keyboard_tab Cyber Resilience Act 2023/2841 CS
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Článek 3 Definice
- 1 Článek 13 Poslání a úkoly CERT-EU
- 2 Článek 17 Spolupráce CERT-EU s protějšky v členských státech
KAPITOLA I
OBECNÁ USTANOVENÍ
KAPITOLA II
OPATŘENÍ K ZAJIŠTĚNÍ VYSOKÉ SPOLEČNÉ ÚROVNĚ KYBERNETICKÉ BEZPEČNOSTI
KAPITOLA III
INTERINSTITUCIONÁLNÍ VÝBOR PRO KYBERNETICKOU BEZPEČNOST
KAPITOLA IV
CERT-EU
KAPITOLA V
POVINNOSTI V OBLASTI SPOLUPRÁCE A OZNAMOVACÍ POVINNOSTI
KAPITOLA VI
ZÁVĚREČNÁ USTANOVENÍ
- unie 64
- nebo 24
- cert-eu 23
- cert-eu 21
- eu / 21
- informace 20
- subjekty 20
- kybernetické 18
- subjektů 17
- bezpečnosti 16
- v oblasti 16
- směrnice 15
- služby 14
- informací 14
- čl 14
- které 14
- podle 13
- incidentů 13
- může 12
- incidenty 12
- iicb 12
- smyslu 12
- a to 12
- služeb 12
- tohoto 11
- subjektu 11
- nařízení 11
- týkající 10
- základě 9
- spolupráce 9
- prostředí 9
- v souladu 9
- při 8
- než 8
- sítí 8
- kybernetických 8
- a informačních 8
- csirt 8
- řešení 8
- úrovni 8
- prostřednictvím 8
- bodu 8
- uvedené 7
- ochrany 7
- incidentu 7
- subjekt 7
- operativní 6
- odst 6
- sítě 6
- technické 6
Článek 13
Poslání a úkoly CERT-EU
1. Posláním CERT-EU je přispívat k bezpečnosti neutajovaného IKT prostředí všech subjektů Unie, a to tak, že jim poskytuje poradenství v oblasti kybernetické bezpečnosti, pomáhá jim předcházet incidentům, odhalovat incidenty, řešit incidenty, zmírňovat incidenty, reagovat na incidenty a zotavovat se z incidentů a působí jako středisko pro výměnu informací v oblasti kybernetické bezpečnosti a pro koordinaci reakcí na incidenty.
2. CERT-EU shromažďuje, spravuje, analyzuje a sdílí se subjekty Unie informace o kybernetických hrozbách, zranitelnostech a incidentech týkajících se infrastruktury IKT pro neutajované informace. Koordinuje reakce na incidenty na interinstitucionální úrovni a na úrovni jednotlivých subjektů Unie, a to i poskytováním specializované operativní pomoci či koordinací jejího poskytování.
3. CERT-EU vykonává pro subjekty Unie tyto úkoly:
a) | podporuje je při provádění tohoto nařízení a přispívá ke koordinaci provádění tohoto nařízení prostřednictvím opatření uvedených v čl. 14 odst. 1 nebo prostřednictvím ad hoc zpráv vyžádaných výborem IICB; |
b) | nabízí standardní služby týmu CSIRT všem subjektům Unie prostřednictvím souboru služeb v oblasti kybernetické bezpečnosti popsaných v jeho katalogu služeb (dále jen „základní služby“); |
c) | udržuje vzájemnou a partnerskou síť pro podporu služeb popsaných v článcích 17 a 18; |
d) | upozorňuje výbor IICB na jakýkoli problém týkající se provádění tohoto nařízení a provádění pokynů, doporučení a výzev k přijetí opatření; |
e) | na základě informací uvedených v odstavci 2 přispívá v úzké spolupráci s ENISA k informovanosti Unie o aktuální kybernetické situaci; |
f) | koordinuje řízení závažných incidentů; |
g) | jedná jako specializovaný koordinátor subjektů Unie pro účely koordinovaného zpřístupňování informací o zranitelností podle čl. 12 odst. 1 směrnice (EU) 2022/2555; |
h) | na žádost subjektu Unie poskytuje proaktivní a nerušivé skenování veřejně přístupných sítí a informačních systémů daného subjektu Unie. |
Informace uvedené v prvním pododstavci písm. e) se v případě potřeby sdílejí s výborem IICB, sítí týmů CSIRT a Střediskem Evropské unie pro analýzu zpravodajských informací (EU INTCEN), a to při dodržování patřičných podmínek zachování důvěrnosti.
4. CERT-EU může v souladu s článkem 17 nebo případně 18 spolupracovat s příslušnými komunitami v oblasti kybernetické bezpečnosti v Unii a jejích členských státech, mimo jiné v těchto oblastech:
a) | připravenost, koordinace při řešení incidentů, výměna informací a reakce na krize na technické úrovni v případech souvisejících se subjekty Unie; |
b) | operativní spolupráce týkající se sítě týmů CSIRT, včetně vzájemné pomoci; |
c) | zpravodajské informace o kybernetických hrozbách, včetně informovanosti o aktuální situaci; |
d) | ohledně jakéhokoli tématu vyžadujícího technické odborné znalosti CERT-EU v oblasti kybernetické bezpečnosti. |
5. CERT-EU se v rámci své působnosti zapojuje do strukturované spolupráce s ENISA v oblasti budování kapacit, operativní spolupráce a dlouhodobých strategických analýz kybernetických hrozeb v souladu s nařízením (EU) 2019/881. CERT-EU může spolupracovat a vyměňovat si informace s Evropským centrem Europolu pro boj proti kyberkriminalitě.
6. CERT-EU může poskytovat tyto služby, které nejsou popsány v jejím katalogu služeb (dále jen „zpoplatněné služby“):
a) | služby, které podporují kybernetickou bezpečnost prostředí IKT subjektů Unie, jiné než služby uvedené v odstavci 3, na základě smluv o poskytování služeb a s výhradou dostupných zdrojů, zejména širokospektrální monitorování sítě, včetně nepřetržitého monitorování v první linii v případě vysoce rizikových kybernetických hrozeb; |
b) | služby, které podporují operace nebo projekty subjektů Unie v oblasti kybernetické bezpečnosti, jiné než služby na ochranu jejich prostředí IKT, na základě písemných dohod a po předchozím schválení výborem IICB; |
c) | na požádání proaktivní skenování sítí a informačních systémů dotčeného subjektu Unie s cílem odhalit zranitelnosti s potenciálním významným dopadem; |
d) | služby, které podporují bezpečnost prostředí IKT jiných organizací než subjektů Unie, které úzce spolupracují se subjekty Unie například tak, že jim byly uloženy úkoly nebo povinnosti podle práva Unie, a to na základě písemných dohod a po předchozím schválení výborem IICB. |
S ohledem na první pododstavec písm. d) může CERT-EU ve výjimečných případech s předchozím souhlasem výboru IICB uzavřít smlouvy o poskytování služeb s jinými subjekty než se subjekty Unie.
7. CERT-EU organizuje, a může se účastnit cvičení v oblasti kybernetické bezpečnosti nebo doporučovat účast na stávajících cvičeních, a to případně v úzké spolupráci s ENISA, za účelem testování úrovně kybernetické bezpečnosti subjektů Unie.
8. CERT-EU může poskytovat pomoc subjektům Unie v souvislosti s incidenty v sítích a informačních systémech nakládajících s utajovanými informacemi EU, pokud o to dotyčné subjekty Unie výslovně požádají, v souladu s jejich příslušnými postupy. Poskytnutím pomoci CERT-EU podle tohoto odstavce nejsou dotčena platná pravidla týkající se ochrany utajovaných informací.
9. CERT-EU informuje subjekty Unie o svých postupech a procesech pro řešení incidentů.
10. CERT-EU poskytne s vysokou úrovní důvěrnosti a spolehlivosti prostřednictvím vhodných mechanismů spolupráce a oznamování relevantní a anonymizované informace o závažných incidentech a o způsobu, jakým byly řešeny. Tyto informace se zahrnou do zprávy uvedené v čl. 10 odst. 14.
11. CERT-EU ve spolupráci s evropským inspektorem ochrany údajů podpoří dotčené subjekty Unie při řešení incidentů, v jejichž důsledku došlo k porušení ochrany osobních údajů, aniž jsou dotčeny pravomoci a úkoly tohoto inspektora podle nařízení (EU) 2018/1725.
12. CERT-EU může v případě, že jej o to výslovně požádají odborné sekce subjektů Unie, poskytovat technické poradenství nebo informace týkající se příslušné oblasti.
