keyboard_tab Cyber Resilience Act 2023/2841 HR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Članak 6. Okvir za upravljanje kibernetičkim sigurnosnim rizicima, opće upravljanje njima i njihovu kontrolu
- 2 Članak 13. Misija i zadaće CERT-EU-a
- 1 Članak 15. Voditelj CERT-EU-a
- 1 Članak 16. Financijska pitanja i osoblje
- 1 Članak 22. Koordinacija i suradnja pri odgovoru na incidente
POGLAVLJE I.
OPĆE ODREDBE
POGLAVLJE II.
MJERE ZA VISOKU ZAJEDNIČKU RAZINU KIBERNETIČKE SIGURNOSTI
POGLAVLJE III.
MEĐUINSTITUCIJSKI ODBOR ZA KIBERNETIČKU SIGURNOST
POGLAVLJE IV.
CERT-EU
POGLAVLJE V.
OBVEZE SURADNJE I IZVJESCIVANJA
POGLAVLJE VI.
ZAVRSNE ODREDBE
- unije 54
- cert-eu-a 28
- usluga 18
- koje 15
- cert-eu 14
- subjekta 14
- sigurnosti 14
- može 13
- kibernetičke 13
- uredbe 13
- sigurnost 12
- razini 12
- skladu 11
- cert-eu 11
- subjekata 10
- kako 10
- temelju 10
- subjektima 10
- kibernetičku 9
- usluge 9
- iicb-a 9
- koji 9
- suradnji 9
- incidentima 9
- uključujući 8
- provedbu 7
- informacije 7
- kibernetičkim 7
- kojima 7
- izvješća 7
- redovito 6
- subjekt 6
- incidente 6
- informacija 6
- među 6
- razina 6
- okvir 6
- njima 6
- člankom 6
- zadaće 6
- pruža 6
- području 5
- pogledu 5
- djeluje 5
- odobrenje 5
- subjekti 5
- komisije 5
- ostalim 5
- stavka 5
- cert-eu-u 5
Članak 6.
Okvir za upravljanje kibernetičkim sigurnosnim rizicima, opće upravljanje njima i njihovu kontrolu
1. Do 8. travnja 2025. svaki subjekt Unije nakon provedbe početnog preispitivanja stanja kibernetičke sigurnosti, kao što je revizija, uspostavlja unutarnji okvir za upravljanje kibernetičkim sigurnosnim rizicima, opće upravljanje njima i njihovu kontrolu („Okvir”). Uspostavu Okvira nadzire i za nju je odgovorna najviša rukovodeća razina subjekta Unije.
2. Okvirom se obuhvaća cjelokupno neklasificirano IKT okruženje dotičnog subjekta Unije, uključujući lokalno IKT okruženje, lokalnu operativnu tehnološku mrežu, eksternalizirana sredstva i usluge računalstva u oblaku ili one kojima treće strane pružaju usluge smještaja na poslužitelju, mobilne uređaje, korporacijske mreže, poslovne mreže koje nisu povezane s internetom i sve uređaje povezane s tim okruženjima („IKT okruženje”). Okvir se temelji na pristupu kojim se obuhvaćaju sve opasnosti.
3. Okvirom se osigurava visoka razina kibernetičke sigurnosti. Okvirom se utvrđuju interne politike kibernetičke sigurnosti, među ostalim ciljevi i prioriteti, za sigurnost mrežnih i informacijskih sustava te uloge i odgovornosti osoblja subjekta Unije čija je zadaća osigurati djelotvornu provedbu ove Uredbe. Okvir također uključuje mehanizme za mjerenje djelotvornosti provedbe.
4. Okvir se, s obzirom na promjenjive kibernetičke sigurnosne rizike, preispituje redovito, a najmanje svake četiri godine. Prema potrebi i na zahtjev Međuinstitucijskog odbora za kibernetičku sigurnost osnovanog člankom 10., Okvir subjekta Unije može se ažurirati na temelju smjernice CERT-EU-a o utvrđenim incidentima ili mogućim nedostatcima uočenima u provedbi ove Uredbe.
5. Najviša rukovodeća razina svakog subjekta Unije odgovorna je za provedbu ove Uredbe i nadgleda usklađenost njegove organizacije s obvezama povezanima s Okvirom.
