keyboard_tab Cyber Resilience Act 2023/2841 EL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Άρθρο 6 Πλαίσιο διαχείρισης, διακυβέρνησης και ελέγχου κινδύνων
- 2 Άρθρο 8 Μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας
- 2 Άρθρο 11 Καθήκοντα του ΔΣΚ
- 1 Άρθρο 12 Συμμόρφωση
- 1 Άρθρο 13 Αποστολή και καθήκοντα της CERT-ΕΕ
- 2 Άρθρο 15 Επικεφαλής της CERT-ΕΕ
- 4 Άρθρο 17 Συνεργασία της CERT-ΕΕ με τους ομολόγους της από κράτη μέλη
- 1 Άρθρο 18 Συνεργασία της CERT-ΕΕ με άλλους ομολόγους
- 1 Άρθρο 20 Ρυθμίσεις για την ανταλλαγή πληροφοριών στον τομέα της κυβερνοασφάλειας
- 2 Άρθρο 21 Υποχρεώσεις υποβολής εκθέσεων
- 1 Άρθρο 23 Διαχείριση σοβαρών περιστατικών
- 1 Άρθρο 24 Αρχική ανακατανομή των πιστώσεων του προϋπολογισμού
ΚΕΦΑΛΑΙΟ Ι
ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
ΚΕΦΑΛΑΙΟ ΙΙ
ΜΕΤΡΑ ΓΙΑ ΥΨΗΛΟ ΚΟΙΝΟ ΕΠΙΠΕΔΟ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ
ΚΕΦΑΛΑΙΟ III
ΔΙΟΡΓΑΝΙΚΟ ΣΥΜΒΟΥΛΙΟ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ
ΚΕΦΑΛΑΙΟ IV
CERT-EΕ
ΚΕΦΑΛΑΙΟ V
ΥΠΟΧΡΕΩΣΕΙΣ ΣΥΝΕΡΓΑΣΙΑΣ ΚΑΙ ΥΠΟΒΟΛΗΣ ΑΝΑΦΟΡΩΝ
ΚΕΦΑΛΑΙΟ VI
ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
- οντότητες της Ένωσης
- δικτυακό και πληροφοριακό σύστημα
- ασφάλεια συστημάτων δικτύου και πληροφοριών
- κυβερνοασφάλεια
- ανώτατο διοικητικό επίπεδο
- παρ’ ολίγον περιστατικό
- περιστατικό
- σοβαρό περιστατικό
- περιστατικό μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας
- χειρισμός περιστατικών
- κυβερνοαπειλή
- σημαντική κυβερνοαπειλή
- ευπάθεια
- κίνδυνος κυβερνοασφάλειας
- υπηρεσία υπολογιστικού νέφους
- της 267
- και 228
- την 153
- με 139
- του 122
- που 112
- των 111
- Ένωσης 88
- το 87
- για 85
- cert-ΕΕ 84
- τις 74
- να 73
- σε 66
- τη 55
- κυβερνοασφάλειας 51
- από 51
- στο 47
- τον 44
- στην 44
- τους 40
- οντότητα 39
- σχετικά 34
- ΔΣΚ 34
- οντότητες_της_Ένωσης 34
- στον 33
- περίπτωση 33
- τα 32
- άρθρο 32
- σύμφωνα 31
- κατά 29
- οντότητας 28
- εν 28
- λόγω 27
- οντοτήτων 26
- πληροφορίες 25
- μεταξύ 25
- περιστατικών 25
- παρόντος 24
- μπορεί 24
- περιστατικά 24
- υπηρεσιών 23
- οι 22
- κανονισμού 21
- κάθε 20
- πληροφοριών 20
- επικεφαλής 19
- εφαρμογή 19
- Η 18
- ΤΠΕ 17
Άρθρο 6
Πλαίσιο διαχείρισης, διακυβέρνησης και ελέγχου κινδύνων
1. Έως τις 8 Απριλίου 2025, κάθε οντότητα της Ένωσης, μετά τη διενέργεια αρχικής επανεξέτασης της κυβερνοασφάλειας, π.χ. μέσω ελέγχου, θεσπίζει εσωτερικό πλαίσιο διαχείρισης, διακυβέρνησης και ελέγχου κινδύνων κυβερνοασφάλειας («το πλαίσιο»). Η θέσπιση του πλαισίου εποπτεύεται και τελεί υπό την ευθύνη του ανώτατου διοικητικού επιπέδου της οντότητας της Ένωσης.
2. Το πλαίσιο καλύπτει ολόκληρο το μη διαβαθμισμένο περιβάλλον ΤΠΕ της οικείας οντότητας της Ένωσης, συμπεριλαμβανομένων τυχόν περιβάλλοντος ΤΠΕ και δικτύου λειτουργικής τεχνολογίας εντός των εγκαταστάσεων, καθώς και περιουσιακών στοιχείων και υπηρεσιών που λειτουργούν εξωτερικά σε περιβάλλοντα νεφοϋπολογιστικής ή φιλοξενούνται από τρίτους, κινητών συσκευών, εταιρικών δικτύων, επιχειρηματικών δικτύων που δεν συνδέονται με το διαδίκτυο και τυχόν συσκευών που συνδέονται με τα εν λόγω περιβάλλοντα («περιβάλλον ΤΠΕ»). Το πλαίσιο βασίζεται σε ολιστική προσέγγιση των κινδύνων.
3. Το πλαίσιο διασφαλίζει υψηλό επίπεδο κυβερνοασφάλειας. Το πλαίσιο καθορίζει εσωτερικές πολιτικές κυβερνοασφάλειας, συμπεριλαμβανομένων στόχων και προτεραιοτήτων, για την ασφάλεια των συστημάτων δικτύου και πληροφοριών, καθώς και τους ρόλους και τις αρμοδιότητες του προσωπικού της οντότητας της Ένωσης που είναι επιφορτισμένο με τη διασφάλιση της αποτελεσματικής εφαρμογής του παρόντος κανονισμού. Το πλαίσιο περιλαμβάνει επίσης μηχανισμούς για τη μέτρηση της αποτελεσματικότητας της εφαρμογής.
4. Το πλαίσιο επανεξετάζεται τακτικά, υπό το πρίσμα των μεταβαλλόμενων κινδύνων κυβερνοασφάλειας, και τουλάχιστον ανά τετραετία. Κατά περίπτωση και κατόπιν αιτήματος του διοργανικού συμβουλίου κυβερνοασφάλειας που συγκροτείται σύμφωνα με το άρθρο 10, το πλαίσιο οντότητας της Ένωσης μπορεί να επικαιροποιείται με βάση την καθοδήγηση της CERT-ΕΕ σχετικά με περιστατικά που καταγράφονται ή πιθανά κενά που παρατηρούνται κατά την εφαρμογή του παρόντος κανονισμού.
5. Το ανώτατο_διοικητικό_επίπεδο κάθε οντότητας της Ένωσης είναι υπεύθυνο για την εφαρμογή του παρόντος κανονισμού και επιβλέπει τη συμμόρφωση της οργάνωσής της με τις υποχρεώσεις που σχετίζονται με το πλαίσιο.
6. Κατά περίπτωση και με την επιφύλαξη της ευθύνης του για την εφαρμογή του παρόντος κανονισμού, το ανώτατο_διοικητικό_επίπεδο κάθε οντότητας της Ένωσης μπορεί να αναθέτει την εκπλήρωση συγκεκριμένων υποχρεώσεων δυνάμει του παρόντος κανονισμού σε ανώτερους υπαλλήλους κατά την έννοια του άρθρου 29 παράγραφος 2 του κανονισμού υπηρεσιακής κατάστασης ή σε άλλους υπαλλήλους ισοδύναμου επιπέδου, εντός της οικείας οντότητας της Ένωσης. Ανεξάρτητα από οποιαδήποτε τέτοια ανάθεση, το ανώτατο_διοικητικό_επίπεδο μπορεί να θεωρηθεί υπεύθυνο για παραβάσεις του παρόντος κανονισμού από την οικεία οντότητα της Ένωσης.
7. Κάθε οντότητα της Ένωσης εφαρμόζει αποτελεσματικούς μηχανισμούς για να διασφαλίζει ότι οι δαπάνες για την κυβερνοασφάλεια ανέρχονται σε επαρκές ποσοστό του προϋπολογισμού για την ΤΠΕ. Κατά τον καθορισμό του ποσοστού αυτού λαμβάνεται δεόντως υπόψη το πλαίσιο.
8. Κάθε οντότητα της Ένωσης διορίζει τοπικό υπεύθυνο κυβερνοασφάλειας ή άλλο πρόσωπο με αντίστοιχες ευθύνες, που ενεργεί ως ενιαίο σημείο επαφής όσον αφορά όλες τις πτυχές της κυβερνοασφάλειας. Ο τοπικός υπεύθυνος κυβερνοασφάλειας διευκολύνει την εφαρμογή του παρόντος κανονισμού και υποβάλλει εκθέσεις απευθείας στο ανώτατο_διοικητικό_επίπεδο σε τακτική βάση σχετικά με την πορεία της εφαρμογής. Χωρίς να θίγεται ο ρόλος του τοπικού υπεύθυνου κυβερνοασφάλειας ως ενιαίου σημείου επαφής σε κάθε οντότητα της Ένωσης, μια οντότητα της Ένωσης μπορεί να αναθέτει στη CERT-EΕ ορισμένα καθήκοντα του τοπικού υπευθύνου κυβερνοασφάλειας όσον αφορά την εφαρμογή του παρόντος κανονισμού βάσει συμφωνίας σε επίπεδο υπηρεσιών που συνάπτεται μεταξύ της εν λόγω οντότητας της Ένωσης και της CERT-EΕ, ή τα εν λόγω καθήκοντα μπορούν να επιμερίζονται μεταξύ περισσότερων οντοτήτων της Ένωσης. Όταν τα καθήκοντα αυτά ανατίθενται στην CERT-ΕΕ, το διοργανικό συμβούλιο κυβερνοασφάλειας που συγκροτείται σύμφωνα με το άρθρο 10 αποφασίζει κατά πόσον η παροχή της υπηρεσίας αυτής αποτελεί μέρος των βασικών υπηρεσιών της CERT-EΕ, λαμβάνοντας υπόψη τους ανθρώπινους και οικονομικούς πόρους της οικείας οντότητας της Ένωσης. Κάθε οντότητα της Ένωσης ενημερώνει, χωρίς αδικαιολόγητη καθυστέρηση, τη CERT-EΕ σχετικά με τους διορισμένους τοπικούς υπεύθυνους κυβερνοασφάλειας και για κάθε μεταγενέστερη αλλαγή τους.
Η CERT-ΕΕ καταρτίζει και διατηρεί επίκαιρο κατάλογο των διορισμένων τοπικών υπευθύνων κυβερνοασφάλειας.
9. Οι ανώτεροι υπάλληλοι κατά την έννοια του άρθρου 29 παράγραφος 2 του κανονισμού υπηρεσιακής κατάστασης ή άλλοι υπάλληλοι ισοδύναμου επιπέδου κάθε οντότητας της Ένωσης, καθώς και όλα τα σχετικά μέλη του προσωπικού που είναι επιφορτισμένα με την εφαρμογή των μέτρων και την εκπλήρωση των υποχρεώσεων διαχείρισης κινδύνων κυβερνοασφάλειας του παρόντος κανονισμού, παρακολουθούν σε τακτική βάση ειδικά προγράμματα κατάρτισης, ώστε να αποκτούν επαρκείς γνώσεις και δεξιότητες προκειμένου να κατανοούν και να αξιολογούν τους κινδύνους και τις πρακτικές διαχείρισης της κυβερνοασφάλειας, καθώς και τον αντίκτυπό τους στις δραστηριότητες της οντότητας της Ένωσης.
Άρθρο 8
Μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας
1. Χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση έως τις 8 Σεπτεμβρίου 2025, κάθε οντότητα της Ένωσης, υπό την εποπτεία του ανώτατου διοικητικού επιπέδου της, λαμβάνει κατάλληλα και αναλογικά τεχνικά, λειτουργικά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων κυβερνοασφάλειας που εντοπίζονται βάσει του πλαισίου, και για την πρόληψη ή την ελαχιστοποίηση του αντικτύπου των περιστατικών. Λαμβανομένης υπόψη της εξέλιξης της τεχνολογίας και, κατά περίπτωση, των σχετικών ευρωπαϊκών και διεθνών προτύπων, τα εν λόγω μέτρα διασφαλίζουν επίπεδο ασφάλειας των δικτυακών και πληροφοριακών συστημάτων σε ολόκληρο το περιβάλλον ΤΠΕ ανάλογο προς τους εμφανιζόμενους κινδύνους κυβερνοασφάλειας. Κατά την αξιολόγηση της αναλογικότητας των εν λόγω μέτρων, λαμβάνεται δεόντως υπόψη ο βαθμός έκθεσης της οντότητας της Ένωσης σε κινδύνους κυβερνοασφάλειας, το μέγεθός της, και η πιθανότητα εμφάνισης περιστατικών και η σοβαρότητά τους, συμπεριλαμβανομένου του κοινωνικού, οικονομικού και διοργανικού αντικτύπου τους.
2. Οι οντότητες_της_Ένωσης λαμβάνουν υπόψη τουλάχιστον τους ακόλουθους τομείς κατά την εφαρμογή των μέτρων διαχείρισης κινδύνων κυβερνοασφάλειας:
| α) | πολιτική κυβερνοασφάλειας, συμπεριλαμβανομένων των μέτρων που απαιτούνται για την επίτευξη των στόχων και των προτεραιοτήτων που αναφέρονται στο άρθρο 6 και στην παράγραφο 3 του παρόντος άρθρου· |
| β) | πολιτικές για την ανάλυση κινδύνων κυβερνοασφάλειας και την ασφάλεια των πληροφοριακών συστημάτων· |
| γ) | στόχους πολιτικής σχετικά με τη χρήση υπηρεσιών υπολογιστικού νέφους· |
| δ) | έλεγχο κυβερνοασφάλειας, κατά περίπτωση, ο οποίος μπορεί να περιλαμβάνει αξιολόγηση κινδύνων κυβερνοασφάλειας, ευπαθειών και κυβερνοαπειλών, και δοκιμές διείσδυσης που διενεργούνται από αξιόπιστο ιδιωτικό πάροχο σε τακτική βάση· |
| ε) | εφαρμογή των συστάσεων που προκύπτουν από τους ελέγχους κυβερνοασφάλειας που αναφέρονται στο στοιχείο δ) μέσω επικαιροποιήσεων για την κυβερνοασφάλεια και επικαιροποιήσεων πολιτικής· |
| στ) | οργάνωση της κυβερνοασφάλειας, συμπεριλαμβανομένου του καθορισμού ρόλων και αρμοδιοτήτων· |
| ζ) | διαχείριση περιουσιακών στοιχείων, συμπεριλαμβανομένης της απογραφής περιουσιακών στοιχείων ΤΠΕ και της χαρτογράφησης του δικτύου ΤΠΕ· |
| η) | ασφάλεια ανθρώπινων πόρων και έλεγχο πρόσβαση· |
| θ) | ασφάλεια των επιχειρήσεων· |
| ι) | ασφάλεια των επικοινωνιών· |
| ια) | απόκτηση, ανάπτυξη και συντήρηση συστημάτων, συμπεριλαμβανομένων πολιτικών για τον χειρισμό και τη γνωστοποίηση ευπαθειών· |
| ιβ) | όπου είναι δυνατόν, πολιτικές για τη διαφάνεια του πηγαίου κώδικα· |
| ιγ) | ασφάλεια της αλυσίδας εφοδιασμού, συμπεριλαμβανομένων των πτυχών που αφορούν την ασφάλεια ως προς τις σχέσεις μεταξύ κάθε οντότητας της Ένωσης και των άμεσων προμηθευτών ή παρόχων υπηρεσιών της· |
| ιδ) | χειρισμός_περιστατικών και συνεργασία με την CERT-ΕΕ, όπως η διατήρηση της παρακολούθησης και της καταγραφής ασφαλείας· |
| ιε) | διαχείριση της επιχειρησιακής συνέχειας, όπως διαχείριση αντιγράφων ασφαλείας και αποκατάσταση έπειτα από καταστροφή, και διαχείριση των κρίσεων· και |
| ιστ) | προώθηση και ανάπτυξη προγραμμάτων εκπαίδευσης, απόκτησης δεξιοτήτων, ευαισθητοποίησης, πρακτικής εξάσκησης και κατάρτισης στον τομέα της κυβερνοασφάλειας. |
Για τους σκοπούς του πρώτου εδαφίου στοιχείο ιγ), οι οντότητες_της_Ένωσης λαμβάνουν υπόψη τις ιδιαίτερες ευπάθειες κάθε άμεσου προμηθευτή και παρόχου υπηρεσιών, καθώς και τη συνολική ποιότητα των προϊόντων και τις πρακτικές κυβερνοασφάλειας των προμηθευτών και των παρόχων υπηρεσιών τους, συμπεριλαμβανομένων των διαδικασιών ασφαλούς ανάπτυξής τους.
