Art. 33. - Minimalne i zaawansowane kontrole cyberbezpieczeństwa w łańcuchu dostaw - Rozporządzenie delegowane 2024/1366 uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/943 poprzez ustanowienie kodeksu sieci dotyczącego zasad sektorowych w zakresie aspektów cyberbezpieczeństwa w transgranicznych przepływach energii elektrycznej
Dzienniki UE
Dz.U.UE.L.2024.1366
Akt obowiązujący Wersja od: 24 maja 2024 r.
Artykuł 33
Minimalne i zaawansowane kontrole cyberbezpieczeństwa w łańcuchu dostaw
1.
W terminie siedmiu miesięcy od przedłożenia pierwszego projektu ogólnounijnego sprawozdania z oceny ryzyka w cyberprzestrzeni zgodnie z art. 19 ust. 4 OSP z pomocą ENTSO energii elektrycznej i we współpracy z organizacją OSD UE opracowują wniosek dotyczący minimalnych i zaawansowanych kontroli cyberbezpieczeństwa w łańcuchu dostaw, które ograniczają ryzyko w łańcuchach dostaw zidentyfikowane w ogólnounijnych ocenach ryzyka w cyberprzestrzeni, jako uzupełnienie minimalnych i zaawansowanych kontroli cyberbezpieczeństwa opracowanych zgodnie z art. 29. Minimalne i zaawansowane kontrole cyberbezpieczeństwa w łańcuchu dostaw opracowuje się wraz z minimalnymi i zaawansowanymi kontrolami cyberbezpieczeństwa zgodnie z art. 29. Minimalne i zaawansowane kontrole cyberbezpieczeństwa w łańcuchu dostaw obejmują cały cykl życia wszystkich produktów ICT, usług ICT i procesów ICT w obszarze o dużym wpływie lub obszarze o krytycznym wpływie podmiotu o dużym wpływie lub podmiotu o krytycznym wpływie. Przy opracowywaniu wniosku dotyczącego minimalnych i zaawansowanych kontroli cyberbezpieczeństwa w łańcuchu dostaw prowadzi się konsultacje z grupą współpracy NIS.2.
Minimalne kontrole cyberbezpieczeństwa w łańcuchu dostaw obejmują kontrole podmiotów o dużym wpływie lub podmiotów o krytycznym wpływie, w których to kontrolach:a)
uwzględnia się zalecenia dotyczące zamówień publicznych na produkty ICT, usługi ICT i procesy ICT odnoszące się do specyfikacji cyberbezpieczeństwa, obejmujące co najmniej:(i)
sprawdzanie przeszłości pracowników dostawcy uczestniczącego w łańcuchu dostaw i zajmującego się informacjami szczególnie chronionymi lub mającego dostęp do należących do podmiotu aktywów o dużym wpływie lub aktywów o krytycznym wpływie. Sprawdzanie przeszłości może obejmować weryfikację tożsamości i przeszłości personelu lub wykonawców podmiotu zgodnie z prawem i procedurami krajowymi oraz odpowiednim i mającym zastosowanie prawem Unii, w tym rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 i dyrektywą Parlamentu Europejskiego i Rady (UE) 2016/680 18 . Sprawdzanie przeszłości musi być proporcjonalne i ściśle ograniczone do tego, co jest konieczne. Przeprowadza się je wyłącznie w celu oceny potencjalnego ryzyka dla bezpieczeństwa odnośnego podmiotu. Musi być ono proporcjonalne do wymogów biznesowych, klauzul tajności informacji, które mają być udostępniane, oraz postrzeganego ryzyka, a także może być przeprowadzane przez sam podmiot, przez przedsiębiorstwo zewnętrzne przeprowadzające kontrolę bezpieczeństwa lub w ramach rządowego poświadczenia;(ii)
procesy bezpiecznego i kontrolowanego projektowania, opracowywania i wytwarzania produktów ICT, usług ICT i procesów ICT, promujące projektowanie i rozwój produktów ICT, usług ICT i procesów ICT, które obejmują odpowiednie środki techniczne w celu zapewnienia cyberbezpieczeństwa;(iii)
projektowanie sieci i systemów informatycznych, w których urządzenia nie są zaufane, nawet jeśli znajdują się w bezpiecznym obszarze, wymagają weryfikacji wszystkich otrzymanych wniosków i opierają się na zasadzie "najniższych uprawnień";(iv)
dostęp dostawcy do aktywów podmiotu;(v)
zobowiązania umowne dostawcy do ochrony i ograniczenia dostępu do informacji szczególnie chronionych podmiotu;(vi)
podstawowe specyfikacje zamówień publicznych w dziedzinie cyberbezpieczeństwa dla podwykonawców dostawcy;(vii)
identyfikowalność stosowania specyfikacji cyberbezpieczeństwa od opracowania przez produkcję do dostarczenia produktów ICT, usług ICT lub procesów ICT;(viii)
wspieranie aktualizacji bezpieczeństwa przez cały cykl życia produktów ICT, usług ICT lub procesów ICT;(ix)
prawo do audytu cyberbezpieczeństwa w procesach projektowania, rozwoju i produkcji dostawcy; oraz(x)
