art. 8

Rozporządzenie Parlamentu Europejskiego i Rady (UE, Euratom) 2023/2841 z dnia 13 grudnia 2023 r. w sprawie ustanowienia środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w instytucjach, organach i jednostkach organizacyjnych Unii

32023R2841

Treść przepisu

Artykuł 8 Środki zarządzania ryzykiem w cyberprzestrzeni 1.   Bez zbędnej zwłoki, a w każdym razie do dnia 8 września 2025 r. każdy podmiot Unii pod nadzorem swojego kierownictwa najwyższego szczebla podejmuje odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne, aby zarządzać ryzykiem w cyberprzestrzeni zidentyfikowanym na podstawie Ram oraz aby zapobiec incydentom lub zminimalizować ich skutki. Przy uwzględnieniu najnowszego stanu wiedzy, oraz, w stosownych przypadkach, odpowiednich norm europejskich i międzynarodowych, środki te zapewniają poziom bezpieczeństwa sieci i systemów informatycznych w całym środowisku ICT odpowiedni do istniejącego ryzyka w cyberprzestrzeni. Oceniając proporcjonalność tych środków należycie uwzględnia się stopień narażenia podmiotu Unii na ryzyko w cyberprzestrzeni, wielkość podmiotu, prawdopodobieństwo wystąpienia incydentów i ich dotkliwość, w tym ich skutki społeczne, gospodarcze i międzyinstytucjonalne. 2.   Wdrażając środki zarządzania ryzykiem w cyberprzestrzeni, podmioty Unii uwzględniają co najmniej następujące kwestie: a) politykę w zakresie cyberbezpieczeństwa, w tym środki niezbędne do osiągnięcia celów i priorytetów, o których mowa w art. 6 i w ust. 3 niniejszego artykułu; b) politykę analizy ryzyka w cyberprzestrzeni i bezpieczeństwa systemów informatycznych; c) cele strategiczne w zakresie korzystania z usług chmurowych; d) w stosownych przypadkach audyt cyberbezpieczeństwa, który może obejmować ocenę ryzyka w cyberprzestrzeni, podatności i cyberzagrożeń oraz testy penetracyjne przeprowadzane regularnie przez zaufanego usługodawcę z sektora prywatnego; e) wdrożenie zaleceń wynikających z audytów cyberbezpieczeństwa, o których mowa w lit. d), w drodze aktualizacji zasad dotyczących cyberbezpieczeństwa i aktualizacji polityk; f) kwestie organizacyjne dotyczące cyberbezpieczeństwa, w tym wyznaczenie ról i obowiązków; g) zarządzanie aktywami, w tym rejestr zasobów ICT i mapy sieci ICT; h) bezpieczeństwo zasobów ludzkich i kontrolę dostępu; i) bezpieczeństwo operacji; j) bezpieczeństwo łączności; k) nabywanie, rozbudowę i utrzymywanie systemów, w tym polityki postępowania z podatnościami i ich ujawniania; l) w miarę możliwości politykę dotyczącą przejrzystości kodu źródłowego; m) bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem relacji między każdym podmiotem Unii a jego bezpośrednimi dostawcami lub usługodawcami; n) obsługę incydentów oraz współpracę z CERT-UE, na przykład stałe monitorowanie bezpieczeństwa i rejestrowanie danych związanych z bezpieczeństwem; o) zarządzanie ciągłością działania, na przykład zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzanie kryzysowe; oraz p) promowanie i rozwój programów edukowania, rozwijania umiejętności, podnoszenia świadomości, ćwiczeń i szkoleń w dziedzinie cyberbezpieczeństwa. Do celów akapitu pierwszego lit. m) podmioty Unii uwzględniają podatności charakterystyczne dla każdego bezpośredniego dostawcy i usługodawcy oraz ogólną jakość produktów i praktyk w zakresie cyberbezpieczeństwa stosowanych przez ich dostawców i usługodawców, w tym ich procedury bezpiecznego opracowywania. 3.   Podmioty Unii stosują co najmniej następujące szczegółowe środki zarządzania ryzykiem w cyberprzestrzeni: a) rozwiązania techniczne umożliwiające pracę zdalną i jej utrzymanie; b) konkretne kroki zmierzające do przejścia na zasady zerowego zaufania; c) stosowanie uwierzytelniania wieloskładnikowego jako normy we wszystkich sieciach i systemach informatycznych; d) wykorzystywanie kryptografii i szyfrowania, w szczególności szyfrowania end-to-end, oraz bezpiecznego podpisu cyfrowego; e) w stosownych przypadkach bezpieczne systemy łączności głosowej, wizualnej i tekstowej oraz bezpieczne systemy łączności w sytuacjach nadzwyczajnych wewnątrz podmiotu Unii; f) proaktywne środki wykrywania i usuwania złośliwego oprogramowania i oprogramowania szpiegującego; g) zabezpieczenie łańcucha dostaw oprogramowania poprzez kryteria regulujące opracowywanie i ocenę bezpiecznego oprogramowania; h) tworzenie i przyjmowanie programów szkoleń w zakresie cyberbezpieczeństwa dla kierownictwa najwyższego szczebla i członków personelu podmiotu Unii, którym powierzono zadanie zapewnienia skutecznego wdrożenia niniejszego rozporządzenia, przy czym te programy szkoleń muszą być współmierne do przewidzianych zadań i oczekiwanych zdolności; i) regularne szkolenia z zakresu cyberbezpieczeństwa dla członków personelu; j) w stosownych przypadkach udział w analizach ryzyka dla wzajemnych połączeń między podmiotami Unii; k) wzmocnienie zasad udzielania zamówień publicznych, aby ułatwić osiągnięcie wysokiego wspólnego poziomu cyberbezpieczeństwa poprzez: (i) usunięcie barier umownych, które ograniczają wymianę pochodzących od dostawców usług ICT informacji na temat incydentów, podatności i cyberzagrożeń z CERT-UE; (ii) zobowiązania umowne do zgłaszania incydentów, podatności i cyberzagrożeń, a także do ustanowienia odpowiedniego mechanizmu reagowania na incydenty i ich monitorowania.

© Unia Europejska, źródło: EUR-Lex (eur-lex.europa.eu), pozyskano 12.07.2026. Autentyczne są wyłącznie wersje opublikowane w Dz. Urz. UE. · PDF źródłowy