keyboard_tab Cyber Resilience Act 2023/2841 HR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
POGLAVLJE I.
OPĆE ODREDBE
POGLAVLJE II.
MJERE ZA VISOKU ZAJEDNIČKU RAZINU KIBERNETIČKE SIGURNOSTI
POGLAVLJE III.
MEĐUINSTITUCIJSKI ODBOR ZA KIBERNETIČKU SIGURNOST
POGLAVLJE IV.
CERT-EU
POGLAVLJE V.
OBVEZE SURADNJE I IZVJESCIVANJA
POGLAVLJE VI.
ZAVRSNE ODREDBE
- unije 33
- cert-eu-a 20
- europskog 15
- koje 12
- usluga 12
- vijeća 10
- skladu 10
- cert-eu 10
- parlamenta 10
- europske 9
- uredbe 9
- eu / 9
- sigurnosti 9
- str 9
- iicb-a 8
- eu br / 8
- subjekata 8
- br / 7
- sl l 7
- razini 7
- kibernetičke 7
- temelju 7
- subjektima 7
- uključujući 7
- izvješća 7
- može 7
- cert-eu 7
- informacije 6
- suradnji 6
- podataka 6
- usluge 5
- koji 5
- uredba 5
- kojima 4
- snage 4
- odobrenje 4
- pogledu 4
- putem 4
- području 4
- zahtjev 4
- kako 4
- ostalim 4
- među 4
- stavljanju 4
- izvan 4
- komisije 4
- voditelj 4
- okruženja 4
- njima 4
- prijedlog 4
Članak 13.
Misija i zadaće CERT-EU-a
1. Misija CERT-EU-a jest doprinositi sigurnosti neklasificiranog IKT okruženja subjekata Unije tako što im pruža savjete o kibernetičkoj sigurnosti, pomaže im u sprečavanju, otkrivanju i ublažavanju incidenata, postupanju s njima, odgovoru na njih i oporavku od njih te tako što preuzima ulogu njihova koordinacijskog čvorišta za razmjenu informacija o kibernetičkoj sigurnosti i za odgovor na incidente.
2. CERT-EU prikuplja informacije o kibernetičkim prijetnjama, ranjivostima i incidentima u neklasificiranoj IKT infrastrukturi te upravlja njima, analizira ih i razmjenjuje sa subjektima Unije. Koordinira odgovore na incidente na međuinstitucijskoj razini i razini subjekata Unije, među ostalim pružanjem ili koordinacijom pružanja specijalizirane operativne pomoći.
3. CERT-EU obavlja sljedeće zadaće kako bi pomagao subjektima Unije:
| (a) | pruža im potporu u provedbi ove Uredbe i doprinosi koordinaciji provedbe ove Uredbe putem mjera navedenih u članku 14. stavku 1. ili putem ad hoc izvješća koja je zatražio IICB; |
| (b) | nudi standardne usluge CSIRT-ova za subjekte Unije putem paketa kibernetičkih sigurnosnih usluga opisanih u njegovu katalogu usluga („osnovne usluge”); |
| (c) | održava mrežu kolega i suradnika radi pružanja potpore uslugama, kako je navedeno u člancima 17. i 18.; |
| (d) | skreće pozornost IICB-a na sve probleme koji se odnose na provedbu ove Uredbe i provedbu smjernica, preporuka i pozivâ na djelovanje; |
| (e) | na temelju informacija iz stavka 2. doprinosi informiranosti o stanju kibernetičke sigurnosti situaciji u Uniji u bliskoj suradnji s ENISA-om; |
| (f) | koordinira upravljanje velikim incidentima; |
| (g) | u ime subjekata Unije djeluje kao ekvivalent koordinatora imenovanog za potrebe koordiniranog otkrivanja ranjivosti u skladu s člankom 12. stavkom 1. Direktive (EU) 2022/2555; |
| (h) | na zahtjev subjekta Unije osigurava proaktivno neinvazivno skeniranje javno dostupnih mrežnih i informacijskih sustava tog subjekta Unije. |
Informacije iz prvog podstavka točke (e) dijele se s IICB-om, mrežom CSIRT-ova i Obavještajnim i situacijskim centrom Europske unije (EU INTCEN), ako je to primjenjivo i primjereno, te podložno odgovarajućim uvjetima povjerljivosti.
4. CERT-EU može prema potrebi, u skladu s člankom 17. ili 18., surađivati s relevantnim zajednicama u području kibernetičke sigurnosti u Uniji i njezinim državama članicama, među ostalim u sljedećim područjima:
| (a) | pripravnost, koordinacija incidenata, razmjena informacija i odgovor na krize na tehničkoj razini u slučajevima povezanima sa subjektima Unije; |
| (b) | operativna suradnja u pogledu mreže CSIRT-ova, među ostalim u pogledu uzajamne pomoći; |
| (c) | saznanja o kibernetičkim prijetnjama, uključujući informiranost o stanju; |
| (d) | sve teme za koje je potrebna tehnička stručnost CERT-EU-a u području kibernetičke sigurnosti. |
5. CERT-EU u okviru svojih nadležnosti sudjeluje u strukturiranoj suradnji s ENISA-om na izgradnji kapaciteta, operativnoj suradnji i dugoročnim strateškim analizama kibernetičkih prijetnji u skladu s Uredbom (EU) 2019/881. CERT-EU može surađivati i razmjenjivati informacije s Europolovim Centrom za kibernetički kriminalitet.
6. CERT-EU može pružati sljedeće usluge koje nisu opisane u njegovu katalogu usluga („usluge uz naknadu”):
| (a) | usluge kojima se podupire kibernetička sigurnost IKT okruženja subjekata Unije, osim onih iz stavka 3., na temelju sporazumâ o razini usluga i ovisno o dostupnim resursima, osobito praćenje mreža širokog spektra, uključujući prvu liniju nadzora za vrlo ozbiljne kibernetičke prijetnje 24 sata dnevno sedam dana u tjednu; |
| (b) | usluge kojima se podupiru kibernetičke sigurnosne operacije ili kibernetički sigurnosni projekti subjekata Unije koje ne služe za zaštitu njihova IKT okruženja, na temelju pisanih sporazuma i uz prethodno odobrenje IICB-a; |
| (c) | na zahtjev, proaktivno skeniranje mrežnih i informacijskih sustava dotičnog subjekta Unije kako bi se otkrile ranjivosti koje bi mogle imati znatan učinak; |
| (d) | usluge kojima se podupire sigurnost IKT okruženja organizacija koje nisu subjekti Unije, a koje blisko surađuju sa subjektima Unije, na primjer zbog zadaća ili dužnosti koje su im dodijeljene na temelju prava Unije, na temelju pisanih sporazuma i uz prethodno odobrenje IICB-a. |
Kad je riječ o prvom podstavku točki (d), CERT-EU može iznimno sklapati sporazume o razini usluga sa subjektima koji nisu subjekti Unije uz prethodno odobrenje IICB-a.
7. CERT-EU organizira vježbe u području kibernetičke sigurnosti i može sudjelovati u njima ili preporučiti sudjelovanje u postojećim vježbama, ako je to primjenjivo u bliskoj suradnji s ENISA-om, kad je to primjenjivo, kako bi se testirala razina kibernetičke sigurnosti subjekata Unije.
8. CERT-EU može pružiti pomoć subjektima Unije u pogledu incidenata u mrežnim i informacijskim sustavima u kojima se postupa s kvalificiranim podatcima EU-a ako dotični subjekti Unije to izričito zatraže u skladu sa svojim postupcima. Pružanjem pomoći CERT-EU-a na temelju ovog stavka ne dovode se u pitanje primjenjiva pravila o zaštiti klasificiranih podataka.
