search

keyboard_tab Cyber Resilience Act 2023/2841 HR

 BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf

2023/2841 HR cercato: 'poboljšanje' . Output generated live by software developed by IusOnDemand srl


expand index poboljšanje:


whereas poboljšanje:


definitions:


cloud tag: and the number of total unique words without stopwords is: 515

 

Članak 8.

Mjere upravljanja kibernetičkim sigurnosnim rizicima

1.   Svaki subjekt Unije bez nepotrebne odgode i u svakom slučaju do 8. rujna 2025., pod nadzorom najviše rukovodeće razine, poduzima odgovarajuće i razmjerne tehničke, operativne i organizacijske mjere za upravljanje kibernetičkim sigurnosnim rizicima utvrđenima u Okviru i za sprečavanje učinaka incidenata ili za svođenje učinaka incidenata na najmanju moguću mjeru. Uzimajući u obzir najnovija dostignuća i, ako je to primjenjivo, relevantne europske i međunarodne norme, tim se mjerama osigurava razina sigurnosti mrežnih i informacijskih sustava u cjelokupnom IKT okruženju koja je razmjerna nastalim kibernetičkim sigurnosnim rizicima. Pri procjeni razmjernosti tih mjera na odgovarajući se način uzima u obzir stupanj izloženosti subjekta Unije kibernetičkim sigurnosnim rizicima, njegova veličina, vjerojatnost pojave incidenata i njihova ozbiljnost, uključujući njihov društveni, gospodarski i međuinstitucijski učinak.

2.   Subjekti Unije prilikom provedbe mjera upravljanja kibernetičkim sigurnosnim rizicima razmatraju barem sljedeća pitanja:

(a)

politiku kibernetičke sigurnosti, uključujući mjere potrebne za postizanje ciljeva i prioriteta iz članka 6. i stavka 3. ovog članka;

(b)

politike analize kibernetičkih sigurnosnih rizika i sigurnosti informacijskih sustava;

(c)

ciljeve politike u pogledu korištenja usluga računalstva u oblaku;

(d)

prema potrebi, reviziju kibernetičke sigurnosti koja može uključivati procjenu kibernetičkih sigurnosnih rizika, ranjivosti i kibernetičkih prijetnji te penetracijska testiranja, koja redovito provodi pouzdani privatni pružatelj usluga;

(e)

provedbu preporuka koje proizlaze iz revizija kibernetičke sigurnosti iz točke (d) putem ažuriranja stanja kibernetičke sigurnosti i politika;

(f)

organizaciju kibernetičke sigurnosti, uključujući utvrđivanje uloga i odgovornosti;

(g)

upravljanje imovinom, uključujući popis IKT imovine i kartografiju IKT mreže;

(h)

sigurnost ljudskih resursa i kontrolu pristupa;

(i)

sigurnost operacija;

(j)

sigurnost komunikacija;

(k)

nabavu, razvoj i održavanj sustavâ, uključujući politike za postupanje s ranjivostima i njihovo otkrivanje;

(l)

ako je moguće, politike o transparentnosti izvornog koda;

(m)

sigurnost lanca opskrbe, uključujući sigurnosne aspekte povezane s odnosima između svakog subjekta Unije i njegovih izravnih dobavljača ili pružatelja usluga;

(n)

postupanje s incidentima i suradnji s CERT-EU-om, na primjer održavanju sustava sigurnosnog nadzora i bilježenju dnevničkih zapisa;

(o)

upravljanje kontinuitetom poslovanja, na primjer upravljanju sigurnosnim kopijama i oporavku od katastrofe te upravljanju krizama; i

(p)

promicanje i razvoj programâ obrazovanja, vještina, podizanja svijesti, vježbi i osposobljavanja u području kibernetičke sigurnosti.

Za potrebe prvog podstavka točke (m) subjekti Unije uzimaju u obzir ranjivosti specifične za svakog izravnog dobavljača i pružatelja usluga te ukupnu kvalitetu proizvoda i kibernetičke sigurnosne prakse svojih dobavljača i pružatelja usluga, uključujući njihove sigurne razvojne postupke.

3.   Subjekti Unije poduzimaju barem sljedeće posebne mjere upravljanja kibernetičkim sigurnosnim rizicima:

(a)

tehničke aranžmane za omogućavanje i održavanje rada na daljinu;

(b)

konkretne korake za prijelaz na načela nultog povjerenja;

(c)

upotrebu višefaktorske autentifikacije kao norme u svim mrežnim i informacijskim sustavima;

(d)

upotrebu kriptografije i kriptiranja, a posebno prolaznog kriptiranja, te sigurnih digitalnih potpisa;

(e)

prema potrebi, sigurne glasovne, video- i tekstualne komunikacije te sigurni komunikacijski sustav u hitnim slučajevima unutar subjekta Unije;

(f)

proaktivne mjere za otkrivanje i uklanjanje zlonamjernog softvera i špijunskog softvera;

(g)

uspostavljanje sigurnosti lanca opskrbe softverom s pomoću kriterija za siguran razvoj i evaluaciju softvera;

(h)

izrada i donošenje programa za osposobljavanje u području kibernetičke sigurnosti koji odgovara predviđenim zadaćama i očekivanim sposobnostima najviše rukovodeće razine i osoblja subjekta Unije čija je zadaća osiguravanje djelotvorne provedbe ove Uredbe;

(i)

redovito osposobljavanje osoblja u području kibernetičke sigurnosti;

(j)

ako je to relevantno, sudjelovanje u analizama rizika s obzirom na međupovezanosti subjekata Unije;

(k)

poboljšanje pravila javne nabave kako bi se olakšalo postizanje visoke zajedničke razine kibernetičke sigurnosti:

i.

uklanjanjem ugovornih prepreka koje pružateljima IKT usluga otežavaju razmjenu informacija o incidentima, ranjivostima i kibernetičkim prijetnjama s CERT-EU-om;

ii.

ugovornim obvezama prijavljivanja incidenata, ranjivosti i kibernetičkih prijetnji te uspostavljanjem primjerenih mehanizama odgovora na incidente i praćenja incidenata.

Članak 14.

Smjernice, preporuke i pozivi na djelovanje

1.   CERT-EU podupire provedbu ove Uredbe:

(a)

izdavanjem poziva na djelovanje u kojima se opisuju hitne sigurnosne mjere koje subjekti Unije trebaju poduzeti u zadanom roku;

(b)

podnošenjem prijedloga IICB-u za smjernice upućene svim subjektima Unije ili nekoj njihovoj podskupini;

(c)

podnošenjem prijedloga IICB-u za preporuke upućene pojedinačnim subjektima Unije.

U pogledu prvog podstavka točke (a), dotični subjekt Unije bez nepotrebne odgode nakon primitka poziva na djelovanje obavješćuje CERT-EU o načinu primjene hitnih sigurnosnih mjera.

2.   Smjernice i preporuke mogu sadržavati:

(a)

zajedničke metodologije i model za procjenu zrelosti kibernetičke sigurnosti subjekata Unije, uključujući odgovarajuće ljestvice ili ključne pokazatelje uspješnosti, koji služe kao referenca za potporu kontinuiranom poboljšanju kibernetičke sigurnosti u svim subjektima Unije i olakšavaju određivanje prioriteta među područjima i mjerama kibernetičke sigurnosti uzimajući u obzir razinu kibernetičke sigurnosti subjekata;

(b)

aranžmane za upravljanje kibernetičkim sigurnosnim rizicima i mjere za upravljanje kibernetičkim sigurnosnim rizicima ili za njihovo poboljšanje;

(c)

aranžmane za procjenu zrelosti kibernetičke sigurnosti i planove za kibernetičku sigurnost

(d)

prema potrebi, upotrebu zajedničke tehnologije, arhitekture, otvorenog koda i povezane najbolje prakse radi postizanja interoperabilnosti i zajedničkih standarda, uključujući koordinirani pristup sigurnosti lanca opskrbe;

(e)

prema potrebi, informacije kojima se olakšava upotreba instrumenata zajedničke nabave za kupnju relevantnih kibernetičkih sigurnosnih usluga i proizvoda od vanjskih dobavljača;

(f)

aranžmani za razmjenu informacija u skladu s člankom 20.

Članak 17.

Suradnja CERT-EU-a s partnerima iz država članica

1.   CERT-EU bez nepotrebne odgode surađuje i razmjenjuje informacije s partnerima iz država članica, osobito s CSIRT-ovima imenovanima ili uspostavljenima na temelju članka 10. Direktive (EU) 2022/2555, ili, ako je to primjenjivo, s nadležnim tijelima i jedinstvenim kontaktnim točkama imenovanima ili uspostavljenima na temelju članka 8. te direktive, u pogledu incidenata, kibernetičkih prijetnji, ranjivosti, izbjegnutih incidenata, mogućih protumjera te najbolje prakse i o svim pitanjima važnima za poboljšanje zaštite IKT okruženja subjekata Unije, među ostalim putem mreže CSIRT-ova uspostavljene na temelju članka 15. Direktive (EU) 2022/2555. CERT-EU podupire Komisiju u okviru mreže EU-CyCLONe osnovane člankom 16. Direktive (EU) 2022/2555 pri koordiniranom upravljanju kibernetičkim incidentima velikih razmjera i kibernetičkim krizama.

2.   Ako CERT-EU sazna za značajni incident do kojeg je došlo na državnom području pojedine države članice, o tome bez odgode obavješćuje svakog relevantnog partnera u toj državi članici, u skladu sa stavkom 1.

3.   Pod uvjetom da su osobni podatci zaštićeni u skladu s primjenjivim pravom Unije o zaštiti podataka CERT-EU bez nepotrebne odgode razmjenjuje relevantne informacije specifične za određeni incident s partnerima iz država članica kako bi se olakšalo otkrivanje sličnih kibernetičkih prijetnji ili incidenata ili kako bi se dao doprinos analizi incidenta, bez odobrenja pogođenog subjekta Unije. CERT-EU smije razmjenjivati informacije specifične za određeni incident kojima se otkriva identitet mete incidenta samo u slučaju jedne od sljedećih situacija:

(a)

pogođeni subjekt Unije dao je suglasnost;

(b)

pogođeni subjekt Unije nije dao suglasnost u skladu s točkom (a), ali bi se otkrivanjem identiteta pogođenog subjekta Unije povećala vjerojatnost da bi se incidenti drugdje izbjegli ili da bi se ublažili njihovi učinci;

(c)

pogođeni subjekt Unije već je objavio da je bio pogođen incidentom.

Odluke o razmjeni informacija specifičnih za određeni incident kojima se otkriva identitet mete incidenta u skladu s prvim podstavkom točkom (b) potvrđuje voditelj CERT-EU-a. Prije donošenja takve odluke CERT-EU pisanim putem stupa u kontakt s pogođenim subjektom Unije i jasno objašnjava način na koji bi otkrivanje njegova identiteta pomoglo u izbjegavanju ili ublažavanju incidenata drugdje. Voditelj CERT-EU-a daje objašnjenje i izričito traži od subjekta Unije da se u utvrđenom roku izjasni daje li suglasnost. Voditelj CERT-EU-a također obavješćuje subjekt Unije da, s obzirom na dano objašnjenje, zadržava pravo na otkrivanje informacija čak i bez suglasnosti. Pogođeni subjekt Unije obavješćuje se prije otkrivanja informacija.


whereas
keyboard_arrow_down