keyboard_tab Cyber Resilience Act 2023/2841 PL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artykuł 13 Misja i zadania CERT-UE
- 1 Artykuł 14 Wytyczne, zalecenia i wezwania do działania
- 1 Artykuł 16 Sprawy finansowe i kadrowe
- 2 Artykuł 17 Współpraca CERT-UE z jego odpowiednikami w państwach członkowskich
- 3 Artykuł 18 Współpraca CERT-UE z innymi odpowiednikami
- 1 Artykuł 21 Obowiązki w zakresie zgłaszania incydentów
ROZDZIAŁ I
PRZEPISY OGÓLNE
ROZDZIAŁ II
ŚRODKI NA RZECZ WYSOKIEGO WSPÓLNEGO POZIOMU CYBERBEZPIECZEŃSTWA
ROZDZIAŁ III
MIĘDZYINSTYTUCJONALNA RADA DS. CYBERBEZPIECZEŃSTWA
ROZDZIAŁ IV
CERT-UE
ROZDZIAŁ V
OBOWIĄZKI W ZAKRESIE WSPÓŁPRACY I ZGŁASZANIA INCYDENTÓW
ROZDZIAŁ VI
PRZEPISY KOŃCOWE
- podmioty Unii
- sieci i systemy informatyczne
- bezpieczeństwo sieci i systemów informatycznych
- cyberbezpieczeństwo
- kierownictwo najwyższego szczebla
- potencjalne zdarzenie dla cyberbezpieczeństwa
- incydent
- poważny incydent
- incydent w cyberbezpieczeństwie na dużą skalę
- obsługa incydentu
- cyberzagrożenie
- poważne cyberzagrożenie
- podatność
- ryzyko w cyberprzestrzeni
- usługa chmurowa
- unii 53
- cert-ue 43
- się 30
- cyberbezpieczeństwa 24
- iicb 20
- podstawie 19
- podmiotów 19
- informacji 17
- w zakresie 17
- incydentów 16
- w tym 15
- incydentu 14
- cert-ue 14
- przypadkach 14
- incydent 14
- art 13
- może 13
- oraz 12
- podmiotu 11
- ust 11
- informacje 11
- usług 11
- w stosownych 11
- dotyczące 10
- mowa 10
- cyberzagrożeń 9
- dotyczy 9
- informuje 9
- niniejszego 9
- przez 9
- podmiot 8
- w art 8
- którego 8
- zbędnej 8
- zwłoki 8
- podmioty_unii 8
- usługi 8
- ue / 8
- w celu 8
- współpracy 8
- sprawozdanie 7
- o których 7
- zgodnie 7
- dyrektywy 7
- środków 7
- sieci 7
- niż 6
- odpowiednikami 6
- które 6
- poziomie 6
Artykuł 13
Misja i zadania CERT-UE
1. Misją CERT-UE jest przyczynianie się do bezpieczeństwa jawnego środowiska ICT wszystkich podmiotów Unii poprzez doradzanie im w zakresie cyberbezpieczeństwa, pomaganie im w zapobieganiu incydentom, wykrywaniu ich, ich obsłudze, łagodzeniu ich skutków, reagowaniu na nie i usuwaniu ich skutków oraz poprzez pełnienie dla tych podmiotów w roli punktu wymiany informacji na temat cyberbezpieczeństwa i koordynacji reakcji na incydenty.
2. CERT-UE gromadzi, analizuje i udostępnia podmiotom Unii informacje na temat cyberzagrożeń, podatności i incydentów dotyczących jawnej infrastruktury ICT oraz zarządza tymi informacjami. Koordynuje reagowanie na incydenty na poziomie międzyinstytucjonalnym i na poziomie podmiotów Unii, również poprzez świadczenie lub koordynowanie specjalistycznej pomocy operacyjnej.
