keyboard_tab Cyber Resilience Act 2023/2841 PL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artykuł 9 Plany dotyczące cyberbezpieczeństwa
- 1 Artykuł 12 Zapewnianie zgodności
- 1 Artykuł 15 Szef CERT-UE
- 2 Artykuł 21 Obowiązki w zakresie zgłaszania incydentów
ROZDZIAŁ I
PRZEPISY OGÓLNE
ROZDZIAŁ II
ŚRODKI NA RZECZ WYSOKIEGO WSPÓLNEGO POZIOMU CYBERBEZPIECZEŃSTWA
ROZDZIAŁ III
MIĘDZYINSTYTUCJONALNA RADA DS. CYBERBEZPIECZEŃSTWA
ROZDZIAŁ IV
CERT-UE
ROZDZIAŁ V
OBOWIĄZKI W ZAKRESIE WSPÓŁPRACY I ZGŁASZANIA INCYDENTÓW
ROZDZIAŁ VI
PRZEPISY KOŃCOWE
- podmioty Unii
- sieci i systemy informatyczne
- bezpieczeństwo sieci i systemów informatycznych
- cyberbezpieczeństwo
- kierownictwo najwyższego szczebla
- potencjalne zdarzenie dla cyberbezpieczeństwa
- incydent
- poważny incydent
- incydent w cyberbezpieczeństwie na dużą skalę
- obsługa incydentu
- cyberzagrożenie
- poważne cyberzagrożenie
- podatność
- ryzyko w cyberprzestrzeni
- usługa chmurowa
- unii 32
- cert-ue 26
- iicb 19
- podstawie 16
- cyberbezpieczeństwa 16
- oraz 12
- podmiotu 12
- w tym 11
- plan 10
- się 10
- przez 10
- art 10
- przypadkach 9
- incydentu 9
- podmiot 9
- niniejszego 9
- danego 8
- incydentów 8
- ust 8
- sprawozdania 8
- dotyczący 7
- sprawozdanie 7
- usług 7
- rozporządzenia 7
- może 6
- środków 6
- incydent 6
- w stosownych 6
- zbędnej 6
- zwłoki 6
- których 5
- które 5
- informacji 5
- informacje 5
- w cyberprzestrzeni 5
- projekt 5
- podmioty_unii 5
- działań 5
- w celu 5
- przedkłada 4
- artykuł 4
- dany 4
- podmiotowi 4
- wydać 4
- terminie 4
- środki 4
- szef 4
- szef 4
- znaczący 4
- wpływu 4
Artykuł 9
Plany dotyczące cyberbezpieczeństwa
1. Zgodnie z wnioskami z oceny dojrzałości w zakresie cyberbezpieczeństwa przeprowadzonej na podstawie art. 7, a także z uwzględnieniem aktywów i ryzyka w cyberprzestrzeni zidentyfikowanych dzięki Ramom oraz środków zarządzania ryzykiem w cyberprzestrzeni przyjętych na podstawie art. 8 kierownictwo_najwyższego_szczebla każdego podmiotu Unii zatwierdza – bez zbędnej zwłoki, a w każdym razie do dnia 8 stycznia 2026 r. – plan dotyczący cyberbezpieczeństwa. Plan dotyczący cyberbezpieczeństwa ma na celu zwiększenie ogólnego poziomu cyberbezpieczeństwa danego podmiotu Unii, a tym samym przyczynia się do zwiększenia wysokiego wspólnego poziomu cyberbezpieczeństwa wewnątrz podmiotów Unii. Plan dotyczący cyberbezpieczeństwa obejmuje co najmniej środki zarządzania ryzykiem w cyberprzestrzeni podjęte na podstawie art. 8. Plan dotyczący cyberbezpieczeństwa poddaje się przeglądowi co dwa lata lub, w razie potrzeby, częściej w następstwie ocen dojrzałości w zakresie cyberbezpieczeństwa przeprowadzonej na podstawie art. 7 lub każdej istotnej zmiany Ram.
2. Plan dotyczący cyberbezpieczeństwa zawiera opracowany przez podmiot Unii plan zarządzania kryzysami w cyberprzestrzeni na wypadek poważnych incydentów.
3. Podmiot Unii przedkłada gotowy plan dotyczący cyberbezpieczeństwa Międzyinstytucjonalnej Radzie ds. Cyberbezpieczeństwa ustanowionej na mocy art. 10.
