Rozdział 3 - WSPÓLNE RAMY CYBERBEZPIECZEŃSTWA W ODNIESIENIU DO ENERGII ELEKTRYCZNEJ - Rozporządzenie delegowane 2024/1366 uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/943 poprzez ustanowienie kodeksu sieci dotyczącego zasad sektorowych w zakresie aspektów cyberbezpieczeństwa w transgranicznych przepływach energii elektrycznej
Dzienniki UE
Dz.U.UE.L.2024.1366
Akt obowiązujący Wersja od: 24 maja 2024 r.
ROZDZIAŁ III
WSPÓLNE RAMY CYBERBEZPIECZEŃSTWA W ODNIESIENIU DO ENERGII ELEKTRYCZNEJ
WSPÓLNE RAMY CYBERBEZPIECZEŃSTWA W ODNIESIENIU DO ENERGII ELEKTRYCZNEJ
Skład, funkcjonowanie i przegląd wspólnych ram cyberbezpieczeństwa w odniesieniu do energii elektrycznej
1.
Wspólne ramy cyberbezpieczeństwa w odniesieniu do energii elektrycznej składają się z następujących kontroli i systemów zarządzania cyberbezpieczeństwem:a)
minimalne kontrole cyberbezpieczeństwa opracowane zgodnie z art. 29;b)
zaawansowane kontrole cyberbezpieczeństwa opracowane zgodnie z art. 29;c)
matryca mapowania opracowana zgodnie z art. 34, pokazująca mapę kontroli, o których mowa w lit. a) i b), w oparciu o wybrane normy europejskie i międzynarodowe oraz krajowe ramy prawne lub regulacyjne;
d)
system zarządzania cyberbezpieczeństwem ustanowiony zgodnie z art. 32.2.
Wszystkie podmioty o dużym wpływie stosują minimalne kontrole cyberbezpieczeństwa zgodnie z ust. 1 lit. a) w obszarze o dużym wpływie.3.
Wszystkie podmioty o krytycznym wpływie stosują zaawansowane kontrole cyberbezpieczeństwa zgodnie z ust. 1 lit. b) w obszarze o krytycznym wpływie.4.
W terminie siedmiu miesięcy od przedłożenia pierwszego projektu ogólnounijnego sprawozdania z oceny ryzyka w cyberprzestrzeni zgodnie z art. 19 ust. 4 wspólne ramy cyberbezpieczeństwa w odniesieniu do energii elektrycznej, o których mowa w ust. 1, uzupełnia się minimalnymi i zaawansowanymi kontrolami cyberbezpieczeństwa w łańcuchu dostaw opracowanymi na podstawie art. 33.Minimalne i zaawansowane kontrole cyberbezpieczeństwa
1.
W terminie siedmiu miesięcy od przedłożenia pierwszego projektu ogólnounijnego sprawozdania z oceny ryzyka w cyberprzestrzeni zgodnie z art. 19 ust. 4 OSP z pomocą ENTSO energii elektrycznej i we współpracy z organizacją OSD UE opracowują wniosek dotyczący minimalnych i zaawansowanych kontroli cyberbezpieczeństwa.2.
W terminie sześciu miesięcy od sporządzenia każdego regionalnego sprawozdania z oceny ryzyka w cyberprzestrzeni zgodnie z art. 21 ust. 2 OSP z pomocą ENTSO energii elektrycznej i we współpracy z organizacją OSD UE przedstawiają właściwemu organowi zmianę minimalnych i zaawansowanych kontroli cyberbezpieczeństwa. Wniosek zostanie sporządzony zgodnie z art. 8 ust. 10 i będzie uwzględniał ryzyko zidentyfikowane w regionalnej ocenie ryzyka.3.
Minimalne i zaawansowane kontrole cyberbezpieczeństwa muszą być możliwe do zweryfikowania przez uczestnictwo w krajowym systemie weryfikacji zgodnie z procedurą określoną w art. 31 lub przez poddanie się niezależnym audytom bezpieczeństwa przeprowadzanym przez osobę trzecią zgodnie z wymogami wymienionymi w art. 25 ust. 2.4.
