keyboard_tab Cyber Resilience Act 2023/2841 PL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 5 Artykuł 8 Środki zarządzania ryzykiem w cyberprzestrzeni
- 1 Artykuł 23 Zarządzanie poważnymi incydentami
ROZDZIAŁ I
PRZEPISY OGÓLNE
ROZDZIAŁ II
ŚRODKI NA RZECZ WYSOKIEGO WSPÓLNEGO POZIOMU CYBERBEZPIECZEŃSTWA
ROZDZIAŁ III
MIĘDZYINSTYTUCJONALNA RADA DS. CYBERBEZPIECZEŃSTWA
ROZDZIAŁ IV
CERT-UE
ROZDZIAŁ V
OBOWIĄZKI W ZAKRESIE WSPÓŁPRACY I ZGŁASZANIA INCYDENTÓW
ROZDZIAŁ VI
PRZEPISY KOŃCOWE
- podmioty Unii
- sieci i systemy informatyczne
- bezpieczeństwo sieci i systemów informatycznych
- cyberbezpieczeństwo
- kierownictwo najwyższego szczebla
- potencjalne zdarzenie dla cyberbezpieczeństwa
- incydent
- poważny incydent
- incydent w cyberbezpieczeństwie na dużą skalę
- obsługa incydentu
- cyberzagrożenie
- poważne cyberzagrożenie
- podatność
- ryzyko w cyberprzestrzeni
- usługa chmurowa
- unii 11
- oraz 10
- cyberbezpieczeństwa 10
- w cyberprzestrzeni 10
- zarządzania 8
- incydentów 8
- w tym 7
- środki 6
- zarządzanie 6
- podmiotu 4
- podmioty_unii 4
- mowa 4
- podmiotami 4
- bezpieczeństwo 4
- poważnych 4
- informacji 4
- incydentami 4
- w stosownych 4
- między 4
- o których 4
- przypadkach 4
- poważnymi 4
- w zakresie 4
- ryzyka 4
- ust 4
- kryzysami 4
- ryzykiem 4
- podatności 4
- i cyberzagrożeń 3
- przez 3
- łączności 3
- wiedzy 3
- celów 3
- oprogramowania 3
- podstawie 3
- niniejszego 3
- w art 3
- najmniej 3
- informatycznych 3
- z cert-ue 3
- działania 3
- następujące 3
- być 3
- i ich 3
- politykę 3
- bezpiecznego 3
- systemów 2
- artykułu 2
- może 2
- art 2
Artykuł 8
Środki zarządzania ryzykiem w cyberprzestrzeni
1. Bez zbędnej zwłoki, a w każdym razie do dnia 8 września 2025 r. każdy podmiot Unii pod nadzorem swojego kierownictwa najwyższego szczebla podejmuje odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne, aby zarządzać ryzykiem w cyberprzestrzeni zidentyfikowanym na podstawie Ram oraz aby zapobiec incydentom lub zminimalizować ich skutki. Przy uwzględnieniu najnowszego stanu wiedzy, oraz, w stosownych przypadkach, odpowiednich norm europejskich i międzynarodowych, środki te zapewniają poziom bezpieczeństwa sieci i systemów informatycznych w całym środowisku ICT odpowiedni do istniejącego ryzyka w cyberprzestrzeni. Oceniając proporcjonalność tych środków należycie uwzględnia się stopień narażenia podmiotu Unii na ryzyko_w cyberprzestrzeni, wielkość podmiotu, prawdopodobieństwo wystąpienia incydentów i ich dotkliwość, w tym ich skutki społeczne, gospodarcze i międzyinstytucjonalne.
2. Wdrażając środki zarządzania ryzykiem w cyberprzestrzeni, podmioty_Unii uwzględniają co najmniej następujące kwestie:
a) | politykę w zakresie cyberbezpieczeństwa, w tym środki niezbędne do osiągnięcia celów i priorytetów, o których mowa w art. 6 i w ust. 3 niniejszego artykułu; |
b) | politykę analizy ryzyka w cyberprzestrzeni i bezpieczeństwa systemów informatycznych; |
c) | cele strategiczne w zakresie korzystania z usług chmurowych; |
d) | w stosownych przypadkach audyt cyberbezpieczeństwa, który może obejmować ocenę ryzyka w cyberprzestrzeni, podatności i cyberzagrożeń oraz testy penetracyjne przeprowadzane regularnie przez zaufanego usługodawcę z sektora prywatnego; |
e) | wdrożenie zaleceń wynikających z audytów cyberbezpieczeństwa, o których mowa w lit. d), w drodze aktualizacji zasad dotyczących cyberbezpieczeństwa i aktualizacji polityk; |
f) | kwestie organizacyjne dotyczące cyberbezpieczeństwa, w tym wyznaczenie ról i obowiązków; |
g) | zarządzanie aktywami, w tym rejestr zasobów ICT i mapy sieci ICT; |
h) | bezpieczeństwo zasobów ludzkich i kontrolę dostępu; |
i) | bezpieczeństwo operacji; |
j) | bezpieczeństwo łączności; |
k) | nabywanie, rozbudowę i utrzymywanie systemów, w tym polityki postępowania z podatnościami i ich ujawniania; |
l) | w miarę możliwości politykę dotyczącą przejrzystości kodu źródłowego; |
m) | bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem relacji między każdym podmiotem Unii a jego bezpośrednimi dostawcami lub usługodawcami; |
n) | obsługę incydentów oraz współpracę z CERT-UE, na przykład stałe monitorowanie bezpieczeństwa i rejestrowanie danych związanych z bezpieczeństwem; |
o) | zarządzanie ciągłością działania, na przykład zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzanie kryzysowe; oraz |
p) | promowanie i rozwój programów edukowania, rozwijania umiejętności, podnoszenia świadomości, ćwiczeń i szkoleń w dziedzinie cyberbezpieczeństwa. |
Do celów akapitu pierwszego lit. m) podmioty_Unii uwzględniają podatności charakterystyczne dla każdego bezpośredniego dostawcy i usługodawcy oraz ogólną jakość produktów i praktyk w zakresie cyberbezpieczeństwa stosowanych przez ich dostawców i usługodawców, w tym ich procedury bezpiecznego opracowywania.
