keyboard_tab Cyber Resilience Act 2023/2841 HR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Članak 10. Međuinstitucijski odbor za kibernetičku sigurnost
- 1 Članak 15. Voditelj CERT-EU-a
- 3 Članak 17. Suradnja CERT-EU-a s partnerima iz država članica
- 5 Članak 18. Suradnja CERT-EU-a s ostalim partnerima
- 1 Članak 22. Koordinacija i suradnja pri odgovoru na incidente
POGLAVLJE I.
OPĆE ODREDBE
POGLAVLJE II.
MJERE ZA VISOKU ZAJEDNIČKU RAZINU KIBERNETIČKE SIGURNOSTI
POGLAVLJE III.
MEĐUINSTITUCIJSKI ODBOR ZA KIBERNETIČKU SIGURNOST
POGLAVLJE IV.
CERT-EU
POGLAVLJE V.
OBVEZE SURADNJE I IZVJESCIVANJA
POGLAVLJE VI.
ZAVRSNE ODREDBE
- cert-eu-a 41
- unije 31
- iicb-a 23
- cert-eu 15
- usluga 14
- izvješća 13
- skladu 12
- partnerima 12
- može 11
- informacije 11
- uključujući 11
- voditelj 11
- iicb 11
- prijedlog 9
- članka 9
- voditelj 9
- incident 8
- koje 8
- imenuje 8
- koji 8
- subjekata 7
- informacija 7
- pogledu 7
- iicb 7
- sigurnosti 7
- cert-eu 7
- direktive 7
- podnosi 7
- incidentima 6
- predsjedniku 6
- temelju 6
- kako 6
- kibernetičkim 6
- obavješćuje 6
- eu / 6
- što 6
- odobrenje 6
- među 6
- kataloga 6
- suradnji 5
- razini 5
- ostalim 5
- suradnicima 5
- kibernetičke 5
- zahtjev 5
- podataka 5
- kojem 5
- odbor 5
- subjekt 5
- europski 5
Članak 15.
Voditelj CERT-EU-a
1. Nakon što dobije odobrenje dvotrećinske većine članova IICB-a, Komisija imenuje voditelja CERT-EU-a. Savjetovanje s IICB-om obavezno je u svim fazama postupka imenovanja, osobito pri izradi obavijesti o slobodnom radnom mjestu, razmatranju prijava i imenovanju odbora za odabir za radno mjesto. Postupkom odabira, uključujući konačni uži popis kandidata s kojeg se imenuje voditelj CERT-EU-a, osigurava se pravedna zastupljenost svakog spola, uzimajući u obzir podnesene prijave.
2. Voditelj CERT-EU-a odgovoran je za pravilno funkcioniranje CERT-EU-a i djeluje u okviru svog djelokruga i pod vodstvom IICB-a. Voditelj CERT-EU-a redovito podnosi izvješća predsjedniku IICB-a i podnosi ad hoc izvješća IICB-u na njegov zahtjev.
3. Voditelj CERT-EU-a pomaže odgovornom dužnosniku kojem je delegirana ovlast ovjeravanja u sastavljanju godišnjeg izvješća o radu, koje sadržava financijske informacije i informacije o upravljanju, uključujući rezultate kontrola, koje se sastavlja u skladu s člankom 74. stavkom 9. Uredbe (EU, Euratom) 2018/1046 Europskog parlamenta i Vijeća (9) te redovito izvješćuje dužnosnika kojem je delegirana ovlast ovjeravanja o provedbi mjera u pogledu kojih su ovlasti dalje delegirane voditelju CERT-EU-a.
4. Voditelj CERT-EU-a svake godine izrađuje financijski plan administrativnih prihoda i rashoda za svoje aktivnosti, prijedlog godišnjeg programa rada, prijedlog kataloga usluga CERT-EU-a, prijedloge za reviziju kataloga usluga, prijedlog dogovora za sporazume o razini usluga i prijedlog ključnih pokazatelja uspješnosti za CERT-EU koje treba odobriti IICB u skladu s člankom 11. Pri reviziji popisa usluga u katalogu usluga CERT-EU-a voditelj CERT-EU-a uzima u obzir resurse dodijeljene CERT-EU-u.
