keyboard_tab Cyber Resilience Act 2023/2841 PL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artykuł 3 Definicje
- 1 Artykuł 4 Przetwarzanie danych osobowych
- 3 Artykuł 10 Międzyinstytucjonalna Rada ds. Cyberbezpieczeństwa
- 2 Artykuł 17 Współpraca CERT-UE z jego odpowiednikami w państwach członkowskich
- 1 Artykuł 21 Obowiązki w zakresie zgłaszania incydentów
- 1 Artykuł 25 Przegląd
- Artykuł 26 Wejście w życie
ROZDZIAŁ I
PRZEPISY OGÓLNE
ROZDZIAŁ II
ŚRODKI NA RZECZ WYSOKIEGO WSPÓLNEGO POZIOMU CYBERBEZPIECZEŃSTWA
ROZDZIAŁ III
MIĘDZYINSTYTUCJONALNA RADA DS. CYBERBEZPIECZEŃSTWA
ROZDZIAŁ IV
CERT-UE
ROZDZIAŁ V
OBOWIĄZKI W ZAKRESIE WSPÓŁPRACY I ZGŁASZANIA INCYDENTÓW
ROZDZIAŁ VI
PRZEPISY KOŃCOWE
- podmioty Unii
- sieci i systemy informatyczne
- bezpieczeństwo sieci i systemów informatycznych
- cyberbezpieczeństwo
- kierownictwo najwyższego szczebla
- potencjalne zdarzenie dla cyberbezpieczeństwa
- incydent
- poważny incydent
- incydent w cyberbezpieczeństwie na dużą skalę
- obsługa incydentu
- cyberzagrożenie
- poważne cyberzagrożenie
- podatność
- ryzyko w cyberprzestrzeni
- usługa chmurowa
- unii 41
- cert-ue 27
- ue / 25
- iicb 24
- podstawie 20
- dyrektywy 18
- art 18
- rozporządzenia 18
- oraz 17
- incydent 17
- w art 16
- się 15
- incydentu 14
- sprawozdanie 14
- incydentów 14
- nr / 14
- niniejszego 13
- oznacza 13
- przez 12
- cyberbezpieczeństwa 12
- podmiotu 10
- informacji 10
- danych 9
- może 9
- mowa 9
- europejskiego 9
- z dnia 9
- przypadkach 9
- europejskiej 9
- ust 8
- parlamentu 8
- innych 8
- dotyczy 8
- które 7
- w zakresie 7
- podmioty_unii 7
- zbędnej 7
- zwłoki 7
- artykuł 7
- zgodnie 7
- podmiot 7
- w sprawie 7
- zdefiniowane 7
- dnia 7
- w stosownych 6
- wniosek 6
- jego 6
- pkt 6
- którego 6
- tych 6
Artykuł 3
Definicje
Do celów niniejszego rozporządzenia stosuje się następujące definicje:
| 1) | „ podmioty_Unii” oznaczają instytucje, organy i jednostki administracyjne Unii ustanowione Traktatem o Unii Europejskiej, Traktatem o funkcjonowaniu Unii Europejskiej (TFUE) lub Traktatem ustanawiającym Europejską Wspólnotę Energii Atomowej lub na podstawie tych traktatów; |
| 2) | „ sieci_i systemy_informatyczne” oznaczają sieci_i systemy_informatyczne zdefiniowane w art. 6 pkt 1 dyrektywy (UE) 2022/2555; |
| 3) | „ bezpieczeństwo_sieci_i systemów_informatycznych” oznacza bezpieczeństwo_sieci_i systemów_informatycznych zdefiniowane w art. 6 pkt 2 dyrektywy (UE) 2022/2555; |
| 4) | „ cyberbezpieczeństwo” oznacza cyberbezpieczeństwo zdefiniowane w art. 2 pkt 1 rozporządzenia (UE) 2019/881; |