3. Mając na celu pomoc dla podmiotów Unii, CERT-UE wykonuje następujące zadania:
| a) | wspiera je we wdrażaniu niniejszego rozporządzenia oraz przyczynia się do koordynacji wdrażania niniejszego rozporządzenia za pomocą środków wymienionych w art. 14 ust. 1 lub poprzez sporządzanie sprawozdań ad hoc, o które zwróci się IICB; |
| b) | świadczy standardowe usługi CSIRT dla podmiotów Unii w formie pakietu usług z zakresu cyberbezpieczeństwa opisanych w katalogu usług (zwane dalej „usługami podstawowymi”); |
| c) | utrzymuje sieć równorzędnych podmiotów i partnerów w celu wspierania usług określonych w art. 17 i 18; |
| d) | zwraca uwagę IICB na wszelkie problemy związane z wdrażaniem niniejszego rozporządzenia oraz z wdrażaniem wytycznych, zaleceń i wezwań do działania; |
| e) | na podstawie informacji, o których mowa w ust. 2, przyczynia się w ścisłej współpracy z ENISA do uzyskania orientacji sytuacyjnej w zakresie cyberbezpieczeństwa Unii; |
| f) | koordynuje zarządzanie poważnymi incydentami; |
| g) | działa po stronie podmiotów Unii jako odpowiednik koordynatora wyznaczonego na potrzeby skoordynowanego ujawniania podatności na podstawie art. 12 ust. 1 dyrektywy (UE) 2022/2555; |
| h) | na wniosek podmiotu Unii dokonuje proaktywnego nieinwazyjnego skanowania publicznie dostępnych sieci i systemów informatycznych tego podmiotu Unii. |
W stosownych przypadkach i z zastrzeżeniem odpowiedniej poufności informacje, o których mowa w akapicie pierwszym lit. e), udostępnia się IICB, sieci CSIRT i Centrum Analiz Wywiadowczych Unii Europejskiej (EU INTCEN).
4. CERT-UE może, zgodnie z odpowiednio art. 17 lub 18, współpracować ze stosownymi społecznościami zajmującymi się cyberbezpieczeństwem w Unii i w jej państwach członkowskich, w tym w następujących obszarach:
| a) | gotowość, koordynowanie reakcji na incydenty, wymiana informacji i reagowanie w sytuacjach kryzysowych na poziomie technicznym w sprawach związanych z podmiotami Unii; |
| b) | współpraca operacyjna dotycząca sieci CSIRT, w tym w odniesieniu do wzajemnej pomocy; |
| c) | analiza cyberzagrożeń, w tym orientacja sytuacyjna; |
| d) | dowolna kwestia wymagająca fachowej wiedzy technicznej CERT-UE w dziedzinie cyberbezpieczeństwa. |
5. W ramach swoich kompetencji CERT-UE prowadzi zorganizowaną współpracę z ENISA w zakresie budowania zdolności, współpracy operacyjnej i długoterminowych analiz strategicznych cyberzagrożeń zgodnie z rozporządzeniem (UE) 2019/881. CERT-UE może współpracować z Europejskim Centrum ds. Walki z Cyberprzestępczością przy Europolu i wymieniać się z nim informacjami.
6. CERT-UE może świadczyć następujące usługi nie opisane w jego katalogu usług (zwane dalej „usługami płatnymi”):
| a) | usługi wspierające cyberbezpieczeństwo środowiska ICT podmiotów Unii inne niż usługi określone w ust. 3, na podstawie umów o gwarantowanym poziomie usług i z zastrzeżeniem dostępnych zasobów, w szczególności szeroko zakrojone monitorowanie sieci, w tym stanowiące pierwszą linię obrony, całodobowe monitorowanie pod kątem poważnych cyberzagrożeń; |
| b) | usługi wspierające operacje lub projekty w zakresie cyberbezpieczeństwa podmiotów Unii inne niż usługi zapewniające ochronę ich środowiska ICT, na podstawie pisemnych umów i po uprzednim zatwierdzeniu przez IICB; |
| c) | na wniosek – proaktywne skanowanie sieci i systemów informatycznych danego podmiotu Unii w celu wykrycia podatności o potencjalnym znaczącym wpływie; |
| d) | usługi wspierające bezpieczeństwo środowiska ICT świadczone na rzecz organizacji niebędących podmiotami Unii, lecz ściśle współpracujących z podmiotami Unii, na przykład ze względu na powierzone im zadania lub obowiązki na mocy prawa Unii, na podstawie pisemnych umów i po uprzednim zatwierdzeniu przez IICB. |
W odniesieniu do akapitu pierwszego lit. d) po uprzednim zatwierdzeniu przez IICB CERT-UE może w drodze wyjątku zawierać umowy o gwarantowanym poziomie usług z podmiotami innymi niż podmioty_Unii.
7. CERT-UE organizuje ćwiczenia w zakresie cyberbezpieczeństwa i może w nich uczestniczyć lub zalecać uczestnictwo w istniejących ćwiczeniach, w stosownych przypadkach w ścisłej współpracy z ENISA, w celu testowania poziomu cyberbezpieczeństwa podmiotów Unii.
8. CERT-UE może udzielać pomocy podmiotom Unii w razie incydentów w sieciach i systemach informatycznych przetwarzających EUCI, o ile zainteresowane podmioty_Unii wyraźnie się o to zwrócą zgodnie ze swoimi odpowiednimi procedurami. Udzielanie pomocy przez CERT-UE na podstawie niniejszego ustępu pozostaje bez uszczerbku dla mających zastosowanie przepisów dotyczących ochrony informacji niejawnych.
9. CERT-UE informuje podmioty_Unii o swoich procedurach i procesach obsługi incydentów.
10. CERT-UE dostarcza, z zachowaniem wysokiego poziomu poufności i wiarygodności, za pomocą odpowiednich mechanizmów współpracy i podległości służbowej, istotnych i zanonimizowanych informacji o poważnych incydentach i sposobie ich obsługi. Informacje te włącza się do sprawozdania, o którym mowa w art. 10 ust. 14.
11. CERT-UE w ścisłej współpracy z EIOD wspiera zainteresowane podmioty_Unii w obsłudze incydentów powodujących naruszenie danych osobowych, bez uszczerbku dla właściwości i zadań EIOD jako organu nadzorczego zgodnie z rozporządzeniem (UE) 2018/1725.
12. CERT-UE może, na wyraźny wniosek jednostek podmiotów Unii zajmujących się poszczególnymi politykami, zapewnić doradztwo techniczne lub wkład techniczny w odpowiednich kwestiach dotyczących polityki.
Artykuł 14
Wytyczne, zalecenia i wezwania do działania
1. CERT-UE wspiera wdrażanie niniejszego rozporządzenia poprzez:
| a) | wydawanie wezwań do działania opisujących pilne środki w zakresie bezpieczeństwa, do zastosowania których w określonym terminie wzywa się podmioty_Unii; |
| b) | przedstawianie IICB propozycji wytycznych skierowanych do wszystkich podmiotów Unii lub do części z nich; |
| c) | przedstawianie IICB propozycji zaleceń skierowanych do poszczególnych podmiotów Unii. |
W odniesieniu do akapitu pierwszego lit. a) dany podmiot Unii bez zbędnej zwłoki po otrzymaniu wezwania do działania informuje CERT-UE o sposobie zastosowania pilnych środków w zakresie bezpieczeństwa.
2. Wytyczne i zalecenia mogą obejmować:
| a) | wspólne metody i model oceny dojrzałości podmiotów Unii w zakresie cyberbezpieczeństwa, w tym odpowiednie skale lub kluczowe wskaźniki skuteczności działania, służące jako punkt odniesienia dla stałych postępów w zakresie cyberbezpieczeństwa we wszystkich podmiotach Unii i ułatwiające traktowanie priorytetowo poszczególnych obszarów cyberbezpieczeństwa i środków z zakresu cyberbezpieczeństwa z uwzględnieniem stanu cyberbezpieczeństwa w poszczególnych podmiotach; |
| b) | ustalenia dotyczące zarządzania ryzykiem w cyberprzestrzeni i ustalenia dotyczące środków zarządzania ryzykiem w cyberprzestrzeni lub usprawnienia tych elementów; |
| c) | ustalenia dotyczące ocen dojrzałości w zakresie cyberbezpieczeństwa i planów dotyczących cyberbezpieczeństwa; |
| d) | w stosownych przypadkach wykorzystywanie wspólnej technologii, architektury, otwartego oprogramowania i powiązanych najlepszych praktyk w celu osiągnięcia interoperacyjności i wspólnych norm, w tym skoordynowanego podejścia do bezpieczeństwa łańcucha dostaw; |
| e) | w stosownych przypadkach informacje ułatwiające posługiwanie się narzędziami udzielania zamówień realizowanych na zasadzie współpracy na zakup odpowiednich usług i produktów z zakresu cyberbezpieczeństwa od zewnętrznych dostawców; |
| f) | ustalenia dotyczące wymiany informacji na podstawie art. 20. |
Artykuł 16
Sprawy finansowe i kadrowe
1. CERT-UE wchodzi w skład struktury administracyjnej jednej z dyrekcji generalnych Komisji, aby korzystać z komisyjnych struktur wsparcia administracyjnego, zarządzania finansowego i rachunkowego, zachowując jednocześnie swój status autonomicznego, międzyinstytucjonalnego dostawcy usług dla wszystkich podmiotów Unii. Komisja informuje IICB o miejscu CERT-UE w strukturze administracyjnej oraz o wszelkich zmianach w tym zakresie. Komisja dokonuje regularnie przeglądu ustaleń administracyjnych dotyczących CERT-UE oraz każdorazowo przed ustanowieniem wieloletnich ram finansowych na podstawie art. 312 TFUE, aby umożliwić podjęcie odpowiednich działań. Przegląd obejmuje możliwość ustanowienia CERT-UE jako urzędu Unii.
2. W kwestii stosowania procedur administracyjnych i finansowych szef CERT-UE działa z upoważnienia Komisji oraz pod nadzorem IICB.
3. Zadania i działania CERT-UE, w tym usługi świadczone przez CERT-UE zgodnie z art. 13 ust. 3, 4, 5 i 7 oraz art. 14 ust. 1 na rzecz podmiotów Unii finansowanych w ramach działu wieloletnich ram finansowych dotyczącego europejskiej administracji publicznej, są finansowane z odrębnej linii budżetowej budżetu Komisji. Stanowiska przeznaczone dla CERT-UE wyszczególnia się w przypisie do planu zatrudnienia Komisji.
4. Podmioty Unii inne niż te wymienione w ust. 3 niniejszego artykułu wnoszą roczny wkład finansowy na rzecz CERT-UE w celu pokrycia kosztów usług świadczonych przez CERT-UE na podstawie tego ustępu. Wkłady opierają się na wskazówkach wydanych przez IICB i są przedmiotem uzgodnień zawartych między każdym podmiotem Unii a CERT-UE w umowach o gwarantowanym poziomie usług. Wkłady muszą odzwierciedlać sprawiedliwy i proporcjonalny udział w całkowitych kosztach świadczonych usług. Ujmuje się je w odrębnej linii budżetowej, o której mowa w ust. 3 niniejszego artykułu, jako wewnętrzne dochody przeznaczone na określony cel, jak przewidziano w art. 21 ust. 3 lit. c) rozporządzenia (UE, Euratom) 2018/1046.
5. Koszty usług przewidzianych w art. 13 ust. 6 odzyskuje się od podmiotów Unii korzystających z usług CERT-UE. Dochody przypisuje się do linii budżetowych przeznaczonych na pokrycie kosztów.
