keyboard_tab Cyber Resilience Act 2023/2841 CS

1.   Každý subjekt Unie pod dohledem své nejvyšší úrovně vedení bezodkladně a nejpozději do 8. září 2025 přijme odpovídající a přiměřená technická, operační a organizační opatření k řízení kybernetických bezpečnostních rizik zjištěných v rámci a k prevenci dopadů incidentů nebo jejich minimalizaci. S ohledem na nejnovější technologický vývoj a případně na příslušné evropské a mezinárodní normy zajistí tato opatření k řízení rizik takovou úroveň bezpečnosti sítí a informačních systémů v celém prostředí IKT, která je úměrná hrozícím kybernetickým bezpečnostním rizikům. Při posuzování přiměřenosti těchto opatření se náležitě zohlední míra expozice subjektu Unie kybernetickým bezpečnostním rizikům, jeho velikost, pravděpodobnost výskytu incidentů a jejich závažnost, včetně jejich společenského, hospodářského a interinstitucionálního dopadu.

2.   subjekty Unie se při provádění opatření k řízení kybernetických bezpečnostních rizik zaměřují alespoň na tyto oblasti:

a)	politiku kybernetické bezpečnosti, včetně opatření potřebných k dosažení cílů a priorit uvedených v čl. 6 odst. 3 tohoto článku;

b)	politiku analýzy kybernetických bezpečnostních rizik a politiku bezpečnosti informačních systémů;

c)	cíle politiky týkající se využívání služeb cloud computingu;

d)	případně audit kybernetické bezpečnosti, který může zahrnovat posouzení kybernetických bezpečnostních rizik, zranitelností a kybernetických hrozeb a pravidelné penetrační testování prováděné důvěryhodným soukromým poskytovatelem;

e)	provádění doporučení vyplývajících z auditů kybernetické bezpečnosti uvedených v písmenu d) prostřednictvím aktualizace systému a politiky kybernetické bezpečnosti;

f)	organizaci systému kybernetické bezpečnosti, včetně vymezení úloh a odpovědnosti;

g)	správu aktiv, včetně seznamu aktiv v oblasti IKT a mapování sítí IKT;

h)	bezpečnost lidských zdrojů a kontrolu přístupu;

i)	bezpečnost operací;

j)	bezpečnost komunikací;

k)	akvizici, vývoj a údržbu systému, včetně politiky zveřejňování informací o zranitelností a jejich řešení;

l)	případné politiky v oblasti transparentnosti zdrojového kódu;

m)	bezpečnost dodavatelského řetězce včetně aspektů souvisejících s bezpečností, které se týkají vztahů mezi každým subjektem Unie a jeho přímými dodavateli nebo poskytovateli služeb;

n)	řešení incidentů a spolupráci se CERT-EU, jako je zajištění bezpečnostního monitorování a vedení protokolů bezpečnosti;

o)	řízení kontinuity provozu, jako je správa zálohování a obnova provozu po havárii, a krizové řízení a

p)	podporu a rozvoj vzdělávání, dovedností, zvyšování povědomí, cvičebních programů a programů odborné přípravy v oblasti kybernetické bezpečnosti.

Pro účely prvního pododstavce písm. m) subjekty Unie zohlední zranitelnosti specifické pro každého přímého dodavatele a poskytovatele služeb a celkovou kvalitu produktů a postupů v oblasti kybernetické bezpečnosti svých dodavatelů a poskytovatelů služeb, včetně jejich postupů bezpečného vývoje.

3.   subjekty Unie přijmou alespoň tato konkrétní opatření pro řízení kybernetických bezpečnostních rizik:

a)	technická opatření umožňující a podporující práci z domova;

b)	konkrétní kroky pro přechod k zásadám nulové důvěry;

c)	používání vícefaktorového ověřování jako normy u sítí a informačních systémů;

d)	používání kryptografie a šifrování, a zejména šifrování mezi koncovými body, a bezpečného digitálního podpis

e)	případné zavedení zabezpečené hlasové, obrazové a textové komunikace a zabezpečených systémů tísňové komunikace v rámci subjektu Unie;

f)	proaktivní opatření pro odhalování a odstraňování malwaru a špionážního softwaru;

g)	zabezpečení softwarového dodavatelského řetězce prostřednictvím kritérií pro bezpečný vývoj a hodnocení softwaru;