| 5) | „ kierownictwo_najwyższego_szczebla” oznacza kierownika odpowiedzialnego, organ zarządzający lub organ ds. koordynacji i nadzoru odpowiedzialne za funkcjonowanie danego podmiotu Unii na najwyższym szczeblu administracyjnym, uprawnionego lub uprawnione do przyjmowania lub zatwierdzania decyzji zgodnie z ustaleniami dotyczącymi zarządzania na wysokim szczeblu danego podmiotu Unii, bez uszczerbku dla formalnych obowiązków innych szczebli kierownictwa w zakresie zgodności i zarządzania ryzykiem w cyberprzestrzeni w ramach ich odpowiednich kompetencji; |
| 6) | „ potencjalne_zdarzenie_dla_cyberbezpieczeństwa” oznacza potencjalne_zdarzenie_dla_cyberbezpieczeństwa zdefiniowane w art. 6 pkt 5 dyrektywy (UE) 2022/2555; |
| 7) | „ incydent” oznacza incydent zdefiniowany w art. 6 pkt 6 dyrektywy (UE) 2022/2555; |
| 8) | „poważny incydent” oznacza incydent, który powoduje zakłócenie o stopniu przekraczającym zdolność reagowania podmiotu Unii i CERT-UE lub który ma znaczący wpływ na co najmniej dwa podmioty_Unii; |
| 9) | „ incydent w cyberbezpieczeństwie na dużą skalę” oznacza incydent w cyberbezpieczeństwie na dużą skalę zdefiniowany w art. 6 pkt 7 dyrektywy (UE) 2022/2555; |
| 10) | „obsługa incydentu” oznacza obsługę incydentu zdefiniowaną w art. 6 pkt 8 dyrektywy (UE) 2022/2555; |
| 11) | „ cyberzagrożenie” oznacza cyberzagrożenie zdefiniowane w art. 2 pkt 8 rozporządzenia (UE) 2019/881; |
| 12) | „poważne cyberzagrożenie” oznacza poważne cyberzagrożenie zdefiniowane w art. 6 pkt 11 dyrektywy (UE) 2022/2555; |
| 13) | „ podatność” oznacza podatność zdefiniowaną w art. 6 pkt 15 dyrektywy (UE) 2022/2555; |
| 14) | „ ryzyko_w cyberprzestrzeni” oznacza ryzyko zdefiniowane w art. 6 pkt 9 dyrektywy (UE) 2022/2555; |
| 15) | „ usługa_chmurowa” oznacza usługę chmurową zdefiniowaną w art. 6 pkt 30 dyrektywy (UE) 2022/2555. |
Artykuł 4
Przetwarzanie danych osobowych
1. Przetwarzanie danych osobowych na podstawie niniejszego rozporządzenia przez CERT-UE, Międzyinstytucjonalną Radę ds. Cyberbezpieczeństwa ustanowioną na mocy art. 10 i podmioty_Unii odbywa się zgodnie z rozporządzeniem (UE) 2018/1725.
2. Realizując zadania lub wypełniając obowiązki wynikające z niniejszego rozporządzenia, CERT-UE, Międzyinstytucjonalna Rada ds. Cyberbezpieczeństwa ustanowiona na mocy art. 10 oraz podmioty_Unii przetwarzają i wymieniają dane osobowe wyłącznie w niezbędnym zakresie i wyłącznie w celu realizacji tych zadań lub wypełniania tych obowiązków.
