keyboard_tab Cyber Resilience Act 2023/2841 PL

1.   IICB na podstawie art. 10 ust. 2 i art. 11 skutecznie monitoruje wdrażanie przez podmioty_Unii niniejszego rozporządzenia oraz przyjętych wytycznych, zaleceń i wezwań do działania. IICB może zażądać od podmiotów Unii niezbędnych w tym celu informacji lub dokumentów. w przypadku przyjmowania środków zapewniania zgodności na podstawie niniejszego artykułu dotyczących danego podmiotu Unii, który jest bezpośrednio reprezentowany w IICB, podmiot ten nie ma prawa głosu.

2.   W razie gdy IICB stwierdzi, że dany podmiot Unii nie wdrożył należycie niniejszego rozporządzenia lub wytycznych, zaleceń lub wezwań do działania wydanych na podstawie niniejszego rozporządzenia, może – bez uszczerbku dla wewnętrznych procedur danego podmiotu Unii oraz po umożliwieniu temu podmiotowi Unii przedstawienia uwag:

Do celów akapitu pierwszego lit. c) liczbę odbiorców ostrzeżenia odpowiednio się ogranicza, jeżeli jest to konieczne ze względu na ryzyko_w cyberprzestrzeni.

Ostrzeżenia i zalecenia wydane na podstawie akapitu pierwszego kieruje się do kierownictwa najwyższego szczebla danego podmiotu Unii.

3.   W przypadku gdy IICB przyjmie środki na podstawie ust. 2 akapit pierwszy lit. a)–g), dany podmiot Unii przedstawia szczegółowy opis środków i działań podjętych w celu usunięcia zarzucanych mu niedociągnięć stwierdzonych przez IICB. Podmiot Unii przedkłada ten szczegółowy opis w rozsądnym terminie uzgodnionym z IICB.

4.   W przypadku gdy IICB uzna, że naruszenie niniejszego rozporządzenia przez dany podmiot Unii ma charakter długotrwały i wynika bezpośrednio z działań lub zaniechań ze strony urzędnika lub innego pracownika Unii, w tym członka kierownictwa najwyższego szczebla, IICB zwraca się do danego podmiotu Unii o podjęcie odpowiednich działań, w tym z żądaniem, by rozważył podjęcie działań o charakterze dyscyplinarnym zgodnie z przepisami i procedurami ustanowionymi w regulaminie pracowniczym i innymi mającymi zastosowanie przepisami i procedurami. w tym celu IICB przekazuje danemu podmiotowi Unii niezbędne informacje.

5.   Jeżeli podmioty_Unii powiadomią, że nie są w stanie dotrzymać terminów określonych w art. 6 ust. 1 i w art. 8 ust. 1, IICB może w należycie uzasadnionych przypadkach, uwzględniwszy rozmiar podmiotu Unii, zezwolić na przedłużenie tych terminów.

1.   CERT-UE wspiera wdrażanie niniejszego rozporządzenia poprzez:

W odniesieniu do akapitu pierwszego lit. a) dany podmiot Unii bez zbędnej zwłoki po otrzymaniu wezwania do działania informuje CERT-UE o sposobie zastosowania pilnych środków w zakresie bezpieczeństwa.

2.   Wytyczne i zalecenia mogą obejmować:

1.   Komisja, za zgodą dwóch trzecich członków IICB, mianuje szefa CERT-UE. Na wszystkich etapach procedury mianowania, w szczególności w odniesieniu do przygotowywania ogłoszeń o naborze, rozpatrywania kandydatur oraz powoływania komisji selekcyjnych do celu wyboru na to stanowisko, prowadzi się konsultacje z IICB. Procedura wyboru, w tym ostateczna skrócona lista kandydatów, spośród których ma zostać mianowany szef CERT-UE, musi gwarantować sprawiedliwą reprezentację każdej z płci z uwzględnieniem przedstawionych kandydatur.

2.   Szef CERT-UE odpowiada za sprawne funkcjonowanie CERT-UE i działa w ramach kompetencji związanych z jego funkcją oraz pod kierownictwem IICB. Szef CERT-UE regularnie składa sprawozdania przewodniczącemu IICB oraz – na żądanie IICB – składa IICB sprawozdania ad hoc.

