keyboard_tab Cyber Resilience Act 2023/2841 PL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artykuł 8 Środki zarządzania ryzykiem w cyberprzestrzeni
- 1 Artykuł 11 Zadania IICB
- 4 Artykuł 13 Misja i zadania CERT-UE
- 1 Artykuł 19 Postępowanie z informacjami
- 2 Artykuł 20 Mechanizmy wymiany informacji na temat cyberbezpieczeństwa
- 2 Artykuł 22 Koordynacja reakcji na incydenty i współpraca
- 3 Artykuł 23 Zarządzanie poważnymi incydentami
ROZDZIAŁ I
PRZEPISY OGÓLNE
ROZDZIAŁ II
ŚRODKI NA RZECZ WYSOKIEGO WSPÓLNEGO POZIOMU CYBERBEZPIECZEŃSTWA
ROZDZIAŁ III
MIĘDZYINSTYTUCJONALNA RADA DS. CYBERBEZPIECZEŃSTWA
ROZDZIAŁ IV
CERT-UE
ROZDZIAŁ V
OBOWIĄZKI W ZAKRESIE WSPÓŁPRACY I ZGŁASZANIA INCYDENTÓW
ROZDZIAŁ VI
PRZEPISY KOŃCOWE
- podmioty Unii
- sieci i systemy informatyczne
- bezpieczeństwo sieci i systemów informatycznych
- cyberbezpieczeństwo
- kierownictwo najwyższego szczebla
- potencjalne zdarzenie dla cyberbezpieczeństwa
- incydent
- poważny incydent
- incydent w cyberbezpieczeństwie na dużą skalę
- obsługa incydentu
- cyberzagrożenie
- poważne cyberzagrożenie
- podatność
- ryzyko w cyberprzestrzeni
- usługa chmurowa
- unii 60
- cert-ue 40
- cyberbezpieczeństwa 35
- oraz 24
- się 23
- podmiotów 21
- informacji 21
- incydentów 18
- przez 18
- w tym 16
- podmioty_unii 14
- w zakresie 14
- w cyberprzestrzeni 14
- dotyczących 13
- iicb 13
- cert-ue 13
- może 13
- podstawie 13
- zarządzania 12
- mowa 12
- poziomie 12
- w stosownych 11
- przypadkach 11
- w art 11
- ust 11
- usług 11
- wniosek 11
- podatności 10
- niniejszego 10
- incydenty 10
- podmiotami 9
- podmiotu 9
- temat 8
- współpracy 8
- o których 8
- art 8
- rozporządzenia 8
- sieci 7
- wymiany 7
- cyberzagrożeń 7
- artykuł 7
- usługi 7
- zgodnie 7
- zarządzanie 7
- zatwierdza 7
- ue / 7
- działania 7
- między 7
- informacje 7
- incydentami 6
Artykuł 8
Środki zarządzania ryzykiem w cyberprzestrzeni
1. Bez zbędnej zwłoki, a w każdym razie do dnia 8 września 2025 r. każdy podmiot Unii pod nadzorem swojego kierownictwa najwyższego szczebla podejmuje odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne, aby zarządzać ryzykiem w cyberprzestrzeni zidentyfikowanym na podstawie Ram oraz aby zapobiec incydentom lub zminimalizować ich skutki. Przy uwzględnieniu najnowszego stanu wiedzy, oraz, w stosownych przypadkach, odpowiednich norm europejskich i międzynarodowych, środki te zapewniają poziom bezpieczeństwa sieci i systemów informatycznych w całym środowisku ICT odpowiedni do istniejącego ryzyka w cyberprzestrzeni. Oceniając proporcjonalność tych środków należycie uwzględnia się stopień narażenia podmiotu Unii na ryzyko_w cyberprzestrzeni, wielkość podmiotu, prawdopodobieństwo wystąpienia incydentów i ich dotkliwość, w tym ich skutki społeczne, gospodarcze i międzyinstytucjonalne.
