keyboard_tab Cyber Resilience Act 2023/2841 PL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artykuł 6 Ramy zarządzania ryzykiem w cyberprzestrzeni, jego nadzorowania i kontroli
- 2 Artykuł 10 Międzyinstytucjonalna Rada ds. Cyberbezpieczeństwa
- 1 Artykuł 11 Zadania IICB
ROZDZIAŁ I
PRZEPISY OGÓLNE
ROZDZIAŁ II
ŚRODKI NA RZECZ WYSOKIEGO WSPÓLNEGO POZIOMU CYBERBEZPIECZEŃSTWA
ROZDZIAŁ III
MIĘDZYINSTYTUCJONALNA RADA DS. CYBERBEZPIECZEŃSTWA
ROZDZIAŁ IV
CERT-UE
ROZDZIAŁ V
OBOWIĄZKI W ZAKRESIE WSPÓŁPRACY I ZGŁASZANIA INCYDENTÓW
ROZDZIAŁ VI
PRZEPISY KOŃCOWE
- podmioty Unii
- sieci i systemy informatyczne
- bezpieczeństwo sieci i systemów informatycznych
- cyberbezpieczeństwo
- kierownictwo najwyższego szczebla
- potencjalne zdarzenie dla cyberbezpieczeństwa
- incydent
- poważny incydent
- incydent w cyberbezpieczeństwie na dużą skalę
- obsługa incydentu
- cyberzagrożenie
- poważne cyberzagrożenie
- podatność
- ryzyko w cyberprzestrzeni
- usługa chmurowa
- unii 37
- cert-ue 27
- cyberbezpieczeństwa 22
- iicb 22
- przez 17
- rozporządzenia 13
- niniejszego 12
- się 12
- oraz 11
- podmiotu 10
- wniosek 10
- w cyberprzestrzeni 9
- może 9
- podmiotów 9
- art 8
- podmiot 8
- jego 8
- zarządzania 8
- ramy 7
- zatwierdza 7
- szefa 6
- w tym 6
- zadania 6
- poziomie 5
- wdrażanie 5
- mowa 5
- podstawie 5
- ustanawia 5
- europejski 5
- przewodniczącego 5
- usług 5
- przypadkach 5
- iicb 5
- podmioty_unii 5
- ryzyka 4
- jest 4
- w odniesieniu 4
- ue / 4
- w celu 4
- w zakresie 4
- a także 4
- lokalnego 4
- obowiązków 4
- sieci 4
- urzędnika 4
- ust 4
- dyrektywy 4
- euan 4
- przyjmuje 4
- sprawozdanie 4
Artykuł 6
Ramy zarządzania ryzykiem w cyberprzestrzeni, jego nadzorowania i kontroli
1. Do dnia 8 kwietnia 2025 r. każdy podmiot Unii, po przeprowadzeniu wstępnej analizy cyberbezpieczeństwa, takiej jak audyt, ustanawia wewnętrzne ramy zarządzania ryzykiem w cyberprzestrzeni, jego nadzorowania i kontroli (zwane dalej „Ramami”). Ustanowienie Ram nadzoruje kierownictwo_najwyższego_szczebla podmiotu Unii, które ponosi za nie odpowiedzialność.
2. Ramy obejmują swym zakresem całość jawnego środowiska ICT danego podmiotu Unii (zwanego dalej „środowiskiem ICT”), w tym każde środowisko ICT i sieć technologii operacyjnej znajdujące się w obiektach tego podmiotu, wszelkie aktywa i usługi, które przekazano w ramach outsourcingu do środowisk przetwarzania w chmurze lub których hosting prowadzą strony trzecie, a także urządzenia mobilne, sieci instytucjonalne, sieci biznesowe niepodłączone do internetu oraz wszelkie urządzenia podłączone do tych środowisk. Ramy opierają się na podejściu uwzględniającym wszystkie zagrożenia.
3. Ramy muszą zapewniać wysoki poziom cyberbezpieczeństwa. Ramy określają wewnętrzną politykę w zakresie cyberbezpieczeństwa, w tym cele i priorytety, w odniesieniu do bezpieczeństwa sieci i systemów informatycznych, a także role i obowiązki członków personelu podmiotu Unii, których zadaniem jest zapewnienie skutecznego wdrożenia niniejszego rozporządzenia. Ramy obejmują również mechanizmy pomiaru skuteczności wdrażania.