3. Przetwarzanie szczególnych kategorii danych osobowych, o którym mowa w art. 10 ust. 1 rozporządzenia (UE) 2018/1725, uznaje się za konieczne ze względów związanych z ważnym interesem publicznym zgodnie z art. 10 ust. 2 lit. g) tego rozporządzenia. Takie dane można przetwarzać wyłącznie w zakresie niezbędnym do wdrożenia środków zarządzania ryzykiem w cyberprzestrzeni, o których mowa w art. 6 i 8, do świadczenia usług przez CERT-UE na podstawie art. 13, do wymiany informacji dotyczących poszczególnych incydentów na podstawie art. 17 ust. 3 i art. 18 ust. 3, do wymiany informacji na podstawie art. 20, do wypełnienia obowiązków w zakresie zgłaszania incydentów na podstawie art. 21, do koordynacji reagowania na incydenty i współpracy na podstawie art. 22 oraz do zarządzania poważnymi incydentami na podstawie art. 23 niniejszego rozporządzenia. Podmioty Unii i CERT-UE, działając w charakterze administratorów danych, stosują środki techniczne zapobiegające przetwarzaniu szczególnych kategorii danych osobowych do innych celów oraz zapewniają odpowiednie i konkretne środki ochrony praw podstawowych i interesów osób, których dane dotyczą.
ROZDZIAŁ II
ŚRODKI NA RZECZ WYSOKIEGO WSPÓLNEGO POZIOMU CYBERBEZPIECZEŃSTWA
Artykuł 10
Międzyinstytucjonalna Rada ds. Cyberbezpieczeństwa
1. Niniejszym ustanawia się Międzyinstytucjonalną Radę ds. Cyberbezpieczeństwa (IICB).
2. IICB jest odpowiedzialne za:
| a) | monitorowanie i wspieranie wdrażania niniejszego rozporządzenia przez podmioty_Unii; |
| b) | nadzór nad realizacją ogólnych priorytetów i celów przez CERT-UE oraz wyznaczanie mu strategicznego kierunku działania. |
3. W skład IICB wchodzą:
| a) | po jednym przedstawicielu wyznaczonym przez:
|
| b) | trzech przedstawicieli wyznaczonych przez sieć agencji UE (EUAN) na wniosek jej komitetu doradczego ds. ICT w celu reprezentowania interesów organów i jednostek organizacyjnych Unii, które mają własne środowisko ICT, innych niż te, o których mowa w lit. a). |
Podmioty Unii reprezentowane w IICB dążą do osiągnięcia równowagi płci wśród wyznaczonych przedstawicieli.
4. Członkowie IICB mogą być wspomagani przez zastępców. Przewodniczący może zaprosić innych przedstawicieli podmiotów Unii, o których mowa w ust. 3, lub innych podmiotów Unii do udziału w posiedzeniach IICB bez prawa głosu.
5. Szef CERT-UE i przewodniczący Grupy Współpracy, sieci CSIRT i EU-CyCLONe, ustanowionych na podstawie odpowiednio art. 14, 15 i 16 dyrektywy (UE) 2022/2555, lub ich zastępcy mogą uczestniczyć w posiedzeniach IICB w charakterze obserwatorów. w wyjątkowych przypadkach IICB może, zgodnie ze swoim regulaminem wewnętrznym, postanowić inaczej.
6. IICB przyjmuje swój regulamin wewnętrzny.
7. Zgodnie z regulaminem wewnętrznym IICB wyznacza spośród swoich członków przewodniczącego na trzyletnią kadencję. Zastępca przewodniczącego staje się pełnoprawnym członkiem IICB na ten sam okres.
8. IICB co najmniej trzy razy do roku odbywa posiedzenia z inicjatywy swojego przewodniczącego, na wniosek CERT-UE lub na wniosek któregokolwiek z członków IICB.
9. Każdy członek IICB dysponuje jednym głosem. Decyzje IICB zapadają zwykłą większością głosów, chyba że niniejsze rozporządzenie stanowi inaczej. Przewodniczący IICB nie bierze udziału w głosowaniach, z wyjątkiem sytuacji gdy zostanie oddana taka sama liczba głosów za i przeciw, w którym to przypadku przewodniczący może oddać decydujący głos.
10. IICB może stanowić w drodze uproszczonej procedury pisemnej wszczynanej zgodnie ze swoim regulaminem wewnętrznym. w ramach tej procedury daną decyzję uznaje się za zatwierdzoną w terminie ustalonym przez przewodniczącego, chyba że któryś z członków wyrazi sprzeciw.
11. Sekretariat IICB jest prowadzony przez Komisję i podlega przewodniczącemu IICB.
12. Przedstawiciele wyznaczeni przez EUAN przekazują decyzje IICB członkom EUAN. Każdy członek EUAN ma prawo zwracać się do tych przedstawicieli lub przewodniczącego IICB z każdą sprawą, o której jego zdaniem należy poinformować IICB.
13. IICB może ustanowić komitet wykonawczy, który będzie pomagał jej w pracach, i przekazać komitetowi wykonawczemu niektóre swoje zadania i uprawnienia. IICB ustanawia regulamin wewnętrzny komitetu wykonawczego, w tym jego zadania i uprawnienia, oraz określa kadencje jego członków.
14. Do dnia 8 stycznia 2025 r., a następnie co roku IICB składa Parlamentowi Europejskiemu i Radzie sprawozdanie, w którym szczegółowo przedstawia postępy we wdrażaniu niniejszego rozporządzenia, a w szczególności zakres współpracy CERT-UE z jego odpowiednikami w każdym z państw członkowskich. Sprawozdanie to stanowi wkład w przedstawiane co dwa lata sprawozdanie o stanie cyberbezpieczeństwa w Unii, przyjmowane na podstawie art. 18 dyrektywy (UE) 2022/2555.
Artykuł 17
Współpraca CERT-UE z jego odpowiednikami w państwach członkowskich
1. Bez zbędnej zwłoki CERT-UE współpracuje i prowadzi wymianę informacji ze swoimi odpowiednikami z państw członkowskich, w szczególności z CSIRT wyznaczonymi lub ustanowionymi na podstawie art. 10 dyrektywy (UE) 2022/2555 lub w stosownych przypadkach z właściwymi organami i z pojedynczymi punktami kontaktowymi wyznaczonymi lub ustanowionymi na podstawie art. 8 tej dyrektywy, w zakresie incydentów, cyberzagrożeń, podatności, potencjalnych zdarzeń dla cyberbezpieczeństwa, ewentualnych środków zaradczych oraz najlepszych praktyk, jak również wszystkich kwestii istotnych dla lepszej ochrony środowisk ICT podmiotów Unii, w tym za pośrednictwem sieci CSIRT ustanowionej na podstawie art. 15 dyrektywy (UE) 2022/2555. CERT-UE wspiera Komisję w ramach EU-CyCLONe, ustanowionego na podstawie art. 16 dyrektywy (UE) 2022/2555, w skoordynowanym zarządzaniu kryzysami i incydentami w cyberbezpieczeństwie na dużą skalę.
2. W przypadku gdy CERT-UE dowie się o wystąpieniu znaczącego incydentu na terytorium danego państwa członkowskiego, niezwłocznie powiadamia on właściwego odpowiednika w tym państwie członkowskim, zgodnie z ust. 1.
