keyboard_tab Cyber Resilience Act 2023/2841 LV
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 4. pants Personas datu apstrāde
- 1 6. pants Kiberdrošības riska pārvaldības, pārvaldes un kontroles satvars
I NODAĻA
VISPĀRĪGI NOTEIKUMI
II NODAĻA
VIENĀDA AUGSTA KIBERDROŠĪBAS LĪMEŅA PANĀKŠANAS PASĀKUMI
III NODAĻA
IESTĀŽU KIBERDROŠĪBAS PADOME
IV NODAĻA
CERT-EU
V NODAĻA
SADARBĪBA UN ZIŅOŠANAS PIENĀKUMI
VI NODAĻA
NOBEIGUMA NOTEIKUMI
- savienības 29
- kiberdrošības 24
- cert-eu 17
- vienības 13
- saskaņā 13
- regulas 10
- pantu 9
- līmeņa 9
- šīs 8
- incidentu 7
- vienība 7
- pienākumus 6
- uzdevumus 6
- incidentiem 6
- datu 6
- informācijas 6
- personas 5
- gadījumā 5
- īstenošanu 5
- riska 5
- pārvaldības 5
- minēto 5
- arī 5
- reaģēšanas 5
- satvaru 5
- visaugstākā 5
- vienību 4
- iestāžu 4
- attiecīgā 4
- minētos 3
- pasākumus 3
- citiem 3
- regulāri 3
- panta punkta 3
- vadība 3
- konkrētus 3
- pants 3
- padome 3
- attiecībā 3
- regulā 3
- šajā 3
- tās 3
- apstrādi 3
- vienībām 3
- darbības 2
- telpās 2
- veicina 2
- tostarp 2
- vidi 2
- tīklu 2
4. pants
Personas datu apstrāde
1. Personas datu apstrādi, kas paredzēta šajā regulā, CERT-EU, Iestāžu kiberdrošības padome, kura izveidota saskaņā ar 10. pantu, un Savienības vienības veic saskaņā ar Regulu (ES) 2018/1725.
2. Ja CERT-EU, Iestāžu kiberdrošības padome, kura izveidota saskaņā ar 10. pantu, un Savienības vienības pilda šajā regulā paredzētus uzdevumus vai pienākumus, tās personas datus apstrādā un ar tiem apmainās tikai tādā apmērā, cik nepieciešams, un vienīgi nolūkā pildīt minētos uzdevumus vai pienākumus.
3. Regulas (ES) 2018/1725 10. panta 1. punktā minēto īpašu kategoriju personas datu apstrādi uzskata par nepieciešamu būtisku sabiedrības interešu dēļ saskaņā ar minētās regulas 10. panta 2. punkta g) apakšpunktu. Šādus datus var apstrādāt tikai tiktāl, ciktāl tas nepieciešams šīs regulas 6. un 8. pantā minēto kiberdrošības riska pārvaldības pasākumu īstenošanai, CERT-EU pakalpojumu sniegšanai saskaņā ar 13. pantu, incidentu raksturojošas informācijas kopīgošanai saskaņā ar 17. panta 3. punktu un 18. panta 3. punktu, informācijas kopīgošanai saskaņā ar 20. pantu, ziņošanas pienākumiem saskaņā ar 21. pantu, reaģēšanas uz incidentiem koordinācijai un sadarbībai saskaņā ar 22. pantu un lielu incidentu pārvaldībai saskaņā ar 23. pantu. Savienības vienības un CERT-EU, rīkojoties kā datu pārziņi, piemēro tehniskus pasākumus, lai nepieļautu īpašu kategoriju personas datu apstrādi citiem nolūkiem, un paredz piemērotus un konkrētus pasākumus, kas aizsargā datu subjektu pamattiesības un intereses.
