keyboard_tab Cyber Resilience Act 2023/2841 PL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Artykuł 8 Środki zarządzania ryzykiem w cyberprzestrzeni
- 1 Artykuł 11 Zadania IICB
- 1 Artykuł 14 Wytyczne, zalecenia i wezwania do działania
ROZDZIAŁ I
PRZEPISY OGÓLNE
ROZDZIAŁ II
ŚRODKI NA RZECZ WYSOKIEGO WSPÓLNEGO POZIOMU CYBERBEZPIECZEŃSTWA
ROZDZIAŁ III
MIĘDZYINSTYTUCJONALNA RADA DS. CYBERBEZPIECZEŃSTWA
ROZDZIAŁ IV
CERT-UE
ROZDZIAŁ V
OBOWIĄZKI W ZAKRESIE WSPÓŁPRACY I ZGŁASZANIA INCYDENTÓW
ROZDZIAŁ VI
PRZEPISY KOŃCOWE
- podmioty Unii
- sieci i systemy informatyczne
- bezpieczeństwo sieci i systemów informatycznych
- cyberbezpieczeństwo
- kierownictwo najwyższego szczebla
- potencjalne zdarzenie dla cyberbezpieczeństwa
- incydent
- poważny incydent
- incydent w cyberbezpieczeństwie na dużą skalę
- obsługa incydentu
- cyberzagrożenie
- poważne cyberzagrożenie
- podatność
- ryzyko w cyberprzestrzeni
- usługa chmurowa
- cyberbezpieczeństwa 25
- unii 23
- cert-ue 18
- oraz 14
- w cyberprzestrzeni 12
- w zakresie 11
- w tym 11
- przez 10
- zarządzania 9
- podmiotów 9
- w stosownych 8
- przypadkach 8
- działania 8
- podmioty_unii 7
- środki 7
- zatwierdza 7
- ryzykiem 7
- dotyczące 6
- bezpieczeństwa 6
- szefa 6
- wniosek 6
- ryzyka 6
- niniejszego 6
- się 6
- rozporządzenia 5
- iicb 5
- dostaw 5
- mowa 5
- incydentów 5
- usług 5
- podmiotu 4
- bezpieczeństwo 4
- łańcucha 4
- dotyczących 4
- między 4
- ustalenia 4
- podmiot 4
- poziomie 4
- podstawie 4
- podatności 4
- oprogramowania 4
- w celu 4
- w art 4
- środków 4
- wszystkich 3
- wzajemnych 3
- zarządzanie 3
- łączności 3
- przyjmuje 3
- o których 3
Artykuł 8
Środki zarządzania ryzykiem w cyberprzestrzeni
1. Bez zbędnej zwłoki, a w każdym razie do dnia 8 września 2025 r. każdy podmiot Unii pod nadzorem swojego kierownictwa najwyższego szczebla podejmuje odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne, aby zarządzać ryzykiem w cyberprzestrzeni zidentyfikowanym na podstawie Ram oraz aby zapobiec incydentom lub zminimalizować ich skutki. Przy uwzględnieniu najnowszego stanu wiedzy, oraz, w stosownych przypadkach, odpowiednich norm europejskich i międzynarodowych, środki te zapewniają poziom bezpieczeństwa sieci i systemów informatycznych w całym środowisku ICT odpowiedni do istniejącego ryzyka w cyberprzestrzeni. Oceniając proporcjonalność tych środków należycie uwzględnia się stopień narażenia podmiotu Unii na ryzyko_w cyberprzestrzeni, wielkość podmiotu, prawdopodobieństwo wystąpienia incydentów i ich dotkliwość, w tym ich skutki społeczne, gospodarcze i międzyinstytucjonalne.
