keyboard_tab Cyber Resilience Act 2023/2841 CS
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Článek 10 Interinstitucionální výbor pro kybernetickou bezpečnost
- 7 Článek 11 Úkoly výboru IICB
- 2 Článek 14 Pokyny, doporučení a výzvy k přijetí opatření
- 4 Článek 15 Vedoucí CERT-EU
- 2 Článek 22 Koordinace a spolupráce v rámci reakce na incidenty
- 1 Článek 25 Přezkum
- Článek 26 Vstup v platnost
KAPITOLA I
OBECNÁ USTANOVENÍ
KAPITOLA II
OPATŘENÍ K ZAJIŠTĚNÍ VYSOKÉ SPOLEČNÉ ÚROVNĚ KYBERNETICKÉ BEZPEČNOSTI
KAPITOLA III
INTERINSTITUCIONÁLNÍ VÝBOR PRO KYBERNETICKOU BEZPEČNOST
KAPITOLA IV
CERT-EU
KAPITOLA V
POVINNOSTI V OBLASTI SPOLUPRÁCE A OZNAMOVACÍ POVINNOSTI
KAPITOLA VI
ZÁVĚREČNÁ USTANOVENÍ
- cert-eu 45
- iicb 40
- unie 38
- výboru 25
- bezpečnosti 16
- subjektů 15
- kybernetické 15
- výbor 14
- nařízení 14
- nebo 14
- tohoto 13
- služeb 11
- základě 10
- subjekty 10
- včetně 9
- opatření 9
- schvaluje 9
- výbor 9
- návrhu 8
- podle 8
- které 8
- provádění 7
- při 7
- jejich 7
- vedoucího 7
- zprávy 6
- zprávu 6
- v souladu 6
- může 6
- jako 6
- Článek 6
- návrh 6
- odst 6
- kybernetických 6
- v oblasti 6
- hodnocení 5
- úrovni 5
- kybernetickou 5
- bezpečnost 5
- mohou 5
- vedoucí 5
- spolupráci 5
- směrnice 5
- eu / 5
- přijímá 5
- informací 5
- doporučení 5
- jeho 5
- ledna 5
- předkládá 5
Článek 10
Interinstitucionální výbor pro kybernetickou bezpečnost
1. Zřizuje se interinstitucionální výbor pro kybernetickou bezpečnost (dále jen „výbor IICB“).
2. Výbor IICB je povinen:
| a) | sledovat a podporovat provádění tohoto nařízení subjekty Unie; |
| b) | dohlížet na plnění obecných priorit a cílů CERT-EU a poskytovat CERT-EU strategické řízení. |
3. Výbor IICB sestává z:
| a) | jednoho zástupce jmenovaného každým z těchto subjektů:
|
| b) | tří zástupců jmenovaných sítí agentur EU (EUAN) na návrh jejího poradního výboru pro IKT, aby zastupovali zájmy orgánů, institucí a jiných subjektů Unie, které provozují své vlastní prostředí IKT a které nejsou uvedeny v písmenu a). |
Subjekty Unie zastoupené ve výboru IICB usilují o dosažení vyváženého zastoupení žen a mužů mezi jmenovanými zástupci.
4. Členům výboru IICB mohou být nápomocni náhradníci. Další zástupci subjektů Unie uvedených v odstavci 3 nebo jiných subjektů Unie mohou být předsedou pozváni k účasti na zasedáních výboru IICB bez hlasovacích práv.
5. Vedoucí CERT-EU a předsedové skupiny pro spolupráci, sítě týmů CSIRT a sítě EU-CyCLONe zřízených podle článků 14, 15 a 16 směrnice (EU) 2022/2555 nebo jejich náhradníci se mohou zasedání výboru IICB účastnit jako pozorovatelé. Ve výjimečných případech a v souladu se svým jednacím řádem může výbor IICB rozhodnout jinak.
6. Výbor IICB přijímá svůj jednací řád.
7. Výbor IICB v souladu s jednacím řádem určuje z řad svých členů předsedu na období tří let. Náhradník předsedy se na stejnou dobu stává plným členem výboru IICB.
8. Výbor IICB se schází alespoň třikrát za rok z podnětu svého předsedy, na žádost CERT-EU nebo na žádost kteréhokoli ze svých členů.
9. Každý člen výboru IICB má jeden hlas. Rozhodnutí výboru IICB se přijímají prostou většinou, není-li v tomto nařízení stanoveno jinak. Předseda výboru IICB nehlasuje, kromě případů rovnosti hlasů, kdy může odevzdat rozhodující hlas.
10. Výbor IICB může jednat zjednodušeným písemným postupem zahájeným v souladu se svým jednacím řádem. Na základě tohoto postupu se příslušné rozhodnutí považuje za schválené ve lhůtě stanovené předsedou, s výjimkou případů, kdy některý z členů vznese námitku.
