keyboard_tab Cyber Resilience Act 2023/2841 SK
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Článok 4 Spracúvanie osobných údajov
- 1 Článok 8 Opatrenia na riadenie kybernetickobezpečnostných rizík
KAPITOLA I
VŠEOBECNÉ USTANOVENIA
KAPITOLA II
OPATRENIA NA ZABEZPEČENIE VYSOKEJ SPOLOČNEJ ÚROVNE KYBERNETICKEJ BEZPEČNOSTI
KAPITOLA III
MEDZIINŠTITUCIONÁLNA RADA PRE KYBERNETICKÚ BEZPEČNOSŤ
KAPITOLA IV
CERT-EU
KAPITOLA V
SPOLUPRÁCA A OZNAMOVACIE POVINNOSTI
KAPITOLA VI
ZÁVEREČNÉ USTANOVENIA
- bezpečnosti 13
- Únie 12
- kybernetickej 11
- podľa 10
- riadenie 9
- článku 8
- opatrenia 8
- kybernetickobezpečnostných 7
- rizík 7
- vrátane 7
- nariadenia 6
- bezpečnosť 6
- služieb 6
- tohto 5
- v oblasti 5
- ods 4
- incidentov 4
- alebo 4
- uvedených 4
- cert-eu 4
- prípadoch 4
- opatrení 4
- údajov 4
- osobných 4
- účely 3
- technické 3
- subjekty 3
- softvéru 3
- incidenty 3
- zdieľanie 3
- úrovne 3
- subjektu 3
- informácií 3
- prostredníctvom 3
- systémov 3
- týchto 3
- a spoluprácu 2
- reakcie 2
- zásady 2
- o incidentoch 2
- bezpečného 2
- a na 2
- vysokej 2
- dosiahnutie 2
- najvyššej 2
- vývoja 2
- sietí 2
- a informačných 2
- kybernetickobezpečnostným 2
- rizikám 2
Článok 4
Spracúvanie osobných údajov
1. Spracúvanie osobných údajov podľa tohto nariadenia zo strany CERT-EU, Medziinštitucionálnej rady pre kybernetickú bezpečnosť zriadenej podľa článku 10 a subjektov Únie sa vykonáva v súlade s nariadením (EÚ) 2018/1725.
2. Ak CERT-EU, Medziinštitucionálna rada pre kybernetickú bezpečnosť zriadená podľa článku 10 a subjekty Únie vykonávajú úlohy alebo plnia povinnosti podľa tohto nariadenia, spracúvajú a vymieňajú si osobné údaje len v potrebnom rozsahu a výlučne na účely výkonu týchto úloh alebo plnenia týchto povinností.
3. Spracúvanie osobitných kategórií osobných údajov uvedených v článku 10 ods. 1 nariadenia (EÚ) 2018/1725 sa považuje za potrebné z dôvodov významného verejného záujmu v súlade s článkom 10 ods. 2 písm. g) uvedeného nariadenia. Takéto údaje sa môžu spracúvať len v rozsahu potrebnom na vykonávanie opatrení na riadenie kybernetickobezpečnostných rizík uvedených v článkoch 6 a 8, na poskytovanie služieb CERT-EU podľa článku 13, na zdieľanie informácií o incidentoch podľa článku 17 ods. 3 a článku 18 ods. 3, na zdieľanie informácií podľa článku 20, na oznamovacie povinnosti podľa článku 21, na koordináciu a spoluprácu v oblasti reakcie na incidenty podľa článku 22 a na riadenie závažných incidentov podľa článku 23 tohto nariadenia. Keď subjekty Únie a CERT-EU konajú ako prevádzkovatelia, uplatňujú technické opatrenia na zabránenie spracúvaniu osobitných kategórií osobných údajov na iné účely a stanovia vhodné a konkrétne opatrenia na ochranu základných práv a záujmov dotknutých osôb.
KAPITOLA II
OPATRENIA NA ZABEZPEČENIE VYSOKEJ SPOLOČNEJ ÚROVNE KYBERNETICKEJ BEZPEČNOSTI
Článok 8
Opatrenia na riadenie kybernetickobezpečnostných rizík
1. Bez zbytočného odkladu a v každom prípade do 8. septembra 2025 prijme každý subjekt Únie pod dohľadom svojho manažmentu najvyššej úrovne vhodné a primerané technické, prevádzkové a organizačné opatrenia na riadenie kybernetickobezpečnostných rizík identifikovaných prostredníctvom rámca a na predchádzanie incidentom alebo minimalizáciu ich následkov. S ohľadom na najnovšie a v náležitých prípadoch relevantné európske a medzinárodné normy sa uvedenými opatreniami zabezpečí úroveň bezpečnosti sietí a informačných systémov v celom prostredí IKT zodpovedajúca identifikovaným kybernetickobezpečnostným rizikám. Pri posudzovaní primeranosti týchto opatrení sa náležite zohľadní stupeň vystavenia subjektu Únie kybernetickobezpečnostným rizikám, jeho veľkosť a pravdepodobnosť výskytu incidentov a ich závažnosť vrátane ich spoločenského, hospodárskeho a medziinštitucionálneho vplyvu.
