keyboard_tab Cyber Resilience Act 2023/2841 CS
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Článek 6 Rámec pro řízení, správu a kontrolu kybernetických bezpečnostních rizik
- 1 Článek 8 Opatření k řízení kybernetických bezpečnostních rizik
- 1 Článek 10 Interinstitucionální výbor pro kybernetickou bezpečnost
- 1 Článek 14 Pokyny, doporučení a výzvy k přijetí opatření
KAPITOLA I
OBECNÁ USTANOVENÍ
KAPITOLA II
OPATŘENÍ K ZAJIŠTĚNÍ VYSOKÉ SPOLEČNÉ ÚROVNĚ KYBERNETICKÉ BEZPEČNOSTI
KAPITOLA III
INTERINSTITUCIONÁLNÍ VÝBOR PRO KYBERNETICKOU BEZPEČNOST
KAPITOLA IV
CERT-EU
KAPITOLA V
POVINNOSTI V OBLASTI SPOLUPRÁCE A OZNAMOVACÍ POVINNOSTI
KAPITOLA VI
ZÁVĚREČNÁ USTANOVENÍ
- unie 42
- iicb 25
- bezpečnosti 25
- kybernetické 22
- výboru 17
- bezpečnost 17
- nebo 15
- tohoto 15
- opatření 15
- nařízení 14
- cert-eu 14
- subjektu 14
- rizik 14
- bezpečnostních 13
- kybernetických 13
- včetně 12
- kybernetickou 12
- provádění 12
- může 10
- výbor 10
- v oblasti 9
- služeb 8
- řízení 8
- jako 8
- sítí 7
- subjekt 7
- rámec 7
- subjektů 7
- úroveň 7
- vedení 7
- výbor 7
- jejich 6
- nejvyšší 6
- podle 6
- které 6
- jeho 6
- být 5
- mezi 5
- k řízení 5
- evropské 5
- systémů 5
- incidentů 5
- evropská 4
- v rámci 4
- každý 4
- při 4
- mohou 4
- euan 4
- subjekty 4
- evropský 4
Článek 6
Rámec pro řízení, správu a kontrolu kybernetických bezpečnostních rizik
1. Do 8. dubna 2025 poté, co provede počáteční přezkum kybernetické bezpečnosti, jako je audit, zřídí každý subjekt Unie vnitřní rámec pro řízení, správu a kontrolu kybernetických bezpečnostních rizik (dále je „rámec“). Na zřízení rámce dohlíží nejvyšší úroveň vedení subjektu Unie a nese za něj odpovědnost.
2. Rámec zahrnuje celé neutajované prostředí IKT dotčeného subjektu Unie, včetně jakéhokoli prostředí IKT a sítí funkčních technologií v jeho prostorách, externě zajišťovaných aktiv a služeb v prostředí cloud computingu nebo hostovaných třetími stranami, mobilních zařízení, podnikových sítí, obchodních sítí nepřipojených k internetu a jakýchkoli zařízení připojených k těmto prostředím (dále jen „prostředí IKT“). Rámec je založen na přístupu zohledňujícím všechna rizika.
3. Rámec zajišťuje vysokou úroveň kybernetické bezpečnosti. Rámec stanovuje vnitřní politiky kybernetické bezpečnosti, včetně cílů a priorit, pro bezpečnost sítí a informačních systémů a úlohy a povinnosti zaměstnanců subjektu Unie, jejichž úkolem je zajistit účinné provádění tohoto nařízení. Rámec rovněž zahrnuje mechanismy pro měření účinnosti provádění.
4. Rámec je pravidelně přezkoumáván v kontextu měnících se kybernetických bezpečnostních rizik, nejméně však jednou za čtyři roky. Rámec subjektu Unie může být v případě potřeby a v návaznosti na žádost interinstitucionálního výboru pro kybernetickou bezpečnost zřízeného podle článku 10 aktualizován na základě pokynů CERT-EU týkajících se zjištěných incidentů nebo možných nedostatků v provádění tohoto nařízení.
5. Nejvyšší úroveň vedení každého subjektu Unie odpovídá za provádění tohoto nařízení a dohlíží na to, zda jeho organizace povinnosti související s rámcem plní.
6. V případě potřeby, a aniž je dotčena jeho odpovědnost za provádění tohoto nařízení, může nejvyšší úroveň vedení každého subjektu Unie přenést určité povinnosti podle tohoto nařízení na vyšší vedoucí pracovníky ve smyslu čl. 29 odst. 2 služebního řádu nebo jiné úředníky na rovnocenné úrovni v rámci dotčeného subjektu Unie. Bez ohledu na takové přenesení pravomoci může být nejvyšší úroveň vedení činěna odpovědnou za porušení tohoto nařízení dotčeným subjektem Unie.
7. Každý subjekt Unie má zaveden účinný mechanismus zajišťující, že přiměřená část rozpočtu na IKT bude vynaložena na kybernetickou bezpečnost. Při stanovování tohoto procentního podílu se náležitě zohlední rámec.
8. Každý subjekt Unie jmenuje místního referenta pro kybernetickou bezpečnost nebo osobu vykonávající rovnocennou funkci, kteří působí jako jediné kontaktní místo ve vztahu ke všem aspektům kybernetické bezpečnosti. Místní referent pro kybernetickou bezpečnost usnadňuje provádění tohoto nařízení a o stavu provádění pravidelně přímo informuje nejvyšší úroveň vedení. Aniž je dotčena skutečnost, že místní referent pro kybernetickou bezpečnost je v každém subjektu Unie jediným kontaktním místem, může subjekt Unie přenést některé úkoly místního referenta pro kybernetickou bezpečnost, pokud jde o provádění tohoto nařízení, na CERT-EU, a to na základě smlouvy o poskytování služeb uzavřené mezi tímto subjektem Unie a CERT-EU, nebo tyto úkoly může sdílet několik subjektů Unie. Pokud jsou tyto úkoly přeneseny na CERT-EU, rozhodne interinstitucionální výbor pro kybernetickou bezpečnost zřízený podle článku 10, zda bude tato služba poskytována jako součást základních služeb CERT-EU, a to s přihlédnutím k lidským a finančním zdrojům dotčeného subjektu Unie. Každý subjekt Unie oznámí CERT-EU neprodleně jmenovaného místního referenta pro kybernetickou bezpečnost a veškeré jeho následné změny.
CERT-EU zřídí a vede aktuální seznam jmenovaných místních referentů pro kybernetickou bezpečnost.
9. Vyšší vedoucí pracovníci ve smyslu čl. 29 odst. 2 služebního řádu nebo jiní úředníci na rovnocenné úrovni v rámci dotčeného subjektu Unie, jakož i všichni příslušní pracovníci pověření prováděním opatření a plněním povinností v oblasti řízení kybernetických bezpečnostních rizik stanovených v tomto nařízení pravidelně absolvují zvláštní školení s cílem získat dostatečné znalosti a dovednosti posouzení a vyhodnocení postupů v oblasti kybernetických bezpečnostních rizik a jejich dopadu na provoz subjektu Unie.
Článek 8
Opatření k řízení kybernetických bezpečnostních rizik
1. Každý subjekt Unie pod dohledem své nejvyšší úrovně vedení bezodkladně a nejpozději do 8. září 2025 přijme odpovídající a přiměřená technická, operační a organizační opatření k řízení kybernetických bezpečnostních rizik zjištěných v rámci a k prevenci dopadů incidentů nebo jejich minimalizaci. S ohledem na nejnovější technologický vývoj a případně na příslušné evropské a mezinárodní normy zajistí tato opatření k řízení rizik takovou úroveň bezpečnosti sítí a informačních systémů v celém prostředí IKT, která je úměrná hrozícím kybernetickým bezpečnostním rizikům. Při posuzování přiměřenosti těchto opatření se náležitě zohlední míra expozice subjektu Unie kybernetickým bezpečnostním rizikům, jeho velikost, pravděpodobnost výskytu incidentů a jejich závažnost, včetně jejich společenského, hospodářského a interinstitucionálního dopadu.
2. Subjekty Unie se při provádění opatření k řízení kybernetických bezpečnostních rizik zaměřují alespoň na tyto oblasti:
| a) | politiku kybernetické bezpečnosti, včetně opatření potřebných k dosažení cílů a priorit uvedených v čl. 6 odst. 3 tohoto článku; |
| b) | politiku analýzy kybernetických bezpečnostních rizik a politiku bezpečnosti informačních systémů; |
| c) | cíle politiky týkající se využívání služeb cloud computingu; |
| d) | případně audit kybernetické bezpečnosti, který může zahrnovat posouzení kybernetických bezpečnostních rizik, zranitelností a kybernetických hrozeb a pravidelné penetrační testování prováděné důvěryhodným soukromým poskytovatelem; |
| e) | provádění doporučení vyplývajících z auditů kybernetické bezpečnosti uvedených v písmenu d) prostřednictvím aktualizace systému a politiky kybernetické bezpečnosti; |
| f) | organizaci systému kybernetické bezpečnosti, včetně vymezení úloh a odpovědnosti; |
| g) | správu aktiv, včetně seznamu aktiv v oblasti IKT a mapování sítí IKT; |
| h) | bezpečnost lidských zdrojů a kontrolu přístupu; |
| i) | bezpečnost operací; |
| j) | bezpečnost komunikací; |
| k) | akvizici, vývoj a údržbu systému, včetně politiky zveřejňování informací o zranitelností a jejich řešení; |
| l) | případné politiky v oblasti transparentnosti zdrojového kódu; |
| m) | bezpečnost dodavatelského řetězce včetně aspektů souvisejících s bezpečností, které se týkají vztahů mezi každým subjektem Unie a jeho přímými dodavateli nebo poskytovateli služeb; |
| n) | řešení incidentů a spolupráci se CERT-EU, jako je zajištění bezpečnostního monitorování a vedení protokolů bezpečnosti; |
| o) | řízení kontinuity provozu, jako je správa zálohování a obnova provozu po havárii, a krizové řízení a |
| p) | podporu a rozvoj vzdělávání, dovedností, zvyšování povědomí, cvičebních programů a programů odborné přípravy v oblasti kybernetické bezpečnosti. |
Pro účely prvního pododstavce písm. m) subjekty Unie zohlední zranitelnosti specifické pro každého přímého dodavatele a poskytovatele služeb a celkovou kvalitu produktů a postupů v oblasti kybernetické bezpečnosti svých dodavatelů a poskytovatelů služeb, včetně jejich postupů bezpečného vývoje.
3. Subjekty Unie přijmou alespoň tato konkrétní opatření pro řízení kybernetických bezpečnostních rizik:
| a) | technická opatření umožňující a podporující práci z domova; |
| b) | konkrétní kroky pro přechod k zásadám nulové důvěry; |
| c) | používání vícefaktorového ověřování jako normy u sítí a informačních systémů; |
| d) | používání kryptografie a šifrování, a zejména šifrování mezi koncovými body, a bezpečného digitálního podpis |
| e) | případné zavedení zabezpečené hlasové, obrazové a textové komunikace a zabezpečených systémů tísňové komunikace v rámci subjektu Unie; |
| f) | proaktivní opatření pro odhalování a odstraňování malwaru a špionážního softwaru; |
| g) | zabezpečení softwarového dodavatelského řetězce prostřednictvím kritérií pro bezpečný vývoj a hodnocení softwaru; |
| h) | vytvoření a zavedení programů odborné přípravy v oblasti kybernetické bezpečnosti odpovídajících úkolům a předpokládaným schopnostem nejvyšší úrovně vedení a zaměstnanců subjektu Unie pověřených zajištěním účinného provádění tohoto nařízení; |
| i) | pravidelné školení zaměstnanců v oblasti kybernetické bezpečnosti; |
| j) | v příslušných případech účast na analýzách rizik vzájemného propojení mezi subjekty Unie; |
| k) | posílení pravidel pro zadávání veřejných zakázek s cílem usnadnit dosažení vysoké společné úrovně kybernetické bezpečnosti prostřednictvím:
|
Článek 10
Interinstitucionální výbor pro kybernetickou bezpečnost
1. Zřizuje se interinstitucionální výbor pro kybernetickou bezpečnost (dále jen „výbor IICB“).
2. Výbor IICB je povinen:
| a) | sledovat a podporovat provádění tohoto nařízení subjekty Unie; |
| b) | dohlížet na plnění obecných priorit a cílů CERT-EU a poskytovat CERT-EU strategické řízení. |
3. Výbor IICB sestává z:
| a) | jednoho zástupce jmenovaného každým z těchto subjektů:
|
| b) | tří zástupců jmenovaných sítí agentur EU (EUAN) na návrh jejího poradního výboru pro IKT, aby zastupovali zájmy orgánů, institucí a jiných subjektů Unie, které provozují své vlastní prostředí IKT a které nejsou uvedeny v písmenu a). |
Subjekty Unie zastoupené ve výboru IICB usilují o dosažení vyváženého zastoupení žen a mužů mezi jmenovanými zástupci.
4. Členům výboru IICB mohou být nápomocni náhradníci. Další zástupci subjektů Unie uvedených v odstavci 3 nebo jiných subjektů Unie mohou být předsedou pozváni k účasti na zasedáních výboru IICB bez hlasovacích práv.
5. Vedoucí CERT-EU a předsedové skupiny pro spolupráci, sítě týmů CSIRT a sítě EU-CyCLONe zřízených podle článků 14, 15 a 16 směrnice (EU) 2022/2555 nebo jejich náhradníci se mohou zasedání výboru IICB účastnit jako pozorovatelé. Ve výjimečných případech a v souladu se svým jednacím řádem může výbor IICB rozhodnout jinak.
