keyboard_tab Cyber Resilience Act 2023/2841 CS
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 3 Článek 3 Definice
- 1 Článek 8 Opatření k řízení kybernetických bezpečnostních rizik
- 1 Článek 10 Interinstitucionální výbor pro kybernetickou bezpečnost
- 1 Článek 11 Úkoly výboru IICB
- 1 Článek 12 Dodržování povinností
- 1 Článek 15 Vedoucí CERT-EU
- 1 Článek 17 Spolupráce CERT-EU s protějšky v členských státech
- 1 Článek 22 Koordinace a spolupráce v rámci reakce na incidenty
KAPITOLA I
OBECNÁ USTANOVENÍ
KAPITOLA II
OPATŘENÍ K ZAJIŠTĚNÍ VYSOKÉ SPOLEČNÉ ÚROVNĚ KYBERNETICKÉ BEZPEČNOSTI
KAPITOLA III
INTERINSTITUCIONÁLNÍ VÝBOR PRO KYBERNETICKOU BEZPEČNOST
KAPITOLA IV
CERT-EU
KAPITOLA V
POVINNOSTI V OBLASTI SPOLUPRÁCE A OZNAMOVACÍ POVINNOSTI
KAPITOLA VI
ZÁVĚREČNÁ USTANOVENÍ
- unie 83
- cert-eu 56
- iicb 47
- nebo 30
- eu / 26
- bezpečnosti 25
- nařízení 24
- kybernetické 23
- výboru 23
- opatření 22
- směrnice 20
- výbor 20
- subjektu 17
- subjekty 17
- podle 16
- subjekt 15
- kybernetických 15
- subjektů 15
- služeb 15
- včetně 15
- č / 14
- tohoto 14
- čl 13
- základě 12
- v souladu 12
- smyslu 12
- bezpečnost 11
- v oblasti 11
- incidentů 11
- které 11
- rizik 11
- odst 10
- jeho 10
- při 10
- evropské 10
- bezpečnostních 10
- schvaluje 10
- informace 9
- výbor 9
- jejich 9
- parlamentu 9
- provádění 9
- může 9
- doporučení 9
- vedoucí 9
- Článek 9
- evropského 9
- bodu 8
- návrhu 8
- dotčený 8
Článek 3
Definice
Pro účely tohoto nařízení se rozumí:
| 1) | „subjekty Unie“ orgány, instituce, a jiné subjekty zřízené Smlouvou o Evropské unii, Smlouvou o fungování Evropské unie (dále jen „Smlouva o fungování EU“) nebo Smlouvou o založení Evropského společenství pro atomovou energii nebo na základě uvedených smluv; |
| 2) | „sítí a informačním systémem“ síť a informační systémy ve smyslu čl. 6 bodu 1 směrnice (EU) 2022/2555; |
| 3) | „bezpečností sítí a informačních systémů“ bezpečnost sítí a informačních systémů ve smyslu čl. 6 bodu 2 směrnice (EU) 2022/2555; |
| 4) | „kybernetickou bezpečností“ kybernetická bezpečnost ve smyslu čl. 2 bodu 1 nařízení (EU) 2019/881; |
| 5) | „nejvyšší úrovní vedení“ vedoucí, vedoucí orgán nebo koordinační orgán a orgán dohledu odpovědný za fungování subjektu Unie na nejvyšší správní úrovni, který má pravomoc přijímat nebo schvalovat rozhodnutí v souladu s opatřeními pro řízení na vysoké úrovni uvedeného subjektu Unie, aniž je dotčena formální odpovědnost jiných úrovní vedení za dodržování pravidel a řízení kybernetických rizik v jejich příslušných oblastech působnosti; |
| 6) | „významnou událostí“ významná událost ve smyslu čl. 6 bodu 5 směrnice (EU) 2022/2555; |
| 7) | „incidentem“ incident ve smyslu čl. 6 bodu 6 směrnice (EU) 2022/2555; |
| 8) | „závažným incidentem“ incident, který způsobí míru narušení, která přesahuje schopnost subjektu Unie a CERT-EU reagovat na tento incident, nebo který má významný dopad na nejméně dva subjekty Unie; |
| 9) | „rozsáhlým kybernetickým bezpečnostním incidentem“ rozsáhlý kybernetický bezpečnostní incident ve smyslu čl. 6 bodu 7 směrnice (EU) 2022/2555; |
| 10) | „řešením incidentu“ řešení incidentu ve smyslu čl. 6 bodu 8 směrnice (EU) 2022/2555; |
| 11) | „kybernetickou hrozbou“ kybernetická hrozba ve smyslu čl. 2 bodu 8 nařízení (EU) 2019/881; |
| 12) | „významnou kybernetickou hrozbou“ významná kybernetická hrozba ve smyslu čl. 6 bodu 11 směrnice (EU) 2022/2555; |
