a także mając na uwadze, co następuje:(1) W odniesieniu do dostawców usług DNS, rejestrów nazw TLD, dostawców usług chmurowych, dostawców usług ośrodka przetwarzania danych, dostawców sieci dostarczania treści, dostawców usług zarządzanych, dostawców usług zarządzanych w zakresie bezpieczeństwa, dostawców internetowych platform handlowych, wyszukiwarek internetowych i platform usług sieci społecznościowych oraz dostawców usług zaufania objętych art. 3 dyrektywy (UE) 2022/2555 (odpowiednie podmioty), celem niniejszego rozporządzenia jest określenie wymogów technicznych i metodycznych dotyczących środków, o których mowa w art. 21 ust. 2 dyrektywy (UE) 2022/2555, oraz doprecyzowanie przypadków, w których incydent należy uznać za poważny, o których mowa w art. 23 ust. 3 dyrektywy (UE) 2022/2555.
(2) Biorąc pod uwagę transgraniczny charakter ich działalności oraz w celu zapewnienia spójnych ram dla dostawców usług zaufania, niniejsze rozporządzenie powinno - w odniesieniu do dostawców usług zaufania - doprecyzować przypadki, w których incydent uznaje się za poważny, a także określić wymogi techniczne i metodyczne dotyczące środków zarządzania ryzykiem w cyberbezpieczeństwie.
(3) Zgodnie z art. 21 ust. 5 akapit trzeci dyrektywy (UE) 2022/2555 wymogi techniczne i metodyczne dotyczące środków zarządzania ryzykiem w cyberbezpieczeństwie określonych w załączniku do niniejszego rozporządzenia opierają się na normach europejskich i międzynarodowych takich jak ISO/IEC 27001, ISO/IEC 27002 i ETSI EN 319401, oraz specyfikacjach technicznych, takich jak CEN/TS 18026:2024, istotnych dla bezpieczeństwa sieci i systemów informatycznych.
(4) W odniesieniu do wdrażania i stosowania wymogów technicznych i metodycznych dotyczących środków zarządzania ryzykiem w cyberbezpieczeństwie określonych w załączniku do niniejszego rozporządzenia, zgodnie z zasadą proporcjonalności, przy spełnianiu wymogów technicznych i metodycznych dotyczących środków zarządzania ryzykiem w cyberbezpieczeństwie określonych w załączniku do niniejszego rozporządzenia należy odpowiednio uwzględnić odmienne czynniki narażenia na ryzyko odpowiednich podmiotów, takie jak krytyczność danego podmiotu, ryzyko, na które jest on narażony, wielkość i struktura odpowiedniego podmiotu, a także prawdopodobieństwo wystąpienia incydentów i ich dotkliwość, w tym ich skutki społeczne i gospodarcze.
(5) Zgodnie z zasadą proporcjonalności, w przypadku gdy odpowiednie podmioty nie mogą wdrożyć niektórych wymogów technicznych i metodycznych dotyczących środków zarządzania ryzykiem w cyberbezpieczeństwie ze względu na ich wielkość, podmioty te powinny mieć możliwość wprowadzenia innych środków kompensujących, które są odpowiednie do osiągnięcia celu tych wymogów. Na przykład przy określaniu ról, obowiązków i uprawnień w zakresie bezpieczeństwa sieci i systemów informatycznych w ramach odpowiedniego podmiotu mikropodmioty mogą mieć trudności z oddzieleniem sprzecznych obowiązków i sprzecznych obszarów odpowiedzialności. Takie podmioty powinny mieć możliwość rozważenia środków wyrównawczych, takich jak ukierunkowany nadzór ze strony kierownictwa podmiotu lub wzmożone monitorowanie i rejestrowanie.
(6) W razie potrzeby, w stosownych przypadkach lub w zakresie, w jakim jest to możliwe, odpowiednie podmioty powinny stosować niektóre wymogi techniczne i metodyczne określone w załączniku do niniejszego rozporządzenia. Jeżeli odpowiedni podmiot uzna, że stosowanie przez niego określonych wymogów technicznych i metodycznych przewidzianych w załączniku do niniejszego rozporządzenia nie jest właściwe, nie ma zastosowania lub nie jest wykonalne, odpowiedni podmiot powinien w zrozumiały sposób udokumentować swoje uzasadnienie w tym zakresie. Przy sprawowaniu nadzoru właściwe organy krajowe mogą uwzględnić odpowiedni czas potrzebny odpowiednim podmiotom na wdrożenie wymogów technicznych i metodycznych dotyczących środków zarządzania ryzykiem w cyberbezpieczeństwie.
