keyboard_tab Cyber Resilience Act 2023/2841 HR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Članak 10. Međuinstitucijski odbor za kibernetičku sigurnost
- 7 Članak 11. Zadaće IICB-a
- 2 Članak 14. Smjernice, preporuke i pozivi na djelovanje
- 5 Članak 15. Voditelj CERT-EU-a
- 2 Članak 22. Koordinacija i suradnja pri odgovoru na incidente
- 1 Članak 25. Preispitivanje
- Članak 26. Stupanje na snagu
POGLAVLJE I.
OPĆE ODREDBE
POGLAVLJE II.
MJERE ZA VISOKU ZAJEDNIČKU RAZINU KIBERNETIČKE SIGURNOSTI
POGLAVLJE III.
MEĐUINSTITUCIJSKI ODBOR ZA KIBERNETIČKU SIGURNOST
POGLAVLJE IV.
CERT-EU
POGLAVLJE V.
OBVEZE SURADNJE I IZVJESCIVANJA
POGLAVLJE VI.
ZAVRSNE ODREDBE
- cert-eu-a 39
- unije 38
- iicb-a 16
- sigurnosti 14
- subjekata 13
- kibernetičke 12
- iicb 11
- usluga 11
- temelju 10
- koje 10
- prijedloga 10
- koji 9
- odobrava 9
- uredbe 9
- skladu 9
- uključujući 9
- subjektima 9
- članka 8
- izvješća 8
- može 8
- kibernetičkim 8
- razini 8
- iicb 8
- potrebi 7
- imenuje 7
- preporuke 7
- izvješće 7
- prijedlog 7
- prema 7
- voditelja 6
- obzir 6
- informacija 6
- europski 6
- sigurnost 6
- podnosi 6
- direktive 5
- djelovanje 5
- voditelj 5
- upravljanje 5
- smjernice 5
- potporu 5
- cert-eu 5
- godišnje 5
- iicb-u 5
- voditelj 5
- incidentima 5
- donosi 5
- eu / 5
- informacije 5
- uzimajući 5
Članak 10.
Međuinstitucijski odbor za kibernetičku sigurnost
1. Osniva se Međuinstitucijski odbor za kibernetičku sigurnost (IICB).
2. IICB je odgovoran za:
| (a) | praćenje provedbe ove Uredbe od strane subjekata Unije i pružanje potpore u provedbi; |
| (b) | nadzor nad provedbom općih prioriteta i ciljeva CERT-EU-a i strateško usmjeravanje CERT-EU-a. |
3. IICB se sastoji od:
| (a) | po jednog predstavnika kojeg imenuje svako od sljedećih tijela:
|
| (b) | tri predstavnika koje Mreža agencija EU-a (EUAN) imenuje na temelju prijedloga svojeg savjetodavnog odbora za IKT kako bi zastupali interese tijela, ureda i agencija Unije koji upravljaju vlastitim IKT okruženjem, osim onih iz točke (a). |
Subjekti Unije zastupljeni u IICB-u nastoje postići rodnu ravnotežu među imenovanim predstavnicima.
4. Članovima IICB-a može pomagati zamjenik. Predsjednik može pozvati druge predstavnike subjekata Unije navedenih u stavku 3. ili drugih subjekata Unije da prisustvuju sastancima IICB-a bez prava glasa.
5. Voditelj CERT-EU-a i predsjednici Skupine za suradnju, mreže CSIRT-ova i EU-CyCLONe-a osnovanih člancima 14., 15. odnosno 16. Direktive (EU) 2022/2555 ili njihovi zamjenici mogu sudjelovati na sastancima IICB-a kao promatrači. U iznimnim slučajevima IICB može odlučiti drukčije, u skladu sa svojim internim poslovnikom.
6. IICB donosi svoj interni poslovnik.
7. U skladu sa svojim internim poslovnikom IICB iz redova svojih članova imenuje predsjednika na razdoblje od tri godine. Zamjenik predsjednika postaje punopravni član IICB-a na isto razdoblje.
8. IICB se sastaje najmanje triput godišnje na inicijativu svojeg predsjednika, na zahtjev CERT-EU-a ili na zahtjev bilo kojeg od svojih članova.
9. Svaki član IICB-a ima jedan glas. Odluke IICB-a donose se običnom većinom, osim ako je u ovoj Uredbi predviđeno drugačije. Predsjednik IICB-a ne smije glasovati, osim u slučaju izjednačenog broja glasova kad predsjednik može dati odlučujući glas.
10. IICB može donositi odluke u pojednostavnjenom pisanom postupku pokrenutom u skladu sa svojim internim poslovnikom. U okviru tog postupka relevantna odluka smatra se odobrenom u roku koji odredi predsjednik, osim ako se neki član protivi.
11. Poslove tajništva za IICB obavlja Komisija i ona odgovara predsjedniku IICB-a.
12. Predstavnici koje imenuje EUAN prosljeđuju odluke IICB-a članovima EUAN-a. Svaki član EUAN-a ima pravo tim predstavnicima ili predsjedniku IICB-a postaviti sva pitanja za koja smatra da bi na njih trebalo upozoriti IICB.
13. IICB može osnovati izvršni odbor da mu pomaže u radu i delegirati mu neke od svojih zadaća i ovlasti. IICB utvrđuje poslovnik izvršnog odbora, uključujući zadaće i ovlasti izvršnog odbora te mandat njegovih članova.
14. Do 8. siječnja 2025., a nakon tog datuma jednom godišnje, IICB podnosi izvješće Europskom parlamentu i Vijeću u kojem detaljno opisuje napredak u provedbi ove Uredbe i posebno navodi opseg suradnje CERT-EU-a s partnerima iz država članica u svakoj od država članica. Izvješće je doprinos dvogodišnjem izvješću o stanju kibernetičke sigurnosti u Uniji donesenom na temelju članka 18. Direktive (EU) 2022/2555.
Članak 11.
Zadaće IICB-a
Pri obavljanju svojih dužnosti IICB posebno:
| (a) | pruža smjernice voditelju CERT-EU-a; |
| (b) | djelotvorno prati i nadzire provedbu ove Uredbe te podupire subjekte Unije u jačanju njihove kibernetičke sigurnosti, uključujući, prema potrebi, traženjem izrade ad hoc izvješća od subjekata Unije i CERT-EU-a; |
| (c) | nakon strateške rasprave donosi višegodišnju strategiju za podizanje razine kibernetičke sigurnosti u subjektima Unije, redovito ocjenjuje tu strategiju, a u svakom slučaju svakih pet godina, te je prema potrebi mijenja; |
| (d) | utvrđuje metodologiju i organizacijske aspekte za dobrovoljna istorazinska ocjenjivanja koja provode subjekti Unije s ciljem učenja iz zajedničkih iskustava, jačanja uzajamnog povjerenja, postizanja visoke zajedničke razine kibernetičke sigurnosti te jačanja kibernetičkih sigurnosnih kapaciteta subjekata Unije, osiguravanja da takva istorazinska ocjenjivanja provode stručnjaci za kibernetičku sigurnost koje je imenovao subjekt Unije koji nije subjekt Unije koji se ocjenjuje te da se metodologija temelji na članku 19. Direktive (EU) 2022/2555 i da je, prema potrebi, prilagođena subjektima Unije; |
| (e) | na temelju prijedloga voditelja CERT-EU-a odobrava godišnji program rada CERT-EU-a i prati njegovu provedbu; |
| (f) | na temelju prijedloga voditelja CERT-EU-a odobrava katalog usluga CERT-EU-a i sva ažuriranja tog kataloga; |
| (g) | na temelju prijedloga voditelja CERT-EU-a odobrava godišnji financijski plan prihoda i rashoda, uključujući za osoblje, za aktivnosti CERT-EU-a; |
| (h) | na temelju prijedloga voditelja CERT-EU-a odobrava dogovore o sporazumima o razini usluga; |
| (i) | pregledava i odobrava godišnje izvješće koje sastavlja voditelj CERT-EU-a, a kojim su obuhvaćene aktivnosti CERT-EU-a i upravljanje njegovim sredstvima; |
| (j) | odobrava i prati ključne pokazatelje uspješnosti CERT-EU-a utvrđene na temelju prijedloga voditelja CERT-EU-a; |
| (k) | odobrava aranžmane za suradnju te dogovore ili ugovore o razini usluga između CERT-EU-a i drugih subjekata na temelju članka 18.; |
| (l) | donosi smjernice i preporuke na temelju prijedloga CERT-EU-a u skladu s člankom 14. i upućuje CERT-EU da izda, povuče ili izmijeni prijedlog smjernica ili preporuke ili poziv na djelovanje; |
| (m) | osniva tehničke savjetodavne skupine sa specifičnim zadaćama za pomoć u radu IICB-a, odobrava opise njihovih poslova i imenuje njihove predsjednike; |
| (n) | prima i ocjenjuje dokumente i izvješća koje podnose subjekti Unije u skladu s ovom Uredbom, kao što su procjene zrelosti kibernetičke sigurnosti; |
| (o) | podupire osnivanje neformalne skupine lokalnih službenika za kibernetičku sigurnost subjekata Unije, uz potporu ENISA-e, s ciljem razmjene najbolje prakse i informacija u vezi s provedbom ove Uredbe; |
| (p) | uzimajući u obzir informacije CERT-EU-a o utvrđenim kibernetičkim sigurnosnim rizicima i stečenim iskustvima, prati primjerenost aranžmana međupovezanosti IKT okruženja subjekata Unije i savjetuje o mogućim poboljšanjima; |
| (q) | uspostavlja plan za upravljanje kibernetičkim krizama s ciljem podupiranja, na operativnoj razini, koordiniranog upravljanja velikim incidentima koji utječu na subjekte Unije i s ciljem doprinošenja redovitoj razmjeni relevantnih informacija, posebno u pogledu učinaka i ozbiljnosti velikih incidenata te mogućih načina ublažavanja njihovih učinaka; |
| (r) | koordinira donošenje pojedinačnih planova subjekata Unije za upravljanje kibernetičkim krizama iz članka 9. stavka 2.; |
| (s) | donosi preporuke koje se odnose na sigurnost lanca opskrbe iz članka 8. stavka 2. prvog podstavka točke (m) uzimajući u obzir rezultate koordiniranih procjena sigurnosnih rizika ključnih lanaca opskrbe na razini Unije iz članka 22. Direktive (EU) 2022/2555 kako bi subjektima Unije pomogao u donošenju djelotvornih i razmjernih mjera upravljanja kibernetičkim sigurnosnim rizicima. |
Članak 14.
Smjernice, preporuke i pozivi na djelovanje
1. CERT-EU podupire provedbu ove Uredbe:
| (a) | izdavanjem poziva na djelovanje u kojima se opisuju hitne sigurnosne mjere koje subjekti Unije trebaju poduzeti u zadanom roku; |
| (b) | podnošenjem prijedloga IICB-u za smjernice upućene svim subjektima Unije ili nekoj njihovoj podskupini; |
| (c) | podnošenjem prijedloga IICB-u za preporuke upućene pojedinačnim subjektima Unije. |
U pogledu prvog podstavka točke (a), dotični subjekt Unije bez nepotrebne odgode nakon primitka poziva na djelovanje obavješćuje CERT-EU o načinu primjene hitnih sigurnosnih mjera.
2. Smjernice i preporuke mogu sadržavati:
| (a) | zajedničke metodologije i model za procjenu zrelosti kibernetičke sigurnosti subjekata Unije, uključujući odgovarajuće ljestvice ili ključne pokazatelje uspješnosti, koji služe kao referenca za potporu kontinuiranom poboljšanju kibernetičke sigurnosti u svim subjektima Unije i olakšavaju određivanje prioriteta među područjima i mjerama kibernetičke sigurnosti uzimajući u obzir razinu kibernetičke sigurnosti subjekata; |
| (b) | aranžmane za upravljanje kibernetičkim sigurnosnim rizicima i mjere za upravljanje kibernetičkim sigurnosnim rizicima ili za njihovo poboljšanje; |
| (c) | aranžmane za procjenu zrelosti kibernetičke sigurnosti i planove za kibernetičku sigurnost |
| (d) | prema potrebi, upotrebu zajedničke tehnologije, arhitekture, otvorenog koda i povezane najbolje prakse radi postizanja interoperabilnosti i zajedničkih standarda, uključujući koordinirani pristup sigurnosti lanca opskrbe; |
| (e) | prema potrebi, informacije kojima se olakšava upotreba instrumenata zajedničke nabave za kupnju relevantnih kibernetičkih sigurnosnih usluga i proizvoda od vanjskih dobavljača; |
| (f) | aranžmani za razmjenu informacija u skladu s člankom 20. |
Članak 15.
Voditelj CERT-EU-a
1. Nakon što dobije odobrenje dvotrećinske većine članova IICB-a, Komisija imenuje voditelja CERT-EU-a. Savjetovanje s IICB-om obavezno je u svim fazama postupka imenovanja, osobito pri izradi obavijesti o slobodnom radnom mjestu, razmatranju prijava i imenovanju odbora za odabir za radno mjesto. Postupkom odabira, uključujući konačni uži popis kandidata s kojeg se imenuje voditelj CERT-EU-a, osigurava se pravedna zastupljenost svakog spola, uzimajući u obzir podnesene prijave.
2. Voditelj CERT-EU-a odgovoran je za pravilno funkcioniranje CERT-EU-a i djeluje u okviru svog djelokruga i pod vodstvom IICB-a. Voditelj CERT-EU-a redovito podnosi izvješća predsjedniku IICB-a i podnosi ad hoc izvješća IICB-u na njegov zahtjev.
3. Voditelj CERT-EU-a pomaže odgovornom dužnosniku kojem je delegirana ovlast ovjeravanja u sastavljanju godišnjeg izvješća o radu, koje sadržava financijske informacije i informacije o upravljanju, uključujući rezultate kontrola, koje se sastavlja u skladu s člankom 74. stavkom 9. Uredbe (EU, Euratom) 2018/1046 Europskog parlamenta i Vijeća (9) te redovito izvješćuje dužnosnika kojem je delegirana ovlast ovjeravanja o provedbi mjera u pogledu kojih su ovlasti dalje delegirane voditelju CERT-EU-a.
4. Voditelj CERT-EU-a svake godine izrađuje financijski plan administrativnih prihoda i rashoda za svoje aktivnosti, prijedlog godišnjeg programa rada, prijedlog kataloga usluga CERT-EU-a, prijedloge za reviziju kataloga usluga, prijedlog dogovora za sporazume o razini usluga i prijedlog ključnih pokazatelja uspješnosti za CERT-EU koje treba odobriti IICB u skladu s člankom 11. Pri reviziji popisa usluga u katalogu usluga CERT-EU-a voditelj CERT-EU-a uzima u obzir resurse dodijeljene CERT-EU-u.
5. Voditelj CERT-EU-a najmanje jednom godišnje podnosi IICB-u i predsjedniku IICB-a izvješća o aktivnostima i uspješnosti CERT-EU-a tijekom referentnog razdoblja, među ostalim o izvršenju proračuna, sklopljenim sporazumima o razini usluga i pisanim sporazumima, suradnji s partnerima i suradnicima te službenim putovanjima osoblja, uključujući izvješća iz članka 11. Ta izvješća uključuju program rada za sljedeće razdoblje, financijsko planiranje prihoda i rashoda, uključujući za osoblje, planirano ažuriranje kataloga usluga CERT-EU-a i procjenu očekivanog učinka koji bi takva ažuriranja mogla imati na financijske i ljudske resurse.
Članak 22.
Koordinacija i suradnja pri odgovoru na incidente
1. CERT-EU djeluje kao koordinacijsko čvorište za razmjenu informacija o kibernetičkoj sigurnosti i za odgovor na incidente te tako olakšava razmjenu informacija o incidentima, kibernetičkim prijetnjama, ranjivostima i izbjegnutim incidentima među:
| (a) | subjektima Unije; |
| (b) | partnerima iz članaka 17. i 18. |
2. CERT-EU, ako je relevantno u bliskoj suradnji s ENISA-om, olakšava koordinaciju odgovora na incidente među subjektima Unije, uključujući:
| (a) | doprinos dosljednoj vanjskoj komunikaciji; |
| (b) | uzajamnu potporu, kao što je razmjena informacija relevantnih za subjekte Unije ili pružanje pomoći, prema potrebi izravno na licu mjesta; |
| (c) | optimalnu upotrebu operativnih resursa; |
| (d) | koordinaciju s drugim mehanizmima za odgovor na krize na razini Unije. |
3. CERT-EU, u bliskoj suradnji s ENISA-om, pruža potporu subjektima Unije u pogledu informiranosti o incidentima, kibernetičkim prijetnjama, ranjivostima i izbjegnutim incidentima te im pruža informacije o najnovijim zbivanjima u području kibernetičke sigurnosti.
4. IICB do 8. siječnja 2025. na temelju prijedloga CERT-EU-a donosi smjernice ili preporuke o koordinaciji odgovora na incidente i suradnji u slučaju značajnih incidenata. Ako se sumnja da je incident kaznene prirode, CERT-EU bez nepotrebne odgode savjetuje o tome kako prijaviti incident tijelima za izvršavanje zakonodavstva.
5. Na poseban zahtjev države članice i uz odobrenje dotičnih subjekata Unije CERT-EU može pozvati stručnjake s popisa iz članka 23. stavka 4. kako bi doprinijeli odgovoru na veliki incident koji ima učinak u toj državi članici ili kibernetički sigurnosni incident velikih razmjera u skladu s člankom 15. stavkom 3. točkom (g) Direktive (EU) 2022/2555. IICB na prijedlog CERT EU-a odobrava posebna pravila o pristupu tehničkim stručnjacima iz subjekata Unije i njihovu djelovanju.
Članak 25.
Preispitivanje
1. IICB uz potporu CERT-EU-a do 8. siječnja 2025., a nakon tog datuma jednom godišnje, podnosi Komisiji izvješće o provedbi ove Uredbe. IICB može Komisiji preporučiti da preispita ovu Uredbu.
2. Komisija do 8. siječnja 2027. i svake dvije godine nakon tog datuma ocjenjuje provedbu ove Uredbe i iskustva stečena na strateškoj i operativnoj razini te o tome izvješćuje Europski parlament i Vijeće.
Izvješće iz prvog podstavka ovog stavka obuhvaća preispitivanje iz članka 16. stavka 1. o mogućnosti uspostave CERT-EU-a kao ureda Unije.
3. Komisija do 8. siječnja 2029. evaluira funkcioniranje ove Uredbe i podnosi izvješće Europskom parlamentu, Vijeću, Europskom gospodarskom i socijalnom odboru i Odboru regija. Komisija također evaluira primjerenost uključivanja mrežnih i informacijskih sustava u kojima se postupa s klasificiranim podatcima EU-a u područje primjene ove Uredbe, uzimajući u obzir druge zakonodavne akte Unije koji se primjenjuju na te sustave. Uz izvješće se prema potrebi prilaže zakonodavni prijedlog.
whereas