Art. 3. - Definicje - Rozporządzenie delegowane 2024/1366 uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/943 poprzez ustanowienie kodeksu sieci dotyczącego zasad sektorowych w zakresie aspektów cyberbezpieczeństwa w transgranicznych przepływach energii elektrycznej

Dzienniki UE

Dz.U.UE.L.2024.1366

Akt obowiązujący
Wersja od: 24 maja 2024 r.
Artykuł  3

Definicje

Stosuje się następujące definicje:

1)
"aktywa" oznaczają wszelkie informacje, oprogramowanie lub sprzęt w sieci i systemach informatycznych, materialne lub niematerialne, które mają wartość dla osoby fizycznej, organizacji lub rządu;
2)
"właściwy organ ds. gotowości na wypadek zagrożeń" oznacza właściwy organ wyznaczony zgodnie z art. 3 rozporządzenia (UE) 2019/941;
3)
"zespół reagowania na incydenty bezpieczeństwa komputerowego" oznacza zespół odpowiedzialny za postępowanie w przypadku wystąpienia ryzyka i incydentów zgodnie z art. 10 dyrektywy (UE) 2022/2555;
4)
"aktywa o krytycznym wpływie" oznaczają aktywa, które są niezbędne do przeprowadzenia procesu o krytycznym wpływie;
5)
"podmiot o krytycznym wpływie" oznacza podmiot, który przeprowadza proces o krytycznym wpływie i który został zidentyfikowany przez właściwe organy zgodnie z art. 24;
6)
"obszar o krytycznym wpływie" oznacza obszar określony przez podmiot, o którym mowa w art. 2 ust. 1, obejmujący wszystkie aktywa o krytycznym wpływie i na którym można kontrolować dostęp do tych aktywów i który określa zakres stosowania zaawansowanych kontroli cyberbezpieczeństwa;
7)
"proces o krytycznym wpływie" oznacza proces biznesowy przeprowadzany przez podmiot, w przypadku którego wskaźniki wpływu na cyberbezpieczeństwo w odniesieniu do energii elektrycznej przekraczają próg krytycznego wpływu;
8)
"próg krytycznego wpływu" oznacza wartości wskaźników wpływu na cyberbezpieczeństwo w odniesieniu do energii elektrycznej, o których mowa w art. 19 ust. 3 lit. b), powyżej których cyberatak na proces biznesowy spowoduje krytyczne zakłócenie transgranicznych przepływów energii elektrycznej;
9)
"kluczowy dostawca usług ICT" oznacza podmiot świadczący usługę ICT lub realizujący proces ICT, które są niezbędne do przeprowadzenia procesu o krytycznym wpływie lub procesu o dużym wpływie dla aspektów cyberbez- pieczeństwa w transgranicznych przepływach energii elektrycznej i które, jeśli zostaną zagrożone, mogą spowodować cyberatak o znaczeniu przekraczającym próg krytycznego wpływu lub próg dużego wpływu;
10)
"transgraniczny przepływ energii elektrycznej" oznacza przepływ transgraniczny zdefiniowany w art. 2 pkt 3 rozporządzenia (UE) 2019/943;
11)
"cyberatak" oznacza incydent zdefiniowany w art. 3 pkt 14 rozporządzenia (UE) 2022/2554;
12)
"cyberbezpieczeństwo" oznacza cyberbezpieczeństwo zdefiniowane w art. 2 pkt 1 rozporządzenia (UE) 2019/881;
13)
"kontrola cyberbezpieczeństwa" oznacza działania lub procedury przeprowadzane w celu uniknięcia i wykrywania ryzyka w cyberbezpieczeństwie, przeciwdziałania mu lub minimalizowania go;
14)
"incydent w cyberbezpieczeństwie" oznacza incydent zdefiniowany w art. 6 pkt 6 dyrektywy (UE) 2022/2555;
15)
"system zarządzania cyberbezpieczeństwem" oznacza politykę, procedury, wytyczne oraz powiązane zasoby i działania, zarządzane łącznie przez podmiot, służące ochronie jego zasobów informacyjnych przed cyberzagrożeniami poprzez systematyczne ustanawianie, wdrażanie, obsługę, monitorowanie, przeglądy, utrzymywanie i poprawę bezpieczeństwa sieci i systemów informatycznych organizacji;