Pierwotne minimalne i zaawansowane kontrole cyberbezpieczeństwa opracowane zgodnie z ust. 1 opierają się na ryzyku zidentyfikowanym w ogólnounijnym sprawozdaniu z oceny ryzyka w cyberprzestrzeni, o którym mowa w art. 19 ust. 5. Zmienione minimalne i zaawansowane kontrole cyberbezpieczeństwa opracowane zgodnie z ust. 2 opierają się na regionalnym sprawozdaniu z oceny ryzyka w cyberprzestrzeni, o którym mowa w art. 21 ust. 2.5.
Minimalne kontrole cyberbezpieczeństwa obejmują kontrole mające na celu ochronę informacji wymienianych na podstawie art. 46.6.
W terminie 12 miesięcy od zatwierdzenia minimalnych i zaawansowanych kontroli cyberbezpieczeństwa zgodnie z art. 8 ust. 5 lub po każdej aktualizacji zgodnie z art. 8 ust. 10 podmioty wymienione w art. 2 ust. 1 i zidentyfikowane jako podmioty o krytycznym wpływie i podmioty o dużym wpływie zgodnie z art. 24, podczas opracowywania planu ograniczania ryzyka na poziomie podmiotu zgodnie z art. 26 ust. 5, stosują minimalne kontrole cyberbezpieczeństwa w obszarze o dużym wpływie i zaawansowane kontrole cyberbezpieczeństwa w obszarze o krytycznym wpływie.Odstępstwa od minimalnych i zaawansowanych kontroli cyberbezpieczeństwa
1.
Podmioty wymienione w art. 2 ust. 1 mogą zwrócić się do odpowiedniego właściwego organu o przyznanie odstępstwa od obowiązku stosowania minimalnych i zaawansowanych kontroli cyberbezpieczeństwa, o których mowa w art. 29 ust. 6. Właściwy organ może przyznać takie odstępstwo z jednego z następujących powodów:a)
w wyjątkowych okolicznościach, jeżeli podmiot jest w stanie wykazać, że koszty wdrożenia odpowiednich kontroli cyberbezpieczeństwa znacznie przewyższają korzyści. ACER i ENTSO energii elektrycznej we współpracy z organizacją OSD UE mogą wspólnie opracować wytyczne dotyczące szacowania kosztów kontroli cyberbezpieczeństwa, aby pomóc podmiotom;b)
jeżeli podmiot przedstawia plan zaradzenia ryzyku na poziomie podmiotu, który ogranicza ryzyko w cyberbezpie- czeństwie za pomocą alternatywnych kontroli do poziomu akceptowalnego zgodnie z kryteriami akceptacji ryzyka, o których mowa w art. 26 ust. 3 lit. b).2.
W terminie trzech miesięcy od otrzymania wniosku, o którym mowa w ust. 1, każdy właściwy organ podejmuje decyzję o przyznaniu odstępstwa od minimalnych i zaawansowanych kontroli cyberbezpieczeństwa. Odstępstwa od minimalnych lub zaawansowanych kontroli cyberbezpieczeństwa przyznaje się na okres maksymalnie trzech lat, z możliwością przedłużenia.3.
Zagregowane i zanonimizowane informacje dotyczące przyznanych odstępstw zamieszcza się w załączniku do kompleksowego sprawozdania z oceny ryzyka w cyberprzestrzeni w odniesieniu do transgranicznych przepływów energii elektrycznej, o którym mowa w art. 23. ENTSO energii elektrycznej i organizacja OSD UE wspólnie aktualizują ten wykaz w stosownych przypadkach.Weryfikacja wspólnych ram cyberbezpieczeństwa w odniesieniu do energii elektrycznej
1.
Nie później niż w terminie 24 miesięcy po przyjęciu kontroli, o których mowa w art. 28 ust. 1 lit. a), b) i c), oraz ustanowieniu systemu zarządzania cyberbezpieczeństwem, o którym mowa w lit. d) tego artykułu, każdy podmiot o krytycznym wpływie zidentyfikowany zgodnie z art. 24 ust. 1 musi być w stanie wykazać na wniosek właściwego organu zgodność z systemem zarządzania cyberbezpieczeństwem oraz minimalnymi lub zaawansowanymi kontrolami cyberbez- pieczeństwa.2.
Każdy podmiot o krytycznym wpływie wypełnia obowiązek, o którym mowa w ust. 1, przez poddanie się niezależnym audytom bezpieczeństwa przeprowadzanym przez osobę trzecią zgodnie z wymogami wymienionymi w art. 25 ust. 2 lub przez uczestniczenie w krajowym systemie weryfikacji zgodnie z art. 25 ust. 1.3.
Weryfikacja zgodności podmiotu o krytycznym wpływie z systemem zarządzania cyberbezpieczeństwem oraz minimalnymi lub zaawansowanymi kontrolami cyberbezpieczeństwa obejmuje wszystkie aktywa w obszarze o krytycznym wpływie podmiotu o krytycznym wpływie.4.
Weryfikację zgodności podmiotu o krytycznym wpływie z systemem zarządzania cyberbezpieczeństwem oraz minimalnymi lub zaawansowanymi kontrolami cyberbezpieczeństwa powtarza się regularnie w terminie najpóźniej 36 miesięcy po zakończeniu pierwszej weryfikacji, a następnie co trzy lata.5.
Każdy podmiot o krytycznym wpływie określony zgodnie z art. 24 wykazuje swoją zgodność z wymogiem stosowania kontroli, o których mowa w art. 28 ust. 1 lit. a), b) i c), oraz ustanowienia systemu zarządzania cyberbezpieczeństwem, o którym mowa w lit. d) tego artykułu, przez złożenie właściwemu organowi sprawozdania w sprawie wyniku weryfikacji zgodności.System zarządzania cyberbezpieczeństwem
1.
Każdy podmiot o dużym wpływie lub podmiot o krytycznym wpływie w terminie 24 miesięcy od powiadomienia przez właściwy organ, że został zidentyfikowany jako podmiot o dużym wpływie lub podmiot o krytycznym wpływie zgodnie z art. 24 ust. 6, ustanawia system zarządzania cyberbezpieczeństwem, a następnie co trzy lata dokonuje jego przeglądu w celu:a)
określenia zakresu systemu zarządzania cyberbezpieczeństwem z uwzględnieniem interfejsów i zależności od innych podmiotów;b)
zapewnienia, aby cała kadra kierownicza najwyższego szczebla była informowana o odpowiednich obowiązkach prawnych i aktywnie przyczyniała się do wdrażania systemu zarządzania cyberbezpieczeństwem przez terminowe podejmowanie decyzji i szybkie reagowanie;c)
zapewnienia dostępności zasobów koniecznych w systemie zarządzania cyberbezpieczeństwem;d)
ustanowienia polityki cyberbezpieczeństwa, która jest dokumentowana i przekazywana w ramach podmiotu i do osób, których dotyczy ryzyko dla bezpieczeństwa;e)
przydzielenia obowiązków dotyczących ról istotnych dla cyberbezpieczeństwa i informowania o nich;f)
zarządzania ryzykiem w cyberprzestrzeni na poziomie podmiotu zgodnie z definicją zawartą w art. 26;g)
określenia i zapewnienia zasobów niezbędnych do wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania cyberbezpieczeństwem, z uwzględnieniem niezbędnych kompetencji i wiedzy z zakresu zasobów cyberbez- pieczeństwa;h)
określenia komunikacji wewnętrznej i zewnętrznej istotnej z punktu widzenia cyberbezpieczeństwa;i)
tworzenia, aktualizowania i kontrolowania udokumentowanych informacji związanych z systemem zarządzania cyberbezpieczeństwem;j)
oceny wydajności i skuteczności systemu zarządzania cyberbezpieczeństwem;k)
prowadzenia audytów wewnętrznych w planowanych odstępach czasu, tak aby zapewnić skuteczne wdrożenie i utrzymanie systemu zarządzania cyberbezpieczeństwem;l)
przeglądu wdrażania systemu zarządzania cyberbezpieczeństwem w planowanych odstępach czasu; oraz kontrolowania i korygowania niezgodności zasobów i działań z politykami, procedurami i wytycznymi w systemie zarządzania cyberbezpieczeństwem.2.
