keyboard_tab Cyber Resilience Act 2023/2841 HR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Članak 11. Zadaće IICB-a
- 3 Članak 21. Obveze izvješćivanja
POGLAVLJE I.
OPĆE ODREDBE
POGLAVLJE II.
MJERE ZA VISOKU ZAJEDNIČKU RAZINU KIBERNETIČKE SIGURNOSTI
POGLAVLJE III.
MEĐUINSTITUCIJSKI ODBOR ZA KIBERNETIČKU SIGURNOST
POGLAVLJE IV.
CERT-EU
POGLAVLJE V.
OBVEZE SURADNJE I IZVJESCIVANJA
POGLAVLJE VI.
ZAVRSNE ODREDBE
- unije 27
- cert-eu-a 18
- koje 11
- incident 10
- temelju 9
- učinak 8
- odobrava 8
- koji 8
- izvješće 7
- članka 7
- incidenta 6
- subjekata 6
- incidentima 6
- prijedloga 6
- potrebi 5
- skladu 5
- prema 5
- sigurnosti 5
- kibernetičke 5
- kibernetičkim 5
- odgode 5
- subjekte 5
- voditelja 5
- slučaju 5
- značajan 5
- nepotrebne 5
- ublažavanja 4
- svakom 4
- subjektima 4
- informacija 4
- cert-eu 4
- primjenjivo 4
- roku 4
- ciljem 4
- prati 4
- razini 4
- informacije 4
- subjekti 4
- direktive 4
- eu / 4
- izvješćivanja 4
- preporuke 4
- okruženja 4
- obavješćuju 3
- upravljanje 3
- mjere 3
- subjekt 3
- sata 3
- usluga 3
- može 3
Članak 11.
Zadaće IICB-a
Pri obavljanju svojih dužnosti IICB posebno:
| (a) | pruža smjernice voditelju CERT-EU-a; |
| (b) | djelotvorno prati i nadzire provedbu ove Uredbe te podupire subjekte Unije u jačanju njihove kibernetičke sigurnosti, uključujući, prema potrebi, traženjem izrade ad hoc izvješća od subjekata Unije i CERT-EU-a; |
| (c) | nakon strateške rasprave donosi višegodišnju strategiju za podizanje razine kibernetičke sigurnosti u subjektima Unije, redovito ocjenjuje tu strategiju, a u svakom slučaju svakih pet godina, te je prema potrebi mijenja; |
| (d) | utvrđuje metodologiju i organizacijske aspekte za dobrovoljna istorazinska ocjenjivanja koja provode subjekti Unije s ciljem učenja iz zajedničkih iskustava, jačanja uzajamnog povjerenja, postizanja visoke zajedničke razine kibernetičke sigurnosti te jačanja kibernetičkih sigurnosnih kapaciteta subjekata Unije, osiguravanja da takva istorazinska ocjenjivanja provode stručnjaci za kibernetičku sigurnost koje je imenovao subjekt Unije koji nije subjekt Unije koji se ocjenjuje te da se metodologija temelji na članku 19. Direktive (EU) 2022/2555 i da je, prema potrebi, prilagođena subjektima Unije; |
| (e) | na temelju prijedloga voditelja CERT-EU-a odobrava godišnji program rada CERT-EU-a i prati njegovu provedbu; |
| (f) | na temelju prijedloga voditelja CERT-EU-a odobrava katalog usluga CERT-EU-a i sva ažuriranja tog kataloga; |
| (g) | na temelju prijedloga voditelja CERT-EU-a odobrava godišnji financijski plan prihoda i rashoda, uključujući za osoblje, za aktivnosti CERT-EU-a; |
| (h) | na temelju prijedloga voditelja CERT-EU-a odobrava dogovore o sporazumima o razini usluga; |
| (i) | pregledava i odobrava godišnje izvješće koje sastavlja voditelj CERT-EU-a, a kojim su obuhvaćene aktivnosti CERT-EU-a i upravljanje njegovim sredstvima; |
| (j) | odobrava i prati ključne pokazatelje uspješnosti CERT-EU-a utvrđene na temelju prijedloga voditelja CERT-EU-a; |
| (k) | odobrava aranžmane za suradnju te dogovore ili ugovore o razini usluga između CERT-EU-a i drugih subjekata na temelju članka 18.; |
| (l) | donosi smjernice i preporuke na temelju prijedloga CERT-EU-a u skladu s člankom 14. i upućuje CERT-EU da izda, povuče ili izmijeni prijedlog smjernica ili preporuke ili poziv na djelovanje; |