4. Ramy poddaje się regularnemu przeglądowi w świetle ewolucji ryzyka w cyberprzestrzeni i co najmniej raz na cztery lata. w stosownych przypadkach i na wniosek Międzyinstytucjonalnej Rady ds. Cyberbezpieczeństwa ustanowionej na mocy art. 10 Ramy podmiotu Unii mogą być aktualizowane w oparciu o wskazówki od CERT-UE dotyczące zidentyfikowanych incydentów lub zaobserwowanych ewentualnych luk we wdrażaniu niniejszego rozporządzenia.
5. Kierownictwo najwyższego szczebla każdego podmiotu Unii odpowiada za wdrażanie niniejszego rozporządzenia i nadzoruje wypełnianie przez jego struktury obowiązków związanych z Ramami.
6. W stosownych przypadkach i bez uszczerbku dla swojej odpowiedzialności za wdrażanie niniejszego rozporządzenia kierownictwo_najwyższego_szczebla każdego podmiotu Unii może przekazać określone obowiązki wynikające z niniejszego rozporządzenia urzędnikom wyższego szczebla w rozumieniu art. 29 ust. 2 regulaminu pracowniczego lub innym urzędnikom na równoważnym szczeblu w danym podmiocie Unii. Niezależnie od takiego przekazania obowiązków dany podmiot Unii może pociągnąć kierownictwo_najwyższego_szczebla do odpowiedzialności za naruszenia niniejszego rozporządzenia.
7. Każdy podmiot Unii musi posiadać skuteczne mechanizmy zapewniające, aby odpowiedni odsetek budżetu przewidzianego na ICT był przeznaczany na cyberbezpieczeństwo. Przy ustalaniu tego odsetka należy odpowiednio uwzględnić Ramy.
8. Każdy podmiot Unii wyznacza lokalnego urzędnika ds. cyberbezpieczeństwa lub osobę pełniącą równoważną funkcję, która działa jako pojedynczy punkt kontaktowy tego podmiotu w odniesieniu do wszystkich kwestii związanych z cyberbezpieczeństwem. Lokalny urzędnik ds. cyberbezpieczeństwa ułatwia wdrażanie niniejszego rozporządzenia i regularnie składa sprawozdania na temat stanu wdrożenia bezpośrednio kierownictwu najwyższego szczebla. Bez uszczerbku dla pełnionej przez lokalnego urzędnika ds. cyberbezpieczeństwa funkcji pojedynczego punktu kontaktowego w każdym podmiocie Unii, podmiot Unii może przekazać CERT-UE niektóre zadania lokalnego urzędnika ds. cyberbezpieczeństwa związane z wdrażaniem niniejszego rozporządzenia na podstawie umowy o gwarantowanym poziomie usług zawartej między tym podmiotem Unii a CERT-UE lub zadaniami tymi może podzielić się kilka podmiotów Unii. Jeżeli zadania te przekazuje się CERT-UE, Międzyinstytucjonalna Rada ds. Cyberbezpieczeństwa ustanowiona na mocy art. 10 decyduje, czy świadczenie tej usługi ma być częścią podstawowych usług CERT-UE, uwzględniając zasoby ludzkie i finansowe danego podmiotu Unii. Każdy podmiot Unii bez zbędnej zwłoki powiadamia CERT-UE o wyznaczeniu lokalnego urzędnika ds. cyberbezpieczeństwa oraz wszelkich zmianach w tym zakresie.
CERT-UE tworzy i aktualizuje listę wyznaczonych lokalnych urzędników ds. cyberbezpieczeństwa.
9. Urzędnicy wyższego szczebla w rozumieniu art. 29 ust. 2 regulaminu pracowniczego lub inni urzędnicy na równoważnym szczeblu w każdym podmiocie Unii, a także wszyscy odpowiedni członkowie personelu, których zadaniem jest wdrażanie środków i wypełnianie obowiązków w zakresie zarządzania ryzykiem w cyberprzestrzeni określonych w niniejszym rozporządzeniu, regularnie uczestniczą w specjalnych szkoleniach, aby zdobyć wystarczającą wiedzę i wystarczające umiejętności umożliwiające zrozumienie i ocenę ryzyka w cyberprzestrzeni i praktyk zarządzania nim oraz ich wpływu na działalność danego podmiotu Unii.