6. Prema potrebi i ne dovodeći u pitanje svoju odgovornost za provedbu ove Uredbe, najviša rukovodeća razina svakog subjekta Unije može delegirati posebne obveze na temelju ove Uredbe višim dužnosnicima u smislu članka 29. stavka 2. Pravilnika o osoblju ili drugim dužnosnicima na jednakoj razini unutar dotičnog subjekta Unije. Neovisno o takvom delegiranju, najviša rukovodeća razina može se smatrati odgovornom za kršenje ove Uredbe koje je počinio dotični subjekt Unije.
7. Svaki subjekt Unije dužan je imati uspostavljene učinkovite mehanizme kojima se osigurava da se odgovarajući postotak proračuna za IKT troši na kibernetičku sigurnost. Pri utvrđivanju tog postotka uzima se u obzir Okvir.
8. Svaki subjekt Unije imenuje lokalnog službenika za kibernetičku sigurnost ili osobu na jednakovrijednoj funkciji koji odnosno koja djeluje kao njegova jedinstvena kontaktna točka za sve aspekte kibernetičke sigurnosti. Lokalni službenik za kibernetičku sigurnost olakšava provedbu ove Uredbe i najvišu rukovodeću razinu redovito izravno izvješćuje o stanju provedbe. Ne dovodeći u pitanje činjenicu da je lokalni službenik za kibernetičku sigurnost jedinstvena kontaktna točka u svakom subjektu Unije, subjekt Unije može delegirati CERT-EU-u određene zadaće lokalnog službenika za kibernetičku sigurnost povezane s provedbom ove Uredbe na temelju sporazuma o razini usluga sklopljenog između tog subjekta Unije i CERT-EU-a ili te zadaće može dijeliti nekoliko subjekata Unije. Ako su te zadaće delegirane CERT-EU-u, Međuinstitucijski odbor za kibernetičku sigurnost osnovan člankom 10. odlučuje hoće li pružanje te usluge biti dio osnovnih usluga CERT-EU-a, uzimajući u obzir ljudske i financijske resurse dotičnog subjekta Unije. Svaki subjekt Unije bez nepotrebne odgode obavješćuje CERT-EU o imenovanom lokalnom službeniku za kibernetičku sigurnost i eventualnim naknadnim promjenama u vezi s time.
CERT-EU uspostavlja i ažurira popis imenovanih lokalnih službenika za kibernetičku sigurnost.
9. Viši dužnosnici u smislu članka 29. stavka 2. Pravilnika o osoblju ili drugi dužnosnici na jednakoj razini svakog subjekta Unije te svi relevantni članovi osoblja zaduženi za provedbu mjera upravljanja kibernetičkim sigurnosnim rizicima i ispunjavanje obveza utvrđenih u ovoj Uredbi redovito pohađaju posebna osposobljavanja kako bi stekli dovoljno znanja i vještina za razumijevanje i procjenu kibernetičkih sigurnosnih rizika i prakse upravljanja kibernetičkom sigurnošću te njihova utjecaja na poslovanje subjekta Unije.
Članak 13.
Misija i zadaće CERT-EU-a
1. Misija CERT-EU-a jest doprinositi sigurnosti neklasificiranog IKT okruženja subjekata Unije tako što im pruža savjete o kibernetičkoj sigurnosti, pomaže im u sprečavanju, otkrivanju i ublažavanju incidenata, postupanju s njima, odgovoru na njih i oporavku od njih te tako što preuzima ulogu njihova koordinacijskog čvorišta za razmjenu informacija o kibernetičkoj sigurnosti i za odgovor na incidente.
2. CERT-EU prikuplja informacije o kibernetičkim prijetnjama, ranjivostima i incidentima u neklasificiranoj IKT infrastrukturi te upravlja njima, analizira ih i razmjenjuje sa subjektima Unije. Koordinira odgovore na incidente na međuinstitucijskoj razini i razini subjekata Unije, među ostalim pružanjem ili koordinacijom pružanja specijalizirane operativne pomoći.
3. CERT-EU obavlja sljedeće zadaće kako bi pomagao subjektima Unije:
| (a) | pruža im potporu u provedbi ove Uredbe i doprinosi koordinaciji provedbe ove Uredbe putem mjera navedenih u članku 14. stavku 1. ili putem ad hoc izvješća koja je zatražio IICB; |
| (b) | nudi standardne usluge CSIRT-ova za subjekte Unije putem paketa kibernetičkih sigurnosnih usluga opisanih u njegovu katalogu usluga („osnovne usluge”); |
| (c) | održava mrežu kolega i suradnika radi pružanja potpore uslugama, kako je navedeno u člancima 17. i 18.; |
| (d) | skreće pozornost IICB-a na sve probleme koji se odnose na provedbu ove Uredbe i provedbu smjernica, preporuka i pozivâ na djelovanje; |
| (e) | na temelju informacija iz stavka 2. doprinosi informiranosti o stanju kibernetičke sigurnosti situaciji u Uniji u bliskoj suradnji s ENISA-om; |
| (f) | koordinira upravljanje velikim incidentima; |
| (g) | u ime subjekata Unije djeluje kao ekvivalent koordinatora imenovanog za potrebe koordiniranog otkrivanja ranjivosti u skladu s člankom 12. stavkom 1. Direktive (EU) 2022/2555; |
| (h) | na zahtjev subjekta Unije osigurava proaktivno neinvazivno skeniranje javno dostupnih mrežnih i informacijskih sustava tog subjekta Unije. |
Informacije iz prvog podstavka točke (e) dijele se s IICB-om, mrežom CSIRT-ova i Obavještajnim i situacijskim centrom Europske unije (EU INTCEN), ako je to primjenjivo i primjereno, te podložno odgovarajućim uvjetima povjerljivosti.
4. CERT-EU može prema potrebi, u skladu s člankom 17. ili 18., surađivati s relevantnim zajednicama u području kibernetičke sigurnosti u Uniji i njezinim državama članicama, među ostalim u sljedećim područjima:
| (a) | pripravnost, koordinacija incidenata, razmjena informacija i odgovor na krize na tehničkoj razini u slučajevima povezanima sa subjektima Unije; |
| (b) | operativna suradnja u pogledu mreže CSIRT-ova, među ostalim u pogledu uzajamne pomoći; |
| (c) | saznanja o kibernetičkim prijetnjama, uključujući informiranost o stanju; |
| (d) | sve teme za koje je potrebna tehnička stručnost CERT-EU-a u području kibernetičke sigurnosti. |
5. CERT-EU u okviru svojih nadležnosti sudjeluje u strukturiranoj suradnji s ENISA-om na izgradnji kapaciteta, operativnoj suradnji i dugoročnim strateškim analizama kibernetičkih prijetnji u skladu s Uredbom (EU) 2019/881. CERT-EU može surađivati i razmjenjivati informacije s Europolovim Centrom za kibernetički kriminalitet.
6. CERT-EU može pružati sljedeće usluge koje nisu opisane u njegovu katalogu usluga („usluge uz naknadu”):
| (a) | usluge kojima se podupire kibernetička sigurnost IKT okruženja subjekata Unije, osim onih iz stavka 3., na temelju sporazumâ o razini usluga i ovisno o dostupnim resursima, osobito praćenje mreža širokog spektra, uključujući prvu liniju nadzora za vrlo ozbiljne kibernetičke prijetnje 24 sata dnevno sedam dana u tjednu; |
| (b) | usluge kojima se podupiru kibernetičke sigurnosne operacije ili kibernetički sigurnosni projekti subjekata Unije koje ne služe za zaštitu njihova IKT okruženja, na temelju pisanih sporazuma i uz prethodno odobrenje IICB-a; |
| (c) | na zahtjev, proaktivno skeniranje mrežnih i informacijskih sustava dotičnog subjekta Unije kako bi se otkrile ranjivosti koje bi mogle imati znatan učinak; |
| (d) | usluge kojima se podupire sigurnost IKT okruženja organizacija koje nisu subjekti Unije, a koje blisko surađuju sa subjektima Unije, na primjer zbog zadaća ili dužnosti koje su im dodijeljene na temelju prava Unije, na temelju pisanih sporazuma i uz prethodno odobrenje IICB-a. |
Kad je riječ o prvom podstavku točki (d), CERT-EU može iznimno sklapati sporazume o razini usluga sa subjektima koji nisu subjekti Unije uz prethodno odobrenje IICB-a.
7. CERT-EU organizira vježbe u području kibernetičke sigurnosti i može sudjelovati u njima ili preporučiti sudjelovanje u postojećim vježbama, ako je to primjenjivo u bliskoj suradnji s ENISA-om, kad je to primjenjivo, kako bi se testirala razina kibernetičke sigurnosti subjekata Unije.
8. CERT-EU može pružiti pomoć subjektima Unije u pogledu incidenata u mrežnim i informacijskim sustavima u kojima se postupa s kvalificiranim podatcima EU-a ako dotični subjekti Unije to izričito zatraže u skladu sa svojim postupcima. Pružanjem pomoći CERT-EU-a na temelju ovog stavka ne dovode se u pitanje primjenjiva pravila o zaštiti klasificiranih podataka.
