keyboard_tab Cyber Resilience Act 2023/2841 PL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artykuł 7 oceny dojrzałości w zakresie cyberbezpieczeństwa
- 1 Artykuł 9 Plany dotyczące cyberbezpieczeństwa
- 2 Artykuł 11 Zadania IICB
- 1 Artykuł 14 Wytyczne, zalecenia i wezwania do działania
- 1 Artykuł 21 Obowiązki w zakresie zgłaszania incydentów
- 2 Artykuł 25 Przegląd
- Artykuł 26 Wejście w życie
ROZDZIAŁ I
PRZEPISY OGÓLNE
ROZDZIAŁ II
ŚRODKI NA RZECZ WYSOKIEGO WSPÓLNEGO POZIOMU CYBERBEZPIECZEŃSTWA
ROZDZIAŁ III
MIĘDZYINSTYTUCJONALNA RADA DS. CYBERBEZPIECZEŃSTWA
ROZDZIAŁ IV
CERT-UE
ROZDZIAŁ V
OBOWIĄZKI W ZAKRESIE WSPÓŁPRACY I ZGŁASZANIA INCYDENTÓW
ROZDZIAŁ VI
PRZEPISY KOŃCOWE
- podmioty Unii
- sieci i systemy informatyczne
- bezpieczeństwo sieci i systemów informatycznych
- cyberbezpieczeństwo
- kierownictwo najwyższego szczebla
- potencjalne zdarzenie dla cyberbezpieczeństwa
- incydent
- poważny incydent
- incydent w cyberbezpieczeństwie na dużą skalę
- obsługa incydentu
- cyberzagrożenie
- poważne cyberzagrożenie
- podatność
- ryzyko w cyberprzestrzeni
- usługa chmurowa
- cyberbezpieczeństwa 37
- unii 34
- cert-ue 27
- w zakresie 16
- podstawie 13
- oraz 13
- art 13
- sprawozdanie 12
- niniejszego 12
- przypadkach 12
- się 11
- przez 11
- podmiotów 10
- iicb 10
- w stosownych 10
- w cyberprzestrzeni 10
- dojrzałości 10
- plan 9
- rozporządzenia 9
- wniosek 9
- zarządzania 9
- incydentu 9
- zatwierdza 8
- dotyczące 8
- incydentów 8
- podmioty_unii 8
- oceny 8
- mowa 8
- dotyczący 7
- zwłoki 7
- zbędnej 7
- podmiot 7
- w tym 6
- szefa 6
- środków 6
- ust 6
- informacji 6
- w celu 6
- incydent 6
- działania 6
- podmiotu 6
- artykuł 6
- dnia 6
- zalecenia 5
- poziomie 5
- ryzykiem 5
- jego 5
- do 5
- informacje 5
- o którym 5
Artykuł 7
oceny dojrzałości w zakresie cyberbezpieczeństwa
1. Do dnia 8 lipca 2025 r., a następnie co najmniej raz na dwa lata każdy podmiot Unii przeprowadza ocenę dojrzałości w zakresie cyberbezpieczeństwa, obejmującą wszystkie elementy jego środowiska ICT.
2. oceny dojrzałości w zakresie cyberbezpieczeństwa przeprowadza się w stosownych przypadkach przy pomocy wyspecjalizowanej osoby trzeciej.
3. Podmioty Unii o podobnej strukturze mogą współpracować przy przeprowadzaniu swoich ocen dojrzałości w zakresie cyberbezpieczeństwa.
4. Na podstawie wniosku Międzynarodowej Rady ds. Cyberbezpieczeństwa ustanowionej na mocy art. 10 i za wyraźną zgodą zainteresowanego podmiotu Unii wyniki oceny dojrzałości w zakresie cyberbezpieczeństwa mogą być omawiane w ramach tej rady lub w ramach nieformalnej grupy lokalnych urzędników ds. cyberbezpieczeństwa w celu wyciągnięcia wniosków z doświadczeń oraz wymiany najlepszych praktyk.
