keyboard_tab Cyber Resilience Act 2023/2841 SK
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 7 Článok 6 Rámec riadenia, správy a kontroly kybernetickobezpečnostných rizík
- 1 Článok 7 Posúdenia vyspelosti v oblasti kybernetickej bezpečnosti
- 1 Článok 11 Úlohy IICB
- 2 Článok 15 Vedúci CERT-EU
- 3 Článok 16 Finančné a personálne záležitosti
- 1 Článok 17 Spolupráca CERT-EU s náprotivkami v členskom štáte
- 1 Článok 22 Koordinácia a spolupráca v rámci reakcie na incidenty
KAPITOLA I
VŠEOBECNÉ USTANOVENIA
KAPITOLA II
OPATRENIA NA ZABEZPEČENIE VYSOKEJ SPOLOČNEJ ÚROVNE KYBERNETICKEJ BEZPEČNOSTI
KAPITOLA III
MEDZIINŠTITUCIONÁLNA RADA PRE KYBERNETICKÚ BEZPEČNOSŤ
KAPITOLA IV
CERT-EU
KAPITOLA V
SPOLUPRÁCA A OZNAMOVACIE POVINNOSTI
KAPITOLA VI
ZÁVEREČNÉ USTANOVENIA
- cert-eu 62
- Únie 61
- alebo 21
- bezpečnosti 17
- kybernetickej 16
- služieb 16
- subjekt 15
- bezpečnosť 14
- iicb 14
- tohto 14
- nariadenia 13
- subjektu 13
- podľa 13
- kybernetickú 13
- jeho 13
- základe 12
- ods 11
- článku 11
- v oblasti 11
- subjekty 10
- vedúci 9
- subjektov 9
- správy 9
- ktoré 8
- návrhu 8
- schvaľuje 8
- prípadoch 8
- informácie 7
- smernice 7
- v súvislosti 7
- s cieľom 7
- vrátane 7
- Článok 7
- v článku 7
- riadenia 7
- a to 6
- vyspelosti 6
- eÚ / 6
- v rámci 6
- informácií 6
- vedúceho 6
- zasiahnutý 6
- poskytovaných 6
- rámec 6
- úrovne 6
- v súlade 6
- rizík 6
- kybernetickobezpečnostných 6
- o úrovni 6
- úrovni 5
Článok 6
Rámec riadenia, správy a kontroly kybernetickobezpečnostných rizík
1. Každý subjekt Únie po vykonaní počiatočného preskúmania kybernetickej bezpečnosti, ako je napríklad audit, zriadi do 8. apríla 2025 vnútorný rámec riadenia, správy a kontroly kybernetickobezpečnostných rizík (ďalej len „rámec“). Nad vytvorením rámca dohliada a zodpovedá zaň manažment najvyššej úrovne subjektu Únie.
2. Rámec sa vzťahuje na celé verejne prístupné prostredie IKT dotknutého subjektu Únie vrátane akéhokoľvek prostredia IKT v jeho priestoroch, siete prevádzkovej technológie v jeho priestoroch, externe zabezpečovaných aktív a služieb v prostrediach cloud computingu alebo služieb s hostingom tretích strán, mobilných zariadení, korporátnych sietí, podnikových sietí, ktoré nie sú pripojené k internetu, a akýchkoľvek zariadení pripojených k týmto prostrediam (ďalej len „prostredie IKT“). Rámec je založený na prístupe zohľadňujúcom všetky riziká.
3. Rámcom sa zabezpečí vysoká úroveň kybernetickej bezpečnosti. V rámci sa stanovujú vnútorné politiky kybernetickej bezpečnosti, vrátane cieľov a priorít, pre bezpečnosť sietí a informačných systémov, ako aj úlohy a povinnosti zamestnancov subjektu Únie poverených zabezpečením účinného vykonávania tohto nariadenia. Rámec zahŕňa aj mechanizmy na meranie účinnosti vykonávania.
4. Rámec sa vzhľadom na meniace sa kybernetickobezpečnostné riziká pravidelne preskúma, a to aspoň každé štyri roky. V náležitých prípadoch a po podaní žiadosti Medziinštitucionálnej rady pre kybernetickú bezpečnosť zriadenej podľa článku 10 možno rámec subjektu Únie aktualizovať na základe usmernení CERT-EU vychádzajúcich zo zistených incidentov alebo možných nedostatkov vo vykonávaní tohto nariadenia.
5. Manažment najvyššej úrovne každého subjektu Únie zodpovedá za vykonávanie tohto nariadenia a dohliada na dodržiavanie povinností súvisiacich s rámcom zo strany jeho organizácie.
6. V náležitých prípadoch a bez toho, aby bola dotknutá jeho zodpovednosť za vykonávanie tohto nariadenia, môže manažment najvyššej úrovne každého subjektu Únie delegovať osobitné povinnosti podľa tohto nariadenia na riadiacich pracovníkov v zmysle článku 29 ods. 2 služobného poriadku alebo iných úradníkov na rovnocennej úrovni v rámci dotknutého subjektu Únie. Bez ohľadu na takéto delegovanie môže byť manažment najvyššej úrovne braný na zodpovednosť za porušenie tohto nariadenia dotknutým subjektom Únie.
7. Každý subjekt Únie má zavedené účinné mechanizmy s cieľom zabezpečiť, aby sa na kybernetickú bezpečnosť vynakladal primeraný percentuálny podiel z rozpočtu na IKT. Pri stanovení tohto percentuálneho podielu sa náležite zohľadní rámec.
8. Každý subjekt Únie menuje miestneho úradníka pre kybernetickú bezpečnosť alebo osobu v rovnocennej funkcii, ktorá koná ako jeho jednotné kontaktné miesto v súvislosti so všetkými aspektmi kybernetickej bezpečnosti. miestny úradník pre kybernetickú bezpečnosť pomáha s vykonávaním tohto nariadenia a pravidelne podáva správy o stave vykonávania priamo manažmentu najvyššej úrovne. Bez toho, aby bola dotknutá skutočnosť, že miestny úradník pre kybernetickú bezpečnosť je jednotným kontaktným miestom v každom subjekte Únie, subjekt Únie môže delegovať určité úlohy miestneho pracovníka pre kybernetickú bezpečnosť v súvislosti s vykonávaním tohto nariadenia na CERT-EU na základe dohody o úrovni poskytovaných služieb uzavretej medzi daným subjektom Únie a CERT-EU, alebo tieto úlohy môžu spoločne vykonávať viaceré subjekty Únie. Ak sú tieto úlohy delegované na CERT-EU, Medziinštitucionálna rada pre kybernetickú bezpečnosť zriadená podľa článku 10 rozhodne, či poskytovanie takejto služby bude súčasťou základných služieb CERT-EU, pričom zohľadní ľudské a finančné zdroje dotknutého subjektu Únie. Každý subjekt Únie bez zbytočného odkladu oznámi CERT-EU vymenovaných miestnych úradníkov pre kybernetickú bezpečnosť a všetky následné vykonané zmeny.
CERT-EU zostaví a pravidelne aktualizuje zoznam vymenovaných miestnych úradníkov pre kybernetickú bezpečnosť.
9. Riadiaci pracovníci v zmysle článku 29 ods. 2 služobného poriadku alebo iní úradníci na rovnocennej úrovni každého subjektu Únie, ako aj všetci príslušní zamestnanci poverení výkonom opatrení a plnením povinností v oblasti riadenia kybernetickobezpečnostných rizík stanovených v tomto nariadení sa pravidelne zúčastňujú osobitnej odbornej prípravy s cieľom získať dostatočné vedomosti a zručnosti na pochopenie a posúdenie kybernetickobezpečnostných rizík a postupov ich riadenia, ako aj ich vplyvu na prevádzku subjektu Únie.
Článok 7
Posúdenia vyspelosti v oblasti kybernetickej bezpečnosti
1. Každý subjekt Únie vykoná do 8. júla 2025 a potom aspoň každé dva roky posúdenie vyspelosti v oblasti kybernetickej bezpečnosti zahŕňajúce všetky prvky jeho prostredia IKT.
2. Posúdenia vyspelosti v oblasti kybernetickej bezpečnosti sa v náležitých prípadoch vykonávajú s pomocou špecializovanej tretej strany.
3. Subjekty Únie s podobnými štruktúrami môžu spolupracovať pri vykonávaní posúdení vyspelosti v oblasti kybernetickej bezpečnosti pre svoje príslušné subjekty.
4. Na základe žiadosti Medziinštitucionálnej rady pre kybernetickú bezpečnosť zriadenej podľa článku 10 a s výslovným súhlasom dotknutého subjektu Únie môže výsledky posúdenia vyspelosti v oblasti kybernetickej bezpečnosti prerokovať táto rada alebo neformálna skupina miestnych úradníkov pre kybernetickú bezpečnosť s cieľom poučiť sa zo skúseností a zdieľať najlepšie postupy.
Článok 11
Úlohy IICB
IICB pri plnení svojich úloh predovšetkým:
| a) | poskytuje usmernenia vedúcemu CERT-EU; |
| b) | účinne monitoruje vykonávanie tohto nariadenia, dohliada nad jeho vykonávaním a podporuje subjekty Únie pri posilňovaní ich kybernetickej bezpečnosti, a to v náležitých prípadoch aj vyžiadaním ad hoc správ od subjektov Únie a CERT-EU; |
| c) | v nadväznosti na strategickú diskusiu prijíma viacročnú stratégiu na zvýšenie úrovne kybernetickej bezpečnosti v subjektoch Únie, pravidelne ju posudzuje, a to aspoň každých päť rokov, a v prípade potreby ju mení; |
| d) | stanovuje metodiku a organizačné aspekty vykonávania dobrovoľných partnerských preskúmaní subjektmi Únie s cieľom čerpať sa zo spoločných skúseností, posilniť vzájomnú dôveru, dosiahnuť vysokú spoločnú úroveň kybernetickej bezpečnosti, ako aj posilniť spôsobilosti subjektov Únie v oblasti kybernetickej bezpečnosti, pričom sa zabezpečí, aby takéto partnerské preskúmania vykonávali odborníci na kybernetickú bezpečnosť určení iným subjektom Únie, než je subjekt Únie podstupujúci preskúmanie, a aby metodika vychádzala z článku 19 smernice (EÚ) 2022/2555 a v náležitých prípadoch bola prispôsobená subjektom Únie; |
| e) | na základe návrhu vedúceho CERT-EU schvaľuje ročný pracovný program CERT-EU a monitoruje jeho vykonávanie; |
| f) | na základe návrhu vedúceho CERT-EU schvaľuje katalóg služieb CERT-EU a všetky jeho aktualizácie; |
| g) | na základe návrhu vedúceho CERT-EU schvaľuje ročný finančný plán príjmov a výdavkov súvisiacich s činnosťami CERT-EU, ktorý zahŕňa aj plán počtu zamestnancov; |
| h) | na základe návrhu vedúceho CERT-EU schvaľuje postupy pre dohody o úrovni poskytovaných služieb; |
| i) | preskúmava a schvaľuje výročnú správu o činnostiach CERT-EU a správe jeho finančných prostriedkov, ktorú vypracoval vedúci CERT-EU; |
| j) | schvaľuje a monitoruje kľúčové ukazovatele výkonnosti (KPI) CERT-EU stanovené na základe návrhu vedúceho CERT-EU; |
| k) | schvaľuje dohody o spolupráci, dohody o úrovni poskytovaných služieb alebo zmluvy medzi CERT-EU a inými subjektmi podľa článku 18; |
| l) | prijíma usmernenia a odporúčania na základe návrhu CERT-EU v súlade s článkom 14 a dáva CERT-EU pokyn na vydanie, zrušenie alebo zmenu návrhu usmernení alebo odporúčaní, alebo výzvy na činnosť; |
| m) | zriaďuje technické poradné skupiny poverené konkrétnymi úlohami na pomoc pri práci IICB, schvaľuje ich mandát a menuje ich predsedov; |
| n) | prijíma a posudzuje dokumenty a správy predložené subjektmi Únie podľa tohto nariadenia, ako sú napríklad posúdenia vyspelosti v oblasti kybernetickej bezpečnosti; |
| o) | umožní zriadenie neformálnej skupiny miestnych úradníkov pre kybernetickú bezpečnosť subjektov Únie, podporovanej agentúrou ENISA, s cieľom vymieňať si najlepšie postupy a informácie v súvislosti s vykonávaním tohto nariadenia; |
