keyboard_tab Cyber Resilience Act 2023/2841 CS
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Článek 6 Rámec pro řízení, správu a kontrolu kybernetických bezpečnostních rizik
- 4 Článek 12 Dodržování povinností
- 1 Článek 14 Pokyny, doporučení a výzvy k přijetí opatření
- 4 Článek 17 Spolupráce CERT-EU s protějšky v členských státech
- 2 Článek 21 Oznamovací povinnosti
- 1 Článek 22 Koordinace a spolupráce v rámci reakce na incidenty
KAPITOLA I
OBECNÁ USTANOVENÍ
KAPITOLA II
OPATŘENÍ K ZAJIŠTĚNÍ VYSOKÉ SPOLEČNÉ ÚROVNĚ KYBERNETICKÉ BEZPEČNOSTI
KAPITOLA III
INTERINSTITUCIONÁLNÍ VÝBOR PRO KYBERNETICKOU BEZPEČNOST
KAPITOLA IV
CERT-EU
KAPITOLA V
POVINNOSTI V OBLASTI SPOLUPRÁCE A OZNAMOVACÍ POVINNOSTI
KAPITOLA VI
ZÁVĚREČNÁ USTANOVENÍ
- unie 76
- nebo 44
- cert-eu 30
- subjektu 25
- subjekt 21
- podle 21
- opatření 19
- iicb 18
- tohoto 17
- kybernetické 17
- incidentu 17
- nařízení 16
- bezpečnosti 15
- informace 13
- kybernetických 12
- které 12
- může 12
- subjektů 11
- dotčený 10
- výbor 10
- kybernetickou 10
- incident 10
- bezpečnost 10
- odst 10
- doporučení 10
- článku 9
- subjekty 9
- dotčeného 9
- odkladu 9
- bezpečnostních 9
- incidentů 9
- zbytečného 9
- jeho 9
- dopad 8
- informací 8
- provádění 8
- rámec 8
- rizik 8
- pokud 8
- vedení 7
- případně 7
- včetně 7
- stanovené 7
- směrnice 6
- jsou 6
- eu / 6
- základě 6
- informuje 6
- Článek 6
- v oblasti 6
Článek 6
Rámec pro řízení, správu a kontrolu kybernetických bezpečnostních rizik
1. Do 8. dubna 2025 poté, co provede počáteční přezkum kybernetické bezpečnosti, jako je audit, zřídí každý subjekt Unie vnitřní rámec pro řízení, správu a kontrolu kybernetických bezpečnostních rizik (dále je „rámec“). Na zřízení rámce dohlíží nejvyšší úroveň vedení subjektu Unie a nese za něj odpovědnost.
2. Rámec zahrnuje celé neutajované prostředí IKT dotčeného subjektu Unie, včetně jakéhokoli prostředí IKT a sítí funkčních technologií v jeho prostorách, externě zajišťovaných aktiv a služeb v prostředí cloud computingu nebo hostovaných třetími stranami, mobilních zařízení, podnikových sítí, obchodních sítí nepřipojených k internetu a jakýchkoli zařízení připojených k těmto prostředím (dále jen „prostředí IKT“). Rámec je založen na přístupu zohledňujícím všechna rizika.
3. Rámec zajišťuje vysokou úroveň kybernetické bezpečnosti. Rámec stanovuje vnitřní politiky kybernetické bezpečnosti, včetně cílů a priorit, pro bezpečnost sítí a informačních systémů a úlohy a povinnosti zaměstnanců subjektu Unie, jejichž úkolem je zajistit účinné provádění tohoto nařízení. Rámec rovněž zahrnuje mechanismy pro měření účinnosti provádění.
4. Rámec je pravidelně přezkoumáván v kontextu měnících se kybernetických bezpečnostních rizik, nejméně však jednou za čtyři roky. Rámec subjektu Unie může být v případě potřeby a v návaznosti na žádost interinstitucionálního výboru pro kybernetickou bezpečnost zřízeného podle článku 10 aktualizován na základě pokynů CERT-EU týkajících se zjištěných incidentů nebo možných nedostatků v provádění tohoto nařízení.
