keyboard_tab Cyber Resilience Act 2023/2841 PL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artykuł 6 Ramy zarządzania ryzykiem w cyberprzestrzeni, jego nadzorowania i kontroli
- 1 Artykuł 15 Szef CERT-UE
- 2 Artykuł 16 Sprawy finansowe i kadrowe
- 1 Artykuł 21 Obowiązki w zakresie zgłaszania incydentów
ROZDZIAŁ I
PRZEPISY OGÓLNE
ROZDZIAŁ II
ŚRODKI NA RZECZ WYSOKIEGO WSPÓLNEGO POZIOMU CYBERBEZPIECZEŃSTWA
ROZDZIAŁ III
MIĘDZYINSTYTUCJONALNA RADA DS. CYBERBEZPIECZEŃSTWA
ROZDZIAŁ IV
CERT-UE
ROZDZIAŁ V
OBOWIĄZKI W ZAKRESIE WSPÓŁPRACY I ZGŁASZANIA INCYDENTÓW
ROZDZIAŁ VI
PRZEPISY KOŃCOWE
- podmioty Unii
- sieci i systemy informatyczne
- bezpieczeństwo sieci i systemów informatycznych
- cyberbezpieczeństwo
- kierownictwo najwyższego szczebla
- potencjalne zdarzenie dla cyberbezpieczeństwa
- incydent
- poważny incydent
- incydent w cyberbezpieczeństwie na dużą skalę
- obsługa incydentu
- cyberzagrożenie
- poważne cyberzagrożenie
- podatność
- ryzyko w cyberprzestrzeni
- usługa chmurowa
- cert-ue 41
- unii 33
- oraz 16
- cyberbezpieczeństwa 14
- się 14
- iicb 14
- usług 13
- podmiotu 13
- w tym 12
- niniejszego 11
- ust 10
- rozporządzenia 10
- art 10
- przez 9
- przypadkach 9
- incydentu 9
- sprawozdania 9
- podstawie 8
- których 8
- podmiot 8
- może 7
- ramy 7
- które 7
- sprawozdanie 7
- incydentów 7
- w stosownych 6
- incydent 6
- zbędnej 6
- zwłoki 6
- zarządzania 5
- w cyberprzestrzeni 5
- mowa 5
- wszelkie 5
- jego 5
- szef 5
- urzędnika 5
- wpływu 5
- projekt 5
- komisji 5
- znaczący 4
- w zakresie 4
- sieci 4
- szczebla 4
- dotyczące 4
- tego 4
- wdrażanie 4
- podmioty 4
- artykuł 4
- podmiotów 4
- poziomie 4
Artykuł 6
Ramy zarządzania ryzykiem w cyberprzestrzeni, jego nadzorowania i kontroli
1. Do dnia 8 kwietnia 2025 r. każdy podmiot Unii, po przeprowadzeniu wstępnej analizy cyberbezpieczeństwa, takiej jak audyt, ustanawia wewnętrzne ramy zarządzania ryzykiem w cyberprzestrzeni, jego nadzorowania i kontroli (zwane dalej „Ramami”). Ustanowienie Ram nadzoruje kierownictwo_najwyższego_szczebla podmiotu Unii, które ponosi za nie odpowiedzialność.
2. Ramy obejmują swym zakresem całość jawnego środowiska ICT danego podmiotu Unii (zwanego dalej „środowiskiem ICT”), w tym każde środowisko ICT i sieć technologii operacyjnej znajdujące się w obiektach tego podmiotu, wszelkie aktywa i usługi, które przekazano w ramach outsourcingu do środowisk przetwarzania w chmurze lub których hosting prowadzą strony trzecie, a także urządzenia mobilne, sieci instytucjonalne, sieci biznesowe niepodłączone do internetu oraz wszelkie urządzenia podłączone do tych środowisk. Ramy opierają się na podejściu uwzględniającym wszystkie zagrożenia.
