search

keyboard_tab Cyber Resilience Act 2023/2841 CS

 BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf

2023/2841 CS Art. 26 cercato: 'rovněž' . Output generated live by software developed by IusOnDemand srl


expand index rovněž:


whereas rovněž:


definitions:


cloud tag: and the number of total unique words without stopwords is: 635

 

Článek 26

Vstup v platnost

Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.

Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.

Ve Štrasburku dne 13. prosince 2023.

Za Evropský parlament

předsedkyně

R. METSOLA

Za Radu

předseda

P. NAVARRO RÍOS

(1)  Postoj Evropského parlamentu ze dne 21. listopadu 2023 (dosud nezveřejněný v Úředním věstníku) a rozhodnutí Rady ze dne 8. prosince 2023.

(2)  Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2) (Úř. věst. L 333, 27.12.2022, s. 80).

(3)  Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“) (Úř. věst. L 151, 7.6.2019, s. 15).

(4)  Ujednání mezi Evropským parlamentem, Evropskou radou, Radou Evropské unie, Evropskou komisí, Soudním dvorem Evropské unie, Evropskou centrální bankou, Evropským účetním dvorem, Evropskou službou pro vnější činnost, Evropským hospodářským a sociálním výborem, Evropským výborem regionů a Evropskou investiční bankou o organizaci a fungování týmu pro reakci na počítačové hrozby pro orgány, instituce a jiné subjekty Unie (CERT-EU) (Úř. věst. C 12, 13.1.2018, s. 1).

(5)  Nařízení Rady (EHS, Euratom, ESUO) č. 259/68 ze dne 29. února 1968, kterým se stanoví služební řád úředníků a pracovní řád ostatních zaměstnanců Evropských společenství a kterým se zavádějí zvláštní opatření dočasně použitelná na úředníky Komise (Úř. věst. L 56, 4.3.1968, s. 1).

(6)  Doporučení Komise (EU) 2017/1584 ze dne 13. září 2017 o koordinované reakci na rozsáhlé kybernetické bezpečnostní incidenty a krize (Úř. věst. L 239, 19.9.2017, s. 36).

(7)  Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst. L 295, 21.11.2018, s. 39).

(8)   Úř. věst. C 258, 5.7.2022, s. 10.

(9)  Nařízení Evropského parlamentu a Rady (EU, Euratom) 2018/1046 ze dne 18. července 2018, kterým se stanoví finanční pravidla pro souhrnný rozpočet Unie, mění nařízení (EU) č. 1296/2013, (EU) č. 1301/2013, (EU) č. 1303/2013, (EU) č. 1304/2013, (EU) č. 1309/2013, (EU) č. 1316/2013, (EU) č. 223/2014, (EU) č. 283/2014, a rozhodnutí č. 541/2014/EU a zrušuje nařízení (EU, Euratom) č. 966/2012 (Úř. věst. L 193, 30.7.2018, s. 1).

(10)  Nařízení Evropského parlamentu a Rady (ES) č. 1049/2001 ze dne 30. května 2001 o přístupu veřejnosti k dokumentům Evropského parlamentu, Rady a Komise (Úř. věst. L 145, 31.5.2001, s. 43).

ELI: http://data.europa.eu/eli/reg/2023/2841/oj

ISSN 1977-0626 (electronic edition)

Článek 6

Rámec pro řízení, správu a kontrolu kybernetických bezpečnostních rizik

1.   Do 8. dubna 2025 poté, co provede počáteční přezkum kybernetické bezpečnosti, jako je audit, zřídí každý subjekt Unie vnitřní rámec pro řízení, správu a kontrolu kybernetických bezpečnostních rizik (dále je „rámec“). Na zřízení rámce dohlíží nejvyšší úroveň vedení subjektu Unie a nese za něj odpovědnost.

2.   Rámec zahrnuje celé neutajované prostředí IKT dotčeného subjektu Unie, včetně jakéhokoli prostředí IKT a sítí funkčních technologií v jeho prostorách, externě zajišťovaných aktiv a služeb v prostředí cloud computingu nebo hostovaných třetími stranami, mobilních zařízení, podnikových sítí, obchodních sítí nepřipojených k internetu a jakýchkoli zařízení připojených k těmto prostředím (dále jen „prostředí IKT“). Rámec je založen na přístupu zohledňujícím všechna rizika.

