keyboard_tab Cyber Resilience Act 2023/2841 CS
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Článek 5 Provádění opatření
- 5 Článek 7 Hodnocení vyspělosti kybernetické bezpečnosti
- 2 Článek 9 Plány kybernetické bezpečnosti
- 1 Článek 11 Úkoly výboru IICB
- 2 Článek 14 Pokyny, doporučení a výzvy k přijetí opatření
KAPITOLA I
OBECNÁ USTANOVENÍ
KAPITOLA II
OPATŘENÍ K ZAJIŠTĚNÍ VYSOKÉ SPOLEČNÉ ÚROVNĚ KYBERNETICKÉ BEZPEČNOSTI
KAPITOLA III
INTERINSTITUCIONÁLNÍ VÝBOR PRO KYBERNETICKOU BEZPEČNOST
KAPITOLA IV
CERT-EU
KAPITOLA V
POVINNOSTI V OBLASTI SPOLUPRÁCE A OZNAMOVACÍ POVINNOSTI
KAPITOLA VI
ZÁVĚREČNÁ USTANOVENÍ
- unie 32
- bezpečnosti 31
- kybernetické 30
- cert-eu 18
- podle 16
- článku 13
- opatření 12
- kybernetických 11
- hodnocení 11
- vyspělosti 11
- subjektů 10
- nebo 10
- základě 9
- kybernetickou 9
- bezpečnostních 8
- subjekty 8
- rizik 8
- bezpečnost 8
- schvaluje 7
- výboru 7
- provádění 7
- plán 7
- návrhu 6
- jejich 6
- pokyny 5
- vedoucího 5
- k řízení 5
- iicb 5
- Článek 5
- k přijetí 4
- subjektu 4
- doporučení 4
- přijímá 4
- služeb 4
- tohoto 4
- nařízení 4
- včetně 3
- při 3
- jeho 3
- pokynů 3
- případně 3
- skupiny 3
- úrovně 3
- společné 3
- mohou 3
- s ohledem 3
- roční 3
- podporu 3
- které 3
- s cílem 3
Článek 5
Provádění opatření
1. Do 8. září 2024 vydá interinstitucionální výbor pro kybernetickou bezpečnost zřízený podle článku 10 po konzultaci s Agenturou Evropské unie pro kybernetickou bezpečnost (ENISA) a po obdržení pokynů od CERT-EU pokyny pro subjekty Unie k provedení počátečního přezkumu kybernetické bezpečnosti a zřízení vnitřního rámce pro řízení, správu a kontrolu kybernetických bezpečnostních rizik podle článku 6, pro hodnocení vyspělosti kybernetické bezpečnosti podle článku 7, pro přijetí opatření k řízení kybernetických bezpečnostních rizik podle článku 8 a pro přijetí plánu kybernetické bezpečnosti podle článku 9.
2. Při provádění článků 6 až 9 zohlední subjekty Unie pokyny a doporučení přijaté podle článků 11 a 14.
Článek 7
Hodnocení vyspělosti kybernetické bezpečnosti
1. Do 8. července 2025 a poté alespoň každé dva roky provede každý subjekt Unie hodnocení vyspělosti kybernetické bezpečnosti zahrnující všechny prvky jeho prostředí IKT.
2. Hodnocení vyspělosti kybernetické bezpečnosti se případně provádí za pomoci specializované třetí strany.
3. Subjekty Unie s podobnými strukturami mohou při provádění hodnocení vyspělosti kybernetické bezpečnosti pro své příslušné subjekty spolupracovat.
4. Na základě žádosti interinstitucionálního výboru pro kybernetickou bezpečnost zřízeného podle článku 10 a s výslovným souhlasem dotčeného subjektu Unie mohou být výsledky hodnocení vyspělosti kybernetické bezpečnosti projednány v tomto výboru nebo v rámci neformální skupiny místních referentů pro kybernetickou bezpečnost, což umožní čerpání ze zkušeností a výměnu osvědčených postupů.
Článek 9
Plány kybernetické bezpečnosti
1. Na základě závěrů vyvozených z hodnocení vyspělosti kybernetické bezpečnosti provedeného podle článku 7 a s ohledem na aktiva a kybernetická bezpečnostní rizika zjištěná v rámci a na opatření k řízení kybernetických bezpečnostních rizik přijatá podle článku 8, schválí nejvyšší úroveň vedení subjektu bez zbytečného prodlení a nejpozději do 8. ledna 2026 Unie plán kybernetické bezpečnosti. Cílem plánu kybernetické bezpečnosti je zvýšit celkovou kybernetickou bezpečnost subjektu Unie, a tím přispět k posílení vysoké společné úrovně kybernetické bezpečnosti uvnitř subjektů Unie. Plán kybernetické bezpečnosti zahrnuje přinejmenším opatření k řízení kybernetických bezpečnostních rizik přijatá podle článku 8. Plán kybernetické bezpečnosti se reviduje každé dva roky, nebo častěji, je-li to nezbytné, na základě hodnocení vyspělosti kybernetické bezpečnosti provedeného podle článku 7 nebo v souvislosti s jakýmkoli významným přezkumem rámce.
2. Plán kybernetické bezpečnosti zahrnuje plán subjektu Unie pro řešení kybernetických krizí v případě závažných incidentů.
3. Subjekt Unie předloží svůj plán kybernetické bezpečnosti interinstitucionálnímu výboru pro kybernetickou bezpečnost zřízenému podle článku 10.
KAPITOLA III
INTERINSTITUCIONÁLNÍ VÝBOR PRO KYBERNETICKOU BEZPEČNOST
Článek 11
Úkoly výboru IICB
Při výkonu svých povinností výbor IICB zejména:
| a) | poskytuje strategické pokyny vedoucímu CERT-EU; |
| b) | účinně sleduje a dohlíží na provádění tohoto nařízení a podporuje subjekty Unie při posilování jejich kybernetické bezpečnosti, a případně v této souvislosti také požaduje od subjektů Unie a CERT-EU zprávy ad hoc; |
| c) | v návaznosti na strategickou diskusi přijímá víceletou strategii pro zvýšení úrovně kybernetické bezpečnosti v subjektech Unie, pravidelně, v každém případě však jednou za pět let, tuto strategii posuzuje a v případě potřeby tuto strategii upravuje; |
| d) | stanovuje metodiku a organizační aspekty pro provádění dobrovolných vzájemných hodnocení subjekty Unie s cílem čerpat ze sdílených zkušeností, posílit vzájemnou důvěru, dosáhnout vysoké společné úrovně kybernetické bezpečnosti a posílit schopnosti subjektů Unie v oblasti kybernetické bezpečnosti, přičemž zajistí, aby tato vzájemná hodnocení prováděli odborníci na kybernetickou bezpečnost jmenovaní jiným subjektem Unie, než je subjekt Unie, který je předmětem přezkumu, a aby tato metodika vycházela z článku 19 směrnice (EU) 2022/2555 a byla případně subjektům Unie přizpůsobena; |
| e) | na základě návrhu vedoucího CERT-EU schvaluje roční pracovní program CERT-EU a sleduje jeho provádění; |
| f) | na základě návrhu vedoucího CERT-EU schvaluje katalog služeb CERT-EU a všechny jeho aktualizace; |
| g) | na základě návrhu vedoucího CERT-EU schvaluje roční finanční plán příjmů a výdajů, včetně personálního obsazení, pro činnosti CERT-EU; |
| h) | na základě návrhu vedoucího CERT-EU schvaluje postupy pro uzavírání smluv o poskytování služeb; |
| i) | přezkoumává a schvaluje roční zprávu vypracovanou vedoucím CERT-EU, jež se zabývá činností CERT-EU a řízením jejích finančních prostředků; |
| j) | schvaluje a sleduje klíčové ukazatele výkonnosti pro CERT-EU stanovené na základě návrhu vedoucího CERT-EU; |
| k) | schvaluje ujednání o spolupráci, smlouvy o poskytování služeb nebo smlouvy mezi CERT-EU a dalšími subjekty podle článku 18; |
| l) | přijímá pokyny a doporučení na základě návrhu CERT-EU v souladu s článkem 14 a ukládá CERT-EU, aby vydala, stáhla nebo upravila návrh pokynů nebo doporučení nebo výzvu k přijetí opatření; |
