Art. 37. - Przepisy dotyczące wymiany informacji - Rozporządzenie delegowane 2024/1366 uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/943 poprzez ustanowienie kodeksu sieci dotyczącego zasad sektorowych w zakresie aspektów cyberbezpieczeństwa w transgranicznych przepływach energii elektrycznej

Dzienniki UE

Dz.U.UE.L.2024.1366

Akt obowiązujący
Wersja od: 24 maja 2024 r.
Artykuł  37

Przepisy dotyczące wymiany informacji

1. 
Jeżeli właściwy organ otrzyma informacje dotyczące cyberataku podlegającego obowiązkowi zgłaszania, ten właściwy organ:
a)
ocenia poziom poufności tych informacji oraz bez zbędnej zwłoki i nie później niż w ciągu 24 godzin od otrzymania informacji powiadamia dany podmiot o wynikach swojej oceny;
b)
podejmuje próbę znalezienia jakiegokolwiek innego podobnego cyberataku w Unii zgłoszonego innym właściwym organom w celu skorelowania informacji otrzymanych w kontekście cyberataku podlegającego obowiązkowi zgłaszania z informacjami przekazanymi w kontekście innych cyberataków oraz rozbudowania istniejących informacji, a także wzmocnienia i koordynacji reagowania w zakresie cyberbezpieczeństwa;
c)
odpowiada za usunięcie tajemnic handlowych i anonimizację informacji zgodnie z odpowiednimi przepisami krajowymi i unijnymi;
d)
udostępnia te informacje krajowym pojedynczym punktom kontaktowym, CSIRT i wszystkim właściwym organom wyznaczonym zgodnie z art. 4 w innych państwach członkowskich bez zbędnej zwłoki i nie później niż w ciągu 24 godzin po powzięciu wiadomości o cyberataku podlegającym obowiązkowi zgłaszania oraz regularnie przekazują tym organom lub podmiotom zaktualizowane informacje;
e)
rozpowszechnia informacje o cyberataku, po anonimizacji i usunięciu tajemnic handlowych zgodnie z ust. 1 lit. c) wśród podmiotów o krytycznym wpływie i podmiotów o dużym wpływie w swoim państwie członkowskim bez zbędnej zwłoki i nie później niż w ciągu 24 godzin po otrzymaniu informacji zgodnie z ust. 1 lit. a) oraz regularnie przekazuje zaktualizowane informacje umożliwiające tym podmiotom skuteczne zorganizowanie obrony;
f)
może zwrócić się do podmiotu o dużym wpływie lub podmiotu o krytycznym wpływie, który dokonuje zgłoszenia, o dalsze rozpowszechnianie w bezpieczny sposób informacji na temat cyberataku podlegającego obowiązkowi zgłaszania wśród innych podmiotów, których atak ten może dotyczyć, w celu umożliwienia orientacji sytuacyjnej w sektorze energii elektrycznej oraz zapobieżenia urzeczywistnieniu się ryzyka, które może się nasilić i przybrać formę transgranicznego incydentu w cyberbezpieczeństwie w sektorze energii elektrycznej;
g)
udostępnia ENISA sprawozdanie podsumowujące, po anonimizacji i usunięciu tajemnic handlowych, z informacjami dotyczącymi cyberataku.
2. 
W przypadku gdy CSIRT dowiaduje się o nienaprawionej aktywnie wykorzystywanej podatności, CSIRT:
a)
niezwłocznie informuje o niej ENISA za pośrednictwem odpowiedniego bezpiecznego kanału wymiany informacji,

chyba że inne przepisy prawa Unii stanowią inaczej;

b)
wspiera dany podmiot w uzyskaniu od producenta lub dostawcy skutecznego, skoordynowanego i szybkiego zarządzania nienaprawioną aktywnie wykorzystywaną podatnością lub skutecznych i wydajnych środków ograniczających ryzyko;
c)
dzieli się dostępnymi informacjami ze sprzedawcą i zwraca się do producenta lub dostawcy, w miarę możliwości, o wskazanie wykazu CSIRT w państwach członkowskich, których dotyczy nienaprawiona aktywnie wykorzystywana podatność i które muszą zostać poinformowane;
d)
dzieli się dostępnymi informacjami z CSIRT określonymi w poprzedniej literze, w oparciu o zasadę ograniczonego dostępu;
e)
dzieli się strategiami i środkami łagodzącymi, o ile takie istnieją, w związku ze zgłoszoną nienaprawioną aktywnie wykorzystywaną podatnością.
3. 
W przypadku gdy właściwy organ dowiaduje się o nienaprawionej aktywnie wykorzystywanej podatności, ten właściwy organ:
a)
dzieli się strategiami i środkami łagodzącymi, o ile takie istnieją, w związku ze zgłoszoną nienaprawioną aktywnie wykorzystywaną podatnością, w koordynacji z CSIRT w jego państwie członkowskim;
b)
dzieli się informacjami z CSIRT w państwie członkowskim, w którym zgłoszono nienaprawioną aktywnie wykorzystywaną podatność.
4. 
Jeżeli właściwy organ poweźmie wiadomość o nienaprawionej podatności, co do której nie ma jeszcze dowodów na to, że jest ona aktywnie wykorzystywana, bez zbędnej zwłoki koordynuje swoje działania z CSIRT do celów skoordynowanego ujawniania podatności, jak określono w art. 12 ust. 1 dyrektywy (UE) 2022/2555.
5. 
Jeżeli CSIRT otrzyma informacje dotyczące cyberzagrożeń od co najmniej jednego podmiotu o dużym wpływie lub podmiotu o krytycznym wpływie zgodnie z art. 38 ust. 6, bez zbędnej zwłoki i nie później niż cztery godziny po otrzymaniu informacji rozpowszechnia w swoim państwie członkowskim te informacje lub wszelkie inne informacje mające znaczenie dla zapobiegania ryzyku związanemu z podmiotami o krytycznym wpływie i podmiotami o dużym wpływie, reagowania na to ryzyko lub łagodzenia go, a także, w stosownych przypadkach, przekazuje te informacje wszystkim zainteresowanym CSIRT i swojemu krajowemu pojedynczemu punktowi kontaktowemu.
6. 
Jeżeli właściwy organ uzyska informacje dotyczące cyberzagrożeń od co najmniej jednego podmiotu o dużym wpływie lub podmiotu o krytycznym wpływie, przekazuje te informacje CSIRT do celów ust. 5.
7. 
Właściwe organy mogą przekazać w całości lub w części obowiązki, o których mowa w ust. 3 i 4, dotyczące jednego lub większej liczby podmiotów o dużym wpływie lub podmiotów o krytycznym wpływie, które działają w więcej niż jednym państwie członkowskim, innemu właściwemu organowi w jednym z tych państw członkowskich, zgodnie z porozumieniem między zainteresowanymi właściwymi organami.
8. 
OSP, przy wsparciu ENTSO energii elektrycznej i we współpracy z organizacją OSD UE, opracowuje metodykę dotyczącą skali klasyfikacji cyberataków do dnia 13 czerwca 2025 r. OSP, przy udziale ENTSO energii elektrycznej i organizacji OSD UE, mogą zwrócić się do właściwych organów o skonsultowanie się z ENISA oraz do swoich właściwych organów odpowiedzialnych za cyberbezpieczeństwo o pomoc w opracowywaniu takiej skali klasyfikacji. Metodyka ta zapewnia klasyfikację wagi cyberataku według pięciu poziomów, przy czym dwa najwyższe poziomy to poziom "wysoki" i "krytyczny". Podstawą klasyfikacji jest ocena następujących parametrów:
a)
potencjalny wpływ z uwzględnieniem narażonych aktywów i obszarów określonych zgodnie z art. 26 ust. 4 lit. c); oraz
b)
dotkliwość cyberataku.
9. 
Do dnia 13 czerwca 2026 r. ENTSO energii elektrycznej, we współpracy z organizacją OSD UE, przeprowadza studium wykonalności w celu oceny możliwości i kosztów finansowych niezbędnych do opracowania wspólnego narzędzia umożliwiającego wszystkim podmiotom wymianę informacji z właściwymi organami krajowymi.
10. 
W studium wykonalności uwzględnia się możliwość zastosowania takiego wspólnego narzędzia w celu:
a)
wsparcia podmiotów o krytycznym wpływie i podmiotów o dużym wpływie w drodze zapewnienia na potrzeby operacji związanych z transgranicznymi przepływami energii elektrycznej odpowiednich informacji dotyczących bezpieczeństwa, takich jak zgłaszanie cyberataków w czasie zbliżonym do rzeczywistego, wczesne ostrzeżenia związane z kwestiami cyberbezpieczeństwa i nieujawnione podatności w urządzeniach używanych w systemie elektroenergetycznym;
b)
utrzymywania tego narzędzia w odpowiednim i wysoce niezawodnym środowisku;
c)
umożliwienia gromadzenia danych od podmiotów o krytycznym wpływie i podmiotów o dużym wpływie oraz ułatwianie usuwania informacji poufnych i anonimizacji danych oraz ich szybkiego rozpowszechniania wśród tych podmiotów.
11. 
ENTSO energii elektrycznej, we współpracy z organizacją OSD UE:
a)
zasięga opinii ENISA i grupy współpracy NIS, krajowych pojedynczych punktów kontaktowych oraz przedstawicieli głównych zainteresowanych stron przy przeprowadzaniu oceny wykonalności;
b)
przedstawia wyniki studium wykonalności ACER i grupie współpracy NIS.
12. 
ENTSO energii elektrycznej, we współpracy z organizacją OSD UE może rozważać i ułatwiać realizację inicjatyw proponowanych przez podmioty o krytycznym wpływie i podmioty o dużym wpływie do celów oceny i testowania takich narzędzi wymiany informacji.

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .