keyboard_tab Cyber Resilience Act 2023/2841 SL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Člen 1 Predmet urejanja
- 1 Člen 2 Področje uporabe
- 1 Člen 3 Opredelitev pojmov
- 2 Člen 4 Obdelava osebnih podatkov
- 1 Člen 5 Izvajanje ukrepov
- 2 Člen 6 Okvir za obvladovanje tveganj, upravljanje in nadzor kibernetske varnosti
- 1 Člen 7 Ocene kibernetskovarnostne zrelosti
- 1 Člen 9 Načrti za kibernetsko varnost
- 1 Člen 10 Medinstitucionalni odbor za kibernetsko varnost
- 3 Člen 17 Sodelovanje CERT-EU s sorodnimi organi iz držav članic
POGLAVJE I
SPLOŠNE DOLOČBE
POGLAVJE II
UKREPI ZA VISOKO SKUPNO RAVEN KIBERNETSKE VARNOSTI
POGLAVJE III
MEDINSTITUCIONALNI ODBOR ZA KIBERNETSKO VARNOST
POGLAVJE IV
CERT-EU
POGLAVJE V
OBVEZNOSTI SODELOVANJA IN POROČANJA
POGLAVJE VI
KONČNE DOLOČBE
- unije 62
- kibernetsko 44
- varnost 44
- podlagi 41
- člena 34
- cert-eu 26
- subjekta 22
- uredbe 20
- eu / 18
- pomeni 15
- iicb 15
- kibernetske 14
- direktive 14
- lahko 13
- obvladovanje 13
- varnosti 13
- tveganj 13
- kakor 12
- subjekt 12
- v členu 11
- točka 11
- brez 11
- odbor 11
- Člen 9
- raven 9
- zrelosti 8
- iicb 8
- kibernetskovarnostne 8
- medinstitucionalni 7
- izvajanje 7
- v skladu 7
- okvir 7
- ravni 7
- izvajanja 6
- podatkov 6
- odbora 6
- nadzor 6
- informacij 6
- evropski 6
- evropske 6
- opredeljena 6
- vodenja 6
- incident 6
- ukrepov 5
- načrt 5
- vsak 5
- mreže 5
- obveznosti 5
- zadevnega 5
- imenuje 5
Člen 1
Predmet urejanja
Ta uredba določa ukrepe, katerih cilj je doseči visoko skupno raven kibernetske varnosti v subjektih Unije v zvezi z:
| (a) | notranjim okvirom za obvladovanje tveganj, upravljanje in nadzor kibernetske varnosti na podlagi člena 6, ki ga vzpostavi vsak subjekt Unije; |
| (b) | obvladovanjem tveganj za kibernetsko varnost, poročanjem in izmenjavo informacij; |
| (c) | organizacijo in delovanjem Medinstitucionalnega odbora za kibernetsko varnost, ustanovljenega na podlagi člena 10, ter organizacijo in delovanjem Službe za kibernetsko varnost za institucije, organe, urade in agencije Unije; |
| (d) | spremljanjem izvajanja te uredbe; |
Člen 2
Področje uporabe
1. Ta uredba se uporablja za subjekte Unije, Medinstitucionalni odbor za kibernetsko varnost, ustanovljen na podlagi člena 10, in CERT-EU.
2. Ta uredba se uporablja brez poseganja v institucionalno avtonomijo na podlagi Pogodb.
3. Z izjemo člena 13(8) se ta uredba ne uporablja za omrežne in informacijske sisteme, s katerimi se obravnavajo tajni podatki EU (EUCI).
Člen 3
Opredelitev pojmov
V tej uredbi se uporabljajo naslednje opredelitve pojmov:
| (1) | „subjekti Unije“ pomeni institucije, organe, urade in agencije Unije, ustanovljene s Pogodbo o Evropski uniji, Pogodbo o delovanju Evropske unije (PDEU) ali Pogodbo o ustanovitvi Evropske skupnosti za atomsko energijo ali na njihovi podlagi; |
| (2) | „omrežni in informacijski sistem“ pomeni omrežni in informacijski sistem, kakor je opredeljen v členu 6, točka 1, Direktive (EU) 2022/2555; |
| (3) | „varnost omrežnih in informacijskih sistemov“ pomeni varnost omrežnih in informacijskih sistemov, kakor je opredeljena v členu 6, točka 2, Direktive (EU) 2022/2555; |
| (4) | „kibernetska varnost“ pomeni kibernetsko varnost, kakor je opredeljena v členu 2, točka 1, Uredbe (EU) 2019/881; |
| (5) | „najvišja raven vodenja“ pomeni vodjo, vodstveni organ ali organ za usklajevanje in nadzor, pristojen za delovanje subjekta Unije, na najvišji upravni ravni, ki ima pristojnost za sprejemanje ali odobritev odločitev v skladu z ureditvijo upravljanja na visoki ravni tega subjekta Unije, brez poseganja v formalno odgovornost drugih ravni vodstva za skladnost in upravljanje kibernetskih tveganj na njihovih področjih odgovornosti; |
| (6) | „skorajšnji incident“ pomeni skorajšnji incident, kakor je opredeljen v členu 6, točka 5, Direktive (EU) 2022/2555; |
| (7) | „incident“ pomeni incident, kakor je opredeljen v členu 6, točka 6, Direktive (EU) 2022/2555; |
| (8) | „večji incident“ pomeni incident, ki povzroči stopnjo motnje, ki presega zmogljivost subjekta Unije in CERT-EU, da se nanjo odzoveta, ali ki pomembno vpliva na vsaj dva subjekta Unije; |
| (9) | „kibernetski incident velikih razsežnosti“ pomeni kibernetski incident velikih razsežnosti, kakor je opredeljen v členu 6, točka 7, Direktive (EU) 2022/2555; |
| (10) | „obvladovanje incidentov“ pomeni obvladovanje incidentov, kakor je opredeljeno v členu 6, točka 8, Direktive (EU) 2022/2555; |
| (11) | „kibernetska grožnja“ pomeni kibernetsko grožnjo, kakor je opredeljena v členu 2, točka 8, Uredbe (EU) 2019/881; |
| (12) | „pomembna kibernetska grožnja“ pomeni pomembno kibernetsko grožnjo, kakor je opredeljena v členu 6, točka 11, Uredbe (EU) 2022/2555; |
| (13) | „ranljivost“ pomeni ranljivost, kakor je opredeljena v členu 6, točka 15, Direktive (EU) 2022/2555; |
| (14) | „kibernetsko tveganje“ pomeni tveganje, kakor je opredeljeno v členu 6, točka 9, Direktive (EU) 2022/2555; |
| (15) | „storitev računalništva v oblaku“ pomeni storitev v oblaku, kakor je opredeljena v členu 6, točka 30, Direktive (EU) 2022/2555; |
Člen 4
Obdelava osebnih podatkov
1. CERT-EU, Medinstitucionalni odbor za kibernetsko varnost, ustanovljen na podlagi člena 10, in subjekti Unije osebne podatke na podlagi te uredbe obdelujejo v skladu z Uredbo (EU) 2018/1725.
2. Kadar opravljajo naloge ali izpolnjujejo obveznosti na podlagi te uredbe, CERT-EU, Medinstitucionalni odbor za kibernetsko varnost, ustanovljen na podlagi člena 10, in subjekti Unije obdelujejo in izmenjujejo osebne podatke le v obsegu, ki je potreben in izključno za namen opravljanja teh nalog ali izpolnjevanja teh obveznosti.
3. Obdelava posebnih kategorij osebnih podatkov iz člena 10(1) Uredbe (EU) 2018/1725 se šteje za potrebno iz razlogov bistvenega javnega interesa na podlagi člena 10(2), točka (g), navedene uredbe. Taki podatki se lahko obdelujejo le v obsegu, ki je potreben za izvajanje ukrepov za obvladovanje tveganj za kibernetsko varnost iz členov 6 in 8, zagotavljanje storitev CERT-EU na podlagi člena 13, izmenjavo informacij o incidentih na podlagi člena 17(3) in člena 18(3), izmenjavo informacij na podlagi člena 20, obveznosti poročanja na podlagi člena 21, usklajevanje in sodelovanje pri odzivanju na incidente na podlagi člena 22 ter obvladovanje večjih incidentov na podlagi člena 23 te uredbe. Subjekti Unije in CERT-EU, kadar delujejo kot upravljavci podatkov, uporabijo tehnične ukrepe, s katerimi preprečijo obdelavo posebnih kategorij osebnih podatkov za druge namene, ter zagotovijo ustrezne in posebne ukrepe za zaščito temeljnih pravic in interesov posameznikov, na katere se nanašajo osebni podatki.
POGLAVJE II
UKREPI ZA VISOKO SKUPNO RAVEN KIBERNETSKE VARNOSTI
Člen 5
Izvajanje ukrepov
1. Medinstitucionalni odbor za kibernetsko varnost, ustanovljen na podlagi člena 10, do 8. septembra 2024 po posvetovanju z Agencijo Evropske unije za kibernetsko varnost (ENISA) in po prejetju usmeritev s strani CERT-EU izda smernice za subjekte Unije za namene izvajanja začetnega pregleda kibernetske varnosti in vzpostavitve notranjega okvira za obvladovanje tveganj, upravljanje in nadzor kibernetske varnosti na podlagi člena 6, izvajanja ocene kibernetskovarnostne zrelosti na podlagi člena 7, uvedbe ukrepov za obvladovanje tveganj za kibernetsko varnost na podlagi člena 8 in sprejetja načrta za kibernetsko varnost na podlagi člena 9.
2. Subjekti Unije pri izvajanju členov 6 do 9 upoštevajo smernice iz odstavka 1 tega člena ter ustrezne smernice in priporočila, sprejeta na podlagi členov 11 in 14.
Člen 6
Okvir za obvladovanje tveganj, upravljanje in nadzor kibernetske varnosti
1. Vsak subjekt Unije do 8. aprila 2025 po opravljenem začetnem pregledu kibernetske varnosti, kot je revizija, vzpostavi notranji okvir za obvladovanje tveganj, upravljanje in nadzor kibernetske varnosti (v nadaljnjem besedilu: okvir). Vzpostavitev okvira nadzoruje ter je zanjo odgovorna najvišja raven vodenja subjekta Unije.
2. Okvir zajema celotno netajno okolje IKT zadevnega subjekta Unije, vključno z vsem lokalnim okoljem IKT in lokalnim operativnim tehnološkim omrežjem, sredstvi in storitvami v okoljih storitev računalništva v oblaku, ki jih upravlja zunanji izvajalec ali gostijo tretje osebe, mobilnimi napravami, korporativnimi omrežji, poslovnimi omrežji, ki niso povezana z internetom, in vsemi napravami, povezanimi s temi okolji (v nadaljnjem besedilu: okolje IKT). Okvir temelji na pristopu, ki upošteva vse nevarnosti.
3. Okvir zagotavlja visoko raven kibernetske varnosti. V okviru so določene notranje politike kibernetske varnosti skupaj s cilji in prednostnimi nalogami za varnost omrežnih in informacijskih sistemov ter vloge in odgovornosti osebja subjekta Unije, zadolženega za uspešno izvajanje te uredbe. Okvir vključuje tudi mehanizme za merjenje učinkovitosti izvajanja.
4. Okvir se pregleduje redno in vsaj vsaka štiri leta glede na spreminjajoča se tveganja za kibernetsko varnost. Po potrebi in na zaprosilo Medinstitucionalnega odbora za kibernetsko varnost, ustanovljenega na podlagi člena 10, se lahko okvir subjekta Unije posodobi na podlagi usmeritev CERT-EU o ugotovljenih incidentih ali morebitnih opaženih vrzelih pri izvajanju te uredbe.
5. Najvišja raven vodenja vsakega subjekta Unije je odgovorna za izvajanje te uredbe in nadzira skladnost svoje organizacije z obveznostmi, povezanimi z okvirom.
6. Kadar je to primerno in brez poseganja v svojo odgovornost za izvajanje te uredbe, lahko najvišja raven vodenja vsakega subjekta Unije prenese na visoke uradnike v smislu člena 29(2) kadrovskih predpisov ali druge uradnike na enakovredni ravni znotraj zadevnega subjekta Unije posebne obveznosti iz te uredbe. Ne glede na tak morebiten prenos lahko najvišja raven vodenja odgovarja za kršitve te uredbe s strani zadevnega subjekta Unije.
7. Vsak subjekt Unije ima vzpostavljene učinkovite mehanizme za zagotavljanje, da se za kibernetsko varnost nameni ustrezen delež proračuna za IKT. Pri določanju navedenega odstotka se ustrezno upošteva okvir.
8. Vsak subjekt Unije imenuje lokalnega uradnika za kibernetsko varnost ali enakovredno funkcijo, ki deluje kot njegova enotna kontaktna točka v zvezi z vsemi vidiki kibernetske varnosti. Lokalni uradnik za kibernetsko varnost olajša izvajanje te uredbe in neposredno redno poroča najvišji ravni vodenja o stanju izvajanja. Brez poseganja v to, da je lokalni uradnik za kibernetsko varnost enotna kontaktna točka v vsakem subjektu Unije, lahko subjekt Unije nekatere naloge lokalnega uradnika za kibernetsko varnost v zvezi z izvajanjem te uredbe prenese na CERT-EU na podlagi sporazuma o ravni storitve, sklenjenega med tem subjektom Unije in CERT-EU, ali se te naloge razdelijo med več subjektov Unije. Kadar se te naloge prenesejo na CERT-EU, Medinstitucionalni odbor za kibernetsko varnost, ustanovljen na podlagi člena 10, odloči, ali bo opravljanje te storitve del osnovnih storitev CERT-EU, pri čemer upošteva človeške in finančne vire zadevnega subjekta Unije. Vsak subjekt Unije brez odlašanja uradno obvesti CERT-EU o imenovanem lokalnem uradniku za kibernetsko varnost in vseh naknadnih spremembah v zvezi s tem.
CERT-EU vzpostavi in redno posodablja seznam imenovanih lokalnih uradnikov za kibernetsko varnost.
9. Višji uradniki v smislu člena 29(2) kadrovskih predpisov ali drugi uradniki na enakovredni ravni vsakega subjekta Unije ter vsi ustrezni člani osebja, ki je zadolženo za izvajanje ukrepov za obvladovanje tveganj za kibernetsko varnost in izpolnjevanje obveznosti iz te uredbe, redno opravljajo posebno usposabljanje, da pridobijo dovolj znanja in spretnosti za razumevanje in oceno tveganj za kibernetsko varnost in praks njihovega obvladovanja ter njihovega vpliva na delovanje subjekta Unije.
Člen 7
Ocene kibernetskovarnostne zrelosti
1. Vsak subjekt Unije do 8. julija 2025 in nato najmanj vsaki dve leti izvede oceno kibernetskovarnostne zrelosti, ki vključuje vse elemente njegovega okolja IKT.
2. Kadar je primerno, se ocene kibernetskovarnostne zrelosti izvedejo s pomočjo specializirane tretje strani.
3. Subjekti Unije s podobno strukturo lahko sodelujejo pri izvajanju ocen kibernetskovarnostne zrelosti za svoje ustrezne subjekte.
4. Na zaprosilo Medinstitucionalnega odbora za kibernetsko varnost, ustanovljenega na podlagi člena 10, in z izrecnim soglasjem zadevnega subjekta Unije se lahko o rezultatih ocene kibernetskovarnostne zrelosti razpravlja v okviru navedenega odbora ali neformalne skupine lokalnih uradnikov za kibernetsko varnost, da bi se učili iz izkušenj ter izmenjali dobre prakse.
Člen 9
Načrti za kibernetsko varnost
1. Najvišja raven vodenja vsakega subjekta Unije na podlagi ocene kibernetskovarnostne zrelosti, opravljene na podlagi člena 7, in ob upoštevanju sredstev in tveganj za kibernetsko varnost, opredeljenih v okviru, ter ukrepov za obvladovanje tveganj za kibernetsko varnost, sprejetih na podlagi člena 8, brez nepotrebnega odlašanja in v vsakem primeru do 8. januarja 2026 odobri načrt za kibernetsko varnost. Cilj načrta za kibernetsko varnost je izboljšati splošno kibernetsko varnost subjekta Unije, s tem pa prispevati k zvišanju visoke skupne ravni kibernetske varnosti v subjektih Unije. Načrt za kibernetsko varnost vključuje najmanj ukrepe za obvladovanje tveganj za kibernetsko varnost, sprejete na podlagi člena 8. Načrt za kibernetsko varnost se pregleda vsaki dve leti ali bolj pogosto, kadar je to potrebno, in sicer na podlagi ocen kibernetskovarnostne zrelosti, izvedenih na podlagi člena 7, ali morebitnega vsebinskega pregledu okvira.
2. Načrt za kibernetsko varnost vključuje načrt subjekta Unije za obvladovanje kibernetskih kriz za večje incidente.
3. Subjekt Unije svoj dokončan načrt za kibernetsko varnost predloži Medinstitucionalnemu odboru za kibernetsko varnost, ustanovljenemu na podlagi člena 10.
POGLAVJE III
MEDINSTITUCIONALNI ODBOR ZA KIBERNETSKO VARNOST
Člen 10
Medinstitucionalni odbor za kibernetsko varnost
1. Ustanovi se Medinstitucionalni odbor za kibernetsko varnost (IICB).
2. IICB je odgovoren za:
| (a) | spremljanje in podpiranje izvajanja te uredbe s strani subjektov Unije; |
| (b) | nadzor nad izvajanjem splošnih prednostnih nalog in ciljev CERT-EU ter zagotavljanje strateških usmeritev za CERT-EU. |
3. IICB sestavljajo:
| (a) | po en predstavnik, ki ga imenuje vsak od navedenih:
|
| (b) | trije predstavniki, ki jih imenuje mreža agencij EU (EUAN) na predlog svojega svetovalnega odbora za IKT in ki zastopajo interese organov, uradov in agencij Unije, ki upravljajo svoje lastno okolje IKT, razen tistih iz točke (a). |
Subjekti Unije, zastopani v IICB, si prizadevajo za uravnoteženo zastopanost spolov med imenovanimi predstavniki.
4. Članom IICB lahko pomaga namestnik. Predsednik lahko povabi druge predstavnike subjektov Unije iz odstavka 3 ali drugih subjektov Unije, da se udeležijo sestankov IICB brez pravice do glasovanja.
5. Vodja CERT-EU ter predsedniki skupine za sodelovanje, mreže skupin CSIRT in mreže EU-CyCLONe, ustanovljenih na podlagi členov 14, 15 in 16 Direktive (EU) 2022/2555, ali njihovi namestniki lahko sodelujejo na sestankih IICB kot opazovalci. V izjemnih primerih lahko IICB v skladu s svojim notranjim poslovnikom odloči drugače.
6. IICB sprejme svoj notranji poslovnik.
7. IICB v skladu s svojim notranjim poslovnikom med svojimi člani imenuje predsednika za obdobje treh let. Predsednikov namestnik postane polnopravni član IICB za enako obdobje.
8. IICB se vsaj trikrat na leto sestane na pobudo svojega predsednika, na zahtevo CERT-EU ali na zahtevo katerega koli svojega člana.
9. Vsak član IICB ima en glas. IICB odločitve sprejema z navadno večino, razen če je v tej uredbi določeno drugače. Predsednik IICB ne glasuje, razen v primeru neodločenega izida glasovanja, ko ima odločilni glas.
10. IICB lahko deluje po poenostavljenem pisnem postopku, ki se začne v skladu z njegovim notranjim poslovnikom. Na podlagi tega postopka se zadevna odločitev šteje za odobreno v roku, ki ga določi predsednik, razen v primeru ugovora člana.
11. Sekretariat IICB zagotavlja Komisija in je odgovoren predsedniku IICB.
12. Predstavniki, ki jih imenuje mreža agencij EU, odločitve IICB posredujejo članom te mreže. Vsak član mreže agencij EU ima pravico, da na te predstavnike ali predsednika IICB naslovi katero koli vprašanje, za katero meni, da bi ga IICB moral obravnavati.
13. IICB lahko ustanovi izvršni odbor, ki mu pomaga pri delu ter na katerega prenese nekaj svojih nalog in pooblastil. IICB določi poslovnik izvršnega odbora, vključno z njegovimi nalogami in pooblastili, ter mandati njegovih članov.
14. IICB do 8. januarja 2025 in nato vsako leto Evropskemu parlamentu in Svetu predloži poročilo, v katerem podrobno opiše napredek pri izvajanju te uredbe in navede zlasti obseg sodelovanja CERT-EU s sorodnimi organi držav članic v vsaki državi članici. Poročilo je prispevek k dvoletnemu poročilu o stanju kibernetske varnosti v Uniji, sprejetem na podlagi člena 18 Direktive (EU) 2022/2555.
Člen 17
Sodelovanje CERT-EU s sorodnimi organi iz držav članic
1. CERT-EU brez nepotrebnega odlašanja sodeluje in si izmenjuje informacije s sorodnimi organi iz držav članic, zlasti skupinami CSIRT, imenovanimi ali ustanovljenimi na podlagi člena 10 Direktive (EU) 2022/2555, ali, kadar je ustrezno, pristojnimi organi in enotnimi kontaktnimi točkami, imenovanimi ali ustanovljenimi na podlagi člena 8 navedene direktive, v zvezi z incidenti, kibernetskimi grožnjami, ranljivostmi, skorajšnjimi incidenti, možnimi protiukrepi in dobrimi praksami ter vsemi zadevami, pomembnimi za izboljšanje zaščite okolij IKT subjektov Unije, vključno prek mreže skupin CSIRT, vzpostavljene na podlagi člena 15 Direktive (EU) 2022/2555. CERT-EU podpira Komisijo v mreži EU-CyCLONe, ustanovljeni na podlagi člena 16 Direktive (EU) 2022/2555 za usklajeno obvladovanje kibernetskih incidentov velikih razsežnosti in kriz.
2. Kadar CERT-EU izve za pomembni incident na ozemlju države članice, brez odlašanja v skladu z odstavkom 1 uradno obvesti vse ustrezne sorodne organe v tej državi članici.
3. CERT-EU brez nepotrebnega odlašanja in pod pogojem, da so osebni podatki zaščiteni v skladu z veljavnim pravom Unije o varstvu podatkov, s sorodnimi organi v državah članicah izmenjuje ustrezne informacije o posameznem incidentu, da se lažje odkrivajo podobne kibernetske grožnje ali incidenti ali prispeva k analizi incidenta, brez dovoljenja prizadetega subjekta Unije. CERT-EU informacije o posameznem incidentu, ki razkrivajo identiteto tarče incidenta, izmenjuje le, če:
| (a) | prizadeti subjekt Unije da soglasje; |
| (b) | prizadeti subjekt Unije ne soglaša, kot je določeno v točki (a), vendar bi razkritje identitete prizadetega subjekta Unije povečalo verjetnost, da bi se incidentom drugje izognili ali jih ublažili; |
| (c) | je prizadeti subjekt Unije že javno objavil, da je bil prizadet. |
Odločitve o izmenjavi informacij o posameznem incidentu, ki razkrivajo identiteto tarče incidenta na podlagi prvega pododstavka, točka (b), potrdi vodja CERT-EU. CERT-EU pred izdajo take odločitve pisno stopi v stik s prizadetim subjektom Unije in jasno pojasni, kako bi razkritje njegove identitete pomagalo preprečiti ali ublažiti incidente drugje. Vodja CERT-EU zagotovi pojasnilo in od subjekta Unije izrecno zahteva, da v določenem roku navede, ali soglaša. Vodja CERT-EU subjekt Unije tudi obvesti, da si glede na predloženo pojasnilo pridržuje pravico do razkritja informacij, tudi če soglasje ni bilo predloženo. Prizadeti subjekt Unije se obvesti pred razkritjem informacij.
whereas