| (13) | „zranitelností“ zranitelnost ve smyslu čl. 6 bodu 15 směrnice (EU) 2022/2555; |
| 14) | „kybernetickým bezpečnostním rizikem“ riziko ve smyslu čl. 6 bodu 9 směrnice (EU) 2022/2555; |
| 15) | „službou cloud computingu“ služba cloud computingu ve smyslu čl. 6 bodu 30 směrnice (EU) 2022/2555. |
Článek 8
Opatření k řízení kybernetických bezpečnostních rizik
1. Každý subjekt Unie pod dohledem své nejvyšší úrovně vedení bezodkladně a nejpozději do 8. září 2025 přijme odpovídající a přiměřená technická, operační a organizační opatření k řízení kybernetických bezpečnostních rizik zjištěných v rámci a k prevenci dopadů incidentů nebo jejich minimalizaci. S ohledem na nejnovější technologický vývoj a případně na příslušné evropské a mezinárodní normy zajistí tato opatření k řízení rizik takovou úroveň bezpečnosti sítí a informačních systémů v celém prostředí IKT, která je úměrná hrozícím kybernetickým bezpečnostním rizikům. Při posuzování přiměřenosti těchto opatření se náležitě zohlední míra expozice subjektu Unie kybernetickým bezpečnostním rizikům, jeho velikost, pravděpodobnost výskytu incidentů a jejich závažnost, včetně jejich společenského, hospodářského a interinstitucionálního dopadu.
2. Subjekty Unie se při provádění opatření k řízení kybernetických bezpečnostních rizik zaměřují alespoň na tyto oblasti:
| a) | politiku kybernetické bezpečnosti, včetně opatření potřebných k dosažení cílů a priorit uvedených v čl. 6 odst. 3 tohoto článku; |
| b) | politiku analýzy kybernetických bezpečnostních rizik a politiku bezpečnosti informačních systémů; |
| c) | cíle politiky týkající se využívání služeb cloud computingu; |
| d) | případně audit kybernetické bezpečnosti, který může zahrnovat posouzení kybernetických bezpečnostních rizik, zranitelností a kybernetických hrozeb a pravidelné penetrační testování prováděné důvěryhodným soukromým poskytovatelem; |
| e) | provádění doporučení vyplývajících z auditů kybernetické bezpečnosti uvedených v písmenu d) prostřednictvím aktualizace systému a politiky kybernetické bezpečnosti; |
| f) | organizaci systému kybernetické bezpečnosti, včetně vymezení úloh a odpovědnosti; |
| g) | správu aktiv, včetně seznamu aktiv v oblasti IKT a mapování sítí IKT; |
| h) | bezpečnost lidských zdrojů a kontrolu přístupu; |
| i) | bezpečnost operací; |
| j) | bezpečnost komunikací; |
| k) | akvizici, vývoj a údržbu systému, včetně politiky zveřejňování informací o zranitelností a jejich řešení; |
| l) | případné politiky v oblasti transparentnosti zdrojového kódu; |
| m) | bezpečnost dodavatelského řetězce včetně aspektů souvisejících s bezpečností, které se týkají vztahů mezi každým subjektem Unie a jeho přímými dodavateli nebo poskytovateli služeb; |
| n) | řešení incidentů a spolupráci se CERT-EU, jako je zajištění bezpečnostního monitorování a vedení protokolů bezpečnosti; |
| o) | řízení kontinuity provozu, jako je správa zálohování a obnova provozu po havárii, a krizové řízení a |
| p) | podporu a rozvoj vzdělávání, dovedností, zvyšování povědomí, cvičebních programů a programů odborné přípravy v oblasti kybernetické bezpečnosti. |
Pro účely prvního pododstavce písm. m) subjekty Unie zohlední zranitelnosti specifické pro každého přímého dodavatele a poskytovatele služeb a celkovou kvalitu produktů a postupů v oblasti kybernetické bezpečnosti svých dodavatelů a poskytovatelů služeb, včetně jejich postupů bezpečného vývoje.
