keyboard_tab Cyber Resilience Act 2023/2841 CS
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Článek 2 Oblast působnosti
- 3 Článek 12 Dodržování povinností
- 4 Článek 17 Spolupráce CERT-EU s protějšky v členských státech
- 2 Článek 20 Ujednání o sdílení informací o kybernetické bezpečnosti
- 1 Článek 25 Přezkum
- Článek 26 Vstup v platnost
KAPITOLA I
OBECNÁ USTANOVENÍ
KAPITOLA II
OPATŘENÍ K ZAJIŠTĚNÍ VYSOKÉ SPOLEČNÉ ÚROVNĚ KYBERNETICKÉ BEZPEČNOSTI
KAPITOLA III
INTERINSTITUCIONÁLNÍ VÝBOR PRO KYBERNETICKOU BEZPEČNOST
KAPITOLA IV
CERT-EU
KAPITOLA V
POVINNOSTI V OBLASTI SPOLUPRÁCE A OZNAMOVACÍ POVINNOSTI
KAPITOLA VI
ZÁVĚREČNÁ USTANOVENÍ
- unie 54
- nařízení 23
- cert-eu 22
- podle 16
- subjekt 15
- iicb 14
- č / 14
- subjektu 14
- informace 13
- tohoto 13
- nebo 13
- které 12
- opatření 11
- kybernetické 11
- bezpečnosti 9
- parlamentu 9
- výbor 9
- toto 9
- eu / 9
- dotčený 8
- subjekty 8
- informací 8
- článku 8
- incidentu 7
- evropského 7
- Článek 7
- Úř věst l 7
- kybernetických 7
- může 7
- odst 6
- doporučení 6
- incidentů 6
- stanovené 6
- pokud 5
- lhůtě 5
- oznámení 5
- a rady 5
- v souladu 5
- směrnice 5
- nařízení 5
- dotčeného 5
- pokud 5
- sítě 4
- prvního 4
- jeho 4
- dotčenému 4
- byly 4
- evropské 4
- a to 4
- údajů 4
Článek 1
Předmět
toto nařízení stanoví opatření, jejichž cílem je dosáhnout vysoké společné úrovně kybernetické bezpečnosti v rámci subjektů Unie, pokud jde o:
| a) | zřízení vnitřního rámce pro řízení, správu a kontrolu kybernetických bezpečnostních rizik podle článku 6 každým subjektem Unie; |
| b) | řízení kybernetických bezpečnostních rizik, oznamování a sdílení informací; |
| c) | organizaci, fungování a provoz interinstitucionálního výboru pro kybernetickou bezpečnost zřízeného podle článku 10, jakož i organizaci, fungování a provoz služby kybernetické bezpečnosti pro orgány, instituce a jiné subjekty Unie (dále jen „CERT-EU“); |
| d) | monitorování provádění tohoto nařízení. |
Článek 2
Oblast působnosti
1. toto nařízení se vztahuje na subjekty Unie, na interinstitucionální výbor pro kybernetickou bezpečnost zřízený podle článku 10 a na CERT-EU.
2. Tímto nařízením není dotčena institucionální autonomie podle Smluv.
3. S výjimkou čl. 13 odst. 8 se toto nařízení nevztahuje na sítě a informační systémy, které nakládají s utajovanými informacemi EU (EUCI).
Článek 12
Dodržování povinností
1. Výbor IICB v souladu s čl. 10 odst. 2 a článkem 11 účinně sleduje provádění tohoto nařízení a přijatých pokynů, doporučení a výzev k přijetí opatření ze strany subjektů Unie. Výbor IICB si může od subjektů Unie vyžádat informace nebo dokumentaci, které jsou pro tento účel nezbytné. Pokud je dotčený subjekt Unie přímo ve výboru IICB zastoupen, nemá pro účely přijetí opatření k zajištění plnění povinností podle tohoto článku hlasovací práva.
2. Pokud výbor IICB zjistí, že některý subjekt Unie toto nařízení nebo pokyny, doporučení či výzvy k přijetí opatření vydané podle tohoto nařízení účinně neprovedl, aniž by byly dotčeny interní postupy dotčeného subjektu Unie, a poté, co subjektu Unie umožní přednést jeho připomínky, může:
| a) | předložit dotčenému subjektu Unie odůvodněné stanovisko se zjištěnými nedostatky při uplatňování tohoto nařízení; |
| b) | poskytnout dotčenému subjektu Unie po konzultaci se CERT-EU pokyny s cílem zajistit, aby jeho rámec, opatření k řízení kybernetických bezpečnostních rizik, plán kybernetické bezpečnosti a podávání zpráv byly ve stanovené lhůtě v souladu s tímto nařízením; |
| c) | vydat varování s cílem řešit zjištěné nedostatky ve stanovené lhůtě, včetně doporučení ke změně opatření přijatých dotčeným subjektem Unie na základě tohoto nařízení; |
| d) | vydat dotčenému subjektu Unie odůvodněné oznámení v případě, že nedostatky uvedené ve varování vydaném podle písmene c) nebyly ve stanovené lhůtě dostatečně vyřešeny; |
| e) | vydat:
|
| f) | v příslušných případech informovat Účetní dvůr v rámci jeho mandátu o údajném nedodržení povinností; |
| g) | vydat doporučení, aby všechny členské státy a subjekty Unie dočasně pozastavily datové toky do dotčeného subjektu Unie. |
Pro účely prvního pododstavce písm. c), je-li to nezbytné s ohledem na kybernetické bezpečnostní riziko, je počet příjemců varování přiměřeně omezen.
Varování a doporučení vydaná podle prvního pododstavce jsou určena nejvyšší úrovni vedení dotčeného subjektu Unie.
3. Pokud výbor IICB přijal opatření podle odst. 2 prvního pododstavce písm. a) až g), dotčený subjekt Unie podrobně informuje o opatřeních a krocích, které k řešení údajných nedostatků zjištěných výborem IICB přijal. Tyto podrobné informace subjekt Unie podá v přiměřené lhůtě dohodnuté s výborem IICB.
4. Pokud se výbor IICB domnívá, že subjekt Unie trvale porušuje toto nařízení a že toto porušování vyplývá přímo z jednání nebo opomenutí úředníka nebo jiného zaměstnance Unie, a to i na nejvyšší úrovni vedení, požádá výbor IICB dotčený subjekt Unie, aby přijal příslušná opatření, přičemž jej může požádat i o to, aby zvážil přijetí opatření disciplinární povahy v souladu s pravidly a postupy stanovenými ve služebním řádu a jakýmikoli dalšími platnými pravidly a postupy. Za tímto účelem výbor IICB předá dotčenému subjektu Unie nezbytné informace.
5. Pokud subjekty Unie oznámí, že nejsou schopny dodržet lhůty stanovené v čl. 6 odst. 1 a čl. 8 odst. 1, může výbor IICB v řádně odůvodněných případech a s ohledem na velikost subjektu Unie povolit prodloužení těchto lhůt.
KAPITOLA IV
CERT-EU
Článek 17
Spolupráce CERT-EU s protějšky v členských státech
1. CERT-EU bez zbytečného odkladu spolupracuje s protějšky z členských států, zejména týmy CSIRT určenými nebo zřízenými podle článku 10 směrnice (EU) 2022/2555, nebo případně s příslušnými orgány a jednotnými kontaktními místy určenými nebo zřízenými podle článku 8 uvedené směrnice a vyměňuje si s nimi informace ohledně incidentů, kybernetických hrozeb, zranitelností, významných událostí, možných protiopatření, jakož i o osvědčených postupech, a o veškerých záležitostech, které mají význam pro zlepšení ochrany prostředí IKT subjektů Unie, a to i prostřednictvím sítě týmů CSIRT zřízené podle článku 15 směrnice (EU) 2022/2555. CERT-EU podporuje Komisi v rámci sítě EU-CyCLONe zřízené podle článku 16 o koordinovaném řešení rozsáhlých kybernetických bezpečnostních incidentů a krizí ve směrnici (EU) 2022/2555.
2. Pokud se CERT-EU dozví o významném incidentu, k němuž dojde na území členského státu, neprodleně informuje všechny příslušné protějšky v daném členském státě v souladu s odstavcem 1.
3. Je-li v souladu s právem Unie na ochranu osobních údajů zajištěna ochrana osobních údajů, CERT-EU si s vnitrostátními protějšky v členských státech bez zbytečného odkladu vymění příslušné informace týkající se konkrétních incidentů, které mohou usnadnit odhalování obdobných kybernetických hrozeb nebo incidentů nebo přispět k analýze incidentu, a to bez povolení dotčeného subjektu Unie. CERT-EU vyměňuje informace týkající se konkrétních incidentů, které odhalují totožnost cíle kybernetického bezpečnostního incidentu, pouze pokud nastane některý u z těchto případů:
| a) | dotčený subjekt Unie udělil svůj souhlas; |
| b) | dotčený subjekt Unie neudělil svůj souhlas, jak je stanoveno v písmenu a), ale zveřejnění totožnosti dotčeného subjektu Unie by zvýšilo pravděpodobnost, že se zabrání incidentům v jiných oblastech nebo se zmírní jejich následky; |
| c) | dotčený subjekt Unie již zveřejnil, že byl obětí incidentu. |
Rozhodnutí o výměně informací týkajících se konkrétního incidentu, které odhalují totožnost cíle incidentu podle prvního pododstavce písm. b), schvaluje vedoucí CERT-EU. Před vydáním takového rozhodnutí kontaktuje CERT-EU dotčený subjekt Unie písemně a jasně vysvětlí, jak by zveřejnění jeho totožnosti pomohlo zabránit incidentům v jiných oblastech nebo je zmírnit. Vedoucí CERT-EU poskytne vysvětlení a výslovně požádá subjekt Unie, aby ve stanovené lhůtě uvedl, zda souhlasí. Vedoucí CERT-EU rovněž informuje subjekt Unie o tom, že si s ohledem na poskytnuté vysvětlení vyhrazuje právo informace zveřejnit i bez souhlasu. Dotčený subjekt Unie je informován před zveřejněním informací.
Článek 20
Ujednání o sdílení informací o kybernetické bezpečnosti
1. Subjekty Unie mohou dobrovolně oznamovat CERT-EU incidenty, kybernetické hrozby, významné události a zranitelnosti, které se jich týkají, a poskytovat o nich informace. CERT-EU zajistí, aby v zájmu usnadnění sdílení informací se subjekty Unie byly k dispozici účinné komunikační prostředky s vysokou úrovní sledovatelnosti, důvěrnosti a spolehlivosti. Při zpracování oznámení může CERT-EU upřednostnit zpracování povinných oznámení před dobrovolnými oznámeními. Aniž je dotčen článek 12, při dobrovolném oznámení nemohou být oznamujícímu subjektu Unie uloženy žádné další povinnosti než ty, které by mu byly uloženy, kdyby toto oznámení neučinil.
2. K plnění svého poslání a úkolů svěřených podle článku 13 může CERT-EU požádat subjekty Unie o poskytnutí informací z příslušných soupisů jejich systémů IKT, včetně informací o kybernetických hrozbách, významných událostech, zranitelnostech, indikátorech narušení, varováních při ohrožení kybernetické bezpečnosti a doporučeních týkajících se konfigurace nástrojů kybernetické bezpečnosti určených k odhalování kybernetických incidentů. Dožádaný subjekt Unie bez zbytečného odkladu předá požadované informace a všechny jejich následné aktualizace.
3. CERT-EU si může se subjekty Unie vyměňovat informace týkající se konkrétního incidentu, které odhalují totožnost subjektu Unie, jehož se incident týká, pouze se souhlasem tohoto subjektu. Pokud subjekt Unie odmítne udělit svůj souhlas, poskytne CERT-EU důvody svého rozhodnutí.
4. Subjekty Unie na požádání sdílejí s Evropským parlamentem a Radou informace o dokončení plánů kybernetické bezpečnosti.
5. Výbor IICB nebo případně CERT-EU na požádání sdílí s Evropským parlamentem a Radou pokyny, doporučení a výzvy k přijetí opatření.
