[Zgłoszenie incydentu poważnego] - Art. 12. - Krajowy system cyberbezpieczeństwa. - Dz.U.2022.1863 t.j. - OpenLEX

Art. 12. - [Zgłoszenie incydentu poważnego] - Krajowy system cyberbezpieczeństwa.

Dziennik Ustaw

Dz.U.2022.1863 t.j.

Akt obowiązujący
Wersja od: 5 września 2022 r.
Art.  12.  [Zgłoszenie incydentu poważnego]
1. 
Zgłoszenie, o którym mowa w art. 11 ust. 1 pkt 4, zawiera:
1)
dane podmiotu zgłaszającego, w tym firmę przedsiębiorcy, numer we właściwym rejestrze, siedzibę i adres;
2)
imię i nazwisko, numer telefonu oraz adres poczty elektronicznej osoby dokonującej zgłoszenia;
3)
imię i nazwisko, numer telefonu oraz adres poczty elektronicznej osoby uprawnionej do składania wyjaśnień dotyczących zgłaszanych informacji;
4)
opis wpływu incydentu poważnego na świadczenie usługi kluczowej, w tym:
a)
usługi kluczowe zgłaszającego, na które incydent poważny miał wpływ,
b)
liczbę użytkowników usługi kluczowej, na których incydent poważny miał wpływ,
c)
moment wystąpienia i wykrycia incydentu poważnego oraz czas jego trwania,
d)
zasięg geograficzny obszaru, którego dotyczy incydent poważny,
e)
wpływ incydentu poważnego na świadczenie usługi kluczowej przez innych operatorów usług kluczowych i dostawców usług cyfrowych,
f)
przyczynę zaistnienia incydentu poważnego i sposób jego przebiegu oraz skutki jego oddziaływania na systemy informacyjne lub świadczone usługi kluczowe;
5)
informacje umożliwiające właściwemu CSIRT MON, CSIRT NASK lub CSIRT GOV określenie, czy incydent dotyczy dwóch lub większej liczby państw członkowskich Unii Europejskiej;
6)
w przypadku incydentu, który mógł mieć wpływ na świadczenie usługi kluczowej, opis przyczyn tego incydentu, sposób jego przebiegu oraz prawdopodobne skutki oddziaływania na systemy informacyjne;
7)
informacje o podjętych działaniach zapobiegawczych;
8)
informacje o podjętych działaniach naprawczych;
9)
inne istotne informacje.
2. 
Operator usługi kluczowej przekazuje informacje znane mu w chwili dokonywania zgłoszenia, które uzupełnia w trakcie obsługi incydentu poważnego.
3. 
Operator usługi kluczowej przekazuje, w niezbędnym zakresie, w zgłoszeniu, o którym mowa w art. 11 ust. 1 pkt 4, informacje stanowiące tajemnice prawnie chronione, w tym stanowiące tajemnicę przedsiębiorstwa, gdy jest to konieczne do realizacji zadań właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV oraz sektorowego zespołu cyberbezpieczeństwa.
4. 
Właściwy CSIRT MON, CSIRT NASK lub CSIRT GOV oraz sektorowy zespół cyberbezpieczeństwa może zwrócić się do operatora usługi kluczowej o uzupełnienie zgłoszenia o informacje, w tym informacje stanowiące tajemnice prawnie chronione, w zakresie niezbędnym do realizacji zadań, o których mowa w ustawie.
5. 
W zgłoszeniu operator usługi kluczowej oznacza informacje stanowiące tajemnice prawnie chronione, w tym stanowiące tajemnicę przedsiębiorstwa.