search

keyboard_tab Cyber Resilience Act 2023/2841 CS

 BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf

2023/2841 CS cercato: 'zahrnující' . Output generated live by software developed by IusOnDemand srl


expand index zahrnující:


whereas zahrnující:


definitions:


cloud tag: and the number of total unique words without stopwords is: 357

 

Článek 7

Hodnocení vyspělosti kybernetické bezpečnosti

1.   Do 8. července 2025 a poté alespoň každé dva roky provede každý subjekt Unie hodnocení vyspělosti kybernetické bezpečnosti zahrnující všechny prvky jeho prostředí IKT.

2.   Hodnocení vyspělosti kybernetické bezpečnosti se případně provádí za pomoci specializované třetí strany.

3.   Subjekty Unie s podobnými strukturami mohou při provádění hodnocení vyspělosti kybernetické bezpečnosti pro své příslušné subjekty spolupracovat.

4.   Na základě žádosti interinstitucionálního výboru pro kybernetickou bezpečnost zřízeného podle článku 10 a s výslovným souhlasem dotčeného subjektu Unie mohou být výsledky hodnocení vyspělosti kybernetické bezpečnosti projednány v tomto výboru nebo v rámci neformální skupiny místních referentů pro kybernetickou bezpečnost, což umožní čerpání ze zkušeností a výměnu osvědčených postupů.

Článek 21

Oznamovací povinnosti

1.   Incident se považuje za závažný, pokud:

a)

způsobil nebo může způsobit vážné provozní narušení fungování subjektu Unie nebo finanční ztrátu pro dotčený subjekt Unie;

b)

způsobil nebo může způsobit jiným fyzickým nebo právnickým osobám značnou hmotnou nebo nehmotnou újmu.

2.   Subjekty Unie předloží CERT-EU:

a)

bez zbytečného odkladu a v každém případě do 24 hodin po zjištění významného incidentu, včasné varování, v němž případně uvedou, zda se domnívají, že byl významného incident způsoben nezákonným nebo nepřátelským jednáním nebo že by mohl mít dopad na různé subjekty nebo přeshraniční dopad;

b)

bez zbytečného odkladu a v každém případě do 72 hodin po zjištění významného incidentu, oznámení incidentu, v němž případně aktualizují informace uvedené v písmenu a) a předloží počáteční posouzení významného incidentu včetně jeho závažnosti a dopadu a, pokud jsou k dispozici, indikátory narušení;

c)

na žádost CERT-EU průběžnou zprávu o příslušném aktuálním vývoji situace;

d)

nejpozději do jednoho měsíce od předložení oznámení incidentu podle písmene b) závěrečnou zprávu zahrnující:

i)

podrobný popis incidentu včetně jeho závažnosti a dopadu;

ii)

druh hrozby nebo základní příčinu, která incident pravděpodobně spustila;

iii)

učiněná a probíhající opatření ke zmírnění následků;

iv)

případně přeshraniční dopad incidentu nebo dopad na různé subjekty;

e)

v případě, že v době předložení závěrečné zprávy podle písmene d) incident stále trvá, zprávu o pokroku k danému okamžiku a závěrečnou zprávu do jednoho měsíce od vyřešení incidentu.

3.   Subjekt Unie bez zbytečného odkladu a v každém případě do 24 hodin od okamžiku, kdy se o významnému incidentu dozvěděl, informuje všechny příslušné protějšky z členských států uvedené v čl. 17 odst. 1 v členském státě, v němž se nachází, o tom, že došlo k významnému incidentu.

4.   Subjekty Unie oznámí mimo jiné veškeré informace, které CERT-EU umožní určit jakýkoli dopad na všechny subjekty, dopad na hostitelský členský stát nebo přeshraniční dopad významného incidentu. Aniž je dotčen článek 12, pouhé oznámení nepředstavuje pro subjekt Unie vyšší míru právní odpovědnosti.

5.   V příslušných případech subjekty Unie bez zbytečného odkladu sdělí uživatelům dotčených sítí a informačních systémů nebo jiných složek prostředí IKT, kteří jsou potenciálně dotčeni významným incidentem nebo významnou kybernetickou hrozbou a případně potřebují přijmout zmírňující opatření, jakákoli opatření nebo nápravná opatření, která mohou být v reakci na uvedený incident nebo hrozbu přijata. Subjekty Unie případně informují tyto uživatele o samotné významné kybernetické hrozbě.

6.   Pokud se významný incident nebo významná kybernetická hrozba dotýká sítě a informačního systému nebo složky prostředí IKT subjektu Unie, která je úmyslně propojena s prostředím IKT jiného subjektu Unie, vydá CERT-EU příslušné bezpečnostní varování.

7.   Subjekty Unie na žádost CERT-EU a bez zbytečného odkladu poskytnou CERT-EU digitální informace vytvořené pomocí elektronických zařízení zapojených do příslušných incidentů. CERT-EU může poskytnout další podrobnosti o typech informací, které pro účely situačního přehledu a reakce na incident požaduje.

8.   CERT-EU předkládá každé tři měsíce výboru IICB, ENISA, EU INTCEN a síti týmů CSIRT souhrnnou zprávu obsahující anonymizované a agregované údaje o významných incidentech, incidentech, kybernetických hrozbách, významných událostech a zranitelnostech podle článku 20, a významných incidentech oznámených podle odstavce 2 tohoto článku. Souhrnná zpráva je podkladem pro dvouletou zprávu o stavu kybernetické bezpečnosti v Unii přijatou podle článku 18 směrnice (EU) 2022/2555.

9.   Výbor IICB do 8. července 2024 vydá pokyny nebo doporučení, v nichž blíže upřesní způsoby, formát a obsah oznamování podle tohoto článku. Při přípravě těchto pokynů nebo doporučení výbor IICB zohlední veškeré prováděcí akty přijaté podle čl. 23 odst. 11 směrnice (EU) 2022/2555, které blíže stanoví druh informací, formát a postup oznámení. CERT-EU šíří vhodné technické údaje s cílem umožnit aktivní odhalování incidentů, reakci na incidenty nebo opatření ke zmírnění dopadů incidentů ze strany subjektů Unie.

10.   Oznamovací povinnosti stanovené v tomto článku se nevztahují na:

a)

utajované informace EU;

b)

informace, jejichž další šíření bylo vyloučeno viditelným označením, pokud jejich sdílení se CERT-EU nebylo výslovně povoleno.

whereas
keyboard_arrow_down