art. 16
32016L1148
Treść przepisu
Artykuł 16
Wymogi w zakresie bezpieczeństwa i zgłaszanie incydentów
1. Państwa członkowskie zapewniają, aby dostawcy usług cyfrowych określali i podejmowali odpowiednie i proporcjonalne środki techniczne i organizacyjne w celu zarządzania ryzykami, na jakie narażone są sieci i systemy informatyczne wykorzystywane przez nich w kontekście oferowania usług, o których mowa w załączniku III, w Unii. Uwzględniając najnowszy stan wiedzy, środki te muszą zapewniać poziom bezpieczeństwa sieci i systemów informatycznych odpowiedni do istniejącego ryzyka oraz uwzględniać następujące elementy:
a)
bezpieczeństwo systemów i obiektów;
b)
postępowanie w przypadku incydentu;
c)
zarządzanie ciągłością działania;
d)
monitorowanie, audyt i testowanie;
e)
zgodność z normami międzynarodowymi.
2. Państwa członkowskie zapewniają, aby dostawcy usług cyfrowych podejmowali środki zapobiegające i minimalizujące wpływ incydentów dotyczących bezpieczeństwa ich sieci i systemów informatycznych na usługi, o których mowa w załączniku III, oferowane w Unii, z myślą o zapewnieniu ciągłości tych usług.
3. Państwa członkowskie zapewniają, aby dostawcy usług cyfrowych bez zbędnej zwłoki zgłaszali właściwemu organowi lub CSIRT wszelkie incydenty mające istotny wpływ na świadczenie usługi, o której mowa w załączniku III, oferowanej przez tych dostawców w Unii. Zgłoszenia muszą zawierać informacje umożliwiające właściwemu organowi lub CSIRT określenie istotności wpływu transgranicznego. Zgłoszenie nie może narażać strony zgłaszającej na zwiększoną odpowiedzialność.
4. W celu określenia, czy wpływ incydentu jest istotny, uwzględnia się w szczególności następujące parametry:
a)
liczbę użytkowników, których dotyczy incydent, w szczególności użytkowników zależnych od usługi na potrzeby świadczenia ich własnych usług;
b)
czas trwania incydentu;
c)
zasięg geograficzny, którego dotyczy incydent;
d)
zasięg zakłócenia funkcjonowania usługi;
e)
zasięg wpływu na działalność gospodarczą i społeczną.
Obowiązek zgłoszenia incydentu ma zastosowanie wyłącznie wówczas, gdy dostawca usług cyfrowych ma dostęp do informacji niezbędnych do oceny wpływu incydentu względem parametrów, o których mowa w akapicie pierwszym.
5. W przypadku gdy do celów świadczenia usługi, która ma istotne znaczenie dla utrzymania krytycznej działalności społecznej i gospodarczej, operator usług kluczowych jest zależny od dostawcy usług cyfrowych będącego stroną trzecią, operatorowi temu zgłasza się wszelki istotny wpływ na ciągłość usług kluczowych związany z incydentem, który dotyczy dostawcy usług cyfrowych.
6. W stosownych przypadkach, w szczególności gdy incydent, o którym mowa w ust. 3, dotyczy dwóch lub większej liczby państw członkowskich, właściwy organ lub CSIRT informuje inne państwa członkowskie, których dotyczy incydent. W działaniach tych właściwe organy, CSIRT i pojedyncze punkty kontaktowe – zgodnie z prawem Unii lub prawodawstwem krajowym zgodnym z prawem Unii – chronią bezpieczeństwo i interesy handlowe dostawcy usług cyfrowych, jak również poufność przekazywanych informacji.
7. Po konsultacji z zainteresowanym dostawcą usług cyfrowych właściwy organ lub CSIRT oraz, w stosownych przypadkach, organy lub CSIRT innych zainteresowanych państw członkowskich mogą poinformować społeczeństwo o poszczególnych incydentach lub zobowiązać dostawcę usług cyfrowych, aby to zrobił, w przypadku gdy wiedza społeczeństwa jest niezbędna, żeby zapobiec wystąpieniu incydentu lub aby poradzić sobie z trwającym incydentem lub w przypadku gdy ujawnienie incydentu z innych względów leży w interesie publicznym.
8. Komisja przyjmuje akty wykonawcze w celu dalszego doprecyzowania elementów, o których mowa w ust. 1, oraz parametrów wymienionych w ust. 4 niniejszego artykułu. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 22 ust. 2, w terminie do dnia 9 sierpnia 2017 r.
9. Komisja może przyjąć akty wykonawcze określające formaty i procedury mające zastosowanie do wymogów dotyczących zgłaszania. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 22 ust. 2.
10. Bez uszczerbku dla art. 1 ust. 6 państwa członkowskie nie mogą nakładać na dostawców usług cyfrowych jakichkolwiek dalszych wymogów dotyczących bezpieczeństwa lub zgłaszania.
11. Rozdział V nie ma zastosowania do mikroprzedsiębiorstw i małych przedsiębiorstw zdefiniowanych w zaleceniu Komisji 2003/361/WE (19).
© Unia Europejska, źródło: EUR-Lex (eur-lex.europa.eu), pozyskano 12.07.2026. Autentyczne są wyłącznie wersje opublikowane w Dz. Urz. UE. · PDF źródłowy