keyboard_tab Cyber Resilience Act 2023/2841 PL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artykuł 9 Plany dotyczące cyberbezpieczeństwa
- 2 Artykuł 11 Zadania IICB
- 1 Artykuł 17 Współpraca CERT-UE z jego odpowiednikami w państwach członkowskich
- 4 Artykuł 23 Zarządzanie poważnymi incydentami
ROZDZIAŁ I
PRZEPISY OGÓLNE
ROZDZIAŁ II
ŚRODKI NA RZECZ WYSOKIEGO WSPÓLNEGO POZIOMU CYBERBEZPIECZEŃSTWA
ROZDZIAŁ III
MIĘDZYINSTYTUCJONALNA RADA DS. CYBERBEZPIECZEŃSTWA
ROZDZIAŁ IV
CERT-UE
ROZDZIAŁ V
OBOWIĄZKI W ZAKRESIE WSPÓŁPRACY I ZGŁASZANIA INCYDENTÓW
ROZDZIAŁ VI
PRZEPISY KOŃCOWE
- podmioty Unii
- sieci i systemy informatyczne
- bezpieczeństwo sieci i systemów informatycznych
- cyberbezpieczeństwo
- kierownictwo najwyższego szczebla
- potencjalne zdarzenie dla cyberbezpieczeństwa
- incydent
- poważny incydent
- incydent w cyberbezpieczeństwie na dużą skalę
- obsługa incydentu
- cyberzagrożenie
- poważne cyberzagrożenie
- podatność
- ryzyko w cyberprzestrzeni
- usługa chmurowa
- unii 31
- cert-ue 27
- cyberbezpieczeństwa 20
- podstawie 13
- art 13
- zarządzania 12
- w cyberprzestrzeni 12
- incydentów 12
- plan 11
- się 11
- przez 10
- oraz 10
- zatwierdza 9
- podmiot 8
- kryzysami 8
- podmiotów 8
- informacji 8
- dyrektywy 7
- incydent 7
- podmiotu 6
- dotyczy 6
- poważnych 6
- którego 6
- dotyczący 6
- podmioty_unii 6
- ust 6
- incydentami 6
- ue / 6
- wniosek 6
- szefa 6
- poziomie 6
- poważnymi 5
- dotyczące 5
- w zakresie 5
- iicb 5
- w art 5
- mowa 5
- dotyczących 4
- potrzeby 4
- incydentu 4
- podmiotami 4
- między 4
- niniejszego 4
- w tym 4
- istotnych 4
- artykuł 4
- zwłoki 3
- o których 3
- dojrzałości 3
- wymiany 3
Artykuł 9
Plany dotyczące cyberbezpieczeństwa
1. Zgodnie z wnioskami z oceny dojrzałości w zakresie cyberbezpieczeństwa przeprowadzonej na podstawie art. 7, a także z uwzględnieniem aktywów i ryzyka w cyberprzestrzeni zidentyfikowanych dzięki Ramom oraz środków zarządzania ryzykiem w cyberprzestrzeni przyjętych na podstawie art. 8 kierownictwo_najwyższego_szczebla każdego podmiotu Unii zatwierdza – bez zbędnej zwłoki, a w każdym razie do dnia 8 stycznia 2026 r. – plan dotyczący cyberbezpieczeństwa. Plan dotyczący cyberbezpieczeństwa ma na celu zwiększenie ogólnego poziomu cyberbezpieczeństwa danego podmiotu Unii, a tym samym przyczynia się do zwiększenia wysokiego wspólnego poziomu cyberbezpieczeństwa wewnątrz podmiotów Unii. Plan dotyczący cyberbezpieczeństwa obejmuje co najmniej środki zarządzania ryzykiem w cyberprzestrzeni podjęte na podstawie art. 8. Plan dotyczący cyberbezpieczeństwa poddaje się przeglądowi co dwa lata lub, w razie potrzeby, częściej w następstwie ocen dojrzałości w zakresie cyberbezpieczeństwa przeprowadzonej na podstawie art. 7 lub każdej istotnej zmiany Ram.
