Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Директива Европейского Парламента и Совета ЕС (ЕС) 2016/1148 от 6 июля 2016 г. о мерах по достижению высокого общего уровня безопасности сетевых и информационных систем Союза (документ не действует)
- Глава V. Безопасность сетевых и информационных систем провайдеров цифровых услуг
- Статья 16. Требования по обеспечению безопасности и уведомление об инциденте
Статья 16. Требования по обеспечению безопасности и уведомление об инциденте
Статья 16
Требования по обеспечению безопасности и уведомление об инциденте
1. Государства-члены ЕС гарантируют, что провайдеры цифровых услуг определяют и принимают необходимые пропорциональные технические и организационные меры, направленные на управление рисками, связанными с используемыми ими в процессе оказания на территории Союза услуг, указанных в Приложении III, сетевыми и информационными системами. Указанные меры должны гарантировать уровень безопасности сетевых и информационных систем, соответствующий имеющимся рискам согласно уровню технического развития, с учетом следующих элементов:
(a) безопасность сетей и предприятий;
(b) управление инцидентами;
(c) управление устойчивостью бизнеса;
(d) мониторинг, аудит и тестирование;
(e) соответствие международным стандартам.
2. Государства-члены ЕС гарантируют, что провайдеры цифровых услуг принимают необходимые меры, направленные на предупреждение и минимизацию воздействия инцидентов, влияющих на безопасность сетевых и информационных систем, используемых для оказания на территории Союза услуг, указанных в Приложении III, с точки зрения их непрерывности.
3. Государства-члены ЕС гарантируют, что провайдеры цифровых услуг незамедлительно уведомляют компетентный орган или CSIRT об инцидентах, оказывающих существенное воздействие на оказание на территории Союза услуг, указанных в Приложении III. Уведомление должно содержать сведения, позволяющие компетентному органу или CSIRT определить наличие трансграничного воздействия инцидента. Уведомление не повышает степени ответственности уведомляющей стороны.
4. При определении существенности влияния инцидента необходимо учитывать следующие параметры:
(a) количество пользователей, пострадавших от инцидента, в частности, пользователей, использующих услугу для предоставления своих услуг;
(b) продолжительность инцидента;
(c) географическое распространение области, пострадавшей от инцидента;
(d) степень нарушения услуги;
(e) степень воздействия на экономическую и социальную деятельность.
Обязательства по уведомлению об инциденте распространятся на провайдеров цифровых услуг, только если они имеют доступ к информации, необходимой для проведения оценки влияния инцидента с точки зрения параметров, указанных в первом подпараграфе.
5. Если оператор основных услуг в ходе оказания услуг, являющихся основными с точки зрения поддержания важнейшей социальной и экономической деятельности, пользуется услугами провайдера цифровых услуг третьей стороны, указанный оператор обязан уведомить о существенном влиянии инцидента, от которого пострадал провайдер цифровых услуг, на непрерывность оказания основных услуг.
6. При необходимости, например, в тех случаях, когда инцидент, указанный в параграфе 3, затронул интересы нескольких государств-членов ЕС, компетентный орган или CSIRT должны уведомить другие пострадавшие государства-члены ЕС. При этом компетентные органы, CSIRTs или единые контактные пункты в соответствии с законодательством Союза или национальным законодательством, соответствующим законодательству Союза, должны сохранять безопасность и коммерческие интересы провайдера цифровых услуг, а также конфиденциальность информации, содержащейся в уведомлении.
7. После консультаций с заинтересованным провайдером цифровых услуг компетентный орган или CSIRT, а при необходимости органы или CSIRTs других заинтересованных государств-членов ЕС могут обнародовать сведения об отдельных инцидентах или потребовать от провайдера цифровых услуг обнародовать указанные сведения, если указанное обнародование необходимо для предупреждения инцидента, разрешения длящегося инцидента или необходимо для соблюдения общественных интересов по иным основаниям.
8. Европейская Комиссия должна принять имплементационные акты, подробнее определяющие элементы, указанные в параграфе 1, и параметры, перечисленные в параграфе 4 настоящей Статьи. Указанные имплементационные акты принимаются в соответствии с процедурой проверки, указанной в Статье 22(2), до 9 августа 2017 г.
9. Европейская Комиссия должна принять имплементационные акты, устанавливающие формат уведомления и процедурные требования к уведомлению. Указанные имплементационные акты принимаются в соответствии с процедурой проверки, указанной в Статье 22(2).
10. Без ущерба действию положений Статьи 1(6) государства-члены ЕС не могут возлагать на провайдеров цифровых услуг дополнительные требования по обеспечению безопасности и уведомлению.