Cyber Resilience Act 2023/2841 EL

1)	« οντότητες_της_Ένωσης»: τα θεσμικά και λοιπά όργανα και οργανισμοί της Ένωσης που έχουν ιδρυθεί με τη Συνθήκη για την Ευρωπαϊκή Ένωση, τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ) ή τη Συνθήκη για την ίδρυση της Ευρωπαϊκής Κοινότητας Ατομικής Ενέργειας, ή δυνάμει των Συνθηκών αυτών·

2)	« δικτυακό_και_πληροφοριακό_σύστημα»: το δικτυακό_και_πληροφοριακό_σύστημα όπως ορίζεται στο άρθρο 6 σημείο 1) της οδηγίας (ΕΕ) 2022/2555·

3)	« ασφάλεια_συστημάτων_δικτύου_και_πληροφοριών»: η ασφάλεια_συστημάτων_δικτύου_και_πληροφοριών όπως ορίζεται στο άρθρο 6 σημείο 2) της οδηγίας (EΕ) 2022/2555·

4)	« κυβερνοασφάλεια»: η κυβερνοασφάλεια όπως ορίζεται στο άρθρο 2 σημείο 1) του κανονισμού (ΕΕ) 2019/881·

« ανώτατο_διοικητικό_επίπεδο»: διοικητικό στέλεχος, όργανο διοίκησης ή όργανο συντονισμού και εποπτείας αρμόδιο για τη λειτουργία οντότητας της Ένωσης, στο ανώτερο διοικητικό επίπεδο, με εντολή να εκδίδει ή να εγκρίνει αποφάσεις σύμφωνα με τις ρυθμίσεις διακυβέρνησης υψηλού επιπέδου της εν λόγω οντότητας της Ένωσης και με την επιφύλαξη των τυπικών αρμοδιοτήτων άλλων επιπέδων διοίκησης όσον αφορά τη συμμόρφωση και τη διαχείριση κινδύνων κυβερνοασφάλειας στους αντίστοιχους τομείς αρμοδιότητάς τους·

6)	« παρ’_ολίγον_ περιστατικό»: το παρ’_ολίγον_ περιστατικό όπως ορίζεται στο άρθρο 6 σημείο 5) της οδηγίας (ΕΕ) 2022/2555·

7)	« περιστατικό»: το περιστατικό όπως ορίζεται στο άρθρο 6 σημείο 6) της οδηγίας (ΕΕ) 2022/2555·

8)	«σοβαρό περιστατικό»: κάθε περιστατικό που προκαλεί διαταραχή η οποία υπερβαίνει την ικανότητα μιας οντότητας της Ένωσης και της CERT-EE να ανταποκριθεί σε αυτήν ή που έχει σημαντικό αντίκτυπο σε τουλάχιστον δύο οντότητες_της_Ένωσης·

9)	« περιστατικό μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας»: το περιστατικό μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας όπως ορίζεται στο άρθρο 6 σημείο 7) της οδηγίας (ΕΕ) 2022/2555·

10)	« χειρισμός_περιστατικών»: ο χειρισμός_περιστατικών όπως ορίζεται στο άρθρο 6 σημείο 8) της οδηγίας (ΕΕ) 2022/2555·

11)	« κυβερνοαπειλή»: η κυβερνοαπειλή όπως ορίζεται στο άρθρο 2 σημείο 8) του κανονισμού (ΕΕ) 2019/881·

12)	«σημαντική κυβερνοαπειλή»: η σημαντική κυβερνοαπειλή όπως ορίζεται στο άρθρο 6 σημείο 11) της οδηγίας (ΕΕ) 2022/2555·

13)	« ευπάθεια»: η ευπάθεια όπως ορίζεται στο άρθρο 6 σημείο 15 της οδηγίας (ΕΕ) 2022/2555·

14)	«κίνδυνος κυβερνοασφάλειας»: ο κίνδυνος όπως ορίζεται στο άρθρο 6 σημείο 9) της οδηγίας (ΕΕ) 2022/2555·

15)	« υπηρεσία_υπολογιστικού_νέφους»: η υπηρεσία_υπολογιστικού_νέφους όπως περιγράφεται στο άρθρο 6 σημείο 30) της οδηγίας (ΕΕ) 2022/2555.

Άρθρο 6

Πλαίσιο διαχείρισης, διακυβέρνησης και ελέγχου κινδύνων

1. Έως τις 8 Απριλίου 2025, κάθε οντότητα της Ένωσης, μετά τη διενέργεια αρχικής επανεξέτασης της κυβερνοασφάλειας, π.χ. μέσω ελέγχου, θεσπίζει εσωτερικό πλαίσιο διαχείρισης, διακυβέρνησης και ελέγχου κινδύνων κυβερνοασφάλειας («το πλαίσιο»). Η θέσπιση του πλαισίου εποπτεύεται και τελεί υπό την ευθύνη του ανώτατου διοικητικού επιπέδου της οντότητας της Ένωσης.

2. Το πλαίσιο καλύπτει ολόκληρο το μη διαβαθμισμένο περιβάλλον ΤΠΕ της οικείας οντότητας της Ένωσης, συμπεριλαμβανομένων τυχόν περιβάλλοντος ΤΠΕ και δικτύου λειτουργικής τεχνολογίας εντός των εγκαταστάσεων, καθώς και περιουσιακών στοιχείων και υπηρεσιών που λειτουργούν εξωτερικά σε περιβάλλοντα νεφοϋπολογιστικής ή φιλοξενούνται από τρίτους, κινητών συσκευών, εταιρικών δικτύων, επιχειρηματικών δικτύων που δεν συνδέονται με το διαδίκτυο και τυχόν συσκευών που συνδέονται με τα εν λόγω περιβάλλοντα («περιβάλλον ΤΠΕ»). Το πλαίσιο βασίζεται σε ολιστική προσέγγιση των κινδύνων.

