Sprostowanie do rozporządzenia delegowanego Komisji (UE) 2024/1366 z dnia 11 marca 2024 r. uzupełniającego rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/943 poprzez ustanowienie kodeksu sieci dotyczącego zasad sektorowych w zakresie aspektów cyberbezpieczeństwa w transgranicznych przepływach energii elektrycznej

Sprostowanie do rozporządzenia delegowanego Komisji (UE) 2024/1366
z dnia 11 marca 2024 r.
uzupełniającego rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/943 poprzez ustanowienie kodeksu sieci dotyczącego zasad sektorowych w zakresie aspektów cyberbezpieczeństwa w transgranicznych przepływach energii elektrycznej

(Dziennik Urzędowy Unii Europejskiej L, 2024/1366, 24 maja 2024 r.)

(Dz.U.UE L z dnia 16 września 2024 r.)

1. W całym tekście:

zamiast: "ryzykiem w cyberprzestrzeni",

powinno być: "ryzykiem cyberbezpieczeństwa".

2. W całym tekście:

zamiast: "ryzyka w cyberprzestrzeni",

powinno być: "ryzyka cyberbezpieczeństwa".

3. W całym tekście:

zamiast: "kontroli cyberbezpieczeństwa",

powinno być: "zabezpieczeń cyberbezpieczeństwa".

4. W całym tekście:

zamiast: "kontrole cyberbezpieczeństwa",

powinno być: "zabezpieczenia cyberbezpieczeństwa".

5. Strona 1, motyw 3 zdanie pierwsze:

zamiast: "Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555(2) w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii.",

powinno być: "Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555(2) ustanawia środki na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii.".

6. Strona 1, motyw 3 zdanie drugie:

zamiast: "incydenty w cyberbezpieczeństwie",

powinno być: "incydenty cyberbezpieczeństwa".

7. Strona 1, motyw 5 zdanie pierwsze:

zamiast: "odpowiednich mechanizmów kontroli i weryfikacji cyberbezpieczeństwa",

powinno być: "odpowiednich zabezpieczeń cyberbezpieczeństwa i mechanizmów weryfikacji".

8. Strona 3, motyw 12 zdanie czwarte; strona 4, motyw 19 zdanie pierwsze; strona 35, art. 39 ust. 3 lit. d) zdanie trzecie; strona 36, art. 40 ust. 2 lit. b):

zamiast: "których podstawową przyczyną jest cyberbezpieczeństwo",

powinno być: "których podstawową przyczyną jest naruszenie cyberbezpieczeństwa".

9. Strona 5, motyw 28 zdanie piąte; strona 9, art. 3 pkt 14; strona 36, art. 40 ust. 3 zdanie pierwsze:

zamiast: "incydent w cyberbezpieczeństwie",

powinno być: "incydent cyberbezpieczeństwa".

10. Strona 7, art. 2 ust. 1 lit. k):

zamiast: "osób trzecich",

powinno być: "stron trzecich".

11. Strona 8, art. 2 ust. 2 lit. h); strona 34, art. 38 ust. 6 lit. c):

zamiast: "osoby trzecie",

powinno być: "strony trzecie".

12. Strona 9, art. 3 pkt 13:

zamiast: "kontrola cyberbezpieczeństwa",

powinno być: "zabezpieczenie cyberbezpieczeństwa".

13. Strona 9, art. 3 pkt 15:

zamiast: "oznacza politykę",

powinno być: "oznacza polityki".

14. Strona 10, art. 3 pkt 47:

zamiast: "47) »nienaprawiona aktywnie wykorzystywana podatność« oznacza podatność, która nie została jeszcze

ujawniona publicznie i naprawiona i w odniesieniu do której istnieją wiarygodne dowody na to, że podmiot wykonał złośliwy kod w systemie bez zgody właściciela systemu;",

powinno być: "47) »niezałatana aktywnie wykorzystywana podatność« oznacza podatność, która nie została jeszcze ujawniona publicznie i załatana i w odniesieniu do której istnieją wiarygodne dowody na to, że atakujący wykonał złośliwy kod w systemie bez zgody właściciela systemu;".

