keyboard_tab Cyber Resilience Act 2023/2841 EL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 11 Άρθρο 3 Ορισμοί
- 1 Άρθρο 10 Διοργανικό συμβούλιο κυβερνοασφάλειας
- 1 Άρθρο 13 Αποστολή και καθήκοντα της CERT-ΕΕ
ΚΕΦΑΛΑΙΟ Ι
ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
ΚΕΦΑΛΑΙΟ ΙΙ
ΜΕΤΡΑ ΓΙΑ ΥΨΗΛΟ ΚΟΙΝΟ ΕΠΙΠΕΔΟ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ
ΚΕΦΑΛΑΙΟ III
ΔΙΟΡΓΑΝΙΚΟ ΣΥΜΒΟΥΛΙΟ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ
ΚΕΦΑΛΑΙΟ IV
CERT-EΕ
ΚΕΦΑΛΑΙΟ V
ΥΠΟΧΡΕΩΣΕΙΣ ΣΥΝΕΡΓΑΣΙΑΣ ΚΑΙ ΥΠΟΒΟΛΗΣ ΑΝΑΦΟΡΩΝ
ΚΕΦΑΛΑΙΟ VI
ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
- οντότητες της Ένωσης
- δικτυακό και πληροφοριακό σύστημα
- ασφάλεια συστημάτων δικτύου και πληροφοριών
- κυβερνοασφάλεια
- ανώτατο διοικητικό επίπεδο
- παρ’ ολίγον περιστατικό
- περιστατικό
- σοβαρό περιστατικό
- περιστατικό μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας
- χειρισμός περιστατικών
- κυβερνοαπειλή
- σημαντική κυβερνοαπειλή
- ευπάθεια
- κίνδυνος κυβερνοασφάλειας
- υπηρεσία υπολογιστικού νέφους
- της 81
- και 56
- του 48
- με 44
- την 38
- που 34
- των 33
- το 30
- για 27
- ΔΣΚ 27
- να 26
- στο 24
- Ένωσης 24
- σε 24
- τις 18
- cert-ΕΕ 18
- άρθρο 17
- στην 15
- τον 15
- στον 14
- κυβερνοασφάλειας 12
- όπως 12
- οντοτήτων 12
- τη 12
- ορίζεται 12
- από 11
- Η 11
- σύμφωνα 10
- οδηγίας 10
- σημείο 10
- μπορεί 9
- τους 9
- αφορά 9
- ΕΕ /· 8
- κανονισμού 8
- οντότητες_της_Ένωσης 8
- πληροφορίες 7
- όσον 7
- Το 7
- ΤΠΕ 7
- κανονισμό 7
- περιστατικών 6
- Ευρωπαϊκής 6
- Ευρωπαϊκή 6
- τα 6
- παρέχει 6
- οντότητας 6
- υπηρεσιών 6
- συνεργασία 6
- παρόντος 6
Άρθρο 3
Ορισμοί
Για τους σκοπούς του παρόντος κανονισμού, ισχύουν οι ακόλουθοι ορισμοί:
| 1) | « οντότητες_της_Ένωσης»: τα θεσμικά και λοιπά όργανα και οργανισμοί της Ένωσης που έχουν ιδρυθεί με τη Συνθήκη για την Ευρωπαϊκή Ένωση, τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ) ή τη Συνθήκη για την ίδρυση της Ευρωπαϊκής Κοινότητας Ατομικής Ενέργειας, ή δυνάμει των Συνθηκών αυτών· |
| 2) | « δικτυακό_και_πληροφοριακό_σύστημα»: το δικτυακό_και_πληροφοριακό_σύστημα όπως ορίζεται στο άρθρο 6 σημείο 1) της οδηγίας (ΕΕ) 2022/2555· |
| 3) | « ασφάλεια_συστημάτων_δικτύου_και_πληροφοριών»: η ασφάλεια_συστημάτων_δικτύου_και_πληροφοριών όπως ορίζεται στο άρθρο 6 σημείο 2) της οδηγίας (EΕ) 2022/2555· |
| 4) | « κυβερνοασφάλεια»: η κυβερνοασφάλεια όπως ορίζεται στο άρθρο 2 σημείο 1) του κανονισμού (ΕΕ) 2019/881· |
