keyboard_tab Cyber Resilience Act 2023/2841 CS
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- Článek 1 Předmět
- Článek 2 Oblast působnosti
- Článek 3 Definice
- Článek 4 Zpracování osobních údajů
- Článek 5 Provádění opatření
- Článek 6 Rámec pro řízení, správu a kontrolu kybernetických bezpečnostních rizik
- Článek 7 Hodnocení vyspělosti kybernetické bezpečnosti
- Článek 8 Opatření k řízení kybernetických bezpečnostních rizik
- Článek 9 Plány kybernetické bezpečnosti
- Článek 10 Interinstitucionální výbor pro kybernetickou bezpečnost
- Článek 11 Úkoly výboru IICB
- Článek 12 Dodržování povinností
- Článek 13 Poslání a úkoly CERT-EU
- Článek 14 Pokyny, doporučení a výzvy k přijetí opatření
- Článek 15 Vedoucí CERT-EU
- Článek 16 Finanční a personální záležitosti
- Článek 17 Spolupráce CERT-EU s protějšky v členských státech
- Článek 18 Spolupráce CERT-EU s dalšími protějšky
- Článek 19 Nakládání s informacemi
- Článek 20 Ujednání o sdílení informací o kybernetické bezpečnosti
- Článek 21 Oznamovací povinnosti
- Článek 22 Koordinace a spolupráce v rámci reakce na incidenty
- Článek 23 Řešení závažných incidentů
- Článek 24 Počáteční přerozdělení rozpočtových prostředků
- Článek 25 Přezkum
- Článek 26 Vstup v platnost
KAPITOLA I
OBECNÁ USTANOVENÍ
KAPITOLA II
OPATŘENÍ K ZAJIŠTĚNÍ VYSOKÉ SPOLEČNÉ ÚROVNĚ KYBERNETICKÉ BEZPEČNOSTI
KAPITOLA III
INTERINSTITUCIONÁLNÍ VÝBOR PRO KYBERNETICKOU BEZPEČNOST
KAPITOLA IV
CERT-EU
KAPITOLA V
POVINNOSTI V OBLASTI SPOLUPRÁCE A OZNAMOVACÍ POVINNOSTI
KAPITOLA VI
ZÁVĚREČNÁ USTANOVENÍ
- nebo 20
- unie 12
- incidentu 11
- cert-eu 8
- podle 7
- dopad 7
- zprávu 6
- incident 6
- opatření 5
- významného 5
- informace 5
- odkladu 5
- subjekty 5
- zbytečného 5
- případně 4
- oznámení 4
- a v každém 3
- případě 3
- subjekty 3
- hodin 3
- měsíce 3
- v němž 3
- přeshraniční 3
- iicb 3
- která 3
- subjektu 3
- článku 3
- může 3
- incidentů 3
- incidentech 3
- které 3
- pokud 2
- a dopadu 2
- závažnosti 2
- jeho 2
- jsou 2
- včetně 2
- informací 2
- další 2
- doporučení 2
- žádost 2
- zmírnění 2
- všechny 2
- článku 2
- odst 2
- údaje 2
- okamžiku 2
- tohoto 2
- veškeré 2
- formát 2
Článek 21
Oznamovací povinnosti
1. Incident se považuje za závažný, pokud:
| a) | způsobil nebo může způsobit vážné provozní narušení fungování subjektu Unie nebo finanční ztrátu pro dotčený subjekt Unie; |
| b) | způsobil nebo může způsobit jiným fyzickým nebo právnickým osobám značnou hmotnou nebo nehmotnou újmu. |
2. Subjekty Unie předloží CERT-EU:
| a) | bez zbytečného odkladu a v každém případě do 24 hodin po zjištění významného incidentu, včasné varování, v němž případně uvedou, zda se domnívají, že byl významného incident způsoben nezákonným nebo nepřátelským jednáním nebo že by mohl mít dopad na různé subjekty nebo přeshraniční dopad; |
| b) | bez zbytečného odkladu a v každém případě do 72 hodin po zjištění významného incidentu, oznámení incidentu, v němž případně aktualizují informace uvedené v písmenu a) a předloží počáteční posouzení významného incidentu včetně jeho závažnosti a dopadu a, pokud jsou k dispozici, indikátory narušení; |
| c) | na žádost CERT-EU průběžnou zprávu o příslušném aktuálním vývoji situace; |
| d) | nejpozději do jednoho měsíce od předložení oznámení incidentu podle písmene b) závěrečnou zprávu zahrnující:
|
| e) | v případě, že v době předložení závěrečné zprávy podle písmene d) incident stále trvá, zprávu o pokroku k danému okamžiku a závěrečnou zprávu do jednoho měsíce od vyřešení incidentu. |
3. Subjekt Unie bez zbytečného odkladu a v každém případě do 24 hodin od okamžiku, kdy se o významnému incidentu dozvěděl, informuje všechny příslušné protějšky z členských států uvedené v čl. 17 odst. 1 v členském státě, v němž se nachází, o tom, že došlo k významnému incidentu.