(7) ENISA lub właściwe organy krajowe na podstawie dyrektywy (UE) 2022/2555 mogą zapewnić wytyczne wspierające odpowiednie podmioty w określaniu, analizie i ocenie ryzyka do celów wdrożenia wymogów technicznych i metodycznych dotyczących ustanowienia i utrzymania odpowiednich ram zarządzania ryzykiem. Takie wytyczne mogą obejmować w szczególności krajowe i sektorowe oceny ryzyka, a także oceny ryzyka specyficzne dla określonego rodzaju podmiotu. Mogą również obejmować narzędzia lub wzorce służące do opracowywania ram zarządzania ryzykiem na poziomie odpowiednich podmiotów. Ramy, wytyczne lub inne mechanizmy przewidziane w prawie krajowym państw członkowskich, a także odpowiednie normy europejskie i międzynarodowe mogą również wspierać odpowiednie podmioty w wykazywaniu zgodności z niniejszym rozporządzeniem. Oprócz tego ENISA lub właściwe organy krajowe na podstawie dyrektywy (UE) 2022/2555 mogą wspierać odpowiednie podmioty w określaniu i wdrażaniu odpowiednich rozwiązań w zakresie postępowania z ryzykiem określonym w takich ocenach ryzyka. Wytyczne powinny pozostawać bez uszczerbku dla spoczywającego na odpowiednich podmiotach obowiązku identyfikowania i dokumentowania ryzyka dla bezpieczeństwa sieci i systemów informatycznych oraz dla obowiązku wdrożenia przez odpowiednie podmioty wymogów technicznych i metodycznych dotyczących środków zarządzania ryzykiem w cyberbezpieczeństwie określonych w załączniku do niniejszego rozporządzenia zgodnie z potrzebami i zasobami tych podmiotów.
(8) Środki bezpieczeństwa sieci w odniesieniu do: (i) przejścia na najnowszą generację protokołów komunikacyjnych na poziomie sieci, (ii) wdrożenia uzgodnionych na szczeblu międzynarodowym i interoperacyjnych nowoczesnych norm łączności elektronicznej oraz (iii) stosowania najlepszych praktyk w zakresie bezpieczeństwa DNS oraz bezpieczeństwa routingu internetowego i higieny routingu wiążą się ze szczególnymi wyzwaniami związanymi z określeniem najlepszych dostępnych norm i technik wdrażania. Aby jak najszybciej osiągnąć wysoki wspólny poziom cyberbezpieczeństwa we wszystkich sieciach, Komisja, z pomocą Agencji Unii Europejskiej ds. Cyberbezpie- czeństwa (ENISA) i we współpracy z właściwymi organami, przemysłem - w tym branżą telekomunikacyjną - i innymi zainteresowanymi stronami, powinna wspierać rozwój wielostronnego forum, którego zadaniem jest określenie tych najlepszych dostępnych norm i technik wdrażania. Takie wytyczne oparte na porozumieniu zainteresowanych stron powinny pozostawać bez uszczerbku dla obowiązku wdrożenia przez odpowiednie podmioty wymogów technicznych i metodycznych dotyczących środków zarządzania ryzykiem w cyberbezpie- czeństwie określonych w załączniku do niniejszego rozporządzenia.
(9) Zgodnie z art. 21 ust. 2 lit. a) dyrektywy (UE) 2022/2555 podmioty kluczowe i ważne powinny posiadać, oprócz polityki analizy ryzyka, politykę bezpieczeństwa systemów informacyjnych. W tym celu odpowiednie podmioty powinny ustanowić politykę bezpieczeństwa sieci i systemów informatycznych, a także polityki tematyczne, takie jak polityka w zakresie kontroli dostępu, które powinny być spójne z polityką bezpieczeństwa sieci i systemów informatycznych. Polityka bezpieczeństwa sieci i systemów informatycznych powinna być dokumentem najwyższego szczebla określającym ogólne podejście odpowiednich podmiotów do ich bezpieczeństwa sieci i systemów informatycznych oraz powinna być zatwierdzana przez organy zarządzające odpowiednich podmiotów. Polityki tematyczne powinny być zatwierdzane przez kierownictwo odpowiedniego szczebla. W polityce tej należy określić wskaźniki i środki monitorowania jej wdrażania oraz aktualnego stanu bezpieczeństwa sieci i informacji odpowiednich podmiotów, w szczególności w celu ułatwienia nadzoru nad wdrażaniem środków zarządzania ryzykiem w cyberbezpieczeństwie za pośrednictwem organów zarządzających.
(10) Do celów wymogów technicznych i metodycznych określonych w załączniku do niniejszego rozporządzenia termin "użytkownik" powinien obejmować wszystkie osoby prawne i fizyczne, które mają dostęp do sieci i systemów informatycznych podmiotu.