3. Το πλαίσιο διασφαλίζει υψηλό επίπεδο κυβερνοασφάλειας. Το πλαίσιο καθορίζει εσωτερικές πολιτικές κυβερνοασφάλειας, συμπεριλαμβανομένων στόχων και προτεραιοτήτων, για την ασφάλεια των συστημάτων δικτύου και πληροφοριών, καθώς και τους ρόλους και τις αρμοδιότητες του προσωπικού της οντότητας της Ένωσης που είναι επιφορτισμένο με τη διασφάλιση της αποτελεσματικής εφαρμογής του παρόντος κανονισμού. Το πλαίσιο περιλαμβάνει επίσης μηχανισμούς για τη μέτρηση της αποτελεσματικότητας της εφαρμογής.

4. Το πλαίσιο επανεξετάζεται τακτικά, υπό το πρίσμα των μεταβαλλόμενων κινδύνων κυβερνοασφάλειας, και τουλάχιστον ανά τετραετία. Κατά περίπτωση και κατόπιν αιτήματος του διοργανικού συμβουλίου κυβερνοασφάλειας που συγκροτείται σύμφωνα με το άρθρο 10, το πλαίσιο οντότητας της Ένωσης μπορεί να επικαιροποιείται με βάση την καθοδήγηση της CERT-ΕΕ σχετικά με περιστατικά που καταγράφονται ή πιθανά κενά που παρατηρούνται κατά την εφαρμογή του παρόντος κανονισμού.

5. Το ανώτατο_διοικητικό_επίπεδο κάθε οντότητας της Ένωσης είναι υπεύθυνο για την εφαρμογή του παρόντος κανονισμού και επιβλέπει τη συμμόρφωση της οργάνωσής της με τις υποχρεώσεις που σχετίζονται με το πλαίσιο.

6. Κατά περίπτωση και με την επιφύλαξη της ευθύνης του για την εφαρμογή του παρόντος κανονισμού, το ανώτατο_διοικητικό_επίπεδο κάθε οντότητας της Ένωσης μπορεί να αναθέτει την εκπλήρωση συγκεκριμένων υποχρεώσεων δυνάμει του παρόντος κανονισμού σε ανώτερους υπαλλήλους κατά την έννοια του άρθρου 29 παράγραφος 2 του κανονισμού υπηρεσιακής κατάστασης ή σε άλλους υπαλλήλους ισοδύναμου επιπέδου, εντός της οικείας οντότητας της Ένωσης. Ανεξάρτητα από οποιαδήποτε τέτοια ανάθεση, το ανώτατο_διοικητικό_επίπεδο μπορεί να θεωρηθεί υπεύθυνο για παραβάσεις του παρόντος κανονισμού από την οικεία οντότητα της Ένωσης.

7. Κάθε οντότητα της Ένωσης εφαρμόζει αποτελεσματικούς μηχανισμούς για να διασφαλίζει ότι οι δαπάνες για την κυβερνοασφάλεια ανέρχονται σε επαρκές ποσοστό του προϋπολογισμού για την ΤΠΕ. Κατά τον καθορισμό του ποσοστού αυτού λαμβάνεται δεόντως υπόψη το πλαίσιο.

8. Κάθε οντότητα της Ένωσης διορίζει τοπικό υπεύθυνο κυβερνοασφάλειας ή άλλο πρόσωπο με αντίστοιχες ευθύνες, που ενεργεί ως ενιαίο σημείο επαφής όσον αφορά όλες τις πτυχές της κυβερνοασφάλειας. Ο τοπικός υπεύθυνος κυβερνοασφάλειας διευκολύνει την εφαρμογή του παρόντος κανονισμού και υποβάλλει εκθέσεις απευθείας στο ανώτατο_διοικητικό_επίπεδο σε τακτική βάση σχετικά με την πορεία της εφαρμογής. Χωρίς να θίγεται ο ρόλος του τοπικού υπεύθυνου κυβερνοασφάλειας ως ενιαίου σημείου επαφής σε κάθε οντότητα της Ένωσης, μια οντότητα της Ένωσης μπορεί να αναθέτει στη CERT-EΕ ορισμένα καθήκοντα του τοπικού υπευθύνου κυβερνοασφάλειας όσον αφορά την εφαρμογή του παρόντος κανονισμού βάσει συμφωνίας σε επίπεδο υπηρεσιών που συνάπτεται μεταξύ της εν λόγω οντότητας της Ένωσης και της CERT-EΕ, ή τα εν λόγω καθήκοντα μπορούν να επιμερίζονται μεταξύ περισσότερων οντοτήτων της Ένωσης. Όταν τα καθήκοντα αυτά ανατίθενται στην CERT-ΕΕ, το διοργανικό συμβούλιο κυβερνοασφάλειας που συγκροτείται σύμφωνα με το άρθρο 10 αποφασίζει κατά πόσον η παροχή της υπηρεσίας αυτής αποτελεί μέρος των βασικών υπηρεσιών της CERT-EΕ, λαμβάνοντας υπόψη τους ανθρώπινους και οικονομικούς πόρους της οικείας οντότητας της Ένωσης. Κάθε οντότητα της Ένωσης ενημερώνει, χωρίς αδικαιολόγητη καθυστέρηση, τη CERT-EΕ σχετικά με τους διορισμένους τοπικούς υπεύθυνους κυβερνοασφάλειας και για κάθε μεταγενέστερη αλλαγή τους.

Η CERT-ΕΕ καταρτίζει και διατηρεί επίκαιρο κατάλογο των διορισμένων τοπικών υπευθύνων κυβερνοασφάλειας.

9. Οι ανώτεροι υπάλληλοι κατά την έννοια του άρθρου 29 παράγραφος 2 του κανονισμού υπηρεσιακής κατάστασης ή άλλοι υπάλληλοι ισοδύναμου επιπέδου κάθε οντότητας της Ένωσης, καθώς και όλα τα σχετικά μέλη του προσωπικού που είναι επιφορτισμένα με την εφαρμογή των μέτρων και την εκπλήρωση των υποχρεώσεων διαχείρισης κινδύνων κυβερνοασφάλειας του παρόντος κανονισμού, παρακολουθούν σε τακτική βάση ειδικά προγράμματα κατάρτισης, ώστε να αποκτούν επαρκείς γνώσεις και δεξιότητες προκειμένου να κατανοούν και να αξιολογούν τους κινδύνους και τις πρακτικές διαχείρισης της κυβερνοασφάλειας, καθώς και τον αντίκτυπό τους στις δραστηριότητες της οντότητας της Ένωσης.

Άρθρο 7

Αξιολογήσεις του επιπέδου ωριμότητας στον τομέα της κυβερνοασφάλειας

1. Έως τις 8 Ιουλίου 2025 και στη συνέχεια τουλάχιστον ανά διετία, κάθε οντότητα της Ένωσης διενεργεί αξιολόγηση του επιπέδου ωριμότητας στον τομέα της κυβερνοασφάλειας που ενσωματώνει όλα τα στοιχεία του οικείου περιβάλλοντος ΤΠΕ.

2. Οι αξιολογήσεις του επιπέδου ωριμότητας στον τομέα της κυβερνοασφάλειας διενεργούνται, κατά περίπτωση, με τη βοήθεια ειδικευμένου τρίτου μέρους.

3. Οι οντότητες_της_Ένωσης με παρόμοιες δομές μπορούν να συνεργάζονται για τη διενέργεια αξιολογήσεων του επιπέδου ωριμότητας στον τομέα της κυβερνοασφάλειας για τις αντίστοιχες οντότητές τους.

4. Βάσει αιτήματος του διοργανικού συμβουλίου κυβερνοασφάλειας που συγκροτείται σύμφωνα με το άρθρο 10, και με τη ρητή συγκατάθεση της οικείας οντότητας της Ένωσης, τα αποτελέσματα αξιολόγησης του επιπέδου ωριμότητας στον τομέα της κυβερνοασφάλειας μπορούν να συζητούνται στο πλαίσιο του εν λόγου συμβουλίου ή της άτυπης ομάδας τοπικών υπευθύνων κυβερνοασφάλειας, με σκοπό την άντληση διδαγμάτων από την εμπειρία και την ανταλλαγή βέλτιστων πρακτικών.

Άρθρο 8

Μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας

1. Χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση έως τις 8 Σεπτεμβρίου 2025, κάθε οντότητα της Ένωσης, υπό την εποπτεία του ανώτατου διοικητικού επιπέδου της, λαμβάνει κατάλληλα και αναλογικά τεχνικά, λειτουργικά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων κυβερνοασφάλειας που εντοπίζονται βάσει του πλαισίου, και για την πρόληψη ή την ελαχιστοποίηση του αντικτύπου των περιστατικών. Λαμβανομένης υπόψη της εξέλιξης της τεχνολογίας και, κατά περίπτωση, των σχετικών ευρωπαϊκών και διεθνών προτύπων, τα εν λόγω μέτρα διασφαλίζουν επίπεδο ασφάλειας των δικτυακών και πληροφοριακών συστημάτων σε ολόκληρο το περιβάλλον ΤΠΕ ανάλογο προς τους εμφανιζόμενους κινδύνους κυβερνοασφάλειας. Κατά την αξιολόγηση της αναλογικότητας των εν λόγω μέτρων, λαμβάνεται δεόντως υπόψη ο βαθμός έκθεσης της οντότητας της Ένωσης σε κινδύνους κυβερνοασφάλειας, το μέγεθός της, και η πιθανότητα εμφάνισης περιστατικών και η σοβαρότητά τους, συμπεριλαμβανομένου του κοινωνικού, οικονομικού και διοργανικού αντικτύπου τους.

2. Οι οντότητες_της_Ένωσης λαμβάνουν υπόψη τουλάχιστον τους ακόλουθους τομείς κατά την εφαρμογή των μέτρων διαχείρισης κινδύνων κυβερνοασφάλειας:

α)	πολιτική κυβερνοασφάλειας, συμπεριλαμβανομένων των μέτρων που απαιτούνται για την επίτευξη των στόχων και των προτεραιοτήτων που αναφέρονται στο άρθρο 6 και στην παράγραφο 3 του παρόντος άρθρου·

β)	πολιτικές για την ανάλυση κινδύνων κυβερνοασφάλειας και την ασφάλεια των πληροφοριακών συστημάτων·

γ)	στόχους πολιτικής σχετικά με τη χρήση υπηρεσιών υπολογιστικού νέφους·

δ)	έλεγχο κυβερνοασφάλειας, κατά περίπτωση, ο οποίος μπορεί να περιλαμβάνει αξιολόγηση κινδύνων κυβερνοασφάλειας, ευπαθειών και κυβερνοαπειλών, και δοκιμές διείσδυσης που διενεργούνται από αξιόπιστο ιδιωτικό πάροχο σε τακτική βάση·

ε)	εφαρμογή των συστάσεων που προκύπτουν από τους ελέγχους κυβερνοασφάλειας που αναφέρονται στο στοιχείο δ) μέσω επικαιροποιήσεων για την κυβερνοασφάλεια και επικαιροποιήσεων πολιτικής·

στ)	οργάνωση της κυβερνοασφάλειας, συμπεριλαμβανομένου του καθορισμού ρόλων και αρμοδιοτήτων·

ζ)	διαχείριση περιουσιακών στοιχείων, συμπεριλαμβανομένης της απογραφής περιουσιακών στοιχείων ΤΠΕ και της χαρτογράφησης του δικτύου ΤΠΕ·

η)	ασφάλεια ανθρώπινων πόρων και έλεγχο πρόσβαση·

θ)	ασφάλεια των επιχειρήσεων·

ι)	ασφάλεια των επικοινωνιών·

ια)	απόκτηση, ανάπτυξη και συντήρηση συστημάτων, συμπεριλαμβανομένων πολιτικών για τον χειρισμό και τη γνωστοποίηση ευπαθειών·

ιβ)	όπου είναι δυνατόν, πολιτικές για τη διαφάνεια του πηγαίου κώδικα·

ιγ)	ασφάλεια της αλυσίδας εφοδιασμού, συμπεριλαμβανομένων των πτυχών που αφορούν την ασφάλεια ως προς τις σχέσεις μεταξύ κάθε οντότητας της Ένωσης και των άμεσων προμηθευτών ή παρόχων υπηρεσιών της·

ιδ)	χειρισμός_περιστατικών και συνεργασία με την CERT-ΕΕ, όπως η διατήρηση της παρακολούθησης και της καταγραφής ασφαλείας·

ιε)	διαχείριση της επιχειρησιακής συνέχειας, όπως διαχείριση αντιγράφων ασφαλείας και αποκατάσταση έπειτα από καταστροφή, και διαχείριση των κρίσεων· και

ιστ)	προώθηση και ανάπτυξη προγραμμάτων εκπαίδευσης, απόκτησης δεξιοτήτων, ευαισθητοποίησης, πρακτικής εξάσκησης και κατάρτισης στον τομέα της κυβερνοασφάλειας.

Για τους σκοπούς του πρώτου εδαφίου στοιχείο ιγ), οι οντότητες_της_Ένωσης λαμβάνουν υπόψη τις ιδιαίτερες ευπάθειες κάθε άμεσου προμηθευτή και παρόχου υπηρεσιών, καθώς και τη συνολική ποιότητα των προϊόντων και τις πρακτικές κυβερνοασφάλειας των προμηθευτών και των παρόχων υπηρεσιών τους, συμπεριλαμβανομένων των διαδικασιών ασφαλούς ανάπτυξής τους.

3. Οι οντότητες_της_Ένωσης λαμβάνουν τουλάχιστον τα ακόλουθα ειδικά μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας:

α)	τεχνικές ρυθμίσεις για τη διευκόλυνση και τη διατήρηση της τηλεργασίας·

β)	συγκεκριμένα μέτρα για τη μετάβαση προς τις αρχές της μηδενικής εμπιστοσύνης·

γ)	χρήση, κατά κανόνα, της πολυπαραγοντικής επαλήθευσης ταυτότητας σε όλα τα δικτυακά και πληροφοριακά συστήματα·

δ)	χρήση της κρυπτογραφίας και της κρυπτογράφησης, ιδίως της διατερματικής κρυπτογράφησης, καθώς και της ασφαλούς ψηφιακής υπογραφής·

ε)	κατά περίπτωση, ασφαλείς επικοινωνίες φωνής, βίντεο και κειμένου, και ασφαλή συστήματα επικοινωνίας έκτακτης ανάγκης εντός της οντότητας της Ένωσης·

στ)	προδραστικά μέτρα για τον εντοπισμό και την αφαίρεση κακόβουλου λογισμικού και κατασκοπευτικού λογισμικού·

ζ)	επίτευξη ασφάλειας στην αλυσίδα εφοδιασμού λογισμικού μέσω κριτηρίων για την ασφαλή ανάπτυξη και αξιολόγηση λογισμικού·

η)

κατάρτιση και έγκριση εκπαιδευτικών προγραμμάτων για την κυβερνοασφάλεια ανάλογα με τα προβλεπόμενα καθήκοντα και τις αναμενόμενες ικανότητες για το ανώτατο επίπεδο διοίκησης και τα μέλη προσωπικού της οντότητας της Ένωσης στα οποία ανατίθεται η διασφάλιση της αποτελεσματικής εφαρμογής του παρόντος κανονισμού·

θ)	τακτική κατάρτιση των μελών του προσωπικού σε θέματα κυβερνοασφάλειας·

ι)	κατά περίπτωση, συμμετοχή σε αναλύσεις κινδύνου διασυνδεσιμότητας μεταξύ των οντοτήτων της Ένωσης·

ια)

ενίσχυση των κανόνων για τη σύναψη συμβάσεων ώστε να διευκολυνθεί η επίτευξη υψηλού κοινού επιπέδου κυβερνοασφάλειας μέσω:

i)	της άρσης των συμβατικών φραγμών που περιορίζουν την κοινοποίηση από τους παρόχους υπηρεσιών ΤΠΕ στην CERT-ΕΕ πληροφοριών σχετικά με περιστατικά, ευπάθειες και κυβερνοαπειλές·

ii)	συμβατικών υποχρεώσεων υποβολής εκθέσεων για περιστατικά, ευπάθειες και κυβερνοαπειλές, καθώς και εφαρμογής κατάλληλων μηχανισμών αντιμετώπισης και παρακολούθησης περιστατικών.

Άρθρο 9

Σχέδια κυβερνοασφάλειας

1. Έπειτα από την ολοκλήρωση της αξιολόγησης του επιπέδου ωριμότητας στον τομέα της κυβερνοασφάλειας που διενεργείται σύμφωνα με το άρθρο 7 και λαμβάνοντας υπόψη τα περιουσιακά στοιχεία και τους κινδύνους κυβερνοασφάλειας που προσδιορίζονται στο πλαίσιο, καθώς και τα μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας που λαμβάνονται σύμφωνα με το άρθρο 8, το ανώτατο_διοικητικό_επίπεδο κάθε οντότητας της Ένωσης εγκρίνει σχέδιο κυβερνοασφάλειας χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση έως τις 8 Ιανουαρίου 2026. Το σχέδιο κυβερνοασφάλειας αποσκοπεί στην αύξηση της συνολικής κυβερνοασφάλειας της οντότητας της Ένωσης και, ως εκ τούτου, συμβάλλει στην ενίσχυση του υψηλού κοινού επιπέδου κυβερνοασφάλειας εντός των οντοτήτων της Ένωσης. Το σχέδιο κυβερνοασφάλειας περιλαμβάνει τουλάχιστον τα μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας που λαμβάνονται σύμφωνα με το άρθρο 8. Το σχέδιο κυβερνοασφάλειας αναθεωρείται ανά διετία ή συχνότερα όταν είναι αναγκαίο, μετά τις αξιολογήσεις του επιπέδου ωριμότητας στον τομέα της κυβερνοασφάλειας που διενεργούνται σύμφωνα με το άρθρο 7 ή μετά από οποιαδήποτε ουσιαστική επανεξέταση του πλαισίου.

2. Το σχέδιο κυβερνοασφάλειας περιλαμβάνει το σχέδιο της οντότητας της Ένωσης για τη διαχείριση κρίσεων στον κυβερνοχώρο όσον αφορά σοβαρά περιστατικά.

3. Η οντότητα της Ένωσης υποβάλλει το ολοκληρωμένο σχέδιο κυβερνοασφάλειας στο διοργανικό συμβούλιο κυβερνοασφάλειας που συγκροτείται σύμφωνα με το άρθρο 10.

ΚΕΦΑΛΑΙΟ III

ΔΙΟΡΓΑΝΙΚΟ ΣΥΜΒΟΥΛΙΟ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ

Άρθρο 10

Διοργανικό συμβούλιο κυβερνοασφάλειας

1. Ιδρύεται διοργανικό συμβούλιο κυβερνοασφάλειας («ΔΣΚ»).

2. Το ΔΣΚ είναι αρμόδιο για:

α)	την παρακολούθηση και την υποστήριξη της εφαρμογής του παρόντος κανονισμού από τις οντότητες_της_Ένωσης·

β)	την εποπτεία της υλοποίησης των γενικών προτεραιοτήτων και στόχων από την CERT-ΕΕ και την παροχή στρατηγικών κατευθύνσεων στην CERT-ΕΕ.

3. Το ΔΣΚ αποτελείται από:

α)

έναν εκπρόσωπο που ορίζει καθένας από τους ακόλουθους φορείς:

i)	το Ευρωπαϊκό Κοινοβούλιο·

ii)	το Ευρωπαϊκό Συμβούλιο·

iii)	το Συμβούλιο της Ευρωπαϊκής Ένωσης·

iv)	η Επιτροπή·

v)	το Δικαστήριο της Ευρωπαϊκής Ένωσης·

vi)	η Ευρωπαϊκή Κεντρική Τράπεζα·

vii)	το Ελεγκτικό Συνέδριο·

viii)

η Ευρωπαϊκή Υπηρεσία Εξωτερικής Δράσης·

ix)	η Ευρωπαϊκή Οικονομική και Κοινωνική Επιτροπή·

x)	η Ευρωπαϊκή Επιτροπή των Περιφερειών·

xi)	η Ευρωπαϊκή Τράπεζα Επενδύσεων·

xii)	το Ευρωπαϊκό Κέντρο Αρμοδιότητας για Βιομηχανικά, Τεχνολογικά και Ερευνητικά Θέματα Κυβερνοασφάλειας·

xiii)

ο ENISA·

xiv)	ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (ΕΕΠΔ)·

xv)	ο Οργανισμός της Ευρωπαϊκής Ένωσης για το Διαστημικό Πρόγραμμα.

β)

τρεις εκπροσώπους τους οποίους ορίζει το Δίκτυο Οργανισμών της ΕΕ («EUAN») βάσει πρότασης της συμβουλευτικής επιτροπής ΤΠΕ του εν λόγω Δικτύου για να εκπροσωπούν τα συμφέροντα των λοιπών οργάνων και οργανισμών της Ένωσης που διαχειρίζονται το δικό τους περιβάλλον ΤΠΕ, πέραν αυτών που αναφέρονται στο στοιχείο α).

Οι οντότητες_της_Ένωσης που εκπροσωπούνται στο ΔΣΚ επιδιώκουν την επίτευξη ισόρροπης εκπροσώπησης των φύλων μεταξύ των ορισθέντων εκπροσώπων.

4. Τα μέλη του ΔΣΚ μπορούν να επικουρούνται από αναπληρωτή. Ο πρόεδρος μπορεί να προσκαλεί και άλλους εκπροσώπους των οντοτήτων της Ένωσης που αναφέρονται στην παράγραφο 3 ή άλλων οντοτήτων της Ένωσης να παραστούν στις συνεδριάσεις του ΔΣΚ χωρίς δικαίωμα ψήφου.

5. Ο επικεφαλής της CERT-ΕΕ και οι πρόεδροι της Ομάδας Συνεργασίας, του δικτύου CSIRT και του EU-CyCLONe που συγκροτούνται σύμφωνα με τα άρθρα 14, 15 και 16, αντίστοιχα, της οδηγίας (ΕΕ) 2022/2555, ή οι αναπληρωτές τους, μπορούν να συμμετέχουν στις συνεδριάσεις του ΔΣΚ ως παρατηρητές. Σε εξαιρετικές περιπτώσειςΔΣΚ, το ΔΣΚ δύναται, σύμφωνα με τον εσωτερικό κανονισμό του, να αποφασίσει διαφορετικά.

6. Το ΔΣΚ θεσπίζει τον εσωτερικό κανονισμό του.

7. Το ΔΣΚ ορίζει πρόεδρο, σύμφωνα με τον εσωτερικό κανονισμό του, μεταξύ των μελών του για τριετή θητεία. Το πρόσωπο που αναπληρώνει τον πρόεδρο καθίσταται τακτικό μέλος του ΔΣΚ για την ίδια θητεία.

8. Το ΔΣΚ συνεδριάζει τουλάχιστον τρεις φορές ανά έτος με πρωτοβουλία του προέδρου του, κατόπιν αιτήματος της CERT-ΕΕ ή κατόπιν αιτήματος οποιουδήποτε από τα μέλη του.

9. Κάθε μέλος του ΔΣΚ διαθέτει μία ψήφο. Οι αποφάσεις του ΔΣΚ λαμβάνονται με απλή πλειοψηφία, εκτός εάν προβλέπεται διαφορετικά στον παρόντα κανονισμό. Ο πρόεδρος του ΔΣΚ δεν ψηφίζει παρά μόνο σε περίπτωση ισοψηφίας, οπότε υπερισχύει η δική του ψήφος.

10. Το ΔΣΚ δύναται να ενεργεί με απλουστευμένη γραπτή διαδικασία που κινείται σύμφωνα με τον εσωτερικό κανονισμό τουΔΣΚ. Σύμφωνα με τη διαδικασία αυτή, η σχετική απόφαση θεωρείται εγκριθείσα εντός της προθεσμίας που ορίζει ο πρόεδρος, εκτός εάν ένα μέλος διατυπώσει αντιρρήσεις.

11. Η Επιτροπή παρέχει γραμματειακή υποστήριξη στο ΔΣΚ και η γραμματεία είναι υπόλογη στον πρόεδρο του ΔΣΚ.

12. Οι εκπρόσωποι που ορίζονται από το EUAN διαβιβάζουν τις αποφάσεις του ΔΣΚ στα μέλη του EUAN. Κάθε μέλος του EUAN έχει το δικαίωμα να επιστήσει την προσοχή των εν λόγω εκπροσώπων ή του προέδρου του ΔΣΚ σε οποιοδήποτε ζήτημα θεωρεί ότι πρέπει να τεθεί υπόψη του ΔΣΚ.

13. Το ΔΣΚ μπορεί να συγκροτήσει εκτελεστική επιτροπή για να το επικουρεί στο έργο του, και να της αναθέσει ορισμένα από τα καθήκοντα και τις αρμοδιότητές του. Το ΔΣΚ θεσπίζει τον κανονισμό της εκτελεστικής επιτροπής, συμπεριλαμβανομένων των καθηκόντων και εξουσιών της και της θητείας των μελών της.

14. Έως τις 8 Ιανουαρίου 2025 και, στη συνέχεια, σε ετήσια βάση, το ΔΣΚ υποβάλλει έκθεση στο Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο, στην οποία περιγράφεται λεπτομερώς η πρόοδος που έχει σημειωθεί όσον αφορά την εφαρμογή του παρόντος κανονισμού και προσδιορίζεται ιδίως ο βαθμός συνεργασίας της CERT-EΕ με τους ομολόγους της σε κάθε κράτος μέλος. Η έκθεση παρέχει στοιχεία για την ανά διετία έκθεση σχετικά με την κατάσταση της κυβερνοασφάλειας στην Ένωση που εγκρίνεται σύμφωνα με το άρθρο 18 της οδηγίας (ΕΕ) 2022/2555.

Άρθρο 11

Καθήκοντα του ΔΣΚ

Κατά την άσκηση των αρμοδιοτήτων του, το ΔΣΚ ειδικότερα:

α)	παρέχει καθοδήγηση στον επικεφαλής της CERT-ΕΕ·

β)	παρακολουθεί και εποπτεύει αποτελεσματικά την εφαρμογή του παρόντος κανονισμού και στηρίζει τις οντότητες_της_Ένωσης στην ενίσχυση της κυβερνοασφάλειάς τους, μεταξύ άλλων ζητώντας, κατά περίπτωση, ad hoc εκθέσεις από τις οντότητες_της_Ένωσης και την CERT-ΕΕ·

γ)	κατόπιν στρατηγικής συζήτησης, εγκρίνει πολυετή στρατηγική για την ενίσχυση του επιπέδου κυβερνοασφάλειας στις οντότητες_της_Ένωσης, αξιολογεί την εν λόγω στρατηγική σε τακτική βάση και τουλάχιστον ανά πενταετία και, κατά περίπτωση, τροποποιεί την εν λόγω στρατηγική·

δ)

καθορίζει τη μεθοδολογία και τις οργανωτικές πτυχές για τη διενέργεια εθελοντικών αξιολογήσεων από ομοτίμους μεταξύ των οντοτήτων της Ένωσης, με σκοπό την άντληση διδαγμάτων από κοινές εμπειρίες, την ενίσχυση της αμοιβαίας εμπιστοσύνης, την επίτευξη υψηλού κοινού επιπέδου κυβερνοασφάλειας, καθώς και την ενίσχυση των ικανοτήτων κυβερνοασφάλειας των οντοτήτων της Ένωσης, διασφαλίζοντας ότι οι εν λόγω αξιολογήσεις από ομοτίμους διενεργούνται από εμπειρογνώμονες στον τομέα της κυβερνοασφάλειας που ορίζονται από οντότητα της Ένωσης διαφορετική από την αξιολογούμενη οντότητα της Ένωσης και ότι η μεθοδολογία βασίζεται στο άρθρο 19 της οδηγίας (ΕΕ) 2022/2555 και, κατά περίπτωση, προσαρμόζεται στις οντότητες_της_Ένωσης·

ε)	εγκρίνει, βάσει πρότασης του επικεφαλής της CERT-ΕΕ, το ετήσιο πρόγραμμα εργασιών της CERT-ΕΕ και παρακολουθεί την εφαρμογή του·

στ)	εγκρίνει, βάσει πρότασης του επικεφαλής της CERT-ΕΕ, τον κατάλογο υπηρεσιών της CERT-ΕΕ και τυχόν επικαιροποιήσεις του·

ζ)	εγκρίνει, βάσει πρότασης του επικεφαλής της CERT-ΕΕ, τον ετήσιο οικονομικό προγραμματισμό των εσόδων και των δαπανών, συμπεριλαμβανομένης της στελέχωσης, για τις δραστηριότητες της CERT-ΕΕ·

η)	εγκρίνει, βάσει πρότασης του επικεφαλής της CERT-ΕΕ, τις ρυθμίσεις για τις συμφωνίες επιπέδου υπηρεσιών·

θ)	εξετάζει και εγκρίνει την ετήσια έκθεση που καταρτίζει ο επικεφαλής της CERT-ΕΕ, η οποία καλύπτει τις δραστηριότητες της CERT-ΕΕ και την από μέρους της διαχείριση κονδυλίων·

ι)	εγκρίνει και παρακολουθεί τους βασικούς δείκτες επιδόσεων (ΒΔΕ) της CERT-ΕΕ, οι οποίοι καθορίζονται βάσει πρότασης του επικεφαλής της CERT-ΕΕ·

ια)	εγκρίνει ρυθμίσεις συνεργασίας, συμφωνίες ή συμβάσεις σε επίπεδο υπηρεσιών μεταξύ της CERT-ΕΕ και άλλων οντοτήτων σύμφωνα με το άρθρο 18·

ιβ)	εγκρίνει κατευθυντήριες γραμμές και συστάσεις βάσει πρότασης της CERT-ΕΕ σύμφωνα με το άρθρο 14 και αναθέτει στην CERT-ΕΕ να εκδώσει, να αποσύρει ή να τροποποιήσει πρόταση για κατευθυντήριες γραμμές ή συστάσεις, ή πρόσκληση για ανάληψη δράσης·

ιγ)	συγκροτεί τεχνικές συμβουλευτικές ομάδες με συγκεκριμένα καθήκοντα, προκειμένου να συνδράμουν το ΔΣΚ στο έργο του, εγκρίνει την εντολή τους και ορίζει τον πρόεδρο κάθε ομάδας·

ιδ)	λαμβάνει και αξιολογεί έγγραφα και εκθέσεις που υποβάλλουν οι οντότητες_της_Ένωσης δυνάμει του παρόντος κανονισμού, όπως αξιολογήσεις του επιπέδου ωριμότητας στον τομέα της κυβερνοασφάλειας·

ιε)	διευκολύνει τη σύσταση άτυπης ομάδας τοπικών υπευθύνων κυβερνοασφάλειας των οντοτήτων της Ένωσης, με την υποστήριξη του ENISA, με στόχο την ανταλλαγή βέλτιστων πρακτικών και πληροφοριών σε σχέση με την εφαρμογή του παρόντος κανονισμού·

ιστ)

λαμβάνοντας υπόψη τις πληροφορίες που παρέχονται από την CERT-ΕΕ σχετικά με τους εντοπισθέντες κινδύνους κυβερνοασφάλειας και τα διδάγματα που αντλήθηκαν, παρακολουθεί την επάρκεια των ρυθμίσεων διασυνδεσιμότητας μεταξύ των περιβαλλόντων ΤΠΕ των οντοτήτων της Ένωσης και παρέχει συμβουλές σχετικά με πιθανές βελτιώσεις·

ιζ)

καταρτίζει σχέδιο διαχείρισης κρίσεων στον κυβερνοχώρο με σκοπό τη στήριξη, σε επιχειρησιακό επίπεδο, της συντονισμένης διαχείρισης σοβαρών περιστατικών που επηρεάζουν οντότητες_της_Ένωσης, και τη συμβολή στην τακτική ανταλλαγή σχετικών πληροφοριών, ιδίως όσον αφορά τις επιπτώσεις και την κρισιμότητα σοβαρών περιστατικών και τους πιθανούς τρόπους μετριασμού των επιπτώσεών τους·

ιη)	συντονίζει την έγκριση των σχεδίων διαχείρισης κρίσεων στον κυβερνοχώρο που καταρτίζουν οι επιμέρους οντότητες_της_Ένωσης και τα οποία αναφέρονται στο άρθρο 9 παράγραφος 2·

ιθ)

εκδίδει συστάσεις σχετικά με την ασφάλεια στον κυβερνοχώρο που αναφέρονται στο άρθρο 8 παράγραφος 2 πρώτο εδάφιο στοιχείο ιγ), λαμβάνοντας υπόψη τα αποτελέσματα των συντονισμένων σε ενωσιακό επίπεδο εκτιμήσεων κινδύνου για τις κρίσιμες αλυσίδες εφοδιασμού που αναφέρονται στο άρθρο 22 της οδηγίας (ΕΕ) 2022/2555, για να στηρίξει τις οντότητες_της_Ένωσης στη θέσπιση αποτελεσματικών και αναλογικών μέτρων διαχείρισης κινδύνων κυβερνοασφάλειας.

Άρθρο 15

Επικεφαλής της CERT-ΕΕ

1. Η Επιτροπή, αφού λάβει την έγκριση πλειοψηφίας δύο τρίτων των μελών του ΔΣΚ, διορίζει τον επικεφαλής της CERT-EΕ. Ζητείται η γνώμη του ΔΣΚ σε όλα τα στάδια της διαδικασίας διορισμού, ιδίως όσον αφορά τη σύνταξη προκηρύξεων κενής θέσης, την εξέταση των αιτήσεων και τον ορισμό των εξεταστικών επιτροπών σε σχέση με την εκάστοτε θέση. Η διαδικασία επιλογής, συμπεριλαμβανομένου του τελικού καταλόγου επικρατέστερων υποψηφίων μεταξύ των οποίων θα επιλεγεί το άτομο που θα διοριστεί στη θέση του επικεφαλής της CERT-ΕΕ, διασφαλίζει τη δίκαιη εκπροσώπηση κάθε φύλου, λαμβανομένων υπόψη των αιτήσεων που έχουν υποβληθεί.

2. Ο επικεφαλής της CERT-ΕΕ είναι αρμόδιος για την εύρυθμη λειτουργία της CERT-ΕΕ και ενεργεί στο πλαίσιο των αρμοδιοτήτων του ρόλου του υπό την καθοδήγηση του ΔΣΚ. Ο επικεφαλής της CERT-ΕΕ υποβάλλει τακτικά εκθέσεις στον πρόεδρο του ΔΣΚ και υποβάλλει ad hoc εκθέσεις στο ΔΣΚ κατόπιν αιτήματός του.

3. Ο επικεφαλής της CERT-ΕΕ συνδράμει τον αρμόδιο κύριο διατάκτη κατά τη σύνταξη της ετήσιας έκθεσης δραστηριοτήτων η οποία περιλαμβάνει δημοσιονομικές και διαχειριστικές πληροφορίες, μεταξύ των οποίων τα αποτελέσματα ελέγχων, και η οποία συντάσσεται βάσει του άρθρου 74 παράγραφος 9 του κανονισμού (ΕΕ, Ευρατόμ) 2018/1046 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (9), και υποβάλλει τακτικά εκθέσεις στον κύριο διατάκτη σχετικά με την εφαρμογή των μέτρων για τα οποία έχει ανατεθεί αρμοδιότητα στον επικεφαλής της CERT-ΕΕ.

4. Ο επικεφαλής της CERT-ΕΕ καταρτίζει, σε ετήσια βάση, οικονομικό προγραμματισμό των διοικητικών εσόδων και δαπανών για τις δραστηριότητές της, το προτεινόμενο ετήσιο πρόγραμμα εργασίας, τον προτεινόμενο κατάλογο υπηρεσιών για την CERT-ΕΕ, προτεινόμενες αναθεωρήσεις του καταλόγου υπηρεσιών, προτεινόμενες ρυθμίσεις για συμφωνίες σε επίπεδο υπηρεσιών και προτεινόμενους ΒΔΕ για τη CERT-EΕ, που πρέπει να εγκριθούν από το ΔΣΚ σύμφωνα με το άρθρο 11. Κατά την αναθεώρηση του καταλόγου υπηρεσιών της CERT-ΕΕ, ο επικεφαλής της CERT-ΕΕ λαμβάνει υπόψη τους πόρους που διατίθενται στη CERT-EΕ.

5. Ο επικεφαλής της CERT-ΕΕ υποβάλλει εκθέσεις, τουλάχιστον σε ετήσια βάση, στο ΔΣΚ και στον πρόεδρο του ΔΣΚ σχετικά με τις δραστηριότητες και τις επιδόσεις της CERT-ΕΕ κατά την περίοδο αναφοράς, μεταξύ άλλων όσον αφορά την εκτέλεση του προϋπολογισμού, τις συμφωνίες επιπέδου υπηρεσιών και τις γραπτές συμφωνίες που έχουν συναφθεί, τη συνεργασία με ομολόγους και εταίρους, καθώς και σχετικά με τις αποστολές που αναλαμβάνει το προσωπικό, συμπεριλαμβανομένων των εκθέσεων που αναφέρονται στο άρθρο 11. Οι εν λόγω εκθέσεις περιλαμβάνουν το πρόγραμμα εργασίας για την επόμενη περίοδο, τον δημοσιονομικό προγραμματισμό των εσόδων και των δαπανών, συμπεριλαμβανομένης της στελέχωσης, τις προγραμματισμένες επικαιροποιήσεις του καταλόγου υπηρεσιών της CERT-ΕΕ και αξιολόγηση του αναμενόμενου αντικτύπου που ενδέχεται να έχουν οι εν λόγω επικαιροποιήσεις όσον αφορά τους οικονομικούς και ανθρώπινους πόρους.

Άρθρο 23

Διαχείριση σοβαρών περιστατικών

1. Για την υποστήριξη σε επιχειρησιακό επίπεδο της συντονισμένης διαχείρισης σοβαρών περιστατικών που επηρεάζουν οντότητες_της_Ένωσης και για τη συμβολή στην τακτική ανταλλαγή σχετικών πληροφοριών μεταξύ των οντοτήτων της Ένωσης και με τα κράτη μέλη, το ΔΣΚ καταρτίζει, σύμφωνα με το άρθρο 11 στοιχείο ιζ), σχέδιο διαχείρισης κρίσεων στον κυβερνοχώρο με βάση τις δραστηριότητες που αναφέρονται στο άρθρο 22 παράγραφος 2, σε στενή συνεργασία με την CERT-ΕΕ και τον ENISA. Το σχέδιο διαχείρισης κρίσεων στον κυβερνοχώρο περιλαμβάνει τουλάχιστον τα ακόλουθα στοιχεία:

α)	ρυθμίσεις σχετικά με τον συντονισμό και τη ροή πληροφοριών μεταξύ των οντοτήτων της Ένωσης για τη διαχείριση σοβαρών περιστατικών σε επιχειρησιακό επίπεδο·

β)	κοινές τυποποιημένες επιχειρησιακές διαδικασίες·

γ)	κοινή ταξινόμηση της κρισιμότητας των σοβαρών περιστατικών και των σημείων που πυροδοτούν κρίσεις·

δ)	τακτικές ασκήσεις·

ε	ασφαλείς διαύλους επικοινωνίας που πρέπει να χρησιμοποιούνται.

2. Ο εκπρόσωπος της Επιτροπής στο ΔΣΚ, με την επιφύλαξη του σχεδίου διαχείρισης κρίσεων στον κυβερνοχώρο που καταρτίζεται σύμφωνα με την παράγραφο 1 του παρόντος άρθρου και με την επιφύλαξη του άρθρου 16 παράγραφος 2 πρώτο εδάφιο της οδηγίας (ΕΕ) 2022/2555, αποτελεί το σημείο επαφής για την ανταλλαγή σχετικών πληροφοριών με το EU-CyCLONe σε σχέση με σοβαρά περιστατικά.

3. Η CERT-ΕΕ συντονίζει μεταξύ των οντοτήτων της Ένωσης τη διαχείριση σοβαρών περιστατικών. Τηρεί κατάλογο της διαθέσιμης τεχνικής εμπειρογνωσίας που απαιτείται για την αντιμετώπιση περιστατικών σε περίπτωση σοβαρών περιστατικών και επικουρεί το ΔΣΚ στον συντονισμό των σχεδίων διαχείρισης κρίσεων στον κυβερνοχώρο των οντοτήτων της Ένωσης για σοβαρά περιστατικά που αναφέρονται στο άρθρο 9 παράγραφος 2.

4. Οι οντότητες_της_Ένωσης συμβάλλουν στην κατάρτιση του καταλόγου τεχνικής εμπειρογνωσίας παρέχοντας και επικαιροποιώντας σε ετήσια βάση κατάλογο των διαθέσιμων εμπειρογνωμόνων στο πλαίσιο των αντίστοιχων οργανισμών τους, στον οποίον αναφέρονται λεπτομερώς οι ειδικές τεχνικές δεξιότητές τους.

ΚΕΦΑΛΑΙΟ VI

ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

whereas

keyboard_tab Cyber Resilience Act 2023/2841 EL

Cyber Resilience Act 2023/2841 EL