Artykuł 9
Plany dotyczące cyberbezpieczeństwa
1. Zgodnie z wnioskami z oceny dojrzałości w zakresie cyberbezpieczeństwa przeprowadzonej na podstawie art. 7, a także z uwzględnieniem aktywów i ryzyka w cyberprzestrzeni zidentyfikowanych dzięki Ramom oraz środków zarządzania ryzykiem w cyberprzestrzeni przyjętych na podstawie art. 8 kierownictwo_najwyższego_szczebla każdego podmiotu Unii zatwierdza – bez zbędnej zwłoki, a w każdym razie do dnia 8 stycznia 2026 r. – plan dotyczący cyberbezpieczeństwa. Plan dotyczący cyberbezpieczeństwa ma na celu zwiększenie ogólnego poziomu cyberbezpieczeństwa danego podmiotu Unii, a tym samym przyczynia się do zwiększenia wysokiego wspólnego poziomu cyberbezpieczeństwa wewnątrz podmiotów Unii. Plan dotyczący cyberbezpieczeństwa obejmuje co najmniej środki zarządzania ryzykiem w cyberprzestrzeni podjęte na podstawie art. 8. Plan dotyczący cyberbezpieczeństwa poddaje się przeglądowi co dwa lata lub, w razie potrzeby, częściej w następstwie ocen dojrzałości w zakresie cyberbezpieczeństwa przeprowadzonej na podstawie art. 7 lub każdej istotnej zmiany Ram.
2. Plan dotyczący cyberbezpieczeństwa zawiera opracowany przez podmiot Unii plan zarządzania kryzysami w cyberprzestrzeni na wypadek poważnych incydentów.
3. Podmiot Unii przedkłada gotowy plan dotyczący cyberbezpieczeństwa Międzyinstytucjonalnej Radzie ds. Cyberbezpieczeństwa ustanowionej na mocy art. 10.
ROZDZIAŁ III
MIĘDZYINSTYTUCJONALNA RADA DS. CYBERBEZPIECZEŃSTWA
Artykuł 11
Zadania IICB
W ramach swoich obowiązków IICB w szczególności:
| a) | udziela wskazówek szefowi CERT-UE; |
| b) | skutecznie monitoruje i nadzoruje wdrażanie niniejszego rozporządzenia oraz wspiera podmioty_Unii we wzmacnianiu ich cyberbezpieczeństwa, w tym, w stosownych przypadkach, zwraca się do podmiotów Unii i CERT-UE o sporządzenie sprawozdań ad hoc; |
| c) | w następstwie dyskusji strategicznej przyjmuje wieloletnią strategię podniesienia poziomu cyberbezpieczeństwa w podmiotach Unii, regularnie – co najmniej raz na pięć lat – ją ocenia i w razie potrzeby ją zmienia; |
| d) | ustala metodykę i aspekty organizacyjne przeprowadzania dobrowolnych wzajemnych ocen przez podmioty_Unii by wyciągnąć wnioski z wspólnych doświadczeń, zwiększyć wzajemne zaufanie, osiągnąć wysoki wspólny poziom cyberbezpieczeństwa, a także zwiększać zdolności podmiotów Unii w zakresie cyberbezpieczeństwa, zapewniając, aby takie wzajemne oceny były przeprowadzane przez ekspertów ds. cyberbezpieczeństwa wyznaczonych przez podmiot Unii inny niż podmiot Unii poddawany ocenie oraz aby metodyka ich przeprowadzania opierała się na art. 19 dyrektywy (UE) 2022/2555 i była, w stosownych przypadkach, dostosowana do potrzeb podmiotów Unii; |
| e) | zatwierdza, na wniosek szefa CERT-UE, roczny program prac CERT-UE i monitoruje jego realizację; |
| f) | zatwierdza, na wniosek szefa CERT-UE, katalog usług CERT-UE oraz jego aktualizacje; |
| g) | zatwierdza, na wniosek szefa CERT-UE, roczny plan dochodów i wydatków, w tym plan zatrudnienia, na potrzeby działalności CERT-UE; |
| h) | zatwierdza, na wniosek szefa CERT-UE, ustalenia dotyczące umów o gwarantowanym poziomie usług; |
