby dotyczyć incydent,
       
   6. zdolność podmiotu do utrzymywania wystarczającego poziomu świadczenia usługi kluczowej, przy uwzględnieniu dostępności alternatywnych sposobów jej świadczenia,
       
   7. inne czynniki charakterystyczne dla danego sektora lub podsektora, jeżeli występują
       

– kierując się potrzebą zapewnienia ochrony przed zagrożeniem życia lub zdrowia ludzi, znacznymi stratami majątkowymi oraz obniżeniem jakości świadczonej usługi kluczowej.