search


keyboard_tab Cyber Resilience Act 2023/2841 PL

BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf

2023/2841 PL cercato: 'wspólnego' . Output generated live by software developed by IusOnDemand srl


expand index wspólnego:


whereas wspólnego:


definitions:


cloud tag: and the number of total unique words without stopwords is: 561

 

Artykuł 1

Przedmiot

Niniejszym rozporządzeniem ustanawia się środki mające na celu osiągnięcie wysokiego wspólnego poziomu cyberbezpieczeństwa w podmiotach Unii w odniesieniu do:

a)

ustanowienia przez każdy podmiot Unii wewnętrznych ram zarządzania ryzykiem w cyberprzestrzeni, jego nadzorowania i kontroli zgodnie z art. 6;

b)

zarządzania ryzykiem w cyberprzestrzeni, zgłaszania incydentów i wymiany informacji;

c)

organizacji, funkcjonowania i działania Międzyinstytucjonalnej Rady ds. Cyberbezpieczeństwa ustanowionej na mocy art. 10, a także organizacji, funkcjonowania i działania Służby ds. Cyberbezpieczeństwa Instytucji, Organów i Jednostek Organizacyjnych Unii (CERT-UE);

d)

monitorowania wdrażania niniejszego rozporządzenia.

Artykuł 8

Środki zarządzania ryzykiem w cyberprzestrzeni

1.   Bez zbędnej zwłoki, a w każdym razie do dnia 8 września 2025 r. każdy podmiot Unii pod nadzorem swojego kierownictwa najwyższego szczebla podejmuje odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne, aby zarządzać ryzykiem w cyberprzestrzeni zidentyfikowanym na podstawie Ram oraz aby zapobiec incydentom lub zminimalizować ich skutki. Przy uwzględnieniu najnowszego stanu wiedzy, oraz, w stosownych przypadkach, odpowiednich norm europejskich i międzynarodowych, środki te zapewniają poziom bezpieczeństwa sieci i systemów informatycznych w całym środowisku ICT odpowiedni do istniejącego ryzyka w cyberprzestrzeni. Oceniając proporcjonalność tych środków należycie uwzględnia się stopień narażenia podmiotu Unii na ryzyko_w cyberprzestrzeni, wielkość podmiotu, prawdopodobieństwo wystąpienia incydentów i ich dotkliwość, w tym ich skutki społeczne, gospodarcze i międzyinstytucjonalne.

2.   Wdrażając środki zarządzania ryzykiem w cyberprzestrzeni, podmioty_Unii uwzględniają co najmniej następujące kwestie:

a)

politykę w zakresie cyberbezpieczeństwa, w tym środki niezbędne do osiągnięcia celów i priorytetów, o których mowa w art. 6 i w ust. 3 niniejszego artykułu;

b)

politykę analizy ryzyka w cyberprzestrzeni i bezpieczeństwa systemów informatycznych;

c)

cele strategiczne w zakresie korzystania z usług chmurowych;

d)

w stosownych przypadkach audyt cyberbezpieczeństwa, który może obejmować ocenę ryzyka w cyberprzestrzeni, podatności i cyberzagrożeń oraz testy penetracyjne przeprowadzane regularnie przez zaufanego usługodawcę z sektora prywatnego;

e)

wdrożenie zaleceń wynikających z audytów cyberbezpieczeństwa, o których mowa w lit. d), w drodze aktualizacji zasad dotyczących cyberbezpieczeństwa i aktualizacji polityk;

f)

kwestie organizacyjne dotyczące cyberbezpieczeństwa, w tym wyznaczenie ról i obowiązków;

g)

zarządzanie aktywami, w tym rejestr zasobów ICT i mapy sieci ICT;

h)

bezpieczeństwo zasobów ludzkich i kontrolę dostępu;

i)

bezpieczeństwo operacji;

j)

bezpieczeństwo łączności;

k)

nabywanie, rozbudowę i utrzymywanie systemów, w tym polityki postępowania z podatnościami i ich ujawniania;

l)

w miarę możliwości politykę dotyczącą przejrzystości kodu źródłowego;

m)

bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem relacji między każdym podmiotem Unii a jego bezpośrednimi dostawcami lub usługodawcami;

n)

obsługę incydentów oraz współpracę z CERT-UE, na przykład stałe monitorowanie bezpieczeństwa i rejestrowanie danych związanych z bezpieczeństwem;

o)

zarządzanie ciągłością działania, na przykład zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzanie kryzysowe; oraz

p)

promowanie i rozwój programów edukowania, rozwijania umiejętności, podnoszenia świadomości, ćwiczeń i szkoleń w dziedzinie cyberbezpieczeństwa.

Do celów akapitu pierwszego lit. m) podmioty_Unii uwzględniają podatności charakterystyczne dla każdego bezpośredniego dostawcy i usługodawcy oraz ogólną jakość produktów i praktyk w zakresie cyberbezpieczeństwa stosowanych przez ich dostawców i usługodawców, w tym ich procedury bezpiecznego opracowywania.

3.   Podmioty Unii stosują co najmniej następujące szczegółowe środki zarządzania ryzykiem w cyberprzestrzeni:

a)

rozwiązania techniczne umożliwiające pracę zdalną i jej utrzymanie;

b)

konkretne kroki zmierzające do przejścia na zasady zerowego zaufania;

c)

stosowanie uwierzytelniania wieloskładnikowego jako normy we wszystkich sieciach i systemach informatycznych;

d)

wykorzystywanie kryptografii i szyfrowania, w szczególności szyfrowania end-to-end, oraz bezpiecznego podpisu cyfrowego;

e)

w stosownych przypadkach bezpieczne systemy łączności głosowej, wizualnej i tekstowej oraz bezpieczne systemy łączności w sytuacjach nadzwyczajnych wewnątrz podmiotu Unii;

f)

proaktywne środki wykrywania i usuwania złośliwego oprogramowania i oprogramowania szpiegującego;

g)

zabezpieczenie łańcucha dostaw oprogramowania poprzez kryteria regulujące opracowywanie i ocenę bezpiecznego oprogramowania;

h)

tworzenie i przyjmowanie programów szkoleń w zakresie cyberbezpieczeństwa dla kierownictwa najwyższego szczebla i członków personelu podmiotu Unii, którym powierzono zadanie zapewnienia skutecznego wdrożenia niniejszego rozporządzenia, przy czym te programy szkoleń muszą być współmierne do przewidzianych zadań i oczekiwanych zdolności;

i)

regularne szkolenia z zakresu cyberbezpieczeństwa dla członków personelu;

j)

w stosownych przypadkach udział w analizach ryzyka dla wzajemnych połączeń między podmiotami Unii;

k)

wzmocnienie zasad udzielania zamówień publicznych, aby ułatwić osiągnięcie wysokiego wspólnego poziomu cyberbezpieczeństwa poprzez:

(i)

usunięcie barier umownych, które ograniczają wymianę pochodzących od dostawców usług ICT informacji na temat incydentów, podatności i cyberzagrożeń z CERT-UE;

(ii)

zobowiązania umowne do zgłaszania incydentów, podatności i cyberzagrożeń, a także do ustanowienia odpowiedniego mechanizmu reagowania na incydenty i ich monitorowania.

Artykuł 9

Plany dotyczące cyberbezpieczeństwa

1.   Zgodnie z wnioskami z oceny dojrzałości w zakresie cyberbezpieczeństwa przeprowadzonej na podstawie art. 7, a także z uwzględnieniem aktywów i ryzyka w cyberprzestrzeni zidentyfikowanych dzięki Ramom oraz środków zarządzania ryzykiem w cyberprzestrzeni przyjętych na podstawie art. 8 kierownictwo_najwyższego_szczebla każdego podmiotu Unii zatwierdza – bez zbędnej zwłoki, a w każdym razie do dnia 8 stycznia 2026 r. – plan dotyczący cyberbezpieczeństwa. Plan dotyczący cyberbezpieczeństwa ma na celu zwiększenie ogólnego poziomu cyberbezpieczeństwa danego podmiotu Unii, a tym samym przyczynia się do zwiększenia wysokiego wspólnego poziomu cyberbezpieczeństwa wewnątrz podmiotów Unii. Plan dotyczący cyberbezpieczeństwa obejmuje co najmniej środki zarządzania ryzykiem w cyberprzestrzeni podjęte na podstawie art. 8. Plan dotyczący cyberbezpieczeństwa poddaje się przeglądowi co dwa lata lub, w razie potrzeby, częściej w następstwie ocen dojrzałości w zakresie cyberbezpieczeństwa przeprowadzonej na podstawie art. 7 lub każdej istotnej zmiany Ram.