2. Plan dotyczący cyberbezpieczeństwa zawiera opracowany przez podmiot Unii plan zarządzania kryzysami w cyberprzestrzeni na wypadek poważnych incydentów.
3. Podmiot Unii przedkłada gotowy plan dotyczący cyberbezpieczeństwa Międzyinstytucjonalnej Radzie ds. Cyberbezpieczeństwa ustanowionej na mocy art. 10.
ROZDZIAŁ III
MIĘDZYINSTYTUCJONALNA RADA DS. CYBERBEZPIECZEŃSTWA
Artykuł 11
Zadania IICB
W ramach swoich obowiązków IICB w szczególności:
| a) | udziela wskazówek szefowi CERT-UE; |
| b) | skutecznie monitoruje i nadzoruje wdrażanie niniejszego rozporządzenia oraz wspiera podmioty_Unii we wzmacnianiu ich cyberbezpieczeństwa, w tym, w stosownych przypadkach, zwraca się do podmiotów Unii i CERT-UE o sporządzenie sprawozdań ad hoc; |
| c) | w następstwie dyskusji strategicznej przyjmuje wieloletnią strategię podniesienia poziomu cyberbezpieczeństwa w podmiotach Unii, regularnie – co najmniej raz na pięć lat – ją ocenia i w razie potrzeby ją zmienia; |
| d) | ustala metodykę i aspekty organizacyjne przeprowadzania dobrowolnych wzajemnych ocen przez podmioty_Unii by wyciągnąć wnioski z wspólnych doświadczeń, zwiększyć wzajemne zaufanie, osiągnąć wysoki wspólny poziom cyberbezpieczeństwa, a także zwiększać zdolności podmiotów Unii w zakresie cyberbezpieczeństwa, zapewniając, aby takie wzajemne oceny były przeprowadzane przez ekspertów ds. cyberbezpieczeństwa wyznaczonych przez podmiot Unii inny niż podmiot Unii poddawany ocenie oraz aby metodyka ich przeprowadzania opierała się na art. 19 dyrektywy (UE) 2022/2555 i była, w stosownych przypadkach, dostosowana do potrzeb podmiotów Unii; |
| e) | zatwierdza, na wniosek szefa CERT-UE, roczny program prac CERT-UE i monitoruje jego realizację; |
| f) | zatwierdza, na wniosek szefa CERT-UE, katalog usług CERT-UE oraz jego aktualizacje; |
| g) | zatwierdza, na wniosek szefa CERT-UE, roczny plan dochodów i wydatków, w tym plan zatrudnienia, na potrzeby działalności CERT-UE; |
| h) | zatwierdza, na wniosek szefa CERT-UE, ustalenia dotyczące umów o gwarantowanym poziomie usług; |
| i) | analizuje i zatwierdza sprawozdanie roczne, sporządzone przez szefa CERT-UE, obejmujące działalność CERT-UE i zarządzanie środkami finansowymi przez CERT-UE; |
| j) | zatwierdza i monitoruje kluczowe wskaźniki skuteczności działania w odniesieniu do CERT-UE, określone na wniosek szefa CERT-UE; |
| k) | zatwierdza porozumienia o współpracy, umowy o gwarantowanym poziomie usług lub umowy między CERT-UE a innymi podmiotami zawarte na podstawie art. 18; |
| l) | przyjmuje wytyczne i zalecenia na wniosek CERT-UE zgodnie z art. 14 i zleca CERT-UE wydanie, wycofanie lub zmianę propozycji wytycznych bądź zaleceń, lub wezwania do działania; |
| m) | ustanawia grupy doradztwa technicznego realizujące konkretne zadania, aby wspierać prace IICB, zatwierdza zakres ich uprawnień i zadań i wyznacza ich przewodniczących; |
