keyboard_tab Cyber Resilience Act 2023/2841 CS
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Článek 1 Předmět
- 1 Článek 8 Opatření k řízení kybernetických bezpečnostních rizik
KAPITOLA I
OBECNÁ USTANOVENÍ
KAPITOLA II
OPATŘENÍ K ZAJIŠTĚNÍ VYSOKÉ SPOLEČNÉ ÚROVNĚ KYBERNETICKÉ BEZPEČNOSTI
KAPITOLA III
INTERINSTITUCIONÁLNÍ VÝBOR PRO KYBERNETICKOU BEZPEČNOST
KAPITOLA IV
CERT-EU
KAPITOLA V
POVINNOSTI V OBLASTI SPOLUPRÁCE A OZNAMOVACÍ POVINNOSTI
KAPITOLA VI
ZÁVĚREČNÁ USTANOVENÍ
- unie 19
- bezpečnosti 17
- kybernetické 15
- č / 14
- opatření 11
- nařízení 10
- rizik 9
- bezpečnostních 8
- kybernetických 8
- parlamentu 7
- evropského 7
- včetně 7
- Úř věst l 7
- eu / 6
- v oblasti 6
- úrovně 5
- nařízení 5
- evropské 5
- bezpečnost 5
- a rady 5
- řízení 5
- subjekty 5
- služeb 5
- evropskou 4
- provádění 4
- systémů 4
- k řízení 4
- evropským 4
- mezi 4
- incidentů 4
- politiky 3
- tohoto 3
- monitorování 3
- jejich 3
- a jejich 3
- incidenty 3
- vývoj 3
- subjektu 3
- orgány 3
- Článek 3
- jako 3
- systému 3
- v rámci 3
- společné 3
- vysoké 3
- a rozhodnutí 3
- rady 3
- stanoví 3
- a o zrušení 3
- toto 3
Článek 1
Předmět
Toto nařízení stanoví opatření, jejichž cílem je dosáhnout vysoké společné úrovně kybernetické bezpečnosti v rámci subjektů Unie, pokud jde o:
| a) | zřízení vnitřního rámce pro řízení, správu a kontrolu kybernetických bezpečnostních rizik podle článku 6 každým subjektem Unie; |
| b) | řízení kybernetických bezpečnostních rizik, oznamování a sdílení informací; |
| c) | organizaci, fungování a provoz interinstitucionálního výboru pro kybernetickou bezpečnost zřízeného podle článku 10, jakož i organizaci, fungování a provoz služby kybernetické bezpečnosti pro orgány, instituce a jiné subjekty Unie (dále jen „CERT-EU“); |
| d) | monitorování provádění tohoto nařízení. |
Článek 8
Opatření k řízení kybernetických bezpečnostních rizik
1. Každý subjekt Unie pod dohledem své nejvyšší úrovně vedení bezodkladně a nejpozději do 8. září 2025 přijme odpovídající a přiměřená technická, operační a organizační opatření k řízení kybernetických bezpečnostních rizik zjištěných v rámci a k prevenci dopadů incidentů nebo jejich minimalizaci. S ohledem na nejnovější technologický vývoj a případně na příslušné evropské a mezinárodní normy zajistí tato opatření k řízení rizik takovou úroveň bezpečnosti sítí a informačních systémů v celém prostředí IKT, která je úměrná hrozícím kybernetickým bezpečnostním rizikům. Při posuzování přiměřenosti těchto opatření se náležitě zohlední míra expozice subjektu Unie kybernetickým bezpečnostním rizikům, jeho velikost, pravděpodobnost výskytu incidentů a jejich závažnost, včetně jejich společenského, hospodářského a interinstitucionálního dopadu.
2. Subjekty Unie se při provádění opatření k řízení kybernetických bezpečnostních rizik zaměřují alespoň na tyto oblasti:
| a) | politiku kybernetické bezpečnosti, včetně opatření potřebných k dosažení cílů a priorit uvedených v čl. 6 odst. 3 tohoto článku; |
| b) | politiku analýzy kybernetických bezpečnostních rizik a politiku bezpečnosti informačních systémů; |
| c) | cíle politiky týkající se využívání služeb cloud computingu; |
| d) | případně audit kybernetické bezpečnosti, který může zahrnovat posouzení kybernetických bezpečnostních rizik, zranitelností a kybernetických hrozeb a pravidelné penetrační testování prováděné důvěryhodným soukromým poskytovatelem; |
| e) | provádění doporučení vyplývajících z auditů kybernetické bezpečnosti uvedených v písmenu d) prostřednictvím aktualizace systému a politiky kybernetické bezpečnosti; |
| f) | organizaci systému kybernetické bezpečnosti, včetně vymezení úloh a odpovědnosti; |
| g) | správu aktiv, včetně seznamu aktiv v oblasti IKT a mapování sítí IKT; |
| h) | bezpečnost lidských zdrojů a kontrolu přístupu; |
| i) | bezpečnost operací; |
| j) | bezpečnost komunikací; |
| k) | akvizici, vývoj a údržbu systému, včetně politiky zveřejňování informací o zranitelností a jejich řešení; |
| l) | případné politiky v oblasti transparentnosti zdrojového kódu; |
| m) | bezpečnost dodavatelského řetězce včetně aspektů souvisejících s bezpečností, které se týkají vztahů mezi každým subjektem Unie a jeho přímými dodavateli nebo poskytovateli služeb; |
| n) | řešení incidentů a spolupráci se CERT-EU, jako je zajištění bezpečnostního monitorování a vedení protokolů bezpečnosti; |
| o) | řízení kontinuity provozu, jako je správa zálohování a obnova provozu po havárii, a krizové řízení a |
| p) | podporu a rozvoj vzdělávání, dovedností, zvyšování povědomí, cvičebních programů a programů odborné přípravy v oblasti kybernetické bezpečnosti. |
Pro účely prvního pododstavce písm. m) subjekty Unie zohlední zranitelnosti specifické pro každého přímého dodavatele a poskytovatele služeb a celkovou kvalitu produktů a postupů v oblasti kybernetické bezpečnosti svých dodavatelů a poskytovatelů služeb, včetně jejich postupů bezpečného vývoje.