3. Subjekty Unie přijmou alespoň tato konkrétní opatření pro řízení kybernetických bezpečnostních rizik:
| a) | technická opatření umožňující a podporující práci z domova; |
| b) | konkrétní kroky pro přechod k zásadám nulové důvěry; |
| c) | používání vícefaktorového ověřování jako normy u sítí a informačních systémů; |
| d) | používání kryptografie a šifrování, a zejména šifrování mezi koncovými body, a bezpečného digitálního podpis |
| e) | případné zavedení zabezpečené hlasové, obrazové a textové komunikace a zabezpečených systémů tísňové komunikace v rámci subjektu Unie; |
| f) | proaktivní opatření pro odhalování a odstraňování malwaru a špionážního softwaru; |
| g) | zabezpečení softwarového dodavatelského řetězce prostřednictvím kritérií pro bezpečný vývoj a hodnocení softwaru; |
| h) | vytvoření a zavedení programů odborné přípravy v oblasti kybernetické bezpečnosti odpovídajících úkolům a předpokládaným schopnostem nejvyšší úrovně vedení a zaměstnanců subjektu Unie pověřených zajištěním účinného provádění tohoto nařízení; |
| i) | pravidelné školení zaměstnanců v oblasti kybernetické bezpečnosti; |
| j) | v příslušných případech účast na analýzách rizik vzájemného propojení mezi subjekty Unie; |
| k) | posílení pravidel pro zadávání veřejných zakázek s cílem usnadnit dosažení vysoké společné úrovně kybernetické bezpečnosti prostřednictvím:
|
Článek 10
Interinstitucionální výbor pro kybernetickou bezpečnost
1. Zřizuje se interinstitucionální výbor pro kybernetickou bezpečnost (dále jen „výbor IICB“).
2. Výbor IICB je povinen:
| a) | sledovat a podporovat provádění tohoto nařízení subjekty Unie; |
| b) | dohlížet na plnění obecných priorit a cílů CERT-EU a poskytovat CERT-EU strategické řízení. |
3. Výbor IICB sestává z:
| a) | jednoho zástupce jmenovaného každým z těchto subjektů:
|
| b) | tří zástupců jmenovaných sítí agentur EU (EUAN) na návrh jejího poradního výboru pro IKT, aby zastupovali zájmy orgánů, institucí a jiných subjektů Unie, které provozují své vlastní prostředí IKT a které nejsou uvedeny v písmenu a). |
Subjekty Unie zastoupené ve výboru IICB usilují o dosažení vyváženého zastoupení žen a mužů mezi jmenovanými zástupci.
4. Členům výboru IICB mohou být nápomocni náhradníci. Další zástupci subjektů Unie uvedených v odstavci 3 nebo jiných subjektů Unie mohou být předsedou pozváni k účasti na zasedáních výboru IICB bez hlasovacích práv.
5. Vedoucí CERT-EU a předsedové skupiny pro spolupráci, sítě týmů CSIRT a sítě EU-CyCLONe zřízených podle článků 14, 15 a 16 směrnice (EU) 2022/2555 nebo jejich náhradníci se mohou zasedání výboru IICB účastnit jako pozorovatelé. Ve výjimečných případech a v souladu se svým jednacím řádem může výbor IICB rozhodnout jinak.
6. Výbor IICB přijímá svůj jednací řád.
7. Výbor IICB v souladu s jednacím řádem určuje z řad svých členů předsedu na období tří let. Náhradník předsedy se na stejnou dobu stává plným členem výboru IICB.
8. Výbor IICB se schází alespoň třikrát za rok z podnětu svého předsedy, na žádost CERT-EU nebo na žádost kteréhokoli ze svých členů.
9. Každý člen výboru IICB má jeden hlas. Rozhodnutí výboru IICB se přijímají prostou většinou, není-li v tomto nařízení stanoveno jinak. Předseda výboru IICB nehlasuje, kromě případů rovnosti hlasů, kdy může odevzdat rozhodující hlas.