h)	vytvoření a zavedení programů odborné přípravy v oblasti kybernetické bezpečnosti odpovídajících úkolům a předpokládaným schopnostem nejvyšší úrovně vedení a zaměstnanců subjektu Unie pověřených zajištěním účinného provádění tohoto nařízení;

i)	pravidelné školení zaměstnanců v oblasti kybernetické bezpečnosti;

j)	v příslušných případech účast na analýzách rizik vzájemného propojení mezi subjekty Unie;

k)

posílení pravidel pro zadávání veřejných zakázek s cílem usnadnit dosažení vysoké společné úrovně kybernetické bezpečnosti prostřednictvím: i) odstranění smluvních překážek, které omezují sdílení informací ohledně incidentů, zranitelností a kybernetických hrozeb obdržených od poskytovatelů služeb IKT se CERT-EU, ii) smluvní povinnosti hlásit incidenty, zranitelnosti a kybernetické hrozby a disponovat vhodnými mechanismy reakce na incidenty a jejich monitorování.

1.   CERT-EU se začlení do správní struktury generálního ředitelství Komise, aby mohlo využívat podpůrné struktury Komise v oblasti správy, finančního řízení a účetnictví, přičemž si zachová své postavení samostatného interinstitucionálního poskytovatele služeb pro všechny subjekty Unie. Komise informuje výbor IICB o administrativním umístění CERT-EU a případných změnách tohoto umístění. Komise pravidelně přezkoumává správní ujednání týkající se CERT-EU a v každém případě před zavedením každého víceletého finančního rámce podle článku 312 Smlouvy o fungování EU, aby bylo možné přijmout vhodná opatření. Přezkum zahrne možnost zřízení CERT-EU jako úřadu Unie.

2.   Při uplatňování administrativních a finančních postupů jedná vedoucí CERT-EU z pověření Komise a pod dohledem výboru IICB.

3.   Úkoly a činnosti CERT-EU, včetně služeb poskytovaných CERT-EU podle čl. 13 odst. 3, 4 a 5 a 7 a čl. 14 odst. 1 subjektům Unie financovaným z okruhu víceletého finančního rámce vyhrazeného evropské veřejné správě jsou financovány prostřednictvím samostatné rozpočtové položky rozpočtu Komise. Místa vyčleněná pro CERT-EU jsou podrobně popsána v poznámce pod čarou k plánu pracovních míst Komise.

4.   subjekty Unie jiné než subjekty Unie uvedené v odstavci 3 tohoto článku každoročně finančně přispívají CERT-EU na úhradu služeb poskytovaných CERT-EU podle uvedeného odstavce. Příspěvky vycházejí z pokynů vydaných výborem IICB a dohodnutých mezi každým subjektem Unie a CERT-EU ve smlouvách o poskytování služeb. Příspěvky představují spravedlivý a přiměřený podíl na celkových nákladech na poskytované služby. Převádějí se na samostatnou rozpočtovou položku uvedenou v odstavci 3 tohoto článku jakožto účelově vázaný příjem stanovený v čl. 21 odst. 3 písm. c) nařízení (EU, Euratom) 2018/1046.

5.   Náklady na úkoly stanovené v čl. 13 odst. 6 jsou hrazeny subjekty Unie, které jsou příjemci služeb CERT-EU. Příjmy jsou účelově vázány na rozpočtové položky pokrývající náklady.

1.   subjekty Unie a CERT-EU musejí dodržovat povinnost zachování profesního tajemství v souladu s článkem 339 Smlouvy o fungování EU nebo s rovnocennými použitelnými rámci.

2.   V souvislosti se žádostmi o přístup veřejnosti k dokumentům v držení CERT-EU se použije nařízení Evropského parlamentu a Rady (ES) č. 1049/2001 (10), včetně povinnosti podle uvedeného nařízení konzultovat jiné subjekty Unie nebo případně členskými státy, pokud se žádost týká jejich dokumentů.

3.   Nakládání s informacemi ze strany subjektů Unie a CERT-EU musí být v souladu s platnými pravidly o zajištění bezpečnosti informací.