| p) | s prihliadnutím na informácie o identifikovaných kybernetickobezpečnostných rizikách a získané poznatky, ktoré poskytuje CERT-EU, monitoruje primeranosť dohôd o prepojení medzi prostrediami IKT subjektov Únie a poskytuje poradenstvo o možných zlepšeniach; |
| q) | vypracuje plán riadenia kybernetických kríz s cieľom podporiť koordinované riadenie závažných incidentov, ktoré majú vplyv na subjekty Únie, na operačnej úrovni a prispieť k pravidelnej výmene relevantných informácií, najmä pokiaľ ide o dosah a závažnosť závažných incidentov a možné spôsoby zmiernenia ich vplyvov; |
| r) | koordinuje prijímanie plánov riadenia kybernetických kríz jednotlivých subjektov Únie uvedených v článku 9 ods. 2; |
| s) | prijíma odporúčania týkajúce sa bezpečnosti dodávateľského reťazca uvedenej v článku 8 ods. 2 prvom pododseku písm. m), pričom prihliada na výsledky koordinovaných posúdení bezpečnostných rizík kritických dodávateľských reťazcov na úrovni Únie uvedených v článku 22 smernice (EÚ) 2022/2555, aby podporila subjekty Únie pri prijímaní účinných a primeraných opatrení na riadenie kybernetickobezpečnostných rizík. |
Článok 15
Vedúci CERT-EU
1. Vedúceho CERT-EU vymenuje Komisia po jeho schválení dvojtretinovou väčšinou členov IICB. Vo všetkých fázach postupu vymenovania, najmä pri vypracúvaní oznámení o voľnom pracovnom mieste, posudzovaní prihlášok a vymenovaní výberových komisií v súvislosti s uvedeným miestom, sa uskutočňujú konzultácie s IICB. Vo výberovom konaní vrátane konečného užšieho zoznamu kandidátov, z ktorých sa vedúci CERT-EU má vymenovať, sa zabezpečí spravodlivé rodové zastúpenie, pričom sa zohľadnia predložené prihlášky.
2. Vedúci CERT-EU zodpovedá za riadne fungovanie CERT-EU a koná v rámci právomocí jeho funkcie a pod vedením IICB. Vedúci CERT-EU predkladá pravidelné správy predsedovi IICB a na požiadanie podáva IICB ad hoc správy.
3. Vedúci CERT-EU pomáha zodpovednému povoľujúcemu úradníkovi vymenovanému delegovaním pri vypracúvaní výročnej správy o činnosti, ktorá obsahuje finančné informácie a informácie o riadení vrátane výsledkov kontrol a ktorá sa vypracúva v súlade s článkom 74 ods. 9 nariadenia Európskeho parlamentu a Rady (EÚ, Euratom) 2018/1046 (9), a pravidelne povoľujúcemu úradníkovi vymenovanému delegovaním podáva správy o vykonávaní opatrení, v súvislosti s ktorými sa na vedúceho CERT-EU subdelegovali právomoci.
4. Vedúci CERT-EU každoročne vypracuje finančné plánovanie administratívnych príjmov a výdavkov na jeho činnosti, návrh ročného pracovného programu, návrh katalógu služieb CERT-EU, návrh revízií katalógu služieb, návrh dohôd o úrovni poskytovaných služieb a návrh kľúčových ukazovateľov výkonnosti (KPI) pre CERT-EU, ktoré má schváliť IICB v súlade s článkom 11. Pri revízii zoznamu služieb v katalógu služieb CERT-EU vedúci CERT-EU zohľadní zdroje pridelené CERT-EU.
5. Vedúci CERT-EU aspoň raz ročne predkladá IICB a predsedovi IICB správy o činnostiach a výkonnosti CERT-EU počas referenčného obdobia, a to aj o plnení rozpočtu, dohodách o úrovni poskytovaných služieb a uzatvorených písomných dohodách, spolupráci s náprotivkami a partnermi, ako aj o služobných cestách zamestnancov, vrátane správ uvedených v článku 11. Uvedené správy zahŕňajú pracovný program na nasledujúce obdobie, finančný plán príjmov a výdavkov vrátane plánu počtu zamestnancov, plánované aktualizácie katalógu služieb CERT-EU a posúdenie očakávaného vplyvu, ktorý takéto aktualizácie môžu mať na finančné a ľudské zdroje.
