keyboard_tab Cyber Resilience Act 2023/2841 PL

1.   Niniejszym ustanawia się Międzyinstytucjonalną Radę ds. Cyberbezpieczeństwa (IICB).

2.   IICB jest odpowiedzialne za:

3.   W skład IICB wchodzą:

Podmioty Unii reprezentowane w IICB dążą do osiągnięcia równowagi płci wśród wyznaczonych przedstawicieli.

4.   Członkowie IICB mogą być wspomagani przez zastępców. Przewodniczący może zaprosić innych przedstawicieli podmiotów Unii, o których mowa w ust. 3, lub innych podmiotów Unii do udziału w posiedzeniach IICB bez prawa głosu.

5.   Szef CERT-UE i przewodniczący Grupy współpracy, sieci CSIRT i EU-CyCLONe, ustanowionych na podstawie odpowiednio art. 14, 15 i 16 dyrektywy (UE) 2022/2555, lub ich zastępcy mogą uczestniczyć w posiedzeniach IICB w charakterze obserwatorów. w wyjątkowych przypadkach IICB może, zgodnie ze swoim regulaminem wewnętrznym, postanowić inaczej.

6.   IICB przyjmuje swój regulamin wewnętrzny.

7.   Zgodnie z regulaminem wewnętrznym IICB wyznacza spośród swoich członków przewodniczącego na trzyletnią kadencję. Zastępca przewodniczącego staje się pełnoprawnym członkiem IICB na ten sam okres.

8.   IICB co najmniej trzy razy do roku odbywa posiedzenia z inicjatywy swojego przewodniczącego, na wniosek CERT-UE lub na wniosek któregokolwiek z członków IICB.

9.   Każdy członek IICB dysponuje jednym głosem. Decyzje IICB zapadają zwykłą większością głosów, chyba że niniejsze rozporządzenie stanowi inaczej. Przewodniczący IICB nie bierze udziału w głosowaniach, z wyjątkiem sytuacji gdy zostanie oddana taka sama liczba głosów za i przeciw, w którym to przypadku przewodniczący może oddać decydujący głos.

10.   IICB może stanowić w drodze uproszczonej procedury pisemnej wszczynanej zgodnie ze swoim regulaminem wewnętrznym. w ramach tej procedury daną decyzję uznaje się za zatwierdzoną w terminie ustalonym przez przewodniczącego, chyba że któryś z członków wyrazi sprzeciw.

11.   Sekretariat IICB jest prowadzony przez Komisję i podlega przewodniczącemu IICB.

12.   Przedstawiciele wyznaczeni przez EUAN przekazują decyzje IICB członkom EUAN. Każdy członek EUAN ma prawo zwracać się do tych przedstawicieli lub przewodniczącego IICB z każdą sprawą, o której jego zdaniem należy poinformować IICB.

13.   IICB może ustanowić komitet wykonawczy, który będzie pomagał jej w pracach, i przekazać komitetowi wykonawczemu niektóre swoje zadania i uprawnienia. IICB ustanawia regulamin wewnętrzny komitetu wykonawczego, w tym jego zadania i uprawnienia, oraz określa kadencje jego członków.

14.   Do dnia 8 stycznia 2025 r., a następnie co roku IICB składa Parlamentowi Europejskiemu i Radzie sprawozdanie, w którym szczegółowo przedstawia postępy we wdrażaniu niniejszego rozporządzenia, a w szczególności zakres współpracy CERT-UE z jego odpowiednikami w każdym z państw członkowskich. Sprawozdanie to stanowi wkład w przedstawiane co dwa lata sprawozdanie o stanie cyberbezpieczeństwa w Unii, przyjmowane na podstawie art. 18 dyrektywy (UE) 2022/2555.

1.   Misją CERT-UE jest przyczynianie się do bezpieczeństwa jawnego środowiska ICT wszystkich podmiotów Unii poprzez doradzanie im w zakresie cyberbezpieczeństwa, pomaganie im w zapobieganiu incydentom, wykrywaniu ich, ich obsłudze, łagodzeniu ich skutków, reagowaniu na nie i usuwaniu ich skutków oraz poprzez pełnienie dla tych podmiotów w roli punktu wymiany informacji na temat cyberbezpieczeństwa i koordynacji reakcji na incydenty.

2.   CERT-UE gromadzi, analizuje i udostępnia podmiotom Unii informacje na temat cyberzagrożeń, podatności i  incydentów dotyczących jawnej infrastruktury ICT oraz zarządza tymi informacjami. Koordynuje reagowanie na incydenty na poziomie międzyinstytucjonalnym i na poziomie podmiotów Unii, również poprzez świadczenie lub koordynowanie specjalistycznej pomocy operacyjnej.