Artykuł 17
Współpraca CERT-UE z jego odpowiednikami w państwach członkowskich
1. Bez zbędnej zwłoki CERT-UE współpracuje i prowadzi wymianę informacji ze swoimi odpowiednikami z państw członkowskich, w szczególności z CSIRT wyznaczonymi lub ustanowionymi na podstawie art. 10 dyrektywy (UE) 2022/2555 lub w stosownych przypadkach z właściwymi organami i z pojedynczymi punktami kontaktowymi wyznaczonymi lub ustanowionymi na podstawie art. 8 tej dyrektywy, w zakresie incydentów, cyberzagrożeń, podatności, potencjalnych zdarzeń dla cyberbezpieczeństwa, ewentualnych środków zaradczych oraz najlepszych praktyk, jak również wszystkich kwestii istotnych dla lepszej ochrony środowisk ICT podmiotów Unii, w tym za pośrednictwem sieci CSIRT ustanowionej na podstawie art. 15 dyrektywy (UE) 2022/2555. CERT-UE wspiera Komisję w ramach EU-CyCLONe, ustanowionego na podstawie art. 16 dyrektywy (UE) 2022/2555, w skoordynowanym zarządzaniu kryzysami i incydentami w cyberbezpieczeństwie na dużą skalę.
2. W przypadku gdy CERT-UE dowie się o wystąpieniu znaczącego incydentu na terytorium danego państwa członkowskiego, niezwłocznie powiadamia on właściwego odpowiednika w tym państwie członkowskim, zgodnie z ust. 1.
3. Jeżeli dane osobowe są chronione zgodnie z mającym zastosowanie prawem Unii dotyczącym ochrony danych, CERT-UE bez zbędnej zwłoki, wymienia z odpowiednikami z państw członkowskich stosowne informacje dotyczące konkretnych incydentów, aby ułatwić wykrywanie podobnych cyberzagrożeń lub incydentów lub by przyczynić się do analizy incydentu, co nie wymaga zgody podmiotu Unii, którego dotyczy incydent. CERT-UE wymienia informacje dotyczące konkretnych incydentów, które ujawniają tożsamość celu, wyłącznie w jednej z następujących sytuacji
| a) | podmiot Unii, którego dotyczy incydent, wyraził zgodę; |
| b) | podmiot Unii, którego dotyczy incydent, nie wyraził zgody przewidzianej w lit. a), lecz ujawnienie tożsamości tego podmiotu Unii mogłoby zwiększyć prawdopodobieństwo uniknięcia incydentów lub złagodzenia ich skutków w innych miejscach; |
| c) | podmiot Unii, którego dotyczy incydent, już podał do wiadomości publicznej, że padł ofiarą incydentu. |
Decyzje o wymianie informacji dotyczących konkretnego incydentu, które ujawniają tożsamość celu, w który wymierzony był incydent, podjęte na podstawie akapitu pierwszego lit. b) zatwierdza szef CERT-UE. Przed wydaniem takiej decyzji CERT-UE kontaktuje się na piśmie z podmiotem Unii, którego dotyczy incydent, wyjaśniając, w jaki sposób ujawnienie tożsamości podmiotu pomogłoby uniknąć incydentów lub złagodzić ich skutki w innych miejscach. Szef CERT-UE przedstawia wyjaśnienie i wyraźnie zwraca się do podmiotu Unii o wydanie w określonym terminie oświadczenia, czy wyraża zgodę. Szef CERT-UE informuje również podmiot Unii, że w świetle przedstawionych wyjaśnień zastrzega on sobie prawo do ujawnienia informacji nawet pomimo braku zgody. Przed ujawnieniem informacji informuje się o tym podmiot Unii, którego dotyczy incydent.
