Rozdział 5 - PRZEPŁYWY INFORMACJI, CYBERATAKI I ZARZĄDZANIE KRYZYSOWE - Rozporządzenie delegowane 2024/1366 uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/943 poprzez ustanowienie kodeksu sieci dotyczącego zasad sektorowych w zakresie aspektów cyberbezpieczeństwa w transgranicznych przepływach energii elektrycznej
Dzienniki UE
Dz.U.UE.L.2024.1366
Akt obowiązujący Wersja od: 24 maja 2024 r.
ROZDZIAŁ V
PRZEPŁYWY INFORMACJI, CYBERATAKI I ZARZĄDZANIE KRYZYSOWE
PRZEPŁYWY INFORMACJI, CYBERATAKI I ZARZĄDZANIE KRYZYSOWE
Przepisy dotyczące wymiany informacji
1.
Jeżeli właściwy organ otrzyma informacje dotyczące cyberataku podlegającego obowiązkowi zgłaszania, ten właściwy organ:a)
ocenia poziom poufności tych informacji oraz bez zbędnej zwłoki i nie później niż w ciągu 24 godzin od otrzymania informacji powiadamia dany podmiot o wynikach swojej oceny;b)
podejmuje próbę znalezienia jakiegokolwiek innego podobnego cyberataku w Unii zgłoszonego innym właściwym organom w celu skorelowania informacji otrzymanych w kontekście cyberataku podlegającego obowiązkowi zgłaszania z informacjami przekazanymi w kontekście innych cyberataków oraz rozbudowania istniejących informacji, a także wzmocnienia i koordynacji reagowania w zakresie cyberbezpieczeństwa;c)
odpowiada za usunięcie tajemnic handlowych i anonimizację informacji zgodnie z odpowiednimi przepisami krajowymi i unijnymi;d)
udostępnia te informacje krajowym pojedynczym punktom kontaktowym, CSIRT i wszystkim właściwym organom wyznaczonym zgodnie z art. 4 w innych państwach członkowskich bez zbędnej zwłoki i nie później niż w ciągu 24 godzin po powzięciu wiadomości o cyberataku podlegającym obowiązkowi zgłaszania oraz regularnie przekazują tym organom lub podmiotom zaktualizowane informacje;e)
rozpowszechnia informacje o cyberataku, po anonimizacji i usunięciu tajemnic handlowych zgodnie z ust. 1 lit. c) wśród podmiotów o krytycznym wpływie i podmiotów o dużym wpływie w swoim państwie członkowskim bez zbędnej zwłoki i nie później niż w ciągu 24 godzin po otrzymaniu informacji zgodnie z ust. 1 lit. a) oraz regularnie przekazuje zaktualizowane informacje umożliwiające tym podmiotom skuteczne zorganizowanie obrony;f)
może zwrócić się do podmiotu o dużym wpływie lub podmiotu o krytycznym wpływie, który dokonuje zgłoszenia, o dalsze rozpowszechnianie w bezpieczny sposób informacji na temat cyberataku podlegającego obowiązkowi zgłaszania wśród innych podmiotów, których atak ten może dotyczyć, w celu umożliwienia orientacji sytuacyjnej w sektorze energii elektrycznej oraz zapobieżenia urzeczywistnieniu się ryzyka, które może się nasilić i przybrać formę transgranicznego incydentu w cyberbezpieczeństwie w sektorze energii elektrycznej;g)
udostępnia ENISA sprawozdanie podsumowujące, po anonimizacji i usunięciu tajemnic handlowych, z informacjami dotyczącymi cyberataku.2.
W przypadku gdy CSIRT dowiaduje się o nienaprawionej aktywnie wykorzystywanej podatności, CSIRT:a)
niezwłocznie informuje o niej ENISA za pośrednictwem odpowiedniego bezpiecznego kanału wymiany informacji,chyba że inne przepisy prawa Unii stanowią inaczej;
b)
wspiera dany podmiot w uzyskaniu od producenta lub dostawcy skutecznego, skoordynowanego i szybkiego zarządzania nienaprawioną aktywnie wykorzystywaną podatnością lub skutecznych i wydajnych środków ograniczających ryzyko;c)
dzieli się dostępnymi informacjami ze sprzedawcą i zwraca się do producenta lub dostawcy, w miarę możliwości, o wskazanie wykazu CSIRT w państwach członkowskich, których dotyczy nienaprawiona aktywnie wykorzystywana podatność i które muszą zostać poinformowane;d)
dzieli się dostępnymi informacjami z CSIRT określonymi w poprzedniej literze, w oparciu o zasadę ograniczonego dostępu;e)
dzieli się strategiami i środkami łagodzącymi, o ile takie istnieją, w związku ze zgłoszoną nienaprawioną aktywnie wykorzystywaną podatnością.3.
W przypadku gdy właściwy organ dowiaduje się o nienaprawionej aktywnie wykorzystywanej podatności, ten właściwy organ:a)
dzieli się strategiami i środkami łagodzącymi, o ile takie istnieją, w związku ze zgłoszoną nienaprawioną aktywnie wykorzystywaną podatnością, w koordynacji z CSIRT w jego państwie członkowskim;b)
dzieli się informacjami z CSIRT w państwie członkowskim, w którym zgłoszono nienaprawioną aktywnie wykorzystywaną podatność.4.
Jeżeli właściwy organ poweźmie wiadomość o nienaprawionej podatności, co do której nie ma jeszcze dowodów na to, że jest ona aktywnie wykorzystywana, bez zbędnej zwłoki koordynuje swoje działania z CSIRT do celów skoordynowanego ujawniania podatności, jak określono w art. 12 ust. 1 dyrektywy (UE) 2022/2555.5.
Jeżeli CSIRT otrzyma informacje dotyczące cyberzagrożeń od co najmniej jednego podmiotu o dużym wpływie lub podmiotu o krytycznym wpływie zgodnie z art. 38 ust. 6, bez zbędnej zwłoki i nie później niż cztery godziny po otrzymaniu informacji rozpowszechnia w swoim państwie członkowskim te informacje lub wszelkie inne informacje mające znaczenie dla zapobiegania ryzyku związanemu z podmiotami o krytycznym wpływie i podmiotami o dużym wpływie, reagowania na to ryzyko lub łagodzenia go, a także, w stosownych przypadkach, przekazuje te informacje wszystkim zainteresowanym CSIRT i swojemu krajowemu pojedynczemu punktowi kontaktowemu.6.
Jeżeli właściwy organ uzyska informacje dotyczące cyberzagrożeń od co najmniej jednego podmiotu o dużym wpływie lub podmiotu o krytycznym wpływie, przekazuje te informacje CSIRT do celów ust. 5.7.
Właściwe organy mogą przekazać w całości lub w części obowiązki, o których mowa w ust. 3 i 4, dotyczące jednego lub większej liczby podmiotów o dużym wpływie lub podmiotów o krytycznym wpływie, które działają w więcej niż jednym państwie członkowskim, innemu właściwemu organowi w jednym z tych państw członkowskich, zgodnie z porozumieniem między zainteresowanymi właściwymi organami.8.
OSP, przy wsparciu ENTSO energii elektrycznej i we współpracy z organizacją OSD UE, opracowuje metodykę dotyczącą skali klasyfikacji cyberataków do dnia 13 czerwca 2025 r. OSP, przy udziale ENTSO energii elektrycznej i organizacji OSD UE, mogą zwrócić się do właściwych organów o skonsultowanie się z ENISA oraz do swoich właściwych organów odpowiedzialnych za cyberbezpieczeństwo o pomoc w opracowywaniu takiej skali klasyfikacji. Metodyka ta zapewnia klasyfikację wagi cyberataku według pięciu poziomów, przy czym dwa najwyższe poziomy to poziom "wysoki" i "krytyczny". Podstawą klasyfikacji jest ocena następujących parametrów:a)
potencjalny wpływ z uwzględnieniem narażonych aktywów i obszarów określonych zgodnie z art. 26 ust. 4 lit. c); orazb)
dotkliwość cyberataku.9.
Do dnia 13 czerwca 2026 r. ENTSO energii elektrycznej, we współpracy z organizacją OSD UE, przeprowadza studium wykonalności w celu oceny możliwości i kosztów finansowych niezbędnych do opracowania wspólnego narzędzia umożliwiającego wszystkim podmiotom wymianę informacji z właściwymi organami krajowymi.10.