Článek 3
Definice
Pro účely tohoto nařízení se rozumí:
1) | „subjekty Unie“ orgány, instituce, a jiné subjekty zřízené Smlouvou o Evropské unii, Smlouvou o fungování Evropské unie (dále jen „Smlouva o fungování EU“) nebo Smlouvou o založení Evropského společenství pro atomovou energii nebo na základě uvedených smluv; |
2) | „sítí a informačním systémem“ síť a informační systémy ve smyslu čl. 6 bodu 1 směrnice (EU) 2022/2555; |
3) | „bezpečností sítí a informačních systémů“ bezpečnost sítí a informačních systémů ve smyslu čl. 6 bodu 2 směrnice (EU) 2022/2555; |
4) | „kybernetickou bezpečností“ kybernetická bezpečnost ve smyslu čl. 2 bodu 1 nařízení (EU) 2019/881; |
5) | „nejvyšší úrovní vedení“ vedoucí, vedoucí orgán nebo koordinační orgán a orgán dohledu odpovědný za fungování subjektu Unie na nejvyšší správní úrovni, který má pravomoc přijímat nebo schvalovat rozhodnutí v souladu s opatřeními pro řízení na vysoké úrovni uvedeného subjektu Unie, aniž je dotčena formální odpovědnost jiných úrovní vedení za dodržování pravidel a řízení kybernetických rizik v jejich příslušných oblastech působnosti; |
6) | „významnou událostí“ významná událost ve smyslu čl. 6 bodu 5 směrnice (EU) 2022/2555; |
7) | „incidentem“ incident ve smyslu čl. 6 bodu 6 směrnice (EU) 2022/2555; |
8) | „závažným incidentem“ incident, který způsobí míru narušení, která přesahuje schopnost subjektu Unie a CERT-EU reagovat na tento incident, nebo který má významný dopad na nejméně dva subjekty Unie; |
9) | „rozsáhlým kybernetickým bezpečnostním incidentem“ rozsáhlý kybernetický bezpečnostní incident ve smyslu čl. 6 bodu 7 směrnice (EU) 2022/2555; |
10) | „řešením incidentu“ řešení incidentu ve smyslu čl. 6 bodu 8 směrnice (EU) 2022/2555; |
11) | „kybernetickou hrozbou“ kybernetická hrozba ve smyslu čl. 2 bodu 8 nařízení (EU) 2019/881; |
12) | „významnou kybernetickou hrozbou“ významná kybernetická hrozba ve smyslu čl. 6 bodu 11 směrnice (EU) 2022/2555; |
(13) | „zranitelností“ zranitelnost ve smyslu čl. 6 bodu 15 směrnice (EU) 2022/2555; |
14) | „kybernetickým bezpečnostním rizikem“ riziko ve smyslu čl. 6 bodu 9 směrnice (EU) 2022/2555; |
15) | „službou cloud computingu“ služba cloud computingu ve smyslu čl. 6 bodu 30 směrnice (EU) 2022/2555. |
Článek 13
Poslání a úkoly CERT-EU
1. Posláním CERT-EU je přispívat k bezpečnosti neutajovaného IKT prostředí všech subjektů Unie, a to tak, že jim poskytuje poradenství v oblasti kybernetické bezpečnosti, pomáhá jim předcházet incidentům, odhalovat incidenty, řešit incidenty, zmírňovat incidenty, reagovat na incidenty a zotavovat se z incidentů a působí jako středisko pro výměnu informací v oblasti kybernetické bezpečnosti a pro koordinaci reakcí na incidenty.
2. CERT-EU shromažďuje, spravuje, analyzuje a sdílí se subjekty Unie informace o kybernetických hrozbách, zranitelnostech a incidentech týkajících se infrastruktury IKT pro neutajované informace. Koordinuje reakce na incidenty na interinstitucionální úrovni a na úrovni jednotlivých subjektů Unie, a to i poskytováním specializované operativní pomoci či koordinací jejího poskytování.
3. CERT-EU vykonává pro subjekty Unie tyto úkoly:
a) | podporuje je při provádění tohoto nařízení a přispívá ke koordinaci provádění tohoto nařízení prostřednictvím opatření uvedených v čl. 14 odst. 1 nebo prostřednictvím ad hoc zpráv vyžádaných výborem IICB; |
b) | nabízí standardní služby týmu CSIRT všem subjektům Unie prostřednictvím souboru služeb v oblasti kybernetické bezpečnosti popsaných v jeho katalogu služeb (dále jen „základní služby“); |
c) | udržuje vzájemnou a partnerskou síť pro podporu služeb popsaných v článcích 17 a 18; |
d) | upozorňuje výbor IICB na jakýkoli problém týkající se provádění tohoto nařízení a provádění pokynů, doporučení a výzev k přijetí opatření; |
e) | na základě informací uvedených v odstavci 2 přispívá v úzké spolupráci s ENISA k informovanosti Unie o aktuální kybernetické situaci; |
f) | koordinuje řízení závažných incidentů; |
g) | jedná jako specializovaný koordinátor subjektů Unie pro účely koordinovaného zpřístupňování informací o zranitelností podle čl. 12 odst. 1 směrnice (EU) 2022/2555; |
h) | na žádost subjektu Unie poskytuje proaktivní a nerušivé skenování veřejně přístupných sítí a informačních systémů daného subjektu Unie. |
Informace uvedené v prvním pododstavci písm. e) se v případě potřeby sdílejí s výborem IICB, sítí týmů CSIRT a Střediskem Evropské unie pro analýzu zpravodajských informací (EU INTCEN), a to při dodržování patřičných podmínek zachování důvěrnosti.
4. CERT-EU může v souladu s článkem 17 nebo případně 18 spolupracovat s příslušnými komunitami v oblasti kybernetické bezpečnosti v Unii a jejích členských státech, mimo jiné v těchto oblastech:
a) | připravenost, koordinace při řešení incidentů, výměna informací a reakce na krize na technické úrovni v případech souvisejících se subjekty Unie; |
b) | operativní spolupráce týkající se sítě týmů CSIRT, včetně vzájemné pomoci; |
c) | zpravodajské informace o kybernetických hrozbách, včetně informovanosti o aktuální situaci; |
d) | ohledně jakéhokoli tématu vyžadujícího technické odborné znalosti CERT-EU v oblasti kybernetické bezpečnosti. |
5. CERT-EU se v rámci své působnosti zapojuje do strukturované spolupráce s ENISA v oblasti budování kapacit, operativní spolupráce a dlouhodobých strategických analýz kybernetických hrozeb v souladu s nařízením (EU) 2019/881. CERT-EU může spolupracovat a vyměňovat si informace s Evropským centrem Europolu pro boj proti kyberkriminalitě.
6. CERT-EU může poskytovat tyto služby, které nejsou popsány v jejím katalogu služeb (dále jen „zpoplatněné služby“):
a) | služby, které podporují kybernetickou bezpečnost prostředí IKT subjektů Unie, jiné než služby uvedené v odstavci 3, na základě smluv o poskytování služeb a s výhradou dostupných zdrojů, zejména širokospektrální monitorování sítě, včetně nepřetržitého monitorování v první linii v případě vysoce rizikových kybernetických hrozeb; |
b) | služby, které podporují operace nebo projekty subjektů Unie v oblasti kybernetické bezpečnosti, jiné než služby na ochranu jejich prostředí IKT, na základě písemných dohod a po předchozím schválení výborem IICB; |
c) | na požádání proaktivní skenování sítí a informačních systémů dotčeného subjektu Unie s cílem odhalit zranitelnosti s potenciálním významným dopadem; |
d) | služby, které podporují bezpečnost prostředí IKT jiných organizací než subjektů Unie, které úzce spolupracují se subjekty Unie například tak, že jim byly uloženy úkoly nebo povinnosti podle práva Unie, a to na základě písemných dohod a po předchozím schválení výborem IICB. |
S ohledem na první pododstavec písm. d) může CERT-EU ve výjimečných případech s předchozím souhlasem výboru IICB uzavřít smlouvy o poskytování služeb s jinými subjekty než se subjekty Unie.
7. CERT-EU organizuje, a může se účastnit cvičení v oblasti kybernetické bezpečnosti nebo doporučovat účast na stávajících cvičeních, a to případně v úzké spolupráci s ENISA, za účelem testování úrovně kybernetické bezpečnosti subjektů Unie.
