Art. 32. - System zarządzania cyberbezpieczeństwem - Rozporządzenie delegowane 2024/1366 uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/943 poprzez ustanowienie kodeksu sieci dotyczącego zasad sektorowych w zakresie aspektów cyberbezpieczeństwa w transgranicznych przepływach energii elektrycznej
Dzienniki UE
Dz.U.UE.L.2024.1366
Akt obowiązujący Wersja od: 24 maja 2024 r.
Artykuł 32
System zarządzania cyberbezpieczeństwem
1.
Każdy podmiot o dużym wpływie lub podmiot o krytycznym wpływie w terminie 24 miesięcy od powiadomienia przez właściwy organ, że został zidentyfikowany jako podmiot o dużym wpływie lub podmiot o krytycznym wpływie zgodnie z art. 24 ust. 6, ustanawia system zarządzania cyberbezpieczeństwem, a następnie co trzy lata dokonuje jego przeglądu w celu:a)
określenia zakresu systemu zarządzania cyberbezpieczeństwem z uwzględnieniem interfejsów i zależności od innych podmiotów;b)
zapewnienia, aby cała kadra kierownicza najwyższego szczebla była informowana o odpowiednich obowiązkach prawnych i aktywnie przyczyniała się do wdrażania systemu zarządzania cyberbezpieczeństwem przez terminowe podejmowanie decyzji i szybkie reagowanie;c)
zapewnienia dostępności zasobów koniecznych w systemie zarządzania cyberbezpieczeństwem;d)
ustanowienia polityki cyberbezpieczeństwa, która jest dokumentowana i przekazywana w ramach podmiotu i do osób, których dotyczy ryzyko dla bezpieczeństwa;e)
przydzielenia obowiązków dotyczących ról istotnych dla cyberbezpieczeństwa i informowania o nich;f)
zarządzania ryzykiem w cyberprzestrzeni na poziomie podmiotu zgodnie z definicją zawartą w art. 26;g)
określenia i zapewnienia zasobów niezbędnych do wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania cyberbezpieczeństwem, z uwzględnieniem niezbędnych kompetencji i wiedzy z zakresu zasobów cyberbez- pieczeństwa;h)
określenia komunikacji wewnętrznej i zewnętrznej istotnej z punktu widzenia cyberbezpieczeństwa;i)
tworzenia, aktualizowania i kontrolowania udokumentowanych informacji związanych z systemem zarządzania cyberbezpieczeństwem;j)
oceny wydajności i skuteczności systemu zarządzania cyberbezpieczeństwem;k)
prowadzenia audytów wewnętrznych w planowanych odstępach czasu, tak aby zapewnić skuteczne wdrożenie i utrzymanie systemu zarządzania cyberbezpieczeństwem;l)
przeglądu wdrażania systemu zarządzania cyberbezpieczeństwem w planowanych odstępach czasu; oraz kontrolowania i korygowania niezgodności zasobów i działań z politykami, procedurami i wytycznymi w systemie zarządzania cyberbezpieczeństwem.2.
Zakres systemu zarządzania cyberbezpieczeństwem obejmuje wszystkie aktywa w obszarze o dużym wpływie i obszarze o krytycznym wpływie podmiotu o dużym wpływie i podmiotu o krytycznym wpływie.3.
Właściwe organy, bez narzucania czy propagowania korzystania z określonego rodzaju technologii, zachęcają do stosowania europejskich lub międzynarodowych norm i specyfikacji związanych z systemami zarządzania i mających znaczenie dla bezpieczeństwa sieci i systemów informatycznych.© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.