ROZDZIAŁ III
MIĘDZYINSTYTUCJONALNA RADA DS. CYBERBEZPIECZEŃSTWA
Artykuł 12
Zapewnianie zgodności
1. IICB na podstawie art. 10 ust. 2 i art. 11 skutecznie monitoruje wdrażanie przez podmioty_Unii niniejszego rozporządzenia oraz przyjętych wytycznych, zaleceń i wezwań do działania. IICB może zażądać od podmiotów Unii niezbędnych w tym celu informacji lub dokumentów. w przypadku przyjmowania środków zapewniania zgodności na podstawie niniejszego artykułu dotyczących danego podmiotu Unii, który jest bezpośrednio reprezentowany w IICB, podmiot ten nie ma prawa głosu.
2. W razie gdy IICB stwierdzi, że dany podmiot Unii nie wdrożył należycie niniejszego rozporządzenia lub wytycznych, zaleceń lub wezwań do działania wydanych na podstawie niniejszego rozporządzenia, może – bez uszczerbku dla wewnętrznych procedur danego podmiotu Unii oraz po umożliwieniu temu podmiotowi Unii przedstawienia uwag:
| a) | przekazać danemu podmiotowi Unii uzasadnioną opinię dotyczącą stwierdzonych niedociągnięć we wdrażaniu niniejszego rozporządzenia; |
| b) | wydać – po konsultacji z CERT-UE – wytyczne dla danego podmiotu Unii, w celu zapewnienia, aby w określonym terminie jego Ramy, środki zarządzania ryzykiem w cyberprzestrzeni, plan dotyczący cyberbezpieczeństwa i zgłaszanie incydentów stały się zgodne z niniejszym rozporządzeniem; |
| c) | wydać ostrzeżenie wzywające podjęcie działań w celu zaradzenia w określonym terminie stwierdzonym niedociągnięciom, zawierające zalecenia co do zmiany środków przyjętych przez dany podmiot Unii na podstawie niniejszego rozporządzenia; |
| d) | wydać danemu podmiotowi Unii uzasadnione powiadomienie, w przypadku gdy w określonym terminie nie podjął on wystarczających działań w celu zaradzenia niedociągnięciom wskazanym w ostrzeżeniu wydanym na podstawie lit. c); |
| e) | wydać:
|
| f) | w stosownych przypadkach poinformować Trybunał Obrachunkowy, w ramach jego mandatu, o zarzucanym braku zgodności; |
| g) | wydać skierowane do wszystkich państw członkowskich i podmiotów Unii zalecenie tymczasowego zawieszenia przepływów danych do danego podmiotu Unii. |
Do celów akapitu pierwszego lit. c) liczbę odbiorców ostrzeżenia odpowiednio się ogranicza, jeżeli jest to konieczne ze względu na ryzyko_w cyberprzestrzeni.
Ostrzeżenia i zalecenia wydane na podstawie akapitu pierwszego kieruje się do kierownictwa najwyższego szczebla danego podmiotu Unii.
3. W przypadku gdy IICB przyjmie środki na podstawie ust. 2 akapit pierwszy lit. a)–g), dany podmiot Unii przedstawia szczegółowy opis środków i działań podjętych w celu usunięcia zarzucanych mu niedociągnięć stwierdzonych przez IICB. Podmiot Unii przedkłada ten szczegółowy opis w rozsądnym terminie uzgodnionym z IICB.
4. W przypadku gdy IICB uzna, że naruszenie niniejszego rozporządzenia przez dany podmiot Unii ma charakter długotrwały i wynika bezpośrednio z działań lub zaniechań ze strony urzędnika lub innego pracownika Unii, w tym członka kierownictwa najwyższego szczebla, IICB zwraca się do danego podmiotu Unii o podjęcie odpowiednich działań, w tym z żądaniem, by rozważył podjęcie działań o charakterze dyscyplinarnym zgodnie z przepisami i procedurami ustanowionymi w regulaminie pracowniczym i innymi mającymi zastosowanie przepisami i procedurami. w tym celu IICB przekazuje danemu podmiotowi Unii niezbędne informacje.
5. Jeżeli podmioty_Unii powiadomią, że nie są w stanie dotrzymać terminów określonych w art. 6 ust. 1 i w art. 8 ust. 1, IICB może w należycie uzasadnionych przypadkach, uwzględniwszy rozmiar podmiotu Unii, zezwolić na przedłużenie tych terminów.