3. Subjekty Unie přijmou alespoň tato konkrétní opatření pro řízení kybernetických bezpečnostních rizik:
| a) | technická opatření umožňující a podporující práci z domova; |
| b) | konkrétní kroky pro přechod k zásadám nulové důvěry; |
| c) | používání vícefaktorového ověřování jako normy u sítí a informačních systémů; |
| d) | používání kryptografie a šifrování, a zejména šifrování mezi koncovými body, a bezpečného digitálního podpis |
| e) | případné zavedení zabezpečené hlasové, obrazové a textové komunikace a zabezpečených systémů tísňové komunikace v rámci subjektu Unie; |
| f) | proaktivní opatření pro odhalování a odstraňování malwaru a špionážního softwaru; |
| g) | zabezpečení softwarového dodavatelského řetězce prostřednictvím kritérií pro bezpečný vývoj a hodnocení softwaru; |
| h) | vytvoření a zavedení programů odborné přípravy v oblasti kybernetické bezpečnosti odpovídajících úkolům a předpokládaným schopnostem nejvyšší úrovně vedení a zaměstnanců subjektu Unie pověřených zajištěním účinného provádění tohoto nařízení; |
| i) | pravidelné školení zaměstnanců v oblasti kybernetické bezpečnosti; |
| j) | v příslušných případech účast na analýzách rizik vzájemného propojení mezi subjekty Unie; |
| k) | posílení pravidel pro zadávání veřejných zakázek s cílem usnadnit dosažení vysoké společné úrovně kybernetické bezpečnosti prostřednictvím:
|
Článek 26
Vstup v platnost
Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.
Ve Štrasburku dne 13. prosince 2023.
Za Evropský parlament
předsedkyně
R. METSOLA
Za Radu
předseda
P. NAVARRO RÍOS
(1) Postoj Evropského parlamentu ze dne 21. listopadu 2023 (dosud nezveřejněný v Úředním věstníku) a rozhodnutí Rady ze dne 8. prosince 2023.
(2) Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2) (Úř. věst. L 333, 27.12.2022, s. 80).
(3) Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“) (Úř. věst. L 151, 7.6.2019, s. 15).
(4) Ujednání mezi Evropským parlamentem, Evropskou radou, Radou Evropské unie, Evropskou komisí, Soudním dvorem Evropské unie, Evropskou centrální bankou, Evropským účetním dvorem, Evropskou službou pro vnější činnost, Evropským hospodářským a sociálním výborem, Evropským výborem regionů a Evropskou investiční bankou o organizaci a fungování týmu pro reakci na počítačové hrozby pro orgány, instituce a jiné subjekty Unie (CERT-EU) (Úř. věst. C 12, 13.1.2018, s. 1).
(5) Nařízení Rady (EHS, Euratom, ESUO) č. 259/68 ze dne 29. února 1968, kterým se stanoví služební řád úředníků a pracovní řád ostatních zaměstnanců Evropských společenství a kterým se zavádějí zvláštní opatření dočasně použitelná na úředníky Komise (Úř. věst. L 56, 4.3.1968, s. 1).
(6) Doporučení Komise (EU) 2017/1584 ze dne 13. září 2017 o koordinované reakci na rozsáhlé kybernetické bezpečnostní incidenty a krize (Úř. věst. L 239, 19.9.2017, s. 36).
(7) Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst. L 295, 21.11.2018, s. 39).
(8) Úř. věst. C 258, 5.7.2022, s. 10.
(9) Nařízení Evropského parlamentu a Rady (EU, Euratom) 2018/1046 ze dne 18. července 2018, kterým se stanoví finanční pravidla pro souhrnný rozpočet Unie, mění nařízení (EU) č. 1296/2013, (EU) č. 1301/2013, (EU) č. 1303/2013, (EU) č. 1304/2013, (EU) č. 1309/2013, (EU) č. 1316/2013, (EU) č. 223/2014, (EU) č. 283/2014, a rozhodnutí č. 541/2014/EU a zrušuje nařízení (EU, Euratom) č. 966/2012 (Úř. věst. L 193, 30.7.2018, s. 1).
(10) Nařízení Evropského parlamentu a Rady (ES) č. 1049/2001 ze dne 30. května 2001 o přístupu veřejnosti k dokumentům Evropského parlamentu, Rady a Komise (Úř. věst. L 145, 31.5.2001, s. 43).
ELI: http://data.europa.eu/eli/reg/2023/2841/oj
ISSN 1977-0626 (electronic edition)