keyboard_tab Cyber Resilience Act 2023/2841 HR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 3 Članak 8. Mjere upravljanja kibernetičkim sigurnosnim rizicima
POGLAVLJE I.
OPĆE ODREDBE
POGLAVLJE II.
MJERE ZA VISOKU ZAJEDNIČKU RAZINU KIBERNETIČKE SIGURNOSTI
POGLAVLJE III.
MEĐUINSTITUCIJSKI ODBOR ZA KIBERNETIČKU SIGURNOST
POGLAVLJE IV.
CERT-EU
POGLAVLJE V.
OBVEZE SURADNJE I IZVJESCIVANJA
POGLAVLJE VI.
ZAVRSNE ODREDBE
- sigurnosti 22
- kibernetičke 20
- unije 18
- kibernetičkim 14
- sigurnosnim 14
- uključujući 14
- usluga 12
- incidenata 10
- rizicima 10
- mjere 10
- subjekta 8
- politike 8
- sigurnost 8
- kibernetičkih 8
- koja 6
- razvoj 6
- ranjivosti 6
- upravljanje 6
- dobavljača 6
- pružatelja 6
- rizika 6
- sustava 6
- obzir 6
- razine 6
- području 6
- softvera 6
- upravljanja 6
- informacijskih 4
- postupanje 4
- upravljanju 4
- kriptiranja 4
- osoblja 4
- koje 4
- otkrivanje 4
- mjera 4
- postizanje 4
- točke 4
- sigurne 4
- osposobljavanje 4
- barem 4
- provedbe 4
- ranjivostima 4
- lanca 4
- norme 4
- prema 4
- primjer 4
- najviše 4
- rukovodeće 4
- cert-eu-om 4
- incidentima 4
Članak 8.
Mjere upravljanja kibernetičkim sigurnosnim rizicima
1. Svaki subjekt Unije bez nepotrebne odgode i u svakom slučaju do 8. rujna 2025., pod nadzorom najviše rukovodeće razine, poduzima odgovarajuće i razmjerne tehničke, operativne i organizacijske mjere za upravljanje kibernetičkim sigurnosnim rizicima utvrđenima u Okviru i za sprečavanje učinaka incidenata ili za svođenje učinaka incidenata na najmanju moguću mjeru. Uzimajući u obzir najnovija dostignuća i, ako je to primjenjivo, relevantne europske i međunarodne norme, tim se mjerama osigurava razina sigurnosti mrežnih i informacijskih sustava u cjelokupnom IKT okruženju koja je razmjerna nastalim kibernetičkim sigurnosnim rizicima. Pri procjeni razmjernosti tih mjera na odgovarajući se način uzima u obzir stupanj izloženosti subjekta Unije kibernetičkim sigurnosnim rizicima, njegova veličina, vjerojatnost pojave incidenata i njihova ozbiljnost, uključujući njihov društveni, gospodarski i međuinstitucijski učinak.
2. Subjekti Unije prilikom provedbe mjera upravljanja kibernetičkim sigurnosnim rizicima razmatraju barem sljedeća pitanja:
(a) | politiku kibernetičke sigurnosti, uključujući mjere potrebne za postizanje ciljeva i prioriteta iz članka 6. i stavka 3. ovog članka; |
(b) | politike analize kibernetičkih sigurnosnih rizika i sigurnosti informacijskih sustava; |
(c) | ciljeve politike u pogledu korištenja usluga računalstva u oblaku; |
(d) | prema potrebi, reviziju kibernetičke sigurnosti koja može uključivati procjenu kibernetičkih sigurnosnih rizika, ranjivosti i kibernetičkih prijetnji te penetracijska testiranja, koja redovito provodi pouzdani privatni pružatelj usluga; |
(e) | provedbu preporuka koje proizlaze iz revizija kibernetičke sigurnosti iz točke (d) putem ažuriranja stanja kibernetičke sigurnosti i politika; |
(f) | organizaciju kibernetičke sigurnosti, uključujući utvrđivanje uloga i odgovornosti; |
(g) | upravljanje imovinom, uključujući popis IKT imovine i kartografiju IKT mreže; |
(h) | sigurnost ljudskih resursa i kontrolu pristupa; |
(i) | sigurnost operacija; |
(j) | sigurnost komunikacija; |
(k) | nabavu, razvoj i održavanj sustavâ, uključujući politike za postupanje s ranjivostima i njihovo otkrivanje; |
(l) | ako je moguće, politike o transparentnosti izvornog koda; |
(m) | sigurnost lanca opskrbe, uključujući sigurnosne aspekte povezane s odnosima između svakog subjekta Unije i njegovih izravnih dobavljača ili pružatelja usluga; |
(n) | postupanje s incidentima i suradnji s CERT-EU-om, na primjer održavanju sustava sigurnosnog nadzora i bilježenju dnevničkih zapisa; |
(o) | upravljanje kontinuitetom poslovanja, na primjer upravljanju sigurnosnim kopijama i oporavku od katastrofe te upravljanju krizama; i |
(p) | promicanje i razvoj programâ obrazovanja, vještina, podizanja svijesti, vježbi i osposobljavanja u području kibernetičke sigurnosti. |
Za potrebe prvog podstavka točke (m) subjekti Unije uzimaju u obzir ranjivosti specifične za svakog izravnog dobavljača i pružatelja usluga te ukupnu kvalitetu proizvoda i kibernetičke sigurnosne prakse svojih dobavljača i pružatelja usluga, uključujući njihove sigurne razvojne postupke.
3. Subjekti Unije poduzimaju barem sljedeće posebne mjere upravljanja kibernetičkim sigurnosnim rizicima:
(a) | tehničke aranžmane za omogućavanje i održavanje rada na daljinu; |
(b) | konkretne korake za prijelaz na načela nultog povjerenja; |
(c) | upotrebu višefaktorske autentifikacije kao norme u svim mrežnim i informacijskim sustavima; |
(d) | upotrebu kriptografije i kriptiranja, a posebno prolaznog kriptiranja, te sigurnih digitalnih potpisa; |
(e) | prema potrebi, sigurne glasovne, video- i tekstualne komunikacije te sigurni komunikacijski sustav u hitnim slučajevima unutar subjekta Unije; |
(f) | proaktivne mjere za otkrivanje i uklanjanje zlonamjernog softvera i špijunskog softvera; |
(g) | uspostavljanje sigurnosti lanca opskrbe softverom s pomoću kriterija za siguran razvoj i evaluaciju softvera; |
(h) | izrada i donošenje programa za osposobljavanje u području kibernetičke sigurnosti koji odgovara predviđenim zadaćama i očekivanim sposobnostima najviše rukovodeće razine i osoblja subjekta Unije čija je zadaća osiguravanje djelotvorne provedbe ove Uredbe; |
(i) | redovito osposobljavanje osoblja u području kibernetičke sigurnosti; |
(j) | ako je to relevantno, sudjelovanje u analizama rizika s obzirom na međupovezanosti subjekata Unije; |
(k) | poboljšanje pravila javne nabave kako bi se olakšalo postizanje visoke zajedničke razine kibernetičke sigurnosti:
|
Članak 8.
Mjere upravljanja kibernetičkim sigurnosnim rizicima
1. Svaki subjekt Unije bez nepotrebne odgode i u svakom slučaju do 8. rujna 2025., pod nadzorom najviše rukovodeće razine, poduzima odgovarajuće i razmjerne tehničke, operativne i organizacijske mjere za upravljanje kibernetičkim sigurnosnim rizicima utvrđenima u Okviru i za sprečavanje učinaka incidenata ili za svođenje učinaka incidenata na najmanju moguću mjeru. Uzimajući u obzir najnovija dostignuća i, ako je to primjenjivo, relevantne europske i međunarodne norme, tim se mjerama osigurava razina sigurnosti mrežnih i informacijskih sustava u cjelokupnom IKT okruženju koja je razmjerna nastalim kibernetičkim sigurnosnim rizicima. Pri procjeni razmjernosti tih mjera na odgovarajući se način uzima u obzir stupanj izloženosti subjekta Unije kibernetičkim sigurnosnim rizicima, njegova veličina, vjerojatnost pojave incidenata i njihova ozbiljnost, uključujući njihov društveni, gospodarski i međuinstitucijski učinak.
2. Subjekti Unije prilikom provedbe mjera upravljanja kibernetičkim sigurnosnim rizicima razmatraju barem sljedeća pitanja:
(a) | politiku kibernetičke sigurnosti, uključujući mjere potrebne za postizanje ciljeva i prioriteta iz članka 6. i stavka 3. ovog članka; |
(b) | politike analize kibernetičkih sigurnosnih rizika i sigurnosti informacijskih sustava; |
(c) | ciljeve politike u pogledu korištenja usluga računalstva u oblaku; |
(d) | prema potrebi, reviziju kibernetičke sigurnosti koja može uključivati procjenu kibernetičkih sigurnosnih rizika, ranjivosti i kibernetičkih prijetnji te penetracijska testiranja, koja redovito provodi pouzdani privatni pružatelj usluga; |
(e) | provedbu preporuka koje proizlaze iz revizija kibernetičke sigurnosti iz točke (d) putem ažuriranja stanja kibernetičke sigurnosti i politika; |
(f) | organizaciju kibernetičke sigurnosti, uključujući utvrđivanje uloga i odgovornosti; |
(g) | upravljanje imovinom, uključujući popis IKT imovine i kartografiju IKT mreže; |
(h) | sigurnost ljudskih resursa i kontrolu pristupa; |
(i) | sigurnost operacija; |
(j) | sigurnost komunikacija; |
(k) | nabavu, razvoj i održavanj sustavâ, uključujući politike za postupanje s ranjivostima i njihovo otkrivanje; |
(l) | ako je moguće, politike o transparentnosti izvornog koda; |
(m) | sigurnost lanca opskrbe, uključujući sigurnosne aspekte povezane s odnosima između svakog subjekta Unije i njegovih izravnih dobavljača ili pružatelja usluga; |
(n) | postupanje s incidentima i suradnji s CERT-EU-om, na primjer održavanju sustava sigurnosnog nadzora i bilježenju dnevničkih zapisa; |
(o) | upravljanje kontinuitetom poslovanja, na primjer upravljanju sigurnosnim kopijama i oporavku od katastrofe te upravljanju krizama; i |
(p) | promicanje i razvoj programâ obrazovanja, vještina, podizanja svijesti, vježbi i osposobljavanja u području kibernetičke sigurnosti. |
Za potrebe prvog podstavka točke (m) subjekti Unije uzimaju u obzir ranjivosti specifične za svakog izravnog dobavljača i pružatelja usluga te ukupnu kvalitetu proizvoda i kibernetičke sigurnosne prakse svojih dobavljača i pružatelja usluga, uključujući njihove sigurne razvojne postupke.
3. Subjekti Unije poduzimaju barem sljedeće posebne mjere upravljanja kibernetičkim sigurnosnim rizicima:
(a) | tehničke aranžmane za omogućavanje i održavanje rada na daljinu; |
(b) | konkretne korake za prijelaz na načela nultog povjerenja; |
(c) | upotrebu višefaktorske autentifikacije kao norme u svim mrežnim i informacijskim sustavima; |
(d) | upotrebu kriptografije i kriptiranja, a posebno prolaznog kriptiranja, te sigurnih digitalnih potpisa; |
(e) | prema potrebi, sigurne glasovne, video- i tekstualne komunikacije te sigurni komunikacijski sustav u hitnim slučajevima unutar subjekta Unije; |
(f) | proaktivne mjere za otkrivanje i uklanjanje zlonamjernog softvera i špijunskog softvera; |
(g) | uspostavljanje sigurnosti lanca opskrbe softverom s pomoću kriterija za siguran razvoj i evaluaciju softvera; |
(h) | izrada i donošenje programa za osposobljavanje u području kibernetičke sigurnosti koji odgovara predviđenim zadaćama i očekivanim sposobnostima najviše rukovodeće razine i osoblja subjekta Unije čija je zadaća osiguravanje djelotvorne provedbe ove Uredbe; |
(i) | redovito osposobljavanje osoblja u području kibernetičke sigurnosti; |
(j) | ako je to relevantno, sudjelovanje u analizama rizika s obzirom na međupovezanosti subjekata Unije; |
(k) | poboljšanje pravila javne nabave kako bi se olakšalo postizanje visoke zajedničke razine kibernetičke sigurnosti:
|
whereas