keyboard_tab Cyber Resilience Act 2023/2841 PL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artykuł 15 Szef CERT-UE
ROZDZIAŁ I
PRZEPISY OGÓLNE
ROZDZIAŁ II
ŚRODKI NA RZECZ WYSOKIEGO WSPÓLNEGO POZIOMU CYBERBEZPIECZEŃSTWA
ROZDZIAŁ III
MIĘDZYINSTYTUCJONALNA RADA DS. CYBERBEZPIECZEŃSTWA
ROZDZIAŁ IV
CERT-UE
ROZDZIAŁ V
OBOWIĄZKI W ZAKRESIE WSPÓŁPRACY I ZGŁASZANIA INCYDENTÓW
ROZDZIAŁ VI
PRZEPISY KOŃCOWE
- podmioty Unii
- sieci i systemy informatyczne
- bezpieczeństwo sieci i systemów informatycznych
- cyberbezpieczeństwo
- kierownictwo najwyższego szczebla
- potencjalne zdarzenie dla cyberbezpieczeństwa
- incydent
- poważny incydent
- incydent w cyberbezpieczeństwie na dużą skalę
- obsługa incydentu
- cyberzagrożenie
- poważne cyberzagrożenie
- podatność
- ryzyko w cyberprzestrzeni
- usługa chmurowa
- cert-ue 33
- unii 20
- oraz 20
- iicb 15
- nr / 14
- usług 11
- rozporządzenia 11
- komisji 11
- niniejszego 10
- ust 10
- europejskiego 9
- parlamentu 9
- z dnia 9
- w tym 8
- się 8
- sprawozdania 7
- w sprawie 7
- przez 7
- w art 6
- zarządzania 6
- poziomie 6
- mowa 6
- artykuł 6
- komisja 6
- i rady 6
- składa 5
- europejskiej 5
- ue / 5
- projekt 5
- dnia 5
- europejskim 5
- rozporządzenie 5
- plan 5
- szef 5
- art 4
- podstawie 4
- rozporządzenie 4
- roku 4
- rady 4
- szef 4
- potrzeby 4
- między 4
- poważnych 4
- budżetu 4
- poważnymi 4
- kryzysami 4
- incydentów 4
- sprawozdanie 4
- incydentami 4
- w cyberprzestrzeni 4
Artykuł 15
Szef CERT-UE
1. Komisja, za zgodą dwóch trzecich członków IICB, mianuje szefa CERT-UE. Na wszystkich etapach procedury mianowania, w szczególności w odniesieniu do przygotowywania ogłoszeń o naborze, rozpatrywania kandydatur oraz powoływania komisji selekcyjnych do celu wyboru na to stanowisko, prowadzi się konsultacje z IICB. Procedura wyboru, w tym ostateczna skrócona lista kandydatów, spośród których ma zostać mianowany szef CERT-UE, musi gwarantować sprawiedliwą reprezentację każdej z płci z uwzględnieniem przedstawionych kandydatur.
2. Szef CERT-UE odpowiada za sprawne funkcjonowanie CERT-UE i działa w ramach kompetencji związanych z jego funkcją oraz pod kierownictwem IICB. Szef CERT-UE regularnie składa sprawozdania przewodniczącemu IICB oraz – na żądanie IICB – składa IICB sprawozdania ad hoc.
3. Szef CERT-UE wspomaga odpowiedzialnego delegowanego urzędnika zatwierdzającego w sporządzaniu rocznego sprawozdania z działalności zawierającego informacje dotyczące finansów i zarządzania, w tym wyniki kontroli, przygotowywanego zgodnie z art. 74 ust. 9 rozporządzenia Parlamentu Europejskiego i Rady (UE, Euratom) 2018/1046 (9) i regularnie składa temu delegowanemu urzędnikowi zatwierdzającemu sprawozdania z realizacji działań, co do których szefowi CERT-UE przekazano uprawnienia na zasadzie subdelegacji.
4. Szef CERT-UE opracowuje co roku plan dochodów i wydatków administracyjnych na potrzeby działalności CERT-UE, projekt rocznego programu prac, projekt katalogu usług CERT-UE, projekt zmian w katalogu usług, projekt warunków umów o gwarantowanym poziomie usług oraz projekt kluczowych wskaźników skuteczności działania CERT-UE, które mają zostać zatwierdzone przez IICB zgodnie z art. 11. Dokonując rewizji wykazu usług w katalogu usług CERT-UE, szef CERT-UE uwzględnia zasoby przydzielone CERT-UE.
5. Szef CERT-UE co najmniej raz do roku przedkłada IICB i przewodniczącemu IICB sprawozdania z działalności i wyników CERT-UE za okres odniesienia, w tym z wykonania budżetu, zawartych umów o gwarantowanym poziomie usług i pisemnych umów, współpracy z odpowiednikami i partnerami oraz z misji podejmowanych przez członków personelu, w tym sprawozdania, o których mowa w art. 11. Sprawozdania te obejmują program prac na kolejny okres, plan dochodów i wydatków, w tym plan zatrudnienia, planowane aktualizacje katalogu usług CERT-UE oraz ocenę spodziewanego wpływu takich aktualizacji na zasoby finansowe i ludzkie.
Artykuł 16
Sprawy finansowe i kadrowe
1. CERT-UE wchodzi w skład struktury administracyjnej jednej z dyrekcji generalnych komisji, aby korzystać z komisyjnych struktur wsparcia administracyjnego, zarządzania finansowego i rachunkowego, zachowując jednocześnie swój status autonomicznego, międzyinstytucjonalnego dostawcy usług dla wszystkich podmiotów Unii. Komisja informuje IICB o miejscu CERT-UE w strukturze administracyjnej oraz o wszelkich zmianach w tym zakresie. Komisja dokonuje regularnie przeglądu ustaleń administracyjnych dotyczących CERT-UE oraz każdorazowo przed ustanowieniem wieloletnich ram finansowych na podstawie art. 312 TFUE, aby umożliwić podjęcie odpowiednich działań. Przegląd obejmuje możliwość ustanowienia CERT-UE jako urzędu Unii.
2. W kwestii stosowania procedur administracyjnych i finansowych szef CERT-UE działa z upoważnienia komisji oraz pod nadzorem IICB.
3. Zadania i działania CERT-UE, w tym usługi świadczone przez CERT-UE zgodnie z art. 13 ust. 3, 4, 5 i 7 oraz art. 14 ust. 1 na rzecz podmiotów Unii finansowanych w ramach działu wieloletnich ram finansowych dotyczącego europejskiej administracji publicznej, są finansowane z odrębnej linii budżetowej budżetu komisji. Stanowiska przeznaczone dla CERT-UE wyszczególnia się w przypisie do planu zatrudnienia komisji.
4. Podmioty Unii inne niż te wymienione w ust. 3 niniejszego artykułu wnoszą roczny wkład finansowy na rzecz CERT-UE w celu pokrycia kosztów usług świadczonych przez CERT-UE na podstawie tego ustępu. Wkłady opierają się na wskazówkach wydanych przez IICB i są przedmiotem uzgodnień zawartych między każdym podmiotem Unii a CERT-UE w umowach o gwarantowanym poziomie usług. Wkłady muszą odzwierciedlać sprawiedliwy i proporcjonalny udział w całkowitych kosztach świadczonych usług. Ujmuje się je w odrębnej linii budżetowej, o której mowa w ust. 3 niniejszego artykułu, jako wewnętrzne dochody przeznaczone na określony cel, jak przewidziano w art. 21 ust. 3 lit. c) rozporządzenia (UE, Euratom) 2018/1046.
5. Koszty usług przewidzianych w art. 13 ust. 6 odzyskuje się od podmiotów Unii korzystających z usług CERT-UE. Dochody przypisuje się do linii budżetowych przeznaczonych na pokrycie kosztów.
Artykuł 23
Zarządzanie poważnymi incydentami
1. Aby wspierać na poziomie operacyjnym skoordynowane zarządzanie poważnymi incydentami mającymi wpływ na podmioty_Unii oraz przyczyniać się do regularnej wymiany istotnych informacji między podmiotami Unii i z państwami członkowskimi, IICB ustanawia na podstawie art. 11 lit. q) plan zarządzania kryzysami w cyberprzestrzeni oparty o działania, o których mowa w art. 22 ust. 2, w ścisłej współpracy z CERT-UE i ENISA. Plan zarządzania kryzysami w cyberprzestrzeni obejmuje co najmniej następujące elementy:
a) | ustalenia dotyczące koordynacji i przepływu informacji między podmiotami Unii na potrzeby zarządzania poważnymi incydentami na poziomie operacyjnym; |
b) | wspólne obowiązujące procedury działania (SOP); |
c) | wspólną taksonomię dotkliwości poważnych incydentów i punktów wywołujących kryzys; |
d) | regularne ćwiczenia; |
e) | kanały bezpiecznej komunikacji, które mają być używane. |
2. Przedstawiciel komisji w IICB, z zastrzeżeniem planu zarządzania kryzysami w cyberprzestrzeni ustanowionego na podstawie ust. 1 niniejszego artykułu i bez uszczerbku dla art. 16 ust. 2 akapit pierwszy dyrektywy (UE) 2022/2555, jest punktem kontaktowym do celów wymiany z EU-CyCLONe istotnych informacji dotyczących poważnych incydentów.
3. CERT-UE koordynuje pomiędzy podmiotami Unii zarządzanie poważnymi incydentami. Prowadzi rejestr dostępnej fachowej wiedzy technicznej, która może być potrzebna, aby zareagować na incydenty w przypadku poważnych incydentów, oraz wspiera IICB w koordynowaniu planów zarządzania kryzysami w cyberprzestrzeni opracowywanych przez podmioty_Unii na wypadek poważnych incydentów, o których to planach mowa w art. 9 ust. 2.
4. Podmioty Unii wnoszą wkład w tworzenie rejestru fachowej wiedzy technicznej, udostępniając aktualizowany co roku wykaz ekspertów dostępnych w ich odpowiednich organizacjach, z wyszczególnieniem ich konkretnych umiejętności technicznych.
ROZDZIAŁ VI
PRZEPISY KOŃCOWE
Artykuł 24
Początkowa realokacja środków budżetowych
W celu zapewnienia sprawnego i stabilnego funkcjonowania CERT-UE Komisja może zaproponować realokację zasobów ludzkich i finansowych do budżetu komisji na potrzeby operacji CERT-UE. Realokacja ta staje się skuteczna w tym samym czasie co pierwszy roczny budżet Unii przyjęty po wejściu w życie niniejszego rozporządzenia.
Artykuł 25
Przegląd
1. Do dnia 8 stycznia 2025 r., a następnie co roku IICB przy wsparciu CERT-UE składa komisji sprawozdanie z wdrażania niniejszego rozporządzenia. IICB może kierować do komisji zalecenia, aby dokonała przeglądu niniejszego rozporządzenia.
2. Do dnia 8 stycznia 2027 r., a następnie co dwa lata Komisja dokonuje oceny wdrożenia niniejszego rozporządzenia oraz składa Parlamentowi Europejskiemu i Radzie sprawozdanie z jego wykonania oraz z doświadczeń zdobytych na poziomie strategicznym i operacyjnym.
Sprawozdanie, o którym mowa w akapicie pierwszym niniejszego ustępu, obejmuje przegląd, o którym mowa w art. 16 ust. 1, dotyczący możliwości ustanowienia CERT-UE jako urzędu Unii.
