keyboard_tab Cyber Resilience Act 2023/2841 PL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artykuł 6 Ramy zarządzania ryzykiem w cyberprzestrzeni, jego nadzorowania i kontroli
- 1 Artykuł 8 Środki zarządzania ryzykiem w cyberprzestrzeni
- 1 Artykuł 9 Plany dotyczące cyberbezpieczeństwa
- 1 Artykuł 14 Wytyczne, zalecenia i wezwania do działania
- 2 Artykuł 17 Współpraca CERT-UE z jego odpowiednikami w państwach członkowskich
- 1 Artykuł 20 Mechanizmy wymiany informacji na temat cyberbezpieczeństwa
- 5 Artykuł 21 Obowiązki w zakresie zgłaszania incydentów
- 1 Artykuł 22 Koordynacja reakcji na incydenty i współpraca
ROZDZIAŁ I
PRZEPISY OGÓLNE
ROZDZIAŁ II
ŚRODKI NA RZECZ WYSOKIEGO WSPÓLNEGO POZIOMU CYBERBEZPIECZEŃSTWA
ROZDZIAŁ III
MIĘDZYINSTYTUCJONALNA RADA DS. CYBERBEZPIECZEŃSTWA
ROZDZIAŁ IV
CERT-UE
ROZDZIAŁ V
OBOWIĄZKI W ZAKRESIE WSPÓŁPRACY I ZGŁASZANIA INCYDENTÓW
ROZDZIAŁ VI
PRZEPISY KOŃCOWE
- podmioty Unii
- sieci i systemy informatyczne
- bezpieczeństwo sieci i systemów informatycznych
- cyberbezpieczeństwo
- kierownictwo najwyższego szczebla
- potencjalne zdarzenie dla cyberbezpieczeństwa
- incydent
- poważny incydent
- incydent w cyberbezpieczeństwie na dużą skalę
- obsługa incydentu
- cyberzagrożenie
- poważne cyberzagrożenie
- podatność
- ryzyko w cyberprzestrzeni
- usługa chmurowa
- unii 71
- cyberbezpieczeństwa 55
- cert-ue 36
- podmiotu 25
- się 24
- incydentów 23
- informacji 20
- art 20
- podmiot 19
- incydent 19
- w zakresie 19
- podstawie 19
- przypadkach 18
- w tym 18
- oraz 18
- w cyberprzestrzeni 17
- w stosownych 15
- dotyczące 13
- może 13
- zbędnej 13
- zwłoki 13
- incydentu 13
- zarządzania 12
- niniejszego 12
- ryzykiem 11
- dotyczy 10
- rozporządzenia 10
- które 10
- podmiotów 10
- informacje 9
- którego 9
- środki 9
- środków 9
- dotyczących 9
- przez 8
- temat 8
- artykuł 8
- podatności 8
- działania 7
- mowa 7
- iicb 7
- sieci 7
- których 7
- ust 7
- dyrektywy 7
- sprawozdanie 7
- incydenty 7
- ramy 7
- podmioty_unii 7
- wymianę 7
Artykuł 6
Ramy zarządzania ryzykiem w cyberprzestrzeni, jego nadzorowania i kontroli
1. Do dnia 8 kwietnia 2025 r. każdy podmiot Unii, po przeprowadzeniu wstępnej analizy cyberbezpieczeństwa, takiej jak audyt, ustanawia wewnętrzne ramy zarządzania ryzykiem w cyberprzestrzeni, jego nadzorowania i kontroli (zwane dalej „Ramami”). Ustanowienie Ram nadzoruje kierownictwo_najwyższego_szczebla podmiotu Unii, które ponosi za nie odpowiedzialność.
2. Ramy obejmują swym zakresem całość jawnego środowiska ICT danego podmiotu Unii (zwanego dalej „środowiskiem ICT”), w tym każde środowisko ICT i sieć technologii operacyjnej znajdujące się w obiektach tego podmiotu, wszelkie aktywa i usługi, które przekazano w ramach outsourcingu do środowisk przetwarzania w chmurze lub których hosting prowadzą strony trzecie, a także urządzenia mobilne, sieci instytucjonalne, sieci biznesowe niepodłączone do internetu oraz wszelkie urządzenia podłączone do tych środowisk. Ramy opierają się na podejściu uwzględniającym wszystkie zagrożenia.
