[Przekazywanie informacji o incydencie krytycznym między CSIRT; informowanie RCB o incydencie krytycznym] - Art. 35. - Krajowy... - Dz.U.2022.1863 t.j. - OpenLEX

Art. 35. - [Przekazywanie informacji o incydencie krytycznym między CSIRT; informowanie RCB o incydencie krytycznym] - Krajowy system cyberbezpieczeństwa.

Dziennik Ustaw

Dz.U.2022.1863 t.j.

Akt obowiązujący
Wersja od: 5 września 2022 r.
Art.  35.  [Przekazywanie informacji o incydencie krytycznym między CSIRT; informowanie RCB o incydencie krytycznym]
1. 
CSIRT MON, CSIRT NASK i CSIRT GOV przekazują sobie wzajemnie informacje o incydencie krytycznym oraz informują o nim Rządowe Centrum Bezpieczeństwa.
2. 
Informacja, o której mowa w ust. 1, zawiera:
1)
wstępną analizę potencjalnych skutków incydentu, z uwzględnieniem w szczególności:
a)
liczby użytkowników, których dotyczy incydent, w szczególności jeśli zakłóca świadczenie usługi kluczowej,
b)
momentu wystąpienia i wykrycia incydentu oraz czasu jego trwania,
c)
zasięgu geograficznego obszaru, którego dotyczy incydent;
2)
rekomendację w sprawie zwołania Rządowego Zespołu Zarządzania Kryzysowego, o którym mowa w art. 8 ust. 1 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym.
3. 
Informacja, o której mowa w ust. 1, może zawierać wniosek o zwołanie Zespołu do spraw Incydentów Krytycznych, zwanego dalej "Zespołem".
4. 
W przypadku uzyskania informacji o zagrożeniach cyberbezpieczeństwa CSIRT MON, CSIRT NASK i CSIRT GOV mogą informować się wzajemnie oraz informować o tych zagrożeniach Rządowe Centrum Bezpieczeństwa. Przepisy ust. 2 i 3 stosuje się odpowiednio.
5. 
CSIRT MON, CSIRT NASK i CSIRT GOV mogą publikować na stronie podmiotowej Biuletynu Informacji Publicznej odpowiednio Ministra Obrony Narodowej, Naukowej i Akademickiej Sieci Komputerowej - Państwowego Instytutu Badawczego lub Agencji Bezpieczeństwa Wewnętrznego informacje, w niezbędnym zakresie, o podatnościach, incydentach krytycznych oraz o zagrożeniach cyberbezpieczeństwa, o ile przekazywanie informacji przyczyni się do zwiększenia cyberbezpieczeństwa systemów informacyjnych użytkowanych przez obywateli i przedsiębiorców lub zapewnienia bezpiecznego korzystania z tych systemów. Publikowane informacje nie mogą naruszać przepisów o ochronie informacji niejawnych oraz innych tajemnic prawnie chronionych ani przepisów o ochronie danych osobowych.