keyboard_tab Cyber Resilience Act 2023/2841 EL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Άρθρο 3 Ορισμοί
- 1 Άρθρο 8 Μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας
ΚΕΦΑΛΑΙΟ Ι
ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
ΚΕΦΑΛΑΙΟ ΙΙ
ΜΕΤΡΑ ΓΙΑ ΥΨΗΛΟ ΚΟΙΝΟ ΕΠΙΠΕΔΟ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ
ΚΕΦΑΛΑΙΟ III
ΔΙΟΡΓΑΝΙΚΟ ΣΥΜΒΟΥΛΙΟ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ
ΚΕΦΑΛΑΙΟ IV
CERT-EΕ
ΚΕΦΑΛΑΙΟ V
ΥΠΟΧΡΕΩΣΕΙΣ ΣΥΝΕΡΓΑΣΙΑΣ ΚΑΙ ΥΠΟΒΟΛΗΣ ΑΝΑΦΟΡΩΝ
ΚΕΦΑΛΑΙΟ VI
ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
- οντότητες της Ένωσης
- δικτυακό και πληροφοριακό σύστημα
- ασφάλεια συστημάτων δικτύου και πληροφοριών
- κυβερνοασφάλεια
- ανώτατο διοικητικό επίπεδο
- παρ’ ολίγον περιστατικό
- περιστατικό
- σοβαρό περιστατικό
- περιστατικό μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας
- χειρισμός περιστατικών
- κυβερνοαπειλή
- σημαντική κυβερνοαπειλή
- ευπάθεια
- κίνδυνος κυβερνοασφάλειας
- υπηρεσία υπολογιστικού νέφους
- της 71
- και 61
- στο 28
- των 28
- όπως 26
- άρθρο 25
- τη 23
- την 23
- για 23
- ορίζεται 22
- σημείο 20
- του 17
- κυβερνοασφάλειας 17
- οδηγίας 16
- ΕΕ /· 14
- Ένωσης 14
- που 14
- με 12
- σε 11
- το 11
- τους 11
- περιστατικό 10
- οντότητας 10
- τις 8
- κινδύνων 8
- να 8
- διαχείριση 7
- τα 7
- Συνθήκη 6
- κατά 6
- περιστατικό»: 6
- ασφάλεια 6
- κάθε 6
- περιστατικών 6
- περίπτωση 5
- τομέα 5
- μέτρα 5
- στον 5
- διοίκησης 5
- υπηρεσιών 5
- χειρισμός 5
- επιπέδου 4
- διοικητικό 4
- εν 4
- λόγω 4
- όργανο 4
- παρόντος 4
- κανονισμού 4
- κυβερνοασφάλεια 4
- κυβερνοαπειλή»: 4
Άρθρο 3
Ορισμοί
Για τους σκοπούς του παρόντος κανονισμού, ισχύουν οι ακόλουθοι ορισμοί:
| 1) | « οντότητες_της_Ένωσης»: τα θεσμικά και λοιπά όργανα και οργανισμοί της Ένωσης που έχουν ιδρυθεί με τη Συνθήκη για την Ευρωπαϊκή Ένωση, τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ) ή τη Συνθήκη για την ίδρυση της Ευρωπαϊκής Κοινότητας Ατομικής Ενέργειας, ή δυνάμει των Συνθηκών αυτών· |
| 2) | « δικτυακό_και_πληροφοριακό_σύστημα»: το δικτυακό_και_πληροφοριακό_σύστημα όπως ορίζεται στο άρθρο 6 σημείο 1) της οδηγίας (ΕΕ) 2022/2555· |
| 3) | « ασφάλεια_συστημάτων_δικτύου_και_πληροφοριών»: η ασφάλεια_συστημάτων_δικτύου_και_πληροφοριών όπως ορίζεται στο άρθρο 6 σημείο 2) της οδηγίας (EΕ) 2022/2555· |
| 4) | « κυβερνοασφάλεια»: η κυβερνοασφάλεια όπως ορίζεται στο άρθρο 2 σημείο 1) του κανονισμού (ΕΕ) 2019/881· |
