Tytuł 5 - BEZPIECZEŃSTWO - Dyrektywa 2018/1972 ustanawiająca Europejski kodeks łączności elektronicznej (wersja przekształcona)

Dzienniki UE

Dz.U.UE.L.2018.321.36

Akt obowiązujący
Wersja od: 20 grudnia 2018 r. do: 17 października 2024 r.

TYTUŁ  V

BEZPIECZEŃSTWO

Artykuł  40

Bezpieczeństwo sieci i usług

1. 
Państwa członkowskie zapewniają, aby dostawcy udostępniający publiczne sieci łączności elektronicznej lub świadczące publicznie dostępne usługi łączności elektronicznej podejmowały właściwe i proporcjonalne środki techniczne i organizacyjne w razie wystąpienia zagrożenia dla bezpieczeństwa sieci lub usług. Środki te muszą zapewniać poziom bezpieczeństwa proporcjonalny do istniejącego ryzyka z uwzględnieniem aktualnego stanu wiedzy i technologii. W szczególności wprowadza się środki, obejmujące, w stosowanych przypadkach, szyfrowanie, zapobiegające wpływowi i minimalizujące wpływ, jaki na użytkowników i na inne sieci i usługi mogą mieć przypadki stwarzające zagrożenie bezpieczeństwa.

Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA) ułatwia zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 526/2013 46  koordynację państw członkowskich, aby uniknąć powstawania rozbieżnych krajowych wymogów, które mogą tworzyć ryzyko dla bezpieczeństwa i bariery dla rynku wewnętrznego.

2. 
Państwa członkowskie zapewniają, aby podmioty udostępniające publiczne sieci łączności elektronicznej lub świadczące publicznie dostępne usługi łączności elektronicznej powiadamiały bez zbędnej zwłoki właściwy organ o incydentach związanych z bezpieczeństwem, które miały znaczący wpływ na funkcjonowanie sieci lub usług.

Aby określić istotność wpływu danego incydentu związanego z bezpieczeństwem, uwzględnia się w szczególności następujące parametry, gdy są dostępne:

a)
liczbę użytkowników, których dotyczy incydent związany z bezpieczeństwem;
b)
czas trwania incydentu związanego z bezpieczeństwem;
c)
geograficzny zasięg obszaru dotkniętego incydentem związanym z bezpieczeństwem;
d)
zakres wpływu na funkcjonowanie sieci lub usługi;
e)
zakres wpływu na działalność ekonomiczną i społeczną.

W stosownych przypadkach dany właściwy organ informuje właściwe organy innych państw członkowskich oraz ENISA. W przypadku gdy właściwy organ uzna, że ujawnienie incydentu związanego z bezpieczeństwem leży w interesie publicznym, może podać tę informację do wiadomości publicznej lub nałożyć taki obowiązek na podmioty.

Raz w roku właściwy organ przekazuje Komisji i ENISA sprawozdanie podsumowujące otrzymane zgłoszenia i działania podjęte zgodnie z niniejszym ustępem.

3. 
Państwa członkowskie zapewniają, aby w przypadku szczególnego i znacznego zagrożenia wystąpieniem incydentu związanego z bezpieczeństwem w publicznych sieciach łączności elektronicznej lub w ramach dostępnych publicznie usług łączności elektronicznej podmioty udostępniające takie sieci lub świadczące takie usługi informowały swoich użytkowników, na których takie zagrożenie może mieć wpływ, o wszelkich możliwych środkach ochronnych lub naprawczych, które użytkownicy mogą podjąć. W stosownych przypadkach podmioty powinny informować swoich użytkowników również o samym zagrożeniu.
4. 
Przepisy niniejszego artykułu nie naruszają przepisów rozporządzenia (UE) 2016/679 oraz dyrektywy 2002/58/WE.
5. 
Komisja, w jak największym stopniu uwzględniając opinię ENISA, może przyjąć akty wykonawcze określające szczegółowo techniczne i organizacyjne środki, o których mowa w ust. 1, a także okoliczności, format i procedury stosowane w odniesieniu do wymogów dotyczących zgłoszenia na podstawie ust. 2. Opierają się one w jak najszerszym zakresie na normach europejskich i międzynarodowych i nie uniemożliwiają państwom członkowskim przyjmowania dodatkowych wymogów służących osiągnięciu celów określonych w ust. 1.

Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 118 ust. 4.

Artykuł  41

Wdrożenie i egzekwowanie

1. 
Państwa członkowskie zapewniają, aby w celu wdrożenia art. 40 właściwe organy były uprawnione do wydawania wiążących instrukcji - w tym instrukcji dotyczących środków wymaganych, aby zaradzić incydentowi związanemu z bezpieczeństwem lub aby zapobiec wystąpieniu takiego incydentu, gdy zidentyfikowano znaczne zagrożenie, oraz terminów wdrożenia - podmiotom udostępniającym publiczne sieci łączności elektronicznej lub świadczącym publicznie dostępne usługi łączności elektronicznej.
2. 
Państwa członkowskie zapewniają, aby właściwe organy były uprawnione do wymagania od podmiotów udostępniających publiczne sieci łączności elektronicznej lub świadczących publicznie dostępne usługi łączności elektronicznej:
a)
dostarczania informacji potrzebnych do oceny bezpieczeństwa ich sieci i usług, w tym do oceny udokumentowanych polityk bezpieczeństwa; oraz
b)
poddania się audytowi bezpieczeństwa przeprowadzanemu przez wykwalifikowany niezależny podmiot lub właściwy organ i udostępnienia właściwemu organowi wyników takiego audytu. Koszty wspomnianego audytu ponosi dostawca.
3. 
Państwa członkowskie zapewniają, aby właściwe organy posiadały wszelkie uprawnienia niezbędne do badania przypadków nieprzestrzegania wymogów oraz ich wpływu na bezpieczeństwo sieci i usług.
4. 
Państwa członkowskie zapewniają, aby - w celu wdrożenia przepisów art. 40 - właściwe organy dysponowały uprawnieniami pozwalającymi im zwracać się o pomoc do Zespołu Reagowania na Incydenty związane z Bezpieczeństwem Komputerowym (CSIRT) wyznaczonego na podstawie art. 9 dyrektywy (UE) 2016/1148 w związku z problemami wchodzącymi w zakres zadań CSIRT zgodnie z pkt 2 załącznika I do tej dyrektywy.
5. 
Właściwe organy, w stosownych przypadkach oraz zgodnie z prawem krajowym, konsultują się i współpracują z odpowiednimi krajowymi organami ścigania, właściwymi organami w rozumieniu art. 8 ust. 1 dyrektywy (UE) 2016/1148 oraz krajowymi organami ds. ochrony danych.
46 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 526/2013 z dnia 21 maja 2013 r. w sprawie Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA) oraz uchylające rozporządzenie (WE) nr 460/2004 (Dz.U. L 165 z 18.6.2013, s. 41).

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .