keyboard_tab Cyber Resilience Act 2023/2841 CS
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Článek 8 Opatření k řízení kybernetických bezpečnostních rizik
- 1 Článek 14 Pokyny, doporučení a výzvy k přijetí opatření
KAPITOLA I
OBECNÁ USTANOVENÍ
KAPITOLA II
OPATŘENÍ K ZAJIŠTĚNÍ VYSOKÉ SPOLEČNÉ ÚROVNĚ KYBERNETICKÉ BEZPEČNOSTI
KAPITOLA III
INTERINSTITUCIONÁLNÍ VÝBOR PRO KYBERNETICKOU BEZPEČNOST
KAPITOLA IV
CERT-EU
KAPITOLA V
POVINNOSTI V OBLASTI SPOLUPRÁCE A OZNAMOVACÍ POVINNOSTI
KAPITOLA VI
ZÁVĚREČNÁ USTANOVENÍ
- bezpečnosti 33
- kybernetické 27
- unie 24
- opatření 23
- rizik 16
- včetně 16
- kybernetických 14
- bezpečnostních 14
- v oblasti 13
- služeb 11
- k řízení 9
- bezpečnost 8
- incidentů 8
- systémů 8
- jejich 8
- nebo 7
- řízení 7
- jako 7
- provádění 7
- které 7
- vývoj 6
- systému 6
- a jejich 6
- politiky 6
- subjektu 6
- mezi 6
- úrovně 6
- tohoto 5
- cert-eu 5
- případné 5
- řetězce 5
- používání 5
- informací 5
- dodavatelského 5
- provozu 4
- odborné 4
- programů 4
- subjekty 4
- subjekty 4
- alespoň 4
- politiku 4
- zranitelnosti 4
- uvedených 4
- monitorování 4
- zohlední 4
- zranitelností 4
- a kybernetických 4
- řešení 4
- softwaru 4
- doporučení 4
Článek 8
Opatření k řízení kybernetických bezpečnostních rizik
1. Každý subjekt Unie pod dohledem své nejvyšší úrovně vedení bezodkladně a nejpozději do 8. září 2025 přijme odpovídající a přiměřená technická, operační a organizační opatření k řízení kybernetických bezpečnostních rizik zjištěných v rámci a k prevenci dopadů incidentů nebo jejich minimalizaci. S ohledem na nejnovější technologický vývoj a případně na příslušné evropské a mezinárodní normy zajistí tato opatření k řízení rizik takovou úroveň bezpečnosti sítí a informačních systémů v celém prostředí IKT, která je úměrná hrozícím kybernetickým bezpečnostním rizikům. Při posuzování přiměřenosti těchto opatření se náležitě zohlední míra expozice subjektu Unie kybernetickým bezpečnostním rizikům, jeho velikost, pravděpodobnost výskytu incidentů a jejich závažnost, včetně jejich společenského, hospodářského a interinstitucionálního dopadu.
2. Subjekty Unie se při provádění opatření k řízení kybernetických bezpečnostních rizik zaměřují alespoň na tyto oblasti:
a) | politiku kybernetické bezpečnosti, včetně opatření potřebných k dosažení cílů a priorit uvedených v čl. 6 odst. 3 tohoto článku; |
b) | politiku analýzy kybernetických bezpečnostních rizik a politiku bezpečnosti informačních systémů; |
c) | cíle politiky týkající se využívání služeb cloud computingu; |
d) | případně audit kybernetické bezpečnosti, který může zahrnovat posouzení kybernetických bezpečnostních rizik, zranitelností a kybernetických hrozeb a pravidelné penetrační testování prováděné důvěryhodným soukromým poskytovatelem; |
e) | provádění doporučení vyplývajících z auditů kybernetické bezpečnosti uvedených v písmenu d) prostřednictvím aktualizace systému a politiky kybernetické bezpečnosti; |
f) | organizaci systému kybernetické bezpečnosti, včetně vymezení úloh a odpovědnosti; |
g) | správu aktiv, včetně seznamu aktiv v oblasti IKT a mapování sítí IKT; |
h) | bezpečnost lidských zdrojů a kontrolu přístupu; |
i) | bezpečnost operací; |
j) | bezpečnost komunikací; |
k) | akvizici, vývoj a údržbu systému, včetně politiky zveřejňování informací o zranitelností a jejich řešení; |
l) | případné politiky v oblasti transparentnosti zdrojového kódu; |
m) | bezpečnost dodavatelského řetězce včetně aspektů souvisejících s bezpečností, které se týkají vztahů mezi každým subjektem Unie a jeho přímými dodavateli nebo poskytovateli služeb; |
n) | řešení incidentů a spolupráci se CERT-EU, jako je zajištění bezpečnostního monitorování a vedení protokolů bezpečnosti; |
o) | řízení kontinuity provozu, jako je správa zálohování a obnova provozu po havárii, a krizové řízení a |
p) | podporu a rozvoj vzdělávání, dovedností, zvyšování povědomí, cvičebních programů a programů odborné přípravy v oblasti kybernetické bezpečnosti. |
Pro účely prvního pododstavce písm. m) subjekty Unie zohlední zranitelnosti specifické pro každého přímého dodavatele a poskytovatele služeb a celkovou kvalitu produktů a postupů v oblasti kybernetické bezpečnosti svých dodavatelů a poskytovatelů služeb, včetně jejich postupů bezpečného vývoje.