10. Výbor IICB může jednat zjednodušeným písemným postupem zahájeným v souladu se svým jednacím řádem. Na základě tohoto postupu se příslušné rozhodnutí považuje za schválené ve lhůtě stanovené předsedou, s výjimkou případů, kdy některý z členů vznese námitku.
11. Funkci sekretariátu výboru IICB zajišťuje Komise a sekretariát je odpovědný předsedovi výboru IICB.
12. Zástupci nominovaní sítí EUAN předávají rozhodnutí výboru IICB členům sítě EUAN. Jakýkoli člen sítě EUAN je oprávněn se obrátit na tyto zástupce nebo předsedu výboru IICB s jakoukoli záležitostí, o níž se domnívají, že by na ni výbor IICB měl být upozorněn.
13. Výbor IICB může zřídit výkonný výbor, aby mu pomáhal v jeho práci, a přenést na něj některé své úkoly a pravomoci. Výbor IICB stanoví jednací řád výkonného výboru, včetně jeho úkolů a pravomocí a funkčního období jeho členů.
14. Do 8. ledna 2025 a poté každoročně předkládá výbor IICB Evropskému parlamentu a Radě zprávu, v níž je podrobně popsán pokrok dosažený při provádění tohoto nařízení, a zejména upřesněn rozsah spolupráce CERT-EU s jeho vnitrostátními protějšky v jednotlivých členských státech. Tato zpráva je podkladem pro dvouletou zprávu o stavu kybernetické bezpečnosti v Unii přijatou podle článku 18 směrnice (EU) 2022/2555.
Článek 11
Úkoly výboru IICB
Při výkonu svých povinností výbor IICB zejména:
| a) | poskytuje strategické pokyny vedoucímu CERT-EU; |
| b) | účinně sleduje a dohlíží na provádění tohoto nařízení a podporuje subjekty Unie při posilování jejich kybernetické bezpečnosti, a případně v této souvislosti také požaduje od subjektů Unie a CERT-EU zprávy ad hoc; |
| c) | v návaznosti na strategickou diskusi přijímá víceletou strategii pro zvýšení úrovně kybernetické bezpečnosti v subjektech Unie, pravidelně, v každém případě však jednou za pět let, tuto strategii posuzuje a v případě potřeby tuto strategii upravuje; |
| d) | stanovuje metodiku a organizační aspekty pro provádění dobrovolných vzájemných hodnocení subjekty Unie s cílem čerpat ze sdílených zkušeností, posílit vzájemnou důvěru, dosáhnout vysoké společné úrovně kybernetické bezpečnosti a posílit schopnosti subjektů Unie v oblasti kybernetické bezpečnosti, přičemž zajistí, aby tato vzájemná hodnocení prováděli odborníci na kybernetickou bezpečnost jmenovaní jiným subjektem Unie, než je subjekt Unie, který je předmětem přezkumu, a aby tato metodika vycházela z článku 19 směrnice (EU) 2022/2555 a byla případně subjektům Unie přizpůsobena; |
| e) | na základě návrhu vedoucího CERT-EU schvaluje roční pracovní program CERT-EU a sleduje jeho provádění; |
| f) | na základě návrhu vedoucího CERT-EU schvaluje katalog služeb CERT-EU a všechny jeho aktualizace; |
| g) | na základě návrhu vedoucího CERT-EU schvaluje roční finanční plán příjmů a výdajů, včetně personálního obsazení, pro činnosti CERT-EU; |
| h) | na základě návrhu vedoucího CERT-EU schvaluje postupy pro uzavírání smluv o poskytování služeb; |
| i) | přezkoumává a schvaluje roční zprávu vypracovanou vedoucím CERT-EU, jež se zabývá činností CERT-EU a řízením jejích finančních prostředků; |
| j) | schvaluje a sleduje klíčové ukazatele výkonnosti pro CERT-EU stanovené na základě návrhu vedoucího CERT-EU; |
| k) | schvaluje ujednání o spolupráci, smlouvy o poskytování služeb nebo smlouvy mezi CERT-EU a dalšími subjekty podle článku 18; |
| l) | přijímá pokyny a doporučení na základě návrhu CERT-EU v souladu s článkem 14 a ukládá CERT-EU, aby vydala, stáhla nebo upravila návrh pokynů nebo doporučení nebo výzvu k přijetí opatření; |