5. Voditelj CERT-EU-a najmanje jednom godišnje podnosi IICB-u i predsjedniku IICB-a izvješća o aktivnostima i uspješnosti CERT-EU-a tijekom referentnog razdoblja, među ostalim o izvršenju proračuna, sklopljenim sporazumima o razini usluga i pisanim sporazumima, suradnji s partnerima i suradnicima te službenim putovanjima osoblja, uključujući izvješća iz članka 11. Ta izvješća uključuju program rada za sljedeće razdoblje, financijsko planiranje prihoda i rashoda, uključujući za osoblje, planirano ažuriranje kataloga usluga CERT-EU-a i procjenu očekivanog učinka koji bi takva ažuriranja mogla imati na financijske i ljudske resurse.
Članak 10.
Međuinstitucijski odbor za kibernetičku sigurnost
1. Osniva se Međuinstitucijski odbor za kibernetičku sigurnost (IICB).
2. IICB je odgovoran za:
(a) | praćenje provedbe ove Uredbe od strane subjekata Unije i pružanje potpore u provedbi; |
(b) | nadzor nad provedbom općih prioriteta i ciljeva CERT-EU-a i strateško usmjeravanje CERT-EU-a. |
3. IICB se sastoji od:
(a) | po jednog predstavnika kojeg imenuje svako od sljedećih tijela:
|
(b) | tri predstavnika koje Mreža agencija EU-a (EUAN) imenuje na temelju prijedloga svojeg savjetodavnog odbora za IKT kako bi zastupali interese tijela, ureda i agencija Unije koji upravljaju vlastitim IKT okruženjem, osim onih iz točke (a). |
Subjekti Unije zastupljeni u IICB-u nastoje postići rodnu ravnotežu među imenovanim predstavnicima.
4. Članovima IICB-a može pomagati zamjenik. Predsjednik može pozvati druge predstavnike subjekata Unije navedenih u stavku 3. ili drugih subjekata Unije da prisustvuju sastancima IICB-a bez prava glasa.
5. Voditelj CERT-EU-a i predsjednici Skupine za suradnju, mreže CSIRT-ova i EU-CyCLONe-a osnovanih člancima 14., 15. odnosno 16. Direktive (EU) 2022/2555 ili njihovi zamjenici mogu sudjelovati na sastancima IICB-a kao promatrači. U iznimnim slučajevima IICB može odlučiti drukčije, u skladu sa svojim internim poslovnikom.
6. IICB donosi svoj interni poslovnik.
7. U skladu sa svojim internim poslovnikom IICB iz redova svojih članova imenuje predsjednika na razdoblje od tri godine. Zamjenik predsjednika postaje punopravni član IICB-a na isto razdoblje.
8. IICB se sastaje najmanje triput godišnje na inicijativu svojeg predsjednika, na zahtjev CERT-EU-a ili na zahtjev bilo kojeg od svojih članova.
9. Svaki član IICB-a ima jedan glas. Odluke IICB-a donose se običnom većinom, osim ako je u ovoj Uredbi predviđeno drugačije. Predsjednik IICB-a ne smije glasovati, osim u slučaju izjednačenog broja glasova kad predsjednik može dati odlučujući glas.
10. IICB može donositi odluke u pojednostavnjenom pisanom postupku pokrenutom u skladu sa svojim internim poslovnikom. U okviru tog postupka relevantna odluka smatra se odobrenom u roku koji odredi predsjednik, osim ako se neki član protivi.
11. Poslove tajništva za IICB obavlja Komisija i ona odgovara predsjedniku IICB-a.
12. Predstavnici koje imenuje EUAN prosljeđuju odluke IICB-a članovima EUAN-a. Svaki član EUAN-a ima pravo tim predstavnicima ili predsjedniku IICB-a postaviti sva pitanja za koja smatra da bi na njih trebalo upozoriti IICB.
