keyboard_tab Cyber Resilience Act 2023/2841 SK
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Článok 4 Spracúvanie osobných údajov
- 1 Článok 8 Opatrenia na riadenie kybernetickobezpečnostných rizík
- 1 Článok 16 Finančné a personálne záležitosti
KAPITOLA I
VŠEOBECNÉ USTANOVENIA
KAPITOLA II
OPATRENIA NA ZABEZPEČENIE VYSOKEJ SPOLOČNEJ ÚROVNE KYBERNETICKEJ BEZPEČNOSTI
KAPITOLA III
MEDZIINŠTITUCIONÁLNA RADA PRE KYBERNETICKÚ BEZPEČNOSŤ
KAPITOLA IV
CERT-EU
KAPITOLA V
SPOLUPRÁCA A OZNAMOVACIE POVINNOSTI
KAPITOLA VI
ZÁVEREČNÉ USTANOVENIA
- Únie 18
- cert-eu 14
- bezpečnosti 13
- podľa 13
- kybernetickej 11
- článku 10
- riadenie 9
- služieb 9
- opatrenia 9
- vrátane 8
- ods 8
- tohto 7
- kybernetickobezpečnostných 7
- rizík 7
- subjekty 7
- nariadenia 7
- bezpečnosť 6
- v oblasti 5
- komisie 5
- v článku 4
- ktoré 4
- prípadoch 4
- uvedených 4
- incidentov 4
- údajov 4
- opatrení 4
- osobných 4
- alebo 4
- subjektu 3
- vhodné 3
- zdieľanie 3
- iicb 3
- systémov 3
- rámca 3
- informácií 3
- prostredníctvom 3
- úrovne 3
- incidenty 3
- technické 3
- článku 3
- Článok 3
- týchto 3
- služby 3
- softvéru 3
- finančného 3
- účely 3
- dosiahnutie 2
- zraniteľnosti 2
- napríklad 2
- v rámci 2
Článok 4
Spracúvanie osobných údajov
1. Spracúvanie osobných údajov podľa tohto nariadenia zo strany CERT-EU, Medziinštitucionálnej rady pre kybernetickú bezpečnosť zriadenej podľa článku 10 a subjektov Únie sa vykonáva v súlade s nariadením (EÚ) 2018/1725.
2. Ak CERT-EU, Medziinštitucionálna rada pre kybernetickú bezpečnosť zriadená podľa článku 10 a subjekty Únie vykonávajú úlohy alebo plnia povinnosti podľa tohto nariadenia, spracúvajú a vymieňajú si osobné údaje len v potrebnom rozsahu a výlučne na účely výkonu týchto úloh alebo plnenia týchto povinností.
3. Spracúvanie osobitných kategórií osobných údajov uvedených v článku 10 ods. 1 nariadenia (EÚ) 2018/1725 sa považuje za potrebné z dôvodov významného verejného záujmu v súlade s článkom 10 ods. 2 písm. g) uvedeného nariadenia. Takéto údaje sa môžu spracúvať len v rozsahu potrebnom na vykonávanie opatrení na riadenie kybernetickobezpečnostných rizík uvedených v článkoch 6 a 8, na poskytovanie služieb CERT-EU podľa článku 13, na zdieľanie informácií o incidentoch podľa článku 17 ods. 3 a článku 18 ods. 3, na zdieľanie informácií podľa článku 20, na oznamovacie povinnosti podľa článku 21, na koordináciu a spoluprácu v oblasti reakcie na incidenty podľa článku 22 a na riadenie závažných incidentov podľa článku 23 tohto nariadenia. Keď subjekty Únie a CERT-EU konajú ako prevádzkovatelia, uplatňujú technické opatrenia na zabránenie spracúvaniu osobitných kategórií osobných údajov na iné účely a stanovia vhodné a konkrétne opatrenia na ochranu základných práv a záujmov dotknutých osôb.
