Art. 38. - Rola podmiotów o dużym wpływie i podmiotów o krytycznym wpływie w odniesieniu do wymiany informacji - Rozporządzenie delegowane 2024/1366 uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/943 poprzez ustanowienie kodeksu sieci dotyczącego zasad sektorowych w zakresie aspektów cyberbezpieczeństwa w transgranicznych przepływach energii elektrycznej
Dzienniki UE
Dz.U.UE.L.2024.1366
Akt obowiązujący Wersja od: 24 maja 2024 r.
Artykuł 38
Rola podmiotów o dużym wpływie i podmiotów o krytycznym wpływie w odniesieniu do wymiany informacji
1.
Każdy podmiot o dużym wpływie i podmiot o krytycznym wpływie:a)
ustala, w odniesieniu do wszystkich aktywów wchodzących w jego obszar cyberbezpieczeństwa określony zgodnie z art. 26 ust. 4 lit. c), co najmniej zdolności centrów operacyjnych cyberbezpieczeństwa w zakresie:(i)
zapewnienia, aby odpowiednie sieci i systemy oraz aplikacje informatyczne generowały dzienniki bezpieczeństwa do celów monitorowania bezpieczeństwa, umożliwiające wykrywanie nieprawidłowości i gromadzenie informacji na temat cyberataków;(ii)
monitorowania bezpieczeństwa, w tym wykrywania włamań i oceny podatności sieci i systemów informatycznych;(iii)
prowadzenia analiz i, w razie potrzeby, podejmowania wszelkich działań wymaganych w ramach jego odpowiedzialności i zdolności do ochrony podmiotu;(iv)
uczestniczenia w gromadzeniu i wymianie informacji opisanych w niniejszym artykule.b)
jest uprawniony do nabycia całości lub części tych zdolności zgodnie z lit. a) za pośrednictwem dostawców usług zarządzanych w zakresie bezpieczeństwa. Podmioty o krytycznym wpływie i podmioty o dużym wpływie pozostają odpowiedzialne za dostawców usług zarządzanych w zakresie bezpieczeństwa oraz prowadzą nadzór ich działań;c)
wyznaczają pojedynczy punkt kontaktowy na poziomie podmiotu do celów wymiany informacji.2.
ENISA może wydawać niewiążące wytyczne dotyczące ustanowienia takich zdolności lub zlecania odnośnych usług dostawcom usług zarządzanych w zakresie bezpieczeństwa w charakterze podwykonawców w ramach zadania określonego w art. 6 ust. 2 rozporządzenia (UE) 2019/881.3.
Każdy podmiot o krytycznym wpływie i podmiot o dużym wpływie przekazuje swoim CSIRT i właściwemu organowi istotne informacje dotyczące cyberataków podlegających obowiązkowi zgłaszania bez zbędnej zwłoki i nie później niż w ciągu czterech godzin od uzyskania informacji, że dany incydent podlega obowiązkowi zgłaszania.4.
Informacje dotyczące cyberataku uznaje się za podlegające obowiązkowi zgłaszania, jeżeli podmiot, który padł ofiarą cyberataku, oceni jego dotkliwość w zakresie od "wysokiej" do "krytycznej" zgodnie z metodyką dotyczącą skali klasyfikacji cyberataków na podstawie art. 37 ust. 8. Pojedynczy punkt kontaktowy na poziomie podmiotu wyznaczony zgodnie z ust. 1 lit. c) powiadamia o klasyfikacji incydentu.5.
W przypadku gdy podmioty o krytycznym wpływie i podmioty o dużym wpływie zgłaszają do CSIRT istotne informacje dotyczące nienaprawionych aktywnie wykorzystywanych podatności, zespół ten może przekazać te informacje swojemu właściwemu organowi. Ze względu na poziom wrażliwości zgłaszanych informacji CSIRT może wstrzymać się z przekazaniem informacji lub przekazać je później z uzasadnionych względów związanych z cyberbezpieczeństwem.6.
Każdy podmiot o krytycznym wpływie i podmiot o dużym wpływie przekazuje bez zbędnej zwłoki swoim CSIRT wszelkie informacje dotyczące cyberzagrożenia podlegającego obowiązkowi zgłaszania, które może mieć skutki transgra- niczne. Informacje dotyczące cyberzagrożenia uznaje się za podlegające obowiązkowi zgłaszania, jeżeli spełniony jest co najmniej jeden z następujących warunków:a)
zapewnia to istotne informacje dla innych podmiotów o krytycznym wpływie i podmiotów o dużym wpływie do celów zapobiegania wpływowi odnośnego ryzyka, wykrywania go, reagowania na niego lub łagodzenia go;b)
określone techniki, taktyki i procedury stosowane w kontekście ataku prowadzą do uzyskania takich informacji jak zagrożony adres URL lub adres IP, skróty lub wszelkie inne atrybuty przydatne do kontekstualizacji i skorelowania ataku;c)
cyberzagrożenie może zostać poddane dalszej ocenie i kontekstualizacji na podstawie dodatkowych informacji przekazywanych przez dostawców usług lub osoby trzecie niepodlegające niniejszemu rozporządzeniu.7.
Przy wymianie informacji na podstawie niniejszego artykułu każdy podmiot o krytycznym wpływie i podmiot o dużym wpływie wskazuje:a)
że informacje przedkładane są zgodnie z niniejszym rozporządzeniem;b)
czy informacje dotyczą:(i)
cyberataku podlegającego obowiązkowi zgłaszania, o którym mowa w ust. 3;(ii)
nienaprawionych aktywnie wykorzystywanych podatności nieujawnionych publicznie, o których mowa w ust. 4;(iii)
cyberzagrożenia podlegającego obowiązkowi zgłaszania, o którym mowa w ust. 5;c)
w przypadku cyberataku podlegającego obowiązkowi zgłaszania - poziom cyberataku zgodnie z metodyką dotyczącą skali klasyfikacji cyberataków, o której mowa w art. 37 ust. 8, oraz informacje będące podstawą tej klasyfikacji, w tym co najmniej dotkliwość cyberataku.8.
W przypadku gdy podmiot o krytycznym wpływie lub podmiot o dużym wpływie powiadamia o poważnym incydencie zgodnie z art. 23 dyrektywy (UE) 2022/2555, a zgłoszenie incydentu na podstawie tego artykułu zawiera istotne informacje wymagane na podstawie ust. 3 niniejszego artykułu, zgłoszenie dokonywane przez podmiot na podstawie art. 23 ust. 1 tej dyrektywy stanowi zgłoszenie informacji na podstawie ust. 3 niniejszego artykułu.9.
Każdy podmiot o krytycznym wpływie i podmiot o dużym wpływie dokonuje zgłoszeń do swojego właściwego organu lub CSIRT w drodze wyraźnego wskazania wyłącznie tych konkretnych informacji, które są udostępniane właściwemu organowi lub CSIRT w przypadkach, w których wymiana informacji mogłaby być źródłem cyberataku. Każdy podmiot o krytycznym wpływie i podmiot o dużym wpływie ma prawo przekazać właściwemu CSIRT nieopatrzoną klauzulą poufności wersję informacji.© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.