1.   subjekty Unie mohou dobrovolně oznamovat CERT-EU incidenty, kybernetické hrozby, významné události a zranitelnosti, které se jich týkají, a poskytovat o nich informace. CERT-EU zajistí, aby v zájmu usnadnění sdílení informací se subjekty Unie byly k dispozici účinné komunikační prostředky s vysokou úrovní sledovatelnosti, důvěrnosti a spolehlivosti. Při zpracování oznámení může CERT-EU upřednostnit zpracování povinných oznámení před dobrovolnými oznámeními. Aniž je dotčen článek 12, při dobrovolném oznámení nemohou být oznamujícímu subjektu Unie uloženy žádné další povinnosti než ty, které by mu byly uloženy, kdyby toto oznámení neučinil.

2.   K plnění svého poslání a úkolů svěřených podle článku 13 může CERT-EU požádat subjekty Unie o poskytnutí informací z příslušných soupisů jejich systémů IKT, včetně informací o kybernetických hrozbách, významných událostech, zranitelnostech, indikátorech narušení, varováních při ohrožení kybernetické bezpečnosti a doporučeních týkajících se konfigurace nástrojů kybernetické bezpečnosti určených k odhalování kybernetických incidentů. Dožádaný subjekt Unie bez zbytečného odkladu předá požadované informace a všechny jejich následné aktualizace.

3.   CERT-EU si může se subjekty Unie vyměňovat informace týkající se konkrétního incidentu, které odhalují totožnost subjektu Unie, jehož se incident týká, pouze se souhlasem tohoto subjektu. Pokud subjekt Unie odmítne udělit svůj souhlas, poskytne CERT-EU důvody svého rozhodnutí.

4.   subjekty Unie na požádání sdílejí s Evropským parlamentem a Radou informace o dokončení plánů kybernetické bezpečnosti.

5.   Výbor IICB nebo případně CERT-EU na požádání sdílí s Evropským parlamentem a Radou pokyny, doporučení a výzvy k přijetí opatření.

6.   Povinnosti související se sdílením informací stanovené v tomto článku se nevztahují na:

a)	utajované informace EU;

b)	informace, jejichž další šíření bylo vyloučeno viditelným označením, pokud jejich sdílení se CERT-EU nebylo výslovně povoleno..

1.   Incident se považuje za závažný, pokud:

a)	způsobil nebo může způsobit vážné provozní narušení fungování subjektu Unie nebo finanční ztrátu pro dotčený subjekt Unie;

b)	způsobil nebo může způsobit jiným fyzickým nebo právnickým osobám značnou hmotnou nebo nehmotnou újmu.

2.   subjekty Unie předloží CERT-EU:

a)	bez zbytečného odkladu a v každém případě do 24 hodin po zjištění významného incidentu, včasné varování, v němž případně uvedou, zda se domnívají, že byl významného incident způsoben nezákonným nebo nepřátelským jednáním nebo že by mohl mít dopad na různé subjekty nebo přeshraniční dopad;

b)	bez zbytečného odkladu a v každém případě do 72 hodin po zjištění významného incidentu, oznámení incidentu, v němž případně aktualizují informace uvedené v písmenu a) a předloží počáteční posouzení významného incidentu včetně jeho závažnosti a dopadu a, pokud jsou k dispozici, indikátory narušení;

c)	na žádost CERT-EU průběžnou zprávu o příslušném aktuálním vývoji situace;

d)

nejpozději do jednoho měsíce od předložení oznámení incidentu podle písmene b) závěrečnou zprávu zahrnující: i) podrobný popis incidentu včetně jeho závažnosti a dopadu; ii) druh hrozby nebo základní příčinu, která incident pravděpodobně spustila; iii) učiněná a probíhající opatření ke zmírnění následků; iv) případně přeshraniční dopad incidentu nebo dopad na různé subjekty;

e)	v případě, že v době předložení závěrečné zprávy podle písmene d) incident stále trvá, zprávu o pokroku k danému okamžiku a závěrečnou zprávu do jednoho měsíce od vyřešení incidentu.

3.   Subjekt Unie bez zbytečného odkladu a v každém případě do 24 hodin od okamžiku, kdy se o významnému incidentu dozvěděl, informuje všechny příslušné protějšky z členských států uvedené v čl. 17 odst. 1 v členském státě, v němž se nachází, o tom, že došlo k významnému incidentu.

4.   subjekty Unie oznámí mimo jiné veškeré informace, které CERT-EU umožní určit jakýkoli dopad na všechny subjekty, dopad na hostitelský členský stát nebo přeshraniční dopad významného incidentu. Aniž je dotčen článek 12, pouhé oznámení nepředstavuje pro subjekt Unie vyšší míru právní odpovědnosti.

