keyboard_tab Cyber Resilience Act 2023/2841 LT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 4 straipsnis Asmens duomenų tvarkymas
- 2 5 straipsnis Priemonių įgyvendinimas
- 1 12 straipsnis Reikalavimų laikymasis
I SKYRIUS
BENDROSIOS NUOSTATOS
II SKYRIUS
PRIEMONĖS AUKŠTAM BENDRAM KIBERNETINIO SAUGUMO LYGIUI UŽTIKRINTI
III SKYRIUS
TARPINSTITUCINĖ KIBERNETINIO SAUGUMO TARYBA
IV SKYRIUS
CERT-EU
V SKYRIUS
PAREIGOS BENDRADARBIAUTI IR PRANEŠTI
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
- sąjungos 28
- pagal 25
- kibernetinio 14
- saugumo 14
- straipsnį 12
- tkst 10
- subjektas 8
- šį 7
- reglamentą 7
- subjektui 6
- cert-eu 6
- valdymo 6
- duomenų 6
- kaip 5
- veiksmų 5
- atitinkamas 5
- priemones 5
- reglamento 5
- asmens 5
- subjektai 5
- arba 5
- atitinkamam 5
- informaciją 4
- šio 4
- atlikti 4
- rizikos 4
- pateikti 4
- pateikia 4
- gaires 4
- imtis 4
- tikslais 3
- pagrįstą 3
- pašalinti 3
- nustatyti 3
- subjekto 3
- gali 3
- dėl 3
- priemonių 3
- straipsnis 3
- taryba 3
- būtina 3
- įsteigta 3
- tarpinstitucinė 3
- audito 2
- tiesiogiai 2
- duomenis 2
- tvarko 2
- pirmos 2
- kai 2
- kiek 2
4 straipsnis
Asmens duomenų tvarkymas
1. CERT-EU, pagal 10 straipsnį įsteigta Tarpinstitucinė kibernetinio saugumo taryba arba Sąjungos subjektai asmens duomenis pagal šį reglamentą tvarko pagal Reglamentą (ES) 2018/1725.
2. Kai CERT-EU, pagal 10 straipsnį įsteigta Tarpinstitucinė kibernetinio saugumo taryba ir Sąjungos subjektai atlieka užduotis arba vykdo pareigas pagal šį reglamentą, jie asmens duomenis tvarko ir jais keičiasi tik tiek, kiek tai būtina toms užduotims atlikti arba toms pareigoms vykdyti.
3. Specialių kategorijų asmens duomenų tvarkymas, kaip nurodyta Reglamento (ES) 2018/1725 10 straipsnio 1 dalyje, laikomas būtinu dėl svarbių viešojo intereso priežasčių pagal to reglamento 10 straipsnio 2 dalies g punktą. Tokie duomenys gali būti tvarkomi tik tiek, kiek tai būtina šio reglamento 6 ir 8 straipsniuose nurodytoms kibernetinio saugumo rizikos valdymo priemonėms įgyvendinti, CERT-EU paslaugoms teikti pagal šio reglamento 13 straipsnį, dalytis su incidentais susijusia informacija pagal 17 straipsnio 3 dalį ir 18 straipsnio 3 dalį, dalytis informacija pagal 20 straipsnį, vykdyti pareigas pranešti pagal 21 straipsnį, reagavimo į incidentus koordinavimui ir bendradarbiavimui pagal 22 straipsnį ir didelių incidentų valdymui pagal 23 straipsnį. Sąjungos subjektai ir CERT-EU, veikdami kaip duomenų valdytojai, taiko technines priemones, kad užkirstų kelią specialių kategorijų asmens duomenų tvarkymui kitais tikslais, ir numato tinkamas ir konkrečias priemones duomenų subjektų pagrindinėms teisėms ir interesams apsaugoti.
II SKYRIUS
PRIEMONĖS AUKŠTAM BENDRAM KIBERNETINIO SAUGUMO LYGIUI UŽTIKRINTI
5 straipsnis
Priemonių įgyvendinimas
1. Ne vėliau kaip 2024 m. rugsėjo 8 d. pagal 10 straipsnį įsteigta Tarpinstitucinė kibernetinio saugumo taryba, pasikonsultavusi su Europos Sąjungos kibernetinio saugumo agentūra (toliau – ENISA) ir gavusi rekomendacijų iš CERT-EU, pateikia gaires Sąjungos subjektams, kuriomis vadovaujantis būtų galima atlikti pradinę kibernetinio saugumo peržiūrą ir nustatyti vidaus kibernetinio saugumo rizikos valdymo, administravimo ir kontrolės sistemą pagal 6 straipsnį, atlikti kibernetinio saugumo brandos vertinimus pagal 7 straipsnį, imtis kibernetinio saugumo rizikos valdymo priemonių pagal 8 straipsnį ir priimti kibernetinio saugumo planą pagal 9 straipsnį.
