keyboard_tab Cyber Resilience Act 2023/2841 EL

1.   Έως τις 8 Σεπτεμβρίου 2024, το διοργανικό συμβούλιο κυβερνοασφάλειας που συγκροτείται σύμφωνα με το άρθρο 10, κατόπιν διαβούλευσης με τον Οργανισμό της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA) και αφού λάβει καθοδήγηση από την CERT-ΕΕ, εκδίδει κατευθυντήριες γραμμές προς τις οντότητες_της_Ένωσης με σκοπό τη διενέργεια αρχικής επανεξέτασης της κυβερνοασφάλειας και τη θέσπιση του εσωτερικού πλαισίου διαχείρισης, διακυβέρνησης και ελέγχου κινδύνων κυβερνοασφάλειας σύμφωνα με το άρθρο 6, τη διενέργεια αξιολογήσεων του επιπέδου ωριμότητας στον τομέα της κυβερνοασφάλειας σύμφωνα με το άρθρο 7, τη λήψη μέτρων διαχείρισης κινδύνων κυβερνοασφάλειας σύμφωνα με το άρθρο 8 και την έγκριση του σχεδίου κυβερνοασφάλειας σύμφωνα με το άρθρο 9.

2.   Κατά την εφαρμογή των άρθρων 6 έως 9, οι οντότητες_της_Ένωσης λαμβάνουν υπόψη τις κατευθυντήριες γραμμές που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου, καθώς και τις σχετικές κατευθυντήριες γραμμές και συστάσεις που εκδίδονται σύμφωνα με τα άρθρα 11 και 14.

1.   Έως τις 8 Απριλίου 2025, κάθε οντότητα της Ένωσης, μετά τη διενέργεια αρχικής επανεξέτασης της κυβερνοασφάλειας, π.χ. μέσω ελέγχου, θεσπίζει εσωτερικό πλαίσιο διαχείρισης, διακυβέρνησης και ελέγχου κινδύνων κυβερνοασφάλειας («το πλαίσιο»). Η θέσπιση του πλαισίου εποπτεύεται και τελεί υπό την ευθύνη του ανώτατου διοικητικού επιπέδου της οντότητας της Ένωσης.

2.   Το πλαίσιο καλύπτει ολόκληρο το μη διαβαθμισμένο περιβάλλον ΤΠΕ της οικείας οντότητας της Ένωσης, συμπεριλαμβανομένων τυχόν περιβάλλοντος ΤΠΕ και δικτύου λειτουργικής τεχνολογίας εντός των εγκαταστάσεων, καθώς και περιουσιακών στοιχείων και υπηρεσιών που λειτουργούν εξωτερικά σε περιβάλλοντα νεφοϋπολογιστικής ή φιλοξενούνται από τρίτους, κινητών συσκευών, εταιρικών δικτύων, επιχειρηματικών δικτύων που δεν συνδέονται με το διαδίκτυο και τυχόν συσκευών που συνδέονται με τα εν λόγω περιβάλλοντα («περιβάλλον ΤΠΕ»). Το πλαίσιο βασίζεται σε ολιστική προσέγγιση των κινδύνων.

3.   Το πλαίσιο διασφαλίζει υψηλό επίπεδο κυβερνοασφάλειας. Το πλαίσιο καθορίζει εσωτερικές πολιτικές κυβερνοασφάλειας, συμπεριλαμβανομένων στόχων και προτεραιοτήτων, για την ασφάλεια των συστημάτων δικτύου και πληροφοριών, καθώς και τους ρόλους και τις αρμοδιότητες του προσωπικού της οντότητας της Ένωσης που είναι επιφορτισμένο με τη διασφάλιση της αποτελεσματικής εφαρμογής του παρόντος κανονισμού. Το πλαίσιο περιλαμβάνει επίσης μηχανισμούς για τη μέτρηση της αποτελεσματικότητας της εφαρμογής.

4.   Το πλαίσιο επανεξετάζεται τακτικά, υπό το πρίσμα των μεταβαλλόμενων κινδύνων κυβερνοασφάλειας, και τουλάχιστον ανά τετραετία. Κατά περίπτωση και κατόπιν αιτήματος του διοργανικού συμβουλίου κυβερνοασφάλειας που συγκροτείται σύμφωνα με το άρθρο 10, το πλαίσιο οντότητας της Ένωσης μπορεί να επικαιροποιείται με βάση την καθοδήγηση της CERT-ΕΕ σχετικά με περιστατικά που καταγράφονται ή πιθανά κενά που παρατηρούνται κατά την εφαρμογή του παρόντος κανονισμού.

