keyboard_tab Cyber Resilience Act 2023/2841 CS
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Článek 13 Poslání a úkoly CERT-EU
- 3 Článek 18 Spolupráce CERT-EU s dalšími protějšky
- 1 Článek 19 Nakládání s informacemi
KAPITOLA I
OBECNÁ USTANOVENÍ
KAPITOLA II
OPATŘENÍ K ZAJIŠTĚNÍ VYSOKÉ SPOLEČNÉ ÚROVNĚ KYBERNETICKÉ BEZPEČNOSTI
KAPITOLA III
INTERINSTITUCIONÁLNÍ VÝBOR PRO KYBERNETICKOU BEZPEČNOST
KAPITOLA IV
CERT-EU
KAPITOLA V
POVINNOSTI V OBLASTI SPOLUPRÁCE A OZNAMOVACÍ POVINNOSTI
KAPITOLA VI
ZÁVĚREČNÁ USTANOVENÍ
- unie 30
- nebo 15
- cert-eu 14
- cert-eu 14
- subjekty 12
- iicb 12
- subjektů 11
- může 10
- bezpečnosti 10
- v oblasti 9
- informací 9
- kybernetické 9
- informace 9
- spolupráce 8
- a to 8
- služby 7
- nařízení 6
- služeb 6
- incidenty 6
- včetně 6
- jako 5
- týkající 5
- prostřednictvím 5
- podle 5
- jiné 5
- tohoto 5
- které 5
- důvěrnosti 5
- v souladu 5
- povinnosti 4
- protějšky 4
- uvedené 4
- subjektu 4
- incidentů 4
- v případě 4
- bezpečnost 4
- výboru 4
- jsou 4
- spolupracovat 4
- než 4
- spolupráci 4
- prostředí 4
- při 4
- informuje 4
- odst 4
- základě 4
- csirt 3
- smlouvy 3
- případech 3
- výborem 3
Článek 13
Poslání a úkoly CERT-EU
1. Posláním CERT-EU je přispívat k bezpečnosti neutajovaného IKT prostředí všech subjektů Unie, a to tak, že jim poskytuje poradenství v oblasti kybernetické bezpečnosti, pomáhá jim předcházet incidentům, odhalovat incidenty, řešit incidenty, zmírňovat incidenty, reagovat na incidenty a zotavovat se z incidentů a působí jako středisko pro výměnu informací v oblasti kybernetické bezpečnosti a pro koordinaci reakcí na incidenty.
2. CERT-EU shromažďuje, spravuje, analyzuje a sdílí se subjekty Unie informace o kybernetických hrozbách, zranitelnostech a incidentech týkajících se infrastruktury IKT pro neutajované informace. Koordinuje reakce na incidenty na interinstitucionální úrovni a na úrovni jednotlivých subjektů Unie, a to i poskytováním specializované operativní pomoci či koordinací jejího poskytování.
3. CERT-EU vykonává pro subjekty Unie tyto úkoly:
| a) | podporuje je při provádění tohoto nařízení a přispívá ke koordinaci provádění tohoto nařízení prostřednictvím opatření uvedených v čl. 14 odst. 1 nebo prostřednictvím ad hoc zpráv vyžádaných výborem IICB; |
| b) | nabízí standardní služby týmu CSIRT všem subjektům Unie prostřednictvím souboru služeb v oblasti kybernetické bezpečnosti popsaných v jeho katalogu služeb (dále jen „základní služby“); |
| c) | udržuje vzájemnou a partnerskou síť pro podporu služeb popsaných v článcích 17 a 18; |
| d) | upozorňuje výbor IICB na jakýkoli problém týkající se provádění tohoto nařízení a provádění pokynů, doporučení a výzev k přijetí opatření; |
| e) | na základě informací uvedených v odstavci 2 přispívá v úzké spolupráci s ENISA k informovanosti Unie o aktuální kybernetické situaci; |
| f) | koordinuje řízení závažných incidentů; |
| g) | jedná jako specializovaný koordinátor subjektů Unie pro účely koordinovaného zpřístupňování informací o zranitelností podle čl. 12 odst. 1 směrnice (EU) 2022/2555; |
| h) | na žádost subjektu Unie poskytuje proaktivní a nerušivé skenování veřejně přístupných sítí a informačních systémů daného subjektu Unie. |
Informace uvedené v prvním pododstavci písm. e) se v případě potřeby sdílejí s výborem IICB, sítí týmů CSIRT a Střediskem Evropské unie pro analýzu zpravodajských informací (EU INTCEN), a to při dodržování patřičných podmínek zachování důvěrnosti.