2. Įgyvendindami 6–9 straipsnius, Sąjungos subjektai atsižvelgia į šio straipsnio 1 dalyje nurodytas gaires, taip pat į atitinkamas gaires ir rekomendacijas, priimtas pagal 11 ir 14 straipsnius.
12 straipsnis
Reikalavimų laikymasis
1. TKST pagal 10 straipsnio 2 dalį ir 11 straipsnį veiksmingai stebi, kaip įgyvendinamas šis reglamentas ir priimtos gairės, rekomendacijos ir raginimai Sąjungos subjektams imtis veiksmų. TKST gali prašyti Sąjungos subjektų pateikti tam tikslui reikalingą informaciją ar dokumentus. Atitikties užtikrinimo priemonių priėmimo pagal šį straipsnį tikslais, kai atitinkamas Sąjungos subjektas yra tiesiogiai atstovaujamas TKST, tam Sąjungos subjektui balsavimo teisės nesuteikiamos.
2. Jei TKST nustato, kad Sąjungos subjektas veiksmingai neįgyvendino šio reglamento arba pagal jį priimtų gairių, rekomendacijų ar raginimų imtis veiksmų, ji, nedarydama poveikio atitinkamo Sąjungos subjekto vidaus procedūroms ir suteikusi galimybę atitinkamam Sąjungos subjektui pateikti savo pastabas, gali:
| a) | perduoti pagrįstą nuomonę atitinkamam Sąjungos subjektui su nustatytomis spragomis įgyvendinant šį reglamentą; |
| b) | pasikonsultavusi su CERT-EU, pateikti atitinkamam Sąjungos subjektui gaires, kaip per nustatytą terminą užtikrinti, kad jo sistema, kibernetinio saugumo rizikos valdymo priemonės, kibernetinio saugumo planas ir teikiamos ataskaitos atitiktų šį reglamentą; |
| c) | teikti perspėjimą, kad per nustatytą terminą būtų pašalinti nustatyti trūkumai, įskaitant rekomendacijas iš dalies pakeisti priemones, kurias atitinkamas Sąjungos subjektas priėmė pagal šį reglamentą; |
| d) | pateikia pagrįstą pranešimą atitinkamam Sąjungos subjektui, jei pagal c punktą pateiktame perspėjime nustatyti trūkumai per nurodytą laikotarpį nebuvo pakankamai pašalinti; |
| e) | pateikia:
|
| f) | jei taikytina, informuoti Audito Rūmus, neviršijant jų įgaliojimų, apie įtariamą reikalavimų nesilaikymą; |
| g) | pateikti rekomendaciją, kad visos valstybės narės ir Sąjungos subjektai laikinai sustabdytų duomenų srautus į atitinkamą Sąjungos subjektą. |
Pirmos pastraipos c punkto tikslais perspėjimo auditorija tinkamai apribojama, kai tai būtina atsižvelgiant į kibernetinio saugumo riziką.
Pagal pirmą pastraipą teikiami perspėjimai ir rekomendacijos skiriami atitinkamo Sąjungos subjekto aukščiausiam valdymo lygmeniui.
3. Jeigu TKST yra patvirtinusi priemones pagal 2 dalies pirmos pastraipos a–g punktus, atitinkamas Sąjungos subjektas pateikia išsamią informaciją apie priemones ir veiksmus, kurių imtasi TKST nustatytiems įtariamiems trūkumams pašalinti. Sąjungos subjektas pateikia tą išsamią informaciją per pagrįstą laikotarpį, dėl kurio turi būti susitarta su TKST.
4. Jei TKST mano, kad Sąjungos subjektas nuolat pažeidžia šį reglamentą tiesiogiai dėl Sąjungos pareigūno ar kito tarnautojo, įskaitant aukščiausią valdymo lygmenį, veiksmų ar neveikimo, TKST prašo, kad atitinkamas Sąjungos subjektas imtųsi tinkamų veiksmų, be kita ko, prašydamas jo apsvarstyti galimybę imtis drausminio pobūdžio veiksmų, laikantis taisyklių ir procedūrų, nustatytų Tarnybos nuostatuose, kitų taikytinų taisyklių ir procedūrų. Tuo tikslu TKST perduoda reikiamą informaciją atitinkamam Sąjungos subjektui.
5. Kai Sąjungos subjektas informuoja negalintis laikytis 6 straipsnio 1 dalyje ir 8 straipsnio 1 dalyje nustatytų terminų, tinkamai pagrįstais atvejais, atsižvelgdama į Sąjungos subjekto dydį, TKST gali leisti pratęsti tuos terminus.
IV SKYRIUS
CERT-EU
whereas