Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Директива Европейского Парламента и Совета Европейского Союза 2022/2555 от 14 декабря 2022 г. о мерах по обеспечению высокого общего уровня кибербезопасности на территории Союза, о внесении изменений в Регламент (ЕС) 910/2014 и Директиву (ЕС) 2018/1972, а также об отмене Директивы (ЕС) 2016/1148 (Директива NIS 2)
- Глава IV. Меры по управлению рисками кибербезопасности и обязательства по представлению отчетности
- Статья 23. Обязательства по представлению отчетности
Статья 23. Обязательства по представлению отчетности
Статья 23
Обязательства по представлению отчетности
1. Каждое государство-член ЕС должно гарантировать, что основные и значимые организации незамедлительно уведомляют свою CSIRT или, в соответствующем случае, свой компетентный орган в соответствии с параграфом 4 о любом инциденте, который оказывает значительное воздействие на предоставление их услуг, как указано в параграфе 3 (серьезный инцидент). В предусмотренных случаях, соответствующие организации должны незамедлительно уведомлять получателей своих услуг о серьезных инцидентах, которые могут негативно повлиять на предоставление указанных услуг. Каждое государство-член ЕС должно гарантировать, что указанные организации сообщают, inter alia, любую информацию, позволяющую CSIRT или, по мере необходимости, компетентному органу определять любое трансграничное воздействие инцидента. Простой акт уведомления не налагает на уведомляющую организацию повышенной ответственности.
Если соответствующие организации уведомляют компетентные органы о серьезном инциденте согласно первому подпараграфу, государства-члены ЕС должны гарантировать, что компетентный орган направит уведомление CSIRT по получении.
В случае трансграничного или межотраслевого серьезного инцидента государства-члены ЕС должны гарантировать, что их единым контактным центрам своевременно предоставляется соответствующая информация, о которой сообщается в соответствии с параграфом 4.
2. В предусмотренных случаях, государства-члены ЕС должны гарантировать, что основные и значимые организации своевременно сообщают получателям своих услуг, вероятно затронутых серьезной угрозой киберпространству, о любых мерах или средствах правовой защиты, которые указанные получатели могут принять в ответ на указанную угрозу. По мере необходимости, организации также должны информировать указанных получателей о самой серьезной угрозе киберпространству.
3. Инцидент считается серьезным, если:
(a) он привел или способен привести к серьезным сбоям в работе служб или финансовым потерям для соответствующей организации;
(b) повлиял или способен повлиять на других физических или юридических лиц, причинив значительный материальный или нематериальный ущерб.
4. Государства-члены ЕС должны гарантировать, что для целей уведомления согласно параграфу 1 соответствующие организации предоставляют CSIRT или, при необходимости, компетентному органу:
(a) незамедлительно и в любом случае в течение 24 часов с момента получения информации о серьезном инциденте - раннее предупреждение, в котором в требуемых случаях указывается, имеются ли подозрения относительно того, что серьезный инцидент был вызван незаконными или злоумышленными деяниями или может иметь трансграничное воздействие;
(b) незамедлительно и в любом случае в течение 72 часов с момента получения информации о серьезном инциденте - уведомление об инциденте, которое, по мере необходимости, должно обновлять информацию, указанную в пункте (a), и давать первоначальную оценку серьезного инцидента, включая степень его серьезности и воздействие, а также в соответствующих случаях указывать индикаторы компрометации;
(c) по запросу CSIRT или, в предусмотренном случае, компетентного органа - промежуточный отчет о соответствующих обновлениях статуса;
(d) окончательный отчет не позднее, чем через один месяц после представления уведомления об инциденте согласно пункту (b), включая следующее:
(i) подробное описание инцидента, в том числе степень его серьезности и воздействие;
(ii) тип угрозы или первопричину, которая могла спровоцировать инцидент;
(iii) применяемые и текущие меры по смягчению последствий;
(iv) в требуемых случаях, трансграничное воздействие инцидента;
(e) в случае актуального инцидента на момент представления окончательного отчета, указанного в пункте (d), государства-члены ЕС должны гарантировать, что соответствующие органы представляют отчет о достигнутых результатах в указанное время, а окончательный отчет в течение одного месяца с момента рассмотрения инцидента.
Путем частичного отступления от пункта (b) первого подпараграфа, поставщик удостоверительного сервиса должен уведомить CSIRT или, по мере необходимости, компетентный орган о серьезных инцидентах, которые оказывают воздействие на предоставление его удостоверительных услуг, незамедлительно и в любой случае в течение 24 часов с момента получения информации о серьезном инциденте.
5. CSIRT или компетентный орган должны незамедлительно и, по возможности, в течение 24 часов после получения раннего предупреждения, указанного в пункте (a) параграфа 4, дать ответ уведомляющей организации, включая первоначальную обратную информацию о серьезном инциденте и, по запросу организации, руководящие указания или оперативный совет по поводу реализации возможных мер по смягчению последствий. Если CSIRT не является первоначальным получателем уведомления, указанного в параграфе 1, руководящие указания должны предоставляться компетентным органом в сотрудничестве с CSIRT. Группа реагирования на инциденты, связанные с компьютерной безопасностью (CSIRT), должна предоставлять дополнительную техническую поддержку, если соответствующая организация обратится с таким запросом. Если имеется подозрение, что серьезный инцидент носит преступный характер, CSIRT или компетентный орган должны также предоставить правоохранительным органам руководства по представлению отчетности о серьезном инциденте.
6. В предусмотренных случаях и, в частности, если серьезный инцидент касается двух или нескольких государств-членов ЕС, компетентный орган или единый контактный центр должны своевременно информировать о серьезном инциденте другие пострадавшие государства-члены ЕС и ENISA. Такая информация должна включать в себя тип информации, полученной в соответствии с параграфом 4. При этом CSIRT, компетентный орган или единый контактный центр, в соответствии с законодательством Союза или национальным законодательством, должны обеспечивать безопасность и коммерческие интересы организации, а также конфиденциальность предоставленной информации.
7. Если для предотвращения серьезного инцидента и для урегулирования текущего серьезного инцидента необходимо информирование общественности или если раскрытие информации о серьезном инциденте иным образом отвечает общественному интересу, CSIRT государства-члена ЕС или, в соответствующих случаях, его компетентный орган и, по мере необходимости, CSIRTs или компетентные органы других заинтересованных государств-членов ЕС могут после консультации с соответствующей организацией проинформировать общественность о серьезном инциденте или потребовать от организации сделать это.
8. По запросу CSIRT или компетентного органа единый контактный центр должен направлять уведомления, полученные согласно параграфу 1, единым контактным центрам других затрагиваемых государств-членов ЕС.
9. Единый контактный центр каждые три месяца должен представлять ENISA краткий отчет, включающий в себя обезличенные и агрегированные данные о серьезных инцидентах, инцидентах, киберугрозах и потенциально опасных событиях, о которых было сообщено в соответствии с параграфом 1 настоящей Статьи и со Статьей 30. Для содействия предоставлению сопоставимой информации ENISA может принять технические рекомендации по параметрам информации, подлежащей включению в краткий отчет. ENISA каждые шесть месяцев должно информировать Группу по сотрудничеству и сеть CSIRTs о своих выводах по получаемым уведомлениям.
10. CSIRTs или, в соответствующем случае, компетентные органы должны предоставлять компетентным органам согласно Директиве (ЕС) 2022/2557 информацию о серьезных инцидентах, инцидентах, киберугрозах и потенциально опасных событиях, о которых в соответствии с параграфом 1 настоящей Статьи и со Статьей 30 сообщают организации, определенные в качестве критически важных согласно Директиве (ЕС) 2022/2557.
11. Европейская Комиссия может принять имплементационные акты, дополнительно определяющие тип информации, формат и процедуру уведомления, переданного согласно параграфу 1 настоящей Статьи и согласно Статье 30, и сообщения, переданного согласно параграфу 2 настоящей Статьи.
К семнадцатому октября 2024 г. Европейская Комиссия в отношении поставщиков услуг DNS, реестров имен TLD, провайдеров услуг облачных вычислений, поставщиков услуг центра обработки данных, поставщиков сети доставки контента, поставщиков услуг управления сетью, поставщиков услуг по управлению информационной безопасностью, а также поставщиков электронных торговых площадок, онлайновых поисковых систем и платформ социальных сетевых сервисов должна принять имплементационные акты, дополнительно устанавливающие случаи, когда инцидент должен считаться серьезным, как указано в параграфе 3. Европейская Комиссия может принимать такие имплементационные акты в отношении других основных и значимых организаций.
Европейская Комиссия должна обмениваться консультационными услугами и сотрудничать с Группой по сотрудничеству по проектам имплементационных актов, указанных в первом и втором подпараграфах настоящего параграфа, в соответствии с пунктом (e) Статьи 14(4).
Указанные имплементационные акты должны быть приняты в соответствии с процедурой проверки, указанной в Статье 39(2).