keyboard_tab Cyber Resilience Act 2023/2841 LV
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 8. pants Kiberdrošības riska pārvaldības pasākumi
- 3 10. pants Iestāžu kiberdrošības padome
- 1 11. pants IKP uzdevumi
- 2 23. pants Lielu incidentu pārvaldība
I NODAĻA
VISPĀRĪGI NOTEIKUMI
II NODAĻA
VIENĀDA AUGSTA KIBERDROŠĪBAS LĪMEŅA PANĀKŠANAS PASĀKUMI
III NODAĻA
IESTĀŽU KIBERDROŠĪBAS PADOME
IV NODAĻA
CERT-EU
V NODAĻA
SADARBĪBA UN ZIŅOŠANAS PIENĀKUMI
VI NODAĻA
NOBEIGUMA NOTEIKUMI
- savienības 34
- kiberdrošības 31
- cert-eu 24
- eiropas 13
- incidentu 12
- vienības 12
- pārvaldības 10
- vienību 9
- gadījumā 9
- lielu 9
- pakalpojumu 9
- saskaņā 8
- apstiprina 8
- ikp 8
- riska 8
- tās 8
- tostarp 7
- pieņem 7
- tādu 7
- arī 7
- pēc 6
- vienībām 6
- kiberkrīžu 6
- informācijas 6
- attiecīgā 6
- līmeņa 6
- pamata 6
- vadītāja 6
- pasākumi 6
- īstenošanu 6
- plānu 5
- priekšlikuma 5
- vērā 5
- vismaz 5
- reglamentu 5
- šīs 5
- direktīvas 5
- pārvaldība 5
- veic 5
- regulas 5
- uzrauga 4
- minēto 4
- drošas 4
- starp 4
- drošība 4
- piegādes 4
- iekšējo 4
- incidentiem 4
- priekšsēdētāja 4
- rīcībpolitikas 4
8. pants
Kiberdrošības riska pārvaldības pasākumi
1. Bez liekas kavēšanās un katrā ziņā līdz 2025. gada 8. septembrim katra Savienības vienība savas visaugstākā līmeņa vadības uzraudzībā veic piemērotus un samērīgus tehniskos, operacionālos un organizatoriskos pasākumus, lai pārvaldītu kiberdrošības riskus, kas apzināti satvarā, un lai novērstu vai mazinātu incidentu ietekmi. Ņemot vērā jaunāko tehnikas līmeni un attiecīgā gadījumā relevantos Eiropas un starptautiskos standartus, minētie pasākumi nodrošina tīklu un informācijas sistēmu drošības līmeni visā IKT vidē, kas ir samērīgs ar kiberdrošības riskiem, ar kuriem saskaras. Novērtējot minēto pasākumu samērīgumu, pienācīgi ņem vērā to, cik lielā mērā Savienības vienība ir pakļauta kiberdrošības riskiem, tās lielumu un incidentu varbūtību un smagumu, tostarp sociālo, ekonomisko un starpinstitucionālo ietekmi.
2. Savienības vienības kiberdrošības riska pārvaldības pasākumu īstenošanā pievēršas vismaz šādām jomām:
| a) | kiberdrošības rīcībpolitika, tostarp pasākumi, kas vajadzīgi, lai īstenotu 6. pantā un šā panta 3. punktā minētos mērķus un prioritātes; |
| b) | kiberdrošības riska analīzes un informācijas sistēmu drošības rīcībpolitikas; |
| c) | rīcībpolitiskie mērķi mākoņdatošanas pakalpojumu izmantošanas ziņā; |
| d) | attiecīgā gadījumā kiberdrošības revīzija, kas var ietvert kiberdrošības riska, ievainojamību un kiberdraudu novērtējumu, un ielaušanās testēšana, ko regulāri veic uzticams privāts pakalpojumu sniedzējs; |
| e) | no d) apakšpunktā minētajām kiberdrošības revīzijām izrietošo ieteikumu īstenošana ar kiberdrošības un rīcībpolitikas atjauninājumiem; |
| f) | kiberdrošības organizācija, tostarp lomu un pienākumu noteikšana; |
| g) | aktīvu pārvaldība, tostarp IKT aktīvu inventarizācija un IKT tīkla kartogrāfija; |
| h) | cilvēkresursu drošība un piekļuves kontrole; |
| i) | darbības drošība; |
| j) | komunikāciju drošība; |
| k) | sistēmas iegāde, izstrāde un uzturēšana, tostarp ievainojamības risināšanas un izpaušanas rīcībpolitikas; |
| l) | ja iespējams, pirmkoda pārredzamības rīcībpolitikas; |
| m) | piegādes ķēdes drošība, tostarp ar drošību saistītus aspektus, kas attiecas uz attiecībām starp katru Savienības vienību un tās tiešajiem piegādātājiem vai pakalpojumu sniedzējiem; |
| n) | incidentu risināšana un sadarbība ar CERT-EU, piemēram, drošības uzraudzības un reģistrēšanas uzturēšana; |
| o) | darbības nepārtrauktības pārvaldība, piemēram, dublējuma pārvaldība un negadījuma seku novēršana, un krīžu pārvaldība; un |
| p) | kiberdrošības izglītības, prasmju, izpratnes veidošanas, mācību un apmācības programmu veicināšana un izstrāde. |
Pirmās daļas m) apakšpunkta nolūkos Savienības vienības ņem vērā ievainojamības, kas raksturīgas katram tiešajam piegādātājam un pakalpojumu sniedzējam, un savu piegādātāju un pakalpojumu sniedzēju produktu un kiberdrošības prakšu vispārējo kvalitāti, tostarp drošas izstrādes procedūras.