2. Wdrażając środki zarządzania ryzykiem w cyberprzestrzeni, podmioty_Unii uwzględniają co najmniej następujące kwestie:
| a) | politykę w zakresie cyberbezpieczeństwa, w tym środki niezbędne do osiągnięcia celów i priorytetów, o których mowa w art. 6 i w ust. 3 niniejszego artykułu; |
| b) | politykę analizy ryzyka w cyberprzestrzeni i bezpieczeństwa systemów informatycznych; |
| c) | cele strategiczne w zakresie korzystania z usług chmurowych; |
| d) | w stosownych przypadkach audyt cyberbezpieczeństwa, który może obejmować ocenę ryzyka w cyberprzestrzeni, podatności i cyberzagrożeń oraz testy penetracyjne przeprowadzane regularnie przez zaufanego usługodawcę z sektora prywatnego; |
| e) | wdrożenie zaleceń wynikających z audytów cyberbezpieczeństwa, o których mowa w lit. d), w drodze aktualizacji zasad dotyczących cyberbezpieczeństwa i aktualizacji polityk; |
| f) | kwestie organizacyjne dotyczące cyberbezpieczeństwa, w tym wyznaczenie ról i obowiązków; |
| g) | zarządzanie aktywami, w tym rejestr zasobów ICT i mapy sieci ICT; |
| h) | bezpieczeństwo zasobów ludzkich i kontrolę dostępu; |
| i) | bezpieczeństwo operacji; |
| j) | bezpieczeństwo łączności; |
| k) | nabywanie, rozbudowę i utrzymywanie systemów, w tym polityki postępowania z podatnościami i ich ujawniania; |
| l) | w miarę możliwości politykę dotyczącą przejrzystości kodu źródłowego; |
| m) | bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem relacji między każdym podmiotem Unii a jego bezpośrednimi dostawcami lub usługodawcami; |
| n) | obsługę incydentów oraz współpracę z CERT-UE, na przykład stałe monitorowanie bezpieczeństwa i rejestrowanie danych związanych z bezpieczeństwem; |
| o) | zarządzanie ciągłością działania, na przykład zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzanie kryzysowe; oraz |
| p) | promowanie i rozwój programów edukowania, rozwijania umiejętności, podnoszenia świadomości, ćwiczeń i szkoleń w dziedzinie cyberbezpieczeństwa. |
Do celów akapitu pierwszego lit. m) podmioty_Unii uwzględniają podatności charakterystyczne dla każdego bezpośredniego dostawcy i usługodawcy oraz ogólną jakość produktów i praktyk w zakresie cyberbezpieczeństwa stosowanych przez ich dostawców i usługodawców, w tym ich procedury bezpiecznego opracowywania.
3. Podmioty Unii stosują co najmniej następujące szczegółowe środki zarządzania ryzykiem w cyberprzestrzeni:
| a) | rozwiązania techniczne umożliwiające pracę zdalną i jej utrzymanie; |
| b) | konkretne kroki zmierzające do przejścia na zasady zerowego zaufania; |
| c) | stosowanie uwierzytelniania wieloskładnikowego jako normy we wszystkich sieciach i systemach informatycznych; |
| d) | wykorzystywanie kryptografii i szyfrowania, w szczególności szyfrowania end-to-end, oraz bezpiecznego podpisu cyfrowego; |
| e) | w stosownych przypadkach bezpieczne systemy łączności głosowej, wizualnej i tekstowej oraz bezpieczne systemy łączności w sytuacjach nadzwyczajnych wewnątrz podmiotu Unii; |
| f) | proaktywne środki wykrywania i usuwania złośliwego oprogramowania i oprogramowania szpiegującego; |
| g) | zabezpieczenie łańcucha dostaw oprogramowania poprzez kryteria regulujące opracowywanie i ocenę bezpiecznego oprogramowania; |
| h) | tworzenie i przyjmowanie programów szkoleń w zakresie cyberbezpieczeństwa dla kierownictwa najwyższego szczebla i członków personelu podmiotu Unii, którym powierzono zadanie zapewnienia skutecznego wdrożenia niniejszego rozporządzenia, przy czym te programy szkoleń muszą być współmierne do przewidzianych zadań i oczekiwanych zdolności; |
