keyboard_tab Cyber Resilience Act 2023/2841 PL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 3 Artykuł 21 Obowiązki w zakresie zgłaszania incydentów
ROZDZIAŁ I
PRZEPISY OGÓLNE
ROZDZIAŁ II
ŚRODKI NA RZECZ WYSOKIEGO WSPÓLNEGO POZIOMU CYBERBEZPIECZEŃSTWA
ROZDZIAŁ III
MIĘDZYINSTYTUCJONALNA RADA DS. CYBERBEZPIECZEŃSTWA
ROZDZIAŁ IV
CERT-UE
ROZDZIAŁ V
OBOWIĄZKI W ZAKRESIE WSPÓŁPRACY I ZGŁASZANIA INCYDENTÓW
ROZDZIAŁ VI
PRZEPISY KOŃCOWE
- podmioty Unii
- sieci i systemy informatyczne
- bezpieczeństwo sieci i systemów informatycznych
- cyberbezpieczeństwo
- kierownictwo najwyższego szczebla
- potencjalne zdarzenie dla cyberbezpieczeństwa
- incydent
- poważny incydent
- incydent w cyberbezpieczeństwie na dużą skalę
- obsługa incydentu
- cyberzagrożenie
- poważne cyberzagrożenie
- podatność
- ryzyko w cyberprzestrzeni
- usługa chmurowa
- incydentu 9
- unii 8
- przypadkach 7
- sprawozdanie 7
- cert-ue 7
- incydent 6
- incydentów 6
- podstawie 5
- zbędnej 5
- w stosownych 5
- zwłoki 5
- znaczący 4
- informacji 4
- które 4
- art 4
- iicb 3
- podmioty 3
- mowa 3
- a w każdym 3
- incydencie 3
- razie 3
- godzin 3
- powzięcia 3
- wiedzy 3
- o znaczącym 3
- w ciągu 3
- wpływu 3
- podmioty_unii 3
- znaczącego 3
- oraz 3
- wszelkie 3
- ust 3
- podmiotu 3
- informacje 3
- cyberbezpieczeństwa 3
- się 3
- użytkowników 3
- których 3
- może 3
- zalecenia 2
- artykułu 2
- łagodzących 2
- wytyczne 2
- dyrektywy 2
- w tym 2
- wniosek 2
- jego 2
- dotkliwości 2
- temat 2
- i skutków 2
Artykuł 21
Obowiązki w zakresie zgłaszania incydentów
1. Incydent uznaje się za znaczący, jeżeli:
| a) | spowodował lub może spowodować dotkliwe zakłócenia operacyjne w funkcjonowaniu lub straty finansowe dla danego podmiotu Unii; |
| b) | wpłynął lub może wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe i niemajątkowe. |
2. Podmioty Unii przedkładają CERT-UE:
| a) | bez zbędnej zwłoki, a w każdym razie w ciągu 24 godzin od powzięcia wiedzy o znaczącym incydencie – wczesne ostrzeżenie, w którym w stosownych przypadkach wskazuje się, że znaczący incydent został przypuszczalnie wywołany działaniem bezprawnym lub działaniem w złym zamiarze lub że mógł wywrzeć wpływ międzyinstytucjonalny lub transgraniczny; |
| b) | bez zbędnej zwłoki, a w każdym razie w ciągu 72 godzin od powzięcia wiedzy o znaczącym incydencie – zgłoszenie incydentu, w stosownych przypadkach wraz z aktualizacją informacji, o których mowa w lit. a), i ze wskazaniem wstępnej oceny znaczącego incydentu, w tym jego dotkliwości i skutków, a w stosownych przypadkach także oznak naruszenia integralności systemu; |
| c) | na wniosek CERT-UE – sprawozdanie okresowe na temat odpowiednich aktualizacji statusu; |
| d) | nie później niż miesiąc po zgłoszeniu incydentu na podstawie lit. b) – sprawozdanie końcowe zawierające następujące elementy:
|
| e) | jeżeli incydent nie zakończył się w terminie składania sprawozdania końcowego, o którym mowa w lit. d) – sprawozdanie z postępu prac w danym momencie oraz sprawozdanie końcowe w terminie jednego miesiąca od zakończenia przez nie obsługi incydentu. |
3. Podmiot Unii bez zbędnej zwłoki, a w każdym razie w ciągu 24 godzin od powzięcia wiedzy o znaczącym incydencie, informuje o wystąpieniu znaczącego incydentu wszelkie stosowne odpowiedniki krajowe, o których mowa w art. 17 ust. 1, w państwie członkowskim, w którym podmiot ten ma siedzibę.