5.   Το ανώτατο_διοικητικό_επίπεδο κάθε οντότητας της Ένωσης είναι υπεύθυνο για την εφαρμογή του παρόντος κανονισμού και επιβλέπει τη συμμόρφωση της οργάνωσής της με τις υποχρεώσεις που σχετίζονται με το πλαίσιο.

6.   Κατά περίπτωση και με την επιφύλαξη της ευθύνης του για την εφαρμογή του παρόντος κανονισμού, το ανώτατο_διοικητικό_επίπεδο κάθε οντότητας της Ένωσης μπορεί να αναθέτει την εκπλήρωση συγκεκριμένων υποχρεώσεων δυνάμει του παρόντος κανονισμού σε ανώτερους υπαλλήλους κατά την έννοια του άρθρου 29 παράγραφος 2 του κανονισμού υπηρεσιακής κατάστασης ή σε άλλους υπαλλήλους ισοδύναμου επιπέδου, εντός της οικείας οντότητας της Ένωσης. Ανεξάρτητα από οποιαδήποτε τέτοια ανάθεση, το ανώτατο_διοικητικό_επίπεδο μπορεί να θεωρηθεί υπεύθυνο για παραβάσεις του παρόντος κανονισμού από την οικεία οντότητα της Ένωσης.

7.   Κάθε οντότητα της Ένωσης εφαρμόζει αποτελεσματικούς μηχανισμούς για να διασφαλίζει ότι οι δαπάνες για την κυβερνοασφάλεια ανέρχονται σε επαρκές ποσοστό του προϋπολογισμού για την ΤΠΕ. Κατά τον καθορισμό του ποσοστού αυτού λαμβάνεται δεόντως υπόψη το πλαίσιο.

8.   Κάθε οντότητα της Ένωσης διορίζει τοπικό υπεύθυνο κυβερνοασφάλειας ή άλλο πρόσωπο με αντίστοιχες ευθύνες, που ενεργεί ως ενιαίο σημείο επαφής όσον αφορά όλες τις πτυχές της κυβερνοασφάλειας. Ο τοπικός υπεύθυνος κυβερνοασφάλειας διευκολύνει την εφαρμογή του παρόντος κανονισμού και υποβάλλει εκθέσεις απευθείας στο ανώτατο_διοικητικό_επίπεδο σε τακτική βάση σχετικά με την πορεία της εφαρμογής. Χωρίς να θίγεται ο ρόλος του τοπικού υπεύθυνου κυβερνοασφάλειας ως ενιαίου σημείου επαφής σε κάθε οντότητα της Ένωσης, μια οντότητα της Ένωσης μπορεί να αναθέτει στη CERT-EΕ ορισμένα καθήκοντα του τοπικού υπευθύνου κυβερνοασφάλειας όσον αφορά την εφαρμογή του παρόντος κανονισμού βάσει συμφωνίας σε επίπεδο υπηρεσιών που συνάπτεται μεταξύ της εν λόγω οντότητας της Ένωσης και της CERT-EΕ, ή τα εν λόγω καθήκοντα μπορούν να επιμερίζονται μεταξύ περισσότερων οντοτήτων της Ένωσης. Όταν τα καθήκοντα αυτά ανατίθενται στην CERT-ΕΕ, το διοργανικό συμβούλιο κυβερνοασφάλειας που συγκροτείται σύμφωνα με το άρθρο 10 αποφασίζει κατά πόσον η παροχή της υπηρεσίας αυτής αποτελεί μέρος των βασικών υπηρεσιών της CERT-EΕ, λαμβάνοντας υπόψη τους ανθρώπινους και οικονομικούς πόρους της οικείας οντότητας της Ένωσης. Κάθε οντότητα της Ένωσης ενημερώνει, χωρίς αδικαιολόγητη καθυστέρηση, τη CERT-EΕ σχετικά με τους διορισμένους τοπικούς υπεύθυνους κυβερνοασφάλειας και για κάθε μεταγενέστερη αλλαγή τους.

Η CERT-ΕΕ καταρτίζει και διατηρεί επίκαιρο κατάλογο των διορισμένων τοπικών υπευθύνων κυβερνοασφάλειας.

