keyboard_tab Cyber Resilience Act 2023/2841 EL

1.   Το ΔΣΚ, σύμφωνα με το άρθρο 10 παράγραφος 2 και το άρθρο 11, παρακολουθεί αποτελεσματικά την εφαρμογή του παρόντος κανονισμού και των εκδοθεισών κατευθυντήριων γραμμών, συστάσεων και εκκλήσεων για ανάληψη δράσης από τις οντότητες_της_Ένωσης. Το ΔΣΚ μπορεί να ζητεί από τις οντότητες_της_Ένωσης πληροφορίες ή έγγραφα που απαιτούνται για τον σκοπό αυτό. Για τους σκοπούς της έγκρισης μέτρων συμμόρφωσης δυνάμει του παρόντος άρθρου, όταν η οικεία οντότητα της Ένωσης εκπροσωπείται άμεσα στο ΔΣΚ, δεν έχει δικαίωμα ψήφου.

2.   Όταν το ΔΣΚ διαπιστώνει ότι μια οντότητα της Ένωσης δεν έχει εφαρμόσει αποτελεσματικά τον παρόντα κανονισμό ή τις κατευθυντήριες γραμμές, τις συστάσεις ή τις εκκλήσεις για ανάληψη δράσης που εκδίδονται δυνάμει αυτού, δύναται, με την επιφύλαξη των εσωτερικών διαδικασιών της οικείας οντότητας της Ένωσης, και αφού δώσει στην οικεία οντότητα της Ένωσης την ευκαιρία να παρουσιάσει τις παρατηρήσεις της:

Για τους σκοπούς του πρώτου εδαφίου στοιχείο γ), οι αποδέκτες μιας προειδοποίησης περιορίζονται κατάλληλα, όταν αυτό είναι αναγκαίο λόγω του κινδύνου κυβερνοασφάλειας.

Οι προειδοποιήσεις και οι συστάσεις που εκδίδονται σύμφωνα με το πρώτο εδάφιο απευθύνονται στο ανώτατο_διοικητικό_επίπεδο της οικείας οντότητας της Ένωσης.

3.   Στις περιπτώσεις που το ΔΣΚ έχει εγκρίνει μέτρα σύμφωνα με την παράγραφο 2 πρώτο εδάφιο στοιχεία α) έως ζ), η οικεία οντότητα της Ένωσης παρέχει λεπτομερή στοιχεία σχετικά με τα μέτρα και τις δράσεις που έχουν αναληφθεί για την αντιμετώπιση των εικαζόμενων ελλείψεων που εντόπισε το ΔΣΚICB. Η οντότητα της Ένωσης υποβάλλει τα λεπτομερή αυτά στοιχεία εντός εύλογου χρονικού διαστήματος που συμφωνείται με το ΔΣΚ.

4.   Όταν το ΔΣΚ θεωρεί ότι υπάρχει διαρκής παράβαση του παρόντος κανονισμού από οντότητα της Ένωσης ως άμεση απόρροια ενεργειών ή παραλείψεων υπαλλήλου ή μέλους της λοιπού προσωπικού της Ένωσης, συμπεριλαμβανομένων προσώπων στο ανώτατο_διοικητικό_επίπεδο, το ΔΣΚ ζητεί από την οικεία οντότητα της Ένωσης να λάβει τα κατάλληλα μέτρα, μεταξύ άλλων ζητώντας από την εν λόγω οντότητα να εξετάσει το ενδεχόμενο λήψης μέτρων πειθαρχικού χαρακτήρα σύμφωνα με τους κανόνες και τις διαδικασίες που ορίζονται στον κανονισμό υπηρεσιακής κατάστασης και οποιουσδήποτε άλλους εφαρμοστέους κανόνες και διαδικασίες. Για τον σκοπό αυτό, το ΔΣΚ διαβιβάζει τις απαραίτητες πληροφορίες στην οικεία οντότητα της Ένωσης.

5.   Όταν οντότητες_της_Ένωσης κοινοποιούν ότι δεν είναι σε θέση να τηρήσουν τις προθεσμίες που ορίζονται στο άρθρο 6 παράγραφος 1 και στο άρθρο 8 παράγραφος 1, το ΔΣΚ μπορεί, σε δεόντως αιτιολογημένες περιπτώσεις και λαμβάνοντας υπόψη το μέγεθος της οντότητας της Ένωσης, να εγκρίνει την παράταση των εν λόγω προθεσμιών.