3. Podmioty Unii stosują co najmniej następujące szczegółowe środki zarządzania ryzykiem w cyberprzestrzeni:
a) | rozwiązania techniczne umożliwiające pracę zdalną i jej utrzymanie; |
b) | konkretne kroki zmierzające do przejścia na zasady zerowego zaufania; |
c) | stosowanie uwierzytelniania wieloskładnikowego jako normy we wszystkich sieciach i systemach informatycznych; |
d) | wykorzystywanie kryptografii i szyfrowania, w szczególności szyfrowania end-to-end, oraz bezpiecznego podpisu cyfrowego; |
e) | w stosownych przypadkach bezpieczne systemy łączności głosowej, wizualnej i tekstowej oraz bezpieczne systemy łączności w sytuacjach nadzwyczajnych wewnątrz podmiotu Unii; |
f) | proaktywne środki wykrywania i usuwania złośliwego oprogramowania i oprogramowania szpiegującego; |
g) | zabezpieczenie łańcucha dostaw oprogramowania poprzez kryteria regulujące opracowywanie i ocenę bezpiecznego oprogramowania; |
h) | tworzenie i przyjmowanie programów szkoleń w zakresie cyberbezpieczeństwa dla kierownictwa najwyższego szczebla i członków personelu podmiotu Unii, którym powierzono zadanie zapewnienia skutecznego wdrożenia niniejszego rozporządzenia, przy czym te programy szkoleń muszą być współmierne do przewidzianych zadań i oczekiwanych zdolności; |
i) | regularne szkolenia z zakresu cyberbezpieczeństwa dla członków personelu; |
j) | w stosownych przypadkach udział w analizach ryzyka dla wzajemnych połączeń między podmiotami Unii; |
k) | wzmocnienie zasad udzielania zamówień publicznych, aby ułatwić osiągnięcie wysokiego wspólnego poziomu cyberbezpieczeństwa poprzez:
|
Artykuł 23
Zarządzanie poważnymi incydentami
1. Aby wspierać na poziomie operacyjnym skoordynowane zarządzanie poważnymi incydentami mającymi wpływ na podmioty_Unii oraz przyczyniać się do regularnej wymiany istotnych informacji między podmiotami Unii i z państwami członkowskimi, IICB ustanawia na podstawie art. 11 lit. q) plan zarządzania kryzysami w cyberprzestrzeni oparty o działania, o których mowa w art. 22 ust. 2, w ścisłej współpracy z CERT-UE i ENISA. Plan zarządzania kryzysami w cyberprzestrzeni obejmuje co najmniej następujące elementy:
a) | ustalenia dotyczące koordynacji i przepływu informacji między podmiotami Unii na potrzeby zarządzania poważnymi incydentami na poziomie operacyjnym; |
b) | wspólne obowiązujące procedury działania (SOP); |
c) | wspólną taksonomię dotkliwości poważnych incydentów i punktów wywołujących kryzys; |
d) | regularne ćwiczenia; |
e) | kanały bezpiecznej komunikacji, które mają być używane. |
2. Przedstawiciel Komisji w IICB, z zastrzeżeniem planu zarządzania kryzysami w cyberprzestrzeni ustanowionego na podstawie ust. 1 niniejszego artykułu i bez uszczerbku dla art. 16 ust. 2 akapit pierwszy dyrektywy (UE) 2022/2555, jest punktem kontaktowym do celów wymiany z EU-CyCLONe istotnych informacji dotyczących poważnych incydentów.
3. CERT-UE koordynuje pomiędzy podmiotami Unii zarządzanie poważnymi incydentami. Prowadzi rejestr dostępnej fachowej wiedzy technicznej, która może być potrzebna, aby zareagować na incydenty w przypadku poważnych incydentów, oraz wspiera IICB w koordynowaniu planów zarządzania kryzysami w cyberprzestrzeni opracowywanych przez podmioty_Unii na wypadek poważnych incydentów, o których to planach mowa w art. 9 ust. 2.
4. Podmioty Unii wnoszą wkład w tworzenie rejestru fachowej wiedzy technicznej, udostępniając aktualizowany co roku wykaz ekspertów dostępnych w ich odpowiednich organizacjach, z wyszczególnieniem ich konkretnych umiejętności technicznych.
ROZDZIAŁ VI
PRZEPISY KOŃCOWE
whereas