11. Funkci sekretariátu výboru IICB zajišťuje Komise a sekretariát je odpovědný předsedovi výboru IICB.
12. Zástupci nominovaní sítí EUAN předávají rozhodnutí výboru IICB členům sítě EUAN. Jakýkoli člen sítě EUAN je oprávněn se obrátit na tyto zástupce nebo předsedu výboru IICB s jakoukoli záležitostí, o níž se domnívají, že by na ni výbor IICB měl být upozorněn.
13. Výbor IICB může zřídit výkonný výbor, aby mu pomáhal v jeho práci, a přenést na něj některé své úkoly a pravomoci. Výbor IICB stanoví jednací řád výkonného výboru, včetně jeho úkolů a pravomocí a funkčního období jeho členů.
14. Do 8. ledna 2025 a poté každoročně předkládá výbor IICB Evropskému parlamentu a Radě zprávu, v níž je podrobně popsán pokrok dosažený při provádění tohoto nařízení, a zejména upřesněn rozsah spolupráce CERT-EU s jeho vnitrostátními protějšky v jednotlivých členských státech. Tato zpráva je podkladem pro dvouletou zprávu o stavu kybernetické bezpečnosti v Unii přijatou podle článku 18 směrnice (EU) 2022/2555.
Článek 11
Úkoly výboru IICB
Při výkonu svých povinností výbor IICB zejména:
| a) | poskytuje strategické pokyny vedoucímu CERT-EU; |
| b) | účinně sleduje a dohlíží na provádění tohoto nařízení a podporuje subjekty Unie při posilování jejich kybernetické bezpečnosti, a případně v této souvislosti také požaduje od subjektů Unie a CERT-EU zprávy ad hoc; |
| c) | v návaznosti na strategickou diskusi přijímá víceletou strategii pro zvýšení úrovně kybernetické bezpečnosti v subjektech Unie, pravidelně, v každém případě však jednou za pět let, tuto strategii posuzuje a v případě potřeby tuto strategii upravuje; |
| d) | stanovuje metodiku a organizační aspekty pro provádění dobrovolných vzájemných hodnocení subjekty Unie s cílem čerpat ze sdílených zkušeností, posílit vzájemnou důvěru, dosáhnout vysoké společné úrovně kybernetické bezpečnosti a posílit schopnosti subjektů Unie v oblasti kybernetické bezpečnosti, přičemž zajistí, aby tato vzájemná hodnocení prováděli odborníci na kybernetickou bezpečnost jmenovaní jiným subjektem Unie, než je subjekt Unie, který je předmětem přezkumu, a aby tato metodika vycházela z článku 19 směrnice (EU) 2022/2555 a byla případně subjektům Unie přizpůsobena; |
| e) | na základě návrhu vedoucího CERT-EU schvaluje roční pracovní program CERT-EU a sleduje jeho provádění; |
| f) | na základě návrhu vedoucího CERT-EU schvaluje katalog služeb CERT-EU a všechny jeho aktualizace; |
| g) | na základě návrhu vedoucího CERT-EU schvaluje roční finanční plán příjmů a výdajů, včetně personálního obsazení, pro činnosti CERT-EU; |
| h) | na základě návrhu vedoucího CERT-EU schvaluje postupy pro uzavírání smluv o poskytování služeb; |
| i) | přezkoumává a schvaluje roční zprávu vypracovanou vedoucím CERT-EU, jež se zabývá činností CERT-EU a řízením jejích finančních prostředků; |
| j) | schvaluje a sleduje klíčové ukazatele výkonnosti pro CERT-EU stanovené na základě návrhu vedoucího CERT-EU; |
| k) | schvaluje ujednání o spolupráci, smlouvy o poskytování služeb nebo smlouvy mezi CERT-EU a dalšími subjekty podle článku 18; |
| l) | přijímá pokyny a doporučení na základě návrhu CERT-EU v souladu s článkem 14 a ukládá CERT-EU, aby vydala, stáhla nebo upravila návrh pokynů nebo doporučení nebo výzvu k přijetí opatření; |
| m) | zřizuje technické poradní skupiny se zvláštními úkoly na podporu činnosti výboru IICB, schvaluje jejich mandát a určuje jejich předsedy; |
| n) | přijímá a posuzuje dokumenty a zprávy předložené subjekty Unie podle tohoto nařízení, jako jsou hodnocení vyspělosti kybernetické bezpečnosti; |
| o) | za účelem výměny osvědčených postupů a informací v souvislosti s prováděním tohoto nařízení usnadňuje zřízení neformální skupiny místních referentů pro kybernetickou bezpečnost subjektů Unie, podporované ENISA; |
| p) | s ohledem na informace o zjištěných kybernetických bezpečnostních rizicích a poznatky poskytnuté CERT-EU sleduje přiměřenost opatření týkajících se propojení mezi prostředími IKT subjektů Unie a poskytuje poradenství ohledně možných zlepšení; no, myslí se tím propojenost na technické úrovni; |