| i) | analizuje i zatwierdza sprawozdanie roczne, sporządzone przez szefa CERT-UE, obejmujące działalność CERT-UE i zarządzanie środkami finansowymi przez CERT-UE; |
| j) | zatwierdza i monitoruje kluczowe wskaźniki skuteczności działania w odniesieniu do CERT-UE, określone na wniosek szefa CERT-UE; |
| k) | zatwierdza porozumienia o współpracy, umowy o gwarantowanym poziomie usług lub umowy między CERT-UE a innymi podmiotami zawarte na podstawie art. 18; |
| l) | przyjmuje wytyczne i zalecenia na wniosek CERT-UE zgodnie z art. 14 i zleca CERT-UE wydanie, wycofanie lub zmianę propozycji wytycznych bądź zaleceń, lub wezwania do działania; |
| m) | ustanawia grupy doradztwa technicznego realizujące konkretne zadania, aby wspierać prace IICB, zatwierdza zakres ich uprawnień i zadań i wyznacza ich przewodniczących; |
| n) | otrzymuje i analizuje dokumenty i sprawozdania składane przez podmioty_Unii na podstawie niniejszego rozporządzenia, takie jak oceny dojrzałości w zakresie cyberbezpieczeństwa; |
| o) | wspomaga utworzenie nieformalnej grupy lokalnych urzędników podmiotów Unii ds. cyberbezpieczeństwa, wspieranej przez ENISA, aby umożliwić wymianę najlepszych praktyk i informacji dotyczących wdrażania niniejszego rozporządzenia; |
| p) | uwzględniając informacje na temat zidentyfikowanego ryzyka w cyberprzestrzeni i wyciągnięte wnioski przedstawione przez CERT-UE, monitoruje adekwatność ustaleń dotyczących wzajemnych połączeń między środowiskami ICT podmiotów Unii oraz doradza możliwe usprawnienia; |
| q) | ustanawia plan zarządzania kryzysami w cyberprzestrzeni w celu wsparcia – na poziomie operacyjnym – skoordynowanego zarządzania poważnymi incydentami mającymi wpływ na podmioty_Unii oraz w celu przyczynienia się do regularnej wymiany istotnych informacji, w szczególności o skutkach i dotkliwości poważnych incydentów oraz o możliwych sposobach łagodzenia ich skutków; |
| r) | koordynuje przyjmowanie planów zarządzania kryzysami w cyberprzestrzeni, o których mowa w art. 9 ust. 2, w poszczególnych podmiotach Unii; |
| s) | przyjmuje zalecenia w odniesieniu do bezpieczeństwa łańcucha dostaw, o którym mowa w art. 8 ust. 2 akapit pierwszy lit. m), z uwzględnieniem wyników skoordynowanego na poziomie Unii szacowania ryzyka krytycznych łańcuchów dostaw, o którym mowa w art. 22 dyrektywy (UE) 2022/2555, w celu wsparcia podmiotów Unii w przyjmowaniu skutecznych i proporcjonalnych środków zarządzania ryzykiem w cyberprzestrzeni. |
Artykuł 14
Wytyczne, zalecenia i wezwania do działania
1. CERT-UE wspiera wdrażanie niniejszego rozporządzenia poprzez:
| a) | wydawanie wezwań do działania opisujących pilne środki w zakresie bezpieczeństwa, do zastosowania których w określonym terminie wzywa się podmioty_Unii; |
| b) | przedstawianie IICB propozycji wytycznych skierowanych do wszystkich podmiotów Unii lub do części z nich; |
| c) | przedstawianie IICB propozycji zaleceń skierowanych do poszczególnych podmiotów Unii. |
W odniesieniu do akapitu pierwszego lit. a) dany podmiot Unii bez zbędnej zwłoki po otrzymaniu wezwania do działania informuje CERT-UE o sposobie zastosowania pilnych środków w zakresie bezpieczeństwa.