4. Subjekty Unie oznámí mimo jiné veškeré informace, které CERT-EU umožní určit jakýkoli dopad na všechny subjekty, dopad na hostitelský členský stát nebo přeshraniční dopad významného incidentu. Aniž je dotčen článek 12, pouhé oznámení nepředstavuje pro subjekt Unie vyšší míru právní odpovědnosti.
5. V příslušných případech subjekty Unie bez zbytečného odkladu sdělí uživatelům dotčených sítí a informačních systémů nebo jiných složek prostředí IKT, kteří jsou potenciálně dotčeni významným incidentem nebo významnou kybernetickou hrozbou a případně potřebují přijmout zmírňující opatření, jakákoli opatření nebo nápravná opatření, která mohou být v reakci na uvedený incident nebo hrozbu přijata. Subjekty Unie případně informují tyto uživatele o samotné významné kybernetické hrozbě.
6. Pokud se významný incident nebo významná kybernetická hrozba dotýká sítě a informačního systému nebo složky prostředí IKT subjektu Unie, která je úmyslně propojena s prostředím IKT jiného subjektu Unie, vydá CERT-EU příslušné bezpečnostní varování.
7. Subjekty Unie na žádost CERT-EU a bez zbytečného odkladu poskytnou CERT-EU digitální informace vytvořené pomocí elektronických zařízení zapojených do příslušných incidentů. CERT-EU může poskytnout další podrobnosti o typech informací, které pro účely situačního přehledu a reakce na incident požaduje.
8. CERT-EU předkládá každé tři měsíce výboru IICB, ENISA, EU INTCEN a síti týmů CSIRT souhrnnou zprávu obsahující anonymizované a agregované údaje o významných incidentech, incidentech, kybernetických hrozbách, významných událostech a zranitelnostech podle článku 20, a významných incidentech oznámených podle odstavce 2 tohoto článku. Souhrnná zpráva je podkladem pro dvouletou zprávu o stavu kybernetické bezpečnosti v Unii přijatou podle článku 18 směrnice (EU) 2022/2555.
9. Výbor IICB do 8. července 2024 vydá pokyny nebo doporučení, v nichž blíže upřesní způsoby, formát a obsah oznamování podle tohoto článku. Při přípravě těchto pokynů nebo doporučení výbor IICB zohlední veškeré prováděcí akty přijaté podle čl. 23 odst. 11 směrnice (EU) 2022/2555, které blíže stanoví druh informací, formát a postup oznámení. CERT-EU šíří vhodné technické údaje s cílem umožnit aktivní odhalování incidentů, reakci na incidenty nebo opatření ke zmírnění dopadů incidentů ze strany subjektů Unie.
10. Oznamovací povinnosti stanovené v tomto článku se nevztahují na:
| a) | utajované informace EU; |
| b) | informace, jejichž další šíření bylo vyloučeno viditelným označením, pokud jejich sdílení se CERT-EU nebylo výslovně povoleno. |
whereas