Cyber Resilience Act 2023/2841 HR

(a)	uspostavu unutarnjeg okvira za upravljanje kibernetičkim sigurnosnim rizicima, opće upravljanje njima i njihovu kontrolu od strane svakog subjekta Unije u skladu s člankom 6.;

(b)	upravljanje kibernetičkim sigurnosnim rizicima, izvješćivanje o njima i razmjenu informacija o njima;

(c)	organizaciju, funkcioniranje i rad Međuinstitucijskog odbora za kibernetičku sigurnost osnovanog člankom 10. te organizaciju, funkcioniranje i rad Službe za kibernetičku sigurnost institucija, tijela, ureda i agencija Unije (CERT-EU);

(d)	praćenje provedbe ove Uredbe.

Članak 3.

Definicije

Za potrebe ove Uredbe primjenjuju se sljedeće definicije:

1.	„subjekti Unije” znači institucije, tijela, uredi i agencije Unije koji su osnovani Ugovorom o Europskoj uniji, Ugovorom o funkcioniranju Europske unije (TFEU) ili Ugovorom o osnivanju Europske zajednice za atomsku energiju ili na temelju tih ugovora;

2.	„mrežni i informacijski sustav” znači mrežni i informacijski sustav kako je definiran u članku 6. točki 1. Direktive (EU) 2022/2555;

3.	„sigurnost mrežnih i informacijskih sustava” znači sigurnost mrežnih i informacijskih sustava kako je definirana u članku 6. točki 2. Direktive (EU) 2022/2555;

4.	„kibernetička sigurnost” znači kibernetička sigurnost kako je definirana u članku 2. točki 1. Uredbe (EU) 2019/881;

„najviša rukovodeća razina” znači rukovoditelj, rukovodeće tijelo ili koordinacijsko i nadzorno tijelo koji su odgovorni za funkcioniranje subjekta Unije, na najvišoj upravnoj razini, s mandatom za donošenje ili odobravanje odluka u skladu s upravljačkim aranžmanima na visokoj razini tog subjekta Unije, ne dovodeći u pitanje formalne odgovornosti drugih rukovodećih razina u pogledu usklađenosti i upravljanja kibernetičkim sigurnosnim rizikom u njihovim područjima odgovornosti;

6.	„izbjegnuti incident” znači izbjegnuti incident kako je definiran u članku 6. točki 5. Direktive (EU) 2022/2555;

7.	„incident” znači incident kako je definiran u članku 6. točki 6. Direktive (EU) 2022/2555;

8.	„veliki incident” znači svaki incident koji uzrokuje razinu poremećaja koja premašuje sposobnost subjekta Unije i CERT-EU-a da na njega odgovore ili koji ima znatan učinak na najmanje dva subjekta Unije;

9.	„kibernetički sigurnosni incident velikih razmjera” znači kibernetički sigurnosni incident velikih razmjera kako je definiran u članku 6. točki 7. Direktive (EU) 2022/2555;

10.	„postupanje s incidentom” znači postupanje s incidentom kako je definirano u članku 6. točki 8. Direktive (EU) 2022/2555;

11.	„kibernetička prijetnja” znači kibernetička prijetnja kako je definirana u članku 2. točki 8. Uredbe (EU) 2019/881;

12.	„ozbiljna kibernetička prijetnja” znači ozbiljna kibernetička prijetnja kako je definirana u članku 6. točki 11. Direktive (EU) 2022/2555;

13.	„ranjivost” znači ranjivost kako je definirana u članku 6. točki 15. Direktive (EU) 2022/2555;

14.	„kibernetički sigurnosni rizik” znači rizik kako je definiran u članku 6. točki 9. Direktive (EU) 2022/2555;

15.	„usluga računalstva u oblaku” znači usluga računalstva u oblaku kako je definirana u članku 6. točki 30. Direktive (EU) 2022/2555.

Članak 6.

Okvir za upravljanje kibernetičkim sigurnosnim rizicima, opće upravljanje njima i njihovu kontrolu

1. Do 8. travnja 2025. svaki subjekt Unije nakon provedbe početnog preispitivanja stanja kibernetičke sigurnosti, kao što je revizija, uspostavlja unutarnji okvir za upravljanje kibernetičkim sigurnosnim rizicima, opće upravljanje njima i njihovu kontrolu („Okvir”). Uspostavu Okvira nadzire i za nju je odgovorna najviša rukovodeća razina subjekta Unije.

2. Okvirom se obuhvaća cjelokupno neklasificirano IKT okruženje dotičnog subjekta Unije, uključujući lokalno IKT okruženje, lokalnu operativnu tehnološku mrežu, eksternalizirana sredstva i usluge računalstva u oblaku ili one kojima treće strane pružaju usluge smještaja na poslužitelju, mobilne uređaje, korporacijske mreže, poslovne mreže koje nisu povezane s internetom i sve uređaje povezane s tim okruženjima („IKT okruženje”). Okvir se temelji na pristupu kojim se obuhvaćaju sve opasnosti.

3. Okvirom se osigurava visoka razina kibernetičke sigurnosti. Okvirom se utvrđuju interne politike kibernetičke sigurnosti, među ostalim ciljevi i prioriteti, za sigurnost mrežnih i informacijskih sustava te uloge i odgovornosti osoblja subjekta Unije čija je zadaća osigurati djelotvornu provedbu ove Uredbe. Okvir također uključuje mehanizme za mjerenje djelotvornosti provedbe.