3.   Mając na celu pomoc dla podmiotów Unii, CERT-UE wykonuje następujące zadania:

W stosownych przypadkach i z zastrzeżeniem odpowiedniej poufności informacje, o których mowa w akapicie pierwszym lit. e), udostępnia się IICB, sieci CSIRT i Centrum Analiz Wywiadowczych Unii Europejskiej (EU INTCEN).

4.   CERT-UE może, zgodnie z odpowiednio art. 17 lub 18, współpracować ze stosownymi społecznościami zajmującymi się cyberbezpieczeństwem w Unii i w jej państwach członkowskich, w tym w następujących obszarach:

5.   W ramach swoich kompetencji CERT-UE prowadzi zorganizowaną współpracę z ENISA w zakresie budowania zdolności, współpracy operacyjnej i długoterminowych analiz strategicznych cyberzagrożeń zgodnie z rozporządzeniem (UE) 2019/881. CERT-UE może współpracować z Europejskim Centrum ds. Walki z Cyberprzestępczością przy Europolu i wymieniać się z nim informacjami.

6.   CERT-UE może świadczyć następujące usługi nie opisane w jego katalogu usług (zwane dalej „usługami płatnymi”):

W odniesieniu do akapitu pierwszego lit. d) po uprzednim zatwierdzeniu przez IICB CERT-UE może w drodze wyjątku zawierać umowy o gwarantowanym poziomie usług z podmiotami innymi niż podmioty_Unii.

7.   CERT-UE organizuje ćwiczenia w zakresie cyberbezpieczeństwa i może w nich uczestniczyć lub zalecać uczestnictwo w istniejących ćwiczeniach, w stosownych przypadkach w ścisłej współpracy z ENISA, w celu testowania poziomu cyberbezpieczeństwa podmiotów Unii.

8.   CERT-UE może udzielać pomocy podmiotom Unii w razie incydentów w sieciach i systemach informatycznych przetwarzających EUCI, o ile zainteresowane podmioty_Unii wyraźnie się o to zwrócą zgodnie ze swoimi odpowiednimi procedurami. Udzielanie pomocy przez CERT-UE na podstawie niniejszego ustępu pozostaje bez uszczerbku dla mających zastosowanie przepisów dotyczących ochrony informacji niejawnych.

9.   CERT-UE informuje podmioty_Unii o swoich procedurach i procesach obsługi incydentów.

10.   CERT-UE dostarcza, z zachowaniem wysokiego poziomu poufności i wiarygodności, za pomocą odpowiednich mechanizmów współpracy i podległości służbowej, istotnych i zanonimizowanych informacji o poważnych incydentach i sposobie ich obsługi. Informacje te włącza się do sprawozdania, o którym mowa w art. 10 ust. 14.

11.   CERT-UE w ścisłej współpracy z EIOD wspiera zainteresowane podmioty_Unii w obsłudze incydentów powodujących naruszenie danych osobowych, bez uszczerbku dla właściwości i zadań EIOD jako organu nadzorczego zgodnie z rozporządzeniem (UE) 2018/1725.

12.   CERT-UE może, na wyraźny wniosek jednostek podmiotów Unii zajmujących się poszczególnymi politykami, zapewnić doradztwo techniczne lub wkład techniczny w odpowiednich kwestiach dotyczących polityki.

1.   CERT-UE wspiera wdrażanie niniejszego rozporządzenia poprzez:

W odniesieniu do akapitu pierwszego lit. a) dany podmiot Unii bez zbędnej zwłoki po otrzymaniu wezwania do działania informuje CERT-UE o sposobie zastosowania pilnych środków w zakresie bezpieczeństwa.

2.   Wytyczne i zalecenia mogą obejmować:

1.   Komisja, za zgodą dwóch trzecich członków IICB, mianuje szefa CERT-UE. Na wszystkich etapach procedury mianowania, w szczególności w odniesieniu do przygotowywania ogłoszeń o naborze, rozpatrywania kandydatur oraz powoływania komisji selekcyjnych do celu wyboru na to stanowisko, prowadzi się konsultacje z IICB. Procedura wyboru, w tym ostateczna skrócona lista kandydatów, spośród których ma zostać mianowany szef CERT-UE, musi gwarantować sprawiedliwą reprezentację każdej z płci z uwzględnieniem przedstawionych kandydatur.