2.   Plan dotyczący cyberbezpieczeństwa zawiera opracowany przez podmiot Unii plan zarządzania kryzysami w cyberprzestrzeni na wypadek poważnych incydentów.

3.   Podmiot Unii przedkłada gotowy plan dotyczący cyberbezpieczeństwa Międzyinstytucjonalnej Radzie ds. Cyberbezpieczeństwa ustanowionej na mocy art. 10.

ROZDZIAŁ III

MIĘDZYINSTYTUCJONALNA RADA DS. CYBERBEZPIECZEŃSTWA

Artykuł 26

Wejście w życie

Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.

Sporządzono w Strasburgu dnia 13 grudnia 2023 r.

W imieniu Parlamentu Europejskiego

Przewodnicząca

R. METSOLA

W imieniu Rady

Przewodniczący

P. NAVARRO RÍOS


(1)  Stanowisko Parlamentu Europejskiego z dnia 21 listopada 2023 r. (dotychczas nieopublikowane w Dzienniku Urzędowym) oraz decyzja Rady z dnia 8 grudnia 2023 r.

(2)  Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz.U. L 333 z 27.12.2022, s. 80).

(3)  Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie) (Dz.U. L 151 z 7.6.2019, s. 15).

(4)  Porozumienie między Parlamentem Europejskim, Radą Europejską, Radą Unii Europejskiej, Komisją Europejską, Trybunałem Sprawiedliwości Unii Europejskiej, Europejskim Bankiem Centralnym, Europejskim Trybunałem Obrachunkowym, Europejską Służbą Działań Zewnętrznych, Europejskim Komitetem Ekonomiczno-Społecznym, Europejskim Komitetem Regionów i Europejskim Bankiem Inwestycyjnym w sprawie organizacji i funkcjonowania zespołu reagowania na incydenty komputerowe w instytucjach, organach i agencjach UE (CERT-UE) (Dz.U. C 12 z 13.1.2018, s. 1).

(5)  Rozporządzenie Rady (EWG, Euratom, EWWiS) nr 259/68 z dnia 29 lutego 1968 r. ustanawiające regulamin pracowniczy urzędników Wspólnot Europejskich i warunki zatrudnienia innych pracowników Wspólnot oraz ustanawiające specjalne środki stosowane tymczasowo wobec urzędników Komisji (Dz.U. L 56 z 4.3.1968, s. 1).

(6)  Zalecenie Komisji (UE) 2017/1584 z dnia 13 września 2017 r. w sprawie skoordynowanego reagowania na incydenty i kryzysy cybernetyczne na dużą skalę (Dz.U. L 239 z 19.9.2017, s. 36).

(7)  Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39).

(8)   Dz.U. C 258 z 5.7.2022, s. 10.

(9)  Rozporządzenie Parlamentu Europejskiego i Rady (UE, Euratom) 2018/1046 z dnia 18 lipca 2018 r. w sprawie zasad finansowych mających zastosowanie do budżetu ogólnego Unii, zmieniające rozporządzenia (UE) nr 1296/2013, (UE) nr 1301/2013, (UE) nr 1303/2013, (UE) nr 1304/2013, (UE) nr 1309/2013, (UE) nr 1316/2013, (UE) nr 223/2014 i (UE) nr 283/2014 oraz decyzję nr 541/2014/UE, a także uchylające rozporządzenie (UE, Euratom) nr 966/2012 (Dz.U. L 193 z 30.7.2018, s. 1).

(10)  Rozporządzenie (WE) nr 1049/2001 Parlamentu Europejskiego i Rady z dnia 30 maja 2001 r. w sprawie publicznego dostępu do dokumentów Parlamentu Europejskiego, Rady i Komisji (Dz.U. L 145 z 31.5.2001, s. 43).


ELI: http://data.europa.eu/eli/reg/2023/2841/oj

ISSN 1977-0766 (electronic edition)



whereas









keyboard_arrow_down