keyboard_tab Cyber Resilience Act 2023/2841 EL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Άρθρο 8 Μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας
- 3 Άρθρο 12 Συμμόρφωση
- 1 Άρθρο 13 Αποστολή και καθήκοντα της CERT-ΕΕ
- 1 Άρθρο 16 Οικονομικά θέματα και θέματα προσωπικού
- 4 Άρθρο 17 Συνεργασία της CERT-ΕΕ με τους ομολόγους της από κράτη μέλη
- 1 Άρθρο 20 Ρυθμίσεις για την ανταλλαγή πληροφοριών στον τομέα της κυβερνοασφάλειας
- 1 Άρθρο 24 Αρχική ανακατανομή των πιστώσεων του προϋπολογισμού
ΚΕΦΑΛΑΙΟ Ι
ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
ΚΕΦΑΛΑΙΟ ΙΙ
ΜΕΤΡΑ ΓΙΑ ΥΨΗΛΟ ΚΟΙΝΟ ΕΠΙΠΕΔΟ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ
ΚΕΦΑΛΑΙΟ III
ΔΙΟΡΓΑΝΙΚΟ ΣΥΜΒΟΥΛΙΟ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ
ΚΕΦΑΛΑΙΟ IV
CERT-EΕ
ΚΕΦΑΛΑΙΟ V
ΥΠΟΧΡΕΩΣΕΙΣ ΣΥΝΕΡΓΑΣΙΑΣ ΚΑΙ ΥΠΟΒΟΛΗΣ ΑΝΑΦΟΡΩΝ
ΚΕΦΑΛΑΙΟ VI
ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
- οντότητες της Ένωσης
- δικτυακό και πληροφοριακό σύστημα
- ασφάλεια συστημάτων δικτύου και πληροφοριών
- κυβερνοασφάλεια
- ανώτατο διοικητικό επίπεδο
- παρ’ ολίγον περιστατικό
- περιστατικό
- σοβαρό περιστατικό
- περιστατικό μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας
- χειρισμός περιστατικών
- κυβερνοαπειλή
- σημαντική κυβερνοαπειλή
- ευπάθεια
- κίνδυνος κυβερνοασφάλειας
- υπηρεσία υπολογιστικού νέφους
- της 159
- και 124
- την 86
- με 76
- που 67
- των 65
- για 54
- Ένωσης 54
- του 52
- τις 48
- το 47
- cert-ΕΕ 46
- να 42
- σε 39
- στην 33
- από 32
- τη 28
- οντότητα 26
- τον 25
- κυβερνοασφάλειας 25
- οντότητες_της_Ένωσης 23
- στο 22
- σύμφωνα 21
- πληροφορίες 19
- τους 19
- άρθρο 19
- ΔΣΚ 16
- τα 16
- υπηρεσιών 16
- σχετικά 16
- περιστατικά 15
- στον 15
- μπορεί 14
- περιστατικών 14
- οντότητας 14
- περίπτωση 14
- Η 13
- κατά 13
- οντοτήτων 12
- παρόντος 12
- λόγω 12
- δεν 11
- εν 11
- οι 10
- ΤΠΕ 10
- πληροφοριών 9
- εφαρμογή 9
- παρέχει 9
- κάθε 9
- ότι 9
Άρθρο 8
Μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας
1. Χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση έως τις 8 Σεπτεμβρίου 2025, κάθε οντότητα της Ένωσης, υπό την εποπτεία του ανώτατου διοικητικού επιπέδου της, λαμβάνει κατάλληλα και αναλογικά τεχνικά, λειτουργικά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων κυβερνοασφάλειας που εντοπίζονται βάσει του πλαισίου, και για την πρόληψη ή την ελαχιστοποίηση του αντικτύπου των περιστατικών. Λαμβανομένης υπόψη της εξέλιξης της τεχνολογίας και, κατά περίπτωση, των σχετικών ευρωπαϊκών και διεθνών προτύπων, τα εν λόγω μέτρα διασφαλίζουν επίπεδο ασφάλειας των δικτυακών και πληροφοριακών συστημάτων σε ολόκληρο το περιβάλλον ΤΠΕ ανάλογο προς τους εμφανιζόμενους κινδύνους κυβερνοασφάλειας. Κατά την αξιολόγηση της αναλογικότητας των εν λόγω μέτρων, λαμβάνεται δεόντως υπόψη ο βαθμός έκθεσης της οντότητας της Ένωσης σε κινδύνους κυβερνοασφάλειας, το μέγεθός της, και η πιθανότητα εμφάνισης περιστατικών και η σοβαρότητά τους, συμπεριλαμβανομένου του κοινωνικού, οικονομικού και διοργανικού αντικτύπου τους.
2. Οι οντότητες_της_Ένωσης λαμβάνουν υπόψη τουλάχιστον τους ακόλουθους τομείς κατά την εφαρμογή των μέτρων διαχείρισης κινδύνων κυβερνοασφάλειας:
| α) | πολιτική κυβερνοασφάλειας, συμπεριλαμβανομένων των μέτρων που απαιτούνται για την επίτευξη των στόχων και των προτεραιοτήτων που αναφέρονται στο άρθρο 6 και στην παράγραφο 3 του παρόντος άρθρου· |
| β) | πολιτικές για την ανάλυση κινδύνων κυβερνοασφάλειας και την ασφάλεια των πληροφοριακών συστημάτων· |
| γ) | στόχους πολιτικής σχετικά με τη χρήση υπηρεσιών υπολογιστικού νέφους· |
| δ) | έλεγχο κυβερνοασφάλειας, κατά περίπτωση, ο οποίος μπορεί να περιλαμβάνει αξιολόγηση κινδύνων κυβερνοασφάλειας, ευπαθειών και κυβερνοαπειλών, και δοκιμές διείσδυσης που διενεργούνται από αξιόπιστο ιδιωτικό πάροχο σε τακτική βάση· |
| ε) | εφαρμογή των συστάσεων που προκύπτουν από τους ελέγχους κυβερνοασφάλειας που αναφέρονται στο στοιχείο δ) μέσω επικαιροποιήσεων για την κυβερνοασφάλεια και επικαιροποιήσεων πολιτικής· |
| στ) | οργάνωση της κυβερνοασφάλειας, συμπεριλαμβανομένου του καθορισμού ρόλων και αρμοδιοτήτων· |
| ζ) | διαχείριση περιουσιακών στοιχείων, συμπεριλαμβανομένης της απογραφής περιουσιακών στοιχείων ΤΠΕ και της χαρτογράφησης του δικτύου ΤΠΕ· |
| η) | ασφάλεια ανθρώπινων πόρων και έλεγχο πρόσβαση· |
| θ) | ασφάλεια των επιχειρήσεων· |
| ι) | ασφάλεια των επικοινωνιών· |
| ια) | απόκτηση, ανάπτυξη και συντήρηση συστημάτων, συμπεριλαμβανομένων πολιτικών για τον χειρισμό και τη γνωστοποίηση ευπαθειών· |
| ιβ) | όπου είναι δυνατόν, πολιτικές για τη διαφάνεια του πηγαίου κώδικα· |
| ιγ) | ασφάλεια της αλυσίδας εφοδιασμού, συμπεριλαμβανομένων των πτυχών που αφορούν την ασφάλεια ως προς τις σχέσεις μεταξύ κάθε οντότητας της Ένωσης και των άμεσων προμηθευτών ή παρόχων υπηρεσιών της· |
| ιδ) | χειρισμός_περιστατικών και συνεργασία με την CERT-ΕΕ, όπως η διατήρηση της παρακολούθησης και της καταγραφής ασφαλείας· |
| ιε) | διαχείριση της επιχειρησιακής συνέχειας, όπως διαχείριση αντιγράφων ασφαλείας και αποκατάσταση έπειτα από καταστροφή, και διαχείριση των κρίσεων· και |
| ιστ) | προώθηση και ανάπτυξη προγραμμάτων εκπαίδευσης, απόκτησης δεξιοτήτων, ευαισθητοποίησης, πρακτικής εξάσκησης και κατάρτισης στον τομέα της κυβερνοασφάλειας. |
Για τους σκοπούς του πρώτου εδαφίου στοιχείο ιγ), οι οντότητες_της_Ένωσης λαμβάνουν υπόψη τις ιδιαίτερες ευπάθειες κάθε άμεσου προμηθευτή και παρόχου υπηρεσιών, καθώς και τη συνολική ποιότητα των προϊόντων και τις πρακτικές κυβερνοασφάλειας των προμηθευτών και των παρόχων υπηρεσιών τους, συμπεριλαμβανομένων των διαδικασιών ασφαλούς ανάπτυξής τους.
3. Οι οντότητες_της_Ένωσης λαμβάνουν τουλάχιστον τα ακόλουθα ειδικά μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας:
| α) | τεχνικές ρυθμίσεις για τη διευκόλυνση και τη διατήρηση της τηλεργασίας· |
| β) | συγκεκριμένα μέτρα για τη μετάβαση προς τις αρχές της μηδενικής εμπιστοσύνης· |
| γ) | χρήση, κατά κανόνα, της πολυπαραγοντικής επαλήθευσης ταυτότητας σε όλα τα δικτυακά και πληροφοριακά συστήματα· |
| δ) | χρήση της κρυπτογραφίας και της κρυπτογράφησης, ιδίως της διατερματικής κρυπτογράφησης, καθώς και της ασφαλούς ψηφιακής υπογραφής· |
| ε) | κατά περίπτωση, ασφαλείς επικοινωνίες φωνής, βίντεο και κειμένου, και ασφαλή συστήματα επικοινωνίας έκτακτης ανάγκης εντός της οντότητας της Ένωσης· |
| στ) | προδραστικά μέτρα για τον εντοπισμό και την αφαίρεση κακόβουλου λογισμικού και κατασκοπευτικού λογισμικού· |
| ζ) | επίτευξη ασφάλειας στην αλυσίδα εφοδιασμού λογισμικού μέσω κριτηρίων για την ασφαλή ανάπτυξη και αξιολόγηση λογισμικού· |
| η) | κατάρτιση και έγκριση εκπαιδευτικών προγραμμάτων για την κυβερνοασφάλεια ανάλογα με τα προβλεπόμενα καθήκοντα και τις αναμενόμενες ικανότητες για το ανώτατο επίπεδο διοίκησης και τα μέλη προσωπικού της οντότητας της Ένωσης στα οποία ανατίθεται η διασφάλιση της αποτελεσματικής εφαρμογής του παρόντος κανονισμού· |
| θ) | τακτική κατάρτιση των μελών του προσωπικού σε θέματα κυβερνοασφάλειας· |
| ι) | κατά περίπτωση, συμμετοχή σε αναλύσεις κινδύνου διασυνδεσιμότητας μεταξύ των οντοτήτων της Ένωσης· |
| ια) | ενίσχυση των κανόνων για τη σύναψη συμβάσεων ώστε να διευκολυνθεί η επίτευξη υψηλού κοινού επιπέδου κυβερνοασφάλειας μέσω:
|
Άρθρο 12
Συμμόρφωση
1. Το ΔΣΚ, σύμφωνα με το άρθρο 10 παράγραφος 2 και το άρθρο 11, παρακολουθεί αποτελεσματικά την εφαρμογή του παρόντος κανονισμού και των εκδοθεισών κατευθυντήριων γραμμών, συστάσεων και εκκλήσεων για ανάληψη δράσης από τις οντότητες_της_Ένωσης. Το ΔΣΚ μπορεί να ζητεί από τις οντότητες_της_Ένωσης πληροφορίες ή έγγραφα που απαιτούνται για τον σκοπό αυτό. Για τους σκοπούς της έγκρισης μέτρων συμμόρφωσης δυνάμει του παρόντος άρθρου, όταν η οικεία οντότητα της Ένωσης εκπροσωπείται άμεσα στο ΔΣΚ, δεν έχει δικαίωμα ψήφου.
2. Όταν το ΔΣΚ διαπιστώνει ότι μια οντότητα της Ένωσης δεν έχει εφαρμόσει αποτελεσματικά τον παρόντα κανονισμό ή τις κατευθυντήριες γραμμές, τις συστάσεις ή τις εκκλήσεις για ανάληψη δράσης που εκδίδονται δυνάμει αυτού, δύναται, με την επιφύλαξη των εσωτερικών διαδικασιών της οικείας οντότητας της Ένωσης, και αφού δώσει στην οικεία οντότητα της Ένωσης την ευκαιρία να παρουσιάσει τις παρατηρήσεις της:
| α) | να κοινοποιήσει αιτιολογημένη γνώμη στην οντότητα της Ένωσης σχετικά με παρατηρηθέντα κενά στην εφαρμογή του παρόντος κανονισμού· |
| β) | να παράσχει, κατόπιν διαβούλευσης με την CERT-ΕΕ, κατευθυντήριες γραμμές στην οικεία οντότητα της Ένωσης προκειμένου να διασφαλίσει ότι το πλαίσιό της, τα μέτρα της για τη διαχείριση κινδύνων κυβερνοασφάλειας, το σχέδιο κυβερνοασφάλειάς της και οι εκθέσεις της συμμορφώνονται με τον παρόντα κανονισμό εντός καθορισμένης περιόδου· |
| γ) | να εκδώσει προειδοποίηση για την αντιμετώπιση, εντός καθορισμένης προθεσμίας, ελλείψεων που εντοπίστηκαν, συμπεριλαμβανομένων συστάσεων για την τροποποίηση μέτρων που εγκρίθηκαν από την οικεία οντότητα της Ένωσης σύμφωνα με τον παρόντα κανονισμό· |
| δ) | να εκδώσει αιτιολογημένη κοινοποίηση προς την οικεία οντότητα της Ένωσης, σε περίπτωση που οι εντοπισθείσες ελλείψεις που προσδιορίζονται σε προειδοποίηση που εκδόθηκε σύμφωνα με το στοιχείο γ) δεν αντιμετωπίστηκαν επαρκώς εντός της καθορισμένης προθεσμίας· |
| ε) | να εκδώσει:
|
| στ) | κατά περίπτωση, να ενημερώσει το Ελεγκτικό Συνέδριο, στο πλαίσιο της εντολής του, για την εικαζόμενη μη συμμόρφωση· |
| ζ) | να εκδώσει σύσταση ώστε όλα τα κράτη μέλη και όλες οι οντότητες_της_Ένωσης να εφαρμόσουν προσωρινή αναστολή των ροών δεδομένων προς την οικεία οντότητα της Ένωσης. |
Για τους σκοπούς του πρώτου εδαφίου στοιχείο γ), οι αποδέκτες μιας προειδοποίησης περιορίζονται κατάλληλα, όταν αυτό είναι αναγκαίο λόγω του κινδύνου κυβερνοασφάλειας.
Οι προειδοποιήσεις και οι συστάσεις που εκδίδονται σύμφωνα με το πρώτο εδάφιο απευθύνονται στο ανώτατο_διοικητικό_επίπεδο της οικείας οντότητας της Ένωσης.
3. Στις περιπτώσεις που το ΔΣΚ έχει εγκρίνει μέτρα σύμφωνα με την παράγραφο 2 πρώτο εδάφιο στοιχεία α) έως ζ), η οικεία οντότητα της Ένωσης παρέχει λεπτομερή στοιχεία σχετικά με τα μέτρα και τις δράσεις που έχουν αναληφθεί για την αντιμετώπιση των εικαζόμενων ελλείψεων που εντόπισε το ΔΣΚICB. Η οντότητα της Ένωσης υποβάλλει τα λεπτομερή αυτά στοιχεία εντός εύλογου χρονικού διαστήματος που συμφωνείται με το ΔΣΚ.