4. Okvir se, s obzirom na promjenjive kibernetičke sigurnosne rizike, preispituje redovito, a najmanje svake četiri godine. Prema potrebi i na zahtjev Međuinstitucijskog odbora za kibernetičku sigurnost osnovanog člankom 10., Okvir subjekta Unije može se ažurirati na temelju smjernice CERT-EU-a o utvrđenim incidentima ili mogućim nedostatcima uočenima u provedbi ove Uredbe.

5. Najviša rukovodeća razina svakog subjekta Unije odgovorna je za provedbu ove Uredbe i nadgleda usklađenost njegove organizacije s obvezama povezanima s Okvirom.

6. Prema potrebi i ne dovodeći u pitanje svoju odgovornost za provedbu ove Uredbe, najviša rukovodeća razina svakog subjekta Unije može delegirati posebne obveze na temelju ove Uredbe višim dužnosnicima u smislu članka 29. stavka 2. Pravilnika o osoblju ili drugim dužnosnicima na jednakoj razini unutar dotičnog subjekta Unije. Neovisno o takvom delegiranju, najviša rukovodeća razina može se smatrati odgovornom za kršenje ove Uredbe koje je počinio dotični subjekt Unije.

7. Svaki subjekt Unije dužan je imati uspostavljene učinkovite mehanizme kojima se osigurava da se odgovarajući postotak proračuna za IKT troši na kibernetičku sigurnost. Pri utvrđivanju tog postotka uzima se u obzir Okvir.

8. Svaki subjekt Unije imenuje lokalnog službenika za kibernetičku sigurnost ili osobu na jednakovrijednoj funkciji koji odnosno koja djeluje kao njegova jedinstvena kontaktna točka za sve aspekte kibernetičke sigurnosti. Lokalni službenik za kibernetičku sigurnost olakšava provedbu ove Uredbe i najvišu rukovodeću razinu redovito izravno izvješćuje o stanju provedbe. Ne dovodeći u pitanje činjenicu da je lokalni službenik za kibernetičku sigurnost jedinstvena kontaktna točka u svakom subjektu Unije, subjekt Unije može delegirati CERT-EU-u određene zadaće lokalnog službenika za kibernetičku sigurnost povezane s provedbom ove Uredbe na temelju sporazuma o razini usluga sklopljenog između tog subjekta Unije i CERT-EU-a ili te zadaće može dijeliti nekoliko subjekata Unije. Ako su te zadaće delegirane CERT-EU-u, Međuinstitucijski odbor za kibernetičku sigurnost osnovan člankom 10. odlučuje hoće li pružanje te usluge biti dio osnovnih usluga CERT-EU-a, uzimajući u obzir ljudske i financijske resurse dotičnog subjekta Unije. Svaki subjekt Unije bez nepotrebne odgode obavješćuje CERT-EU o imenovanom lokalnom službeniku za kibernetičku sigurnost i eventualnim naknadnim promjenama u vezi s time.

CERT-EU uspostavlja i ažurira popis imenovanih lokalnih službenika za kibernetičku sigurnost.

9. Viši dužnosnici u smislu članka 29. stavka 2. Pravilnika o osoblju ili drugi dužnosnici na jednakoj razini svakog subjekta Unije te svi relevantni članovi osoblja zaduženi za provedbu mjera upravljanja kibernetičkim sigurnosnim rizicima i ispunjavanje obveza utvrđenih u ovoj Uredbi redovito pohađaju posebna osposobljavanja kako bi stekli dovoljno znanja i vještina za razumijevanje i procjenu kibernetičkih sigurnosnih rizika i prakse upravljanja kibernetičkom sigurnošću te njihova utjecaja na poslovanje subjekta Unije.

Članak 7.

Procjene zrelosti kibernetičke sigurnosti

1. Do 8. srpnja 2025. i najmanje svake dvije godine nakon tog datuma svaki subjekt Unije provodi procjenu zrelosti kibernetičke sigurnosti koja uključuje sve elemente njegova IKT okruženja.

2. Procjene zrelosti kibernetičke sigurnosti provode se, prema potrebi, uz pomoć specijalizirane treće strane.

3. Subjekti Unije sa sličnim strukturama mogu surađivati u provedbi procjena zrelosti kibernetičke sigurnosti za svoje subjekte.

4. Na temelju zahtjeva Međuinstitucijskog odbora za kibernetičku sigurnost osnovanog člankom 10. i uz izričitu suglasnost dotičnog subjekta Unije, o rezultatima procjene zrelosti kibernetičke sigurnosti može se raspravljati u okviru tog Odbora ili u okviru neformalne skupine lokalnih službenika za kibernetičku sigurnost kako bi se izvukle pouke iz iskustava i razmijenila najbolja praksa.

Članak 8.

Mjere upravljanja kibernetičkim sigurnosnim rizicima

1. Svaki subjekt Unije bez nepotrebne odgode i u svakom slučaju do 8. rujna 2025., pod nadzorom najviše rukovodeće razine, poduzima odgovarajuće i razmjerne tehničke, operativne i organizacijske mjere za upravljanje kibernetičkim sigurnosnim rizicima utvrđenima u Okviru i za sprečavanje učinaka incidenata ili za svođenje učinaka incidenata na najmanju moguću mjeru. Uzimajući u obzir najnovija dostignuća i, ako je to primjenjivo, relevantne europske i međunarodne norme, tim se mjerama osigurava razina sigurnosti mrežnih i informacijskih sustava u cjelokupnom IKT okruženju koja je razmjerna nastalim kibernetičkim sigurnosnim rizicima. Pri procjeni razmjernosti tih mjera na odgovarajući se način uzima u obzir stupanj izloženosti subjekta Unije kibernetičkim sigurnosnim rizicima, njegova veličina, vjerojatnost pojave incidenata i njihova ozbiljnost, uključujući njihov društveni, gospodarski i međuinstitucijski učinak.

2. Subjekti Unije prilikom provedbe mjera upravljanja kibernetičkim sigurnosnim rizicima razmatraju barem sljedeća pitanja:

(a)	politiku kibernetičke sigurnosti, uključujući mjere potrebne za postizanje ciljeva i prioriteta iz članka 6. i stavka 3. ovog članka;

(b)	politike analize kibernetičkih sigurnosnih rizika i sigurnosti informacijskih sustava;

(c)	ciljeve politike u pogledu korištenja usluga računalstva u oblaku;

(d)	prema potrebi, reviziju kibernetičke sigurnosti koja može uključivati procjenu kibernetičkih sigurnosnih rizika, ranjivosti i kibernetičkih prijetnji te penetracijska testiranja, koja redovito provodi pouzdani privatni pružatelj usluga;

(e)	provedbu preporuka koje proizlaze iz revizija kibernetičke sigurnosti iz točke (d) putem ažuriranja stanja kibernetičke sigurnosti i politika;

(f)	organizaciju kibernetičke sigurnosti, uključujući utvrđivanje uloga i odgovornosti;

(g)	upravljanje imovinom, uključujući popis IKT imovine i kartografiju IKT mreže;

(h)	sigurnost ljudskih resursa i kontrolu pristupa;

(i)	sigurnost operacija;

(j)	sigurnost komunikacija;

(k)	nabavu, razvoj i održavanj sustavâ, uključujući politike za postupanje s ranjivostima i njihovo otkrivanje;

(l)	ako je moguće, politike o transparentnosti izvornog koda;

(m)	sigurnost lanca opskrbe, uključujući sigurnosne aspekte povezane s odnosima između svakog subjekta Unije i njegovih izravnih dobavljača ili pružatelja usluga;

(n)	postupanje s incidentima i suradnji s CERT-EU-om, na primjer održavanju sustava sigurnosnog nadzora i bilježenju dnevničkih zapisa;

(o)	upravljanje kontinuitetom poslovanja, na primjer upravljanju sigurnosnim kopijama i oporavku od katastrofe te upravljanju krizama; i

(p)	promicanje i razvoj programâ obrazovanja, vještina, podizanja svijesti, vježbi i osposobljavanja u području kibernetičke sigurnosti.

Za potrebe prvog podstavka točke (m) subjekti Unije uzimaju u obzir ranjivosti specifične za svakog izravnog dobavljača i pružatelja usluga te ukupnu kvalitetu proizvoda i kibernetičke sigurnosne prakse svojih dobavljača i pružatelja usluga, uključujući njihove sigurne razvojne postupke.

3. Subjekti Unije poduzimaju barem sljedeće posebne mjere upravljanja kibernetičkim sigurnosnim rizicima:

(a)	tehničke aranžmane za omogućavanje i održavanje rada na daljinu;

(b)	konkretne korake za prijelaz na načela nultog povjerenja;

(c)	upotrebu višefaktorske autentifikacije kao norme u svim mrežnim i informacijskim sustavima;

(d)	upotrebu kriptografije i kriptiranja, a posebno prolaznog kriptiranja, te sigurnih digitalnih potpisa;

(e)	prema potrebi, sigurne glasovne, video- i tekstualne komunikacije te sigurni komunikacijski sustav u hitnim slučajevima unutar subjekta Unije;

(f)	proaktivne mjere za otkrivanje i uklanjanje zlonamjernog softvera i špijunskog softvera;

(g)	uspostavljanje sigurnosti lanca opskrbe softverom s pomoću kriterija za siguran razvoj i evaluaciju softvera;

(h)	izrada i donošenje programa za osposobljavanje u području kibernetičke sigurnosti koji odgovara predviđenim zadaćama i očekivanim sposobnostima najviše rukovodeće razine i osoblja subjekta Unije čija je zadaća osiguravanje djelotvorne provedbe ove Uredbe;

(i)	redovito osposobljavanje osoblja u području kibernetičke sigurnosti;

(j)	ako je to relevantno, sudjelovanje u analizama rizika s obzirom na međupovezanosti subjekata Unije;

(k)

poboljšanje pravila javne nabave kako bi se olakšalo postizanje visoke zajedničke razine kibernetičke sigurnosti:

i.	uklanjanjem ugovornih prepreka koje pružateljima IKT usluga otežavaju razmjenu informacija o incidentima, ranjivostima i kibernetičkim prijetnjama s CERT-EU-om;

ii.	ugovornim obvezama prijavljivanja incidenata, ranjivosti i kibernetičkih prijetnji te uspostavljanjem primjerenih mehanizama odgovora na incidente i praćenja incidenata.

Članak 9.

