Główna  >  Ustawy  >  O krajowym systemie cyberbezpieczeństwa  >  Artykuł 18

Drukuj

Art. 18 O krajowym systemie cyberbezpieczeństwa


O krajowym systemie cyberbezpieczeństwa
Artykuł 18.

1. Dostawca usługi cyfrowej:

  1. przeprowadza czynności umożliwiające wykrywanie, rejestrowanie, analizowanie oraz klasyfikowanie incydentów;
     
  2. zapewnia w niezbędnym zakresie dostęp do informacji dla właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV o incydentach zakwalifikowanych jako krytyczne przez właściwy CSIRT MON, CSIRT NASK lub CSIRT GOV;
     
  3. klasyfikuje incydent jako istotny;
     
  4. zgłasza incydent istotny niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV;
     
  5. zapewnia obsługę incydentu istotnego i incydentu krytycznego we współpracy z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne dane, w tym dane osobowe;
     
  6. usuwa podatności, o których mowa w art. 32 ust. 2;
     
  7. przekazuje operatorowi usługi kluczowej, który świadczy usługę kluczową za pośrednictwem tego dostawcy usługi cyfrowej, informacje dotyczące incydentu mającego wpływ na ciągłość świadczenia usługi kluczowej tego operatora.
     
  1. Dostawca usługi cyfrowej w celu sklasyfikowania incydentu jako istotnego uwzględnia w szczególności:

    1. liczbę użytkowników, których dotyczy incydent, w szczególności użytkowników zależnych od usługi na potrzeby świadczenia ich własnych usług;
       
    2. czas trwania incydentu;
       
    3. zasięg geograficzny obszaru, którego dotyczy incydent;
       
    4. zakres zakłócenia funkcjonowania usługi;
       
    5. zakres wpływu incydentu na działalność gospodarczą i społeczną.
       
  2. Dostawca usługi cyfrowej, klasyfikując incydent jako istotny, ocenia istotność wpływu incydentu na świadczenie usługi cyfrowej na podstawie parametrów, o których mowa w ust. 2, oraz progów określonych w rozporządzeniu wykonawczym 2018/151.
     
  3. Dostawca usługi cyfrowej nie ma obowiązku dokonania zgłoszenia, o którym mowa w ust. 1 pkt 4, gdy nie posiada informacji pozwalających na ocenę istotności wpływu incydentu na świadczenie usługi cyfrowej.
     
  4. Zgłoszenie, o którym mowa w ust. 1 pkt 4, przekazywane jest w postaci elektronicznej, a w przypadku braku możliwości przekazania go w postaci elektronicznej – przy użyciu innych dostępnych środków komunikacji.
     
Artykuł 1 ...16 17 18 19 20 ...

Przejdź do artykułu