Zakres systemu zarządzania cyberbezpieczeństwem obejmuje wszystkie aktywa w obszarze o dużym wpływie i obszarze o krytycznym wpływie podmiotu o dużym wpływie i podmiotu o krytycznym wpływie.3.
Właściwe organy, bez narzucania czy propagowania korzystania z określonego rodzaju technologii, zachęcają do stosowania europejskich lub międzynarodowych norm i specyfikacji związanych z systemami zarządzania i mających znaczenie dla bezpieczeństwa sieci i systemów informatycznych.Minimalne i zaawansowane kontrole cyberbezpieczeństwa w łańcuchu dostaw
1.
W terminie siedmiu miesięcy od przedłożenia pierwszego projektu ogólnounijnego sprawozdania z oceny ryzyka w cyberprzestrzeni zgodnie z art. 19 ust. 4 OSP z pomocą ENTSO energii elektrycznej i we współpracy z organizacją OSD UE opracowują wniosek dotyczący minimalnych i zaawansowanych kontroli cyberbezpieczeństwa w łańcuchu dostaw, które ograniczają ryzyko w łańcuchach dostaw zidentyfikowane w ogólnounijnych ocenach ryzyka w cyberprzestrzeni, jako uzupełnienie minimalnych i zaawansowanych kontroli cyberbezpieczeństwa opracowanych zgodnie z art. 29. Minimalne i zaawansowane kontrole cyberbezpieczeństwa w łańcuchu dostaw opracowuje się wraz z minimalnymi i zaawansowanymi kontrolami cyberbezpieczeństwa zgodnie z art. 29. Minimalne i zaawansowane kontrole cyberbezpieczeństwa w łańcuchu dostaw obejmują cały cykl życia wszystkich produktów ICT, usług ICT i procesów ICT w obszarze o dużym wpływie lub obszarze o krytycznym wpływie podmiotu o dużym wpływie lub podmiotu o krytycznym wpływie. Przy opracowywaniu wniosku dotyczącego minimalnych i zaawansowanych kontroli cyberbezpieczeństwa w łańcuchu dostaw prowadzi się konsultacje z grupą współpracy NIS.2.
Minimalne kontrole cyberbezpieczeństwa w łańcuchu dostaw obejmują kontrole podmiotów o dużym wpływie lub podmiotów o krytycznym wpływie, w których to kontrolach:a)
uwzględnia się zalecenia dotyczące zamówień publicznych na produkty ICT, usługi ICT i procesy ICT odnoszące się do specyfikacji cyberbezpieczeństwa, obejmujące co najmniej:(i)
sprawdzanie przeszłości pracowników dostawcy uczestniczącego w łańcuchu dostaw i zajmującego się informacjami szczególnie chronionymi lub mającego dostęp do należących do podmiotu aktywów o dużym wpływie lub aktywów o krytycznym wpływie. Sprawdzanie przeszłości może obejmować weryfikację tożsamości i przeszłości personelu lub wykonawców podmiotu zgodnie z prawem i procedurami krajowymi oraz odpowiednim i mającym zastosowanie prawem Unii, w tym rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 i dyrektywą Parlamentu Europejskiego i Rady (UE) 2016/680 18 . Sprawdzanie przeszłości musi być proporcjonalne i ściśle ograniczone do tego, co jest konieczne. Przeprowadza się je wyłącznie w celu oceny potencjalnego ryzyka dla bezpieczeństwa odnośnego podmiotu. Musi być ono proporcjonalne do wymogów biznesowych, klauzul tajności informacji, które mają być udostępniane, oraz postrzeganego ryzyka, a także może być przeprowadzane przez sam podmiot, przez przedsiębiorstwo zewnętrzne przeprowadzające kontrolę bezpieczeństwa lub w ramach rządowego poświadczenia;(ii)
procesy bezpiecznego i kontrolowanego projektowania, opracowywania i wytwarzania produktów ICT, usług ICT i procesów ICT, promujące projektowanie i rozwój produktów ICT, usług ICT i procesów ICT, które obejmują odpowiednie środki techniczne w celu zapewnienia cyberbezpieczeństwa;(iii)
projektowanie sieci i systemów informatycznych, w których urządzenia nie są zaufane, nawet jeśli znajdują się w bezpiecznym obszarze, wymagają weryfikacji wszystkich otrzymanych wniosków i opierają się na zasadzie "najniższych uprawnień";(iv)