2. Wytyczne i zalecenia mogą obejmować:
| a) | wspólne metody i model oceny dojrzałości podmiotów Unii w zakresie cyberbezpieczeństwa, w tym odpowiednie skale lub kluczowe wskaźniki skuteczności działania, służące jako punkt odniesienia dla stałych postępów w zakresie cyberbezpieczeństwa we wszystkich podmiotach Unii i ułatwiające traktowanie priorytetowo poszczególnych obszarów cyberbezpieczeństwa i środków z zakresu cyberbezpieczeństwa z uwzględnieniem stanu cyberbezpieczeństwa w poszczególnych podmiotach; |
| b) | ustalenia dotyczące zarządzania ryzykiem w cyberprzestrzeni i ustalenia dotyczące środków zarządzania ryzykiem w cyberprzestrzeni lub usprawnienia tych elementów; |
| c) | ustalenia dotyczące ocen dojrzałości w zakresie cyberbezpieczeństwa i planów dotyczących cyberbezpieczeństwa; |
| d) | w stosownych przypadkach wykorzystywanie wspólnej technologii, architektury, otwartego oprogramowania i powiązanych najlepszych praktyk w celu osiągnięcia interoperacyjności i wspólnych norm, w tym skoordynowanego podejścia do bezpieczeństwa łańcucha dostaw; |
| e) | w stosownych przypadkach informacje ułatwiające posługiwanie się narzędziami udzielania zamówień realizowanych na zasadzie współpracy na zakup odpowiednich usług i produktów z zakresu cyberbezpieczeństwa od zewnętrznych dostawców; |
| f) | ustalenia dotyczące wymiany informacji na podstawie art. 20. |
Artykuł 21
Obowiązki w zakresie zgłaszania incydentów
1. Incydent uznaje się za znaczący, jeżeli:
| a) | spowodował lub może spowodować dotkliwe zakłócenia operacyjne w funkcjonowaniu lub straty finansowe dla danego podmiotu Unii; |
| b) | wpłynął lub może wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe i niemajątkowe. |
2. Podmioty Unii przedkładają CERT-UE:
| a) | bez zbędnej zwłoki, a w każdym razie w ciągu 24 godzin od powzięcia wiedzy o znaczącym incydencie – wczesne ostrzeżenie, w którym w stosownych przypadkach wskazuje się, że znaczący incydent został przypuszczalnie wywołany działaniem bezprawnym lub działaniem w złym zamiarze lub że mógł wywrzeć wpływ międzyinstytucjonalny lub transgraniczny; |
| b) | bez zbędnej zwłoki, a w każdym razie w ciągu 72 godzin od powzięcia wiedzy o znaczącym incydencie – zgłoszenie incydentu, w stosownych przypadkach wraz z aktualizacją informacji, o których mowa w lit. a), i ze wskazaniem wstępnej oceny znaczącego incydentu, w tym jego dotkliwości i skutków, a w stosownych przypadkach także oznak naruszenia integralności systemu; |
| c) | na wniosek CERT-UE – sprawozdanie okresowe na temat odpowiednich aktualizacji statusu; |
| d) | nie później niż miesiąc po zgłoszeniu incydentu na podstawie lit. b) – sprawozdanie końcowe zawierające następujące elementy:
|
| e) | jeżeli incydent nie zakończył się w terminie składania sprawozdania końcowego, o którym mowa w lit. d) – sprawozdanie z postępu prac w danym momencie oraz sprawozdanie końcowe w terminie jednego miesiąca od zakończenia przez nie obsługi incydentu. |
3. Podmiot Unii bez zbędnej zwłoki, a w każdym razie w ciągu 24 godzin od powzięcia wiedzy o znaczącym incydencie, informuje o wystąpieniu znaczącego incydentu wszelkie stosowne odpowiedniki krajowe, o których mowa w art. 17 ust. 1, w państwie członkowskim, w którym podmiot ten ma siedzibę.
4. Podmioty Unii zgłaszają między innymi wszelkie informacje umożliwiające CERT-UE określenie wszelkiego wpływu międzyinstytucjonalnego, wpływu na przyjmujące państwo członkowskie lub transgranicznego wpływu znaczącego incydentu. Bez uszczerbku dla art. 12 samo zgłoszenie nie nakłada na podmiot Unii zwiększonej odpowiedzialności.
5. W stosownych przypadkach podmioty_Unii bez zbędnej zwłoki powiadamiają użytkowników sieci i systemów informatycznych, których dotyczy incydent, lub użytkowników innych elementów środowiska ICT, których potencjalnie dotyczy znaczący incydent lub poważne cyberzagrożenie, oraz którzy w stosownych przypadkach mają potrzebę podjęcia środków łagodzących, o wszelkich środkach lub środkach zaradczych, które użytkownicy ci mogą zastosować w reakcji na ten incydent lub to zagrożenie. w stosownych przypadkach podmioty_Unii informują tych użytkowników o samym poważnym cyberzagrożeniu.