8. CERT-EU může poskytovat pomoc subjektům Unie v souvislosti s incidenty v sítích a informačních systémech nakládajících s utajovanými informacemi EU, pokud o to dotyčné subjekty Unie výslovně požádají, v souladu s jejich příslušnými postupy. Poskytnutím pomoci CERT-EU podle tohoto odstavce nejsou dotčena platná pravidla týkající se ochrany utajovaných informací.
9. CERT-EU informuje subjekty Unie o svých postupech a procesech pro řešení incidentů.
10. CERT-EU poskytne s vysokou úrovní důvěrnosti a spolehlivosti prostřednictvím vhodných mechanismů spolupráce a oznamování relevantní a anonymizované informace o závažných incidentech a o způsobu, jakým byly řešeny. Tyto informace se zahrnou do zprávy uvedené v čl. 10 odst. 14.
11. CERT-EU ve spolupráci s evropským inspektorem ochrany údajů podpoří dotčené subjekty Unie při řešení incidentů, v jejichž důsledku došlo k porušení ochrany osobních údajů, aniž jsou dotčeny pravomoci a úkoly tohoto inspektora podle nařízení (EU) 2018/1725.
12. CERT-EU může v případě, že jej o to výslovně požádají odborné sekce subjektů Unie, poskytovat technické poradenství nebo informace týkající se příslušné oblasti.
Článek 17
Spolupráce CERT-EU s protějšky v členských státech
1. CERT-EU bez zbytečného odkladu spolupracuje s protějšky z členských států, zejména týmy CSIRT určenými nebo zřízenými podle článku 10 směrnice (EU) 2022/2555, nebo případně s příslušnými orgány a jednotnými kontaktními místy určenými nebo zřízenými podle článku 8 uvedené směrnice a vyměňuje si s nimi informace ohledně incidentů, kybernetických hrozeb, zranitelností, významných událostí, možných protiopatření, jakož i o osvědčených postupech, a o veškerých záležitostech, které mají význam pro zlepšení ochrany prostředí IKT subjektů Unie, a to i prostřednictvím sítě týmů CSIRT zřízené podle článku 15 směrnice (EU) 2022/2555. CERT-EU podporuje Komisi v rámci sítě EU-CyCLONe zřízené podle článku 16 o koordinovaném řešení rozsáhlých kybernetických bezpečnostních incidentů a krizí ve směrnici (EU) 2022/2555.
2. Pokud se CERT-EU dozví o významném incidentu, k němuž dojde na území členského státu, neprodleně informuje všechny příslušné protějšky v daném členském státě v souladu s odstavcem 1.
3. Je-li v souladu s právem Unie na ochranu osobních údajů zajištěna ochrana osobních údajů, CERT-EU si s vnitrostátními protějšky v členských státech bez zbytečného odkladu vymění příslušné informace týkající se konkrétních incidentů, které mohou usnadnit odhalování obdobných kybernetických hrozeb nebo incidentů nebo přispět k analýze incidentu, a to bez povolení dotčeného subjektu Unie. CERT-EU vyměňuje informace týkající se konkrétních incidentů, které odhalují totožnost cíle kybernetického bezpečnostního incidentu, pouze pokud nastane některý u z těchto případů:
a) | dotčený subjekt Unie udělil svůj souhlas; |
b) | dotčený subjekt Unie neudělil svůj souhlas, jak je stanoveno v písmenu a), ale zveřejnění totožnosti dotčeného subjektu Unie by zvýšilo pravděpodobnost, že se zabrání incidentům v jiných oblastech nebo se zmírní jejich následky; |
c) | dotčený subjekt Unie již zveřejnil, že byl obětí incidentu. |
Rozhodnutí o výměně informací týkajících se konkrétního incidentu, které odhalují totožnost cíle incidentu podle prvního pododstavce písm. b), schvaluje vedoucí CERT-EU. Před vydáním takového rozhodnutí kontaktuje CERT-EU dotčený subjekt Unie písemně a jasně vysvětlí, jak by zveřejnění jeho totožnosti pomohlo zabránit incidentům v jiných oblastech nebo je zmírnit. Vedoucí CERT-EU poskytne vysvětlení a výslovně požádá subjekt Unie, aby ve stanovené lhůtě uvedl, zda souhlasí. Vedoucí CERT-EU rovněž informuje subjekt Unie o tom, že si s ohledem na poskytnuté vysvětlení vyhrazuje právo informace zveřejnit i bez souhlasu. Dotčený subjekt Unie je informován před zveřejněním informací.
whereas