(11) Aby zidentyfikować zagrożenia dla bezpieczeństwa sieci i systemów informatycznych oraz im przeciwdziałać, odpowiednie podmioty powinny ustanowić i utrzymywać odpowiednie ramy zarządzania ryzykiem. W ramach zarządzania ryzykiem odpowiednie podmioty powinny ustanowić, wdrożyć i monitorować plan postępowania z ryzykiem. Odpowiednie podmioty mogą korzystać z planu postępowania z ryzykiem w celu określenia i uszeregowania pod względem ważności możliwości i środków postępowania z ryzykiem. Możliwości postępowania z ryzykiem obejmują w szczególności unikanie, ograniczanie lub, w wyjątkowych przypadkach, akceptację ryzyka. Wybór możliwości postępowania z ryzykiem powinien uwzględniać wyniki oceny ryzyka przeprowadzonej przez odpowiedni podmiot i być zgodny z polityką odpowiedniego podmiotu w zakresie bezpieczeństwa sieci i systemów informatycznych. Aby nadać skuteczność wybranym możliwościom postępowania z ryzykiem, odpowiednie podmioty powinny zastosować odpowiednie środki postępowania z ryzykiem.
(12) Aby wykrywać zdarzenia, potencjalne zdarzenia dla cyberbezpieczeństwa oraz incydenty, odpowiednie podmioty powinny monitorować swoje sieci i systemy informatyczne oraz podejmować działania w celu oceny zdarzeń, potencjalnych zdarzeń dla cyberbezpieczeństwa oraz incydentów. Środki te powinny umożliwiać wykrywanie w odpowiednim czasie ataków sieciowych opartych na nietypowych schematach w ruchu przychodzącym i wychodzącym oraz ataków typu "odmowa usługi".
(13) W przypadku gdy odpowiednie podmioty przeprowadzają analizę wpływu na działalność, zachęca się je do przeprowadzenia kompleksowej analizy określającej, w stosownych przypadkach, maksymalny dopuszczalny czas przestoju, cele dotyczące czasu przywrócenia normalnego działania, cele dotyczące punktu odzyskiwania oraz cele dotyczące świadczenia usług.
(14) Aby ograniczyć ryzyko wynikające z łańcucha dostaw odpowiedniego podmiotu i jego stosunków z dostawcami, odpowiednie podmioty powinny ustanowić politykę bezpieczeństwa łańcucha dostaw regulującą ich stosunki z bezpośrednimi dostawcami i usługodawcami. Podmioty te powinny określić w umowach ze swoimi bezpośrednimi dostawcami lub dostawcami usług odpowiednie klauzule bezpieczeństwa, na przykład poprzez nałożenie wymogu, w stosownych przypadkach, stosowania środków zarządzania ryzykiem w cyberbezpieczeństwie zgodnie z art. 21 ust. 2 dyrektywy (UE) 2022/2555 lub innych podobnych wymogów prawnych.
(15) Odpowiednie podmioty powinny regularnie przeprowadzać testy bezpieczeństwa w oparciu o specjalną politykę i procedury w celu sprawdzenia, czy środki zarządzania ryzykiem w cyberbezpieczeństwie zostały wdrożone i funkcjonują prawidłowo. Testy bezpieczeństwa mogą być przeprowadzane na określonych sieciach i systemach informatycznych lub na odpowiednim podmiocie jako całości i mogą obejmować testy automatyczne lub ręczne, testy penetracyjne, skanowanie podatności na zagrożenia, statyczne i dynamiczne testy bezpieczeństwa aplikacji, testy konfiguracji lub audyty bezpieczeństwa. Odpowiednie podmioty mogą przeprowadzać testy bezpieczeństwa swoich sieci i systemów informatycznych przy tworzeniu, po modernizacji lub modyfikacji infrastruktury lub aplikacji, które uznają za istotne, lub po konserwacji. Wyniki testów bezpieczeństwa powinny stanowić podstawę polityki i procedur odpowiednich podmiotów w celu oceny skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie, a także niezależnych przeglądów ich polityki bezpieczeństwa sieci i informacji.
(16) Aby uniknąć poważnych zakłóceń i szkód spowodowanych wykorzystywaniem niezałatanych luk w zabezpieczeniach sieci i systemów informatycznych, odpowiednie podmioty powinny określić i stosować odpowiednie procedury zarządzania poprawkami zabezpieczeń, które są dostosowane do stosowanych przez odpowiednie podmioty procedur zarządzania zmianą, zarządzania podatnościami, zarządzania ryzykiem oraz innych stosownych procedur. Odpowiednie podmioty powinny zastosować środki proporcjonalne do swoich zasobów w celu zapewnienia, aby poprawki zabezpieczeń nie wprowadzały dodatkowych podatności lub niestabilności. W przypadku planowanej niedostępności usługi spowodowanej zastosowaniem poprawek zabezpieczeń zachęca się odpowiednie podmioty do należytego informowania klientów z wyprzedzeniem.
