keyboard_tab Cyber Resilience Act 2023/2841 HR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 3 Članak 8. Mjere upravljanja kibernetičkim sigurnosnim rizicima
- 1 Članak 14. Smjernice, preporuke i pozivi na djelovanje
POGLAVLJE I.
OPĆE ODREDBE
POGLAVLJE II.
MJERE ZA VISOKU ZAJEDNIČKU RAZINU KIBERNETIČKE SIGURNOSTI
POGLAVLJE III.
MEĐUINSTITUCIJSKI ODBOR ZA KIBERNETIČKU SIGURNOST
POGLAVLJE IV.
CERT-EU
POGLAVLJE V.
OBVEZE SURADNJE I IZVJESCIVANJA
POGLAVLJE VI.
ZAVRSNE ODREDBE
- sigurnosti 17
- unije 15
- kibernetičke 15
- kibernetičkim 9
- sigurnosnim 9
- uključujući 9
- rizicima 7
- usluga 7
- mjere 7
- sigurnost 5
- incidenata 5
- upravljanje 5
- kibernetičkih 5
- sigurnosnih 4
- obzir 4
- politike 4
- dobavljača 4
- subjekta 4
- potrebi 4
- zajedničke 4
- prema 4
- mjera 3
- rizika 3
- ranjivosti 3
- pružatelja 3
- aranžmane 3
- procjenu 3
- sustava 3
- djelovanje 3
- softvera 3
- razvoj 3
- koje 3
- lanca 3
- upravljanja 3
- svim 3
- upotrebu 3
- subjekata 3
- subjektima 3
- razine 3
- opskrbe 3
- sigurnosne 3
- području 3
- preporuke 3
- koja 3
- prijedloga 2
- upućene 2
- prioriteta 2
- postizanje 2
- iicb-u 2
- upravljanju 2
Članak 8.
Mjere upravljanja kibernetičkim sigurnosnim rizicima
1. Svaki subjekt Unije bez nepotrebne odgode i u svakom slučaju do 8. rujna 2025., pod nadzorom najviše rukovodeće razine, poduzima odgovarajuće i razmjerne tehničke, operativne i organizacijske mjere za upravljanje kibernetičkim sigurnosnim rizicima utvrđenima u Okviru i za sprečavanje učinaka incidenata ili za svođenje učinaka incidenata na najmanju moguću mjeru. Uzimajući u obzir najnovija dostignuća i, ako je to primjenjivo, relevantne europske i međunarodne norme, tim se mjerama osigurava razina sigurnosti mrežnih i informacijskih sustava u cjelokupnom IKT okruženju koja je razmjerna nastalim kibernetičkim sigurnosnim rizicima. Pri procjeni razmjernosti tih mjera na odgovarajući se način uzima u obzir stupanj izloženosti subjekta Unije kibernetičkim sigurnosnim rizicima, njegova veličina, vjerojatnost pojave incidenata i njihova ozbiljnost, uključujući njihov društveni, gospodarski i međuinstitucijski učinak.
2. Subjekti Unije prilikom provedbe mjera upravljanja kibernetičkim sigurnosnim rizicima razmatraju barem sljedeća pitanja:
(a) | politiku kibernetičke sigurnosti, uključujući mjere potrebne za postizanje ciljeva i prioriteta iz članka 6. i stavka 3. ovog članka; |
(b) | politike analize kibernetičkih sigurnosnih rizika i sigurnosti informacijskih sustava; |
(c) | ciljeve politike u pogledu korištenja usluga računalstva u oblaku; |
(d) | prema potrebi, reviziju kibernetičke sigurnosti koja može uključivati procjenu kibernetičkih sigurnosnih rizika, ranjivosti i kibernetičkih prijetnji te penetracijska testiranja, koja redovito provodi pouzdani privatni pružatelj usluga; |
(e) | provedbu preporuka koje proizlaze iz revizija kibernetičke sigurnosti iz točke (d) putem ažuriranja stanja kibernetičke sigurnosti i politika; |
(f) | organizaciju kibernetičke sigurnosti, uključujući utvrđivanje uloga i odgovornosti; |
(g) | upravljanje imovinom, uključujući popis IKT imovine i kartografiju IKT mreže; |
(h) | sigurnost ljudskih resursa i kontrolu pristupa; |
(i) | sigurnost operacija; |
(j) | sigurnost komunikacija; |
(k) | nabavu, razvoj i održavanj sustavâ, uključujući politike za postupanje s ranjivostima i njihovo otkrivanje; |
(l) | ako je moguće, politike o transparentnosti izvornog koda; |
(m) | sigurnost lanca opskrbe, uključujući sigurnosne aspekte povezane s odnosima između svakog subjekta Unije i njegovih izravnih dobavljača ili pružatelja usluga; |
(n) | postupanje s incidentima i suradnji s CERT-EU-om, na primjer održavanju sustava sigurnosnog nadzora i bilježenju dnevničkih zapisa; |
(o) | upravljanje kontinuitetom poslovanja, na primjer upravljanju sigurnosnim kopijama i oporavku od katastrofe te upravljanju krizama; i |
(p) | promicanje i razvoj programâ obrazovanja, vještina, podizanja svijesti, vježbi i osposobljavanja u području kibernetičke sigurnosti. |
Za potrebe prvog podstavka točke (m) subjekti Unije uzimaju u obzir ranjivosti specifične za svakog izravnog dobavljača i pružatelja usluga te ukupnu kvalitetu proizvoda i kibernetičke sigurnosne prakse svojih dobavljača i pružatelja usluga, uključujući njihove sigurne razvojne postupke.