4. Podmioty Unii zgłaszają między innymi wszelkie informacje umożliwiające CERT-UE określenie wszelkiego wpływu międzyinstytucjonalnego, wpływu na przyjmujące państwo członkowskie lub transgranicznego wpływu znaczącego incydentu. Bez uszczerbku dla art. 12 samo zgłoszenie nie nakłada na podmiot Unii zwiększonej odpowiedzialności.
5. W stosownych przypadkach podmioty_Unii bez zbędnej zwłoki powiadamiają użytkowników sieci i systemów informatycznych, których dotyczy incydent, lub użytkowników innych elementów środowiska ICT, których potencjalnie dotyczy znaczący incydent lub poważne cyberzagrożenie, oraz którzy w stosownych przypadkach mają potrzebę podjęcia środków łagodzących, o wszelkich środkach lub środkach zaradczych, które użytkownicy ci mogą zastosować w reakcji na ten incydent lub to zagrożenie. w stosownych przypadkach podmioty_Unii informują tych użytkowników o samym poważnym cyberzagrożeniu.
6. Jeżeli znaczący incydent lub poważne cyberzagrożenie mają wpływ na sieć i system informatyczny lub element środowiska ICT podmiotu Unii, które jest celowo powiązane ze środowiskiem ICT innego podmiotu Unii, CERT-UE wydaje stosowne ostrzeżenie dotyczące cyberbezpieczeństwa.
7. Podmioty Unii, na wniosek CERT-UE, przekazują mu bez zbędnej zwłoki informacje cyfrowe wygenerowane w wyniku korzystania z urządzeń elektronicznych uczestniczących w incydentach, które u nich wystąpiły. CERT-UE może dodatkowo sprecyzować, jakiego rodzaju informacji cyfrowych potrzebuje do celów orientacji sytuacyjnej i zareagowania na incydenty.
8. Co trzy miesiące CERT-UE przedkłada IICB, ENISA, EU INTCEN i sieci CSIRT sprawozdanie podsumowujące zawierające zanonimizowane i zagregowane dane dotyczące znaczących incydentów, incydentów, cyberzagrożeń, potencjalnych zdarzeń dla cyberbezpieczeństwa i podatności na podstawie art. 20 oraz znaczących incydentów zgłoszonych na podstawie ust. 2 niniejszego artykułu. To sprawozdanie podsumowujące stanowi wkład w przedstawiane co dwa lata sprawozdanie na temat stanu cyberbezpieczeństwa w Unii przyjmowane na podstawie art. 18 dyrektywy (UE) 2022/2555.
9. Do dnia 8 lipca 2024 r. IICB wyda wytyczne lub zalecenia doprecyzowujące zasady składania, format i treść zgłoszeń na podstawie niniejszego artykułu. Przygotowując takie wytyczne lub zalecenia, IICB uwzględnia wszelkie akty wykonawcze przyjęte na podstawie art. 23 ust. 11 dyrektywy (UE) 2022/2555 określające rodzaj informacji, format i procedurę zgłoszeń. CERT-UE rozpowszechnia odpowiednie szczegółowe informacje techniczne w celu umożliwienia proaktywnego wykrywania incydentów, reagowania na nie lub wprowadzania środków łagodzących ich skutki przez podmioty_Unii.
10. Obowiązki w zakresie zgłaszania incydentów określone w niniejszym artykule nie obejmują:
| a) | EUCI; |
| b) | informacji, których dalsze rozpowszechnianie zostało wykluczone za pomocą widocznego oznakowania, chyba że wyraźnie zezwolono na ich wymianę z CERT-UE. |
whereas