| m) | zřizuje technické poradní skupiny se zvláštními úkoly na podporu činnosti výboru IICB, schvaluje jejich mandát a určuje jejich předsedy; |
| n) | přijímá a posuzuje dokumenty a zprávy předložené subjekty Unie podle tohoto nařízení, jako jsou hodnocení vyspělosti kybernetické bezpečnosti; |
| o) | za účelem výměny osvědčených postupů a informací v souvislosti s prováděním tohoto nařízení usnadňuje zřízení neformální skupiny místních referentů pro kybernetickou bezpečnost subjektů Unie, podporované ENISA; |
| p) | s ohledem na informace o zjištěných kybernetických bezpečnostních rizicích a poznatky poskytnuté CERT-EU sleduje přiměřenost opatření týkajících se propojení mezi prostředími IKT subjektů Unie a poskytuje poradenství ohledně možných zlepšení; no, myslí se tím propojenost na technické úrovni; |
| q) | vypracuje plán řešení kybernetických krizí s cílem podpořit na operativní úrovni koordinované řízení závažných incidentů s dopadem na subjekty Unie a přispět k pravidelné výměně příslušných informací, zejména pokud jde o dopady a závažnost závažných incidentů a možné způsoby jejich zmírnění; |
| r) | koordinuje přijímání plánů jednotlivých subjektů Unie pro řešení kybernetických krizí uvedených v čl. 9 odst. 2; |
| s) | s ohledem na výsledky koordinovaného posouzení rizik kritických dodavatelských řetězců na úrovni Unie uvedených v článku 22 směrnice (EU) 2022/2555 přijímá doporučení v oblasti bezpečnosti dodavatelského řetězce podle čl. 8 odst. 2 prvního pododstavce písm. m) na podporu subjektů Unie při přijímání účinných a přiměřených opatření k řízení kybernetických bezpečnostních rizik. |
Článek 12
Dodržování povinností
1. Výbor IICB v souladu s čl. 10 odst. 2 a článkem 11 účinně sleduje provádění tohoto nařízení a přijatých pokynů, doporučení a výzev k přijetí opatření ze strany subjektů Unie. Výbor IICB si může od subjektů Unie vyžádat informace nebo dokumentaci, které jsou pro tento účel nezbytné. Pokud je dotčený subjekt Unie přímo ve výboru IICB zastoupen, nemá pro účely přijetí opatření k zajištění plnění povinností podle tohoto článku hlasovací práva.
2. Pokud výbor IICB zjistí, že některý subjekt Unie toto nařízení nebo pokyny, doporučení či výzvy k přijetí opatření vydané podle tohoto nařízení účinně neprovedl, aniž by byly dotčeny interní postupy dotčeného subjektu Unie, a poté, co subjektu Unie umožní přednést jeho připomínky, může:
| a) | předložit dotčenému subjektu Unie odůvodněné stanovisko se zjištěnými nedostatky při uplatňování tohoto nařízení; |
| b) | poskytnout dotčenému subjektu Unie po konzultaci se CERT-EU pokyny s cílem zajistit, aby jeho rámec, opatření k řízení kybernetických bezpečnostních rizik, plán kybernetické bezpečnosti a podávání zpráv byly ve stanovené lhůtě v souladu s tímto nařízením; |
| c) | vydat varování s cílem řešit zjištěné nedostatky ve stanovené lhůtě, včetně doporučení ke změně opatření přijatých dotčeným subjektem Unie na základě tohoto nařízení; |
| d) | vydat dotčenému subjektu Unie odůvodněné oznámení v případě, že nedostatky uvedené ve varování vydaném podle písmene c) nebyly ve stanovené lhůtě dostatečně vyřešeny; |
| e) | vydat:
|
| f) | v příslušných případech informovat Účetní dvůr v rámci jeho mandátu o údajném nedodržení povinností; |
| g) | vydat doporučení, aby všechny členské státy a subjekty Unie dočasně pozastavily datové toky do dotčeného subjektu Unie. |
Pro účely prvního pododstavce písm. c), je-li to nezbytné s ohledem na kybernetické bezpečnostní riziko, je počet příjemců varování přiměřeně omezen.