3. Subjekti Unije poduzimaju barem sljedeće posebne mjere upravljanja kibernetičkim sigurnosnim rizicima:
(a) | tehničke aranžmane za omogućavanje i održavanje rada na daljinu; |
(b) | konkretne korake za prijelaz na načela nultog povjerenja; |
(c) | upotrebu višefaktorske autentifikacije kao norme u svim mrežnim i informacijskim sustavima; |
(d) | upotrebu kriptografije i kriptiranja, a posebno prolaznog kriptiranja, te sigurnih digitalnih potpisa; |
(e) | prema potrebi, sigurne glasovne, video- i tekstualne komunikacije te sigurni komunikacijski sustav u hitnim slučajevima unutar subjekta Unije; |
(f) | proaktivne mjere za otkrivanje i uklanjanje zlonamjernog softvera i špijunskog softvera; |
(g) | uspostavljanje sigurnosti lanca opskrbe softverom s pomoću kriterija za siguran razvoj i evaluaciju softvera; |
(h) | izrada i donošenje programa za osposobljavanje u području kibernetičke sigurnosti koji odgovara predviđenim zadaćama i očekivanim sposobnostima najviše rukovodeće razine i osoblja subjekta Unije čija je zadaća osiguravanje djelotvorne provedbe ove Uredbe; |
(i) | redovito osposobljavanje osoblja u području kibernetičke sigurnosti; |
(j) | ako je to relevantno, sudjelovanje u analizama rizika s obzirom na međupovezanosti subjekata Unije; |
(k) | poboljšanje pravila javne nabave kako bi se olakšalo postizanje visoke zajedničke razine kibernetičke sigurnosti:
|
Članak 14.
Smjernice, preporuke i pozivi na djelovanje
1. CERT-EU podupire provedbu ove Uredbe:
(a) | izdavanjem poziva na djelovanje u kojima se opisuju hitne sigurnosne mjere koje subjekti Unije trebaju poduzeti u zadanom roku; |
(b) | podnošenjem prijedloga IICB-u za smjernice upućene svim subjektima Unije ili nekoj njihovoj podskupini; |
(c) | podnošenjem prijedloga IICB-u za preporuke upućene pojedinačnim subjektima Unije. |
U pogledu prvog podstavka točke (a), dotični subjekt Unije bez nepotrebne odgode nakon primitka poziva na djelovanje obavješćuje CERT-EU o načinu primjene hitnih sigurnosnih mjera.
2. Smjernice i preporuke mogu sadržavati:
(a) | zajedničke metodologije i model za procjenu zrelosti kibernetičke sigurnosti subjekata Unije, uključujući odgovarajuće ljestvice ili ključne pokazatelje uspješnosti, koji služe kao referenca za potporu kontinuiranom poboljšanju kibernetičke sigurnosti u svim subjektima Unije i olakšavaju određivanje prioriteta među područjima i mjerama kibernetičke sigurnosti uzimajući u obzir razinu kibernetičke sigurnosti subjekata; |
(b) | aranžmane za upravljanje kibernetičkim sigurnosnim rizicima i mjere za upravljanje kibernetičkim sigurnosnim rizicima ili za njihovo poboljšanje; |
(c) | aranžmane za procjenu zrelosti kibernetičke sigurnosti i planove za kibernetičku sigurnost |
(d) | prema potrebi, upotrebu zajedničke tehnologije, arhitekture, otvorenog koda i povezane najbolje prakse radi postizanja interoperabilnosti i zajedničkih standarda, uključujući koordinirani pristup sigurnosti lanca opskrbe; |
(e) | prema potrebi, informacije kojima se olakšava upotreba instrumenata zajedničke nabave za kupnju relevantnih kibernetičkih sigurnosnih usluga i proizvoda od vanjskih dobavljača; |
(f) | aranžmani za razmjenu informacija u skladu s člankom 20. |
whereas