keyboard_tab Cyber Resilience Act 2023/2841 PL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 4 Artykuł 6 Ramy zarządzania ryzykiem w cyberprzestrzeni, jego nadzorowania i kontroli
- 1 Artykuł 12 Zapewnianie zgodności
- 1 Artykuł 15 Szef CERT-UE
ROZDZIAŁ I
PRZEPISY OGÓLNE
ROZDZIAŁ II
ŚRODKI NA RZECZ WYSOKIEGO WSPÓLNEGO POZIOMU CYBERBEZPIECZEŃSTWA
ROZDZIAŁ III
MIĘDZYINSTYTUCJONALNA RADA DS. CYBERBEZPIECZEŃSTWA
ROZDZIAŁ IV
CERT-UE
ROZDZIAŁ V
OBOWIĄZKI W ZAKRESIE WSPÓŁPRACY I ZGŁASZANIA INCYDENTÓW
ROZDZIAŁ VI
PRZEPISY KOŃCOWE
- podmioty Unii
- sieci i systemy informatyczne
- bezpieczeństwo sieci i systemów informatycznych
- cyberbezpieczeństwo
- kierownictwo najwyższego szczebla
- potencjalne zdarzenie dla cyberbezpieczeństwa
- incydent
- poważny incydent
- incydent w cyberbezpieczeństwie na dużą skalę
- obsługa incydentu
- cyberzagrożenie
- poważne cyberzagrożenie
- podatność
- ryzyko w cyberprzestrzeni
- usługa chmurowa
- unii 38
- cert-ue 25
- podmiotu 17
- iicb 16
- rozporządzenia 15
- niniejszego 14
- w tym 12
- cyberbezpieczeństwa 12
- podmiot 12
- oraz 11
- się 10
- danego 9
- przez 9
- usług 9
- sprawozdania 8
- ramy 8
- podstawie 8
- ust 7
- może 7
- urzędnika 6
- szczebla 6
- w cyberprzestrzeni 6
- dany 5
- których 5
- projekt 5
- art 5
- wdrażanie 5
- zarządzania 5
- działań 5
- jego 5
- jest 4
- szef 4
- ryzykiem 4
- środków 4
- terminie 4
- w celu 4
- składa 4
- wydać 4
- przypadkach 4
- najwyższego 4
- lokalnego 4
- szef 4
- podmiotowi 4
- plan 4
- personelu 3
- związanych 3
- a także 3
- o gwarantowanym 3
- obowiązków 3
- sieci 3
Artykuł 6
Ramy zarządzania ryzykiem w cyberprzestrzeni, jego nadzorowania i kontroli
1. Do dnia 8 kwietnia 2025 r. każdy podmiot Unii, po przeprowadzeniu wstępnej analizy cyberbezpieczeństwa, takiej jak audyt, ustanawia wewnętrzne ramy zarządzania ryzykiem w cyberprzestrzeni, jego nadzorowania i kontroli (zwane dalej „Ramami”). Ustanowienie Ram nadzoruje kierownictwo_najwyższego_szczebla podmiotu Unii, które ponosi za nie odpowiedzialność.
2. Ramy obejmują swym zakresem całość jawnego środowiska ICT danego podmiotu Unii (zwanego dalej „środowiskiem ICT”), w tym każde środowisko ICT i sieć technologii operacyjnej znajdujące się w obiektach tego podmiotu, wszelkie aktywa i usługi, które przekazano w ramach outsourcingu do środowisk przetwarzania w chmurze lub których hosting prowadzą strony trzecie, a także urządzenia mobilne, sieci instytucjonalne, sieci biznesowe niepodłączone do internetu oraz wszelkie urządzenia podłączone do tych środowisk. Ramy opierają się na podejściu uwzględniającym wszystkie zagrożenia.