9. CERT-EU obavješćuje subjekte Unije o svojim postupcima i procesima za postupanje s incidentima.
10. CERT-EU s visokom razinom povjerljivosti i pouzdanosti putem odgovarajućih mehanizama suradnje i linija izvješćivanja doprinosi relevantnim i anonimiziranim informacijama o velikim incidentima i načinu na koji se postupalo s njima. Te se informacije unose u izvješće iz članka 10. stavka 14.
11. CERT-EU u suradnji s Europskim nadzornikom za zaštitu podataka podupire dotične subjekte Unije pri rješavanju incidenata koji za posljedicu imaju povrede osobnih podataka, ne dovodeći u pitanje nadležnosti i zadaće europskog nadzornika za zaštitu podatak kao nadzornog tijela u skladu s Uredbom (EU) 2018/1725.
12. Ako to resorni odjeli subjekata Unije izričito zatraže, CERT-EU može pružiti tehnički savjet ili tehnička mišljenja o relevantnim pitanjima vezanima uz politike.
Članak 15.
Voditelj CERT-EU-a
1. Nakon što dobije odobrenje dvotrećinske većine članova IICB-a, Komisija imenuje voditelja CERT-EU-a. Savjetovanje s IICB-om obavezno je u svim fazama postupka imenovanja, osobito pri izradi obavijesti o slobodnom radnom mjestu, razmatranju prijava i imenovanju odbora za odabir za radno mjesto. Postupkom odabira, uključujući konačni uži popis kandidata s kojeg se imenuje voditelj CERT-EU-a, osigurava se pravedna zastupljenost svakog spola, uzimajući u obzir podnesene prijave.
2. Voditelj CERT-EU-a odgovoran je za pravilno funkcioniranje CERT-EU-a i djeluje u okviru svog djelokruga i pod vodstvom IICB-a. Voditelj CERT-EU-a redovito podnosi izvješća predsjedniku IICB-a i podnosi ad hoc izvješća IICB-u na njegov zahtjev.
3. Voditelj CERT-EU-a pomaže odgovornom dužnosniku kojem je delegirana ovlast ovjeravanja u sastavljanju godišnjeg izvješća o radu, koje sadržava financijske informacije i informacije o upravljanju, uključujući rezultate kontrola, koje se sastavlja u skladu s člankom 74. stavkom 9. Uredbe (EU, Euratom) 2018/1046 europskog parlamenta i Vijeća (9) te redovito izvješćuje dužnosnika kojem je delegirana ovlast ovjeravanja o provedbi mjera u pogledu kojih su ovlasti dalje delegirane voditelju CERT-EU-a.
4. Voditelj CERT-EU-a svake godine izrađuje financijski plan administrativnih prihoda i rashoda za svoje aktivnosti, prijedlog godišnjeg programa rada, prijedlog kataloga usluga CERT-EU-a, prijedloge za reviziju kataloga usluga, prijedlog dogovora za sporazume o razini usluga i prijedlog ključnih pokazatelja uspješnosti za CERT-EU koje treba odobriti IICB u skladu s člankom 11. Pri reviziji popisa usluga u katalogu usluga CERT-EU-a voditelj CERT-EU-a uzima u obzir resurse dodijeljene CERT-EU-u.
5. Voditelj CERT-EU-a najmanje jednom godišnje podnosi IICB-u i predsjedniku IICB-a izvješća o aktivnostima i uspješnosti CERT-EU-a tijekom referentnog razdoblja, među ostalim o izvršenju proračuna, sklopljenim sporazumima o razini usluga i pisanim sporazumima, suradnji s partnerima i suradnicima te službenim putovanjima osoblja, uključujući izvješća iz članka 11. Ta izvješća uključuju program rada za sljedeće razdoblje, financijsko planiranje prihoda i rashoda, uključujući za osoblje, planirano ažuriranje kataloga usluga CERT-EU-a i procjenu očekivanog učinka koji bi takva ažuriranja mogla imati na financijske i ljudske resurse.
Članak 19.
Postupanje s informacijama
1. Subjekti Unije i CERT-EU poštuju obvezu čuvanja poslovne tajne u skladu s člankom 339. UFEU-a ili u skladu s jednakovrijednim primjenjivim okvirima.