3. Οι οντότητες_της_Ένωσης λαμβάνουν τουλάχιστον τα ακόλουθα ειδικά μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας:
| α) | τεχνικές ρυθμίσεις για τη διευκόλυνση και τη διατήρηση της τηλεργασίας· |
| β) | συγκεκριμένα μέτρα για τη μετάβαση προς τις αρχές της μηδενικής εμπιστοσύνης· |
| γ) | χρήση, κατά κανόνα, της πολυπαραγοντικής επαλήθευσης ταυτότητας σε όλα τα δικτυακά και πληροφοριακά συστήματα· |
| δ) | χρήση της κρυπτογραφίας και της κρυπτογράφησης, ιδίως της διατερματικής κρυπτογράφησης, καθώς και της ασφαλούς ψηφιακής υπογραφής· |
| ε) | κατά περίπτωση, ασφαλείς επικοινωνίες φωνής, βίντεο και κειμένου, και ασφαλή συστήματα επικοινωνίας έκτακτης ανάγκης εντός της οντότητας της Ένωσης· |
| στ) | προδραστικά μέτρα για τον εντοπισμό και την αφαίρεση κακόβουλου λογισμικού και κατασκοπευτικού λογισμικού· |
| ζ) | επίτευξη ασφάλειας στην αλυσίδα εφοδιασμού λογισμικού μέσω κριτηρίων για την ασφαλή ανάπτυξη και αξιολόγηση λογισμικού· |
| η) | κατάρτιση και έγκριση εκπαιδευτικών προγραμμάτων για την κυβερνοασφάλεια ανάλογα με τα προβλεπόμενα καθήκοντα και τις αναμενόμενες ικανότητες για το ανώτατο επίπεδο διοίκησης και τα μέλη προσωπικού της οντότητας της Ένωσης στα οποία ανατίθεται η διασφάλιση της αποτελεσματικής εφαρμογής του παρόντος κανονισμού· |
| θ) | τακτική κατάρτιση των μελών του προσωπικού σε θέματα κυβερνοασφάλειας· |
| ι) | κατά περίπτωση, συμμετοχή σε αναλύσεις κινδύνου διασυνδεσιμότητας μεταξύ των οντοτήτων της Ένωσης· |
| ια) | ενίσχυση των κανόνων για τη σύναψη συμβάσεων ώστε να διευκολυνθεί η επίτευξη υψηλού κοινού επιπέδου κυβερνοασφάλειας μέσω:
|
Άρθρο 11
Καθήκοντα του ΔΣΚ
Κατά την άσκηση των αρμοδιοτήτων του, το ΔΣΚ ειδικότερα:
| α) | παρέχει καθοδήγηση στον επικεφαλής της CERT-ΕΕ· |
| β) | παρακολουθεί και εποπτεύει αποτελεσματικά την εφαρμογή του παρόντος κανονισμού και στηρίζει τις οντότητες_της_Ένωσης στην ενίσχυση της κυβερνοασφάλειάς τους, μεταξύ άλλων ζητώντας, κατά περίπτωση, ad hoc εκθέσεις από τις οντότητες_της_Ένωσης και την CERT-ΕΕ· |
| γ) | κατόπιν στρατηγικής συζήτησης, εγκρίνει πολυετή στρατηγική για την ενίσχυση του επιπέδου κυβερνοασφάλειας στις οντότητες_της_Ένωσης, αξιολογεί την εν λόγω στρατηγική σε τακτική βάση και τουλάχιστον ανά πενταετία και, κατά περίπτωση, τροποποιεί την εν λόγω στρατηγική· |
| δ) | καθορίζει τη μεθοδολογία και τις οργανωτικές πτυχές για τη διενέργεια εθελοντικών αξιολογήσεων από ομοτίμους μεταξύ των οντοτήτων της Ένωσης, με σκοπό την άντληση διδαγμάτων από κοινές εμπειρίες, την ενίσχυση της αμοιβαίας εμπιστοσύνης, την επίτευξη υψηλού κοινού επιπέδου κυβερνοασφάλειας, καθώς και την ενίσχυση των ικανοτήτων κυβερνοασφάλειας των οντοτήτων της Ένωσης, διασφαλίζοντας ότι οι εν λόγω αξιολογήσεις από ομοτίμους διενεργούνται από εμπειρογνώμονες στον τομέα της κυβερνοασφάλειας που ορίζονται από οντότητα της Ένωσης διαφορετική από την αξιολογούμενη οντότητα της Ένωσης και ότι η μεθοδολογία βασίζεται στο άρθρο 19 της οδηγίας (ΕΕ) 2022/2555 και, κατά περίπτωση, προσαρμόζεται στις οντότητες_της_Ένωσης· |
| ε) | εγκρίνει, βάσει πρότασης του επικεφαλής της CERT-ΕΕ, το ετήσιο πρόγραμμα εργασιών της CERT-ΕΕ και παρακολουθεί την εφαρμογή του· |
| στ) | εγκρίνει, βάσει πρότασης του επικεφαλής της CERT-ΕΕ, τον κατάλογο υπηρεσιών της CERT-ΕΕ και τυχόν επικαιροποιήσεις του· |
| ζ) | εγκρίνει, βάσει πρότασης του επικεφαλής της CERT-ΕΕ, τον ετήσιο οικονομικό προγραμματισμό των εσόδων και των δαπανών, συμπεριλαμβανομένης της στελέχωσης, για τις δραστηριότητες της CERT-ΕΕ· |
| η) | εγκρίνει, βάσει πρότασης του επικεφαλής της CERT-ΕΕ, τις ρυθμίσεις για τις συμφωνίες επιπέδου υπηρεσιών· |
| θ) | εξετάζει και εγκρίνει την ετήσια έκθεση που καταρτίζει ο επικεφαλής της CERT-ΕΕ, η οποία καλύπτει τις δραστηριότητες της CERT-ΕΕ και την από μέρους της διαχείριση κονδυλίων· |
| ι) | εγκρίνει και παρακολουθεί τους βασικούς δείκτες επιδόσεων (ΒΔΕ) της CERT-ΕΕ, οι οποίοι καθορίζονται βάσει πρότασης του επικεφαλής της CERT-ΕΕ· |
| ια) | εγκρίνει ρυθμίσεις συνεργασίας, συμφωνίες ή συμβάσεις σε επίπεδο υπηρεσιών μεταξύ της CERT-ΕΕ και άλλων οντοτήτων σύμφωνα με το άρθρο 18· |
| ιβ) | εγκρίνει κατευθυντήριες γραμμές και συστάσεις βάσει πρότασης της CERT-ΕΕ σύμφωνα με το άρθρο 14 και αναθέτει στην CERT-ΕΕ να εκδώσει, να αποσύρει ή να τροποποιήσει πρόταση για κατευθυντήριες γραμμές ή συστάσεις, ή πρόσκληση για ανάληψη δράσης· |
| ιγ) | συγκροτεί τεχνικές συμβουλευτικές ομάδες με συγκεκριμένα καθήκοντα, προκειμένου να συνδράμουν το ΔΣΚ στο έργο του, εγκρίνει την εντολή τους και ορίζει τον πρόεδρο κάθε ομάδας· |
| ιδ) | λαμβάνει και αξιολογεί έγγραφα και εκθέσεις που υποβάλλουν οι οντότητες_της_Ένωσης δυνάμει του παρόντος κανονισμού, όπως αξιολογήσεις του επιπέδου ωριμότητας στον τομέα της κυβερνοασφάλειας· |
| ιε) | διευκολύνει τη σύσταση άτυπης ομάδας τοπικών υπευθύνων κυβερνοασφάλειας των οντοτήτων της Ένωσης, με την υποστήριξη του ENISA, με στόχο την ανταλλαγή βέλτιστων πρακτικών και πληροφοριών σε σχέση με την εφαρμογή του παρόντος κανονισμού· |
| ιστ) | λαμβάνοντας υπόψη τις πληροφορίες που παρέχονται από την CERT-ΕΕ σχετικά με τους εντοπισθέντες κινδύνους κυβερνοασφάλειας και τα διδάγματα που αντλήθηκαν, παρακολουθεί την επάρκεια των ρυθμίσεων διασυνδεσιμότητας μεταξύ των περιβαλλόντων ΤΠΕ των οντοτήτων της Ένωσης και παρέχει συμβουλές σχετικά με πιθανές βελτιώσεις· |
| ιζ) | καταρτίζει σχέδιο διαχείρισης κρίσεων στον κυβερνοχώρο με σκοπό τη στήριξη, σε επιχειρησιακό επίπεδο, της συντονισμένης διαχείρισης σοβαρών περιστατικών που επηρεάζουν οντότητες_της_Ένωσης, και τη συμβολή στην τακτική ανταλλαγή σχετικών πληροφοριών, ιδίως όσον αφορά τις επιπτώσεις και την κρισιμότητα σοβαρών περιστατικών και τους πιθανούς τρόπους μετριασμού των επιπτώσεών τους· |
| ιη) | συντονίζει την έγκριση των σχεδίων διαχείρισης κρίσεων στον κυβερνοχώρο που καταρτίζουν οι επιμέρους οντότητες_της_Ένωσης και τα οποία αναφέρονται στο άρθρο 9 παράγραφος 2· |
| ιθ) | εκδίδει συστάσεις σχετικά με την ασφάλεια στον κυβερνοχώρο που αναφέρονται στο άρθρο 8 παράγραφος 2 πρώτο εδάφιο στοιχείο ιγ), λαμβάνοντας υπόψη τα αποτελέσματα των συντονισμένων σε ενωσιακό επίπεδο εκτιμήσεων κινδύνου για τις κρίσιμες αλυσίδες εφοδιασμού που αναφέρονται στο άρθρο 22 της οδηγίας (ΕΕ) 2022/2555, για να στηρίξει τις οντότητες_της_Ένωσης στη θέσπιση αποτελεσματικών και αναλογικών μέτρων διαχείρισης κινδύνων κυβερνοασφάλειας. |
Άρθρο 12
Συμμόρφωση
1. Το ΔΣΚ, σύμφωνα με το άρθρο 10 παράγραφος 2 και το άρθρο 11, παρακολουθεί αποτελεσματικά την εφαρμογή του παρόντος κανονισμού και των εκδοθεισών κατευθυντήριων γραμμών, συστάσεων και εκκλήσεων για ανάληψη δράσης από τις οντότητες_της_Ένωσης. Το ΔΣΚ μπορεί να ζητεί από τις οντότητες_της_Ένωσης πληροφορίες ή έγγραφα που απαιτούνται για τον σκοπό αυτό. Για τους σκοπούς της έγκρισης μέτρων συμμόρφωσης δυνάμει του παρόντος άρθρου, όταν η οικεία οντότητα της Ένωσης εκπροσωπείται άμεσα στο ΔΣΚ, δεν έχει δικαίωμα ψήφου.
2. Όταν το ΔΣΚ διαπιστώνει ότι μια οντότητα της Ένωσης δεν έχει εφαρμόσει αποτελεσματικά τον παρόντα κανονισμό ή τις κατευθυντήριες γραμμές, τις συστάσεις ή τις εκκλήσεις για ανάληψη δράσης που εκδίδονται δυνάμει αυτού, δύναται, με την επιφύλαξη των εσωτερικών διαδικασιών της οικείας οντότητας της Ένωσης, και αφού δώσει στην οικεία οντότητα της Ένωσης την ευκαιρία να παρουσιάσει τις παρατηρήσεις της:
| α) | να κοινοποιήσει αιτιολογημένη γνώμη στην οντότητα της Ένωσης σχετικά με παρατηρηθέντα κενά στην εφαρμογή του παρόντος κανονισμού· |
| β) | να παράσχει, κατόπιν διαβούλευσης με την CERT-ΕΕ, κατευθυντήριες γραμμές στην οικεία οντότητα της Ένωσης προκειμένου να διασφαλίσει ότι το πλαίσιό της, τα μέτρα της για τη διαχείριση κινδύνων κυβερνοασφάλειας, το σχέδιο κυβερνοασφάλειάς της και οι εκθέσεις της συμμορφώνονται με τον παρόντα κανονισμό εντός καθορισμένης περιόδου· |
| γ) | να εκδώσει προειδοποίηση για την αντιμετώπιση, εντός καθορισμένης προθεσμίας, ελλείψεων που εντοπίστηκαν, συμπεριλαμβανομένων συστάσεων για την τροποποίηση μέτρων που εγκρίθηκαν από την οικεία οντότητα της Ένωσης σύμφωνα με τον παρόντα κανονισμό· |
| δ) | να εκδώσει αιτιολογημένη κοινοποίηση προς την οικεία οντότητα της Ένωσης, σε περίπτωση που οι εντοπισθείσες ελλείψεις που προσδιορίζονται σε προειδοποίηση που εκδόθηκε σύμφωνα με το στοιχείο γ) δεν αντιμετωπίστηκαν επαρκώς εντός της καθορισμένης προθεσμίας· |
| ε) | να εκδώσει:
|
| στ) | κατά περίπτωση, να ενημερώσει το Ελεγκτικό Συνέδριο, στο πλαίσιο της εντολής του, για την εικαζόμενη μη συμμόρφωση· |
| ζ) | να εκδώσει σύσταση ώστε όλα τα κράτη μέλη και όλες οι οντότητες_της_Ένωσης να εφαρμόσουν προσωρινή αναστολή των ροών δεδομένων προς την οικεία οντότητα της Ένωσης. |
Για τους σκοπούς του πρώτου εδαφίου στοιχείο γ), οι αποδέκτες μιας προειδοποίησης περιορίζονται κατάλληλα, όταν αυτό είναι αναγκαίο λόγω του κινδύνου κυβερνοασφάλειας.
Οι προειδοποιήσεις και οι συστάσεις που εκδίδονται σύμφωνα με το πρώτο εδάφιο απευθύνονται στο ανώτατο_διοικητικό_επίπεδο της οικείας οντότητας της Ένωσης.
3. Στις περιπτώσεις που το ΔΣΚ έχει εγκρίνει μέτρα σύμφωνα με την παράγραφο 2 πρώτο εδάφιο στοιχεία α) έως ζ), η οικεία οντότητα της Ένωσης παρέχει λεπτομερή στοιχεία σχετικά με τα μέτρα και τις δράσεις που έχουν αναληφθεί για την αντιμετώπιση των εικαζόμενων ελλείψεων που εντόπισε το ΔΣΚICB. Η οντότητα της Ένωσης υποβάλλει τα λεπτομερή αυτά στοιχεία εντός εύλογου χρονικού διαστήματος που συμφωνείται με το ΔΣΚ.
4. Όταν το ΔΣΚ θεωρεί ότι υπάρχει διαρκής παράβαση του παρόντος κανονισμού από οντότητα της Ένωσης ως άμεση απόρροια ενεργειών ή παραλείψεων υπαλλήλου ή μέλους της λοιπού προσωπικού της Ένωσης, συμπεριλαμβανομένων προσώπων στο ανώτατο_διοικητικό_επίπεδο, το ΔΣΚ ζητεί από την οικεία οντότητα της Ένωσης να λάβει τα κατάλληλα μέτρα, μεταξύ άλλων ζητώντας από την εν λόγω οντότητα να εξετάσει το ενδεχόμενο λήψης μέτρων πειθαρχικού χαρακτήρα σύμφωνα με τους κανόνες και τις διαδικασίες που ορίζονται στον κανονισμό υπηρεσιακής κατάστασης και οποιουσδήποτε άλλους εφαρμοστέους κανόνες και διαδικασίες. Για τον σκοπό αυτό, το ΔΣΚ διαβιβάζει τις απαραίτητες πληροφορίες στην οικεία οντότητα της Ένωσης.
5. Όταν οντότητες_της_Ένωσης κοινοποιούν ότι δεν είναι σε θέση να τηρήσουν τις προθεσμίες που ορίζονται στο άρθρο 6 παράγραφος 1 και στο άρθρο 8 παράγραφος 1, το ΔΣΚ μπορεί, σε δεόντως αιτιολογημένες περιπτώσεις και λαμβάνοντας υπόψη το μέγεθος της οντότητας της Ένωσης, να εγκρίνει την παράταση των εν λόγω προθεσμιών.
ΚΕΦΑΛΑΙΟ IV
CERT-EΕ
Άρθρο 13
Αποστολή και καθήκοντα της CERT-ΕΕ
1. Αποστολή της CERT-ΕΕ είναι να συμβάλλει στην ασφάλεια του μη διαβαθμισμένου περιβάλλοντος ΤΠΕ των οντοτήτων της Ένωσης παρέχοντας σε αυτές συμβουλές σχετικά με την κυβερνοασφάλεια, συμβάλλοντας στην πρόληψη, στον εντοπισμό, στον χειρισμό, στον μετριασμό και στην αντιμετώπιση περιστατικών, καθώς και στην ανάκαμψη από περιστατικά, και λειτουργώντας για αυτές ως κόμβος συντονισμού για την ανταλλαγή πληροφοριών και την αντιμετώπιση περιστατικών στον τομέα της κυβερνοασφάλειας.
2. Η CERT-EΕ συγκεντρώνει, διαχειρίζεται, αναλύει και ανταλλάσσει πληροφορίες με τις οντότητες_της_Ένωσης σχετικά με κυβερνοαπειλές, ευπάθειες και περιστατικά σε μη διαβαθμισμένες υποδομές ΤΠΕ. Συντονίζει την αντιμετώπιση περιστατικών σε διοργανικό επίπεδο και σε επίπεδο οντοτήτων της Ένωσης, μεταξύ άλλων παρέχοντας εξειδικευμένη επιχειρησιακή βοήθεια ή συντονίζοντας την παροχή της.
3. Η CERT-ΕΕ εκτελεί τα ακόλουθα καθήκοντα για να συνδράμει τις οντότητες_της_Ένωσης:
| α) | τις στηρίζει κατά την εφαρμογή του παρόντος κανονισμού και συμβάλλει στον συντονισμό της εφαρμογής του παρόντος κανονισμού μέσω των μέτρων που παρατίθενται στο άρθρο 14 παράγραφος 1 ή μέσω ad-hoc εκθέσεων τις οποίες ζητά το ΔΣΚ· |
| β) | προσφέρει τυπικές υπηρεσίες CSIRT για τις οντότητες_της_Ένωσης μέσω δέσμης υπηρεσιών κυβερνοασφάλειας που περιγράφονται στον κατάλογο υπηρεσιών της («βασικές υπηρεσίες»)· |
| γ) | διατηρεί δίκτυο ομοτίμων και εταίρων για τη στήριξη των υπηρεσιών που περιγράφονται στα άρθρα 17 και 18· |
| δ) | εφιστά την προσοχή του ΔΣΚ σε κάθε πρόβλημα που αφορά την εφαρμογή του παρόντος κανονισμού και την εφαρμογή των κατευθυντήριων γραμμών, των συστάσεων και των εκκλήσεων για ανάληψη δράσης· |
| ε) | με βάση τις πληροφορίες που αναφέρονται στην παράγραφο 2, συμβάλλει στην επίγνωση της κατάστασης στον κυβερνοχώρο στην Ένωσης σε στενή συνεργασία με τον ENISA· |
| στ) | συντονίζει τη διαχείριση σοβαρών περιστατικών· |
| ζ) | ενεργεί εκ μέρους των οντοτήτων της Ένωσης ως το αντίστοιχο όργανο του συντονιστή που ορίζεται για τους σκοπούς της συντονισμένης γνωστοποίησης ευπαθειών σύμφωνα με το άρθρο 12 παράγραφος 1 της οδηγίας (ΕΕ) 2022/2555· |
| η) | παρέχει, κατόπιν αιτήματος οντότητας της Ένωσης, προδραστική μη παρεμβατική σάρωση δημόσια προσβάσιμων δικτυακών και πληροφοριακών συστημάτων της εν λόγω οντότητας της Ένωσης. |
Οι πληροφορίες που αναφέρονται στο πρώτο εδάφιο στοιχείο ε) κοινοποιούνται στο ΔΣΚ, στο δίκτυο CSIRT και στο Κέντρο Ανάλυσης Πληροφοριών της Ευρωπαϊκής Ένωσης (EU INTCEN), κατά περίπτωση και όπου κρίνεται σκόπιμο, και με την επιφύλαξη των κατάλληλων όρων εμπιστευτικότητας.