16)
"centrum operacyjne cyberbezpieczeństwa" oznacza specjalne centrum, w którym zespół techniczny składający się z co najmniej jednego eksperta, korzystający z systemów informatycznych w zakresie cyberbezpieczeństwa, wykonuje zadania związane z bezpieczeństwem (usługi centrum operacyjnego cyberbezpieczeństwa), takie jak postępowanie w przypadku cyberataków i błędów konfiguracji bezpieczeństwa, monitorowanie bezpieczeństwa, analiza dzienników i wykrywanie cyberataków;
17)
"cyberzagrożenie" oznacza cyberzagrożenie zdefiniowane w art. 2 pkt 8 rozporządzenia (UE) 2019/881;
18)
"zarządzanie podatnościami wpływającymi na cyberbezpieczeństwo" oznacza praktykę identyfikowania i eliminowania podatności;
19)
"podmiot" oznacza podmiot zdefiniowany w art. 6 pkt 38 dyrektywy (UE) 2022/2555;
20)
"wczesne ostrzeżenie" oznacza informacje niezbędne do wskazania, czy istnieje podejrzenie, że poważny incydent jest spowodowany czynami niezgodnymi z prawem lub popełnionymi w złym zamiarze, oraz czy może on mieć skutki transgraniczne;
21)
"wskaźnik wpływu na cyberbezpieczeństwo w odniesieniu do energii elektrycznej" ("ECII") oznacza wskaźnik lub skalę klasyfikacji, która klasyfikuje potencjalne konsekwencje cyberataków dla procesów biznesowych związanych z transgranicznymi przepływami energii elektrycznej;
22)
"europejski program certyfikacji cyberbezpieczeństwa" oznacza program zdefiniowany w art. 2 pkt 9 rozporządzenia (UE) 2019/881;
23)
"podmiot o dużym wpływie" oznacza podmiot, który przeprowadza proces o dużym wpływie i który został zidentyfikowany przez właściwe organy zgodnie z art. 24;
24)
"proces o dużym wpływie" oznacza proces biznesowy przeprowadzany przez podmiot, w przypadku którego wskaźniki wpływu na cyberbezpieczeństwo w odniesieniu do energii elektrycznej przekraczają próg dużego wpływu;
25)
"aktywa o dużym wpływie" oznaczają aktywa, które są niezbędne do przeprowadzenia procesu o dużym wpływie;
26)
"próg dużego wpływu" oznacza wartości wskaźników wpływu na cyberbezpieczeństwo w odniesieniu do energii elektrycznej, o których mowa w art. 19 ust. 3 lit. b), powyżej których skuteczny cyberatak na proces spowoduje duże zakłócenie transgranicznych przepływów energii elektrycznej;
27)
"obszar o dużym wpływie" oznacza obszar określony przez dowolny podmiot wymieniony w art. 2 ust. 1, obejmujący wszystkie aktywa o dużym wpływie, na którym można kontrolować dostęp do tych aktywów i który określa zakres stosowania minimalnych kontroli cyberbezpieczeństwa;
28)
"produkt ICT" oznacza produkt ICT zdefiniowany w art. 2 pkt 12 rozporządzenia (UE) 2019/881;
29)
"usługa ICT" oznacza usługę ICT zdefiniowaną w art. 2 pkt 13 rozporządzenia (UE) 2019/881;
30)
"proces ICT" oznacza proces ICT zdefiniowany w art. 2 pkt 14 rozporządzenia (UE) 2019/881;
31)
"dotychczasowy system" oznacza dotychczasowy system ICT zdefiniowany w art. 3 pkt 3 rozporządzenia (UE) 2022/2554;
32)
"krajowy pojedynczy punkt kontaktowy" oznacza pojedynczy punkt kontaktowy wyznaczony lub ustanowiony przez każde państwo członkowskie na podstawie art. 8 ust. 3 dyrektywy (UE) 2022/2555;
33)
"organy ds. zarządzania kryzysowego w cyberbezpieczeństwie w ramach NIS" oznaczają organy wyznaczone lub ustanowione na podstawie art. 9 ust. 1 dyrektywy (UE) 2022/2555;
34)
"inicjator" oznacza podmiot inicjujący wymianę informacji, udostępnienie informacji lub przechowywanie informacji;
35)