Varování a doporučení vydaná podle prvního pododstavce jsou určena nejvyšší úrovni vedení dotčeného subjektu Unie.
3. Pokud výbor IICB přijal opatření podle odst. 2 prvního pododstavce písm. a) až g), dotčený subjekt Unie podrobně informuje o opatřeních a krocích, které k řešení údajných nedostatků zjištěných výborem IICB přijal. Tyto podrobné informace subjekt Unie podá v přiměřené lhůtě dohodnuté s výborem IICB.
4. Pokud se výbor IICB domnívá, že subjekt Unie trvale porušuje toto nařízení a že toto porušování vyplývá přímo z jednání nebo opomenutí úředníka nebo jiného zaměstnance Unie, a to i na nejvyšší úrovni vedení, požádá výbor IICB dotčený subjekt Unie, aby přijal příslušná opatření, přičemž jej může požádat i o to, aby zvážil přijetí opatření disciplinární povahy v souladu s pravidly a postupy stanovenými ve služebním řádu a jakýmikoli dalšími platnými pravidly a postupy. Za tímto účelem výbor IICB předá dotčenému subjektu Unie nezbytné informace.
5. Pokud subjekty Unie oznámí, že nejsou schopny dodržet lhůty stanovené v čl. 6 odst. 1 a čl. 8 odst. 1, může výbor IICB v řádně odůvodněných případech a s ohledem na velikost subjektu Unie povolit prodloužení těchto lhůt.
KAPITOLA IV
CERT-EU
Článek 15
Vedoucí CERT-EU
1. Komise po obdržení souhlasu dvoutřetinové většiny výboru IICB jmenuje vedoucího CERT-EU. Výbor IICB je konzultován ve všech fázích postupu jmenování, zejména při vypracovávání oznámení o volném pracovním místě, posuzování žádostí a jmenování výběrových komisí v souvislosti s tímto pracovním místem. Výběrové řízení, včetně konečného užšího seznamu kandidátů, z nichž má být vedoucí CERT-EU vybrán, zajistí spravedlivé genderové zastoupení ve vztahu k předloženým kandidaturám.
2. Vedoucí CERT-EU je odpovědný za řádné fungování CERT-EU a jedná v rámci svých úkolů pod vedením výboru IICB. Vedoucí CERT-EU pravidelně podává zprávy předsedovi výboru IICB a na požádání předkládá výboru IICB zprávy vypracované ad hoc.
3. Vedoucí CERT-EU je nápomocen příslušné pověřené schvalující osobě při vypracovávání každoroční zprávy o činnosti obsahující finanční a manažerské informace, včetně výsledků kontrol, vypracované v souladu s čl. 74 odst. 9 nařízení Evropského parlamentu a Rady (EU, Euratom) 2018/1046 (9), a tuto pověřenou schvalující osobu pravidelně informuje o provádění opatření, u nichž byla pravomoc přenesena na vedoucího CERT-EU.
4. Vedoucí CERT-EU vypracuje každoročně finanční plán správních příjmů a výdajů na své činnosti, návrh ročního pracovního programu, návrh katalogu služeb CERT-EU, navrhované revize katalogu služeb, návrh ujednání pro smlouvy o poskytování služeb a návrh klíčových ukazatelů výkonnosti pro CERT-EU, které v souladu s článkem 11 schvaluje výbor IICB. Při revizi seznamu služeb v katalogu služeb CERT-EU zohlední vedoucí CERT-EU zdroje, které jsou CERT-EU přiděleny.
5. Vedoucí CERT-EU předkládá nejméně jednou ročně výboru IICB a předsedovi výboru IICB zprávy o činnostech a výsledcích CERT-EU během referenčního období, včetně zpráv o plnění rozpočtu, uzavřených smlouvách o poskytování služeb a písemných dohodách, spolupráci s protějšky a partnery a o misích podniknutých jeho zaměstnanci, včetně zpráv podle článku 11. Tyto zprávy obsahují pracovní program na následující období, finanční plánování příjmů a výdajů, včetně personálního obsazení, plánované aktualizace katalogu služeb CERT-EU a posouzení očekávaného dopadu, který tyto aktualizace mohou mít na finanční a lidské zdroje.