3. Ramy muszą zapewniać wysoki poziom cyberbezpieczeństwa. Ramy określają wewnętrzną politykę w zakresie cyberbezpieczeństwa, w tym cele i priorytety, w odniesieniu do bezpieczeństwa sieci i systemów informatycznych, a także role i obowiązki członków personelu podmiotu Unii, których zadaniem jest zapewnienie skutecznego wdrożenia niniejszego rozporządzenia. Ramy obejmują również mechanizmy pomiaru skuteczności wdrażania.
4. Ramy poddaje się regularnemu przeglądowi w świetle ewolucji ryzyka w cyberprzestrzeni i co najmniej raz na cztery lata. w stosownych przypadkach i na wniosek Międzyinstytucjonalnej Rady ds. Cyberbezpieczeństwa ustanowionej na mocy art. 10 Ramy podmiotu Unii mogą być aktualizowane w oparciu o wskazówki od CERT-UE dotyczące zidentyfikowanych incydentów lub zaobserwowanych ewentualnych luk we wdrażaniu niniejszego rozporządzenia.
5. Kierownictwo najwyższego szczebla każdego podmiotu Unii odpowiada za wdrażanie niniejszego rozporządzenia i nadzoruje wypełnianie przez jego struktury obowiązków związanych z Ramami.
6. W stosownych przypadkach i bez uszczerbku dla swojej odpowiedzialności za wdrażanie niniejszego rozporządzenia kierownictwo_najwyższego_szczebla każdego podmiotu Unii może przekazać określone obowiązki wynikające z niniejszego rozporządzenia urzędnikom wyższego szczebla w rozumieniu art. 29 ust. 2 regulaminu pracowniczego lub innym urzędnikom na równoważnym szczeblu w danym podmiocie Unii. Niezależnie od takiego przekazania obowiązków dany podmiot Unii może pociągnąć kierownictwo_najwyższego_szczebla do odpowiedzialności za naruszenia niniejszego rozporządzenia.
7. Każdy podmiot Unii musi posiadać skuteczne mechanizmy zapewniające, aby odpowiedni odsetek budżetu przewidzianego na ICT był przeznaczany na cyberbezpieczeństwo. Przy ustalaniu tego odsetka należy odpowiednio uwzględnić Ramy.
8. Każdy podmiot Unii wyznacza lokalnego urzędnika ds. cyberbezpieczeństwa lub osobę pełniącą równoważną funkcję, która działa jako pojedynczy punkt kontaktowy tego podmiotu w odniesieniu do wszystkich kwestii związanych z cyberbezpieczeństwem. Lokalny urzędnik ds. cyberbezpieczeństwa ułatwia wdrażanie niniejszego rozporządzenia i regularnie składa sprawozdania na temat stanu wdrożenia bezpośrednio kierownictwu najwyższego szczebla. Bez uszczerbku dla pełnionej przez lokalnego urzędnika ds. cyberbezpieczeństwa funkcji pojedynczego punktu kontaktowego w każdym podmiocie Unii, podmiot Unii może przekazać CERT-UE niektóre zadania lokalnego urzędnika ds. cyberbezpieczeństwa związane z wdrażaniem niniejszego rozporządzenia na podstawie umowy o gwarantowanym poziomie usług zawartej między tym podmiotem Unii a CERT-UE lub zadaniami tymi może podzielić się kilka podmiotów Unii. Jeżeli zadania te przekazuje się CERT-UE, Międzyinstytucjonalna Rada ds. Cyberbezpieczeństwa ustanowiona na mocy art. 10 decyduje, czy świadczenie tej usługi ma być częścią podstawowych usług CERT-UE, uwzględniając zasoby ludzkie i finansowe danego podmiotu Unii. Każdy podmiot Unii bez zbędnej zwłoki powiadamia CERT-UE o wyznaczeniu lokalnego urzędnika ds. cyberbezpieczeństwa oraz wszelkich zmianach w tym zakresie.
CERT-UE tworzy i aktualizuje listę wyznaczonych lokalnych urzędników ds. cyberbezpieczeństwa.