4. CERT-EU může v souladu s článkem 17 nebo případně 18 spolupracovat s příslušnými komunitami v oblasti kybernetické bezpečnosti v Unii a jejích členských státech, mimo jiné v těchto oblastech:
| a) | připravenost, koordinace při řešení incidentů, výměna informací a reakce na krize na technické úrovni v případech souvisejících se subjekty Unie; |
| b) | operativní spolupráce týkající se sítě týmů CSIRT, včetně vzájemné pomoci; |
| c) | zpravodajské informace o kybernetických hrozbách, včetně informovanosti o aktuální situaci; |
| d) | ohledně jakéhokoli tématu vyžadujícího technické odborné znalosti CERT-EU v oblasti kybernetické bezpečnosti. |
5. CERT-EU se v rámci své působnosti zapojuje do strukturované spolupráce s ENISA v oblasti budování kapacit, operativní spolupráce a dlouhodobých strategických analýz kybernetických hrozeb v souladu s nařízením (EU) 2019/881. CERT-EU může spolupracovat a vyměňovat si informace s Evropským centrem Europolu pro boj proti kyberkriminalitě.
6. CERT-EU může poskytovat tyto služby, které nejsou popsány v jejím katalogu služeb (dále jen „zpoplatněné služby“):
| a) | služby, které podporují kybernetickou bezpečnost prostředí IKT subjektů Unie, jiné než služby uvedené v odstavci 3, na základě smluv o poskytování služeb a s výhradou dostupných zdrojů, zejména širokospektrální monitorování sítě, včetně nepřetržitého monitorování v první linii v případě vysoce rizikových kybernetických hrozeb; |
| b) | služby, které podporují operace nebo projekty subjektů Unie v oblasti kybernetické bezpečnosti, jiné než služby na ochranu jejich prostředí IKT, na základě písemných dohod a po předchozím schválení výborem IICB; |
| c) | na požádání proaktivní skenování sítí a informačních systémů dotčeného subjektu Unie s cílem odhalit zranitelnosti s potenciálním významným dopadem; |
| d) | služby, které podporují bezpečnost prostředí IKT jiných organizací než subjektů Unie, které úzce spolupracují se subjekty Unie například tak, že jim byly uloženy úkoly nebo povinnosti podle práva Unie, a to na základě písemných dohod a po předchozím schválení výborem IICB. |
S ohledem na první pododstavec písm. d) může CERT-EU ve výjimečných případech s předchozím souhlasem výboru IICB uzavřít smlouvy o poskytování služeb s jinými subjekty než se subjekty Unie.
7. CERT-EU organizuje, a může se účastnit cvičení v oblasti kybernetické bezpečnosti nebo doporučovat účast na stávajících cvičeních, a to případně v úzké spolupráci s ENISA, za účelem testování úrovně kybernetické bezpečnosti subjektů Unie.
8. CERT-EU může poskytovat pomoc subjektům Unie v souvislosti s incidenty v sítích a informačních systémech nakládajících s utajovanými informacemi EU, pokud o to dotyčné subjekty Unie výslovně požádají, v souladu s jejich příslušnými postupy. Poskytnutím pomoci CERT-EU podle tohoto odstavce nejsou dotčena platná pravidla týkající se ochrany utajovaných informací.
9. CERT-EU informuje subjekty Unie o svých postupech a procesech pro řešení incidentů.
10. CERT-EU poskytne s vysokou úrovní důvěrnosti a spolehlivosti prostřednictvím vhodných mechanismů spolupráce a oznamování relevantní a anonymizované informace o závažných incidentech a o způsobu, jakým byly řešeny. Tyto informace se zahrnou do zprávy uvedené v čl. 10 odst. 14.
