keyboard_tab Cyber Resilience Act 2023/2841 CS
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 4 Článek 6 Rámec pro řízení, správu a kontrolu kybernetických bezpečnostních rizik
- 1 Článek 7 Hodnocení vyspělosti kybernetické bezpečnosti
- 2 Článek 8 Opatření k řízení kybernetických bezpečnostních rizik
- 4 Článek 10 Interinstitucionální výbor pro kybernetickou bezpečnost
- 2 Článek 11 Úkoly výboru IICB
- 3 Článek 12 Dodržování povinností
- 1 Článek 13 Poslání a úkoly CERT-EU
- 1 Článek 15 Vedoucí CERT-EU
- 1 Článek 17 Spolupráce CERT-EU s protějšky v členských státech
- 2 Článek 18 Spolupráce CERT-EU s dalšími protějšky
- 1 Článek 20 Ujednání o sdílení informací o kybernetické bezpečnosti
- 2 Článek 21 Oznamovací povinnosti
KAPITOLA I
OBECNÁ USTANOVENÍ
KAPITOLA II
OPATŘENÍ K ZAJIŠTĚNÍ VYSOKÉ SPOLEČNÉ ÚROVNĚ KYBERNETICKÉ BEZPEČNOSTI
KAPITOLA III
INTERINSTITUCIONÁLNÍ VÝBOR PRO KYBERNETICKOU BEZPEČNOST
KAPITOLA IV
CERT-EU
KAPITOLA V
POVINNOSTI V OBLASTI SPOLUPRÁCE A OZNAMOVACÍ POVINNOSTI
KAPITOLA VI
ZÁVĚREČNÁ USTANOVENÍ
- unie 134
- cert-eu 85
- nebo 63
- iicb 61
- bezpečnosti 44
- kybernetické 42
- subjektu 36
- podle 32
- výboru 31
- subjekty 30
- tohoto 30
- opatření 30
- informace 29
- může 29
- nařízení 27
- bezpečnost 25
- včetně 25
- subjekt 25
- kybernetických 24
- výbor 24
- subjektů 24
- služeb 23
- které 22
- informací 20
- incidentů 20
- v oblasti 19
- kybernetickou 19
- při 19
- provádění 19
- incidentu 19
- cert-eu 17
- odst 16
- jeho 16
- rizik 15
- bezpečnostních 15
- základě 15
- jejich 14
- a to 13
- článku 13
- jako 13
- v souladu 13
- doporučení 12
- eu / 12
- Článek 12
- prostředí 12
- dotčeného 12
- sítí 11
- pokud 11
- případně 11
- jsou 11
Článek 6
Rámec pro řízení, správu a kontrolu kybernetických bezpečnostních rizik
1. Do 8. dubna 2025 poté, co provede počáteční přezkum kybernetické bezpečnosti, jako je audit, zřídí každý subjekt Unie vnitřní rámec pro řízení, správu a kontrolu kybernetických bezpečnostních rizik (dále je „rámec“). Na zřízení rámce dohlíží nejvyšší úroveň vedení subjektu Unie a nese za něj odpovědnost.
2. Rámec zahrnuje celé neutajované prostředí IKT dotčeného subjektu Unie, včetně jakéhokoli prostředí IKT a sítí funkčních technologií v jeho prostorách, externě zajišťovaných aktiv a služeb v prostředí cloud computingu nebo hostovaných třetími stranami, mobilních zařízení, podnikových sítí, obchodních sítí nepřipojených k internetu a jakýchkoli zařízení připojených k těmto prostředím (dále jen „prostředí IKT“). Rámec je založen na přístupu zohledňujícím všechna rizika.
3. Rámec zajišťuje vysokou úroveň kybernetické bezpečnosti. Rámec stanovuje vnitřní politiky kybernetické bezpečnosti, včetně cílů a priorit, pro bezpečnost sítí a informačních systémů a úlohy a povinnosti zaměstnanců subjektu Unie, jejichž úkolem je zajistit účinné provádění tohoto nařízení. Rámec rovněž zahrnuje mechanismy pro měření účinnosti provádění.
4. Rámec je pravidelně přezkoumáván v kontextu měnících se kybernetických bezpečnostních rizik, nejméně však jednou za čtyři roky. Rámec subjektu Unie může být v případě potřeby a v návaznosti na žádost interinstitucionálního výboru pro kybernetickou bezpečnost zřízeného podle článku 10 aktualizován na základě pokynů CERT-EU týkajících se zjištěných incidentů nebo možných nedostatků v provádění tohoto nařízení.
5. Nejvyšší úroveň vedení každého subjektu Unie odpovídá za provádění tohoto nařízení a dohlíží na to, zda jeho organizace povinnosti související s rámcem plní.
6. V případě potřeby, a aniž je dotčena jeho odpovědnost za provádění tohoto nařízení, může nejvyšší úroveň vedení každého subjektu Unie přenést určité povinnosti podle tohoto nařízení na vyšší vedoucí pracovníky ve smyslu čl. 29 odst. 2 služebního řádu nebo jiné úředníky na rovnocenné úrovni v rámci dotčeného subjektu Unie. Bez ohledu na takové přenesení pravomoci může být nejvyšší úroveň vedení činěna odpovědnou za porušení tohoto nařízení dotčeným subjektem Unie.
7. Každý subjekt Unie má zaveden účinný mechanismus zajišťující, že přiměřená část rozpočtu na IKT bude vynaložena na kybernetickou bezpečnost. Při stanovování tohoto procentního podílu se náležitě zohlední rámec.