5. Nejvyšší úroveň vedení každého subjektu Unie odpovídá za provádění tohoto nařízení a dohlíží na to, zda jeho organizace povinnosti související s rámcem plní.
6. V případě potřeby, a aniž je dotčena jeho odpovědnost za provádění tohoto nařízení, může nejvyšší úroveň vedení každého subjektu Unie přenést určité povinnosti podle tohoto nařízení na vyšší vedoucí pracovníky ve smyslu čl. 29 odst. 2 služebního řádu nebo jiné úředníky na rovnocenné úrovni v rámci dotčeného subjektu Unie. Bez ohledu na takové přenesení pravomoci může být nejvyšší úroveň vedení činěna odpovědnou za porušení tohoto nařízení dotčeným subjektem Unie.
7. Každý subjekt Unie má zaveden účinný mechanismus zajišťující, že přiměřená část rozpočtu na IKT bude vynaložena na kybernetickou bezpečnost. Při stanovování tohoto procentního podílu se náležitě zohlední rámec.
8. Každý subjekt Unie jmenuje místního referenta pro kybernetickou bezpečnost nebo osobu vykonávající rovnocennou funkci, kteří působí jako jediné kontaktní místo ve vztahu ke všem aspektům kybernetické bezpečnosti. Místní referent pro kybernetickou bezpečnost usnadňuje provádění tohoto nařízení a o stavu provádění pravidelně přímo informuje nejvyšší úroveň vedení. Aniž je dotčena skutečnost, že místní referent pro kybernetickou bezpečnost je v každém subjektu Unie jediným kontaktním místem, může subjekt Unie přenést některé úkoly místního referenta pro kybernetickou bezpečnost, pokud jde o provádění tohoto nařízení, na CERT-EU, a to na základě smlouvy o poskytování služeb uzavřené mezi tímto subjektem Unie a CERT-EU, nebo tyto úkoly může sdílet několik subjektů Unie. Pokud jsou tyto úkoly přeneseny na CERT-EU, rozhodne interinstitucionální výbor pro kybernetickou bezpečnost zřízený podle článku 10, zda bude tato služba poskytována jako součást základních služeb CERT-EU, a to s přihlédnutím k lidským a finančním zdrojům dotčeného subjektu Unie. Každý subjekt Unie oznámí CERT-EU neprodleně jmenovaného místního referenta pro kybernetickou bezpečnost a veškeré jeho následné změny.
CERT-EU zřídí a vede aktuální seznam jmenovaných místních referentů pro kybernetickou bezpečnost.
9. Vyšší vedoucí pracovníci ve smyslu čl. 29 odst. 2 služebního řádu nebo jiní úředníci na rovnocenné úrovni v rámci dotčeného subjektu Unie, jakož i všichni příslušní pracovníci pověření prováděním opatření a plněním povinností v oblasti řízení kybernetických bezpečnostních rizik stanovených v tomto nařízení pravidelně absolvují zvláštní školení s cílem získat dostatečné znalosti a dovednosti posouzení a vyhodnocení postupů v oblasti kybernetických bezpečnostních rizik a jejich dopadu na provoz subjektu Unie.
Článek 12
Dodržování povinností
1. Výbor IICB v souladu s čl. 10 odst. 2 a článkem 11 účinně sleduje provádění tohoto nařízení a přijatých pokynů, doporučení a výzev k přijetí opatření ze strany subjektů Unie. Výbor IICB si může od subjektů Unie vyžádat informace nebo dokumentaci, které jsou pro tento účel nezbytné. Pokud je dotčený subjekt Unie přímo ve výboru IICB zastoupen, nemá pro účely přijetí opatření k zajištění plnění povinností podle tohoto článku hlasovací práva.
2. Pokud výbor IICB zjistí, že některý subjekt Unie toto nařízení nebo pokyny, doporučení či výzvy k přijetí opatření vydané podle tohoto nařízení účinně neprovedl, aniž by byly dotčeny interní postupy dotčeného subjektu Unie, a poté, co subjektu Unie umožní přednést jeho připomínky, může:
| a) | předložit dotčenému subjektu Unie odůvodněné stanovisko se zjištěnými nedostatky při uplatňování tohoto nařízení; |
| b) | poskytnout dotčenému subjektu Unie po konzultaci se CERT-EU pokyny s cílem zajistit, aby jeho rámec, opatření k řízení kybernetických bezpečnostních rizik, plán kybernetické bezpečnosti a podávání zpráv byly ve stanovené lhůtě v souladu s tímto nařízením; |
| c) | vydat varování s cílem řešit zjištěné nedostatky ve stanovené lhůtě, včetně doporučení ke změně opatření přijatých dotčeným subjektem Unie na základě tohoto nařízení; |
| d) | vydat dotčenému subjektu Unie odůvodněné oznámení v případě, že nedostatky uvedené ve varování vydaném podle písmene c) nebyly ve stanovené lhůtě dostatečně vyřešeny; |
| e) | vydat:
|
| f) | v příslušných případech informovat Účetní dvůr v rámci jeho mandátu o údajném nedodržení povinností; |
| g) | vydat doporučení, aby všechny členské státy a subjekty Unie dočasně pozastavily datové toky do dotčeného subjektu Unie. |
Pro účely prvního pododstavce písm. c), je-li to nezbytné s ohledem na kybernetické bezpečnostní riziko, je počet příjemců varování přiměřeně omezen.
Varování a doporučení vydaná podle prvního pododstavce jsou určena nejvyšší úrovni vedení dotčeného subjektu Unie.
3. Pokud výbor IICB přijal opatření podle odst. 2 prvního pododstavce písm. a) až g), dotčený subjekt Unie podrobně informuje o opatřeních a krocích, které k řešení údajných nedostatků zjištěných výborem IICB přijal. Tyto podrobné informace subjekt Unie podá v přiměřené lhůtě dohodnuté s výborem IICB.
4. Pokud se výbor IICB domnívá, že subjekt Unie trvale porušuje toto nařízení a že toto porušování vyplývá přímo z jednání nebo opomenutí úředníka nebo jiného zaměstnance Unie, a to i na nejvyšší úrovni vedení, požádá výbor IICB dotčený subjekt Unie, aby přijal příslušná opatření, přičemž jej může požádat i o to, aby zvážil přijetí opatření disciplinární povahy v souladu s pravidly a postupy stanovenými ve služebním řádu a jakýmikoli dalšími platnými pravidly a postupy. Za tímto účelem výbor IICB předá dotčenému subjektu Unie nezbytné informace.
5. Pokud subjekty Unie oznámí, že nejsou schopny dodržet lhůty stanovené v čl. 6 odst. 1 a čl. 8 odst. 1, může výbor IICB v řádně odůvodněných případech a s ohledem na velikost subjektu Unie povolit prodloužení těchto lhůt.
KAPITOLA IV
CERT-EU
Článek 14
Pokyny, doporučení a výzvy k přijetí opatření
1. CERT-EU podporuje provádění tohoto nařízení vydáváním:
| a) | výzev k přijetí opatření popisujících naléhavá bezpečnostní opatření, jejichž přijetí ve stanovené lhůtě je vyžadováno od subjektů Unie; |
| b) | návrhů pokynů určených všem subjektům Unie nebo jejich části, které předkládá výboru IICB; |
| c) | návrhů doporučení určených jednotlivým subjektům Unie, které předkládá výboru IICB. |
Pokud jde o první pododstavec písm. a), dotčený subjekt Unie bez zbytečného odkladu po obdržení výzvy k přijetí opatření informuje CERT-EU o tom, jak byla naléhavá bezpečnostní opatření uplatněna.
2. Pokyny a doporučení mohou obsahovat:
| a) | společné metodiky a model pro hodnocení vyspělosti kybernetické bezpečnosti subjektů Unie, včetně odpovídajících měřítek nebo klíčových ukazatelů výkonnosti, které slouží jako reference na podporu soustavného zlepšování kybernetické bezpečnosti ve všech subjektech Unie a usnadňují stanovení priorit pro oblasti kybernetické bezpečnosti a opatření s ohledem na stav subjektů z hlediska kybernetické bezpečnosti; |
| b) | postupy pro řízení kybernetických bezpečnostních rizik a opatření k řízení kybernetických bezpečnostních rizik nebo jejich vylepšení; |
| c) | postupy pro hodnocení vyspělosti kybernetické bezpečnosti a postupy pro plány kybernetické bezpečnosti; |
| d) | případně využití společných technologií, architektury, otevřených zdrojů a souvisejících osvědčených postupů s cílem dosáhnout interoperability a společných norem, včetně koordinovaného přístupu k bezpečnosti dodavatelského řetězce; |
| e) | případné informace k usnadnění používání nástrojů kolaborativního zadávání veřejných zakázek pro nákup příslušných služeb a produktů v oblasti kybernetické bezpečnosti od dodavatelů, kteří jsou třetími stranami; |
| f) | ujednání o sdílení informací podle článku 20. |
Článek 17
Spolupráce CERT-EU s protějšky v členských státech
1. CERT-EU bez zbytečného odkladu spolupracuje s protějšky z členských států, zejména týmy CSIRT určenými nebo zřízenými podle článku 10 směrnice (EU) 2022/2555, nebo případně s příslušnými orgány a jednotnými kontaktními místy určenými nebo zřízenými podle článku 8 uvedené směrnice a vyměňuje si s nimi informace ohledně incidentů, kybernetických hrozeb, zranitelností, významných událostí, možných protiopatření, jakož i o osvědčených postupech, a o veškerých záležitostech, které mají význam pro zlepšení ochrany prostředí IKT subjektů Unie, a to i prostřednictvím sítě týmů CSIRT zřízené podle článku 15 směrnice (EU) 2022/2555. CERT-EU podporuje Komisi v rámci sítě EU-CyCLONe zřízené podle článku 16 o koordinovaném řešení rozsáhlých kybernetických bezpečnostních incidentů a krizí ve směrnici (EU) 2022/2555.
2. Pokud se CERT-EU dozví o významném incidentu, k němuž dojde na území členského státu, neprodleně informuje všechny příslušné protějšky v daném členském státě v souladu s odstavcem 1.
3. Je-li v souladu s právem Unie na ochranu osobních údajů zajištěna ochrana osobních údajů, CERT-EU si s vnitrostátními protějšky v členských státech bez zbytečného odkladu vymění příslušné informace týkající se konkrétních incidentů, které mohou usnadnit odhalování obdobných kybernetických hrozeb nebo incidentů nebo přispět k analýze incidentu, a to bez povolení dotčeného subjektu Unie. CERT-EU vyměňuje informace týkající se konkrétních incidentů, které odhalují totožnost cíle kybernetického bezpečnostního incidentu, pouze pokud nastane některý u z těchto případů:
| a) | dotčený subjekt Unie udělil svůj souhlas; |
| b) | dotčený subjekt Unie neudělil svůj souhlas, jak je stanoveno v písmenu a), ale zveřejnění totožnosti dotčeného subjektu Unie by zvýšilo pravděpodobnost, že se zabrání incidentům v jiných oblastech nebo se zmírní jejich následky; |
| c) | dotčený subjekt Unie již zveřejnil, že byl obětí incidentu. |
Rozhodnutí o výměně informací týkajících se konkrétního incidentu, které odhalují totožnost cíle incidentu podle prvního pododstavce písm. b), schvaluje vedoucí CERT-EU. Před vydáním takového rozhodnutí kontaktuje CERT-EU dotčený subjekt Unie písemně a jasně vysvětlí, jak by zveřejnění jeho totožnosti pomohlo zabránit incidentům v jiných oblastech nebo je zmírnit. Vedoucí CERT-EU poskytne vysvětlení a výslovně požádá subjekt Unie, aby ve stanovené lhůtě uvedl, zda souhlasí. Vedoucí CERT-EU rovněž informuje subjekt Unie o tom, že si s ohledem na poskytnuté vysvětlení vyhrazuje právo informace zveřejnit i bez souhlasu. dotčený subjekt Unie je informován před zveřejněním informací.