6. Výbor IICB přijímá svůj jednací řád.
7. Výbor IICB v souladu s jednacím řádem určuje z řad svých členů předsedu na období tří let. Náhradník předsedy se na stejnou dobu stává plným členem výboru IICB.
8. Výbor IICB se schází alespoň třikrát za rok z podnětu svého předsedy, na žádost CERT-EU nebo na žádost kteréhokoli ze svých členů.
9. Každý člen výboru IICB má jeden hlas. Rozhodnutí výboru IICB se přijímají prostou většinou, není-li v tomto nařízení stanoveno jinak. Předseda výboru IICB nehlasuje, kromě případů rovnosti hlasů, kdy může odevzdat rozhodující hlas.
10. Výbor IICB může jednat zjednodušeným písemným postupem zahájeným v souladu se svým jednacím řádem. Na základě tohoto postupu se příslušné rozhodnutí považuje za schválené ve lhůtě stanovené předsedou, s výjimkou případů, kdy některý z členů vznese námitku.
11. Funkci sekretariátu výboru IICB zajišťuje Komise a sekretariát je odpovědný předsedovi výboru IICB.
12. Zástupci nominovaní sítí EUAN předávají rozhodnutí výboru IICB členům sítě EUAN. Jakýkoli člen sítě EUAN je oprávněn se obrátit na tyto zástupce nebo předsedu výboru IICB s jakoukoli záležitostí, o níž se domnívají, že by na ni výbor IICB měl být upozorněn.
13. Výbor IICB může zřídit výkonný výbor, aby mu pomáhal v jeho práci, a přenést na něj některé své úkoly a pravomoci. Výbor IICB stanoví jednací řád výkonného výboru, včetně jeho úkolů a pravomocí a funkčního období jeho členů.
14. Do 8. ledna 2025 a poté každoročně předkládá výbor IICB Evropskému parlamentu a Radě zprávu, v níž je podrobně popsán pokrok dosažený při provádění tohoto nařízení, a zejména upřesněn rozsah spolupráce CERT-EU s jeho vnitrostátními protějšky v jednotlivých členských státech. Tato zpráva je podkladem pro dvouletou zprávu o stavu kybernetické bezpečnosti v Unii přijatou podle článku 18 směrnice (EU) 2022/2555.
Článek 14
Pokyny, doporučení a výzvy k přijetí opatření
1. CERT-EU podporuje provádění tohoto nařízení vydáváním:
| a) | výzev k přijetí opatření popisujících naléhavá bezpečnostní opatření, jejichž přijetí ve stanovené lhůtě je vyžadováno od subjektů Unie; |
| b) | návrhů pokynů určených všem subjektům Unie nebo jejich části, které předkládá výboru IICB; |
| c) | návrhů doporučení určených jednotlivým subjektům Unie, které předkládá výboru IICB. |
Pokud jde o první pododstavec písm. a), dotčený subjekt Unie bez zbytečného odkladu po obdržení výzvy k přijetí opatření informuje CERT-EU o tom, jak byla naléhavá bezpečnostní opatření uplatněna.
2. Pokyny a doporučení mohou obsahovat:
| a) | společné metodiky a model pro hodnocení vyspělosti kybernetické bezpečnosti subjektů Unie, včetně odpovídajících měřítek nebo klíčových ukazatelů výkonnosti, které slouží jako reference na podporu soustavného zlepšování kybernetické bezpečnosti ve všech subjektech Unie a usnadňují stanovení priorit pro oblasti kybernetické bezpečnosti a opatření s ohledem na stav subjektů z hlediska kybernetické bezpečnosti; |
| b) | postupy pro řízení kybernetických bezpečnostních rizik a opatření k řízení kybernetických bezpečnostních rizik nebo jejich vylepšení; |
| c) | postupy pro hodnocení vyspělosti kybernetické bezpečnosti a postupy pro plány kybernetické bezpečnosti; |
| d) | případně využití společných technologií, architektury, otevřených zdrojů a souvisejících osvědčených postupů s cílem dosáhnout interoperability a společných norem, včetně koordinovaného přístupu k bezpečnosti dodavatelského řetězce; |
| e) | případné informace k usnadnění používání nástrojů kolaborativního zadávání veřejných zakázek pro nákup příslušných služeb a produktů v oblasti kybernetické bezpečnosti od dodavatelů, kteří jsou třetími stranami; |
| f) | ujednání o sdílení informací podle článku 20. |
whereas