2. Pri vykonávaní opatrení na riadenie kybernetickobezpečnostných rizík sa subjekty Únie zameriavajú aspoň na tieto oblasti:
a) | politiku kybernetickej bezpečnosti vrátane opatrení potrebných na dosiahnutie cieľov a priorít uvedených v článku 6 a v odseku 3 tohto článku; |
b) | zásady analýzy kybernetickobezpečnostných rizík a bezpečnosti informačných systémov; |
c) | ciele politiky týkajúce sa využívania služieb cloud computingu; |
d) | v náležitých prípadoch audit kybernetickej bezpečnosti, ktorý môže zahŕňať posúdenie kybernetickobezpečnostných rizík, zraniteľností a kybernetických hrozieb, a penetračné testovanie, ktoré pravidelne vykonáva dôveryhodný súkromný poskytovateľ; |
e) | vykonávanie odporúčaní vyplývajúcich z auditov kybernetickej bezpečnosti uvedených v písmene d) prostredníctvom aktualizácií kybernetickej bezpečnosti a politiky; |
f) | organizáciu kybernetickej bezpečnosti vrátane vymedzenia úloh a povinností; |
g) | správu aktív vrátane inventára aktív IKT a kartografie sietí IKT; |
h) | bezpečnosť ľudských zdrojov a kontrolu prístupu; |
i) | bezpečnosť operácií; |
j) | komunikačnú bezpečnosť; |
k) | nadobudnutie, vývoj a údržbu systému vrátane zásad riešenia a zverejňovania zraniteľností; |
l) | ak je to možné, zásady transparentnosti zdrojového kódu; |
m) | bezpečnosť dodávateľského reťazca vrátane bezpečnostných aspektov týkajúcich sa vzťahov medzi každým subjektom Únie a jeho priamymi dodávateľmi alebo poskytovateľmi služieb; |
n) | riešenie incidentov a spoluprácu s CERT-EU, ako je napríklad údržba monitorovania bezpečnosti a logovania; |
o) | riadenie kontinuity činností, ako je napríklad riadenie zálohovania a obnova systému po havárii, a krízové riadenie; a |
p) | propagáciu a vývoj programov, pokiaľ ide o vzdelávanie, nadobúdanie zručností, zvyšovanie informovanosti, cvičenia a odbornú prípravu v oblasti kybernetickej bezpečnosti. |
Na účely prvého pododseku písm. m) subjekty Únie zohľadňujú zraniteľnosti špecifické pre každého priameho dodávateľa a poskytovateľa služieb a celkovú kvalitu produktov a postupy ich dodávateľov a poskytovateľov služieb v oblasti kybernetickej bezpečnosti vrátane ich postupov bezpečného vývoja.
3. Subjekty Únie prijmú aspoň tieto opatrenia na riadenie kybernetickobezpečnostných rizík:
a) | technické opatrenia na umožnenie a udržanie telepráce; |
b) | konkrétne kroky na prechod k zásadám nulovej dôvery; |
c) | používanie dvojstupňovej autentifikácie ako normy v sieťach a informačných systémoch; |
d) | používanie kryptografie a šifrovania, najmä šifrovania bez medzifáz, ako aj bezpečných digitálnych podpisov; |
e) | v náležitých prípadoch zavedenie zabezpečenej hlasovej, video a textovej komunikácie a zabezpečených systémov tiesňovej komunikácie v rámci subjektu Únie; |
f) | proaktívne opatrenia na odhaľovanie a odstraňovanie malvéru a špionážneho softvéru; |
g) | zavedenie bezpečnosti dodávateľského reťazca softvéru prostredníctvom kritérií bezpečného vývoja a hodnotenia softvéru; |
h) | vypracovanie a schválenie učebných plánov odbornej prípravy v oblasti kybernetickej bezpečnosti zodpovedajúce predpísaným úlohám a očakávaným spôsobilostiam manažmentu najvyššej úrovne a zamestnancov subjektu Únie poverených zaistením účinného vykonávania tohto nariadenia; |
i) | pravidelná odborná príprava zamestnancov v oblasti kybernetickej bezpečnosti; |
j) | v relevantných prípadoch účasť na analýzach rizík prepojení medzi subjektmi Únie; |
k) | posilnenie pravidiel obstarávania s cieľom uľahčiť dosiahnutie vysokej spoločnej úrovne kybernetickej bezpečnosti prostredníctvom:
|
whereas