keyboard_tab Cyber Resilience Act 2023/2841 PL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Artykuł 3 Definicje
- 2 Artykuł 8 Środki zarządzania ryzykiem w cyberprzestrzeni
ROZDZIAŁ I
PRZEPISY OGÓLNE
ROZDZIAŁ II
ŚRODKI NA RZECZ WYSOKIEGO WSPÓLNEGO POZIOMU CYBERBEZPIECZEŃSTWA
ROZDZIAŁ III
MIĘDZYINSTYTUCJONALNA RADA DS. CYBERBEZPIECZEŃSTWA
ROZDZIAŁ IV
CERT-UE
ROZDZIAŁ V
OBOWIĄZKI W ZAKRESIE WSPÓŁPRACY I ZGŁASZANIA INCYDENTÓW
ROZDZIAŁ VI
PRZEPISY KOŃCOWE
- podmioty Unii
- sieci i systemy informatyczne
- bezpieczeństwo sieci i systemów informatycznych
- cyberbezpieczeństwo
- kierownictwo najwyższego szczebla
- potencjalne zdarzenie dla cyberbezpieczeństwa
- incydent
- poważny incydent
- incydent w cyberbezpieczeństwie na dużą skalę
- obsługa incydentu
- cyberzagrożenie
- poważne cyberzagrożenie
- podatność
- ryzyko w cyberprzestrzeni
- usługa chmurowa
- w art 13
- oznacza 13
- ue / 12
- unii 12
- cyberbezpieczeństwa 10
- dyrektywy 10
- oraz 8
- w cyberprzestrzeni 7
- podmiotu 7
- zdefiniowane 7
- w tym 7
- środki 6
- pkt 6
- ryzykiem 5
- w zakresie 5
- w stosownych 4
- przypadkach 4
- bezpieczeństwo 4
- incydentów 4
- rozporządzenia 4
- incydent 4
- podatności 4
- zarządzania 4
- ryzyka 4
- i cyberzagrożeń 3
- niniejszego 3
- łączności 3
- który 3
- najmniej 3
- podmioty_unii 3
- celów 3
- oprogramowania 3
- następujące 3
- politykę 3
- kierownictwa 3
- informatycznych 3
- traktatem 3
- bezpiecznego 3
- zarządzanie 3
- i ich 3
- zdefiniowaną 3
- cyberzagrożenie” 2
- bezpieczne 2
- uwzględniają 2
- szczebla 2
- najwyższego 2
- sieci 2
- dostawców 2
- obsługę 2
- odpowiednich 2
Artykuł 3
Definicje
Do celów niniejszego rozporządzenia stosuje się następujące definicje:
| 1) | „ podmioty_Unii” oznaczają instytucje, organy i jednostki administracyjne Unii ustanowione Traktatem o Unii Europejskiej, Traktatem o funkcjonowaniu Unii Europejskiej (TFUE) lub Traktatem ustanawiającym Europejską Wspólnotę Energii Atomowej lub na podstawie tych traktatów; |
| 2) | „ sieci_i systemy_informatyczne” oznaczają sieci_i systemy_informatyczne zdefiniowane w art. 6 pkt 1 dyrektywy (UE) 2022/2555; |
| 3) | „ bezpieczeństwo_sieci_i systemów_informatycznych” oznacza bezpieczeństwo_sieci_i systemów_informatycznych zdefiniowane w art. 6 pkt 2 dyrektywy (UE) 2022/2555; |
| 4) | „ cyberbezpieczeństwo” oznacza cyberbezpieczeństwo zdefiniowane w art. 2 pkt 1 rozporządzenia (UE) 2019/881; |