Článek 21
Oznamovací povinnosti
1. Incident se považuje za závažný, pokud:
| a) | způsobil nebo může způsobit vážné provozní narušení fungování subjektu Unie nebo finanční ztrátu pro dotčený subjekt Unie; |
| b) | způsobil nebo může způsobit jiným fyzickým nebo právnickým osobám značnou hmotnou nebo nehmotnou újmu. |
2. Subjekty Unie předloží CERT-EU:
| a) | bez zbytečného odkladu a v každém případě do 24 hodin po zjištění významného incidentu, včasné varování, v němž případně uvedou, zda se domnívají, že byl významného incident způsoben nezákonným nebo nepřátelským jednáním nebo že by mohl mít dopad na různé subjekty nebo přeshraniční dopad; |
| b) | bez zbytečného odkladu a v každém případě do 72 hodin po zjištění významného incidentu, oznámení incidentu, v němž případně aktualizují informace uvedené v písmenu a) a předloží počáteční posouzení významného incidentu včetně jeho závažnosti a dopadu a, pokud jsou k dispozici, indikátory narušení; |
| c) | na žádost CERT-EU průběžnou zprávu o příslušném aktuálním vývoji situace; |
| d) | nejpozději do jednoho měsíce od předložení oznámení incidentu podle písmene b) závěrečnou zprávu zahrnující:
|
| e) | v případě, že v době předložení závěrečné zprávy podle písmene d) incident stále trvá, zprávu o pokroku k danému okamžiku a závěrečnou zprávu do jednoho měsíce od vyřešení incidentu. |
3. Subjekt Unie bez zbytečného odkladu a v každém případě do 24 hodin od okamžiku, kdy se o významnému incidentu dozvěděl, informuje všechny příslušné protějšky z členských států uvedené v čl. 17 odst. 1 v členském státě, v němž se nachází, o tom, že došlo k významnému incidentu.
4. Subjekty Unie oznámí mimo jiné veškeré informace, které CERT-EU umožní určit jakýkoli dopad na všechny subjekty, dopad na hostitelský členský stát nebo přeshraniční dopad významného incidentu. Aniž je dotčen článek 12, pouhé oznámení nepředstavuje pro subjekt Unie vyšší míru právní odpovědnosti.
5. V příslušných případech subjekty Unie bez zbytečného odkladu sdělí uživatelům dotčených sítí a informačních systémů nebo jiných složek prostředí IKT, kteří jsou potenciálně dotčeni významným incidentem nebo významnou kybernetickou hrozbou a případně potřebují přijmout zmírňující opatření, jakákoli opatření nebo nápravná opatření, která mohou být v reakci na uvedený incident nebo hrozbu přijata. Subjekty Unie případně informují tyto uživatele o samotné významné kybernetické hrozbě.
6. Pokud se významný incident nebo významná kybernetická hrozba dotýká sítě a informačního systému nebo složky prostředí IKT subjektu Unie, která je úmyslně propojena s prostředím IKT jiného subjektu Unie, vydá CERT-EU příslušné bezpečnostní varování.