8. Každý subjekt Unie jmenuje místního referenta pro kybernetickou bezpečnost nebo osobu vykonávající rovnocennou funkci, kteří působí jako jediné kontaktní místo ve vztahu ke všem aspektům kybernetické bezpečnosti. Místní referent pro kybernetickou bezpečnost usnadňuje provádění tohoto nařízení a o stavu provádění pravidelně přímo informuje nejvyšší úroveň vedení. Aniž je dotčena skutečnost, že místní referent pro kybernetickou bezpečnost je v každém subjektu Unie jediným kontaktním místem, může subjekt Unie přenést některé úkoly místního referenta pro kybernetickou bezpečnost, pokud jde o provádění tohoto nařízení, na CERT-EU, a to na základě smlouvy o poskytování služeb uzavřené mezi tímto subjektem Unie a CERT-EU, nebo tyto úkoly může sdílet několik subjektů Unie. Pokud jsou tyto úkoly přeneseny na CERT-EU, rozhodne interinstitucionální výbor pro kybernetickou bezpečnost zřízený podle článku 10, zda bude tato služba poskytována jako součást základních služeb CERT-EU, a to s přihlédnutím k lidským a finančním zdrojům dotčeného subjektu Unie. Každý subjekt Unie oznámí CERT-EU neprodleně jmenovaného místního referenta pro kybernetickou bezpečnost a veškeré jeho následné změny.
CERT-EU zřídí a vede aktuální seznam jmenovaných místních referentů pro kybernetickou bezpečnost.
9. Vyšší vedoucí pracovníci ve smyslu čl. 29 odst. 2 služebního řádu nebo jiní úředníci na rovnocenné úrovni v rámci dotčeného subjektu Unie, jakož i všichni příslušní pracovníci pověření prováděním opatření a plněním povinností v oblasti řízení kybernetických bezpečnostních rizik stanovených v tomto nařízení pravidelně absolvují zvláštní školení s cílem získat dostatečné znalosti a dovednosti posouzení a vyhodnocení postupů v oblasti kybernetických bezpečnostních rizik a jejich dopadu na provoz subjektu Unie.
Článek 7
Hodnocení vyspělosti kybernetické bezpečnosti
1. Do 8. července 2025 a poté alespoň každé dva roky provede každý subjekt Unie hodnocení vyspělosti kybernetické bezpečnosti zahrnující všechny prvky jeho prostředí IKT.
2. Hodnocení vyspělosti kybernetické bezpečnosti se případně provádí za pomoci specializované třetí strany.
3. Subjekty Unie s podobnými strukturami mohou při provádění hodnocení vyspělosti kybernetické bezpečnosti pro své příslušné subjekty spolupracovat.
4. Na základě žádosti interinstitucionálního výboru pro kybernetickou bezpečnost zřízeného podle článku 10 a s výslovným souhlasem dotčeného subjektu Unie mohou být výsledky hodnocení vyspělosti kybernetické bezpečnosti projednány v tomto výboru nebo v rámci neformální skupiny místních referentů pro kybernetickou bezpečnost, což umožní čerpání ze zkušeností a výměnu osvědčených postupů.
Článek 8
Opatření k řízení kybernetických bezpečnostních rizik
1. Každý subjekt Unie pod dohledem své nejvyšší úrovně vedení bezodkladně a nejpozději do 8. září 2025 přijme odpovídající a přiměřená technická, operační a organizační opatření k řízení kybernetických bezpečnostních rizik zjištěných v rámci a k prevenci dopadů incidentů nebo jejich minimalizaci. S ohledem na nejnovější technologický vývoj a případně na příslušné evropské a mezinárodní normy zajistí tato opatření k řízení rizik takovou úroveň bezpečnosti sítí a informačních systémů v celém prostředí IKT, která je úměrná hrozícím kybernetickým bezpečnostním rizikům. Při posuzování přiměřenosti těchto opatření se náležitě zohlední míra expozice subjektu Unie kybernetickým bezpečnostním rizikům, jeho velikost, pravděpodobnost výskytu incidentů a jejich závažnost, včetně jejich společenského, hospodářského a interinstitucionálního dopadu.
2. Subjekty Unie se při provádění opatření k řízení kybernetických bezpečnostních rizik zaměřují alespoň na tyto oblasti:
| a) | politiku kybernetické bezpečnosti, včetně opatření potřebných k dosažení cílů a priorit uvedených v čl. 6 odst. 3 tohoto článku; |
| b) | politiku analýzy kybernetických bezpečnostních rizik a politiku bezpečnosti informačních systémů; |
| c) | cíle politiky týkající se využívání služeb cloud computingu; |
| d) | případně audit kybernetické bezpečnosti, který může zahrnovat posouzení kybernetických bezpečnostních rizik, zranitelností a kybernetických hrozeb a pravidelné penetrační testování prováděné důvěryhodným soukromým poskytovatelem; |
| e) | provádění doporučení vyplývajících z auditů kybernetické bezpečnosti uvedených v písmenu d) prostřednictvím aktualizace systému a politiky kybernetické bezpečnosti; |
| f) | organizaci systému kybernetické bezpečnosti, včetně vymezení úloh a odpovědnosti; |
| g) | správu aktiv, včetně seznamu aktiv v oblasti IKT a mapování sítí IKT; |
| h) | bezpečnost lidských zdrojů a kontrolu přístupu; |
| i) | bezpečnost operací; |
| j) | bezpečnost komunikací; |
| k) | akvizici, vývoj a údržbu systému, včetně politiky zveřejňování informací o zranitelností a jejich řešení; |
| l) | případné politiky v oblasti transparentnosti zdrojového kódu; |
| m) | bezpečnost dodavatelského řetězce včetně aspektů souvisejících s bezpečností, které se týkají vztahů mezi každým subjektem Unie a jeho přímými dodavateli nebo poskytovateli služeb; |
| n) | řešení incidentů a spolupráci se CERT-EU, jako je zajištění bezpečnostního monitorování a vedení protokolů bezpečnosti; |
| o) | řízení kontinuity provozu, jako je správa zálohování a obnova provozu po havárii, a krizové řízení a |
| p) | podporu a rozvoj vzdělávání, dovedností, zvyšování povědomí, cvičebních programů a programů odborné přípravy v oblasti kybernetické bezpečnosti. |
Pro účely prvního pododstavce písm. m) subjekty Unie zohlední zranitelnosti specifické pro každého přímého dodavatele a poskytovatele služeb a celkovou kvalitu produktů a postupů v oblasti kybernetické bezpečnosti svých dodavatelů a poskytovatelů služeb, včetně jejich postupů bezpečného vývoje.