3. Subjekty Unie přijmou alespoň tato konkrétní opatření pro řízení kybernetických bezpečnostních rizik:
a) | technická opatření umožňující a podporující práci z domova; |
b) | konkrétní kroky pro přechod k zásadám nulové důvěry; |
c) | používání vícefaktorového ověřování jako normy u sítí a informačních systémů; |
d) | používání kryptografie a šifrování, a zejména šifrování mezi koncovými body, a bezpečného digitálního podpis |
e) | případné zavedení zabezpečené hlasové, obrazové a textové komunikace a zabezpečených systémů tísňové komunikace v rámci subjektu Unie; |
f) | proaktivní opatření pro odhalování a odstraňování malwaru a špionážního softwaru; |
g) | zabezpečení softwarového dodavatelského řetězce prostřednictvím kritérií pro bezpečný vývoj a hodnocení softwaru; |
h) | vytvoření a zavedení programů odborné přípravy v oblasti kybernetické bezpečnosti odpovídajících úkolům a předpokládaným schopnostem nejvyšší úrovně vedení a zaměstnanců subjektu Unie pověřených zajištěním účinného provádění tohoto nařízení; |
i) | pravidelné školení zaměstnanců v oblasti kybernetické bezpečnosti; |
j) | v příslušných případech účast na analýzách rizik vzájemného propojení mezi subjekty Unie; |
k) | posílení pravidel pro zadávání veřejných zakázek s cílem usnadnit dosažení vysoké společné úrovně kybernetické bezpečnosti prostřednictvím:
|
Článek 8
Opatření k řízení kybernetických bezpečnostních rizik
1. Každý subjekt Unie pod dohledem své nejvyšší úrovně vedení bezodkladně a nejpozději do 8. září 2025 přijme odpovídající a přiměřená technická, operační a organizační opatření k řízení kybernetických bezpečnostních rizik zjištěných v rámci a k prevenci dopadů incidentů nebo jejich minimalizaci. S ohledem na nejnovější technologický vývoj a případně na příslušné evropské a mezinárodní normy zajistí tato opatření k řízení rizik takovou úroveň bezpečnosti sítí a informačních systémů v celém prostředí IKT, která je úměrná hrozícím kybernetickým bezpečnostním rizikům. Při posuzování přiměřenosti těchto opatření se náležitě zohlední míra expozice subjektu Unie kybernetickým bezpečnostním rizikům, jeho velikost, pravděpodobnost výskytu incidentů a jejich závažnost, včetně jejich společenského, hospodářského a interinstitucionálního dopadu.
2. Subjekty Unie se při provádění opatření k řízení kybernetických bezpečnostních rizik zaměřují alespoň na tyto oblasti:
a) | politiku kybernetické bezpečnosti, včetně opatření potřebných k dosažení cílů a priorit uvedených v čl. 6 odst. 3 tohoto článku; |
b) | politiku analýzy kybernetických bezpečnostních rizik a politiku bezpečnosti informačních systémů; |
c) | cíle politiky týkající se využívání služeb cloud computingu; |
d) | případně audit kybernetické bezpečnosti, který může zahrnovat posouzení kybernetických bezpečnostních rizik, zranitelností a kybernetických hrozeb a pravidelné penetrační testování prováděné důvěryhodným soukromým poskytovatelem; |
e) | provádění doporučení vyplývajících z auditů kybernetické bezpečnosti uvedených v písmenu d) prostřednictvím aktualizace systému a politiky kybernetické bezpečnosti; |
f) | organizaci systému kybernetické bezpečnosti, včetně vymezení úloh a odpovědnosti; |
g) | správu aktiv, včetně seznamu aktiv v oblasti IKT a mapování sítí IKT; |
h) | bezpečnost lidských zdrojů a kontrolu přístupu; |
i) | bezpečnost operací; |
j) | bezpečnost komunikací; |
k) | akvizici, vývoj a údržbu systému, včetně politiky zveřejňování informací o zranitelností a jejich řešení; |
l) | případné politiky v oblasti transparentnosti zdrojového kódu; |
m) | bezpečnost dodavatelského řetězce včetně aspektů souvisejících s bezpečností, které se týkají vztahů mezi každým subjektem Unie a jeho přímými dodavateli nebo poskytovateli služeb; |
n) | řešení incidentů a spolupráci se CERT-EU, jako je zajištění bezpečnostního monitorování a vedení protokolů bezpečnosti; |
o) | řízení kontinuity provozu, jako je správa zálohování a obnova provozu po havárii, a krizové řízení a |
p) | podporu a rozvoj vzdělávání, dovedností, zvyšování povědomí, cvičebních programů a programů odborné přípravy v oblasti kybernetické bezpečnosti. |
Pro účely prvního pododstavce písm. m) subjekty Unie zohlední zranitelnosti specifické pro každého přímého dodavatele a poskytovatele služeb a celkovou kvalitu produktů a postupů v oblasti kybernetické bezpečnosti svých dodavatelů a poskytovatelů služeb, včetně jejich postupů bezpečného vývoje.
