art. 8
32023R2841
Treść przepisu
Artykuł 8
Środki zarządzania ryzykiem w cyberprzestrzeni
1. Bez zbędnej zwłoki, a w każdym razie do dnia 8 września 2025 r. każdy podmiot Unii pod nadzorem swojego kierownictwa najwyższego szczebla podejmuje odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne, aby zarządzać ryzykiem w cyberprzestrzeni zidentyfikowanym na podstawie Ram oraz aby zapobiec incydentom lub zminimalizować ich skutki. Przy uwzględnieniu najnowszego stanu wiedzy, oraz, w stosownych przypadkach, odpowiednich norm europejskich i międzynarodowych, środki te zapewniają poziom bezpieczeństwa sieci i systemów informatycznych w całym środowisku ICT odpowiedni do istniejącego ryzyka w cyberprzestrzeni. Oceniając proporcjonalność tych środków należycie uwzględnia się stopień narażenia podmiotu Unii na ryzyko w cyberprzestrzeni, wielkość podmiotu, prawdopodobieństwo wystąpienia incydentów i ich dotkliwość, w tym ich skutki społeczne, gospodarcze i międzyinstytucjonalne.
2. Wdrażając środki zarządzania ryzykiem w cyberprzestrzeni, podmioty Unii uwzględniają co najmniej następujące kwestie:
a)
politykę w zakresie cyberbezpieczeństwa, w tym środki niezbędne do osiągnięcia celów i priorytetów, o których mowa w art. 6 i w ust. 3 niniejszego artykułu;
b)
politykę analizy ryzyka w cyberprzestrzeni i bezpieczeństwa systemów informatycznych;
c)
cele strategiczne w zakresie korzystania z usług chmurowych;
d)
w stosownych przypadkach audyt cyberbezpieczeństwa, który może obejmować ocenę ryzyka w cyberprzestrzeni, podatności i cyberzagrożeń oraz testy penetracyjne przeprowadzane regularnie przez zaufanego usługodawcę z sektora prywatnego;
e)
wdrożenie zaleceń wynikających z audytów cyberbezpieczeństwa, o których mowa w lit. d), w drodze aktualizacji zasad dotyczących cyberbezpieczeństwa i aktualizacji polityk;
f)
kwestie organizacyjne dotyczące cyberbezpieczeństwa, w tym wyznaczenie ról i obowiązków;
g)
zarządzanie aktywami, w tym rejestr zasobów ICT i mapy sieci ICT;
h)
bezpieczeństwo zasobów ludzkich i kontrolę dostępu;
i)
bezpieczeństwo operacji;
j)
bezpieczeństwo łączności;
k)
nabywanie, rozbudowę i utrzymywanie systemów, w tym polityki postępowania z podatnościami i ich ujawniania;
l)
w miarę możliwości politykę dotyczącą przejrzystości kodu źródłowego;
m)
bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem relacji między każdym podmiotem Unii a jego bezpośrednimi dostawcami lub usługodawcami;
n)
obsługę incydentów oraz współpracę z CERT-UE, na przykład stałe monitorowanie bezpieczeństwa i rejestrowanie danych związanych z bezpieczeństwem;
o)
zarządzanie ciągłością działania, na przykład zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzanie kryzysowe; oraz
p)
promowanie i rozwój programów edukowania, rozwijania umiejętności, podnoszenia świadomości, ćwiczeń i szkoleń w dziedzinie cyberbezpieczeństwa.
Do celów akapitu pierwszego lit. m) podmioty Unii uwzględniają podatności charakterystyczne dla każdego bezpośredniego dostawcy i usługodawcy oraz ogólną jakość produktów i praktyk w zakresie cyberbezpieczeństwa stosowanych przez ich dostawców i usługodawców, w tym ich procedury bezpiecznego opracowywania.
3. Podmioty Unii stosują co najmniej następujące szczegółowe środki zarządzania ryzykiem w cyberprzestrzeni:
a)
rozwiązania techniczne umożliwiające pracę zdalną i jej utrzymanie;
b)
konkretne kroki zmierzające do przejścia na zasady zerowego zaufania;
c)
stosowanie uwierzytelniania wieloskładnikowego jako normy we wszystkich sieciach i systemach informatycznych;
d)
wykorzystywanie kryptografii i szyfrowania, w szczególności szyfrowania end-to-end, oraz bezpiecznego podpisu cyfrowego;
e)
w stosownych przypadkach bezpieczne systemy łączności głosowej, wizualnej i tekstowej oraz bezpieczne systemy łączności w sytuacjach nadzwyczajnych wewnątrz podmiotu Unii;
f)
proaktywne środki wykrywania i usuwania złośliwego oprogramowania i oprogramowania szpiegującego;
g)
zabezpieczenie łańcucha dostaw oprogramowania poprzez kryteria regulujące opracowywanie i ocenę bezpiecznego oprogramowania;
h)
tworzenie i przyjmowanie programów szkoleń w zakresie cyberbezpieczeństwa dla kierownictwa najwyższego szczebla i członków personelu podmiotu Unii, którym powierzono zadanie zapewnienia skutecznego wdrożenia niniejszego rozporządzenia, przy czym te programy szkoleń muszą być współmierne do przewidzianych zadań i oczekiwanych zdolności;
i)
regularne szkolenia z zakresu cyberbezpieczeństwa dla członków personelu;
j)
w stosownych przypadkach udział w analizach ryzyka dla wzajemnych połączeń między podmiotami Unii;
k)
wzmocnienie zasad udzielania zamówień publicznych, aby ułatwić osiągnięcie wysokiego wspólnego poziomu cyberbezpieczeństwa poprzez:
(i)
usunięcie barier umownych, które ograniczają wymianę pochodzących od dostawców usług ICT informacji na temat incydentów, podatności i cyberzagrożeń z CERT-UE;
(ii)
zobowiązania umowne do zgłaszania incydentów, podatności i cyberzagrożeń, a także do ustanowienia odpowiedniego mechanizmu reagowania na incydenty i ich monitorowania.
© Unia Europejska, źródło: EUR-Lex (eur-lex.europa.eu), pozyskano 12.07.2026. Autentyczne są wyłącznie wersje opublikowane w Dz. Urz. UE. · PDF źródłowy