3. Savienības vienības veic vismaz šādus īpašus kiberdrošības riska pārvaldības pasākumus:
| a) | tehniskie pasākumi, kas dara iespējamu un uztur tāldarbu; |
| b) | konkrēti pasākumi virzībā uz nulles uzticēšanās principiem; |
| c) | daudzfaktoru autentifikācijas izmantošana par normu tīklu un informācijas sistēmās; |
| d) | kriptogrāfijas un šifrēšanas, jo īpaši galšifrēšanas, kā arī droša digitālā paraksta izmantošana; |
| e) | attiecīgā gadījumā droši balss, video un teksta sakari un drošas ārkārtas situācijas sakaru sistēmas Savienības vienībā; |
| f) | proaktīvi pasākumi ļaunprogrammatūras un spiegprogrammatūras atklāšanai un izņemšanai; |
| g) | programmatūras piegādes ķēdes drošības izveide uz programmatūras drošas izstrādes un izvērtēšanas kritēriju pamata; |
| h) | tādu kiberdrošības mācību programmu izveide un pieņemšana, kas ir samērīgas ar Savienības vienības visaugstākā līmeņa vadībai un tehniskajiem un operatīvajiem darbiniekiem, kam uzdots nodrošināt rezultatīvu šīs regulas īstenošanu, noteiktajiem uzdevumiem un vēlamajām spējām; |
| i) | regulāra darbinieku apmācība kiberdrošības jomā; |
| j) | attiecīgā gadījumā dalība savstarpējās savienotības riska analīzē Savienības vienību starpā; |
| k) | iepirkuma noteikumu uzlabošana nolūkā veicināt vienādu augstu kiberdrošības līmeni, kas darāms:
|
10. pants
Iestāžu kiberdrošības padome
1. Ar šo tiek izveidota Iestāžu kiberdrošības padome (IKP).
2. IKP ziņā ir:
| a) | uzraudzīt un atbalstīt šīs regulas īstenošanu Savienības vienībās; |
| b) | uzraudzīt CERT-EU vispārējo prioritāšu un mērķu īstenošanu un noteikt CERT-EU stratēģisko virzienu. |
3. IKP sastāvā ir:
| a) | viens pārstāvis, ko ieceļ katrs no turpmāk minētajiem:
|
| b) | trīs pārstāvji, ko pēc IKT Padomdevējas komitejas ierosinājuma ieceļ ES aģentūru tīkls (ESAT), lai pārstāvētu tādu Savienības struktūru, biroju un aģentūru intereses, kas uztur savu IKT vidi un kas nav minētas a) apakšpunktā. |
IKP pārstāvētās Savienības vienības tiecas iecelto pārstāvju vidū nodrošināt dzimumu līdzsvaru.
4. IKP locekļiem var palīdzēt aizvietotājs. Citus 3. punktā minēto Savienības vienību vai citu Savienības vienību pārstāvjus priekšsēdētājs var uzaicināt piedalīties IKP sanāksmēs bez balsošanas tiesībām.
5. CERT-EU vadītājs un saskaņā ar attiecīgi Direktīvas (ES) 2022/2555 14., 15. un 16. pantu izveidotās sadarbības grupas, CSIRT tīkla un EU-CyCLONe priekšsēdētāji vai to aizstājēji var piedalīties IKP sanāksmēs kā novērotāji. Ārkārtas gadījumos IKP saskaņā ar savu iekšējo reglamentu var nolemt citādi.
6. IKP pieņem iekšējo reglamentu.
7. Saskaņā ar iekšējo reglamentu IKP no visu locekļu vidus uz trim gadiem ieceļ priekšsēdētāju. Priekšsēdētāja aizvietotājs kļūst par pilntiesīgu IKP locekli uz tādu pašu laika periodu.
