keyboard_tab Cyber Resilience Act 2023/2841 CS
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 3 Článek 8 Opatření k řízení kybernetických bezpečnostních rizik
KAPITOLA I
OBECNÁ USTANOVENÍ
KAPITOLA II
OPATŘENÍ K ZAJIŠTĚNÍ VYSOKÉ SPOLEČNÉ ÚROVNĚ KYBERNETICKÉ BEZPEČNOSTI
KAPITOLA III
INTERINSTITUCIONÁLNÍ VÝBOR PRO KYBERNETICKOU BEZPEČNOST
KAPITOLA IV
CERT-EU
KAPITOLA V
POVINNOSTI V OBLASTI SPOLUPRÁCE A OZNAMOVACÍ POVINNOSTI
KAPITOLA VI
ZÁVĚREČNÁ USTANOVENÍ
- bezpečnosti 26
- kybernetické 20
- opatření 18
- unie 18
- včetně 14
- rizik 14
- bezpečnostních 12
- kybernetických 12
- v oblasti 12
- služeb 10
- bezpečnost 8
- k řízení 8
- systémů 8
- incidentů 8
- systému 6
- jejich 6
- politiky 6
- mezi 6
- vývoj 6
- provádění 6
- úrovně 6
- jako 6
- a jejich 6
- řízení 6
- subjektu 6
- politiku 4
- alespoň 4
- uvedených 4
- softwaru 4
- subjekty 4
- komunikace 4
- zranitelností 4
- a kybernetických 4
- hrozeb 4
- řetězce 4
- používání 4
- zranitelnosti 4
- provozu 4
- monitorování 4
- programů 4
- cert-eu 4
- odborné 4
- přípravy 4
- subjekty 4
- které 4
- prostřednictvím 4
- dodavatelského 4
- případné 4
- řešení 4
- informací 4
Článek 8
Opatření k řízení kybernetických bezpečnostních rizik
1. Každý subjekt Unie pod dohledem své nejvyšší úrovně vedení bezodkladně a nejpozději do 8. září 2025 přijme odpovídající a přiměřená technická, operační a organizační opatření k řízení kybernetických bezpečnostních rizik zjištěných v rámci a k prevenci dopadů incidentů nebo jejich minimalizaci. S ohledem na nejnovější technologický vývoj a případně na příslušné evropské a mezinárodní normy zajistí tato opatření k řízení rizik takovou úroveň bezpečnosti sítí a informačních systémů v celém prostředí IKT, která je úměrná hrozícím kybernetickým bezpečnostním rizikům. Při posuzování přiměřenosti těchto opatření se náležitě zohlední míra expozice subjektu Unie kybernetickým bezpečnostním rizikům, jeho velikost, pravděpodobnost výskytu incidentů a jejich závažnost, včetně jejich společenského, hospodářského a interinstitucionálního dopadu.