II NODAĻA
VIENĀDA AUGSTA KIBERDROŠĪBAS LĪMEŅA PANĀKŠANAS PASĀKUMI
6. pants
Kiberdrošības riska pārvaldības, pārvaldes un kontroles satvars
1. Līdz 2025. gada 8. aprīlim katra Savienības vienība pēc sākotnējās kiberdrošības pārskatīšanas, piemēram, revīzijas, izveido iekšēju kiberdrošības riska pārvaldības, pārvaldes un kontroles satvaru (“satvars”). Satvara izveidi pārrauga un par to atbild Savienības vienības visaugstākā līmeņa vadība.
2. Satvars aptver visu attiecīgās Savienības vienības neklasificēto IKT vidi, tostarp jebkādu IKT vidi organizācijas telpās, darbības tehnoloģiju tīklu organizācijas telpās, ārpakalpojumu aktīvus un pakalpojumus mākoņdatošanas vidē vai trešās personas mitinātus aktīvus vai pakalpojumus, mobilās ierīces, korporatīvos tīklus, darbības tīklus, kas nav pievienoti internetam, un jebkādas minētajām vidēm (“IKT vide”) pievienotas ierīces. Satvara pamatā ir visu apdraudējumu pieeja.
3. Satvars nodrošina augstu kiberdrošības līmeni. Satvars nosaka iekšējās kiberdrošības rīcībpolitikas, tostarp mērķus un prioritātes, tīklu un informācijas sistēmu drošībai, kā arī to Savienības vienības darbinieku uzdevumus un pienākumus, kuriem uzticēts nodrošināt rezultatīvu šīs regulas īstenošanu. Satvarā iekļauj arī mehānismus īstenošanas rezultativitātes mērīšanai.
4. Mainīgo kiberdrošības risku kontekstā satvaru regulāri un vismaz ik četrus gadus pārskata. Attiecīgā gadījumā un pēc saskaņā ar 10. pantu izveidotās Iestāžu kiberdrošības padomes pieprasījuma Savienības vienība satvaru var atjaunināt, pamatojoties uz CERT-EU norādījumiem par konstatētajiem incidentiem vai iespējamiem trūkumiem, kas novēroti šīs regulas īstenošanā.
5. Katras Savienības vienības visaugstākā līmeņa vadība ir atbildīga par šīs regulas īstenošanu un pārrauga, kā tās organizācija pilda ar satvaru saistītos pienākumus.
6. Attiecīgā gadījumā un neskarot vienības atbildību par šīs regulas īstenošanu, katras Savienības vienības visaugstākā līmeņa vadība var šajā regulā noteiktos īpašos pienākumus deleģēt augstākā līmeņa ierēdņiem Civildienesta noteikumu 29. panta 2. punkta izpratnē vai citiem līdzvērtīga līmeņa ierēdņiem attiecīgajā Savienības vienībā. Neatkarīgi no šādas deleģēšanas visaugstākā līmeņa vadību var saukt pie atbildības par šīs regulas pārkāpumiem, ko attiecīgā Savienības vienība izdarījusi.
7. Katra Savienības vienība ievieš iedarbīgus mehānismus, kuru mērķis ir nodrošināt, ka pienācīga to IKT budžeta procentuālā daļa tiek tērēta kiberdrošības vajadzībām. Nosakot minēto procentuālo daļu, pienācīgi ņem vērā satvaru.
8. Katra Savienības vienība ieceļ vietējo kiberdrošības speciālistu vai līdzvērtīgu darbinieku, kas rīkojas kā tās vienotais kontaktpunkts visos kiberdrošības aspektos. Vietējais kiberdrošības speciālists veicina šīs regulas īstenošanu un regulāri tieši ziņo visaugstākā līmeņa vadībai par īstenošanas stāvokli. Neskarot to, ka vietējais kiberdrošības speciālists ir vienotais kontaktpunkts katrā Savienības vienībā, Savienības vienība konkrētus vietējā kiberdrošības speciālista uzdevumus attiecībā uz šīs regulas īstenošanu var deleģēt CERT-EU, pamatojoties uz pakalpojumu līmeņa vienošanos, kas noslēgta starp minēto Savienības vienību un CERT-EU, vai minētos uzdevumus var sadalīt pa vairākām Savienības vienībām. Ja minētos uzdevumus deleģē CERT-EU, saskaņā ar 10. pantu izveidotā Iestāžu kiberdrošības padome pieņem lēmumu, vai minētā pakalpojuma sniegšana ir daļa no CERT-EU pamatpakalpojumiem, ņemot vērā attiecīgās Savienības vienības cilvēkresursus un finanšu resursus. Katra Savienības vienība bez liekas kavēšanās paziņo CERT-EU par ieceltajiem vietējiem kiberdrošības speciālistiem un jebkādām turpmākām to maiņām.