ROZDZIAŁ IV
CERT-UE
Artykuł 15
Szef CERT-UE
1. Komisja, za zgodą dwóch trzecich członków IICB, mianuje szefa CERT-UE. Na wszystkich etapach procedury mianowania, w szczególności w odniesieniu do przygotowywania ogłoszeń o naborze, rozpatrywania kandydatur oraz powoływania komisji selekcyjnych do celu wyboru na to stanowisko, prowadzi się konsultacje z IICB. Procedura wyboru, w tym ostateczna skrócona lista kandydatów, spośród których ma zostać mianowany szef CERT-UE, musi gwarantować sprawiedliwą reprezentację każdej z płci z uwzględnieniem przedstawionych kandydatur.
2. Szef CERT-UE odpowiada za sprawne funkcjonowanie CERT-UE i działa w ramach kompetencji związanych z jego funkcją oraz pod kierownictwem IICB. Szef CERT-UE regularnie składa sprawozdania przewodniczącemu IICB oraz – na żądanie IICB – składa IICB sprawozdania ad hoc.
3. Szef CERT-UE wspomaga odpowiedzialnego delegowanego urzędnika zatwierdzającego w sporządzaniu rocznego sprawozdania z działalności zawierającego informacje dotyczące finansów i zarządzania, w tym wyniki kontroli, przygotowywanego zgodnie z art. 74 ust. 9 rozporządzenia Parlamentu Europejskiego i Rady (UE, Euratom) 2018/1046 (9) i regularnie składa temu delegowanemu urzędnikowi zatwierdzającemu sprawozdania z realizacji działań, co do których szefowi CERT-UE przekazano uprawnienia na zasadzie subdelegacji.
4. Szef CERT-UE opracowuje co roku plan dochodów i wydatków administracyjnych na potrzeby działalności CERT-UE, projekt rocznego programu prac, projekt katalogu usług CERT-UE, projekt zmian w katalogu usług, projekt warunków umów o gwarantowanym poziomie usług oraz projekt kluczowych wskaźników skuteczności działania CERT-UE, które mają zostać zatwierdzone przez IICB zgodnie z art. 11. Dokonując rewizji wykazu usług w katalogu usług CERT-UE, szef CERT-UE uwzględnia zasoby przydzielone CERT-UE.
5. Szef CERT-UE co najmniej raz do roku przedkłada IICB i przewodniczącemu IICB sprawozdania z działalności i wyników CERT-UE za okres odniesienia, w tym z wykonania budżetu, zawartych umów o gwarantowanym poziomie usług i pisemnych umów, współpracy z odpowiednikami i partnerami oraz z misji podejmowanych przez członków personelu, w tym sprawozdania, o których mowa w art. 11. Sprawozdania te obejmują program prac na kolejny okres, plan dochodów i wydatków, w tym plan zatrudnienia, planowane aktualizacje katalogu usług CERT-UE oraz ocenę spodziewanego wpływu takich aktualizacji na zasoby finansowe i ludzkie.
Artykuł 21
Obowiązki w zakresie zgłaszania incydentów
1. Incydent uznaje się za znaczący, jeżeli:
| a) | spowodował lub może spowodować dotkliwe zakłócenia operacyjne w funkcjonowaniu lub straty finansowe dla danego podmiotu Unii; |
| b) | wpłynął lub może wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe i niemajątkowe. |
2. Podmioty Unii przedkładają CERT-UE:
| a) | bez zbędnej zwłoki, a w każdym razie w ciągu 24 godzin od powzięcia wiedzy o znaczącym incydencie – wczesne ostrzeżenie, w którym w stosownych przypadkach wskazuje się, że znaczący incydent został przypuszczalnie wywołany działaniem bezprawnym lub działaniem w złym zamiarze lub że mógł wywrzeć wpływ międzyinstytucjonalny lub transgraniczny; |
| b) | bez zbędnej zwłoki, a w każdym razie w ciągu 72 godzin od powzięcia wiedzy o znaczącym incydencie – zgłoszenie incydentu, w stosownych przypadkach wraz z aktualizacją informacji, o których mowa w lit. a), i ze wskazaniem wstępnej oceny znaczącego incydentu, w tym jego dotkliwości i skutków, a w stosownych przypadkach także oznak naruszenia integralności systemu; |
| c) | na wniosek CERT-UE – sprawozdanie okresowe na temat odpowiednich aktualizacji statusu; |
| d) | nie później niż miesiąc po zgłoszeniu incydentu na podstawie lit. b) – sprawozdanie końcowe zawierające następujące elementy:
|
| e) | jeżeli incydent nie zakończył się w terminie składania sprawozdania końcowego, o którym mowa w lit. d) – sprawozdanie z postępu prac w danym momencie oraz sprawozdanie końcowe w terminie jednego miesiąca od zakończenia przez nie obsługi incydentu. |
3. Podmiot Unii bez zbędnej zwłoki, a w każdym razie w ciągu 24 godzin od powzięcia wiedzy o znaczącym incydencie, informuje o wystąpieniu znaczącego incydentu wszelkie stosowne odpowiedniki krajowe, o których mowa w art. 17 ust. 1, w państwie członkowskim, w którym podmiot ten ma siedzibę.