| 5) | « ανώτατο_διοικητικό_επίπεδο»: διοικητικό στέλεχος, όργανο διοίκησης ή όργανο συντονισμού και εποπτείας αρμόδιο για τη λειτουργία οντότητας της Ένωσης, στο ανώτερο διοικητικό επίπεδο, με εντολή να εκδίδει ή να εγκρίνει αποφάσεις σύμφωνα με τις ρυθμίσεις διακυβέρνησης υψηλού επιπέδου της εν λόγω οντότητας της Ένωσης και με την επιφύλαξη των τυπικών αρμοδιοτήτων άλλων επιπέδων διοίκησης όσον αφορά τη συμμόρφωση και τη διαχείριση κινδύνων κυβερνοασφάλειας στους αντίστοιχους τομείς αρμοδιότητάς τους· |
| 6) | « παρ’_ολίγον_ περιστατικό»: το παρ’_ολίγον_ περιστατικό όπως ορίζεται στο άρθρο 6 σημείο 5) της οδηγίας (ΕΕ) 2022/2555· |
| 7) | « περιστατικό»: το περιστατικό όπως ορίζεται στο άρθρο 6 σημείο 6) της οδηγίας (ΕΕ) 2022/2555· |
| 8) | «σοβαρό περιστατικό»: κάθε περιστατικό που προκαλεί διαταραχή η οποία υπερβαίνει την ικανότητα μιας οντότητας της Ένωσης και της CERT-EE να ανταποκριθεί σε αυτήν ή που έχει σημαντικό αντίκτυπο σε τουλάχιστον δύο οντότητες_της_Ένωσης· |
| 9) | « περιστατικό μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας»: το περιστατικό μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας όπως ορίζεται στο άρθρο 6 σημείο 7) της οδηγίας (ΕΕ) 2022/2555· |
| 10) | « χειρισμός περιστατικών»: ο χειρισμός περιστατικών όπως ορίζεται στο άρθρο 6 σημείο 8) της οδηγίας (ΕΕ) 2022/2555· |
| 11) | « κυβερνοαπειλή»: η κυβερνοαπειλή όπως ορίζεται στο άρθρο 2 σημείο 8) του κανονισμού (ΕΕ) 2019/881· |
| 12) | «σημαντική κυβερνοαπειλή»: η σημαντική κυβερνοαπειλή όπως ορίζεται στο άρθρο 6 σημείο 11) της οδηγίας (ΕΕ) 2022/2555· |
| 13) | « ευπάθεια»: η ευπάθεια όπως ορίζεται στο άρθρο 6 σημείο 15 της οδηγίας (ΕΕ) 2022/2555· |
| 14) | «κίνδυνος κυβερνοασφάλειας»: ο κίνδυνος όπως ορίζεται στο άρθρο 6 σημείο 9) της οδηγίας (ΕΕ) 2022/2555· |
| 15) | « υπηρεσία_υπολογιστικού_νέφους»: η υπηρεσία_υπολογιστικού_νέφους όπως περιγράφεται στο άρθρο 6 σημείο 30) της οδηγίας (ΕΕ) 2022/2555. |
Άρθρο 3
Ορισμοί
Για τους σκοπούς του παρόντος κανονισμού, ισχύουν οι ακόλουθοι ορισμοί:
| 1) | « οντότητες_της_Ένωσης»: τα θεσμικά και λοιπά όργανα και οργανισμοί της Ένωσης που έχουν ιδρυθεί με τη Συνθήκη για την Ευρωπαϊκή Ένωση, τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ) ή τη Συνθήκη για την ίδρυση της Ευρωπαϊκής Κοινότητας Ατομικής Ενέργειας, ή δυνάμει των Συνθηκών αυτών· |
| 2) | « δικτυακό_και_πληροφοριακό_σύστημα»: το δικτυακό_και_πληροφοριακό_σύστημα όπως ορίζεται στο άρθρο 6 σημείο 1) της οδηγίας (ΕΕ) 2022/2555· |
| 3) | « ασφάλεια_συστημάτων_δικτύου_και_πληροφοριών»: η ασφάλεια_συστημάτων_δικτύου_και_πληροφοριών όπως ορίζεται στο άρθρο 6 σημείο 2) της οδηγίας (EΕ) 2022/2555· |
| 4) | « κυβερνοασφάλεια»: η κυβερνοασφάλεια όπως ορίζεται στο άρθρο 2 σημείο 1) του κανονισμού (ΕΕ) 2019/881· |
| 5) | « ανώτατο_διοικητικό_επίπεδο»: διοικητικό στέλεχος, όργανο διοίκησης ή όργανο συντονισμού και εποπτείας αρμόδιο για τη λειτουργία οντότητας της Ένωσης, στο ανώτερο διοικητικό επίπεδο, με εντολή να εκδίδει ή να εγκρίνει αποφάσεις σύμφωνα με τις ρυθμίσεις διακυβέρνησης υψηλού επιπέδου της εν λόγω οντότητας της Ένωσης και με την επιφύλαξη των τυπικών αρμοδιοτήτων άλλων επιπέδων διοίκησης όσον αφορά τη συμμόρφωση και τη διαχείριση κινδύνων κυβερνοασφάλειας στους αντίστοιχους τομείς αρμοδιότητάς τους· |
| 6) | « παρ’_ολίγον_ περιστατικό»: το παρ’_ολίγον_ περιστατικό όπως ορίζεται στο άρθρο 6 σημείο 5) της οδηγίας (ΕΕ) 2022/2555· |
| 7) | « περιστατικό»: το περιστατικό όπως ορίζεται στο άρθρο 6 σημείο 6) της οδηγίας (ΕΕ) 2022/2555· |
| 8) | «σοβαρό περιστατικό»: κάθε περιστατικό που προκαλεί διαταραχή η οποία υπερβαίνει την ικανότητα μιας οντότητας της Ένωσης και της CERT-EE να ανταποκριθεί σε αυτήν ή που έχει σημαντικό αντίκτυπο σε τουλάχιστον δύο οντότητες_της_Ένωσης· |
| 9) | « περιστατικό μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας»: το περιστατικό μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας όπως ορίζεται στο άρθρο 6 σημείο 7) της οδηγίας (ΕΕ) 2022/2555· |
| 10) | « χειρισμός περιστατικών»: ο χειρισμός περιστατικών όπως ορίζεται στο άρθρο 6 σημείο 8) της οδηγίας (ΕΕ) 2022/2555· |
| 11) | « κυβερνοαπειλή»: η κυβερνοαπειλή όπως ορίζεται στο άρθρο 2 σημείο 8) του κανονισμού (ΕΕ) 2019/881· |
| 12) | «σημαντική κυβερνοαπειλή»: η σημαντική κυβερνοαπειλή όπως ορίζεται στο άρθρο 6 σημείο 11) της οδηγίας (ΕΕ) 2022/2555· |
| 13) | « ευπάθεια»: η ευπάθεια όπως ορίζεται στο άρθρο 6 σημείο 15 της οδηγίας (ΕΕ) 2022/2555· |
| 14) | «κίνδυνος κυβερνοασφάλειας»: ο κίνδυνος όπως ορίζεται στο άρθρο 6 σημείο 9) της οδηγίας (ΕΕ) 2022/2555· |
| 15) | « υπηρεσία_υπολογιστικού_νέφους»: η υπηρεσία_υπολογιστικού_νέφους όπως περιγράφεται στο άρθρο 6 σημείο 30) της οδηγίας (ΕΕ) 2022/2555. |
Άρθρο 8
Μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας
1. Χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση έως τις 8 Σεπτεμβρίου 2025, κάθε οντότητα της Ένωσης, υπό την εποπτεία του ανώτατου διοικητικού επιπέδου της, λαμβάνει κατάλληλα και αναλογικά τεχνικά, λειτουργικά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων κυβερνοασφάλειας που εντοπίζονται βάσει του πλαισίου, και για την πρόληψη ή την ελαχιστοποίηση του αντικτύπου των περιστατικών. Λαμβανομένης υπόψη της εξέλιξης της τεχνολογίας και, κατά περίπτωση, των σχετικών ευρωπαϊκών και διεθνών προτύπων, τα εν λόγω μέτρα διασφαλίζουν επίπεδο ασφάλειας των δικτυακών και πληροφοριακών συστημάτων σε ολόκληρο το περιβάλλον ΤΠΕ ανάλογο προς τους εμφανιζόμενους κινδύνους κυβερνοασφάλειας. Κατά την αξιολόγηση της αναλογικότητας των εν λόγω μέτρων, λαμβάνεται δεόντως υπόψη ο βαθμός έκθεσης της οντότητας της Ένωσης σε κινδύνους κυβερνοασφάλειας, το μέγεθός της, και η πιθανότητα εμφάνισης περιστατικών και η σοβαρότητά τους, συμπεριλαμβανομένου του κοινωνικού, οικονομικού και διοργανικού αντικτύπου τους.
2. Οι οντότητες_της_Ένωσης λαμβάνουν υπόψη τουλάχιστον τους ακόλουθους τομείς κατά την εφαρμογή των μέτρων διαχείρισης κινδύνων κυβερνοασφάλειας:
| α) | πολιτική κυβερνοασφάλειας, συμπεριλαμβανομένων των μέτρων που απαιτούνται για την επίτευξη των στόχων και των προτεραιοτήτων που αναφέρονται στο άρθρο 6 και στην παράγραφο 3 του παρόντος άρθρου· |
| β) | πολιτικές για την ανάλυση κινδύνων κυβερνοασφάλειας και την ασφάλεια των πληροφοριακών συστημάτων· |
| γ) | στόχους πολιτικής σχετικά με τη χρήση υπηρεσιών υπολογιστικού νέφους· |
| δ) | έλεγχο κυβερνοασφάλειας, κατά περίπτωση, ο οποίος μπορεί να περιλαμβάνει αξιολόγηση κινδύνων κυβερνοασφάλειας, ευπαθειών και κυβερνοαπειλών, και δοκιμές διείσδυσης που διενεργούνται από αξιόπιστο ιδιωτικό πάροχο σε τακτική βάση· |
| ε) | εφαρμογή των συστάσεων που προκύπτουν από τους ελέγχους κυβερνοασφάλειας που αναφέρονται στο στοιχείο δ) μέσω επικαιροποιήσεων για την κυβερνοασφάλεια και επικαιροποιήσεων πολιτικής· |
| στ) | οργάνωση της κυβερνοασφάλειας, συμπεριλαμβανομένου του καθορισμού ρόλων και αρμοδιοτήτων· |
| ζ) | διαχείριση περιουσιακών στοιχείων, συμπεριλαμβανομένης της απογραφής περιουσιακών στοιχείων ΤΠΕ και της χαρτογράφησης του δικτύου ΤΠΕ· |
| η) | ασφάλεια ανθρώπινων πόρων και έλεγχο πρόσβαση· |
| θ) | ασφάλεια των επιχειρήσεων· |
| ι) | ασφάλεια των επικοινωνιών· |
| ια) | απόκτηση, ανάπτυξη και συντήρηση συστημάτων, συμπεριλαμβανομένων πολιτικών για τον χειρισμό και τη γνωστοποίηση ευπαθειών· |
| ιβ) | όπου είναι δυνατόν, πολιτικές για τη διαφάνεια του πηγαίου κώδικα· |
| ιγ) | ασφάλεια της αλυσίδας εφοδιασμού, συμπεριλαμβανομένων των πτυχών που αφορούν την ασφάλεια ως προς τις σχέσεις μεταξύ κάθε οντότητας της Ένωσης και των άμεσων προμηθευτών ή παρόχων υπηρεσιών της· |
