keyboard_tab Cyber Resilience Act 2023/2841 HR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 4 Članak 4. Obrada osobnih podataka
- 1 Članak 13. Misija i zadaće CERT-EU-a
POGLAVLJE I.
OPĆE ODREDBE
POGLAVLJE II.
MJERE ZA VISOKU ZAJEDNIČKU RAZINU KIBERNETIČKE SIGURNOSTI
POGLAVLJE III.
MEĐUINSTITUCIJSKI ODBOR ZA KIBERNETIČKU SIGURNOST
POGLAVLJE IV.
CERT-EU
POGLAVLJE V.
OBVEZE SURADNJE I IZVJESCIVANJA
POGLAVLJE VI.
ZAVRSNE ODREDBE
- unije 33
- europskog 13
- skladu 13
- uredbe 12
- člankom 11
- eu / 11
- cert-eu 10
- podataka 10
- vijeća 10
- sigurnosti 9
- europske 9
- str 9
- parlamenta 8
- koje 8
- eu br / 8
- temelju 8
- može 7
- subjekata 7
- cert-eu 7
- sl l 7
- kibernetičke 7
- subjektima 6
- subjekti 6
- br / 6
- osobnih 6
- usluga 6
- informacija 5
- incidentima 5
- uredba 5
- razini 5
- usluge 5
- cert-eu-a 5
- suradnji 5
- mjere 4
- zaštitu 4
- okruženja 4
- koji 4
- iicb-a 4
- stavkom 4
- putem 4
- kako 4
- incidenata 4
- njima 4
- informacije 4
- kojima 4
- području 4
- komisije 4
- izvan 4
- sigurnost 4
- stavljanju 4
Članak 4.
Obrada osobnih podataka
1. Obrada osobnih podataka koju na temelju ove Uredbe provode CERT-EU, Međuinstitucijski odbor za kibernetičku sigurnost osnovan člankom 10. i subjekti Unije provodi se u skladu s Uredbom (EU) 2018/1725.
2. Ako obavljaju zadaće ili ispunjavaju obveze na temelju ove Uredbe, CERT-EU, Međuinstitucijski odbor za kibernetičku sigurnost osnovan člankom 10. i subjekti Unije obrađuju i razmjenjuju osobne podatke samo u mjeri u kojoj je to potrebno i isključivo u svrhu obavljanja tih zadaća ili ispunjavanja tih obveza.
3. Obrada posebnih kategorija osobnih podataka iz članka 10. stavka 1. Uredbe (EU) 2018/1725 smatra se potrebnom ako postoji značajan javni interes u skladu s člankom 10. stavkom 2. točkom (g) te uredbe. Takvi se podatci mogu obrađivati samo u mjeri u kojoj je to potrebno za provedbu mjera upravljanja kibernetičkim sigurnosnim rizicima iz članaka 6. i 8., za pružanje usluga CERT-EU-a u skladu s člankom 13., za razmjenu informacija specifičnih za određeni incident u skladu s člankom 17. stavkom 3. i člankom 18. stavkom 3., za razmjenu informacija u skladu s člankom 20., za obveze izvješćivanja u skladu s člankom 21., za koordinaciju odgovora na incidente i za suradnju u skladu s člankom 22. te za upravljanje velikim incidentima u skladu s člankom 23. ove Uredbe. Kada djeluju kao voditelji obrade podataka, subjekti Unije i CERT-EU primjenjuju tehničke mjere za sprečavanje obrade posebnih kategorija osobnih podataka u druge svrhe te osiguravaju odgovarajuće i posebne mjere za zaštitu temeljnih prava i interesa ispitanika.
POGLAVLJE II.
MJERE ZA VISOKU ZAJEDNIČKU RAZINU KIBERNETIČKE SIGURNOSTI
Članak 13.
Misija i zadaće CERT-EU-a
1. Misija CERT-EU-a jest doprinositi sigurnosti neklasificiranog IKT okruženja subjekata Unije tako što im pruža savjete o kibernetičkoj sigurnosti, pomaže im u sprečavanju, otkrivanju i ublažavanju incidenata, postupanju s njima, odgovoru na njih i oporavku od njih te tako što preuzima ulogu njihova koordinacijskog čvorišta za razmjenu informacija o kibernetičkoj sigurnosti i za odgovor na incidente.
2. CERT-EU prikuplja informacije o kibernetičkim prijetnjama, ranjivostima i incidentima u neklasificiranoj IKT infrastrukturi te upravlja njima, analizira ih i razmjenjuje sa subjektima Unije. Koordinira odgovore na incidente na međuinstitucijskoj razini i razini subjekata Unije, među ostalim pružanjem ili koordinacijom pružanja specijalizirane operativne pomoći.
3. CERT-EU obavlja sljedeće zadaće kako bi pomagao subjektima Unije:
(a) | pruža im potporu u provedbi ove Uredbe i doprinosi koordinaciji provedbe ove Uredbe putem mjera navedenih u članku 14. stavku 1. ili putem ad hoc izvješća koja je zatražio IICB; |
(b) | nudi standardne usluge CSIRT-ova za subjekte Unije putem paketa kibernetičkih sigurnosnih usluga opisanih u njegovu katalogu usluga („osnovne usluge”); |
(c) | održava mrežu kolega i suradnika radi pružanja potpore uslugama, kako je navedeno u člancima 17. i 18.; |
(d) | skreće pozornost IICB-a na sve probleme koji se odnose na provedbu ove Uredbe i provedbu smjernica, preporuka i pozivâ na djelovanje; |
(e) | na temelju informacija iz stavka 2. doprinosi informiranosti o stanju kibernetičke sigurnosti situaciji u Uniji u bliskoj suradnji s ENISA-om; |
(f) | koordinira upravljanje velikim incidentima; |
(g) | u ime subjekata Unije djeluje kao ekvivalent koordinatora imenovanog za potrebe koordiniranog otkrivanja ranjivosti u skladu s člankom 12. stavkom 1. Direktive (EU) 2022/2555; |
(h) | na zahtjev subjekta Unije osigurava proaktivno neinvazivno skeniranje javno dostupnih mrežnih i informacijskih sustava tog subjekta Unije. |
Informacije iz prvog podstavka točke (e) dijele se s IICB-om, mrežom CSIRT-ova i Obavještajnim i situacijskim centrom Europske unije (EU INTCEN), ako je to primjenjivo i primjereno, te podložno odgovarajućim uvjetima povjerljivosti.
4. CERT-EU može prema potrebi, u skladu s člankom 17. ili 18., surađivati s relevantnim zajednicama u području kibernetičke sigurnosti u Uniji i njezinim državama članicama, među ostalim u sljedećim područjima:
(a) | pripravnost, koordinacija incidenata, razmjena informacija i odgovor na krize na tehničkoj razini u slučajevima povezanima sa subjektima Unije; |
(b) | operativna suradnja u pogledu mreže CSIRT-ova, među ostalim u pogledu uzajamne pomoći; |
(c) | saznanja o kibernetičkim prijetnjama, uključujući informiranost o stanju; |
(d) | sve teme za koje je potrebna tehnička stručnost CERT-EU-a u području kibernetičke sigurnosti. |
5. CERT-EU u okviru svojih nadležnosti sudjeluje u strukturiranoj suradnji s ENISA-om na izgradnji kapaciteta, operativnoj suradnji i dugoročnim strateškim analizama kibernetičkih prijetnji u skladu s Uredbom (EU) 2019/881. CERT-EU može surađivati i razmjenjivati informacije s Europolovim Centrom za kibernetički kriminalitet.
6. CERT-EU može pružati sljedeće usluge koje nisu opisane u njegovu katalogu usluga („usluge uz naknadu”):
(a) | usluge kojima se podupire kibernetička sigurnost IKT okruženja subjekata Unije, osim onih iz stavka 3., na temelju sporazumâ o razini usluga i ovisno o dostupnim resursima, osobito praćenje mreža širokog spektra, uključujući prvu liniju nadzora za vrlo ozbiljne kibernetičke prijetnje 24 sata dnevno sedam dana u tjednu; |
(b) | usluge kojima se podupiru kibernetičke sigurnosne operacije ili kibernetički sigurnosni projekti subjekata Unije koje ne služe za zaštitu njihova IKT okruženja, na temelju pisanih sporazuma i uz prethodno odobrenje IICB-a; |
(c) | na zahtjev, proaktivno skeniranje mrežnih i informacijskih sustava dotičnog subjekta Unije kako bi se otkrile ranjivosti koje bi mogle imati znatan učinak; |
(d) | usluge kojima se podupire sigurnost IKT okruženja organizacija koje nisu subjekti Unije, a koje blisko surađuju sa subjektima Unije, na primjer zbog zadaća ili dužnosti koje su im dodijeljene na temelju prava Unije, na temelju pisanih sporazuma i uz prethodno odobrenje IICB-a. |
Kad je riječ o prvom podstavku točki (d), CERT-EU može iznimno sklapati sporazume o razini usluga sa subjektima koji nisu subjekti Unije uz prethodno odobrenje IICB-a.
7. CERT-EU organizira vježbe u području kibernetičke sigurnosti i može sudjelovati u njima ili preporučiti sudjelovanje u postojećim vježbama, ako je to primjenjivo u bliskoj suradnji s ENISA-om, kad je to primjenjivo, kako bi se testirala razina kibernetičke sigurnosti subjekata Unije.
8. CERT-EU može pružiti pomoć subjektima Unije u pogledu incidenata u mrežnim i informacijskim sustavima u kojima se postupa s kvalificiranim podatcima EU-a ako dotični subjekti Unije to izričito zatraže u skladu sa svojim postupcima. Pružanjem pomoći CERT-EU-a na temelju ovog stavka ne dovode se u pitanje primjenjiva pravila o zaštiti klasificiranih podataka.
9. CERT-EU obavješćuje subjekte Unije o svojim postupcima i procesima za postupanje s incidentima.
10. CERT-EU s visokom razinom povjerljivosti i pouzdanosti putem odgovarajućih mehanizama suradnje i linija izvješćivanja doprinosi relevantnim i anonimiziranim informacijama o velikim incidentima i načinu na koji se postupalo s njima. Te se informacije unose u izvješće iz članka 10. stavka 14.
11. CERT-EU u suradnji s Europskim nadzornikom za zaštitu podataka podupire dotične subjekte Unije pri rješavanju incidenata koji za posljedicu imaju povrede osobnih podataka, ne dovodeći u pitanje nadležnosti i zadaće Europskog nadzornika za zaštitu podatak kao nadzornog tijela u skladu s Uredbom (EU) 2018/1725.
12. Ako to resorni odjeli subjekata Unije izričito zatraže, CERT-EU može pružiti tehnički savjet ili tehnička mišljenja o relevantnim pitanjima vezanima uz politike.
Članak 26.
Stupanje na snagu
Ova Uredba stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.
Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.
Sastavljeno u Strasbourgu 13. prosinca 2023.
Za Europski parlament
Predsjednica
R. METSOLA
Za Vijeće
Predsjednik
P. NAVARRO RÍOS
(1) Stajalište Europskog parlamenta od 21. studenoga 2023. (još nije objavljeno u Službenom listu) i odluka Vijeća od 8. prosinca 2023.
(2) Direktiva (EU) 2022/2555 Europskog parlamenta i Vijeća od 14. prosinca 2022. o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije, izmjeni Uredbe (EU) br. 910/2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (Direktiva NIS 2) (SL L 333, 27.12.2022., str. 80.).
(3) Uredba (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. o ENISA-i (Agencija Europske unije za kibersigurnost) te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije i stavljanju izvan snage Uredbe (EU) br. 526/2013 (Akt o kibersigurnosti) (SL L 151, 7.6.2019., str. 15.).
(4) Dogovor između Europskog parlamenta, Europskog vijeća, Vijeća Europske unije, Europske komisije, Suda Europske unije, Europske središnje banke, Europskog revizorskog suda, Europske službe za vanjsko djelovanje, Europskog gospodarskog i socijalnog odbora, Europskog Odbora regija i Europske investicijske banke o organizaciji i radu tima za hitne računalne intervencije za institucije, tijela i agencije Unije (CERT-EU) (SL C 12, 13.1.2018., str. 1.).
(5) Uredba Vijeća (EEZ, Euratom, EZUČ) br. 259/68 od 29. veljače 1968. kojom se utvrđuje Pravilnik o osoblju za dužnosnike i Uvjeti zaposlenja ostalih službenika Europskih zajednica i kojom se uvode posebne mjere koje se privremeno primjenjuju na dužnosnike Komisije (SL L 56, 4.3.1968., str. 1).
(6) Preporuka Komisije (EU) 2017/1584 od 13. rujna 2017. o koordiniranom odgovoru na kiberincidente i kiberkrize velikih razmjera (SL L 239, 19.9.2017., str. 36.).
(7) Uredba (EU) 2018/1725 Europskog parlamenta i Vijeća od 23. listopada 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ (SL L 295, 21.11.2018., str. 39.).
(8) SL C 258, 5.7.2022., str. 10.
(9) Uredba (EU, Euratom) 2018/1046 Europskog parlamenta i Vijeća od 18. srpnja 2018. o financijskim pravilima koja se primjenjuju na opći proračun Unije, o izmjeni uredaba (EU) br. 1296/2013, (EU) br. 1301/2013, (EU) br. 1303/2013, (EU) br. 1304/2013, (EU) br. 1309/2013, (EU) br. 1316/2013, (EU) br. 223/2014, (EU) br. 283/2014 i Odluke br. 541/2014/EU te o stavljanju izvan snage Uredbe (EU, Euratom) br. 966/2012 (SL L 193, 30.7.2018., str. 1.).
(10) Uredba (EZ) br. 1049/2001 Europskog parlamenta i Vijeća od 30. svibnja 2001. o javnom pristupu dokumentima Europskog parlamenta, Vijeća i Komisije (SL L 145, 31.5.2001., str. 43.).
ELI: http://data.europa.eu/eli/reg/2023/2841/oj
ISSN 1977-0847 (electronic edition)