keyboard_tab Cyber Resilience Act 2023/2841 PL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artykuł 9 Plany dotyczące cyberbezpieczeństwa
- 1 Artykuł 21 Obowiązki w zakresie zgłaszania incydentów
- 1 Artykuł 24 Początkowa realokacja środków budżetowych
ROZDZIAŁ I
PRZEPISY OGÓLNE
ROZDZIAŁ II
ŚRODKI NA RZECZ WYSOKIEGO WSPÓLNEGO POZIOMU CYBERBEZPIECZEŃSTWA
ROZDZIAŁ III
MIĘDZYINSTYTUCJONALNA RADA DS. CYBERBEZPIECZEŃSTWA
ROZDZIAŁ IV
CERT-UE
ROZDZIAŁ V
OBOWIĄZKI W ZAKRESIE WSPÓŁPRACY I ZGŁASZANIA INCYDENTÓW
ROZDZIAŁ VI
PRZEPISY KOŃCOWE
- podmioty Unii
- sieci i systemy informatyczne
- bezpieczeństwo sieci i systemów informatycznych
- cyberbezpieczeństwo
- kierownictwo najwyższego szczebla
- potencjalne zdarzenie dla cyberbezpieczeństwa
- incydent
- poważny incydent
- incydent w cyberbezpieczeństwie na dużą skalę
- obsługa incydentu
- cyberzagrożenie
- poważne cyberzagrożenie
- podatność
- ryzyko w cyberprzestrzeni
- usługa chmurowa
- cyberbezpieczeństwa 15
- unii 14
- podstawie 9
- incydentu 9
- cert-ue 9
- art 9
- przypadkach 7
- sprawozdanie 7
- incydentów 7
- dotyczący 6
- incydent 6
- plan 6
- się 6
- zbędnej 6
- zwłoki 6
- w stosownych 5
- podmiotu 5
- informacji 4
- środków 4
- w zakresie 4
- oraz 4
- w cyberprzestrzeni 4
- znaczący 4
- które 4
- może 4
- a w każdym 4
- razie 4
- artykuł 3
- wiedzy 3
- o znaczącym 3
- godzin 3
- w ciągu 3
- podmioty 3
- powzięcia 3
- niniejszego 3
- podmioty_unii 3
- przez 3
- mowa 3
- znaczącego 3
- w tym 3
- iicb 3
- wszelkie 3
- ust 3
- informacje 3
- wpływu 3
- których 3
- użytkowników 3
- podmiot 3
- incydencie 3
- zarządzania 3
Artykuł 9
Plany dotyczące cyberbezpieczeństwa
1. Zgodnie z wnioskami z oceny dojrzałości w zakresie cyberbezpieczeństwa przeprowadzonej na podstawie art. 7, a także z uwzględnieniem aktywów i ryzyka w cyberprzestrzeni zidentyfikowanych dzięki Ramom oraz środków zarządzania ryzykiem w cyberprzestrzeni przyjętych na podstawie art. 8 kierownictwo_najwyższego_szczebla każdego podmiotu Unii zatwierdza – bez zbędnej zwłoki, a w każdym razie do dnia 8 stycznia 2026 r. – plan dotyczący cyberbezpieczeństwa. Plan dotyczący cyberbezpieczeństwa ma na celu zwiększenie ogólnego poziomu cyberbezpieczeństwa danego podmiotu Unii, a tym samym przyczynia się do zwiększenia wysokiego wspólnego poziomu cyberbezpieczeństwa wewnątrz podmiotów Unii. Plan dotyczący cyberbezpieczeństwa obejmuje co najmniej środki zarządzania ryzykiem w cyberprzestrzeni podjęte na podstawie art. 8. Plan dotyczący cyberbezpieczeństwa poddaje się przeglądowi co dwa lata lub, w razie potrzeby, częściej w następstwie ocen dojrzałości w zakresie cyberbezpieczeństwa przeprowadzonej na podstawie art. 7 lub każdej istotnej zmiany Ram.
2. Plan dotyczący cyberbezpieczeństwa zawiera opracowany przez podmiot Unii plan zarządzania kryzysami w cyberprzestrzeni na wypadek poważnych incydentów.
3. Podmiot Unii przedkłada gotowy plan dotyczący cyberbezpieczeństwa Międzyinstytucjonalnej Radzie ds. Cyberbezpieczeństwa ustanowionej na mocy art. 10.
