Art. 26. - Zarządzanie ryzykiem w cyberprzestrzeni na poziomie podmiotu - Rozporządzenie delegowane 2024/1366 uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/943 poprzez ustanowienie kodeksu sieci dotyczącego zasad sektorowych w zakresie aspektów cyberbezpieczeństwa w transgranicznych przepływach energii elektrycznej

Dzienniki UE

Dz.U.UE.L.2024.1366

Akt obowiązujący
Wersja od: 24 maja 2024 r.
Artykuł  26

Zarządzanie ryzykiem w cyberprzestrzeni na poziomie podmiotu

1. 
Każdy podmiot o dużym wpływie i podmiot o krytycznym wpływie zidentyfikowany przez właściwe organy na podstawie art. 24 ust. 1 wykonuje czynności w zakresie zarządzania ryzykiem w cyberprzestrzeni w odniesieniu do wszystkich swoich aktywów w swoim obszarze o dużym wpływie i obszarze o krytycznym wpływie. Każdy podmiot o dużym wpływie i podmiot o krytycznym wpływie co trzy lata wykonuje czynności w zakresie zarządzania ryzykiem obejmujące etapy, o których mowa w ust. 2.
2. 
Każdy podmiot o dużym wpływie i podmiot o krytycznym wpływie opiera swoje zarządzanie ryzykiem w cyberprzestrzeni na podejściu ukierunkowanym na ochronę jego sieci i systemów informatycznych, które obejmuje następujące etapy:
a)
ustalenie kontekstu;
b)
ocena ryzyka w cyberprzestrzeni na poziomie podmiotu;
c)
zaradzenie ryzyku w cyberprzestrzeni;
d)
akceptacja ryzyka w cyberprzestrzeni.
3. 
Na etapie ustalania kontekstu każdy podmiot o dużym wpływie i podmiot o krytycznym wpływie:
a)
określa zakres oceny ryzyka w cyberprzestrzeni, w tym procesy o dużym wpływie i procesy o krytycznym wpływie określone przez ENTSO energii elektrycznej i organizację OSD UE oraz inne procesy, które mogą być celem cybera- taków, o dużym wpływie lub krytycznym wpływie na transgraniczne przepływy energii elektrycznej; oraz
b)
określa kryteria oceny ryzyka i akceptacji ryzyka zgodnie z macierzą wpływu ryzyka, które podmioty i właściwe organy stosują do oceny ryzyka w cyberprzestrzeni i w ramach metodyk oceny ryzyka w cyberprzestrzeni na poziomie Unii, na szczeblu regionalnym i na poziomie państw członkowskich, opracowanych przez ENTSO energii elektrycznej i organizację OSD UE zgodnie z art. 19 ust. 2.
4. 
Na etapie oceny ryzyka w cyberprzestrzeni każdy podmiot o dużym wpływie i podmiot o krytycznym wpływie:
a)
identyfikuje ryzyko w cyberprzestrzeni, biorąc pod uwagę:
(i)
wszystkie aktywa wykorzystywane w ogólnounijnych procesach o dużym wpływie i procesach o krytycznym wpływie wraz z oceną ewentualnego wpływu na transgraniczne przepływy energii elektrycznej, jeżeli aktywa te są zagrożone;
(ii)
możliwe cyberzagrożenia z uwzględnieniem cyberzagrożeń zidentyfikowanych w najnowszym kompleksowym sprawozdaniu z oceny ryzyka w cyberprzestrzeni w odniesieniu do transgranicznych przepływów energii elektrycznej. o którym mowa w art. 23, oraz zagrożenia dla łańcucha dostaw;
(iii)
podatności, w tym podatności dotychczasowych systemów;
(iv)
możliwe scenariusze cyberataków, w tym cyberataków mających wpływ na bezpieczeństwo pracy systemu elektroenergetycznego i zakłócających transgraniczne przepływy energii elektrycznej;
(v)
odpowiednie oceny ryzyka przeprowadzane na poziomie Unii, w tym skoordynowane oceny ryzyka krytycznych łańcuchów dostaw zgodnie z art. 22 dyrektywy (UE) 2022/2555, oraz
(vi)
wdrożone kontrole;
b)
analizuje prawdopodobieństwo i konsekwencje ryzyka w cyberprzestrzeni określonego w lit. a) oraz określa poziom ryzyka w cyberprzestrzeni przy użyciu macierzy wpływu ryzyka stosowanej do oceny ryzyka w cyberprzestrzeni w ramach metodyk oceny ryzyka w cyberprzestrzeni na szczeblu unijnym, regionalnym i na szczeblu państw członkowskich, opracowanych przez OSP, przy wsparciu ENTSO energii elektrycznej i we współpracy z organizacją OSD UE zgodnie z art. 19 ust. 2;
c)
klasyfikuje aktywa zgodnie z możliwymi konsekwencjami naruszenia cyberbezpieczeństwa i określa obszar o dużym wpływie i obszar o krytycznym wpływie, stosując następujące etapy:
(i)
przeprowadza, w odniesieniu do wszystkich procesów objętych oceną ryzyka w cyberprzestrzeni, ocenę skutków dla działalności z wykorzystaniem ECII;
(ii)
klasyfikuje proces jako proces o dużym wpływie lub proces o krytycznym wpływie, jeżeli jego ECII przekracza, odpowiednio, próg dużego wpływu lub próg krytycznego wpływu;
(iii)
określa wszystkie aktywa o dużym wpływie i aktywa o krytycznym wpływie jako aktywa potrzebne do, odpowiednio, procesów o dużym wpływie i procesów o krytycznym wpływie;
(iv)
określa obszary o dużym wpływie i obszary o krytycznym wpływie obejmujące, odpowiednio, wszystkie aktywa o dużym wpływie i aktywa o krytycznym wpływie, tak aby można było kontrolować dostęp do tych obszarów;
d)
ocenia czynniki ryzyka w cyberbezpieczeństwie, nadając im priorytet za pomocą kryteriów oceny ryzyka i kryteriów akceptacji ryzyka, o których mowa w ust. 3 lit. b).
5. 
Na etapie zaradzenia ryzyku w cyberprzestrzeni każdy podmiot o dużym wpływie i podmiot o krytycznym wpływie sporządza plan ograniczania ryzyka na poziomie podmiotu, wybierając warianty zaradzenia ryzyku odpowiednie do zarządzania ryzykiem i identyfikacji pozostałego ryzyka.
6. 
Na etapie akceptacji ryzyka w cyberprzestrzeni każdy podmiot o dużym wpływie i podmiot o krytycznym wpływie podejmuje decyzję, czy zaakceptować ryzyko rezydualne, na podstawie kryteriów akceptacji ryzyka ustanowionych w ust. 3 lit. b).
7. 
Każdy podmiot o dużym wpływie i podmiot o krytycznym wpływie rejestruje aktywa zidentyfikowane w ust. 1 w wykazie aktywów. Ten wykaz aktywów nie stanowi części sprawozdania z oceny ryzyka.
8. 
Podczas kontroli właściwy organ może przeprowadzić inspekcję aktywów znajdujących się w wykazie.

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .