keyboard_tab Cyber Resilience Act 2023/2841 HR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Članak 6. Okvir za upravljanje kibernetičkim sigurnosnim rizicima, opće upravljanje njima i njihovu kontrolu
- 1 Članak 12. Usklađenost
- 1 Članak 17. Suradnja CERT-EU-a s partnerima iz država članica
- 1 Članak 23. Upravljanje velikim incidentima
POGLAVLJE I.
OPĆE ODREDBE
POGLAVLJE II.
MJERE ZA VISOKU ZAJEDNIČKU RAZINU KIBERNETIČKE SIGURNOSTI
POGLAVLJE III.
MEĐUINSTITUCIJSKI ODBOR ZA KIBERNETIČKU SIGURNOST
POGLAVLJE IV.
CERT-EU
POGLAVLJE V.
OBVEZE SURADNJE I IZVJESCIVANJA
POGLAVLJE VI.
ZAVRSNE ODREDBE
- unije 57
- subjekt 19
- subjekta 17
- skladu 11
- sigurnost 11
- iicb 10
- temelju 10
- kibernetičku 10
- uredbe 10
- kibernetičkim 10
- upravljanje 9
- može 8
- cert-eu 8
- razini 7
- subjektu 7
- okvir 7
- članka 7
- incidenata 7
- incidentima 7
- cert-eu-a 7
- koji 7
- dotičnom 6
- među 6
- koje 6
- informacija 6
- incident 5
- upravljanja 5
- informacije 5
- dotičnog 5
- roku 5
- velikim 5
- razina 5
- provedbu 5
- kibernetičke 5
- ako 5
- direktive 5
- krizama 5
- dotični 5
- kako 5
- obavješćuje 4
- velikih 4
- slučaju 4
- preporuke 4
- službenika 4
- smjernice 4
- odgode 4
- dovodeći 4
- pitanje 4
- subjekata 4
- pogođeni 4
Članak 6.
Okvir za upravljanje kibernetičkim sigurnosnim rizicima, opće upravljanje njima i njihovu kontrolu
1. Do 8. travnja 2025. svaki subjekt Unije nakon provedbe početnog preispitivanja stanja kibernetičke sigurnosti, kao što je revizija, uspostavlja unutarnji okvir za upravljanje kibernetičkim sigurnosnim rizicima, opće upravljanje njima i njihovu kontrolu („Okvir”). Uspostavu Okvira nadzire i za nju je odgovorna najviša rukovodeća razina subjekta Unije.
2. Okvirom se obuhvaća cjelokupno neklasificirano IKT okruženje dotičnog subjekta Unije, uključujući lokalno IKT okruženje, lokalnu operativnu tehnološku mrežu, eksternalizirana sredstva i usluge računalstva u oblaku ili one kojima treće strane pružaju usluge smještaja na poslužitelju, mobilne uređaje, korporacijske mreže, poslovne mreže koje nisu povezane s internetom i sve uređaje povezane s tim okruženjima („IKT okruženje”). Okvir se temelji na pristupu kojim se obuhvaćaju sve opasnosti.
3. Okvirom se osigurava visoka razina kibernetičke sigurnosti. Okvirom se utvrđuju interne politike kibernetičke sigurnosti, među ostalim ciljevi i prioriteti, za sigurnost mrežnih i informacijskih sustava te uloge i odgovornosti osoblja subjekta Unije čija je zadaća osigurati djelotvornu provedbu ove Uredbe. Okvir također uključuje mehanizme za mjerenje djelotvornosti provedbe.
4. Okvir se, s obzirom na promjenjive kibernetičke sigurnosne rizike, preispituje redovito, a najmanje svake četiri godine. Prema potrebi i na zahtjev Međuinstitucijskog odbora za kibernetičku sigurnost osnovanog člankom 10., Okvir subjekta Unije može se ažurirati na temelju smjernice CERT-EU-a o utvrđenim incidentima ili mogućim nedostatcima uočenima u provedbi ove Uredbe.
5. Najviša rukovodeća razina svakog subjekta Unije odgovorna je za provedbu ove Uredbe i nadgleda usklađenost njegove organizacije s obvezama povezanima s Okvirom.
6. Prema potrebi i ne dovodeći u pitanje svoju odgovornost za provedbu ove Uredbe, najviša rukovodeća razina svakog subjekta Unije može delegirati posebne obveze na temelju ove Uredbe višim dužnosnicima u smislu članka 29. stavka 2. Pravilnika o osoblju ili drugim dužnosnicima na jednakoj razini unutar dotičnog subjekta Unije. Neovisno o takvom delegiranju, najviša rukovodeća razina može se smatrati odgovornom za kršenje ove Uredbe koje je počinio dotični subjekt Unije.
7. Svaki subjekt Unije dužan je imati uspostavljene učinkovite mehanizme kojima se osigurava da se odgovarajući postotak proračuna za IKT troši na kibernetičku sigurnost. Pri utvrđivanju tog postotka uzima se u obzir Okvir.
8. Svaki subjekt Unije imenuje lokalnog službenika za kibernetičku sigurnost ili osobu na jednakovrijednoj funkciji koji odnosno koja djeluje kao njegova jedinstvena kontaktna točka za sve aspekte kibernetičke sigurnosti. Lokalni službenik za kibernetičku sigurnost olakšava provedbu ove Uredbe i najvišu rukovodeću razinu redovito izravno izvješćuje o stanju provedbe. Ne dovodeći u pitanje činjenicu da je lokalni službenik za kibernetičku sigurnost jedinstvena kontaktna točka u svakom subjektu Unije, subjekt Unije može delegirati CERT-EU-u određene zadaće lokalnog službenika za kibernetičku sigurnost povezane s provedbom ove Uredbe na temelju sporazuma o razini usluga sklopljenog između tog subjekta Unije i CERT-EU-a ili te zadaće može dijeliti nekoliko subjekata Unije. Ako su te zadaće delegirane CERT-EU-u, Međuinstitucijski odbor za kibernetičku sigurnost osnovan člankom 10. odlučuje hoće li pružanje te usluge biti dio osnovnih usluga CERT-EU-a, uzimajući u obzir ljudske i financijske resurse dotičnog subjekta Unije. Svaki subjekt Unije bez nepotrebne odgode obavješćuje CERT-EU o imenovanom lokalnom službeniku za kibernetičku sigurnost i eventualnim naknadnim promjenama u vezi s time.
CERT-EU uspostavlja i ažurira popis imenovanih lokalnih službenika za kibernetičku sigurnost.
9. Viši dužnosnici u smislu članka 29. stavka 2. Pravilnika o osoblju ili drugi dužnosnici na jednakoj razini svakog subjekta Unije te svi relevantni članovi osoblja zaduženi za provedbu mjera upravljanja kibernetičkim sigurnosnim rizicima i ispunjavanje obveza utvrđenih u ovoj Uredbi redovito pohađaju posebna osposobljavanja kako bi stekli dovoljno znanja i vještina za razumijevanje i procjenu kibernetičkih sigurnosnih rizika i prakse upravljanja kibernetičkom sigurnošću te njihova utjecaja na poslovanje subjekta Unije.
Članak 12.
Usklađenost
1. IICB u skladu člankom 10. stavkom 2. i člankom 11. djelotvorno prati kako subjekti Unije provode ovu Uredbu i donesene smjernice, preporuke i pozive na djelovanje. IICB može od subjekata Unije zatražiti informacije ili dokumentaciju koji su potrebni u tu svrhu. Za potrebe donošenja mjera usklađivanja na temelju ovog članka, ako je dotični subjekt Unije izravno zastupljen u IICB-u, taj subjekt Unije nema glasačka prava.
2. Ako IICB utvrdi da subjekt Unije ne provodi djelotvorno ovu Uredbu ili smjernice, preporuke ili pozive na djelovanje izdane na temelju ove Uredbe, IICB može, ne dovodeći u pitanje interne postupke dotičnog subjekta Unije i nakon što dotičnom subjektu Unije omogući da se očituje:
| (a) | dostaviti obrazloženo mišljenje dotičnom subjektu Unije u kojem navodi uočene nedostatke u provedbi ove Uredbe; |
| (b) | nakon savjetovanja s CERT-EU-om dati smjernice dotičnom subjektu Unije kako bi osigurao da se njegov Okvir, njegove mjere upravljanja kibernetičkim sigurnosnim rizicima, njegov plan za kibernetičku sigurnost i njegovo izvješćivanje usklade s ovom Uredbom u utvrđenom roku; |
| (c) | izdati upozorenje radi rješavanja utvrđenih nedostataka u utvrđenom roku, uključujući preporuke za izmjenu mjera koje je dotični subjekt Unije donio u skladu s ovom Uredbom; |
| (d) | izdati obrazloženu obavijest dotičnom subjektu Unije u slučaju da nedostatci utvrđeni u upozorenju izdanom u skladu s točkom (c) nisu riješeni u dovoljnoj mjeri u utvrđenom roku; |
| (e) | izdati:
|
| (f) | ako je primjenjivo, obavijestiti Revizorski sud, u okviru svojih ovlasti, o navodnoj neusklađenosti; |
| (g) | izdati preporuku da sve države članice i subjekti Unije provedu privremenu suspenziju protokâ podataka dotičnom subjektu Unije. |
Za potrebe prvog podstavka točke (c) broj primatelja upozorenja primjereno se ograničava ako je to potrebno s obzirom na kibernetički sigurnosni rizik.
Upozorenja i preporuke izdani u skladu s prvim podstavkom upućuju se najvišoj rukovodećoj razini dotičnog subjekta Unije.
3. Ako je IICB donio mjere u skladu sa stavkom 2. prvim podstavkom točkama od (a) do (g), dotični subjekt Unije dostavlja pojedinosti o mjerama i djelovanjima poduzetima radi otklanjanja navodnih nedostataka koje je utvrdio IICB. Subjekt Unije dostavlja te pojedinosti u razumnom roku koji treba dogovoriti s IICB-om.
4. Ako IICB smatra da subjekt Unije ustrajno krši ovu Uredbu, što je izravna posljedica radnji ili propusta dužnosnika ili drugog službenika Unije, među ostalim na najvišoj rukovodećoj razini, IICB zahtijeva da dotični subjekt poduzme odgovarajuće mjere, uključujući stegovne prirode, u skladu s pravilima i postupcima utvrđenima u Pravilniku o osoblju i drugim primjenjivim pravilima i postupcima. U tu svrhu IICB prenosi potrebne informacije dotičnom subjektu Unije.
5. Ako subjekti Unije obavijeste da nisu u mogućnosti poštovati rokove utvrđene u članku 6. stavku 1. i članku 8. stavku 1., IICB može u opravdanim slučajevima odobriti njihovo produljenje, uzimajući u obzir veličinu subjekta Unije.
POGLAVLJE IV.
CERT-EU
Članak 17.
Suradnja CERT-EU-a s partnerima iz država članica
1. CERT-EU bez nepotrebne odgode surađuje i razmjenjuje informacije s partnerima iz država članica, osobito s CSIRT-ovima imenovanima ili uspostavljenima na temelju članka 10. Direktive (EU) 2022/2555, ili, ako je to primjenjivo, s nadležnim tijelima i jedinstvenim kontaktnim točkama imenovanima ili uspostavljenima na temelju članka 8. te direktive, u pogledu incidenata, kibernetičkih prijetnji, ranjivosti, izbjegnutih incidenata, mogućih protumjera te najbolje prakse i o svim pitanjima važnima za poboljšanje zaštite IKT okruženja subjekata Unije, među ostalim putem mreže CSIRT-ova uspostavljene na temelju članka 15. Direktive (EU) 2022/2555. CERT-EU podupire Komisiju u okviru mreže EU-CyCLONe osnovane člankom 16. Direktive (EU) 2022/2555 pri koordiniranom upravljanju kibernetičkim incidentima velikih razmjera i kibernetičkim krizama.
2. Ako CERT-EU sazna za značajni incident do kojeg je došlo na državnom području pojedine države članice, o tome bez odgode obavješćuje svakog relevantnog partnera u toj državi članici, u skladu sa stavkom 1.
3. Pod uvjetom da su osobni podatci zaštićeni u skladu s primjenjivim pravom Unije o zaštiti podataka CERT-EU bez nepotrebne odgode razmjenjuje relevantne informacije specifične za određeni incident s partnerima iz država članica kako bi se olakšalo otkrivanje sličnih kibernetičkih prijetnji ili incidenata ili kako bi se dao doprinos analizi incidenta, bez odobrenja pogođenog subjekta Unije. CERT-EU smije razmjenjivati informacije specifične za određeni incident kojima se otkriva identitet mete incidenta samo u slučaju jedne od sljedećih situacija:
| (a) | pogođeni subjekt Unije dao je suglasnost; |
| (b) | pogođeni subjekt Unije nije dao suglasnost u skladu s točkom (a), ali bi se otkrivanjem identiteta pogođenog subjekta Unije povećala vjerojatnost da bi se incidenti drugdje izbjegli ili da bi se ublažili njihovi učinci; |
| (c) | pogođeni subjekt Unije već je objavio da je bio pogođen incidentom. |
Odluke o razmjeni informacija specifičnih za određeni incident kojima se otkriva identitet mete incidenta u skladu s prvim podstavkom točkom (b) potvrđuje voditelj CERT-EU-a. Prije donošenja takve odluke CERT-EU pisanim putem stupa u kontakt s pogođenim subjektom Unije i jasno objašnjava način na koji bi otkrivanje njegova identiteta pomoglo u izbjegavanju ili ublažavanju incidenata drugdje. Voditelj CERT-EU-a daje objašnjenje i izričito traži od subjekta Unije da se u utvrđenom roku izjasni daje li suglasnost. Voditelj CERT-EU-a također obavješćuje subjekt Unije da, s obzirom na dano objašnjenje, zadržava pravo na otkrivanje informacija čak i bez suglasnosti. Pogođeni subjekt Unije obavješćuje se prije otkrivanja informacija.
Članak 23.
Upravljanje velikim incidentima
1. Kako bi se na operativnoj razini pružila podrška koordiniranom upravljanju velikim incidentima koji utječu na subjekte Unije i doprinijelo redovitoj razmjeni relevantnih informacija među subjektima Unije i s državama članicama, IICB u skladu s člankom 11. točkom (q) uspostavlja plan upravljanja kibernetičkim krizama na temelju aktivnosti iz članka 22. stavka 2., u bliskoj suradnji s CERT-EU-om i ENISA-om. Plan za upravljanje kibernetičkim krizama sadržava barem sljedeće elemente:
| (a) | aranžmane koji se odnose na koordinaciju i protok informacija među subjektima Unije za upravljanje velikim incidentima na operativnoj razini; |
| (b) | zajedničke standardne operativne postupke; |
| (c) | zajedničku taksonomiju ozbiljnosti velikih incidenata i pokretačkih točaka krize; |
| (d) | redovite vježbe; |
| (e) | sigurne komunikacijske kanale koje treba upotrebljavati. |
2. Predstavnik Komisije u IICB-u, podložno planu upravljanja kibernetičkim krizama uspostavljenom na temelju stavka 1. ovog članka i ne dovodeći u pitanje članak 16. stavak 2. prvi podstavak Direktive (EU) 2022/2555, kontaktna je točka za razmjenu relevantnih informacija o velikim incidentima s mrežom EU-CyCLONe.
3. CERT-EU koordinira upravljanje velikim incidentima među subjektima Unije. On vodi evidenciju dostupnog tehničkog stručnog znanja koje bi bilo potrebno za odgovor na incident u slučaju velikih incidenata i pomaže IICB-u u koordinaciji planova za upravljanje kibernetičkim krizama subjekata Unije iz članka 9. stavka 2. u slučaju velikih incidenata.
4. Subjekti Unije doprinose evidentiranju tehničkog stručnog znanja dostavljanjem popisa stručnjaka dostupnih u njihovim organizacijama koji se ažurira jedanput godišnje, a sadržava pojedinosti o specifičnim tehničkim vještinama stručnjaka.
POGLAVLJE VI.
ZAVRSNE ODREDBE
whereas