Artykuł 10
Międzyinstytucjonalna Rada ds. Cyberbezpieczeństwa
1. Niniejszym ustanawia się Międzyinstytucjonalną Radę ds. Cyberbezpieczeństwa (IICB).
2. IICB jest odpowiedzialne za:
| a) | monitorowanie i wspieranie wdrażania niniejszego rozporządzenia przez podmioty_Unii; |
| b) | nadzór nad realizacją ogólnych priorytetów i celów przez CERT-UE oraz wyznaczanie mu strategicznego kierunku działania. |
3. W skład IICB wchodzą:
| a) | po jednym przedstawicielu wyznaczonym przez:
|
| b) | trzech przedstawicieli wyznaczonych przez sieć agencji UE (EUAN) na wniosek jej komitetu doradczego ds. ICT w celu reprezentowania interesów organów i jednostek organizacyjnych Unii, które mają własne środowisko ICT, innych niż te, o których mowa w lit. a). |
Podmioty Unii reprezentowane w IICB dążą do osiągnięcia równowagi płci wśród wyznaczonych przedstawicieli.
4. Członkowie IICB mogą być wspomagani przez zastępców. Przewodniczący może zaprosić innych przedstawicieli podmiotów Unii, o których mowa w ust. 3, lub innych podmiotów Unii do udziału w posiedzeniach IICB bez prawa głosu.
5. Szef CERT-UE i przewodniczący Grupy Współpracy, sieci CSIRT i EU-CyCLONe, ustanowionych na podstawie odpowiednio art. 14, 15 i 16 dyrektywy (UE) 2022/2555, lub ich zastępcy mogą uczestniczyć w posiedzeniach IICB w charakterze obserwatorów. w wyjątkowych przypadkach IICB może, zgodnie ze swoim regulaminem wewnętrznym, postanowić inaczej.
6. IICB przyjmuje swój regulamin wewnętrzny.
7. Zgodnie z regulaminem wewnętrznym IICB wyznacza spośród swoich członków przewodniczącego na trzyletnią kadencję. Zastępca przewodniczącego staje się pełnoprawnym członkiem IICB na ten sam okres.
8. IICB co najmniej trzy razy do roku odbywa posiedzenia z inicjatywy swojego przewodniczącego, na wniosek CERT-UE lub na wniosek któregokolwiek z członków IICB.
9. Każdy członek IICB dysponuje jednym głosem. Decyzje IICB zapadają zwykłą większością głosów, chyba że niniejsze rozporządzenie stanowi inaczej. Przewodniczący IICB nie bierze udziału w głosowaniach, z wyjątkiem sytuacji gdy zostanie oddana taka sama liczba głosów za i przeciw, w którym to przypadku przewodniczący może oddać decydujący głos.
10. IICB może stanowić w drodze uproszczonej procedury pisemnej wszczynanej zgodnie ze swoim regulaminem wewnętrznym. w ramach tej procedury daną decyzję uznaje się za zatwierdzoną w terminie ustalonym przez przewodniczącego, chyba że któryś z członków wyrazi sprzeciw.
11. Sekretariat IICB jest prowadzony przez Komisję i podlega przewodniczącemu IICB.
12. Przedstawiciele wyznaczeni przez EUAN przekazują decyzje IICB członkom EUAN. Każdy członek EUAN ma prawo zwracać się do tych przedstawicieli lub przewodniczącego IICB z każdą sprawą, o której jego zdaniem należy poinformować IICB.
13. IICB może ustanowić komitet wykonawczy, który będzie pomagał jej w pracach, i przekazać komitetowi wykonawczemu niektóre swoje zadania i uprawnienia. IICB ustanawia regulamin wewnętrzny komitetu wykonawczego, w tym jego zadania i uprawnienia, oraz określa kadencje jego członków.
14. Do dnia 8 stycznia 2025 r., a następnie co roku IICB składa Parlamentowi Europejskiemu i Radzie sprawozdanie, w którym szczegółowo przedstawia postępy we wdrażaniu niniejszego rozporządzenia, a w szczególności zakres współpracy CERT-UE z jego odpowiednikami w każdym z państw członkowskich. Sprawozdanie to stanowi wkład w przedstawiane co dwa lata sprawozdanie o stanie cyberbezpieczeństwa w Unii, przyjmowane na podstawie art. 18 dyrektywy (UE) 2022/2555.
Artykuł 11
Zadania IICB
W ramach swoich obowiązków IICB w szczególności:
| a) | udziela wskazówek szefowi CERT-UE; |
| b) | skutecznie monitoruje i nadzoruje wdrażanie niniejszego rozporządzenia oraz wspiera podmioty_Unii we wzmacnianiu ich cyberbezpieczeństwa, w tym, w stosownych przypadkach, zwraca się do podmiotów Unii i CERT-UE o sporządzenie sprawozdań ad hoc; |
| c) | w następstwie dyskusji strategicznej przyjmuje wieloletnią strategię podniesienia poziomu cyberbezpieczeństwa w podmiotach Unii, regularnie – co najmniej raz na pięć lat – ją ocenia i w razie potrzeby ją zmienia; |
| d) | ustala metodykę i aspekty organizacyjne przeprowadzania dobrowolnych wzajemnych ocen przez podmioty_Unii by wyciągnąć wnioski z wspólnych doświadczeń, zwiększyć wzajemne zaufanie, osiągnąć wysoki wspólny poziom cyberbezpieczeństwa, a także zwiększać zdolności podmiotów Unii w zakresie cyberbezpieczeństwa, zapewniając, aby takie wzajemne oceny były przeprowadzane przez ekspertów ds. cyberbezpieczeństwa wyznaczonych przez podmiot Unii inny niż podmiot Unii poddawany ocenie oraz aby metodyka ich przeprowadzania opierała się na art. 19 dyrektywy (UE) 2022/2555 i była, w stosownych przypadkach, dostosowana do potrzeb podmiotów Unii; |
| e) | zatwierdza, na wniosek szefa CERT-UE, roczny program prac CERT-UE i monitoruje jego realizację; |
| f) | zatwierdza, na wniosek szefa CERT-UE, katalog usług CERT-UE oraz jego aktualizacje; |
| g) | zatwierdza, na wniosek szefa CERT-UE, roczny plan dochodów i wydatków, w tym plan zatrudnienia, na potrzeby działalności CERT-UE; |
| h) | zatwierdza, na wniosek szefa CERT-UE, ustalenia dotyczące umów o gwarantowanym poziomie usług; |
| i) | analizuje i zatwierdza sprawozdanie roczne, sporządzone przez szefa CERT-UE, obejmujące działalność CERT-UE i zarządzanie środkami finansowymi przez CERT-UE; |
| j) | zatwierdza i monitoruje kluczowe wskaźniki skuteczności działania w odniesieniu do CERT-UE, określone na wniosek szefa CERT-UE; |
| k) | zatwierdza porozumienia o współpracy, umowy o gwarantowanym poziomie usług lub umowy między CERT-UE a innymi podmiotami zawarte na podstawie art. 18; |
| l) | przyjmuje wytyczne i zalecenia na wniosek CERT-UE zgodnie z art. 14 i zleca CERT-UE wydanie, wycofanie lub zmianę propozycji wytycznych bądź zaleceń, lub wezwania do działania; |
| m) | ustanawia grupy doradztwa technicznego realizujące konkretne zadania, aby wspierać prace IICB, zatwierdza zakres ich uprawnień i zadań i wyznacza ich przewodniczących; |
| n) | otrzymuje i analizuje dokumenty i sprawozdania składane przez podmioty_Unii na podstawie niniejszego rozporządzenia, takie jak oceny dojrzałości w zakresie cyberbezpieczeństwa; |
| o) | wspomaga utworzenie nieformalnej grupy lokalnych urzędników podmiotów Unii ds. cyberbezpieczeństwa, wspieranej przez ENISA, aby umożliwić wymianę najlepszych praktyk i informacji dotyczących wdrażania niniejszego rozporządzenia; |
| p) | uwzględniając informacje na temat zidentyfikowanego ryzyka w cyberprzestrzeni i wyciągnięte wnioski przedstawione przez CERT-UE, monitoruje adekwatność ustaleń dotyczących wzajemnych połączeń między środowiskami ICT podmiotów Unii oraz doradza możliwe usprawnienia; |
| q) | ustanawia plan zarządzania kryzysami w cyberprzestrzeni w celu wsparcia – na poziomie operacyjnym – skoordynowanego zarządzania poważnymi incydentami mającymi wpływ na podmioty_Unii oraz w celu przyczynienia się do regularnej wymiany istotnych informacji, w szczególności o skutkach i dotkliwości poważnych incydentów oraz o możliwych sposobach łagodzenia ich skutków; |
| r) | koordynuje przyjmowanie planów zarządzania kryzysami w cyberprzestrzeni, o których mowa w art. 9 ust. 2, w poszczególnych podmiotach Unii; |
| s) | przyjmuje zalecenia w odniesieniu do bezpieczeństwa łańcucha dostaw, o którym mowa w art. 8 ust. 2 akapit pierwszy lit. m), z uwzględnieniem wyników skoordynowanego na poziomie Unii szacowania ryzyka krytycznych łańcuchów dostaw, o którym mowa w art. 22 dyrektywy (UE) 2022/2555, w celu wsparcia podmiotów Unii w przyjmowaniu skutecznych i proporcjonalnych środków zarządzania ryzykiem w cyberprzestrzeni. |
whereas