4. Όταν το ΔΣΚ θεωρεί ότι υπάρχει διαρκής παράβαση του παρόντος κανονισμού από οντότητα της Ένωσης ως άμεση απόρροια ενεργειών ή παραλείψεων υπαλλήλου ή μέλους της λοιπού προσωπικού της Ένωσης, συμπεριλαμβανομένων προσώπων στο ανώτατο_διοικητικό_επίπεδο, το ΔΣΚ ζητεί από την οικεία οντότητα της Ένωσης να λάβει τα κατάλληλα μέτρα, μεταξύ άλλων ζητώντας από την εν λόγω οντότητα να εξετάσει το ενδεχόμενο λήψης μέτρων πειθαρχικού χαρακτήρα σύμφωνα με τους κανόνες και τις διαδικασίες που ορίζονται στον κανονισμό υπηρεσιακής κατάστασης και οποιουσδήποτε άλλους εφαρμοστέους κανόνες και διαδικασίες. Για τον σκοπό αυτό, το ΔΣΚ διαβιβάζει τις απαραίτητες πληροφορίες στην οικεία οντότητα της Ένωσης.
5. Όταν οντότητες_της_Ένωσης κοινοποιούν ότι δεν είναι σε θέση να τηρήσουν τις προθεσμίες που ορίζονται στο άρθρο 6 παράγραφος 1 και στο άρθρο 8 παράγραφος 1, το ΔΣΚ μπορεί, σε δεόντως αιτιολογημένες περιπτώσεις και λαμβάνοντας υπόψη το μέγεθος της οντότητας της Ένωσης, να εγκρίνει την παράταση των εν λόγω προθεσμιών.
ΚΕΦΑΛΑΙΟ IV
CERT-EΕ
Άρθρο 13
Αποστολή και καθήκοντα της CERT-ΕΕ
1. Αποστολή της CERT-ΕΕ είναι να συμβάλλει στην ασφάλεια του μη διαβαθμισμένου περιβάλλοντος ΤΠΕ των οντοτήτων της Ένωσης παρέχοντας σε αυτές συμβουλές σχετικά με την κυβερνοασφάλεια, συμβάλλοντας στην πρόληψη, στον εντοπισμό, στον χειρισμό, στον μετριασμό και στην αντιμετώπιση περιστατικών, καθώς και στην ανάκαμψη από περιστατικά, και λειτουργώντας για αυτές ως κόμβος συντονισμού για την ανταλλαγή πληροφοριών και την αντιμετώπιση περιστατικών στον τομέα της κυβερνοασφάλειας.
2. Η CERT-EΕ συγκεντρώνει, διαχειρίζεται, αναλύει και ανταλλάσσει πληροφορίες με τις οντότητες_της_Ένωσης σχετικά με κυβερνοαπειλές, ευπάθειες και περιστατικά σε μη διαβαθμισμένες υποδομές ΤΠΕ. Συντονίζει την αντιμετώπιση περιστατικών σε διοργανικό επίπεδο και σε επίπεδο οντοτήτων της Ένωσης, μεταξύ άλλων παρέχοντας εξειδικευμένη επιχειρησιακή βοήθεια ή συντονίζοντας την παροχή της.
3. Η CERT-ΕΕ εκτελεί τα ακόλουθα καθήκοντα για να συνδράμει τις οντότητες_της_Ένωσης:
| α) | τις στηρίζει κατά την εφαρμογή του παρόντος κανονισμού και συμβάλλει στον συντονισμό της εφαρμογής του παρόντος κανονισμού μέσω των μέτρων που παρατίθενται στο άρθρο 14 παράγραφος 1 ή μέσω ad-hoc εκθέσεων τις οποίες ζητά το ΔΣΚ· |
| β) | προσφέρει τυπικές υπηρεσίες CSIRT για τις οντότητες_της_Ένωσης μέσω δέσμης υπηρεσιών κυβερνοασφάλειας που περιγράφονται στον κατάλογο υπηρεσιών της («βασικές υπηρεσίες»)· |
| γ) | διατηρεί δίκτυο ομοτίμων και εταίρων για τη στήριξη των υπηρεσιών που περιγράφονται στα άρθρα 17 και 18· |
| δ) | εφιστά την προσοχή του ΔΣΚ σε κάθε πρόβλημα που αφορά την εφαρμογή του παρόντος κανονισμού και την εφαρμογή των κατευθυντήριων γραμμών, των συστάσεων και των εκκλήσεων για ανάληψη δράσης· |
| ε) | με βάση τις πληροφορίες που αναφέρονται στην παράγραφο 2, συμβάλλει στην επίγνωση της κατάστασης στον κυβερνοχώρο στην Ένωσης σε στενή συνεργασία με τον ENISA· |
| στ) | συντονίζει τη διαχείριση σοβαρών περιστατικών· |
| ζ) | ενεργεί εκ μέρους των οντοτήτων της Ένωσης ως το αντίστοιχο όργανο του συντονιστή που ορίζεται για τους σκοπούς της συντονισμένης γνωστοποίησης ευπαθειών σύμφωνα με το άρθρο 12 παράγραφος 1 της οδηγίας (ΕΕ) 2022/2555· |
| η) | παρέχει, κατόπιν αιτήματος οντότητας της Ένωσης, προδραστική μη παρεμβατική σάρωση δημόσια προσβάσιμων δικτυακών και πληροφοριακών συστημάτων της εν λόγω οντότητας της Ένωσης. |
Οι πληροφορίες που αναφέρονται στο πρώτο εδάφιο στοιχείο ε) κοινοποιούνται στο ΔΣΚ, στο δίκτυο CSIRT και στο Κέντρο Ανάλυσης Πληροφοριών της Ευρωπαϊκής Ένωσης (EU INTCEN), κατά περίπτωση και όπου κρίνεται σκόπιμο, και με την επιφύλαξη των κατάλληλων όρων εμπιστευτικότητας.
4. Η CERT-ΕΕ μπορεί, σύμφωνα με το άρθρο 17 ή 18, κατά περίπτωση, να συνεργάζεται με σχετικές κοινότητες κυβερνοασφάλειας εντός της Ένωσης και των κρατών μελών της, μεταξύ άλλων στους ακόλουθους τομείς:
| α) | ετοιμότητα, συντονισμός σε περίπτωση περιστατικών, ανταλλαγή πληροφοριών και αντιμετώπιση κρίσεων σε τεχνικό επίπεδο σε περιπτώσεις που συνδέονται με οντότητες_της_Ένωσης· |
| β) | επιχειρησιακή συνεργασία όσον αφορά το δίκτυο CSIRT, μεταξύ άλλων όσον αφορά την αμοιβαία συνδρομή · |
| γ) | πληροφορίες για κυβερνοαπειλές, συμπεριλαμβανομένης της επίγνωσης της κατάστασης· |
| δ) | για κάθε θέμα για το οποίο είναι απαραίτητη η τεχνική εμπειρογνωσία της CERT-ΕΕ στον τομέα της κυβερνοασφάλειας. |
5. Στο πλαίσιο των αρμοδιοτήτων της, η CERT-ΕΕ συμμετέχει σε διαρθρωμένη συνεργασία με τον ENISA όσον αφορά την ανάπτυξη ικανοτήτων, την επιχειρησιακή συνεργασία και τις μακροπρόθεσμες στρατηγικές αναλύσεις των κυβερνοαπειλών σύμφωνα με τον κανονισμό (ΕΕ) 2019/881. Η CERT-ΕΕ μπορεί να συνεργάζεται και να ανταλλάσσει πληροφορίες με το Ευρωπαϊκό Κέντρο για το Κυβερνοέγκλημα της Ευρωπόλ.
6. Η CERT-ΕΕ μπορεί να παρέχει τις κάτωθι υπηρεσίες που δεν περιγράφονται στον κατάλογο υπηρεσιών της (χρεώσιμες υπηρεσίες):
| α) | υπηρεσίες που υποστηρίζουν την κυβερνοασφάλεια του περιβάλλοντος ΤΠΕ των οντοτήτων της Ένωσης, πέραν αυτών που αναφέρονται στην παράγραφο 3, βάσει συμφωνιών επιπέδου υπηρεσιών και υπό την προϋπόθεση ότι υπάρχουν οι διαθέσιμοι πόροι, και συγκεκριμένα παρακολούθηση δικτύου ευρέος φάσματος, συμπεριλαμβανομένης της παρακολούθησης πρώτης γραμμής 24 ώρες το εικοσιτετράωρο και 7 ημέρες την εβδομάδα για κυβερνοαπειλές υψηλής σοβαρότητας· |
| β) | υπηρεσίες που υποστηρίζουν δραστηριότητες ή έργα των οντοτήτων της Ένωσης στον τομέα της κυβερνοασφάλειας, πέραν αυτών που αποσκοπούν στην προστασία του περιβάλλοντος ΤΠΕ των οντοτήτων αυτών, βάσει γραπτών συμφωνιών και με την προηγούμενη έγκριση του ΔΣΚ· |
| γ) | κατόπιν αιτήματος, προδραστική σάρωση των δικτυακών και πληροφοριακών συστημάτων της οικείας οντότητας της Ένωσης για τον εντοπισμό ευπαθειών με δυνητικό σημαντικό αντίκτυπο· |
| δ) | υπηρεσίες που υποστηρίζουν την ασφάλεια του περιβάλλοντος ΤΠΕ σε οργανισμούς άλλους πέραν των οντοτήτων της Ένωσης που συνεργάζονται στενά με οντότητες_της_Ένωσης, για παράδειγμα με την ανάθεση καθηκόντων ή αρμοδιοτήτων δυνάμει του ενωσιακού δικαίου, βάσει γραπτών συμφωνιών και με την προηγουμένη έγκριση του ΔΣΚ. |
Όσον αφορά το πρώτο εδάφιο στοιχείο δ), η CERT-ΕΕ μπορεί, κατ’ εξαίρεση, να συνάπτει συμφωνίες επιπέδου υπηρεσιών με άλλες οντότητες πέραν των οντοτήτων της Ένωσης, με προηγούμενη έγκριση του ΔΣΚ.
7. Η CERT-ΕΕ διοργανώνει και μπορεί να συμμετέχει σε ασκήσεις κυβερνοασφάλειας ή να συνιστά τη συμμετοχή σε υφιστάμενες ασκήσεις, κατά περίπτωση σε στενή συνεργασία με τον ENISA, με σκοπό τη δοκιμή του επιπέδου κυβερνοασφάλειας των οντοτήτων της Ένωσης.
8. Η CERT-ΕΕ μπορεί να παρέχει συνδρομή σε οντότητες_της_Ένωσης όσον αφορά περιστατικά σε δικτυακά και πληροφοριακά συστήματα που χειρίζονται ΔΠΕΕ, όταν αυτό ζητείται ρητά από τις οικείες οντότητες_της_Ένωσης σύμφωνα με τις αντίστοιχες διαδικασίες τους. Η παροχή συνδρομής από την CERT-ΕΕ δυνάμει της παρούσας παραγράφου δεν θίγει τους ισχύοντες κανόνες σχετικά με την προστασία διαβαθμισμένων πληροφοριών.
9. Η CERT-EΕ ενημερώνει τις οντότητες_της_Ένωσης σχετικά με τις διαδικασίες και διεργασίες που ακολουθεί για τον χειρισμό περιστατικών.
10. Η CERT-ΕΕ παρέχει, με υψηλό επίπεδο εμπιστευτικότητας και αξιοπιστίας, μέσω των κατάλληλων μηχανισμών συνεργασίας και διαύλων αναφοράς, σχετικές και ανωνυμοποιημένες πληροφορίες όσον αφορά σοβαρά περιστατικά και τον τρόπο με τον οποίο αντιμετωπίστηκαν. Οι πληροφορίες αυτές περιλαμβάνονται στην έκθεση που αναφέρεται στο άρθρο 10 παράγραφος 14.
11. Η CERT-ΕΕ, σε συνεργασία με τον ΕΕΠΔ, υποστηρίζει τις οικείες οντότητες_της_Ένωσης στην αντιμετώπιση περιστατικών που οδηγούν σε παραβιάσεις δεδομένων προσωπικού χαρακτήρα, με την επιφύλαξη της αρμοδιότητας και των καθηκόντων του ΕΕΠΔ ως εποπτικής αρχής δυνάμει του κανονισμού (ΕΕ) 2018/1725.
12. Η CERT-EΕ μπορεί, εφόσον ζητηθεί ρητά από τμήματα πολιτικής των οντοτήτων της Ένωσης, να συνεισφέρει τεχνικές συμβουλές ή στοιχεία για συναφή ζητήματα πολιτικής.
Άρθρο 16
Οικονομικά θέματα και θέματα προσωπικού
1. Η CERT-ΕΕ ενσωματώνεται στη διοικητική δομή μιας γενικής διεύθυνσης της Επιτροπής προκειμένου να επωφελείται από τις δομές υποστήριξης της Επιτροπής σε επίπεδο διοίκησης, δημοσιονομικής διαχείρισης και λογιστικής, διατηρώντας παράλληλα το καθεστώς της ως αυτόνομου διοργανικού παρόχου υπηρεσιών για όλες τις οντότητες_της_Ένωσης. Η Επιτροπή ενημερώνει το ΔΣΚ σχετικά με την διοικητική έδρα της CERT-EU καθώς και τυχόν αλλαγές της. Η Επιτροπή επανεξετάζει τις διοικητικές ρυθμίσεις που σχετίζονται με την CERT-ΕΕ σε τακτική βάση και σε κάθε περίπτωση πριν από τη θέσπιση οποιουδήποτε πολυετούς δημοσιονομικού πλαισίου σύμφωνα με το άρθρο 312 ΣΛΕΕ, ώστε να είναι δυνατή η λήψη κατάλληλων μέτρων. Η επανεξέταση περιλαμβάνει τη δυνατότητα σύστασης της CERT-ΕΕ ως γραφείου της Ένωσης.
2. Για την εφαρμογή των διοικητικών και δημοσιονομικών διαδικασιών, ο επικεφαλής της CERT-ΕΕ ενεργεί υπό τον έλεγχο της Επιτροπής και την εποπτεία του ΔΣΚ.
3. Τα καθήκοντα και οι δραστηριότητες της CERT-ΕΕ, συμπεριλαμβανομένων των υπηρεσιών που παρέχονται από την CERT-ΕΕ σύμφωνα με το άρθρο 13 παράγραφοι 3, 4, 5, και 7 και το άρθρο 14 παράγραφος 1 στις οντότητες_της_Ένωσης τα οποία χρηματοδοτούνται από τον τομέα του πολυετούς δημοσιονομικού πλαισίου που είναι αφιερωμένος στην ευρωπαϊκή δημόσια διοίκηση, χρηματοδοτούνται μέσω χωριστής γραμμής του προϋπολογισμού της Επιτροπής. Οι θέσεις που προορίζονται για την CERT-ΕΕ περιγράφονται λεπτομερώς σε υποσημείωση του πίνακα προσωπικού της Επιτροπής.
4. Οι οντότητες_της_Ένωσης, πέραν αυτών που αναφέρονται στην παράγραφο 3 του παρόντος άρθρου, καταβάλλουν ετήσια χρηματοδοτική συνεισφορά στην CERT-ΕΕ για την κάλυψη των υπηρεσιών που παρέχει η CERT-ΕΕ σύμφωνα με την εν λόγω παράγραφο. Οι συνεισφορές βασίζονται σε κατευθύνσεις που παρέχει το ΔΣΚ και συμφωνούνται μεταξύ της κάθε οντότητας της Ένωσης και της CERT-ΕΕ στο πλαίσιο συμφωνιών επιπέδου υπηρεσιών. Οι συνεισφορές αντιστοιχούν σε δίκαιο και αναλογικό ποσοστό του συνολικού κόστους των παρεχόμενων υπηρεσιών. Εισπράττονται από τη χωριστή γραμμή του προϋπολογισμού που αναφέρεται στην παράγραφο 3 του παρόντος άρθρου, ως εσωτερικά έσοδα για ειδικό προορισμό, όπως προβλέπεται στο άρθρο 21 παράγραφος 3 στοιχείο γ) του κανονισμού (ΕΕ, Ευρατόμ) 2018/1046.