Planovi za kibernetičku sigurnost

1. Na temelju zaključaka iz procjene zrelosti kibernetičke sigurnosti provedene u skladu s člankom 7. i uzimajući u obzir sredstva i kibernetičke sigurnosne rizike utvrđene u Okviru te mjere upravljanja kibernetičkim sigurnosnim rizicima poduzete u skladu s člankom 8., najviša rukovodeća razina svakog subjekta Unije odobrava plan za kibernetičku sigurnost bez nepotrebne odgode, a u svakom slučaju do 8. siječnja 2026. Planom za kibernetičku sigurnost nastoji se povećati ukupna kibernetička sigurnost subjekta Unije i time doprinijeti poboljšanju visoke zajedničke razine kibernetičke sigurnosti u subjektima Unije. Plan za kibernetičku sigurnost obuhvaća barem mjere za upravljanje kibernetičkim sigurnosnim rizicima poduzete na temelju članka 8. Plan za kibernetičku sigurnost revidira se svake dvije godine ili učestalije, prema potrebi, nakon procjena zrelosti kibernetičke sigurnosti provedenih u skladu s člankom 7. ili nakon svakog značajnog preispitivanja Okvira.

2. Plan za kibernetičku sigurnost obuhvaća plan subjekta Unije za upravljanje kibernetičkim krizama za velike incidente.

3. Subjekt Unije podnosi svoj dovršeni plan za kibernetičku sigurnost Međuinstitucijskom odboru za kibernetičku sigurnost osnovanom člankom 10.

POGLAVLJE III.

MEĐUINSTITUCIJSKI ODBOR ZA KIBERNETIČKU SIGURNOST

Članak 12.

Usklađenost

1. IICB u skladu člankom 10. stavkom 2. i člankom 11. djelotvorno prati kako subjekti Unije provode ovu Uredbu i donesene smjernice, preporuke i pozive na djelovanje. IICB može od subjekata Unije zatražiti informacije ili dokumentaciju koji su potrebni u tu svrhu. Za potrebe donošenja mjera usklađivanja na temelju ovog članka, ako je dotični subjekt Unije izravno zastupljen u IICB-u, taj subjekt Unije nema glasačka prava.

2. Ako IICB utvrdi da subjekt Unije ne provodi djelotvorno ovu Uredbu ili smjernice, preporuke ili pozive na djelovanje izdane na temelju ove Uredbe, IICB može, ne dovodeći u pitanje interne postupke dotičnog subjekta Unije i nakon što dotičnom subjektu Unije omogući da se očituje:

(a)	dostaviti obrazloženo mišljenje dotičnom subjektu Unije u kojem navodi uočene nedostatke u provedbi ove Uredbe;

(b)	nakon savjetovanja s CERT-EU-om dati smjernice dotičnom subjektu Unije kako bi osigurao da se njegov Okvir, njegove mjere upravljanja kibernetičkim sigurnosnim rizicima, njegov plan za kibernetičku sigurnost i njegovo izvješćivanje usklade s ovom Uredbom u utvrđenom roku;

(c)	izdati upozorenje radi rješavanja utvrđenih nedostataka u utvrđenom roku, uključujući preporuke za izmjenu mjera koje je dotični subjekt Unije donio u skladu s ovom Uredbom;

(d)	izdati obrazloženu obavijest dotičnom subjektu Unije u slučaju da nedostatci utvrđeni u upozorenju izdanom u skladu s točkom (c) nisu riješeni u dovoljnoj mjeri u utvrđenom roku;

(e)

izdati:

i.	preporuku za provođenje revizije, ili

ii.	zahtjev da reviziju provede služba za reviziju treće strane;

(f)	ako je primjenjivo, obavijestiti Revizorski sud, u okviru svojih ovlasti, o navodnoj neusklađenosti;

(g)	izdati preporuku da sve države članice i subjekti Unije provedu privremenu suspenziju protokâ podataka dotičnom subjektu Unije.

Za potrebe prvog podstavka točke (c) broj primatelja upozorenja primjereno se ograničava ako je to potrebno s obzirom na kibernetički sigurnosni rizik.

Upozorenja i preporuke izdani u skladu s prvim podstavkom upućuju se najvišoj rukovodećoj razini dotičnog subjekta Unije.

3. Ako je IICB donio mjere u skladu sa stavkom 2. prvim podstavkom točkama od (a) do (g), dotični subjekt Unije dostavlja pojedinosti o mjerama i djelovanjima poduzetima radi otklanjanja navodnih nedostataka koje je utvrdio IICB. Subjekt Unije dostavlja te pojedinosti u razumnom roku koji treba dogovoriti s IICB-om.

4. Ako IICB smatra da subjekt Unije ustrajno krši ovu Uredbu, što je izravna posljedica radnji ili propusta dužnosnika ili drugog službenika Unije, među ostalim na najvišoj rukovodećoj razini, IICB zahtijeva da dotični subjekt poduzme odgovarajuće mjere, uključujući stegovne prirode, u skladu s pravilima i postupcima utvrđenima u Pravilniku o osoblju i drugim primjenjivim pravilima i postupcima. U tu svrhu IICB prenosi potrebne informacije dotičnom subjektu Unije.

5. Ako subjekti Unije obavijeste da nisu u mogućnosti poštovati rokove utvrđene u članku 6. stavku 1. i članku 8. stavku 1., IICB može u opravdanim slučajevima odobriti njihovo produljenje, uzimajući u obzir veličinu subjekta Unije.

POGLAVLJE IV.

CERT-EU

Članak 13.

Misija i zadaće CERT-EU-a

1. Misija CERT-EU-a jest doprinositi sigurnosti neklasificiranog IKT okruženja subjekata Unije tako što im pruža savjete o kibernetičkoj sigurnosti, pomaže im u sprečavanju, otkrivanju i ublažavanju incidenata, postupanju s njima, odgovoru na njih i oporavku od njih te tako što preuzima ulogu njihova koordinacijskog čvorišta za razmjenu informacija o kibernetičkoj sigurnosti i za odgovor na incidente.

2. CERT-EU prikuplja informacije o kibernetičkim prijetnjama, ranjivostima i incidentima u neklasificiranoj IKT infrastrukturi te upravlja njima, analizira ih i razmjenjuje sa subjektima Unije. Koordinira odgovore na incidente na međuinstitucijskoj razini i razini subjekata Unije, među ostalim pružanjem ili koordinacijom pružanja specijalizirane operativne pomoći.

3. CERT-EU obavlja sljedeće zadaće kako bi pomagao subjektima Unije:

(a)	pruža im potporu u provedbi ove Uredbe i doprinosi koordinaciji provedbe ove Uredbe putem mjera navedenih u članku 14. stavku 1. ili putem ad hoc izvješća koja je zatražio IICB;

(b)	nudi standardne usluge CSIRT-ova za subjekte Unije putem paketa kibernetičkih sigurnosnih usluga opisanih u njegovu katalogu usluga („osnovne usluge”);

(c)	održava mrežu kolega i suradnika radi pružanja potpore uslugama, kako je navedeno u člancima 17. i 18.;

(d)	skreće pozornost IICB-a na sve probleme koji se odnose na provedbu ove Uredbe i provedbu smjernica, preporuka i pozivâ na djelovanje;

(e)	na temelju informacija iz stavka 2. doprinosi informiranosti o stanju kibernetičke sigurnosti situaciji u Uniji u bliskoj suradnji s ENISA-om;

(f)	koordinira upravljanje velikim incidentima;

(g)	u ime subjekata Unije djeluje kao ekvivalent koordinatora imenovanog za potrebe koordiniranog otkrivanja ranjivosti u skladu s člankom 12. stavkom 1. Direktive (EU) 2022/2555;

(h)	na zahtjev subjekta Unije osigurava proaktivno neinvazivno skeniranje javno dostupnih mrežnih i informacijskih sustava tog subjekta Unije.

Informacije iz prvog podstavka točke (e) dijele se s IICB-om, mrežom CSIRT-ova i Obavještajnim i situacijskim centrom Europske unije (EU INTCEN), ako je to primjenjivo i primjereno, te podložno odgovarajućim uvjetima povjerljivosti.

4. CERT-EU može prema potrebi, u skladu s člankom 17. ili 18., surađivati s relevantnim zajednicama u području kibernetičke sigurnosti u Uniji i njezinim državama članicama, među ostalim u sljedećim područjima:

(a)	pripravnost, koordinacija incidenata, razmjena informacija i odgovor na krize na tehničkoj razini u slučajevima povezanima sa subjektima Unije;

(b)	operativna suradnja u pogledu mreže CSIRT-ova, među ostalim u pogledu uzajamne pomoći;

(c)	saznanja o kibernetičkim prijetnjama, uključujući informiranost o stanju;

(d)	sve teme za koje je potrebna tehnička stručnost CERT-EU-a u području kibernetičke sigurnosti.

5. CERT-EU u okviru svojih nadležnosti sudjeluje u strukturiranoj suradnji s ENISA-om na izgradnji kapaciteta, operativnoj suradnji i dugoročnim strateškim analizama kibernetičkih prijetnji u skladu s Uredbom (EU) 2019/881. CERT-EU može surađivati i razmjenjivati informacije s Europolovim Centrom za kibernetički kriminalitet.

6. CERT-EU može pružati sljedeće usluge koje nisu opisane u njegovu katalogu usluga („usluge uz naknadu”):

(a)

usluge kojima se podupire kibernetička sigurnost IKT okruženja subjekata Unije, osim onih iz stavka 3., na temelju sporazumâ o razini usluga i ovisno o dostupnim resursima, osobito praćenje mreža širokog spektra, uključujući prvu liniju nadzora za vrlo ozbiljne kibernetičke prijetnje 24 sata dnevno sedam dana u tjednu;

(b)	usluge kojima se podupiru kibernetičke sigurnosne operacije ili kibernetički sigurnosni projekti subjekata Unije koje ne služe za zaštitu njihova IKT okruženja, na temelju pisanih sporazuma i uz prethodno odobrenje IICB-a;

(c)	na zahtjev, proaktivno skeniranje mrežnih i informacijskih sustava dotičnog subjekta Unije kako bi se otkrile ranjivosti koje bi mogle imati znatan učinak;

(d)	usluge kojima se podupire sigurnost IKT okruženja organizacija koje nisu subjekti Unije, a koje blisko surađuju sa subjektima Unije, na primjer zbog zadaća ili dužnosti koje su im dodijeljene na temelju prava Unije, na temelju pisanih sporazuma i uz prethodno odobrenje IICB-a.

Kad je riječ o prvom podstavku točki (d), CERT-EU može iznimno sklapati sporazume o razini usluga sa subjektima koji nisu subjekti Unije uz prethodno odobrenje IICB-a.

7. CERT-EU organizira vježbe u području kibernetičke sigurnosti i može sudjelovati u njima ili preporučiti sudjelovanje u postojećim vježbama, ako je to primjenjivo u bliskoj suradnji s ENISA-om, kad je to primjenjivo, kako bi se testirala razina kibernetičke sigurnosti subjekata Unije.

8. CERT-EU može pružiti pomoć subjektima Unije u pogledu incidenata u mrežnim i informacijskim sustavima u kojima se postupa s kvalificiranim podatcima EU-a ako dotični subjekti Unije to izričito zatraže u skladu sa svojim postupcima. Pružanjem pomoći CERT-EU-a na temelju ovog stavka ne dovode se u pitanje primjenjiva pravila o zaštiti klasificiranih podataka.

9. CERT-EU obavješćuje subjekte Unije o svojim postupcima i procesima za postupanje s incidentima.

10. CERT-EU s visokom razinom povjerljivosti i pouzdanosti putem odgovarajućih mehanizama suradnje i linija izvješćivanja doprinosi relevantnim i anonimiziranim informacijama o velikim incidentima i načinu na koji se postupalo s njima. Te se informacije unose u izvješće iz članka 10. stavka 14.

11. CERT-EU u suradnji s Europskim nadzornikom za zaštitu podataka podupire dotične subjekte Unije pri rješavanju incidenata koji za posljedicu imaju povrede osobnih podataka, ne dovodeći u pitanje nadležnosti i zadaće Europskog nadzornika za zaštitu podatak kao nadzornog tijela u skladu s Uredbom (EU) 2018/1725.

12. Ako to resorni odjeli subjekata Unije izričito zatraže, CERT-EU može pružiti tehnički savjet ili tehnička mišljenja o relevantnim pitanjima vezanima uz politike.

Članak 17.

Suradnja CERT-EU-a s partnerima iz država članica

1. CERT-EU bez nepotrebne odgode surađuje i razmjenjuje informacije s partnerima iz država članica, osobito s CSIRT-ovima imenovanima ili uspostavljenima na temelju članka 10. Direktive (EU) 2022/2555, ili, ako je to primjenjivo, s nadležnim tijelima i jedinstvenim kontaktnim točkama imenovanima ili uspostavljenima na temelju članka 8. te direktive, u pogledu incidenata, kibernetičkih prijetnji, ranjivosti, izbjegnutih incidenata, mogućih protumjera te najbolje prakse i o svim pitanjima važnima za poboljšanje zaštite IKT okruženja subjekata Unije, među ostalim putem mreže CSIRT-ova uspostavljene na temelju članka 15. Direktive (EU) 2022/2555. CERT-EU podupire Komisiju u okviru mreže EU-CyCLONe osnovane člankom 16. Direktive (EU) 2022/2555 pri koordiniranom upravljanju kibernetičkim incidentima velikih razmjera i kibernetičkim krizama.

2. Ako CERT-EU sazna za značajni incident do kojeg je došlo na državnom području pojedine države članice, o tome bez odgode obavješćuje svakog relevantnog partnera u toj državi članici, u skladu sa stavkom 1.

3. Pod uvjetom da su osobni podatci zaštićeni u skladu s primjenjivim pravom Unije o zaštiti podataka CERT-EU bez nepotrebne odgode razmjenjuje relevantne informacije specifične za određeni incident s partnerima iz država članica kako bi se olakšalo otkrivanje sličnih kibernetičkih prijetnji ili incidenata ili kako bi se dao doprinos analizi incidenta, bez odobrenja pogođenog subjekta Unije. CERT-EU smije razmjenjivati informacije specifične za određeni incident kojima se otkriva identitet mete incidenta samo u slučaju jedne od sljedećih situacija:

(a)	pogođeni subjekt Unije dao je suglasnost;

(b)	pogođeni subjekt Unije nije dao suglasnost u skladu s točkom (a), ali bi se otkrivanjem identiteta pogođenog subjekta Unije povećala vjerojatnost da bi se incidenti drugdje izbjegli ili da bi se ublažili njihovi učinci;

(c)	pogođeni subjekt Unije već je objavio da je bio pogođen incidentom.

Odluke o razmjeni informacija specifičnih za određeni incident kojima se otkriva identitet mete incidenta u skladu s prvim podstavkom točkom (b) potvrđuje voditelj CERT-EU-a. Prije donošenja takve odluke CERT-EU pisanim putem stupa u kontakt s pogođenim subjektom Unije i jasno objašnjava način na koji bi otkrivanje njegova identiteta pomoglo u izbjegavanju ili ublažavanju incidenata drugdje. Voditelj CERT-EU-a daje objašnjenje i izričito traži od subjekta Unije da se u utvrđenom roku izjasni daje li suglasnost. Voditelj CERT-EU-a također obavješćuje subjekt Unije da, s obzirom na dano objašnjenje, zadržava pravo na otkrivanje informacija čak i bez suglasnosti. Pogođeni subjekt Unije obavješćuje se prije otkrivanja informacija.

Članak 18.

Suradnja CERT-EU-a s ostalim partnerima

1. CERT-EU može s partnerima iz Unije koji nisu partneri iz članka 17., a koji podliježu zahtjevima Unije u pogledu kibernetičke sigurnosti, uključujući partnere iz određenih industrijskih sektora, surađivati u vezi s alatima i metodama, kao što su tehnike, taktike, postupci i najbolja praksa, te u vezi s kibernetičkim prijetnjama i ranjivostima. Za svu suradnju s takvim partnerima CERT-EU mora tražiti prethodno odobrenje IICB-a na pojedinačnoj osnovi. Ako CERT-EU uspostavi suradnju s takvim partnerima, obavješćuje sve relevantne partnere iz države članice iz članka 17. stavka 1. u državi članici u kojoj se nalazi partner. Ako je to primjenjivo i primjereno, takva suradnja i njezini uvjeti, među ostalim u pogledu kibernetičke sigurnosti, zaštite podataka i postupanja s informacijama, utvrđuju se u posebnim aranžmanima o povjerljivosti, kao što su ugovori ili administrativni dogovori. Aranžmani o povjerljivosti podataka ne zahtijevaju prethodno odobrenje IICB-a, ali se o tome obavješćuje predsjednika IICB-a. U slučaju hitne i neposredne potrebe za razmjenom informacija o kibernetičkoj sigurnosti u interesu subjekata Unije ili druge strane, CERT-EU može razmijeniti takve informacije sa subjektom čija su posebna stručnost, kapacitet i stručnost opravdano potrebni za pružanje pomoći u pogledu takve hitne i neposredne potrebe, čak i ako CERT-EU nije uspostavio aranžman o povjerljivosti s tim subjektom. U takvim slučajevima CERT-EU odmah obavješćuje predsjednika IICB-a i izvješćuje IICB podnošenjem redovitih izvješća ili na sastancima.

2. CERT-EU može surađivati sa suradnicima, kao što su komercijalni subjekti, uključujući subjekte iz određenih industrijskih sektora, međunarodne organizacije, nacionalni subjekti izvan Unije ili pojedinačni stručnjaci, kako bi prikupio informacije o općim i specifičnim kibernetičkim prijetnjama, izbjegnutim incidentima, ranjivostima i mogućim protumjerama. Za opsežniju suradnju s tim suradnicima CERT-EU mora tražiti prethodno odobrenje IICB-a na pojedinačnoj osnovi.

3. CERT-EU može, uz suglasnost subjekta Unije pogođenog incidentom i pod uvjetom da postoji aranžman ili ugovor o povjerljivosti podataka s relevantnim partnerom ili suradnikom, pružiti informacije o određenom incidentu drugim partnerima ili suradnicima iz stavaka 1. i 2. isključivo u svrhu doprinosa njegovoj analizi.

POGLAVLJE V.

OBVEZE SURADNJE I IZVJESCIVANJA

Članak 20.

Aranžmani za razmjenu informacija o kibernetičkoj sigurnosti

1. Subjekti Unije mogu CERT-EU-u dobrovoljno dostaviti informacije o incidentima, kibernetičkim prijetnjama, izbjegnutim incidentima i ranjivostima koji na njih utječu. CERT-EU osigurava dostupnost učinkovitih sredstava komunikacije s visokom razinom sljedivosti, povjerljivosti i pouzdanosti u svrhu olakšavanja razmjene informacija sa subjektima Unije. Pri obradi obavijesti CERT-EU može dati prednost obradi obveznih obavijesti pred obradom obavijesti na dobrovoljnoj osnovi. Ne dovodeći u pitanje članak 12., subjektu Unije koji je obavijest podnio dobrovoljno ne smiju se zbog tog obavješćivanja nametati dodatne obveze, kojima ne bi podlijegao da nije podnio tu obavijest.

2. Kako bi obavio svoju misiju i zadaće koje su mu dodijeljene u skladu s člankom 13., CERT-EU može od subjekata Unije zatražiti da mu iz svojih evidencija IKT sustava dostave informacije, uključujući informacije koje se odnose na kibernetičke prijetnje, izbjegnute incidente, ranjivosti, pokazatelje ugroženosti, kibernetička sigurnosna upozorenja i preporuke o konfiguraciji kibernetičkih sigurnosnih alata za otkrivanje incidenata. Subjekt Unije kojem je podnesen zahtjev bez nepotrebne odgode dostavlja tražene informacije i sva njihova naknadna ažuriranja.

3. CERT-EU može razmjenjivati sa subjektima Unije informacije specifične za određeni incident kojima se otkriva identitet subjekta Unije pogođenog incidentom pod uvjetom da subjekt Unije pogođen incidentom za to dade suglasnost. Ako subjekt Unije uskrati suglasnost, on dostavlja CERT-EU-u razloge kojima potkrepljuje tu odluku.

4. Subjekti Unije na zahtjev razmjenjuju informacije s Europskim parlamentom i Vijećem o dovršetku planova za kibernetičku sigurnost.

5. IICB ili CERT-EU, ovisno o slučaju, dostavljaju smjernice, preporuke i pozive na djelovanje Europskom parlamentu i Vijeću na njihov zahtjev.

6. Obveze razmjene informacija utvrđene u ovom članku ne odnose se na:

(a)	klasificirane podatke EU-a,

(b)	informacije čija je daljnja distribucija isključena vidljivom oznakom, osim ako je njihova razmjena s CERT-EU-om izričito dopuštena.

Članak 21.

Obveze izvješćivanja

1. Incident se smatra značajnim:

(a)	ako je uzrokovao ili može uzrokovati ozbiljne poremećaje u funkcioniranju dotičnog subjekta Unije ili financijski gubitak dotičnom subjektu Unije;

(b)	ako je utjecao ili može utjecati na druge fizičke ili pravne osobe uzrokovanjem znatne materijalne ili nematerijalne štete.

2. Subjekti Unije podnose CERT-EU-u:

(a)

bez nepotrebne odgode, a u svakom slučaju u roku od 24 sata od kad su saznali za značajan incident, rano upozorenje u kojem se, ako je to primjenjivo, navodi da se sumnja da je značajan incident uzrokovan nezakonitim ili zlonamjernim djelovanjem te da bi mogao imati učinak na ostale subjekte ili prekogranični učinak;

(b)

bez nepotrebne odgode, a u svakom slučaju u roku od 72 sata od kad su saznali za značajan incident, obavijest o incidentu kojom se, ako je to primjenjivo, ažuriraju informacije iz točke (a) i navode početna procjena značajnog incidenta, kao i njegove ozbiljnosti i njegova učinka te, ako su dostupni, pokazatelji ugroženosti;

(c)	na zahtjev CERT-EU-a, privremeno izvješće o relevantnim ažuriranjima statusa;

(d)

završno izvješće najkasnije mjesec dana nakon podnošenja obavijesti o incidentu iz točke (b), koje uključuje sljedeće:

i.	detaljan opis incidenta, uključujući njegovu ozbiljnost i učinak;

ii.	vrstu prijetnje ili temeljnog uzroka koji je vjerojatno prouzročio incident;

iii.	primijenjene mjere ublažavanja i mjere ublažavanja koje su u tijeku;

iv.	ako je to primjenjivo, prekogranični učinak incidenta ili njegov učinak na ostale subjekte;

(e)	u slučaju incidenta koji je u tijeku u trenutku podnošenja završnog izvješća iz točke (d), izvješće o napretku u tom trenutku i završno izvješće u roku od mjesec dana od postupanja u vezi s incidentom.

3. Subjekt Unije bez nepotrebne odgode, a u svakom slučaju u roku od 24 sata od kad sazna za značajni incident, obavješćuje sve relevantne partnere iz država članica iz članka 17. stavka 1. u državi članici u kojoj se nalazi o tome da se dogodio značajni incident.

4. Subjekti Unije obavješćuju, među ostalim, o svim informacijama koje CERT-EU-u omogućuju da utvrdi učinak incidenta na ostale subjekte, učinak na državu članicu domaćina ili prekogranični učinak nakon značajnog incidenta. Ne dovodeći u pitanje članak 12., subjekt Unije koji obavješćuje ne podliježe samo zbog toga povećanoj odgovornosti.

5. Ako je to primjenjivo, subjekti Unije bez nepotrebne odgode obavješćuju korisnike pogođenih mrežnih i informacijskih sustava ili drugih komponenti IKT okruženja na koje bi mogao utjecati značajan incident ili ozbiljna kibernetička prijetnja ili koji, prema potrebi, moraju poduzeti mjere ublažavanja, o svim mjerama ili postupcima koji se mogu poduzeti kao odgovor na taj incident ili tu prijetnju. Subjekti Unije prema potrebi obavješćuju te korisnike o samoj ozbiljnoj kibernetičkoj prijetnji.

6. Ako značajan incident ili ozbiljna kibernetička prijetnja utječe na mrežni i informacijski sustav ili komponentu IKT okruženja subjekta Unije za koje je poznato da su mu mrežni i informacijski sustav ili komponenta IKT okruženja povezani s IKT okruženjem drugog subjekta Unije, CERT-EU izdaje odgovarajuće kibernetičko sigurnosno upozorenje.

7. Subjekti Unije na zahtjev CERT-EU-a i bez nepotrebne odgode dostavljaju CERT-EU-u digitalne informacije nastale upotrebom elektroničkih uređaja u dotičnim incidentima. CERT-EU može dodatno pojasniti koje su mu vrste informacija potrebne za informiranost o stanju i odgovor na incident.

8. CERT-EU svaka tri mjeseca IICB-u, ENISA-i, EU INTCEN-u i mreži CSIRT-ova podnosi sažeto izvješće koje uključuje anonimizirane i agregirane podatke o značajnim incidentima, incidentima, kibernetičkim prijetnjama, izbjegnutim incidentima i ranjivostima u skladu s člankom 20. i značajnim incidentima prijavljenima u skladu sa stavkom 2. ovog članka. Sažeto izvješće doprinos je dvogodišnjem izvješću o stanju kibernetičke sigurnosti u Uniji donesenom na temelju članka 18. Direktive (EU) 2022/2555.

9. IICB do 8. srpnja 2024. izdaje smjernice ili preporuke kojima se pobliže određuju aranžmani te oblik i sadržaj izvješćivanja u skladu s ovim člankom. IICB pri pripremi takvih smjernica ili preporuka uzima u obzir sve provedbene akte donesene na temelju članka 23. stavka 11. Direktive (EU) 2022/2555 kojima se utvrđuju vrsta informacija, oblik i postupak izvješćivanja. CERT-EU prosljeđuje odgovarajuće tehničke pojedinosti kako bi se subjektima Unije omogućilo poduzimanje proaktivnih mjera za otkrivanje, odgovor na incidente ili ublažavanje njihovih učinaka.

10. Obveze izvješćivanja utvrđene u ovom članku ne odnose se na:

(a)	klasificirane podatke EU-a;

(b)	informacije čija je daljnja distribucija isključena vidljivom oznakom, osim ako je njihova razmjena s CERT-EU-om izričito dopuštena.

whereas

keyboard_tab Cyber Resilience Act 2023/2841 HR

Cyber Resilience Act 2023/2841 HR