search

keyboard_tab Cyber Resilience Act 2023/2841 LT

 BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf

2023/2841 LT cercato: '   tkst' . Output generated live by software developed by IusOnDemand srl


expand index    tkst:

    I SKYRIUS
    BENDROSIOS NUOSTATOS

    II SKYRIUS
    PRIEMONĖS AUKŠTAM BENDRAM KIBERNETINIO SAUGUMO LYGIUI UŽTIKRINTI

    III SKYRIUS
    TARPINSTITUCINĖ KIBERNETINIO SAUGUMO TARYBA

    IV SKYRIUS
    CERT-EU

    V SKYRIUS
    PAREIGOS BENDRADARBIAUTI IR PRANEŠTI

    VI SKYRIUS
    BAIGIAMOSIOS NUOSTATOS


whereas    tkst:


definitions:


cloud tag: and the number of total unique words without stopwords is: 782

 

10 straipsnis

Tarpinstitucinė kibernetinio saugumo taryba

1.   Įsteigiama Tarpinstitucinė kibernetinio saugumo taryba (toliau – TKST).

2.   tkst pareigos:

a)

stebėti, kaip Sąjungos subjektai įgyvendina šį reglamentą, ir padėti jiems jį įgyvendinti;

b)

prižiūrėti, kaip CERT-EU įgyvendina bendruosius prioritetus ir tikslus, ir nustatyti CERT-EU strateginę kryptį.

3.   tkst sudaro:

a)

po vieną kiekvieno iš šių subjektų skiriamą atstovą:

i)

Europos Parlamentas;

ii)

Europos Vadovų Taryba;

iii)

Europos Sąjungos Taryba;

iv)

Komisija;

v)

Europos Sąjungos Teisingumo Teismas;

vi)

Europos Centrinis Bankas;

vii)

Audito Rūmai;

viii)

Europos išorės veiksmų tarnyba;

ix)

Europos ekonomikos ir socialinių reikalų komitetas;

x)

Europos regionų komitetas;

xi)

Europos investicijų bankas;

xii)

Europos kibernetinio saugumo pramonės, technologijų ir mokslinių tyrimų kompetencijos centras;

xiii)

ENISA;

xiv)

Europos duomenų apsaugos priežiūros pareigūnas (EDAPP);

xv)

Europos Sąjungos kosmoso programos agentūra.

b)

trys atstovai, kuriuos skiria ES agentūrų tinklas savo IRT patariamojo komiteto siūlymu, kad jie atstovautų Sąjungos organų, įstaigų ir agentūrų, kurie valdo savo pačių IRT aplinką, išskyrus nurodytuosius a punkte, interesams.

TKST atstovaujami Sąjungos subjektai siekia, kad tarp paskirtų atstovų būtų užtikrinta lyčių pusiausvyra.

4.   tkst nariams gali padėti pakaitiniai nariai. Pirmininkas gali kviesti kitus 3 dalyje nurodytų Sąjungos subjektų arba kitų Sąjungos subjektų atstovus dalyvauti TKST posėdžiuose be balsavimo teisės.

5.   CERT-EU vadovas ir atitinkamai pagal Direktyvos (ES) 2022/2555 14, 15 ir 16 straipsnius įsteigtų Bendradarbiavimo grupės, CSIRT tinklo ir EU-CyCLONe pirmininkai arba jų pakaitiniai nariai gali dalyvauti TKST posėdžiuose kaip stebėtojai. Išimtiniais atvejais TKST, laikydamasi savo vidaus darbo tvarkos taisyklių, gali nuspręsti kitaip.

6.   tkst patvirtina savo vidaus darbo tvarkos taisykles.

7.   Pagal savo vidaus darbo tvarkos taisykles TKST iš savo narių trejų metų laikotarpiui paskiria pirmininką. Pirmininko pakaitinis narys tam pačiam laikotarpiui tampa tikruoju TKST nariu.

8.   tkst renkasi bent tris kartus per metus savo pirmininko iniciatyva, CERT-EU prašymu arba bet kurio iš jos narių prašymu.

9.   Kiekvienas TKST narys turi po vieną balsą. TKST sprendimai priimami paprasta balsų dauguma, išskyrus atvejus, kai šiame reglamente numatyta kitaip. TKST pirmininkas nebalsuoja, išskyrus atvejus, kai balsai pasiskirsto po lygiai – tokiu atveju pirmininkas gali pasinaudoti lemiamo balso teise.