3.   Rámec zajišťuje vysokou úroveň kybernetické bezpečnosti. Rámec stanovuje vnitřní politiky kybernetické bezpečnosti, včetně cílů a priorit, pro bezpečnost sítí a informačních systémů a úlohy a povinnosti zaměstnanců subjektu Unie, jejichž úkolem je zajistit účinné provádění tohoto nařízení. Rámec rovněž zahrnuje mechanismy pro měření účinnosti provádění.

4.   Rámec je pravidelně přezkoumáván v kontextu měnících se kybernetických bezpečnostních rizik, nejméně však jednou za čtyři roky. Rámec subjektu Unie může být v případě potřeby a v návaznosti na žádost interinstitucionálního výboru pro kybernetickou bezpečnost zřízeného podle článku 10 aktualizován na základě pokynů CERT-EU týkajících se zjištěných incidentů nebo možných nedostatků v provádění tohoto nařízení.

5.   Nejvyšší úroveň vedení každého subjektu Unie odpovídá za provádění tohoto nařízení a dohlíží na to, zda jeho organizace povinnosti související s rámcem plní.

6.   V případě potřeby, a aniž je dotčena jeho odpovědnost za provádění tohoto nařízení, může nejvyšší úroveň vedení každého subjektu Unie přenést určité povinnosti podle tohoto nařízení na vyšší vedoucí pracovníky ve smyslu čl. 29 odst. 2 služebního řádu nebo jiné úředníky na rovnocenné úrovni v rámci dotčeného subjektu Unie. Bez ohledu na takové přenesení pravomoci může být nejvyšší úroveň vedení činěna odpovědnou za porušení tohoto nařízení dotčeným subjektem Unie.

7.   Každý subjekt Unie má zaveden účinný mechanismus zajišťující, že přiměřená část rozpočtu na IKT bude vynaložena na kybernetickou bezpečnost. Při stanovování tohoto procentního podílu se náležitě zohlední rámec.

8.   Každý subjekt Unie jmenuje místního referenta pro kybernetickou bezpečnost nebo osobu vykonávající rovnocennou funkci, kteří působí jako jediné kontaktní místo ve vztahu ke všem aspektům kybernetické bezpečnosti. Místní referent pro kybernetickou bezpečnost usnadňuje provádění tohoto nařízení a o stavu provádění pravidelně přímo informuje nejvyšší úroveň vedení. Aniž je dotčena skutečnost, že místní referent pro kybernetickou bezpečnost je v každém subjektu Unie jediným kontaktním místem, může subjekt Unie přenést některé úkoly místního referenta pro kybernetickou bezpečnost, pokud jde o provádění tohoto nařízení, na CERT-EU, a to na základě smlouvy o poskytování služeb uzavřené mezi tímto subjektem Unie a CERT-EU, nebo tyto úkoly může sdílet několik subjektů Unie. Pokud jsou tyto úkoly přeneseny na CERT-EU, rozhodne interinstitucionální výbor pro kybernetickou bezpečnost zřízený podle článku 10, zda bude tato služba poskytována jako součást základních služeb CERT-EU, a to s přihlédnutím k lidským a finančním zdrojům dotčeného subjektu Unie. Každý subjekt Unie oznámí CERT-EU neprodleně jmenovaného místního referenta pro kybernetickou bezpečnost a veškeré jeho následné změny.

CERT-EU zřídí a vede aktuální seznam jmenovaných místních referentů pro kybernetickou bezpečnost.

9.   Vyšší vedoucí pracovníci ve smyslu čl. 29 odst. 2 služebního řádu nebo jiní úředníci na rovnocenné úrovni v rámci dotčeného subjektu Unie, jakož i všichni příslušní pracovníci pověření prováděním opatření a plněním povinností v oblasti řízení kybernetických bezpečnostních rizik stanovených v tomto nařízení pravidelně absolvují zvláštní školení s cílem získat dostatečné znalosti a dovednosti posouzení a vyhodnocení postupů v oblasti kybernetických bezpečnostních rizik a jejich dopadu na provoz subjektu Unie.

