keyboard_tab Cyber Resilience Act 2023/2841 CS
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Článek 11 Úkoly výboru IICB
- 3 Článek 13 Poslání a úkoly CERT-EU
- 1 Článek 22 Koordinace a spolupráce v rámci reakce na incidenty
- 1 Článek 25 Přezkum
- Článek 26 Vstup v platnost
KAPITOLA I
OBECNÁ USTANOVENÍ
KAPITOLA II
OPATŘENÍ K ZAJIŠTĚNÍ VYSOKÉ SPOLEČNÉ ÚROVNĚ KYBERNETICKÉ BEZPEČNOSTI
KAPITOLA III
INTERINSTITUCIONÁLNÍ VÝBOR PRO KYBERNETICKOU BEZPEČNOST
KAPITOLA IV
CERT-EU
KAPITOLA V
POVINNOSTI V OBLASTI SPOLUPRÁCE A OZNAMOVACÍ POVINNOSTI
KAPITOLA VI
ZÁVĚREČNÁ USTANOVENÍ
- unie 63
- cert-eu 44
- subjektů 23
- subjekty 22
- bezpečnosti 22
- kybernetické 21
- základě 19
- tohoto 17
- nebo 17
- iicb 16
- nařízení 16
- v oblasti 15
- schvaluje 15
- cert-eu 14
- návrhu 14
- služeb 12
- podle 11
- informací 11
- úrovni 11
- vedoucího 10
- incidenty 10
- provádění 10
- kybernetických 10
- odst 10
- informace 10
- jejich 9
- při 9
- eu / 8
- přijímá 8
- incidentů 8
- může 8
- opatření 8
- řešení 7
- které 7
- služby 7
- technické 7
- jako 7
- směrnice 6
- roční 6
- spolupráci 6
- o poskytování 6
- hodnocení 6
- strategii 6
- než 6
- uvedených 6
- v souladu 6
- a to 6
- doporučení 6
- výboru 6
- bezpečnost 6
Článek 11
Úkoly výboru IICB
Při výkonu svých povinností výbor IICB zejména:
a) | poskytuje strategické pokyny vedoucímu CERT-EU; |
b) | účinně sleduje a dohlíží na provádění tohoto nařízení a podporuje subjekty Unie při posilování jejich kybernetické bezpečnosti, a případně v této souvislosti také požaduje od subjektů Unie a CERT-EU zprávy ad hoc; |
c) | v návaznosti na strategickou diskusi přijímá víceletou strategii pro zvýšení úrovně kybernetické bezpečnosti v subjektech Unie, pravidelně, v každém případě však jednou za pět let, tuto strategii posuzuje a v případě potřeby tuto strategii upravuje; |
d) | stanovuje metodiku a organizační aspekty pro provádění dobrovolných vzájemných hodnocení subjekty Unie s cílem čerpat ze sdílených zkušeností, posílit vzájemnou důvěru, dosáhnout vysoké společné úrovně kybernetické bezpečnosti a posílit schopnosti subjektů Unie v oblasti kybernetické bezpečnosti, přičemž zajistí, aby tato vzájemná hodnocení prováděli odborníci na kybernetickou bezpečnost jmenovaní jiným subjektem Unie, než je subjekt Unie, který je předmětem přezkumu, a aby tato metodika vycházela z článku 19 směrnice (EU) 2022/2555 a byla případně subjektům Unie přizpůsobena; |
e) | na základě návrhu vedoucího CERT-EU schvaluje roční pracovní program CERT-EU a sleduje jeho provádění; |
f) | na základě návrhu vedoucího CERT-EU schvaluje katalog služeb CERT-EU a všechny jeho aktualizace; |
g) | na základě návrhu vedoucího CERT-EU schvaluje roční finanční plán příjmů a výdajů, včetně personálního obsazení, pro činnosti CERT-EU; |
h) | na základě návrhu vedoucího CERT-EU schvaluje postupy pro uzavírání smluv o poskytování služeb; |
i) | přezkoumává a schvaluje roční zprávu vypracovanou vedoucím CERT-EU, jež se zabývá činností CERT-EU a řízením jejích finančních prostředků; |
j) | schvaluje a sleduje klíčové ukazatele výkonnosti pro CERT-EU stanovené na základě návrhu vedoucího CERT-EU; |
k) | schvaluje ujednání o spolupráci, smlouvy o poskytování služeb nebo smlouvy mezi CERT-EU a dalšími subjekty podle článku 18; |
l) | přijímá pokyny a doporučení na základě návrhu CERT-EU v souladu s článkem 14 a ukládá CERT-EU, aby vydala, stáhla nebo upravila návrh pokynů nebo doporučení nebo výzvu k přijetí opatření; |
m) | zřizuje technické poradní skupiny se zvláštními úkoly na podporu činnosti výboru IICB, schvaluje jejich mandát a určuje jejich předsedy; |
n) | přijímá a posuzuje dokumenty a zprávy předložené subjekty Unie podle tohoto nařízení, jako jsou hodnocení vyspělosti kybernetické bezpečnosti; |
o) | za účelem výměny osvědčených postupů a informací v souvislosti s prováděním tohoto nařízení usnadňuje zřízení neformální skupiny místních referentů pro kybernetickou bezpečnost subjektů Unie, podporované ENISA; |
p) | s ohledem na informace o zjištěných kybernetických bezpečnostních rizicích a poznatky poskytnuté CERT-EU sleduje přiměřenost opatření týkajících se propojení mezi prostředími IKT subjektů Unie a poskytuje poradenství ohledně možných zlepšení; no, myslí se tím propojenost na technické úrovni; |
q) | vypracuje plán řešení kybernetických krizí s cílem podpořit na operativní úrovni koordinované řízení závažných incidentů s dopadem na subjekty Unie a přispět k pravidelné výměně příslušných informací, zejména pokud jde o dopady a závažnost závažných incidentů a možné způsoby jejich zmírnění; |
r) | koordinuje přijímání plánů jednotlivých subjektů Unie pro řešení kybernetických krizí uvedených v čl. 9 odst. 2; |
s) | s ohledem na výsledky koordinovaného posouzení rizik kritických dodavatelských řetězců na úrovni Unie uvedených v článku 22 směrnice (EU) 2022/2555 přijímá doporučení v oblasti bezpečnosti dodavatelského řetězce podle čl. 8 odst. 2 prvního pododstavce písm. m) na podporu subjektů Unie při přijímání účinných a přiměřených opatření k řízení kybernetických bezpečnostních rizik. |
Článek 11
Úkoly výboru IICB
Při výkonu svých povinností výbor IICB zejména:
a) | poskytuje strategické pokyny vedoucímu CERT-EU; |
b) | účinně sleduje a dohlíží na provádění tohoto nařízení a podporuje subjekty Unie při posilování jejich kybernetické bezpečnosti, a případně v této souvislosti také požaduje od subjektů Unie a CERT-EU zprávy ad hoc; |
c) | v návaznosti na strategickou diskusi přijímá víceletou strategii pro zvýšení úrovně kybernetické bezpečnosti v subjektech Unie, pravidelně, v každém případě však jednou za pět let, tuto strategii posuzuje a v případě potřeby tuto strategii upravuje; |
d) | stanovuje metodiku a organizační aspekty pro provádění dobrovolných vzájemných hodnocení subjekty Unie s cílem čerpat ze sdílených zkušeností, posílit vzájemnou důvěru, dosáhnout vysoké společné úrovně kybernetické bezpečnosti a posílit schopnosti subjektů Unie v oblasti kybernetické bezpečnosti, přičemž zajistí, aby tato vzájemná hodnocení prováděli odborníci na kybernetickou bezpečnost jmenovaní jiným subjektem Unie, než je subjekt Unie, který je předmětem přezkumu, a aby tato metodika vycházela z článku 19 směrnice (EU) 2022/2555 a byla případně subjektům Unie přizpůsobena; |
e) | na základě návrhu vedoucího CERT-EU schvaluje roční pracovní program CERT-EU a sleduje jeho provádění; |
f) | na základě návrhu vedoucího CERT-EU schvaluje katalog služeb CERT-EU a všechny jeho aktualizace; |
g) | na základě návrhu vedoucího CERT-EU schvaluje roční finanční plán příjmů a výdajů, včetně personálního obsazení, pro činnosti CERT-EU; |
h) | na základě návrhu vedoucího CERT-EU schvaluje postupy pro uzavírání smluv o poskytování služeb; |
i) | přezkoumává a schvaluje roční zprávu vypracovanou vedoucím CERT-EU, jež se zabývá činností CERT-EU a řízením jejích finančních prostředků; |
j) | schvaluje a sleduje klíčové ukazatele výkonnosti pro CERT-EU stanovené na základě návrhu vedoucího CERT-EU; |
k) | schvaluje ujednání o spolupráci, smlouvy o poskytování služeb nebo smlouvy mezi CERT-EU a dalšími subjekty podle článku 18; |
l) | přijímá pokyny a doporučení na základě návrhu CERT-EU v souladu s článkem 14 a ukládá CERT-EU, aby vydala, stáhla nebo upravila návrh pokynů nebo doporučení nebo výzvu k přijetí opatření; |
m) | zřizuje technické poradní skupiny se zvláštními úkoly na podporu činnosti výboru IICB, schvaluje jejich mandát a určuje jejich předsedy; |
n) | přijímá a posuzuje dokumenty a zprávy předložené subjekty Unie podle tohoto nařízení, jako jsou hodnocení vyspělosti kybernetické bezpečnosti; |
o) | za účelem výměny osvědčených postupů a informací v souvislosti s prováděním tohoto nařízení usnadňuje zřízení neformální skupiny místních referentů pro kybernetickou bezpečnost subjektů Unie, podporované ENISA; |
p) | s ohledem na informace o zjištěných kybernetických bezpečnostních rizicích a poznatky poskytnuté CERT-EU sleduje přiměřenost opatření týkajících se propojení mezi prostředími IKT subjektů Unie a poskytuje poradenství ohledně možných zlepšení; no, myslí se tím propojenost na technické úrovni; |
q) | vypracuje plán řešení kybernetických krizí s cílem podpořit na operativní úrovni koordinované řízení závažných incidentů s dopadem na subjekty Unie a přispět k pravidelné výměně příslušných informací, zejména pokud jde o dopady a závažnost závažných incidentů a možné způsoby jejich zmírnění; |
r) | koordinuje přijímání plánů jednotlivých subjektů Unie pro řešení kybernetických krizí uvedených v čl. 9 odst. 2; |
s) | s ohledem na výsledky koordinovaného posouzení rizik kritických dodavatelských řetězců na úrovni Unie uvedených v článku 22 směrnice (EU) 2022/2555 přijímá doporučení v oblasti bezpečnosti dodavatelského řetězce podle čl. 8 odst. 2 prvního pododstavce písm. m) na podporu subjektů Unie při přijímání účinných a přiměřených opatření k řízení kybernetických bezpečnostních rizik. |
Článek 13
Poslání a úkoly CERT-EU
1. Posláním CERT-EU je přispívat k bezpečnosti neutajovaného IKT prostředí všech subjektů Unie, a to tak, že jim poskytuje poradenství v oblasti kybernetické bezpečnosti, pomáhá jim předcházet incidentům, odhalovat incidenty, řešit incidenty, zmírňovat incidenty, reagovat na incidenty a zotavovat se z incidentů a působí jako středisko pro výměnu informací v oblasti kybernetické bezpečnosti a pro koordinaci reakcí na incidenty.
2. CERT-EU shromažďuje, spravuje, analyzuje a sdílí se subjekty Unie informace o kybernetických hrozbách, zranitelnostech a incidentech týkajících se infrastruktury IKT pro neutajované informace. Koordinuje reakce na incidenty na interinstitucionální úrovni a na úrovni jednotlivých subjektů Unie, a to i poskytováním specializované operativní pomoci či koordinací jejího poskytování.
3. CERT-EU vykonává pro subjekty Unie tyto úkoly:
a) | podporuje je při provádění tohoto nařízení a přispívá ke koordinaci provádění tohoto nařízení prostřednictvím opatření uvedených v čl. 14 odst. 1 nebo prostřednictvím ad hoc zpráv vyžádaných výborem IICB; |
b) | nabízí standardní služby týmu CSIRT všem subjektům Unie prostřednictvím souboru služeb v oblasti kybernetické bezpečnosti popsaných v jeho katalogu služeb (dále jen „základní služby“); |
c) | udržuje vzájemnou a partnerskou síť pro podporu služeb popsaných v článcích 17 a 18; |
d) | upozorňuje výbor IICB na jakýkoli problém týkající se provádění tohoto nařízení a provádění pokynů, doporučení a výzev k přijetí opatření; |
e) | na základě informací uvedených v odstavci 2 přispívá v úzké spolupráci s ENISA k informovanosti Unie o aktuální kybernetické situaci; |
f) | koordinuje řízení závažných incidentů; |
g) | jedná jako specializovaný koordinátor subjektů Unie pro účely koordinovaného zpřístupňování informací o zranitelností podle čl. 12 odst. 1 směrnice (EU) 2022/2555; |
h) | na žádost subjektu Unie poskytuje proaktivní a nerušivé skenování veřejně přístupných sítí a informačních systémů daného subjektu Unie. |
Informace uvedené v prvním pododstavci písm. e) se v případě potřeby sdílejí s výborem IICB, sítí týmů CSIRT a Střediskem Evropské unie pro analýzu zpravodajských informací (EU INTCEN), a to při dodržování patřičných podmínek zachování důvěrnosti.
4. CERT-EU může v souladu s článkem 17 nebo případně 18 spolupracovat s příslušnými komunitami v oblasti kybernetické bezpečnosti v Unii a jejích členských státech, mimo jiné v těchto oblastech:
a) | připravenost, koordinace při řešení incidentů, výměna informací a reakce na krize na technické úrovni v případech souvisejících se subjekty Unie; |
b) | operativní spolupráce týkající se sítě týmů CSIRT, včetně vzájemné pomoci; |
c) | zpravodajské informace o kybernetických hrozbách, včetně informovanosti o aktuální situaci; |
d) | ohledně jakéhokoli tématu vyžadujícího technické odborné znalosti CERT-EU v oblasti kybernetické bezpečnosti. |
5. CERT-EU se v rámci své působnosti zapojuje do strukturované spolupráce s ENISA v oblasti budování kapacit, operativní spolupráce a dlouhodobých strategických analýz kybernetických hrozeb v souladu s nařízením (EU) 2019/881. CERT-EU může spolupracovat a vyměňovat si informace s Evropským centrem Europolu pro boj proti kyberkriminalitě.
6. CERT-EU může poskytovat tyto služby, které nejsou popsány v jejím katalogu služeb (dále jen „zpoplatněné služby“):
a) | služby, které podporují kybernetickou bezpečnost prostředí IKT subjektů Unie, jiné než služby uvedené v odstavci 3, na základě smluv o poskytování služeb a s výhradou dostupných zdrojů, zejména širokospektrální monitorování sítě, včetně nepřetržitého monitorování v první linii v případě vysoce rizikových kybernetických hrozeb; |
b) | služby, které podporují operace nebo projekty subjektů Unie v oblasti kybernetické bezpečnosti, jiné než služby na ochranu jejich prostředí IKT, na základě písemných dohod a po předchozím schválení výborem IICB; |
c) | na požádání proaktivní skenování sítí a informačních systémů dotčeného subjektu Unie s cílem odhalit zranitelnosti s potenciálním významným dopadem; |
d) | služby, které podporují bezpečnost prostředí IKT jiných organizací než subjektů Unie, které úzce spolupracují se subjekty Unie například tak, že jim byly uloženy úkoly nebo povinnosti podle práva Unie, a to na základě písemných dohod a po předchozím schválení výborem IICB. |
S ohledem na první pododstavec písm. d) může CERT-EU ve výjimečných případech s předchozím souhlasem výboru IICB uzavřít smlouvy o poskytování služeb s jinými subjekty než se subjekty Unie.
7. CERT-EU organizuje, a může se účastnit cvičení v oblasti kybernetické bezpečnosti nebo doporučovat účast na stávajících cvičeních, a to případně v úzké spolupráci s ENISA, za účelem testování úrovně kybernetické bezpečnosti subjektů Unie.
8. CERT-EU může poskytovat pomoc subjektům Unie v souvislosti s incidenty v sítích a informačních systémech nakládajících s utajovanými informacemi EU, pokud o to dotyčné subjekty Unie výslovně požádají, v souladu s jejich příslušnými postupy. Poskytnutím pomoci CERT-EU podle tohoto odstavce nejsou dotčena platná pravidla týkající se ochrany utajovaných informací.