13. IICB može osnovati izvršni odbor da mu pomaže u radu i delegirati mu neke od svojih zadaća i ovlasti. IICB utvrđuje poslovnik izvršnog odbora, uključujući zadaće i ovlasti izvršnog odbora te mandat njegovih članova.
14. Do 8. siječnja 2025., a nakon tog datuma jednom godišnje, IICB podnosi izvješće Europskom parlamentu i Vijeću u kojem detaljno opisuje napredak u provedbi ove Uredbe i posebno navodi opseg suradnje CERT-EU-a s partnerima iz država članica u svakoj od država članica. Izvješće je doprinos dvogodišnjem izvješću o stanju kibernetičke sigurnosti u Uniji donesenom na temelju članka 18. Direktive (EU) 2022/2555.
Članak 15.
Voditelj CERT-EU-a
1. Nakon što dobije odobrenje dvotrećinske većine članova IICB-a, Komisija imenuje voditelja CERT-EU-a. Savjetovanje s IICB-om obavezno je u svim fazama postupka imenovanja, osobito pri izradi obavijesti o slobodnom radnom mjestu, razmatranju prijava i imenovanju odbora za odabir za radno mjesto. Postupkom odabira, uključujući konačni uži popis kandidata s kojeg se imenuje voditelj CERT-EU-a, osigurava se pravedna zastupljenost svakog spola, uzimajući u obzir podnesene prijave.
2. Voditelj CERT-EU-a odgovoran je za pravilno funkcioniranje CERT-EU-a i djeluje u okviru svog djelokruga i pod vodstvom IICB-a. Voditelj CERT-EU-a redovito podnosi izvješća predsjedniku IICB-a i podnosi ad hoc izvješća IICB-u na njegov zahtjev.
3. Voditelj CERT-EU-a pomaže odgovornom dužnosniku kojem je delegirana ovlast ovjeravanja u sastavljanju godišnjeg izvješća o radu, koje sadržava financijske informacije i informacije o upravljanju, uključujući rezultate kontrola, koje se sastavlja u skladu s člankom 74. stavkom 9. Uredbe (EU, Euratom) 2018/1046 Europskog parlamenta i Vijeća (9) te redovito izvješćuje dužnosnika kojem je delegirana ovlast ovjeravanja o provedbi mjera u pogledu kojih su ovlasti dalje delegirane voditelju CERT-EU-a.
4. Voditelj CERT-EU-a svake godine izrađuje financijski plan administrativnih prihoda i rashoda za svoje aktivnosti, prijedlog godišnjeg programa rada, prijedlog kataloga usluga CERT-EU-a, prijedloge za reviziju kataloga usluga, prijedlog dogovora za sporazume o razini usluga i prijedlog ključnih pokazatelja uspješnosti za CERT-EU koje treba odobriti IICB u skladu s člankom 11. Pri reviziji popisa usluga u katalogu usluga CERT-EU-a voditelj CERT-EU-a uzima u obzir resurse dodijeljene CERT-EU-u.
5. Voditelj CERT-EU-a najmanje jednom godišnje podnosi IICB-u i predsjedniku IICB-a izvješća o aktivnostima i uspješnosti CERT-EU-a tijekom referentnog razdoblja, među ostalim o izvršenju proračuna, sklopljenim sporazumima o razini usluga i pisanim sporazumima, suradnji s partnerima i suradnicima te službenim putovanjima osoblja, uključujući izvješća iz članka 11. Ta izvješća uključuju program rada za sljedeće razdoblje, financijsko planiranje prihoda i rashoda, uključujući za osoblje, planirano ažuriranje kataloga usluga CERT-EU-a i procjenu očekivanog učinka koji bi takva ažuriranja mogla imati na financijske i ljudske resurse.
Članak 17.
Suradnja CERT-EU-a s partnerima iz država članica
1. CERT-EU bez nepotrebne odgode surađuje i razmjenjuje informacije s partnerima iz država članica, osobito s CSIRT-ovima imenovanima ili uspostavljenima na temelju članka 10. Direktive (EU) 2022/2555, ili, ako je to primjenjivo, s nadležnim tijelima i jedinstvenim kontaktnim točkama imenovanima ili uspostavljenima na temelju članka 8. te direktive, u pogledu incidenata, kibernetičkih prijetnji, ranjivosti, izbjegnutih incidenata, mogućih protumjera te najbolje prakse i o svim pitanjima važnima za poboljšanje zaštite IKT okruženja subjekata Unije, među ostalim putem mreže CSIRT-ova uspostavljene na temelju članka 15. Direktive (EU) 2022/2555. CERT-EU podupire Komisiju u okviru mreže EU-CyCLONe osnovane člankom 16. Direktive (EU) 2022/2555 pri koordiniranom upravljanju kibernetičkim incidentima velikih razmjera i kibernetičkim krizama.
2. Ako CERT-EU sazna za značajni incident do kojeg je došlo na državnom području pojedine države članice, o tome bez odgode obavješćuje svakog relevantnog partnera u toj državi članici, u skladu sa stavkom 1.
3. Pod uvjetom da su osobni podatci zaštićeni u skladu s primjenjivim pravom Unije o zaštiti podataka CERT-EU bez nepotrebne odgode razmjenjuje relevantne informacije specifične za određeni incident s partnerima iz država članica kako bi se olakšalo otkrivanje sličnih kibernetičkih prijetnji ili incidenata ili kako bi se dao doprinos analizi incidenta, bez odobrenja pogođenog subjekta Unije. CERT-EU smije razmjenjivati informacije specifične za određeni incident kojima se otkriva identitet mete incidenta samo u slučaju jedne od sljedećih situacija:
(a) | pogođeni subjekt Unije dao je suglasnost; |
(b) | pogođeni subjekt Unije nije dao suglasnost u skladu s točkom (a), ali bi se otkrivanjem identiteta pogođenog subjekta Unije povećala vjerojatnost da bi se incidenti drugdje izbjegli ili da bi se ublažili njihovi učinci; |
(c) | pogođeni subjekt Unije već je objavio da je bio pogođen incidentom. |
Odluke o razmjeni informacija specifičnih za određeni incident kojima se otkriva identitet mete incidenta u skladu s prvim podstavkom točkom (b) potvrđuje voditelj CERT-EU-a. Prije donošenja takve odluke CERT-EU pisanim putem stupa u kontakt s pogođenim subjektom Unije i jasno objašnjava način na koji bi otkrivanje njegova identiteta pomoglo u izbjegavanju ili ublažavanju incidenata drugdje. Voditelj CERT-EU-a daje objašnjenje i izričito traži od subjekta Unije da se u utvrđenom roku izjasni daje li suglasnost. Voditelj CERT-EU-a također obavješćuje subjekt Unije da, s obzirom na dano objašnjenje, zadržava pravo na otkrivanje informacija čak i bez suglasnosti. Pogođeni subjekt Unije obavješćuje se prije otkrivanja informacija.
Članak 18.
Suradnja CERT-EU-a s ostalim partnerima
1. CERT-EU može s partnerima iz Unije koji nisu partneri iz članka 17., a koji podliježu zahtjevima Unije u pogledu kibernetičke sigurnosti, uključujući partnere iz određenih industrijskih sektora, surađivati u vezi s alatima i metodama, kao što su tehnike, taktike, postupci i najbolja praksa, te u vezi s kibernetičkim prijetnjama i ranjivostima. Za svu suradnju s takvim partnerima CERT-EU mora tražiti prethodno odobrenje IICB-a na pojedinačnoj osnovi. Ako CERT-EU uspostavi suradnju s takvim partnerima, obavješćuje sve relevantne partnere iz države članice iz članka 17. stavka 1. u državi članici u kojoj se nalazi partner. Ako je to primjenjivo i primjereno, takva suradnja i njezini uvjeti, među ostalim u pogledu kibernetičke sigurnosti, zaštite podataka i postupanja s informacijama, utvrđuju se u posebnim aranžmanima o povjerljivosti, kao što su ugovori ili administrativni dogovori. Aranžmani o povjerljivosti podataka ne zahtijevaju prethodno odobrenje IICB-a, ali se o tome obavješćuje predsjednika IICB-a. U slučaju hitne i neposredne potrebe za razmjenom informacija o kibernetičkoj sigurnosti u interesu subjekata Unije ili druge strane, CERT-EU može razmijeniti takve informacije sa subjektom čija su posebna stručnost, kapacitet i stručnost opravdano potrebni za pružanje pomoći u pogledu takve hitne i neposredne potrebe, čak i ako CERT-EU nije uspostavio aranžman o povjerljivosti s tim subjektom. U takvim slučajevima CERT-EU odmah obavješćuje predsjednika IICB-a i izvješćuje IICB podnošenjem redovitih izvješća ili na sastancima.
2. CERT-EU može surađivati sa suradnicima, kao što su komercijalni subjekti, uključujući subjekte iz određenih industrijskih sektora, međunarodne organizacije, nacionalni subjekti izvan Unije ili pojedinačni stručnjaci, kako bi prikupio informacije o općim i specifičnim kibernetičkim prijetnjama, izbjegnutim incidentima, ranjivostima i mogućim protumjerama. Za opsežniju suradnju s tim suradnicima CERT-EU mora tražiti prethodno odobrenje IICB-a na pojedinačnoj osnovi.
3. CERT-EU može, uz suglasnost subjekta Unije pogođenog incidentom i pod uvjetom da postoji aranžman ili ugovor o povjerljivosti podataka s relevantnim partnerom ili suradnikom, pružiti informacije o određenom incidentu drugim partnerima ili suradnicima iz stavaka 1. i 2. isključivo u svrhu doprinosa njegovoj analizi.
POGLAVLJE V.
OBVEZE SURADNJE I IZVJESCIVANJA
Članak 22.
Koordinacija i suradnja pri odgovoru na incidente
1. CERT-EU djeluje kao koordinacijsko čvorište za razmjenu informacija o kibernetičkoj sigurnosti i za odgovor na incidente te tako olakšava razmjenu informacija o incidentima, kibernetičkim prijetnjama, ranjivostima i izbjegnutim incidentima među:
(a) | subjektima Unije; |
(b) | partnerima iz članaka 17. i 18. |
2. CERT-EU, ako je relevantno u bliskoj suradnji s ENISA-om, olakšava koordinaciju odgovora na incidente među subjektima Unije, uključujući:
(a) | doprinos dosljednoj vanjskoj komunikaciji; |
(b) | uzajamnu potporu, kao što je razmjena informacija relevantnih za subjekte Unije ili pružanje pomoći, prema potrebi izravno na licu mjesta; |
(c) | optimalnu upotrebu operativnih resursa; |
(d) | koordinaciju s drugim mehanizmima za odgovor na krize na razini Unije. |
3. CERT-EU, u bliskoj suradnji s ENISA-om, pruža potporu subjektima Unije u pogledu informiranosti o incidentima, kibernetičkim prijetnjama, ranjivostima i izbjegnutim incidentima te im pruža informacije o najnovijim zbivanjima u području kibernetičke sigurnosti.
4. IICB do 8. siječnja 2025. na temelju prijedloga CERT-EU-a donosi smjernice ili preporuke o koordinaciji odgovora na incidente i suradnji u slučaju značajnih incidenata. Ako se sumnja da je incident kaznene prirode, CERT-EU bez nepotrebne odgode savjetuje o tome kako prijaviti incident tijelima za izvršavanje zakonodavstva.
5. Na poseban zahtjev države članice i uz odobrenje dotičnih subjekata Unije CERT-EU može pozvati stručnjake s popisa iz članka 23. stavka 4. kako bi doprinijeli odgovoru na veliki incident koji ima učinak u toj državi članici ili kibernetički sigurnosni incident velikih razmjera u skladu s člankom 15. stavkom 3. točkom (g) Direktive (EU) 2022/2555. IICB na prijedlog CERT EU-a odobrava posebna pravila o pristupu tehničkim stručnjacima iz subjekata Unije i njihovu djelovanju.
whereas