| 5) | „ kierownictwo_najwyższego_szczebla” oznacza kierownika odpowiedzialnego, organ zarządzający lub organ ds. koordynacji i nadzoru odpowiedzialne za funkcjonowanie danego podmiotu Unii na najwyższym szczeblu administracyjnym, uprawnionego lub uprawnione do przyjmowania lub zatwierdzania decyzji zgodnie z ustaleniami dotyczącymi zarządzania na wysokim szczeblu danego podmiotu Unii, bez uszczerbku dla formalnych obowiązków innych szczebli kierownictwa w zakresie zgodności i zarządzania ryzykiem w cyberprzestrzeni w ramach ich odpowiednich kompetencji; |
| 6) | „ potencjalne_zdarzenie_dla_cyberbezpieczeństwa” oznacza potencjalne_zdarzenie_dla_cyberbezpieczeństwa zdefiniowane w art. 6 pkt 5 dyrektywy (UE) 2022/2555; |
| 7) | „ incydent” oznacza incydent zdefiniowany w art. 6 pkt 6 dyrektywy (UE) 2022/2555; |
| 8) | „poważny incydent” oznacza incydent, który powoduje zakłócenie o stopniu przekraczającym zdolność reagowania podmiotu Unii i CERT-UE lub który ma znaczący wpływ na co najmniej dwa podmioty_Unii; |
| 9) | „ incydent w cyberbezpieczeństwie na dużą skalę” oznacza incydent w cyberbezpieczeństwie na dużą skalę zdefiniowany w art. 6 pkt 7 dyrektywy (UE) 2022/2555; |
| 10) | „obsługa incydentu” oznacza obsługę incydentu zdefiniowaną w art. 6 pkt 8 dyrektywy (UE) 2022/2555; |
| 11) | „ cyberzagrożenie” oznacza cyberzagrożenie zdefiniowane w art. 2 pkt 8 rozporządzenia (UE) 2019/881; |
| 12) | „poważne cyberzagrożenie” oznacza poważne cyberzagrożenie zdefiniowane w art. 6 pkt 11 dyrektywy (UE) 2022/2555; |
| 13) | „ podatność” oznacza podatność zdefiniowaną w art. 6 pkt 15 dyrektywy (UE) 2022/2555; |
| 14) | „ ryzyko_w cyberprzestrzeni” oznacza ryzyko zdefiniowane w art. 6 pkt 9 dyrektywy (UE) 2022/2555; |
| 15) | „ usługa_chmurowa” oznacza usługę chmurową zdefiniowaną w art. 6 pkt 30 dyrektywy (UE) 2022/2555. |
Artykuł 8
Środki zarządzania ryzykiem w cyberprzestrzeni
1. Bez zbędnej zwłoki, a w każdym razie do dnia 8 września 2025 r. każdy podmiot Unii pod nadzorem swojego kierownictwa najwyższego szczebla podejmuje odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne, aby zarządzać ryzykiem w cyberprzestrzeni zidentyfikowanym na podstawie Ram oraz aby zapobiec incydentom lub zminimalizować ich skutki. Przy uwzględnieniu najnowszego stanu wiedzy, oraz, w stosownych przypadkach, odpowiednich norm europejskich i międzynarodowych, środki te zapewniają poziom bezpieczeństwa sieci i systemów informatycznych w całym środowisku ICT odpowiedni do istniejącego ryzyka w cyberprzestrzeni. Oceniając proporcjonalność tych środków należycie uwzględnia się stopień narażenia podmiotu Unii na ryzyko_w cyberprzestrzeni, wielkość podmiotu, prawdopodobieństwo wystąpienia incydentów i ich dotkliwość, w tym ich skutki społeczne, gospodarcze i międzyinstytucjonalne.
2. Wdrażając środki zarządzania ryzykiem w cyberprzestrzeni, podmioty_Unii uwzględniają co najmniej następujące kwestie:
| a) | politykę w zakresie cyberbezpieczeństwa, w tym środki niezbędne do osiągnięcia celów i priorytetów, o których mowa w art. 6 i w ust. 3 niniejszego artykułu; |
| b) | politykę analizy ryzyka w cyberprzestrzeni i bezpieczeństwa systemów informatycznych; |
| c) | cele strategiczne w zakresie korzystania z usług chmurowych; |
| d) | w stosownych przypadkach audyt cyberbezpieczeństwa, który może obejmować ocenę ryzyka w cyberprzestrzeni, podatności i cyberzagrożeń oraz testy penetracyjne przeprowadzane regularnie przez zaufanego usługodawcę z sektora prywatnego; |
| e) | wdrożenie zaleceń wynikających z audytów cyberbezpieczeństwa, o których mowa w lit. d), w drodze aktualizacji zasad dotyczących cyberbezpieczeństwa i aktualizacji polityk; |
| f) | kwestie organizacyjne dotyczące cyberbezpieczeństwa, w tym wyznaczenie ról i obowiązków; |
| g) | zarządzanie aktywami, w tym rejestr zasobów ICT i mapy sieci ICT; |
| h) | bezpieczeństwo zasobów ludzkich i kontrolę dostępu; |
| i) | bezpieczeństwo operacji; |
| j) | bezpieczeństwo łączności; |
| k) | nabywanie, rozbudowę i utrzymywanie systemów, w tym polityki postępowania z podatnościami i ich ujawniania; |
| l) | w miarę możliwości politykę dotyczącą przejrzystości kodu źródłowego; |
| m) | bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem relacji między każdym podmiotem Unii a jego bezpośrednimi dostawcami lub usługodawcami; |
| n) | obsługę incydentów oraz współpracę z CERT-UE, na przykład stałe monitorowanie bezpieczeństwa i rejestrowanie danych związanych z bezpieczeństwem; |
| o) | zarządzanie ciągłością działania, na przykład zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzanie kryzysowe; oraz |
| p) | promowanie i rozwój programów edukowania, rozwijania umiejętności, podnoszenia świadomości, ćwiczeń i szkoleń w dziedzinie cyberbezpieczeństwa. |
Do celów akapitu pierwszego lit. m) podmioty_Unii uwzględniają podatności charakterystyczne dla każdego bezpośredniego dostawcy i usługodawcy oraz ogólną jakość produktów i praktyk w zakresie cyberbezpieczeństwa stosowanych przez ich dostawców i usługodawców, w tym ich procedury bezpiecznego opracowywania.
3. Podmioty Unii stosują co najmniej następujące szczegółowe środki zarządzania ryzykiem w cyberprzestrzeni:
| a) | rozwiązania techniczne umożliwiające pracę zdalną i jej utrzymanie; |
| b) | konkretne kroki zmierzające do przejścia na zasady zerowego zaufania; |
| c) | stosowanie uwierzytelniania wieloskładnikowego jako normy we wszystkich sieciach i systemach informatycznych; |
| d) | wykorzystywanie kryptografii i szyfrowania, w szczególności szyfrowania end-to-end, oraz bezpiecznego podpisu cyfrowego; |
| e) | w stosownych przypadkach bezpieczne systemy łączności głosowej, wizualnej i tekstowej oraz bezpieczne systemy łączności w sytuacjach nadzwyczajnych wewnątrz podmiotu Unii; |
| f) | proaktywne środki wykrywania i usuwania złośliwego oprogramowania i oprogramowania szpiegującego; |
| g) | zabezpieczenie łańcucha dostaw oprogramowania poprzez kryteria regulujące opracowywanie i ocenę bezpiecznego oprogramowania; |
| h) | tworzenie i przyjmowanie programów szkoleń w zakresie cyberbezpieczeństwa dla kierownictwa najwyższego szczebla i członków personelu podmiotu Unii, którym powierzono zadanie zapewnienia skutecznego wdrożenia niniejszego rozporządzenia, przy czym te programy szkoleń muszą być współmierne do przewidzianych zadań i oczekiwanych zdolności; |
| i) | regularne szkolenia z zakresu cyberbezpieczeństwa dla członków personelu; |
| j) | w stosownych przypadkach udział w analizach ryzyka dla wzajemnych połączeń między podmiotami Unii; |
| k) | wzmocnienie zasad udzielania zamówień publicznych, aby ułatwić osiągnięcie wysokiego wspólnego poziomu cyberbezpieczeństwa poprzez:
|
whereas