5. Οι δαπάνες για τις υπηρεσίες που προβλέπονται στο άρθρο 13 παράγραφος 6 ανακτώνται από τις οντότητες_της_Ένωσης που λαμβάνουν τις υπηρεσίες της CERT-ΕΕ. Τα έσοδα εγγράφονται στις γραμμές του προϋπολογισμού που καλύπτουν τις δαπάνες.
Άρθρο 17
Συνεργασία της CERT-ΕΕ με τους ομολόγους της από κράτη μέλη
1. Η CERT-ΕΕ συνεργάζεται και ανταλλάσσει πληροφορίες, χωρίς αδικαιολόγητη καθυστέρηση, με ομολόγους από κράτη μέλη, ιδίως τις CSIRT που ορίζονται ή συγκροτούνται σύμφωνα με το άρθρο 10 της οδηγίας (ΕΕ) 2022/2555 ή, κατά περίπτωση, τις αρμόδιες αρχές και τα ενιαία σημεία επαφής που ορίζονται ή συγκροτούνται σύμφωνα με το άρθρο 8 της εν λόγω οδηγίας, σχετικά με περιστατικά, κυβερνοαπειλές, ευπάθειες, παρ’ ολίγον περιστατικά, πιθανά αντίμετρα, καθώς και βέλτιστες πρακτικές και όλα τα θέματα που αφορούν τη βελτίωση της προστασίας των περιβαλλόντων ΤΠΕ των οντοτήτων της Ένωσης, μεταξύ άλλων μέσω του δικτύου CSIRT που συγκροτείται σύμφωνα με το άρθρο 15 της οδηγίας (ΕΕ) 2022/2555. Η CERT-ΕΕ στηρίζει την Επιτροπή στο EU-CyCLONe που συγκροτείται σύμφωνα με το άρθρο 16 της οδηγίας (ΕΕ) 2022/2555 για τη συντονισμένη διαχείριση περιστατικών και κρίσεων μεγάλης κλίμακας στον κυβερνοχώρο.
2. Όταν η CERT-EU αντιλαμβάνεται σημαντικό περιστατικό που λαμβάνει χώρα στην επικράτεια ενός κράτους μέλους, ενημερώνει, χωρίς καθυστέρηση, κάθε σχετικό ομόλογό της στο εν λόγω κράτος μέλος, σύμφωνα με την παράγραφο 1.
3. Υπό την προϋπόθεση ότι τα δεδομένα προσωπικού χαρακτήρα προστατεύονται σύμφωνα με την ισχύουσα νομοθεσία της Ένωσης για την προστασία των δεδομένων, η CERT-ΕΕ ανταλλάσσει με ομολόγους της από κράτη μέλη, χωρίς αδικαιολόγητη καθυστέρηση, σχετικές πληροφορίες που αφορούν συγκεκριμένα περιστατικά οι οποίες διευκολύνουν τον εντοπισμό παρόμοιων κυβερνοαπειλών ή περιστατικών, ή συμβάλλουν στην ανάλυση περιστατικού, χωρίς την άδεια της θιγόμενης οντότητας της Ένωσης. Η CERT-ΕΕ ανταλλάσσει πληροφορίες σχετικά με συγκεκριμένα περιστατικά που αποκαλύπτουν την ταυτότητα του στόχου του περιστατικού μόνο όταν συντρέχει μία από τις ακόλουθες περιπτώσεις:
| α) | η θιγόμενη οντότητα της Ένωσης δίνει τη συγκατάθεσή της· |
| β) | η θιγόμενη οντότητα της Ένωσης δεν δίνει τη συγκατάθεσή της όπως προβλέπεται στο στοιχείο α), αλλά η γνωστοποίηση της ταυτότητας της θιγόμενης οντότητας της Ένωσης θα αύξανε την πιθανότητα αποφυγής ή μετριασμού περιστατικών αλλού· |
| γ) | η θιγόμενη οντότητα της Ένωσης έχει ήδη δημοσιοποιήσει ότι επηρεάστηκε. |
Οι αποφάσεις για την ανταλλαγή πληροφοριών σχετικά με συγκεκριμένα περιστατικά οι οποίες αποκαλύπτουν την ταυτότητα του στόχου του περιστατικού σύμφωνα με το πρώτο εδάφιο στοιχείο β), εγκρίνονται από τον επικεφαλής της CERT-ΕΕ. Πριν από την έκδοση της εν λόγω απόφασης, η CERT-ΕΕ επικοινωνεί γραπτώς με τη θιγόμενη οντότητα της Ένωσης, εξηγώντας με σαφήνεια τον τρόπο με τον οποίο η γνωστοποίησή της ταυτότητάς της θα συνέβαλε στην αποφυγή ή τον μετριασμό περιστατικών αλλού. Ο επικεφαλής της CERT-ΕΕ παρέχει τις εξηγήσεις και ζητεί ρητά από την οντότητα της Ένωσης να δηλώσει εάν δίνει τη συγκατάθεσή της εντός καθορισμένης προθεσμίας. Ο επικεφαλής της CERT-ΕΕ ενημερώνει επίσης την οντότητα της Ένωσης ότι, υπό το πρίσμα των εξηγήσεων που παρέχονται, διατηρεί το δικαίωμα να γνωστοποιήσει τις πληροφορίες ακόμη και ελλείψει συγκατάθεσης. Η θιγόμενη οντότητα της Ένωσης ενημερώνεται πριν από τη γνωστοποίηση των πληροφοριών.
Άρθρο 20
Ρυθμίσεις για την ανταλλαγή πληροφοριών στον τομέα της κυβερνοασφάλειας
1. Οι οντότητες_της_Ένωσης μπορούν, σε εθελοντική βάση, να κοινοποιούν στην CERT-ΕΕ περιστατικά, κυβερνοαπειλές, παρ’ ολίγον περιστατικά και ευπάθειες που τις επηρεάζουν, και να της παρέχουν σχετικές πληροφορίες. Η CERT-ΕΕ εξασφαλίζει ότι διατίθενται αποτελεσματικά μέσα επικοινωνίας, με υψηλό βαθμό ιχνηλασιμότητας, εμπιστευτικότητας και αξιοπιστίας, για τη διευκόλυνση της ανταλλαγής πληροφοριών με τις οντότητες_της_Ένωσης. Κατά την επεξεργασία κοινοποιήσεων, η CERT-EΕ μπορεί να δίνει προτεραιότητα στην επεξεργασία των υποχρεωτικών έναντι των εθελούσιων κοινοποιήσεων. Με την επιφύλαξη του άρθρου 12, η εθελούσια κοινοποίηση δεν συνεπάγεται την επιβολή στην αναφέρουσα οντότητα της Ένωσης πρόσθετων υποχρεώσεων τις οποίες δεν θα υπείχε αν δεν προέβαινε στην κοινοποίηση.
2. Για να εκτελεί την αποστολή και τα καθήκοντα που της ανατίθενται σύμφωνα με το άρθρο 13, η CERT-ΕΕ μπορεί να ζητεί από τις οντότητες_της_Ένωσης να της παρέχουν πληροφορίες από τις αντίστοιχες απογραφές των οικείων συστημάτων ΤΠΕ, συμπεριλαμβανομένων πληροφοριών σχετικά με κυβερνοαπειλές, παρ’ ολίγον περιστατικά, ευπάθειες, δείκτες έκθεσης σε κίνδυνο, ειδοποιήσεις επαγρύπνησης για την κυβερνοασφάλεια και συστάσεις σχετικά με την παραμετροποίηση εργαλείων κυβερνοασφάλειας για τον εντοπισμό περιστατικών. Η οντότητα στην οποία υποβάλλεται το αίτημα διαβιβάζει τις ζητούμενες πληροφορίες, καθώς και τυχόν μεταγενέστερες επικαιροποιήσεις τους, χωρίς αδικαιολόγητη καθυστέρηση.
3. Η CERT-ΕΕ μπορεί να ανταλλάσσει με τις οντότητες_της_Ένωσης πληροφορίες σχετικά με συγκεκριμένα περιστατικά που αποκαλύπτουν την ταυτότητα της επηρεαζόμενης από το περιστατικό οντότητας της Ένωσης, εφόσον η εν λόγω οντότητα της Ένωσης δώσει τη συγκατάθεσή της. Όταν οντότητα της Ένωσης αρνείται να δώσει τη συγκατάθεσή της, παρέχει στην CERT-ΕΕ τους λόγους που τεκμηριώνουν την εν λόγω απόφαση.
4. Οι οντότητες_της_Ένωσης ανταλλάσσουν, κατόπιν αιτήματος, πληροφορίες με το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο σχετικά με την ολοκλήρωση των σχεδίων κυβερνοασφάλειας.
5. Το ΔΣΚ ή η CERT-ΕΕ, κατά περίπτωση, κοινοποιεί, κατόπιν αιτήματος, κατευθυντήριες γραμμές, συστάσεις και εκκλήσεις για ανάληψη δράσης στο Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο.
6. Οι υποχρεώσεις ανταλλαγής που ορίζονται στο παρόν άρθρο δεν επεκτείνονται σε:
| α) | ΔΠΕΕ· |
| β) | πληροφορίες των οποίων η περαιτέρω διανομή έχει αποκλειστεί μέσω ορατής σήμανσης, εκτός εάν έχει επιτραπεί ρητά η κοινοποίησή τους στην CERT-ΕΕ. |
Άρθρο 24
Αρχική ανακατανομή των πιστώσεων του προϋπολογισμού
Προκειμένου να διασφαλιστεί η ορθή και σταθερή λειτουργία της CERT-ΕΕ, η Επιτροπή μπορεί να προτείνει την ανακατανομή προσωπικού και οικονομικών πόρων στον προϋπολογισμό της Επιτροπής για χρήση σε επιχειρήσεις της CERT-ΕΕ. Η ανακατανομή τίθεται σε εφαρμογή ταυτόχρονα με τον πρώτο ετήσιο προϋπολογισμό της Ένωσης που θα εγκριθεί μετά την έναρξη ισχύος του παρόντος κανονισμού.
whereas