8. IKP tiekas vismaz trīs reizes gadā pēc tās priekšsēdētāja iniciatīvas, pēc CERT-EU pieprasījuma vai pēc kāda tās locekļa lūguma.
9. Katram IKP loceklim ir viena balss. IKP lēmumus pieņem ar vienkāršu balsu vairākumu, izņemot gadījumos, kad šajā regulā paredzēts citādi. IKP priekšsēdētājs nebalso, ja vien nav vienāds balsu sadalījums – tādā gadījumā priekšsēdētāja balss ir izšķirošā.
10. IKP var izmantot vienkāršotu rakstisku procedūru, ko sāk saskaņā ar tās iekšējo reglamentu. Minētajā procedūrā relevantais lēmums tiek uzskatīts par apstiprinātu priekšsēdētāja noteiktajā periodā, ja vien kāds loceklis nav iebildis.
11. IKP sekretariātu nodrošina Komisija, un tas atskaitās IKP priekšsēdētājam.
12. ESAT izvirzītie pārstāvji par IKP lēmumiem informē ESAT locekļus. Ikvienam ESAT loceklim ir tiesības informēt minētos pārstāvjus vai IKP priekšsēdētāju par jebkuru jautājumu, ko tas uzskata par tādu, kas būtu jādara zināms IKP.
13. IKP var izveidot izpildkomiteju, kas tai palīdz veikt tās darbu, kā arī deleģēt izpildkomitejai dažus savus uzdevumus un pilnvaras. IKP pieņem izpildkomitejas reglamentu, kas nosaka tās uzdevumus un pilnvaras, kā arī locekļu pilnvaru laiku.
14. Līdz 2025. gada 8. janvārim un pēc tam ik gadu IKP iesniedz Eiropas Parlamentam un Padomei ziņojumu, kurā sīki izklāstīts progress, kas panākts šīs regulas īstenošanā, un jo īpaši norādīts, cik lielā mērā CERT-EU sadarbojas ar saviem partneriem katrā dalībvalstī. Minētais ziņojums ir ieguldījums divgadu ziņojumā par kiberdrošības stāvokli Savienībā, ko pieņem saskaņā ar Direktīvas (ES) 2022/2555 18. pantu.
11. pants
IKP uzdevumi
Pildot savus pienākumus, IKP jo īpaši:
| a) | sniedz norādes CERT-EU vadītājam; |
| b) | rezultatīvi uzrauga un pārrauga šīs regulas īstenošanu un atbalsta Savienības vienības to kiberdrošības stiprināšanā, attiecīgā gadījumā arī pieprasot Savienības vienībām un CERT-EU ad hoc ziņojumus; |
| c) | pēc stratēģiskām diskusijām pieņem daudzgadu stratēģiju kiberdrošības līmeņa paaugstināšanai Savienības vienībās un regulāri un vismaz ik piecus gadus novērtē to un vajadzības gadījumā to groza; |
| d) | nosaka metodiku un organizatoriskos aspektus brīvprātīgai salīdzinošajai izvērtēšanai, ko veic Savienības vienības, lai mācītos no kopīgas pieredzes, stiprinātu savstarpējo uzticēšanos, panāktu vienādu augstu kiberdrošības līmeni, kā arī uzlabotu Savienības vienību kiberdrošības spējas, nodrošinot, ka šādu salīdzinošo izvērtēšanu veic kiberdrošības eksperti, kurus iecēlusi Savienības vienība, kas nav vērtējamā Savienības vienība, un ka metodika ir balstīta uz Direktīvas (ES) 2022/2555 19. pantu un attiecīgā gadījumā ir pielāgota Savienības vienībām; |
| e) | uz CERT-EU vadītāja priekšlikuma pamata apstiprina CERT-EU gada darba programmu un uzrauga tās īstenošanu; |
| f) | uz CERT-EU vadītāja priekšlikuma pamata apstiprina CERT-EU pakalpojumu katalogu un visus tā turpmākos atjauninājumus; |
| g) | uz CERT-EU vadītāja priekšlikuma pamata apstiprina CERT-EU darbību ieņēmumu un izdevumu gada finanšu plānu, kas ietver arī personāla sastāvu; |
| h) | uz CERT-EU vadītāja priekšlikuma pamata apstiprina pakalpojumu līmeņa vienošanos nosacījumus; |
| i) | izskata un apstiprina CERT-EU vadītāja sagatavoto gada pārskatu par CERT-EU darbībām un līdzekļu pārvaldību; |
| j) | apstiprina un uzrauga CERT-EU galvenos snieguma rādītājus (KPI), kas noteikti uz CERT-EU vadītāja priekšlikuma pamata; |
| k) | apstiprina sadarbības kārtību, pakalpojumu līmeņa vienošanās vai līgumus starp CERT-EU un citām vienībām atbilstoši 18. pantam; |