ocenę profilu ryzyka dostawcy;b)
zobowiązuje się takie podmioty do uwzględniania zaleceń dotyczących udzielania zamówień, o których mowa w lit. a), przy zawieraniu umów z dostawcami, partnerami współpracującymi i innymi stronami w łańcuchu dostaw, obejmujących zwykłe dostawy produktów ICT, usług ICT i procesów ICT, a także zdarzenia i okoliczności niezwią- zane z zamówieniami, takie jak rozwiązanie i przeniesienie umów w przypadku zaniedbania ze strony partnera umownego;c)
zobowiązuje się takie podmioty do uwzględniania wyników odpowiednich skoordynowanych oszacowań ryzyka dla bezpieczeństwa krytycznych łańcuchów dostaw przeprowadzonych zgodnie z art. 22 ust. 1 dyrektywy (UE) 2022/2555;d)
uwzględnia się kryteria wyboru dostawców, którzy mogą spełnić specyfikacje cyberbezpieczeństwa określone w lit. a) i którzy mają poziom cyberbezpieczeństwa odpowiedni do ryzyka w cyberbezpieczeństwie związanego z produktem ICT, usługą ICT lub procesami ICT, które dostawca dostarcza, i zawierania umów z takimi dostawcami;e)
uwzględnia się kryteria dywersyfikacji źródeł dostaw produktów ICT, usług ICT i procesów ICT oraz zmniejszenia ryzyka uzależnienia od jednego dostawcy;f)
uwzględnia się kryteria regularnego monitorowania, przeglądu lub audytu specyfikacji cyberbezpieczeństwa w odniesieniu do wewnętrznych procesów operacyjnych dostawców przez cały cykl życia każdego produktu ICT, każdej usługi ICT i każdego procesu ICT.3.
W odniesieniu do specyfikacji cyberbezpieczeństwa zawartych w zaleceniu dotyczącym zamówień publicznych w dziedzinie cyberbezpieczeństwa, o którym mowa w ust. 2 lit. a), podmioty o dużym wpływie lub podmioty o krytycznym wpływie stosują zasady udzielania zamówień publicznych zgodnie z dyrektywą Parlamentu Europejskiego i Rady 2014/24/UE 19 , zgodnie z art. 35 ust. 4, lub określają własne specyfikacje na podstawie wyników oceny ryzyka w cyberprzestrzeni na poziomie podmiotu.4.
Zaawansowane kontrole cyberbezpieczeństwa w łańcuchu dostaw obejmują kontrole podmiotów o krytycznym wpływie w celu sprawdzenia podczas udzielania zamówień publicznych, czy produkty ICT, usługi ICT i procesy ICT, które będą wykorzystywane jako aktywa o krytycznym wpływie, spełniają specyfikacje cyberbezpieczeństwa. Produkt ICT, usługę ICT lub proces ICT weryfikuje się za pomocą europejskiego programu certyfikacji cyberbezpieczeństwa, o którym mowa w art. 31, albo za pomocą działań weryfikacyjnych wybranych i zorganizowanych przez podmiot. Stopień szczegółowości i zakres działań weryfikacyjnych muszą być wystarczające do uzyskania pewności, że produkt ICT, usługa ICT lub proces ICT mogą zostać wykorzystane do ograniczenia ryzyka zidentyfikowanego w ocenie ryzyka na poziomie podmiotu. Podmiot o krytycznym wpływie dokumentuje działania podjęte w celu ograniczenia zidentyfikowanego ryzyka.5.
Minimalne i zaawansowane kontrole cyberbezpieczeństwa w łańcuchu dostaw stosuje się do zamówień publicznych odpowiednich produktów ICT, usług ICT i procesów ICT. Minimalne i zaawansowane kontrole cyberbezpieczeństwa w łańcuchu dostaw będą stosowane do procedur udzielania zamówień w podmiotach zidentyfikowanych jako podmioty o krytycznym wpływie i podmioty o dużym wpływie zgodnie z art. 24, które to procedury rozpoczynają się sześć miesięcy po przyjęciu lub aktualizacji minimalnych i zaawansowanych kontroli cyberbezpieczeństwa, o których mowa w art. 29.6.
W terminie sześciu miesięcy od sporządzenia każdego regionalnego sprawozdania z oceny ryzyka w cyberprzestrzeni zgodnie z art. 21 ust. 2 OSP z pomocą ENTSO energii elektrycznej i we współpracy z organizacją OSD UE przedstawiają właściwemu organowi zmianę minimalnych i zaawansowanych kontroli cyberbezpieczeństwa w łańcuchu dostaw. Wniosek zostanie sporządzony zgodnie z art. 8 ust. 10 i będzie uwzględniał ryzyko zidentyfikowane w regionalnej ocenie ryzyka.18 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, oraz w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. L 119 z 4.5.2016, s. 89).
19 Dyrektywa Parlamentu Europejskiego i Rady 2014/24/UE z dnia 26 lutego 2014 r. w sprawie zamówień publicznych, uchylająca dyrektywę 2004/18/WE (Dz.U. L 94 z 28.3.2014, s. 65).
© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.