3. Subjekty Unie přijmou alespoň tato konkrétní opatření pro řízení kybernetických bezpečnostních rizik:
| a) | technická opatření umožňující a podporující práci z domova; |
| b) | konkrétní kroky pro přechod k zásadám nulové důvěry; |
| c) | používání vícefaktorového ověřování jako normy u sítí a informačních systémů; |
| d) | používání kryptografie a šifrování, a zejména šifrování mezi koncovými body, a bezpečného digitálního podpis |
| e) | případné zavedení zabezpečené hlasové, obrazové a textové komunikace a zabezpečených systémů tísňové komunikace v rámci subjektu Unie; |
| f) | proaktivní opatření pro odhalování a odstraňování malwaru a špionážního softwaru; |
| g) | zabezpečení softwarového dodavatelského řetězce prostřednictvím kritérií pro bezpečný vývoj a hodnocení softwaru; |
| h) | vytvoření a zavedení programů odborné přípravy v oblasti kybernetické bezpečnosti odpovídajících úkolům a předpokládaným schopnostem nejvyšší úrovně vedení a zaměstnanců subjektu Unie pověřených zajištěním účinného provádění tohoto nařízení; |
| i) | pravidelné školení zaměstnanců v oblasti kybernetické bezpečnosti; |
| j) | v příslušných případech účast na analýzách rizik vzájemného propojení mezi subjekty Unie; |
| k) | posílení pravidel pro zadávání veřejných zakázek s cílem usnadnit dosažení vysoké společné úrovně kybernetické bezpečnosti prostřednictvím:
|
Článek 10
Interinstitucionální výbor pro kybernetickou bezpečnost
1. Zřizuje se interinstitucionální výbor pro kybernetickou bezpečnost (dále jen „výbor IICB“).
2. Výbor IICB je povinen:
| a) | sledovat a podporovat provádění tohoto nařízení subjekty Unie; |
| b) | dohlížet na plnění obecných priorit a cílů CERT-EU a poskytovat CERT-EU strategické řízení. |
3. Výbor IICB sestává z:
| a) | jednoho zástupce jmenovaného každým z těchto subjektů:
|
| b) | tří zástupců jmenovaných sítí agentur EU (EUAN) na návrh jejího poradního výboru pro IKT, aby zastupovali zájmy orgánů, institucí a jiných subjektů Unie, které provozují své vlastní prostředí IKT a které nejsou uvedeny v písmenu a). |
Subjekty Unie zastoupené ve výboru IICB usilují o dosažení vyváženého zastoupení žen a mužů mezi jmenovanými zástupci.
4. Členům výboru IICB mohou být nápomocni náhradníci. Další zástupci subjektů Unie uvedených v odstavci 3 nebo jiných subjektů Unie mohou být předsedou pozváni k účasti na zasedáních výboru IICB bez hlasovacích práv.
5. Vedoucí CERT-EU a předsedové skupiny pro spolupráci, sítě týmů CSIRT a sítě EU-CyCLONe zřízených podle článků 14, 15 a 16 směrnice (EU) 2022/2555 nebo jejich náhradníci se mohou zasedání výboru IICB účastnit jako pozorovatelé. Ve výjimečných případech a v souladu se svým jednacím řádem může výbor IICB rozhodnout jinak.
6. Výbor IICB přijímá svůj jednací řád.
7. Výbor IICB v souladu s jednacím řádem určuje z řad svých členů předsedu na období tří let. Náhradník předsedy se na stejnou dobu stává plným členem výboru IICB.
8. Výbor IICB se schází alespoň třikrát za rok z podnětu svého předsedy, na žádost CERT-EU nebo na žádost kteréhokoli ze svých členů.
9. Každý člen výboru IICB má jeden hlas. Rozhodnutí výboru IICB se přijímají prostou většinou, není-li v tomto nařízení stanoveno jinak. Předseda výboru IICB nehlasuje, kromě případů rovnosti hlasů, kdy může odevzdat rozhodující hlas.
10. Výbor IICB může jednat zjednodušeným písemným postupem zahájeným v souladu se svým jednacím řádem. Na základě tohoto postupu se příslušné rozhodnutí považuje za schválené ve lhůtě stanovené předsedou, s výjimkou případů, kdy některý z členů vznese námitku.
11. Funkci sekretariátu výboru IICB zajišťuje Komise a sekretariát je odpovědný předsedovi výboru IICB.
12. Zástupci nominovaní sítí EUAN předávají rozhodnutí výboru IICB členům sítě EUAN. Jakýkoli člen sítě EUAN je oprávněn se obrátit na tyto zástupce nebo předsedu výboru IICB s jakoukoli záležitostí, o níž se domnívají, že by na ni výbor IICB měl být upozorněn.
13. Výbor IICB může zřídit výkonný výbor, aby mu pomáhal v jeho práci, a přenést na něj některé své úkoly a pravomoci. Výbor IICB stanoví jednací řád výkonného výboru, včetně jeho úkolů a pravomocí a funkčního období jeho členů.
14. Do 8. ledna 2025 a poté každoročně předkládá výbor IICB Evropskému parlamentu a Radě zprávu, v níž je podrobně popsán pokrok dosažený při provádění tohoto nařízení, a zejména upřesněn rozsah spolupráce CERT-EU s jeho vnitrostátními protějšky v jednotlivých členských státech. Tato zpráva je podkladem pro dvouletou zprávu o stavu kybernetické bezpečnosti v Unii přijatou podle článku 18 směrnice (EU) 2022/2555.
Článek 11
Úkoly výboru IICB
Při výkonu svých povinností výbor IICB zejména:
| a) | poskytuje strategické pokyny vedoucímu CERT-EU; |
| b) | účinně sleduje a dohlíží na provádění tohoto nařízení a podporuje subjekty Unie při posilování jejich kybernetické bezpečnosti, a případně v této souvislosti také požaduje od subjektů Unie a CERT-EU zprávy ad hoc; |
| c) | v návaznosti na strategickou diskusi přijímá víceletou strategii pro zvýšení úrovně kybernetické bezpečnosti v subjektech Unie, pravidelně, v každém případě však jednou za pět let, tuto strategii posuzuje a v případě potřeby tuto strategii upravuje; |
| d) | stanovuje metodiku a organizační aspekty pro provádění dobrovolných vzájemných hodnocení subjekty Unie s cílem čerpat ze sdílených zkušeností, posílit vzájemnou důvěru, dosáhnout vysoké společné úrovně kybernetické bezpečnosti a posílit schopnosti subjektů Unie v oblasti kybernetické bezpečnosti, přičemž zajistí, aby tato vzájemná hodnocení prováděli odborníci na kybernetickou bezpečnost jmenovaní jiným subjektem Unie, než je subjekt Unie, který je předmětem přezkumu, a aby tato metodika vycházela z článku 19 směrnice (EU) 2022/2555 a byla případně subjektům Unie přizpůsobena; |
| e) | na základě návrhu vedoucího CERT-EU schvaluje roční pracovní program CERT-EU a sleduje jeho provádění; |
| f) | na základě návrhu vedoucího CERT-EU schvaluje katalog služeb CERT-EU a všechny jeho aktualizace; |
| g) | na základě návrhu vedoucího CERT-EU schvaluje roční finanční plán příjmů a výdajů, včetně personálního obsazení, pro činnosti CERT-EU; |
| h) | na základě návrhu vedoucího CERT-EU schvaluje postupy pro uzavírání smluv o poskytování služeb; |
| i) | přezkoumává a schvaluje roční zprávu vypracovanou vedoucím CERT-EU, jež se zabývá činností CERT-EU a řízením jejích finančních prostředků; |
| j) | schvaluje a sleduje klíčové ukazatele výkonnosti pro CERT-EU stanovené na základě návrhu vedoucího CERT-EU; |
| k) | schvaluje ujednání o spolupráci, smlouvy o poskytování služeb nebo smlouvy mezi CERT-EU a dalšími subjekty podle článku 18; |
| l) | přijímá pokyny a doporučení na základě návrhu CERT-EU v souladu s článkem 14 a ukládá CERT-EU, aby vydala, stáhla nebo upravila návrh pokynů nebo doporučení nebo výzvu k přijetí opatření; |
| m) | zřizuje technické poradní skupiny se zvláštními úkoly na podporu činnosti výboru IICB, schvaluje jejich mandát a určuje jejich předsedy; |
| n) | přijímá a posuzuje dokumenty a zprávy předložené subjekty Unie podle tohoto nařízení, jako jsou hodnocení vyspělosti kybernetické bezpečnosti; |
| o) | za účelem výměny osvědčených postupů a informací v souvislosti s prováděním tohoto nařízení usnadňuje zřízení neformální skupiny místních referentů pro kybernetickou bezpečnost subjektů Unie, podporované ENISA; |
| p) | s ohledem na informace o zjištěných kybernetických bezpečnostních rizicích a poznatky poskytnuté CERT-EU sleduje přiměřenost opatření týkajících se propojení mezi prostředími IKT subjektů Unie a poskytuje poradenství ohledně možných zlepšení; no, myslí se tím propojenost na technické úrovni; |
| q) | vypracuje plán řešení kybernetických krizí s cílem podpořit na operativní úrovni koordinované řízení závažných incidentů s dopadem na subjekty Unie a přispět k pravidelné výměně příslušných informací, zejména pokud jde o dopady a závažnost závažných incidentů a možné způsoby jejich zmírnění; |
| r) | koordinuje přijímání plánů jednotlivých subjektů Unie pro řešení kybernetických krizí uvedených v čl. 9 odst. 2; |
| s) | s ohledem na výsledky koordinovaného posouzení rizik kritických dodavatelských řetězců na úrovni Unie uvedených v článku 22 směrnice (EU) 2022/2555 přijímá doporučení v oblasti bezpečnosti dodavatelského řetězce podle čl. 8 odst. 2 prvního pododstavce písm. m) na podporu subjektů Unie při přijímání účinných a přiměřených opatření k řízení kybernetických bezpečnostních rizik. |
Článek 12
Dodržování povinností
1. Výbor IICB v souladu s čl. 10 odst. 2 a článkem 11 účinně sleduje provádění tohoto nařízení a přijatých pokynů, doporučení a výzev k přijetí opatření ze strany subjektů Unie. Výbor IICB si může od subjektů Unie vyžádat informace nebo dokumentaci, které jsou pro tento účel nezbytné. Pokud je dotčený subjekt Unie přímo ve výboru IICB zastoupen, nemá pro účely přijetí opatření k zajištění plnění povinností podle tohoto článku hlasovací práva.
2. Pokud výbor IICB zjistí, že některý subjekt Unie toto nařízení nebo pokyny, doporučení či výzvy k přijetí opatření vydané podle tohoto nařízení účinně neprovedl, aniž by byly dotčeny interní postupy dotčeného subjektu Unie, a poté, co subjektu Unie umožní přednést jeho připomínky, může:
| a) | předložit dotčenému subjektu Unie odůvodněné stanovisko se zjištěnými nedostatky při uplatňování tohoto nařízení; |
| b) | poskytnout dotčenému subjektu Unie po konzultaci se CERT-EU pokyny s cílem zajistit, aby jeho rámec, opatření k řízení kybernetických bezpečnostních rizik, plán kybernetické bezpečnosti a podávání zpráv byly ve stanovené lhůtě v souladu s tímto nařízením; |
| c) | vydat varování s cílem řešit zjištěné nedostatky ve stanovené lhůtě, včetně doporučení ke změně opatření přijatých dotčeným subjektem Unie na základě tohoto nařízení; |
| d) | vydat dotčenému subjektu Unie odůvodněné oznámení v případě, že nedostatky uvedené ve varování vydaném podle písmene c) nebyly ve stanovené lhůtě dostatečně vyřešeny; |
| e) | vydat:
|
| f) | v příslušných případech informovat Účetní dvůr v rámci jeho mandátu o údajném nedodržení povinností; |
| g) | vydat doporučení, aby všechny členské státy a subjekty Unie dočasně pozastavily datové toky do dotčeného subjektu Unie. |
Pro účely prvního pododstavce písm. c), je-li to nezbytné s ohledem na kybernetické bezpečnostní riziko, je počet příjemců varování přiměřeně omezen.
