keyboard_tab Cyber Resilience Act 2023/2841 CS
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Článek 1 Předmět
- 1 Článek 3 Definice
- 1 Článek 17 Spolupráce CERT-EU s protějšky v členských státech
KAPITOLA I
OBECNÁ USTANOVENÍ
KAPITOLA II
OPATŘENÍ K ZAJIŠTĚNÍ VYSOKÉ SPOLEČNÉ ÚROVNĚ KYBERNETICKÉ BEZPEČNOSTI
KAPITOLA III
INTERINSTITUCIONÁLNÍ VÝBOR PRO KYBERNETICKOU BEZPEČNOST
KAPITOLA IV
CERT-EU
KAPITOLA V
POVINNOSTI V OBLASTI SPOLUPRÁCE A OZNAMOVACÍ POVINNOSTI
KAPITOLA VI
ZÁVĚREČNÁ USTANOVENÍ
- unie 26
- eu / 21
- směrnice 15
- č / 14
- smyslu 12
- nařízení 12
- nebo 12
- čl 12
- cert-eu 10
- evropského 8
- bodu 8
- podle 7
- Úř věst l 7
- parlamentu 7
- subjekt 7
- incidentu 7
- kybernetických 6
- článku 6
- evropské 5
- a rady 5
- subjektu 5
- subjekty 5
- dotčený 5
- orgány 5
- kybernetické 5
- vedoucí 5
- nařízení 5
- incidentů 5
- incident 4
- údajů 4
- bodu 4
- které 4
- informace 4
- Článek 4
- evropským 4
- bezpečnosti 4
- evropskou 4
- fungování 3
- zřízené 3
- smlouvou 3
- bezpečnostních 3
- řízení 3
- osobních 3
- a rozhodnutí 3
- rozhodnutí 3
- vysoké 3
- státech 3
- kybernetická 3
- stanoví 3
- toto 3
Článek 1
Předmět
Toto nařízení stanoví opatření, jejichž cílem je dosáhnout vysoké společné úrovně kybernetické bezpečnosti v rámci subjektů Unie, pokud jde o:
| a) | zřízení vnitřního rámce pro řízení, správu a kontrolu kybernetických bezpečnostních rizik podle článku 6 každým subjektem Unie; |
| b) | řízení kybernetických bezpečnostních rizik, oznamování a sdílení informací; |
| c) | organizaci, fungování a provoz interinstitucionálního výboru pro kybernetickou bezpečnost zřízeného podle článku 10, jakož i organizaci, fungování a provoz služby kybernetické bezpečnosti pro orgány, instituce a jiné subjekty Unie (dále jen „CERT-EU“); |
| d) | monitorování provádění tohoto nařízení. |
Článek 3
Definice
Pro účely tohoto nařízení se rozumí:
| 1) | „subjekty Unie“ orgány, instituce, a jiné subjekty zřízené Smlouvou o Evropské unii, Smlouvou o fungování Evropské unie (dále jen „Smlouva o fungování EU“) nebo Smlouvou o založení Evropského společenství pro atomovou energii nebo na základě uvedených smluv; |
| 2) | „sítí a informačním systémem“ síť a informační systémy ve smyslu čl. 6 bodu 1 směrnice (EU) 2022/2555; |
| 3) | „bezpečností sítí a informačních systémů“ bezpečnost sítí a informačních systémů ve smyslu čl. 6 bodu 2 směrnice (EU) 2022/2555; |
| 4) | „kybernetickou bezpečností“ kybernetická bezpečnost ve smyslu čl. 2 bodu 1 nařízení (EU) 2019/881; |
