art. 16

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii

32016L1148

Treść przepisu

Artykuł 16 Wymogi w zakresie bezpieczeństwa i zgłaszanie incydentów 1.   Państwa członkowskie zapewniają, aby dostawcy usług cyfrowych określali i podejmowali odpowiednie i proporcjonalne środki techniczne i organizacyjne w celu zarządzania ryzykami, na jakie narażone są sieci i systemy informatyczne wykorzystywane przez nich w kontekście oferowania usług, o których mowa w załączniku III, w Unii. Uwzględniając najnowszy stan wiedzy, środki te muszą zapewniać poziom bezpieczeństwa sieci i systemów informatycznych odpowiedni do istniejącego ryzyka oraz uwzględniać następujące elementy: a) bezpieczeństwo systemów i obiektów; b) postępowanie w przypadku incydentu; c) zarządzanie ciągłością działania; d) monitorowanie, audyt i testowanie; e) zgodność z normami międzynarodowymi. 2.   Państwa członkowskie zapewniają, aby dostawcy usług cyfrowych podejmowali środki zapobiegające i minimalizujące wpływ incydentów dotyczących bezpieczeństwa ich sieci i systemów informatycznych na usługi, o których mowa w załączniku III, oferowane w Unii, z myślą o zapewnieniu ciągłości tych usług. 3.   Państwa członkowskie zapewniają, aby dostawcy usług cyfrowych bez zbędnej zwłoki zgłaszali właściwemu organowi lub CSIRT wszelkie incydenty mające istotny wpływ na świadczenie usługi, o której mowa w załączniku III, oferowanej przez tych dostawców w Unii. Zgłoszenia muszą zawierać informacje umożliwiające właściwemu organowi lub CSIRT określenie istotności wpływu transgranicznego. Zgłoszenie nie może narażać strony zgłaszającej na zwiększoną odpowiedzialność. 4.   W celu określenia, czy wpływ incydentu jest istotny, uwzględnia się w szczególności następujące parametry: a) liczbę użytkowników, których dotyczy incydent, w szczególności użytkowników zależnych od usługi na potrzeby świadczenia ich własnych usług; b) czas trwania incydentu; c) zasięg geograficzny, którego dotyczy incydent; d) zasięg zakłócenia funkcjonowania usługi; e) zasięg wpływu na działalność gospodarczą i społeczną. Obowiązek zgłoszenia incydentu ma zastosowanie wyłącznie wówczas, gdy dostawca usług cyfrowych ma dostęp do informacji niezbędnych do oceny wpływu incydentu względem parametrów, o których mowa w akapicie pierwszym. 5.   W przypadku gdy do celów świadczenia usługi, która ma istotne znaczenie dla utrzymania krytycznej działalności społecznej i gospodarczej, operator usług kluczowych jest zależny od dostawcy usług cyfrowych będącego stroną trzecią, operatorowi temu zgłasza się wszelki istotny wpływ na ciągłość usług kluczowych związany z incydentem, który dotyczy dostawcy usług cyfrowych. 6.   W stosownych przypadkach, w szczególności gdy incydent, o którym mowa w ust. 3, dotyczy dwóch lub większej liczby państw członkowskich, właściwy organ lub CSIRT informuje inne państwa członkowskie, których dotyczy incydent. W działaniach tych właściwe organy, CSIRT i pojedyncze punkty kontaktowe – zgodnie z prawem Unii lub prawodawstwem krajowym zgodnym z prawem Unii – chronią bezpieczeństwo i interesy handlowe dostawcy usług cyfrowych, jak również poufność przekazywanych informacji. 7.   Po konsultacji z zainteresowanym dostawcą usług cyfrowych właściwy organ lub CSIRT oraz, w stosownych przypadkach, organy lub CSIRT innych zainteresowanych państw członkowskich mogą poinformować społeczeństwo o poszczególnych incydentach lub zobowiązać dostawcę usług cyfrowych, aby to zrobił, w przypadku gdy wiedza społeczeństwa jest niezbędna, żeby zapobiec wystąpieniu incydentu lub aby poradzić sobie z trwającym incydentem lub w przypadku gdy ujawnienie incydentu z innych względów leży w interesie publicznym. 8.   Komisja przyjmuje akty wykonawcze w celu dalszego doprecyzowania elementów, o których mowa w ust. 1, oraz parametrów wymienionych w ust. 4 niniejszego artykułu. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 22 ust. 2, w terminie do dnia 9 sierpnia 2017 r. 9.   Komisja może przyjąć akty wykonawcze określające formaty i procedury mające zastosowanie do wymogów dotyczących zgłaszania. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 22 ust. 2. 10.   Bez uszczerbku dla art. 1 ust. 6 państwa członkowskie nie mogą nakładać na dostawców usług cyfrowych jakichkolwiek dalszych wymogów dotyczących bezpieczeństwa lub zgłaszania. 11.   Rozdział V nie ma zastosowania do mikroprzedsiębiorstw i małych przedsiębiorstw zdefiniowanych w zaleceniu Komisji 2003/361/WE (19).

© Unia Europejska, źródło: EUR-Lex (eur-lex.europa.eu), pozyskano 12.07.2026. Autentyczne są wyłącznie wersje opublikowane w Dz. Urz. UE. · PDF źródłowy