3. Ramy muszą zapewniać wysoki poziom cyberbezpieczeństwa. Ramy określają wewnętrzną politykę w zakresie cyberbezpieczeństwa, w tym cele i priorytety, w odniesieniu do bezpieczeństwa sieci i systemów informatycznych, a także role i obowiązki członków personelu podmiotu Unii, których zadaniem jest zapewnienie skutecznego wdrożenia niniejszego rozporządzenia. Ramy obejmują również mechanizmy pomiaru skuteczności wdrażania.
4. Ramy poddaje się regularnemu przeglądowi w świetle ewolucji ryzyka w cyberprzestrzeni i co najmniej raz na cztery lata. w stosownych przypadkach i na wniosek Międzyinstytucjonalnej Rady ds. Cyberbezpieczeństwa ustanowionej na mocy art. 10 Ramy podmiotu Unii mogą być aktualizowane w oparciu o wskazówki od CERT-UE dotyczące zidentyfikowanych incydentów lub zaobserwowanych ewentualnych luk we wdrażaniu niniejszego rozporządzenia.
5. Kierownictwo najwyższego szczebla każdego podmiotu Unii odpowiada za wdrażanie niniejszego rozporządzenia i nadzoruje wypełnianie przez jego struktury obowiązków związanych z Ramami.
6. W stosownych przypadkach i bez uszczerbku dla swojej odpowiedzialności za wdrażanie niniejszego rozporządzenia kierownictwo_najwyższego_szczebla każdego podmiotu Unii może przekazać określone obowiązki wynikające z niniejszego rozporządzenia urzędnikom wyższego szczebla w rozumieniu art. 29 ust. 2 regulaminu pracowniczego lub innym urzędnikom na równoważnym szczeblu w danym podmiocie Unii. Niezależnie od takiego przekazania obowiązków dany podmiot Unii może pociągnąć kierownictwo_najwyższego_szczebla do odpowiedzialności za naruszenia niniejszego rozporządzenia.
7. Każdy podmiot Unii musi posiadać skuteczne mechanizmy zapewniające, aby odpowiedni odsetek budżetu przewidzianego na ICT był przeznaczany na cyberbezpieczeństwo. Przy ustalaniu tego odsetka należy odpowiednio uwzględnić Ramy.
8. Każdy podmiot Unii wyznacza lokalnego urzędnika ds. cyberbezpieczeństwa lub osobę pełniącą równoważną funkcję, która działa jako pojedynczy punkt kontaktowy tego podmiotu w odniesieniu do wszystkich kwestii związanych z cyberbezpieczeństwem. Lokalny urzędnik ds. cyberbezpieczeństwa ułatwia wdrażanie niniejszego rozporządzenia i regularnie składa sprawozdania na temat stanu wdrożenia bezpośrednio kierownictwu najwyższego szczebla. Bez uszczerbku dla pełnionej przez lokalnego urzędnika ds. cyberbezpieczeństwa funkcji pojedynczego punktu kontaktowego w każdym podmiocie Unii, podmiot Unii może przekazać CERT-UE niektóre zadania lokalnego urzędnika ds. cyberbezpieczeństwa związane z wdrażaniem niniejszego rozporządzenia na podstawie umowy o gwarantowanym poziomie usług zawartej między tym podmiotem Unii a CERT-UE lub zadaniami tymi może podzielić się kilka podmiotów Unii. Jeżeli zadania te przekazuje się CERT-UE, Międzyinstytucjonalna Rada ds. Cyberbezpieczeństwa ustanowiona na mocy art. 10 decyduje, czy świadczenie tej usługi ma być częścią podstawowych usług CERT-UE, uwzględniając zasoby ludzkie i finansowe danego podmiotu Unii. Każdy podmiot Unii bez zbędnej zwłoki powiadamia CERT-UE o wyznaczeniu lokalnego urzędnika ds. cyberbezpieczeństwa oraz wszelkich zmianach w tym zakresie.
CERT-UE tworzy i aktualizuje listę wyznaczonych lokalnych urzędników ds. cyberbezpieczeństwa.