15. Strona 15, art. 13 ust. 1 zdanie drugie:

zamiast: "z uwzględnieniem kosztów wdrożenia tych kontroli oraz skuteczności funkcji, jaką pełnią procesy, produkty,

usługi, systemy i rozwiązania zastosowane do wdrożenia takich kontroli",

powinno być: "z uwzględnieniem kosztów wdrożenia tych zabezpieczeń oraz skuteczności funkcji, jaką pełnią procesy, produkty, usługi, systemy i rozwiązania zastosowane do wdrożenia takich zabezpieczeń".

16. Strona 15, art. 13 ust. 4 zdanie pierwsze; strona 25, art. 28 ust. 4; strona 27, art. 31 ust. 1, 3 i 4; strona 28,

art) 33 ust. 1 zdanie drugie:

zamiast: "kontrolami cyberbezpieczeństwa",

powinno być: "zabezpieczeniami cyberbezpieczeństwa".

17. Strona 17, art. 16 ust. 1 lit. i); strona 43, art. 48 ust. 1 lit. c), art. 48 ust. 6, art. 48 ust. 7 formuła wprowadzająca, art. 48 ust. 8:

zamiast: "norm i kontroli",

powinno być: "norm i zabezpieczeń".

18. Strona 17, art. 17 pkt 2; strona 20, art. 22 ust. 2 lit. b); strona 24, art. 26 ust. 4 lit. a) formuła wprowadzająca;

strona 41, art. 46 ust. 3 lit. b):

zamiast: "ryzyko w cyberprzestrzeni",

powinno być: "ryzyko cyberbezpieczeństwa".

19. Strona 17, art. 18 ust. 2 lit. a) pkt (i):

zamiast: "(i) poważna i nieoczekiwana korupcja łańcucha dostaw;",

powinno być: "(i) poważne i nieoczekiwane zaburzenie łańcucha dostaw;".

20. Strona 18, art. 18 ust. 2 lit. b):

zamiast: "w zakresie konsekwencji i prawdopodobieństwa",

powinno być: "w zakresie skutków i prawdopodobieństwa".

21. Strona 18, art. 18 ust. 4 zdanie drugie:

zamiast: "podczas ocen wpływu na działalność",

powinno być: "podczas oszacowań wpływu na działalność biznesową".

22. Strona 19, art. 20 ust. 2 lit. d); strona 25, art. 27 pkt 2 zdanie pierwsze:

zamiast: "istotnych aktywów",

powinno być: "właściwych aktywów".

23. Strona 20, art. 21 ust. 3:

zamiast: "ryzyka w zakresie cyberprzestrzeni",

powinno być: "ryzyka cyberbezpieczeństwa".

24. Strona 20, art. 22 ust. 2 lit. b):

zamiast: "mechanizmów kontroli",

powinno być: "zabezpieczeń".

25. Strona 22, art. 24 ust. 3 lit. b), art. 24 ust. 5 zdanie trzecie:

zamiast: "ECII grupy",

powinno być: "ECII dla grupy".

26. Strona 22, art. 24 ust. 4:

zamiast: "4. Jeżeli właściwy organ zidentyfikuje dodatkowe podmioty zgodnie z ust. 3, wszystkie procesy w tych

podmiotach, w przypadku których zagregowany ECII grupy przekracza próg dużego wpływu, uznaje się za procesy o dużym wpływie, a wszystkie procesy w tych podmiotach, w przypadku których zagregowany ECII grupy przekracza progi krytycznego wpływu, uznaje się za procesy o krytycznym wpływie.",

powinno być: "4. Jeżeli właściwy organ zidentyfikuje dodatkowe podmioty zgodnie z ust. 3, wszystkie procesy w tych podmiotach, w przypadku których zagregowany ECII dla grupy przekracza próg dużego wpływu, uznaje się za procesy o dużym wpływie, a wszystkie procesy w tych podmiotach, w przypadku których zagregowany ECII dla grupy przekracza progi krytycznego wpływu, uznaje się za procesy o krytycznym wpływie.".

27. Strona 23, art. 25 ust. 1 zdanie drugie:

zamiast: "może opierać się na inspekcji",

powinno być: "może opierać się na kontroli".