2. Subjekty Unie se při provádění opatření k řízení kybernetických bezpečnostních rizik zaměřují alespoň na tyto oblasti:
a) | politiku kybernetické bezpečnosti, včetně opatření potřebných k dosažení cílů a priorit uvedených v čl. 6 odst. 3 tohoto článku; |
b) | politiku analýzy kybernetických bezpečnostních rizik a politiku bezpečnosti informačních systémů; |
c) | cíle politiky týkající se využívání služeb cloud computingu; |
d) | případně audit kybernetické bezpečnosti, který může zahrnovat posouzení kybernetických bezpečnostních rizik, zranitelností a kybernetických hrozeb a pravidelné penetrační testování prováděné důvěryhodným soukromým poskytovatelem; |
e) | provádění doporučení vyplývajících z auditů kybernetické bezpečnosti uvedených v písmenu d) prostřednictvím aktualizace systému a politiky kybernetické bezpečnosti; |
f) | organizaci systému kybernetické bezpečnosti, včetně vymezení úloh a odpovědnosti; |
g) | správu aktiv, včetně seznamu aktiv v oblasti IKT a mapování sítí IKT; |
h) | bezpečnost lidských zdrojů a kontrolu přístupu; |
i) | bezpečnost operací; |
j) | bezpečnost komunikací; |
k) | akvizici, vývoj a údržbu systému, včetně politiky zveřejňování informací o zranitelností a jejich řešení; |
l) | případné politiky v oblasti transparentnosti zdrojového kódu; |
m) | bezpečnost dodavatelského řetězce včetně aspektů souvisejících s bezpečností, které se týkají vztahů mezi každým subjektem Unie a jeho přímými dodavateli nebo poskytovateli služeb; |
n) | řešení incidentů a spolupráci se CERT-EU, jako je zajištění bezpečnostního monitorování a vedení protokolů bezpečnosti; |
o) | řízení kontinuity provozu, jako je správa zálohování a obnova provozu po havárii, a krizové řízení a |
p) | podporu a rozvoj vzdělávání, dovedností, zvyšování povědomí, cvičebních programů a programů odborné přípravy v oblasti kybernetické bezpečnosti. |
Pro účely prvního pododstavce písm. m) subjekty Unie zohlední zranitelnosti specifické pro každého přímého dodavatele a poskytovatele služeb a celkovou kvalitu produktů a postupů v oblasti kybernetické bezpečnosti svých dodavatelů a poskytovatelů služeb, včetně jejich postupů bezpečného vývoje.
3. Subjekty Unie přijmou alespoň tato konkrétní opatření pro řízení kybernetických bezpečnostních rizik:
a) | technická opatření umožňující a podporující práci z domova; |
b) | konkrétní kroky pro přechod k zásadám nulové důvěry; |
c) | používání vícefaktorového ověřování jako normy u sítí a informačních systémů; |
d) | používání kryptografie a šifrování, a zejména šifrování mezi koncovými body, a bezpečného digitálního podpis |
e) | případné zavedení zabezpečené hlasové, obrazové a textové komunikace a zabezpečených systémů tísňové komunikace v rámci subjektu Unie; |
f) | proaktivní opatření pro odhalování a odstraňování malwaru a špionážního softwaru; |
g) | zabezpečení softwarového dodavatelského řetězce prostřednictvím kritérií pro bezpečný vývoj a hodnocení softwaru; |
h) | vytvoření a zavedení programů odborné přípravy v oblasti kybernetické bezpečnosti odpovídajících úkolům a předpokládaným schopnostem nejvyšší úrovně vedení a zaměstnanců subjektu Unie pověřených zajištěním účinného provádění tohoto nařízení; |
i) | pravidelné školení zaměstnanců v oblasti kybernetické bezpečnosti; |
j) | v příslušných případech účast na analýzách rizik vzájemného propojení mezi subjekty Unie; |
k) | posílení pravidel pro zadávání veřejných zakázek s cílem usnadnit dosažení vysoké společné úrovně kybernetické bezpečnosti prostřednictvím:
|
Článek 8
Opatření k řízení kybernetických bezpečnostních rizik
1. Každý subjekt Unie pod dohledem své nejvyšší úrovně vedení bezodkladně a nejpozději do 8. září 2025 přijme odpovídající a přiměřená technická, operační a organizační opatření k řízení kybernetických bezpečnostních rizik zjištěných v rámci a k prevenci dopadů incidentů nebo jejich minimalizaci. S ohledem na nejnovější technologický vývoj a případně na příslušné evropské a mezinárodní normy zajistí tato opatření k řízení rizik takovou úroveň bezpečnosti sítí a informačních systémů v celém prostředí IKT, která je úměrná hrozícím kybernetickým bezpečnostním rizikům. Při posuzování přiměřenosti těchto opatření se náležitě zohlední míra expozice subjektu Unie kybernetickým bezpečnostním rizikům, jeho velikost, pravděpodobnost výskytu incidentů a jejich závažnost, včetně jejich společenského, hospodářského a interinstitucionálního dopadu.
