keyboard_tab Cyber Resilience Act 2023/2841 HR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Članak 6. Okvir za upravljanje kibernetičkim sigurnosnim rizicima, opće upravljanje njima i njihovu kontrolu
- 2 Članak 9. Planovi za kibernetičku sigurnost
- 1 Članak 25. Preispitivanje
- Članak 26. Stupanje na snagu
POGLAVLJE I.
OPĆE ODREDBE
POGLAVLJE II.
MJERE ZA VISOKU ZAJEDNIČKU RAZINU KIBERNETIČKE SIGURNOSTI
POGLAVLJE III.
MEĐUINSTITUCIJSKI ODBOR ZA KIBERNETIČKU SIGURNOST
POGLAVLJE IV.
CERT-EU
POGLAVLJE V.
OBVEZE SURADNJE I IZVJESCIVANJA
POGLAVLJE VI.
ZAVRSNE ODREDBE
- unije 26
- sigurnost 20
- kibernetičku 17
- subjekta 14
- uredbe 12
- kibernetičke 9
- sigurnosti 7
- subjekt 6
- upravljanje 6
- kibernetičkim 6
- razina 6
- okvir 6
- provedbu 6
- može 6
- rukovodeća 5
- cert-eu-a 5
- temelju 5
- nakon 5
- svakog 5
- plan 5
- rizicima 5
- sigurnosnim 5
- člankom 4
- obzir 4
- potrebi 4
- obuhvaća 4
- najviša 4
- razini 4
- izvješće 4
- članka 4
- siječnja 4
- povezane 3
- zadaće 3
- upravljanja 3
- odboru 3
- redovito 3
- kojima 3
- svake 3
- službenika 3
- usluge 3
- godine 3
- prema 3
- podnosi 3
- provedbe 3
- skladu 3
- uzimajući 3
- dotičnog 3
- Članak 2
- preispitivanje 2
- osoblju 2
Članak 6.
Okvir za upravljanje kibernetičkim sigurnosnim rizicima, opće upravljanje njima i njihovu kontrolu
1. Do 8. travnja 2025. svaki subjekt Unije nakon provedbe početnog preispitivanja stanja kibernetičke sigurnosti, kao što je revizija, uspostavlja unutarnji okvir za upravljanje kibernetičkim sigurnosnim rizicima, opće upravljanje njima i njihovu kontrolu („Okvir”). Uspostavu Okvira nadzire i za nju je odgovorna najviša rukovodeća razina subjekta Unije.
2. Okvirom se obuhvaća cjelokupno neklasificirano IKT okruženje dotičnog subjekta Unije, uključujući lokalno IKT okruženje, lokalnu operativnu tehnološku mrežu, eksternalizirana sredstva i usluge računalstva u oblaku ili one kojima treće strane pružaju usluge smještaja na poslužitelju, mobilne uređaje, korporacijske mreže, poslovne mreže koje nisu povezane s internetom i sve uređaje povezane s tim okruženjima („IKT okruženje”). Okvir se temelji na pristupu kojim se obuhvaćaju sve opasnosti.
3. Okvirom se osigurava visoka razina kibernetičke sigurnosti. Okvirom se utvrđuju interne politike kibernetičke sigurnosti, među ostalim ciljevi i prioriteti, za sigurnost mrežnih i informacijskih sustava te uloge i odgovornosti osoblja subjekta Unije čija je zadaća osigurati djelotvornu provedbu ove Uredbe. Okvir također uključuje mehanizme za mjerenje djelotvornosti provedbe.
4. Okvir se, s obzirom na promjenjive kibernetičke sigurnosne rizike, preispituje redovito, a najmanje svake četiri godine. Prema potrebi i na zahtjev Međuinstitucijskog odbora za kibernetičku sigurnost osnovanog člankom 10., Okvir subjekta Unije može se ažurirati na temelju smjernice CERT-EU-a o utvrđenim incidentima ili mogućim nedostatcima uočenima u provedbi ove Uredbe.
5. Najviša rukovodeća razina svakog subjekta Unije odgovorna je za provedbu ove Uredbe i nadgleda usklađenost njegove organizacije s obvezama povezanima s Okvirom.
6. Prema potrebi i ne dovodeći u pitanje svoju odgovornost za provedbu ove Uredbe, najviša rukovodeća razina svakog subjekta Unije može delegirati posebne obveze na temelju ove Uredbe višim dužnosnicima u smislu članka 29. stavka 2. Pravilnika o osoblju ili drugim dužnosnicima na jednakoj razini unutar dotičnog subjekta Unije. Neovisno o takvom delegiranju, najviša rukovodeća razina može se smatrati odgovornom za kršenje ove Uredbe koje je počinio dotični subjekt Unije.
7. Svaki subjekt Unije dužan je imati uspostavljene učinkovite mehanizme kojima se osigurava da se odgovarajući postotak proračuna za IKT troši na kibernetičku sigurnost. Pri utvrđivanju tog postotka uzima se u obzir Okvir.
8. Svaki subjekt Unije imenuje lokalnog službenika za kibernetičku sigurnost ili osobu na jednakovrijednoj funkciji koji odnosno koja djeluje kao njegova jedinstvena kontaktna točka za sve aspekte kibernetičke sigurnosti. Lokalni službenik za kibernetičku sigurnost olakšava provedbu ove Uredbe i najvišu rukovodeću razinu redovito izravno izvješćuje o stanju provedbe. Ne dovodeći u pitanje činjenicu da je lokalni službenik za kibernetičku sigurnost jedinstvena kontaktna točka u svakom subjektu Unije, subjekt Unije može delegirati CERT-EU-u određene zadaće lokalnog službenika za kibernetičku sigurnost povezane s provedbom ove Uredbe na temelju sporazuma o razini usluga sklopljenog između tog subjekta Unije i CERT-EU-a ili te zadaće može dijeliti nekoliko subjekata Unije. Ako su te zadaće delegirane CERT-EU-u, Međuinstitucijski odbor za kibernetičku sigurnost osnovan člankom 10. odlučuje hoće li pružanje te usluge biti dio osnovnih usluga CERT-EU-a, uzimajući u obzir ljudske i financijske resurse dotičnog subjekta Unije. Svaki subjekt Unije bez nepotrebne odgode obavješćuje CERT-EU o imenovanom lokalnom službeniku za kibernetičku sigurnost i eventualnim naknadnim promjenama u vezi s time.
CERT-EU uspostavlja i ažurira popis imenovanih lokalnih službenika za kibernetičku sigurnost.
9. Viši dužnosnici u smislu članka 29. stavka 2. Pravilnika o osoblju ili drugi dužnosnici na jednakoj razini svakog subjekta Unije te svi relevantni članovi osoblja zaduženi za provedbu mjera upravljanja kibernetičkim sigurnosnim rizicima i ispunjavanje obveza utvrđenih u ovoj Uredbi redovito pohađaju posebna osposobljavanja kako bi stekli dovoljno znanja i vještina za razumijevanje i procjenu kibernetičkih sigurnosnih rizika i prakse upravljanja kibernetičkom sigurnošću te njihova utjecaja na poslovanje subjekta Unije.
Članak 9.
Planovi za kibernetičku sigurnost
1. Na temelju zaključaka iz procjene zrelosti kibernetičke sigurnosti provedene u skladu s člankom 7. i uzimajući u obzir sredstva i kibernetičke sigurnosne rizike utvrđene u Okviru te mjere upravljanja kibernetičkim sigurnosnim rizicima poduzete u skladu s člankom 8., najviša rukovodeća razina svakog subjekta Unije odobrava plan za kibernetičku sigurnost bez nepotrebne odgode, a u svakom slučaju do 8. siječnja 2026. Planom za kibernetičku sigurnost nastoji se povećati ukupna kibernetička sigurnost subjekta Unije i time doprinijeti poboljšanju visoke zajedničke razine kibernetičke sigurnosti u subjektima Unije. Plan za kibernetičku sigurnost obuhvaća barem mjere za upravljanje kibernetičkim sigurnosnim rizicima poduzete na temelju članka 8. Plan za kibernetičku sigurnost revidira se svake dvije godine ili učestalije, prema potrebi, nakon procjena zrelosti kibernetičke sigurnosti provedenih u skladu s člankom 7. ili nakon svakog značajnog preispitivanja Okvira.
2. Plan za kibernetičku sigurnost obuhvaća plan subjekta Unije za upravljanje kibernetičkim krizama za velike incidente.
3. Subjekt Unije podnosi svoj dovršeni plan za kibernetičku sigurnost Međuinstitucijskom odboru za kibernetičku sigurnost osnovanom člankom 10.
POGLAVLJE III.
MEĐUINSTITUCIJSKI ODBOR ZA KIBERNETIČKU SIGURNOST
Članak 25.
Preispitivanje
1. IICB uz potporu CERT-EU-a do 8. siječnja 2025., a nakon tog datuma jednom godišnje, podnosi Komisiji izvješće o provedbi ove Uredbe. IICB može Komisiji preporučiti da preispita ovu Uredbu.
2. Komisija do 8. siječnja 2027. i svake dvije godine nakon tog datuma ocjenjuje provedbu ove Uredbe i iskustva stečena na strateškoj i operativnoj razini te o tome izvješćuje Europski parlament i Vijeće.
Izvješće iz prvog podstavka ovog stavka obuhvaća preispitivanje iz članka 16. stavka 1. o mogućnosti uspostave CERT-EU-a kao ureda Unije.
3. Komisija do 8. siječnja 2029. evaluira funkcioniranje ove Uredbe i podnosi izvješće Europskom parlamentu, Vijeću, Europskom gospodarskom i socijalnom odboru i Odboru regija. Komisija također evaluira primjerenost uključivanja mrežnih i informacijskih sustava u kojima se postupa s klasificiranim podatcima EU-a u područje primjene ove Uredbe, uzimajući u obzir druge zakonodavne akte Unije koji se primjenjuju na te sustave. Uz izvješće se prema potrebi prilaže zakonodavni prijedlog.
whereas