Podstawowymi aktami prawnymi regulującymi kwestie związane z infrastrukturą krytyczną są: ustawa z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym (Dz. U. z 2022 r. poz. 261) i wydane na jej podstawie akty wykonawcze, aktualizowany nie rzadziej niż raz na dwa lata, przyjęty w drodze uchwały przez Radę Ministrów, Narodowy Program Ochrony Infrastruktury Krytycznej oraz ustawa z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (Dz. U. z 2021r. poz. 1995).
Pojęcie infrastruktury krytycznej (IK) zostało zdefiniowane w ustawie o zarządzaniu kryzysowym jako systemy oraz wchodzące w ich skład powiązane ze sobą funkcjonalnie obiekty, w tym obiekty budowlane, urządzenia, instalacje, usługi kluczowe dla bezpieczeństwa państwa i jego obywateli oraz służące zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorców.
Zadania z zakresu ochrony infrastruktury krytycznej obejmują: gromadzenie i przetwarzanie informacji dotyczących zagrożeń infrastruktury krytycznej; opracowywanie i wdrażanie procedur na wypadek wystąpienia zagrożeń infrastruktury krytycznej; odtwarzanie infrastruktury krytycznej; współpracę między administracją publiczną a właścicielami oraz posiadaczami samoistnymi i zależnymi obiektów, instalacji lub urządzeń infrastruktury krytycznej w zakresie jej ochrony.
Właściciele oraz posiadacze samoistni i zależni obiektów, instalacji lub urządzeń infrastruktury krytycznej mają obowiązek ich ochrony, w szczególności przez przygotowanie i wdrażanie, stosownie do przewidywanych zagrożeń, planów ochrony infrastruktury krytycznej oraz utrzymywanie własnych systemów rezerwowych zapewniających bezpieczeństwo i podtrzymujących funkcjonowanie tej infrastruktury, do czasu jej pełnego odtworzenia.
Narodowy Program Ochrony Infrastruktury Krytycznej określa: narodowe priorytety, cele, wymagania oraz standardy, służące zapewnieniu sprawnego funkcjonowania infrastruktury krytycznej; ministrów kierujących działami administracji rządowej i kierowników urzędów centralnych odpowiedzialnych za systemy, szczegółowe kryteria pozwalające wyodrębnić obiekty, instalacje, urządzenia i usługi wchodzące w skład systemów infrastruktury krytycznej, biorąc pod uwagę ich znaczenie dla funkcjonowania państwa i zaspokojenia potrzeb obywateli.
Program przygotowuje dyrektor Rządowego Centrum Bezpieczeństwa we współpracy z ministrami i kierownikami urzędów centralnych odpowiedzialnymi za systemy oraz właściwymi w sprawach bezpieczeństwa narodowego.
Dyrektor Rządowego Centrum Bezpieczeństwa: sporządza na podstawie szczegółowych kryteriów, we współpracy z odpowiednimi ministrami odpowiedzialnymi za systemy, jednolity wykaz obiektów, instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej z podziałem na systemy. W wykazie wyróżnia się także europejską infrastrukturę krytyczną zlokalizowaną na terytorium Rzeczypospolitej Polskiej oraz europejską infrastrukturę krytyczną zlokalizowaną na terytorium innych państw członkowskich Unii Europejskiej, mogącą mieć istotny wpływ na Rzeczpospolitą Polską.