| 5) | „nejvyšší úrovní vedení“ vedoucí, vedoucí orgán nebo koordinační orgán a orgán dohledu odpovědný za fungování subjektu Unie na nejvyšší správní úrovni, který má pravomoc přijímat nebo schvalovat rozhodnutí v souladu s opatřeními pro řízení na vysoké úrovni uvedeného subjektu Unie, aniž je dotčena formální odpovědnost jiných úrovní vedení za dodržování pravidel a řízení kybernetických rizik v jejich příslušných oblastech působnosti; |
| 6) | „významnou událostí“ významná událost ve smyslu čl. 6 bodu 5 směrnice (EU) 2022/2555; |
| 7) | „incidentem“ incident ve smyslu čl. 6 bodu 6 směrnice (EU) 2022/2555; |
| 8) | „závažným incidentem“ incident, který způsobí míru narušení, která přesahuje schopnost subjektu Unie a CERT-EU reagovat na tento incident, nebo který má významný dopad na nejméně dva subjekty Unie; |
| 9) | „rozsáhlým kybernetickým bezpečnostním incidentem“ rozsáhlý kybernetický bezpečnostní incident ve smyslu čl. 6 bodu 7 směrnice (EU) 2022/2555; |
| 10) | „řešením incidentu“ řešení incidentu ve smyslu čl. 6 bodu 8 směrnice (EU) 2022/2555; |
| 11) | „kybernetickou hrozbou“ kybernetická hrozba ve smyslu čl. 2 bodu 8 nařízení (EU) 2019/881; |
| 12) | „významnou kybernetickou hrozbou“ významná kybernetická hrozba ve smyslu čl. 6 bodu 11 směrnice (EU) 2022/2555; |
| (13) | „zranitelností“ zranitelnost ve smyslu čl. 6 bodu 15 směrnice (EU) 2022/2555; |
| 14) | „kybernetickým bezpečnostním rizikem“ riziko ve smyslu čl. 6 bodu 9 směrnice (EU) 2022/2555; |
| 15) | „službou cloud computingu“ služba cloud computingu ve smyslu čl. 6 bodu 30 směrnice (EU) 2022/2555. |
Článek 17
Spolupráce CERT-EU s protějšky v členských státech
1. CERT-EU bez zbytečného odkladu spolupracuje s protějšky z členských států, zejména týmy CSIRT určenými nebo zřízenými podle článku 10 směrnice (EU) 2022/2555, nebo případně s příslušnými orgány a jednotnými kontaktními místy určenými nebo zřízenými podle článku 8 uvedené směrnice a vyměňuje si s nimi informace ohledně incidentů, kybernetických hrozeb, zranitelností, významných událostí, možných protiopatření, jakož i o osvědčených postupech, a o veškerých záležitostech, které mají význam pro zlepšení ochrany prostředí IKT subjektů Unie, a to i prostřednictvím sítě týmů CSIRT zřízené podle článku 15 směrnice (EU) 2022/2555. CERT-EU podporuje Komisi v rámci sítě EU-CyCLONe zřízené podle článku 16 o koordinovaném řešení rozsáhlých kybernetických bezpečnostních incidentů a krizí ve směrnici (EU) 2022/2555.
2. Pokud se CERT-EU dozví o významném incidentu, k němuž dojde na území členského státu, neprodleně informuje všechny příslušné protějšky v daném členském státě v souladu s odstavcem 1.