9. Urzędnicy wyższego szczebla w rozumieniu art. 29 ust. 2 regulaminu pracowniczego lub inni urzędnicy na równoważnym szczeblu w każdym podmiocie Unii, a także wszyscy odpowiedni członkowie personelu, których zadaniem jest wdrażanie środków i wypełnianie obowiązków w zakresie zarządzania ryzykiem w cyberprzestrzeni określonych w niniejszym rozporządzeniu, regularnie uczestniczą w specjalnych szkoleniach, aby zdobyć wystarczającą wiedzę i wystarczające umiejętności umożliwiające zrozumienie i ocenę ryzyka w cyberprzestrzeni i praktyk zarządzania nim oraz ich wpływu na działalność danego podmiotu Unii.
Artykuł 8
Środki zarządzania ryzykiem w cyberprzestrzeni
1. Bez zbędnej zwłoki, a w każdym razie do dnia 8 września 2025 r. każdy podmiot Unii pod nadzorem swojego kierownictwa najwyższego szczebla podejmuje odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne, aby zarządzać ryzykiem w cyberprzestrzeni zidentyfikowanym na podstawie Ram oraz aby zapobiec incydentom lub zminimalizować ich skutki. Przy uwzględnieniu najnowszego stanu wiedzy, oraz, w stosownych przypadkach, odpowiednich norm europejskich i międzynarodowych, środki te zapewniają poziom bezpieczeństwa sieci i systemów informatycznych w całym środowisku ICT odpowiedni do istniejącego ryzyka w cyberprzestrzeni. Oceniając proporcjonalność tych środków należycie uwzględnia się stopień narażenia podmiotu Unii na ryzyko_w cyberprzestrzeni, wielkość podmiotu, prawdopodobieństwo wystąpienia incydentów i ich dotkliwość, w tym ich skutki społeczne, gospodarcze i międzyinstytucjonalne.
2. Wdrażając środki zarządzania ryzykiem w cyberprzestrzeni, podmioty_Unii uwzględniają co najmniej następujące kwestie:
| a) | politykę w zakresie cyberbezpieczeństwa, w tym środki niezbędne do osiągnięcia celów i priorytetów, o których mowa w art. 6 i w ust. 3 niniejszego artykułu; |
| b) | politykę analizy ryzyka w cyberprzestrzeni i bezpieczeństwa systemów informatycznych; |
| c) | cele strategiczne w zakresie korzystania z usług chmurowych; |
| d) | w stosownych przypadkach audyt cyberbezpieczeństwa, który może obejmować ocenę ryzyka w cyberprzestrzeni, podatności i cyberzagrożeń oraz testy penetracyjne przeprowadzane regularnie przez zaufanego usługodawcę z sektora prywatnego; |
| e) | wdrożenie zaleceń wynikających z audytów cyberbezpieczeństwa, o których mowa w lit. d), w drodze aktualizacji zasad dotyczących cyberbezpieczeństwa i aktualizacji polityk; |
| f) | kwestie organizacyjne dotyczące cyberbezpieczeństwa, w tym wyznaczenie ról i obowiązków; |
| g) | zarządzanie aktywami, w tym rejestr zasobów ICT i mapy sieci ICT; |
| h) | bezpieczeństwo zasobów ludzkich i kontrolę dostępu; |
| i) | bezpieczeństwo operacji; |
| j) | bezpieczeństwo łączności; |
| k) | nabywanie, rozbudowę i utrzymywanie systemów, w tym polityki postępowania z podatnościami i ich ujawniania; |
| l) | w miarę możliwości politykę dotyczącą przejrzystości kodu źródłowego; |
| m) | bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem relacji między każdym podmiotem Unii a jego bezpośrednimi dostawcami lub usługodawcami; |
| n) | obsługę incydentów oraz współpracę z CERT-UE, na przykład stałe monitorowanie bezpieczeństwa i rejestrowanie danych związanych z bezpieczeństwem; |
| o) | zarządzanie ciągłością działania, na przykład zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzanie kryzysowe; oraz |
| p) | promowanie i rozwój programów edukowania, rozwijania umiejętności, podnoszenia świadomości, ćwiczeń i szkoleń w dziedzinie cyberbezpieczeństwa. |
Do celów akapitu pierwszego lit. m) podmioty_Unii uwzględniają podatności charakterystyczne dla każdego bezpośredniego dostawcy i usługodawcy oraz ogólną jakość produktów i praktyk w zakresie cyberbezpieczeństwa stosowanych przez ich dostawców i usługodawców, w tym ich procedury bezpiecznego opracowywania.