11. CERT-EU ve spolupráci s evropským inspektorem ochrany údajů podpoří dotčené subjekty Unie při řešení incidentů, v jejichž důsledku došlo k porušení ochrany osobních údajů, aniž jsou dotčeny pravomoci a úkoly tohoto inspektora podle nařízení (EU) 2018/1725.
12. CERT-EU může v případě, že jej o to výslovně požádají odborné sekce subjektů Unie, poskytovat technické poradenství nebo informace týkající se příslušné oblasti.
Článek 18
Spolupráce CERT-EU s dalšími protějšky
1. CERT-EU může spolupracovat s protějšky v Unii, jež nejsou uvedeny v článku 17 a na něž se vztahují požadavky Unie na kybernetickou bezpečnost, včetně protějšků zaměřených na konkrétní průmyslová odvětví, v záležitostech týkajících se nástrojů a metod, jako například techniky, taktiky, postupů a osvědčených postupů, jakož i kybernetických hrozeb a zranitelností. Pro účely jakékoliv spolupráce s těmito protějšky požádá CERT-EU výbor IICB o předchozí souhlas pro každý jednotlivý případ. Pokud CERT-EU s těmito protějšky naváže spolupráci, informuje o tom všechny příslušné protějšky členských států uvedené v čl. 17 odst. 1 v členském státě, v němž se protějšek nachází. Ve vhodných a náležitých případech se tato spolupráce a její podmínky, a to i pokud jde o kybernetickou bezpečnost, ochranu údajů a nakládání s informacemi, stanoví ve výslovných ujednáních o zachování důvěrnosti, jako jsou smlouvy nebo správní ujednání. Ujednání o zachování důvěrnosti nevyžadují předchozí souhlas výboru IICB, předseda výboru IICB je však informován. V případě naléhavé a bezprostřední potřeby výměny informací o kybernetické bezpečnosti v zájmu subjektů Unie nebo jiné strany může CERT-EU tímto způsobem postupovat se subjektem, jehož zvláštní způsobilost, kapacita a odborné znalosti jsou důvodně vyžadovány na pomoc v této situaci naléhavé a bezprostřední potřeby, a to i v případě, že CERT-EU s tímto subjektem nemá uzavřenu dohodu o zachování důvěrnosti. V takových případech CERT-EU neprodleně informuje předsedu výboru IICB a výbor IICB informuje prostřednictvím pravidelných zpráv nebo zasedání.
2. CERT-EU může v zájmu shromažďování informací o obecných a konkrétních kybernetických hrozbách, významných událostech, zranitelnostech a možných protiopatřeních spolupracovat s partnery, jako jsou komerční subjekty, včetně subjektů zaměřených na konkrétní průmyslová odvětví, mezinárodní organizace, vnitrostátní subjekty zemí mimo Unii nebo jednotliví odborníci. Pro účely širší spolupráce s těmito partnery požádá CERT-EU výbor IICB o předchozí souhlas pro každý jednotlivý případ.
3. CERT-EU může se souhlasem subjektu Unie dotčeného incidentem a za předpokladu, že s příslušným protějškem nebo partnerem je uzavřeno ujednání nebo smlouva o mlčenlivosti, poskytnout informace týkající se konkrétního incidentu protějškům nebo partnerům uvedeným v odstavcích 1 a 2, a to výhradně za účelem přispění k jeho analýze.
KAPITOLA V
POVINNOSTI V OBLASTI SPOLUPRÁCE A OZNAMOVACÍ POVINNOSTI
Článek 19
Nakládání s informacemi
1. Subjekty Unie a CERT-EU musejí dodržovat povinnost zachování profesního tajemství v souladu s článkem 339 Smlouvy o fungování EU nebo s rovnocennými použitelnými rámci.
2. V souvislosti se žádostmi o přístup veřejnosti k dokumentům v držení CERT-EU se použije nařízení Evropského parlamentu a Rady (ES) č. 1049/2001 (10), včetně povinnosti podle uvedeného nařízení konzultovat jiné subjekty Unie nebo případně členskými státy, pokud se žádost týká jejich dokumentů.
3. Nakládání s informacemi ze strany subjektů Unie a CERT-EU musí být v souladu s platnými pravidly o zajištění bezpečnosti informací.
whereas