| m) | zřizuje technické poradní skupiny se zvláštními úkoly na podporu činnosti výboru IICB, schvaluje jejich mandát a určuje jejich předsedy; |
| n) | přijímá a posuzuje dokumenty a zprávy předložené subjekty Unie podle tohoto nařízení, jako jsou hodnocení vyspělosti kybernetické bezpečnosti; |
| o) | za účelem výměny osvědčených postupů a informací v souvislosti s prováděním tohoto nařízení usnadňuje zřízení neformální skupiny místních referentů pro kybernetickou bezpečnost subjektů Unie, podporované ENISA; |
| p) | s ohledem na informace o zjištěných kybernetických bezpečnostních rizicích a poznatky poskytnuté CERT-EU sleduje přiměřenost opatření týkajících se propojení mezi prostředími IKT subjektů Unie a poskytuje poradenství ohledně možných zlepšení; no, myslí se tím propojenost na technické úrovni; |
| q) | vypracuje plán řešení kybernetických krizí s cílem podpořit na operativní úrovni koordinované řízení závažných incidentů s dopadem na subjekty Unie a přispět k pravidelné výměně příslušných informací, zejména pokud jde o dopady a závažnost závažných incidentů a možné způsoby jejich zmírnění; |
| r) | koordinuje přijímání plánů jednotlivých subjektů Unie pro řešení kybernetických krizí uvedených v čl. 9 odst. 2; |
| s) | s ohledem na výsledky koordinovaného posouzení rizik kritických dodavatelských řetězců na úrovni Unie uvedených v článku 22 směrnice (EU) 2022/2555 přijímá doporučení v oblasti bezpečnosti dodavatelského řetězce podle čl. 8 odst. 2 prvního pododstavce písm. m) na podporu subjektů Unie při přijímání účinných a přiměřených opatření k řízení kybernetických bezpečnostních rizik. |
Článek 14
Pokyny, doporučení a výzvy k přijetí opatření
1. CERT-EU podporuje provádění tohoto nařízení vydáváním:
| a) | výzev k přijetí opatření popisujících naléhavá bezpečnostní opatření, jejichž přijetí ve stanovené lhůtě je vyžadováno od subjektů Unie; |
| b) | návrhů pokynů určených všem subjektům Unie nebo jejich části, které předkládá výboru IICB; |
| c) | návrhů doporučení určených jednotlivým subjektům Unie, které předkládá výboru IICB. |
Pokud jde o první pododstavec písm. a), dotčený subjekt Unie bez zbytečného odkladu po obdržení výzvy k přijetí opatření informuje CERT-EU o tom, jak byla naléhavá bezpečnostní opatření uplatněna.
2. Pokyny a doporučení mohou obsahovat:
| a) | společné metodiky a model pro hodnocení vyspělosti kybernetické bezpečnosti subjektů Unie, včetně odpovídajících měřítek nebo klíčových ukazatelů výkonnosti, které slouží jako reference na podporu soustavného zlepšování kybernetické bezpečnosti ve všech subjektech Unie a usnadňují stanovení priorit pro oblasti kybernetické bezpečnosti a opatření s ohledem na stav subjektů z hlediska kybernetické bezpečnosti; |
| b) | postupy pro řízení kybernetických bezpečnostních rizik a opatření k řízení kybernetických bezpečnostních rizik nebo jejich vylepšení; |
| c) | postupy pro hodnocení vyspělosti kybernetické bezpečnosti a postupy pro plány kybernetické bezpečnosti; |
| d) | případně využití společných technologií, architektury, otevřených zdrojů a souvisejících osvědčených postupů s cílem dosáhnout interoperability a společných norem, včetně koordinovaného přístupu k bezpečnosti dodavatelského řetězce; |
| e) | případné informace k usnadnění používání nástrojů kolaborativního zadávání veřejných zakázek pro nákup příslušných služeb a produktů v oblasti kybernetické bezpečnosti od dodavatelů, kteří jsou třetími stranami; |
| f) | ujednání o sdílení informací podle článku 20. |
whereas