Článek 17
Spolupráce CERT-EU s protějšky v členských státech
1. CERT-EU bez zbytečného odkladu spolupracuje s protějšky z členských států, zejména týmy CSIRT určenými nebo zřízenými podle článku 10 směrnice (EU) 2022/2555, nebo případně s příslušnými orgány a jednotnými kontaktními místy určenými nebo zřízenými podle článku 8 uvedené směrnice a vyměňuje si s nimi informace ohledně incidentů, kybernetických hrozeb, zranitelností, významných událostí, možných protiopatření, jakož i o osvědčených postupech, a o veškerých záležitostech, které mají význam pro zlepšení ochrany prostředí IKT subjektů Unie, a to i prostřednictvím sítě týmů CSIRT zřízené podle článku 15 směrnice (EU) 2022/2555. CERT-EU podporuje Komisi v rámci sítě EU-CyCLONe zřízené podle článku 16 o koordinovaném řešení rozsáhlých kybernetických bezpečnostních incidentů a krizí ve směrnici (EU) 2022/2555.
2. Pokud se CERT-EU dozví o významném incidentu, k němuž dojde na území členského státu, neprodleně informuje všechny příslušné protějšky v daném členském státě v souladu s odstavcem 1.
3. Je-li v souladu s právem Unie na ochranu osobních údajů zajištěna ochrana osobních údajů, CERT-EU si s vnitrostátními protějšky v členských státech bez zbytečného odkladu vymění příslušné informace týkající se konkrétních incidentů, které mohou usnadnit odhalování obdobných kybernetických hrozeb nebo incidentů nebo přispět k analýze incidentu, a to bez povolení dotčeného subjektu Unie. CERT-EU vyměňuje informace týkající se konkrétních incidentů, které odhalují totožnost cíle kybernetického bezpečnostního incidentu, pouze pokud nastane některý u z těchto případů:
| a) | dotčený subjekt Unie udělil svůj souhlas; |
| b) | dotčený subjekt Unie neudělil svůj souhlas, jak je stanoveno v písmenu a), ale zveřejnění totožnosti dotčeného subjektu Unie by zvýšilo pravděpodobnost, že se zabrání incidentům v jiných oblastech nebo se zmírní jejich následky; |
| c) | dotčený subjekt Unie již zveřejnil, že byl obětí incidentu. |
Rozhodnutí o výměně informací týkajících se konkrétního incidentu, které odhalují totožnost cíle incidentu podle prvního pododstavce písm. b), schvaluje vedoucí CERT-EU. Před vydáním takového rozhodnutí kontaktuje CERT-EU dotčený subjekt Unie písemně a jasně vysvětlí, jak by zveřejnění jeho totožnosti pomohlo zabránit incidentům v jiných oblastech nebo je zmírnit. Vedoucí CERT-EU poskytne vysvětlení a výslovně požádá subjekt Unie, aby ve stanovené lhůtě uvedl, zda souhlasí. Vedoucí CERT-EU rovněž informuje subjekt Unie o tom, že si s ohledem na poskytnuté vysvětlení vyhrazuje právo informace zveřejnit i bez souhlasu. Dotčený subjekt Unie je informován před zveřejněním informací.
Článek 22
Koordinace a spolupráce v rámci reakce na incidenty
1. CERT-EU, která působí jako středisko pro výměnu informací v oblasti kybernetické bezpečnosti a pro koordinaci reakcí na incidenty, usnadňuje výměnu informací o kybernetických hrozbách, zranitelnostech a významných událostech mezi:
| a) | subjekty Unie; |
| b) | protějšky uvedenými v článcích 17 a 18. |
2. CERT-EU, případně v úzké spolupráci s ENISA, usnadňuje koordinaci reakcí subjektů Unie na incidenty, včetně:
| a) | přispívání k jednotné vnější komunikaci; |
| b) | vzájemné podpory, jako je sdílení informací relevantních pro subjekty Unie nebo poskytování pomoci, je-li to relevantní, přímo na místě; |
| c) | optimálního využití operativních zdrojů; |
| d) | koordinace s dalšími mechanismy reakce na krizové situace na úrovni Unie. |
3. CERT-EU v úzké spolupráci s ENISA podporuje subjekty Unie v oblasti situačního povědomí o kybernetických hrozbách, zranitelnostech a významných událostech, jakož i ve sdílení relevantního vývoje v oblasti kybernetické bezpečnosti.