9. Urzędnicy wyższego szczebla w rozumieniu art. 29 ust. 2 regulaminu pracowniczego lub inni urzędnicy na równoważnym szczeblu w każdym podmiocie Unii, a także wszyscy odpowiedni członkowie personelu, których zadaniem jest wdrażanie środków i wypełnianie obowiązków w zakresie zarządzania ryzykiem w cyberprzestrzeni określonych w niniejszym rozporządzeniu, regularnie uczestniczą w specjalnych szkoleniach, aby zdobyć wystarczającą wiedzę i wystarczające umiejętności umożliwiające zrozumienie i ocenę ryzyka w cyberprzestrzeni i praktyk zarządzania nim oraz ich wpływu na działalność danego podmiotu Unii.
Artykuł 15
Szef CERT-UE
1. Komisja, za zgodą dwóch trzecich członków IICB, mianuje szefa CERT-UE. Na wszystkich etapach procedury mianowania, w szczególności w odniesieniu do przygotowywania ogłoszeń o naborze, rozpatrywania kandydatur oraz powoływania komisji selekcyjnych do celu wyboru na to stanowisko, prowadzi się konsultacje z IICB. Procedura wyboru, w tym ostateczna skrócona lista kandydatów, spośród których ma zostać mianowany szef CERT-UE, musi gwarantować sprawiedliwą reprezentację każdej z płci z uwzględnieniem przedstawionych kandydatur.
2. Szef CERT-UE odpowiada za sprawne funkcjonowanie CERT-UE i działa w ramach kompetencji związanych z jego funkcją oraz pod kierownictwem IICB. Szef CERT-UE regularnie składa sprawozdania przewodniczącemu IICB oraz – na żądanie IICB – składa IICB sprawozdania ad hoc.
3. Szef CERT-UE wspomaga odpowiedzialnego delegowanego urzędnika zatwierdzającego w sporządzaniu rocznego sprawozdania z działalności zawierającego informacje dotyczące finansów i zarządzania, w tym wyniki kontroli, przygotowywanego zgodnie z art. 74 ust. 9 rozporządzenia Parlamentu Europejskiego i Rady (UE, Euratom) 2018/1046 (9) i regularnie składa temu delegowanemu urzędnikowi zatwierdzającemu sprawozdania z realizacji działań, co do których szefowi CERT-UE przekazano uprawnienia na zasadzie subdelegacji.
4. Szef CERT-UE opracowuje co roku plan dochodów i wydatków administracyjnych na potrzeby działalności CERT-UE, projekt rocznego programu prac, projekt katalogu usług CERT-UE, projekt zmian w katalogu usług, projekt warunków umów o gwarantowanym poziomie usług oraz projekt kluczowych wskaźników skuteczności działania CERT-UE, które mają zostać zatwierdzone przez IICB zgodnie z art. 11. Dokonując rewizji wykazu usług w katalogu usług CERT-UE, szef CERT-UE uwzględnia zasoby przydzielone CERT-UE.
5. Szef CERT-UE co najmniej raz do roku przedkłada IICB i przewodniczącemu IICB sprawozdania z działalności i wyników CERT-UE za okres odniesienia, w tym z wykonania budżetu, zawartych umów o gwarantowanym poziomie usług i pisemnych umów, współpracy z odpowiednikami i partnerami oraz z misji podejmowanych przez członków personelu, w tym sprawozdania, o których mowa w art. 11. Sprawozdania te obejmują program prac na kolejny okres, plan dochodów i wydatków, w tym plan zatrudnienia, planowane aktualizacje katalogu usług CERT-UE oraz ocenę spodziewanego wpływu takich aktualizacji na zasoby finansowe i ludzkie.
Artykuł 16
Sprawy finansowe i kadrowe
1. CERT-UE wchodzi w skład struktury administracyjnej jednej z dyrekcji generalnych Komisji, aby korzystać z komisyjnych struktur wsparcia administracyjnego, zarządzania finansowego i rachunkowego, zachowując jednocześnie swój status autonomicznego, międzyinstytucjonalnego dostawcy usług dla wszystkich podmiotów Unii. Komisja informuje IICB o miejscu CERT-UE w strukturze administracyjnej oraz o wszelkich zmianach w tym zakresie. Komisja dokonuje regularnie przeglądu ustaleń administracyjnych dotyczących CERT-UE oraz każdorazowo przed ustanowieniem wieloletnich ram finansowych na podstawie art. 312 TFUE, aby umożliwić podjęcie odpowiednich działań. Przegląd obejmuje możliwość ustanowienia CERT-UE jako urzędu Unii.