dostęp dostawcy do aktywów podmiotu;(v)
zobowiązania umowne dostawcy do ochrony i ograniczenia dostępu do informacji szczególnie chronionych podmiotu;(vi)
podstawowe specyfikacje zamówień publicznych w dziedzinie cyberbezpieczeństwa dla podwykonawców dostawcy;(vii)
identyfikowalność stosowania specyfikacji cyberbezpieczeństwa od opracowania przez produkcję do dostarczenia produktów ICT, usług ICT lub procesów ICT;(viii)
wspieranie aktualizacji bezpieczeństwa przez cały cykl życia produktów ICT, usług ICT lub procesów ICT;(ix)
prawo do audytu cyberbezpieczeństwa w procesach projektowania, rozwoju i produkcji dostawcy; oraz(x)
ocenę profilu ryzyka dostawcy;b)
zobowiązuje się takie podmioty do uwzględniania zaleceń dotyczących udzielania zamówień, o których mowa w lit. a), przy zawieraniu umów z dostawcami, partnerami współpracującymi i innymi stronami w łańcuchu dostaw, obejmujących zwykłe dostawy produktów ICT, usług ICT i procesów ICT, a także zdarzenia i okoliczności niezwią- zane z zamówieniami, takie jak rozwiązanie i przeniesienie umów w przypadku zaniedbania ze strony partnera umownego;c)
zobowiązuje się takie podmioty do uwzględniania wyników odpowiednich skoordynowanych oszacowań ryzyka dla bezpieczeństwa krytycznych łańcuchów dostaw przeprowadzonych zgodnie z art. 22 ust. 1 dyrektywy (UE) 2022/2555;d)
uwzględnia się kryteria wyboru dostawców, którzy mogą spełnić specyfikacje cyberbezpieczeństwa określone w lit. a) i którzy mają poziom cyberbezpieczeństwa odpowiedni do ryzyka w cyberbezpieczeństwie związanego z produktem ICT, usługą ICT lub procesami ICT, które dostawca dostarcza, i zawierania umów z takimi dostawcami;e)
uwzględnia się kryteria dywersyfikacji źródeł dostaw produktów ICT, usług ICT i procesów ICT oraz zmniejszenia ryzyka uzależnienia od jednego dostawcy;f)
uwzględnia się kryteria regularnego monitorowania, przeglądu lub audytu specyfikacji cyberbezpieczeństwa w odniesieniu do wewnętrznych procesów operacyjnych dostawców przez cały cykl życia każdego produktu ICT, każdej usługi ICT i każdego procesu ICT.3.
W odniesieniu do specyfikacji cyberbezpieczeństwa zawartych w zaleceniu dotyczącym zamówień publicznych w dziedzinie cyberbezpieczeństwa, o którym mowa w ust. 2 lit. a), podmioty o dużym wpływie lub podmioty o krytycznym wpływie stosują zasady udzielania zamówień publicznych zgodnie z dyrektywą Parlamentu Europejskiego i Rady 2014/24/UE 19 , zgodnie z art. 35 ust. 4, lub określają własne specyfikacje na podstawie wyników oceny ryzyka w cyberprzestrzeni na poziomie podmiotu.4.
Zaawansowane kontrole cyberbezpieczeństwa w łańcuchu dostaw obejmują kontrole podmiotów o krytycznym wpływie w celu sprawdzenia podczas udzielania zamówień publicznych, czy produkty ICT, usługi ICT i procesy ICT, które będą wykorzystywane jako aktywa o krytycznym wpływie, spełniają specyfikacje cyberbezpieczeństwa. Produkt ICT, usługę ICT lub proces ICT weryfikuje się za pomocą europejskiego programu certyfikacji cyberbezpieczeństwa, o którym mowa w art. 31, albo za pomocą działań weryfikacyjnych wybranych i zorganizowanych przez podmiot. Stopień szczegółowości i zakres działań weryfikacyjnych muszą być wystarczające do uzyskania pewności, że produkt ICT, usługa ICT lub proces ICT mogą zostać wykorzystane do ograniczenia ryzyka zidentyfikowanego w ocenie ryzyka na poziomie podmiotu. Podmiot o krytycznym wpływie dokumentuje działania podjęte w celu ograniczenia zidentyfikowanego ryzyka.5.
