keyboard_tab Cyber Resilience Act 2023/2841 CS
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Článek 4 zpracování osobních údajů
- 2 Článek 20 Ujednání o sdílení informací o kybernetické bezpečnosti
KAPITOLA I
OBECNÁ USTANOVENÍ
KAPITOLA II
OPATŘENÍ K ZAJIŠTĚNÍ VYSOKÉ SPOLEČNÉ ÚROVNĚ KYBERNETICKÉ BEZPEČNOSTI
KAPITOLA III
INTERINSTITUCIONÁLNÍ VÝBOR PRO KYBERNETICKOU BEZPEČNOST
KAPITOLA IV
CERT-EU
KAPITOLA V
POVINNOSTI V OBLASTI SPOLUPRÁCE A OZNAMOVACÍ POVINNOSTI
KAPITOLA VI
ZÁVĚREČNÁ USTANOVENÍ
- unie 19
- č / 14
- podle 12
- nařízení 12
- cert-eu 11
- článku 8
- eu / 8
- údajů 8
- informací 7
- Úř věst l 7
- parlamentu 7
- evropského 7
- kybernetické 7
- informace 6
- bezpečnosti 6
- subjekty 6
- nařízení 5
- a rady 5
- opatření 5
- osobních 5
- evropské 4
- sdílení 4
- evropským 4
- evropskou 4
- odst 4
- oznámení 4
- tohoto 4
- zpracování 4
- subjektu 3
- rady 3
- a rozhodnutí 3
- toto 3
- které 3
- jejich 3
- může 3
- prosince 3
- a o zrušení 3
- při 3
- Článek 3
- pouze 3
- povinnosti 3
- nebo 3
- parlamentem 3
- výborem 3
- kybernetickou 3
- řád 2
- incidentů 2
- stanoví 2
- pokud 2
- bankou 2
Článek 4
zpracování osobních údajů
1. zpracování osobních údajů podle tohoto nařízení CERT-EU, Interinstitucionálním výborem pro kybernetickou bezpečnost zřízeným podle článku 10 a subjekty Unie se provádí v souladu s nařízením (EU) 2018/1725.
2. Pokud CERT-EU, interinstitucionální výbor pro kybernetickou bezpečnost zřízený podle článku 10 a subjekty Unie plní úkoly nebo povinnosti podle tohoto nařízení, zpracovávají a vyměňují si osobní údaje pouze v nezbytném rozsahu a výhradně za účelem plnění těchto úkolů nebo povinností.
3. zpracování zvláštních kategorií osobních údajů uvedených v čl. 10 odst. 1 nařízení (EU) 2018/1725 se považuje za nezbytné z důvodů významného veřejného zájmu podle čl. 10 odst. 2 písm. g) uvedeného nařízení. Takové údaje mohou být zpracovávány pouze v rozsahu nezbytném pro provádění opatření k řízení kybernetických bezpečnostních rizik uvedených v článcích 6 a 8, pro poskytování služeb CERT-EU podle článku 13, pro sdílení informací o konkrétních incidentech podle čl. 17 odst. 3 a čl. 18 odst. 3, pro sdílení informací podle článku 20, pro oznamovací povinnosti podle článku 21, pro koordinaci a spolupráci v rámci reakce na incident podle článku 22 a pro řízení závažných incidentů podle článku 23 tohoto nařízení. Jednají-li subjekty Unie a CERT-EU v postavení správce údajů, uplatňují technická opatření zabraňující zpracování zvláštních kategorií osobních údajů pro jiné účely a stanoví vhodná a konkrétní opatření na ochranu základních práv a zájmů subjektů údajů.
KAPITOLA II
OPATŘENÍ K ZAJIŠTĚNÍ VYSOKÉ SPOLEČNÉ ÚROVNĚ KYBERNETICKÉ BEZPEČNOSTI
Článek 20
Ujednání o sdílení informací o kybernetické bezpečnosti
1. Subjekty Unie mohou dobrovolně oznamovat CERT-EU incidenty, kybernetické hrozby, významné události a zranitelnosti, které se jich týkají, a poskytovat o nich informace. CERT-EU zajistí, aby v zájmu usnadnění sdílení informací se subjekty Unie byly k dispozici účinné komunikační prostředky s vysokou úrovní sledovatelnosti, důvěrnosti a spolehlivosti. Při zpracování oznámení může CERT-EU upřednostnit zpracování povinných oznámení před dobrovolnými oznámeními. Aniž je dotčen článek 12, při dobrovolném oznámení nemohou být oznamujícímu subjektu Unie uloženy žádné další povinnosti než ty, které by mu byly uloženy, kdyby toto oznámení neučinil.
2. K plnění svého poslání a úkolů svěřených podle článku 13 může CERT-EU požádat subjekty Unie o poskytnutí informací z příslušných soupisů jejich systémů IKT, včetně informací o kybernetických hrozbách, významných událostech, zranitelnostech, indikátorech narušení, varováních při ohrožení kybernetické bezpečnosti a doporučeních týkajících se konfigurace nástrojů kybernetické bezpečnosti určených k odhalování kybernetických incidentů. Dožádaný subjekt Unie bez zbytečného odkladu předá požadované informace a všechny jejich následné aktualizace.
3. CERT-EU si může se subjekty Unie vyměňovat informace týkající se konkrétního incidentu, které odhalují totožnost subjektu Unie, jehož se incident týká, pouze se souhlasem tohoto subjektu. Pokud subjekt Unie odmítne udělit svůj souhlas, poskytne CERT-EU důvody svého rozhodnutí.
4. Subjekty Unie na požádání sdílejí s Evropským parlamentem a Radou informace o dokončení plánů kybernetické bezpečnosti.
5. Výbor IICB nebo případně CERT-EU na požádání sdílí s Evropským parlamentem a Radou pokyny, doporučení a výzvy k přijetí opatření.
6. Povinnosti související se sdílením informací stanovené v tomto článku se nevztahují na:
| a) | utajované informace EU; |
| b) | informace, jejichž další šíření bylo vyloučeno viditelným označením, pokud jejich sdílení se CERT-EU nebylo výslovně povoleno.. |
Článek 26
Vstup v platnost
Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.
Ve Štrasburku dne 13. prosince 2023.
Za Evropský parlament
předsedkyně
R. METSOLA
Za Radu
předseda
P. NAVARRO RÍOS
(1) Postoj Evropského parlamentu ze dne 21. listopadu 2023 (dosud nezveřejněný v Úředním věstníku) a rozhodnutí Rady ze dne 8. prosince 2023.
(2) Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2) (Úř. věst. L 333, 27.12.2022, s. 80).
(3) Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“) (Úř. věst. L 151, 7.6.2019, s. 15).
(4) Ujednání mezi Evropským parlamentem, Evropskou radou, Radou Evropské unie, Evropskou komisí, Soudním dvorem Evropské unie, Evropskou centrální bankou, Evropským účetním dvorem, Evropskou službou pro vnější činnost, Evropským hospodářským a sociálním výborem, Evropským výborem regionů a Evropskou investiční bankou o organizaci a fungování týmu pro reakci na počítačové hrozby pro orgány, instituce a jiné subjekty Unie (CERT-EU) (Úř. věst. C 12, 13.1.2018, s. 1).
(5) Nařízení Rady (EHS, Euratom, ESUO) č. 259/68 ze dne 29. února 1968, kterým se stanoví služební řád úředníků a pracovní řád ostatních zaměstnanců Evropských společenství a kterým se zavádějí zvláštní opatření dočasně použitelná na úředníky Komise (Úř. věst. L 56, 4.3.1968, s. 1).
(6) Doporučení Komise (EU) 2017/1584 ze dne 13. září 2017 o koordinované reakci na rozsáhlé kybernetické bezpečnostní incidenty a krize (Úř. věst. L 239, 19.9.2017, s. 36).
(7) Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst. L 295, 21.11.2018, s. 39).
(8) Úř. věst. C 258, 5.7.2022, s. 10.
(9) Nařízení Evropského parlamentu a Rady (EU, Euratom) 2018/1046 ze dne 18. července 2018, kterým se stanoví finanční pravidla pro souhrnný rozpočet Unie, mění nařízení (EU) č. 1296/2013, (EU) č. 1301/2013, (EU) č. 1303/2013, (EU) č. 1304/2013, (EU) č. 1309/2013, (EU) č. 1316/2013, (EU) č. 223/2014, (EU) č. 283/2014, a rozhodnutí č. 541/2014/EU a zrušuje nařízení (EU, Euratom) č. 966/2012 (Úř. věst. L 193, 30.7.2018, s. 1).
(10) Nařízení Evropského parlamentu a Rady (ES) č. 1049/2001 ze dne 30. května 2001 o přístupu veřejnosti k dokumentům Evropského parlamentu, Rady a Komise (Úř. věst. L 145, 31.5.2001, s. 43).
ELI: http://data.europa.eu/eli/reg/2023/2841/oj
ISSN 1977-0626 (electronic edition)