2. W kwestii stosowania procedur administracyjnych i finansowych szef CERT-UE działa z upoważnienia Komisji oraz pod nadzorem IICB.
3. Zadania i działania CERT-UE, w tym usługi świadczone przez CERT-UE zgodnie z art. 13 ust. 3, 4, 5 i 7 oraz art. 14 ust. 1 na rzecz podmiotów Unii finansowanych w ramach działu wieloletnich ram finansowych dotyczącego europejskiej administracji publicznej, są finansowane z odrębnej linii budżetowej budżetu Komisji. Stanowiska przeznaczone dla CERT-UE wyszczególnia się w przypisie do planu zatrudnienia Komisji.
4. Podmioty Unii inne niż te wymienione w ust. 3 niniejszego artykułu wnoszą roczny wkład finansowy na rzecz CERT-UE w celu pokrycia kosztów usług świadczonych przez CERT-UE na podstawie tego ustępu. Wkłady opierają się na wskazówkach wydanych przez IICB i są przedmiotem uzgodnień zawartych między każdym podmiotem Unii a CERT-UE w umowach o gwarantowanym poziomie usług. Wkłady muszą odzwierciedlać sprawiedliwy i proporcjonalny udział w całkowitych kosztach świadczonych usług. Ujmuje się je w odrębnej linii budżetowej, o której mowa w ust. 3 niniejszego artykułu, jako wewnętrzne dochody przeznaczone na określony cel, jak przewidziano w art. 21 ust. 3 lit. c) rozporządzenia (UE, Euratom) 2018/1046.
5. Koszty usług przewidzianych w art. 13 ust. 6 odzyskuje się od podmiotów Unii korzystających z usług CERT-UE. Dochody przypisuje się do linii budżetowych przeznaczonych na pokrycie kosztów.
Artykuł 21
Obowiązki w zakresie zgłaszania incydentów
1. Incydent uznaje się za znaczący, jeżeli:
| a) | spowodował lub może spowodować dotkliwe zakłócenia operacyjne w funkcjonowaniu lub straty finansowe dla danego podmiotu Unii; |
| b) | wpłynął lub może wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe i niemajątkowe. |
2. Podmioty Unii przedkładają CERT-UE:
| a) | bez zbędnej zwłoki, a w każdym razie w ciągu 24 godzin od powzięcia wiedzy o znaczącym incydencie – wczesne ostrzeżenie, w którym w stosownych przypadkach wskazuje się, że znaczący incydent został przypuszczalnie wywołany działaniem bezprawnym lub działaniem w złym zamiarze lub że mógł wywrzeć wpływ międzyinstytucjonalny lub transgraniczny; |
| b) | bez zbędnej zwłoki, a w każdym razie w ciągu 72 godzin od powzięcia wiedzy o znaczącym incydencie – zgłoszenie incydentu, w stosownych przypadkach wraz z aktualizacją informacji, o których mowa w lit. a), i ze wskazaniem wstępnej oceny znaczącego incydentu, w tym jego dotkliwości i skutków, a w stosownych przypadkach także oznak naruszenia integralności systemu; |
| c) | na wniosek CERT-UE – sprawozdanie okresowe na temat odpowiednich aktualizacji statusu; |
| d) | nie później niż miesiąc po zgłoszeniu incydentu na podstawie lit. b) – sprawozdanie końcowe zawierające następujące elementy:
|
| e) | jeżeli incydent nie zakończył się w terminie składania sprawozdania końcowego, o którym mowa w lit. d) – sprawozdanie z postępu prac w danym momencie oraz sprawozdanie końcowe w terminie jednego miesiąca od zakończenia przez nie obsługi incydentu. |
3. Podmiot Unii bez zbędnej zwłoki, a w każdym razie w ciągu 24 godzin od powzięcia wiedzy o znaczącym incydencie, informuje o wystąpieniu znaczącego incydentu wszelkie stosowne odpowiedniki krajowe, o których mowa w art. 17 ust. 1, w państwie członkowskim, w którym podmiot ten ma siedzibę.
