Rozporządzenie wykonawcze 2018/151 ustanawiające zasady stosowania dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 w odniesieniu do dalszego doprecyzowania elementów, jakie mają być uwzględnione przez dostawców usług cyfrowych w zakresie zarządzania istniejącymi ryzykami dla bezpieczeństwa sieci i systemów informatycznych, oraz parametrów służących do określenia, czy incydent ma istotny wpływ
Dz.U.UE.L.2018.26.48
Akt obowiązującyROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) 2018/151
z dnia 30 stycznia 2018 r.
ustanawiające zasady stosowania dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 w odniesieniu do dalszego doprecyzowania elementów, jakie mają być uwzględnione przez dostawców usług cyfrowych w zakresie zarządzania istniejącymi ryzykami dla bezpieczeństwa sieci i systemów informatycznych, oraz parametrów służących do określenia, czy incydent ma istotny wpływ
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii 1 , w szczególności jej art. 16 ust. 8,
(1) Zgodnie z dyrektywą (UE) 2016/1148 dostawcy usług cyfrowych mogą przedsięwziąć środki techniczne i organizacyjne, jakie uznają za właściwe i proporcjonalne, aby zarządzać ryzykiem, na jakie narażone jest bezpieczeństwo ich sieci i systemów informatycznych, o ile środki te zapewniają odpowiedni poziom bezpieczeństwa i uwzględniają elementy przewidziane we wspomnianej dyrektywie.
(2) Przy określaniu właściwych i proporcjonalnych środków technicznych i organizacyjnych dostawcy usług cyfrowych powinni podchodzić do kwestii bezpieczeństwa informacji w sposób systematyczny, stosując podejście oparte na analizie ryzyka.
(3) W celu zapewnienia bezpieczeństwa systemów i obiektów dostawcy usług cyfrowych powinni stosować procedury oceny i analizy. Działania te powinny dotyczyć systematycznego zarządzania sieciami i systemami informatycznymi, bezpieczeństwa fizycznego i środowiskowego, bezpieczeństwa dostaw oraz kontroli dostępu.
(4) Należy zachęcać dostawców usług cyfrowych, aby podczas przeprowadzania analizy ryzyka w kontekście systematycznego zarządzania sieciami i systemami informatycznymi dokonywali identyfikacji konkretnych rodzajów ryzyka oraz wskazywali ich wagę, na przykład przez określenie zagrożeń dla krytycznych aktywów i tego, jak mogą one wpłynąć na operacje, oraz przez ustalenie najlepszych sposobów złagodzenia tych zagrożeń w oparciu o aktualne możliwości i potrzeby w zakresie zasobów.
(5) Polityki w zakresie zasobów ludzkich mogą odnosić się do zarządzania umiejętnościami, w tym do aspektów dotyczących rozwoju umiejętności związanych z bezpieczeństwem oraz podnoszenia świadomości. Należy zachęcać dostawców usług cyfrowych do uwzględnienia - przy podejmowaniu decyzji w sprawie zestawu polityk w zakresie bezpieczeństwa operacji - aspektów dotyczących zarządzania zmianami, zarządzania podatnością na zagrożenia, sformalizowania praktyk operacyjnych i administracyjnych oraz mapowania systemu.
(6) Polityki w zakresie architektury bezpieczeństwa mogą obejmować w szczególności rozdzielenie sieci i systemów, jak również szczególne środki bezpieczeństwa dotyczące operacji krytycznych, takich jak operacje administrowania. Rozdzielenie sieci i systemów mogłoby umożliwić dostawcy usług cyfrowych dokonanie rozróżnienia między elementami, takimi jak przepływy danych i zasoby obliczeniowe, które należą do klienta, grupy klientów, dostawcy usług cyfrowych lub stron trzecich.
(7) Środki przedsięwzięte w odniesieniu do bezpieczeństwa fizycznego i środowiskowego powinny zabezpieczać sieci i systemy informatyczne organizacji przed szkodami powodowanymi przez takie incydenty, jak kradzież, pożar, powódź lub inne czynniki pogodowe, awarie systemów telekomunikacyjnych lub awarie zasilania.
(8) Bezpieczeństwo dostaw w zakresie energii elektrycznej, paliw lub energii chłodniczej może obejmować bezpieczeństwo łańcucha dostaw, co uwzględnia w szczególności bezpieczeństwo wykonawców i podwykonawców zewnętrznych oraz zarządzanie nimi. Identyfikowalność krytycznych dostaw dotyczy zdolności dostawców usług cyfrowych do ustalania i rejestrowania źródeł tych dostaw.
(9) Kategoria użytkowników usług cyfrowych powinna obejmować osoby fizyczne lub prawne, które są klientami lub abonentami internetowej platformy handlowej lub usługi przetwarzania w chmurze bądź które odwiedzają stronę wyszukiwarki internetowej w celu przeprowadzenia wyszukiwania przy pomocy słów kluczowych.
(10) Ustalając istotność wpływu incydentu, przypadki określone w niniejszym rozporządzeniu należy traktować jako niewyczerpujący wykaz istotnych incydentów. Należy wyciągnąć wnioski z wykonania niniejszego rozporządzenia oraz z działalności grupy współpracy w odniesieniu do kwestii gromadzenia informacji z zakresu najlepszych praktyk dotyczących ryzyk i incydentów oraz dyskusji na temat zasad dotyczących sprawozdawczości w zakresie zgłaszania incydentów, o których mowa art. 11 ust. 3 lit. i) oraz m) dyrektywy (UE) 2016/1148. Wynikiem mogą być kompleksowe wytyczne dotyczące progów ilościowych dla parametrów zgłoszeń, które mogą prowadzić do powstania obowiązku zgłoszenia dla dostawców usług cyfrowych zgodnie z art. 16 ust. 3 dyrektywy (UE) 2016/1148. W stosownych przypadkach Komisja może również rozważyć dokonanie przeglądu progów aktualnie przewidzianych w niniejszym rozporządzeniu.
(11) Aby umożliwić właściwym organom uzyskanie informacji na temat potencjalnych nowych rodzajów ryzyka, dostawców usług cyfrowych należy zachęcać do dobrowolnego zgłaszania wszelkich incydentów, których cechy były im wcześniej nieznane, takich jak nowe exploity, wektory ataku lub podmioty zagrażające bezpieczeństwu, słabe punkty i zagrożenia.
(12) Niniejsze rozporządzenie powinno być stosowane od dnia następującego po upływie terminie transpozycji dyrektywy (UE) 2016/1148.
(13) Środki przewidziane w niniejszym rozporządzeniu są zgodne z opinią Komitetu ds. Bezpieczeństwa Sieci i Systemów Informatycznych, o którym mowa w art. 22 dyrektywy (UE) 2016/1148,
PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:
W imieniu Komisji | |
Jean-Claude JUNCKER | |
Przewodniczący |