keyboard_tab Cyber Resilience Act 2023/2841 HR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Članak 6. Okvir za upravljanje kibernetičkim sigurnosnim rizicima, opće upravljanje njima i njihovu kontrolu
- 1 Članak 7. Procjene zrelosti kibernetičke sigurnosti
- 1 Članak 11. Zadaće IICB-a
POGLAVLJE I.
OPĆE ODREDBE
POGLAVLJE II.
MJERE ZA VISOKU ZAJEDNIČKU RAZINU KIBERNETIČKE SIGURNOSTI
POGLAVLJE III.
MEĐUINSTITUCIJSKI ODBOR ZA KIBERNETIČKU SIGURNOST
POGLAVLJE IV.
CERT-EU
POGLAVLJE V.
OBVEZE SURADNJE I IZVJESCIVANJA
POGLAVLJE VI.
ZAVRSNE ODREDBE
- unije 37
- cert-eu-a 19
- sigurnost 15
- kibernetičke 14
- kibernetičku 13
- sigurnosti 13
- subjekta 12
- temelju 11
- uredbe 10
- subjekt 9
- odobrava 8
- provedbu 7
- razini 7
- subjekata 7
- kibernetičkim 7
- upravljanje 7
- koje 6
- može 6
- članka 6
- prijedloga 6
- potrebi 6
- okvir 6
- zrelosti 6
- voditelja 5
- razina 5
- rizicima 5
- prema 5
- sigurnosnim 5
- službenika 5
- usluga 5
- redovito 4
- upravljanja 4
- ciljem 4
- prati 4
- rukovodeća 4
- koji 4
- zadaće 4
- obzir 4
- dotičnog 4
- subjekte 3
- cert-eu 3
- svaki 3
- uzimajući 3
- povezane 3
- nakon 3
- provode 3
- ocjenjuje 3
- usluge 3
- subjektima 3
- najviša 3
Članak 6.
Okvir za upravljanje kibernetičkim sigurnosnim rizicima, opće upravljanje njima i njihovu kontrolu
1. Do 8. travnja 2025. svaki subjekt Unije nakon provedbe početnog preispitivanja stanja kibernetičke sigurnosti, kao što je revizija, uspostavlja unutarnji okvir za upravljanje kibernetičkim sigurnosnim rizicima, opće upravljanje njima i njihovu kontrolu („Okvir”). Uspostavu Okvira nadzire i za nju je odgovorna najviša rukovodeća razina subjekta Unije.
2. Okvirom se obuhvaća cjelokupno neklasificirano IKT okruženje dotičnog subjekta Unije, uključujući lokalno IKT okruženje, lokalnu operativnu tehnološku mrežu, eksternalizirana sredstva i usluge računalstva u oblaku ili one kojima treće strane pružaju usluge smještaja na poslužitelju, mobilne uređaje, korporacijske mreže, poslovne mreže koje nisu povezane s internetom i sve uređaje povezane s tim okruženjima („IKT okruženje”). Okvir se temelji na pristupu kojim se obuhvaćaju sve opasnosti.
3. Okvirom se osigurava visoka razina kibernetičke sigurnosti. Okvirom se utvrđuju interne politike kibernetičke sigurnosti, među ostalim ciljevi i prioriteti, za sigurnost mrežnih i informacijskih sustava te uloge i odgovornosti osoblja subjekta Unije čija je zadaća osigurati djelotvornu provedbu ove Uredbe. Okvir također uključuje mehanizme za mjerenje djelotvornosti provedbe.
4. Okvir se, s obzirom na promjenjive kibernetičke sigurnosne rizike, preispituje redovito, a najmanje svake četiri godine. Prema potrebi i na zahtjev Međuinstitucijskog odbora za kibernetičku sigurnost osnovanog člankom 10., Okvir subjekta Unije može se ažurirati na temelju smjernice CERT-EU-a o utvrđenim incidentima ili mogućim nedostatcima uočenima u provedbi ove Uredbe.
5. Najviša rukovodeća razina svakog subjekta Unije odgovorna je za provedbu ove Uredbe i nadgleda usklađenost njegove organizacije s obvezama povezanima s Okvirom.
6. Prema potrebi i ne dovodeći u pitanje svoju odgovornost za provedbu ove Uredbe, najviša rukovodeća razina svakog subjekta Unije može delegirati posebne obveze na temelju ove Uredbe višim dužnosnicima u smislu članka 29. stavka 2. Pravilnika o osoblju ili drugim dužnosnicima na jednakoj razini unutar dotičnog subjekta Unije. Neovisno o takvom delegiranju, najviša rukovodeća razina može se smatrati odgovornom za kršenje ove Uredbe koje je počinio dotični subjekt Unije.
7. Svaki subjekt Unije dužan je imati uspostavljene učinkovite mehanizme kojima se osigurava da se odgovarajući postotak proračuna za IKT troši na kibernetičku sigurnost. Pri utvrđivanju tog postotka uzima se u obzir Okvir.
8. Svaki subjekt Unije imenuje lokalnog službenika za kibernetičku sigurnost ili osobu na jednakovrijednoj funkciji koji odnosno koja djeluje kao njegova jedinstvena kontaktna točka za sve aspekte kibernetičke sigurnosti. lokalni službenik za kibernetičku sigurnost olakšava provedbu ove Uredbe i najvišu rukovodeću razinu redovito izravno izvješćuje o stanju provedbe. Ne dovodeći u pitanje činjenicu da je lokalni službenik za kibernetičku sigurnost jedinstvena kontaktna točka u svakom subjektu Unije, subjekt Unije može delegirati CERT-EU-u određene zadaće lokalnog službenika za kibernetičku sigurnost povezane s provedbom ove Uredbe na temelju sporazuma o razini usluga sklopljenog između tog subjekta Unije i CERT-EU-a ili te zadaće može dijeliti nekoliko subjekata Unije. Ako su te zadaće delegirane CERT-EU-u, Međuinstitucijski odbor za kibernetičku sigurnost osnovan člankom 10. odlučuje hoće li pružanje te usluge biti dio osnovnih usluga CERT-EU-a, uzimajući u obzir ljudske i financijske resurse dotičnog subjekta Unije. Svaki subjekt Unije bez nepotrebne odgode obavješćuje CERT-EU o imenovanom lokalnom službeniku za kibernetičku sigurnost i eventualnim naknadnim promjenama u vezi s time.
CERT-EU uspostavlja i ažurira popis imenovanih lokalnih službenika za kibernetičku sigurnost.
9. Viši dužnosnici u smislu članka 29. stavka 2. Pravilnika o osoblju ili drugi dužnosnici na jednakoj razini svakog subjekta Unije te svi relevantni članovi osoblja zaduženi za provedbu mjera upravljanja kibernetičkim sigurnosnim rizicima i ispunjavanje obveza utvrđenih u ovoj Uredbi redovito pohađaju posebna osposobljavanja kako bi stekli dovoljno znanja i vještina za razumijevanje i procjenu kibernetičkih sigurnosnih rizika i prakse upravljanja kibernetičkom sigurnošću te njihova utjecaja na poslovanje subjekta Unije.
Članak 7.
Procjene zrelosti kibernetičke sigurnosti
1. Do 8. srpnja 2025. i najmanje svake dvije godine nakon tog datuma svaki subjekt Unije provodi procjenu zrelosti kibernetičke sigurnosti koja uključuje sve elemente njegova IKT okruženja.
2. Procjene zrelosti kibernetičke sigurnosti provode se, prema potrebi, uz pomoć specijalizirane treće strane.
3. Subjekti Unije sa sličnim strukturama mogu surađivati u provedbi procjena zrelosti kibernetičke sigurnosti za svoje subjekte.
4. Na temelju zahtjeva Međuinstitucijskog odbora za kibernetičku sigurnost osnovanog člankom 10. i uz izričitu suglasnost dotičnog subjekta Unije, o rezultatima procjene zrelosti kibernetičke sigurnosti može se raspravljati u okviru tog Odbora ili u okviru neformalne skupine lokalnih službenika za kibernetičku sigurnost kako bi se izvukle pouke iz iskustava i razmijenila najbolja praksa.
Članak 11.
