keyboard_tab Cyber Resilience Act 2023/2841 CS
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 3 Článek 4 Zpracování osobních údajů
- 1 Článek 9 Plány kybernetické bezpečnosti
- 3 Článek 12 Dodržování povinností
KAPITOLA I
OBECNÁ USTANOVENÍ
KAPITOLA II
OPATŘENÍ K ZAJIŠTĚNÍ VYSOKÉ SPOLEČNÉ ÚROVNĚ KYBERNETICKÉ BEZPEČNOSTI
KAPITOLA III
INTERINSTITUCIONÁLNÍ VÝBOR PRO KYBERNETICKOU BEZPEČNOST
KAPITOLA IV
CERT-EU
KAPITOLA V
POVINNOSTI V OBLASTI SPOLUPRÁCE A OZNAMOVACÍ POVINNOSTI
KAPITOLA VI
ZÁVĚREČNÁ USTANOVENÍ
- unie 29
- podle 21
- opatření 13
- článku 12
- subjektu 12
- kybernetické 12
- bezpečnosti 11
- iicb 11
- nařízení 11
- nebo 9
- odst 8
- výbor 8
- tohoto 8
- plán 6
- subjekt 6
- údajů 6
- cert-eu 5
- doporučení 5
- pokud 5
- nezbytné 5
- kybernetických 5
- kybernetickou 5
- bezpečnostních 4
- povinností 4
- rizik 4
- subjektů 4
- k řízení 4
- lhůtě 4
- osobních 4
- dotčenému 4
- stanovené 4
- bezpečnost 4
- v souladu 4
- varování 4
- vydat 3
- přijal 3
- pododstavce 3
- prvního 3
- v rámci 3
- účely 3
- toto 3
- kapitola 3
- jeho 3
- základě 3
- nejvyšší 3
- vedení 3
- nedostatky 3
- může 3
- informace 3
- dotčený 3
Článek 4
Zpracování osobních údajů
1. Zpracování osobních údajů podle tohoto nařízení CERT-EU, Interinstitucionálním výborem pro kybernetickou bezpečnost zřízeným podle článku 10 a subjekty Unie se provádí v souladu s nařízením (EU) 2018/1725.
2. Pokud CERT-EU, interinstitucionální výbor pro kybernetickou bezpečnost zřízený podle článku 10 a subjekty Unie plní úkoly nebo povinnosti podle tohoto nařízení, zpracovávají a vyměňují si osobní údaje pouze v nezbytném rozsahu a výhradně za účelem plnění těchto úkolů nebo povinností.
3. Zpracování zvláštních kategorií osobních údajů uvedených v čl. 10 odst. 1 nařízení (EU) 2018/1725 se považuje za nezbytné z důvodů významného veřejného zájmu podle čl. 10 odst. 2 písm. g) uvedeného nařízení. Takové údaje mohou být zpracovávány pouze v rozsahu nezbytném pro provádění opatření k řízení kybernetických bezpečnostních rizik uvedených v článcích 6 a 8, pro poskytování služeb CERT-EU podle článku 13, pro sdílení informací o konkrétních incidentech podle čl. 17 odst. 3 a čl. 18 odst. 3, pro sdílení informací podle článku 20, pro oznamovací povinnosti podle článku 21, pro koordinaci a spolupráci v rámci reakce na incident podle článku 22 a pro řízení závažných incidentů podle článku 23 tohoto nařízení. Jednají-li subjekty Unie a CERT-EU v postavení správce údajů, uplatňují technická opatření zabraňující zpracování zvláštních kategorií osobních údajů pro jiné účely a stanoví vhodná a konkrétní opatření na ochranu základních práv a zájmů subjektů údajů.
KAPITOLA II
OPATŘENÍ K ZAJIŠTĚNÍ VYSOKÉ SPOLEČNÉ ÚROVNĚ KYBERNETICKÉ BEZPEČNOSTI
Článek 9
Plány kybernetické bezpečnosti
1. Na základě závěrů vyvozených z hodnocení vyspělosti kybernetické bezpečnosti provedeného podle článku 7 a s ohledem na aktiva a kybernetická bezpečnostní rizika zjištěná v rámci a na opatření k řízení kybernetických bezpečnostních rizik přijatá podle článku 8, schválí nejvyšší úroveň vedení subjektu bez zbytečného prodlení a nejpozději do 8. ledna 2026 Unie plán kybernetické bezpečnosti. Cílem plánu kybernetické bezpečnosti je zvýšit celkovou kybernetickou bezpečnost subjektu Unie, a tím přispět k posílení vysoké společné úrovně kybernetické bezpečnosti uvnitř subjektů Unie. Plán kybernetické bezpečnosti zahrnuje přinejmenším opatření k řízení kybernetických bezpečnostních rizik přijatá podle článku 8. Plán kybernetické bezpečnosti se reviduje každé dva roky, nebo častěji, je-li to nezbytné, na základě hodnocení vyspělosti kybernetické bezpečnosti provedeného podle článku 7 nebo v souvislosti s jakýmkoli významným přezkumem rámce.