W studium wykonalności uwzględnia się możliwość zastosowania takiego wspólnego narzędzia w celu:a)
wsparcia podmiotów o krytycznym wpływie i podmiotów o dużym wpływie w drodze zapewnienia na potrzeby operacji związanych z transgranicznymi przepływami energii elektrycznej odpowiednich informacji dotyczących bezpieczeństwa, takich jak zgłaszanie cyberataków w czasie zbliżonym do rzeczywistego, wczesne ostrzeżenia związane z kwestiami cyberbezpieczeństwa i nieujawnione podatności w urządzeniach używanych w systemie elektroenergetycznym;b)
utrzymywania tego narzędzia w odpowiednim i wysoce niezawodnym środowisku;c)
umożliwienia gromadzenia danych od podmiotów o krytycznym wpływie i podmiotów o dużym wpływie oraz ułatwianie usuwania informacji poufnych i anonimizacji danych oraz ich szybkiego rozpowszechniania wśród tych podmiotów.11.
ENTSO energii elektrycznej, we współpracy z organizacją OSD UE:a)
zasięga opinii ENISA i grupy współpracy NIS, krajowych pojedynczych punktów kontaktowych oraz przedstawicieli głównych zainteresowanych stron przy przeprowadzaniu oceny wykonalności;b)
przedstawia wyniki studium wykonalności ACER i grupie współpracy NIS.12.
ENTSO energii elektrycznej, we współpracy z organizacją OSD UE może rozważać i ułatwiać realizację inicjatyw proponowanych przez podmioty o krytycznym wpływie i podmioty o dużym wpływie do celów oceny i testowania takich narzędzi wymiany informacji.Rola podmiotów o dużym wpływie i podmiotów o krytycznym wpływie w odniesieniu do wymiany informacji
1.
Każdy podmiot o dużym wpływie i podmiot o krytycznym wpływie:a)
ustala, w odniesieniu do wszystkich aktywów wchodzących w jego obszar cyberbezpieczeństwa określony zgodnie z art. 26 ust. 4 lit. c), co najmniej zdolności centrów operacyjnych cyberbezpieczeństwa w zakresie:(i)
zapewnienia, aby odpowiednie sieci i systemy oraz aplikacje informatyczne generowały dzienniki bezpieczeństwa do celów monitorowania bezpieczeństwa, umożliwiające wykrywanie nieprawidłowości i gromadzenie informacji na temat cyberataków;(ii)
monitorowania bezpieczeństwa, w tym wykrywania włamań i oceny podatności sieci i systemów informatycznych;(iii)
prowadzenia analiz i, w razie potrzeby, podejmowania wszelkich działań wymaganych w ramach jego odpowiedzialności i zdolności do ochrony podmiotu;(iv)
uczestniczenia w gromadzeniu i wymianie informacji opisanych w niniejszym artykule.b)
jest uprawniony do nabycia całości lub części tych zdolności zgodnie z lit. a) za pośrednictwem dostawców usług zarządzanych w zakresie bezpieczeństwa. Podmioty o krytycznym wpływie i podmioty o dużym wpływie pozostają odpowiedzialne za dostawców usług zarządzanych w zakresie bezpieczeństwa oraz prowadzą nadzór ich działań;c)
wyznaczają pojedynczy punkt kontaktowy na poziomie podmiotu do celów wymiany informacji.2.
ENISA może wydawać niewiążące wytyczne dotyczące ustanowienia takich zdolności lub zlecania odnośnych usług dostawcom usług zarządzanych w zakresie bezpieczeństwa w charakterze podwykonawców w ramach zadania określonego w art. 6 ust. 2 rozporządzenia (UE) 2019/881.3.
Każdy podmiot o krytycznym wpływie i podmiot o dużym wpływie przekazuje swoim CSIRT i właściwemu organowi istotne informacje dotyczące cyberataków podlegających obowiązkowi zgłaszania bez zbędnej zwłoki i nie później niż w ciągu czterech godzin od uzyskania informacji, że dany incydent podlega obowiązkowi zgłaszania.4.
Informacje dotyczące cyberataku uznaje się za podlegające obowiązkowi zgłaszania, jeżeli podmiot, który padł ofiarą cyberataku, oceni jego dotkliwość w zakresie od "wysokiej" do "krytycznej" zgodnie z metodyką dotyczącą skali klasyfikacji cyberataków na podstawie art. 37 ust. 8. Pojedynczy punkt kontaktowy na poziomie podmiotu wyznaczony zgodnie z ust. 1 lit. c) powiadamia o klasyfikacji incydentu.5.