3. Podmioty Unii stosują co najmniej następujące szczegółowe środki zarządzania ryzykiem w cyberprzestrzeni:
| a) | rozwiązania techniczne umożliwiające pracę zdalną i jej utrzymanie; |
| b) | konkretne kroki zmierzające do przejścia na zasady zerowego zaufania; |
| c) | stosowanie uwierzytelniania wieloskładnikowego jako normy we wszystkich sieciach i systemach informatycznych; |
| d) | wykorzystywanie kryptografii i szyfrowania, w szczególności szyfrowania end-to-end, oraz bezpiecznego podpisu cyfrowego; |
| e) | w stosownych przypadkach bezpieczne systemy łączności głosowej, wizualnej i tekstowej oraz bezpieczne systemy łączności w sytuacjach nadzwyczajnych wewnątrz podmiotu Unii; |
| f) | proaktywne środki wykrywania i usuwania złośliwego oprogramowania i oprogramowania szpiegującego; |
| g) | zabezpieczenie łańcucha dostaw oprogramowania poprzez kryteria regulujące opracowywanie i ocenę bezpiecznego oprogramowania; |
| h) | tworzenie i przyjmowanie programów szkoleń w zakresie cyberbezpieczeństwa dla kierownictwa najwyższego szczebla i członków personelu podmiotu Unii, którym powierzono zadanie zapewnienia skutecznego wdrożenia niniejszego rozporządzenia, przy czym te programy szkoleń muszą być współmierne do przewidzianych zadań i oczekiwanych zdolności; |
| i) | regularne szkolenia z zakresu cyberbezpieczeństwa dla członków personelu; |
| j) | w stosownych przypadkach udział w analizach ryzyka dla wzajemnych połączeń między podmiotami Unii; |
| k) | wzmocnienie zasad udzielania zamówień publicznych, aby ułatwić osiągnięcie wysokiego wspólnego poziomu cyberbezpieczeństwa poprzez:
|
Artykuł 9
Plany dotyczące cyberbezpieczeństwa
1. Zgodnie z wnioskami z oceny dojrzałości w zakresie cyberbezpieczeństwa przeprowadzonej na podstawie art. 7, a także z uwzględnieniem aktywów i ryzyka w cyberprzestrzeni zidentyfikowanych dzięki Ramom oraz środków zarządzania ryzykiem w cyberprzestrzeni przyjętych na podstawie art. 8 kierownictwo_najwyższego_szczebla każdego podmiotu Unii zatwierdza – bez zbędnej zwłoki, a w każdym razie do dnia 8 stycznia 2026 r. – plan dotyczący cyberbezpieczeństwa. Plan dotyczący cyberbezpieczeństwa ma na celu zwiększenie ogólnego poziomu cyberbezpieczeństwa danego podmiotu Unii, a tym samym przyczynia się do zwiększenia wysokiego wspólnego poziomu cyberbezpieczeństwa wewnątrz podmiotów Unii. Plan dotyczący cyberbezpieczeństwa obejmuje co najmniej środki zarządzania ryzykiem w cyberprzestrzeni podjęte na podstawie art. 8. Plan dotyczący cyberbezpieczeństwa poddaje się przeglądowi co dwa lata lub, w razie potrzeby, częściej w następstwie ocen dojrzałości w zakresie cyberbezpieczeństwa przeprowadzonej na podstawie art. 7 lub każdej istotnej zmiany Ram.
2. Plan dotyczący cyberbezpieczeństwa zawiera opracowany przez podmiot Unii plan zarządzania kryzysami w cyberprzestrzeni na wypadek poważnych incydentów.
3. Podmiot Unii przedkłada gotowy plan dotyczący cyberbezpieczeństwa Międzyinstytucjonalnej Radzie ds. Cyberbezpieczeństwa ustanowionej na mocy art. 10.