9.   Οι ανώτεροι υπάλληλοι κατά την έννοια του άρθρου 29 παράγραφος 2 του κανονισμού υπηρεσιακής κατάστασης ή άλλοι υπάλληλοι ισοδύναμου επιπέδου κάθε οντότητας της Ένωσης, καθώς και όλα τα σχετικά μέλη του προσωπικού που είναι επιφορτισμένα με την εφαρμογή των μέτρων και την εκπλήρωση των υποχρεώσεων διαχείρισης κινδύνων κυβερνοασφάλειας του παρόντος κανονισμού, παρακολουθούν σε τακτική βάση ειδικά προγράμματα κατάρτισης, ώστε να αποκτούν επαρκείς γνώσεις και δεξιότητες προκειμένου να κατανοούν και να αξιολογούν τους κινδύνους και τις πρακτικές διαχείρισης της κυβερνοασφάλειας, καθώς και τον αντίκτυπό τους στις δραστηριότητες της οντότητας της Ένωσης.

1.   Έως τις 8 Ιουλίου 2025 και στη συνέχεια τουλάχιστον ανά διετία, κάθε οντότητα της Ένωσης διενεργεί αξιολόγηση του επιπέδου ωριμότητας στον τομέα της κυβερνοασφάλειας που ενσωματώνει όλα τα στοιχεία του οικείου περιβάλλοντος ΤΠΕ.

2.   Οι αξιολογήσεις του επιπέδου ωριμότητας στον τομέα της κυβερνοασφάλειας διενεργούνται, κατά περίπτωση, με τη βοήθεια ειδικευμένου τρίτου μέρους.

3.   Οι οντότητες_της_Ένωσης με παρόμοιες δομές μπορούν να συνεργάζονται για τη διενέργεια αξιολογήσεων του επιπέδου ωριμότητας στον τομέα της κυβερνοασφάλειας για τις αντίστοιχες οντότητές τους.

4.   Βάσει αιτήματος του διοργανικού συμβουλίου κυβερνοασφάλειας που συγκροτείται σύμφωνα με το άρθρο 10, και με τη ρητή συγκατάθεση της οικείας οντότητας της Ένωσης, τα αποτελέσματα αξιολόγησης του επιπέδου ωριμότητας στον τομέα της κυβερνοασφάλειας μπορούν να συζητούνται στο πλαίσιο του εν λόγου συμβουλίου ή της άτυπης ομάδας τοπικών υπευθύνων κυβερνοασφάλειας, με σκοπό την άντληση διδαγμάτων από την εμπειρία και την ανταλλαγή βέλτιστων πρακτικών.

1.   Έπειτα από την ολοκλήρωση της αξιολόγησης του επιπέδου ωριμότητας στον τομέα της κυβερνοασφάλειας που διενεργείται σύμφωνα με το άρθρο 7 και λαμβάνοντας υπόψη τα περιουσιακά στοιχεία και τους κινδύνους κυβερνοασφάλειας που προσδιορίζονται στο πλαίσιο, καθώς και τα μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας που λαμβάνονται σύμφωνα με το άρθρο 8, το ανώτατο_διοικητικό_επίπεδο κάθε οντότητας της Ένωσης εγκρίνει σχέδιο κυβερνοασφάλειας χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση έως τις 8 Ιανουαρίου 2026. Το σχέδιο κυβερνοασφάλειας αποσκοπεί στην αύξηση της συνολικής κυβερνοασφάλειας της οντότητας της Ένωσης και, ως εκ τούτου, συμβάλλει στην ενίσχυση του υψηλού κοινού επιπέδου κυβερνοασφάλειας εντός των οντοτήτων της Ένωσης. Το σχέδιο κυβερνοασφάλειας περιλαμβάνει τουλάχιστον τα μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας που λαμβάνονται σύμφωνα με το άρθρο 8. Το σχέδιο κυβερνοασφάλειας αναθεωρείται ανά διετία ή συχνότερα όταν είναι αναγκαίο, μετά τις αξιολογήσεις του επιπέδου ωριμότητας στον τομέα της κυβερνοασφάλειας που διενεργούνται σύμφωνα με το άρθρο 7 ή μετά από οποιαδήποτε ουσιαστική επανεξέταση του πλαισίου.

2.   Το σχέδιο κυβερνοασφάλειας περιλαμβάνει το σχέδιο της οντότητας της Ένωσης για τη διαχείριση κρίσεων στον κυβερνοχώρο όσον αφορά σοβαρά περιστατικά.

3.   Η οντότητα της Ένωσης υποβάλλει το ολοκληρωμένο σχέδιο κυβερνοασφάλειας στο διοργανικό συμβούλιο κυβερνοασφάλειας που συγκροτείται σύμφωνα με το άρθρο 10.