9. CERT-EU informuje subjekty Unie o svých postupech a procesech pro řešení incidentů.
10. CERT-EU poskytne s vysokou úrovní důvěrnosti a spolehlivosti prostřednictvím vhodných mechanismů spolupráce a oznamování relevantní a anonymizované informace o závažných incidentech a o způsobu, jakým byly řešeny. Tyto informace se zahrnou do zprávy uvedené v čl. 10 odst. 14.
11. CERT-EU ve spolupráci s evropským inspektorem ochrany údajů podpoří dotčené subjekty Unie při řešení incidentů, v jejichž důsledku došlo k porušení ochrany osobních údajů, aniž jsou dotčeny pravomoci a úkoly tohoto inspektora podle nařízení (EU) 2018/1725.
12. CERT-EU může v případě, že jej o to výslovně požádají odborné sekce subjektů Unie, poskytovat technické poradenství nebo informace týkající se příslušné oblasti.
Článek 22
Koordinace a spolupráce v rámci reakce na incidenty
1. CERT-EU, která působí jako středisko pro výměnu informací v oblasti kybernetické bezpečnosti a pro koordinaci reakcí na incidenty, usnadňuje výměnu informací o kybernetických hrozbách, zranitelnostech a významných událostech mezi:
a) | subjekty Unie; |
b) | protějšky uvedenými v článcích 17 a 18. |
2. CERT-EU, případně v úzké spolupráci s ENISA, usnadňuje koordinaci reakcí subjektů Unie na incidenty, včetně:
a) | přispívání k jednotné vnější komunikaci; |
b) | vzájemné podpory, jako je sdílení informací relevantních pro subjekty Unie nebo poskytování pomoci, je-li to relevantní, přímo na místě; |
c) | optimálního využití operativních zdrojů; |
d) | koordinace s dalšími mechanismy reakce na krizové situace na úrovni Unie. |
3. CERT-EU v úzké spolupráci s ENISA podporuje subjekty Unie v oblasti situačního povědomí o kybernetických hrozbách, zranitelnostech a významných událostech, jakož i ve sdílení relevantního vývoje v oblasti kybernetické bezpečnosti.
4. Výbor IICB do 8. ledna 2025 přijme na základě návrhu CERT-EU pokyny nebo doporučení pro koordinaci reakcí na incidenty a pro spolupráci při významných incidentech. Pokud existuje podezření, že incident má povahu trestného činu, poskytne CERT-EU bez zbytečného odkladu poradenství k tomu, jak oznámit tento incident donucovacím orgánům.
5. Na základě konkrétní žádosti členského státu a se souhlasem dotčených subjektů Unie může CERT-EU vyzvat odborníky ze seznamu uvedeného v čl. 23 odst. 4, aby přispěli k reakci na závažný incident, který má v daném členském státě dopad, nebo na rozsáhlý kybernetický bezpečnostní incident v souladu s čl. 15 odst. 3 písm. g) směrnice (EU) 2022/2555. Zvláštní pravidla pro přístup k technickým odborníkům ze subjektů Unie a jejich využívání schvaluje výbor IICB na základě návrhu CERT-EU.
Článek 25
Přezkum
1. Výbor IICB za pomoci CERT-EU podá do 8. ledna 2025 a poté každoročně Komisi zprávu o provádění tohoto nařízení. Výbor IICB může Komisi doporučit, aby toto nařízení přezkoumala.
2. Komise posoudí provádění tohoto nařízení a podá Evropskému parlamentu a Radě zprávu o provádění tohoto nařízení a o zkušenostech získaných na strategické a operativní úrovni do 8. ledna 2027 a poté každé dva roky.
Zpráva uvedená v prvním pododstavci tohoto odstavce zahrnuje přezkum možnosti zřízení CERT-EU jako úřadu Unie podle čl. 16 odst. 1.
3. Komise vyhodnotí fungování tohoto nařízení a podá zprávu Evropskému parlamentu, Radě, Evropskému hospodářskému a sociálnímu výboru a Výboru regionů do 8. ledna 2029. Komise rovněž vyhodnotí, zda je vhodné zahrnout do oblasti působnosti tohoto nařízení sítě a informační systémy, které nakládají s utajovanými informacemi EU, a to s přihlédnutím k dalším legislativním aktům Unie, které se na tyto systémy vztahují. V případě potřeby se ke zprávě připojí legislativní návrh.
whereas