Článok 16
Finančné a personálne záležitosti
1. CERT-EU sa začlení do administratívnej štruktúry generálneho riaditeľstva Komisie, aby mohol využívať administratívnu podpornú štruktúru a podpornú štruktúru finančného riadenia a účtovníctva Komisie a zároveň si zachovať svoje postavenie nezávislého medziinštitucionálneho poskytovateľa služieb pre všetky subjekty Únie. Komisia informuje IICB o administratívnom umiestnení CERT-EU a o všetkých jeho následných zmenách. Komisia pravidelne a v každom prípade pred vytvorením akéhokoľvek viacročného finančného rámca podľa článku 312 ZFEÚ preskúma správne dojednania týkajúce sa CERT-EU, aby bolo možné prijať vhodné opatrenia. Preskúmanie zahŕňa možnosť zriadiť CERT-EU ako úrad Únie.
2. Pri uplatňovaní administratívnych a finančných postupov koná vedúci CERT-EU pod vedením Komisie a pod dohľadom IICB.
3. Úlohy a činnosti CERT-EU vrátane služieb, ktoré CERT-EU poskytuje podľa článku 13 ods. 3, 4, 5 a 7 a článku 14 ods. 1 subjektom Únie financovaným v rámci okruhu viacročného finančného rámca určeného pre európsku verejnú administratívu, sa financujú zo samostatného rozpočtového riadku v rozpočte Komisie. Pracovné miesta vyčlenené pre CERT-EU sa detailne uvádzajú v poznámke pod čiarou plánu pracovných miest Komisie.
4. Iné subjekty Únie než subjekty uvedené v odseku 3 tohto článku poskytujú CERT-EU ročný finančný príspevok na úhradu služieb, ktoré CERT-EU poskytuje podľa daného odseku. Príspevky vychádzajú z usmernení IICB a každý subjekt Únie si ich dohodne s CERT-EU v dohodách o úrovni poskytovaných služieb. Príspevky predstavujú spravodlivý a primeraný podiel z celkových nákladov na poskytnuté služby. Započítajú sa do samostatného rozpočtového riadka uvedeného v odseku 3 tohto článku ako vnútorné pripísané príjmy, ako sa stanovuje v článku 21 ods. 3 písm. c) nariadenia (EÚ, Euratom) 2018/1046.
5. Náklady na služby vymedzené v článku 13 ods. 6 uhrádzajú subjekty Únie, ktorým CERT-EU poskytol služby. Príjmy sa pripíšu do rozpočtových riadkov na podporu nákladov.
Článok 17
Spolupráca CERT-EU s náprotivkami v členskom štáte
1. CERT-EU bezodkladne spolupracuje a vymieňa si informácie s náprotivkami v členskom štáte, najmä s jednotkami CSIRT určenými alebo zriadenými podľa článku 10 smernice (EÚ) 2022/2555 alebo v náležitých prípadoch s príslušnými orgánmi a jednotnými kontaktnými miestami určenými alebo zriadenými podľa článku 8 danej smernice, v súvislosti s incidentmi, kybernetickými hrozbami, zraniteľnosťami, udalosťami odvrátenými v poslednej chvíli, možnými protiopatreniami, ako aj v súvislosti s najlepšími postupmi a o všetkých otázkach relevantných pre zlepšenie ochrany prostredí IKT subjektov Únie, a to aj prostredníctvom siete jednotiek CSIRT zriadenej podľa článku 15 smernice (EÚ) 2022/2555. CERT-EU podporuje Komisiu v sieti EU-CyCLONe zriadenej podľa článku 16 smernice (EÚ) 2022/2555 o koordinovanom riadení rozsiahlych kybernetických incidentov a kríz.
2. Ak sa CERT-EU dozvie o významnom incidente, ku ktorému došlo na území členského štátu, bezodkladne informuje všetkých relevantných náprotivkov v tomto členskom štáte, v súlade s odsekom 1.