| n) | otrzymuje i analizuje dokumenty i sprawozdania składane przez podmioty_Unii na podstawie niniejszego rozporządzenia, takie jak oceny dojrzałości w zakresie cyberbezpieczeństwa; |
| o) | wspomaga utworzenie nieformalnej grupy lokalnych urzędników podmiotów Unii ds. cyberbezpieczeństwa, wspieranej przez ENISA, aby umożliwić wymianę najlepszych praktyk i informacji dotyczących wdrażania niniejszego rozporządzenia; |
| p) | uwzględniając informacje na temat zidentyfikowanego ryzyka w cyberprzestrzeni i wyciągnięte wnioski przedstawione przez CERT-UE, monitoruje adekwatność ustaleń dotyczących wzajemnych połączeń między środowiskami ICT podmiotów Unii oraz doradza możliwe usprawnienia; |
| q) | ustanawia plan zarządzania kryzysami w cyberprzestrzeni w celu wsparcia – na poziomie operacyjnym – skoordynowanego zarządzania poważnymi incydentami mającymi wpływ na podmioty_Unii oraz w celu przyczynienia się do regularnej wymiany istotnych informacji, w szczególności o skutkach i dotkliwości poważnych incydentów oraz o możliwych sposobach łagodzenia ich skutków; |
| r) | koordynuje przyjmowanie planów zarządzania kryzysami w cyberprzestrzeni, o których mowa w art. 9 ust. 2, w poszczególnych podmiotach Unii; |
| s) | przyjmuje zalecenia w odniesieniu do bezpieczeństwa łańcucha dostaw, o którym mowa w art. 8 ust. 2 akapit pierwszy lit. m), z uwzględnieniem wyników skoordynowanego na poziomie Unii szacowania ryzyka krytycznych łańcuchów dostaw, o którym mowa w art. 22 dyrektywy (UE) 2022/2555, w celu wsparcia podmiotów Unii w przyjmowaniu skutecznych i proporcjonalnych środków zarządzania ryzykiem w cyberprzestrzeni. |
Artykuł 17
Współpraca CERT-UE z jego odpowiednikami w państwach członkowskich
1. Bez zbędnej zwłoki CERT-UE współpracuje i prowadzi wymianę informacji ze swoimi odpowiednikami z państw członkowskich, w szczególności z CSIRT wyznaczonymi lub ustanowionymi na podstawie art. 10 dyrektywy (UE) 2022/2555 lub w stosownych przypadkach z właściwymi organami i z pojedynczymi punktami kontaktowymi wyznaczonymi lub ustanowionymi na podstawie art. 8 tej dyrektywy, w zakresie incydentów, cyberzagrożeń, podatności, potencjalnych zdarzeń dla cyberbezpieczeństwa, ewentualnych środków zaradczych oraz najlepszych praktyk, jak również wszystkich kwestii istotnych dla lepszej ochrony środowisk ICT podmiotów Unii, w tym za pośrednictwem sieci CSIRT ustanowionej na podstawie art. 15 dyrektywy (UE) 2022/2555. CERT-UE wspiera Komisję w ramach EU-CyCLONe, ustanowionego na podstawie art. 16 dyrektywy (UE) 2022/2555, w skoordynowanym zarządzaniu kryzysami i incydentami w cyberbezpieczeństwie na dużą skalę.
2. W przypadku gdy CERT-UE dowie się o wystąpieniu znaczącego incydentu na terytorium danego państwa członkowskiego, niezwłocznie powiadamia on właściwego odpowiednika w tym państwie członkowskim, zgodnie z ust. 1.