2.   Szef CERT-UE odpowiada za sprawne funkcjonowanie CERT-UE i działa w ramach kompetencji związanych z jego funkcją oraz pod kierownictwem IICB. Szef CERT-UE regularnie składa sprawozdania przewodniczącemu IICB oraz – na żądanie IICB – składa IICB sprawozdania ad hoc.

3.   Szef CERT-UE wspomaga odpowiedzialnego delegowanego urzędnika zatwierdzającego w sporządzaniu rocznego sprawozdania z działalności zawierającego informacje dotyczące finansów i zarządzania, w tym wyniki kontroli, przygotowywanego zgodnie z art. 74 ust. 9 rozporządzenia Parlamentu Europejskiego i Rady (UE, Euratom) 2018/1046 (9) i regularnie składa temu delegowanemu urzędnikowi zatwierdzającemu sprawozdania z realizacji działań, co do których szefowi CERT-UE przekazano uprawnienia na zasadzie subdelegacji.

4.   Szef CERT-UE opracowuje co roku plan dochodów i wydatków administracyjnych na potrzeby działalności CERT-UE, projekt rocznego programu prac, projekt katalogu usług CERT-UE, projekt zmian w katalogu usług, projekt warunków umów o gwarantowanym poziomie usług oraz projekt kluczowych wskaźników skuteczności działania CERT-UE, które mają zostać zatwierdzone przez IICB zgodnie z art. 11. Dokonując rewizji wykazu usług w katalogu usług CERT-UE, szef CERT-UE uwzględnia zasoby przydzielone CERT-UE.

5.   Szef CERT-UE co najmniej raz do roku przedkłada IICB i przewodniczącemu IICB sprawozdania z działalności i wyników CERT-UE za okres odniesienia, w tym z wykonania budżetu, zawartych umów o gwarantowanym poziomie usług i pisemnych umów, współpracy z odpowiednikami i partnerami oraz z misji podejmowanych przez członków personelu, w tym sprawozdania, o których mowa w art. 11. Sprawozdania te obejmują program prac na kolejny okres, plan dochodów i wydatków, w tym plan zatrudnienia, planowane aktualizacje katalogu usług CERT-UE oraz ocenę spodziewanego wpływu takich aktualizacji na zasoby finansowe i ludzkie.

1.   CERT-UE może współpracować ze swoimi odpowiednikami w Unii innymi niż te, o których mowa w art. 17, podlegającymi unijnym wymogom w zakresie cyberbezpieczeństwa, w tym z odpowiednikami działającymi w konkretnych sektorach przemysłu, w zakresie narzędzi i metod, takich jak techniki, taktyka, procedury i najlepsze praktyki, a także w zakresie cyberzagrożeń i podatności. CERT-UE zwraca się do IICB o uprzednią – analizowaną indywidualnie dla każdego przypadku – zgodę na podjęcie wszelkiej współpracy z takimi odpowiednikami. w przypadku gdy CERT-UE nawiązuje współpracę z takimi odpowiednikami, informuje wszystkie stosowne odpowiedniki, o których mowa w art. 17 ust. 1, z państwa członkowskiego, w którym dany odpowiednik ma siedzibę. w stosownych przypadkach taką współpracę i jej warunki, w tym dotyczące cyberbezpieczeństwa, ochrony danych i przetwarzania informacji, ustanawia się w szczególnych uzgodnieniach o poufności, takich jak umowy lub porozumienia administracyjne. Uzgodnienia o poufności nie wymagają uprzedniej zgody IICB, ale o ich zawarciu informuje się przewodniczącego IICB. Jeżeli zachodzi pilna i nieuchronna potrzeba wymiany informacji na temat cyberbezpieczeństwa w interesie podmiotów Unii lub innej strony, CERT-UE może wymieniać informacje z podmiotem, którego szczególne kompetencje, zdolności i wiedza fachowa są zasadnie wymagane do udzielenia pomocy w takiej pilnej i nieuchronnej potrzebie, nawet jeżeli CERT-UE nie zawarł z tym podmiotem uzgodnień o poufności. w takich przypadkach CERT-UE natychmiast informuje przewodniczącego IICB i powiadamia IICB w formie regularnych sprawozdań lub spotkań.