3. Do dnia 8 stycznia 2029 r. Komisja dokona oceny funkcjonowania niniejszego rozporządzenia i złoży sprawozdanie Parlamentowi Europejskiemu, Radzie, Europejskiemu Komitetowi Ekonomiczno-Społecznemu i Komitetowi Regionów. Komisja oceni również stosowność włączenia sieci i systemów informatycznych przetwarzających EUCI do zakresu stosowania niniejszego rozporządzenia, z uwzględnieniem innych aktów ustawodawczych Unii mających zastosowanie do tych systemów. Sprawozdaniu towarzyszy w razie potrzeby wniosek ustawodawczy.
Artykuł 26
Wejście w życie
Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.
Sporządzono w Strasburgu dnia 13 grudnia 2023 r.
W imieniu Parlamentu Europejskiego
Przewodnicząca
R. METSOLA
W imieniu Rady
Przewodniczący
P. NAVARRO RÍOS
(1) Stanowisko Parlamentu Europejskiego z dnia 21 listopada 2023 r. (dotychczas nieopublikowane w Dzienniku Urzędowym) oraz decyzja Rady z dnia 8 grudnia 2023 r.
(2) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz.U. L 333 z 27.12.2022, s. 80).
(3) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie) (Dz.U. L 151 z 7.6.2019, s. 15).
(4) Porozumienie między Parlamentem Europejskim, Radą Europejską, Radą Unii Europejskiej, Komisją Europejską, Trybunałem Sprawiedliwości Unii Europejskiej, Europejskim Bankiem Centralnym, Europejskim Trybunałem Obrachunkowym, Europejską Służbą Działań Zewnętrznych, Europejskim Komitetem Ekonomiczno-Społecznym, Europejskim Komitetem Regionów i Europejskim Bankiem Inwestycyjnym w sprawie organizacji i funkcjonowania zespołu reagowania na incydenty komputerowe w instytucjach, organach i agencjach UE (CERT-UE) (Dz.U. C 12 z 13.1.2018, s. 1).
(5) Rozporządzenie Rady (EWG, Euratom, EWWiS) nr 259/68 z dnia 29 lutego 1968 r. ustanawiające regulamin pracowniczy urzędników Wspólnot Europejskich i warunki zatrudnienia innych pracowników Wspólnot oraz ustanawiające specjalne środki stosowane tymczasowo wobec urzędników komisji (Dz.U. L 56 z 4.3.1968, s. 1).
(6) Zalecenie komisji (UE) 2017/1584 z dnia 13 września 2017 r. w sprawie skoordynowanego reagowania na incydenty i kryzysy cybernetyczne na dużą skalę (Dz.U. L 239 z 19.9.2017, s. 36).
(7) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39).
(8) Dz.U. C 258 z 5.7.2022, s. 10.
(9) Rozporządzenie Parlamentu Europejskiego i Rady (UE, Euratom) 2018/1046 z dnia 18 lipca 2018 r. w sprawie zasad finansowych mających zastosowanie do budżetu ogólnego Unii, zmieniające rozporządzenia (UE) nr 1296/2013, (UE) nr 1301/2013, (UE) nr 1303/2013, (UE) nr 1304/2013, (UE) nr 1309/2013, (UE) nr 1316/2013, (UE) nr 223/2014 i (UE) nr 283/2014 oraz decyzję nr 541/2014/UE, a także uchylające rozporządzenie (UE, Euratom) nr 966/2012 (Dz.U. L 193 z 30.7.2018, s. 1).
(10) Rozporządzenie (WE) nr 1049/2001 Parlamentu Europejskiego i Rady z dnia 30 maja 2001 r. w sprawie publicznego dostępu do dokumentów Parlamentu Europejskiego, Rady i komisji (Dz.U. L 145 z 31.5.2001, s. 43).
ELI: http://data.europa.eu/eli/reg/2023/2841/oj
ISSN 1977-0766 (electronic edition)