Minimalne i zaawansowane kontrole cyberbezpieczeństwa w łańcuchu dostaw stosuje się do zamówień publicznych odpowiednich produktów ICT, usług ICT i procesów ICT. Minimalne i zaawansowane kontrole cyberbezpieczeństwa w łańcuchu dostaw będą stosowane do procedur udzielania zamówień w podmiotach zidentyfikowanych jako podmioty o krytycznym wpływie i podmioty o dużym wpływie zgodnie z art. 24, które to procedury rozpoczynają się sześć miesięcy po przyjęciu lub aktualizacji minimalnych i zaawansowanych kontroli cyberbezpieczeństwa, o których mowa w art. 29.6.
W terminie sześciu miesięcy od sporządzenia każdego regionalnego sprawozdania z oceny ryzyka w cyberprzestrzeni zgodnie z art. 21 ust. 2 OSP z pomocą ENTSO energii elektrycznej i we współpracy z organizacją OSD UE przedstawiają właściwemu organowi zmianę minimalnych i zaawansowanych kontroli cyberbezpieczeństwa w łańcuchu dostaw. Wniosek zostanie sporządzony zgodnie z art. 8 ust. 10 i będzie uwzględniał ryzyko zidentyfikowane w regionalnej ocenie ryzyka.Macierze mapowania do celów kontroli cyberbezpieczeństwa w odniesieniu do energii elektrycznej pod kątem norm
1.
W terminie siedmiu miesięcy od przedłożenia pierwszego projektu ogólnounijnego sprawozdania z oceny ryzyka w cyberprzestrzeni zgodnie z art. 19 ust. 4 OSP z pomocą ENTSO energii elektrycznej i we współpracy z organizacją OSD UE i w konsultacji z ENISA opracowują wniosek dotyczący macierzy do celów mapowania kontroli, o których mowa w art. 28 ust. 1 lit. a) i b), pod kątem norm europejskich i międzynarodowych, a także odpowiednich specyfikacji technicznych ("matryca mapowania"). ENTSO energii elektrycznej i organizacja OSD UE dokumentują równoważność poszczególnych kontroli za pomocą kontroli określonych w art. 28 ust. 1 lit. a) i b).2.
Właściwe organy mogą zapewnić ENTSO energii elektrycznej i organizacji OSD UE mapy kontroli określonych w art. 28 ust. 1 lit. a) i b), z odniesieniem do powiązanych krajowych ram prawnych lub regulacyjnych, w tym odpowiednich norm krajowych państw członkowskich zgodnie z art. 25 dyrektywy (UE) 2022/2555. Jeżeli właściwy organ państwa członkowskiego przedstawi takie mapy, ENTSO energii elektrycznej i organizacja OSD UE włączają te mapy krajowe do macierzy mapowania.3.
W terminie sześciu miesięcy od sporządzenia każdego regionalnego sprawozdania z oceny ryzyka w cyberprzestrzeni zgodnie z art. 21 ust. 2 OSP z pomocą ENTSO energii elektrycznej i we współpracy z organizacją OSD UE oraz w konsultacji z ENISA przedstawiają właściwemu organowi zmianę macierzy mapowania. Wniosek zostanie sporządzony zgodnie z art. 8 ust. 10 i będzie uwzględniał ryzyko zidentyfikowane w regionalnej ocenie ryzyka.18 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, oraz w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. L 119 z 4.5.2016, s. 89).
19 Dyrektywa Parlamentu Europejskiego i Rady 2014/24/UE z dnia 26 lutego 2014 r. w sprawie zamówień publicznych, uchylająca dyrektywę 2004/18/WE (Dz.U. L 94 z 28.3.2014, s. 65).
© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.