2. Wdrażając środki zarządzania ryzykiem w cyberprzestrzeni, podmioty_Unii uwzględniają co najmniej następujące kwestie:
| a) | politykę w zakresie cyberbezpieczeństwa, w tym środki niezbędne do osiągnięcia celów i priorytetów, o których mowa w art. 6 i w ust. 3 niniejszego artykułu; |
| b) | politykę analizy ryzyka w cyberprzestrzeni i bezpieczeństwa systemów informatycznych; |
| c) | cele strategiczne w zakresie korzystania z usług chmurowych; |
| d) | w stosownych przypadkach audyt cyberbezpieczeństwa, który może obejmować ocenę ryzyka w cyberprzestrzeni, podatności i cyberzagrożeń oraz testy penetracyjne przeprowadzane regularnie przez zaufanego usługodawcę z sektora prywatnego; |
| e) | wdrożenie zaleceń wynikających z audytów cyberbezpieczeństwa, o których mowa w lit. d), w drodze aktualizacji zasad dotyczących cyberbezpieczeństwa i aktualizacji polityk; |
| f) | kwestie organizacyjne dotyczące cyberbezpieczeństwa, w tym wyznaczenie ról i obowiązków; |
| g) | zarządzanie aktywami, w tym rejestr zasobów ICT i mapy sieci ICT; |
| h) | bezpieczeństwo zasobów ludzkich i kontrolę dostępu; |
| i) | bezpieczeństwo operacji; |
| j) | bezpieczeństwo łączności; |
| k) | nabywanie, rozbudowę i utrzymywanie systemów, w tym polityki postępowania z podatnościami i ich ujawniania; |
| l) | w miarę możliwości politykę dotyczącą przejrzystości kodu źródłowego; |
| m) | bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem relacji między każdym podmiotem Unii a jego bezpośrednimi dostawcami lub usługodawcami; |
| n) | obsługę incydentów oraz współpracę z CERT-UE, na przykład stałe monitorowanie bezpieczeństwa i rejestrowanie danych związanych z bezpieczeństwem; |
| o) | zarządzanie ciągłością działania, na przykład zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzanie kryzysowe; oraz |
| p) | promowanie i rozwój programów edukowania, rozwijania umiejętności, podnoszenia świadomości, ćwiczeń i szkoleń w dziedzinie cyberbezpieczeństwa. |
Do celów akapitu pierwszego lit. m) podmioty_Unii uwzględniają podatności charakterystyczne dla każdego bezpośredniego dostawcy i usługodawcy oraz ogólną jakość produktów i praktyk w zakresie cyberbezpieczeństwa stosowanych przez ich dostawców i usługodawców, w tym ich procedury bezpiecznego opracowywania.
3. Podmioty Unii stosują co najmniej następujące szczegółowe środki zarządzania ryzykiem w cyberprzestrzeni:
| a) | rozwiązania techniczne umożliwiające pracę zdalną i jej utrzymanie; |
| b) | konkretne kroki zmierzające do przejścia na zasady zerowego zaufania; |
| c) | stosowanie uwierzytelniania wieloskładnikowego jako normy we wszystkich sieciach i systemach informatycznych; |
| d) | wykorzystywanie kryptografii i szyfrowania, w szczególności szyfrowania end-to-end, oraz bezpiecznego podpisu cyfrowego; |
| e) | w stosownych przypadkach bezpieczne systemy łączności głosowej, wizualnej i tekstowej oraz bezpieczne systemy łączności w sytuacjach nadzwyczajnych wewnątrz podmiotu Unii; |
| f) | proaktywne środki wykrywania i usuwania złośliwego oprogramowania i oprogramowania szpiegującego; |
| g) | zabezpieczenie łańcucha dostaw oprogramowania poprzez kryteria regulujące opracowywanie i ocenę bezpiecznego oprogramowania; |