(17) Odpowiednie podmioty powinny zarządzać ryzykiem wynikającym z nabywania produktów ICT lub usług ICT od dostawców lub usługodawców oraz powinny uzyskać pewność, że nabywane produkty ICT lub usługi ICT spełniają określone poziomy ochrony cyberbezpieczeństwa, na przykład na podstawie europejskich certyfikatów cyberbezpieczeństwa i unijnych deklaracji zgodności produktów ICT lub usług ICT wydanych w ramach europejskiego programu certyfikacji cyberbezpieczeństwa przyjętego zgodnie z art. 49 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 2 . W przypadku gdy odpowiednie podmioty określają wymogi bezpieczeństwa mające zastosowanie do nabywanych produktów ICT, powinny one uwzględnić zasadnicze wymogi cyberbezpieczeństwa określone w rozporządzeniu Parlamentu Europejskiego i Rady w sprawie horyzontalnych wymogów cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi.
(18) Aby chronić przed cyberzagrożeniami i wspierać zapobieganie naruszeniom ochrony danych i ich powstrzymywanie, odpowiednie podmioty powinny wdrożyć rozwiązania w zakresie bezpieczeństwa sieci. Typowe rozwiązania w zakresie bezpieczeństwa sieci obejmują wykorzystanie zapór sieciowych do ochrony wewnętrznych sieci odpowiednich podmiotów, ograniczenie połączeń i dostępu do usług tam, gdzie połączenia i dostęp są absolutnie konieczne, a także wykorzystywanie wirtualnych sieci prywatnych do zdalnego dostępu i zezwalanie na połączenia dostawców usług dopiero po złożeniu wniosku o autoryzację i przez określony czas, taki jak czas trwania prac konserwacyjnych.
(19) Aby chronić sieci odpowiednich podmiotów i ich systemy informatyczne przed szkodliwym i niedozwolonym oprogramowaniem, podmioty te powinny wdrożyć mechanizmy kontroli, które zapobiegają używaniu nieuprawnionego oprogramowania lub je wykrywają, a w stosownych przypadkach powinny korzystać z oprogramowania do wykrywania i reagowania. Odpowiednie podmioty powinny również rozważyć wdrożenie środków służących zminimalizowaniu powierzchni ataku, zmniejszeniu podatności, które mogą być wykorzystywane przez sprawców ataku, kontrolowaniu uruchamiania aplikacji w punktach końcowych, oraz stosowanie filtrów poczty elektronicznej i aplikacji internetowych w celu ograniczenia narażenia na treści zamieszczane w złym zamiarze.
(20) Zgodnie z art. 21 ust. 2 lit. g) dyrektywy (UE) 2022/2555 państwa członkowskie zapewniają, aby podmioty kluczowe i ważne stosowały podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa. Podstawowe praktyki cyberhigieny mogą obejmować zasady zerowego zaufania, aktualizacje oprogramowania, konfigurację urządzeń, segmentację sieci, zarządzanie tożsamością i dostępem lub świadomość użytkowników, organizowanie szkoleń dla swoich pracowników oraz zwiększanie świadomości w kwestii cyberzagrożeń, phishingu lub technik inżynierii społecznej. Praktyki cyberhigieny stanowią jeden z elementów różnych wymogów technicznych i metodycznych dotyczących środków zarządzania ryzykiem w cyberbezpieczeństwie określonych w załączniku do niniejszego rozporządzenia. W odniesieniu do podstawowych praktyk cyberhigieny dla użytkowników odpowiednie podmioty powinny rozważyć takie praktyki, jak polityka "czystego biurka" i "czystego ekranu", stosowanie uwierzytelnienia wieloskładnikowego i innych środków uwierzytelniania, bezpieczne korzystanie z poczty elektronicznej i przeglądanie stron internetowych, ochrona przed phishingiem i inżynierią społeczną, bezpieczne praktyki pracy zdalnej.
(21) Aby zapobiec nieuprawnionemu dostępowi do aktywów odpowiednich podmiotów, odpowiednie podmioty powinny ustanowić i wdrożyć politykę tematyczną dotyczącą dostępu osób oraz sieci i systemów informatycznych, takich jak aplikacje.
