keyboard_tab Cyber Resilience Act 2023/2841 HR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- Članak 1. Predmet
- Članak 2. Područje primjene
- Članak 3. Definicije
- Članak 4. Obrada osobnih podataka
- Članak 5. Provedba mjera
- Članak 6. Okvir za upravljanje kibernetičkim sigurnosnim rizicima, opće upravljanje njima i njihovu kontrolu
- Članak 7. Procjene zrelosti kibernetičke sigurnosti
- Članak 8. Mjere upravljanja kibernetičkim sigurnosnim rizicima
- Članak 9. Planovi za kibernetičku sigurnost
- Članak 10. Međuinstitucijski odbor za kibernetičku sigurnost
- Članak 11. Zadaće IICB-a
- Članak 12. Usklađenost
- Članak 13. Misija i zadaće CERT-EU-a
- Članak 14. Smjernice, preporuke i pozivi na djelovanje
- Članak 15. Voditelj CERT-EU-a
- Članak 16. Financijska pitanja i osoblje
- Članak 17. Suradnja CERT-EU-a s partnerima iz država članica
- Članak 18. Suradnja CERT-EU-a s ostalim partnerima
- Članak 19. Postupanje s informacijama
- Članak 20. Aranžmani za razmjenu informacija o kibernetičkoj sigurnosti
- Članak 21. Obveze izvješćivanja
- Članak 22. Koordinacija i suradnja pri odgovoru na incidente
- Članak 23. Upravljanje velikim incidentima
- Članak 24. Početna preraspodjela proračunskih sredstava
- Članak 25. Preispitivanje
- Članak 26. Stupanje na snagu
POGLAVLJE I.
OPĆE ODREDBE
POGLAVLJE II.
MJERE ZA VISOKU ZAJEDNIČKU RAZINU KIBERNETIČKE SIGURNOSTI
POGLAVLJE III.
MEĐUINSTITUCIJSKI ODBOR ZA KIBERNETIČKU SIGURNOST
POGLAVLJE IV.
CERT-EU
POGLAVLJE V.
OBVEZE SURADNJE I IZVJESCIVANJA
POGLAVLJE VI.
ZAVRSNE ODREDBE
- sigurnosti 11
- kibernetičke 10
- unije 9
- kibernetičkim 7
- sigurnosnim 7
- uključujući 7
- usluga 6
- incidenata 5
- rizicima 5
- mjere 5
- subjekta 4
- politike 4
- sigurnost 4
- kibernetičkih 4
- koja 3
- razvoj 3
- ranjivosti 3
- upravljanje 3
- dobavljača 3
- pružatelja 3
- rizika 3
- sustava 3
- obzir 3
- razine 3
- području 3
- softvera 3
- upravljanja 3
- informacijskih 2
- postupanje 2
- upravljanju 2
- kriptiranja 2
- osoblja 2
- koje 2
- otkrivanje 2
- mjera 2
- postizanje 2
- točke 2
- sigurne 2
- osposobljavanje 2
- barem 2
- provedbe 2
- ranjivostima 2
- lanca 2
- norme 2
- prema 2
- primjer 2
- najviše 2
- rukovodeće 2
- cert-eu-om 2
- incidentima 2
Članak 8.
Mjere upravljanja kibernetičkim sigurnosnim rizicima
1. Svaki subjekt Unije bez nepotrebne odgode i u svakom slučaju do 8. rujna 2025., pod nadzorom najviše rukovodeće razine, poduzima odgovarajuće i razmjerne tehničke, operativne i organizacijske mjere za upravljanje kibernetičkim sigurnosnim rizicima utvrđenima u Okviru i za sprečavanje učinaka incidenata ili za svođenje učinaka incidenata na najmanju moguću mjeru. Uzimajući u obzir najnovija dostignuća i, ako je to primjenjivo, relevantne europske i međunarodne norme, tim se mjerama osigurava razina sigurnosti mrežnih i informacijskih sustava u cjelokupnom IKT okruženju koja je razmjerna nastalim kibernetičkim sigurnosnim rizicima. Pri procjeni razmjernosti tih mjera na odgovarajući se način uzima u obzir stupanj izloženosti subjekta Unije kibernetičkim sigurnosnim rizicima, njegova veličina, vjerojatnost pojave incidenata i njihova ozbiljnost, uključujući njihov društveni, gospodarski i međuinstitucijski učinak.
2. Subjekti Unije prilikom provedbe mjera upravljanja kibernetičkim sigurnosnim rizicima razmatraju barem sljedeća pitanja:
(a) | politiku kibernetičke sigurnosti, uključujući mjere potrebne za postizanje ciljeva i prioriteta iz članka 6. i stavka 3. ovog članka; |
(b) | politike analize kibernetičkih sigurnosnih rizika i sigurnosti informacijskih sustava; |
(c) | ciljeve politike u pogledu korištenja usluga računalstva u oblaku; |
(d) | prema potrebi, reviziju kibernetičke sigurnosti koja može uključivati procjenu kibernetičkih sigurnosnih rizika, ranjivosti i kibernetičkih prijetnji te penetracijska testiranja, koja redovito provodi pouzdani privatni pružatelj usluga; |
(e) | provedbu preporuka koje proizlaze iz revizija kibernetičke sigurnosti iz točke (d) putem ažuriranja stanja kibernetičke sigurnosti i politika; |
(f) | organizaciju kibernetičke sigurnosti, uključujući utvrđivanje uloga i odgovornosti; |
(g) | upravljanje imovinom, uključujući popis IKT imovine i kartografiju IKT mreže; |
(h) | sigurnost ljudskih resursa i kontrolu pristupa; |
(i) | sigurnost operacija; |
(j) | sigurnost komunikacija; |
(k) | nabavu, razvoj i održavanj sustavâ, uključujući politike za postupanje s ranjivostima i njihovo otkrivanje; |
(l) | ako je moguće, politike o transparentnosti izvornog koda; |
(m) | sigurnost lanca opskrbe, uključujući sigurnosne aspekte povezane s odnosima između svakog subjekta Unije i njegovih izravnih dobavljača ili pružatelja usluga; |
(n) | postupanje s incidentima i suradnji s CERT-EU-om, na primjer održavanju sustava sigurnosnog nadzora i bilježenju dnevničkih zapisa; |
(o) | upravljanje kontinuitetom poslovanja, na primjer upravljanju sigurnosnim kopijama i oporavku od katastrofe te upravljanju krizama; i |
(p) | promicanje i razvoj programâ obrazovanja, vještina, podizanja svijesti, vježbi i osposobljavanja u području kibernetičke sigurnosti. |
Za potrebe prvog podstavka točke (m) subjekti Unije uzimaju u obzir ranjivosti specifične za svakog izravnog dobavljača i pružatelja usluga te ukupnu kvalitetu proizvoda i kibernetičke sigurnosne prakse svojih dobavljača i pružatelja usluga, uključujući njihove sigurne razvojne postupke.
3. Subjekti Unije poduzimaju barem sljedeće posebne mjere upravljanja kibernetičkim sigurnosnim rizicima:
(a) | tehničke aranžmane za omogućavanje i održavanje rada na daljinu; |
(b) | konkretne korake za prijelaz na načela nultog povjerenja; |
(c) | upotrebu višefaktorske autentifikacije kao norme u svim mrežnim i informacijskim sustavima; |
(d) | upotrebu kriptografije i kriptiranja, a posebno prolaznog kriptiranja, te sigurnih digitalnih potpisa; |
(e) | prema potrebi, sigurne glasovne, video- i tekstualne komunikacije te sigurni komunikacijski sustav u hitnim slučajevima unutar subjekta Unije; |
(f) | proaktivne mjere za otkrivanje i uklanjanje zlonamjernog softvera i špijunskog softvera; |
(g) | uspostavljanje sigurnosti lanca opskrbe softverom s pomoću kriterija za siguran razvoj i evaluaciju softvera; |
(h) | izrada i donošenje programa za osposobljavanje u području kibernetičke sigurnosti koji odgovara predviđenim zadaćama i očekivanim sposobnostima najviše rukovodeće razine i osoblja subjekta Unije čija je zadaća osiguravanje djelotvorne provedbe ove Uredbe; |
(i) | redovito osposobljavanje osoblja u području kibernetičke sigurnosti; |
(j) | ako je to relevantno, sudjelovanje u analizama rizika s obzirom na međupovezanosti subjekata Unije; |
(k) | poboljšanje pravila javne nabave kako bi se olakšalo postizanje visoke zajedničke razine kibernetičke sigurnosti:
|
whereas