ROZDZIAŁ III
MIĘDZYINSTYTUCJONALNA RADA DS. CYBERBEZPIECZEŃSTWA
Artykuł 14
Wytyczne, zalecenia i wezwania do działania
1. CERT-UE wspiera wdrażanie niniejszego rozporządzenia poprzez:
| a) | wydawanie wezwań do działania opisujących pilne środki w zakresie bezpieczeństwa, do zastosowania których w określonym terminie wzywa się podmioty_Unii; |
| b) | przedstawianie IICB propozycji wytycznych skierowanych do wszystkich podmiotów Unii lub do części z nich; |
| c) | przedstawianie IICB propozycji zaleceń skierowanych do poszczególnych podmiotów Unii. |
W odniesieniu do akapitu pierwszego lit. a) dany podmiot Unii bez zbędnej zwłoki po otrzymaniu wezwania do działania informuje CERT-UE o sposobie zastosowania pilnych środków w zakresie bezpieczeństwa.
2. Wytyczne i zalecenia mogą obejmować:
| a) | wspólne metody i model oceny dojrzałości podmiotów Unii w zakresie cyberbezpieczeństwa, w tym odpowiednie skale lub kluczowe wskaźniki skuteczności działania, służące jako punkt odniesienia dla stałych postępów w zakresie cyberbezpieczeństwa we wszystkich podmiotach Unii i ułatwiające traktowanie priorytetowo poszczególnych obszarów cyberbezpieczeństwa i środków z zakresu cyberbezpieczeństwa z uwzględnieniem stanu cyberbezpieczeństwa w poszczególnych podmiotach; |
| b) | ustalenia dotyczące zarządzania ryzykiem w cyberprzestrzeni i ustalenia dotyczące środków zarządzania ryzykiem w cyberprzestrzeni lub usprawnienia tych elementów; |
| c) | ustalenia dotyczące ocen dojrzałości w zakresie cyberbezpieczeństwa i planów dotyczących cyberbezpieczeństwa; |
| d) | w stosownych przypadkach wykorzystywanie wspólnej technologii, architektury, otwartego oprogramowania i powiązanych najlepszych praktyk w celu osiągnięcia interoperacyjności i wspólnych norm, w tym skoordynowanego podejścia do bezpieczeństwa łańcucha dostaw; |
| e) | w stosownych przypadkach informacje ułatwiające posługiwanie się narzędziami udzielania zamówień realizowanych na zasadzie współpracy na zakup odpowiednich usług i produktów z zakresu cyberbezpieczeństwa od zewnętrznych dostawców; |
| f) | ustalenia dotyczące wymiany informacji na podstawie art. 20. |
Artykuł 17
Współpraca CERT-UE z jego odpowiednikami w państwach członkowskich
1. Bez zbędnej zwłoki CERT-UE współpracuje i prowadzi wymianę informacji ze swoimi odpowiednikami z państw członkowskich, w szczególności z CSIRT wyznaczonymi lub ustanowionymi na podstawie art. 10 dyrektywy (UE) 2022/2555 lub w stosownych przypadkach z właściwymi organami i z pojedynczymi punktami kontaktowymi wyznaczonymi lub ustanowionymi na podstawie art. 8 tej dyrektywy, w zakresie incydentów, cyberzagrożeń, podatności, potencjalnych zdarzeń dla cyberbezpieczeństwa, ewentualnych środków zaradczych oraz najlepszych praktyk, jak również wszystkich kwestii istotnych dla lepszej ochrony środowisk ICT podmiotów Unii, w tym za pośrednictwem sieci CSIRT ustanowionej na podstawie art. 15 dyrektywy (UE) 2022/2555. CERT-UE wspiera Komisję w ramach EU-CyCLONe, ustanowionego na podstawie art. 16 dyrektywy (UE) 2022/2555, w skoordynowanym zarządzaniu kryzysami i incydentami w cyberbezpieczeństwie na dużą skalę.
2. W przypadku gdy CERT-UE dowie się o wystąpieniu znaczącego incydentu na terytorium danego państwa członkowskiego, niezwłocznie powiadamia on właściwego odpowiednika w tym państwie członkowskim, zgodnie z ust. 1.