6. Jeżeli znaczący incydent lub poważne cyberzagrożenie mają wpływ na sieć i system informatyczny lub element środowiska ICT podmiotu Unii, które jest celowo powiązane ze środowiskiem ICT innego podmiotu Unii, CERT-UE wydaje stosowne ostrzeżenie dotyczące cyberbezpieczeństwa.
7. Podmioty Unii, na wniosek CERT-UE, przekazują mu bez zbędnej zwłoki informacje cyfrowe wygenerowane w wyniku korzystania z urządzeń elektronicznych uczestniczących w incydentach, które u nich wystąpiły. CERT-UE może dodatkowo sprecyzować, jakiego rodzaju informacji cyfrowych potrzebuje do celów orientacji sytuacyjnej i zareagowania na incydenty.
8. Co trzy miesiące CERT-UE przedkłada IICB, ENISA, EU INTCEN i sieci CSIRT sprawozdanie podsumowujące zawierające zanonimizowane i zagregowane dane dotyczące znaczących incydentów, incydentów, cyberzagrożeń, potencjalnych zdarzeń dla cyberbezpieczeństwa i podatności na podstawie art. 20 oraz znaczących incydentów zgłoszonych na podstawie ust. 2 niniejszego artykułu. To sprawozdanie podsumowujące stanowi wkład w przedstawiane co dwa lata sprawozdanie na temat stanu cyberbezpieczeństwa w Unii przyjmowane na podstawie art. 18 dyrektywy (UE) 2022/2555.
9. Do dnia 8 lipca 2024 r. IICB wyda wytyczne lub zalecenia doprecyzowujące zasady składania, format i treść zgłoszeń na podstawie niniejszego artykułu. Przygotowując takie wytyczne lub zalecenia, IICB uwzględnia wszelkie akty wykonawcze przyjęte na podstawie art. 23 ust. 11 dyrektywy (UE) 2022/2555 określające rodzaj informacji, format i procedurę zgłoszeń. CERT-UE rozpowszechnia odpowiednie szczegółowe informacje techniczne w celu umożliwienia proaktywnego wykrywania incydentów, reagowania na nie lub wprowadzania środków łagodzących ich skutki przez podmioty_Unii.
10. Obowiązki w zakresie zgłaszania incydentów określone w niniejszym artykule nie obejmują:
| a) | EUCI; |
| b) | informacji, których dalsze rozpowszechnianie zostało wykluczone za pomocą widocznego oznakowania, chyba że wyraźnie zezwolono na ich wymianę z CERT-UE. |
Artykuł 25
Przegląd
1. Do dnia 8 stycznia 2025 r., a następnie co roku IICB przy wsparciu CERT-UE składa Komisji sprawozdanie z wdrażania niniejszego rozporządzenia. IICB może kierować do Komisji zalecenia, aby dokonała przeglądu niniejszego rozporządzenia.
2. Do dnia 8 stycznia 2027 r., a następnie co dwa lata Komisja dokonuje oceny wdrożenia niniejszego rozporządzenia oraz składa Parlamentowi Europejskiemu i Radzie sprawozdanie z jego wykonania oraz z doświadczeń zdobytych na poziomie strategicznym i operacyjnym.
Sprawozdanie, o którym mowa w akapicie pierwszym niniejszego ustępu, obejmuje przegląd, o którym mowa w art. 16 ust. 1, dotyczący możliwości ustanowienia CERT-UE jako urzędu Unii.
3. Do dnia 8 stycznia 2029 r. Komisja dokona oceny funkcjonowania niniejszego rozporządzenia i złoży sprawozdanie Parlamentowi Europejskiemu, Radzie, Europejskiemu Komitetowi Ekonomiczno-Społecznemu i Komitetowi Regionów. Komisja oceni również stosowność włączenia sieci i systemów informatycznych przetwarzających EUCI do zakresu stosowania niniejszego rozporządzenia, z uwzględnieniem innych aktów ustawodawczych Unii mających zastosowanie do tych systemów. Sprawozdaniu towarzyszy w razie potrzeby wniosek ustawodawczy.
whereas