3. Jeżeli dane osobowe są chronione zgodnie z mającym zastosowanie prawem Unii dotyczącym ochrony danych, CERT-UE bez zbędnej zwłoki, wymienia z odpowiednikami z państw członkowskich stosowne informacje dotyczące konkretnych incydentów, aby ułatwić wykrywanie podobnych cyberzagrożeń lub incydentów lub by przyczynić się do analizy incydentu, co nie wymaga zgody podmiotu Unii, którego dotyczy incydent. CERT-UE wymienia informacje dotyczące konkretnych incydentów, które ujawniają tożsamość celu, wyłącznie w jednej z następujących sytuacji
| a) | podmiot Unii, którego dotyczy incydent, wyraził zgodę; |
| b) | podmiot Unii, którego dotyczy incydent, nie wyraził zgody przewidzianej w lit. a), lecz ujawnienie tożsamości tego podmiotu Unii mogłoby zwiększyć prawdopodobieństwo uniknięcia incydentów lub złagodzenia ich skutków w innych miejscach; |
| c) | podmiot Unii, którego dotyczy incydent, już podał do wiadomości publicznej, że padł ofiarą incydentu. |
Decyzje o wymianie informacji dotyczących konkretnego incydentu, które ujawniają tożsamość celu, w który wymierzony był incydent, podjęte na podstawie akapitu pierwszego lit. b) zatwierdza szef CERT-UE. Przed wydaniem takiej decyzji CERT-UE kontaktuje się na piśmie z podmiotem Unii, którego dotyczy incydent, wyjaśniając, w jaki sposób ujawnienie tożsamości podmiotu pomogłoby uniknąć incydentów lub złagodzić ich skutki w innych miejscach. Szef CERT-UE przedstawia wyjaśnienie i wyraźnie zwraca się do podmiotu Unii o wydanie w określonym terminie oświadczenia, czy wyraża zgodę. Szef CERT-UE informuje również podmiot Unii, że w świetle przedstawionych wyjaśnień zastrzega on sobie prawo do ujawnienia informacji nawet pomimo braku zgody. Przed ujawnieniem informacji informuje się o tym podmiot Unii, którego dotyczy incydent.
Artykuł 21
Obowiązki w zakresie zgłaszania incydentów
1. Incydent uznaje się za znaczący, jeżeli:
| a) | spowodował lub może spowodować dotkliwe zakłócenia operacyjne w funkcjonowaniu lub straty finansowe dla danego podmiotu Unii; |
| b) | wpłynął lub może wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe i niemajątkowe. |
2. Podmioty Unii przedkładają CERT-UE:
| a) | bez zbędnej zwłoki, a w każdym razie w ciągu 24 godzin od powzięcia wiedzy o znaczącym incydencie – wczesne ostrzeżenie, w którym w stosownych przypadkach wskazuje się, że znaczący incydent został przypuszczalnie wywołany działaniem bezprawnym lub działaniem w złym zamiarze lub że mógł wywrzeć wpływ międzyinstytucjonalny lub transgraniczny; |
| b) | bez zbędnej zwłoki, a w każdym razie w ciągu 72 godzin od powzięcia wiedzy o znaczącym incydencie – zgłoszenie incydentu, w stosownych przypadkach wraz z aktualizacją informacji, o których mowa w lit. a), i ze wskazaniem wstępnej oceny znaczącego incydentu, w tym jego dotkliwości i skutków, a w stosownych przypadkach także oznak naruszenia integralności systemu; |
| c) | na wniosek CERT-UE – sprawozdanie okresowe na temat odpowiednich aktualizacji statusu; |
| d) | nie później niż miesiąc po zgłoszeniu incydentu na podstawie lit. b) – sprawozdanie końcowe zawierające następujące elementy:
|
| e) | jeżeli incydent nie zakończył się w terminie składania sprawozdania końcowego, o którym mowa w lit. d) – sprawozdanie z postępu prac w danym momencie oraz sprawozdanie końcowe w terminie jednego miesiąca od zakończenia przez nie obsługi incydentu. |
3. Podmiot Unii bez zbędnej zwłoki, a w każdym razie w ciągu 24 godzin od powzięcia wiedzy o znaczącym incydencie, informuje o wystąpieniu znaczącego incydentu wszelkie stosowne odpowiedniki krajowe, o których mowa w art. 17 ust. 1, w państwie członkowskim, w którym podmiot ten ma siedzibę.
4. Podmioty Unii zgłaszają między innymi wszelkie informacje umożliwiające CERT-UE określenie wszelkiego wpływu międzyinstytucjonalnego, wpływu na przyjmujące państwo członkowskie lub transgranicznego wpływu znaczącego incydentu. Bez uszczerbku dla art. 12 samo zgłoszenie nie nakłada na podmiot Unii zwiększonej odpowiedzialności.
5. W stosownych przypadkach podmioty_Unii bez zbędnej zwłoki powiadamiają użytkowników sieci i systemów informatycznych, których dotyczy incydent, lub użytkowników innych elementów środowiska ICT, których potencjalnie dotyczy znaczący incydent lub poważne cyberzagrożenie, oraz którzy w stosownych przypadkach mają potrzebę podjęcia środków łagodzących, o wszelkich środkach lub środkach zaradczych, które użytkownicy ci mogą zastosować w reakcji na ten incydent lub to zagrożenie. w stosownych przypadkach podmioty_Unii informują tych użytkowników o samym poważnym cyberzagrożeniu.
6. Jeżeli znaczący incydent lub poważne cyberzagrożenie mają wpływ na sieć i system informatyczny lub element środowiska ICT podmiotu Unii, które jest celowo powiązane ze środowiskiem ICT innego podmiotu Unii, CERT-UE wydaje stosowne ostrzeżenie dotyczące cyberbezpieczeństwa.
7. Podmioty Unii, na wniosek CERT-UE, przekazują mu bez zbędnej zwłoki informacje cyfrowe wygenerowane w wyniku korzystania z urządzeń elektronicznych uczestniczących w incydentach, które u nich wystąpiły. CERT-UE może dodatkowo sprecyzować, jakiego rodzaju informacji cyfrowych potrzebuje do celów orientacji sytuacyjnej i zareagowania na incydenty.
8. Co trzy miesiące CERT-UE przedkłada IICB, ENISA, EU INTCEN i sieci CSIRT sprawozdanie podsumowujące zawierające zanonimizowane i zagregowane dane dotyczące znaczących incydentów, incydentów, cyberzagrożeń, potencjalnych zdarzeń dla cyberbezpieczeństwa i podatności na podstawie art. 20 oraz znaczących incydentów zgłoszonych na podstawie ust. 2 niniejszego artykułu. To sprawozdanie podsumowujące stanowi wkład w przedstawiane co dwa lata sprawozdanie na temat stanu cyberbezpieczeństwa w Unii przyjmowane na podstawie art. 18 dyrektywy (UE) 2022/2555.
9. Do dnia 8 lipca 2024 r. IICB wyda wytyczne lub zalecenia doprecyzowujące zasady składania, format i treść zgłoszeń na podstawie niniejszego artykułu. Przygotowując takie wytyczne lub zalecenia, IICB uwzględnia wszelkie akty wykonawcze przyjęte na podstawie art. 23 ust. 11 dyrektywy (UE) 2022/2555 określające rodzaj informacji, format i procedurę zgłoszeń. CERT-UE rozpowszechnia odpowiednie szczegółowe informacje techniczne w celu umożliwienia proaktywnego wykrywania incydentów, reagowania na nie lub wprowadzania środków łagodzących ich skutki przez podmioty_Unii.
10. Obowiązki w zakresie zgłaszania incydentów określone w niniejszym artykule nie obejmują:
| a) | EUCI; |
| b) | informacji, których dalsze rozpowszechnianie zostało wykluczone za pomocą widocznego oznakowania, chyba że wyraźnie zezwolono na ich wymianę z CERT-UE. |
Artykuł 25
Przegląd
1. Do dnia 8 stycznia 2025 r., a następnie co roku IICB przy wsparciu CERT-UE składa Komisji sprawozdanie z wdrażania niniejszego rozporządzenia. IICB może kierować do Komisji zalecenia, aby dokonała przeglądu niniejszego rozporządzenia.
2. Do dnia 8 stycznia 2027 r., a następnie co dwa lata Komisja dokonuje oceny wdrożenia niniejszego rozporządzenia oraz składa Parlamentowi Europejskiemu i Radzie sprawozdanie z jego wykonania oraz z doświadczeń zdobytych na poziomie strategicznym i operacyjnym.
Sprawozdanie, o którym mowa w akapicie pierwszym niniejszego ustępu, obejmuje przegląd, o którym mowa w art. 16 ust. 1, dotyczący możliwości ustanowienia CERT-UE jako urzędu Unii.
3. Do dnia 8 stycznia 2029 r. Komisja dokona oceny funkcjonowania niniejszego rozporządzenia i złoży sprawozdanie Parlamentowi Europejskiemu, Radzie, Europejskiemu Komitetowi Ekonomiczno-Społecznemu i Komitetowi Regionów. Komisja oceni również stosowność włączenia sieci i systemów informatycznych przetwarzających EUCI do zakresu stosowania niniejszego rozporządzenia, z uwzględnieniem innych aktów ustawodawczych Unii mających zastosowanie do tych systemów. Sprawozdaniu towarzyszy w razie potrzeby wniosek ustawodawczy.
Artykuł 26
Wejście w życie
Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.
Sporządzono w Strasburgu dnia 13 grudnia 2023 r.
W imieniu Parlamentu Europejskiego
Przewodnicząca
R. METSOLA
W imieniu Rady
Przewodniczący
P. NAVARRO RÍOS
(1) Stanowisko Parlamentu Europejskiego z dnia 21 listopada 2023 r. (dotychczas nieopublikowane w Dzienniku Urzędowym) oraz decyzja Rady z dnia 8 grudnia 2023 r.
(2) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz.U. L 333 z 27.12.2022, s. 80).
(3) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie) (Dz.U. L 151 z 7.6.2019, s. 15).
(4) Porozumienie między Parlamentem Europejskim, Radą Europejską, Radą Unii Europejskiej, Komisją Europejską, Trybunałem Sprawiedliwości Unii Europejskiej, Europejskim Bankiem Centralnym, Europejskim Trybunałem Obrachunkowym, Europejską Służbą Działań Zewnętrznych, Europejskim Komitetem Ekonomiczno-Społecznym, Europejskim Komitetem Regionów i Europejskim Bankiem Inwestycyjnym w sprawie organizacji i funkcjonowania zespołu reagowania na incydenty komputerowe w instytucjach, organach i agencjach UE (CERT-UE) (Dz.U. C 12 z 13.1.2018, s. 1).
(5) Rozporządzenie Rady (EWG, Euratom, EWWiS) nr 259/68 z dnia 29 lutego 1968 r. ustanawiające regulamin pracowniczy urzędników Wspólnot Europejskich i warunki zatrudnienia innych pracowników Wspólnot oraz ustanawiające specjalne środki stosowane tymczasowo wobec urzędników Komisji (Dz.U. L 56 z 4.3.1968, s. 1).
(6) Zalecenie Komisji (UE) 2017/1584 z dnia 13 września 2017 r. w sprawie skoordynowanego reagowania na incydenty i kryzysy cybernetyczne na dużą skalę (Dz.U. L 239 z 19.9.2017, s. 36).
(7) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39).
(8) Dz.U. C 258 z 5.7.2022, s. 10.
(9) Rozporządzenie Parlamentu Europejskiego i Rady (UE, Euratom) 2018/1046 z dnia 18 lipca 2018 r. w sprawie zasad finansowych mających zastosowanie do budżetu ogólnego Unii, zmieniające rozporządzenia (UE) nr 1296/2013, (UE) nr 1301/2013, (UE) nr 1303/2013, (UE) nr 1304/2013, (UE) nr 1309/2013, (UE) nr 1316/2013, (UE) nr 223/2014 i (UE) nr 283/2014 oraz decyzję nr 541/2014/UE, a także uchylające rozporządzenie (UE, Euratom) nr 966/2012 (Dz.U. L 193 z 30.7.2018, s. 1).
(10) Rozporządzenie (WE) nr 1049/2001 Parlamentu Europejskiego i Rady z dnia 30 maja 2001 r. w sprawie publicznego dostępu do dokumentów Parlamentu Europejskiego, Rady i Komisji (Dz.U. L 145 z 31.5.2001, s. 43).
ELI: http://data.europa.eu/eli/reg/2023/2841/oj
ISSN 1977-0766 (electronic edition)