Varování a doporučení vydaná podle prvního pododstavce jsou určena nejvyšší úrovni vedení dotčeného subjektu Unie.
3. Pokud výbor IICB přijal opatření podle odst. 2 prvního pododstavce písm. a) až g), dotčený subjekt Unie podrobně informuje o opatřeních a krocích, které k řešení údajných nedostatků zjištěných výborem IICB přijal. Tyto podrobné informace subjekt Unie podá v přiměřené lhůtě dohodnuté s výborem IICB.
4. Pokud se výbor IICB domnívá, že subjekt Unie trvale porušuje toto nařízení a že toto porušování vyplývá přímo z jednání nebo opomenutí úředníka nebo jiného zaměstnance Unie, a to i na nejvyšší úrovni vedení, požádá výbor IICB dotčený subjekt Unie, aby přijal příslušná opatření, přičemž jej může požádat i o to, aby zvážil přijetí opatření disciplinární povahy v souladu s pravidly a postupy stanovenými ve služebním řádu a jakýmikoli dalšími platnými pravidly a postupy. Za tímto účelem výbor IICB předá dotčenému subjektu Unie nezbytné informace.
5. Pokud subjekty Unie oznámí, že nejsou schopny dodržet lhůty stanovené v čl. 6 odst. 1 a čl. 8 odst. 1, může výbor IICB v řádně odůvodněných případech a s ohledem na velikost subjektu Unie povolit prodloužení těchto lhůt.
KAPITOLA IV
CERT-EU
Článek 13
Poslání a úkoly CERT-EU
1. Posláním CERT-EU je přispívat k bezpečnosti neutajovaného IKT prostředí všech subjektů Unie, a to tak, že jim poskytuje poradenství v oblasti kybernetické bezpečnosti, pomáhá jim předcházet incidentům, odhalovat incidenty, řešit incidenty, zmírňovat incidenty, reagovat na incidenty a zotavovat se z incidentů a působí jako středisko pro výměnu informací v oblasti kybernetické bezpečnosti a pro koordinaci reakcí na incidenty.
2. CERT-EU shromažďuje, spravuje, analyzuje a sdílí se subjekty Unie informace o kybernetických hrozbách, zranitelnostech a incidentech týkajících se infrastruktury IKT pro neutajované informace. Koordinuje reakce na incidenty na interinstitucionální úrovni a na úrovni jednotlivých subjektů Unie, a to i poskytováním specializované operativní pomoci či koordinací jejího poskytování.
3. CERT-EU vykonává pro subjekty Unie tyto úkoly:
| a) | podporuje je při provádění tohoto nařízení a přispívá ke koordinaci provádění tohoto nařízení prostřednictvím opatření uvedených v čl. 14 odst. 1 nebo prostřednictvím ad hoc zpráv vyžádaných výborem IICB; |
| b) | nabízí standardní služby týmu CSIRT všem subjektům Unie prostřednictvím souboru služeb v oblasti kybernetické bezpečnosti popsaných v jeho katalogu služeb (dále jen „základní služby“); |
| c) | udržuje vzájemnou a partnerskou síť pro podporu služeb popsaných v článcích 17 a 18; |
| d) | upozorňuje výbor IICB na jakýkoli problém týkající se provádění tohoto nařízení a provádění pokynů, doporučení a výzev k přijetí opatření; |
| e) | na základě informací uvedených v odstavci 2 přispívá v úzké spolupráci s ENISA k informovanosti Unie o aktuální kybernetické situaci; |
| f) | koordinuje řízení závažných incidentů; |
| g) | jedná jako specializovaný koordinátor subjektů Unie pro účely koordinovaného zpřístupňování informací o zranitelností podle čl. 12 odst. 1 směrnice (EU) 2022/2555; |
| h) | na žádost subjektu Unie poskytuje proaktivní a nerušivé skenování veřejně přístupných sítí a informačních systémů daného subjektu Unie. |
Informace uvedené v prvním pododstavci písm. e) se v případě potřeby sdílejí s výborem IICB, sítí týmů CSIRT a Střediskem Evropské unie pro analýzu zpravodajských informací (EU INTCEN), a to při dodržování patřičných podmínek zachování důvěrnosti.
4. CERT-EU může v souladu s článkem 17 nebo případně 18 spolupracovat s příslušnými komunitami v oblasti kybernetické bezpečnosti v Unii a jejích členských státech, mimo jiné v těchto oblastech:
| a) | připravenost, koordinace při řešení incidentů, výměna informací a reakce na krize na technické úrovni v případech souvisejících se subjekty Unie; |
| b) | operativní spolupráce týkající se sítě týmů CSIRT, včetně vzájemné pomoci; |
| c) | zpravodajské informace o kybernetických hrozbách, včetně informovanosti o aktuální situaci; |
| d) | ohledně jakéhokoli tématu vyžadujícího technické odborné znalosti CERT-EU v oblasti kybernetické bezpečnosti. |
5. CERT-EU se v rámci své působnosti zapojuje do strukturované spolupráce s ENISA v oblasti budování kapacit, operativní spolupráce a dlouhodobých strategických analýz kybernetických hrozeb v souladu s nařízením (EU) 2019/881. CERT-EU může spolupracovat a vyměňovat si informace s Evropským centrem Europolu pro boj proti kyberkriminalitě.