4. Podmioty Unii zgłaszają między innymi wszelkie informacje umożliwiające CERT-UE określenie wszelkiego wpływu międzyinstytucjonalnego, wpływu na przyjmujące państwo członkowskie lub transgranicznego wpływu znaczącego incydentu. Bez uszczerbku dla art. 12 samo zgłoszenie nie nakłada na podmiot Unii zwiększonej odpowiedzialności.
5. W stosownych przypadkach podmioty_Unii bez zbędnej zwłoki powiadamiają użytkowników sieci i systemów informatycznych, których dotyczy incydent, lub użytkowników innych elementów środowiska ICT, których potencjalnie dotyczy znaczący incydent lub poważne cyberzagrożenie, oraz którzy w stosownych przypadkach mają potrzebę podjęcia środków łagodzących, o wszelkich środkach lub środkach zaradczych, które użytkownicy ci mogą zastosować w reakcji na ten incydent lub to zagrożenie. w stosownych przypadkach podmioty_Unii informują tych użytkowników o samym poważnym cyberzagrożeniu.
6. Jeżeli znaczący incydent lub poważne cyberzagrożenie mają wpływ na sieć i system informatyczny lub element środowiska ICT podmiotu Unii, które jest celowo powiązane ze środowiskiem ICT innego podmiotu Unii, CERT-UE wydaje stosowne ostrzeżenie dotyczące cyberbezpieczeństwa.
7. Podmioty Unii, na wniosek CERT-UE, przekazują mu bez zbędnej zwłoki informacje cyfrowe wygenerowane w wyniku korzystania z urządzeń elektronicznych uczestniczących w incydentach, które u nich wystąpiły. CERT-UE może dodatkowo sprecyzować, jakiego rodzaju informacji cyfrowych potrzebuje do celów orientacji sytuacyjnej i zareagowania na incydenty.
8. Co trzy miesiące CERT-UE przedkłada IICB, ENISA, EU INTCEN i sieci CSIRT sprawozdanie podsumowujące zawierające zanonimizowane i zagregowane dane dotyczące znaczących incydentów, incydentów, cyberzagrożeń, potencjalnych zdarzeń dla cyberbezpieczeństwa i podatności na podstawie art. 20 oraz znaczących incydentów zgłoszonych na podstawie ust. 2 niniejszego artykułu. To sprawozdanie podsumowujące stanowi wkład w przedstawiane co dwa lata sprawozdanie na temat stanu cyberbezpieczeństwa w Unii przyjmowane na podstawie art. 18 dyrektywy (UE) 2022/2555.
9. Do dnia 8 lipca 2024 r. IICB wyda wytyczne lub zalecenia doprecyzowujące zasady składania, format i treść zgłoszeń na podstawie niniejszego artykułu. Przygotowując takie wytyczne lub zalecenia, IICB uwzględnia wszelkie akty wykonawcze przyjęte na podstawie art. 23 ust. 11 dyrektywy (UE) 2022/2555 określające rodzaj informacji, format i procedurę zgłoszeń. CERT-UE rozpowszechnia odpowiednie szczegółowe informacje techniczne w celu umożliwienia proaktywnego wykrywania incydentów, reagowania na nie lub wprowadzania środków łagodzących ich skutki przez podmioty_Unii.
10. Obowiązki w zakresie zgłaszania incydentów określone w niniejszym artykule nie obejmują:
| a) | EUCI; |
| b) | informacji, których dalsze rozpowszechnianie zostało wykluczone za pomocą widocznego oznakowania, chyba że wyraźnie zezwolono na ich wymianę z CERT-UE. |
whereas