3. Jeżeli dane osobowe są chronione zgodnie z mającym zastosowanie prawem Unii dotyczącym ochrony danych, CERT-UE bez zbędnej zwłoki, wymienia z odpowiednikami z państw członkowskich stosowne informacje dotyczące konkretnych incydentów, aby ułatwić wykrywanie podobnych cyberzagrożeń lub incydentów lub by przyczynić się do analizy incydentu, co nie wymaga zgody podmiotu Unii, którego dotyczy incydent. CERT-UE wymienia informacje dotyczące konkretnych incydentów, które ujawniają tożsamość celu, wyłącznie w jednej z następujących sytuacji
| a) | podmiot Unii, którego dotyczy incydent, wyraził zgodę; |
| b) | podmiot Unii, którego dotyczy incydent, nie wyraził zgody przewidzianej w lit. a), lecz ujawnienie tożsamości tego podmiotu Unii mogłoby zwiększyć prawdopodobieństwo uniknięcia incydentów lub złagodzenia ich skutków w innych miejscach; |
| c) | podmiot Unii, którego dotyczy incydent, już podał do wiadomości publicznej, że padł ofiarą incydentu. |
Decyzje o wymianie informacji dotyczących konkretnego incydentu, które ujawniają tożsamość celu, w który wymierzony był incydent, podjęte na podstawie akapitu pierwszego lit. b) zatwierdza szef CERT-UE. Przed wydaniem takiej decyzji CERT-UE kontaktuje się na piśmie z podmiotem Unii, którego dotyczy incydent, wyjaśniając, w jaki sposób ujawnienie tożsamości podmiotu pomogłoby uniknąć incydentów lub złagodzić ich skutki w innych miejscach. Szef CERT-UE przedstawia wyjaśnienie i wyraźnie zwraca się do podmiotu Unii o wydanie w określonym terminie oświadczenia, czy wyraża zgodę. Szef CERT-UE informuje również podmiot Unii, że w świetle przedstawionych wyjaśnień zastrzega on sobie prawo do ujawnienia informacji nawet pomimo braku zgody. Przed ujawnieniem informacji informuje się o tym podmiot Unii, którego dotyczy incydent.
Artykuł 20
Mechanizmy wymiany informacji na temat cyberbezpieczeństwa
1. Podmioty Unii mogą dobrowolnie zgłaszać CERT-UE incydenty, cyberzagrożenia, potencjalne zdarzenia dla cyberbezpieczeństwa i podatności, które ich dotyczą, i przekazywać CERT-UE informacje na ten temat. CERT-UE zapewnia dostępność skutecznych środków łączności, charakteryzujących się wysokim poziomem identyfikowalności, poufności i niezawodności, aby ułatwić wymianę informacji z podmiotami Unii. Przy rozpatrywaniu zgłoszeń CERT-UE może traktować zgłoszenia obowiązkowe priorytetowo względem zgłoszeń dobrowolnych. Bez uszczerbku dla art. 12 dobrowolne zgłoszenie nie może skutkować nałożeniem na zgłaszający podmiot Unii żadnych dodatkowych obowiązków, którym by nie podlegał, gdyby nie dokonał takiego zgłoszenia.
2. W celu realizacji swojej misji i zadań powierzonych na podstawie art. 13, CERT-UE może zwracać się do podmiotów Unii o przekazanie mu informacji z ich odpowiednich rejestrów zasobów systemów ICT, w tym informacji dotyczących cyberzagrożeń, potencjalnych zdarzeń dla cyberbezpieczeństwa, podatności, oznak naruszenia integralności systemu, ostrzeżeń dotyczących cyberbezpieczeństwa i zaleceń dotyczących konfiguracji narzędzi cyberbezpieczeństwa do celów wykrywania incydentów. Podmiot Unii, do którego się zwrócono, bez zbędnej zwłoki przekazuje wymagane informacje oraz ich wszelkie późniejsze aktualizacje.
3. CERT-UE może prowadzić z podmiotami Unii wymianę informacji dotyczących konkretnych incydentów ujawniających tożsamość podmiotu Unii, którego dotyczy incydent pod warunkiem, że podmiotu Unii, którego dotyczy incydent, wyrazi na to zgodę. Jeżeli podmiot Unii odmawia zgody, przedstawia CERT-UE uzasadnienie tej decyzji.
4. Podmioty Unii przekazują – na żądanie – Parlamentowi Europejskiemu i Radzie informacje na temat realizacji planów dotyczących cyberbezpieczeństwa.
5. IICB lub CERT-UE, stosownie do przypadku, udostępniają – na żądanie – Parlamentowi Europejskiemu i Radzie wytyczne, zalecenia i wezwania do działania.