Článek 17

Spolupráce CERT-EU s protějšky v členských státech

1.   CERT-EU bez zbytečného odkladu spolupracuje s protějšky z členských států, zejména týmy CSIRT určenými nebo zřízenými podle článku 10 směrnice (EU) 2022/2555, nebo případně s příslušnými orgány a jednotnými kontaktními místy určenými nebo zřízenými podle článku 8 uvedené směrnice a vyměňuje si s nimi informace ohledně incidentů, kybernetických hrozeb, zranitelností, významných událostí, možných protiopatření, jakož i o osvědčených postupech, a o veškerých záležitostech, které mají význam pro zlepšení ochrany prostředí IKT subjektů Unie, a to i prostřednictvím sítě týmů CSIRT zřízené podle článku 15 směrnice (EU) 2022/2555. CERT-EU podporuje Komisi v rámci sítě EU-CyCLONe zřízené podle článku 16 o koordinovaném řešení rozsáhlých kybernetických bezpečnostních incidentů a krizí ve směrnici (EU) 2022/2555.

2.   Pokud se CERT-EU dozví o významném incidentu, k němuž dojde na území členského státu, neprodleně informuje všechny příslušné protějšky v daném členském státě v souladu s odstavcem 1.

3.   Je-li v souladu s právem Unie na ochranu osobních údajů zajištěna ochrana osobních údajů, CERT-EU si s vnitrostátními protějšky v členských státech bez zbytečného odkladu vymění příslušné informace týkající se konkrétních incidentů, které mohou usnadnit odhalování obdobných kybernetických hrozeb nebo incidentů nebo přispět k analýze incidentu, a to bez povolení dotčeného subjektu Unie. CERT-EU vyměňuje informace týkající se konkrétních incidentů, které odhalují totožnost cíle kybernetického bezpečnostního incidentu, pouze pokud nastane některý u z těchto případů:

a)

dotčený subjekt Unie udělil svůj souhlas;

b)

dotčený subjekt Unie neudělil svůj souhlas, jak je stanoveno v písmenu a), ale zveřejnění totožnosti dotčeného subjektu Unie by zvýšilo pravděpodobnost, že se zabrání incidentům v jiných oblastech nebo se zmírní jejich následky;

c)

dotčený subjekt Unie již zveřejnil, že byl obětí incidentu.

Rozhodnutí o výměně informací týkajících se konkrétního incidentu, které odhalují totožnost cíle incidentu podle prvního pododstavce písm. b), schvaluje vedoucí CERT-EU. Před vydáním takového rozhodnutí kontaktuje CERT-EU dotčený subjekt Unie písemně a jasně vysvětlí, jak by zveřejnění jeho totožnosti pomohlo zabránit incidentům v jiných oblastech nebo je zmírnit. Vedoucí CERT-EU poskytne vysvětlení a výslovně požádá subjekt Unie, aby ve stanovené lhůtě uvedl, zda souhlasí. Vedoucí CERT-EU rovněž informuje subjekt Unie o tom, že si s ohledem na poskytnuté vysvětlení vyhrazuje právo informace zveřejnit i bez souhlasu. Dotčený subjekt Unie je informován před zveřejněním informací.

Článek 25

Přezkum

1.   Výbor IICB za pomoci CERT-EU podá do 8. ledna 2025 a poté každoročně Komisi zprávu o provádění tohoto nařízení. Výbor IICB může Komisi doporučit, aby toto nařízení přezkoumala.

2.   Komise posoudí provádění tohoto nařízení a podá Evropskému parlamentu a Radě zprávu o provádění tohoto nařízení a o zkušenostech získaných na strategické a operativní úrovni do 8. ledna 2027 a poté každé dva roky.

Zpráva uvedená v prvním pododstavci tohoto odstavce zahrnuje přezkum možnosti zřízení CERT-EU jako úřadu Unie podle čl. 16 odst. 1.

3.   Komise vyhodnotí fungování tohoto nařízení a podá zprávu Evropskému parlamentu, Radě, Evropskému hospodářskému a sociálnímu výboru a Výboru regionů do 8. ledna 2029. Komise rovněž vyhodnotí, zda je vhodné zahrnout do oblasti působnosti tohoto nařízení sítě a informační systémy, které nakládají s utajovanými informacemi EU, a to s přihlédnutím k dalším legislativním aktům Unie, které se na tyto systémy vztahují. V případě potřeby se ke zprávě připojí legislativní návrh.


whereas
keyboard_arrow_down