art. 14
32016L1148
Treść przepisu
Artykuł 14
Wymogi w zakresie bezpieczeństwa i zgłaszanie incydentów
1. Państwa członkowskie zapewniają, aby operatorzy usług kluczowych podejmowali odpowiednie i proporcjonalne środki techniczne i organizacyjne w celu zarządzania ryzykami, na jakie narażone są wykorzystywane przez nich sieci i systemy informatyczne. Uwzględniając najnowszy stan wiedzy, środki te muszą zapewniać poziom bezpieczeństwa sieci i systemów informatycznych odpowiedni do istniejącego ryzyka.
2. Państwa członkowskie zapewniają, aby operatorzy usług kluczowych podejmowali odpowiednie środki zapobiegające i minimalizujące wpływ incydentów dotyczących bezpieczeństwa sieci i systemów informatycznych wykorzystywanych w celu świadczenia takich usług kluczowych, z myślą o zapewnieniu ciągłości tych usług.
3. Państwa członkowskie zapewniają, aby operatorzy usług kluczowych niezwłocznie zgłaszali właściwemu organowi lub CSIRT incydenty mające istotny wpływ na ciągłość świadczonych przez nich usług kluczowych. Zgłoszenia muszą zawierać informacje umożliwiające właściwemu organowi lub CSIRT określenie transgranicznego wpływu incydentu. Zgłoszenie nie może narażać strony zgłaszającej na zwiększoną odpowiedzialność.
4. Aby określić istotność wpływu danego incydentu, uwzględnia się w szczególności następujące parametry:
a)
liczbę użytkowników, których dotyczy zakłócenie usługi kluczowej;
b)
czas trwania incydentu;
c)
zasięg geograficzny związany z obszarem, którego dotyczy incydent.
5. W oparciu o informacje przekazane w zgłoszeniu przez operatora usług kluczowych właściwy organ lub CSIRT informuje inne państwo członkowskie, którego dotyczy incydent, lub inne państwa członkowskie, których dotyczy incydent, czy ma on istotny wpływ na ciągłość usług kluczowych w tym państwie członkowskim. W działaniach tych właściwy organ lub CSIRT – zgodnie z prawem Unii lub prawodawstwem krajowym zgodnym z prawem Unii – chronią bezpieczeństwo i interesy handlowe operatora usług kluczowych, jak również poufność informacji przekazanych w jego zgłoszeniu.
Jeżeli pozwalają na to okoliczności, właściwy organ lub CSIRT przekazują zgłaszającemu operatorowi usług kluczowych odpowiednie informacje dotyczące działań następczych jego zgłoszenia, takie jak informacje, które mogłyby wesprzeć skuteczne postępowanie w przypadku incydentu.
Na wniosek właściwego organu lub CSIRT pojedynczy punkt kontaktowy przekazuje zgłoszenia, o których mowa w akapicie pierwszym, pojedynczym punktom kontaktowym w innych państwach członkowskich, których dotyczy incydent.
6. Po konsultacji ze zgłaszającym operatorem usług kluczowych właściwy organ lub CSIRT może poinformować społeczeństwo o poszczególnych incydentach, w przypadku gdy wiedza społeczeństwa jest niezbędna do tego, aby zapobiec wystąpieniu incydentu lub aby poradzić sobie z trwającym incydentem.
7. Właściwe organy, działając wspólnie w ramach grupy współpracy, mogą opracować i przyjąć wytyczne dotyczące okoliczności, w których operatorzy usług kluczowych są zobowiązani do zgłaszania incydentów, w tym parametry służące określeniu istotności wpływu incydentu, o której mowa w ust. 4.
© Unia Europejska, źródło: EUR-Lex (eur-lex.europa.eu), pozyskano 12.07.2026. Autentyczne są wyłącznie wersje opublikowane w Dz. Urz. UE. · PDF źródłowy