KAPITOLA II
OPATRENIA NA ZABEZPEČENIE VYSOKEJ SPOLOČNEJ ÚROVNE KYBERNETICKEJ BEZPEČNOSTI
Článok 8
Opatrenia na riadenie kybernetickobezpečnostných rizík
1. Bez zbytočného odkladu a v každom prípade do 8. septembra 2025 prijme každý subjekt Únie pod dohľadom svojho manažmentu najvyššej úrovne vhodné a primerané technické, prevádzkové a organizačné opatrenia na riadenie kybernetickobezpečnostných rizík identifikovaných prostredníctvom rámca a na predchádzanie incidentom alebo minimalizáciu ich následkov. S ohľadom na najnovšie a v náležitých prípadoch relevantné európske a medzinárodné normy sa uvedenými opatreniami zabezpečí úroveň bezpečnosti sietí a informačných systémov v celom prostredí IKT zodpovedajúca identifikovaným kybernetickobezpečnostným rizikám. Pri posudzovaní primeranosti týchto opatrení sa náležite zohľadní stupeň vystavenia subjektu Únie kybernetickobezpečnostným rizikám, jeho veľkosť a pravdepodobnosť výskytu incidentov a ich závažnosť vrátane ich spoločenského, hospodárskeho a medziinštitucionálneho vplyvu.
2. Pri vykonávaní opatrení na riadenie kybernetickobezpečnostných rizík sa subjekty Únie zameriavajú aspoň na tieto oblasti:
a) | politiku kybernetickej bezpečnosti vrátane opatrení potrebných na dosiahnutie cieľov a priorít uvedených v článku 6 a v odseku 3 tohto článku; |
b) | zásady analýzy kybernetickobezpečnostných rizík a bezpečnosti informačných systémov; |
c) | ciele politiky týkajúce sa využívania služieb cloud computingu; |
d) | v náležitých prípadoch audit kybernetickej bezpečnosti, ktorý môže zahŕňať posúdenie kybernetickobezpečnostných rizík, zraniteľností a kybernetických hrozieb, a penetračné testovanie, ktoré pravidelne vykonáva dôveryhodný súkromný poskytovateľ; |
e) | vykonávanie odporúčaní vyplývajúcich z auditov kybernetickej bezpečnosti uvedených v písmene d) prostredníctvom aktualizácií kybernetickej bezpečnosti a politiky; |
f) | organizáciu kybernetickej bezpečnosti vrátane vymedzenia úloh a povinností; |
g) | správu aktív vrátane inventára aktív IKT a kartografie sietí IKT; |
h) | bezpečnosť ľudských zdrojov a kontrolu prístupu; |
i) | bezpečnosť operácií; |
j) | komunikačnú bezpečnosť; |
k) | nadobudnutie, vývoj a údržbu systému vrátane zásad riešenia a zverejňovania zraniteľností; |
l) | ak je to možné, zásady transparentnosti zdrojového kódu; |
m) | bezpečnosť dodávateľského reťazca vrátane bezpečnostných aspektov týkajúcich sa vzťahov medzi každým subjektom Únie a jeho priamymi dodávateľmi alebo poskytovateľmi služieb; |
n) | riešenie incidentov a spoluprácu s CERT-EU, ako je napríklad údržba monitorovania bezpečnosti a logovania; |
o) | riadenie kontinuity činností, ako je napríklad riadenie zálohovania a obnova systému po havárii, a krízové riadenie; a |
p) | propagáciu a vývoj programov, pokiaľ ide o vzdelávanie, nadobúdanie zručností, zvyšovanie informovanosti, cvičenia a odbornú prípravu v oblasti kybernetickej bezpečnosti. |
Na účely prvého pododseku písm. m) subjekty Únie zohľadňujú zraniteľnosti špecifické pre každého priameho dodávateľa a poskytovateľa služieb a celkovú kvalitu produktov a postupy ich dodávateľov a poskytovateľov služieb v oblasti kybernetickej bezpečnosti vrátane ich postupov bezpečného vývoja.