7. Subjekty Unie na žádost CERT-EU a bez zbytečného odkladu poskytnou CERT-EU digitální informace vytvořené pomocí elektronických zařízení zapojených do příslušných incidentů. CERT-EU může poskytnout další podrobnosti o typech informací, které pro účely situačního přehledu a reakce na incident požaduje.
8. CERT-EU předkládá každé tři měsíce výboru IICB, ENISA, EU INTCEN a síti týmů CSIRT souhrnnou zprávu obsahující anonymizované a agregované údaje o významných incidentech, incidentech, kybernetických hrozbách, významných událostech a zranitelnostech podle článku 20, a významných incidentech oznámených podle odstavce 2 tohoto článku. Souhrnná zpráva je podkladem pro dvouletou zprávu o stavu kybernetické bezpečnosti v Unii přijatou podle článku 18 směrnice (EU) 2022/2555.
9. Výbor IICB do 8. července 2024 vydá pokyny nebo doporučení, v nichž blíže upřesní způsoby, formát a obsah oznamování podle tohoto článku. Při přípravě těchto pokynů nebo doporučení výbor IICB zohlední veškeré prováděcí akty přijaté podle čl. 23 odst. 11 směrnice (EU) 2022/2555, které blíže stanoví druh informací, formát a postup oznámení. CERT-EU šíří vhodné technické údaje s cílem umožnit aktivní odhalování incidentů, reakci na incidenty nebo opatření ke zmírnění dopadů incidentů ze strany subjektů Unie.
10. Oznamovací povinnosti stanovené v tomto článku se nevztahují na:
| a) | utajované informace EU; |
| b) | informace, jejichž další šíření bylo vyloučeno viditelným označením, pokud jejich sdílení se CERT-EU nebylo výslovně povoleno. |
Článek 22
Koordinace a spolupráce v rámci reakce na incidenty
1. CERT-EU, která působí jako středisko pro výměnu informací v oblasti kybernetické bezpečnosti a pro koordinaci reakcí na incidenty, usnadňuje výměnu informací o kybernetických hrozbách, zranitelnostech a významných událostech mezi:
| a) | subjekty Unie; |
| b) | protějšky uvedenými v článcích 17 a 18. |
2. CERT-EU, případně v úzké spolupráci s ENISA, usnadňuje koordinaci reakcí subjektů Unie na incidenty, včetně:
| a) | přispívání k jednotné vnější komunikaci; |
| b) | vzájemné podpory, jako je sdílení informací relevantních pro subjekty Unie nebo poskytování pomoci, je-li to relevantní, přímo na místě; |
| c) | optimálního využití operativních zdrojů; |
| d) | koordinace s dalšími mechanismy reakce na krizové situace na úrovni Unie. |
3. CERT-EU v úzké spolupráci s ENISA podporuje subjekty Unie v oblasti situačního povědomí o kybernetických hrozbách, zranitelnostech a významných událostech, jakož i ve sdílení relevantního vývoje v oblasti kybernetické bezpečnosti.
4. Výbor IICB do 8. ledna 2025 přijme na základě návrhu CERT-EU pokyny nebo doporučení pro koordinaci reakcí na incidenty a pro spolupráci při významných incidentech. Pokud existuje podezření, že incident má povahu trestného činu, poskytne CERT-EU bez zbytečného odkladu poradenství k tomu, jak oznámit tento incident donucovacím orgánům.
5. Na základě konkrétní žádosti členského státu a se souhlasem dotčených subjektů Unie může CERT-EU vyzvat odborníky ze seznamu uvedeného v čl. 23 odst. 4, aby přispěli k reakci na závažný incident, který má v daném členském státě dopad, nebo na rozsáhlý kybernetický bezpečnostní incident v souladu s čl. 15 odst. 3 písm. g) směrnice (EU) 2022/2555. Zvláštní pravidla pro přístup k technickým odborníkům ze subjektů Unie a jejich využívání schvaluje výbor IICB na základě návrhu CERT-EU.
whereas