CERT-EU izveido un atjaunina iecelto vietējo kiberdrošības speciālistu sarakstu.
9. Katras Savienības vienības augstākie ierēdņi Civildienesta noteikumu 29. panta 2. punkta izpratnē vai citi līdzvērtīga līmeņa ierēdņi, kā arī visi relevantie darbinieki, kuriem uzdots īstenot kiberdrošības riska pārvaldības pasākumus un pildīt pienākumus, ko paredz šī regula, regulāri piedalās īpašās apmācībās, lai gūtu zināšanas un prasmes, kas ir pietiekamas, lai izprastu un novērtētu kiberdrošības riska un pārvaldības prakses, kā arī to ietekmi uz Savienības vienības darbību.
22. pants
Reaģēšanas uz incidentu koordinēšana un sadarbība
1. Rīkojoties kā kiberdrošības informācijas apmaiņas un reaģēšanas uz incidentiem koordinēšanas centrs, CERT-EU atvieglo informācijas apmaiņu par incidentiem, kiberdraudiem, ievainojamībām un gandrīz notikušiem notikumiem:
| a) | Savienības vienību vidū; |
| b) | regulas 17. un 18. pantā minēto partneru vidū. |
2. CERT-EU attiecīgā gadījumā ciešā sadarbībā ar ENISA veicina koordināciju starp Savienības vienībām attiecībā uz reaģēšanu uz incidentiem, tostarp:
| a) | ieguldījumu konsekventā ārējā komunikācijā; |
| b) | savstarpējo atbalstu, piemēram, Savienības vienībām relevantas informācijas kopīgošanu vai palīdzības sniegšanu, attiecīgā gadījumā tieši uz vietas; |
| c) | optimālu operacionālo resursu izmantošanu; |
| d) | koordinēšanu ar citiem krīzes reaģēšanas mehānismiem Savienības līmenī. |
3. CERT-EU ciešā sadarbībā ar ENISA atbalsta Savienības vienības attiecībā uz situācijas apzināšanos tādos aspektos kā incidenti, kiberdraudi, ievainojamības un gandrīz notikuši notikumi, kā arī relevanto kiberdrošības jomas jaunumu kopīgošanu.
4. Līdz 2025. gada 8. janvārim IKP uz CERT-EU priekšlikuma pamata pieņem vadlīnijas vai ieteikumus par reaģēšanas uz incidentiem koordinēšanu un sadarbību būtisku incidentu gadījumā. Ja ir aizdomas par incidenta noziedzīgo raksturu, CERT-EU bez liekas kavēšanās sniedz padomus, kā par šo incidentu ziņot tiesībaizsardzības iestādēm.
5. Pēc īpaša dalībvalsts pieprasījuma un ar attiecīgo Savienības vienību piekrišanu CERT-EU var aicināt ekspertus no 23. panta 4. punktā minētā saraksta palīdzēt reaģēt uz lielu incidentu, kam ir ietekme minētajā dalībvalstī, vai plašapmēra kiberdrošības incidentu saskaņā ar Direktīvas (ES) 2022/2555 15. panta 3. punkta g) apakšpunktu. konkrētus noteikumus par piekļuvi Savienības vienību tehniskajiem ekspertiem un viņu izmantošanu uz CERT-EU priekšlikuma pamata apstiprina IKP.
whereas