| i) | regularne szkolenia z zakresu cyberbezpieczeństwa dla członków personelu; |
| j) | w stosownych przypadkach udział w analizach ryzyka dla wzajemnych połączeń między podmiotami Unii; |
| k) | wzmocnienie zasad udzielania zamówień publicznych, aby ułatwić osiągnięcie wysokiego wspólnego poziomu cyberbezpieczeństwa poprzez:
|
Artykuł 11
Zadania IICB
W ramach swoich obowiązków IICB w szczególności:
| a) | udziela wskazówek szefowi CERT-UE; |
| b) | skutecznie monitoruje i nadzoruje wdrażanie niniejszego rozporządzenia oraz wspiera podmioty_Unii we wzmacnianiu ich cyberbezpieczeństwa, w tym, w stosownych przypadkach, zwraca się do podmiotów Unii i CERT-UE o sporządzenie sprawozdań ad hoc; |
| c) | w następstwie dyskusji strategicznej przyjmuje wieloletnią strategię podniesienia poziomu cyberbezpieczeństwa w podmiotach Unii, regularnie – co najmniej raz na pięć lat – ją ocenia i w razie potrzeby ją zmienia; |
| d) | ustala metodykę i aspekty organizacyjne przeprowadzania dobrowolnych wzajemnych ocen przez podmioty_Unii by wyciągnąć wnioski z wspólnych doświadczeń, zwiększyć wzajemne zaufanie, osiągnąć wysoki wspólny poziom cyberbezpieczeństwa, a także zwiększać zdolności podmiotów Unii w zakresie cyberbezpieczeństwa, zapewniając, aby takie wzajemne oceny były przeprowadzane przez ekspertów ds. cyberbezpieczeństwa wyznaczonych przez podmiot Unii inny niż podmiot Unii poddawany ocenie oraz aby metodyka ich przeprowadzania opierała się na art. 19 dyrektywy (UE) 2022/2555 i była, w stosownych przypadkach, dostosowana do potrzeb podmiotów Unii; |
| e) | zatwierdza, na wniosek szefa CERT-UE, roczny program prac CERT-UE i monitoruje jego realizację; |
| f) | zatwierdza, na wniosek szefa CERT-UE, katalog usług CERT-UE oraz jego aktualizacje; |
| g) | zatwierdza, na wniosek szefa CERT-UE, roczny plan dochodów i wydatków, w tym plan zatrudnienia, na potrzeby działalności CERT-UE; |
| h) | zatwierdza, na wniosek szefa CERT-UE, ustalenia dotyczące umów o gwarantowanym poziomie usług; |
| i) | analizuje i zatwierdza sprawozdanie roczne, sporządzone przez szefa CERT-UE, obejmujące działalność CERT-UE i zarządzanie środkami finansowymi przez CERT-UE; |
| j) | zatwierdza i monitoruje kluczowe wskaźniki skuteczności działania w odniesieniu do CERT-UE, określone na wniosek szefa CERT-UE; |
| k) | zatwierdza porozumienia o współpracy, umowy o gwarantowanym poziomie usług lub umowy między CERT-UE a innymi podmiotami zawarte na podstawie art. 18; |
| l) | przyjmuje wytyczne i zalecenia na wniosek CERT-UE zgodnie z art. 14 i zleca CERT-UE wydanie, wycofanie lub zmianę propozycji wytycznych bądź zaleceń, lub wezwania do działania; |
| m) | ustanawia grupy doradztwa technicznego realizujące konkretne zadania, aby wspierać prace IICB, zatwierdza zakres ich uprawnień i zadań i wyznacza ich przewodniczących; |
| n) | otrzymuje i analizuje dokumenty i sprawozdania składane przez podmioty_Unii na podstawie niniejszego rozporządzenia, takie jak oceny dojrzałości w zakresie cyberbezpieczeństwa; |
| o) | wspomaga utworzenie nieformalnej grupy lokalnych urzędników podmiotów Unii ds. cyberbezpieczeństwa, wspieranej przez ENISA, aby umożliwić wymianę najlepszych praktyk i informacji dotyczących wdrażania niniejszego rozporządzenia; |
| p) | uwzględniając informacje na temat zidentyfikowanego ryzyka w cyberprzestrzeni i wyciągnięte wnioski przedstawione przez CERT-UE, monitoruje adekwatność ustaleń dotyczących wzajemnych połączeń między środowiskami ICT podmiotów Unii oraz doradza możliwe usprawnienia; |