28. Strona 23, art. 25 ust. 2 lit. a), art. 25 ust. 2 lit. b) formuła wprowadzająca, art. 25 ust. 2 lit. c) i d):

zamiast: "wzajemną ocenę, audyt lub inspekcję",

powinno być: "wzajemną ocenę, audyt lub kontrolę".

29. Strona 23, art. 25 ust. 2 lit. e):

zamiast: "wzajemne oceny, audyty lub inspekcje",

powinno być: "wzajemne oceny, audyty lub kontrole".

30. Strona 23, art. 25 ust. 3:

zamiast: "przeprowadzania inspekcji",

powinno być: "przeprowadzania kontroli".

31. Strona 23, art. 26 ust. 2 lit. c):

zamiast: "c) zaradzenie ryzyku w cyberprzestrzeni;",

powinno być: "c) postępowanie z ryzykiem cyberbezpieczeństwa;".

32. Strona 24, art. 26 ust. 4 lit. a) pkt (vi):

zamiast: "(vi) wdrożone kontrole;",

powinno być: "(vi) wdrożone zabezpieczenia;".

33. Strona 24, art. 26 ust. 4 lit. b):

zamiast: "analizuje prawdopodobieństwo i konsekwencje",

powinno być: "analizuje prawdopodobieństwo i skutki".

34. Strona 24, art. 26 ust. 4 lit. c) pkt (i):

zamiast: "ocenę skutków dla działalności",

powinno być: "oszacowanie wpływu na działalność biznesową".

35. Strona 24, art. 26 ust. 4 lit. d):

zamiast: "ocenia czynniki ryzyka w cyberbezpieczeństwie",

powinno być: "ocenia ryzyka cyberbezpieczeństwa".

36. Strona 24, art. 26 ust. 5:

zamiast: "5. Na etapie zaradzenia ryzyku w cyberprzestrzeni każdy podmiot o dużym wpływie i podmiot o krytycznym wpływie sporządza plan ograniczania ryzyka na poziomie podmiotu, wybierając warianty zaradzenia ryzyku odpowiednie do zarządzania ryzykiem i identyfikacji pozostałego ryzyka.",

powinno być: "5. Na etapie postępowania z ryzykiem cyberbezpieczeństwa każdy podmiot o dużym wpływie i podmiot o krytycznym wpływie sporządza plan ograniczania ryzyka na poziomie podmiotu, wybierając warianty postępowania z ryzykiem odpowiednie do zarządzania ryzykiem i identyfikacji ryzyka rezydualnego.".

37. Strona 25, art. 26 ust. 8:

zamiast: "może przeprowadzić inspekcję",

powinno być: "może przeprowadzić kontrolę".

38. Strona 25, art. 27 pkt 1:

zamiast: "1) wykaz kontroli wybranych na potrzeby planu ograniczania ryzyka na poziomie podmiotu zgodnie

z art. 26 ust. 5 wraz z aktualnym stanem wdrożenia każdej kontroli;",

powinno być: "1) wykaz zabezpieczeń wybranych na potrzeby planu ograniczania ryzyka na poziomie podmiotu zgodnie z art. 26 ust. 5 wraz z aktualnym stanem wdrożenia każdego zabezpieczenia;".

39. Strona 25, art. 28 ust. 1 formuła wprowadzająca:

zamiast: "kontroli",

powinno być: "zabezpieczeń".

40. Strona 25, art. 28 ust. 1 lit. c):

zamiast: "mapę kontroli",

powinno być: "mapę zabezpieczeń".

41. Strona 26, art. 29 ust. 3; strona 27, art. 31 ust. 2:

zamiast: "osobę trzecią",

powinno być: "stronę trzecią".

42. Strona 26, art. 29 ust. 5; strona 29, art. 33 ust. 4 zdanie pierwsze:

zamiast: "obejmują kontrole",

powinno być: "obejmują zabezpieczenia".

43. Strona 26, art. 30 ust. 1 lit. b):

zamiast: "jeżeli podmiot przedstawia plan zaradzenia ryzyku na poziomie podmiotu, który ogranicza ryzyko w cyberbezpieczeństwie za pomocą alternatywnych kontroli",

powinno być: "jeżeli podmiot przedstawia plan postępowania z ryzykiem na poziomie podmiotu, który ogranicza ryzyko cyberbezpieczeństwa za pomocą alternatywnych zabezpieczeń".