Artykuł 18
Współpraca CERT-UE z innymi odpowiednikami
1. CERT-UE może współpracować ze swoimi odpowiednikami w Unii innymi niż te, o których mowa w art. 17, podlegającymi unijnym wymogom w zakresie cyberbezpieczeństwa, w tym z odpowiednikami działającymi w konkretnych sektorach przemysłu, w zakresie narzędzi i metod, takich jak techniki, taktyka, procedury i najlepsze praktyki, a także w zakresie cyberzagrożeń i podatności. CERT-UE zwraca się do IICB o uprzednią – analizowaną indywidualnie dla każdego przypadku – zgodę na podjęcie wszelkiej współpracy z takimi odpowiednikami. w przypadku gdy CERT-UE nawiązuje współpracę z takimi odpowiednikami, informuje wszystkie stosowne odpowiedniki, o których mowa w art. 17 ust. 1, z państwa członkowskiego, w którym dany odpowiednik ma siedzibę. w stosownych przypadkach taką współpracę i jej warunki, w tym dotyczące cyberbezpieczeństwa, ochrony danych i przetwarzania informacji, ustanawia się w szczególnych uzgodnieniach o poufności, takich jak umowy lub porozumienia administracyjne. Uzgodnienia o poufności nie wymagają uprzedniej zgody IICB, ale o ich zawarciu informuje się przewodniczącego IICB. Jeżeli zachodzi pilna i nieuchronna potrzeba wymiany informacji na temat cyberbezpieczeństwa w interesie podmiotów Unii lub innej strony, CERT-UE może wymieniać informacje z podmiotem, którego szczególne kompetencje, zdolności i wiedza fachowa są zasadnie wymagane do udzielenia pomocy w takiej pilnej i nieuchronnej potrzebie, nawet jeżeli CERT-UE nie zawarł z tym podmiotem uzgodnień o poufności. w takich przypadkach CERT-UE natychmiast informuje przewodniczącego IICB i powiadamia IICB w formie regularnych sprawozdań lub spotkań.
2. CERT-UE może współpracować z partnerami, takimi jak podmioty komercyjne, w tym podmioty działające w konkretnych sektorach przemysłu, organizacje międzynarodowe, podmioty krajowe spoza Unii lub indywidualni eksperci, w celu zbierania informacji na temat ogólnych i szczególnych cyberzagrożeń, potencjalnych zdarzeń dla cyberbezpieczeństwa, podatności i ewentualnych środków zaradczych. CERT-UE zwraca się do IICB o uprzednią – analizowaną indywidualnie dla każdego przypadku – zgodę na podjęcie szerszej współpracy z takimi partnerami.
3. CERT-UE może, za zgodą podmiotu Unii, którego dotyczy incydent, i pod warunkiem zawarcia z właściwym odpowiednikiem lub partnerem uzgodnień lub umowy o poufności, przekazać informacje dotyczące konkretnego incydentu odpowiednikom lub partnerom, o których mowa w ust. 1 i 2, wyłącznie w celu przyczynienia się do jego analizy.
ROZDZIAŁ V
OBOWIĄZKI W ZAKRESIE WSPÓŁPRACY I ZGŁASZANIA INCYDENTÓW
Artykuł 21
Obowiązki w zakresie zgłaszania incydentów
1. Incydent uznaje się za znaczący, jeżeli:
| a) | spowodował lub może spowodować dotkliwe zakłócenia operacyjne w funkcjonowaniu lub straty finansowe dla danego podmiotu Unii; |
| b) | wpłynął lub może wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe i niemajątkowe. |
2. Podmioty Unii przedkładają CERT-UE:
| a) | bez zbędnej zwłoki, a w każdym razie w ciągu 24 godzin od powzięcia wiedzy o znaczącym incydencie – wczesne ostrzeżenie, w którym w stosownych przypadkach wskazuje się, że znaczący incydent został przypuszczalnie wywołany działaniem bezprawnym lub działaniem w złym zamiarze lub że mógł wywrzeć wpływ międzyinstytucjonalny lub transgraniczny; |
| b) | bez zbędnej zwłoki, a w każdym razie w ciągu 72 godzin od powzięcia wiedzy o znaczącym incydencie – zgłoszenie incydentu, w stosownych przypadkach wraz z aktualizacją informacji, o których mowa w lit. a), i ze wskazaniem wstępnej oceny znaczącego incydentu, w tym jego dotkliwości i skutków, a w stosownych przypadkach także oznak naruszenia integralności systemu; |
| c) | na wniosek CERT-UE – sprawozdanie okresowe na temat odpowiednich aktualizacji statusu; |
| d) | nie później niż miesiąc po zgłoszeniu incydentu na podstawie lit. b) – sprawozdanie końcowe zawierające następujące elementy:
|
| e) | jeżeli incydent nie zakończył się w terminie składania sprawozdania końcowego, o którym mowa w lit. d) – sprawozdanie z postępu prac w danym momencie oraz sprawozdanie końcowe w terminie jednego miesiąca od zakończenia przez nie obsługi incydentu. |
3. Podmiot Unii bez zbędnej zwłoki, a w każdym razie w ciągu 24 godzin od powzięcia wiedzy o znaczącym incydencie, informuje o wystąpieniu znaczącego incydentu wszelkie stosowne odpowiedniki krajowe, o których mowa w art. 17 ust. 1, w państwie członkowskim, w którym podmiot ten ma siedzibę.