3. Jeżeli dane osobowe są chronione zgodnie z mającym zastosowanie prawem Unii dotyczącym ochrony danych, CERT-UE bez zbędnej zwłoki, wymienia z odpowiednikami z państw członkowskich stosowne informacje dotyczące konkretnych incydentów, aby ułatwić wykrywanie podobnych cyberzagrożeń lub incydentów lub by przyczynić się do analizy incydentu, co nie wymaga zgody podmiotu Unii, którego dotyczy incydent. CERT-UE wymienia informacje dotyczące konkretnych incydentów, które ujawniają tożsamość celu, wyłącznie w jednej z następujących sytuacji
| a) | podmiot Unii, którego dotyczy incydent, wyraził zgodę; |
| b) | podmiot Unii, którego dotyczy incydent, nie wyraził zgody przewidzianej w lit. a), lecz ujawnienie tożsamości tego podmiotu Unii mogłoby zwiększyć prawdopodobieństwo uniknięcia incydentów lub złagodzenia ich skutków w innych miejscach; |
| c) | podmiot Unii, którego dotyczy incydent, już podał do wiadomości publicznej, że padł ofiarą incydentu. |
Decyzje o wymianie informacji dotyczących konkretnego incydentu, które ujawniają tożsamość celu, w który wymierzony był incydent, podjęte na podstawie akapitu pierwszego lit. b) zatwierdza szef CERT-UE. Przed wydaniem takiej decyzji CERT-UE kontaktuje się na piśmie z podmiotem Unii, którego dotyczy incydent, wyjaśniając, w jaki sposób ujawnienie tożsamości podmiotu pomogłoby uniknąć incydentów lub złagodzić ich skutki w innych miejscach. Szef CERT-UE przedstawia wyjaśnienie i wyraźnie zwraca się do podmiotu Unii o wydanie w określonym terminie oświadczenia, czy wyraża zgodę. Szef CERT-UE informuje również podmiot Unii, że w świetle przedstawionych wyjaśnień zastrzega on sobie prawo do ujawnienia informacji nawet pomimo braku zgody. Przed ujawnieniem informacji informuje się o tym podmiot Unii, którego dotyczy incydent.
Artykuł 23
Zarządzanie poważnymi incydentami
1. Aby wspierać na poziomie operacyjnym skoordynowane zarządzanie poważnymi incydentami mającymi wpływ na podmioty_Unii oraz przyczyniać się do regularnej wymiany istotnych informacji między podmiotami Unii i z państwami członkowskimi, IICB ustanawia na podstawie art. 11 lit. q) plan zarządzania kryzysami w cyberprzestrzeni oparty o działania, o których mowa w art. 22 ust. 2, w ścisłej współpracy z CERT-UE i ENISA. Plan zarządzania kryzysami w cyberprzestrzeni obejmuje co najmniej następujące elementy:
| a) | ustalenia dotyczące koordynacji i przepływu informacji między podmiotami Unii na potrzeby zarządzania poważnymi incydentami na poziomie operacyjnym; |
| b) | wspólne obowiązujące procedury działania (SOP); |
| c) | wspólną taksonomię dotkliwości poważnych incydentów i punktów wywołujących kryzys; |
| d) | regularne ćwiczenia; |
| e) | kanały bezpiecznej komunikacji, które mają być używane. |
2. Przedstawiciel Komisji w IICB, z zastrzeżeniem planu zarządzania kryzysami w cyberprzestrzeni ustanowionego na podstawie ust. 1 niniejszego artykułu i bez uszczerbku dla art. 16 ust. 2 akapit pierwszy dyrektywy (UE) 2022/2555, jest punktem kontaktowym do celów wymiany z EU-CyCLONe istotnych informacji dotyczących poważnych incydentów.
3. CERT-UE koordynuje pomiędzy podmiotami Unii zarządzanie poważnymi incydentami. Prowadzi rejestr dostępnej fachowej wiedzy technicznej, która może być potrzebna, aby zareagować na incydenty w przypadku poważnych incydentów, oraz wspiera IICB w koordynowaniu planów zarządzania kryzysami w cyberprzestrzeni opracowywanych przez podmioty_Unii na wypadek poważnych incydentów, o których to planach mowa w art. 9 ust. 2.
4. Podmioty Unii wnoszą wkład w tworzenie rejestru fachowej wiedzy technicznej, udostępniając aktualizowany co roku wykaz ekspertów dostępnych w ich odpowiednich organizacjach, z wyszczególnieniem ich konkretnych umiejętności technicznych.
ROZDZIAŁ VI
PRZEPISY KOŃCOWE
whereas