6. Povinnosti související se sdílením informací stanovené v tomto článku se nevztahují na:
| a) | utajované informace EU; |
| b) | informace, jejichž další šíření bylo vyloučeno viditelným označením, pokud jejich sdílení se CERT-EU nebylo výslovně povoleno.. |
Článek 25
Přezkum
1. Výbor IICB za pomoci CERT-EU podá do 8. ledna 2025 a poté každoročně Komisi zprávu o provádění tohoto nařízení. Výbor IICB může Komisi doporučit, aby toto nařízení přezkoumala.
2. Komise posoudí provádění tohoto nařízení a podá Evropskému parlamentu a Radě zprávu o provádění tohoto nařízení a o zkušenostech získaných na strategické a operativní úrovni do 8. ledna 2027 a poté každé dva roky.
Zpráva uvedená v prvním pododstavci tohoto odstavce zahrnuje přezkum možnosti zřízení CERT-EU jako úřadu Unie podle čl. 16 odst. 1.
3. Komise vyhodnotí fungování tohoto nařízení a podá zprávu Evropskému parlamentu, Radě, Evropskému hospodářskému a sociálnímu výboru a Výboru regionů do 8. ledna 2029. Komise rovněž vyhodnotí, zda je vhodné zahrnout do oblasti působnosti tohoto nařízení sítě a informační systémy, které nakládají s utajovanými informacemi EU, a to s přihlédnutím k dalším legislativním aktům Unie, které se na tyto systémy vztahují. V případě potřeby se ke zprávě připojí legislativní návrh.
Článek 26
Vstup v platnost
toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.
Ve Štrasburku dne 13. prosince 2023.
Za Evropský parlament
předsedkyně
R. METSOLA
Za Radu
předseda
P. NAVARRO RÍOS
(1) Postoj Evropského parlamentu ze dne 21. listopadu 2023 (dosud nezveřejněný v Úředním věstníku) a rozhodnutí Rady ze dne 8. prosince 2023.
(2) Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2) (Úř. věst. L 333, 27.12.2022, s. 80).
(3) Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“) (Úř. věst. L 151, 7.6.2019, s. 15).
(4) Ujednání mezi Evropským parlamentem, Evropskou radou, Radou Evropské unie, Evropskou komisí, Soudním dvorem Evropské unie, Evropskou centrální bankou, Evropským účetním dvorem, Evropskou službou pro vnější činnost, Evropským hospodářským a sociálním výborem, Evropským výborem regionů a Evropskou investiční bankou o organizaci a fungování týmu pro reakci na počítačové hrozby pro orgány, instituce a jiné subjekty Unie (CERT-EU) (Úř. věst. C 12, 13.1.2018, s. 1).
(5) Nařízení Rady (EHS, Euratom, ESUO) č. 259/68 ze dne 29. února 1968, kterým se stanoví služební řád úředníků a pracovní řád ostatních zaměstnanců Evropských společenství a kterým se zavádějí zvláštní opatření dočasně použitelná na úředníky Komise (Úř. věst. L 56, 4.3.1968, s. 1).
(6) Doporučení Komise (EU) 2017/1584 ze dne 13. září 2017 o koordinované reakci na rozsáhlé kybernetické bezpečnostní incidenty a krize (Úř. věst. L 239, 19.9.2017, s. 36).
(7) Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst. L 295, 21.11.2018, s. 39).
(8) Úř. věst. C 258, 5.7.2022, s. 10.
(9) Nařízení Evropského parlamentu a Rady (EU, Euratom) 2018/1046 ze dne 18. července 2018, kterým se stanoví finanční pravidla pro souhrnný rozpočet Unie, mění nařízení (EU) č. 1296/2013, (EU) č. 1301/2013, (EU) č. 1303/2013, (EU) č. 1304/2013, (EU) č. 1309/2013, (EU) č. 1316/2013, (EU) č. 223/2014, (EU) č. 283/2014, a rozhodnutí č. 541/2014/EU a zrušuje nařízení (EU, Euratom) č. 966/2012 (Úř. věst. L 193, 30.7.2018, s. 1).
(10) Nařízení Evropského parlamentu a Rady (ES) č. 1049/2001 ze dne 30. května 2001 o přístupu veřejnosti k dokumentům Evropského parlamentu, Rady a Komise (Úř. věst. L 145, 31.5.2001, s. 43).
ELI: http://data.europa.eu/eli/reg/2023/2841/oj
ISSN 1977-0626 (electronic edition)