2.   CERT-UE może współpracować z partnerami, takimi jak podmioty komercyjne, w tym podmioty działające w konkretnych sektorach przemysłu, organizacje międzynarodowe, podmioty krajowe spoza Unii lub indywidualni eksperci, w celu zbierania informacji na temat ogólnych i szczególnych cyberzagrożeń, potencjalnych zdarzeń dla cyberbezpieczeństwa, podatności i ewentualnych środków zaradczych. CERT-UE zwraca się do IICB o uprzednią – analizowaną indywidualnie dla każdego przypadku – zgodę na podjęcie szerszej współpracy z takimi partnerami.

3.   CERT-UE może, za zgodą podmiotu Unii, którego dotyczy incydent, i pod warunkiem zawarcia z właściwym odpowiednikiem lub partnerem uzgodnień lub umowy o poufności, przekazać informacje dotyczące konkretnego incydentu odpowiednikom lub partnerom, o których mowa w ust. 1 i 2, wyłącznie w celu przyczynienia się do jego analizy.

1.   Działając jako punkt wymiany informacji na temat cyberbezpieczeństwa i koordynacji reakcji na incydenty, CERT-UE ułatwia wymianę informacji dotyczących incydentów, cyberzagrożeń, podatności i potencjalnych zdarzeń dla cyberbezpieczeństwa między:

2.   CERT-UE, w stosownych przypadkach w ścisłej współpracy w ENISA, ułatwia koordynację między podmiotami Unii w zakresie reagowania na incydenty, co obejmuje:

3.   CERT-UE, w ścisłej współpracy z ENISA, wspiera podmioty_Unii w zakresie orientacji sytuacyjnej w odniesieniu do incydentów, cyberzagrożeń, podatności i potencjalnych zdarzeń dla cyberbezpieczeństwa, a także w dzieleniu się istotnymi postępami w dziedzinie cyberbezpieczeństwa.

4.   Do dnia 8 stycznia 2025 r. IICB na podstawie propozycji CERT-UE przyjmie wytyczne lub zalecenia dotyczące koordynacji reagowania na incydenty i współpracy w tym zakresie w odniesieniu do znaczących incydentów. w przypadku podejrzenia, że incydent nosi znamiona przestępstwa, CERT-UE bez zbędnej zwłoki doradza, jak zgłosić incydent organom ścigania.

5.   Na specjalny wniosek państwa członkowskiego i za zgodą zainteresowanych podmiotów Unii CERT-UE może zwrócić się do ekspertów z wykazu, o którym mowa w art. 23 ust. 4, o udział w reakcji na poważny incydent mający wpływ na to państwo członkowskie lub na incydent w cyberbezpieczeństwie na dużą skalę zgodnie z art. 15 ust. 3 lit. g) dyrektywy (UE) 2022/2555. Szczegółowe przepisy dotyczące dostępu podmiotów Unii do ekspertów technicznych oraz korzystania z ich usług są zatwierdzane przez IICB na wniosek CERT-UE.

1.   Aby wspierać na poziomie operacyjnym skoordynowane zarządzanie poważnymi incydentami mającymi wpływ na podmioty_Unii oraz przyczyniać się do regularnej wymiany istotnych informacji między podmiotami Unii i z państwami członkowskimi, IICB ustanawia na podstawie art. 11 lit. q) plan zarządzania kryzysami w cyberprzestrzeni oparty o działania, o których mowa w art. 22 ust. 2, w ścisłej współpracy z CERT-UE i ENISA. Plan zarządzania kryzysami w cyberprzestrzeni obejmuje co najmniej następujące elementy:

2.   Przedstawiciel Komisji w IICB, z zastrzeżeniem planu zarządzania kryzysami w cyberprzestrzeni ustanowionego na podstawie ust. 1 niniejszego artykułu i bez uszczerbku dla art. 16 ust. 2 akapit pierwszy dyrektywy (UE) 2022/2555, jest punktem kontaktowym do celów wymiany z EU-CyCLONe istotnych informacji dotyczących poważnych incydentów.

3.   CERT-UE koordynuje pomiędzy podmiotami Unii zarządzanie poważnymi incydentami. Prowadzi rejestr dostępnej fachowej wiedzy technicznej, która może być potrzebna, aby zareagować na incydenty w przypadku poważnych incydentów, oraz wspiera IICB w koordynowaniu planów zarządzania kryzysami w cyberprzestrzeni opracowywanych przez podmioty_Unii na wypadek poważnych incydentów, o których to planach mowa w art. 9 ust. 2.

4.   Podmioty Unii wnoszą wkład w tworzenie rejestru fachowej wiedzy technicznej, udostępniając aktualizowany co roku wykaz ekspertów dostępnych w ich odpowiednich organizacjach, z wyszczególnieniem ich konkretnych umiejętności technicznych.