(22) Aby uniknąć sytuacji, w której pracownicy mogą na przykład nadużyć praw dostępu w odpowiednim podmiocie w celu spowodowania szkody, odpowiednie podmioty powinny rozważyć odpowiednie środki zarządzania bezpieczeństwem pracowników oraz zwiększać świadomość personelu w kwestii takiego ryzyka. Odpowiednie podmioty powinny ustanowić proces dyscyplinarny dotyczący postępowania w przypadku naruszeń polityki bezpieczeństwa sieci i systemów informatycznych odpowiednich podmiotów, który może być wbudowany w inne procesy dyscyplinarne ustanowione przez odpowiednie podmioty, przekazać informacje o tym procesie i go utrzymywać. Sprawdzenie przeszłości pracowników oraz, w stosownych przypadkach, bezpośrednich dostawców i usługodawców odpowiednich podmiotów powinno przyczyniać się do osiągnięcia celu, jakim jest bezpieczeństwo zasobów ludzkich w odpowiednich podmiotach, i może obejmować środki takie jak kontrola karalności danej osoby lub wcześniejszych obowiązków zawodowych, stosownie do obowiązków danej osoby w odpowiednim podmiocie i zgodnie z polityką odpowiedniego podmiotu w zakresie bezpieczeństwa sieci i systemów informatycznych.
(23) Uwierzytelnianie wieloskładnikowe może zwiększyć cyberbezpieczeństwo tych podmiotów i powinno być brane przez nie pod uwagę, w szczególności gdy użytkownicy uzyskują dostęp do sieci i systemów informatycznych z odległych lokalizacji lub gdy uzyskują dostęp do informacji szczególnie chronionych lub kont uprzywilejowanych i kont administracji systemu. Uwierzytelnianie wieloskładnikowe można połączyć z innymi technikami, aby wymagać dodatkowych czynników w szczególnych okolicznościach, takich jak dostęp z nietypowej lokalizacji, z nietypowego urządzenia lub w nietypowym czasie, w oparciu o wcześniej określone zasady i wzorce.
(24) Odpowiednie podmioty powinny zarządzać aktywami, które są dla nich wartościowe, i chronić je poprzez należyte zarządzanie aktywami, które powinno również służyć za podstawę analizy ryzyka i zarządzania ciągłością działania. Odpowiednie podmioty powinny zarządzać zarówno aktywami rzeczowymi, jak i składnikami wartości niematerialnych, a także tworzyć wykaz aktywów, powiązać te aktywa z określonym poziomem klasyfikacji, prowadzić i śledzić aktywa oraz podejmować działania służące ochronie aktywów w całym ich cyklu życia.
(25) Zarządzanie aktywami powinno obejmować klasyfikację aktywów według rodzaju, wrażliwości, poziomu ryzyka i wymogów bezpieczeństwa oraz stosowanie odpowiednich środków i mechanizmów kontroli w celu zapewnienia ich dostępności, integralności, poufności i autentyczności. Klasyfikacja aktywów według poziomu ryzyka powinna umożliwiać odpowiednim podmiotom stosowanie odpowiednich środków bezpieczeństwa i kontroli w celu ochrony aktywów, takich jak szyfrowanie, kontrola dostępu, w tym kontrola dostępu obwodowego, fizycznego i logicznego, kopie zapasowe, rejestrowanie i monitorowanie, przechowywanie i usuwanie. Na podstawie przeprowadzonej analizy wpływu na działalność odpowiednie podmioty mogą określić poziom klasyfikacji w oparciu o konsekwencje zakłócenia aktywów dla tych podmiotów. Wszyscy pracownicy podmiotów obsługujących aktywa powinni być zaznajomieni z zasadami i instrukcjami dotyczącymi obsługi aktywów.
(26) Stopień szczegółowości wykazu aktywów powinien być dostosowany do potrzeb odpowiednich podmiotów. Kompleksowy wykaz aktywów może obejmować, w odniesieniu do każdego składnika aktywów, co najmniej niepowtarzalny identyfikator, właściciela składnika aktywów, opis składnika aktywów, lokalizację składnika aktywów, rodzaj składnika aktywów, rodzaj i klasyfikację informacji przetwarzanych w składniku aktywów, datę ostatniej aktualizacji lub poprawki składnika aktywów, klasyfikację składnika aktywów w ramach oceny ryzyka oraz koniec okresu użytkowania składnika aktywów. Przy określaniu właściciela składnika aktywów odpowiednie podmioty powinny również wskazać osobę odpowiedzialną za ochronę tego składnika aktywów.
(27) Przy przydzielaniu i organizacji funkcji, obowiązków i uprawnień w dziedzinie cyberbezpieczeństwa należy ustanowić spójną strukturę zarządzania cyberbezpieczeństwem i jego wdrażania w ramach odpowiednich podmiotów oraz zapewnić skuteczną komunikację w przypadku incydentów. Przy określaniu i przydzielaniu obowiązków w odniesieniu do niektórych funkcji odpowiednie podmioty powinny wziąć pod uwagę takie funkcje jak główny inspektor ds. bezpieczeństwa informacji, inspektor ds. bezpieczeństwa informacji, inspektor ds. obsługi incydentów, audytor lub porównywalne równoważne funkcje. Odpowiednie podmioty mogą przydzielić funkcje i obowiązki stronom zewnętrznym, takim jak zewnętrzni dostawcy usług ICT.
