keyboard_tab Cyber Resilience Act 2023/2841 CS

1.   Na základě závěrů vyvozených z hodnocení vyspělosti kybernetické bezpečnosti provedeného podle článku 7 a s ohledem na aktiva a kybernetická bezpečnostní rizika zjištěná v rámci a na opatření k řízení kybernetických bezpečnostních rizik přijatá podle článku 8, schválí nejvyšší úroveň vedení subjektu bez zbytečného prodlení a nejpozději do 8. ledna 2026 Unie plán kybernetické bezpečnosti. Cílem plánu kybernetické bezpečnosti je zvýšit celkovou kybernetickou bezpečnost subjektu Unie, a tím přispět k posílení vysoké společné úrovně kybernetické bezpečnosti uvnitř subjektů Unie. Plán kybernetické bezpečnosti zahrnuje přinejmenším opatření k řízení kybernetických bezpečnostních rizik přijatá podle článku 8. Plán kybernetické bezpečnosti se reviduje každé dva roky, nebo častěji, je-li to nezbytné, na základě hodnocení vyspělosti kybernetické bezpečnosti provedeného podle článku 7 nebo v souvislosti s jakýmkoli významným přezkumem rámce.

2.   Plán kybernetické bezpečnosti zahrnuje plán subjektu Unie pro řešení kybernetických krizí v případě závažných incidentů.

3.   Subjekt Unie předloží svůj plán kybernetické bezpečnosti interinstitucionálnímu výboru pro kybernetickou bezpečnost zřízenému podle článku 10.

1.   Výbor IICB v souladu s čl. 10 odst. 2 a článkem 11 účinně sleduje provádění tohoto nařízení a přijatých pokynů, doporučení a výzev k přijetí opatření ze strany subjektů Unie. Výbor IICB si může od subjektů Unie vyžádat informace nebo dokumentaci, které jsou pro tento účel nezbytné. Pokud je dotčený subjekt Unie přímo ve výboru IICB zastoupen, nemá pro účely přijetí opatření k zajištění plnění povinností podle tohoto článku hlasovací práva.

2.   Pokud výbor IICB zjistí, že některý subjekt Unie toto nařízení nebo pokyny, doporučení či výzvy k přijetí opatření vydané podle tohoto nařízení účinně neprovedl, aniž by byly dotčeny interní postupy dotčeného subjektu Unie, a poté, co subjektu Unie umožní přednést jeho připomínky, může:

a)	předložit dotčenému subjektu Unie odůvodněné stanovisko se zjištěnými nedostatky při uplatňování tohoto nařízení;

b)	poskytnout dotčenému subjektu Unie po konzultaci se CERT-EU pokyny s cílem zajistit, aby jeho rámec, opatření k řízení kybernetických bezpečnostních rizik, plán kybernetické bezpečnosti a podávání zpráv byly ve stanovené lhůtě v souladu s tímto nařízením;

c)	vydat varování s cílem řešit zjištěné nedostatky ve stanovené lhůtě, včetně doporučení ke změně opatření přijatých dotčeným subjektem Unie na základě tohoto nařízení;

d)	vydat dotčenému subjektu Unie odůvodněné oznámení v případě, že nedostatky uvedené ve varování vydaném podle písmene c) nebyly ve stanovené lhůtě dostatečně vyřešeny;

e)	vydat: i) doporučení k provedení auditu, nebo ii) žádost, aby audit provedl auditní útvar třetí strany;

f)	v příslušných případech informovat Účetní dvůr v rámci jeho mandátu o údajném nedodržení povinností;

g)	vydat doporučení, aby všechny členské státy a subjekty Unie dočasně pozastavily datové toky do dotčeného subjektu Unie.

Pro účely prvního pododstavce písm. c), je-li to nezbytné s ohledem na kybernetické bezpečnostní riziko, je počet příjemců varování přiměřeně omezen.

Varování a doporučení vydaná podle prvního pododstavce jsou určena nejvyšší úrovni vedení dotčeného subjektu Unie.

3.   Pokud výbor IICB přijal opatření podle odst. 2 prvního pododstavce písm. a) až g), dotčený subjekt Unie podrobně informuje o opatřeních a krocích, které k řešení údajných nedostatků zjištěných výborem IICB přijal. Tyto podrobné informace subjekt Unie podá v přiměřené lhůtě dohodnuté s výborem IICB.

4.   Pokud se výbor IICB domnívá, že subjekt Unie trvale porušuje toto nařízení a že toto porušování vyplývá přímo z jednání nebo opomenutí úředníka nebo jiného zaměstnance Unie, a to i na nejvyšší úrovni vedení, požádá výbor IICB dotčený subjekt Unie, aby přijal příslušná opatření, přičemž jej může požádat i o to, aby zvážil přijetí opatření disciplinární povahy v souladu s pravidly a postupy stanovenými ve služebním řádu a jakýmikoli dalšími platnými pravidly a postupy. Za tímto účelem výbor IICB předá dotčenému subjektu Unie nezbytné informace.