W przypadku gdy podmioty o krytycznym wpływie i podmioty o dużym wpływie zgłaszają do CSIRT istotne informacje dotyczące nienaprawionych aktywnie wykorzystywanych podatności, zespół ten może przekazać te informacje swojemu właściwemu organowi. Ze względu na poziom wrażliwości zgłaszanych informacji CSIRT może wstrzymać się z przekazaniem informacji lub przekazać je później z uzasadnionych względów związanych z cyberbezpieczeństwem.6.
Każdy podmiot o krytycznym wpływie i podmiot o dużym wpływie przekazuje bez zbędnej zwłoki swoim CSIRT wszelkie informacje dotyczące cyberzagrożenia podlegającego obowiązkowi zgłaszania, które może mieć skutki transgra- niczne. Informacje dotyczące cyberzagrożenia uznaje się za podlegające obowiązkowi zgłaszania, jeżeli spełniony jest co najmniej jeden z następujących warunków:a)
zapewnia to istotne informacje dla innych podmiotów o krytycznym wpływie i podmiotów o dużym wpływie do celów zapobiegania wpływowi odnośnego ryzyka, wykrywania go, reagowania na niego lub łagodzenia go;b)
określone techniki, taktyki i procedury stosowane w kontekście ataku prowadzą do uzyskania takich informacji jak zagrożony adres URL lub adres IP, skróty lub wszelkie inne atrybuty przydatne do kontekstualizacji i skorelowania ataku;c)
cyberzagrożenie może zostać poddane dalszej ocenie i kontekstualizacji na podstawie dodatkowych informacji przekazywanych przez dostawców usług lub osoby trzecie niepodlegające niniejszemu rozporządzeniu.7.
Przy wymianie informacji na podstawie niniejszego artykułu każdy podmiot o krytycznym wpływie i podmiot o dużym wpływie wskazuje:a)
że informacje przedkładane są zgodnie z niniejszym rozporządzeniem;b)
czy informacje dotyczą:(i)
cyberataku podlegającego obowiązkowi zgłaszania, o którym mowa w ust. 3;(ii)
nienaprawionych aktywnie wykorzystywanych podatności nieujawnionych publicznie, o których mowa w ust. 4;(iii)
cyberzagrożenia podlegającego obowiązkowi zgłaszania, o którym mowa w ust. 5;c)
w przypadku cyberataku podlegającego obowiązkowi zgłaszania - poziom cyberataku zgodnie z metodyką dotyczącą skali klasyfikacji cyberataków, o której mowa w art. 37 ust. 8, oraz informacje będące podstawą tej klasyfikacji, w tym co najmniej dotkliwość cyberataku.8.
W przypadku gdy podmiot o krytycznym wpływie lub podmiot o dużym wpływie powiadamia o poważnym incydencie zgodnie z art. 23 dyrektywy (UE) 2022/2555, a zgłoszenie incydentu na podstawie tego artykułu zawiera istotne informacje wymagane na podstawie ust. 3 niniejszego artykułu, zgłoszenie dokonywane przez podmiot na podstawie art. 23 ust. 1 tej dyrektywy stanowi zgłoszenie informacji na podstawie ust. 3 niniejszego artykułu.9.
Każdy podmiot o krytycznym wpływie i podmiot o dużym wpływie dokonuje zgłoszeń do swojego właściwego organu lub CSIRT w drodze wyraźnego wskazania wyłącznie tych konkretnych informacji, które są udostępniane właściwemu organowi lub CSIRT w przypadkach, w których wymiana informacji mogłaby być źródłem cyberataku. Każdy podmiot o krytycznym wpływie i podmiot o dużym wpływie ma prawo przekazać właściwemu CSIRT nieopatrzoną klauzulą poufności wersję informacji.Wykrywanie cyberataków i postępowanie z powiązanymi informacjami
1.
Podmioty o krytycznym wpływie i podmioty o dużym wpływie rozwijają zdolności niezbędne do radzenia sobie z wykrytymi cyberatakami przy niezbędnym wsparciu ze strony odpowiedniego właściwego organu, ENTSO energii elektrycznej i organizacji OSD UE. CSIRT wyznaczony w odnośnym państwie członkowskim w ramach zadania przydzielonego CSIRT na mocy art. 11 ust. 5 lit. a) dyrektywy (UE) 2022/2555 może zapewniać wsparcie podmiotom o krytycznym wpływie i podmiotom o dużym wpływie. Podmioty o krytycznym wpływie i podmioty o dużym wpływie wdrażają skuteczne procesy w celu identyfikacji i klasyfikacji cyberataków, które będą lub mogą mieć wpływ na transgraniczne przepływy energii elektrycznej, oraz zminimalizowania ich wpływu i reagowania na nie.2.