2. Plán kybernetické bezpečnosti zahrnuje plán subjektu Unie pro řešení kybernetických krizí v případě závažných incidentů.
3. Subjekt Unie předloží svůj plán kybernetické bezpečnosti interinstitucionálnímu výboru pro kybernetickou bezpečnost zřízenému podle článku 10.
KAPITOLA III
INTERINSTITUCIONÁLNÍ VÝBOR PRO KYBERNETICKOU BEZPEČNOST
Článek 12
Dodržování povinností
1. Výbor IICB v souladu s čl. 10 odst. 2 a článkem 11 účinně sleduje provádění tohoto nařízení a přijatých pokynů, doporučení a výzev k přijetí opatření ze strany subjektů Unie. Výbor IICB si může od subjektů Unie vyžádat informace nebo dokumentaci, které jsou pro tento účel nezbytné. Pokud je dotčený subjekt Unie přímo ve výboru IICB zastoupen, nemá pro účely přijetí opatření k zajištění plnění povinností podle tohoto článku hlasovací práva.
2. Pokud výbor IICB zjistí, že některý subjekt Unie toto nařízení nebo pokyny, doporučení či výzvy k přijetí opatření vydané podle tohoto nařízení účinně neprovedl, aniž by byly dotčeny interní postupy dotčeného subjektu Unie, a poté, co subjektu Unie umožní přednést jeho připomínky, může:
| a) | předložit dotčenému subjektu Unie odůvodněné stanovisko se zjištěnými nedostatky při uplatňování tohoto nařízení; |
| b) | poskytnout dotčenému subjektu Unie po konzultaci se CERT-EU pokyny s cílem zajistit, aby jeho rámec, opatření k řízení kybernetických bezpečnostních rizik, plán kybernetické bezpečnosti a podávání zpráv byly ve stanovené lhůtě v souladu s tímto nařízením; |
| c) | vydat varování s cílem řešit zjištěné nedostatky ve stanovené lhůtě, včetně doporučení ke změně opatření přijatých dotčeným subjektem Unie na základě tohoto nařízení; |
| d) | vydat dotčenému subjektu Unie odůvodněné oznámení v případě, že nedostatky uvedené ve varování vydaném podle písmene c) nebyly ve stanovené lhůtě dostatečně vyřešeny; |
| e) | vydat:
|
| f) | v příslušných případech informovat Účetní dvůr v rámci jeho mandátu o údajném nedodržení povinností; |
| g) | vydat doporučení, aby všechny členské státy a subjekty Unie dočasně pozastavily datové toky do dotčeného subjektu Unie. |
Pro účely prvního pododstavce písm. c), je-li to nezbytné s ohledem na kybernetické bezpečnostní riziko, je počet příjemců varování přiměřeně omezen.
Varování a doporučení vydaná podle prvního pododstavce jsou určena nejvyšší úrovni vedení dotčeného subjektu Unie.
3. Pokud výbor IICB přijal opatření podle odst. 2 prvního pododstavce písm. a) až g), dotčený subjekt Unie podrobně informuje o opatřeních a krocích, které k řešení údajných nedostatků zjištěných výborem IICB přijal. Tyto podrobné informace subjekt Unie podá v přiměřené lhůtě dohodnuté s výborem IICB.
4. Pokud se výbor IICB domnívá, že subjekt Unie trvale porušuje toto nařízení a že toto porušování vyplývá přímo z jednání nebo opomenutí úředníka nebo jiného zaměstnance Unie, a to i na nejvyšší úrovni vedení, požádá výbor IICB dotčený subjekt Unie, aby přijal příslušná opatření, přičemž jej může požádat i o to, aby zvážil přijetí opatření disciplinární povahy v souladu s pravidly a postupy stanovenými ve služebním řádu a jakýmikoli dalšími platnými pravidly a postupy. Za tímto účelem výbor IICB předá dotčenému subjektu Unie nezbytné informace.
5. Pokud subjekty Unie oznámí, že nejsou schopny dodržet lhůty stanovené v čl. 6 odst. 1 a čl. 8 odst. 1, může výbor IICB v řádně odůvodněných případech a s ohledem na velikost subjektu Unie povolit prodloužení těchto lhůt.
KAPITOLA IV
CERT-EU
whereas