44. Strona 27, art. 31 ust. 1:

zamiast: "po przyjęciu kontroli",

powinno być: "po przyjęciu zabezpieczeń".

45. Strona 27, art. 31 ust. 5:

zamiast: "zgodność z wymogiem stosowania kontroli",

powinno być: "zgodność z wymaganymi zabezpieczeniami".

46. Strona 27, art. 32 ust. 1 lit. a):

zamiast: "z uwzględnieniem interfejsów",

powinno być: "z uwzględnieniem powiązań".

47. Strona 27, art. 32 ust. 1 lit. d):

zamiast: "i do osób, których dotyczy ryzyko dla bezpieczeństwa",

powinno być: "oraz stronom, których dotyczy ryzyko bezpieczeństwa".

48. Strona 28, art. 33 ust. 2 formuła wprowadzająca:

zamiast: "obejmują kontrole podmiotów o dużym wpływie lub podmiotów o krytycznym wpływie, w których to kontrolach",

powinno być: "obejmują zabezpieczenia podmiotów o dużym wpływie lub podmiotów o krytycznym wpływie, w których to zabezpieczeniach".

49. Strona 28, art. 33 ust. 2 lit. a) pkt (i) zdanie czwarte:

zamiast: "ryzyka dla bezpieczeństwa odnośnego podmiotu",

powinno być: "ryzyka bezpieczeństwa odnoszącego się do danego podmiotu".

50. Strona 28, art. 33 ust. 2 lit. a) pkt (i) zdanie piąte:

zamiast: "kontrolę bezpieczeństwa",

powinno być: "weryfikację".

51. Strona 30, art. 34 ust. 1 zdanie pierwsze:

zamiast: "do celów mapowania kontroli",

powinno być: "do celów mapowania zabezpieczeń".

52. Strona 30, art. 34 ust. 1 zdanie drugie:

zamiast: "dokumentują równoważność poszczególnych kontroli za pomocą kontroli określonych w art. 28 ust. 1 lit. a)

i b)",

powinno być: "dokumentują równoważność poszczególnych zabezpieczeń w stosunku do zabezpieczeń określonych w art. 28 ust. 1 lit. a) i b)".

53. Strona 30, art. 34 ust. 2 zdanie pierwsze:

zamiast: "mapy kontroli",

powinno być: "mapy zabezpieczeń".

54. Strona 32, art. 37 ust. 1 lit. f):

zamiast: "w celu umożliwienia orientacji sytuacyjnej w sektorze energii elektrycznej oraz zapobieżenia urzeczywistnieniu się ryzyka, które może się nasilić i przybrać formę transgranicznego incydentu w cyberbezpieczeństwie",

powinno być: "w celu wytworzenia świadomości sytuacyjnej w sektorze energii elektrycznej oraz zapobieżenia materializacji ryzyka, które może się nasilić i przybrać formę transgranicznego incydentu cyberbezpieczeństwa".

55. Strona 32, art. 37 ust. 2 formuła wprowadzająca, art. 37 ust. 3 formuła wprowadzająca, art. 37 ust. 4:

zamiast: "nienaprawionej",

powinno być: "niezałatanej".

56. Strona 32, art. 37 ust. 2 lit. b) i e), art. 37 ust. 3 lit. a) i b):

zamiast: "nienaprawioną",

powinno być: "niezałataną".

57. Strona 32, art. 37 ust. 2 lit. c):

zamiast: "nienaprawiona",

powinno być: "niezałatana".

58. Strona 32, art. 37 ust. 2 lit. e), art. 37 ust. 3 lit. a):

zamiast: "środkami łagodzącymi",

powinno być: "środkami ograniczającymi ryzyko".

59. Strona 32, art. 37 ust. 5; strona 34, art. 38 ust. 6 lit. a); strona 36, art. 40 ust. 4 zdanie pierwsze:

zamiast: "łagodzenia",

powinno być: "ograniczania".

60. Strona 34, art. 38 ust. 3 i art. 38 ust. 6 formuła wprowadzająca:

zamiast: "swoim CSIRT",

powinno być: "właściwym CSIRT".