6. Obowiązki w zakresie wymiany informacji określone w niniejszym artykule nie obejmują:
| a) | EUCI; |
| b) | informacji, których dalsze rozpowszechnianie zostało wykluczone za pomocą widocznego oznakowania, chyba że wyraźnie zezwolono na ich wymianę z CERT-UE. |
Artykuł 21
Obowiązki w zakresie zgłaszania incydentów
1. Incydent uznaje się za znaczący, jeżeli:
| a) | spowodował lub może spowodować dotkliwe zakłócenia operacyjne w funkcjonowaniu lub straty finansowe dla danego podmiotu Unii; |
| b) | wpłynął lub może wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe i niemajątkowe. |
2. Podmioty Unii przedkładają CERT-UE:
| a) | bez zbędnej zwłoki, a w każdym razie w ciągu 24 godzin od powzięcia wiedzy o znaczącym incydencie – wczesne ostrzeżenie, w którym w stosownych przypadkach wskazuje się, że znaczący incydent został przypuszczalnie wywołany działaniem bezprawnym lub działaniem w złym zamiarze lub że mógł wywrzeć wpływ międzyinstytucjonalny lub transgraniczny; |
| b) | bez zbędnej zwłoki, a w każdym razie w ciągu 72 godzin od powzięcia wiedzy o znaczącym incydencie – zgłoszenie incydentu, w stosownych przypadkach wraz z aktualizacją informacji, o których mowa w lit. a), i ze wskazaniem wstępnej oceny znaczącego incydentu, w tym jego dotkliwości i skutków, a w stosownych przypadkach także oznak naruszenia integralności systemu; |
| c) | na wniosek CERT-UE – sprawozdanie okresowe na temat odpowiednich aktualizacji statusu; |
| d) | nie później niż miesiąc po zgłoszeniu incydentu na podstawie lit. b) – sprawozdanie końcowe zawierające następujące elementy:
|
| e) | jeżeli incydent nie zakończył się w terminie składania sprawozdania końcowego, o którym mowa w lit. d) – sprawozdanie z postępu prac w danym momencie oraz sprawozdanie końcowe w terminie jednego miesiąca od zakończenia przez nie obsługi incydentu. |
3. Podmiot Unii bez zbędnej zwłoki, a w każdym razie w ciągu 24 godzin od powzięcia wiedzy o znaczącym incydencie, informuje o wystąpieniu znaczącego incydentu wszelkie stosowne odpowiedniki krajowe, o których mowa w art. 17 ust. 1, w państwie członkowskim, w którym podmiot ten ma siedzibę.
4. Podmioty Unii zgłaszają między innymi wszelkie informacje umożliwiające CERT-UE określenie wszelkiego wpływu międzyinstytucjonalnego, wpływu na przyjmujące państwo członkowskie lub transgranicznego wpływu znaczącego incydentu. Bez uszczerbku dla art. 12 samo zgłoszenie nie nakłada na podmiot Unii zwiększonej odpowiedzialności.
5. W stosownych przypadkach podmioty_Unii bez zbędnej zwłoki powiadamiają użytkowników sieci i systemów informatycznych, których dotyczy incydent, lub użytkowników innych elementów środowiska ICT, których potencjalnie dotyczy znaczący incydent lub poważne cyberzagrożenie, oraz którzy w stosownych przypadkach mają potrzebę podjęcia środków łagodzących, o wszelkich środkach lub środkach zaradczych, które użytkownicy ci mogą zastosować w reakcji na ten incydent lub to zagrożenie. w stosownych przypadkach podmioty_Unii informują tych użytkowników o samym poważnym cyberzagrożeniu.
6. Jeżeli znaczący incydent lub poważne cyberzagrożenie mają wpływ na sieć i system informatyczny lub element środowiska ICT podmiotu Unii, które jest celowo powiązane ze środowiskiem ICT innego podmiotu Unii, CERT-UE wydaje stosowne ostrzeżenie dotyczące cyberbezpieczeństwa.
7. Podmioty Unii, na wniosek CERT-UE, przekazują mu bez zbędnej zwłoki informacje cyfrowe wygenerowane w wyniku korzystania z urządzeń elektronicznych uczestniczących w incydentach, które u nich wystąpiły. CERT-UE może dodatkowo sprecyzować, jakiego rodzaju informacji cyfrowych potrzebuje do celów orientacji sytuacyjnej i zareagowania na incydenty.