"specyfikacje zamówień publicznych" oznaczają specyfikacje określone przez podmioty na potrzeby zamówień na nowe lub zaktualizowane produkty ICT, procesy ICT lub usługi ICT;
36)
"przedstawiciel" oznacza osobę fizyczną lub prawną mającą miejsce zamieszkania lub miejsce prowadzenia działalności w Unii, wyraźnie wyznaczoną do występowania w imieniu podmiotu o dużym wpływie lub podmiotu o krytycznym wpływie niemającego miejsca prowadzenia działalności w Unii, ale świadczącego usługi na rzecz podmiotów w Unii, do której właściwy organ krajowy lub CSIRT może się zwrócić zamiast do samego podmiotu o dużym lub krytycznym wpływie w związku z obowiązkami tego podmiotu przewidzianymi w niniejszym rozporządzeniu;
37)
"ryzyko" oznacza ryzyko zgodnie z definicją w art. 6 pkt 9 dyrektywy (UE) 2022/2555;
38)
"macierz wpływu ryzyka" oznacza matrycę wykorzystywaną podczas oceny ryzyka do określenia wynikającego z niej poziomu wpływu ryzyka dla każdego ocenianego rodzaju ryzyka;
39)
"jednoczesny kryzys elektroenergetyczny" oznacza kryzys elektroenergetyczny zdefiniowany w art. 2 pkt 10 rozporządzenia (UE) 2019/941;
40)
"pojedynczy punkt kontaktowy na poziomie podmiotu" oznacza pojedynczy punkt kontaktowy na poziomie podmiotu wyznaczony zgodnie z art. 38 ust. 1 lit. c);
41)
"zainteresowana strona" oznacza każdą stronę, która jest zainteresowana powodzeniem i bieżącym funkcjonowaniem organizacji lub procesu, taką jak pracownicy, dyrektorzy, udziałowcy, organy regulacyjne, stowarzyszenia, dostawcy i klienci;
42)
"norma" oznacza normę zdefiniowaną w art. 2 pkt 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1025/2012 16 ;
43)
"region pracy systemu" oznacza regiony pracy systemu określone w załączniku I do decyzji ACER 05-2022 w sprawie określenia regionów pracy systemu, ustanowione zgodnie z art. 36 rozporządzenia (UE) 2019/943;
44)
"operator systemu" oznacza "operatora systemu dystrybucyjnego" (OSD) i "operatora systemu przesyłowego" (OSP) zdefiniowanego w art. 2 pkt 29 i art. 2 pkt 35 dyrektywy (UE) 2019/944;
45)
"ogólnounijny proces o krytycznym wpływie" oznacza dowolny proces w sektorze energii elektrycznej, potencjalnie obejmujący więcej niż jeden podmiot, w przypadku którego ewentualny wpływ cyberataku można uznać za krytyczny podczas przeprowadzania ogólnounijnej oceny ryzyka w cyberprzestrzeni;
46)
"ogólnounijny proces o dużym wpływie" oznacza dowolny proces w sektorze energii elektrycznej, potencjalnie obejmujący więcej niż jeden podmiot, w przypadku którego ewentualne wpływ cyberataku można uznać za duży podczas przeprowadzania ogólnounijnej oceny ryzyka w cyberprzestrzeni;
47)
"nienaprawiona aktywnie wykorzystywana podatność" oznacza podatność, która nie została jeszcze ujawniona publicznie i naprawiona i w odniesieniu do której istnieją wiarygodne dowody na to, że podmiot wykonał złośliwy kod w systemie bez zgody właściciela systemu;
48)
"podatność" oznacza podatność zdefiniowaną w art. 6 pkt 15 dyrektywy (UE) 2022/2555.
16 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1025/2012 z dnia 25 października 2012 r. w sprawie normalizacji europejskiej, zmieniające dyrektywy Rady 89/686/EWG i 93/15/EWG oraz dyrektywy Parlamentu Europejskiego i Rady 94/9/WE, 94/25/WE, 95/16/WE, 97/23/WE, 98/34/WE, 2004/22/WE, 2007/23/WE, 2009/23/WE i 2009/105/WE oraz uchylające decyzję Rady 87/95/EWG i decyzję Parlamentu Europejskiego i Rady nr 1673/2006/WE (Dz.U. L 316 z 14.11.2012, s. 12).

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .