keyboard_tab Cyber Resilience Act 2023/2841 HR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Članak 10. Međuinstitucijski odbor za kibernetičku sigurnost
- 1 Članak 12. Usklađenost
- 2 Članak 15. Voditelj CERT-EU-a
- 1 Članak 20. Aranžmani za razmjenu informacija o kibernetičkoj sigurnosti
- 1 Članak 21. Obveze izvješćivanja
POGLAVLJE I.
OPĆE ODREDBE
POGLAVLJE II.
MJERE ZA VISOKU ZAJEDNIČKU RAZINU KIBERNETIČKE SIGURNOSTI
POGLAVLJE III.
MEĐUINSTITUCIJSKI ODBOR ZA KIBERNETIČKU SIGURNOST
POGLAVLJE IV.
CERT-EU
POGLAVLJE V.
OBVEZE SURADNJE I IZVJESCIVANJA
POGLAVLJE VI.
ZAVRSNE ODREDBE
- unije 51
- cert-eu-a 22
- iicb 18
- koje 16
- skladu 15
- informacije 14
- može 14
- iicb-a 14
- koji 12
- subjekt 12
- incident 11
- iicb 9
- zahtjev 9
- roku 9
- uključujući 9
- cert-eu 8
- izvješće 8
- subjektu 8
- učinak 8
- incidentima 7
- preporuke 7
- dotičnom 7
- izvješća 7
- slučaju 7
- subjekta 7
- usluga 7
- ako 6
- subjekti 6
- odgode 6
- temelju 6
- incidenta 6
- imenuje 6
- osim 6
- kojem 6
- nepotrebne 6
- mjere 6
- svojih 5
- značajan 5
- subjekata 5
- uredbe 5
- voditelj 5
- obavijesti 5
- subjekti 5
- kojima 5
- nakon 5
- informacija 5
- cert-eu-u 5
- smjernice 5
- iicb-u 5
- primjenjivo 5
Članak 10.
Međuinstitucijski odbor za kibernetičku sigurnost
1. Osniva se Međuinstitucijski odbor za kibernetičku sigurnost (IICB).
2. IICB je odgovoran za:
| (a) | praćenje provedbe ove Uredbe od strane subjekata Unije i pružanje potpore u provedbi; |
| (b) | nadzor nad provedbom općih prioriteta i ciljeva CERT-EU-a i strateško usmjeravanje CERT-EU-a. |
3. IICB se sastoji od:
| (a) | po jednog predstavnika kojeg imenuje svako od sljedećih tijela:
|
| (b) | tri predstavnika koje Mreža agencija EU-a (EUAN) imenuje na temelju prijedloga svojeg savjetodavnog odbora za IKT kako bi zastupali interese tijela, ureda i agencija Unije koji upravljaju vlastitim IKT okruženjem, osim onih iz točke (a). |
Subjekti Unije zastupljeni u IICB-u nastoje postići rodnu ravnotežu među imenovanim predstavnicima.
4. Članovima IICB-a može pomagati zamjenik. Predsjednik može pozvati druge predstavnike subjekata Unije navedenih u stavku 3. ili drugih subjekata Unije da prisustvuju sastancima IICB-a bez prava glasa.
5. Voditelj CERT-EU-a i predsjednici Skupine za suradnju, mreže CSIRT-ova i EU-CyCLONe-a osnovanih člancima 14., 15. odnosno 16. Direktive (EU) 2022/2555 ili njihovi zamjenici mogu sudjelovati na sastancima IICB-a kao promatrači. U iznimnim slučajevima IICB može odlučiti drukčije, u skladu sa svojim internim poslovnikom.
6. IICB donosi svoj interni poslovnik.
7. U skladu sa svojim internim poslovnikom IICB iz redova svojih članova imenuje predsjednika na razdoblje od tri godine. Zamjenik predsjednika postaje punopravni član IICB-a na isto razdoblje.
8. IICB se sastaje najmanje triput godišnje na inicijativu svojeg predsjednika, na zahtjev CERT-EU-a ili na zahtjev bilo kojeg od svojih članova.
9. Svaki član IICB-a ima jedan glas. Odluke IICB-a donose se običnom većinom, osim ako je u ovoj Uredbi predviđeno drugačije. Predsjednik IICB-a ne smije glasovati, osim u slučaju izjednačenog broja glasova kad predsjednik može dati odlučujući glas.
10. IICB može donositi odluke u pojednostavnjenom pisanom postupku pokrenutom u skladu sa svojim internim poslovnikom. U okviru tog postupka relevantna odluka smatra se odobrenom u roku koji odredi predsjednik, osim ako se neki član protivi.
11. Poslove tajništva za IICB obavlja Komisija i ona odgovara predsjedniku IICB-a.
12. Predstavnici koje imenuje EUAN prosljeđuju odluke IICB-a članovima EUAN-a. Svaki član EUAN-a ima pravo tim predstavnicima ili predsjedniku IICB-a postaviti sva pitanja za koja smatra da bi na njih trebalo upozoriti IICB.
13. IICB može osnovati izvršni odbor da mu pomaže u radu i delegirati mu neke od svojih zadaća i ovlasti. IICB utvrđuje poslovnik izvršnog odbora, uključujući zadaće i ovlasti izvršnog odbora te mandat njegovih članova.
14. Do 8. siječnja 2025., a nakon tog datuma jednom godišnje, IICB podnosi izvješće Europskom parlamentu i Vijeću u kojem detaljno opisuje napredak u provedbi ove Uredbe i posebno navodi opseg suradnje CERT-EU-a s partnerima iz država članica u svakoj od država članica. Izvješće je doprinos dvogodišnjem izvješću o stanju kibernetičke sigurnosti u Uniji donesenom na temelju članka 18. Direktive (EU) 2022/2555.
Članak 12.
Usklađenost
1. IICB u skladu člankom 10. stavkom 2. i člankom 11. djelotvorno prati kako subjekti Unije provode ovu Uredbu i donesene smjernice, preporuke i pozive na djelovanje. IICB može od subjekata Unije zatražiti informacije ili dokumentaciju koji su potrebni u tu svrhu. Za potrebe donošenja mjera usklađivanja na temelju ovog članka, ako je dotični subjekt Unije izravno zastupljen u IICB-u, taj subjekt Unije nema glasačka prava.
2. Ako IICB utvrdi da subjekt Unije ne provodi djelotvorno ovu Uredbu ili smjernice, preporuke ili pozive na djelovanje izdane na temelju ove Uredbe, IICB može, ne dovodeći u pitanje interne postupke dotičnog subjekta Unije i nakon što dotičnom subjektu Unije omogući da se očituje:
| (a) | dostaviti obrazloženo mišljenje dotičnom subjektu Unije u kojem navodi uočene nedostatke u provedbi ove Uredbe; |
| (b) | nakon savjetovanja s CERT-EU-om dati smjernice dotičnom subjektu Unije kako bi osigurao da se njegov Okvir, njegove mjere upravljanja kibernetičkim sigurnosnim rizicima, njegov plan za kibernetičku sigurnost i njegovo izvješćivanje usklade s ovom Uredbom u utvrđenom roku; |
| (c) | izdati upozorenje radi rješavanja utvrđenih nedostataka u utvrđenom roku, uključujući preporuke za izmjenu mjera koje je dotični subjekt Unije donio u skladu s ovom Uredbom; |
| (d) | izdati obrazloženu obavijest dotičnom subjektu Unije u slučaju da nedostatci utvrđeni u upozorenju izdanom u skladu s točkom (c) nisu riješeni u dovoljnoj mjeri u utvrđenom roku; |
| (e) | izdati:
|
| (f) | ako je primjenjivo, obavijestiti Revizorski sud, u okviru svojih ovlasti, o navodnoj neusklađenosti; |
| (g) | izdati preporuku da sve države članice i subjekti Unije provedu privremenu suspenziju protokâ podataka dotičnom subjektu Unije. |
Za potrebe prvog podstavka točke (c) broj primatelja upozorenja primjereno se ograničava ako je to potrebno s obzirom na kibernetički sigurnosni rizik.
Upozorenja i preporuke izdani u skladu s prvim podstavkom upućuju se najvišoj rukovodećoj razini dotičnog subjekta Unije.
3. Ako je IICB donio mjere u skladu sa stavkom 2. prvim podstavkom točkama od (a) do (g), dotični subjekt Unije dostavlja pojedinosti o mjerama i djelovanjima poduzetima radi otklanjanja navodnih nedostataka koje je utvrdio IICB. Subjekt Unije dostavlja te pojedinosti u razumnom roku koji treba dogovoriti s IICB-om.
4. Ako IICB smatra da subjekt Unije ustrajno krši ovu Uredbu, što je izravna posljedica radnji ili propusta dužnosnika ili drugog službenika Unije, među ostalim na najvišoj rukovodećoj razini, IICB zahtijeva da dotični subjekt poduzme odgovarajuće mjere, uključujući stegovne prirode, u skladu s pravilima i postupcima utvrđenima u Pravilniku o osoblju i drugim primjenjivim pravilima i postupcima. U tu svrhu IICB prenosi potrebne informacije dotičnom subjektu Unije.
5. Ako subjekti Unije obavijeste da nisu u mogućnosti poštovati rokove utvrđene u članku 6. stavku 1. i članku 8. stavku 1., IICB može u opravdanim slučajevima odobriti njihovo produljenje, uzimajući u obzir veličinu subjekta Unije.
POGLAVLJE IV.
CERT-EU
Članak 15.
Voditelj CERT-EU-a
1. Nakon što dobije odobrenje dvotrećinske većine članova IICB-a, Komisija imenuje voditelja CERT-EU-a. Savjetovanje s IICB-om obavezno je u svim fazama postupka imenovanja, osobito pri izradi obavijesti o slobodnom radnom mjestu, razmatranju prijava i imenovanju odbora za odabir za radno mjesto. Postupkom odabira, uključujući konačni uži popis kandidata s kojeg se imenuje voditelj CERT-EU-a, osigurava se pravedna zastupljenost svakog spola, uzimajući u obzir podnesene prijave.
2. Voditelj CERT-EU-a odgovoran je za pravilno funkcioniranje CERT-EU-a i djeluje u okviru svog djelokruga i pod vodstvom IICB-a. Voditelj CERT-EU-a redovito podnosi izvješća predsjedniku IICB-a i podnosi ad hoc izvješća IICB-u na njegov zahtjev.
3. Voditelj CERT-EU-a pomaže odgovornom dužnosniku kojem je delegirana ovlast ovjeravanja u sastavljanju godišnjeg izvješća o radu, koje sadržava financijske informacije i informacije o upravljanju, uključujući rezultate kontrola, koje se sastavlja u skladu s člankom 74. stavkom 9. Uredbe (EU, Euratom) 2018/1046 Europskog parlamenta i Vijeća (9) te redovito izvješćuje dužnosnika kojem je delegirana ovlast ovjeravanja o provedbi mjera u pogledu kojih su ovlasti dalje delegirane voditelju CERT-EU-a.
4. Voditelj CERT-EU-a svake godine izrađuje financijski plan administrativnih prihoda i rashoda za svoje aktivnosti, prijedlog godišnjeg programa rada, prijedlog kataloga usluga CERT-EU-a, prijedloge za reviziju kataloga usluga, prijedlog dogovora za sporazume o razini usluga i prijedlog ključnih pokazatelja uspješnosti za CERT-EU koje treba odobriti IICB u skladu s člankom 11. Pri reviziji popisa usluga u katalogu usluga CERT-EU-a voditelj CERT-EU-a uzima u obzir resurse dodijeljene CERT-EU-u.
5. Voditelj CERT-EU-a najmanje jednom godišnje podnosi IICB-u i predsjedniku IICB-a izvješća o aktivnostima i uspješnosti CERT-EU-a tijekom referentnog razdoblja, među ostalim o izvršenju proračuna, sklopljenim sporazumima o razini usluga i pisanim sporazumima, suradnji s partnerima i suradnicima te službenim putovanjima osoblja, uključujući izvješća iz članka 11. Ta izvješća uključuju program rada za sljedeće razdoblje, financijsko planiranje prihoda i rashoda, uključujući za osoblje, planirano ažuriranje kataloga usluga CERT-EU-a i procjenu očekivanog učinka koji bi takva ažuriranja mogla imati na financijske i ljudske resurse.
Članak 20.
Aranžmani za razmjenu informacija o kibernetičkoj sigurnosti
1. Subjekti Unije mogu CERT-EU-u dobrovoljno dostaviti informacije o incidentima, kibernetičkim prijetnjama, izbjegnutim incidentima i ranjivostima koji na njih utječu. CERT-EU osigurava dostupnost učinkovitih sredstava komunikacije s visokom razinom sljedivosti, povjerljivosti i pouzdanosti u svrhu olakšavanja razmjene informacija sa subjektima Unije. Pri obradi obavijesti CERT-EU može dati prednost obradi obveznih obavijesti pred obradom obavijesti na dobrovoljnoj osnovi. Ne dovodeći u pitanje članak 12., subjektu Unije koji je obavijest podnio dobrovoljno ne smiju se zbog tog obavješćivanja nametati dodatne obveze, kojima ne bi podlijegao da nije podnio tu obavijest.
2. Kako bi obavio svoju misiju i zadaće koje su mu dodijeljene u skladu s člankom 13., CERT-EU može od subjekata Unije zatražiti da mu iz svojih evidencija IKT sustava dostave informacije, uključujući informacije koje se odnose na kibernetičke prijetnje, izbjegnute incidente, ranjivosti, pokazatelje ugroženosti, kibernetička sigurnosna upozorenja i preporuke o konfiguraciji kibernetičkih sigurnosnih alata za otkrivanje incidenata. Subjekt Unije kojem je podnesen zahtjev bez nepotrebne odgode dostavlja tražene informacije i sva njihova naknadna ažuriranja.
3. CERT-EU može razmjenjivati sa subjektima Unije informacije specifične za određeni incident kojima se otkriva identitet subjekta Unije pogođenog incidentom pod uvjetom da subjekt Unije pogođen incidentom za to dade suglasnost. Ako subjekt Unije uskrati suglasnost, on dostavlja CERT-EU-u razloge kojima potkrepljuje tu odluku.
4. Subjekti Unije na zahtjev razmjenjuju informacije s Europskim parlamentom i Vijećem o dovršetku planova za kibernetičku sigurnost.
5. IICB ili CERT-EU, ovisno o slučaju, dostavljaju smjernice, preporuke i pozive na djelovanje Europskom parlamentu i Vijeću na njihov zahtjev.
6. Obveze razmjene informacija utvrđene u ovom članku ne odnose se na:
| (a) | klasificirane podatke EU-a, |
| (b) | informacije čija je daljnja distribucija isključena vidljivom oznakom, osim ako je njihova razmjena s CERT-EU-om izričito dopuštena. |
Članak 21.
Obveze izvješćivanja
1. Incident se smatra značajnim:
| (a) | ako je uzrokovao ili može uzrokovati ozbiljne poremećaje u funkcioniranju dotičnog subjekta Unije ili financijski gubitak dotičnom subjektu Unije; |
| (b) | ako je utjecao ili može utjecati na druge fizičke ili pravne osobe uzrokovanjem znatne materijalne ili nematerijalne štete. |
2. Subjekti Unije podnose CERT-EU-u:
| (a) | bez nepotrebne odgode, a u svakom slučaju u roku od 24 sata od kad su saznali za značajan incident, rano upozorenje u kojem se, ako je to primjenjivo, navodi da se sumnja da je značajan incident uzrokovan nezakonitim ili zlonamjernim djelovanjem te da bi mogao imati učinak na ostale subjekte ili prekogranični učinak; |
| (b) | bez nepotrebne odgode, a u svakom slučaju u roku od 72 sata od kad su saznali za značajan incident, obavijest o incidentu kojom se, ako je to primjenjivo, ažuriraju informacije iz točke (a) i navode početna procjena značajnog incidenta, kao i njegove ozbiljnosti i njegova učinka te, ako su dostupni, pokazatelji ugroženosti; |
| (c) | na zahtjev CERT-EU-a, privremeno izvješće o relevantnim ažuriranjima statusa; |
| (d) | završno izvješće najkasnije mjesec dana nakon podnošenja obavijesti o incidentu iz točke (b), koje uključuje sljedeće:
|
| (e) | u slučaju incidenta koji je u tijeku u trenutku podnošenja završnog izvješća iz točke (d), izvješće o napretku u tom trenutku i završno izvješće u roku od mjesec dana od postupanja u vezi s incidentom. |
3. Subjekt Unije bez nepotrebne odgode, a u svakom slučaju u roku od 24 sata od kad sazna za značajni incident, obavješćuje sve relevantne partnere iz država članica iz članka 17. stavka 1. u državi članici u kojoj se nalazi o tome da se dogodio značajni incident.