| h) | tworzenie i przyjmowanie programów szkoleń w zakresie cyberbezpieczeństwa dla kierownictwa najwyższego szczebla i członków personelu podmiotu Unii, którym powierzono zadanie zapewnienia skutecznego wdrożenia niniejszego rozporządzenia, przy czym te programy szkoleń muszą być współmierne do przewidzianych zadań i oczekiwanych zdolności; |
| i) | regularne szkolenia z zakresu cyberbezpieczeństwa dla członków personelu; |
| j) | w stosownych przypadkach udział w analizach ryzyka dla wzajemnych połączeń między podmiotami Unii; |
| k) | wzmocnienie zasad udzielania zamówień publicznych, aby ułatwić osiągnięcie wysokiego wspólnego poziomu cyberbezpieczeństwa poprzez:
|
Artykuł 11
Zadania IICB
W ramach swoich obowiązków IICB w szczególności:
| a) | udziela wskazówek szefowi CERT-UE; |
| b) | skutecznie monitoruje i nadzoruje wdrażanie niniejszego rozporządzenia oraz wspiera podmioty_Unii we wzmacnianiu ich cyberbezpieczeństwa, w tym, w stosownych przypadkach, zwraca się do podmiotów Unii i CERT-UE o sporządzenie sprawozdań ad hoc; |
| c) | w następstwie dyskusji strategicznej przyjmuje wieloletnią strategię podniesienia poziomu cyberbezpieczeństwa w podmiotach Unii, regularnie – co najmniej raz na pięć lat – ją ocenia i w razie potrzeby ją zmienia; |
| d) | ustala metodykę i aspekty organizacyjne przeprowadzania dobrowolnych wzajemnych ocen przez podmioty_Unii by wyciągnąć wnioski z wspólnych doświadczeń, zwiększyć wzajemne zaufanie, osiągnąć wysoki wspólny poziom cyberbezpieczeństwa, a także zwiększać zdolności podmiotów Unii w zakresie cyberbezpieczeństwa, zapewniając, aby takie wzajemne oceny były przeprowadzane przez ekspertów ds. cyberbezpieczeństwa wyznaczonych przez podmiot Unii inny niż podmiot Unii poddawany ocenie oraz aby metodyka ich przeprowadzania opierała się na art. 19 dyrektywy (UE) 2022/2555 i była, w stosownych przypadkach, dostosowana do potrzeb podmiotów Unii; |
| e) | zatwierdza, na wniosek szefa CERT-UE, roczny program prac CERT-UE i monitoruje jego realizację; |
| f) | zatwierdza, na wniosek szefa CERT-UE, katalog usług CERT-UE oraz jego aktualizacje; |
| g) | zatwierdza, na wniosek szefa CERT-UE, roczny plan dochodów i wydatków, w tym plan zatrudnienia, na potrzeby działalności CERT-UE; |
| h) | zatwierdza, na wniosek szefa CERT-UE, ustalenia dotyczące umów o gwarantowanym poziomie usług; |
| i) | analizuje i zatwierdza sprawozdanie roczne, sporządzone przez szefa CERT-UE, obejmujące działalność CERT-UE i zarządzanie środkami finansowymi przez CERT-UE; |
| j) | zatwierdza i monitoruje kluczowe wskaźniki skuteczności działania w odniesieniu do CERT-UE, określone na wniosek szefa CERT-UE; |
| k) | zatwierdza porozumienia o współpracy, umowy o gwarantowanym poziomie usług lub umowy między CERT-UE a innymi podmiotami zawarte na podstawie art. 18; |
| l) | przyjmuje wytyczne i zalecenia na wniosek CERT-UE zgodnie z art. 14 i zleca CERT-UE wydanie, wycofanie lub zmianę propozycji wytycznych bądź zaleceń, lub wezwania do działania; |
| m) | ustanawia grupy doradztwa technicznego realizujące konkretne zadania, aby wspierać prace IICB, zatwierdza zakres ich uprawnień i zadań i wyznacza ich przewodniczących; |
| n) | otrzymuje i analizuje dokumenty i sprawozdania składane przez podmioty_Unii na podstawie niniejszego rozporządzenia, takie jak oceny dojrzałości w zakresie cyberbezpieczeństwa; |
| o) | wspomaga utworzenie nieformalnej grupy lokalnych urzędników podmiotów Unii ds. cyberbezpieczeństwa, wspieranej przez ENISA, aby umożliwić wymianę najlepszych praktyk i informacji dotyczących wdrażania niniejszego rozporządzenia; |