3. Ramy muszą zapewniać wysoki poziom cyberbezpieczeństwa. Ramy określają wewnętrzną politykę w zakresie cyberbezpieczeństwa, w tym cele i priorytety, w odniesieniu do bezpieczeństwa sieci i systemów informatycznych, a także role i obowiązki członków personelu podmiotu Unii, których zadaniem jest zapewnienie skutecznego wdrożenia niniejszego rozporządzenia. Ramy obejmują również mechanizmy pomiaru skuteczności wdrażania.
4. Ramy poddaje się regularnemu przeglądowi w świetle ewolucji ryzyka w cyberprzestrzeni i co najmniej raz na cztery lata. w stosownych przypadkach i na wniosek Międzyinstytucjonalnej Rady ds. Cyberbezpieczeństwa ustanowionej na mocy art. 10 Ramy podmiotu Unii mogą być aktualizowane w oparciu o wskazówki od CERT-UE dotyczące zidentyfikowanych incydentów lub zaobserwowanych ewentualnych luk we wdrażaniu niniejszego rozporządzenia.
5. Kierownictwo najwyższego szczebla każdego podmiotu Unii odpowiada za wdrażanie niniejszego rozporządzenia i nadzoruje wypełnianie przez jego struktury obowiązków związanych z Ramami.
6. W stosownych przypadkach i bez uszczerbku dla swojej odpowiedzialności za wdrażanie niniejszego rozporządzenia kierownictwo_najwyższego_szczebla każdego podmiotu Unii może przekazać określone obowiązki wynikające z niniejszego rozporządzenia urzędnikom wyższego szczebla w rozumieniu art. 29 ust. 2 regulaminu pracowniczego lub innym urzędnikom na równoważnym szczeblu w danym podmiocie Unii. Niezależnie od takiego przekazania obowiązków dany podmiot Unii może pociągnąć kierownictwo_najwyższego_szczebla do odpowiedzialności za naruszenia niniejszego rozporządzenia.
7. Każdy podmiot Unii musi posiadać skuteczne mechanizmy zapewniające, aby odpowiedni odsetek budżetu przewidzianego na ICT był przeznaczany na cyberbezpieczeństwo. Przy ustalaniu tego odsetka należy odpowiednio uwzględnić Ramy.
8. Każdy podmiot Unii wyznacza lokalnego urzędnika ds. cyberbezpieczeństwa lub osobę pełniącą równoważną funkcję, która działa jako pojedynczy punkt kontaktowy tego podmiotu w odniesieniu do wszystkich kwestii związanych z cyberbezpieczeństwem. Lokalny urzędnik ds. cyberbezpieczeństwa ułatwia wdrażanie niniejszego rozporządzenia i regularnie składa sprawozdania na temat stanu wdrożenia bezpośrednio kierownictwu najwyższego szczebla. Bez uszczerbku dla pełnionej przez lokalnego urzędnika ds. cyberbezpieczeństwa funkcji pojedynczego punktu kontaktowego w każdym podmiocie Unii, podmiot Unii może przekazać CERT-UE niektóre zadania lokalnego urzędnika ds. cyberbezpieczeństwa związane z wdrażaniem niniejszego rozporządzenia na podstawie umowy o gwarantowanym poziomie usług zawartej między tym podmiotem Unii a CERT-UE lub zadaniami tymi może podzielić się kilka podmiotów Unii. Jeżeli zadania te przekazuje się CERT-UE, Międzyinstytucjonalna Rada ds. Cyberbezpieczeństwa ustanowiona na mocy art. 10 decyduje, czy świadczenie tej usługi ma być częścią podstawowych usług CERT-UE, uwzględniając zasoby ludzkie i finansowe danego podmiotu Unii. Każdy podmiot Unii bez zbędnej zwłoki powiadamia CERT-UE o wyznaczeniu lokalnego urzędnika ds. cyberbezpieczeństwa oraz wszelkich zmianach w tym zakresie.
CERT-UE tworzy i aktualizuje listę wyznaczonych lokalnych urzędników ds. cyberbezpieczeństwa.