| q) | vypracuje plán řešení kybernetických krizí s cílem podpořit na operativní úrovni koordinované řízení závažných incidentů s dopadem na subjekty Unie a přispět k pravidelné výměně příslušných informací, zejména pokud jde o dopady a závažnost závažných incidentů a možné způsoby jejich zmírnění; |
| r) | koordinuje přijímání plánů jednotlivých subjektů Unie pro řešení kybernetických krizí uvedených v čl. 9 odst. 2; |
| s) | s ohledem na výsledky koordinovaného posouzení rizik kritických dodavatelských řetězců na úrovni Unie uvedených v článku 22 směrnice (EU) 2022/2555 přijímá doporučení v oblasti bezpečnosti dodavatelského řetězce podle čl. 8 odst. 2 prvního pododstavce písm. m) na podporu subjektů Unie při přijímání účinných a přiměřených opatření k řízení kybernetických bezpečnostních rizik. |
Článek 14
Pokyny, doporučení a výzvy k přijetí opatření
1. CERT-EU podporuje provádění tohoto nařízení vydáváním:
| a) | výzev k přijetí opatření popisujících naléhavá bezpečnostní opatření, jejichž přijetí ve stanovené lhůtě je vyžadováno od subjektů Unie; |
| b) | návrhů pokynů určených všem subjektům Unie nebo jejich části, které předkládá výboru IICB; |
| c) | návrhů doporučení určených jednotlivým subjektům Unie, které předkládá výboru IICB. |
Pokud jde o první pododstavec písm. a), dotčený subjekt Unie bez zbytečného odkladu po obdržení výzvy k přijetí opatření informuje CERT-EU o tom, jak byla naléhavá bezpečnostní opatření uplatněna.
2. Pokyny a doporučení mohou obsahovat:
| a) | společné metodiky a model pro hodnocení vyspělosti kybernetické bezpečnosti subjektů Unie, včetně odpovídajících měřítek nebo klíčových ukazatelů výkonnosti, které slouží jako reference na podporu soustavného zlepšování kybernetické bezpečnosti ve všech subjektech Unie a usnadňují stanovení priorit pro oblasti kybernetické bezpečnosti a opatření s ohledem na stav subjektů z hlediska kybernetické bezpečnosti; |
| b) | postupy pro řízení kybernetických bezpečnostních rizik a opatření k řízení kybernetických bezpečnostních rizik nebo jejich vylepšení; |
| c) | postupy pro hodnocení vyspělosti kybernetické bezpečnosti a postupy pro plány kybernetické bezpečnosti; |
| d) | případně využití společných technologií, architektury, otevřených zdrojů a souvisejících osvědčených postupů s cílem dosáhnout interoperability a společných norem, včetně koordinovaného přístupu k bezpečnosti dodavatelského řetězce; |
| e) | případné informace k usnadnění používání nástrojů kolaborativního zadávání veřejných zakázek pro nákup příslušných služeb a produktů v oblasti kybernetické bezpečnosti od dodavatelů, kteří jsou třetími stranami; |
| f) | ujednání o sdílení informací podle článku 20. |
Článek 15
Vedoucí CERT-EU
1. Komise po obdržení souhlasu dvoutřetinové většiny výboru IICB jmenuje vedoucího CERT-EU. Výbor IICB je konzultován ve všech fázích postupu jmenování, zejména při vypracovávání oznámení o volném pracovním místě, posuzování žádostí a jmenování výběrových komisí v souvislosti s tímto pracovním místem. Výběrové řízení, včetně konečného užšího seznamu kandidátů, z nichž má být vedoucí CERT-EU vybrán, zajistí spravedlivé genderové zastoupení ve vztahu k předloženým kandidaturám.
2. Vedoucí CERT-EU je odpovědný za řádné fungování CERT-EU a jedná v rámci svých úkolů pod vedením výboru IICB. Vedoucí CERT-EU pravidelně podává zprávy předsedovi výboru IICB a na požádání předkládá výboru IICB zprávy vypracované ad hoc.
3. Vedoucí CERT-EU je nápomocen příslušné pověřené schvalující osobě při vypracovávání každoroční zprávy o činnosti obsahující finanční a manažerské informace, včetně výsledků kontrol, vypracované v souladu s čl. 74 odst. 9 nařízení Evropského parlamentu a Rady (EU, Euratom) 2018/1046 (9), a tuto pověřenou schvalující osobu pravidelně informuje o provádění opatření, u nichž byla pravomoc přenesena na vedoucího CERT-EU.
