Art. 41. - Plany zarządzania kryzysami w dziedzinie cyberbezpieczeństwa i reagowania na nie - Rozporządzenie delegowane 2024/1366 uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/943 poprzez ustanowienie kodeksu sieci dotyczącego zasad sektorowych w zakresie aspektów cyberbezpieczeństwa w transgranicznych przepływach energii elektrycznej

Dzienniki UE

Dz.U.UE.L.2024.1366

Akt obowiązujący
Wersja od: 24 maja 2024 r.
Artykuł  41

Plany zarządzania kryzysami w dziedzinie cyberbezpieczeństwa i reagowania na nie

1. 
W terminie 24 miesięcy od przekazania ACER ogólnounijnego sprawozdania z oceny ryzyka ACER opracowuje w ścisłej współpracy z ENISA, ENTSO energii elektrycznej, organizacją OSD UE, właściwymi organami odpowiedzialnymi za cyberbezpieczeństwo, właściwymi organami, właściwymi organami ds. gotowości na wypadek zagrożeń, oraz krajowymi organami ds. zarządzania kryzysowego w cyberbezpieczeństwie w ramach NIS oraz krajowymi organami regulacyjnymi plan zarządzania kryzysami w dziedzinie cyberbezpieczeństwa i reagowania na nie na szczeblu Unii dla sektora energii elektrycznej.
2. 
W terminie 12 miesięcy od opracowania przez ACER planu zarządzania kryzysami w dziedzinie cyberbezpieczeń- stwa i reagowania na nie na szczeblu Unii dla sektora energii elektrycznej zgodnie z ust. 1 każdy właściwy organ opracowuje krajowy plan zarządzania kryzysami w dziedzinie cyberbezpieczeństwa i reagowania na nie w odniesieniu do trans- granicznych przepływów energii elektrycznej, uwzględniając plan zarządzania kryzysami w dziedzinie cyberbezpieczeństwa na szczeblu Unii oraz krajowy plan gotowości na wypadek zagrożeń ustanowiony zgodnie z art. 10 rozporządzenia (UE) 2019/941. Plan ten musi być spójny z planem reagowania na incydenty i sytuacje kryzysowe w cyber- bezpieczeństwie na dużą skalę przyjętym na podstawie art. 9 ust. 4 dyrektywy (UE) 2022/2555. Właściwy organ koordynuje działania z podmiotami o krytycznym wpływie i podmiotami o dużym wpływie oraz z właściwym organem ds. gotowości na wypadek zagrożeń w swoim państwie członkowskim.
3. 
Krajowy plan reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę wymagany na podstawie art. 9 ust. 4 dyrektywy (UE) 2022/2555 uznaje się za krajowy plan zarządzania kryzysami w dziedzinie cyber- bezpieczeństwa i reagowania na nie na podstawie niniejszego artykułu, jeżeli zawiera on postanowienia dotyczące zarządzania kryzysami i reagowania na nie w odniesieniu do transgranicznych przepływów energii elektrycznej.
4. 
Państwa członkowskie mogą przekazać zadania wymienione w ust. 1 i 2 również regionalnym centrom koordynacyjnym zgodnie z art. 37 ust. 2 rozporządzenia (UE) 2019/943.
5. 
Podmioty o krytycznym wpływie i podmioty o dużym wpływie zapewniają, że ich procesy związane z zarządzaniem kryzysami w dziedzinie cyberbezpieczeństwa:
a)
przewidują zgodne procedury obsługi incydentów transgranicznych w dziedzinie cyberbezpieczeństwa zgodnie z definicją zawartą w art. 6 pkt 8 dyrektywy (UE) 2022/2555, formalnie włączone do ich planów zarządzania kryzysowego;
b)
są częścią ogólnych działań w zakresie zarządzania kryzysowego.
6. 
W terminie 12 miesięcy od powiadomienia podmiotów o dużym wpływie i podmiotów o krytycznym wpływie zgodnie z art. 24 ust. 6, a następnie co trzy lata, podmioty o krytycznym wpływie i podmioty o dużym wpływie opracowują na poziomie podmiotu plan zarządzania kryzysowego dotyczący kryzysu związanego z cyberbezpieczeństwem, który to plan uwzględniają w swoich ogólnych planach zarządzania kryzysowego. Plan ten zawiera co najmniej następujące elementy:
