art. 2
32018R0151
Treść przepisu
Artykuł 2
Zabezpieczenia
1. Bezpieczeństwo systemów i obiektów, o których mowa w art. 16 ust. 1 lit. a) dyrektywy (UE) 2016/1148, oznacza bezpieczeństwo sieci i systemów informatycznych oraz ich środowiska fizycznego i obejmuje następujące elementy:
a)
systematyczne zarządzanie sieciami i systemami informatycznymi, co oznacza mapowanie systemów informatycznych oraz ustanowienie zestawu odpowiednich polityk w zakresie zarządzania bezpieczeństwem informacji, w tym analiz ryzyka, zasobów ludzkich, bezpieczeństwa operacji, architektury bezpieczeństwa, zabezpieczenia danych i zarządzania cyklem życia systemu oraz, w stosownych przypadkach, szyfrowania i zarządzania nim;
b)
bezpieczeństwo fizyczne i środowiskowe, które oznacza dostępność zestawu środków mających na celu ochronę bezpieczeństwa sieci i systemów informatycznych dostawców usług cyfrowych przed szkodami z zastosowaniem całościowego podejścia do kwestii zagrożeń opartego na analizie ryzyka, które uwzględnia np. awarie systemu, błędy ludzkie, działania złośliwe bądź zjawiska naturalne;
c)
bezpieczeństwo dostaw oznacza ustanowienie oraz utrzymywanie odpowiednich polityk w celu zagwarantowania dostępności oraz, w stosownych przypadkach, identyfikowalności krytycznych dostaw wykorzystywanych do świadczenia usług;
d)
kontrole dostępu do sieci i systemów informatycznych, co oznacza dostępność zestawu środków, które mają zagwarantować, że dostęp fizyczny i dostęp logiczny do sieci i systemów informatycznych, w tym administracyjne bezpieczeństwo sieci i systemów informatycznych, są uprawnione i ograniczone w oparciu o wymogi dotyczące prowadzenia działalności i bezpieczeństwa.
2. W odniesieniu do postępowania w przypadku incydentu, o którym mowa w art. 16 ust. 1 lit. b) dyrektywy (UE) 2016/1148, środki przedsiębrane przez dostawcę usług cyfrowych obejmują:
a)
utrzymywanie i testowanie procesów oraz procedur wykrywania w celu zapewnienia terminowej i odpowiedniej wiedzy na temat nietypowych zdarzeń;
b)
procesy i polityki dotyczące zgłaszania incydentów oraz identyfikowania niedociągnięć i słabych punktów w jego systemach informatycznych;
c)
reagowanie zgodnie z ustanowionymi procedurami oraz składanie sprawozdań z wyników przedsięwziętych środków;
d)
ocenę powagi danego incydentu, dokumentowanie wiedzy uzyskanej z analizy incydentów oraz gromadzenie odpowiednich informacji, które mogą stanowić dowody i wspierać proces ciągłego doskonalenia.
3. Zarządzanie ciągłością działania, o którym mowa w art. 16 ust. 1 lit. c) dyrektywy (UE) 2016/1148, oznacza zdolność organizacji do utrzymania lub, w razie potrzeby, przywrócenia realizacji usług na uprzednio określonych dopuszczalnych poziomach, po wystąpieniu zakłócenia, i obejmuje:
a)
ustanowienie i stosowanie planów awaryjnych w oparciu o analizę wpływu na działalność w celu zapewnienia ciągłości usług świadczonych przez dostawców usług cyfrowych, co jest oceniane i testowane w regularnych odstępach czasu, na przykład przez ćwiczenia;
b)
zdolności w zakresie przywracania gotowości do pracy po katastrofie, które są oceniane i testowane w regularnych odstępach czasu, na przykład przez ćwiczenia.
4. Monitorowanie, audyt i testowanie, o których mowa w art. 16 ust. 1 lit. d) dyrektywy (UE) 2016/1148, obejmują ustanowienie i utrzymywanie polityk w zakresie:
a)
przeprowadzania zaplanowanej sekwencji obserwacji lub pomiarów w celu dokonania oceny, czy sieci i systemy informatyczne działają zgodnie z zamierzeniem;
b)
inspekcji i weryfikacji mających na celu sprawdzenie, czy stosuje się normę lub zbiór wytycznych, czy rejestry są dokładne, a także czy realizowane są cele w zakresie efektywności i skuteczności;
c)
procesu mającego na celu ujawnienie wad mechanizmów bezpieczeństwa sieci i systemów informatycznych, które służą ochronie danych i utrzymaniu funkcjonalności zgodnie z zamierzeniem. Tego rodzaju proces obejmuje procesy techniczne i personel zaangażowany w przepływ operacji.
5. Normy międzynarodowe, o których mowa w art. 16 ust. 1 lit. e) dyrektywy (UE) 2016/1148, oznaczają normy przyjęte przez międzynarodową jednostkę normalizacyjną, o której mowa w art. 2 ust. 1 lit. a) rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1025/2012 (2). Zgodnie z art. 19 dyrektywy (UE) 2016/1148 stosowane mogą być również europejskie lub uznane międzynarodowe normy i specyfikacje mające znaczenie dla bezpieczeństwa sieci i systemów informatycznych, w tym istniejące normy krajowe.
6. Dostawcy usług cyfrowych zapewniają udostępnianie właściwemu organowi odpowiedniej dokumentacji do celów weryfikacji zgodności z zabezpieczeniami określonymi w ust. 1, 2, 3, 4 i 5.
© Unia Europejska, źródło: EUR-Lex (eur-lex.europa.eu), pozyskano 12.07.2026. Autentyczne są wyłącznie wersje opublikowane w Dz. Urz. UE. · PDF źródłowy