Jeżeli cyberatak ma wpływ na transgraniczne przepływy energii elektrycznej pojedyncze punkty kontaktowe na poziomie podmiotu o krytycznym wpływie i podmiotu o dużym wpływie dotkniętego tym wpływem podejmują współpracę w celu prowadzenia wymiany informacji koordynowanej przez właściwy organ państwa członkowskiego, w którym cyberatak został po raz pierwszy zgłoszony.3.
Podmioty o krytycznym wpływie i podmioty o dużym wpływie:a)
zapewniają, aby ich własny pojedynczy punkt kontaktowy na poziomie podmiotu miał dostęp na zasadzie ograniczonego dostępu do informacji otrzymanych od krajowego pojedynczego punktu kontaktowego za pośrednictwem właściwego organu;b)
o ile nie dokonano tego już na podstawie art. 3 ust. 4 dyrektywy (UE) 2022/2555, przekazują właściwemu organowi państwa członkowskiego, w którym mają siedzibę, oraz krajowemu pojedynczemu punktowi kontaktowemu wykaz swoich pojedynczych punktów kontaktowych ds. cyberbezpieczeństwa na poziomie podmiotu:(i)
co do których ten właściwy organ i krajowy pojedynczy punkt kontaktowy mogą oczekiwać, że będą im one przekazywać informacje na temat cyberataków podlegających obowiązkowi zgłaszania;(ii)
którym te właściwy organy i krajowe pojedyncze punkty kontaktowe będą w razie konieczności przykazywać informacje;c)
ustanawiają procedury zarządzania cyberatakami w odniesieniu do cyberataków, w tym role i obowiązki, zadania i działania służące reagowaniu, na podstawie możliwego do zaobserwowania rozwoju wypadków związanych z cyberatakiem w obszarach o krytycznym wpływie i obszarach o dużym wpływie;d)
testują ogólne procedury zarządzania cyberatakami co najmniej raz w roku w drodze zbadania co najmniej jednego scenariusza mającego bezpośredni lub pośredni wpływ na transgraniczne przepływy energii elektrycznej. Ten coroczny test może być przeprowadzany przez podmioty o krytycznym wpływie i podmioty o dużym wpływie podczas regularnych ćwiczeń, o których mowa w art. 43. Wszelkie bieżące działania służące reagowaniu na cyberataki, których skutki sklasyfikowane są co najmniej jako skutki o skali 2 zgodnie z metodyką dotyczącą skali klasyfikacji cyberataków, o której mowa w art. 37 ust. 8, oraz których podstawową przyczyną jest cyberbezpieczeństwo, mogą służyć jako coroczny test planu reagowania na cyberataki.4.
Państwa członkowskie mogą przekazać zadania, o których mowa w ust. 1, również regionalnym centrom koordynacyjnym zgodnie z art. 37 ust. 2 rozporządzenia (UE) 2019/943.Zarządzanie w sytuacji kryzysowej
1.
Jeżeli właściwy organ stwierdzi, że kryzys elektroenergetyczny jest związany z cyberatakiem, który ma wpływ na więcej niż jedno państwo członkowskie, właściwe organy z państw członkowskich dotkniętych kryzysem, właściwe organy odpowiedzialne za cyberbezpieczeństwo, właściwe organy ds. gotowości na wypadek zagrożeń oraz organy ds. zarządzania kryzysowego w cyberbezpieczeństwie w ramach NIS z państw członkowskich dotkniętych kryzysem tworzą wspólnie grupę koordynacyjną ad hoc ds. kryzysów transgranicznych.2.