1.   Η CERT-ΕΕ συνεργάζεται και ανταλλάσσει πληροφορίες, χωρίς αδικαιολόγητη καθυστέρηση, με ομολόγους από κράτη μέλη, ιδίως τις CSIRT που ορίζονται ή συγκροτούνται σύμφωνα με το άρθρο 10 της οδηγίας (ΕΕ) 2022/2555 ή, κατά περίπτωση, τις αρμόδιες αρχές και τα ενιαία σημεία επαφής που ορίζονται ή συγκροτούνται σύμφωνα με το άρθρο 8 της εν λόγω οδηγίας, σχετικά με περιστατικά, κυβερνοαπειλές, ευπάθειες, παρ’ ολίγον περιστατικά, πιθανά αντίμετρα, καθώς και βέλτιστες πρακτικές και όλα τα θέματα που αφορούν τη βελτίωση της προστασίας των περιβαλλόντων ΤΠΕ των οντοτήτων της Ένωσης, μεταξύ άλλων μέσω του δικτύου CSIRT που συγκροτείται σύμφωνα με το άρθρο 15 της οδηγίας (ΕΕ) 2022/2555. Η CERT-ΕΕ στηρίζει την Επιτροπή στο EU-CyCLONe που συγκροτείται σύμφωνα με το άρθρο 16 της οδηγίας (ΕΕ) 2022/2555 για τη συντονισμένη διαχείριση περιστατικών και κρίσεων μεγάλης κλίμακας στον κυβερνοχώρο.

2.   Όταν η CERT-EU αντιλαμβάνεται σημαντικό περιστατικό που λαμβάνει χώρα στην επικράτεια ενός κράτους μέλους, ενημερώνει, χωρίς καθυστέρηση, κάθε σχετικό ομόλογό της στο εν λόγω κράτος μέλος, σύμφωνα με την παράγραφο 1.

3.   Υπό την προϋπόθεση ότι τα δεδομένα προσωπικού χαρακτήρα προστατεύονται σύμφωνα με την ισχύουσα νομοθεσία της Ένωσης για την προστασία των δεδομένων, η CERT-ΕΕ ανταλλάσσει με ομολόγους της από κράτη μέλη, χωρίς αδικαιολόγητη καθυστέρηση, σχετικές πληροφορίες που αφορούν συγκεκριμένα περιστατικά οι οποίες διευκολύνουν τον εντοπισμό παρόμοιων κυβερνοαπειλών ή περιστατικών, ή συμβάλλουν στην ανάλυση περιστατικού, χωρίς την άδεια της θιγόμενης οντότητας της Ένωσης. Η CERT-ΕΕ ανταλλάσσει πληροφορίες σχετικά με συγκεκριμένα περιστατικά που αποκαλύπτουν την ταυτότητα του στόχου του περιστατικού μόνο όταν συντρέχει μία από τις ακόλουθες περιπτώσεις:

Οι αποφάσεις για την ανταλλαγή πληροφοριών σχετικά με συγκεκριμένα περιστατικά οι οποίες αποκαλύπτουν την ταυτότητα του στόχου του περιστατικού σύμφωνα με το πρώτο εδάφιο στοιχείο β), εγκρίνονται από τον επικεφαλής της CERT-ΕΕ. Πριν από την έκδοση της εν λόγω απόφασης, η CERT-ΕΕ επικοινωνεί γραπτώς με τη θιγόμενη οντότητα της Ένωσης, εξηγώντας με σαφήνεια τον τρόπο με τον οποίο η γνωστοποίησή της ταυτότητάς της θα συνέβαλε στην αποφυγή ή τον μετριασμό περιστατικών αλλού. Ο επικεφαλής της CERT-ΕΕ παρέχει τις εξηγήσεις και ζητεί ρητά από την οντότητα της Ένωσης να δηλώσει εάν δίνει τη συγκατάθεσή της εντός καθορισμένης προθεσμίας. Ο επικεφαλής της CERT-ΕΕ ενημερώνει επίσης την οντότητα της Ένωσης ότι, υπό το πρίσμα των εξηγήσεων που παρέχονται, διατηρεί το δικαίωμα να γνωστοποιήσει τις πληροφορίες ακόμη και ελλείψει συγκατάθεσης. Η θιγόμενη οντότητα της Ένωσης ενημερώνεται πριν από τη γνωστοποίηση των πληροφοριών.