4. Výbor IICB do 8. ledna 2025 přijme na základě návrhu CERT-EU pokyny nebo doporučení pro koordinaci reakcí na incidenty a pro spolupráci při významných incidentech. Pokud existuje podezření, že incident má povahu trestného činu, poskytne CERT-EU bez zbytečného odkladu poradenství k tomu, jak oznámit tento incident donucovacím orgánům.
5. Na základě konkrétní žádosti členského státu a se souhlasem dotčených subjektů Unie může CERT-EU vyzvat odborníky ze seznamu uvedeného v čl. 23 odst. 4, aby přispěli k reakci na závažný incident, který má v daném členském státě dopad, nebo na rozsáhlý kybernetický bezpečnostní incident v souladu s čl. 15 odst. 3 písm. g) směrnice (EU) 2022/2555. Zvláštní pravidla pro přístup k technickým odborníkům ze subjektů Unie a jejich využívání schvaluje výbor IICB na základě návrhu CERT-EU.
Článek 26
Vstup v platnost
Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.
Ve Štrasburku dne 13. prosince 2023.
Za Evropský parlament
předsedkyně
R. METSOLA
Za Radu
předseda
P. NAVARRO RÍOS
(1) Postoj Evropského parlamentu ze dne 21. listopadu 2023 (dosud nezveřejněný v Úředním věstníku) a rozhodnutí Rady ze dne 8. prosince 2023.
(2) Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2) (Úř. věst. L 333, 27.12.2022, s. 80).
(3) Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“) (Úř. věst. L 151, 7.6.2019, s. 15).
(4) Ujednání mezi Evropským parlamentem, Evropskou radou, Radou Evropské unie, Evropskou komisí, Soudním dvorem Evropské unie, Evropskou centrální bankou, Evropským účetním dvorem, Evropskou službou pro vnější činnost, Evropským hospodářským a sociálním výborem, Evropským výborem regionů a Evropskou investiční bankou o organizaci a fungování týmu pro reakci na počítačové hrozby pro orgány, instituce a jiné subjekty Unie (CERT-EU) (Úř. věst. C 12, 13.1.2018, s. 1).
(5) Nařízení Rady (EHS, Euratom, ESUO) č. 259/68 ze dne 29. února 1968, kterým se stanoví služební řád úředníků a pracovní řád ostatních zaměstnanců Evropských společenství a kterým se zavádějí zvláštní opatření dočasně použitelná na úředníky Komise (Úř. věst. L 56, 4.3.1968, s. 1).
(6) Doporučení Komise (EU) 2017/1584 ze dne 13. září 2017 o koordinované reakci na rozsáhlé kybernetické bezpečnostní incidenty a krize (Úř. věst. L 239, 19.9.2017, s. 36).
(7) Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst. L 295, 21.11.2018, s. 39).
(8) Úř. věst. C 258, 5.7.2022, s. 10.
(9) Nařízení Evropského parlamentu a Rady (EU, Euratom) 2018/1046 ze dne 18. července 2018, kterým se stanoví finanční pravidla pro souhrnný rozpočet Unie, mění nařízení (EU) č. 1296/2013, (EU) č. 1301/2013, (EU) č. 1303/2013, (EU) č. 1304/2013, (EU) č. 1309/2013, (EU) č. 1316/2013, (EU) č. 223/2014, (EU) č. 283/2014, a rozhodnutí č. 541/2014/EU a zrušuje nařízení (EU, Euratom) č. 966/2012 (Úř. věst. L 193, 30.7.2018, s. 1).
(10) Nařízení Evropského parlamentu a Rady (ES) č. 1049/2001 ze dne 30. května 2001 o přístupu veřejnosti k dokumentům Evropského parlamentu, Rady a Komise (Úř. věst. L 145, 31.5.2001, s. 43).
ELI: http://data.europa.eu/eli/reg/2023/2841/oj
ISSN 1977-0626 (electronic edition)