keyboard_tab Cyber Resilience Act 2023/2841 HR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Članak 8. Mjere upravljanja kibernetičkim sigurnosnim rizicima
- 1 Članak 15. Voditelj CERT-EU-a
POGLAVLJE I.
OPĆE ODREDBE
POGLAVLJE II.
MJERE ZA VISOKU ZAJEDNIČKU RAZINU KIBERNETIČKE SIGURNOSTI
POGLAVLJE III.
MEĐUINSTITUCIJSKI ODBOR ZA KIBERNETIČKU SIGURNOST
POGLAVLJE IV.
CERT-EU
POGLAVLJE V.
OBVEZE SURADNJE I IZVJESCIVANJA
POGLAVLJE VI.
ZAVRSNE ODREDBE
- cert-eu-a 15
- usluga 13
- sigurnosti 11
- uključujući 11
- kibernetičke 10
- unije 9
- kibernetičkim 7
- sigurnosnim 7
- izvješća 6
- koje 5
- incidenata 5
- mjere 5
- obzir 5
- rizicima 5
- politike 4
- subjekta 4
- redovito 4
- iicb-a 4
- kibernetičkih 4
- voditelj 4
- prijedlog 4
- sigurnost 4
- voditelj 4
- području 3
- kataloga 3
- mjera 3
- koja 3
- podnosi 3
- sustava 3
- rizika 3
- ranjivosti 3
- rada 3
- upravljanju 3
- upravljanje 3
- upravljanja 3
- osoblja 3
- razine 3
- pružatelja 3
- dobavljača 3
- softvera 3
- razvoj 3
- svakog 3
- incidentima 2
- članka 2
- subjekti 2
- sporazumima 2
- provedbe 2
- uredbe 2
- barem 2
- norme 2
Članak 8.
Mjere upravljanja kibernetičkim sigurnosnim rizicima
1. Svaki subjekt Unije bez nepotrebne odgode i u svakom slučaju do 8. rujna 2025., pod nadzorom najviše rukovodeće razine, poduzima odgovarajuće i razmjerne tehničke, operativne i organizacijske mjere za upravljanje kibernetičkim sigurnosnim rizicima utvrđenima u Okviru i za sprečavanje učinaka incidenata ili za svođenje učinaka incidenata na najmanju moguću mjeru. Uzimajući u obzir najnovija dostignuća i, ako je to primjenjivo, relevantne europske i međunarodne norme, tim se mjerama osigurava razina sigurnosti mrežnih i informacijskih sustava u cjelokupnom IKT okruženju koja je razmjerna nastalim kibernetičkim sigurnosnim rizicima. Pri procjeni razmjernosti tih mjera na odgovarajući se način uzima u obzir stupanj izloženosti subjekta Unije kibernetičkim sigurnosnim rizicima, njegova veličina, vjerojatnost pojave incidenata i njihova ozbiljnost, uključujući njihov društveni, gospodarski i međuinstitucijski učinak.
2. Subjekti Unije prilikom provedbe mjera upravljanja kibernetičkim sigurnosnim rizicima razmatraju barem sljedeća pitanja:
(a) | politiku kibernetičke sigurnosti, uključujući mjere potrebne za postizanje ciljeva i prioriteta iz članka 6. i stavka 3. ovog članka; |
(b) | politike analize kibernetičkih sigurnosnih rizika i sigurnosti informacijskih sustava; |
(c) | ciljeve politike u pogledu korištenja usluga računalstva u oblaku; |
(d) | prema potrebi, reviziju kibernetičke sigurnosti koja može uključivati procjenu kibernetičkih sigurnosnih rizika, ranjivosti i kibernetičkih prijetnji te penetracijska testiranja, koja redovito provodi pouzdani privatni pružatelj usluga; |
(e) | provedbu preporuka koje proizlaze iz revizija kibernetičke sigurnosti iz točke (d) putem ažuriranja stanja kibernetičke sigurnosti i politika; |
(f) | organizaciju kibernetičke sigurnosti, uključujući utvrđivanje uloga i odgovornosti; |
(g) | upravljanje imovinom, uključujući popis IKT imovine i kartografiju IKT mreže; |
(h) | sigurnost ljudskih resursa i kontrolu pristupa; |
(i) | sigurnost operacija; |
(j) | sigurnost komunikacija; |
(k) | nabavu, razvoj i održavanj sustavâ, uključujući politike za postupanje s ranjivostima i njihovo otkrivanje; |
(l) | ako je moguće, politike o transparentnosti izvornog koda; |
(m) | sigurnost lanca opskrbe, uključujući sigurnosne aspekte povezane s odnosima između svakog subjekta Unije i njegovih izravnih dobavljača ili pružatelja usluga; |
(n) | postupanje s incidentima i suradnji s CERT-EU-om, na primjer održavanju sustava sigurnosnog nadzora i bilježenju dnevničkih zapisa; |
(o) | upravljanje kontinuitetom poslovanja, na primjer upravljanju sigurnosnim kopijama i oporavku od katastrofe te upravljanju krizama; i |
(p) | promicanje i razvoj programâ obrazovanja, vještina, podizanja svijesti, vježbi i osposobljavanja u području kibernetičke sigurnosti. |
Za potrebe prvog podstavka točke (m) subjekti Unije uzimaju u obzir ranjivosti specifične za svakog izravnog dobavljača i pružatelja usluga te ukupnu kvalitetu proizvoda i kibernetičke sigurnosne prakse svojih dobavljača i pružatelja usluga, uključujući njihove sigurne razvojne postupke.
3. Subjekti Unije poduzimaju barem sljedeće posebne mjere upravljanja kibernetičkim sigurnosnim rizicima:
(a) | tehničke aranžmane za omogućavanje i održavanje rada na daljinu; |
(b) | konkretne korake za prijelaz na načela nultog povjerenja; |
(c) | upotrebu višefaktorske autentifikacije kao norme u svim mrežnim i informacijskim sustavima; |
(d) | upotrebu kriptografije i kriptiranja, a posebno prolaznog kriptiranja, te sigurnih digitalnih potpisa; |
(e) | prema potrebi, sigurne glasovne, video- i tekstualne komunikacije te sigurni komunikacijski sustav u hitnim slučajevima unutar subjekta Unije; |
(f) | proaktivne mjere za otkrivanje i uklanjanje zlonamjernog softvera i špijunskog softvera; |
(g) | uspostavljanje sigurnosti lanca opskrbe softverom s pomoću kriterija za siguran razvoj i evaluaciju softvera; |
(h) | izrada i donošenje programa za osposobljavanje u području kibernetičke sigurnosti koji odgovara predviđenim zadaćama i očekivanim sposobnostima najviše rukovodeće razine i osoblja subjekta Unije čija je zadaća osiguravanje djelotvorne provedbe ove Uredbe; |
(i) | redovito osposobljavanje osoblja u području kibernetičke sigurnosti; |
(j) | ako je to relevantno, sudjelovanje u analizama rizika s obzirom na međupovezanosti subjekata Unije; |
(k) | poboljšanje pravila javne nabave kako bi se olakšalo postizanje visoke zajedničke razine kibernetičke sigurnosti:
|
Članak 15.
Voditelj CERT-EU-a
1. Nakon što dobije odobrenje dvotrećinske većine članova IICB-a, Komisija imenuje voditelja CERT-EU-a. Savjetovanje s IICB-om obavezno je u svim fazama postupka imenovanja, osobito pri izradi obavijesti o slobodnom radnom mjestu, razmatranju prijava i imenovanju odbora za odabir za radno mjesto. Postupkom odabira, uključujući konačni uži popis kandidata s kojeg se imenuje voditelj CERT-EU-a, osigurava se pravedna zastupljenost svakog spola, uzimajući u obzir podnesene prijave.
2. Voditelj CERT-EU-a odgovoran je za pravilno funkcioniranje CERT-EU-a i djeluje u okviru svog djelokruga i pod vodstvom IICB-a. Voditelj CERT-EU-a redovito podnosi izvješća predsjedniku IICB-a i podnosi ad hoc izvješća IICB-u na njegov zahtjev.
3. Voditelj CERT-EU-a pomaže odgovornom dužnosniku kojem je delegirana ovlast ovjeravanja u sastavljanju godišnjeg izvješća o radu, koje sadržava financijske informacije i informacije o upravljanju, uključujući rezultate kontrola, koje se sastavlja u skladu s člankom 74. stavkom 9. Uredbe (EU, Euratom) 2018/1046 Europskog parlamenta i Vijeća (9) te redovito izvješćuje dužnosnika kojem je delegirana ovlast ovjeravanja o provedbi mjera u pogledu kojih su ovlasti dalje delegirane voditelju CERT-EU-a.
4. Voditelj CERT-EU-a svake godine izrađuje financijski plan administrativnih prihoda i rashoda za svoje aktivnosti, prijedlog godišnjeg programa rada, prijedlog kataloga usluga CERT-EU-a, prijedloge za reviziju kataloga usluga, prijedlog dogovora za sporazume o razini usluga i prijedlog ključnih pokazatelja uspješnosti za CERT-EU koje treba odobriti IICB u skladu s člankom 11. Pri reviziji popisa usluga u katalogu usluga CERT-EU-a voditelj CERT-EU-a uzima u obzir resurse dodijeljene CERT-EU-u.
5. Voditelj CERT-EU-a najmanje jednom godišnje podnosi IICB-u i predsjedniku IICB-a izvješća o aktivnostima i uspješnosti CERT-EU-a tijekom referentnog razdoblja, među ostalim o izvršenju proračuna, sklopljenim sporazumima o razini usluga i pisanim sporazumima, suradnji s partnerima i suradnicima te službenim putovanjima osoblja, uključujući izvješća iz članka 11. Ta izvješća uključuju program rada za sljedeće razdoblje, financijsko planiranje prihoda i rashoda, uključujući za osoblje, planirano ažuriranje kataloga usluga CERT-EU-a i procjenu očekivanog učinka koji bi takva ažuriranja mogla imati na financijske i ljudske resurse.
whereas