4. Subjekti Unije obavješćuju, među ostalim, o svim informacijama koje CERT-EU-u omogućuju da utvrdi učinak incidenta na ostale subjekte, učinak na državu članicu domaćina ili prekogranični učinak nakon značajnog incidenta. Ne dovodeći u pitanje članak 12., subjekt Unije koji obavješćuje ne podliježe samo zbog toga povećanoj odgovornosti.
5. Ako je to primjenjivo, subjekti Unije bez nepotrebne odgode obavješćuju korisnike pogođenih mrežnih i informacijskih sustava ili drugih komponenti IKT okruženja na koje bi mogao utjecati značajan incident ili ozbiljna kibernetička prijetnja ili koji, prema potrebi, moraju poduzeti mjere ublažavanja, o svim mjerama ili postupcima koji se mogu poduzeti kao odgovor na taj incident ili tu prijetnju. Subjekti Unije prema potrebi obavješćuju te korisnike o samoj ozbiljnoj kibernetičkoj prijetnji.
6. Ako značajan incident ili ozbiljna kibernetička prijetnja utječe na mrežni i informacijski sustav ili komponentu IKT okruženja subjekta Unije za koje je poznato da su mu mrežni i informacijski sustav ili komponenta IKT okruženja povezani s IKT okruženjem drugog subjekta Unije, CERT-EU izdaje odgovarajuće kibernetičko sigurnosno upozorenje.
7. Subjekti Unije na zahtjev CERT-EU-a i bez nepotrebne odgode dostavljaju CERT-EU-u digitalne informacije nastale upotrebom elektroničkih uređaja u dotičnim incidentima. CERT-EU može dodatno pojasniti koje su mu vrste informacija potrebne za informiranost o stanju i odgovor na incident.
8. CERT-EU svaka tri mjeseca IICB-u, ENISA-i, EU INTCEN-u i mreži CSIRT-ova podnosi sažeto izvješće koje uključuje anonimizirane i agregirane podatke o značajnim incidentima, incidentima, kibernetičkim prijetnjama, izbjegnutim incidentima i ranjivostima u skladu s člankom 20. i značajnim incidentima prijavljenima u skladu sa stavkom 2. ovog članka. Sažeto izvješće doprinos je dvogodišnjem izvješću o stanju kibernetičke sigurnosti u Uniji donesenom na temelju članka 18. Direktive (EU) 2022/2555.
9. IICB do 8. srpnja 2024. izdaje smjernice ili preporuke kojima se pobliže određuju aranžmani te oblik i sadržaj izvješćivanja u skladu s ovim člankom. IICB pri pripremi takvih smjernica ili preporuka uzima u obzir sve provedbene akte donesene na temelju članka 23. stavka 11. Direktive (EU) 2022/2555 kojima se utvrđuju vrsta informacija, oblik i postupak izvješćivanja. CERT-EU prosljeđuje odgovarajuće tehničke pojedinosti kako bi se subjektima Unije omogućilo poduzimanje proaktivnih mjera za otkrivanje, odgovor na incidente ili ublažavanje njihovih učinaka.
10. Obveze izvješćivanja utvrđene u ovom članku ne odnose se na:
| (a) | klasificirane podatke EU-a; |
| (b) | informacije čija je daljnja distribucija isključena vidljivom oznakom, osim ako je njihova razmjena s CERT-EU-om izričito dopuštena. |
whereas