6. CERT-EU může poskytovat tyto služby, které nejsou popsány v jejím katalogu služeb (dále jen „zpoplatněné služby“):
| a) | služby, které podporují kybernetickou bezpečnost prostředí IKT subjektů Unie, jiné než služby uvedené v odstavci 3, na základě smluv o poskytování služeb a s výhradou dostupných zdrojů, zejména širokospektrální monitorování sítě, včetně nepřetržitého monitorování v první linii v případě vysoce rizikových kybernetických hrozeb; |
| b) | služby, které podporují operace nebo projekty subjektů Unie v oblasti kybernetické bezpečnosti, jiné než služby na ochranu jejich prostředí IKT, na základě písemných dohod a po předchozím schválení výborem IICB; |
| c) | na požádání proaktivní skenování sítí a informačních systémů dotčeného subjektu Unie s cílem odhalit zranitelnosti s potenciálním významným dopadem; |
| d) | služby, které podporují bezpečnost prostředí IKT jiných organizací než subjektů Unie, které úzce spolupracují se subjekty Unie například tak, že jim byly uloženy úkoly nebo povinnosti podle práva Unie, a to na základě písemných dohod a po předchozím schválení výborem IICB. |
S ohledem na první pododstavec písm. d) může CERT-EU ve výjimečných případech s předchozím souhlasem výboru IICB uzavřít smlouvy o poskytování služeb s jinými subjekty než se subjekty Unie.
7. CERT-EU organizuje, a může se účastnit cvičení v oblasti kybernetické bezpečnosti nebo doporučovat účast na stávajících cvičeních, a to případně v úzké spolupráci s ENISA, za účelem testování úrovně kybernetické bezpečnosti subjektů Unie.
8. CERT-EU může poskytovat pomoc subjektům Unie v souvislosti s incidenty v sítích a informačních systémech nakládajících s utajovanými informacemi EU, pokud o to dotyčné subjekty Unie výslovně požádají, v souladu s jejich příslušnými postupy. Poskytnutím pomoci CERT-EU podle tohoto odstavce nejsou dotčena platná pravidla týkající se ochrany utajovaných informací.
9. CERT-EU informuje subjekty Unie o svých postupech a procesech pro řešení incidentů.
10. CERT-EU poskytne s vysokou úrovní důvěrnosti a spolehlivosti prostřednictvím vhodných mechanismů spolupráce a oznamování relevantní a anonymizované informace o závažných incidentech a o způsobu, jakým byly řešeny. Tyto informace se zahrnou do zprávy uvedené v čl. 10 odst. 14.
11. CERT-EU ve spolupráci s evropským inspektorem ochrany údajů podpoří dotčené subjekty Unie při řešení incidentů, v jejichž důsledku došlo k porušení ochrany osobních údajů, aniž jsou dotčeny pravomoci a úkoly tohoto inspektora podle nařízení (EU) 2018/1725.
12. CERT-EU může v případě, že jej o to výslovně požádají odborné sekce subjektů Unie, poskytovat technické poradenství nebo informace týkající se příslušné oblasti.
Článek 15
Vedoucí CERT-EU
1. Komise po obdržení souhlasu dvoutřetinové většiny výboru IICB jmenuje vedoucího CERT-EU. Výbor IICB je konzultován ve všech fázích postupu jmenování, zejména při vypracovávání oznámení o volném pracovním místě, posuzování žádostí a jmenování výběrových komisí v souvislosti s tímto pracovním místem. Výběrové řízení, včetně konečného užšího seznamu kandidátů, z nichž má být vedoucí CERT-EU vybrán, zajistí spravedlivé genderové zastoupení ve vztahu k předloženým kandidaturám.
2. Vedoucí CERT-EU je odpovědný za řádné fungování CERT-EU a jedná v rámci svých úkolů pod vedením výboru IICB. Vedoucí CERT-EU pravidelně podává zprávy předsedovi výboru IICB a na požádání předkládá výboru IICB zprávy vypracované ad hoc.
3. Vedoucí CERT-EU je nápomocen příslušné pověřené schvalující osobě při vypracovávání každoroční zprávy o činnosti obsahující finanční a manažerské informace, včetně výsledků kontrol, vypracované v souladu s čl. 74 odst. 9 nařízení Evropského parlamentu a Rady (EU, Euratom) 2018/1046 (9), a tuto pověřenou schvalující osobu pravidelně informuje o provádění opatření, u nichž byla pravomoc přenesena na vedoucího CERT-EU.
4. Vedoucí CERT-EU vypracuje každoročně finanční plán správních příjmů a výdajů na své činnosti, návrh ročního pracovního programu, návrh katalogu služeb CERT-EU, navrhované revize katalogu služeb, návrh ujednání pro smlouvy o poskytování služeb a návrh klíčových ukazatelů výkonnosti pro CERT-EU, které v souladu s článkem 11 schvaluje výbor IICB. Při revizi seznamu služeb v katalogu služeb CERT-EU zohlední vedoucí CERT-EU zdroje, které jsou CERT-EU přiděleny.
5. Vedoucí CERT-EU předkládá nejméně jednou ročně výboru IICB a předsedovi výboru IICB zprávy o činnostech a výsledcích CERT-EU během referenčního období, včetně zpráv o plnění rozpočtu, uzavřených smlouvách o poskytování služeb a písemných dohodách, spolupráci s protějšky a partnery a o misích podniknutých jeho zaměstnanci, včetně zpráv podle článku 11. Tyto zprávy obsahují pracovní program na následující období, finanční plánování příjmů a výdajů, včetně personálního obsazení, plánované aktualizace katalogu služeb CERT-EU a posouzení očekávaného dopadu, který tyto aktualizace mohou mít na finanční a lidské zdroje.
Článek 17
Spolupráce CERT-EU s protějšky v členských státech
1. CERT-EU bez zbytečného odkladu spolupracuje s protějšky z členských států, zejména týmy CSIRT určenými nebo zřízenými podle článku 10 směrnice (EU) 2022/2555, nebo případně s příslušnými orgány a jednotnými kontaktními místy určenými nebo zřízenými podle článku 8 uvedené směrnice a vyměňuje si s nimi informace ohledně incidentů, kybernetických hrozeb, zranitelností, významných událostí, možných protiopatření, jakož i o osvědčených postupech, a o veškerých záležitostech, které mají význam pro zlepšení ochrany prostředí IKT subjektů Unie, a to i prostřednictvím sítě týmů CSIRT zřízené podle článku 15 směrnice (EU) 2022/2555. CERT-EU podporuje Komisi v rámci sítě EU-CyCLONe zřízené podle článku 16 o koordinovaném řešení rozsáhlých kybernetických bezpečnostních incidentů a krizí ve směrnici (EU) 2022/2555.