5.   Pokud subjekty Unie oznámí, že nejsou schopny dodržet lhůty stanovené v čl. 6 odst. 1 a čl. 8 odst. 1, může výbor IICB v řádně odůvodněných případech a s ohledem na velikost subjektu Unie povolit prodloužení těchto lhůt.

1.   CERT-EU může spolupracovat s protějšky v Unii, jež nejsou uvedeny v článku 17 a na něž se vztahují požadavky Unie na kybernetickou bezpečnost, včetně protějšků zaměřených na konkrétní průmyslová odvětví, v záležitostech týkajících se nástrojů a metod, jako například techniky, taktiky, postupů a osvědčených postupů, jakož i kybernetických hrozeb a zranitelností. Pro účely jakékoliv spolupráce s těmito protějšky požádá CERT-EU výbor IICB o předchozí souhlas pro každý jednotlivý případ. Pokud CERT-EU s těmito protějšky naváže spolupráci, informuje o tom všechny příslušné protějšky členských států uvedené v čl. 17 odst. 1 v členském státě, v němž se protějšek nachází. Ve vhodných a náležitých případech se tato spolupráce a její podmínky, a to i pokud jde o kybernetickou bezpečnost, ochranu údajů a nakládání s informacemi, stanoví ve výslovných ujednáních o zachování důvěrnosti, jako jsou smlouvy nebo správní ujednání. Ujednání o zachování důvěrnosti nevyžadují předchozí souhlas výboru IICB, předseda výboru IICB je však informován. V případě naléhavé a bezprostřední potřeby výměny informací o kybernetické bezpečnosti v zájmu subjektů Unie nebo jiné strany může CERT-EU tímto způsobem postupovat se subjektem, jehož zvláštní způsobilost, kapacita a odborné znalosti jsou důvodně vyžadovány na pomoc v této situaci naléhavé a bezprostřední potřeby, a to i v případě, že CERT-EU s tímto subjektem nemá uzavřenu dohodu o zachování důvěrnosti. V takových případech CERT-EU neprodleně informuje předsedu výboru IICB a výbor IICB informuje prostřednictvím pravidelných zpráv nebo zasedání.

2.   CERT-EU může v zájmu shromažďování informací o obecných a konkrétních kybernetických hrozbách, významných událostech, zranitelnostech a možných protiopatřeních spolupracovat s partnery, jako jsou komerční subjekty, včetně subjektů zaměřených na konkrétní průmyslová odvětví, mezinárodní organizace, vnitrostátní subjekty zemí mimo Unii nebo jednotliví odborníci. Pro účely širší spolupráce s těmito partnery požádá CERT-EU výbor IICB o předchozí souhlas pro každý jednotlivý případ.

3.   CERT-EU může se souhlasem subjektu Unie dotčeného incidentem a za předpokladu, že s příslušným protějškem nebo partnerem je uzavřeno ujednání nebo smlouva o mlčenlivosti, poskytnout informace týkající se konkrétního incidentu protějškům nebo partnerům uvedeným v odstavcích 1 a 2, a to výhradně za účelem přispění k jeho analýze.

1.   S cílem podpořit koordinované řešení závažných incidentů na operační úrovni, které mají dopad na subjekty Unie, a přispět k pravidelné výměně relevantních informací mezi subjekty Unie a s členskými státy vypracuje výbor IICB v úzké spolupráci se CERT-EU a ENISA plán řešení kybernetické krize na základě činností uvedených v čl. 22 odst. 2. Plán řešení kybernetické krize obsahuje alespoň tyto prvky:

a)	postupy týkající se koordinace a toku informací mezi subjekty Unie za účelem řešení závažných incidentů na operační úrovni;

b)	společné standardní operační postupy (SOP);

c)	společné názvosloví pro závažnost závažných incidentů a spouštěcí body krize;

d)	pravidelná cvičení;

e)	zabezpečené komunikační kanály, jež mají být používány.

2.   Na základě plánu řešení kybernetické krize vypracovaného podle odstavce 1 tohoto článku, a aniž je dotčen čl. 16 odst. 2 první pododstavec směrnice (EU) 2022/2555, je zástupce Komise ve výboru IICB kontaktním místem pro sdílení příslušných informací týkajících se závažných incidentů se sítí EU-CyCLONe.

3.   CERT-CE koordinuje subjekty Unie při řešení závažných incidentů. Vede seznam dostupných technických odborných znalostí, které by v případě závažných incidentů byly potřebné pro reakci, a pomáhá výboru IICB při koordinaci plánů subjektů Unie pro řešení kybernetických krizí v případě závažných incidentů uvedených v čl. 9 odst. 2.

4.   Subjekty Unie přispívají k seznamu technických odborných znalostí tím, že poskytují každoročně aktualizovaný seznam odborníků, kteří jsou k dispozici v rámci jejich příslušných organizací, s podrobným uvedením jejich konkrétních technických dovedností.