9. Urzędnicy wyższego szczebla w rozumieniu art. 29 ust. 2 regulaminu pracowniczego lub inni urzędnicy na równoważnym szczeblu w każdym podmiocie Unii, a także wszyscy odpowiedni członkowie personelu, których zadaniem jest wdrażanie środków i wypełnianie obowiązków w zakresie zarządzania ryzykiem w cyberprzestrzeni określonych w niniejszym rozporządzeniu, regularnie uczestniczą w specjalnych szkoleniach, aby zdobyć wystarczającą wiedzę i wystarczające umiejętności umożliwiające zrozumienie i ocenę ryzyka w cyberprzestrzeni i praktyk zarządzania nim oraz ich wpływu na działalność danego podmiotu Unii.
Artykuł 12
Zapewnianie zgodności
1. IICB na podstawie art. 10 ust. 2 i art. 11 skutecznie monitoruje wdrażanie przez podmioty_Unii niniejszego rozporządzenia oraz przyjętych wytycznych, zaleceń i wezwań do działania. IICB może zażądać od podmiotów Unii niezbędnych w tym celu informacji lub dokumentów. w przypadku przyjmowania środków zapewniania zgodności na podstawie niniejszego artykułu dotyczących danego podmiotu Unii, który jest bezpośrednio reprezentowany w IICB, podmiot ten nie ma prawa głosu.
2. W razie gdy IICB stwierdzi, że dany podmiot Unii nie wdrożył należycie niniejszego rozporządzenia lub wytycznych, zaleceń lub wezwań do działania wydanych na podstawie niniejszego rozporządzenia, może – bez uszczerbku dla wewnętrznych procedur danego podmiotu Unii oraz po umożliwieniu temu podmiotowi Unii przedstawienia uwag:
| a) | przekazać danemu podmiotowi Unii uzasadnioną opinię dotyczącą stwierdzonych niedociągnięć we wdrażaniu niniejszego rozporządzenia; |
| b) | wydać – po konsultacji z CERT-UE – wytyczne dla danego podmiotu Unii, w celu zapewnienia, aby w określonym terminie jego Ramy, środki zarządzania ryzykiem w cyberprzestrzeni, plan dotyczący cyberbezpieczeństwa i zgłaszanie incydentów stały się zgodne z niniejszym rozporządzeniem; |
| c) | wydać ostrzeżenie wzywające podjęcie działań w celu zaradzenia w określonym terminie stwierdzonym niedociągnięciom, zawierające zalecenia co do zmiany środków przyjętych przez dany podmiot Unii na podstawie niniejszego rozporządzenia; |
| d) | wydać danemu podmiotowi Unii uzasadnione powiadomienie, w przypadku gdy w określonym terminie nie podjął on wystarczających działań w celu zaradzenia niedociągnięciom wskazanym w ostrzeżeniu wydanym na podstawie lit. c); |
| e) | wydać:
|
| f) | w stosownych przypadkach poinformować Trybunał Obrachunkowy, w ramach jego mandatu, o zarzucanym braku zgodności; |
| g) | wydać skierowane do wszystkich państw członkowskich i podmiotów Unii zalecenie tymczasowego zawieszenia przepływów danych do danego podmiotu Unii. |
Do celów akapitu pierwszego lit. c) liczbę odbiorców ostrzeżenia odpowiednio się ogranicza, jeżeli jest to konieczne ze względu na ryzyko_w cyberprzestrzeni.
Ostrzeżenia i zalecenia wydane na podstawie akapitu pierwszego kieruje się do kierownictwa najwyższego szczebla danego podmiotu Unii.
3. W przypadku gdy IICB przyjmie środki na podstawie ust. 2 akapit pierwszy lit. a)–g), dany podmiot Unii przedstawia szczegółowy opis środków i działań podjętych w celu usunięcia zarzucanych mu niedociągnięć stwierdzonych przez IICB. Podmiot Unii przedkłada ten szczegółowy opis w rozsądnym terminie uzgodnionym z IICB.
