art. 2

Rozporządzenie wykonawcze Komisji (UE) 2018/151 z dnia 30 stycznia 2018 r. ustanawiające zasady stosowania dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 w odniesieniu do dalszego doprecyzowania elementów, jakie mają być uwzględnione przez dostawców usług cyfrowych w zakresie zarządzania istniejącymi ryzykami dla bezpieczeństwa sieci i systemów informatycznych, oraz parametrów służących do określenia, czy incydent ma istotny wpływ

32018R0151

Treść przepisu

Artykuł 2 Zabezpieczenia 1.   Bezpieczeństwo systemów i obiektów, o których mowa w art. 16 ust. 1 lit. a) dyrektywy (UE) 2016/1148, oznacza bezpieczeństwo sieci i systemów informatycznych oraz ich środowiska fizycznego i obejmuje następujące elementy: a) systematyczne zarządzanie sieciami i systemami informatycznymi, co oznacza mapowanie systemów informatycznych oraz ustanowienie zestawu odpowiednich polityk w zakresie zarządzania bezpieczeństwem informacji, w tym analiz ryzyka, zasobów ludzkich, bezpieczeństwa operacji, architektury bezpieczeństwa, zabezpieczenia danych i zarządzania cyklem życia systemu oraz, w stosownych przypadkach, szyfrowania i zarządzania nim; b) bezpieczeństwo fizyczne i środowiskowe, które oznacza dostępność zestawu środków mających na celu ochronę bezpieczeństwa sieci i systemów informatycznych dostawców usług cyfrowych przed szkodami z zastosowaniem całościowego podejścia do kwestii zagrożeń opartego na analizie ryzyka, które uwzględnia np. awarie systemu, błędy ludzkie, działania złośliwe bądź zjawiska naturalne; c) bezpieczeństwo dostaw oznacza ustanowienie oraz utrzymywanie odpowiednich polityk w celu zagwarantowania dostępności oraz, w stosownych przypadkach, identyfikowalności krytycznych dostaw wykorzystywanych do świadczenia usług; d) kontrole dostępu do sieci i systemów informatycznych, co oznacza dostępność zestawu środków, które mają zagwarantować, że dostęp fizyczny i dostęp logiczny do sieci i systemów informatycznych, w tym administracyjne bezpieczeństwo sieci i systemów informatycznych, są uprawnione i ograniczone w oparciu o wymogi dotyczące prowadzenia działalności i bezpieczeństwa. 2.   W odniesieniu do postępowania w przypadku incydentu, o którym mowa w art. 16 ust. 1 lit. b) dyrektywy (UE) 2016/1148, środki przedsiębrane przez dostawcę usług cyfrowych obejmują: a) utrzymywanie i testowanie procesów oraz procedur wykrywania w celu zapewnienia terminowej i odpowiedniej wiedzy na temat nietypowych zdarzeń; b) procesy i polityki dotyczące zgłaszania incydentów oraz identyfikowania niedociągnięć i słabych punktów w jego systemach informatycznych; c) reagowanie zgodnie z ustanowionymi procedurami oraz składanie sprawozdań z wyników przedsięwziętych środków; d) ocenę powagi danego incydentu, dokumentowanie wiedzy uzyskanej z analizy incydentów oraz gromadzenie odpowiednich informacji, które mogą stanowić dowody i wspierać proces ciągłego doskonalenia. 3.   Zarządzanie ciągłością działania, o którym mowa w art. 16 ust. 1 lit. c) dyrektywy (UE) 2016/1148, oznacza zdolność organizacji do utrzymania lub, w razie potrzeby, przywrócenia realizacji usług na uprzednio określonych dopuszczalnych poziomach, po wystąpieniu zakłócenia, i obejmuje: a) ustanowienie i stosowanie planów awaryjnych w oparciu o analizę wpływu na działalność w celu zapewnienia ciągłości usług świadczonych przez dostawców usług cyfrowych, co jest oceniane i testowane w regularnych odstępach czasu, na przykład przez ćwiczenia; b) zdolności w zakresie przywracania gotowości do pracy po katastrofie, które są oceniane i testowane w regularnych odstępach czasu, na przykład przez ćwiczenia. 4.   Monitorowanie, audyt i testowanie, o których mowa w art. 16 ust. 1 lit. d) dyrektywy (UE) 2016/1148, obejmują ustanowienie i utrzymywanie polityk w zakresie: a) przeprowadzania zaplanowanej sekwencji obserwacji lub pomiarów w celu dokonania oceny, czy sieci i systemy informatyczne działają zgodnie z zamierzeniem; b) inspekcji i weryfikacji mających na celu sprawdzenie, czy stosuje się normę lub zbiór wytycznych, czy rejestry są dokładne, a także czy realizowane są cele w zakresie efektywności i skuteczności; c) procesu mającego na celu ujawnienie wad mechanizmów bezpieczeństwa sieci i systemów informatycznych, które służą ochronie danych i utrzymaniu funkcjonalności zgodnie z zamierzeniem. Tego rodzaju proces obejmuje procesy techniczne i personel zaangażowany w przepływ operacji. 5.   Normy międzynarodowe, o których mowa w art. 16 ust. 1 lit. e) dyrektywy (UE) 2016/1148, oznaczają normy przyjęte przez międzynarodową jednostkę normalizacyjną, o której mowa w art. 2 ust. 1 lit. a) rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1025/2012 (2). Zgodnie z art. 19 dyrektywy (UE) 2016/1148 stosowane mogą być również europejskie lub uznane międzynarodowe normy i specyfikacje mające znaczenie dla bezpieczeństwa sieci i systemów informatycznych, w tym istniejące normy krajowe. 6.   Dostawcy usług cyfrowych zapewniają udostępnianie właściwemu organowi odpowiedniej dokumentacji do celów weryfikacji zgodności z zabezpieczeniami określonymi w ust. 1, 2, 3, 4 i 5.

© Unia Europejska, źródło: EUR-Lex (eur-lex.europa.eu), pozyskano 12.07.2026. Autentyczne są wyłącznie wersje opublikowane w Dz. Urz. UE. · PDF źródłowy