| q) | ustanawia plan zarządzania kryzysami w cyberprzestrzeni w celu wsparcia – na poziomie operacyjnym – skoordynowanego zarządzania poważnymi incydentami mającymi wpływ na podmioty_Unii oraz w celu przyczynienia się do regularnej wymiany istotnych informacji, w szczególności o skutkach i dotkliwości poważnych incydentów oraz o możliwych sposobach łagodzenia ich skutków; |
| r) | koordynuje przyjmowanie planów zarządzania kryzysami w cyberprzestrzeni, o których mowa w art. 9 ust. 2, w poszczególnych podmiotach Unii; |
| s) | przyjmuje zalecenia w odniesieniu do bezpieczeństwa łańcucha dostaw, o którym mowa w art. 8 ust. 2 akapit pierwszy lit. m), z uwzględnieniem wyników skoordynowanego na poziomie Unii szacowania ryzyka krytycznych łańcuchów dostaw, o którym mowa w art. 22 dyrektywy (UE) 2022/2555, w celu wsparcia podmiotów Unii w przyjmowaniu skutecznych i proporcjonalnych środków zarządzania ryzykiem w cyberprzestrzeni. |
Artykuł 13
Misja i zadania CERT-UE
1. Misją CERT-UE jest przyczynianie się do bezpieczeństwa jawnego środowiska ICT wszystkich podmiotów Unii poprzez doradzanie im w zakresie cyberbezpieczeństwa, pomaganie im w zapobieganiu incydentom, wykrywaniu ich, ich obsłudze, łagodzeniu ich skutków, reagowaniu na nie i usuwaniu ich skutków oraz poprzez pełnienie dla tych podmiotów w roli punktu wymiany informacji na temat cyberbezpieczeństwa i koordynacji reakcji na incydenty.
2. CERT-UE gromadzi, analizuje i udostępnia podmiotom Unii informacje na temat cyberzagrożeń, podatności i incydentów dotyczących jawnej infrastruktury ICT oraz zarządza tymi informacjami. Koordynuje reagowanie na incydenty na poziomie międzyinstytucjonalnym i na poziomie podmiotów Unii, również poprzez świadczenie lub koordynowanie specjalistycznej pomocy operacyjnej.
3. Mając na celu pomoc dla podmiotów Unii, CERT-UE wykonuje następujące zadania:
| a) | wspiera je we wdrażaniu niniejszego rozporządzenia oraz przyczynia się do koordynacji wdrażania niniejszego rozporządzenia za pomocą środków wymienionych w art. 14 ust. 1 lub poprzez sporządzanie sprawozdań ad hoc, o które zwróci się IICB; |
| b) | świadczy standardowe usługi CSIRT dla podmiotów Unii w formie pakietu usług z zakresu cyberbezpieczeństwa opisanych w katalogu usług (zwane dalej „usługami podstawowymi”); |
| c) | utrzymuje sieć równorzędnych podmiotów i partnerów w celu wspierania usług określonych w art. 17 i 18; |
| d) | zwraca uwagę IICB na wszelkie problemy związane z wdrażaniem niniejszego rozporządzenia oraz z wdrażaniem wytycznych, zaleceń i wezwań do działania; |
| e) | na podstawie informacji, o których mowa w ust. 2, przyczynia się w ścisłej współpracy z ENISA do uzyskania orientacji sytuacyjnej w zakresie cyberbezpieczeństwa Unii; |
| f) | koordynuje zarządzanie poważnymi incydentami; |
| g) | działa po stronie podmiotów Unii jako odpowiednik koordynatora wyznaczonego na potrzeby skoordynowanego ujawniania podatności na podstawie art. 12 ust. 1 dyrektywy (UE) 2022/2555; |
| h) | na wniosek podmiotu Unii dokonuje proaktywnego nieinwazyjnego skanowania publicznie dostępnych sieci i systemów informatycznych tego podmiotu Unii. |
W stosownych przypadkach i z zastrzeżeniem odpowiedniej poufności informacje, o których mowa w akapicie pierwszym lit. e), udostępnia się IICB, sieci CSIRT i Centrum Analiz Wywiadowczych Unii Europejskiej (EU INTCEN).