(28) Zgodnie z art. 21 ust. 2 dyrektywy (UE) 2022/2555 środki zarządzania ryzykiem w cyberbezpieczeństwie powinny opierać się na podejściu uwzględniającym wszystkie zagrożenia, mającym na celu ochronę sieci i systemów informatycznych oraz środowiska fizycznego tych systemów przed zdarzeniami takimi jak kradzież, pożar, powódź, awaria telekomunikacyjna bądź awaria zasilania lub nieuprawniony dostęp fizyczny do infrastruktury związanej z informacjami i przetwarzaniem informacji należącej do podmiotu kluczowego lub ważnego, jej uszkodzenie i ingerencja w nią, które to zdarzenia mogłyby naruszyć dostępność, autentyczność, integralność lub poufność przechowywanych, przekazywanych lub przetwarzanych danych lub też usług oferowanych przez sieci i systemy informatyczne lub dostępnych za pośrednictwem sieci i systemów informatycznych. Wymogi techniczne i metodyczne dotyczące środków zarządzania ryzykiem w cyberbezpieczeństwie powinny zatem dotyczyć również bezpieczeństwa fizycznego i środowiskowego sieci i systemów informatycznych przez włączenie środków ochrony takich systemów przed awariami, błędem ludzkim, złośliwymi działaniami lub zjawiskami naturalnymi. Kolejne przykłady zagrożeń fizycznych i środowiskowych mogą obejmować trzęsienia ziemi, wybuchy, sabotaż, zagrożenie wewnętrzne, niepokoje społeczne, toksyczne odpady i emisje środowiskowe. Zapobieganie utracie, uszkodzeniu lub narażeniu na szwank sieci i systemów informatycznych lub przerwaniu ich funkcjonowania z powodu awarii i zakłócenia usług pomocniczych powinno przyczynić się do osiągnięcia celu, jakim jest ciągłość działania odpowiednich podmiotów. Oprócz tego ochrona przed zagrożeniami fizycznymi i środowiskowymi powinna przyczyniać się do bezpieczeństwa utrzymania sieci i systemów informatycznych w odpowiednich podmiotach.
(29) Odpowiednie podmioty powinny opracowywać i wdrażać środki ochrony przed zagrożeniami fizycznymi i środowiskowymi, określać minimalne i maksymalne progi kontroli zagrożeń fizycznych i środowiskowych oraz monitorować parametry środowiskowe. powinny na przykład rozważyć zainstalowanie systemów wykrywających na wczesnym etapie zalanie obszarów, na których znajdują się sieci i systemy informatyczne. Jeżeli chodzi o zagrożenie pożarowe, odpowiednie podmioty powinny rozważyć utworzenie oddzielnej strefy pożarowej dla centrum danych, wykorzystanie materiałów ognioodpornych, czujników do monitorowania temperatury i wilgotności, podłączenie budynku do systemu alarmu przeciwpożarowego z automatycznym powiadamianiem lokalnej straży pożarnej oraz systemów wczesnego wykrywania i gaszenia pożaru. Odpowiednie podmioty powinny również przeprowadzać regularne ćwiczenia przeciwpożarowe i przeglądy przeciwpożarowe. Oprócz tego, aby zapewnić zasilanie energią, odpowiednie podmioty powinny rozważyć zabezpieczenie nadnapięciowe i odpowiednie zasilanie awaryjne, zgodnie z odpowiednimi normami. Co więcej, ponieważ przegrzanie stwarza ryzyko dla dostępności sieci i systemów informatycznych, odpowiednie podmioty, w szczególności dostawcy usługi ośrodka przetwarzania danych, mogą rozważyć stosowanie odpowiednich, ciągłych i redundantnych systemów klimatyzacji.
(30) Niniejsze rozporządzenie ma na celu doprecyzowanie przypadków, w których incydent należy uznać za poważny do celów art. 23 ust. 3 dyrektywy (UE) 2022/2555. Przyjęte kryteria powinny być takie, aby odpowiednie podmioty były w stanie ocenić, czy dany incydent jest poważny, w celu zgłoszenia incydentu zgodnie z dyrektywą (UE) 2022/2555. Kryteria określone w niniejszym rozporządzeniu należy ponadto uznać za wyczerpujące, bez uszczerbku dla art. 5 dyrektywy (UE) 2022/2555. W niniejszym rozporządzeniu określono przypadki, w których incydent powinien zostać uznany za poważny, poprzez wskazanie przypadków horyzontalnych, jak również przypadków specyficznych dla danego typu podmiotu.