4. Podmioty Unii zgłaszają między innymi wszelkie informacje umożliwiające CERT-UE określenie wszelkiego wpływu międzyinstytucjonalnego, wpływu na przyjmujące państwo członkowskie lub transgranicznego wpływu znaczącego incydentu. Bez uszczerbku dla art. 12 samo zgłoszenie nie nakłada na podmiot Unii zwiększonej odpowiedzialności.
5. W stosownych przypadkach podmioty_Unii bez zbędnej zwłoki powiadamiają użytkowników sieci i systemów informatycznych, których dotyczy incydent, lub użytkowników innych elementów środowiska ICT, których potencjalnie dotyczy znaczący incydent lub poważne cyberzagrożenie, oraz którzy w stosownych przypadkach mają potrzebę podjęcia środków łagodzących, o wszelkich środkach lub środkach zaradczych, które użytkownicy ci mogą zastosować w reakcji na ten incydent lub to zagrożenie. w stosownych przypadkach podmioty_Unii informują tych użytkowników o samym poważnym cyberzagrożeniu.
6. Jeżeli znaczący incydent lub poważne cyberzagrożenie mają wpływ na sieć i system informatyczny lub element środowiska ICT podmiotu Unii, które jest celowo powiązane ze środowiskiem ICT innego podmiotu Unii, CERT-UE wydaje stosowne ostrzeżenie dotyczące cyberbezpieczeństwa.
7. Podmioty Unii, na wniosek CERT-UE, przekazują mu bez zbędnej zwłoki informacje cyfrowe wygenerowane w wyniku korzystania z urządzeń elektronicznych uczestniczących w incydentach, które u nich wystąpiły. CERT-UE może dodatkowo sprecyzować, jakiego rodzaju informacji cyfrowych potrzebuje do celów orientacji sytuacyjnej i zareagowania na incydenty.
8. Co trzy miesiące CERT-UE przedkłada IICB, ENISA, EU INTCEN i sieci CSIRT sprawozdanie podsumowujące zawierające zanonimizowane i zagregowane dane dotyczące znaczących incydentów, incydentów, cyberzagrożeń, potencjalnych zdarzeń dla cyberbezpieczeństwa i podatności na podstawie art. 20 oraz znaczących incydentów zgłoszonych na podstawie ust. 2 niniejszego artykułu. To sprawozdanie podsumowujące stanowi wkład w przedstawiane co dwa lata sprawozdanie na temat stanu cyberbezpieczeństwa w Unii przyjmowane na podstawie art. 18 dyrektywy (UE) 2022/2555.
9. Do dnia 8 lipca 2024 r. IICB wyda wytyczne lub zalecenia doprecyzowujące zasady składania, format i treść zgłoszeń na podstawie niniejszego artykułu. Przygotowując takie wytyczne lub zalecenia, IICB uwzględnia wszelkie akty wykonawcze przyjęte na podstawie art. 23 ust. 11 dyrektywy (UE) 2022/2555 określające rodzaj informacji, format i procedurę zgłoszeń. CERT-UE rozpowszechnia odpowiednie szczegółowe informacje techniczne w celu umożliwienia proaktywnego wykrywania incydentów, reagowania na nie lub wprowadzania środków łagodzących ich skutki przez podmioty_Unii.
10. Obowiązki w zakresie zgłaszania incydentów określone w niniejszym artykule nie obejmują:
| a) | EUCI; |
| b) | informacji, których dalsze rozpowszechnianie zostało wykluczone za pomocą widocznego oznakowania, chyba że wyraźnie zezwolono na ich wymianę z CERT-UE. |
whereas