Transgraniczna grupa koordynacyjna ad hoc ds. kryzysu:a)
koordynuje skuteczne pozyskanie i dalsze rozpowszechnianie wszelkich istotnych informacji dotyczących cyberbez- pieczeństwa wśród podmiotów zaangażowanych w proces zarządzania kryzysowego;b)
organizuje komunikację między wszystkimi podmiotami dotkniętymi kryzysem a właściwymi organami, aby ograniczyć nakładanie się działań i zwiększyć skuteczność analiz i technicznych środków reagowania w celu zaradzenia jednoczesnym kryzysom elektroenergetycznym, których podstawową przyczyną jest cyberbezpieczeństwo;c)
zapewnia, we współpracy z właściwymi CSIRT, wymaganą wiedzę fachową, w tym doradztwo operacyjne w zakresie wdrażania ewentualnych środków ograniczających ryzyko, na rzecz podmiotów dotkniętych incydentem;d)
powiadamia Komisję i Grupę Koordynacyjną ds. Energii Elektrycznej o stanie incydentu i regularnie przekazuje im aktualne informacje na ten temat, zgodnie z zasadami ochrony określonymi w art. 46;e)
zasięga porady odpowiednich organów, agencji lub podmiotów, które mogą pomóc w łagodzeniu kryzysu elektroenergetycznego.3.
W przypadku gdy cyberatak kwalifikuje się lub oczekuje się, że będzie się kwalifikować jako incydent w cyberbezpie- czeństwie na dużą skalę, grupa koordynacyjna ad hoc ds. kryzysów transgranicznych niezwłocznie informuje krajowe organy ds. zarządzania kryzysowego w cyberbezpieczeństwie zgodnie z art. 9 ust. 1 dyrektywy (UE) 2022/2555 w państwach członkowskich, których dotyczy incydent, a także Komisję i EU-CyCLONe. W takiej sytuacji grupa koordynacyjna ad hoc ds. kryzysów transgranicznych wspiera EU-CyCLONe w odniesieniu do kwestii specyficznych dla sektora.4.
Podmioty o krytycznym wpływie i podmioty o dużym wpływie rozwijają i utrzymują zdolności w zakresie wykrywania i łagodzenia kryzysów transgranicznych oraz opracowują i utrzymują wewnętrzne wytyczne i plany gotowości w tym zakresie, a ponadto posiadają personel biorący udział w wykrywaniu i łagodzeniu takich kryzysów. Podmiot o krytycznym wpływie lub podmiot o dużym wpływie, na który ma wpływ jednoczesny kryzys elektroenergetyczny, bada podstawową przyczynę takiego kryzysu we współpracy ze swoim właściwym organem w celu określenia zakresu, w jakim kryzys jest związany z cyberatakiem.5.
Państwa członkowskie mogą przekazać zadania określone w ust. 4 również regionalnym centrom koordynacyjnym zgodnie z art. 37 ust. 2 rozporządzenia (UE) 2019/943.Plany zarządzania kryzysami w dziedzinie cyberbezpieczeństwa i reagowania na nie
1.
W terminie 24 miesięcy od przekazania ACER ogólnounijnego sprawozdania z oceny ryzyka ACER opracowuje w ścisłej współpracy z ENISA, ENTSO energii elektrycznej, organizacją OSD UE, właściwymi organami odpowiedzialnymi za cyberbezpieczeństwo, właściwymi organami, właściwymi organami ds. gotowości na wypadek zagrożeń, oraz krajowymi organami ds. zarządzania kryzysowego w cyberbezpieczeństwie w ramach NIS oraz krajowymi organami regulacyjnymi plan zarządzania kryzysami w dziedzinie cyberbezpieczeństwa i reagowania na nie na szczeblu Unii dla sektora energii elektrycznej.2.
W terminie 12 miesięcy od opracowania przez ACER planu zarządzania kryzysami w dziedzinie cyberbezpieczeń- stwa i reagowania na nie na szczeblu Unii dla sektora energii elektrycznej zgodnie z ust. 1 każdy właściwy organ opracowuje krajowy plan zarządzania kryzysami w dziedzinie cyberbezpieczeństwa i reagowania na nie w odniesieniu do trans- granicznych przepływów energii elektrycznej, uwzględniając plan zarządzania kryzysami w dziedzinie cyberbezpieczeństwa na szczeblu Unii oraz krajowy plan gotowości na wypadek zagrożeń ustanowiony zgodnie z art. 10 rozporządzenia (UE) 2019/941. Plan ten musi być spójny z planem reagowania na incydenty i sytuacje kryzysowe w cyber- bezpieczeństwie na dużą skalę przyjętym na podstawie art. 9 ust. 4 dyrektywy (UE) 2022/2555. Właściwy organ koordynuje działania z podmiotami o krytycznym wpływie i podmiotami o dużym wpływie oraz z właściwym organem ds. gotowości na wypadek zagrożeń w swoim państwie członkowskim.3.