10.   tkst gali priimti sprendimus taikydama supaprastintą rašytinę procedūrą, inicijuotą pagal jos vidaus darbo tvarkos taisykles. Pagal tą procedūrą laikoma, kad atitinkamas sprendimas yra patvirtintas per pirmininko nustatytą laikotarpį, išskyrus atvejus, kai narys pareiškia prieštaravimų.

11.   Sekretoriato paslaugas TKST teikia Komisija ir sekretoriatas yra atskaitingas TKST pirmininkui.

12.   Sąjungos agentūrų tinklo paskirti atstovai perduoda TKST sprendimus Sąjungos agentūrų tinklo nariams. Bet kuris Sąjungos agentūrų tinklo narys turi teisę pateikti tiems TKST atstovams ar pirmininkui bet kokį klausimą, į kurį, jo nuomone, turėtų būti atkreiptas TKST dėmesys.

13.   tkst gali įsteigti vykdomąjį komitetą, kuris padėtų jam vykdyti savo darbą, ir deleguoti jam kai kurias savo užduotis ir įgaliojimus. TKST nustato vykdomojo komiteto darbo tvarkos taisykles, įskaitant jo užduotis bei įgaliojimus ir jo narių kadencijos trukmę.

14.   tkst ne vėliau kaip 2025 m. sausio 8 d., o vėliau – kasmet teikia Europos Parlamentui ir Tarybai ataskaitą, kurioje išsamiai aprašoma pažanga, padaryta įgyvendinant šį reglamentą, ir, visų pirma, nurodomas CERT-EU bendradarbiavimo su analogiškais valstybės narės centrais kiekvienoje valstybėje narėje mastas. Ataskaita laikoma indėliu kas dvejus metus rengiant pagal Direktyvos (ES) 2022/2555 18 straipsnį teikiamą ataskaitą dėl kibernetinio saugumo padėties Sąjungoje.

12 straipsnis

Reikalavimų laikymasis

1.   tkst pagal 10 straipsnio 2 dalį ir 11 straipsnį veiksmingai stebi, kaip įgyvendinamas šis reglamentas ir priimtos gairės, rekomendacijos ir raginimai Sąjungos subjektams imtis veiksmų. TKST gali prašyti Sąjungos subjektų pateikti tam tikslui reikalingą informaciją ar dokumentus. Atitikties užtikrinimo priemonių priėmimo pagal šį straipsnį tikslais, kai atitinkamas Sąjungos subjektas yra tiesiogiai atstovaujamas TKST, tam Sąjungos subjektui balsavimo teisės nesuteikiamos.

2.   Jei TKST nustato, kad Sąjungos subjektas veiksmingai neįgyvendino šio reglamento arba pagal jį priimtų gairių, rekomendacijų ar raginimų imtis veiksmų, ji, nedarydama poveikio atitinkamo Sąjungos subjekto vidaus procedūroms ir suteikusi galimybę atitinkamam Sąjungos subjektui pateikti savo pastabas, gali:

a)

perduoti pagrįstą nuomonę atitinkamam Sąjungos subjektui su nustatytomis spragomis įgyvendinant šį reglamentą;

b)

pasikonsultavusi su CERT-EU, pateikti atitinkamam Sąjungos subjektui gaires, kaip per nustatytą terminą užtikrinti, kad jo sistema, kibernetinio saugumo rizikos valdymo priemonės, kibernetinio saugumo planas ir teikiamos ataskaitos atitiktų šį reglamentą;

c)

teikti perspėjimą, kad per nustatytą terminą būtų pašalinti nustatyti trūkumai, įskaitant rekomendacijas iš dalies pakeisti priemones, kurias atitinkamas Sąjungos subjektas priėmė pagal šį reglamentą;

d)

pateikia pagrįstą pranešimą atitinkamam Sąjungos subjektui, jei pagal c punktą pateiktame perspėjime nustatyti trūkumai per nurodytą laikotarpį nebuvo pakankamai pašalinti;

e)

pateikia:

i)

rekomendaciją atlikti auditą arba

ii)

prašymą, kad auditą atliktų trečiosios šalies audito tarnyba;

f)

jei taikytina, informuoti Audito Rūmus, neviršijant jų įgaliojimų, apie įtariamą reikalavimų nesilaikymą;

g)

pateikti rekomendaciją, kad visos valstybės narės ir Sąjungos subjektai laikinai sustabdytų duomenų srautus į atitinkamą Sąjungos subjektą.

Pirmos pastraipos c punkto tikslais perspėjimo auditorija tinkamai apribojama, kai tai būtina atsižvelgiant į kibernetinio saugumo riziką.

Pagal pirmą pastraipą teikiami perspėjimai ir rekomendacijos skiriami atitinkamo Sąjungos subjekto aukščiausiam valdymo lygmeniui.

3.   Jeigu TKST yra patvirtinusi priemones pagal 2 dalies pirmos pastraipos a–g punktus, atitinkamas Sąjungos subjektas pateikia išsamią informaciją apie priemones ir veiksmus, kurių imtasi TKST nustatytiems įtariamiems trūkumams pašalinti. Sąjungos subjektas pateikia tą išsamią informaciją per pagrįstą laikotarpį, dėl kurio turi būti susitarta su TKST.

4.   Jei TKST mano, kad Sąjungos subjektas nuolat pažeidžia šį reglamentą tiesiogiai dėl Sąjungos pareigūno ar kito tarnautojo, įskaitant aukščiausią valdymo lygmenį, veiksmų ar neveikimo, TKST prašo, kad atitinkamas Sąjungos subjektas imtųsi tinkamų veiksmų, be kita ko, prašydamas jo apsvarstyti galimybę imtis drausminio pobūdžio veiksmų, laikantis taisyklių ir procedūrų, nustatytų Tarnybos nuostatuose, kitų taikytinų taisyklių ir procedūrų. Tuo tikslu TKST perduoda reikiamą informaciją atitinkamam Sąjungos subjektui.

5.   Kai Sąjungos subjektas informuoja negalintis laikytis 6 straipsnio 1 dalyje ir 8 straipsnio 1 dalyje nustatytų terminų, tinkamai pagrįstais atvejais, atsižvelgdama į Sąjungos subjekto dydį, TKST gali leisti pratęsti tuos terminus.

IV SKYRIUS

CERT-EU

21 straipsnis

Pareigos pranešti

1.   Incidentas laikomas reikšmingu, jeigu:

a)

dėl jo atitinkamas Sąjungos subjektas patyrė arba gali patirti didelių veikimo sutrikimų arba finansinių nuostolių;

b)

jis paveikė arba gali paveikti kitus fizinius ar juridinius asmenis sukeldamas didelę materialinę arba neturtinę žalą.

2.   Sąjungos subjektai CERT-EU pateikia:

a)

nepagrįstai nedelsiant ir bet kuriuo atveju per 24 valandas nuo tada, kai sužinojo apie reikšmingą incidentą, – ankstyvąjį perspėjimą, kuriame, kai taikytina, nurodoma, kad reikšmingą incidentą, kaip įtariama, sukėlė neteisėti ar piktavališki veiksmai arba, kad jis galėtų daryti poveikį keliems subjektams ar tarpvalstybinį poveikį;

b)

nepagrįstai nedelsdami ir bet kuriuo atveju per 72 valandas nuo tada, kai sužinojo apie didelį incidentą, – pranešimą apie incidentą, kuriame, kai taikytina, atnaujinama a punkte nurodyta informacija ir nurodomas didelio incidento, įskaitant jo sunkumą ir poveikį, pradinis vertinimas, taip pat nurodomi užvaldymo rodikliai, jei tokių yra;

c)

CERT-EU prašymu – tarpinę ataskaitą apie atitinkamus atnaujintus duomenis apie padėtį;

d)

ne vėliau kaip per vieną mėnesį nuo b punkte nurodyto pranešimo apie incidentą – galutinę ataskaitą, kurioje pateikiama ši informacija:

i)

išsamus incidento, įskaitant jo sunkumą ir poveikį, aprašymas;

ii)

grėsmės arba pagrindinės priežasties, dėl kurios incidentas galėjo būti sukeltas, rūšis;

iii)

taikomos ir įgyvendinamos poveikio mažinimo priemonės;

iv)

kai taikytina, tarpvalstybinis ar kelis subjektus apimantis incidento poveikis;

e)

tuo atveju, jei d punkte nurodytos galutinės ataskaitos pateikimo metu incidentas tebevyksta, – to meto pažangos ataskaitą, o galutinę ataskaitą – per vieną mėnesį nuo tada, kai suvaldė incidentą.

3.   Sąjungos subjektas nepagrįstai nedelsdamas ir bet kuriuo atveju per 24 valandas nuo tada, kai sužinojo apie reikšmingą incidentą, informuoja visus atitinkamus 17 straipsnio 1 dalyje nurodytus analogiškus valstybės narės centrus toje valstybėje narėje, kurioje yra subjektas, kad įvyko reikšmingas incidentas.

4.   Sąjungos subjektai, inter alia, praneša bet kokią informaciją, kuri gali padėti CERT-EU nustatyti bet kokį poveikį keliems subjektams, poveikį priimančiajai valstybei narei arba tarpvalstybinį reikšmingo incidento poveikį. Nedarant poveikio 12 straipsnio taikymui, vien dėl pranešimo veiksmo negali būti padidinama Sąjungos subjekto atsakomybė.

5.   Kai taikytina, Sąjungos subjektai nepagrįstai nedelsdami informuoja paveiktų tinklų ir informacinių sistemų arba kitų IRT aplinkos komponentų naudotojus, kuriuos reikšmingas incidentas arba didelė kibernetinė grėsmė galėjo paveikti ir kurie, kai tinkama, turi imtis poveikio mažinimo priemonių, apie visas priemones ar teisių gynimo priemones, kurių jie gali imtis reaguodami į tą incidentą arba tą grėsmę. Atitinkamais atvejais Sąjungos subjektai praneša tiems naudotojams apie pačią didelę kibernetinę grėsmę.

6.   Kai reikšmingas incidentas ar didelė kibernetinė grėsmė daro poveikį tinklų ar informacinei sistemai arba Sąjungos subjekto IRT aplinkos komponentui, kuris, kaip žinoma, yra sujungtas su kito Sąjungos subjekto aplinka, CERT-EU paskelbia atitinkamą kibernetinio saugumo įspėjimą.

7.   Sąjungos subjektai CERT-EU prašymu nepagrįstai nedelsdami suteikia CERT-EU skaitmeninę informaciją, sukurtą naudojant elektroninius įtaisus, susijusius su atitinkamais incidentais. CERT-EU gali pateikti išsamesnės informacijos apie tai, kokios rūšies informacijos jai reikia informuotumo apie padėtį ir reagavimo į incidentus tikslais.

8.   CERT-EU kas tris mėnesius TKST, ENISA, ES INTCEN ir CSIRT tinklui pateikia apibendrinamąją ataskaitą, įskaitant nuasmenintus ir apibendrintus duomenis apie reikšmingus incidentus, incidentus, kibernetines grėsmes, vos neįvykusius incidentus ir pažeidžiamumus pagal 20 straipsnį ir reikšmingus incidentus, apie kuriuos pranešta pagal šio straipsnio 2 dalį. Apibendrinamoji ataskaita laikoma indėliu kas dvejus metus rengiant ataskaitą dėl kibernetinio saugumo padėties Sąjungoje, priimamą pagal Direktyvos (ES) 2022/2555 18 straipsnį.

9.   tkst ne vėliau kaip 2024 m. liepos 8 d. paskelbia gaires arba rekomendacijas, kuriose toliau patikslinami pagal šį straipsnį teikiamų ataskaitų tvarka, forma ir turinys. Rengdama tokias gaires ar rekomendacijas, TKST atsižvelgia į visus pagal Direktyvos (ES) 2022/2555 23 straipsnio 11 dalį priimtus įgyvendinimo aktus, kuriuose nurodomi informacijos rūšis, formatas ir pranešimų teikimo procedūra. CERT-EU platina atitinkamą techninę informaciją, kad Sąjungos subjektai galėtų aktyviai aptikti incidentus, reaguoti į juos arba imtis rizikos mažinimo priemonių.

10.   Šiame straipsnyje nustatytos pareigos pranešti netaikomos:

a)

ESĮI;

b)

informacijai, kurios tolesnis platinimas uždraustas aiškiai pažymint, išskyrus atvejus, kai ja aiškiai leidžiama dalytis su CERT-EU.