3.   Szef CERT-UE wspomaga odpowiedzialnego delegowanego urzędnika zatwierdzającego w sporządzaniu rocznego sprawozdania z działalności zawierającego informacje dotyczące finansów i zarządzania, w tym wyniki kontroli, przygotowywanego zgodnie z art. 74 ust. 9 rozporządzenia Parlamentu Europejskiego i Rady (UE, Euratom) 2018/1046 (9) i regularnie składa temu delegowanemu urzędnikowi zatwierdzającemu sprawozdania z realizacji działań, co do których szefowi CERT-UE przekazano uprawnienia na zasadzie subdelegacji.

4.   Szef CERT-UE opracowuje co roku plan dochodów i wydatków administracyjnych na potrzeby działalności CERT-UE, projekt rocznego programu prac, projekt katalogu usług CERT-UE, projekt zmian w katalogu usług, projekt warunków umów o gwarantowanym poziomie usług oraz projekt kluczowych wskaźników skuteczności działania CERT-UE, które mają zostać zatwierdzone przez IICB zgodnie z art. 11. Dokonując rewizji wykazu usług w katalogu usług CERT-UE, szef CERT-UE uwzględnia zasoby przydzielone CERT-UE.

5.   Szef CERT-UE co najmniej raz do roku przedkłada IICB i przewodniczącemu IICB sprawozdania z działalności i wyników CERT-UE za okres odniesienia, w tym z wykonania budżetu, zawartych umów o gwarantowanym poziomie usług i pisemnych umów, współpracy z odpowiednikami i partnerami oraz z misji podejmowanych przez członków personelu, w tym sprawozdania, o których mowa w art. 11. Sprawozdania te obejmują program prac na kolejny okres, plan dochodów i wydatków, w tym plan zatrudnienia, planowane aktualizacje katalogu usług CERT-UE oraz ocenę spodziewanego wpływu takich aktualizacji na zasoby finansowe i ludzkie.

1.   CERT-UE wchodzi w skład struktury administracyjnej jednej z dyrekcji generalnych Komisji, aby korzystać z komisyjnych struktur wsparcia administracyjnego, zarządzania finansowego i rachunkowego, zachowując jednocześnie swój status autonomicznego, międzyinstytucjonalnego dostawcy usług dla wszystkich podmiotów Unii. Komisja informuje IICB o miejscu CERT-UE w strukturze administracyjnej oraz o wszelkich zmianach w tym zakresie. Komisja dokonuje regularnie przeglądu ustaleń administracyjnych dotyczących CERT-UE oraz każdorazowo przed ustanowieniem wieloletnich ram finansowych na podstawie art. 312 TFUE, aby umożliwić podjęcie odpowiednich działań. Przegląd obejmuje możliwość ustanowienia CERT-UE jako urzędu Unii.

2.   W kwestii stosowania procedur administracyjnych i finansowych szef CERT-UE działa z upoważnienia Komisji oraz pod nadzorem IICB.

3.   Zadania i działania CERT-UE, w tym usługi świadczone przez CERT-UE zgodnie z art. 13 ust. 3, 4, 5 i 7 oraz art. 14 ust. 1 na rzecz podmiotów Unii finansowanych w ramach działu wieloletnich ram finansowych dotyczącego europejskiej administracji publicznej, są finansowane z odrębnej linii budżetowej budżetu Komisji. Stanowiska przeznaczone dla CERT-UE wyszczególnia się w przypisie do planu zatrudnienia Komisji.

4.   Podmioty Unii inne niż te wymienione w ust. 3 niniejszego artykułu wnoszą roczny wkład finansowy na rzecz CERT-UE w celu pokrycia kosztów usług świadczonych przez CERT-UE na podstawie tego ustępu. Wkłady opierają się na wskazówkach wydanych przez IICB i są przedmiotem uzgodnień zawartych między każdym podmiotem Unii a CERT-UE w umowach o gwarantowanym poziomie usług. Wkłady muszą odzwierciedlać sprawiedliwy i proporcjonalny udział w całkowitych kosztach świadczonych usług. Ujmuje się je w odrębnej linii budżetowej, o której mowa w ust. 3 niniejszego artykułu, jako wewnętrzne dochody przeznaczone na określony cel, jak przewidziano w art. 21 ust. 3 lit. c) rozporządzenia (UE, Euratom) 2018/1046.

5.   Koszty usług przewidzianych w art. 13 ust. 6 odzyskuje się od podmiotów Unii korzystających z usług CERT-UE. Dochody przypisuje się do linii budżetowych przeznaczonych na pokrycie kosztów.