Krajowy plan reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę wymagany na podstawie art. 9 ust. 4 dyrektywy (UE) 2022/2555 uznaje się za krajowy plan zarządzania kryzysami w dziedzinie cyber- bezpieczeństwa i reagowania na nie na podstawie niniejszego artykułu, jeżeli zawiera on postanowienia dotyczące zarządzania kryzysami i reagowania na nie w odniesieniu do transgranicznych przepływów energii elektrycznej.4.
Państwa członkowskie mogą przekazać zadania wymienione w ust. 1 i 2 również regionalnym centrom koordynacyjnym zgodnie z art. 37 ust. 2 rozporządzenia (UE) 2019/943.5.
Podmioty o krytycznym wpływie i podmioty o dużym wpływie zapewniają, że ich procesy związane z zarządzaniem kryzysami w dziedzinie cyberbezpieczeństwa:a)
przewidują zgodne procedury obsługi incydentów transgranicznych w dziedzinie cyberbezpieczeństwa zgodnie z definicją zawartą w art. 6 pkt 8 dyrektywy (UE) 2022/2555, formalnie włączone do ich planów zarządzania kryzysowego;b)
są częścią ogólnych działań w zakresie zarządzania kryzysowego.6.
W terminie 12 miesięcy od powiadomienia podmiotów o dużym wpływie i podmiotów o krytycznym wpływie zgodnie z art. 24 ust. 6, a następnie co trzy lata, podmioty o krytycznym wpływie i podmioty o dużym wpływie opracowują na poziomie podmiotu plan zarządzania kryzysowego dotyczący kryzysu związanego z cyberbezpieczeństwem, który to plan uwzględniają w swoich ogólnych planach zarządzania kryzysowego. Plan ten zawiera co najmniej następujące elementy:a)
zasady ogłoszenia kryzysu zgodnie z art. 14 ust. 2 i 3 rozporządzenia (UE) 2019/941;b)
jasne role i obowiązki w zakresie zarządzania kryzysowego, w tym rolę innych istotnych podmiotów o krytycznym wpływie i podmiotów o dużym wpływie;c)
aktualne dane kontaktowe, a także zasady komunikacji i wymiany informacji w sytuacji kryzysowej, w tym połączenie z CSIRT.7.
Środki zarządzania kryzysowego na podstawie art. 21 ust. 2 lit. c) dyrektywy (UE) 2022/2555 uznaje się za plan zarządzania kryzysowego na poziomie podmiotu dla sektora energii elektrycznej na podstawie niniejszego artykułu, jeżeli obejmuje on wszystkie wymogi wymienione w ust. 6.8.
Plany zarządzania kryzysowego testuje się podczas ćwiczeń w dziedzinie cyberbezpieczeństwa, o których mowa w art. 43, 44 i 45.9.
Podmioty o krytycznym wpływie i podmioty o dużym wpływie włączają swoje plany zarządzania kryzysowego na poziomie podmiotu do swoich planów ciągłości działania dotyczących procesów o krytycznym wpływie i procesów o dużym wpływie. Plany zarządzania kryzysowego na poziomie podmiotu obejmują:a)
procesy zależne od dostępności, integralności i niezawodności usług informatycznych;b)
wszystkie lokalizacje istotne dla ciągłości działania, w tym lokalizacje sprzętu i oprogramowania;c)
wszystkie wewnętrzne role i obowiązki związane z procesami ciągłości działania.10.
Podmioty o krytycznym wpływie i podmioty o dużym wpływie aktualizują swoje plany zarządzania kryzysowego na poziomie podmiotu co najmniej raz na trzy lata oraz w razie potrzeby.11.
ACER aktualizuje plan zarządzania kryzysami w dziedzinie cyberbezpieczeństwa i reagowania na nie na szczeblu Unii dla sektora energii elektrycznej, opracowany zgodnie z ust. 1, co najmniej raz na trzy lata oraz w razie potrzeby.12.
Każdy właściwy organ aktualizuje krajowy plan zarządzania kryzysami w dziedzinie cyberbezpieczeństwa i reagowania na nie w odniesieniu do transgranicznych przepływów energii elektrycznej opracowany zgodnie z ust. 2 co najmniej raz na trzy lata i w razie potrzeby.13.