3. Za predpokladu, že osobné údaje sú chránené v súlade s príslušným právom Únie v oblasti ochrany údajov, si CERT-EU bez zbytočného odkladu vymieňa relevantné informácie o konkrétnom incidente s náprotivkami v členskom štáte s cieľom pomôcť odhaliť podobné kybernetické hrozby alebo incidenty alebo prispieť k analýze incidentu, a to bez povolenia zasiahnutého subjektu Únie. CERT-EU si vymieňa informácie o konkrétnom incidente, ktoré odhaľujú identitu cieľa incidentu len v prípade jednej z týchto možností:
| a) | zasiahnutý subjekt Únie súhlasí; |
| b) | zasiahnutý subjekt Únie nesúhlasí, ako sa stanovuje v písmene a), ale zverejnením identity zasiahnutého subjektu Únie by sa zvýšila pravdepodobnosť, že sa zamedzí ďalším incidentom alebo sa zmiernia ich následky; |
| c) | zasiahnutý subjekt Únie už zverejnil, že bol incidentom zasiahnutý. |
Rozhodnutia o výmene informácií o konkrétnom incidente, ktoré odhaľujú totožnosť cieľa incidentu podľa prvého pododseku písm. b), schvaľuje vedúci CERT-EU. Pred vydaním takéhoto rozhodnutia sa CERT-EU písomne obráti na zasiahnutý subjekt Únie, pričom mu jasne vysvetlí, ako by zverejnenie jeho totožnosti pomohlo zamedziť ďalším incidentom alebo zmierniť ich následky. Vedúci CERT-EU poskytne vysvetlenie a výslovne požiada subjekt Únie, aby v stanovenej lehote uviedol, či súhlasí. Vedúci CERT-EU takisto informuje subjekt Únie o tom, že na základe poskytnutého vysvetlenia si vyhradzuje právo zverejniť dané informácie aj bez udelenia súhlasu. Zasiahnutý subjekt Únie musí byť informovaný pred tým, než sú informácie zverejnené.
Článok 22
Koordinácia a spolupráca v rámci reakcie na incidenty
1. CERT-EU ako centrum na výmenu informácií a koordináciu reakcie na incidenty v oblasti kybernetickej bezpečnosti uľahčuje výmenu informácií o incidentoch, kybernetických hrozbách, zraniteľnostiach a udalostiach odvrátených v poslednej chvíli medzi:
| a) | subjektmi Únie; |
| b) | náprotivkami uvedenými v článkoch 17 a 18. |
2. CERT-EU, v relevantných prípadoch v úzkej spolupráci s agentúrou ENISA, uľahčuje koordináciu reakcií subjektov Únie na incidenty vrátane:
| a) | prispievania k sústavnej komunikácii navonok; |
| b) | vzájomnej podpory, ako je napríklad zdieľanie relevantných informácií so subjektmi Únie, alebo v relevantných prípadoch poskytovania pomoci priamo na mieste; |
| c) | optimálneho využívania operačných zdrojov; |
| d) | koordinácie s inými mechanizmami reakcie na krízu na úrovni Únie. |
3. CERT-EU v úzkej spolupráci s agentúrou ENISA podporuje subjekty Únie, pokiaľ ide o situačnú informovanosť o incidentoch, kybernetických hrozbách, zraniteľnostiach a udalostiach odvrátených v poslednej chvíli, ako aj zdieľanie informácií o relevantnom vývoji v oblasti kybernetickej bezpečnosti.
4. IICB do 8. januára 2025 na základe návrhu CERT-EU vydá usmernenia alebo odporúčania týkajúce sa koordinácie a spolupráce v rámci reakcie na incidenty v prípade významných incidentov. V prípade podozrenia na trestnoprávnu povahu incidentu, CERT-EU bez zbytočného odkladu poskytne rady o spôsoboch oznamovania incidentu orgánom presadzovania práva.
5. Na základe osobitnej žiadosti členského štátu a so súhlasom dotknutých subjektov Únie môže CERT-EU vyzvať odborníkov zo zoznamu uvedeného v článku 23 ods. 4, aby prispeli k reakcii na závažný incident, ktorý má dosah v danom členskom štáte, alebo na rozsiahly kybernetický incident v súlade s článkom 15 ods. 3 písm. g) smernice (EÚ) 2022/2555. IICB schváli na návrh CERT-EU osobitné pravidlá týkajúce sa prístupu k technickým odborníkom zo subjektov Únie a ich využívania.
whereas