4. Η CERT-ΕΕ μπορεί, σύμφωνα με το άρθρο 17 ή 18, κατά περίπτωση, να συνεργάζεται με σχετικές κοινότητες κυβερνοασφάλειας εντός της Ένωσης και των κρατών μελών της, μεταξύ άλλων στους ακόλουθους τομείς:
| α) | ετοιμότητα, συντονισμός σε περίπτωση περιστατικών, ανταλλαγή πληροφοριών και αντιμετώπιση κρίσεων σε τεχνικό επίπεδο σε περιπτώσεις που συνδέονται με οντότητες_της_Ένωσης· |
| β) | επιχειρησιακή συνεργασία όσον αφορά το δίκτυο CSIRT, μεταξύ άλλων όσον αφορά την αμοιβαία συνδρομή · |
| γ) | πληροφορίες για κυβερνοαπειλές, συμπεριλαμβανομένης της επίγνωσης της κατάστασης· |
| δ) | για κάθε θέμα για το οποίο είναι απαραίτητη η τεχνική εμπειρογνωσία της CERT-ΕΕ στον τομέα της κυβερνοασφάλειας. |
5. Στο πλαίσιο των αρμοδιοτήτων της, η CERT-ΕΕ συμμετέχει σε διαρθρωμένη συνεργασία με τον ENISA όσον αφορά την ανάπτυξη ικανοτήτων, την επιχειρησιακή συνεργασία και τις μακροπρόθεσμες στρατηγικές αναλύσεις των κυβερνοαπειλών σύμφωνα με τον κανονισμό (ΕΕ) 2019/881. Η CERT-ΕΕ μπορεί να συνεργάζεται και να ανταλλάσσει πληροφορίες με το Ευρωπαϊκό Κέντρο για το Κυβερνοέγκλημα της Ευρωπόλ.
6. Η CERT-ΕΕ μπορεί να παρέχει τις κάτωθι υπηρεσίες που δεν περιγράφονται στον κατάλογο υπηρεσιών της (χρεώσιμες υπηρεσίες):
| α) | υπηρεσίες που υποστηρίζουν την κυβερνοασφάλεια του περιβάλλοντος ΤΠΕ των οντοτήτων της Ένωσης, πέραν αυτών που αναφέρονται στην παράγραφο 3, βάσει συμφωνιών επιπέδου υπηρεσιών και υπό την προϋπόθεση ότι υπάρχουν οι διαθέσιμοι πόροι, και συγκεκριμένα παρακολούθηση δικτύου ευρέος φάσματος, συμπεριλαμβανομένης της παρακολούθησης πρώτης γραμμής 24 ώρες το εικοσιτετράωρο και 7 ημέρες την εβδομάδα για κυβερνοαπειλές υψηλής σοβαρότητας· |
| β) | υπηρεσίες που υποστηρίζουν δραστηριότητες ή έργα των οντοτήτων της Ένωσης στον τομέα της κυβερνοασφάλειας, πέραν αυτών που αποσκοπούν στην προστασία του περιβάλλοντος ΤΠΕ των οντοτήτων αυτών, βάσει γραπτών συμφωνιών και με την προηγούμενη έγκριση του ΔΣΚ· |
| γ) | κατόπιν αιτήματος, προδραστική σάρωση των δικτυακών και πληροφοριακών συστημάτων της οικείας οντότητας της Ένωσης για τον εντοπισμό ευπαθειών με δυνητικό σημαντικό αντίκτυπο· |
| δ) | υπηρεσίες που υποστηρίζουν την ασφάλεια του περιβάλλοντος ΤΠΕ σε οργανισμούς άλλους πέραν των οντοτήτων της Ένωσης που συνεργάζονται στενά με οντότητες_της_Ένωσης, για παράδειγμα με την ανάθεση καθηκόντων ή αρμοδιοτήτων δυνάμει του ενωσιακού δικαίου, βάσει γραπτών συμφωνιών και με την προηγουμένη έγκριση του ΔΣΚ. |
Όσον αφορά το πρώτο εδάφιο στοιχείο δ), η CERT-ΕΕ μπορεί, κατ’ εξαίρεση, να συνάπτει συμφωνίες επιπέδου υπηρεσιών με άλλες οντότητες πέραν των οντοτήτων της Ένωσης, με προηγούμενη έγκριση του ΔΣΚ.
7. Η CERT-ΕΕ διοργανώνει και μπορεί να συμμετέχει σε ασκήσεις κυβερνοασφάλειας ή να συνιστά τη συμμετοχή σε υφιστάμενες ασκήσεις, κατά περίπτωση σε στενή συνεργασία με τον ENISA, με σκοπό τη δοκιμή του επιπέδου κυβερνοασφάλειας των οντοτήτων της Ένωσης.
8. Η CERT-ΕΕ μπορεί να παρέχει συνδρομή σε οντότητες_της_Ένωσης όσον αφορά περιστατικά σε δικτυακά και πληροφοριακά συστήματα που χειρίζονται ΔΠΕΕ, όταν αυτό ζητείται ρητά από τις οικείες οντότητες_της_Ένωσης σύμφωνα με τις αντίστοιχες διαδικασίες τους. Η παροχή συνδρομής από την CERT-ΕΕ δυνάμει της παρούσας παραγράφου δεν θίγει τους ισχύοντες κανόνες σχετικά με την προστασία διαβαθμισμένων πληροφοριών.
9. Η CERT-EΕ ενημερώνει τις οντότητες_της_Ένωσης σχετικά με τις διαδικασίες και διεργασίες που ακολουθεί για τον χειρισμό περιστατικών.
10. Η CERT-ΕΕ παρέχει, με υψηλό επίπεδο εμπιστευτικότητας και αξιοπιστίας, μέσω των κατάλληλων μηχανισμών συνεργασίας και διαύλων αναφοράς, σχετικές και ανωνυμοποιημένες πληροφορίες όσον αφορά σοβαρά περιστατικά και τον τρόπο με τον οποίο αντιμετωπίστηκαν. Οι πληροφορίες αυτές περιλαμβάνονται στην έκθεση που αναφέρεται στο άρθρο 10 παράγραφος 14.
11. Η CERT-ΕΕ, σε συνεργασία με τον ΕΕΠΔ, υποστηρίζει τις οικείες οντότητες_της_Ένωσης στην αντιμετώπιση περιστατικών που οδηγούν σε παραβιάσεις δεδομένων προσωπικού χαρακτήρα, με την επιφύλαξη της αρμοδιότητας και των καθηκόντων του ΕΕΠΔ ως εποπτικής αρχής δυνάμει του κανονισμού (ΕΕ) 2018/1725.
12. Η CERT-EΕ μπορεί, εφόσον ζητηθεί ρητά από τμήματα πολιτικής των οντοτήτων της Ένωσης, να συνεισφέρει τεχνικές συμβουλές ή στοιχεία για συναφή ζητήματα πολιτικής.
Άρθρο 15
Επικεφαλής της CERT-ΕΕ
1. Η Επιτροπή, αφού λάβει την έγκριση πλειοψηφίας δύο τρίτων των μελών του ΔΣΚ, διορίζει τον επικεφαλής της CERT-EΕ. Ζητείται η γνώμη του ΔΣΚ σε όλα τα στάδια της διαδικασίας διορισμού, ιδίως όσον αφορά τη σύνταξη προκηρύξεων κενής θέσης, την εξέταση των αιτήσεων και τον ορισμό των εξεταστικών επιτροπών σε σχέση με την εκάστοτε θέση. Η διαδικασία επιλογής, συμπεριλαμβανομένου του τελικού καταλόγου επικρατέστερων υποψηφίων μεταξύ των οποίων θα επιλεγεί το άτομο που θα διοριστεί στη θέση του επικεφαλής της CERT-ΕΕ, διασφαλίζει τη δίκαιη εκπροσώπηση κάθε φύλου, λαμβανομένων υπόψη των αιτήσεων που έχουν υποβληθεί.
2. Ο επικεφαλής της CERT-ΕΕ είναι αρμόδιος για την εύρυθμη λειτουργία της CERT-ΕΕ και ενεργεί στο πλαίσιο των αρμοδιοτήτων του ρόλου του υπό την καθοδήγηση του ΔΣΚ. Ο επικεφαλής της CERT-ΕΕ υποβάλλει τακτικά εκθέσεις στον πρόεδρο του ΔΣΚ και υποβάλλει ad hoc εκθέσεις στο ΔΣΚ κατόπιν αιτήματός του.
3. Ο επικεφαλής της CERT-ΕΕ συνδράμει τον αρμόδιο κύριο διατάκτη κατά τη σύνταξη της ετήσιας έκθεσης δραστηριοτήτων η οποία περιλαμβάνει δημοσιονομικές και διαχειριστικές πληροφορίες, μεταξύ των οποίων τα αποτελέσματα ελέγχων, και η οποία συντάσσεται βάσει του άρθρου 74 παράγραφος 9 του κανονισμού (ΕΕ, Ευρατόμ) 2018/1046 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (9), και υποβάλλει τακτικά εκθέσεις στον κύριο διατάκτη σχετικά με την εφαρμογή των μέτρων για τα οποία έχει ανατεθεί αρμοδιότητα στον επικεφαλής της CERT-ΕΕ.
4. Ο επικεφαλής της CERT-ΕΕ καταρτίζει, σε ετήσια βάση, οικονομικό προγραμματισμό των διοικητικών εσόδων και δαπανών για τις δραστηριότητές της, το προτεινόμενο ετήσιο πρόγραμμα εργασίας, τον προτεινόμενο κατάλογο υπηρεσιών για την CERT-ΕΕ, προτεινόμενες αναθεωρήσεις του καταλόγου υπηρεσιών, προτεινόμενες ρυθμίσεις για συμφωνίες σε επίπεδο υπηρεσιών και προτεινόμενους ΒΔΕ για τη CERT-EΕ, που πρέπει να εγκριθούν από το ΔΣΚ σύμφωνα με το άρθρο 11. Κατά την αναθεώρηση του καταλόγου υπηρεσιών της CERT-ΕΕ, ο επικεφαλής της CERT-ΕΕ λαμβάνει υπόψη τους πόρους που διατίθενται στη CERT-EΕ.
5. Ο επικεφαλής της CERT-ΕΕ υποβάλλει εκθέσεις, τουλάχιστον σε ετήσια βάση, στο ΔΣΚ και στον πρόεδρο του ΔΣΚ σχετικά με τις δραστηριότητες και τις επιδόσεις της CERT-ΕΕ κατά την περίοδο αναφοράς, μεταξύ άλλων όσον αφορά την εκτέλεση του προϋπολογισμού, τις συμφωνίες επιπέδου υπηρεσιών και τις γραπτές συμφωνίες που έχουν συναφθεί, τη συνεργασία με ομολόγους και εταίρους, καθώς και σχετικά με τις αποστολές που αναλαμβάνει το προσωπικό, συμπεριλαμβανομένων των εκθέσεων που αναφέρονται στο άρθρο 11. Οι εν λόγω εκθέσεις περιλαμβάνουν το πρόγραμμα εργασίας για την επόμενη περίοδο, τον δημοσιονομικό προγραμματισμό των εσόδων και των δαπανών, συμπεριλαμβανομένης της στελέχωσης, τις προγραμματισμένες επικαιροποιήσεις του καταλόγου υπηρεσιών της CERT-ΕΕ και αξιολόγηση του αναμενόμενου αντικτύπου που ενδέχεται να έχουν οι εν λόγω επικαιροποιήσεις όσον αφορά τους οικονομικούς και ανθρώπινους πόρους.
Άρθρο 17
Συνεργασία της CERT-ΕΕ με τους ομολόγους της από κράτη μέλη
1. Η CERT-ΕΕ συνεργάζεται και ανταλλάσσει πληροφορίες, χωρίς αδικαιολόγητη καθυστέρηση, με ομολόγους από κράτη μέλη, ιδίως τις CSIRT που ορίζονται ή συγκροτούνται σύμφωνα με το άρθρο 10 της οδηγίας (ΕΕ) 2022/2555 ή, κατά περίπτωση, τις αρμόδιες αρχές και τα ενιαία σημεία επαφής που ορίζονται ή συγκροτούνται σύμφωνα με το άρθρο 8 της εν λόγω οδηγίας, σχετικά με περιστατικά, κυβερνοαπειλές, ευπάθειες, παρ’ ολίγον περιστατικά, πιθανά αντίμετρα, καθώς και βέλτιστες πρακτικές και όλα τα θέματα που αφορούν τη βελτίωση της προστασίας των περιβαλλόντων ΤΠΕ των οντοτήτων της Ένωσης, μεταξύ άλλων μέσω του δικτύου CSIRT που συγκροτείται σύμφωνα με το άρθρο 15 της οδηγίας (ΕΕ) 2022/2555. Η CERT-ΕΕ στηρίζει την Επιτροπή στο EU-CyCLONe που συγκροτείται σύμφωνα με το άρθρο 16 της οδηγίας (ΕΕ) 2022/2555 για τη συντονισμένη διαχείριση περιστατικών και κρίσεων μεγάλης κλίμακας στον κυβερνοχώρο.
2. Όταν η CERT-EU αντιλαμβάνεται σημαντικό περιστατικό που λαμβάνει χώρα στην επικράτεια ενός κράτους μέλους, ενημερώνει, χωρίς καθυστέρηση, κάθε σχετικό ομόλογό της στο εν λόγω κράτος μέλος, σύμφωνα με την παράγραφο 1.
3. Υπό την προϋπόθεση ότι τα δεδομένα προσωπικού χαρακτήρα προστατεύονται σύμφωνα με την ισχύουσα νομοθεσία της Ένωσης για την προστασία των δεδομένων, η CERT-ΕΕ ανταλλάσσει με ομολόγους της από κράτη μέλη, χωρίς αδικαιολόγητη καθυστέρηση, σχετικές πληροφορίες που αφορούν συγκεκριμένα περιστατικά οι οποίες διευκολύνουν τον εντοπισμό παρόμοιων κυβερνοαπειλών ή περιστατικών, ή συμβάλλουν στην ανάλυση περιστατικού, χωρίς την άδεια της θιγόμενης οντότητας της Ένωσης. Η CERT-ΕΕ ανταλλάσσει πληροφορίες σχετικά με συγκεκριμένα περιστατικά που αποκαλύπτουν την ταυτότητα του στόχου του περιστατικού μόνο όταν συντρέχει μία από τις ακόλουθες περιπτώσεις:
| α) | η θιγόμενη οντότητα της Ένωσης δίνει τη συγκατάθεσή της· |
| β) | η θιγόμενη οντότητα της Ένωσης δεν δίνει τη συγκατάθεσή της όπως προβλέπεται στο στοιχείο α), αλλά η γνωστοποίηση της ταυτότητας της θιγόμενης οντότητας της Ένωσης θα αύξανε την πιθανότητα αποφυγής ή μετριασμού περιστατικών αλλού· |
| γ) | η θιγόμενη οντότητα της Ένωσης έχει ήδη δημοσιοποιήσει ότι επηρεάστηκε. |
Οι αποφάσεις για την ανταλλαγή πληροφοριών σχετικά με συγκεκριμένα περιστατικά οι οποίες αποκαλύπτουν την ταυτότητα του στόχου του περιστατικού σύμφωνα με το πρώτο εδάφιο στοιχείο β), εγκρίνονται από τον επικεφαλής της CERT-ΕΕ. Πριν από την έκδοση της εν λόγω απόφασης, η CERT-ΕΕ επικοινωνεί γραπτώς με τη θιγόμενη οντότητα της Ένωσης, εξηγώντας με σαφήνεια τον τρόπο με τον οποίο η γνωστοποίησή της ταυτότητάς της θα συνέβαλε στην αποφυγή ή τον μετριασμό περιστατικών αλλού. Ο επικεφαλής της CERT-ΕΕ παρέχει τις εξηγήσεις και ζητεί ρητά από την οντότητα της Ένωσης να δηλώσει εάν δίνει τη συγκατάθεσή της εντός καθορισμένης προθεσμίας. Ο επικεφαλής της CERT-ΕΕ ενημερώνει επίσης την οντότητα της Ένωσης ότι, υπό το πρίσμα των εξηγήσεων που παρέχονται, διατηρεί το δικαίωμα να γνωστοποιήσει τις πληροφορίες ακόμη και ελλείψει συγκατάθεσης. Η θιγόμενη οντότητα της Ένωσης ενημερώνεται πριν από τη γνωστοποίηση των πληροφοριών.
Άρθρο 18
Συνεργασία της CERT-ΕΕ με άλλους ομολόγους
1. Η CERT-ΕΕ μπορεί να συνεργάζεται με ομολόγους της στην Ένωση πέραν αυτών που αναφέρονται στο άρθρο 17 οι οποίοι υπόκεινται σε ενωσιακές απαιτήσεις κυβερνοασφάλειας, συμπεριλαμβανομένων ομολόγων ανά κλάδο, σχετικά με εργαλεία και μεθόδους, όπως τεχνικές, τακτικές, διαδικασίες και βέλτιστες πρακτικές, καθώς και σχετικά με κυβερνοαπειλές και ευπάθειες. Για κάθε συνεργασία με τους εν λόγω ομολόγους, η CERT-ΕΕ ζητεί την προηγούμενη έγκριση του ΔΣΚ κατά περίπτωση. Όταν η CERT-ΕΕ αναπτύσσει συνεργασία με ομολόγους αυτού του είδους, ενημερώνει τυχόν σχετικούς ομολόγους από τα κράτη μέλη οι οποίοι αναφέρονται στο άρθρο 17 παράγραφος 1, στο κράτος μέλος στο οποίο βρίσκεται ο ομόλογος. Κατά περίπτωση και όπου κρίνεται σκόπιμο, η εν λόγω συνεργασία και οι όροι της, μεταξύ άλλων όσον αφορά την κυβερνοασφάλεια, την προστασία των δεδομένων και τον χειρισμό πληροφοριών, θεσπίζονται με ειδικές ρυθμίσεις εμπιστευτικότητας, όπως συμβάσεις ή διοικητικές ρυθμίσεις. Για τις ρυθμίσεις εμπιστευτικότητας δεν απαιτείται εκ των προτέρων έγκριση από το ΔΣΚ, αλλά ο πρόεδρός του πρέπει να ενημερώνεται σχετικά. Σε περίπτωση επείγουσας και άμεσης ανάγκης ανταλλαγής πληροφοριών κυβερνοασφάλειας προς το συμφέρον οντοτήτων της Ένωσης ή άλλου μέρους, η CERT-ΕΕ μπορεί να προβεί σε τέτοια συνεργασία με οντότητα της οποίας η ειδική αρμοδιότητα, ικανότητα και εμπειρογνωσία απαιτούνται δικαιολογημένα για τη συνδρομή στην εν λόγω επείγουσα και άμεση ανάγκη, ακόμη και αν η CERT-ΕΕ δεν έχει συνάψει ρύθμιση εμπιστευτικότητας με την εν λόγω οντότητα. Στις περιπτώσεις αυτές, η CERT-ΕΕ ενημερώνει αμέσως τον πρόεδρο του ΔΣΚ και ενημερώνει το ΔΣΚ μέσω τακτικών εκθέσεων ή συνεδριάσεων.
2. Η CERT-ΕΕ μπορεί να συνεργάζεται με άλλους εταίρους, όπως εμπορικές οντότητες, συμπεριλαμβανομένων των βιομηχανικών οντοτήτων ανά τομέα, διεθνείς οργανισμούς, εθνικές οντότητες εκτός Ευρωπαϊκής Ένωσης ή μεμονωμένους εμπειρογνώμονες, για τη συλλογή πληροφοριών σχετικά με γενικές και ειδικές κυβερνοαπειλές, παρ’ ολίγον περιστατικά, ευπάθειες και πιθανά αντίμετρα. Για ευρύτερη συνεργασία με τους εταίρους αυτούς, η CERT-ΕΕ ζητεί την προηγούμενη έγκριση του ΔΣΚ κατά περίπτωση.
3. Η CERT-ΕΕ μπορεί, με τη συγκατάθεση της οντότητας της Ένωσης που επηρεάζεται από περιστατικό και υπό την προϋπόθεση ότι έχει συναφθεί συμφωνία ή σύμβαση τήρησης του απορρήτου με τον σχετικό ομόλογο ή εταίρο, να παρέχει πληροφορίες σχετικά με το συγκεκριμένο περιστατικό σε ομολόγους ή εταίρους που αναφέρονται στις παραγράφους 1 και 2 αποκλειστικά με σκοπό να συμβάλει στην ανάλυσή του.
ΚΕΦΑΛΑΙΟ V
ΥΠΟΧΡΕΩΣΕΙΣ ΣΥΝΕΡΓΑΣΙΑΣ ΚΑΙ ΥΠΟΒΟΛΗΣ ΑΝΑΦΟΡΩΝ
Άρθρο 20
Ρυθμίσεις για την ανταλλαγή πληροφοριών στον τομέα της κυβερνοασφάλειας
1. Οι οντότητες_της_Ένωσης μπορούν, σε εθελοντική βάση, να κοινοποιούν στην CERT-ΕΕ περιστατικά, κυβερνοαπειλές, παρ’ ολίγον περιστατικά και ευπάθειες που τις επηρεάζουν, και να της παρέχουν σχετικές πληροφορίες. Η CERT-ΕΕ εξασφαλίζει ότι διατίθενται αποτελεσματικά μέσα επικοινωνίας, με υψηλό βαθμό ιχνηλασιμότητας, εμπιστευτικότητας και αξιοπιστίας, για τη διευκόλυνση της ανταλλαγής πληροφοριών με τις οντότητες_της_Ένωσης. Κατά την επεξεργασία κοινοποιήσεων, η CERT-EΕ μπορεί να δίνει προτεραιότητα στην επεξεργασία των υποχρεωτικών έναντι των εθελούσιων κοινοποιήσεων. Με την επιφύλαξη του άρθρου 12, η εθελούσια κοινοποίηση δεν συνεπάγεται την επιβολή στην αναφέρουσα οντότητα της Ένωσης πρόσθετων υποχρεώσεων τις οποίες δεν θα υπείχε αν δεν προέβαινε στην κοινοποίηση.
2. Για να εκτελεί την αποστολή και τα καθήκοντα που της ανατίθενται σύμφωνα με το άρθρο 13, η CERT-ΕΕ μπορεί να ζητεί από τις οντότητες_της_Ένωσης να της παρέχουν πληροφορίες από τις αντίστοιχες απογραφές των οικείων συστημάτων ΤΠΕ, συμπεριλαμβανομένων πληροφοριών σχετικά με κυβερνοαπειλές, παρ’ ολίγον περιστατικά, ευπάθειες, δείκτες έκθεσης σε κίνδυνο, ειδοποιήσεις επαγρύπνησης για την κυβερνοασφάλεια και συστάσεις σχετικά με την παραμετροποίηση εργαλείων κυβερνοασφάλειας για τον εντοπισμό περιστατικών. Η οντότητα στην οποία υποβάλλεται το αίτημα διαβιβάζει τις ζητούμενες πληροφορίες, καθώς και τυχόν μεταγενέστερες επικαιροποιήσεις τους, χωρίς αδικαιολόγητη καθυστέρηση.
3. Η CERT-ΕΕ μπορεί να ανταλλάσσει με τις οντότητες_της_Ένωσης πληροφορίες σχετικά με συγκεκριμένα περιστατικά που αποκαλύπτουν την ταυτότητα της επηρεαζόμενης από το περιστατικό οντότητας της Ένωσης, εφόσον η εν λόγω οντότητα της Ένωσης δώσει τη συγκατάθεσή της. Όταν οντότητα της Ένωσης αρνείται να δώσει τη συγκατάθεσή της, παρέχει στην CERT-ΕΕ τους λόγους που τεκμηριώνουν την εν λόγω απόφαση.
4. Οι οντότητες_της_Ένωσης ανταλλάσσουν, κατόπιν αιτήματος, πληροφορίες με το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο σχετικά με την ολοκλήρωση των σχεδίων κυβερνοασφάλειας.
5. Το ΔΣΚ ή η CERT-ΕΕ, κατά περίπτωση, κοινοποιεί, κατόπιν αιτήματος, κατευθυντήριες γραμμές, συστάσεις και εκκλήσεις για ανάληψη δράσης στο Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο.
6. Οι υποχρεώσεις ανταλλαγής που ορίζονται στο παρόν άρθρο δεν επεκτείνονται σε:
| α) | ΔΠΕΕ· |
| β) | πληροφορίες των οποίων η περαιτέρω διανομή έχει αποκλειστεί μέσω ορατής σήμανσης, εκτός εάν έχει επιτραπεί ρητά η κοινοποίησή τους στην CERT-ΕΕ. |
Άρθρο 21
Υποχρεώσεις υποβολής εκθέσεων
1. Ένα περιστατικό θεωρείται σημαντικό εάν:
| α) | έχει προκαλέσει ή είναι σε θέση να προκαλέσει σοβαρή λειτουργική διατάραξη ή οικονομική ζημία στην οικεία οντότητα της Ένωσης· |
| β) | έχει επηρεάσει ή μπορεί να επηρεάσει άλλα φυσικά ή νομικά πρόσωπα προκαλώντας σημαντική υλική ή μη υλική ζημία. |
2. Οι οντότητες_της_Ένωσης υποβάλλουν στη CERT-EΕ:
| α) | χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός 24 ωρών από τη στιγμή που έγινε αντιληπτό το σημαντικό περιστατικό, έγκαιρη προειδοποίηση, η οποία, κατά περίπτωση, αναφέρει αν υπάρχει υποψία ότι το σημαντικό περιστατικό προκλήθηκε από έκνομες ή κακόβουλες ενέργειες ή θα μπορούσε να έχει αντίκτυπο μεταξύ οντοτήτων ή διασυνοριακό αντίκτυπο· |
| β) | χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός 72 ωρών από τη στιγμή που έγινε αντιληπτό το σημαντικό περιστατικό, κοινοποίηση περιστατικού, η οποία, κατά περίπτωση, επικαιροποιεί τις πληροφορίες που αναφέρονται στο στοιχείο α) και αναφέρει μια αρχική αξιολόγηση του σημαντικού περιστατικού, μεταξύ άλλων της σοβαρότητας και του αντικτύπου του, καθώς και, εφόσον υπάρχουν, τις ενδείξεις της προσβολής· |
| γ) | κατόπιν αιτήματος της CERT-ΕΕ, ενδιάμεση έκθεση όσον αφορά τις σχετικές επικαιροποιήσεις της κατάστασης· |
| δ) | τελική έκθεση το αργότερο ένα μήνα μετά την υποβολή της κοινοποίησης περιστατικού σύμφωνα με το στοιχείο β), η οποία περιλαμβάνει τα ακόλουθα:
|
| ε) | σε περίπτωση εν εξελίξει περιστατικού κατά τον χρόνο υποβολής της τελικής έκθεσης που αναφέρεται στο στοιχείο δ), έκθεση προόδου τη δεδομένη στιγμή και τελική έκθεση εντός ενός μηνός από τον εκ μέρους τους χειρισμό του περιστατικού. |
3. Μια οντότητα της Ένωσης ενημερώνει, χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός 24 ωρών από τη στιγμή που έγινε αντιληπτό σημαντικό περιστατικό, τυχόν σχετικούς ομολόγους από τα κράτη μέλη οι οποίοι αναφέρονται στο άρθρο 17 παράγραφος 1, στο κράτος μέλος στο οποίο βρίσκεται ο ομόλογος, ότι έχει συμβεί σημαντικό περιστατικό.
4. Οι οντότητες_της_Ένωσης αναφέρουν, μεταξύ άλλων, κάθε πληροφορία που επιτρέπει στην CERT-ΕΕ να προσδιορίσει τυχόν αντίκτυπο μεταξύ οντοτήτων, αντίκτυπο στο κράτος μέλος υποδοχής ή διασυνοριακό αντίκτυπο μετά από σημαντικό περιστατικό. Με την επιφύλαξη του άρθρου 12, η απλή πράξη κοινοποίησης δεν συνεπάγεται αυξημένη ευθύνη της οντότητας της Ένωσης.
5. Κατά περίπτωση, οι οντότητες_της_Ένωσης κοινοποιούν, χωρίς αδικαιολόγητη καθυστέρηση, στους χρήστες των επηρεαζόμενων δικτυακών και πληροφοριακών συστημάτων ή άλλων συνιστωσών του περιβάλλοντος ΤΠΕ, που ενδέχεται να επηρεαστούν από σημαντικό περιστατικό ή σημαντική κυβερνοαπειλή, και, κατά περίπτωση, πρέπει να λάβουν μέτρα μετριασμού, τυχόν μέτρα ή διορθωτικές ενέργειες στις οποίες μπορούν να προβούν για την αντιμετώπιση του εν λόγω περιστατικού ή της εν λόγω απειλής. Κατά περίπτωση, οι οντότητες_της_Ένωσης ενημερώνουν τους εν λόγω χρήστες για την ίδια τη σημαντική κυβερνοαπειλή.
6. Όταν σημαντικό περιστατικό ή σημαντική κυβερνοαπειλή επηρεάζει δικτυακό ή πληροφοριακό σύστημα ή συνιστώσα περιβάλλοντος ΤΠΕ οντότητας της Ένωσης που είναι γνωστό ότι είναι συνδεδεμένη με το περιβάλλον ΤΠΕ άλλης οντότητας της Ένωσης, η CERT-ΕΕ εκδίδει σχετική ειδοποίηση επαγρύπνησης για την κυβερνοασφάλεια.
7. Οι οντότητες_της_Ένωσης, κατόπιν αιτήματος της CERT-ΕΕ και χωρίς αδικαιολόγητη καθυστέρηση, παρέχουν στην CERT-ΕΕ ψηφιακές πληροφορίες που δημιουργούνται από τη χρήση ηλεκτρονικών συσκευών που εμπλέκονται στα αντίστοιχα περιστατικά τους. Η CERT-ΕΕ μπορεί να παρέχει περαιτέρω λεπτομερή στοιχεία σχετικά με τα είδη πληροφοριών που χρειάζεται για την επίγνωση της κατάστασης και την αντιμετώπιση περιστατικών.
8. Η CERT-ΕΕ υποβάλλει ανά τρίμηνο στο ΔΣΚ, στον ENISA, στο EU INTCEN και στο δίκτυο CSIRT συνοπτική έκθεση που περιλαμβάνει ανωνυμοποιημένα και συγκεντρωτικά δεδομένα σχετικά με σημαντικά περιστατικά, περιστατικά, κυβερνοαπειλές, παρ’ ολίγον περιστατικά και ευπάθειες σύμφωνα με το άρθρο 20 και σημαντικά περιστατικά που κοινοποιούνται σύμφωνα με την παράγραφο 2 του παρόντος άρθρου. Η συνοπτική έκθεση παρέχει στοιχεία για την ανά διετία έκθεση σχετικά με την κατάσταση της κυβερνοασφάλειας στην Ένωση που εγκρίνεται σύμφωνα με το άρθρο 18 της οδηγίας (ΕΕ) 2022/2555.
9. Έως τις 8 Ιουλίου 2024, το ΔΣΚ εκδίδει κατευθυντήριες γραμμές ή συστάσεις με τις οποίες προσδιορίζει περαιτέρω τις ρυθμίσεις, τον μορφότυπο και το περιεχόμενο της υποβολής εκθέσεων σύμφωνα με το παρόν άρθρο. Κατά την κατάρτιση των εν λόγω κατευθυντήριων γραμμών ή συστάσεων, το ΔΣΚ λαμβάνει υπόψη τυχόν εκτελεστικές πράξεις που εκδίδονται σύμφωνα με το άρθρο 23 παράγραφος 11 της οδηγίας (ΕΕ) 2022/2555 και καθορίζουν το είδος των πληροφοριών, τον μορφότυπο και τη διαδικασία των κοινοποιήσεων. Η CERT-ΕΕ διαδίδει τις κατάλληλες τεχνικές λεπτομέρειες ώστε να διευκολύνει τις οντότητες_της_Ένωσης στον προδραστικό εντοπισμό, στην αντιμετώπιση περιστατικών ή στην εφαρμογή μέτρων μετριασμού.
10. Οι υποχρεώσεις υποβολής εκθέσεων που ορίζονται στο παρόν άρθρο δεν επεκτείνονται σε:
| α) | ΔΠΕΕ· |
| β) | πληροφορίες των οποίων η περαιτέρω διανομή έχει αποκλειστεί μέσω ορατής σήμανσης, εκτός εάν έχει επιτραπεί ρητά η κοινοποίησή τους στην CERT-ΕΕ. |
Άρθρο 23
Διαχείριση σοβαρών περιστατικών
1. Για την υποστήριξη σε επιχειρησιακό επίπεδο της συντονισμένης διαχείρισης σοβαρών περιστατικών που επηρεάζουν οντότητες_της_Ένωσης και για τη συμβολή στην τακτική ανταλλαγή σχετικών πληροφοριών μεταξύ των οντοτήτων της Ένωσης και με τα κράτη μέλη, το ΔΣΚ καταρτίζει, σύμφωνα με το άρθρο 11 στοιχείο ιζ), σχέδιο διαχείρισης κρίσεων στον κυβερνοχώρο με βάση τις δραστηριότητες που αναφέρονται στο άρθρο 22 παράγραφος 2, σε στενή συνεργασία με την CERT-ΕΕ και τον ENISA. Το σχέδιο διαχείρισης κρίσεων στον κυβερνοχώρο περιλαμβάνει τουλάχιστον τα ακόλουθα στοιχεία:
| α) | ρυθμίσεις σχετικά με τον συντονισμό και τη ροή πληροφοριών μεταξύ των οντοτήτων της Ένωσης για τη διαχείριση σοβαρών περιστατικών σε επιχειρησιακό επίπεδο· |
| β) | κοινές τυποποιημένες επιχειρησιακές διαδικασίες· |
| γ) | κοινή ταξινόμηση της κρισιμότητας των σοβαρών περιστατικών και των σημείων που πυροδοτούν κρίσεις· |
| δ) | τακτικές ασκήσεις· |
| ε | ασφαλείς διαύλους επικοινωνίας που πρέπει να χρησιμοποιούνται. |
2. Ο εκπρόσωπος της Επιτροπής στο ΔΣΚ, με την επιφύλαξη του σχεδίου διαχείρισης κρίσεων στον κυβερνοχώρο που καταρτίζεται σύμφωνα με την παράγραφο 1 του παρόντος άρθρου και με την επιφύλαξη του άρθρου 16 παράγραφος 2 πρώτο εδάφιο της οδηγίας (ΕΕ) 2022/2555, αποτελεί το σημείο επαφής για την ανταλλαγή σχετικών πληροφοριών με το EU-CyCLONe σε σχέση με σοβαρά περιστατικά.
3. Η CERT-ΕΕ συντονίζει μεταξύ των οντοτήτων της Ένωσης τη διαχείριση σοβαρών περιστατικών. Τηρεί κατάλογο της διαθέσιμης τεχνικής εμπειρογνωσίας που απαιτείται για την αντιμετώπιση περιστατικών σε περίπτωση σοβαρών περιστατικών και επικουρεί το ΔΣΚ στον συντονισμό των σχεδίων διαχείρισης κρίσεων στον κυβερνοχώρο των οντοτήτων της Ένωσης για σοβαρά περιστατικά που αναφέρονται στο άρθρο 9 παράγραφος 2.
4. Οι οντότητες_της_Ένωσης συμβάλλουν στην κατάρτιση του καταλόγου τεχνικής εμπειρογνωσίας παρέχοντας και επικαιροποιώντας σε ετήσια βάση κατάλογο των διαθέσιμων εμπειρογνωμόνων στο πλαίσιο των αντίστοιχων οργανισμών τους, στον οποίον αναφέρονται λεπτομερώς οι ειδικές τεχνικές δεξιότητές τους.
ΚΕΦΑΛΑΙΟ VI
ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Άρθρο 24
Αρχική ανακατανομή των πιστώσεων του προϋπολογισμού
Προκειμένου να διασφαλιστεί η ορθή και σταθερή λειτουργία της CERT-ΕΕ, η Επιτροπή μπορεί να προτείνει την ανακατανομή προσωπικού και οικονομικών πόρων στον προϋπολογισμό της Επιτροπής για χρήση σε επιχειρήσεις της CERT-ΕΕ. Η ανακατανομή τίθεται σε εφαρμογή ταυτόχρονα με τον πρώτο ετήσιο προϋπολογισμό της Ένωσης που θα εγκριθεί μετά την έναρξη ισχύος του παρόντος κανονισμού.
whereas