Art. 40. - Bezpieczeństwo sieci i usług - Dyrektywa 2018/1972 ustanawiająca Europejski kodeks łączności elektronicznej (wersja przekształcona)

Dzienniki UE

Dz.U.UE.L.2018.321.36

Akt obowiązujący

Wersja od: 20 grudnia 2018 r. do: 17 października 2024 r.

Artykuł 40

Bezpieczeństwo sieci i usług

Państwa członkowskie zapewniają, aby dostawcy udostępniający publiczne sieci łączności elektronicznej lub świadczące publicznie dostępne usługi łączności elektronicznej podejmowały właściwe i proporcjonalne środki techniczne i organizacyjne w razie wystąpienia zagrożenia dla bezpieczeństwa sieci lub usług. Środki te muszą zapewniać poziom bezpieczeństwa proporcjonalny do istniejącego ryzyka z uwzględnieniem aktualnego stanu wiedzy i technologii. W szczególności wprowadza się środki, obejmujące, w stosowanych przypadkach, szyfrowanie, zapobiegające wpływowi i minimalizujące wpływ, jaki na użytkowników i na inne sieci i usługi mogą mieć przypadki stwarzające zagrożenie bezpieczeństwa.

Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA) ułatwia zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 526/2013 46 koordynację państw członkowskich, aby uniknąć powstawania rozbieżnych krajowych wymogów, które mogą tworzyć ryzyko dla bezpieczeństwa i bariery dla rynku wewnętrznego.

Państwa członkowskie zapewniają, aby podmioty udostępniające publiczne sieci łączności elektronicznej lub świadczące publicznie dostępne usługi łączności elektronicznej powiadamiały bez zbędnej zwłoki właściwy organ o incydentach związanych z bezpieczeństwem, które miały znaczący wpływ na funkcjonowanie sieci lub usług.

Aby określić istotność wpływu danego incydentu związanego z bezpieczeństwem, uwzględnia się w szczególności następujące parametry, gdy są dostępne:

W stosownych przypadkach dany właściwy organ informuje właściwe organy innych państw członkowskich oraz ENISA. W przypadku gdy właściwy organ uzna, że ujawnienie incydentu związanego z bezpieczeństwem leży w interesie publicznym, może podać tę informację do wiadomości publicznej lub nałożyć taki obowiązek na podmioty.

Raz w roku właściwy organ przekazuje Komisji i ENISA sprawozdanie podsumowujące otrzymane zgłoszenia i działania podjęte zgodnie z niniejszym ustępem.

Państwa członkowskie zapewniają, aby w przypadku szczególnego i znacznego zagrożenia wystąpieniem incydentu związanego z bezpieczeństwem w publicznych sieciach łączności elektronicznej lub w ramach dostępnych publicznie usług łączności elektronicznej podmioty udostępniające takie sieci lub świadczące takie usługi informowały swoich użytkowników, na których takie zagrożenie może mieć wpływ, o wszelkich możliwych środkach ochronnych lub naprawczych, które użytkownicy mogą podjąć. W stosownych przypadkach podmioty powinny informować swoich użytkowników również o samym zagrożeniu.

Komisja, w jak największym stopniu uwzględniając opinię ENISA, może przyjąć akty wykonawcze określające szczegółowo techniczne i organizacyjne środki, o których mowa w ust. 1, a także okoliczności, format i procedury stosowane w odniesieniu do wymogów dotyczących zgłoszenia na podstawie ust. 2. Opierają się one w jak najszerszym zakresie na normach europejskich i międzynarodowych i nie uniemożliwiają państwom członkowskim przyjmowania dodatkowych wymogów służących osiągnięciu celów określonych w ust. 1.

Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 118 ust. 4.

46 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 526/2013 z dnia 21 maja 2013 r. w sprawie Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA) oraz uchylające rozporządzenie (WE) nr 460/2004 (Dz.U. L 165 z 18.6.2013, s. 41).

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.