4. CERT-UE może, zgodnie z odpowiednio art. 17 lub 18, współpracować ze stosownymi społecznościami zajmującymi się cyberbezpieczeństwem w Unii i w jej państwach członkowskich, w tym w następujących obszarach:
| a) | gotowość, koordynowanie reakcji na incydenty, wymiana informacji i reagowanie w sytuacjach kryzysowych na poziomie technicznym w sprawach związanych z podmiotami Unii; |
| b) | współpraca operacyjna dotycząca sieci CSIRT, w tym w odniesieniu do wzajemnej pomocy; |
| c) | analiza cyberzagrożeń, w tym orientacja sytuacyjna; |
| d) | dowolna kwestia wymagająca fachowej wiedzy technicznej CERT-UE w dziedzinie cyberbezpieczeństwa. |
5. W ramach swoich kompetencji CERT-UE prowadzi zorganizowaną współpracę z ENISA w zakresie budowania zdolności, współpracy operacyjnej i długoterminowych analiz strategicznych cyberzagrożeń zgodnie z rozporządzeniem (UE) 2019/881. CERT-UE może współpracować z Europejskim Centrum ds. Walki z Cyberprzestępczością przy Europolu i wymieniać się z nim informacjami.
6. CERT-UE może świadczyć następujące usługi nie opisane w jego katalogu usług (zwane dalej „usługami płatnymi”):
| a) | usługi wspierające cyberbezpieczeństwo środowiska ICT podmiotów Unii inne niż usługi określone w ust. 3, na podstawie umów o gwarantowanym poziomie usług i z zastrzeżeniem dostępnych zasobów, w szczególności szeroko zakrojone monitorowanie sieci, w tym stanowiące pierwszą linię obrony, całodobowe monitorowanie pod kątem poważnych cyberzagrożeń; |
| b) | usługi wspierające operacje lub projekty w zakresie cyberbezpieczeństwa podmiotów Unii inne niż usługi zapewniające ochronę ich środowiska ICT, na podstawie pisemnych umów i po uprzednim zatwierdzeniu przez IICB; |
| c) | na wniosek – proaktywne skanowanie sieci i systemów informatycznych danego podmiotu Unii w celu wykrycia podatności o potencjalnym znaczącym wpływie; |
| d) | usługi wspierające bezpieczeństwo środowiska ICT świadczone na rzecz organizacji niebędących podmiotami Unii, lecz ściśle współpracujących z podmiotami Unii, na przykład ze względu na powierzone im zadania lub obowiązki na mocy prawa Unii, na podstawie pisemnych umów i po uprzednim zatwierdzeniu przez IICB. |
W odniesieniu do akapitu pierwszego lit. d) po uprzednim zatwierdzeniu przez IICB CERT-UE może w drodze wyjątku zawierać umowy o gwarantowanym poziomie usług z podmiotami innymi niż podmioty_Unii.
7. CERT-UE organizuje ćwiczenia w zakresie cyberbezpieczeństwa i może w nich uczestniczyć lub zalecać uczestnictwo w istniejących ćwiczeniach, w stosownych przypadkach w ścisłej współpracy z ENISA, w celu testowania poziomu cyberbezpieczeństwa podmiotów Unii.
8. CERT-UE może udzielać pomocy podmiotom Unii w razie incydentów w sieciach i systemach informatycznych przetwarzających EUCI, o ile zainteresowane podmioty_Unii wyraźnie się o to zwrócą zgodnie ze swoimi odpowiednimi procedurami. Udzielanie pomocy przez CERT-UE na podstawie niniejszego ustępu pozostaje bez uszczerbku dla mających zastosowanie przepisów dotyczących ochrony informacji niejawnych.
9. CERT-UE informuje podmioty_Unii o swoich procedurach i procesach obsługi incydentów.
10. CERT-UE dostarcza, z zachowaniem wysokiego poziomu poufności i wiarygodności, za pomocą odpowiednich mechanizmów współpracy i podległości służbowej, istotnych i zanonimizowanych informacji o poważnych incydentach i sposobie ich obsługi. Informacje te włącza się do sprawozdania, o którym mowa w art. 10 ust. 14.
11. CERT-UE w ścisłej współpracy z EIOD wspiera zainteresowane podmioty_Unii w obsłudze incydentów powodujących naruszenie danych osobowych, bez uszczerbku dla właściwości i zadań EIOD jako organu nadzorczego zgodnie z rozporządzeniem (UE) 2018/1725.
12. CERT-UE może, na wyraźny wniosek jednostek podmiotów Unii zajmujących się poszczególnymi politykami, zapewnić doradztwo techniczne lub wkład techniczny w odpowiednich kwestiach dotyczących polityki.