2. Uredba (EZ) br. 1049/2001 europskog parlamenta i Vijeća (10) primjenjuje se na zahtjeve za javni pristup dokumentima koje posjeduje CERT-EU, uključujući obvezu savjetovanja, na temelju te uredbe, s drugim subjektima Unije, ili, ako je relevantno, državama članicama, kad se zahtjev odnosi na njihove dokumente.
3. Postupanje subjekata Unije i CERT-EU-a s podatcima mora biti u skladu s primjenjivim pravilima o sigurnosti podataka.
Članak 26.
Stupanje na snagu
Ova Uredba stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.
Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.
Sastavljeno u Strasbourgu 13. prosinca 2023.
Za Europski parlament
Predsjednica
R. METSOLA
Za Vijeće
Predsjednik
P. NAVARRO RÍOS
(1) Stajalište europskog parlamenta od 21. studenoga 2023. (još nije objavljeno u Službenom listu) i odluka Vijeća od 8. prosinca 2023.
(2) Direktiva (EU) 2022/2555 europskog parlamenta i Vijeća od 14. prosinca 2022. o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije, izmjeni Uredbe (EU) br. 910/2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (Direktiva NIS 2) (SL L 333, 27.12.2022., str. 80.).
(3) Uredba (EU) 2019/881 europskog parlamenta i Vijeća od 17. travnja 2019. o ENISA-i (Agencija Europske unije za kibersigurnost) te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije i stavljanju izvan snage Uredbe (EU) br. 526/2013 (Akt o kibersigurnosti) (SL L 151, 7.6.2019., str. 15.).
(4) Dogovor između europskog parlamenta, europskog vijeća, Vijeća Europske unije, Europske komisije, Suda Europske unije, Europske središnje banke, europskog revizorskog suda, Europske službe za vanjsko djelovanje, europskog gospodarskog i socijalnog odbora, europskog Odbora regija i Europske investicijske banke o organizaciji i radu tima za hitne računalne intervencije za institucije, tijela i agencije Unije (CERT-EU) (SL C 12, 13.1.2018., str. 1.).
(5) Uredba Vijeća (EEZ, Euratom, EZUČ) br. 259/68 od 29. veljače 1968. kojom se utvrđuje Pravilnik o osoblju za dužnosnike i Uvjeti zaposlenja ostalih službenika Europskih zajednica i kojom se uvode posebne mjere koje se privremeno primjenjuju na dužnosnike Komisije (SL L 56, 4.3.1968., str. 1).
(6) Preporuka Komisije (EU) 2017/1584 od 13. rujna 2017. o koordiniranom odgovoru na kiberincidente i kiberkrize velikih razmjera (SL L 239, 19.9.2017., str. 36.).
(7) Uredba (EU) 2018/1725 europskog parlamenta i Vijeća od 23. listopada 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ (SL L 295, 21.11.2018., str. 39.).
(8) SL C 258, 5.7.2022., str. 10.
(9) Uredba (EU, Euratom) 2018/1046 europskog parlamenta i Vijeća od 18. srpnja 2018. o financijskim pravilima koja se primjenjuju na opći proračun Unije, o izmjeni uredaba (EU) br. 1296/2013, (EU) br. 1301/2013, (EU) br. 1303/2013, (EU) br. 1304/2013, (EU) br. 1309/2013, (EU) br. 1316/2013, (EU) br. 223/2014, (EU) br. 283/2014 i Odluke br. 541/2014/EU te o stavljanju izvan snage Uredbe (EU, Euratom) br. 966/2012 (SL L 193, 30.7.2018., str. 1.).
(10) Uredba (EZ) br. 1049/2001 europskog parlamenta i Vijeća od 30. svibnja 2001. o javnom pristupu dokumentima europskog parlamenta, Vijeća i Komisije (SL L 145, 31.5.2001., str. 43.).
ELI: http://data.europa.eu/eli/reg/2023/2841/oj
ISSN 1977-0847 (electronic edition)