keyboard_tab Cyber Resilience Act 2023/2841 EL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Άρθρο 3 Ορισμοί
- 1 Άρθρο 6 Πλαίσιο διαχείρισης, διακυβέρνησης και ελέγχου κινδύνων
ΚΕΦΑΛΑΙΟ Ι
ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
ΚΕΦΑΛΑΙΟ ΙΙ
ΜΕΤΡΑ ΓΙΑ ΥΨΗΛΟ ΚΟΙΝΟ ΕΠΙΠΕΔΟ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ
ΚΕΦΑΛΑΙΟ III
ΔΙΟΡΓΑΝΙΚΟ ΣΥΜΒΟΥΛΙΟ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ
ΚΕΦΑΛΑΙΟ IV
CERT-EΕ
ΚΕΦΑΛΑΙΟ V
ΥΠΟΧΡΕΩΣΕΙΣ ΣΥΝΕΡΓΑΣΙΑΣ ΚΑΙ ΥΠΟΒΟΛΗΣ ΑΝΑΦΟΡΩΝ
ΚΕΦΑΛΑΙΟ VI
ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
- οντότητες της Ένωσης
- δικτυακό και πληροφοριακό σύστημα
- ασφάλεια συστημάτων δικτύου και πληροφοριών
- κυβερνοασφάλεια
- ανώτατο διοικητικό επίπεδο
- παρ’ ολίγον περιστατικό
- περιστατικό
- σοβαρό περιστατικό
- περιστατικό μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας
- χειρισμός περιστατικών
- κυβερνοαπειλή
- σημαντική κυβερνοαπειλή
- ευπάθεια
- κίνδυνος κυβερνοασφάλειας
- υπηρεσία υπολογιστικού νέφους
- της 60
- και 32
- του 26
- Ένωσης 24
- την 22
- κυβερνοασφάλειας 18
- με 18
- που 15
- το 15
- άρθρο 14
- οντότητας 14
- στο 14
- κανονισμού 13
- να 13
- για 13
- όπως 12
- τη 12
- ορίζεται 11
- σημείο 11
- σε 11
- παρόντος 10
- των 10
- πλαίσιο 10
- οδηγίας 8
- κάθε 7
- οντότητα 7
- ΕΕ /· 7
- τους 7
- κινδύνων 6
- εφαρμογή 6
- τις 6
- περιστατικό 5
- τα 5
- σχετικά 4
- καθώς 4
- Το 4
- μπορεί 4
- κατά 4
- ανώτατο_διοικητικό_επίπεδο 4
- επιπέδου 4
- εν 4
- λόγω 4
- διαχείρισης 4
- cert-eΕ 4
- ελέγχου 3
- διακυβέρνησης 3
- σύμφωνα 3
- καθήκοντα 3
- όσον 3
- αφορά 3
Άρθρο 3
Ορισμοί
Για τους σκοπούς του παρόντος κανονισμού, ισχύουν οι ακόλουθοι ορισμοί:
| 1) | « οντότητες_της_Ένωσης»: τα θεσμικά και λοιπά όργανα και οργανισμοί της Ένωσης που έχουν ιδρυθεί με τη Συνθήκη για την Ευρωπαϊκή Ένωση, τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ) ή τη Συνθήκη για την ίδρυση της Ευρωπαϊκής Κοινότητας Ατομικής Ενέργειας, ή δυνάμει των Συνθηκών αυτών· |
| 2) | « δικτυακό_και_πληροφοριακό_σύστημα»: το δικτυακό_και_πληροφοριακό_σύστημα όπως ορίζεται στο άρθρο 6 σημείο 1) της οδηγίας (ΕΕ) 2022/2555· |
| 3) | « ασφάλεια_συστημάτων_δικτύου_και_πληροφοριών»: η ασφάλεια_συστημάτων_δικτύου_και_πληροφοριών όπως ορίζεται στο άρθρο 6 σημείο 2) της οδηγίας (EΕ) 2022/2555· |
| 4) | « κυβερνοασφάλεια»: η κυβερνοασφάλεια όπως ορίζεται στο άρθρο 2 σημείο 1) του κανονισμού (ΕΕ) 2019/881· |
| 5) | « ανώτατο_διοικητικό_επίπεδο»: διοικητικό στέλεχος, όργανο διοίκησης ή όργανο συντονισμού και εποπτείας αρμόδιο για τη λειτουργία οντότητας της Ένωσης, στο ανώτερο διοικητικό επίπεδο, με εντολή να εκδίδει ή να εγκρίνει αποφάσεις σύμφωνα με τις ρυθμίσεις διακυβέρνησης υψηλού επιπέδου της εν λόγω οντότητας της Ένωσης και με την επιφύλαξη των τυπικών αρμοδιοτήτων άλλων επιπέδων διοίκησης όσον αφορά τη συμμόρφωση και τη διαχείριση κινδύνων κυβερνοασφάλειας στους αντίστοιχους τομείς αρμοδιότητάς τους· |
| 6) | « παρ’_ολίγον_ περιστατικό»: το παρ’_ολίγον_ περιστατικό όπως ορίζεται στο άρθρο 6 σημείο 5) της οδηγίας (ΕΕ) 2022/2555· |
| 7) | « περιστατικό»: το περιστατικό όπως ορίζεται στο άρθρο 6 σημείο 6) της οδηγίας (ΕΕ) 2022/2555· |
| 8) | «σοβαρό περιστατικό»: κάθε περιστατικό που προκαλεί διαταραχή η οποία υπερβαίνει την ικανότητα μιας οντότητας της Ένωσης και της CERT-EE να ανταποκριθεί σε αυτήν ή που έχει σημαντικό αντίκτυπο σε τουλάχιστον δύο οντότητες_της_Ένωσης· |
| 9) | « περιστατικό μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας»: το περιστατικό μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας όπως ορίζεται στο άρθρο 6 σημείο 7) της οδηγίας (ΕΕ) 2022/2555· |
| 10) | « χειρισμός_περιστατικών»: ο χειρισμός_περιστατικών όπως ορίζεται στο άρθρο 6 σημείο 8) της οδηγίας (ΕΕ) 2022/2555· |
| 11) | « κυβερνοαπειλή»: η κυβερνοαπειλή όπως ορίζεται στο άρθρο 2 σημείο 8) του κανονισμού (ΕΕ) 2019/881· |
| 12) | «σημαντική κυβερνοαπειλή»: η σημαντική κυβερνοαπειλή όπως ορίζεται στο άρθρο 6 σημείο 11) της οδηγίας (ΕΕ) 2022/2555· |
| 13) | « ευπάθεια»: η ευπάθεια όπως ορίζεται στο άρθρο 6 σημείο 15 της οδηγίας (ΕΕ) 2022/2555· |
| 14) | «κίνδυνος κυβερνοασφάλειας»: ο κίνδυνος όπως ορίζεται στο άρθρο 6 σημείο 9) της οδηγίας (ΕΕ) 2022/2555· |
| 15) | « υπηρεσία_υπολογιστικού_νέφους»: η υπηρεσία_υπολογιστικού_νέφους όπως περιγράφεται στο άρθρο 6 σημείο 30) της οδηγίας (ΕΕ) 2022/2555. |
Άρθρο 6
Πλαίσιο διαχείρισης, διακυβέρνησης και ελέγχου κινδύνων
1. Έως τις 8 Απριλίου 2025, κάθε οντότητα της Ένωσης, μετά τη διενέργεια αρχικής επανεξέτασης της κυβερνοασφάλειας, π.χ. μέσω ελέγχου, θεσπίζει εσωτερικό πλαίσιο διαχείρισης, διακυβέρνησης και ελέγχου κινδύνων κυβερνοασφάλειας («το πλαίσιο»). Η θέσπιση του πλαισίου εποπτεύεται και τελεί υπό την ευθύνη του ανώτατου διοικητικού επιπέδου της οντότητας της Ένωσης.
2. Το πλαίσιο καλύπτει ολόκληρο το μη διαβαθμισμένο περιβάλλον ΤΠΕ της οικείας οντότητας της Ένωσης, συμπεριλαμβανομένων τυχόν περιβάλλοντος ΤΠΕ και δικτύου λειτουργικής τεχνολογίας εντός των εγκαταστάσεων, καθώς και περιουσιακών στοιχείων και υπηρεσιών που λειτουργούν εξωτερικά σε περιβάλλοντα νεφοϋπολογιστικής ή φιλοξενούνται από τρίτους, κινητών συσκευών, εταιρικών δικτύων, επιχειρηματικών δικτύων που δεν συνδέονται με το διαδίκτυο και τυχόν συσκευών που συνδέονται με τα εν λόγω περιβάλλοντα («περιβάλλον ΤΠΕ»). Το πλαίσιο βασίζεται σε ολιστική προσέγγιση των κινδύνων.
3. Το πλαίσιο διασφαλίζει υψηλό επίπεδο κυβερνοασφάλειας. Το πλαίσιο καθορίζει εσωτερικές πολιτικές κυβερνοασφάλειας, συμπεριλαμβανομένων στόχων και προτεραιοτήτων, για την ασφάλεια των συστημάτων δικτύου και πληροφοριών, καθώς και τους ρόλους και τις αρμοδιότητες του προσωπικού της οντότητας της Ένωσης που είναι επιφορτισμένο με τη διασφάλιση της αποτελεσματικής εφαρμογής του παρόντος κανονισμού. Το πλαίσιο περιλαμβάνει επίσης μηχανισμούς για τη μέτρηση της αποτελεσματικότητας της εφαρμογής.
4. Το πλαίσιο επανεξετάζεται τακτικά, υπό το πρίσμα των μεταβαλλόμενων κινδύνων κυβερνοασφάλειας, και τουλάχιστον ανά τετραετία. Κατά περίπτωση και κατόπιν αιτήματος του διοργανικού συμβουλίου κυβερνοασφάλειας που συγκροτείται σύμφωνα με το άρθρο 10, το πλαίσιο οντότητας της Ένωσης μπορεί να επικαιροποιείται με βάση την καθοδήγηση της CERT-ΕΕ σχετικά με περιστατικά που καταγράφονται ή πιθανά κενά που παρατηρούνται κατά την εφαρμογή του παρόντος κανονισμού.
5. Το ανώτατο_διοικητικό_επίπεδο κάθε οντότητας της Ένωσης είναι υπεύθυνο για την εφαρμογή του παρόντος κανονισμού και επιβλέπει τη συμμόρφωση της οργάνωσής της με τις υποχρεώσεις που σχετίζονται με το πλαίσιο.
6. Κατά περίπτωση και με την επιφύλαξη της ευθύνης του για την εφαρμογή του παρόντος κανονισμού, το ανώτατο_διοικητικό_επίπεδο κάθε οντότητας της Ένωσης μπορεί να αναθέτει την εκπλήρωση συγκεκριμένων υποχρεώσεων δυνάμει του παρόντος κανονισμού σε ανώτερους υπαλλήλους κατά την έννοια του άρθρου 29 παράγραφος 2 του κανονισμού υπηρεσιακής κατάστασης ή σε άλλους υπαλλήλους ισοδύναμου επιπέδου, εντός της οικείας οντότητας της Ένωσης. Ανεξάρτητα από οποιαδήποτε τέτοια ανάθεση, το ανώτατο_διοικητικό_επίπεδο μπορεί να θεωρηθεί υπεύθυνο για παραβάσεις του παρόντος κανονισμού από την οικεία οντότητα της Ένωσης.
7. Κάθε οντότητα της Ένωσης εφαρμόζει αποτελεσματικούς μηχανισμούς για να διασφαλίζει ότι οι δαπάνες για την κυβερνοασφάλεια ανέρχονται σε επαρκές ποσοστό του προϋπολογισμού για την ΤΠΕ. Κατά τον καθορισμό του ποσοστού αυτού λαμβάνεται δεόντως υπόψη το πλαίσιο.
8. Κάθε οντότητα της Ένωσης διορίζει τοπικό υπεύθυνο κυβερνοασφάλειας ή άλλο πρόσωπο με αντίστοιχες ευθύνες, που ενεργεί ως ενιαίο σημείο επαφής όσον αφορά όλες τις πτυχές της κυβερνοασφάλειας. Ο τοπικός υπεύθυνος κυβερνοασφάλειας διευκολύνει την εφαρμογή του παρόντος κανονισμού και υποβάλλει εκθέσεις απευθείας στο ανώτατο_διοικητικό_επίπεδο σε τακτική βάση σχετικά με την πορεία της εφαρμογής. Χωρίς να θίγεται ο ρόλος του τοπικού υπεύθυνου κυβερνοασφάλειας ως ενιαίου σημείου επαφής σε κάθε οντότητα της Ένωσης, μια οντότητα της Ένωσης μπορεί να αναθέτει στη CERT-EΕ ορισμένα καθήκοντα του τοπικού υπευθύνου κυβερνοασφάλειας όσον αφορά την εφαρμογή του παρόντος κανονισμού βάσει συμφωνίας σε επίπεδο υπηρεσιών που συνάπτεται μεταξύ της εν λόγω οντότητας της Ένωσης και της CERT-EΕ, ή τα εν λόγω καθήκοντα μπορούν να επιμερίζονται μεταξύ περισσότερων οντοτήτων της Ένωσης. Όταν τα καθήκοντα αυτά ανατίθενται στην CERT-ΕΕ, το διοργανικό συμβούλιο κυβερνοασφάλειας που συγκροτείται σύμφωνα με το άρθρο 10 αποφασίζει κατά πόσον η παροχή της υπηρεσίας αυτής αποτελεί μέρος των βασικών υπηρεσιών της CERT-EΕ, λαμβάνοντας υπόψη τους ανθρώπινους και οικονομικούς πόρους της οικείας οντότητας της Ένωσης. Κάθε οντότητα της Ένωσης ενημερώνει, χωρίς αδικαιολόγητη καθυστέρηση, τη CERT-EΕ σχετικά με τους διορισμένους τοπικούς υπεύθυνους κυβερνοασφάλειας και για κάθε μεταγενέστερη αλλαγή τους.
Η CERT-ΕΕ καταρτίζει και διατηρεί επίκαιρο κατάλογο των διορισμένων τοπικών υπευθύνων κυβερνοασφάλειας.
9. Οι ανώτεροι υπάλληλοι κατά την έννοια του άρθρου 29 παράγραφος 2 του κανονισμού υπηρεσιακής κατάστασης ή άλλοι υπάλληλοι ισοδύναμου επιπέδου κάθε οντότητας της Ένωσης, καθώς και όλα τα σχετικά μέλη του προσωπικού που είναι επιφορτισμένα με την εφαρμογή των μέτρων και την εκπλήρωση των υποχρεώσεων διαχείρισης κινδύνων κυβερνοασφάλειας του παρόντος κανονισμού, παρακολουθούν σε τακτική βάση ειδικά προγράμματα κατάρτισης, ώστε να αποκτούν επαρκείς γνώσεις και δεξιότητες προκειμένου να κατανοούν και να αξιολογούν τους κινδύνους και τις πρακτικές διαχείρισης της κυβερνοασφάλειας, καθώς και τον αντίκτυπό τους στις δραστηριότητες της οντότητας της Ένωσης.
whereas