keyboard_tab Cyber Resilience Act 2023/2841 EL

1.   Ιδρύεται διοργανικό συμβούλιο κυβερνοασφάλειας («ΔΣΚ»).

2.   Το ΔΣΚ είναι αρμόδιο για:

3.   Το ΔΣΚ αποτελείται από:

Οι οντότητες_της_Ένωσης που εκπροσωπούνται στο ΔΣΚ επιδιώκουν την επίτευξη ισόρροπης εκπροσώπησης των φύλων μεταξύ των ορισθέντων εκπροσώπων.

4.   Τα μέλη του ΔΣΚ μπορούν να επικουρούνται από αναπληρωτή. Ο πρόεδρος μπορεί να προσκαλεί και άλλους εκπροσώπους των οντοτήτων της Ένωσης που αναφέρονται στην παράγραφο 3 ή άλλων οντοτήτων της Ένωσης να παραστούν στις συνεδριάσεις του ΔΣΚ χωρίς δικαίωμα ψήφου.

5.   Ο επικεφαλής της CERT-ΕΕ και οι πρόεδροι της Ομάδας Συνεργασίας, του δικτύου CSIRT και του EU-CyCLONe που συγκροτούνται σύμφωνα με τα άρθρα 14, 15 και 16, αντίστοιχα, της οδηγίας (ΕΕ) 2022/2555, ή οι αναπληρωτές τους, μπορούν να συμμετέχουν στις συνεδριάσεις του ΔΣΚ ως παρατηρητές. Σε εξαιρετικές περιπτώσειςΔΣΚ, το ΔΣΚ δύναται, σύμφωνα με τον εσωτερικό κανονισμό του, να αποφασίσει διαφορετικά.

6.   Το ΔΣΚ θεσπίζει τον εσωτερικό κανονισμό του.

7.   Το ΔΣΚ ορίζει πρόεδρο, σύμφωνα με τον εσωτερικό κανονισμό του, μεταξύ των μελών του για τριετή θητεία. Το πρόσωπο που αναπληρώνει τον πρόεδρο καθίσταται τακτικό μέλος του ΔΣΚ για την ίδια θητεία.

8.   Το ΔΣΚ συνεδριάζει τουλάχιστον τρεις φορές ανά έτος με πρωτοβουλία του προέδρου του, κατόπιν αιτήματος της CERT-ΕΕ ή κατόπιν αιτήματος οποιουδήποτε από τα μέλη του.

9.   Κάθε μέλος του ΔΣΚ διαθέτει μία ψήφο. Οι αποφάσεις του ΔΣΚ λαμβάνονται με απλή πλειοψηφία, εκτός εάν προβλέπεται διαφορετικά στον παρόντα κανονισμό. Ο πρόεδρος του ΔΣΚ δεν ψηφίζει παρά μόνο σε περίπτωση ισοψηφίας, οπότε υπερισχύει η δική του ψήφος.

10.   Το ΔΣΚ δύναται να ενεργεί με απλουστευμένη γραπτή διαδικασία που κινείται σύμφωνα με τον εσωτερικό κανονισμό τουΔΣΚ. Σύμφωνα με τη διαδικασία αυτή, η σχετική απόφαση θεωρείται εγκριθείσα εντός της προθεσμίας που ορίζει ο πρόεδρος, εκτός εάν ένα μέλος διατυπώσει αντιρρήσεις.

11.   Η Επιτροπή παρέχει γραμματειακή υποστήριξη στο ΔΣΚ και η γραμματεία είναι υπόλογη στον πρόεδρο του ΔΣΚ.

12.   Οι εκπρόσωποι που ορίζονται από το EUAN διαβιβάζουν τις αποφάσεις του ΔΣΚ στα μέλη του EUAN. Κάθε μέλος του EUAN έχει το δικαίωμα να επιστήσει την προσοχή των εν λόγω εκπροσώπων ή του προέδρου του ΔΣΚ σε οποιοδήποτε ζήτημα θεωρεί ότι πρέπει να τεθεί υπόψη του ΔΣΚ.

13.   Το ΔΣΚ μπορεί να συγκροτήσει εκτελεστική επιτροπή για να το επικουρεί στο έργο του, και να της αναθέσει ορισμένα από τα καθήκοντα και τις αρμοδιότητές του. Το ΔΣΚ θεσπίζει τον κανονισμό της εκτελεστικής επιτροπής, συμπεριλαμβανομένων των καθηκόντων και εξουσιών της και της θητείας των μελών της.

14.   Έως τις 8 Ιανουαρίου 2025 και, στη συνέχεια, σε ετήσια βάση, το ΔΣΚ υποβάλλει έκθεση στο Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο, στην οποία περιγράφεται λεπτομερώς η πρόοδος που έχει σημειωθεί όσον αφορά την εφαρμογή του παρόντος κανονισμού και προσδιορίζεται ιδίως ο βαθμός συνεργασίας της CERT-EΕ με τους ομολόγους της σε κάθε κράτος μέλος. Η έκθεση παρέχει στοιχεία για την ανά διετία έκθεση σχετικά με την κατάσταση της κυβερνοασφάλειας στην Ένωση που εγκρίνεται σύμφωνα με το άρθρο 18 της οδηγίας (ΕΕ) 2022/2555.

1.   Το ΔΣΚ, σύμφωνα με το άρθρο 10 παράγραφος 2 και το άρθρο 11, παρακολουθεί αποτελεσματικά την εφαρμογή του παρόντος κανονισμού και των εκδοθεισών κατευθυντήριων γραμμών, συστάσεων και εκκλήσεων για ανάληψη δράσης από τις οντότητες_της_Ένωσης. Το ΔΣΚ μπορεί να ζητεί από τις οντότητες_της_Ένωσης πληροφορίες ή έγγραφα που απαιτούνται για τον σκοπό αυτό. Για τους σκοπούς της έγκρισης μέτρων συμμόρφωσης δυνάμει του παρόντος άρθρου, όταν η οικεία οντότητα της Ένωσης εκπροσωπείται άμεσα στο ΔΣΚ, δεν έχει δικαίωμα ψήφου.

2.   Όταν το ΔΣΚ διαπιστώνει ότι μια οντότητα της Ένωσης δεν έχει εφαρμόσει αποτελεσματικά τον παρόντα κανονισμό ή τις κατευθυντήριες γραμμές, τις συστάσεις ή τις εκκλήσεις για ανάληψη δράσης που εκδίδονται δυνάμει αυτού, δύναται, με την επιφύλαξη των εσωτερικών διαδικασιών της οικείας οντότητας της Ένωσης, και αφού δώσει στην οικεία οντότητα της Ένωσης την ευκαιρία να παρουσιάσει τις παρατηρήσεις της:

Για τους σκοπούς του πρώτου εδαφίου στοιχείο γ), οι αποδέκτες μιας προειδοποίησης περιορίζονται κατάλληλα, όταν αυτό είναι αναγκαίο λόγω του κινδύνου κυβερνοασφάλειας.

Οι προειδοποιήσεις και οι συστάσεις που εκδίδονται σύμφωνα με το πρώτο εδάφιο απευθύνονται στο ανώτατο_διοικητικό_επίπεδο της οικείας οντότητας της Ένωσης.

3.   Στις περιπτώσεις που το ΔΣΚ έχει εγκρίνει μέτρα σύμφωνα με την παράγραφο 2 πρώτο εδάφιο στοιχεία α) έως ζ), η οικεία οντότητα της Ένωσης παρέχει λεπτομερή στοιχεία σχετικά με τα μέτρα και τις δράσεις που έχουν αναληφθεί για την αντιμετώπιση των εικαζόμενων ελλείψεων που εντόπισε το ΔΣΚICB. Η οντότητα της Ένωσης υποβάλλει τα λεπτομερή αυτά στοιχεία εντός εύλογου χρονικού διαστήματος που συμφωνείται με το ΔΣΚ.

4.   Όταν το ΔΣΚ θεωρεί ότι υπάρχει διαρκής παράβαση του παρόντος κανονισμού από οντότητα της Ένωσης ως άμεση απόρροια ενεργειών ή παραλείψεων υπαλλήλου ή μέλους της λοιπού προσωπικού της Ένωσης, συμπεριλαμβανομένων προσώπων στο ανώτατο_διοικητικό_επίπεδο, το ΔΣΚ ζητεί από την οικεία οντότητα της Ένωσης να λάβει τα κατάλληλα μέτρα, μεταξύ άλλων ζητώντας από την εν λόγω οντότητα να εξετάσει το ενδεχόμενο λήψης μέτρων πειθαρχικού χαρακτήρα σύμφωνα με τους κανόνες και τις διαδικασίες που ορίζονται στον κανονισμό υπηρεσιακής κατάστασης και οποιουσδήποτε άλλους εφαρμοστέους κανόνες και διαδικασίες. Για τον σκοπό αυτό, το ΔΣΚ διαβιβάζει τις απαραίτητες πληροφορίες στην οικεία οντότητα της Ένωσης.

5.   Όταν οντότητες_της_Ένωσης κοινοποιούν ότι δεν είναι σε θέση να τηρήσουν τις προθεσμίες που ορίζονται στο άρθρο 6 παράγραφος 1 και στο άρθρο 8 παράγραφος 1, το ΔΣΚ μπορεί, σε δεόντως αιτιολογημένες περιπτώσεις και λαμβάνοντας υπόψη το μέγεθος της οντότητας της Ένωσης, να εγκρίνει την παράταση των εν λόγω προθεσμιών.

1.   Η Επιτροπή, αφού λάβει την έγκριση πλειοψηφίας δύο τρίτων των μελών του ΔΣΚ, διορίζει τον επικεφαλής της CERT-EΕ. Ζητείται η γνώμη του ΔΣΚ σε όλα τα στάδια της διαδικασίας διορισμού, ιδίως όσον αφορά τη σύνταξη προκηρύξεων κενής θέσης, την εξέταση των αιτήσεων και τον ορισμό των εξεταστικών επιτροπών σε σχέση με την εκάστοτε θέση. Η διαδικασία επιλογής, συμπεριλαμβανομένου του τελικού καταλόγου επικρατέστερων υποψηφίων μεταξύ των οποίων θα επιλεγεί το άτομο που θα διοριστεί στη θέση του επικεφαλής της CERT-ΕΕ, διασφαλίζει τη δίκαιη εκπροσώπηση κάθε φύλου, λαμβανομένων υπόψη των αιτήσεων που έχουν υποβληθεί.

2.   Ο επικεφαλής της CERT-ΕΕ είναι αρμόδιος για την εύρυθμη λειτουργία της CERT-ΕΕ και ενεργεί στο πλαίσιο των αρμοδιοτήτων του ρόλου του υπό την καθοδήγηση του ΔΣΚ. Ο επικεφαλής της CERT-ΕΕ υποβάλλει τακτικά εκθέσεις στον πρόεδρο του ΔΣΚ και υποβάλλει ad hoc εκθέσεις στο ΔΣΚ κατόπιν αιτήματός του.

3.   Ο επικεφαλής της CERT-ΕΕ συνδράμει τον αρμόδιο κύριο διατάκτη κατά τη σύνταξη της ετήσιας έκθεσης δραστηριοτήτων η οποία περιλαμβάνει δημοσιονομικές και διαχειριστικές πληροφορίες, μεταξύ των οποίων τα αποτελέσματα ελέγχων, και η οποία συντάσσεται βάσει του άρθρου 74 παράγραφος 9 του κανονισμού (ΕΕ, Ευρατόμ) 2018/1046 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (9), και υποβάλλει τακτικά εκθέσεις στον κύριο διατάκτη σχετικά με την εφαρμογή των μέτρων για τα οποία έχει ανατεθεί αρμοδιότητα στον επικεφαλής της CERT-ΕΕ.

4.   Ο επικεφαλής της CERT-ΕΕ καταρτίζει, σε ετήσια βάση, οικονομικό προγραμματισμό των διοικητικών εσόδων και δαπανών για τις δραστηριότητές της, το προτεινόμενο ετήσιο πρόγραμμα εργασίας, τον προτεινόμενο κατάλογο υπηρεσιών για την CERT-ΕΕ, προτεινόμενες αναθεωρήσεις του καταλόγου υπηρεσιών, προτεινόμενες ρυθμίσεις για συμφωνίες σε επίπεδο υπηρεσιών και προτεινόμενους ΒΔΕ για τη CERT-EΕ, που πρέπει να εγκριθούν από το ΔΣΚ σύμφωνα με το άρθρο 11. Κατά την αναθεώρηση του καταλόγου υπηρεσιών της CERT-ΕΕ, ο επικεφαλής της CERT-ΕΕ λαμβάνει υπόψη τους πόρους που διατίθενται στη CERT-EΕ.

5.   Ο επικεφαλής της CERT-ΕΕ υποβάλλει εκθέσεις, τουλάχιστον σε ετήσια βάση, στο ΔΣΚ και στον πρόεδρο του ΔΣΚ σχετικά με τις δραστηριότητες και τις επιδόσεις της CERT-ΕΕ κατά την περίοδο αναφοράς, μεταξύ άλλων όσον αφορά την εκτέλεση του προϋπολογισμού, τις συμφωνίες επιπέδου υπηρεσιών και τις γραπτές συμφωνίες που έχουν συναφθεί, τη συνεργασία με ομολόγους και εταίρους, καθώς και σχετικά με τις αποστολές που αναλαμβάνει το προσωπικό, συμπεριλαμβανομένων των εκθέσεων που αναφέρονται στο άρθρο 11. Οι εν λόγω εκθέσεις περιλαμβάνουν το πρόγραμμα εργασίας για την επόμενη περίοδο, τον δημοσιονομικό προγραμματισμό των εσόδων και των δαπανών, συμπεριλαμβανομένης της στελέχωσης, τις προγραμματισμένες επικαιροποιήσεις του καταλόγου υπηρεσιών της CERT-ΕΕ και αξιολόγηση του αναμενόμενου αντικτύπου που ενδέχεται να έχουν οι εν λόγω επικαιροποιήσεις όσον αφορά τους οικονομικούς και ανθρώπινους πόρους.

1.   Ένα περιστατικό θεωρείται σημαντικό εάν:

2.   Οι οντότητες_της_Ένωσης υποβάλλουν στη CERT-EΕ:

3.   Μια οντότητα της Ένωσης ενημερώνει, χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός 24 ωρών από τη στιγμή που έγινε αντιληπτό σημαντικό περιστατικό, τυχόν σχετικούς ομολόγους από τα κράτη μέλη οι οποίοι αναφέρονται στο άρθρο 17 παράγραφος 1, στο κράτος μέλος στο οποίο βρίσκεται ο ομόλογος, ότι έχει συμβεί σημαντικό περιστατικό.

4.   Οι οντότητες_της_Ένωσης αναφέρουν, μεταξύ άλλων, κάθε πληροφορία που επιτρέπει στην CERT-ΕΕ να προσδιορίσει τυχόν αντίκτυπο μεταξύ οντοτήτων, αντίκτυπο στο κράτος μέλος υποδοχής ή διασυνοριακό αντίκτυπο μετά από σημαντικό περιστατικό. Με την επιφύλαξη του άρθρου 12, η απλή πράξη κοινοποίησης δεν συνεπάγεται αυξημένη ευθύνη της οντότητας της Ένωσης.

5.   Κατά περίπτωση, οι οντότητες_της_Ένωσης κοινοποιούν, χωρίς αδικαιολόγητη καθυστέρηση, στους χρήστες των επηρεαζόμενων δικτυακών και πληροφοριακών συστημάτων ή άλλων συνιστωσών του περιβάλλοντος ΤΠΕ, που ενδέχεται να επηρεαστούν από σημαντικό περιστατικό ή σημαντική κυβερνοαπειλή, και, κατά περίπτωση, πρέπει να λάβουν μέτρα μετριασμού, τυχόν μέτρα ή διορθωτικές ενέργειες στις οποίες μπορούν να προβούν για την αντιμετώπιση του εν λόγω περιστατικού ή της εν λόγω απειλής. Κατά περίπτωση, οι οντότητες_της_Ένωσης ενημερώνουν τους εν λόγω χρήστες για την ίδια τη σημαντική κυβερνοαπειλή.

6.   Όταν σημαντικό περιστατικό ή σημαντική κυβερνοαπειλή επηρεάζει δικτυακό ή πληροφοριακό σύστημα ή συνιστώσα περιβάλλοντος ΤΠΕ οντότητας της Ένωσης που είναι γνωστό ότι είναι συνδεδεμένη με το περιβάλλον ΤΠΕ άλλης οντότητας της Ένωσης, η CERT-ΕΕ εκδίδει σχετική ειδοποίηση επαγρύπνησης για την κυβερνοασφάλεια.

7.   Οι οντότητες_της_Ένωσης, κατόπιν αιτήματος της CERT-ΕΕ και χωρίς αδικαιολόγητη καθυστέρηση, παρέχουν στην CERT-ΕΕ ψηφιακές πληροφορίες που δημιουργούνται από τη χρήση ηλεκτρονικών συσκευών που εμπλέκονται στα αντίστοιχα περιστατικά τους. Η CERT-ΕΕ μπορεί να παρέχει περαιτέρω λεπτομερή στοιχεία σχετικά με τα είδη πληροφοριών που χρειάζεται για την επίγνωση της κατάστασης και την αντιμετώπιση περιστατικών.

8.   Η CERT-ΕΕ υποβάλλει ανά τρίμηνο στο ΔΣΚ, στον ENISA, στο EU INTCEN και στο δίκτυο CSIRT συνοπτική έκθεση που περιλαμβάνει ανωνυμοποιημένα και συγκεντρωτικά δεδομένα σχετικά με σημαντικά περιστατικά, περιστατικά, κυβερνοαπειλές, παρ’ ολίγον περιστατικά και ευπάθειες σύμφωνα με το άρθρο 20 και σημαντικά περιστατικά που κοινοποιούνται σύμφωνα με την παράγραφο 2 του παρόντος άρθρου. Η συνοπτική έκθεση παρέχει στοιχεία για την ανά διετία έκθεση σχετικά με την κατάσταση της κυβερνοασφάλειας στην Ένωση που εγκρίνεται σύμφωνα με το άρθρο 18 της οδηγίας (ΕΕ) 2022/2555.

9.   Έως τις 8 Ιουλίου 2024, το ΔΣΚ εκδίδει κατευθυντήριες γραμμές ή συστάσεις με τις οποίες προσδιορίζει περαιτέρω τις ρυθμίσεις, τον μορφότυπο και το περιεχόμενο της υποβολής εκθέσεων σύμφωνα με το παρόν άρθρο. Κατά την κατάρτιση των εν λόγω κατευθυντήριων γραμμών ή συστάσεων, το ΔΣΚ λαμβάνει υπόψη τυχόν εκτελεστικές πράξεις που εκδίδονται σύμφωνα με το άρθρο 23 παράγραφος 11 της οδηγίας (ΕΕ) 2022/2555 και καθορίζουν το είδος των πληροφοριών, τον μορφότυπο και τη διαδικασία των κοινοποιήσεων. Η CERT-ΕΕ διαδίδει τις κατάλληλες τεχνικές λεπτομέρειες ώστε να διευκολύνει τις οντότητες_της_Ένωσης στον προδραστικό εντοπισμό, στην αντιμετώπιση περιστατικών ή στην εφαρμογή μέτρων μετριασμού.

10.   Οι υποχρεώσεις υποβολής εκθέσεων που ορίζονται στο παρόν άρθρο δεν επεκτείνονται σε:

1.   Έως τις 8 Ιανουαρίου 2025, και στη συνέχεια σε ετήσια βάση, το ΔΣΚ, με τη συνδρομή της CERT-ΕΕ, υποβάλλει εκθέσεις στην Επιτροπή σχετικά με την εφαρμογή του παρόντος κανονισμού. Το ΔΣΚ μπορεί να απευθύνει συστάσεις στην Επιτροπή για την επανεξέταση του παρόντος κανονισμού.

2.   Έως τις 8 Ιανουαρίου 2027 και στη συνέχεια ανά διετία, η Επιτροπή διενεργεί αξιολόγηση και υποβάλλει έκθεση στο Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο σχετικά με την εφαρμογή του παρόντος κανονισμού και την πείρα που αποκτήθηκε σε στρατηγικό και επιχειρησιακό επίπεδο.

Η έκθεση που αναφέρεται στο πρώτο εδάφιο της παρούσας παραγράφου περιλαμβάνει την επανεξέταση που αναφέρεται στο άρθρο 16 παράγραφος 1, σχετικά με τη δυνατότητα σύστασης της CERT-ΕΕ ως γραφείου της Ένωσης.

3.   Έως τις 8 Ιανουαρίου 2029, η Επιτροπή αξιολογεί τη λειτουργία του παρόντος κανονισμού και υποβάλλει έκθεση στο Ευρωπαϊκό Κοινοβούλιο, στο Συμβούλιο, στην Ευρωπαϊκή Οικονομική και Κοινωνική Επιτροπή και στην Επιτροπή των Περιφερειών. Η Επιτροπή αξιολογεί επίσης κατά πόσον είναι σκόπιμο να συμπεριληφθούν τα δικτυακά και πληροφοριακά συστήματα που χειρίζονται ΔΠΕΕ στο πεδίο εφαρμογής του παρόντος κανονισμού, λαμβάνοντας υπόψη άλλες νομοθετικές πράξεις της Ένωσης που εφαρμόζονται στα εν λόγω συστήματα. Η έκθεση συνοδεύεται, εφόσον είναι αναγκαίο, από νομοθετική πρόταση.