3. Subjekty Unie přijmou alespoň tato konkrétní opatření pro řízení kybernetických bezpečnostních rizik:
a) | technická opatření umožňující a podporující práci z domova; |
b) | konkrétní kroky pro přechod k zásadám nulové důvěry; |
c) | používání vícefaktorového ověřování jako normy u sítí a informačních systémů; |
d) | používání kryptografie a šifrování, a zejména šifrování mezi koncovými body, a bezpečného digitálního podpis |
e) | případné zavedení zabezpečené hlasové, obrazové a textové komunikace a zabezpečených systémů tísňové komunikace v rámci subjektu Unie; |
f) | proaktivní opatření pro odhalování a odstraňování malwaru a špionážního softwaru; |
g) | zabezpečení softwarového dodavatelského řetězce prostřednictvím kritérií pro bezpečný vývoj a hodnocení softwaru; |
h) | vytvoření a zavedení programů odborné přípravy v oblasti kybernetické bezpečnosti odpovídajících úkolům a předpokládaným schopnostem nejvyšší úrovně vedení a zaměstnanců subjektu Unie pověřených zajištěním účinného provádění tohoto nařízení; |
i) | pravidelné školení zaměstnanců v oblasti kybernetické bezpečnosti; |
j) | v příslušných případech účast na analýzách rizik vzájemného propojení mezi subjekty Unie; |
k) | posílení pravidel pro zadávání veřejných zakázek s cílem usnadnit dosažení vysoké společné úrovně kybernetické bezpečnosti prostřednictvím:
|
Článek 14
Pokyny, doporučení a výzvy k přijetí opatření
1. CERT-EU podporuje provádění tohoto nařízení vydáváním:
a) | výzev k přijetí opatření popisujících naléhavá bezpečnostní opatření, jejichž přijetí ve stanovené lhůtě je vyžadováno od subjektů Unie; |
b) | návrhů pokynů určených všem subjektům Unie nebo jejich části, které předkládá výboru IICB; |
c) | návrhů doporučení určených jednotlivým subjektům Unie, které předkládá výboru IICB. |
Pokud jde o první pododstavec písm. a), dotčený subjekt Unie bez zbytečného odkladu po obdržení výzvy k přijetí opatření informuje CERT-EU o tom, jak byla naléhavá bezpečnostní opatření uplatněna.
2. Pokyny a doporučení mohou obsahovat:
a) | společné metodiky a model pro hodnocení vyspělosti kybernetické bezpečnosti subjektů Unie, včetně odpovídajících měřítek nebo klíčových ukazatelů výkonnosti, které slouží jako reference na podporu soustavného zlepšování kybernetické bezpečnosti ve všech subjektech Unie a usnadňují stanovení priorit pro oblasti kybernetické bezpečnosti a opatření s ohledem na stav subjektů z hlediska kybernetické bezpečnosti; |
b) | postupy pro řízení kybernetických bezpečnostních rizik a opatření k řízení kybernetických bezpečnostních rizik nebo jejich vylepšení; |
c) | postupy pro hodnocení vyspělosti kybernetické bezpečnosti a postupy pro plány kybernetické bezpečnosti; |
d) | případně využití společných technologií, architektury, otevřených zdrojů a souvisejících osvědčených postupů s cílem dosáhnout interoperability a společných norem, včetně koordinovaného přístupu k bezpečnosti dodavatelského řetězce; |
e) | případné informace k usnadnění používání nástrojů kolaborativního zadávání veřejných zakázek pro nákup příslušných služeb a produktů v oblasti kybernetické bezpečnosti od dodavatelů, kteří jsou třetími stranami; |
f) | ujednání o sdílení informací podle článku 20. |
whereas