| p) | uwzględniając informacje na temat zidentyfikowanego ryzyka w cyberprzestrzeni i wyciągnięte wnioski przedstawione przez CERT-UE, monitoruje adekwatność ustaleń dotyczących wzajemnych połączeń między środowiskami ICT podmiotów Unii oraz doradza możliwe usprawnienia; |
| q) | ustanawia plan zarządzania kryzysami w cyberprzestrzeni w celu wsparcia – na poziomie operacyjnym – skoordynowanego zarządzania poważnymi incydentami mającymi wpływ na podmioty_Unii oraz w celu przyczynienia się do regularnej wymiany istotnych informacji, w szczególności o skutkach i dotkliwości poważnych incydentów oraz o możliwych sposobach łagodzenia ich skutków; |
| r) | koordynuje przyjmowanie planów zarządzania kryzysami w cyberprzestrzeni, o których mowa w art. 9 ust. 2, w poszczególnych podmiotach Unii; |
| s) | przyjmuje zalecenia w odniesieniu do bezpieczeństwa łańcucha dostaw, o którym mowa w art. 8 ust. 2 akapit pierwszy lit. m), z uwzględnieniem wyników skoordynowanego na poziomie Unii szacowania ryzyka krytycznych łańcuchów dostaw, o którym mowa w art. 22 dyrektywy (UE) 2022/2555, w celu wsparcia podmiotów Unii w przyjmowaniu skutecznych i proporcjonalnych środków zarządzania ryzykiem w cyberprzestrzeni. |
Artykuł 14
Wytyczne, zalecenia i wezwania do działania
1. CERT-UE wspiera wdrażanie niniejszego rozporządzenia poprzez:
| a) | wydawanie wezwań do działania opisujących pilne środki w zakresie bezpieczeństwa, do zastosowania których w określonym terminie wzywa się podmioty_Unii; |
| b) | przedstawianie IICB propozycji wytycznych skierowanych do wszystkich podmiotów Unii lub do części z nich; |
| c) | przedstawianie IICB propozycji zaleceń skierowanych do poszczególnych podmiotów Unii. |
W odniesieniu do akapitu pierwszego lit. a) dany podmiot Unii bez zbędnej zwłoki po otrzymaniu wezwania do działania informuje CERT-UE o sposobie zastosowania pilnych środków w zakresie bezpieczeństwa.
2. Wytyczne i zalecenia mogą obejmować:
| a) | wspólne metody i model oceny dojrzałości podmiotów Unii w zakresie cyberbezpieczeństwa, w tym odpowiednie skale lub kluczowe wskaźniki skuteczności działania, służące jako punkt odniesienia dla stałych postępów w zakresie cyberbezpieczeństwa we wszystkich podmiotach Unii i ułatwiające traktowanie priorytetowo poszczególnych obszarów cyberbezpieczeństwa i środków z zakresu cyberbezpieczeństwa z uwzględnieniem stanu cyberbezpieczeństwa w poszczególnych podmiotach; |
| b) | ustalenia dotyczące zarządzania ryzykiem w cyberprzestrzeni i ustalenia dotyczące środków zarządzania ryzykiem w cyberprzestrzeni lub usprawnienia tych elementów; |
| c) | ustalenia dotyczące ocen dojrzałości w zakresie cyberbezpieczeństwa i planów dotyczących cyberbezpieczeństwa; |
| d) | w stosownych przypadkach wykorzystywanie wspólnej technologii, architektury, otwartego oprogramowania i powiązanych najlepszych praktyk w celu osiągnięcia interoperacyjności i wspólnych norm, w tym skoordynowanego podejścia do bezpieczeństwa łańcucha dostaw; |
| e) | w stosownych przypadkach informacje ułatwiające posługiwanie się narzędziami udzielania zamówień realizowanych na zasadzie współpracy na zakup odpowiednich usług i produktów z zakresu cyberbezpieczeństwa od zewnętrznych dostawców; |
| f) | ustalenia dotyczące wymiany informacji na podstawie art. 20. |
whereas