| ιδ) | χειρισμός περιστατικών και συνεργασία με την CERT-ΕΕ, όπως η διατήρηση της παρακολούθησης και της καταγραφής ασφαλείας· |
| ιε) | διαχείριση της επιχειρησιακής συνέχειας, όπως διαχείριση αντιγράφων ασφαλείας και αποκατάσταση έπειτα από καταστροφή, και διαχείριση των κρίσεων· και |
| ιστ) | προώθηση και ανάπτυξη προγραμμάτων εκπαίδευσης, απόκτησης δεξιοτήτων, ευαισθητοποίησης, πρακτικής εξάσκησης και κατάρτισης στον τομέα της κυβερνοασφάλειας. |
Για τους σκοπούς του πρώτου εδαφίου στοιχείο ιγ), οι οντότητες_της_Ένωσης λαμβάνουν υπόψη τις ιδιαίτερες ευπάθειες κάθε άμεσου προμηθευτή και παρόχου υπηρεσιών, καθώς και τη συνολική ποιότητα των προϊόντων και τις πρακτικές κυβερνοασφάλειας των προμηθευτών και των παρόχων υπηρεσιών τους, συμπεριλαμβανομένων των διαδικασιών ασφαλούς ανάπτυξής τους.
3. Οι οντότητες_της_Ένωσης λαμβάνουν τουλάχιστον τα ακόλουθα ειδικά μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας:
| α) | τεχνικές ρυθμίσεις για τη διευκόλυνση και τη διατήρηση της τηλεργασίας· |
| β) | συγκεκριμένα μέτρα για τη μετάβαση προς τις αρχές της μηδενικής εμπιστοσύνης· |
| γ) | χρήση, κατά κανόνα, της πολυπαραγοντικής επαλήθευσης ταυτότητας σε όλα τα δικτυακά και πληροφοριακά συστήματα· |
| δ) | χρήση της κρυπτογραφίας και της κρυπτογράφησης, ιδίως της διατερματικής κρυπτογράφησης, καθώς και της ασφαλούς ψηφιακής υπογραφής· |
| ε) | κατά περίπτωση, ασφαλείς επικοινωνίες φωνής, βίντεο και κειμένου, και ασφαλή συστήματα επικοινωνίας έκτακτης ανάγκης εντός της οντότητας της Ένωσης· |
| στ) | προδραστικά μέτρα για τον εντοπισμό και την αφαίρεση κακόβουλου λογισμικού και κατασκοπευτικού λογισμικού· |
| ζ) | επίτευξη ασφάλειας στην αλυσίδα εφοδιασμού λογισμικού μέσω κριτηρίων για την ασφαλή ανάπτυξη και αξιολόγηση λογισμικού· |
| η) | κατάρτιση και έγκριση εκπαιδευτικών προγραμμάτων για την κυβερνοασφάλεια ανάλογα με τα προβλεπόμενα καθήκοντα και τις αναμενόμενες ικανότητες για το ανώτατο επίπεδο διοίκησης και τα μέλη προσωπικού της οντότητας της Ένωσης στα οποία ανατίθεται η διασφάλιση της αποτελεσματικής εφαρμογής του παρόντος κανονισμού· |
| θ) | τακτική κατάρτιση των μελών του προσωπικού σε θέματα κυβερνοασφάλειας· |
| ι) | κατά περίπτωση, συμμετοχή σε αναλύσεις κινδύνου διασυνδεσιμότητας μεταξύ των οντοτήτων της Ένωσης· |
| ια) | ενίσχυση των κανόνων για τη σύναψη συμβάσεων ώστε να διευκολυνθεί η επίτευξη υψηλού κοινού επιπέδου κυβερνοασφάλειας μέσω:
|
whereas