Art. 39. - Wykrywanie cyberataków i postępowanie z powiązanymi informacjami - Rozporządzenie delegowane 2024/1366 uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/943 poprzez ustanowienie kodeksu sieci dotyczącego zasad sektorowych w zakresie aspektów cyberbezpieczeństwa w transgranicznych przepływach energii elektrycznej
Dzienniki UE
Dz.U.UE.L.2024.1366
Akt obowiązujący Wersja od: 24 maja 2024 r.
Artykuł 39
Wykrywanie cyberataków i postępowanie z powiązanymi informacjami
1.
Podmioty o krytycznym wpływie i podmioty o dużym wpływie rozwijają zdolności niezbędne do radzenia sobie z wykrytymi cyberatakami przy niezbędnym wsparciu ze strony odpowiedniego właściwego organu, ENTSO energii elektrycznej i organizacji OSD UE. CSIRT wyznaczony w odnośnym państwie członkowskim w ramach zadania przydzielonego CSIRT na mocy art. 11 ust. 5 lit. a) dyrektywy (UE) 2022/2555 może zapewniać wsparcie podmiotom o krytycznym wpływie i podmiotom o dużym wpływie. Podmioty o krytycznym wpływie i podmioty o dużym wpływie wdrażają skuteczne procesy w celu identyfikacji i klasyfikacji cyberataków, które będą lub mogą mieć wpływ na transgraniczne przepływy energii elektrycznej, oraz zminimalizowania ich wpływu i reagowania na nie.2.
Jeżeli cyberatak ma wpływ na transgraniczne przepływy energii elektrycznej pojedyncze punkty kontaktowe na poziomie podmiotu o krytycznym wpływie i podmiotu o dużym wpływie dotkniętego tym wpływem podejmują współpracę w celu prowadzenia wymiany informacji koordynowanej przez właściwy organ państwa członkowskiego, w którym cyberatak został po raz pierwszy zgłoszony.3.
Podmioty o krytycznym wpływie i podmioty o dużym wpływie:a)
zapewniają, aby ich własny pojedynczy punkt kontaktowy na poziomie podmiotu miał dostęp na zasadzie ograniczonego dostępu do informacji otrzymanych od krajowego pojedynczego punktu kontaktowego za pośrednictwem właściwego organu;b)
o ile nie dokonano tego już na podstawie art. 3 ust. 4 dyrektywy (UE) 2022/2555, przekazują właściwemu organowi państwa członkowskiego, w którym mają siedzibę, oraz krajowemu pojedynczemu punktowi kontaktowemu wykaz swoich pojedynczych punktów kontaktowych ds. cyberbezpieczeństwa na poziomie podmiotu:(i)
co do których ten właściwy organ i krajowy pojedynczy punkt kontaktowy mogą oczekiwać, że będą im one przekazywać informacje na temat cyberataków podlegających obowiązkowi zgłaszania;(ii)
którym te właściwy organy i krajowe pojedyncze punkty kontaktowe będą w razie konieczności przykazywać informacje;c)
ustanawiają procedury zarządzania cyberatakami w odniesieniu do cyberataków, w tym role i obowiązki, zadania i działania służące reagowaniu, na podstawie możliwego do zaobserwowania rozwoju wypadków związanych z cyberatakiem w obszarach o krytycznym wpływie i obszarach o dużym wpływie;d)
testują ogólne procedury zarządzania cyberatakami co najmniej raz w roku w drodze zbadania co najmniej jednego scenariusza mającego bezpośredni lub pośredni wpływ na transgraniczne przepływy energii elektrycznej. Ten coroczny test może być przeprowadzany przez podmioty o krytycznym wpływie i podmioty o dużym wpływie podczas regularnych ćwiczeń, o których mowa w art. 43. Wszelkie bieżące działania służące reagowaniu na cyberataki, których skutki sklasyfikowane są co najmniej jako skutki o skali 2 zgodnie z metodyką dotyczącą skali klasyfikacji cyberataków, o której mowa w art. 37 ust. 8, oraz których podstawową przyczyną jest cyberbezpieczeństwo, mogą służyć jako coroczny test planu reagowania na cyberataki.4.
Państwa członkowskie mogą przekazać zadania, o których mowa w ust. 1, również regionalnym centrom koordynacyjnym zgodnie z art. 37 ust. 2 rozporządzenia (UE) 2019/943.© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.