5.   V příslušných případech subjekty Unie bez zbytečného odkladu sdělí uživatelům dotčených sítí a informačních systémů nebo jiných složek prostředí IKT, kteří jsou potenciálně dotčeni významným incidentem nebo významnou kybernetickou hrozbou a případně potřebují přijmout zmírňující opatření, jakákoli opatření nebo nápravná opatření, která mohou být v reakci na uvedený incident nebo hrozbu přijata. Subjekty Unie případně informují tyto uživatele o samotné významné kybernetické hrozbě.

6.   Pokud se významný incident nebo významná kybernetická hrozba dotýká sítě a informačního systému nebo složky prostředí IKT subjektu Unie, která je úmyslně propojena s prostředím IKT jiného subjektu Unie, vydá CERT-EU příslušné bezpečnostní varování.

7.   subjekty Unie na žádost CERT-EU a bez zbytečného odkladu poskytnou CERT-EU digitální informace vytvořené pomocí elektronických zařízení zapojených do příslušných incidentů. CERT-EU může poskytnout další podrobnosti o typech informací, které pro účely situačního přehledu a reakce na incident požaduje.

8.   CERT-EU předkládá každé tři měsíce výboru IICB, ENISA, EU INTCEN a síti týmů CSIRT souhrnnou zprávu obsahující anonymizované a agregované údaje o významných incidentech, incidentech, kybernetických hrozbách, významných událostech a zranitelnostech podle článku 20, a významných incidentech oznámených podle odstavce 2 tohoto článku. Souhrnná zpráva je podkladem pro dvouletou zprávu o stavu kybernetické bezpečnosti v Unii přijatou podle článku 18 směrnice (EU) 2022/2555.

9.   Výbor IICB do 8. července 2024 vydá pokyny nebo doporučení, v nichž blíže upřesní způsoby, formát a obsah oznamování podle tohoto článku. Při přípravě těchto pokynů nebo doporučení výbor IICB zohlední veškeré prováděcí akty přijaté podle čl. 23 odst. 11 směrnice (EU) 2022/2555, které blíže stanoví druh informací, formát a postup oznámení. CERT-EU šíří vhodné technické údaje s cílem umožnit aktivní odhalování incidentů, reakci na incidenty nebo opatření ke zmírnění dopadů incidentů ze strany subjektů Unie.

10.   Oznamovací povinnosti stanovené v tomto článku se nevztahují na:

a)	utajované informace EU;

b)	informace, jejichž další šíření bylo vyloučeno viditelným označením, pokud jejich sdílení se CERT-EU nebylo výslovně povoleno.

1.   S cílem podpořit koordinované řešení závažných incidentů na operační úrovni, které mají dopad na subjekty Unie, a přispět k pravidelné výměně relevantních informací mezi subjekty Unie a s členskými státy vypracuje výbor IICB v úzké spolupráci se CERT-EU a ENISA plán řešení kybernetické krize na základě činností uvedených v čl. 22 odst. 2. Plán řešení kybernetické krize obsahuje alespoň tyto prvky:

a)	postupy týkající se koordinace a toku informací mezi subjekty Unie za účelem řešení závažných incidentů na operační úrovni;

b)	společné standardní operační postupy (SOP);

c)	společné názvosloví pro závažnost závažných incidentů a spouštěcí body krize;

d)	pravidelná cvičení;

e)	zabezpečené komunikační kanály, jež mají být používány.

2.   Na základě plánu řešení kybernetické krize vypracovaného podle odstavce 1 tohoto článku, a aniž je dotčen čl. 16 odst. 2 první pododstavec směrnice (EU) 2022/2555, je zástupce Komise ve výboru IICB kontaktním místem pro sdílení příslušných informací týkajících se závažných incidentů se sítí EU-CyCLONe.

3.   CERT-CE koordinuje subjekty Unie při řešení závažných incidentů. Vede seznam dostupných technických odborných znalostí, které by v případě závažných incidentů byly potřebné pro reakci, a pomáhá výboru IICB při koordinaci plánů subjektů Unie pro řešení kybernetických krizí v případě závažných incidentů uvedených v čl. 9 odst. 2.

4.   subjekty Unie přispívají k seznamu technických odborných znalostí tím, že poskytují každoročně aktualizovaný seznam odborníků, kteří jsou k dispozici v rámci jejich příslušných organizací, s podrobným uvedením jejich konkrétních technických dovedností.