2. Pokud se CERT-EU dozví o významném incidentu, k němuž dojde na území členského státu, neprodleně informuje všechny příslušné protějšky v daném členském státě v souladu s odstavcem 1.
3. Je-li v souladu s právem Unie na ochranu osobních údajů zajištěna ochrana osobních údajů, CERT-EU si s vnitrostátními protějšky v členských státech bez zbytečného odkladu vymění příslušné informace týkající se konkrétních incidentů, které mohou usnadnit odhalování obdobných kybernetických hrozeb nebo incidentů nebo přispět k analýze incidentu, a to bez povolení dotčeného subjektu Unie. CERT-EU vyměňuje informace týkající se konkrétních incidentů, které odhalují totožnost cíle kybernetického bezpečnostního incidentu, pouze pokud nastane některý u z těchto případů:
| a) | dotčený subjekt Unie udělil svůj souhlas; |
| b) | dotčený subjekt Unie neudělil svůj souhlas, jak je stanoveno v písmenu a), ale zveřejnění totožnosti dotčeného subjektu Unie by zvýšilo pravděpodobnost, že se zabrání incidentům v jiných oblastech nebo se zmírní jejich následky; |
| c) | dotčený subjekt Unie již zveřejnil, že byl obětí incidentu. |
Rozhodnutí o výměně informací týkajících se konkrétního incidentu, které odhalují totožnost cíle incidentu podle prvního pododstavce písm. b), schvaluje vedoucí CERT-EU. Před vydáním takového rozhodnutí kontaktuje CERT-EU dotčený subjekt Unie písemně a jasně vysvětlí, jak by zveřejnění jeho totožnosti pomohlo zabránit incidentům v jiných oblastech nebo je zmírnit. Vedoucí CERT-EU poskytne vysvětlení a výslovně požádá subjekt Unie, aby ve stanovené lhůtě uvedl, zda souhlasí. Vedoucí CERT-EU rovněž informuje subjekt Unie o tom, že si s ohledem na poskytnuté vysvětlení vyhrazuje právo informace zveřejnit i bez souhlasu. Dotčený subjekt Unie je informován před zveřejněním informací.
Článek 18
Spolupráce CERT-EU s dalšími protějšky
1. CERT-EU může spolupracovat s protějšky v Unii, jež nejsou uvedeny v článku 17 a na něž se vztahují požadavky Unie na kybernetickou bezpečnost, včetně protějšků zaměřených na konkrétní průmyslová odvětví, v záležitostech týkajících se nástrojů a metod, jako například techniky, taktiky, postupů a osvědčených postupů, jakož i kybernetických hrozeb a zranitelností. Pro účely jakékoliv spolupráce s těmito protějšky požádá CERT-EU výbor IICB o předchozí souhlas pro každý jednotlivý případ. Pokud CERT-EU s těmito protějšky naváže spolupráci, informuje o tom všechny příslušné protějšky členských států uvedené v čl. 17 odst. 1 v členském státě, v němž se protějšek nachází. Ve vhodných a náležitých případech se tato spolupráce a její podmínky, a to i pokud jde o kybernetickou bezpečnost, ochranu údajů a nakládání s informacemi, stanoví ve výslovných ujednáních o zachování důvěrnosti, jako jsou smlouvy nebo správní ujednání. Ujednání o zachování důvěrnosti nevyžadují předchozí souhlas výboru IICB, předseda výboru IICB je však informován. V případě naléhavé a bezprostřední potřeby výměny informací o kybernetické bezpečnosti v zájmu subjektů Unie nebo jiné strany může CERT-EU tímto způsobem postupovat se subjektem, jehož zvláštní způsobilost, kapacita a odborné znalosti jsou důvodně vyžadovány na pomoc v této situaci naléhavé a bezprostřední potřeby, a to i v případě, že CERT-EU s tímto subjektem nemá uzavřenu dohodu o zachování důvěrnosti. V takových případech CERT-EU neprodleně informuje předsedu výboru IICB a výbor IICB informuje prostřednictvím pravidelných zpráv nebo zasedání.
2. CERT-EU může v zájmu shromažďování informací o obecných a konkrétních kybernetických hrozbách, významných událostech, zranitelnostech a možných protiopatřeních spolupracovat s partnery, jako jsou komerční subjekty, včetně subjektů zaměřených na konkrétní průmyslová odvětví, mezinárodní organizace, vnitrostátní subjekty zemí mimo Unii nebo jednotliví odborníci. Pro účely širší spolupráce s těmito partnery požádá CERT-EU výbor IICB o předchozí souhlas pro každý jednotlivý případ.
3. CERT-EU může se souhlasem subjektu Unie dotčeného incidentem a za předpokladu, že s příslušným protějškem nebo partnerem je uzavřeno ujednání nebo smlouva o mlčenlivosti, poskytnout informace týkající se konkrétního incidentu protějškům nebo partnerům uvedeným v odstavcích 1 a 2, a to výhradně za účelem přispění k jeho analýze.
KAPITOLA V
POVINNOSTI V OBLASTI SPOLUPRÁCE A OZNAMOVACÍ POVINNOSTI
Článek 20
Ujednání o sdílení informací o kybernetické bezpečnosti
1. Subjekty Unie mohou dobrovolně oznamovat CERT-EU incidenty, kybernetické hrozby, významné události a zranitelnosti, které se jich týkají, a poskytovat o nich informace. CERT-EU zajistí, aby v zájmu usnadnění sdílení informací se subjekty Unie byly k dispozici účinné komunikační prostředky s vysokou úrovní sledovatelnosti, důvěrnosti a spolehlivosti. Při zpracování oznámení může CERT-EU upřednostnit zpracování povinných oznámení před dobrovolnými oznámeními. Aniž je dotčen článek 12, při dobrovolném oznámení nemohou být oznamujícímu subjektu Unie uloženy žádné další povinnosti než ty, které by mu byly uloženy, kdyby toto oznámení neučinil.
