keyboard_tab Cyber Resilience Act 2023/2841 HR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 12 Članak 3. Definicije
- 1 Članak 13. Misija i zadaće CERT-EU-a
- 1 Članak 16. Financijska pitanja i osoblje
POGLAVLJE I.
OPĆE ODREDBE
POGLAVLJE II.
MJERE ZA VISOKU ZAJEDNIČKU RAZINU KIBERNETIČKE SIGURNOSTI
POGLAVLJE III.
MEĐUINSTITUCIJSKI ODBOR ZA KIBERNETIČKU SIGURNOST
POGLAVLJE IV.
CERT-EU
POGLAVLJE V.
OBVEZE SURADNJE I IZVJESCIVANJA
POGLAVLJE VI.
ZAVRSNE ODREDBE
- unije 34
- kako 19
- znači 15
- eu / 15
- članku 13
- direktive 11
- cert-eu 11
- usluga 10
- koji 10
- cert-eu-a 10
- koje 10
- skladu 9
- razini 8
- točki 8
- sigurnosti 8
- kibernetičke 7
- subjektima 7
- može 7
- uredbe 7
- temelju 7
- subjekta 7
- subjekata 7
- cert-eu 6
- usluge 6
- definirana 6
- incident 5
- suradnji 5
- komisije 5
- iicb-a 5
- kibernetička 5
- kojima 5
- točki 5
- definiran 5
- subjekti 5
- sigurnost 4
- putem 4
- informacijskih 4
- mrežnih 4
- incidenata 4
- incidentima 4
- pogledu 4
- okruženja 4
- području 4
- informacije 4
- subjekte 4
- pruža 4
- sigurnosni 4
- njima 4
- podataka 3
- uključujući 3
Članak 3.
Definicije
Za potrebe ove Uredbe primjenjuju se sljedeće definicije:
| 1. | „subjekti Unije” znači institucije, tijela, uredi i agencije Unije koji su osnovani Ugovorom o Europskoj uniji, Ugovorom o funkcioniranju Europske unije (TFEU) ili Ugovorom o osnivanju Europske zajednice za atomsku energiju ili na temelju tih ugovora; |
| 2. | „mrežni i informacijski sustav” znači mrežni i informacijski sustav kako je definiran u članku 6. točki 1. Direktive (EU) 2022/2555; |
| 3. | „sigurnost mrežnih i informacijskih sustava” znači sigurnost mrežnih i informacijskih sustava kako je definirana u članku 6. točki 2. Direktive (EU) 2022/2555; |
| 4. | „kibernetička sigurnost” znači kibernetička sigurnost kako je definirana u članku 2. točki 1. Uredbe (EU) 2019/881; |
| 5. | „najviša rukovodeća razina” znači rukovoditelj, rukovodeće tijelo ili koordinacijsko i nadzorno tijelo koji su odgovorni za funkcioniranje subjekta Unije, na najvišoj upravnoj razini, s mandatom za donošenje ili odobravanje odluka u skladu s upravljačkim aranžmanima na visokoj razini tog subjekta Unije, ne dovodeći u pitanje formalne odgovornosti drugih rukovodećih razina u pogledu usklađenosti i upravljanja kibernetičkim sigurnosnim rizikom u njihovim područjima odgovornosti; |
| 6. | „izbjegnuti incident” znači izbjegnuti incident kako je definiran u članku 6. točki 5. Direktive (EU) 2022/2555; |
| 7. | „incident” znači incident kako je definiran u članku 6. točki 6. Direktive (EU) 2022/2555; |
| 8. | „veliki incident” znači svaki incident koji uzrokuje razinu poremećaja koja premašuje sposobnost subjekta Unije i CERT-EU-a da na njega odgovore ili koji ima znatan učinak na najmanje dva subjekta Unije; |
| 9. | „kibernetički sigurnosni incident velikih razmjera” znači kibernetički sigurnosni incident velikih razmjera kako je definiran u članku 6. točki 7. Direktive (EU) 2022/2555; |
| 10. | „postupanje s incidentom” znači postupanje s incidentom kako je definirano u članku 6. točki 8. Direktive (EU) 2022/2555; |
| 11. | „kibernetička prijetnja” znači kibernetička prijetnja kako je definirana u članku 2. točki 8. Uredbe (EU) 2019/881; |
| 12. | „ozbiljna kibernetička prijetnja” znači ozbiljna kibernetička prijetnja kako je definirana u članku 6. točki 11. Direktive (EU) 2022/2555; |
| 13. | „ranjivost” znači ranjivost kako je definirana u članku 6. točki 15. Direktive (EU) 2022/2555; |
| 14. | „kibernetički sigurnosni rizik” znači rizik kako je definiran u članku 6. točki 9. Direktive (EU) 2022/2555; |
| 15. | „usluga računalstva u oblaku” znači usluga računalstva u oblaku kako je definirana u članku 6. točki 30. Direktive (EU) 2022/2555. |
Članak 13.
Misija i zadaće CERT-EU-a
1. Misija CERT-EU-a jest doprinositi sigurnosti neklasificiranog IKT okruženja subjekata Unije tako što im pruža savjete o kibernetičkoj sigurnosti, pomaže im u sprečavanju, otkrivanju i ublažavanju incidenata, postupanju s njima, odgovoru na njih i oporavku od njih te tako što preuzima ulogu njihova koordinacijskog čvorišta za razmjenu informacija o kibernetičkoj sigurnosti i za odgovor na incidente.
2. CERT-EU prikuplja informacije o kibernetičkim prijetnjama, ranjivostima i incidentima u neklasificiranoj IKT infrastrukturi te upravlja njima, analizira ih i razmjenjuje sa subjektima Unije. Koordinira odgovore na incidente na međuinstitucijskoj razini i razini subjekata Unije, među ostalim pružanjem ili koordinacijom pružanja specijalizirane operativne pomoći.
3. CERT-EU obavlja sljedeće zadaće kako bi pomagao subjektima Unije:
| (a) | pruža im potporu u provedbi ove Uredbe i doprinosi koordinaciji provedbe ove Uredbe putem mjera navedenih u članku 14. stavku 1. ili putem ad hoc izvješća koja je zatražio IICB; |
| (b) | nudi standardne usluge CSIRT-ova za subjekte Unije putem paketa kibernetičkih sigurnosnih usluga opisanih u njegovu katalogu usluga („osnovne usluge”); |
| (c) | održava mrežu kolega i suradnika radi pružanja potpore uslugama, kako je navedeno u člancima 17. i 18.; |
| (d) | skreće pozornost IICB-a na sve probleme koji se odnose na provedbu ove Uredbe i provedbu smjernica, preporuka i pozivâ na djelovanje; |
| (e) | na temelju informacija iz stavka 2. doprinosi informiranosti o stanju kibernetičke sigurnosti situaciji u Uniji u bliskoj suradnji s ENISA-om; |
| (f) | koordinira upravljanje velikim incidentima; |
| (g) | u ime subjekata Unije djeluje kao ekvivalent koordinatora imenovanog za potrebe koordiniranog otkrivanja ranjivosti u skladu s člankom 12. stavkom 1. Direktive (EU) 2022/2555; |
| (h) | na zahtjev subjekta Unije osigurava proaktivno neinvazivno skeniranje javno dostupnih mrežnih i informacijskih sustava tog subjekta Unije. |
Informacije iz prvog podstavka točke (e) dijele se s IICB-om, mrežom CSIRT-ova i Obavještajnim i situacijskim centrom Europske unije (EU INTCEN), ako je to primjenjivo i primjereno, te podložno odgovarajućim uvjetima povjerljivosti.
4. CERT-EU može prema potrebi, u skladu s člankom 17. ili 18., surađivati s relevantnim zajednicama u području kibernetičke sigurnosti u Uniji i njezinim državama članicama, među ostalim u sljedećim područjima:
| (a) | pripravnost, koordinacija incidenata, razmjena informacija i odgovor na krize na tehničkoj razini u slučajevima povezanima sa subjektima Unije; |
| (b) | operativna suradnja u pogledu mreže CSIRT-ova, među ostalim u pogledu uzajamne pomoći; |
| (c) | saznanja o kibernetičkim prijetnjama, uključujući informiranost o stanju; |
| (d) | sve teme za koje je potrebna tehnička stručnost CERT-EU-a u području kibernetičke sigurnosti. |
5. CERT-EU u okviru svojih nadležnosti sudjeluje u strukturiranoj suradnji s ENISA-om na izgradnji kapaciteta, operativnoj suradnji i dugoročnim strateškim analizama kibernetičkih prijetnji u skladu s Uredbom (EU) 2019/881. CERT-EU može surađivati i razmjenjivati informacije s Europolovim Centrom za kibernetički kriminalitet.
6. CERT-EU može pružati sljedeće usluge koje nisu opisane u njegovu katalogu usluga („usluge uz naknadu”):
| (a) | usluge kojima se podupire kibernetička sigurnost IKT okruženja subjekata Unije, osim onih iz stavka 3., na temelju sporazumâ o razini usluga i ovisno o dostupnim resursima, osobito praćenje mreža širokog spektra, uključujući prvu liniju nadzora za vrlo ozbiljne kibernetičke prijetnje 24 sata dnevno sedam dana u tjednu; |
| (b) | usluge kojima se podupiru kibernetičke sigurnosne operacije ili kibernetički sigurnosni projekti subjekata Unije koje ne služe za zaštitu njihova IKT okruženja, na temelju pisanih sporazuma i uz prethodno odobrenje IICB-a; |
| (c) | na zahtjev, proaktivno skeniranje mrežnih i informacijskih sustava dotičnog subjekta Unije kako bi se otkrile ranjivosti koje bi mogle imati znatan učinak; |
| (d) | usluge kojima se podupire sigurnost IKT okruženja organizacija koje nisu subjekti Unije, a koje blisko surađuju sa subjektima Unije, na primjer zbog zadaća ili dužnosti koje su im dodijeljene na temelju prava Unije, na temelju pisanih sporazuma i uz prethodno odobrenje IICB-a. |
Kad je riječ o prvom podstavku točki (d), CERT-EU može iznimno sklapati sporazume o razini usluga sa subjektima koji nisu subjekti Unije uz prethodno odobrenje IICB-a.
7. CERT-EU organizira vježbe u području kibernetičke sigurnosti i može sudjelovati u njima ili preporučiti sudjelovanje u postojećim vježbama, ako je to primjenjivo u bliskoj suradnji s ENISA-om, kad je to primjenjivo, kako bi se testirala razina kibernetičke sigurnosti subjekata Unije.
8. CERT-EU može pružiti pomoć subjektima Unije u pogledu incidenata u mrežnim i informacijskim sustavima u kojima se postupa s kvalificiranim podatcima EU-a ako dotični subjekti Unije to izričito zatraže u skladu sa svojim postupcima. Pružanjem pomoći CERT-EU-a na temelju ovog stavka ne dovode se u pitanje primjenjiva pravila o zaštiti klasificiranih podataka.
9. CERT-EU obavješćuje subjekte Unije o svojim postupcima i procesima za postupanje s incidentima.
10. CERT-EU s visokom razinom povjerljivosti i pouzdanosti putem odgovarajućih mehanizama suradnje i linija izvješćivanja doprinosi relevantnim i anonimiziranim informacijama o velikim incidentima i načinu na koji se postupalo s njima. Te se informacije unose u izvješće iz članka 10. stavka 14.
11. CERT-EU u suradnji s Europskim nadzornikom za zaštitu podataka podupire dotične subjekte Unije pri rješavanju incidenata koji za posljedicu imaju povrede osobnih podataka, ne dovodeći u pitanje nadležnosti i zadaće Europskog nadzornika za zaštitu podatak kao nadzornog tijela u skladu s Uredbom (EU) 2018/1725.
12. Ako to resorni odjeli subjekata Unije izričito zatraže, CERT-EU može pružiti tehnički savjet ili tehnička mišljenja o relevantnim pitanjima vezanima uz politike.
Članak 16.
Financijska pitanja i osoblje
1. CERT-EU integriran je u administrativnu strukturu glavne uprave Komisije kako bi imao koristi od potpornih struktura Komisije u području administracije, financijskog upravljanja i računovodstva, zadržavajući pritom svoj status neovisnog međuinstitucijskog pružatelja usluga za sve subjekte Unije. Komisija obavješćuje IICB o administrativnom sjedištu CERT-EU-a i svim njegovim promjenama. Komisija redovito preispituje administrativne aranžmane koji se odnose na CERT-EU, a u svakom slučaju prije donošenja višegodišnjeg financijskog okvira u skladu s člankom 312. UFEU-a, kako bi se omogućilo poduzimanje odgovarajućih mjera. Preispitivanje uključuje mogućnost uspostave CERT-EU-a kao ureda Unije.
2. Tijekom primjene upravnih i financijskih postupaka voditelj CERT-EU-a djeluje u okviru ovlasti Komisije i pod nadzorom IICB-a.
3. Zadaće i aktivnosti CERT-EU-a, uključujući usluge koje CERT-EU pruža u skladu s člankom 13. stavcima 3., 4., 5. i 7. i člankom 14. stavkom 1. subjektima Unije financiranima iz naslova višegodišnjeg financijskog okvira namijenjenog europskoj javnoj upravi, financiraju se iz posebne proračunske linije proračuna Komisije. Radna mjesta namijenjena CERT-EU-u detaljno se navode u bilješci uz plan radnih mjesta Komisije.
4. Subjekti Unije, osim onih iz stavka 3. ovog članka, daju godišnji financijski doprinos CERT-EU-u za pokrivanje usluga koje CERT-EU pruža u skladu s tim stavkom. Doprinosi se temelje na smjernicama koje je dao IICB i svi ih subjekti Unije dogovaraju s CERT-EU-om u sporazumima o razini usluga. Doprinosi odgovaraju pravednom i razmjernom udjelu u ukupnim troškovima pruženih usluga. Zaprimaju se u posebnoj proračunskoj liniji iz stavka 3. ovog članka kao unutarnji namjenski prihod, kako je predviđeno u članku 21. stavku 3. točki (c) Uredbe (EU, Euratom) 2018/1046.
5. Troškove usluga predviđenih u članku 13. stavku 6. nadoknađuju subjekti Unije koji se koriste uslugama CERT-EU-a. Prihodi se dodjeljuju proračunskim linijama kojima se financiraju navedeni troškovi.
whereas