8. Co trzy miesiące CERT-UE przedkłada IICB, ENISA, EU INTCEN i sieci CSIRT sprawozdanie podsumowujące zawierające zanonimizowane i zagregowane dane dotyczące znaczących incydentów, incydentów, cyberzagrożeń, potencjalnych zdarzeń dla cyberbezpieczeństwa i podatności na podstawie art. 20 oraz znaczących incydentów zgłoszonych na podstawie ust. 2 niniejszego artykułu. To sprawozdanie podsumowujące stanowi wkład w przedstawiane co dwa lata sprawozdanie na temat stanu cyberbezpieczeństwa w Unii przyjmowane na podstawie art. 18 dyrektywy (UE) 2022/2555.
9. Do dnia 8 lipca 2024 r. IICB wyda wytyczne lub zalecenia doprecyzowujące zasady składania, format i treść zgłoszeń na podstawie niniejszego artykułu. Przygotowując takie wytyczne lub zalecenia, IICB uwzględnia wszelkie akty wykonawcze przyjęte na podstawie art. 23 ust. 11 dyrektywy (UE) 2022/2555 określające rodzaj informacji, format i procedurę zgłoszeń. CERT-UE rozpowszechnia odpowiednie szczegółowe informacje techniczne w celu umożliwienia proaktywnego wykrywania incydentów, reagowania na nie lub wprowadzania środków łagodzących ich skutki przez podmioty_Unii.
10. Obowiązki w zakresie zgłaszania incydentów określone w niniejszym artykule nie obejmują:
| a) | EUCI; |
| b) | informacji, których dalsze rozpowszechnianie zostało wykluczone za pomocą widocznego oznakowania, chyba że wyraźnie zezwolono na ich wymianę z CERT-UE. |
Artykuł 22
Koordynacja reakcji na incydenty i współpraca
1. Działając jako punkt wymiany informacji na temat cyberbezpieczeństwa i koordynacji reakcji na incydenty, CERT-UE ułatwia wymianę informacji dotyczących incydentów, cyberzagrożeń, podatności i potencjalnych zdarzeń dla cyberbezpieczeństwa między:
| a) | podmiotami Unii; |
| b) | odpowiednikami, o których mowa w art. 17 i 18. |
2. CERT-UE, w stosownych przypadkach w ścisłej współpracy w ENISA, ułatwia koordynację między podmiotami Unii w zakresie reagowania na incydenty, co obejmuje:
| a) | przyczynianie się do spójnej komunikacji zewnętrznej; |
| b) | wzajemne wsparcie, takie jak wymiana informacji istotnych dla podmiotów Unii lub udzielanie pomocy, w stosownych przypadkach bezpośrednio na miejscu; |
| c) | optymalne wykorzystanie zasobów operacyjnych; |
| d) | koordynację z innymi mechanizmami reagowania kryzysowego na poziomie Unii. |
3. CERT-UE, w ścisłej współpracy z ENISA, wspiera podmioty_Unii w zakresie orientacji sytuacyjnej w odniesieniu do incydentów, cyberzagrożeń, podatności i potencjalnych zdarzeń dla cyberbezpieczeństwa, a także w dzieleniu się istotnymi postępami w dziedzinie cyberbezpieczeństwa.
4. Do dnia 8 stycznia 2025 r. IICB na podstawie propozycji CERT-UE przyjmie wytyczne lub zalecenia dotyczące koordynacji reagowania na incydenty i współpracy w tym zakresie w odniesieniu do znaczących incydentów. w przypadku podejrzenia, że incydent nosi znamiona przestępstwa, CERT-UE bez zbędnej zwłoki doradza, jak zgłosić incydent organom ścigania.
5. Na specjalny wniosek państwa członkowskiego i za zgodą zainteresowanych podmiotów Unii CERT-UE może zwrócić się do ekspertów z wykazu, o którym mowa w art. 23 ust. 4, o udział w reakcji na poważny incydent mający wpływ na to państwo członkowskie lub na incydent w cyberbezpieczeństwie na dużą skalę zgodnie z art. 15 ust. 3 lit. g) dyrektywy (UE) 2022/2555. Szczegółowe przepisy dotyczące dostępu podmiotów Unii do ekspertów technicznych oraz korzystania z ich usług są zatwierdzane przez IICB na wniosek CERT-UE.
whereas