Podmioty o krytycznym wpływie i podmioty o dużym wpływie testują swoje plany ciągłości działania co najmniej raz na trzy lata lub po istotnych zmianach w procesach o krytycznym wpływie. Wyniki testów planu ciągłości działania są dokumentowane. Podmioty o krytycznym wpływie i podmioty o dużym wpływie mogą włączyć test swojego planu ciągłości działania do ćwiczeń w dziedzinie cyberbezpieczeństwa.14.
Podmioty o krytycznym wpływie i podmioty o dużym wpływie aktualizują swój plan ciągłości działania w razie potrzeby i co najmniej raz na trzy lata, z uwzględnieniem wyników testu.15.
Jeżeli w wyniku testu wykryte zostaną niedociągnięcia w planie ciągłości działania, podmiot o krytycznym wpływie i podmiot o dużym wpływie koryguje te niedociągnięcia w terminie 180 dni kalendarzowych od przeprowadzenia testu i przeprowadza nowy test w celu przedstawienia dowodów na to, że środki naprawcze są skuteczne.16.
Jeżeli podmiot o krytycznym wpływie lub podmiot o dużym wpływie nie jest w stanie usunąć niedociągnięć w terminie 180 dni kalendarzowych, przedstawia uzasadnienie w sprawozdaniu przekazywanym właściwemu organowi zgodnie z art. 27.Zdolności wczesnego ostrzegania w zakresie cyberbezpieczeństwa w odniesieniu do sektora energii elektrycznej
1.
Właściwe organy współpracują z ENISA w celu rozwijania zdolności wczesnego ostrzegania w zakresie cyberbezpie- czeństwa w odniesieniu do energii elektrycznej (ECEAC) w ramach pomocy udzielanej państwom członkowskim zgodnie z art. 6 ust. 2 i 7 rozporządzenia (UE) 2019/881.2.
ECEAC umożliwiają ENISA, podczas wykonywania zadań wymienionych w art. 7 ust. 7 rozporządzenia (UE) 2019/881:a)
gromadzenie dobrowolnie udostępnianych informacji przekazywanych przez:(i)
CSIRT, właściwe organy;(ii)
podmioty wymienione w art. 2 niniejszego rozporządzenia;(iii)
każdy inny podmiot, który chce dobrowolnie udostępniać istotne informacje;b)
ocenę i klasyfikację gromadzonych informacji;c)
ocenę informacji, do których ENISA ma dostęp, pod kątem określenia warunków ryzyka w cyberprzestrzeni oraz odpowiednich wskaźników dotyczących aspektów transgranicznych przepływów energii elektrycznej;d)
określenie warunków i wskaźników, które są często skorelowane z cyberatakami w sektorze energii elektrycznej;e)
określenie - w drodze oceny i identyfikacji czynników ryzyka - czy należy podjąć dalszą analizę i działania zapobiegawcze w drodze oceny i identyfikacji czynników ryzyka;f)
informowanie właściwych organów o stwierdzonych zagrożeniach i zalecanych działaniach zapobiegawczych właściwych dla zainteresowanych podmiotów;g)
informowanie wszystkich odpowiednich podmiotów wymienionych w art. 2 o wynikach oceny informacji zgodnie z niniejszym ustępem lit. b), c) i d);h)
okresowe uwzględnianie odpowiednich informacji w sprawozdaniu z orientacji sytuacyjnej, sporządzonym zgodnie z art. 7 ust. 6 rozporządzenia (UE) 2019/881;i)
w miarę możliwości wyprowadzanie, z zebranych informacji, odpowiednich danych wskazujących na potencjalne naruszenie bezpieczeństwa lub cyberatak ("oznaki naruszenia integralności systemu").3.
CSIRT niezwłocznie przekazują informacje otrzymane od ENISA zainteresowanym podmiotom w ramach ich zadań określonych w art. 11 ust. 3 lit. b) dyrektywy (UE) 2022/2555.4.
ACER monitoruje skuteczność ECEAC. ENISA wspiera ACER, przekazując wszelkie niezbędne informacje zgodnie z art. 6 ust. 2 i art. 7 ust. 1 rozporządzenia (UE) 2019/881. Analiza tego działania w zakresie monitorowania stanowi część monitorowania zgodnie z art. 12 niniejszego rozporządzenia.© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.