Статья 14. Требования по обеспечению безопасности и уведомление об инциденте. Директива Европейского Парламента и Совета ЕС (ЕС) 2016/1148 от 06.07.2016 о мерах по достижению высокого общего уровня безопасности сетевых и информационных систем Союза (документ не действует)

Статья 14
Требования по обеспечению безопасности и уведомление об инциденте

1. Государства-члены ЕС гарантируют, что операторы основных услуг принимают необходимые пропорциональные технические и организационные меры, направленные на управление рисками, связанными с используемыми ими в процессе работы сетевыми и информационными системами. Указанные меры должны гарантировать уровень безопасности сетевых и информационных систем, соответствующий имеющимся рискам согласно уровню технического развития.

2. Государства-члены ЕС гарантируют, что операторы основных услуг принимают необходимые меры, направленные на предупреждение и минимизацию воздействия инцидентов, влияющих на безопасность сетевых и информационных систем, используемых для оказания основных услуг, с точки зрения их непрерывности.

3. Государства-члены ЕС гарантируют, что операторы основных услуг незамедлительно уведомляют компетентный орган или CSIRT об инцидентах, оказывающих существенное воздействие на непрерывность оказываемых ими услуг. Уведомление должно содержать сведения, позволяющие компетентному органу или CSIRT определить наличие трансграничного воздействия инцидента. Уведомление не повышает ответственности уведомляющей стороны.

4. При определении существенности влияния инцидента необходимо учитывать следующие параметры:

(a) количество пользователей, пострадавших от сбоев в оказании основной услуги;

(b) продолжительность инцидента;

(c) географическое распространение области, пострадавшей от инцидента.

5. На основании информации, предоставленной оператором основных услуг в уведомлении, компетентный орган или CSIRT должны уведомить другое пострадавшее государство-член ЕС (государства-члены ЕС) об инциденте, который оказал существенное влияние на непрерывность оказания основных услуг в указанном государстве-члене ЕС. При этом компетентный орган или CSIRT в соответствии с законодательством Союза или национальным законодательством, соответствующим законодательству Союза, должны сохранять безопасность и коммерческие интересы оператора основных услуг, а также конфиденциальность информации, содержащейся в уведомлении.

Если обстоятельства позволяют, компетентный орган или CSIRT должны предоставить уведомляющему оператору основных услуг соответствующую информацию, содержащую сведения о действиях, предпринятых после получения уведомления, например, информацию, направленную на обеспечение эффективного управления инцидентом.

По требованию компетентного органа или CSIRT единый контактный пункт передает уведомления согласно первому подпараграфу в единые контактные пункты других пострадавших государств-членов ЕС.

6. После консультаций с уведомляющим оператором основных услуг компетентный орган или CSIRT могут обнародовать сведения об отдельных инцидентах, если указанное обнародование необходимо для предупреждения инцидента или разрешения длящегося инцидента.

7. Компетентные органы совместно в рамках Группы по сотрудничеству могут разработать и принять руководства в отношении обстоятельств, при которых операторы основных услуг обязаны уведомлять об инцидентах, в том числе о параметрах определения существенности влияния инцидента в соответствии с параграфом 4.