4. Vedoucí CERT-EU vypracuje každoročně finanční plán správních příjmů a výdajů na své činnosti, návrh ročního pracovního programu, návrh katalogu služeb CERT-EU, navrhované revize katalogu služeb, návrh ujednání pro smlouvy o poskytování služeb a návrh klíčových ukazatelů výkonnosti pro CERT-EU, které v souladu s článkem 11 schvaluje výbor IICB. Při revizi seznamu služeb v katalogu služeb CERT-EU zohlední vedoucí CERT-EU zdroje, které jsou CERT-EU přiděleny.
5. Vedoucí CERT-EU předkládá nejméně jednou ročně výboru IICB a předsedovi výboru IICB zprávy o činnostech a výsledcích CERT-EU během referenčního období, včetně zpráv o plnění rozpočtu, uzavřených smlouvách o poskytování služeb a písemných dohodách, spolupráci s protějšky a partnery a o misích podniknutých jeho zaměstnanci, včetně zpráv podle článku 11. Tyto zprávy obsahují pracovní program na následující období, finanční plánování příjmů a výdajů, včetně personálního obsazení, plánované aktualizace katalogu služeb CERT-EU a posouzení očekávaného dopadu, který tyto aktualizace mohou mít na finanční a lidské zdroje.
Článek 22
Koordinace a spolupráce v rámci reakce na incidenty
1. CERT-EU, která působí jako středisko pro výměnu informací v oblasti kybernetické bezpečnosti a pro koordinaci reakcí na incidenty, usnadňuje výměnu informací o kybernetických hrozbách, zranitelnostech a významných událostech mezi:
| a) | subjekty Unie; |
| b) | protějšky uvedenými v článcích 17 a 18. |
2. CERT-EU, případně v úzké spolupráci s ENISA, usnadňuje koordinaci reakcí subjektů Unie na incidenty, včetně:
| a) | přispívání k jednotné vnější komunikaci; |
| b) | vzájemné podpory, jako je sdílení informací relevantních pro subjekty Unie nebo poskytování pomoci, je-li to relevantní, přímo na místě; |
| c) | optimálního využití operativních zdrojů; |
| d) | koordinace s dalšími mechanismy reakce na krizové situace na úrovni Unie. |
3. CERT-EU v úzké spolupráci s ENISA podporuje subjekty Unie v oblasti situačního povědomí o kybernetických hrozbách, zranitelnostech a významných událostech, jakož i ve sdílení relevantního vývoje v oblasti kybernetické bezpečnosti.
4. Výbor IICB do 8. ledna 2025 přijme na základě návrhu CERT-EU pokyny nebo doporučení pro koordinaci reakcí na incidenty a pro spolupráci při významných incidentech. Pokud existuje podezření, že incident má povahu trestného činu, poskytne CERT-EU bez zbytečného odkladu poradenství k tomu, jak oznámit tento incident donucovacím orgánům.
5. Na základě konkrétní žádosti členského státu a se souhlasem dotčených subjektů Unie může CERT-EU vyzvat odborníky ze seznamu uvedeného v čl. 23 odst. 4, aby přispěli k reakci na závažný incident, který má v daném členském státě dopad, nebo na rozsáhlý kybernetický bezpečnostní incident v souladu s čl. 15 odst. 3 písm. g) směrnice (EU) 2022/2555. Zvláštní pravidla pro přístup k technickým odborníkům ze subjektů Unie a jejich využívání schvaluje výbor IICB na základě návrhu CERT-EU.
Článek 25
Přezkum
1. Výbor IICB za pomoci CERT-EU podá do 8. ledna 2025 a poté každoročně Komisi zprávu o provádění tohoto nařízení. Výbor IICB může Komisi doporučit, aby toto nařízení přezkoumala.
2. Komise posoudí provádění tohoto nařízení a podá Evropskému parlamentu a Radě zprávu o provádění tohoto nařízení a o zkušenostech získaných na strategické a operativní úrovni do 8. ledna 2027 a poté každé dva roky.
Zpráva uvedená v prvním pododstavci tohoto odstavce zahrnuje přezkum možnosti zřízení CERT-EU jako úřadu Unie podle čl. 16 odst. 1.
3. Komise vyhodnotí fungování tohoto nařízení a podá zprávu Evropskému parlamentu, Radě, Evropskému hospodářskému a sociálnímu výboru a Výboru regionů do 8. ledna 2029. Komise rovněž vyhodnotí, zda je vhodné zahrnout do oblasti působnosti tohoto nařízení sítě a informační systémy, které nakládají s utajovanými informacemi EU, a to s přihlédnutím k dalším legislativním aktům Unie, které se na tyto systémy vztahují. V případě potřeby se ke zprávě připojí legislativní návrh.
whereas