ROZDZIAŁ III
MIĘDZYINSTYTUCJONALNA RADA DS. CYBERBEZPIECZEŃSTWA
Artykuł 21
Obowiązki w zakresie zgłaszania incydentów
1. Incydent uznaje się za znaczący, jeżeli:
| a) | spowodował lub może spowodować dotkliwe zakłócenia operacyjne w funkcjonowaniu lub straty finansowe dla danego podmiotu Unii; |
| b) | wpłynął lub może wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe i niemajątkowe. |
2. Podmioty Unii przedkładają CERT-UE:
| a) | bez zbędnej zwłoki, a w każdym razie w ciągu 24 godzin od powzięcia wiedzy o znaczącym incydencie – wczesne ostrzeżenie, w którym w stosownych przypadkach wskazuje się, że znaczący incydent został przypuszczalnie wywołany działaniem bezprawnym lub działaniem w złym zamiarze lub że mógł wywrzeć wpływ międzyinstytucjonalny lub transgraniczny; |
| b) | bez zbędnej zwłoki, a w każdym razie w ciągu 72 godzin od powzięcia wiedzy o znaczącym incydencie – zgłoszenie incydentu, w stosownych przypadkach wraz z aktualizacją informacji, o których mowa w lit. a), i ze wskazaniem wstępnej oceny znaczącego incydentu, w tym jego dotkliwości i skutków, a w stosownych przypadkach także oznak naruszenia integralności systemu; |
| c) | na wniosek CERT-UE – sprawozdanie okresowe na temat odpowiednich aktualizacji statusu; |
| d) | nie później niż miesiąc po zgłoszeniu incydentu na podstawie lit. b) – sprawozdanie końcowe zawierające następujące elementy:
|
| e) | jeżeli incydent nie zakończył się w terminie składania sprawozdania końcowego, o którym mowa w lit. d) – sprawozdanie z postępu prac w danym momencie oraz sprawozdanie końcowe w terminie jednego miesiąca od zakończenia przez nie obsługi incydentu. |
3. Podmiot Unii bez zbędnej zwłoki, a w każdym razie w ciągu 24 godzin od powzięcia wiedzy o znaczącym incydencie, informuje o wystąpieniu znaczącego incydentu wszelkie stosowne odpowiedniki krajowe, o których mowa w art. 17 ust. 1, w państwie członkowskim, w którym podmiot ten ma siedzibę.
4. Podmioty Unii zgłaszają między innymi wszelkie informacje umożliwiające CERT-UE określenie wszelkiego wpływu międzyinstytucjonalnego, wpływu na przyjmujące państwo członkowskie lub transgranicznego wpływu znaczącego incydentu. Bez uszczerbku dla art. 12 samo zgłoszenie nie nakłada na podmiot Unii zwiększonej odpowiedzialności.
5. W stosownych przypadkach podmioty_Unii bez zbędnej zwłoki powiadamiają użytkowników sieci i systemów informatycznych, których dotyczy incydent, lub użytkowników innych elementów środowiska ICT, których potencjalnie dotyczy znaczący incydent lub poważne cyberzagrożenie, oraz którzy w stosownych przypadkach mają potrzebę podjęcia środków łagodzących, o wszelkich środkach lub środkach zaradczych, które użytkownicy ci mogą zastosować w reakcji na ten incydent lub to zagrożenie. w stosownych przypadkach podmioty_Unii informują tych użytkowników o samym poważnym cyberzagrożeniu.
6. Jeżeli znaczący incydent lub poważne cyberzagrożenie mają wpływ na sieć i system informatyczny lub element środowiska ICT podmiotu Unii, które jest celowo powiązane ze środowiskiem ICT innego podmiotu Unii, CERT-UE wydaje stosowne ostrzeżenie dotyczące cyberbezpieczeństwa.
7. Podmioty Unii, na wniosek CERT-UE, przekazują mu bez zbędnej zwłoki informacje cyfrowe wygenerowane w wyniku korzystania z urządzeń elektronicznych uczestniczących w incydentach, które u nich wystąpiły. CERT-UE może dodatkowo sprecyzować, jakiego rodzaju informacji cyfrowych potrzebuje do celów orientacji sytuacyjnej i zareagowania na incydenty.
8. Co trzy miesiące CERT-UE przedkłada IICB, ENISA, EU INTCEN i sieci CSIRT sprawozdanie podsumowujące zawierające zanonimizowane i zagregowane dane dotyczące znaczących incydentów, incydentów, cyberzagrożeń, potencjalnych zdarzeń dla cyberbezpieczeństwa i podatności na podstawie art. 20 oraz znaczących incydentów zgłoszonych na podstawie ust. 2 niniejszego artykułu. To sprawozdanie podsumowujące stanowi wkład w przedstawiane co dwa lata sprawozdanie na temat stanu cyberbezpieczeństwa w Unii przyjmowane na podstawie art. 18 dyrektywy (UE) 2022/2555.
9. Do dnia 8 lipca 2024 r. IICB wyda wytyczne lub zalecenia doprecyzowujące zasady składania, format i treść zgłoszeń na podstawie niniejszego artykułu. Przygotowując takie wytyczne lub zalecenia, IICB uwzględnia wszelkie akty wykonawcze przyjęte na podstawie art. 23 ust. 11 dyrektywy (UE) 2022/2555 określające rodzaj informacji, format i procedurę zgłoszeń. CERT-UE rozpowszechnia odpowiednie szczegółowe informacje techniczne w celu umożliwienia proaktywnego wykrywania incydentów, reagowania na nie lub wprowadzania środków łagodzących ich skutki przez podmioty_Unii.
10. Obowiązki w zakresie zgłaszania incydentów określone w niniejszym artykule nie obejmują:
| a) | EUCI; |
| b) | informacji, których dalsze rozpowszechnianie zostało wykluczone za pomocą widocznego oznakowania, chyba że wyraźnie zezwolono na ich wymianę z CERT-UE. |
Artykuł 24
Początkowa realokacja środków budżetowych
W celu zapewnienia sprawnego i stabilnego funkcjonowania CERT-UE Komisja może zaproponować realokację zasobów ludzkich i finansowych do budżetu Komisji na potrzeby operacji CERT-UE. Realokacja ta staje się skuteczna w tym samym czasie co pierwszy roczny budżet Unii przyjęty po wejściu w życie niniejszego rozporządzenia.
whereas