| l) | pieņem vadlīnijas un ieteikumus, balstoties uz CERT-EU priekšlikumu saskaņā ar 14. pantu, un uzdod CERT-EU izdot, atsaukt vai grozīt vadlīniju vai ieteikumu priekšlikumu vai aicinājumu rīkoties; |
| m) | veido tehniskās padomdevējas grupas ar konkrētiem uzdevumiem palīdzēt veikt IKP darbu, apstiprina to darba uzdevumus un ieceļ to attiecīgos priekšsēdētājus; |
| n) | saņem un novērtē dokumentus un ziņojumus, ko Savienības vienības iesniegušas saskaņā ar šo regulu, piemēram, kiberdrošības gatavības novērtējumus; |
| o) | veicina neformālas grupas izveidi, kurā ietilpst vienību vietējie kiberdrošības speciālisti, kuru atbalsta ENISA un kuras mērķis ir apmainīties ar paraugpraksēm un informāciju, kas saistīta ar šīs regulas īstenošanu; |
| p) | ņemot vērā CERT-EU sniegto informāciju par identificētajiem kiberdrošības riskiem un gūto pieredzi, uzrauga Savienības vienību IKT vižu savienotības pasākumu pietiekamību un konsultē par iespējamiem uzlabojumiem; |
| q) | izstrādā kiberkrīžu pārvaldības plānu, lai operacionālā līmenī atbalstītu tādu lielu incidentu koordinētu pārvaldību, kas ietekmē Savienības vienības, un veicinātu regulāru apmaiņu ar relevantu informāciju, jo īpaši par lielu incidentu ietekmi un smagumu un iespējamiem veidiem, kā mazināt to sekas; |
| r) | koordinē 9. panta 2. punktā minēto individuālo Savienības vienību kiberkrīžu pārvaldības plānu pieņemšanu; |
| s) | ņemot vērā rezultātus, ko devuši Direktīvas (ES) 2022/2555 22. pantā minētie Savienības līmeņa koordinētie kritisko piegādes ķēžu riska novērtējumi, pieņem ieteikumus par 8. panta 2. punkta pirmās daļas m) apakšpunktā minēto piegādes ķēdes drošību, lai palīdzētu Savienības vienībām pieņemt rezultatīvus un samērīgus kiberdrošības riska pārvaldības pasākumus. |
23. pants
Lielu incidentu pārvaldība
1. Lai operacionālā līmenī atbalstītu tādu lielu incidentu koordinētu pārvaldību, kas ietekmē Savienības vienības, un veicinātu regulāru relevantās informācijas apmaiņu starp Savienības vienībām un ar dalībvalstīm, IKP ciešā sadarbībā ar CERT-EU un ENISA saskaņā ar 11. panta q) punktu izstrādā kiberkrīžu pārvaldības plānu, balstoties uz 22. panta 2. punktā minētajām darbībām. Kiberkrīžu pārvaldības plānā iekļauj vismaz šādus elementus:
| a) | koordinācijas un informācijas plūsmas kārtība starp Savienības vienībām lielu incidentu pārvaldībai operacionālā līmenī; |
| b) | kopējas standarta operāciju procedūras (SOP); |
| c) | lielu incidentu smaguma un krīzes izraisītāju tipiskā taksonomija; |
| d) | regulāras mācības; |
| e) | izmantojamie drošas saziņas kanāli. |
2. Komisijas pārstāvis IKP, ievērojot kiberkrīžu pārvaldības plānu, kas izveidots saskaņā ar šā panta 1. punktu, un neskarot Direktīvas (ES) 2022/2555 16. panta 2. punkta pirmo daļu, ir kontaktpunkts relevantās informācijas kopīgošanai ar EU-CyCLONe lielu incidentu sakarā.
3. CERT-EU koordinē to, kā Savienības vienības pārvalda lielus incidentus. Tā uztur tādu pieejamās tehniskās lietpratības portfeli, kas būtu vajadzīga reaģēšanai uz incidentiem lielu incidentu gadījumā, un palīdz IKP koordinēt 9. panta 2. punktā minētos Savienības vienību kiberkrīžu pārvaldības plānus lielu incidentu gadījumiem.
4. Savienības vienības palīdz veidot tehniskās lietpratības portfeli, iesniedzot un katru gadu atjauninot to attiecīgajās organizācijās pieejamo ekspertu sarakstu, kurā norāda viņu konkrētās tehniskās prasmes.
VI NODAĻA
NOBEIGUMA NOTEIKUMI
whereas