(31) Zgodnie z art. 23 ust. 4 dyrektywy (UE) 2022/2555 odpowiednie podmioty powinny być zobowiązane do zgłaszania poważnych incydentów w terminach określonych w tym przepisie. Terminy te biegną od chwili, w której podmiot dowiedział się o takich poważnych incydentach. Odpowiedni podmiot jest zatem zobowiązany do zgłaszania incydentów, które - na podstawie jego wstępnej oceny - mogłyby spowodować poważne zakłócenia operacyjne usług lub straty finansowe dla tego podmiotu bądź wpłynąć na inne osoby fizyczne lub prawne przez wyrządzenie znacznych szkód materialnych lub niematerialnych. W związku z tym w przypadku wykrycia przez odpowiedni podmiot podejrzanego zdarzenia lub po powiadomieniu tego podmiotu o potencjalnym incydencie przez osobę trzecią, taką jak osoba fizyczna, klient, podmiot, organ, organizacja z branży mediów lub inne źródło, odpowiedni podmiot powinien w odpowiednim czasie ocenić podejrzane zdarzenie, aby ustalić, czy stanowi ono incydent, a jeżeli tak, określić jego charakter i dotkliwość. Należy zatem uznać, że odpowiedni podmiot "jest świadomy" poważnego incydentu, jeżeli po dokonaniu takiej wstępnej oceny podmiot ten ma wystarczającą pewność, że wystąpił poważny incydent.
(32) W celu ustalenia, czy incydent jest poważny, w stosownych przypadkach odpowiednie podmioty powinny policzyć liczbę użytkowników, na których incydent ma wpływ, biorąc pod uwagę klientów biznesowych i końcowych, z którymi dane podmioty pozostają w stosunku umownym, a także osoby fizyczne i prawne powiązane z klientami biznesowymi. Jeżeli odpowiedni podmiot nie jest w stanie określić liczby użytkowników, których dotyczy incydent, do celów obliczenia całkowitej liczby użytkowników dotkniętych incydentem należy wziąć pod uwagę szacunki odpowiedniego podmiotu dotyczące możliwej maksymalnej liczby użytkowników, na których incydent miał wpływ. Znaczenie incydentu związanego z usługą zaufania należy oceniać nie tylko na podstawie liczby użytkowników, lecz także liczby stron ufających, na które poważny incydent związany z usługą zaufania prowadzący do zakłóceń operacyjnych oraz szkód majątkowych lub niemajątkowych mógł mieć równie silny wpływ. W związku z tym przy ustalaniu, czy incydent jest poważny, dostawcy usług zaufania powinni, w stosownych przypadkach, uwzględniać również liczbę stron ufających. W tym celu strony ufające należy rozumieć jako osoby fizyczne lub prawne, które korzystają z usługi zaufania.
(33) Czynności konserwacyjnych skutkujących ograniczoną dostępnością lub niedostępnością usług nie należy uznawać za poważne incydenty, o ile ograniczona dostępność lub niedostępność usługi wynika z zaplanowanych czynności konserwacyjnych. Oprócz tego, jeżeli dana usługa jest niedostępna ze względu na planowane przerwy, takie jak przerwy lub niedostępność na podstawie wcześniej określonej umowy, takiej sytuacji nie należy uznawać za poważny incydent.
(34) Czas trwania incydentu, który wpływa na dostępność usługi, należy mierzyć od momentu zakłócenia właściwego świadczenia takiej usługi do czasu przywrócenia normalnego działania. Jeżeli odpowiedni podmiot nie jest w stanie określić momentu rozpoczęcia zakłócenia, czas trwania incydentu należy mierzyć od momentu wykrycia incydentu lub od momentu jego odnotowania w rejestrze sieci lub systemu lub w innych źródłach danych, w zależności od tego, co nastąpiło wcześniej.
(35) Całkowitą niedostępność usługi należy mierzyć od momentu, w którym usługa stała się w pełni niedostępna dla użytkowników, do momentu przywrócenia regularnej działalności lub operacji do poziomu usługi świadczonej przed incydentem. Jeżeli odpowiedni podmiot nie jest w stanie ustalić, kiedy rozpoczęła się całkowita niedostępność usługi, należy ją mierzyć od momentu jej wykrycia przez ten podmiot.