61. Strona 34, art. 38 ust. 5 zdanie pierwsze i art. 38 ust. 7 lit. b) pkt (ii):

zamiast: "nienaprawionych",

powinno być: "niezałatanych".

62. Strona 34, art. 38 ust. 6 lit. b):

zamiast: "zagrożony",

powinno być: "skompromitowany".

63. Strona 34, art. 38 ust. 9 zdanie drugie:

zamiast: "nieopatrzoną klauzulą poufności wersję informacji",

powinno być: "wersję informacji niezawierającą informacji poufnych".

64. Strona 36, art. 40 ust. 2 lit. e) i art. 40 ust. 4 zdanie pierwsze:

zamiast: "łagodzeniu",

powinno być: "ograniczaniu".

65. Strona 37, art. 41 ust. 6 lit. c):

zamiast: "połączenie z CSIRT",

powinno być: "środki komunikacji z CSIRT".

66. Strona 38, art. 42 ust. 2 lit. h):

zamiast: "sprawozdaniu z orientacji sytuacyjnej",

powinno być: "sprawozdaniu dotyczącym świadomości sytuacyjnej".

67. Strona 39, art. 43 ust. 3 zdanie pierwsze:

zamiast: "jego CSIRT",

powinno być: "właściwego CSIRT".

68. Strona 41, art. 46 ust. 6; strona 42, art. 46 ust. 8 zdanie pierwsze:

zamiast: "osobie trzeciej",

powinno być: "stronie trzeciej".

69. Strona 41, art. 46 ust. 7 zdanie pierwsze:

zamiast: "którego podstawową przyczyną jest cyberbezpieczeństwo",

powinno być: "którego podstawową przyczyną jest naruszenie cyberbezpieczeństwa".

70. Strona 41, art. 46 ust. 7 lit. b); strona 42, art. 46 ust. 8 zdanie trzecie:

zamiast: "środkach łagodzących",

powinno być: "środkach ograniczających ryzyko".

71. Strona 42, art. 46 ust. 8 zdanie drugie:

zamiast: "Przed ujawnieniem jakichkolwiek informacji dostarczonych, otrzymanych, wymienionych lub przekazanych na podstawie niniejszego rozporządzenia osobie trzeciej niewymienionej w art. 2 ust. 1 zainteresowany właściwy organ w sposób uzasadniony zapewnia, aby dana osoba trzecia znała obowiązujące przepisy bezpieczeństwa, i uzyskuje wystarczającą pewność, że dana osoba trzecia może chronić otrzymane informacje zgodnie z ust. 1-5 niniejszego artykułu.",

powinno być: "Przed ujawnieniem jakichkolwiek informacji dostarczonych, otrzymanych, wymienionych lub przekazanych na podstawie niniejszego rozporządzenia stronie trzeciej niewymienionej w art. 2 ust. 1 zainteresowany właściwy organ w racjonalny sposób zapewnia, aby dana strona trzecia znała obowiązujące przepisy bezpieczeństwa, i uzyskuje wystarczającą pewność, że dana strona trzecia może chronić otrzymane informacje zgodnie z ust. 1-5 niniejszego artykułu.".

72. Strona 42, art. 46 ust. 8 zdanie czwarte:

zamiast: "osoba trzecia",

powinno być: "strona trzecia".

73. Strona 43, art. 48 ust. 7 lit. b):

zamiast: "równoważne kontrolom",

powinno być: "równoważne zabezpieczeniom".

Zmiany w prawie

Stosunek prezydenta Dudy do wolnej Wigilii "uległ zawieszeniu"

Prezydent Andrzej Duda powiedział w czwartek, że ubolewa, że w sprawie ustawy o Wigilii wolnej od pracy nie przeprowadzono wcześniej konsultacji z prawdziwego zdarzenia. Jak dodał, jego stosunek do ustawy "uległ niejakiemu zawieszeniu". Wyraził ubolewanie nad tym, że pomimo wprowadzenia wolnej Wigilii, trzy niedziele poprzedzające święto mają być dniami pracującymi. Ustawa czeka na podpis prezydenta.

kk/pap 12.12.2024
ZUS: Renta wdowia - wnioski od stycznia 2025 r.