4. Podmioty Unii zgłaszają między innymi wszelkie informacje umożliwiające CERT-UE określenie wszelkiego wpływu międzyinstytucjonalnego, wpływu na przyjmujące państwo członkowskie lub transgranicznego wpływu znaczącego incydentu. Bez uszczerbku dla art. 12 samo zgłoszenie nie nakłada na podmiot Unii zwiększonej odpowiedzialności.
5. W stosownych przypadkach podmioty_Unii bez zbędnej zwłoki powiadamiają użytkowników sieci i systemów informatycznych, których dotyczy incydent, lub użytkowników innych elementów środowiska ICT, których potencjalnie dotyczy znaczący incydent lub poważne cyberzagrożenie, oraz którzy w stosownych przypadkach mają potrzebę podjęcia środków łagodzących, o wszelkich środkach lub środkach zaradczych, które użytkownicy ci mogą zastosować w reakcji na ten incydent lub to zagrożenie. w stosownych przypadkach podmioty_Unii informują tych użytkowników o samym poważnym cyberzagrożeniu.
6. Jeżeli znaczący incydent lub poważne cyberzagrożenie mają wpływ na sieć i system informatyczny lub element środowiska ICT podmiotu Unii, które jest celowo powiązane ze środowiskiem ICT innego podmiotu Unii, CERT-UE wydaje stosowne ostrzeżenie dotyczące cyberbezpieczeństwa.
7. Podmioty Unii, na wniosek CERT-UE, przekazują mu bez zbędnej zwłoki informacje cyfrowe wygenerowane w wyniku korzystania z urządzeń elektronicznych uczestniczących w incydentach, które u nich wystąpiły. CERT-UE może dodatkowo sprecyzować, jakiego rodzaju informacji cyfrowych potrzebuje do celów orientacji sytuacyjnej i zareagowania na incydenty.
8. Co trzy miesiące CERT-UE przedkłada IICB, ENISA, EU INTCEN i sieci CSIRT sprawozdanie podsumowujące zawierające zanonimizowane i zagregowane dane dotyczące znaczących incydentów, incydentów, cyberzagrożeń, potencjalnych zdarzeń dla cyberbezpieczeństwa i podatności na podstawie art. 20 oraz znaczących incydentów zgłoszonych na podstawie ust. 2 niniejszego artykułu. To sprawozdanie podsumowujące stanowi wkład w przedstawiane co dwa lata sprawozdanie na temat stanu cyberbezpieczeństwa w Unii przyjmowane na podstawie art. 18 dyrektywy (UE) 2022/2555.
9. Do dnia 8 lipca 2024 r. IICB wyda wytyczne lub zalecenia doprecyzowujące zasady składania, format i treść zgłoszeń na podstawie niniejszego artykułu. Przygotowując takie wytyczne lub zalecenia, IICB uwzględnia wszelkie akty wykonawcze przyjęte na podstawie art. 23 ust. 11 dyrektywy (UE) 2022/2555 określające rodzaj informacji, format i procedurę zgłoszeń. CERT-UE rozpowszechnia odpowiednie szczegółowe informacje techniczne w celu umożliwienia proaktywnego wykrywania incydentów, reagowania na nie lub wprowadzania środków łagodzących ich skutki przez podmioty_Unii.
10. Obowiązki w zakresie zgłaszania incydentów określone w niniejszym artykule nie obejmują:
| a) | EUCI; |
| b) | informacji, których dalsze rozpowszechnianie zostało wykluczone za pomocą widocznego oznakowania, chyba że wyraźnie zezwolono na ich wymianę z CERT-UE. |
whereas