(36) Do celów określenia bezpośrednich strat finansowych wynikających z incydentu odpowiednie podmioty powinny wziąć pod uwagę wszystkie straty finansowe, które poniosły w wyniku incydentu, takie jak koszty wymiany lub przeniesienia oprogramowania, sprzętu lub infrastruktury, koszty personelu, w tym koszty związane z zastąpieniem lub przeniesieniem personelu, rekrutacją dodatkowego personelu, wynagrodzeniem za godziny nadliczbowe i przywróceniem utraconych lub obniżonych umiejętności, opłaty z tytułu nieprzestrzegania zobowiązań umownych, koszty zadośćuczynienia i odszkodowań dla klientów, straty spowodowane utratą przychodów, koszty związane z komunikacją wewnętrzną i zewnętrzną, koszty doradztwa, w tym koszty związane z doradztwem prawnym, usługami kryminalistycznymi i usługami zaradczymi, a także inne koszty związane z incydentem. Za straty finansowe wynikające z incydentu nie należy jednak uznawać kar administracyjnych ani kosztów niezbędnych do bieżącego prowadzenia działalności gospodarczej, obejmujących koszty ogólnej konserwacji infrastruktury, wyposażenia, sprzętu i oprogramowania, aktualizowania umiejętności pracowników, koszty wewnętrzne lub zewnętrzne w celu usprawnienia działalności po zdarzeniu, w tym koszty modernizacji, ulepszeń i inicjatyw w zakresie oceny ryzyka, oraz składki ubezpieczeniowe. Odpowiednie podmioty powinny obliczać kwoty strat finansowych na podstawie dostępnych danych, a gdy nie można ustalić faktycznych kwot strat finansowych, podmioty te powinny oszacować te kwoty.
(37) Odpowiednie podmioty powinny być również zobowiązane do zgłaszania incydentów, które spowodowały lub mogą spowodować śmierć osób fizycznych lub znaczny uszczerbek na zdrowiu osób fizycznych, ponieważ takie incydenty są szczególnie poważnymi przypadkami powodującymi znaczne szkody majątkowe lub niemajątkowe. Na przykład incydent mający wpływ na odpowiedni podmiot może spowodować niedostępność opieki zdrowotnej lub służb ratunkowych bądź utratę poufności lub integralności danych, co ma wpływ na zdrowie osób fizycznych. W celu ustalenia, czy incydent spowodował lub może spowodować znaczny uszczerbek na zdrowiu osoby fizycznej, odpowiednie podmioty powinny wziąć pod uwagę, czy incydent ten spowodował lub może spowodować poważne obrażenia i zły stan zdrowia. W tym celu odpowiednie podmioty nie powinny być zobowiązane do gromadzenia dodatkowych informacji, do których nie mają dostępu.
(38) Należy uznać, że ograniczona dostępność występuje w szczególności wtedy, gdy czas świadczenia usługi przez odpowiedni podmiot jest znacznie wolniejszy niż średni czas reakcji lub gdy nie wszystkie funkcje usługi są dostępne. W miarę możliwości do oceny opóźnień w czasie reakcji należy stosować obiektywne kryteria oparte na średnim czasie reakcji w ramach usług świadczonych przez odpowiednie podmioty. Funkcją usługi może być na przykład funkcja czatu lub funkcja wyszukiwania obrazów.
(39) Udany, prawdopodobnie złośliwy i nieuprawniony dostęp do sieci i systemów informatycznych odpowiedniego podmiotu należy uznać za poważny incydent, jeżeli taki dostęp może spowodować poważne zakłócenia operacyjne. Na przykład jeżeli sprawca cyberzagrożenia wstępnie pozycjonuje się w sieci i systemach informatycznych odpowiedniego podmiotu w celu spowodowania zakłóceń w świadczeniu usług w przyszłości, incydent należy uznać za poważny.
(40) Powtarzające się incydenty, które są powiązane tą samą pozorną główną przyczyną i które indywidualnie nie spełniają kryteriów poważnego incydentu, należy łącznie uznać za poważny incydent, o ile łącznie spełniają one kryterium straty finansowej i wystąpiły co najmniej dwa razy w ciągu sześciu miesięcy. Takie powtarzające się incydenty mogą wskazywać na istotne uchybienia i niedociągnięcia w procedurach zarządzania ryzykiem w cyberbezpieczeństwie stosowanych przez odpowiedni podmiot oraz w stanie cyberbezpieczeństwa. Oprócz tego takie powtarzające się incydenty mogą spowodować znaczne straty finansowe dla odpowiedniego podmiotu.
(41) Komisja wymieniła opinie i współpracowała z grupą współpracy i ENISA w sprawie projektu aktu wykonawczego, zgodnie z art. 21 ust. 5 i art. 23 ust. 11 dyrektywy (UE) 2022/2555.
(42) Zgodnie z art. 42 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 skonsultowano się z Europejskim Inspektorem Ochrony Danych 3 , który wydał opinię dnia 1 września 2024 r.
(43) Środki przewidziane w niniejszym rozporządzeniu są zgodne z opinią komitetu ustanowionego zgodnie z art. 39 dyrektywy (UE) 2022/2555,
PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:
