keyboard_tab Cyber Resilience Act 2023/2841 EL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Άρθρο 10 Διοργανικό συμβούλιο κυβερνοασφάλειας
- 1 Άρθρο 15 Επικεφαλής της CERT-ΕΕ
- 3 Άρθρο 17 Συνεργασία της CERT-ΕΕ με τους ομολόγους της από κράτη μέλη
- 6 Άρθρο 18 Συνεργασία της CERT-ΕΕ με άλλους ομολόγους
- 1 Άρθρο 21 Υποχρεώσεις υποβολής εκθέσεων
ΚΕΦΑΛΑΙΟ Ι
ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
ΚΕΦΑΛΑΙΟ ΙΙ
ΜΕΤΡΑ ΓΙΑ ΥΨΗΛΟ ΚΟΙΝΟ ΕΠΙΠΕΔΟ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ
ΚΕΦΑΛΑΙΟ III
ΔΙΟΡΓΑΝΙΚΟ ΣΥΜΒΟΥΛΙΟ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ
ΚΕΦΑΛΑΙΟ IV
CERT-EΕ
ΚΕΦΑΛΑΙΟ V
ΥΠΟΧΡΕΩΣΕΙΣ ΣΥΝΕΡΓΑΣΙΑΣ ΚΑΙ ΥΠΟΒΟΛΗΣ ΑΝΑΦΟΡΩΝ
ΚΕΦΑΛΑΙΟ VI
ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
- οντότητες της Ένωσης
- δικτυακό και πληροφοριακό σύστημα
- ασφάλεια συστημάτων δικτύου και πληροφοριών
- κυβερνοασφάλεια
- ανώτατο διοικητικό επίπεδο
- παρ’ ολίγον περιστατικό
- περιστατικό
- σοβαρό περιστατικό
- περιστατικό μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας
- χειρισμός περιστατικών
- κυβερνοαπειλή
- σημαντική κυβερνοαπειλή
- ευπάθεια
- κίνδυνος κυβερνοασφάλειας
- υπηρεσία υπολογιστικού νέφους
- της 101
- και 76
- του 73
- με 60
- την 52
- το 49
- που 49
- cert-ΕΕ 44
- ΔΣΚ 39
- των 35
- να 31
- από 28
- στο 26
- τις 25
- τον 25
- για 24
- τη 24
- Ένωσης 22
- σύμφωνα 19
- εν 17
- σε 17
- στην 16
- περίπτωση 16
- τα 15
- σχετικά 15
- λόγω 15
- τους 14
- επικεφαλής 13
- άρθρο 13
- έχει 12
- ομολόγους 12
- περιστατικό 12
- μεταξύ 12
- οντότητα 11
- περιστατικά 11
- οι 11
- περιστατικού 11
- σημαντικό 10
- έκθεση 10
- κατά 10
- χωρίς 10
- στον 9
- μέλος 9
- πληροφορίες 9
- κάθε 8
- μπορεί 8
- καθυστέρηση 8
- αναφέρονται 8
- ότι 8
- μέλη 8
Άρθρο 10
Διοργανικό συμβούλιο κυβερνοασφάλειας
1. Ιδρύεται διοργανικό συμβούλιο κυβερνοασφάλειας («ΔΣΚ»).
2. Το ΔΣΚ είναι αρμόδιο για:
| α) | την παρακολούθηση και την υποστήριξη της εφαρμογής του παρόντος κανονισμού από τις οντότητες_της_Ένωσης· |
| β) | την εποπτεία της υλοποίησης των γενικών προτεραιοτήτων και στόχων από την CERT-ΕΕ και την παροχή στρατηγικών κατευθύνσεων στην CERT-ΕΕ. |
3. Το ΔΣΚ αποτελείται από:
| α) | έναν εκπρόσωπο που ορίζει καθένας από τους ακόλουθους φορείς:
|
| β) | τρεις εκπροσώπους τους οποίους ορίζει το Δίκτυο Οργανισμών της ΕΕ («EUAN») βάσει πρότασης της συμβουλευτικής επιτροπής ΤΠΕ του εν λόγω Δικτύου για να εκπροσωπούν τα συμφέροντα των λοιπών οργάνων και οργανισμών της Ένωσης που διαχειρίζονται το δικό τους περιβάλλον ΤΠΕ, πέραν αυτών που αναφέρονται στο στοιχείο α). |
Οι οντότητες_της_Ένωσης που εκπροσωπούνται στο ΔΣΚ επιδιώκουν την επίτευξη ισόρροπης εκπροσώπησης των φύλων μεταξύ των ορισθέντων εκπροσώπων.
4. Τα μέλη του ΔΣΚ μπορούν να επικουρούνται από αναπληρωτή. Ο πρόεδρος μπορεί να προσκαλεί και άλλους εκπροσώπους των οντοτήτων της Ένωσης που αναφέρονται στην παράγραφο 3 ή άλλων οντοτήτων της Ένωσης να παραστούν στις συνεδριάσεις του ΔΣΚ χωρίς δικαίωμα ψήφου.
5. Ο επικεφαλής της CERT-ΕΕ και οι πρόεδροι της Ομάδας Συνεργασίας, του δικτύου CSIRT και του EU-CyCLONe που συγκροτούνται σύμφωνα με τα άρθρα 14, 15 και 16, αντίστοιχα, της οδηγίας (ΕΕ) 2022/2555, ή οι αναπληρωτές τους, μπορούν να συμμετέχουν στις συνεδριάσεις του ΔΣΚ ως παρατηρητές. Σε εξαιρετικές περιπτώσειςΔΣΚ, το ΔΣΚ δύναται, σύμφωνα με τον εσωτερικό κανονισμό του, να αποφασίσει διαφορετικά.
6. Το ΔΣΚ θεσπίζει τον εσωτερικό κανονισμό του.
7. Το ΔΣΚ ορίζει πρόεδρο, σύμφωνα με τον εσωτερικό κανονισμό του, μεταξύ των μελών του για τριετή θητεία. Το πρόσωπο που αναπληρώνει τον πρόεδρο καθίσταται τακτικό μέλος του ΔΣΚ για την ίδια θητεία.
8. Το ΔΣΚ συνεδριάζει τουλάχιστον τρεις φορές ανά έτος με πρωτοβουλία του προέδρου του, κατόπιν αιτήματος της CERT-ΕΕ ή κατόπιν αιτήματος οποιουδήποτε από τα μέλη του.
9. Κάθε μέλος του ΔΣΚ διαθέτει μία ψήφο. Οι αποφάσεις του ΔΣΚ λαμβάνονται με απλή πλειοψηφία, εκτός εάν προβλέπεται διαφορετικά στον παρόντα κανονισμό. Ο πρόεδρος του ΔΣΚ δεν ψηφίζει παρά μόνο σε περίπτωση ισοψηφίας, οπότε υπερισχύει η δική του ψήφος.
10. Το ΔΣΚ δύναται να ενεργεί με απλουστευμένη γραπτή διαδικασία που κινείται σύμφωνα με τον εσωτερικό κανονισμό τουΔΣΚ. Σύμφωνα με τη διαδικασία αυτή, η σχετική απόφαση θεωρείται εγκριθείσα εντός της προθεσμίας που ορίζει ο πρόεδρος, εκτός εάν ένα μέλος διατυπώσει αντιρρήσεις.
11. Η Επιτροπή παρέχει γραμματειακή υποστήριξη στο ΔΣΚ και η γραμματεία είναι υπόλογη στον πρόεδρο του ΔΣΚ.
12. Οι εκπρόσωποι που ορίζονται από το EUAN διαβιβάζουν τις αποφάσεις του ΔΣΚ στα μέλη του EUAN. Κάθε μέλος του EUAN έχει το δικαίωμα να επιστήσει την προσοχή των εν λόγω εκπροσώπων ή του προέδρου του ΔΣΚ σε οποιοδήποτε ζήτημα θεωρεί ότι πρέπει να τεθεί υπόψη του ΔΣΚ.
13. Το ΔΣΚ μπορεί να συγκροτήσει εκτελεστική επιτροπή για να το επικουρεί στο έργο του, και να της αναθέσει ορισμένα από τα καθήκοντα και τις αρμοδιότητές του. Το ΔΣΚ θεσπίζει τον κανονισμό της εκτελεστικής επιτροπής, συμπεριλαμβανομένων των καθηκόντων και εξουσιών της και της θητείας των μελών της.
14. Έως τις 8 Ιανουαρίου 2025 και, στη συνέχεια, σε ετήσια βάση, το ΔΣΚ υποβάλλει έκθεση στο Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο, στην οποία περιγράφεται λεπτομερώς η πρόοδος που έχει σημειωθεί όσον αφορά την εφαρμογή του παρόντος κανονισμού και προσδιορίζεται ιδίως ο βαθμός συνεργασίας της CERT-EΕ με τους ομολόγους της σε κάθε κράτος μέλος. Η έκθεση παρέχει στοιχεία για την ανά διετία έκθεση σχετικά με την κατάσταση της κυβερνοασφάλειας στην Ένωση που εγκρίνεται σύμφωνα με το άρθρο 18 της οδηγίας (ΕΕ) 2022/2555.
Άρθρο 15
Επικεφαλής της CERT-ΕΕ
1. Η Επιτροπή, αφού λάβει την έγκριση πλειοψηφίας δύο τρίτων των μελών του ΔΣΚ, διορίζει τον επικεφαλής της CERT-EΕ. Ζητείται η γνώμη του ΔΣΚ σε όλα τα στάδια της διαδικασίας διορισμού, ιδίως όσον αφορά τη σύνταξη προκηρύξεων κενής θέσης, την εξέταση των αιτήσεων και τον ορισμό των εξεταστικών επιτροπών σε σχέση με την εκάστοτε θέση. Η διαδικασία επιλογής, συμπεριλαμβανομένου του τελικού καταλόγου επικρατέστερων υποψηφίων μεταξύ των οποίων θα επιλεγεί το άτομο που θα διοριστεί στη θέση του επικεφαλής της CERT-ΕΕ, διασφαλίζει τη δίκαιη εκπροσώπηση κάθε φύλου, λαμβανομένων υπόψη των αιτήσεων που έχουν υποβληθεί.
2. Ο επικεφαλής της CERT-ΕΕ είναι αρμόδιος για την εύρυθμη λειτουργία της CERT-ΕΕ και ενεργεί στο πλαίσιο των αρμοδιοτήτων του ρόλου του υπό την καθοδήγηση του ΔΣΚ. Ο επικεφαλής της CERT-ΕΕ υποβάλλει τακτικά εκθέσεις στον πρόεδρο του ΔΣΚ και υποβάλλει ad hoc εκθέσεις στο ΔΣΚ κατόπιν αιτήματός του.
3. Ο επικεφαλής της CERT-ΕΕ συνδράμει τον αρμόδιο κύριο διατάκτη κατά τη σύνταξη της ετήσιας έκθεσης δραστηριοτήτων η οποία περιλαμβάνει δημοσιονομικές και διαχειριστικές πληροφορίες, μεταξύ των οποίων τα αποτελέσματα ελέγχων, και η οποία συντάσσεται βάσει του άρθρου 74 παράγραφος 9 του κανονισμού (ΕΕ, Ευρατόμ) 2018/1046 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (9), και υποβάλλει τακτικά εκθέσεις στον κύριο διατάκτη σχετικά με την εφαρμογή των μέτρων για τα οποία έχει ανατεθεί αρμοδιότητα στον επικεφαλής της CERT-ΕΕ.
4. Ο επικεφαλής της CERT-ΕΕ καταρτίζει, σε ετήσια βάση, οικονομικό προγραμματισμό των διοικητικών εσόδων και δαπανών για τις δραστηριότητές της, το προτεινόμενο ετήσιο πρόγραμμα εργασίας, τον προτεινόμενο κατάλογο υπηρεσιών για την CERT-ΕΕ, προτεινόμενες αναθεωρήσεις του καταλόγου υπηρεσιών, προτεινόμενες ρυθμίσεις για συμφωνίες σε επίπεδο υπηρεσιών και προτεινόμενους ΒΔΕ για τη CERT-EΕ, που πρέπει να εγκριθούν από το ΔΣΚ σύμφωνα με το άρθρο 11. Κατά την αναθεώρηση του καταλόγου υπηρεσιών της CERT-ΕΕ, ο επικεφαλής της CERT-ΕΕ λαμβάνει υπόψη τους πόρους που διατίθενται στη CERT-EΕ.
5. Ο επικεφαλής της CERT-ΕΕ υποβάλλει εκθέσεις, τουλάχιστον σε ετήσια βάση, στο ΔΣΚ και στον πρόεδρο του ΔΣΚ σχετικά με τις δραστηριότητες και τις επιδόσεις της CERT-ΕΕ κατά την περίοδο αναφοράς, μεταξύ άλλων όσον αφορά την εκτέλεση του προϋπολογισμού, τις συμφωνίες επιπέδου υπηρεσιών και τις γραπτές συμφωνίες που έχουν συναφθεί, τη συνεργασία με ομολόγους και εταίρους, καθώς και σχετικά με τις αποστολές που αναλαμβάνει το προσωπικό, συμπεριλαμβανομένων των εκθέσεων που αναφέρονται στο άρθρο 11. Οι εν λόγω εκθέσεις περιλαμβάνουν το πρόγραμμα εργασίας για την επόμενη περίοδο, τον δημοσιονομικό προγραμματισμό των εσόδων και των δαπανών, συμπεριλαμβανομένης της στελέχωσης, τις προγραμματισμένες επικαιροποιήσεις του καταλόγου υπηρεσιών της CERT-ΕΕ και αξιολόγηση του αναμενόμενου αντικτύπου που ενδέχεται να έχουν οι εν λόγω επικαιροποιήσεις όσον αφορά τους οικονομικούς και ανθρώπινους πόρους.
Άρθρο 17
Συνεργασία της CERT-ΕΕ με τους ομολόγους της από κράτη μέλη
1. Η CERT-ΕΕ συνεργάζεται και ανταλλάσσει πληροφορίες, χωρίς αδικαιολόγητη καθυστέρηση, με ομολόγους από κράτη μέλη, ιδίως τις CSIRT που ορίζονται ή συγκροτούνται σύμφωνα με το άρθρο 10 της οδηγίας (ΕΕ) 2022/2555 ή, κατά περίπτωση, τις αρμόδιες αρχές και τα ενιαία σημεία επαφής που ορίζονται ή συγκροτούνται σύμφωνα με το άρθρο 8 της εν λόγω οδηγίας, σχετικά με περιστατικά, κυβερνοαπειλές, ευπάθειες, παρ’ ολίγον περιστατικά, πιθανά αντίμετρα, καθώς και βέλτιστες πρακτικές και όλα τα θέματα που αφορούν τη βελτίωση της προστασίας των περιβαλλόντων ΤΠΕ των οντοτήτων της Ένωσης, μεταξύ άλλων μέσω του δικτύου CSIRT που συγκροτείται σύμφωνα με το άρθρο 15 της οδηγίας (ΕΕ) 2022/2555. Η CERT-ΕΕ στηρίζει την Επιτροπή στο EU-CyCLONe που συγκροτείται σύμφωνα με το άρθρο 16 της οδηγίας (ΕΕ) 2022/2555 για τη συντονισμένη διαχείριση περιστατικών και κρίσεων μεγάλης κλίμακας στον κυβερνοχώρο.
2. Όταν η CERT-EU αντιλαμβάνεται σημαντικό περιστατικό που λαμβάνει χώρα στην επικράτεια ενός κράτους μέλους, ενημερώνει, χωρίς καθυστέρηση, κάθε σχετικό ομόλογό της στο εν λόγω κράτος μέλος, σύμφωνα με την παράγραφο 1.
3. Υπό την προϋπόθεση ότι τα δεδομένα προσωπικού χαρακτήρα προστατεύονται σύμφωνα με την ισχύουσα νομοθεσία της Ένωσης για την προστασία των δεδομένων, η CERT-ΕΕ ανταλλάσσει με ομολόγους της από κράτη μέλη, χωρίς αδικαιολόγητη καθυστέρηση, σχετικές πληροφορίες που αφορούν συγκεκριμένα περιστατικά οι οποίες διευκολύνουν τον εντοπισμό παρόμοιων κυβερνοαπειλών ή περιστατικών, ή συμβάλλουν στην ανάλυση περιστατικού, χωρίς την άδεια της θιγόμενης οντότητας της Ένωσης. Η CERT-ΕΕ ανταλλάσσει πληροφορίες σχετικά με συγκεκριμένα περιστατικά που αποκαλύπτουν την ταυτότητα του στόχου του περιστατικού μόνο όταν συντρέχει μία από τις ακόλουθες περιπτώσεις:
| α) | η θιγόμενη οντότητα της Ένωσης δίνει τη συγκατάθεσή της· |
| β) | η θιγόμενη οντότητα της Ένωσης δεν δίνει τη συγκατάθεσή της όπως προβλέπεται στο στοιχείο α), αλλά η γνωστοποίηση της ταυτότητας της θιγόμενης οντότητας της Ένωσης θα αύξανε την πιθανότητα αποφυγής ή μετριασμού περιστατικών αλλού· |
| γ) | η θιγόμενη οντότητα της Ένωσης έχει ήδη δημοσιοποιήσει ότι επηρεάστηκε. |
Οι αποφάσεις για την ανταλλαγή πληροφοριών σχετικά με συγκεκριμένα περιστατικά οι οποίες αποκαλύπτουν την ταυτότητα του στόχου του περιστατικού σύμφωνα με το πρώτο εδάφιο στοιχείο β), εγκρίνονται από τον επικεφαλής της CERT-ΕΕ. Πριν από την έκδοση της εν λόγω απόφασης, η CERT-ΕΕ επικοινωνεί γραπτώς με τη θιγόμενη οντότητα της Ένωσης, εξηγώντας με σαφήνεια τον τρόπο με τον οποίο η γνωστοποίησή της ταυτότητάς της θα συνέβαλε στην αποφυγή ή τον μετριασμό περιστατικών αλλού. Ο επικεφαλής της CERT-ΕΕ παρέχει τις εξηγήσεις και ζητεί ρητά από την οντότητα της Ένωσης να δηλώσει εάν δίνει τη συγκατάθεσή της εντός καθορισμένης προθεσμίας. Ο επικεφαλής της CERT-ΕΕ ενημερώνει επίσης την οντότητα της Ένωσης ότι, υπό το πρίσμα των εξηγήσεων που παρέχονται, διατηρεί το δικαίωμα να γνωστοποιήσει τις πληροφορίες ακόμη και ελλείψει συγκατάθεσης. Η θιγόμενη οντότητα της Ένωσης ενημερώνεται πριν από τη γνωστοποίηση των πληροφοριών.
Άρθρο 18
Συνεργασία της CERT-ΕΕ με άλλους ομολόγους
1. Η CERT-ΕΕ μπορεί να συνεργάζεται με ομολόγους της στην Ένωση πέραν αυτών που αναφέρονται στο άρθρο 17 οι οποίοι υπόκεινται σε ενωσιακές απαιτήσεις κυβερνοασφάλειας, συμπεριλαμβανομένων ομολόγων ανά κλάδο, σχετικά με εργαλεία και μεθόδους, όπως τεχνικές, τακτικές, διαδικασίες και βέλτιστες πρακτικές, καθώς και σχετικά με κυβερνοαπειλές και ευπάθειες. Για κάθε συνεργασία με τους εν λόγω ομολόγους, η CERT-ΕΕ ζητεί την προηγούμενη έγκριση του ΔΣΚ κατά περίπτωση. Όταν η CERT-ΕΕ αναπτύσσει συνεργασία με ομολόγους αυτού του είδους, ενημερώνει τυχόν σχετικούς ομολόγους από τα κράτη μέλη οι οποίοι αναφέρονται στο άρθρο 17 παράγραφος 1, στο κράτος μέλος στο οποίο βρίσκεται ο ομόλογος. Κατά περίπτωση και όπου κρίνεται σκόπιμο, η εν λόγω συνεργασία και οι όροι της, μεταξύ άλλων όσον αφορά την κυβερνοασφάλεια, την προστασία των δεδομένων και τον χειρισμό πληροφοριών, θεσπίζονται με ειδικές ρυθμίσεις εμπιστευτικότητας, όπως συμβάσεις ή διοικητικές ρυθμίσεις. Για τις ρυθμίσεις εμπιστευτικότητας δεν απαιτείται εκ των προτέρων έγκριση από το ΔΣΚ, αλλά ο πρόεδρός του πρέπει να ενημερώνεται σχετικά. Σε περίπτωση επείγουσας και άμεσης ανάγκης ανταλλαγής πληροφοριών κυβερνοασφάλειας προς το συμφέρον οντοτήτων της Ένωσης ή άλλου μέρους, η CERT-ΕΕ μπορεί να προβεί σε τέτοια συνεργασία με οντότητα της οποίας η ειδική αρμοδιότητα, ικανότητα και εμπειρογνωσία απαιτούνται δικαιολογημένα για τη συνδρομή στην εν λόγω επείγουσα και άμεση ανάγκη, ακόμη και αν η CERT-ΕΕ δεν έχει συνάψει ρύθμιση εμπιστευτικότητας με την εν λόγω οντότητα. Στις περιπτώσεις αυτές, η CERT-ΕΕ ενημερώνει αμέσως τον πρόεδρο του ΔΣΚ και ενημερώνει το ΔΣΚ μέσω τακτικών εκθέσεων ή συνεδριάσεων.
2. Η CERT-ΕΕ μπορεί να συνεργάζεται με άλλους εταίρους, όπως εμπορικές οντότητες, συμπεριλαμβανομένων των βιομηχανικών οντοτήτων ανά τομέα, διεθνείς οργανισμούς, εθνικές οντότητες εκτός Ευρωπαϊκής Ένωσης ή μεμονωμένους εμπειρογνώμονες, για τη συλλογή πληροφοριών σχετικά με γενικές και ειδικές κυβερνοαπειλές, παρ’ ολίγον περιστατικά, ευπάθειες και πιθανά αντίμετρα. Για ευρύτερη συνεργασία με τους εταίρους αυτούς, η CERT-ΕΕ ζητεί την προηγούμενη έγκριση του ΔΣΚ κατά περίπτωση.
3. Η CERT-ΕΕ μπορεί, με τη συγκατάθεση της οντότητας της Ένωσης που επηρεάζεται από περιστατικό και υπό την προϋπόθεση ότι έχει συναφθεί συμφωνία ή σύμβαση τήρησης του απορρήτου με τον σχετικό ομόλογο ή εταίρο, να παρέχει πληροφορίες σχετικά με το συγκεκριμένο περιστατικό σε ομολόγους ή εταίρους που αναφέρονται στις παραγράφους 1 και 2 αποκλειστικά με σκοπό να συμβάλει στην ανάλυσή του.
ΚΕΦΑΛΑΙΟ V
ΥΠΟΧΡΕΩΣΕΙΣ ΣΥΝΕΡΓΑΣΙΑΣ ΚΑΙ ΥΠΟΒΟΛΗΣ ΑΝΑΦΟΡΩΝ
Άρθρο 21
Υποχρεώσεις υποβολής εκθέσεων
1. Ένα περιστατικό θεωρείται σημαντικό εάν:
| α) | έχει προκαλέσει ή είναι σε θέση να προκαλέσει σοβαρή λειτουργική διατάραξη ή οικονομική ζημία στην οικεία οντότητα της Ένωσης· |
| β) | έχει επηρεάσει ή μπορεί να επηρεάσει άλλα φυσικά ή νομικά πρόσωπα προκαλώντας σημαντική υλική ή μη υλική ζημία. |
2. Οι οντότητες_της_Ένωσης υποβάλλουν στη CERT-EΕ:
| α) | χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός 24 ωρών από τη στιγμή που έγινε αντιληπτό το σημαντικό περιστατικό, έγκαιρη προειδοποίηση, η οποία, κατά περίπτωση, αναφέρει αν υπάρχει υποψία ότι το σημαντικό περιστατικό προκλήθηκε από έκνομες ή κακόβουλες ενέργειες ή θα μπορούσε να έχει αντίκτυπο μεταξύ οντοτήτων ή διασυνοριακό αντίκτυπο· |
| β) | χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός 72 ωρών από τη στιγμή που έγινε αντιληπτό το σημαντικό περιστατικό, κοινοποίηση περιστατικού, η οποία, κατά περίπτωση, επικαιροποιεί τις πληροφορίες που αναφέρονται στο στοιχείο α) και αναφέρει μια αρχική αξιολόγηση του σημαντικού περιστατικού, μεταξύ άλλων της σοβαρότητας και του αντικτύπου του, καθώς και, εφόσον υπάρχουν, τις ενδείξεις της προσβολής· |
| γ) | κατόπιν αιτήματος της CERT-ΕΕ, ενδιάμεση έκθεση όσον αφορά τις σχετικές επικαιροποιήσεις της κατάστασης· |
| δ) | τελική έκθεση το αργότερο ένα μήνα μετά την υποβολή της κοινοποίησης περιστατικού σύμφωνα με το στοιχείο β), η οποία περιλαμβάνει τα ακόλουθα:
|
| ε) | σε περίπτωση εν εξελίξει περιστατικού κατά τον χρόνο υποβολής της τελικής έκθεσης που αναφέρεται στο στοιχείο δ), έκθεση προόδου τη δεδομένη στιγμή και τελική έκθεση εντός ενός μηνός από τον εκ μέρους τους χειρισμό του περιστατικού. |
3. Μια οντότητα της Ένωσης ενημερώνει, χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός 24 ωρών από τη στιγμή που έγινε αντιληπτό σημαντικό περιστατικό, τυχόν σχετικούς ομολόγους από τα κράτη μέλη οι οποίοι αναφέρονται στο άρθρο 17 παράγραφος 1, στο κράτος μέλος στο οποίο βρίσκεται ο ομόλογος, ότι έχει συμβεί σημαντικό περιστατικό.
4. Οι οντότητες_της_Ένωσης αναφέρουν, μεταξύ άλλων, κάθε πληροφορία που επιτρέπει στην CERT-ΕΕ να προσδιορίσει τυχόν αντίκτυπο μεταξύ οντοτήτων, αντίκτυπο στο κράτος μέλος υποδοχής ή διασυνοριακό αντίκτυπο μετά από σημαντικό περιστατικό. Με την επιφύλαξη του άρθρου 12, η απλή πράξη κοινοποίησης δεν συνεπάγεται αυξημένη ευθύνη της οντότητας της Ένωσης.
5. Κατά περίπτωση, οι οντότητες_της_Ένωσης κοινοποιούν, χωρίς αδικαιολόγητη καθυστέρηση, στους χρήστες των επηρεαζόμενων δικτυακών και πληροφοριακών συστημάτων ή άλλων συνιστωσών του περιβάλλοντος ΤΠΕ, που ενδέχεται να επηρεαστούν από σημαντικό περιστατικό ή σημαντική κυβερνοαπειλή, και, κατά περίπτωση, πρέπει να λάβουν μέτρα μετριασμού, τυχόν μέτρα ή διορθωτικές ενέργειες στις οποίες μπορούν να προβούν για την αντιμετώπιση του εν λόγω περιστατικού ή της εν λόγω απειλής. Κατά περίπτωση, οι οντότητες_της_Ένωσης ενημερώνουν τους εν λόγω χρήστες για την ίδια τη σημαντική κυβερνοαπειλή.
6. Όταν σημαντικό περιστατικό ή σημαντική κυβερνοαπειλή επηρεάζει δικτυακό ή πληροφοριακό σύστημα ή συνιστώσα περιβάλλοντος ΤΠΕ οντότητας της Ένωσης που είναι γνωστό ότι είναι συνδεδεμένη με το περιβάλλον ΤΠΕ άλλης οντότητας της Ένωσης, η CERT-ΕΕ εκδίδει σχετική ειδοποίηση επαγρύπνησης για την κυβερνοασφάλεια.
7. Οι οντότητες_της_Ένωσης, κατόπιν αιτήματος της CERT-ΕΕ και χωρίς αδικαιολόγητη καθυστέρηση, παρέχουν στην CERT-ΕΕ ψηφιακές πληροφορίες που δημιουργούνται από τη χρήση ηλεκτρονικών συσκευών που εμπλέκονται στα αντίστοιχα περιστατικά τους. Η CERT-ΕΕ μπορεί να παρέχει περαιτέρω λεπτομερή στοιχεία σχετικά με τα είδη πληροφοριών που χρειάζεται για την επίγνωση της κατάστασης και την αντιμετώπιση περιστατικών.
8. Η CERT-ΕΕ υποβάλλει ανά τρίμηνο στο ΔΣΚ, στον ENISA, στο EU INTCEN και στο δίκτυο CSIRT συνοπτική έκθεση που περιλαμβάνει ανωνυμοποιημένα και συγκεντρωτικά δεδομένα σχετικά με σημαντικά περιστατικά, περιστατικά, κυβερνοαπειλές, παρ’ ολίγον περιστατικά και ευπάθειες σύμφωνα με το άρθρο 20 και σημαντικά περιστατικά που κοινοποιούνται σύμφωνα με την παράγραφο 2 του παρόντος άρθρου. Η συνοπτική έκθεση παρέχει στοιχεία για την ανά διετία έκθεση σχετικά με την κατάσταση της κυβερνοασφάλειας στην Ένωση που εγκρίνεται σύμφωνα με το άρθρο 18 της οδηγίας (ΕΕ) 2022/2555.
9. Έως τις 8 Ιουλίου 2024, το ΔΣΚ εκδίδει κατευθυντήριες γραμμές ή συστάσεις με τις οποίες προσδιορίζει περαιτέρω τις ρυθμίσεις, τον μορφότυπο και το περιεχόμενο της υποβολής εκθέσεων σύμφωνα με το παρόν άρθρο. Κατά την κατάρτιση των εν λόγω κατευθυντήριων γραμμών ή συστάσεων, το ΔΣΚ λαμβάνει υπόψη τυχόν εκτελεστικές πράξεις που εκδίδονται σύμφωνα με το άρθρο 23 παράγραφος 11 της οδηγίας (ΕΕ) 2022/2555 και καθορίζουν το είδος των πληροφοριών, τον μορφότυπο και τη διαδικασία των κοινοποιήσεων. Η CERT-ΕΕ διαδίδει τις κατάλληλες τεχνικές λεπτομέρειες ώστε να διευκολύνει τις οντότητες_της_Ένωσης στον προδραστικό εντοπισμό, στην αντιμετώπιση περιστατικών ή στην εφαρμογή μέτρων μετριασμού.
10. Οι υποχρεώσεις υποβολής εκθέσεων που ορίζονται στο παρόν άρθρο δεν επεκτείνονται σε:
| α) | ΔΠΕΕ· |
| β) | πληροφορίες των οποίων η περαιτέρω διανομή έχει αποκλειστεί μέσω ορατής σήμανσης, εκτός εάν έχει επιτραπεί ρητά η κοινοποίησή τους στην CERT-ΕΕ. |
whereas