Zadaće IICB-a
Pri obavljanju svojih dužnosti IICB posebno:
| (a) | pruža smjernice voditelju CERT-EU-a; |
| (b) | djelotvorno prati i nadzire provedbu ove Uredbe te podupire subjekte Unije u jačanju njihove kibernetičke sigurnosti, uključujući, prema potrebi, traženjem izrade ad hoc izvješća od subjekata Unije i CERT-EU-a; |
| (c) | nakon strateške rasprave donosi višegodišnju strategiju za podizanje razine kibernetičke sigurnosti u subjektima Unije, redovito ocjenjuje tu strategiju, a u svakom slučaju svakih pet godina, te je prema potrebi mijenja; |
| (d) | utvrđuje metodologiju i organizacijske aspekte za dobrovoljna istorazinska ocjenjivanja koja provode subjekti Unije s ciljem učenja iz zajedničkih iskustava, jačanja uzajamnog povjerenja, postizanja visoke zajedničke razine kibernetičke sigurnosti te jačanja kibernetičkih sigurnosnih kapaciteta subjekata Unije, osiguravanja da takva istorazinska ocjenjivanja provode stručnjaci za kibernetičku sigurnost koje je imenovao subjekt Unije koji nije subjekt Unije koji se ocjenjuje te da se metodologija temelji na članku 19. Direktive (EU) 2022/2555 i da je, prema potrebi, prilagođena subjektima Unije; |
| (e) | na temelju prijedloga voditelja CERT-EU-a odobrava godišnji program rada CERT-EU-a i prati njegovu provedbu; |
| (f) | na temelju prijedloga voditelja CERT-EU-a odobrava katalog usluga CERT-EU-a i sva ažuriranja tog kataloga; |
| (g) | na temelju prijedloga voditelja CERT-EU-a odobrava godišnji financijski plan prihoda i rashoda, uključujući za osoblje, za aktivnosti CERT-EU-a; |
| (h) | na temelju prijedloga voditelja CERT-EU-a odobrava dogovore o sporazumima o razini usluga; |
| (i) | pregledava i odobrava godišnje izvješće koje sastavlja voditelj CERT-EU-a, a kojim su obuhvaćene aktivnosti CERT-EU-a i upravljanje njegovim sredstvima; |
| (j) | odobrava i prati ključne pokazatelje uspješnosti CERT-EU-a utvrđene na temelju prijedloga voditelja CERT-EU-a; |
| (k) | odobrava aranžmane za suradnju te dogovore ili ugovore o razini usluga između CERT-EU-a i drugih subjekata na temelju članka 18.; |
| (l) | donosi smjernice i preporuke na temelju prijedloga CERT-EU-a u skladu s člankom 14. i upućuje CERT-EU da izda, povuče ili izmijeni prijedlog smjernica ili preporuke ili poziv na djelovanje; |
| (m) | osniva tehničke savjetodavne skupine sa specifičnim zadaćama za pomoć u radu IICB-a, odobrava opise njihovih poslova i imenuje njihove predsjednike; |
| (n) | prima i ocjenjuje dokumente i izvješća koje podnose subjekti Unije u skladu s ovom Uredbom, kao što su procjene zrelosti kibernetičke sigurnosti; |
| (o) | podupire osnivanje neformalne skupine lokalnih službenika za kibernetičku sigurnost subjekata Unije, uz potporu ENISA-e, s ciljem razmjene najbolje prakse i informacija u vezi s provedbom ove Uredbe; |
| (p) | uzimajući u obzir informacije CERT-EU-a o utvrđenim kibernetičkim sigurnosnim rizicima i stečenim iskustvima, prati primjerenost aranžmana međupovezanosti IKT okruženja subjekata Unije i savjetuje o mogućim poboljšanjima; |
| (q) | uspostavlja plan za upravljanje kibernetičkim krizama s ciljem podupiranja, na operativnoj razini, koordiniranog upravljanja velikim incidentima koji utječu na subjekte Unije i s ciljem doprinošenja redovitoj razmjeni relevantnih informacija, posebno u pogledu učinaka i ozbiljnosti velikih incidenata te mogućih načina ublažavanja njihovih učinaka; |
| (r) | koordinira donošenje pojedinačnih planova subjekata Unije za upravljanje kibernetičkim krizama iz članka 9. stavka 2.; |
| (s) | donosi preporuke koje se odnose na sigurnost lanca opskrbe iz članka 8. stavka 2. prvog podstavka točke (m) uzimajući u obzir rezultate koordiniranih procjena sigurnosnih rizika ključnih lanaca opskrbe na razini Unije iz članka 22. Direktive (EU) 2022/2555 kako bi subjektima Unije pomogao u donošenju djelotvornih i razmjernih mjera upravljanja kibernetičkim sigurnosnim rizicima. |
whereas