Artykuł 19
Postępowanie z informacjami
1. Podmioty Unii oraz CERT-UE przestrzegają obowiązku zachowania tajemnicy zawodowej zgodnie z art. 339 TFUE lub równoważnymi mającymi zastosowanie ramami.
2. Rozporządzenie (WE) nr 1049/2001 Parlamentu Europejskiego i Rady (10) stosuje się do wniosków o udzielenie publicznego dostępu do dokumentów przechowywanych przez CERT-UE, w tym wynikającego z tego rozporządzenia obowiązku konsultowania się z innymi podmiotami Unii lub – w stosownych przypadkach – z państwami członkowskimi, jeśli przedmiotem wniosku są ich dokumenty.
3. Postępowanie z informacjami przez podmioty_Unii oraz CERT-UE musi być zgodne z mającymi zastosowanie przepisami dotyczącymi bezpieczeństwa informacji.
Artykuł 20
Mechanizmy wymiany informacji na temat cyberbezpieczeństwa
1. Podmioty Unii mogą dobrowolnie zgłaszać CERT-UE incydenty, cyberzagrożenia, potencjalne zdarzenia dla cyberbezpieczeństwa i podatności, które ich dotyczą, i przekazywać CERT-UE informacje na ten temat. CERT-UE zapewnia dostępność skutecznych środków łączności, charakteryzujących się wysokim poziomem identyfikowalności, poufności i niezawodności, aby ułatwić wymianę informacji z podmiotami Unii. Przy rozpatrywaniu zgłoszeń CERT-UE może traktować zgłoszenia obowiązkowe priorytetowo względem zgłoszeń dobrowolnych. Bez uszczerbku dla art. 12 dobrowolne zgłoszenie nie może skutkować nałożeniem na zgłaszający podmiot Unii żadnych dodatkowych obowiązków, którym by nie podlegał, gdyby nie dokonał takiego zgłoszenia.
2. W celu realizacji swojej misji i zadań powierzonych na podstawie art. 13, CERT-UE może zwracać się do podmiotów Unii o przekazanie mu informacji z ich odpowiednich rejestrów zasobów systemów ICT, w tym informacji dotyczących cyberzagrożeń, potencjalnych zdarzeń dla cyberbezpieczeństwa, podatności, oznak naruszenia integralności systemu, ostrzeżeń dotyczących cyberbezpieczeństwa i zaleceń dotyczących konfiguracji narzędzi cyberbezpieczeństwa do celów wykrywania incydentów. Podmiot Unii, do którego się zwrócono, bez zbędnej zwłoki przekazuje wymagane informacje oraz ich wszelkie późniejsze aktualizacje.
3. CERT-UE może prowadzić z podmiotami Unii wymianę informacji dotyczących konkretnych incydentów ujawniających tożsamość podmiotu Unii, którego dotyczy incydent pod warunkiem, że podmiotu Unii, którego dotyczy incydent, wyrazi na to zgodę. Jeżeli podmiot Unii odmawia zgody, przedstawia CERT-UE uzasadnienie tej decyzji.
4. Podmioty Unii przekazują – na żądanie – Parlamentowi Europejskiemu i Radzie informacje na temat realizacji planów dotyczących cyberbezpieczeństwa.
5. IICB lub CERT-UE, stosownie do przypadku, udostępniają – na żądanie – Parlamentowi Europejskiemu i Radzie wytyczne, zalecenia i wezwania do działania.
6. Obowiązki w zakresie wymiany informacji określone w niniejszym artykule nie obejmują:
| a) | EUCI; |
| b) | informacji, których dalsze rozpowszechnianie zostało wykluczone za pomocą widocznego oznakowania, chyba że wyraźnie zezwolono na ich wymianę z CERT-UE. |
Artykuł 22
Koordynacja reakcji na incydenty i współpraca
1. Działając jako punkt wymiany informacji na temat cyberbezpieczeństwa i koordynacji reakcji na incydenty, CERT-UE ułatwia wymianę informacji dotyczących incydentów, cyberzagrożeń, podatności i potencjalnych zdarzeń dla cyberbezpieczeństwa między:
| a) | podmiotami Unii; |
| b) | odpowiednikami, o których mowa w art. 17 i 18. |
2. CERT-UE, w stosownych przypadkach w ścisłej współpracy w ENISA, ułatwia koordynację między podmiotami Unii w zakresie reagowania na incydenty, co obejmuje:
| a) | przyczynianie się do spójnej komunikacji zewnętrznej; |
| b) | wzajemne wsparcie, takie jak wymiana informacji istotnych dla podmiotów Unii lub udzielanie pomocy, w stosownych przypadkach bezpośrednio na miejscu; |
| c) | optymalne wykorzystanie zasobów operacyjnych; |
| d) | koordynację z innymi mechanizmami reagowania kryzysowego na poziomie Unii. |
3. CERT-UE, w ścisłej współpracy z ENISA, wspiera podmioty_Unii w zakresie orientacji sytuacyjnej w odniesieniu do incydentów, cyberzagrożeń, podatności i potencjalnych zdarzeń dla cyberbezpieczeństwa, a także w dzieleniu się istotnymi postępami w dziedzinie cyberbezpieczeństwa.
