keyboard_tab Cyber Resilience Act 2023/2841 LT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 4 4 straipsnis asmens duomenų tvarkymas
- 1 13 straipsnis CERT-EU misija ir užduotys
- 1 17 straipsnis CERT-EU bendradarbiavimas su analogiškais valstybės narės centrais
I SKYRIUS
BENDROSIOS NUOSTATOS
II SKYRIUS
PRIEMONĖS AUKŠTAM BENDRAM KIBERNETINIO SAUGUMO LYGIUI UŽTIKRINTI
III SKYRIUS
TARPINSTITUCINĖ KIBERNETINIO SAUGUMO TARYBA
IV SKYRIUS
CERT-EU
V SKYRIUS
PAREIGOS BENDRADARBIAUTI IR PRANEŠTI
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
- sąjungos 44
- pagal 26
- europos 24
- cert-eu 20
- saugumo 20
- kibernetinio 19
- 18
- arba 14
- dėl 14
- cert-eu 12
- informacija 12
- tarybos 11
- nr / 11
- incidentų 10
- reglamentas 10
- apie 10
- straipsnį 9
- kaip 9
- duomenų 9
- subjektų 9
- asmens 8
- gali 8
- parlamento 8
- es / 8
- incidentus 7
- ol l 7
- paslaugas 7
- tkst 6
- reglamento 6
- subjekto 6
- reglamentą 6
- subjektai 6
- apsaugos 5
- narės 5
- paslaugų 5
- direktyvos 5
- csirt 5
- valstybės 5
- klausimais 5
- paveiktas 4
- teikti 4
- susijusia 4
- srityje 4
- priemones 4
- aiškiai 4
- prie 4
- aplinkos 4
- kuriomis 4
- informaciją 4
- kita 4
4 straipsnis
asmens duomenų tvarkymas
1. CERT-EU, pagal 10 straipsnį įsteigta Tarpinstitucinė kibernetinio saugumo taryba arba Sąjungos subjektai asmens duomenis pagal šį reglamentą tvarko pagal Reglamentą (ES) 2018/1725.
2. Kai CERT-EU, pagal 10 straipsnį įsteigta Tarpinstitucinė kibernetinio saugumo taryba ir Sąjungos subjektai atlieka užduotis arba vykdo pareigas pagal šį reglamentą, jie asmens duomenis tvarko ir jais keičiasi tik tiek, kiek tai būtina toms užduotims atlikti arba toms pareigoms vykdyti.
3. Specialių kategorijų asmens duomenų tvarkymas, kaip nurodyta Reglamento (ES) 2018/1725 10 straipsnio 1 dalyje, laikomas būtinu dėl svarbių viešojo intereso priežasčių pagal to reglamento 10 straipsnio 2 dalies g punktą. Tokie duomenys gali būti tvarkomi tik tiek, kiek tai būtina šio reglamento 6 ir 8 straipsniuose nurodytoms kibernetinio saugumo rizikos valdymo priemonėms įgyvendinti, CERT-EU paslaugoms teikti pagal šio reglamento 13 straipsnį, dalytis su incidentais susijusia informacija pagal 17 straipsnio 3 dalį ir 18 straipsnio 3 dalį, dalytis informacija pagal 20 straipsnį, vykdyti pareigas pranešti pagal 21 straipsnį, reagavimo į incidentus koordinavimui ir bendradarbiavimui pagal 22 straipsnį ir didelių incidentų valdymui pagal 23 straipsnį. Sąjungos subjektai ir CERT-EU, veikdami kaip duomenų valdytojai, taiko technines priemones, kad užkirstų kelią specialių kategorijų asmens duomenų tvarkymui kitais tikslais, ir numato tinkamas ir konkrečias priemones duomenų subjektų pagrindinėms teisėms ir interesams apsaugoti.
II SKYRIUS
PRIEMONĖS AUKŠTAM BENDRAM KIBERNETINIO SAUGUMO LYGIUI UŽTIKRINTI
13 straipsnis
CERT-EU misija ir užduotys
1. CERT-EU misija – prisidėti prie Sąjungos subjektų neįslaptintos IRT aplinkos saugumo, konsultuojant juos kibernetinio saugumo klausimais, padedant jiems užkirsti kelią incidentams, juos atskleisti, valdyti, sušvelninti jų poveikį, į juos reaguoti ir atstatyti po jų veiklą, taip pat veikiant kaip jų keitimosi kibernetinio saugumo informacija ir reagavimo į incidentus koordinavimo centras.
2. CERT-EU neįslaptintoje IRT infrastruktūroje renka, tvarko, analizuoja informaciją apie kibernetines grėsmes, pažeidžiamumą bei incidentus ir ja dalijasi su Sąjungos subjektais. Ji koordinuoja reagavimą į incidentus tarpinstituciniu ir Sąjungos subjektų lygmeniu, be kita ko, teikdamas specializuotą operatyvinę pagalbą arba koordinuodamas jos teikimą.
3. Siekdama padėti Sąjungos subjektams, CERT-EU atlieka šias užduotis:
| a) | padeda jiems įgyvendinti šį reglamentą ir prisideda prie šio reglamento įgyvendinimo koordinavimo taikydama 14 straipsnio 1 dalyje išvardytas priemones arba teikdama TKST prašomas ad hoc ataskaitas; |
| b) | siūlo standartines CSIRT paslaugas Sąjungos subjektams teikdama kibernetinio saugumo paslaugų, aprašytų savo paslaugų kataloge, paketą (toliau – pagrindinės paslaugos); |
| c) | prižiūri kolegų ir partnerių tinklą, padedantį teikti paslaugas, kaip nurodyta 17 ir 18 straipsniuose; |
| d) | atkreipia TKST dėmesį į visas problemas, susijusias su šio reglamento įgyvendinimu ir gairių, rekomendacijų bei raginimų imtis veiksmų įgyvendinimu; |
| e) | remdamasi 2 dalyje nurodyta informacija ir glaudžiai bendradarbiaudama su ENISA prisideda prie informuotumo apie kibernetinę padėtį Sąjungoje; |
| f) | koordinuoja didelių incidentų valdymą; |
| g) | veikia Sąjungos subjektų vardu kaip koordinatoriaus, paskirto koordinuoto pažeidžiamumų atskleidimo tikslais pagal Direktyvos (ES) 2022/2555 12 straipsnio 1 dalį, atitikmuo; |
| h) | Sąjungos subjekto prašymu atlieka aktyvų neintervencinį to Sąjungos subjekto viešai prieinamų tinklų ir informacinių sistemų tikrinimą. |
Pirmos pastraipos e punkte nurodyta informacija dalijamasi su TKST, CSIRT tinklu ir Europos Sąjungos žvalgybos ir situacijų centru (EU INTCEN), kai taikytina ir tinkama, laikantis tinkamų konfidencialumo sąlygų.
4. CERT-EU gali atitinkamai pagal 17 arba 18 straipsnį bendradarbiauti su atitinkamomis kibernetinio saugumo bendruomenėmis Sąjungoje ir jos valstybėse narėse, be kita ko, šiose srityse:
| a) | parengties, incidentų koordinavimo, keitimosi informacija ir reagavimo į krizes techniniu lygmeniu su Sąjungos subjektais susijusiais atvejais; |
| b) | operatyvinio bendradarbiavimo CSIRT tinkle, be kita ko, savitarpio pagalbos klausimais srityje; |
| c) | žvalgybos informacijos apie kibernetines grėsmes, įskaitant informuotumą apie padėtį, srityje; |
| d) | bet kurio klausimo, kuriam reikalingos CERT-EU techninės kibernetinio saugumo žinios, srityje. |
5. Savo kompetencijos srityje CERT-EU vykdo struktūrinį bendradarbiavimą su ENISA pajėgumų stiprinimo, operatyvinio bendradarbiavimo ir ilgalaikės strateginės kibernetinių grėsmių analizės srityse pagal Reglamentą (ES) 2019/881. CERT-EU gali bendradarbiauti ir keistis informacija su Europolo Europos kovos su elektroniniu nusikalstamumu centru.
6. CERT-EU gali teikti šias paslaugas, kurios nėra aprašytos jos paslaugų kataloge (toliau – apmokestinamosios paslaugos):
| a) | paslaugas, kuriomis remiamas Sąjungos subjektų IRT aplinkos kibernetinis saugumas, išskyrus 3 dalyje nurodytas paslaugas, teikiamas remiantis susitarimais dėl paslaugų lygio ir atsižvelgiant į turimus išteklius, visų pirma plataus spektro tinklo stebėseną, įskaitant visą parą kasdien vykdomą labai didelių kibernetinių grėsmių stebėseną; |
| b) | paslaugas, kuriomis remiamos Sąjungos subjektų kibernetinio saugumo operacijos ar projektai, išskyrus tas, kuriomis jie siekia apsaugoti savo IRT aplinką, teikiamas remiantis rašytiniais susitarimais ir gavus išankstinį TKST pritarimą; |
| c) | gavus prašymą, aktyviai tikrina atitinkamo Sąjungos subjekto tinklų ir informacines sistemas, kad būtų galima nustatyti pažeidžiamumus, galinčius turėti didelį poveikį; |
| d) | paslaugas, kuriomis remiamas organizacijų, kurios nėra Sąjungos subjektai, bet glaudžiai su jais bendradarbiauja, pavyzdžiui, vykdo pagal Sąjungos teisę pavestas užduotis ar pareigas, IRT aplinkos saugumas, teikiamas remiantis rašytiniais susitarimais ir iš anksto gavus TKST pritarimą. |
Kalbant apie pirmos pastraipos d punktą, CERT-EU, gavusi išankstinį TKST pritarimą, išimtiniais atvejais gali sudaryti susitarimus dėl paslaugų lygio su subjektais, kurie nėra Sąjungos subjektai.
7. CERT-EU rengia kibernetinio saugumo pratybas ir gali jose dalyvauti, arba rekomenduoti dalyvauti vykdomose pratybose, kai tinkama, glaudžiai bendradarbiaudama su ENISA, kad patikrintų Sąjungos subjektų kibernetinio saugumo lygį.
8. CERT-EU gali teikti pagalbą Sąjungos subjektams dėl incidentų tinklų ir informacinėse sistemose, kuriose tvarkoma ESĮI, jei to aiškiai paprašo atitinkami Sąjungos subjektai pagal savo atitinkamas procedūras. CERT-EU pagalbos teikimas pagal šią dalį nedaro poveikio taikomoms taisyklėms dėl įslaptintos informacijos apsaugos.
9. CERT-EU informuoja Sąjungos subjektus apie incidentų valdymo procedūras ir procesus.
10. CERT-EU, užtikrindama aukštą konfidencialumo ir patikimumo lygį, naudodamasi tinkamais bendradarbiavimo mechanizmais ir atskaitomybės ryšiais, teikia aktualią ir anoniminę informaciją apie didelius incidentus ir apie tai, kaip jie buvo valdomi. Ta informacija įtraukiama į 10 straipsnio 14 dalyje nurodytą ataskaitą.
11. CERT-EU, bendradarbiaudama su EDAPP, padeda atitinkamiems Sąjungos subjektams reaguoti į incidentus, dėl kurių pažeidžiamas asmens duomenų saugumas, nedarant poveikio EDAPP, kaip priežiūros institucijos, kompetencijai ir užduotims pagal Reglamentą (ES) 2018/1725.
12. CERT-EU gali, jei to aiškiai paprašo Sąjungos subjektų politiniai skyriai, pateikti technines rekomendacijas arba nuomonę atitinkamais politiniais klausimais.
17 straipsnis
CERT-EU bendradarbiavimas su analogiškais valstybės narės centrais
1. CERT-EU nepagrįstai nedelsdama bendradarbiauja ir keičiasi informacija su atitinkamais analogiškais valstybės narės centrais, visų pirma CSIRT, paskirtomis arba įsteigtomis pagal Direktyvos (ES) 2022/2555 10 straipsnį, arba, kai taikytina, su kompetentingomis institucijomis ir bendrais kontaktiniais punktais, paskirtais arba įsteigtais pagal tos direktyvos 8 straipsnį, klausimais, susijusiais su incidentais, kibernetinėmis grėsmėmis, pažeidžiamumais, vos neįvykusiais incidentais, galimomis atsakomosiomis priemonėmis ir geriausia praktika, taip pat visais klausimais, susijusiais su Sąjungos subjektų IRT aplinkos apsaugos gerinimu, be kita ko, pasitelkiant CSIRT tinklą, sukurtą pagal Direktyvos (ES) 2022/2555 15 straipsnį. CERT-EU padeda Komisijai EU-CyCLONe, įsteigtame pagal Direktyvos (ES) 2022/2555 16 straipsnį, koordinuoti didelio masto kibernetinio saugumo incidentų ir krizių valdymą.
2. Kai CERT-EU sužino apie reikšmingą incidentą, vykstantį atitinkamos valstybės narės teritorijoje, ji nedelsdama pagal 1 dalį praneša visiems analogiškiems tos valstybės narės centrams.
3. Su sąlyga, kad asmens duomenys yra saugomi pagal taikytinus Sąjungos duomenų apsaugos teisės aktus, CERT-EU nepagrįstai nedelsdama be paveikto Sąjungos subjekto leidimo keičiasi su analogiškais valstybės narės centrais atitinkama su incidentu susijusia informacija, kuri yra svarbi siekiant palengvinti panašių kibernetinių grėsmių ar incidentų nustatymą arba prisidėti prie incidento analizės. CERT-EU keičiasi su incidentu susijusia informacija, kurioje atskleidžiama kibernetinio saugumo incidento taikinio tapatybė, tik vienu iš šių atvejų:
| a) | laikomasi Sąjungos duomenų apsaugos teisės aktų, o paveiktas Sąjungos subjektas duoda sutikimą; |
| b) | paveiktas Sąjungos subjektas neduoda sutikimo, kaip numatyta a punkte, tačiau atskleidus paveikto Sąjungos subjekto tapatybę padidėtų tikimybė, kad kitur bus išvengta incidentų arba jų poveikis bus sumažintas; |
| c) | paveiktas Sąjungos subjektas jau viešai paskelbė, kad buvo paveiktas. |
Sprendimus keistis su incidentu susijusia informacija, atskleidžiančia incidento taikinio tapatybę pagal pirmos pastraipos b punktą, tvirtina CERT-EU vadovas. Prieš priimdama tokį sprendimą CERT-EU raštu susisiekia su paveiktu Sąjungos subjektu ir aiškiai paaiškina, kaip atskleidus jo tapatybę būtų galima išvengti incidentų kitur arba sumažinti jų poveikį. CERT-EU vadovas pateikia paaiškinimą ir aiškiai paprašo Sąjungos subjekto per nustatytą laikotarpį nurodyti, ar jis sutinka. CERT-EU vadovas taip pat informuoja Sąjungos subjektą, kad, atsižvelgdamas į pateiktą paaiškinimą, jis pasilieka teisę atskleisti informaciją net ir negavus sutikimo. Prieš atskleidžiant informaciją, apie tai pranešama paveiktam Sąjungos subjektui.
26 straipsnis
Įsigaliojimas
Šis reglamentas įsigalioja dvidešimtą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje.
Šis reglamentas privalomas visas ir tiesiogiai taikomas visose valstybėse narėse.
Priimta Strasbūre 2023 m. gruodžio 13 d.
Europos Parlamento vardu
Pirmininkė
R. METSOLA
Tarybos vardu
Pirmininkas
P. NAVARRO RÍOS
(1) 2023 m. lapkričio 21 d. Europos Parlamento pozicija (dar nepaskelbta Oficialiajame leidinyje) ir 2023 m. gruodžio 8 d. Tarybos sprendimas.
(2) 2022 m. gruodžio 14 d. Europos Parlamento ir Tarybos direktyva (ES) 2022/2555 dėl priemonių aukštam bendram kibernetinio saugumo lygiui visoje Sąjungoje užtikrinti, kuria iš dalies keičiamas Reglamentas (ES) Nr. 910/2014 ir Direktyva (ES) 2018/1972 ir panaikinama Direktyva (ES) 2016/1148 (TIS 2 direktyva) (OL L 333, 2022 12 27, p. 80).
(3) 2019 m. balandžio 17 d. Europos Parlamento ir Tarybos reglamentas (ES) 2019/881 dėl ENISA (Europos Sąjungos kibernetinio saugumo agentūros) ir informacinių ir ryšių technologijų kibernetinio saugumo sertifikavimo, kuriuo panaikinamas Reglamentas (ES) Nr. 526/2013 (Kibernetinio saugumo aktas) (OL L 151, 2019 6 7, p. 15).
(4) Parlamento, Europos Vadovų Tarybos, Europos Sąjungos Tarybos, Europos Komisijos, Europos Sąjungos Teisingumo Teismo, Europos Centrinio Banko, Europos Audito Rūmų, Europos išorės veiksmų tarnybos, Europos ekonomikos ir socialinių reikalų komiteto, Europos regionų komiteto ir Europos investicijų banko tarpinstitucinis susitarimas dėl Sąjungos institucijų, įstaigų ir agentūrų Kompiuterinių incidentų tyrimo tarnybos (CERT-EU) darbo organizavimo ir veiklos (OL C 12, 2018 1 13, p. 1).
(5) 1968 m. vasario 29 d. Tarybos reglamentas (EEB, Euratomas, EAPB) Nr. 259/68, nustatantis Europos Bendrijų pareigūnų tarnybos nuostatus ir kitų Europos Bendrijų tarnautojų įdarbinimo sąlygas bei Komisijos pareigūnams laikinai taikomas specialias priemones (OL L 56, 1968 3 4, p. 1).
(6) 2017 m. rugsėjo 13 d. Komisijos rekomendacija (ES) 2017/1584 dėl koordinuoto atsako į didelio masto kibernetinio saugumo incidentus ir krizes (OL L 239, 2017 9 19, p. 36).
(7) 2018 m. spalio 23 d. Europos Parlamento ir Tarybos reglamentas (ES) 2018/1725 dėl fizinių asmenų apsaugos Sąjungos institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB (OL L 295, 2018 11 21, p. 39).
(8) OL C 258, 2022 7 5, p. 10.
(9) 2018 m. liepos 18 d. Europos Parlamento ir Tarybos reglamentas (ES, Euratomas) 2018/1046 dėl Sąjungos bendrajam biudžetui taikomų finansinių taisyklių, kuriuo iš dalies keičiami reglamentai (ES) Nr. 1296/2013, (ES) Nr. 1301/2013, (ES) Nr. 1303/2013, (ES) Nr. 1304/2013, (ES) Nr. 1309/2013, (ES) Nr. 1316/2013, (ES) Nr. 223/2014, (ES) Nr. 283/2014 ir Sprendimas Nr. 541/2014/ES, bei panaikinamas Reglamentas (ES, Euratomas) Nr. 966/2012 (OL L 193, 2018 7 30, p. 1).
(10) 2001 m. gegužės 30 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 1049/2001 dėl galimybės visuomenei susipažinti su Europos Parlamento, Tarybos ir Komisijos dokumentais (OL L 145, 2001 5 31, p. 43).
ELI: http://data.europa.eu/eli/reg/2023/2841/oj
ISSN 1977-0723 (electronic edition)