Od Nowego Roku będzie można składać wnioski o tzw. rentę wdowią, która dotyczy ustalenia zbiegu świadczeń z rentą rodzinną. Renta wdowia jest przeznaczona dla wdów i wdowców, którzy mają prawo do co najmniej dwóch świadczeń emerytalno-rentowych, z których jedno stanowi renta rodzinna po zmarłym małżonku. Aby móc ją pobierać, należy jednak spełnić określone warunki.

Grażyna J. Leśniak 20.11.2024
Zmiany w składce zdrowotnej od 1 stycznia 2026 r. Rząd przedstawił założenia

Przedsiębiorcy rozliczający się według zasad ogólnych i skali podatkowej oraz liniowcy będą od 1 stycznia 2026 r. płacić składkę zdrowotną w wysokości 9 proc. od 75 proc. minimalnego wynagrodzenia, jeśli będą osiągali w danym miesiącu dochód do wysokości 1,5-krotności przeciętnego wynagrodzenia w sektorze przedsiębiorstw w czwartym kwartale roku poprzedniego, włącznie z wypłatami z zysku, ogłaszanego przez prezesa GUS. Będzie też dodatkowa składka w wysokości 4,9 proc. od nadwyżki ponad 1,5-krotność przeciętnego wynagrodzenia, a liniowcy stracą możliwość rozliczenia zapłaconych składek w podatku dochodowym.

Grażyna J. Leśniak 18.11.2024
Prezydent podpisał nowelę ustawy o rozwoju lokalnym z udziałem lokalnej społeczności

Usprawnienie i zwiększenie efektywności systemu wdrażania Rozwoju Lokalnego Kierowanego przez Społeczność (RLKS) przewiduje ustawa z dnia 11 października 2024 r. o zmianie ustawy o rozwoju lokalnym z udziałem lokalnej społeczności. Jak poinformowała w czwartek Kancelaria Prezydenta, Andrzej Duda podpisał ją w środę, 13 listopada. Ustawa wejdzie w życie z dniem następującym po dniu ogłoszenia.

Grażyna J. Leśniak 14.11.2024
Do poprawki nie tylko emerytury czerwcowe, ale i wcześniejsze

Problem osób, które w latach 2009-2019 przeszły na emeryturę w czerwcu, przez co - na skutek niekorzystnych zasad waloryzacji - ich świadczenia były nawet o kilkaset złotych niższe od tych, jakie otrzymywały te, które przeszły na emeryturę w kwietniu lub w maju, w końcu zostanie rozwiązany. Emerytura lub renta rodzinna ma - na ich wniosek złożony do ZUS - podlegać ponownemu ustaleniu wysokości. Zdaniem prawników to dobra regulacja, ale równie ważna i paląca jest sprawa wcześniejszych emerytur. Obie powinny zostać załatwione.

Grażyna J. Leśniak 06.11.2024
Bez konsultacji społecznych nie będzie nowego prawa

Już od jutra rządowi trudniej będzie, przy tworzeniu nowego prawa, omijać proces konsultacji publicznych, wykorzystując w tym celu projekty poselskie. W czwartek, 31 października, wchodzą w życie zmienione przepisy regulaminu Sejmu, które nakazują marszałkowi Sejmu kierowanie projektów poselskich do konsultacji publicznych i wymagają sporządzenia do nich oceny skutków regulacji. Każdy obywatel będzie mógł odtąd zgłosić własne uwagi do projektów poselskich, korzystając z Systemu Informacyjnego Sejmu.

Grażyna J. Leśniak 30.10.2024
Metryka aktu
Identyfikator:

Dz.U.UE.L.2024.90558

Rodzaj: Sprostowanie
Tytuł: Sprostowanie do rozporządzenia delegowanego Komisji (UE) 2024/1366 z dnia 11 marca 2024 r. uzupełniającego rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/943 poprzez ustanowienie kodeksu sieci dotyczącego zasad sektorowych w zakresie aspektów cyberbezpieczeństwa w transgranicznych przepływach energii elektrycznej
Data aktu: 16/09/2024
Data ogłoszenia: 16/09/2024
Data wejścia w życie: 13/06/2024