9. CERT-EU obavješćuje subjekte Unije o svojim postupcima i procesima za postupanje s incidentima.
10. CERT-EU s visokom razinom povjerljivosti i pouzdanosti putem odgovarajućih mehanizama suradnje i linija izvješćivanja doprinosi relevantnim i anonimiziranim informacijama o velikim incidentima i načinu na koji se postupalo s njima. Te se informacije unose u izvješće iz članka 10. stavka 14.
11. CERT-EU u suradnji s Europskim nadzornikom za zaštitu podataka podupire dotične subjekte Unije pri rješavanju incidenata koji za posljedicu imaju povrede osobnih podataka, ne dovodeći u pitanje nadležnosti i zadaće Europskog nadzornika za zaštitu podatak kao nadzornog tijela u skladu s Uredbom (EU) 2018/1725.
12. Ako to resorni odjeli subjekata Unije izričito zatraže, CERT-EU može pružiti tehnički savjet ili tehnička mišljenja o relevantnim pitanjima vezanima uz politike.
Članak 15.
Voditelj CERT-EU-a
1. Nakon što dobije odobrenje dvotrećinske većine članova IICB-a, Komisija imenuje voditelja CERT-EU-a. Savjetovanje s IICB-om obavezno je u svim fazama postupka imenovanja, osobito pri izradi obavijesti o slobodnom radnom mjestu, razmatranju prijava i imenovanju odbora za odabir za radno mjesto. Postupkom odabira, uključujući konačni uži popis kandidata s kojeg se imenuje voditelj CERT-EU-a, osigurava se pravedna zastupljenost svakog spola, uzimajući u obzir podnesene prijave.
2. Voditelj CERT-EU-a odgovoran je za pravilno funkcioniranje CERT-EU-a i djeluje u okviru svog djelokruga i pod vodstvom IICB-a. Voditelj CERT-EU-a redovito podnosi izvješća predsjedniku IICB-a i podnosi ad hoc izvješća IICB-u na njegov zahtjev.
3. Voditelj CERT-EU-a pomaže odgovornom dužnosniku kojem je delegirana ovlast ovjeravanja u sastavljanju godišnjeg izvješća o radu, koje sadržava financijske informacije i informacije o upravljanju, uključujući rezultate kontrola, koje se sastavlja u skladu s člankom 74. stavkom 9. Uredbe (EU, Euratom) 2018/1046 Europskog parlamenta i Vijeća (9) te redovito izvješćuje dužnosnika kojem je delegirana ovlast ovjeravanja o provedbi mjera u pogledu kojih su ovlasti dalje delegirane voditelju CERT-EU-a.
4. Voditelj CERT-EU-a svake godine izrađuje financijski plan administrativnih prihoda i rashoda za svoje aktivnosti, prijedlog godišnjeg programa rada, prijedlog kataloga usluga CERT-EU-a, prijedloge za reviziju kataloga usluga, prijedlog dogovora za sporazume o razini usluga i prijedlog ključnih pokazatelja uspješnosti za CERT-EU koje treba odobriti IICB u skladu s člankom 11. Pri reviziji popisa usluga u katalogu usluga CERT-EU-a voditelj CERT-EU-a uzima u obzir resurse dodijeljene CERT-EU-u.
5. Voditelj CERT-EU-a najmanje jednom godišnje podnosi IICB-u i predsjedniku IICB-a izvješća o aktivnostima i uspješnosti CERT-EU-a tijekom referentnog razdoblja, među ostalim o izvršenju proračuna, sklopljenim sporazumima o razini usluga i pisanim sporazumima, suradnji s partnerima i suradnicima te službenim putovanjima osoblja, uključujući izvješća iz članka 11. Ta izvješća uključuju program rada za sljedeće razdoblje, financijsko planiranje prihoda i rashoda, uključujući za osoblje, planirano ažuriranje kataloga usluga CERT-EU-a i procjenu očekivanog učinka koji bi takva ažuriranja mogla imati na financijske i ljudske resurse.
Članak 16.
Financijska pitanja i osoblje
1. CERT-EU integriran je u administrativnu strukturu glavne uprave Komisije kako bi imao koristi od potpornih struktura Komisije u području administracije, financijskog upravljanja i računovodstva, zadržavajući pritom svoj status neovisnog međuinstitucijskog pružatelja usluga za sve subjekte Unije. Komisija obavješćuje IICB o administrativnom sjedištu CERT-EU-a i svim njegovim promjenama. Komisija redovito preispituje administrativne aranžmane koji se odnose na CERT-EU, a u svakom slučaju prije donošenja višegodišnjeg financijskog okvira u skladu s člankom 312. UFEU-a, kako bi se omogućilo poduzimanje odgovarajućih mjera. Preispitivanje uključuje mogućnost uspostave CERT-EU-a kao ureda Unije.
2. Tijekom primjene upravnih i financijskih postupaka voditelj CERT-EU-a djeluje u okviru ovlasti Komisije i pod nadzorom IICB-a.
3. Zadaće i aktivnosti CERT-EU-a, uključujući usluge koje CERT-EU pruža u skladu s člankom 13. stavcima 3., 4., 5. i 7. i člankom 14. stavkom 1. subjektima Unije financiranima iz naslova višegodišnjeg financijskog okvira namijenjenog europskoj javnoj upravi, financiraju se iz posebne proračunske linije proračuna Komisije. Radna mjesta namijenjena CERT-EU-u detaljno se navode u bilješci uz plan radnih mjesta Komisije.
4. Subjekti Unije, osim onih iz stavka 3. ovog članka, daju godišnji financijski doprinos CERT-EU-u za pokrivanje usluga koje CERT-EU pruža u skladu s tim stavkom. Doprinosi se temelje na smjernicama koje je dao IICB i svi ih subjekti Unije dogovaraju s CERT-EU-om u sporazumima o razini usluga. Doprinosi odgovaraju pravednom i razmjernom udjelu u ukupnim troškovima pruženih usluga. Zaprimaju se u posebnoj proračunskoj liniji iz stavka 3. ovog članka kao unutarnji namjenski prihod, kako je predviđeno u članku 21. stavku 3. točki (c) Uredbe (EU, Euratom) 2018/1046.
5. Troškove usluga predviđenih u članku 13. stavku 6. nadoknađuju subjekti Unije koji se koriste uslugama CERT-EU-a. Prihodi se dodjeljuju proračunskim linijama kojima se financiraju navedeni troškovi.
Članak 22.
Koordinacija i suradnja pri odgovoru na incidente
1. CERT-EU djeluje kao koordinacijsko čvorište za razmjenu informacija o kibernetičkoj sigurnosti i za odgovor na incidente te tako olakšava razmjenu informacija o incidentima, kibernetičkim prijetnjama, ranjivostima i izbjegnutim incidentima među:
| (a) | subjektima Unije; |
| (b) | partnerima iz članaka 17. i 18. |
2. CERT-EU, ako je relevantno u bliskoj suradnji s ENISA-om, olakšava koordinaciju odgovora na incidente među subjektima Unije, uključujući:
| (a) | doprinos dosljednoj vanjskoj komunikaciji; |
| (b) | uzajamnu potporu, kao što je razmjena informacija relevantnih za subjekte Unije ili pružanje pomoći, prema potrebi izravno na licu mjesta; |
| (c) | optimalnu upotrebu operativnih resursa; |
| (d) | koordinaciju s drugim mehanizmima za odgovor na krize na razini Unije. |
3. CERT-EU, u bliskoj suradnji s ENISA-om, pruža potporu subjektima Unije u pogledu informiranosti o incidentima, kibernetičkim prijetnjama, ranjivostima i izbjegnutim incidentima te im pruža informacije o najnovijim zbivanjima u području kibernetičke sigurnosti.
4. IICB do 8. siječnja 2025. na temelju prijedloga CERT-EU-a donosi smjernice ili preporuke o koordinaciji odgovora na incidente i suradnji u slučaju značajnih incidenata. Ako se sumnja da je incident kaznene prirode, CERT-EU bez nepotrebne odgode savjetuje o tome kako prijaviti incident tijelima za izvršavanje zakonodavstva.
5. Na poseban zahtjev države članice i uz odobrenje dotičnih subjekata Unije CERT-EU može pozvati stručnjake s popisa iz članka 23. stavka 4. kako bi doprinijeli odgovoru na veliki incident koji ima učinak u toj državi članici ili kibernetički sigurnosni incident velikih razmjera u skladu s člankom 15. stavkom 3. točkom (g) Direktive (EU) 2022/2555. IICB na prijedlog CERT EU-a odobrava posebna pravila o pristupu tehničkim stručnjacima iz subjekata Unije i njihovu djelovanju.
whereas