keyboard_tab Cyber Resilience Act 2023/2841 LT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 straipsnis Dalykas
- 2 straipsnis Taikymo sritis
- 3 straipsnis Terminų apibrėžtys
- 4 straipsnis Asmens duomenų tvarkymas
- 5 straipsnis Priemonių įgyvendinimas
- 6 straipsnis Kibernetinio saugumo rizikos valdymo, administravimo ir kontrolės sistema
- 7 straipsnis Kibernetinio saugumo brandos vertinimai
- 8 straipsnis Kibernetinio saugumo rizikos valdymo priemonės
- 9 straipsnis Kibernetinio saugumo planai
- 10 straipsnis Tarpinstitucinė kibernetinio saugumo taryba
- 11 straipsnis TKST užduotys
- 12 straipsnis Reikalavimų laikymasis
- 13 straipsnis CERT-EU misija ir užduotys
- 14 straipsnis Gairės, rekomendacijos ir raginimai imtis veiksmų
- 15 straipsnis CERT-EU vadovas
- 16 straipsnis Finansiniai ir personalo klausimai
- 17 straipsnis CERT-EU bendradarbiavimas su analogiškais valstybės narės centrais
- 18 straipsnis CERT-EU bendradarbiavimas su kitais analogiškais centrais
- 19 straipsnis Duomenų tvarkymas
- 20 straipsnis Dalijimosi kibernetinio saugumo informacija susitarimai
- 21 straipsnis Pareigos pranešti
- 22 straipsnis Reagavimo į incidentus koordinavimas ir bendradarbiavimas
- 23 straipsnis Didelių incidentų valdymas
- 24 straipsnis Pradinis biudžeto perskirstymas
- 25 straipsnis Peržiūra
- 26 straipsnis Įsigaliojimas
I SKYRIUS
BENDROSIOS NUOSTATOS
II SKYRIUS
PRIEMONĖS AUKŠTAM BENDRAM KIBERNETINIO SAUGUMO LYGIUI UŽTIKRINTI
III SKYRIUS
TARPINSTITUCINĖ KIBERNETINIO SAUGUMO TARYBA
IV SKYRIUS
CERT-EU
V SKYRIUS
PAREIGOS BENDRADARBIAUTI IR PRANEŠTI
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
- saugumo 25
- kibernetinio 18
- valdymo 11
- rizikos 7
- įskaitant 7
- sąjungos 7
- paslaugų 6
- politikos 5
- priemonių 5
- programinės 3
- įrangos 3
- teikėjų 3
- pažeidžiamumą 3
- plėtojimo 3
- imasi 3
- incidentų 3
- incidentus 3
- subjekto 3
- subjektai 3
- naudoja 3
- priemones 3
- sistemų 2
- pažeidžiamumo 2
- tinklų 2
- ryšių 2
- bent 2
- konkrečių 2
- šio 2
- bendrą 2
- dėl 2
- užtikrinti 2
- turto 2
- sąlygos 2
- poveikį 2
- tiekimo 2
- grandinės 2
- informacinių 2
- susijusius 2
- sąjungos 2
- kibernetines 2
- apie 2
- grėsmes 2
- veiklos 2
- techninių 2
- kuriomis 2
- stebėsenos 2
- srityje 2
- aukščiausio 2
- programų 2
- cert-eu 2
8 straipsnis
Kibernetinio saugumo rizikos valdymo priemonės
1. Kiekvienas Sąjungos subjektas, prižiūrimas jo aukščiausio valdymo lygmens, nepagrįstai nedelsdamas ir bet kuriuo atveju ne vėliau kaip 2025 m. rugsėjo 8 d. imasi tinkamų ir proporcingų techninių, operacinių ir organizacinių priemonių, kuriomis valdoma pagal Sistemą nustatyta kibernetinio saugumo rizika ir užkertamas kelias incidentams arba kuo labiau sumažinamas incidentų poveikis. Atsižvelgiant į naujausias technologijas ir, kai taikoma, atitinkamus Europos ir tarptautinius standartus, tomis priemonėmis užtikrinamas tinklų ir informacinių sistemų saugumo lygis visoje IRT aplinkoje, proporcingas kylančiai kibernetinio saugumo rizikai. Vertinant tų priemonių proporcingumą, tinkamai atsižvelgiama į Sąjungos subjekto patiriamos kibernetinio saugumo rizikos laipsnį, jo dydį ir incidentų tikimybę ir jų sunkumą, įskaitant jų poveikį visuomenei, ekonomikai ir tarpinstitucinį poveikį.
2. Sąjungos subjektai, įgyvendindami kibernetinio saugumo rizikos valdymo priemones, imasi priemonių bent šiose konkrečiose srityse:
a) | kibernetinio saugumo politikos, įskaitant priemones, būtinas 6 straipsnyje ir šio straipsnio 3 dalyje nurodytiems tikslams ir prioritetams pasiekti; |
b) | kibernetinio saugumo rizikos analizės ir informacinių sistemų saugumo politikos; |
c) | politikos tikslų, susijusių su debesijos kompiuterijos paslaugų naudojimu; |
d) | kai tinkama, kibernetinio saugumo audito, kuris gali apimti kibernetinio saugumo rizikos, pažeidžiamumo ir kibernetinių grėsmių vertinimą ir skverbimosi testavimą, kurį reguliariai atlieka patikimas privatus paslaugų teikėjas; |
e) | rekomendacijų, pateiktų atlikus d punkte nurodytus kibernetinio saugumo auditus, įgyvendinimo pasitelkiant kibernetinio saugumo priemones ir politikos atnaujinimus; |
f) | kibernetinio saugumo organizavimo, įskaitant funkcijų ir pareigų nustatymą; |
g) | turto valdymo, įskaitant IRT turto aprašo ir IRT tinklo kartografijos sudarymą; |
h) | žmogiškųjų išteklių saugumo ir prieigos kontrolės; |
i) | operacijų saugumo; |
j) | ryšių saugumo; |
k) | sistemos įsigijimo, plėtojimo ir techninės priežiūros, įskaitant pažeidžiamumo valdymo ir atskleidimo politiką; |
l) | kai įmanoma, pirminio kodo skaidrumo politikos; |
m) | tiekimo grandinės saugumo, įskaitant su saugumu susijusius aspektus, susijusius su kiekvieno Sąjungos subjekto ir jo tiesioginių tiekėjų ar paslaugų teikėjų santykiais; |
n) | incidentų valdymo ir bendradarbiavimo su CERT-EU, pvz., saugumo stebėsenos ir registravimo užtikrinimo; |
o) | veiklos tęstinumo valdymo, pvz., atsarginių kopijų valdymo ir veiklos atkūrimo po ekstremaliųjų įvykių, taip pat krizių valdymo; ir |
p) | švietimo, įgūdžių, informuotumo didinimo, pratybų ir mokymo programų kibernetinio saugumo srityje skatinimo ir plėtojimo. |
Pirmos pastraipos m punkto taikymo tikslais Sąjungos subjektai atsižvelgia į kiekvienam tiesioginiam tiekėjui ir paslaugų teikėjui būdingą pažeidžiamumą ir bendrą savo tiekėjų bei paslaugų teikėjų produktų kokybę ir kibernetinio saugumo praktiką, įskaitant jų saugaus plėtojimo procedūras.
3. Sąjungos subjektai imasi bent šių konkrečių kibernetinio saugumo rizikos valdymo priemonių:
a) | techninių priemonių, kuriomis sudaromos sąlygos nuotoliniam darbui ir jis palaikomas; |
b) | konkrečių veiksmų siekiant nulinio pasitikėjimo principų; |
c) | naudoja daugiaveiksnio tapatumo nustatymo būdą kaip visose tinklų ir informacinėse sistemose taikomą standartą; |
d) | naudoja kriptografiją ir šifravimą, visų pirma ištisinį šifravimą, taip pat saugų skaitmeninį pasirašymą; |
e) | kai taikytina, naudoja saugius balso, vaizdo ir teksto ryšius bei saugias avarinių ryšių sistemas Sąjungos subjekte; |
f) | iniciatyvių kenkimo programinės įrangos ir šnipinėjimo programų aptikimo ir pašalinimo priemonių; |
g) | užtikrina programinės įrangos tiekimo grandinės saugumą, taikydami saugios programinės įrangos kūrimo ir vertinimo kriterijus; |
h) | parengia ir patvirtina mokymo programas kibernetinio saugumo srityje, atitinkančias Sąjungos subjekto aukščiausio valdymo lygmeniui ir darbuotojams, kuriems pavesta užtikrinti veiksmingą šio reglamento įgyvendinimą, nustatytus uždavinius ir numatytus gebėjimus; |
i) | vykdo reguliarius darbuotojų mokymus kibernetinio saugumo klausimais; |
j) | prireikus dalyvauja atliekant dėl Sąjungos subjektų sujungiamumo kylančios rizikos analizę; |
k) | sugriežtina viešųjų pirkimų taisykles, kad būtų sudarytos palankesnės sąlygos užtikrinti aukštą bendrą kibernetinio saugumo lygį:
|
whereas