22 straipsnis

Reagavimo į incidentus koordinavimas ir bendradarbiavimas

1.   CERT-EU, veikdama kaip keitimosi kibernetinio saugumo informacija ir reagavimo į incidentus koordinavimo centras, palengvina keitimąsi informacija apie incidentus, kibernetines grėsmes, pažeidžiamumus ir vos neįvykusius incidentus tarp:

a)

Sąjungos subjektų;

b)

17 ir 18 straipsniuose nurodytų analogiškų centrų.

2.   CERT-EU, kai tinkama, glaudžiai bendradarbiaudama su ENISA, palengvina Sąjungos subjektų reagavimo į incidentus koordinavimą, susijusį, be kita ko, su:

a)

indėliu prie nuoseklios išorės komunikacijos;

b)

savitarpio pagalba, pvz., dalijimusi Sąjungos subjektams svarbia informacija arba prireikus teikiant pagalbą tiesiogiai vietoje;

c)

optimaliu veiklos išteklių naudojimu;

d)

koordinavimu su kitais reagavimo į krizes mechanizmais Sąjungos lygmeniu.

3.   CERT-EU, glaudžiai bendradarbiaudama su ENISA, teikia paramą Sąjungos subjektams, susijusią su informuotumu apie incidentų, kibernetinių grėsmių, pažeidžiamumų ir vos neįvykusių incidentų padėtį, taip pat dalijantis atitinkama informacija apie pokyčius kibernetinio saugumo srityje.

4.   tkst, remdamasis CERT-EU pasiūlymu, ne vėliau kaip 2025 m. sausio 8 d. priima gaires arba rekomendacijas dėl reagavimo į incidentus koordinavimo ir bendradarbiavimo reikšmingų incidentų atveju. Kai įtariama, kad incidentas yra baudžiamojo pobūdžio, CERT-EU pataria, kaip nepagrįstai nedelsiant pranešti apie incidentą teisėsaugos institucijoms.

5.   Gavusi konkretų valstybės narės prašymą ir sulaukusi atitinkamų Sąjungos subjektų pritarimo, CERT-EU gali pakviesti ekspertus iš 23 straipsnio 4 dalyje nurodyto sąrašo prisidėti reaguojant į didelį incidentą, kuris daro poveikį toje valstybėje narėje, arba į didelio masto kibernetinio saugumo incidentą pagal Direktyvos (ES) 2022/2555 15 straipsnio 3 dalies g punktą. TKST, remdamasi CERT-EU pasiūlymu, patvirtina konkrečias taisykles dėl Sąjungos subjektų techninių ekspertų paslaugų prieinamumo ir naudojimosi jomis.

25 straipsnis

Peržiūra

1.   tkst, padedant CERT-EU, ne vėliau kaip 2025 m. sausio 8 d., o vėliau – kasmet, teikia Komisijai šio reglamento įgyvendinimo ataskaitą. TKST gali teikti rekomendacijas Komisijai peržiūrėti šį reglamentą.

2.   Komisija ne vėliau kaip 2027 m. sausio 8 d., o vėliau – kas dvejus metus, įvertina šio reglamento įgyvendinimą ir strateginiu bei veiklos lygmenimis įgytą patirtį ir pateikia ataskaitą Europos Parlamentui ir Tarybai.

Šios dalies pirmos pastraipos nurodytoje ataskaitoje pateikiama 16 straipsnio 1 dalyje nurodyta peržiūra dėl galimybės įsteigti CERT-EU kaip Sąjungos tarnybą.

3.   Komisija ne vėliau kaip 2029 m. sausio 8 d. įvertina šio reglamento veikimą ir pateikia ataskaitą Europos Parlamentui, Tarybai, Europos ekonomikos ir socialinių reikalų komitetui bei Regionų komitetui. Komisija taip pat įvertina, ar tikslinga į šio reglamento taikymo sritį įtraukti tinklų ir informacines sistemas, kuriose tvarkoma ESĮI, atsižvelgdama į kitus toms sistemoms taikomus Sąjungos teisėkūros procedūra priimtus aktus. Kai būtina, prie ataskaitos pridedamas pasiūlymas dėl teisėkūros procedūra priimamo akto.


whereas
keyboard_arrow_down