1.   Podmioty Unii mogą dobrowolnie zgłaszać CERT-UE incydenty, cyberzagrożenia, potencjalne zdarzenia dla cyberbezpieczeństwa i podatności, które ich dotyczą, i przekazywać CERT-UE informacje na ten temat. CERT-UE zapewnia dostępność skutecznych środków łączności, charakteryzujących się wysokim poziomem identyfikowalności, poufności i niezawodności, aby ułatwić wymianę informacji z podmiotami Unii. Przy rozpatrywaniu zgłoszeń CERT-UE może traktować zgłoszenia obowiązkowe priorytetowo względem zgłoszeń dobrowolnych. Bez uszczerbku dla art. 12 dobrowolne zgłoszenie nie może skutkować nałożeniem na zgłaszający podmiot Unii żadnych dodatkowych obowiązków, którym by nie podlegał, gdyby nie dokonał takiego zgłoszenia.

2.   W celu realizacji swojej misji i zadań powierzonych na podstawie art. 13, CERT-UE może zwracać się do podmiotów Unii o przekazanie mu informacji z ich odpowiednich rejestrów zasobów systemów ICT, w tym informacji dotyczących cyberzagrożeń, potencjalnych zdarzeń dla cyberbezpieczeństwa, podatności, oznak naruszenia integralności systemu, ostrzeżeń dotyczących cyberbezpieczeństwa i zaleceń dotyczących konfiguracji narzędzi cyberbezpieczeństwa do celów wykrywania incydentów. Podmiot Unii, do którego się zwrócono, bez zbędnej zwłoki przekazuje wymagane informacje oraz ich wszelkie późniejsze aktualizacje.

3.   CERT-UE może prowadzić z podmiotami Unii wymianę informacji dotyczących konkretnych incydentów ujawniających tożsamość podmiotu Unii, którego dotyczy incydent pod warunkiem, że podmiotu Unii, którego dotyczy incydent, wyrazi na to zgodę. Jeżeli podmiot Unii odmawia zgody, przedstawia CERT-UE uzasadnienie tej decyzji.

4.   Podmioty Unii przekazują – na żądanie – Parlamentowi Europejskiemu i Radzie informacje na temat realizacji planów dotyczących cyberbezpieczeństwa.

5.   IICB lub CERT-UE, stosownie do przypadku, udostępniają – na żądanie – Parlamentowi Europejskiemu i Radzie wytyczne, zalecenia i wezwania do działania.

6.   Obowiązki w zakresie wymiany informacji określone w niniejszym artykule nie obejmują:

1.   Aby wspierać na poziomie operacyjnym skoordynowane zarządzanie poważnymi incydentami mającymi wpływ na podmioty_Unii oraz przyczyniać się do regularnej wymiany istotnych informacji między podmiotami Unii i z państwami członkowskimi, IICB ustanawia na podstawie art. 11 lit. q) plan zarządzania kryzysami w cyberprzestrzeni oparty o działania, o których mowa w art. 22 ust. 2, w ścisłej współpracy z CERT-UE i ENISA. plan zarządzania kryzysami w cyberprzestrzeni obejmuje co najmniej następujące elementy:

2.   Przedstawiciel Komisji w IICB, z zastrzeżeniem planu zarządzania kryzysami w cyberprzestrzeni ustanowionego na podstawie ust. 1 niniejszego artykułu i bez uszczerbku dla art. 16 ust. 2 akapit pierwszy dyrektywy (UE) 2022/2555, jest punktem kontaktowym do celów wymiany z EU-CyCLONe istotnych informacji dotyczących poważnych incydentów.

3.   CERT-UE koordynuje pomiędzy podmiotami Unii zarządzanie poważnymi incydentami. Prowadzi rejestr dostępnej fachowej wiedzy technicznej, która może być potrzebna, aby zareagować na incydenty w przypadku poważnych incydentów, oraz wspiera IICB w koordynowaniu planów zarządzania kryzysami w cyberprzestrzeni opracowywanych przez podmioty_Unii na wypadek poważnych incydentów, o których to planach mowa w art. 9 ust. 2.

4.   Podmioty Unii wnoszą wkład w tworzenie rejestru fachowej wiedzy technicznej, udostępniając aktualizowany co roku wykaz ekspertów dostępnych w ich odpowiednich organizacjach, z wyszczególnieniem ich konkretnych umiejętności technicznych.