2. K plnění svého poslání a úkolů svěřených podle článku 13 může CERT-EU požádat subjekty Unie o poskytnutí informací z příslušných soupisů jejich systémů IKT, včetně informací o kybernetických hrozbách, významných událostech, zranitelnostech, indikátorech narušení, varováních při ohrožení kybernetické bezpečnosti a doporučeních týkajících se konfigurace nástrojů kybernetické bezpečnosti určených k odhalování kybernetických incidentů. Dožádaný subjekt Unie bez zbytečného odkladu předá požadované informace a všechny jejich následné aktualizace.
3. CERT-EU si může se subjekty Unie vyměňovat informace týkající se konkrétního incidentu, které odhalují totožnost subjektu Unie, jehož se incident týká, pouze se souhlasem tohoto subjektu. Pokud subjekt Unie odmítne udělit svůj souhlas, poskytne CERT-EU důvody svého rozhodnutí.
4. Subjekty Unie na požádání sdílejí s Evropským parlamentem a Radou informace o dokončení plánů kybernetické bezpečnosti.
5. Výbor IICB nebo případně CERT-EU na požádání sdílí s Evropským parlamentem a Radou pokyny, doporučení a výzvy k přijetí opatření.
6. Povinnosti související se sdílením informací stanovené v tomto článku se nevztahují na:
| a) | utajované informace EU; |
| b) | informace, jejichž další šíření bylo vyloučeno viditelným označením, pokud jejich sdílení se CERT-EU nebylo výslovně povoleno.. |
Článek 21
Oznamovací povinnosti
1. Incident se považuje za závažný, pokud:
| a) | způsobil nebo může způsobit vážné provozní narušení fungování subjektu Unie nebo finanční ztrátu pro dotčený subjekt Unie; |
| b) | způsobil nebo může způsobit jiným fyzickým nebo právnickým osobám značnou hmotnou nebo nehmotnou újmu. |
2. Subjekty Unie předloží CERT-EU:
| a) | bez zbytečného odkladu a v každém případě do 24 hodin po zjištění významného incidentu, včasné varování, v němž případně uvedou, zda se domnívají, že byl významného incident způsoben nezákonným nebo nepřátelským jednáním nebo že by mohl mít dopad na různé subjekty nebo přeshraniční dopad; |
| b) | bez zbytečného odkladu a v každém případě do 72 hodin po zjištění významného incidentu, oznámení incidentu, v němž případně aktualizují informace uvedené v písmenu a) a předloží počáteční posouzení významného incidentu včetně jeho závažnosti a dopadu a, pokud jsou k dispozici, indikátory narušení; |
| c) | na žádost CERT-EU průběžnou zprávu o příslušném aktuálním vývoji situace; |
| d) | nejpozději do jednoho měsíce od předložení oznámení incidentu podle písmene b) závěrečnou zprávu zahrnující:
|
| e) | v případě, že v době předložení závěrečné zprávy podle písmene d) incident stále trvá, zprávu o pokroku k danému okamžiku a závěrečnou zprávu do jednoho měsíce od vyřešení incidentu. |
3. Subjekt Unie bez zbytečného odkladu a v každém případě do 24 hodin od okamžiku, kdy se o významnému incidentu dozvěděl, informuje všechny příslušné protějšky z členských států uvedené v čl. 17 odst. 1 v členském státě, v němž se nachází, o tom, že došlo k významnému incidentu.
4. Subjekty Unie oznámí mimo jiné veškeré informace, které CERT-EU umožní určit jakýkoli dopad na všechny subjekty, dopad na hostitelský členský stát nebo přeshraniční dopad významného incidentu. Aniž je dotčen článek 12, pouhé oznámení nepředstavuje pro subjekt Unie vyšší míru právní odpovědnosti.
5. V příslušných případech subjekty Unie bez zbytečného odkladu sdělí uživatelům dotčených sítí a informačních systémů nebo jiných složek prostředí IKT, kteří jsou potenciálně dotčeni významným incidentem nebo významnou kybernetickou hrozbou a případně potřebují přijmout zmírňující opatření, jakákoli opatření nebo nápravná opatření, která mohou být v reakci na uvedený incident nebo hrozbu přijata. Subjekty Unie případně informují tyto uživatele o samotné významné kybernetické hrozbě.
6. Pokud se významný incident nebo významná kybernetická hrozba dotýká sítě a informačního systému nebo složky prostředí IKT subjektu Unie, která je úmyslně propojena s prostředím IKT jiného subjektu Unie, vydá CERT-EU příslušné bezpečnostní varování.
7. Subjekty Unie na žádost CERT-EU a bez zbytečného odkladu poskytnou CERT-EU digitální informace vytvořené pomocí elektronických zařízení zapojených do příslušných incidentů. CERT-EU může poskytnout další podrobnosti o typech informací, které pro účely situačního přehledu a reakce na incident požaduje.
8. CERT-EU předkládá každé tři měsíce výboru IICB, ENISA, EU INTCEN a síti týmů CSIRT souhrnnou zprávu obsahující anonymizované a agregované údaje o významných incidentech, incidentech, kybernetických hrozbách, významných událostech a zranitelnostech podle článku 20, a významných incidentech oznámených podle odstavce 2 tohoto článku. Souhrnná zpráva je podkladem pro dvouletou zprávu o stavu kybernetické bezpečnosti v Unii přijatou podle článku 18 směrnice (EU) 2022/2555.
9. Výbor IICB do 8. července 2024 vydá pokyny nebo doporučení, v nichž blíže upřesní způsoby, formát a obsah oznamování podle tohoto článku. Při přípravě těchto pokynů nebo doporučení výbor IICB zohlední veškeré prováděcí akty přijaté podle čl. 23 odst. 11 směrnice (EU) 2022/2555, které blíže stanoví druh informací, formát a postup oznámení. CERT-EU šíří vhodné technické údaje s cílem umožnit aktivní odhalování incidentů, reakci na incidenty nebo opatření ke zmírnění dopadů incidentů ze strany subjektů Unie.
10. Oznamovací povinnosti stanovené v tomto článku se nevztahují na:
| a) | utajované informace EU; |
| b) | informace, jejichž další šíření bylo vyloučeno viditelným označením, pokud jejich sdílení se CERT-EU nebylo výslovně povoleno. |
whereas