3. Subjekty Únie prijmú aspoň tieto opatrenia na riadenie kybernetickobezpečnostných rizík:
a) | technické opatrenia na umožnenie a udržanie telepráce; |
b) | konkrétne kroky na prechod k zásadám nulovej dôvery; |
c) | používanie dvojstupňovej autentifikácie ako normy v sieťach a informačných systémoch; |
d) | používanie kryptografie a šifrovania, najmä šifrovania bez medzifáz, ako aj bezpečných digitálnych podpisov; |
e) | v náležitých prípadoch zavedenie zabezpečenej hlasovej, video a textovej komunikácie a zabezpečených systémov tiesňovej komunikácie v rámci subjektu Únie; |
f) | proaktívne opatrenia na odhaľovanie a odstraňovanie malvéru a špionážneho softvéru; |
g) | zavedenie bezpečnosti dodávateľského reťazca softvéru prostredníctvom kritérií bezpečného vývoja a hodnotenia softvéru; |
h) | vypracovanie a schválenie učebných plánov odbornej prípravy v oblasti kybernetickej bezpečnosti zodpovedajúce predpísaným úlohám a očakávaným spôsobilostiam manažmentu najvyššej úrovne a zamestnancov subjektu Únie poverených zaistením účinného vykonávania tohto nariadenia; |
i) | pravidelná odborná príprava zamestnancov v oblasti kybernetickej bezpečnosti; |
j) | v relevantných prípadoch účasť na analýzach rizík prepojení medzi subjektmi Únie; |
k) | posilnenie pravidiel obstarávania s cieľom uľahčiť dosiahnutie vysokej spoločnej úrovne kybernetickej bezpečnosti prostredníctvom:
|
Článok 16
Finančné a personálne záležitosti
1. CERT-EU sa začlení do administratívnej štruktúry generálneho riaditeľstva Komisie, aby mohol využívať administratívnu podpornú štruktúru a podpornú štruktúru finančného riadenia a účtovníctva Komisie a zároveň si zachovať svoje postavenie nezávislého medziinštitucionálneho poskytovateľa služieb pre všetky subjekty Únie. Komisia informuje IICB o administratívnom umiestnení CERT-EU a o všetkých jeho následných zmenách. Komisia pravidelne a v každom prípade pred vytvorením akéhokoľvek viacročného finančného rámca podľa článku 312 ZFEÚ preskúma správne dojednania týkajúce sa CERT-EU, aby bolo možné prijať vhodné opatrenia. Preskúmanie zahŕňa možnosť zriadiť CERT-EU ako úrad Únie.
2. Pri uplatňovaní administratívnych a finančných postupov koná vedúci CERT-EU pod vedením Komisie a pod dohľadom IICB.
3. Úlohy a činnosti CERT-EU vrátane služieb, ktoré CERT-EU poskytuje podľa článku 13 ods. 3, 4, 5 a 7 a článku 14 ods. 1 subjektom Únie financovaným v rámci okruhu viacročného finančného rámca určeného pre európsku verejnú administratívu, sa financujú zo samostatného rozpočtového riadku v rozpočte Komisie. Pracovné miesta vyčlenené pre CERT-EU sa detailne uvádzajú v poznámke pod čiarou plánu pracovných miest Komisie.
4. Iné subjekty Únie než subjekty uvedené v odseku 3 tohto článku poskytujú CERT-EU ročný finančný príspevok na úhradu služieb, ktoré CERT-EU poskytuje podľa daného odseku. Príspevky vychádzajú z usmernení IICB a každý subjekt Únie si ich dohodne s CERT-EU v dohodách o úrovni poskytovaných služieb. Príspevky predstavujú spravodlivý a primeraný podiel z celkových nákladov na poskytnuté služby. Započítajú sa do samostatného rozpočtového riadka uvedeného v odseku 3 tohto článku ako vnútorné pripísané príjmy, ako sa stanovuje v článku 21 ods. 3 písm. c) nariadenia (EÚ, Euratom) 2018/1046.
5. Náklady na služby vymedzené v článku 13 ods. 6 uhrádzajú subjekty Únie, ktorým CERT-EU poskytol služby. Príjmy sa pripíšu do rozpočtových riadkov na podporu nákladov.
whereas