4. Do dnia 8 stycznia 2025 r. IICB na podstawie propozycji CERT-UE przyjmie wytyczne lub zalecenia dotyczące koordynacji reagowania na incydenty i współpracy w tym zakresie w odniesieniu do znaczących incydentów. w przypadku podejrzenia, że incydent nosi znamiona przestępstwa, CERT-UE bez zbędnej zwłoki doradza, jak zgłosić incydent organom ścigania.
5. Na specjalny wniosek państwa członkowskiego i za zgodą zainteresowanych podmiotów Unii CERT-UE może zwrócić się do ekspertów z wykazu, o którym mowa w art. 23 ust. 4, o udział w reakcji na poważny incydent mający wpływ na to państwo członkowskie lub na incydent w cyberbezpieczeństwie na dużą skalę zgodnie z art. 15 ust. 3 lit. g) dyrektywy (UE) 2022/2555. Szczegółowe przepisy dotyczące dostępu podmiotów Unii do ekspertów technicznych oraz korzystania z ich usług są zatwierdzane przez IICB na wniosek CERT-UE.
Artykuł 23
Zarządzanie poważnymi incydentami
1. Aby wspierać na poziomie operacyjnym skoordynowane zarządzanie poważnymi incydentami mającymi wpływ na podmioty_Unii oraz przyczyniać się do regularnej wymiany istotnych informacji między podmiotami Unii i z państwami członkowskimi, IICB ustanawia na podstawie art. 11 lit. q) plan zarządzania kryzysami w cyberprzestrzeni oparty o działania, o których mowa w art. 22 ust. 2, w ścisłej współpracy z CERT-UE i ENISA. Plan zarządzania kryzysami w cyberprzestrzeni obejmuje co najmniej następujące elementy:
| a) | ustalenia dotyczące koordynacji i przepływu informacji między podmiotami Unii na potrzeby zarządzania poważnymi incydentami na poziomie operacyjnym; |
| b) | wspólne obowiązujące procedury działania (SOP); |
| c) | wspólną taksonomię dotkliwości poważnych incydentów i punktów wywołujących kryzys; |
| d) | regularne ćwiczenia; |
| e) | kanały bezpiecznej komunikacji, które mają być używane. |
2. Przedstawiciel Komisji w IICB, z zastrzeżeniem planu zarządzania kryzysami w cyberprzestrzeni ustanowionego na podstawie ust. 1 niniejszego artykułu i bez uszczerbku dla art. 16 ust. 2 akapit pierwszy dyrektywy (UE) 2022/2555, jest punktem kontaktowym do celów wymiany z EU-CyCLONe istotnych informacji dotyczących poważnych incydentów.
3. CERT-UE koordynuje pomiędzy podmiotami Unii zarządzanie poważnymi incydentami. Prowadzi rejestr dostępnej fachowej wiedzy technicznej, która może być potrzebna, aby zareagować na incydenty w przypadku poważnych incydentów, oraz wspiera IICB w koordynowaniu planów zarządzania kryzysami w cyberprzestrzeni opracowywanych przez podmioty_Unii na wypadek poważnych incydentów, o których to planach mowa w art. 9 ust. 2.
4. Podmioty Unii wnoszą wkład w tworzenie rejestru fachowej wiedzy technicznej, udostępniając aktualizowany co roku wykaz ekspertów dostępnych w ich odpowiednich organizacjach, z wyszczególnieniem ich konkretnych umiejętności technicznych.
ROZDZIAŁ VI
PRZEPISY KOŃCOWE
whereas