1.   Αποστολή της CERT-ΕΕ είναι να συμβάλλει στην ασφάλεια του μη διαβαθμισμένου περιβάλλοντος ΤΠΕ των οντοτήτων της Ένωσης παρέχοντας σε αυτές συμβουλές σχετικά με την κυβερνοασφάλεια, συμβάλλοντας στην πρόληψη, στον εντοπισμό, στον χειρισμό, στον μετριασμό και στην αντιμετώπιση περιστατικών, καθώς και στην ανάκαμψη από περιστατικά, και λειτουργώντας για αυτές ως κόμβος συντονισμού για την ανταλλαγή πληροφοριών και την αντιμετώπιση περιστατικών στον τομέα της κυβερνοασφάλειας.

2.   Η CERT-EΕ συγκεντρώνει, διαχειρίζεται, αναλύει και ανταλλάσσει πληροφορίες με τις οντότητες_της_Ένωσης σχετικά με κυβερνοαπειλές, ευπάθειες και περιστατικά σε μη διαβαθμισμένες υποδομές ΤΠΕ. Συντονίζει την αντιμετώπιση περιστατικών σε διοργανικό επίπεδο και σε επίπεδο οντοτήτων της Ένωσης, μεταξύ άλλων παρέχοντας εξειδικευμένη επιχειρησιακή βοήθεια ή συντονίζοντας την παροχή της.

3.   Η CERT-ΕΕ εκτελεί τα ακόλουθα καθήκοντα για να συνδράμει τις οντότητες_της_Ένωσης:

Οι πληροφορίες που αναφέρονται στο πρώτο εδάφιο στοιχείο ε) κοινοποιούνται στο ΔΣΚ, στο δίκτυο CSIRT και στο Κέντρο Ανάλυσης Πληροφοριών της Ευρωπαϊκής Ένωσης (EU INTCEN), κατά περίπτωση και όπου κρίνεται σκόπιμο, και με την επιφύλαξη των κατάλληλων όρων εμπιστευτικότητας.

4.   Η CERT-ΕΕ μπορεί, σύμφωνα με το άρθρο 17 ή 18, κατά περίπτωση, να συνεργάζεται με σχετικές κοινότητες κυβερνοασφάλειας εντός της Ένωσης και των κρατών μελών της, μεταξύ άλλων στους ακόλουθους τομείς:

5.   Στο πλαίσιο των αρμοδιοτήτων της, η CERT-ΕΕ συμμετέχει σε διαρθρωμένη συνεργασία με τον ENISA όσον αφορά την ανάπτυξη ικανοτήτων, την επιχειρησιακή συνεργασία και τις μακροπρόθεσμες στρατηγικές αναλύσεις των κυβερνοαπειλών σύμφωνα με τον κανονισμό (ΕΕ) 2019/881. Η CERT-ΕΕ μπορεί να συνεργάζεται και να ανταλλάσσει πληροφορίες με το Ευρωπαϊκό Κέντρο για το Κυβερνοέγκλημα της Ευρωπόλ.

6.   Η CERT-ΕΕ μπορεί να παρέχει τις κάτωθι υπηρεσίες που δεν περιγράφονται στον κατάλογο υπηρεσιών της (χρεώσιμες υπηρεσίες):

Όσον αφορά το πρώτο εδάφιο στοιχείο δ), η CERT-ΕΕ μπορεί, κατ’ εξαίρεση, να συνάπτει συμφωνίες επιπέδου υπηρεσιών με άλλες οντότητες πέραν των οντοτήτων της Ένωσης, με προηγούμενη έγκριση του ΔΣΚ.

7.   Η CERT-ΕΕ διοργανώνει και μπορεί να συμμετέχει σε ασκήσεις κυβερνοασφάλειας ή να συνιστά τη συμμετοχή σε υφιστάμενες ασκήσεις, κατά περίπτωση σε στενή συνεργασία με τον ENISA, με σκοπό τη δοκιμή του επιπέδου κυβερνοασφάλειας των οντοτήτων της Ένωσης.

8.   Η CERT-ΕΕ μπορεί να παρέχει συνδρομή σε οντότητες_της_Ένωσης όσον αφορά περιστατικά σε δικτυακά και πληροφοριακά συστήματα που χειρίζονται ΔΠΕΕ, όταν αυτό ζητείται ρητά από τις οικείες οντότητες_της_Ένωσης σύμφωνα με τις αντίστοιχες διαδικασίες τους. Η παροχή συνδρομής από την CERT-ΕΕ δυνάμει της παρούσας παραγράφου δεν θίγει τους ισχύοντες κανόνες σχετικά με την προστασία διαβαθμισμένων πληροφοριών.

9.   Η CERT-EΕ ενημερώνει τις οντότητες_της_Ένωσης σχετικά με τις διαδικασίες και διεργασίες που ακολουθεί για τον χειρισμό περιστατικών.

10.   Η CERT-ΕΕ παρέχει, με υψηλό επίπεδο εμπιστευτικότητας και αξιοπιστίας, μέσω των κατάλληλων μηχανισμών συνεργασίας και διαύλων αναφοράς, σχετικές και ανωνυμοποιημένες πληροφορίες όσον αφορά σοβαρά περιστατικά και τον τρόπο με τον οποίο αντιμετωπίστηκαν. Οι πληροφορίες αυτές περιλαμβάνονται στην έκθεση που αναφέρεται στο άρθρο 10 παράγραφος 14.

11.   Η CERT-ΕΕ, σε συνεργασία με τον ΕΕΠΔ, υποστηρίζει τις οικείες οντότητες_της_Ένωσης στην αντιμετώπιση περιστατικών που οδηγούν σε παραβιάσεις δεδομένων προσωπικού χαρακτήρα, με την επιφύλαξη της αρμοδιότητας και των καθηκόντων του ΕΕΠΔ ως εποπτικής αρχής δυνάμει του κανονισμού (ΕΕ) 2018/1725.

12.   Η CERT-EΕ μπορεί, εφόσον ζητηθεί ρητά από τμήματα πολιτικής των οντοτήτων της Ένωσης, να συνεισφέρει τεχνικές συμβουλές ή στοιχεία για συναφή ζητήματα πολιτικής.

1.   Η Επιτροπή, αφού λάβει την έγκριση πλειοψηφίας δύο τρίτων των μελών του ΔΣΚ, διορίζει τον επικεφαλής της CERT-EΕ. Ζητείται η γνώμη του ΔΣΚ σε όλα τα στάδια της διαδικασίας διορισμού, ιδίως όσον αφορά τη σύνταξη προκηρύξεων κενής θέσης, την εξέταση των αιτήσεων και τον ορισμό των εξεταστικών επιτροπών σε σχέση με την εκάστοτε θέση. Η διαδικασία επιλογής, συμπεριλαμβανομένου του τελικού καταλόγου επικρατέστερων υποψηφίων μεταξύ των οποίων θα επιλεγεί το άτομο που θα διοριστεί στη θέση του επικεφαλής της CERT-ΕΕ, διασφαλίζει τη δίκαιη εκπροσώπηση κάθε φύλου, λαμβανομένων υπόψη των αιτήσεων που έχουν υποβληθεί.

2.   Ο επικεφαλής της CERT-ΕΕ είναι αρμόδιος για την εύρυθμη λειτουργία της CERT-ΕΕ και ενεργεί στο πλαίσιο των αρμοδιοτήτων του ρόλου του υπό την καθοδήγηση του ΔΣΚ. Ο επικεφαλής της CERT-ΕΕ υποβάλλει τακτικά εκθέσεις στον πρόεδρο του ΔΣΚ και υποβάλλει ad hoc εκθέσεις στο ΔΣΚ κατόπιν αιτήματός του.

3.   Ο επικεφαλής της CERT-ΕΕ συνδράμει τον αρμόδιο κύριο διατάκτη κατά τη σύνταξη της ετήσιας έκθεσης δραστηριοτήτων η οποία περιλαμβάνει δημοσιονομικές και διαχειριστικές πληροφορίες, μεταξύ των οποίων τα αποτελέσματα ελέγχων, και η οποία συντάσσεται βάσει του άρθρου 74 παράγραφος 9 του κανονισμού (ΕΕ, Ευρατόμ) 2018/1046 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (9), και υποβάλλει τακτικά εκθέσεις στον κύριο διατάκτη σχετικά με την εφαρμογή των μέτρων για τα οποία έχει ανατεθεί αρμοδιότητα στον επικεφαλής της CERT-ΕΕ.

4.   Ο επικεφαλής της CERT-ΕΕ καταρτίζει, σε ετήσια βάση, οικονομικό προγραμματισμό των διοικητικών εσόδων και δαπανών για τις δραστηριότητές της, το προτεινόμενο ετήσιο πρόγραμμα εργασίας, τον προτεινόμενο κατάλογο υπηρεσιών για την CERT-ΕΕ, προτεινόμενες αναθεωρήσεις του καταλόγου υπηρεσιών, προτεινόμενες ρυθμίσεις για συμφωνίες σε επίπεδο υπηρεσιών και προτεινόμενους ΒΔΕ για τη CERT-EΕ, που πρέπει να εγκριθούν από το ΔΣΚ σύμφωνα με το άρθρο 11. Κατά την αναθεώρηση του καταλόγου υπηρεσιών της CERT-ΕΕ, ο επικεφαλής της CERT-ΕΕ λαμβάνει υπόψη τους πόρους που διατίθενται στη CERT-EΕ.

5.   Ο επικεφαλής της CERT-ΕΕ υποβάλλει εκθέσεις, τουλάχιστον σε ετήσια βάση, στο ΔΣΚ και στον πρόεδρο του ΔΣΚ σχετικά με τις δραστηριότητες και τις επιδόσεις της CERT-ΕΕ κατά την περίοδο αναφοράς, μεταξύ άλλων όσον αφορά την εκτέλεση του προϋπολογισμού, τις συμφωνίες επιπέδου υπηρεσιών και τις γραπτές συμφωνίες που έχουν συναφθεί, τη συνεργασία με ομολόγους και εταίρους, καθώς και σχετικά με τις αποστολές που αναλαμβάνει το προσωπικό, συμπεριλαμβανομένων των εκθέσεων που αναφέρονται στο άρθρο 11. Οι εν λόγω εκθέσεις περιλαμβάνουν το πρόγραμμα εργασίας για την επόμενη περίοδο, τον δημοσιονομικό προγραμματισμό των εσόδων και των δαπανών, συμπεριλαμβανομένης της στελέχωσης, τις προγραμματισμένες επικαιροποιήσεις του καταλόγου υπηρεσιών της CERT-ΕΕ και αξιολόγηση του αναμενόμενου αντικτύπου που ενδέχεται να έχουν οι εν λόγω επικαιροποιήσεις όσον αφορά τους οικονομικούς και ανθρώπινους πόρους.

1.   Η CERT-ΕΕ ενσωματώνεται στη διοικητική δομή μιας γενικής διεύθυνσης της Επιτροπής προκειμένου να επωφελείται από τις δομές υποστήριξης της Επιτροπής σε επίπεδο διοίκησης, δημοσιονομικής διαχείρισης και λογιστικής, διατηρώντας παράλληλα το καθεστώς της ως αυτόνομου διοργανικού παρόχου υπηρεσιών για όλες τις οντότητες_της_Ένωσης. Η Επιτροπή ενημερώνει το ΔΣΚ σχετικά με την διοικητική έδρα της CERT-EU καθώς και τυχόν αλλαγές της. Η Επιτροπή επανεξετάζει τις διοικητικές ρυθμίσεις που σχετίζονται με την CERT-ΕΕ σε τακτική βάση και σε κάθε περίπτωση πριν από τη θέσπιση οποιουδήποτε πολυετούς δημοσιονομικού πλαισίου σύμφωνα με το άρθρο 312 ΣΛΕΕ, ώστε να είναι δυνατή η λήψη κατάλληλων μέτρων. Η επανεξέταση περιλαμβάνει τη δυνατότητα σύστασης της CERT-ΕΕ ως γραφείου της Ένωσης.

2.   Για την εφαρμογή των διοικητικών και δημοσιονομικών διαδικασιών, ο επικεφαλής της CERT-ΕΕ ενεργεί υπό τον έλεγχο της Επιτροπής και την εποπτεία του ΔΣΚ.

3.   Τα καθήκοντα και οι δραστηριότητες της CERT-ΕΕ, συμπεριλαμβανομένων των υπηρεσιών που παρέχονται από την CERT-ΕΕ σύμφωνα με το άρθρο 13 παράγραφοι 3, 4, 5, και 7 και το άρθρο 14 παράγραφος 1 στις οντότητες_της_Ένωσης τα οποία χρηματοδοτούνται από τον τομέα του πολυετούς δημοσιονομικού πλαισίου που είναι αφιερωμένος στην ευρωπαϊκή δημόσια διοίκηση, χρηματοδοτούνται μέσω χωριστής γραμμής του προϋπολογισμού της Επιτροπής. Οι θέσεις που προορίζονται για την CERT-ΕΕ περιγράφονται λεπτομερώς σε υποσημείωση του πίνακα προσωπικού της Επιτροπής.

4.   Οι οντότητες_της_Ένωσης, πέραν αυτών που αναφέρονται στην παράγραφο 3 του παρόντος άρθρου, καταβάλλουν ετήσια χρηματοδοτική συνεισφορά στην CERT-ΕΕ για την κάλυψη των υπηρεσιών που παρέχει η CERT-ΕΕ σύμφωνα με την εν λόγω παράγραφο. Οι συνεισφορές βασίζονται σε κατευθύνσεις που παρέχει το ΔΣΚ και συμφωνούνται μεταξύ της κάθε οντότητας της Ένωσης και της CERT-ΕΕ στο πλαίσιο συμφωνιών επιπέδου υπηρεσιών. Οι συνεισφορές αντιστοιχούν σε δίκαιο και αναλογικό ποσοστό του συνολικού κόστους των παρεχόμενων υπηρεσιών. Εισπράττονται από τη χωριστή γραμμή του προϋπολογισμού που αναφέρεται στην παράγραφο 3 του παρόντος άρθρου, ως εσωτερικά έσοδα για ειδικό προορισμό, όπως προβλέπεται στο άρθρο 21 παράγραφος 3 στοιχείο γ) του κανονισμού (ΕΕ, Ευρατόμ) 2018/1046.

5.   Οι δαπάνες για τις υπηρεσίες που προβλέπονται στο άρθρο 13 παράγραφος 6 ανακτώνται από τις οντότητες_της_Ένωσης που λαμβάνουν τις υπηρεσίες της CERT-ΕΕ. Τα έσοδα εγγράφονται στις γραμμές του προϋπολογισμού που καλύπτουν τις δαπάνες.

1.   Για την υποστήριξη σε επιχειρησιακό επίπεδο της συντονισμένης διαχείρισης σοβαρών περιστατικών που επηρεάζουν οντότητες_της_Ένωσης και για τη συμβολή στην τακτική ανταλλαγή σχετικών πληροφοριών μεταξύ των οντοτήτων της Ένωσης και με τα κράτη μέλη, το ΔΣΚ καταρτίζει, σύμφωνα με το άρθρο 11 στοιχείο ιζ), σχέδιο διαχείρισης κρίσεων στον κυβερνοχώρο με βάση τις δραστηριότητες που αναφέρονται στο άρθρο 22 παράγραφος 2, σε στενή συνεργασία με την CERT-ΕΕ και τον ENISA. Το σχέδιο διαχείρισης κρίσεων στον κυβερνοχώρο περιλαμβάνει τουλάχιστον τα ακόλουθα στοιχεία:

2.   Ο εκπρόσωπος της Επιτροπής στο ΔΣΚ, με την επιφύλαξη του σχεδίου διαχείρισης κρίσεων στον κυβερνοχώρο που καταρτίζεται σύμφωνα με την παράγραφο 1 του παρόντος άρθρου και με την επιφύλαξη του άρθρου 16 παράγραφος 2 πρώτο εδάφιο της οδηγίας (ΕΕ) 2022/2555, αποτελεί το σημείο επαφής για την ανταλλαγή σχετικών πληροφοριών με το EU-CyCLONe σε σχέση με σοβαρά περιστατικά.

3.   Η CERT-ΕΕ συντονίζει μεταξύ των οντοτήτων της Ένωσης τη διαχείριση σοβαρών περιστατικών. Τηρεί κατάλογο της διαθέσιμης τεχνικής εμπειρογνωσίας που απαιτείται για την αντιμετώπιση περιστατικών σε περίπτωση σοβαρών περιστατικών και επικουρεί το ΔΣΚ στον συντονισμό των σχεδίων διαχείρισης κρίσεων στον κυβερνοχώρο των οντοτήτων της Ένωσης για σοβαρά περιστατικά που αναφέρονται στο άρθρο 9 παράγραφος 2.

4.   Οι οντότητες_της_Ένωσης συμβάλλουν στην κατάρτιση του καταλόγου τεχνικής εμπειρογνωσίας παρέχοντας και επικαιροποιώντας σε ετήσια βάση κατάλογο των διαθέσιμων εμπειρογνωμόνων στο πλαίσιο των αντίστοιχων οργανισμών τους, στον οποίον αναφέρονται λεπτομερώς οι ειδικές τεχνικές δεξιότητές τους.