2. Subjekty Unie se při provádění opatření k řízení kybernetických bezpečnostních rizik zaměřují alespoň na tyto oblasti:
a) | politiku kybernetické bezpečnosti, včetně opatření potřebných k dosažení cílů a priorit uvedených v čl. 6 odst. 3 tohoto článku; |
b) | politiku analýzy kybernetických bezpečnostních rizik a politiku bezpečnosti informačních systémů; |
c) | cíle politiky týkající se využívání služeb cloud computingu; |
d) | případně audit kybernetické bezpečnosti, který může zahrnovat posouzení kybernetických bezpečnostních rizik, zranitelností a kybernetických hrozeb a pravidelné penetrační testování prováděné důvěryhodným soukromým poskytovatelem; |
e) | provádění doporučení vyplývajících z auditů kybernetické bezpečnosti uvedených v písmenu d) prostřednictvím aktualizace systému a politiky kybernetické bezpečnosti; |
f) | organizaci systému kybernetické bezpečnosti, včetně vymezení úloh a odpovědnosti; |
g) | správu aktiv, včetně seznamu aktiv v oblasti IKT a mapování sítí IKT; |
h) | bezpečnost lidských zdrojů a kontrolu přístupu; |
i) | bezpečnost operací; |
j) | bezpečnost komunikací; |
k) | akvizici, vývoj a údržbu systému, včetně politiky zveřejňování informací o zranitelností a jejich řešení; |
l) | případné politiky v oblasti transparentnosti zdrojového kódu; |
m) | bezpečnost dodavatelského řetězce včetně aspektů souvisejících s bezpečností, které se týkají vztahů mezi každým subjektem Unie a jeho přímými dodavateli nebo poskytovateli služeb; |
n) | řešení incidentů a spolupráci se CERT-EU, jako je zajištění bezpečnostního monitorování a vedení protokolů bezpečnosti; |
o) | řízení kontinuity provozu, jako je správa zálohování a obnova provozu po havárii, a krizové řízení a |
p) | podporu a rozvoj vzdělávání, dovedností, zvyšování povědomí, cvičebních programů a programů odborné přípravy v oblasti kybernetické bezpečnosti. |
Pro účely prvního pododstavce písm. m) subjekty Unie zohlední zranitelnosti specifické pro každého přímého dodavatele a poskytovatele služeb a celkovou kvalitu produktů a postupů v oblasti kybernetické bezpečnosti svých dodavatelů a poskytovatelů služeb, včetně jejich postupů bezpečného vývoje.
3. Subjekty Unie přijmou alespoň tato konkrétní opatření pro řízení kybernetických bezpečnostních rizik:
a) | technická opatření umožňující a podporující práci z domova; |
b) | konkrétní kroky pro přechod k zásadám nulové důvěry; |
c) | používání vícefaktorového ověřování jako normy u sítí a informačních systémů; |
d) | používání kryptografie a šifrování, a zejména šifrování mezi koncovými body, a bezpečného digitálního podpis |
e) | případné zavedení zabezpečené hlasové, obrazové a textové komunikace a zabezpečených systémů tísňové komunikace v rámci subjektu Unie; |
f) | proaktivní opatření pro odhalování a odstraňování malwaru a špionážního softwaru; |
g) | zabezpečení softwarového dodavatelského řetězce prostřednictvím kritérií pro bezpečný vývoj a hodnocení softwaru; |
h) | vytvoření a zavedení programů odborné přípravy v oblasti kybernetické bezpečnosti odpovídajících úkolům a předpokládaným schopnostem nejvyšší úrovně vedení a zaměstnanců subjektu Unie pověřených zajištěním účinného provádění tohoto nařízení; |
i) | pravidelné školení zaměstnanců v oblasti kybernetické bezpečnosti; |
j) | v příslušných případech účast na analýzách rizik vzájemného propojení mezi subjekty Unie; |
k) | posílení pravidel pro zadávání veřejných zakázek s cílem usnadnit dosažení vysoké společné úrovně kybernetické bezpečnosti prostřednictvím:
|
whereas