4. W przypadku gdy IICB uzna, że naruszenie niniejszego rozporządzenia przez dany podmiot Unii ma charakter długotrwały i wynika bezpośrednio z działań lub zaniechań ze strony urzędnika lub innego pracownika Unii, w tym członka kierownictwa najwyższego szczebla, IICB zwraca się do danego podmiotu Unii o podjęcie odpowiednich działań, w tym z żądaniem, by rozważył podjęcie działań o charakterze dyscyplinarnym zgodnie z przepisami i procedurami ustanowionymi w regulaminie pracowniczym i innymi mającymi zastosowanie przepisami i procedurami. w tym celu IICB przekazuje danemu podmiotowi Unii niezbędne informacje.
5. Jeżeli podmioty_Unii powiadomią, że nie są w stanie dotrzymać terminów określonych w art. 6 ust. 1 i w art. 8 ust. 1, IICB może w należycie uzasadnionych przypadkach, uwzględniwszy rozmiar podmiotu Unii, zezwolić na przedłużenie tych terminów.
ROZDZIAŁ IV
CERT-UE
Artykuł 15
Szef CERT-UE
1. Komisja, za zgodą dwóch trzecich członków IICB, mianuje szefa CERT-UE. Na wszystkich etapach procedury mianowania, w szczególności w odniesieniu do przygotowywania ogłoszeń o naborze, rozpatrywania kandydatur oraz powoływania komisji selekcyjnych do celu wyboru na to stanowisko, prowadzi się konsultacje z IICB. Procedura wyboru, w tym ostateczna skrócona lista kandydatów, spośród których ma zostać mianowany szef CERT-UE, musi gwarantować sprawiedliwą reprezentację każdej z płci z uwzględnieniem przedstawionych kandydatur.
2. Szef CERT-UE odpowiada za sprawne funkcjonowanie CERT-UE i działa w ramach kompetencji związanych z jego funkcją oraz pod kierownictwem IICB. Szef CERT-UE regularnie składa sprawozdania przewodniczącemu IICB oraz – na żądanie IICB – składa IICB sprawozdania ad hoc.
3. Szef CERT-UE wspomaga odpowiedzialnego delegowanego urzędnika zatwierdzającego w sporządzaniu rocznego sprawozdania z działalności zawierającego informacje dotyczące finansów i zarządzania, w tym wyniki kontroli, przygotowywanego zgodnie z art. 74 ust. 9 rozporządzenia Parlamentu Europejskiego i Rady (UE, Euratom) 2018/1046 (9) i regularnie składa temu delegowanemu urzędnikowi zatwierdzającemu sprawozdania z realizacji działań, co do których szefowi CERT-UE przekazano uprawnienia na zasadzie subdelegacji.
4. Szef CERT-UE opracowuje co roku plan dochodów i wydatków administracyjnych na potrzeby działalności CERT-UE, projekt rocznego programu prac, projekt katalogu usług CERT-UE, projekt zmian w katalogu usług, projekt warunków umów o gwarantowanym poziomie usług oraz projekt kluczowych wskaźników skuteczności działania CERT-UE, które mają zostać zatwierdzone przez IICB zgodnie z art. 11. Dokonując rewizji wykazu usług w katalogu usług CERT-UE, szef CERT-UE uwzględnia zasoby przydzielone CERT-UE.
5. Szef CERT-UE co najmniej raz do roku przedkłada IICB i przewodniczącemu IICB sprawozdania z działalności i wyników CERT-UE za okres odniesienia, w tym z wykonania budżetu, zawartych umów o gwarantowanym poziomie usług i pisemnych umów, współpracy z odpowiednikami i partnerami oraz z misji podejmowanych przez członków personelu, w tym sprawozdania, o których mowa w art. 11. Sprawozdania te obejmują program prac na kolejny okres, plan dochodów i wydatków, w tym plan zatrudnienia, planowane aktualizacje katalogu usług CERT-UE oraz ocenę spodziewanego wpływu takich aktualizacji na zasoby finansowe i ludzkie.
whereas