art. 3

Rozporządzenie wykonawcze Komisji (UE) 2018/151 z dnia 30 stycznia 2018 r. ustanawiające zasady stosowania dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 w odniesieniu do dalszego doprecyzowania elementów, jakie mają być uwzględnione przez dostawców usług cyfrowych w zakresie zarządzania istniejącymi ryzykami dla bezpieczeństwa sieci i systemów informatycznych, oraz parametrów służących do określenia, czy incydent ma istotny wpływ

32018R0151

Treść przepisu

Artykuł 3 Parametry, jakie należy wziąć pod uwagę w celu określenia, czy wpływ incydentu jest istotny 1.   Jeśli chodzi o liczbę użytkowników, których dotyczy incydent, w szczególności użytkowników zależnych od usługi na potrzeby świadczenia ich własnych usług, o których mowa w art. 16 ust. 4 lit. a) dyrektywy (UE) 2016/1148, dostawca usług cyfrowych musi być w stanie oszacować jedną z następujących liczb: a) liczbę dotkniętych incydentem osób fizycznych i osób prawnych, z którymi zawarto umowę na świadczenie danej usługi; lub b) liczbę dotkniętych incydentem użytkowników, którzy korzystali z tej usługi, w oparciu w szczególności o wcześniejsze dane o ruchu. 2.   Czas trwania incydentu, o którym mowa w art. 16 ust. 4 lit. b), oznacza okres, jaki upływa od zakłócenia prawidłowego świadczenia usługi pod względem jej dostępności, autentyczności, integralności lub poufności, do czasu przywrócenia stanu normalnego. 3.   Jeśli chodzi o zasięg geograficzny związany z obszarem, którego dotyczy incydent, o którym mowa w art. 16 ust. 4 lit. c) dyrektywy (UE) 2016/1148, dostawca usług cyfrowych musi być w stanie ustalić, czy dany incydent ma wpływ na świadczenie jego usług w poszczególnych państwach członkowskich. 4.   Zasięg zakłócenia funkcjonowania usługi, o którym mowa w art. 16 ust. 4 lit. d) dyrektywy (UE) 2016/1148, mierzy się w odniesieniu do jednego lub większej liczby następujących aspektów osłabionych w wyniku danego incydentu: dostępność, autentyczność, integralność lub poufność danych lub powiązanych usług. 5.   W odniesieniu do zasięgu wpływu na działalność gospodarczą i społeczną, o którym mowa w art. 16 ust. 4 lit. e) dyrektywy (UE) 2016/1148, dostawca usług cyfrowych musi być w stanie – w oparciu o wskazówki, takie jak charakter jego stosunków umownych z klientem lub, w stosownych przypadkach, potencjalna liczba użytkowników dotkniętych incydentem – stwierdzić, czy incydent spowodował znaczne straty materialne bądź niematerialne dla użytkowników, na przykład odnośnie do zdrowia, bezpieczeństwa lub uszkodzenia mienia. 6.   Do celów ust. 1, 2, 3, 4 i 5 od dostawców usług cyfrowych nie wymaga się zbierania dodatkowych informacji, do których nie mają oni dostępu.

© Unia Europejska, źródło: EUR-Lex (eur-lex.europa.eu), pozyskano 12.07.2026. Autentyczne są wyłącznie wersje opublikowane w Dz. Urz. UE. · PDF źródłowy