| (m) | osniva tehničke savjetodavne skupine sa specifičnim zadaćama za pomoć u radu IICB-a, odobrava opise njihovih poslova i imenuje njihove predsjednike; |
| (n) | prima i ocjenjuje dokumente i izvješća koje podnose subjekti Unije u skladu s ovom Uredbom, kao što su procjene zrelosti kibernetičke sigurnosti; |
| (o) | podupire osnivanje neformalne skupine lokalnih službenika za kibernetičku sigurnost subjekata Unije, uz potporu ENISA-e, s ciljem razmjene najbolje prakse i informacija u vezi s provedbom ove Uredbe; |
| (p) | uzimajući u obzir informacije CERT-EU-a o utvrđenim kibernetičkim sigurnosnim rizicima i stečenim iskustvima, prati primjerenost aranžmana međupovezanosti IKT okruženja subjekata Unije i savjetuje o mogućim poboljšanjima; |
| (q) | uspostavlja plan za upravljanje kibernetičkim krizama s ciljem podupiranja, na operativnoj razini, koordiniranog upravljanja velikim incidentima koji utječu na subjekte Unije i s ciljem doprinošenja redovitoj razmjeni relevantnih informacija, posebno u pogledu učinaka i ozbiljnosti velikih incidenata te mogućih načina ublažavanja njihovih učinaka; |
| (r) | koordinira donošenje pojedinačnih planova subjekata Unije za upravljanje kibernetičkim krizama iz članka 9. stavka 2.; |
| (s) | donosi preporuke koje se odnose na sigurnost lanca opskrbe iz članka 8. stavka 2. prvog podstavka točke (m) uzimajući u obzir rezultate koordiniranih procjena sigurnosnih rizika ključnih lanaca opskrbe na razini Unije iz članka 22. Direktive (EU) 2022/2555 kako bi subjektima Unije pomogao u donošenju djelotvornih i razmjernih mjera upravljanja kibernetičkim sigurnosnim rizicima. |
Članak 21.
Obveze izvješćivanja
1. Incident se smatra značajnim:
| (a) | ako je uzrokovao ili može uzrokovati ozbiljne poremećaje u funkcioniranju dotičnog subjekta Unije ili financijski gubitak dotičnom subjektu Unije; |
| (b) | ako je utjecao ili može utjecati na druge fizičke ili pravne osobe uzrokovanjem znatne materijalne ili nematerijalne štete. |
2. Subjekti Unije podnose CERT-EU-u:
| (a) | bez nepotrebne odgode, a u svakom slučaju u roku od 24 sata od kad su saznali za značajan incident, rano upozorenje u kojem se, ako je to primjenjivo, navodi da se sumnja da je značajan incident uzrokovan nezakonitim ili zlonamjernim djelovanjem te da bi mogao imati učinak na ostale subjekte ili prekogranični učinak; |
| (b) | bez nepotrebne odgode, a u svakom slučaju u roku od 72 sata od kad su saznali za značajan incident, obavijest o incidentu kojom se, ako je to primjenjivo, ažuriraju informacije iz točke (a) i navode početna procjena značajnog incidenta, kao i njegove ozbiljnosti i njegova učinka te, ako su dostupni, pokazatelji ugroženosti; |
| (c) | na zahtjev CERT-EU-a, privremeno izvješće o relevantnim ažuriranjima statusa; |
| (d) | završno izvješće najkasnije mjesec dana nakon podnošenja obavijesti o incidentu iz točke (b), koje uključuje sljedeće:
|
| (e) | u slučaju incidenta koji je u tijeku u trenutku podnošenja završnog izvješća iz točke (d), izvješće o napretku u tom trenutku i završno izvješće u roku od mjesec dana od postupanja u vezi s incidentom. |
3. Subjekt Unije bez nepotrebne odgode, a u svakom slučaju u roku od 24 sata od kad sazna za značajni incident, obavješćuje sve relevantne partnere iz država članica iz članka 17. stavka 1. u državi članici u kojoj se nalazi o tome da se dogodio značajni incident.
4. Subjekti Unije obavješćuju, među ostalim, o svim informacijama koje CERT-EU-u omogućuju da utvrdi učinak incidenta na ostale subjekte, učinak na državu članicu domaćina ili prekogranični učinak nakon značajnog incidenta. Ne dovodeći u pitanje članak 12., subjekt Unije koji obavješćuje ne podliježe samo zbog toga povećanoj odgovornosti.
5. Ako je to primjenjivo, subjekti Unije bez nepotrebne odgode obavješćuju korisnike pogođenih mrežnih i informacijskih sustava ili drugih komponenti IKT okruženja na koje bi mogao utjecati značajan incident ili ozbiljna kibernetička prijetnja ili koji, prema potrebi, moraju poduzeti mjere ublažavanja, o svim mjerama ili postupcima koji se mogu poduzeti kao odgovor na taj incident ili tu prijetnju. Subjekti Unije prema potrebi obavješćuju te korisnike o samoj ozbiljnoj kibernetičkoj prijetnji.
6. Ako značajan incident ili ozbiljna kibernetička prijetnja utječe na mrežni i informacijski sustav ili komponentu IKT okruženja subjekta Unije za koje je poznato da su mu mrežni i informacijski sustav ili komponenta IKT okruženja povezani s IKT okruženjem drugog subjekta Unije, CERT-EU izdaje odgovarajuće kibernetičko sigurnosno upozorenje.
7. Subjekti Unije na zahtjev CERT-EU-a i bez nepotrebne odgode dostavljaju CERT-EU-u digitalne informacije nastale upotrebom elektroničkih uređaja u dotičnim incidentima. CERT-EU može dodatno pojasniti koje su mu vrste informacija potrebne za informiranost o stanju i odgovor na incident.
8. CERT-EU svaka tri mjeseca IICB-u, ENISA-i, EU INTCEN-u i mreži CSIRT-ova podnosi sažeto izvješće koje uključuje anonimizirane i agregirane podatke o značajnim incidentima, incidentima, kibernetičkim prijetnjama, izbjegnutim incidentima i ranjivostima u skladu s člankom 20. i značajnim incidentima prijavljenima u skladu sa stavkom 2. ovog članka. Sažeto izvješće doprinos je dvogodišnjem izvješću o stanju kibernetičke sigurnosti u Uniji donesenom na temelju članka 18. Direktive (EU) 2022/2555.
9. IICB do 8. srpnja 2024. izdaje smjernice ili preporuke kojima se pobliže određuju aranžmani te oblik i sadržaj izvješćivanja u skladu s ovim člankom. IICB pri pripremi takvih smjernica ili preporuka uzima u obzir sve provedbene akte donesene na temelju članka 23. stavka 11. Direktive (EU) 2022/2555 kojima se utvrđuju vrsta informacija, oblik i postupak izvješćivanja. CERT-EU prosljeđuje odgovarajuće tehničke pojedinosti kako bi se subjektima Unije omogućilo poduzimanje proaktivnih mjera za otkrivanje, odgovor na incidente ili ublažavanje njihovih učinaka.
10. Obveze izvješćivanja utvrđene u ovom članku ne odnose se na:
| (a) | klasificirane podatke EU-a; |
| (b) | informacije čija je daljnja distribucija isključena vidljivom oznakom, osim ako je njihova razmjena s CERT-EU-om izričito dopuštena. |
whereas