| 5) | « ανώτατο_διοικητικό_επίπεδο»: διοικητικό στέλεχος, όργανο διοίκησης ή όργανο συντονισμού και εποπτείας αρμόδιο για τη λειτουργία οντότητας της Ένωσης, στο ανώτερο διοικητικό επίπεδο, με εντολή να εκδίδει ή να εγκρίνει αποφάσεις σύμφωνα με τις ρυθμίσεις διακυβέρνησης υψηλού επιπέδου της εν λόγω οντότητας της Ένωσης και με την επιφύλαξη των τυπικών αρμοδιοτήτων άλλων επιπέδων διοίκησης όσον αφορά τη συμμόρφωση και τη διαχείριση κινδύνων κυβερνοασφάλειας στους αντίστοιχους τομείς αρμοδιότητάς τους· |
| 6) | « παρ’_ολίγον_ περιστατικό»: το παρ’_ολίγον_ περιστατικό όπως ορίζεται στο άρθρο 6 σημείο 5) της οδηγίας (ΕΕ) 2022/2555· |
| 7) | « περιστατικό»: το περιστατικό όπως ορίζεται στο άρθρο 6 σημείο 6) της οδηγίας (ΕΕ) 2022/2555· |
| 8) | «σοβαρό περιστατικό»: κάθε περιστατικό που προκαλεί διαταραχή η οποία υπερβαίνει την ικανότητα μιας οντότητας της Ένωσης και της CERT-EE να ανταποκριθεί σε αυτήν ή που έχει σημαντικό αντίκτυπο σε τουλάχιστον δύο οντότητες_της_Ένωσης· |
| 9) | « περιστατικό μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας»: το περιστατικό μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας όπως ορίζεται στο άρθρο 6 σημείο 7) της οδηγίας (ΕΕ) 2022/2555· |
| 10) | « χειρισμός_περιστατικών»: ο χειρισμός_περιστατικών όπως ορίζεται στο άρθρο 6 σημείο 8) της οδηγίας (ΕΕ) 2022/2555· |
| 11) | « κυβερνοαπειλή»: η κυβερνοαπειλή όπως ορίζεται στο άρθρο 2 σημείο 8) του κανονισμού (ΕΕ) 2019/881· |
| 12) | «σημαντική κυβερνοαπειλή»: η σημαντική κυβερνοαπειλή όπως ορίζεται στο άρθρο 6 σημείο 11) της οδηγίας (ΕΕ) 2022/2555· |
| 13) | « ευπάθεια»: η ευπάθεια όπως ορίζεται στο άρθρο 6 σημείο 15 της οδηγίας (ΕΕ) 2022/2555· |
| 14) | «κίνδυνος κυβερνοασφάλειας»: ο κίνδυνος όπως ορίζεται στο άρθρο 6 σημείο 9) της οδηγίας (ΕΕ) 2022/2555· |
| 15) | « υπηρεσία_υπολογιστικού_νέφους»: η υπηρεσία_υπολογιστικού_νέφους όπως περιγράφεται στο άρθρο 6 σημείο 30) της οδηγίας (ΕΕ) 2022/2555. |
Άρθρο 10
Διοργανικό συμβούλιο κυβερνοασφάλειας
1. Ιδρύεται διοργανικό συμβούλιο κυβερνοασφάλειας («ΔΣΚ»).
2. Το ΔΣΚ είναι αρμόδιο για:
| α) | την παρακολούθηση και την υποστήριξη της εφαρμογής του παρόντος κανονισμού από τις οντότητες_της_Ένωσης· |
| β) | την εποπτεία της υλοποίησης των γενικών προτεραιοτήτων και στόχων από την CERT-ΕΕ και την παροχή στρατηγικών κατευθύνσεων στην CERT-ΕΕ. |
3. Το ΔΣΚ αποτελείται από:
| α) | έναν εκπρόσωπο που ορίζει καθένας από τους ακόλουθους φορείς:
|
| β) | τρεις εκπροσώπους τους οποίους ορίζει το Δίκτυο Οργανισμών της ΕΕ («EUAN») βάσει πρότασης της συμβουλευτικής επιτροπής ΤΠΕ του εν λόγω Δικτύου για να εκπροσωπούν τα συμφέροντα των λοιπών οργάνων και οργανισμών της Ένωσης που διαχειρίζονται το δικό τους περιβάλλον ΤΠΕ, πέραν αυτών που αναφέρονται στο στοιχείο α). |
Οι οντότητες_της_Ένωσης που εκπροσωπούνται στο ΔΣΚ επιδιώκουν την επίτευξη ισόρροπης εκπροσώπησης των φύλων μεταξύ των ορισθέντων εκπροσώπων.
4. Τα μέλη του ΔΣΚ μπορούν να επικουρούνται από αναπληρωτή. Ο πρόεδρος μπορεί να προσκαλεί και άλλους εκπροσώπους των οντοτήτων της Ένωσης που αναφέρονται στην παράγραφο 3 ή άλλων οντοτήτων της Ένωσης να παραστούν στις συνεδριάσεις του ΔΣΚ χωρίς δικαίωμα ψήφου.
5. Ο επικεφαλής της CERT-ΕΕ και οι πρόεδροι της Ομάδας Συνεργασίας, του δικτύου CSIRT και του EU-CyCLONe που συγκροτούνται σύμφωνα με τα άρθρα 14, 15 και 16, αντίστοιχα, της οδηγίας (ΕΕ) 2022/2555, ή οι αναπληρωτές τους, μπορούν να συμμετέχουν στις συνεδριάσεις του ΔΣΚ ως παρατηρητές. Σε εξαιρετικές περιπτώσειςΔΣΚ, το ΔΣΚ δύναται, σύμφωνα με τον εσωτερικό κανονισμό του, να αποφασίσει διαφορετικά.
6. Το ΔΣΚ θεσπίζει τον εσωτερικό κανονισμό του.
7. Το ΔΣΚ ορίζει πρόεδρο, σύμφωνα με τον εσωτερικό κανονισμό του, μεταξύ των μελών του για τριετή θητεία. Το πρόσωπο που αναπληρώνει τον πρόεδρο καθίσταται τακτικό μέλος του ΔΣΚ για την ίδια θητεία.
8. Το ΔΣΚ συνεδριάζει τουλάχιστον τρεις φορές ανά έτος με πρωτοβουλία του προέδρου του, κατόπιν αιτήματος της CERT-ΕΕ ή κατόπιν αιτήματος οποιουδήποτε από τα μέλη του.
9. Κάθε μέλος του ΔΣΚ διαθέτει μία ψήφο. Οι αποφάσεις του ΔΣΚ λαμβάνονται με απλή πλειοψηφία, εκτός εάν προβλέπεται διαφορετικά στον παρόντα κανονισμό. Ο πρόεδρος του ΔΣΚ δεν ψηφίζει παρά μόνο σε περίπτωση ισοψηφίας, οπότε υπερισχύει η δική του ψήφος.
10. Το ΔΣΚ δύναται να ενεργεί με απλουστευμένη γραπτή διαδικασία που κινείται σύμφωνα με τον εσωτερικό κανονισμό τουΔΣΚ. Σύμφωνα με τη διαδικασία αυτή, η σχετική απόφαση θεωρείται εγκριθείσα εντός της προθεσμίας που ορίζει ο πρόεδρος, εκτός εάν ένα μέλος διατυπώσει αντιρρήσεις.
11. Η Επιτροπή παρέχει γραμματειακή υποστήριξη στο ΔΣΚ και η γραμματεία είναι υπόλογη στον πρόεδρο του ΔΣΚ.
12. Οι εκπρόσωποι που ορίζονται από το EUAN διαβιβάζουν τις αποφάσεις του ΔΣΚ στα μέλη του EUAN. Κάθε μέλος του EUAN έχει το δικαίωμα να επιστήσει την προσοχή των εν λόγω εκπροσώπων ή του προέδρου του ΔΣΚ σε οποιοδήποτε ζήτημα θεωρεί ότι πρέπει να τεθεί υπόψη του ΔΣΚ.
13. Το ΔΣΚ μπορεί να συγκροτήσει εκτελεστική επιτροπή για να το επικουρεί στο έργο του, και να της αναθέσει ορισμένα από τα καθήκοντα και τις αρμοδιότητές του. Το ΔΣΚ θεσπίζει τον κανονισμό της εκτελεστικής επιτροπής, συμπεριλαμβανομένων των καθηκόντων και εξουσιών της και της θητείας των μελών της.
14. Έως τις 8 Ιανουαρίου 2025 και, στη συνέχεια, σε ετήσια βάση, το ΔΣΚ υποβάλλει έκθεση στο Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο, στην οποία περιγράφεται λεπτομερώς η πρόοδος που έχει σημειωθεί όσον αφορά την εφαρμογή του παρόντος κανονισμού και προσδιορίζεται ιδίως ο βαθμός συνεργασίας της CERT-EΕ με τους ομολόγους της σε κάθε κράτος μέλος. Η έκθεση παρέχει στοιχεία για την ανά διετία έκθεση σχετικά με την κατάσταση της κυβερνοασφάλειας στην Ένωση που εγκρίνεται σύμφωνα με το άρθρο 18 της οδηγίας (ΕΕ) 2022/2555.
Άρθρο 13
Αποστολή και καθήκοντα της CERT-ΕΕ
1. Αποστολή της CERT-ΕΕ είναι να συμβάλλει στην ασφάλεια του μη διαβαθμισμένου περιβάλλοντος ΤΠΕ των οντοτήτων της Ένωσης παρέχοντας σε αυτές συμβουλές σχετικά με την κυβερνοασφάλεια, συμβάλλοντας στην πρόληψη, στον εντοπισμό, στον χειρισμό, στον μετριασμό και στην αντιμετώπιση περιστατικών, καθώς και στην ανάκαμψη από περιστατικά, και λειτουργώντας για αυτές ως κόμβος συντονισμού για την ανταλλαγή πληροφοριών και την αντιμετώπιση περιστατικών στον τομέα της κυβερνοασφάλειας.
2. Η CERT-EΕ συγκεντρώνει, διαχειρίζεται, αναλύει και ανταλλάσσει πληροφορίες με τις οντότητες_της_Ένωσης σχετικά με κυβερνοαπειλές, ευπάθειες και περιστατικά σε μη διαβαθμισμένες υποδομές ΤΠΕ. Συντονίζει την αντιμετώπιση περιστατικών σε διοργανικό επίπεδο και σε επίπεδο οντοτήτων της Ένωσης, μεταξύ άλλων παρέχοντας εξειδικευμένη επιχειρησιακή βοήθεια ή συντονίζοντας την παροχή της.
3. Η CERT-ΕΕ εκτελεί τα ακόλουθα καθήκοντα για να συνδράμει τις οντότητες_της_Ένωσης:
| α) | τις στηρίζει κατά την εφαρμογή του παρόντος κανονισμού και συμβάλλει στον συντονισμό της εφαρμογής του παρόντος κανονισμού μέσω των μέτρων που παρατίθενται στο άρθρο 14 παράγραφος 1 ή μέσω ad-hoc εκθέσεων τις οποίες ζητά το ΔΣΚ· |
| β) | προσφέρει τυπικές υπηρεσίες CSIRT για τις οντότητες_της_Ένωσης μέσω δέσμης υπηρεσιών κυβερνοασφάλειας που περιγράφονται στον κατάλογο υπηρεσιών της («βασικές υπηρεσίες»)· |
| γ) | διατηρεί δίκτυο ομοτίμων και εταίρων για τη στήριξη των υπηρεσιών που περιγράφονται στα άρθρα 17 και 18· |
| δ) | εφιστά την προσοχή του ΔΣΚ σε κάθε πρόβλημα που αφορά την εφαρμογή του παρόντος κανονισμού και την εφαρμογή των κατευθυντήριων γραμμών, των συστάσεων και των εκκλήσεων για ανάληψη δράσης· |
| ε) | με βάση τις πληροφορίες που αναφέρονται στην παράγραφο 2, συμβάλλει στην επίγνωση της κατάστασης στον κυβερνοχώρο στην Ένωσης σε στενή συνεργασία με τον ENISA· |
| στ) | συντονίζει τη διαχείριση σοβαρών περιστατικών· |
| ζ) | ενεργεί εκ μέρους των οντοτήτων της Ένωσης ως το αντίστοιχο όργανο του συντονιστή που ορίζεται για τους σκοπούς της συντονισμένης γνωστοποίησης ευπαθειών σύμφωνα με το άρθρο 12 παράγραφος 1 της οδηγίας (ΕΕ) 2022/2555· |
| η) | παρέχει, κατόπιν αιτήματος οντότητας της Ένωσης, προδραστική μη παρεμβατική σάρωση δημόσια προσβάσιμων δικτυακών και πληροφοριακών συστημάτων της εν λόγω οντότητας της Ένωσης. |
Οι πληροφορίες που αναφέρονται στο πρώτο εδάφιο στοιχείο ε) κοινοποιούνται στο ΔΣΚ, στο δίκτυο CSIRT και στο Κέντρο Ανάλυσης Πληροφοριών της Ευρωπαϊκής Ένωσης (EU INTCEN), κατά περίπτωση και όπου κρίνεται σκόπιμο, και με την επιφύλαξη των κατάλληλων όρων εμπιστευτικότητας.
4. Η CERT-ΕΕ μπορεί, σύμφωνα με το άρθρο 17 ή 18, κατά περίπτωση, να συνεργάζεται με σχετικές κοινότητες κυβερνοασφάλειας εντός της Ένωσης και των κρατών μελών της, μεταξύ άλλων στους ακόλουθους τομείς:
| α) | ετοιμότητα, συντονισμός σε περίπτωση περιστατικών, ανταλλαγή πληροφοριών και αντιμετώπιση κρίσεων σε τεχνικό επίπεδο σε περιπτώσεις που συνδέονται με οντότητες_της_Ένωσης· |
| β) | επιχειρησιακή συνεργασία όσον αφορά το δίκτυο CSIRT, μεταξύ άλλων όσον αφορά την αμοιβαία συνδρομή · |
| γ) | πληροφορίες για κυβερνοαπειλές, συμπεριλαμβανομένης της επίγνωσης της κατάστασης· |
| δ) | για κάθε θέμα για το οποίο είναι απαραίτητη η τεχνική εμπειρογνωσία της CERT-ΕΕ στον τομέα της κυβερνοασφάλειας. |
5. Στο πλαίσιο των αρμοδιοτήτων της, η CERT-ΕΕ συμμετέχει σε διαρθρωμένη συνεργασία με τον ENISA όσον αφορά την ανάπτυξη ικανοτήτων, την επιχειρησιακή συνεργασία και τις μακροπρόθεσμες στρατηγικές αναλύσεις των κυβερνοαπειλών σύμφωνα με τον κανονισμό (ΕΕ) 2019/881. Η CERT-ΕΕ μπορεί να συνεργάζεται και να ανταλλάσσει πληροφορίες με το Ευρωπαϊκό Κέντρο για το Κυβερνοέγκλημα της Ευρωπόλ.
6. Η CERT-ΕΕ μπορεί να παρέχει τις κάτωθι υπηρεσίες που δεν περιγράφονται στον κατάλογο υπηρεσιών της (χρεώσιμες υπηρεσίες):
| α) | υπηρεσίες που υποστηρίζουν την κυβερνοασφάλεια του περιβάλλοντος ΤΠΕ των οντοτήτων της Ένωσης, πέραν αυτών που αναφέρονται στην παράγραφο 3, βάσει συμφωνιών επιπέδου υπηρεσιών και υπό την προϋπόθεση ότι υπάρχουν οι διαθέσιμοι πόροι, και συγκεκριμένα παρακολούθηση δικτύου ευρέος φάσματος, συμπεριλαμβανομένης της παρακολούθησης πρώτης γραμμής 24 ώρες το εικοσιτετράωρο και 7 ημέρες την εβδομάδα για κυβερνοαπειλές υψηλής σοβαρότητας· |
| β) | υπηρεσίες που υποστηρίζουν δραστηριότητες ή έργα των οντοτήτων της Ένωσης στον τομέα της κυβερνοασφάλειας, πέραν αυτών που αποσκοπούν στην προστασία του περιβάλλοντος ΤΠΕ των οντοτήτων αυτών, βάσει γραπτών συμφωνιών και με την προηγούμενη έγκριση του ΔΣΚ· |
| γ) | κατόπιν αιτήματος, προδραστική σάρωση των δικτυακών και πληροφοριακών συστημάτων της οικείας οντότητας της Ένωσης για τον εντοπισμό ευπαθειών με δυνητικό σημαντικό αντίκτυπο· |
| δ) | υπηρεσίες που υποστηρίζουν την ασφάλεια του περιβάλλοντος ΤΠΕ σε οργανισμούς άλλους πέραν των οντοτήτων της Ένωσης που συνεργάζονται στενά με οντότητες_της_Ένωσης, για παράδειγμα με την ανάθεση καθηκόντων ή αρμοδιοτήτων δυνάμει του ενωσιακού δικαίου, βάσει γραπτών συμφωνιών και με την προηγουμένη έγκριση του ΔΣΚ. |
Όσον αφορά το πρώτο εδάφιο στοιχείο δ), η CERT-ΕΕ μπορεί, κατ’ εξαίρεση, να συνάπτει συμφωνίες επιπέδου υπηρεσιών με άλλες οντότητες πέραν των οντοτήτων της Ένωσης, με προηγούμενη έγκριση του ΔΣΚ.
7. Η CERT-ΕΕ διοργανώνει και μπορεί να συμμετέχει σε ασκήσεις κυβερνοασφάλειας ή να συνιστά τη συμμετοχή σε υφιστάμενες ασκήσεις, κατά περίπτωση σε στενή συνεργασία με τον ENISA, με σκοπό τη δοκιμή του επιπέδου κυβερνοασφάλειας των οντοτήτων της Ένωσης.
8. Η CERT-ΕΕ μπορεί να παρέχει συνδρομή σε οντότητες_της_Ένωσης όσον αφορά περιστατικά σε δικτυακά και πληροφοριακά συστήματα που χειρίζονται ΔΠΕΕ, όταν αυτό ζητείται ρητά από τις οικείες οντότητες_της_Ένωσης σύμφωνα με τις αντίστοιχες διαδικασίες τους. Η παροχή συνδρομής από την CERT-ΕΕ δυνάμει της παρούσας παραγράφου δεν θίγει τους ισχύοντες κανόνες σχετικά με την προστασία διαβαθμισμένων πληροφοριών.
9. Η CERT-EΕ ενημερώνει τις οντότητες_της_Ένωσης σχετικά με τις διαδικασίες και διεργασίες που ακολουθεί για τον χειρισμό περιστατικών.
10. Η CERT-ΕΕ παρέχει, με υψηλό επίπεδο εμπιστευτικότητας και αξιοπιστίας, μέσω των κατάλληλων μηχανισμών συνεργασίας και διαύλων αναφοράς, σχετικές και ανωνυμοποιημένες πληροφορίες όσον αφορά σοβαρά περιστατικά και τον τρόπο με τον οποίο αντιμετωπίστηκαν. Οι πληροφορίες αυτές περιλαμβάνονται στην έκθεση που αναφέρεται στο άρθρο 10 παράγραφος 14.
11. Η CERT-ΕΕ, σε συνεργασία με τον ΕΕΠΔ, υποστηρίζει τις οικείες οντότητες_της_Ένωσης στην αντιμετώπιση περιστατικών που οδηγούν σε παραβιάσεις δεδομένων προσωπικού χαρακτήρα, με την επιφύλαξη της αρμοδιότητας και των καθηκόντων του ΕΕΠΔ ως εποπτικής αρχής δυνάμει του κανονισμού (ΕΕ) 2018/1725.
12. Η CERT-EΕ μπορεί, εφόσον ζητηθεί ρητά από τμήματα πολιτικής των οντοτήτων της Ένωσης, να συνεισφέρει τεχνικές συμβουλές ή στοιχεία για συναφή ζητήματα πολιτικής.
whereas