3. Je-li v souladu s právem Unie na ochranu osobních údajů zajištěna ochrana osobních údajů, CERT-EU si s vnitrostátními protějšky v členských státech bez zbytečného odkladu vymění příslušné informace týkající se konkrétních incidentů, které mohou usnadnit odhalování obdobných kybernetických hrozeb nebo incidentů nebo přispět k analýze incidentu, a to bez povolení dotčeného subjektu Unie. CERT-EU vyměňuje informace týkající se konkrétních incidentů, které odhalují totožnost cíle kybernetického bezpečnostního incidentu, pouze pokud nastane některý u z těchto případů:
| a) | dotčený subjekt Unie udělil svůj souhlas; |
| b) | dotčený subjekt Unie neudělil svůj souhlas, jak je stanoveno v písmenu a), ale zveřejnění totožnosti dotčeného subjektu Unie by zvýšilo pravděpodobnost, že se zabrání incidentům v jiných oblastech nebo se zmírní jejich následky; |
| c) | dotčený subjekt Unie již zveřejnil, že byl obětí incidentu. |
Rozhodnutí o výměně informací týkajících se konkrétního incidentu, které odhalují totožnost cíle incidentu podle prvního pododstavce písm. b), schvaluje vedoucí CERT-EU. Před vydáním takového rozhodnutí kontaktuje CERT-EU dotčený subjekt Unie písemně a jasně vysvětlí, jak by zveřejnění jeho totožnosti pomohlo zabránit incidentům v jiných oblastech nebo je zmírnit. Vedoucí CERT-EU poskytne vysvětlení a výslovně požádá subjekt Unie, aby ve stanovené lhůtě uvedl, zda souhlasí. Vedoucí CERT-EU rovněž informuje subjekt Unie o tom, že si s ohledem na poskytnuté vysvětlení vyhrazuje právo informace zveřejnit i bez souhlasu. Dotčený subjekt Unie je informován před zveřejněním informací.
Článek 26
Vstup v platnost
Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.
Ve Štrasburku dne 13. prosince 2023.
Za Evropský parlament
předsedkyně
R. METSOLA
Za Radu
předseda
P. NAVARRO RÍOS
(1) Postoj Evropského parlamentu ze dne 21. listopadu 2023 (dosud nezveřejněný v Úředním věstníku) a rozhodnutí Rady ze dne 8. prosince 2023.
(2) Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2) (Úř. věst. L 333, 27.12.2022, s. 80).
(3) Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“) (Úř. věst. L 151, 7.6.2019, s. 15).
(4) Ujednání mezi Evropským parlamentem, Evropskou radou, Radou Evropské unie, Evropskou komisí, Soudním dvorem Evropské unie, Evropskou centrální bankou, Evropským účetním dvorem, Evropskou službou pro vnější činnost, Evropským hospodářským a sociálním výborem, Evropským výborem regionů a Evropskou investiční bankou o organizaci a fungování týmu pro reakci na počítačové hrozby pro orgány, instituce a jiné subjekty Unie (CERT-EU) (Úř. věst. C 12, 13.1.2018, s. 1).
(5) Nařízení Rady (EHS, Euratom, ESUO) č. 259/68 ze dne 29. února 1968, kterým se stanoví služební řád úředníků a pracovní řád ostatních zaměstnanců Evropských společenství a kterým se zavádějí zvláštní opatření dočasně použitelná na úředníky Komise (Úř. věst. L 56, 4.3.1968, s. 1).
(6) Doporučení Komise (EU) 2017/1584 ze dne 13. září 2017 o koordinované reakci na rozsáhlé kybernetické bezpečnostní incidenty a krize (Úř. věst. L 239, 19.9.2017, s. 36).
(7) Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst. L 295, 21.11.2018, s. 39).
(8) Úř. věst. C 258, 5.7.2022, s. 10.
(9) Nařízení Evropského parlamentu a Rady (EU, Euratom) 2018/1046 ze dne 18. července 2018, kterým se stanoví finanční pravidla pro souhrnný rozpočet Unie, mění nařízení (EU) č. 1296/2013, (EU) č. 1301/2013, (EU) č. 1303/2013, (EU) č. 1304/2013, (EU) č. 1309/2013, (EU) č. 1316/2013, (EU) č. 223/2014, (EU) č. 283/2014, a rozhodnutí č. 541/2014/EU a zrušuje nařízení (EU, Euratom) č. 966/2012 (Úř. věst. L 193, 30.7.2018, s. 1).
(10) Nařízení Evropského parlamentu a Rady (ES) č. 1049/2001 ze dne 30. května 2001 o přístupu veřejnosti k dokumentům Evropského parlamentu, Rady a Komise (Úř. věst. L 145, 31.5.2001, s. 43).
ELI: http://data.europa.eu/eli/reg/2023/2841/oj
ISSN 1977-0626 (electronic edition)