a)
zasady ogłoszenia kryzysu zgodnie z art. 14 ust. 2 i 3 rozporządzenia (UE) 2019/941;
b)
jasne role i obowiązki w zakresie zarządzania kryzysowego, w tym rolę innych istotnych podmiotów o krytycznym wpływie i podmiotów o dużym wpływie;
c)
aktualne dane kontaktowe, a także zasady komunikacji i wymiany informacji w sytuacji kryzysowej, w tym połączenie z CSIRT.
7. 
Środki zarządzania kryzysowego na podstawie art. 21 ust. 2 lit. c) dyrektywy (UE) 2022/2555 uznaje się za plan zarządzania kryzysowego na poziomie podmiotu dla sektora energii elektrycznej na podstawie niniejszego artykułu, jeżeli obejmuje on wszystkie wymogi wymienione w ust. 6.
8. 
Plany zarządzania kryzysowego testuje się podczas ćwiczeń w dziedzinie cyberbezpieczeństwa, o których mowa w art. 43, 44 i 45.
9. 
Podmioty o krytycznym wpływie i podmioty o dużym wpływie włączają swoje plany zarządzania kryzysowego na poziomie podmiotu do swoich planów ciągłości działania dotyczących procesów o krytycznym wpływie i procesów o dużym wpływie. Plany zarządzania kryzysowego na poziomie podmiotu obejmują:
a)
procesy zależne od dostępności, integralności i niezawodności usług informatycznych;
b)
wszystkie lokalizacje istotne dla ciągłości działania, w tym lokalizacje sprzętu i oprogramowania;
c)
wszystkie wewnętrzne role i obowiązki związane z procesami ciągłości działania.
10. 
Podmioty o krytycznym wpływie i podmioty o dużym wpływie aktualizują swoje plany zarządzania kryzysowego na poziomie podmiotu co najmniej raz na trzy lata oraz w razie potrzeby.
11. 
ACER aktualizuje plan zarządzania kryzysami w dziedzinie cyberbezpieczeństwa i reagowania na nie na szczeblu Unii dla sektora energii elektrycznej, opracowany zgodnie z ust. 1, co najmniej raz na trzy lata oraz w razie potrzeby.
12. 
Każdy właściwy organ aktualizuje krajowy plan zarządzania kryzysami w dziedzinie cyberbezpieczeństwa i reagowania na nie w odniesieniu do transgranicznych przepływów energii elektrycznej opracowany zgodnie z ust. 2 co najmniej raz na trzy lata i w razie potrzeby.
13. 
Podmioty o krytycznym wpływie i podmioty o dużym wpływie testują swoje plany ciągłości działania co najmniej raz na trzy lata lub po istotnych zmianach w procesach o krytycznym wpływie. Wyniki testów planu ciągłości działania są dokumentowane. Podmioty o krytycznym wpływie i podmioty o dużym wpływie mogą włączyć test swojego planu ciągłości działania do ćwiczeń w dziedzinie cyberbezpieczeństwa.
14. 
Podmioty o krytycznym wpływie i podmioty o dużym wpływie aktualizują swój plan ciągłości działania w razie potrzeby i co najmniej raz na trzy lata, z uwzględnieniem wyników testu.
15. 
Jeżeli w wyniku testu wykryte zostaną niedociągnięcia w planie ciągłości działania, podmiot o krytycznym wpływie i podmiot o dużym wpływie koryguje te niedociągnięcia w terminie 180 dni kalendarzowych od przeprowadzenia testu i przeprowadza nowy test w celu przedstawienia dowodów na to, że środki naprawcze są skuteczne.
16. 
Jeżeli podmiot o krytycznym wpływie lub podmiot o dużym wpływie nie jest w stanie usunąć niedociągnięć w terminie 180 dni kalendarzowych, przedstawia uzasadnienie w sprawozdaniu przekazywanym właściwemu organowi zgodnie z art. 27.

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .