keyboard_tab Cyber Resilience Act 2023/2841 LT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 4 straipsnis Asmens duomenų tvarkymas
- 1 8 straipsnis Kibernetinio saugumo rizikos valdymo priemonės
- 1 12 straipsnis Reikalavimų laikymasis
- 1 25 straipsnis Peržiūra
- 26 straipsnis Įsigaliojimas
I SKYRIUS
BENDROSIOS NUOSTATOS
II SKYRIUS
PRIEMONĖS AUKŠTAM BENDRAM KIBERNETINIO SAUGUMO LYGIUI UŽTIKRINTI
III SKYRIUS
TARPINSTITUCINĖ KIBERNETINIO SAUGUMO TARYBA
IV SKYRIUS
CERT-EU
V SKYRIUS
PAREIGOS BENDRADARBIAUTI IR PRANEŠTI
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
- sąjungos 34
- saugumo 32
- kibernetinio 25
- pagal 20
- valdymo 15
- tkst 11
- reglamento 10
- kaip 10
- rizikos 9
- įskaitant 9
- cert-eu 9
- šio 9
- subjektas 9
- šį 8
- reglamentą 8
- priemones 8
- dėl 7
- straipsnį 7
- subjektai 7
- subjekto 6
- subjektui 6
- paslaugų 6
- duomenų 6
- veiksmų 6
- priemonių 6
- arba 6
- politikos 5
- asmens 5
- atitinkamam 5
- gali 5
- pateikia 5
- pirmos 4
- pastraipos 4
- tikslais 4
- vėliau 4
- atitinkamas 4
- apie 4
- incidentus 4
- informaciją 4
- incidentų 4
- europos 4
- pateikti 4
- straipsnis 4
- būtina 4
- tinklų 3
- informacija 3
- pažeidžiamumą 3
- įrangos 3
- programinės 3
- tinkamai 3
4 straipsnis
Asmens duomenų tvarkymas
1. CERT-EU, pagal 10 straipsnį įsteigta Tarpinstitucinė kibernetinio saugumo taryba arba Sąjungos subjektai asmens duomenis pagal šį reglamentą tvarko pagal Reglamentą (ES) 2018/1725.
2. Kai CERT-EU, pagal 10 straipsnį įsteigta Tarpinstitucinė kibernetinio saugumo taryba ir Sąjungos subjektai atlieka užduotis arba vykdo pareigas pagal šį reglamentą, jie asmens duomenis tvarko ir jais keičiasi tik tiek, kiek tai būtina toms užduotims atlikti arba toms pareigoms vykdyti.
3. Specialių kategorijų asmens duomenų tvarkymas, kaip nurodyta Reglamento (ES) 2018/1725 10 straipsnio 1 dalyje, laikomas būtinu dėl svarbių viešojo intereso priežasčių pagal to reglamento 10 straipsnio 2 dalies g punktą. Tokie duomenys gali būti tvarkomi tik tiek, kiek tai būtina šio reglamento 6 ir 8 straipsniuose nurodytoms kibernetinio saugumo rizikos valdymo priemonėms įgyvendinti, CERT-EU paslaugoms teikti pagal šio reglamento 13 straipsnį, dalytis su incidentais susijusia informacija pagal 17 straipsnio 3 dalį ir 18 straipsnio 3 dalį, dalytis informacija pagal 20 straipsnį, vykdyti pareigas pranešti pagal 21 straipsnį, reagavimo į incidentus koordinavimui ir bendradarbiavimui pagal 22 straipsnį ir didelių incidentų valdymui pagal 23 straipsnį. Sąjungos subjektai ir CERT-EU, veikdami kaip duomenų valdytojai, taiko technines priemones, kad užkirstų kelią specialių kategorijų asmens duomenų tvarkymui kitais tikslais, ir numato tinkamas ir konkrečias priemones duomenų subjektų pagrindinėms teisėms ir interesams apsaugoti.
II SKYRIUS
PRIEMONĖS AUKŠTAM BENDRAM KIBERNETINIO SAUGUMO LYGIUI UŽTIKRINTI
8 straipsnis
Kibernetinio saugumo rizikos valdymo priemonės
1. Kiekvienas Sąjungos subjektas, prižiūrimas jo aukščiausio valdymo lygmens, nepagrįstai nedelsdamas ir bet kuriuo atveju ne vėliau kaip 2025 m. rugsėjo 8 d. imasi tinkamų ir proporcingų techninių, operacinių ir organizacinių priemonių, kuriomis valdoma pagal Sistemą nustatyta kibernetinio saugumo rizika ir užkertamas kelias incidentams arba kuo labiau sumažinamas incidentų poveikis. Atsižvelgiant į naujausias technologijas ir, kai taikoma, atitinkamus Europos ir tarptautinius standartus, tomis priemonėmis užtikrinamas tinklų ir informacinių sistemų saugumo lygis visoje IRT aplinkoje, proporcingas kylančiai kibernetinio saugumo rizikai. Vertinant tų priemonių proporcingumą, tinkamai atsižvelgiama į Sąjungos subjekto patiriamos kibernetinio saugumo rizikos laipsnį, jo dydį ir incidentų tikimybę ir jų sunkumą, įskaitant jų poveikį visuomenei, ekonomikai ir tarpinstitucinį poveikį.
2. Sąjungos subjektai, įgyvendindami kibernetinio saugumo rizikos valdymo priemones, imasi priemonių bent šiose konkrečiose srityse:
| a) | kibernetinio saugumo politikos, įskaitant priemones, būtinas 6 straipsnyje ir šio straipsnio 3 dalyje nurodytiems tikslams ir prioritetams pasiekti; |
| b) | kibernetinio saugumo rizikos analizės ir informacinių sistemų saugumo politikos; |
| c) | politikos tikslų, susijusių su debesijos kompiuterijos paslaugų naudojimu; |
| d) | kai tinkama, kibernetinio saugumo audito, kuris gali apimti kibernetinio saugumo rizikos, pažeidžiamumo ir kibernetinių grėsmių vertinimą ir skverbimosi testavimą, kurį reguliariai atlieka patikimas privatus paslaugų teikėjas; |
| e) | rekomendacijų, pateiktų atlikus d punkte nurodytus kibernetinio saugumo auditus, įgyvendinimo pasitelkiant kibernetinio saugumo priemones ir politikos atnaujinimus; |
| f) | kibernetinio saugumo organizavimo, įskaitant funkcijų ir pareigų nustatymą; |
| g) | turto valdymo, įskaitant IRT turto aprašo ir IRT tinklo kartografijos sudarymą; |
| h) | žmogiškųjų išteklių saugumo ir prieigos kontrolės; |
| i) | operacijų saugumo; |
| j) | ryšių saugumo; |
| k) | sistemos įsigijimo, plėtojimo ir techninės priežiūros, įskaitant pažeidžiamumo valdymo ir atskleidimo politiką; |
| l) | kai įmanoma, pirminio kodo skaidrumo politikos; |
| m) | tiekimo grandinės saugumo, įskaitant su saugumu susijusius aspektus, susijusius su kiekvieno Sąjungos subjekto ir jo tiesioginių tiekėjų ar paslaugų teikėjų santykiais; |
| n) | incidentų valdymo ir bendradarbiavimo su CERT-EU, pvz., saugumo stebėsenos ir registravimo užtikrinimo; |
| o) | veiklos tęstinumo valdymo, pvz., atsarginių kopijų valdymo ir veiklos atkūrimo po ekstremaliųjų įvykių, taip pat krizių valdymo; ir |
| p) | švietimo, įgūdžių, informuotumo didinimo, pratybų ir mokymo programų kibernetinio saugumo srityje skatinimo ir plėtojimo. |
Pirmos pastraipos m punkto taikymo tikslais Sąjungos subjektai atsižvelgia į kiekvienam tiesioginiam tiekėjui ir paslaugų teikėjui būdingą pažeidžiamumą ir bendrą savo tiekėjų bei paslaugų teikėjų produktų kokybę ir kibernetinio saugumo praktiką, įskaitant jų saugaus plėtojimo procedūras.
3. Sąjungos subjektai imasi bent šių konkrečių kibernetinio saugumo rizikos valdymo priemonių:
| a) | techninių priemonių, kuriomis sudaromos sąlygos nuotoliniam darbui ir jis palaikomas; |
| b) | konkrečių veiksmų siekiant nulinio pasitikėjimo principų; |
| c) | naudoja daugiaveiksnio tapatumo nustatymo būdą kaip visose tinklų ir informacinėse sistemose taikomą standartą; |
| d) | naudoja kriptografiją ir šifravimą, visų pirma ištisinį šifravimą, taip pat saugų skaitmeninį pasirašymą; |
| e) | kai taikytina, naudoja saugius balso, vaizdo ir teksto ryšius bei saugias avarinių ryšių sistemas Sąjungos subjekte; |
| f) | iniciatyvių kenkimo programinės įrangos ir šnipinėjimo programų aptikimo ir pašalinimo priemonių; |
| g) | užtikrina programinės įrangos tiekimo grandinės saugumą, taikydami saugios programinės įrangos kūrimo ir vertinimo kriterijus; |
| h) | parengia ir patvirtina mokymo programas kibernetinio saugumo srityje, atitinkančias Sąjungos subjekto aukščiausio valdymo lygmeniui ir darbuotojams, kuriems pavesta užtikrinti veiksmingą šio reglamento įgyvendinimą, nustatytus uždavinius ir numatytus gebėjimus; |
| i) | vykdo reguliarius darbuotojų mokymus kibernetinio saugumo klausimais; |
| j) | prireikus dalyvauja atliekant dėl Sąjungos subjektų sujungiamumo kylančios rizikos analizę; |
| k) | sugriežtina viešųjų pirkimų taisykles, kad būtų sudarytos palankesnės sąlygos užtikrinti aukštą bendrą kibernetinio saugumo lygį:
|
12 straipsnis
Reikalavimų laikymasis
1. TKST pagal 10 straipsnio 2 dalį ir 11 straipsnį veiksmingai stebi, kaip įgyvendinamas šis reglamentas ir priimtos gairės, rekomendacijos ir raginimai Sąjungos subjektams imtis veiksmų. TKST gali prašyti Sąjungos subjektų pateikti tam tikslui reikalingą informaciją ar dokumentus. Atitikties užtikrinimo priemonių priėmimo pagal šį straipsnį tikslais, kai atitinkamas Sąjungos subjektas yra tiesiogiai atstovaujamas TKST, tam Sąjungos subjektui balsavimo teisės nesuteikiamos.
2. Jei TKST nustato, kad Sąjungos subjektas veiksmingai neįgyvendino šio reglamento arba pagal jį priimtų gairių, rekomendacijų ar raginimų imtis veiksmų, ji, nedarydama poveikio atitinkamo Sąjungos subjekto vidaus procedūroms ir suteikusi galimybę atitinkamam Sąjungos subjektui pateikti savo pastabas, gali:
| a) | perduoti pagrįstą nuomonę atitinkamam Sąjungos subjektui su nustatytomis spragomis įgyvendinant šį reglamentą; |
| b) | pasikonsultavusi su CERT-EU, pateikti atitinkamam Sąjungos subjektui gaires, kaip per nustatytą terminą užtikrinti, kad jo sistema, kibernetinio saugumo rizikos valdymo priemonės, kibernetinio saugumo planas ir teikiamos ataskaitos atitiktų šį reglamentą; |
| c) | teikti perspėjimą, kad per nustatytą terminą būtų pašalinti nustatyti trūkumai, įskaitant rekomendacijas iš dalies pakeisti priemones, kurias atitinkamas Sąjungos subjektas priėmė pagal šį reglamentą; |
| d) | pateikia pagrįstą pranešimą atitinkamam Sąjungos subjektui, jei pagal c punktą pateiktame perspėjime nustatyti trūkumai per nurodytą laikotarpį nebuvo pakankamai pašalinti; |
| e) | pateikia:
|
| f) | jei taikytina, informuoti Audito Rūmus, neviršijant jų įgaliojimų, apie įtariamą reikalavimų nesilaikymą; |
| g) | pateikti rekomendaciją, kad visos valstybės narės ir Sąjungos subjektai laikinai sustabdytų duomenų srautus į atitinkamą Sąjungos subjektą. |
Pirmos pastraipos c punkto tikslais perspėjimo auditorija tinkamai apribojama, kai tai būtina atsižvelgiant į kibernetinio saugumo riziką.
Pagal pirmą pastraipą teikiami perspėjimai ir rekomendacijos skiriami atitinkamo Sąjungos subjekto aukščiausiam valdymo lygmeniui.
3. Jeigu TKST yra patvirtinusi priemones pagal 2 dalies pirmos pastraipos a–g punktus, atitinkamas Sąjungos subjektas pateikia išsamią informaciją apie priemones ir veiksmus, kurių imtasi TKST nustatytiems įtariamiems trūkumams pašalinti. Sąjungos subjektas pateikia tą išsamią informaciją per pagrįstą laikotarpį, dėl kurio turi būti susitarta su TKST.
4. Jei TKST mano, kad Sąjungos subjektas nuolat pažeidžia šį reglamentą tiesiogiai dėl Sąjungos pareigūno ar kito tarnautojo, įskaitant aukščiausią valdymo lygmenį, veiksmų ar neveikimo, TKST prašo, kad atitinkamas Sąjungos subjektas imtųsi tinkamų veiksmų, be kita ko, prašydamas jo apsvarstyti galimybę imtis drausminio pobūdžio veiksmų, laikantis taisyklių ir procedūrų, nustatytų Tarnybos nuostatuose, kitų taikytinų taisyklių ir procedūrų. Tuo tikslu TKST perduoda reikiamą informaciją atitinkamam Sąjungos subjektui.
5. Kai Sąjungos subjektas informuoja negalintis laikytis 6 straipsnio 1 dalyje ir 8 straipsnio 1 dalyje nustatytų terminų, tinkamai pagrįstais atvejais, atsižvelgdama į Sąjungos subjekto dydį, TKST gali leisti pratęsti tuos terminus.
IV SKYRIUS
CERT-EU
25 straipsnis
Peržiūra
1. TKST, padedant CERT-EU, ne vėliau kaip 2025 m. sausio 8 d., o vėliau – kasmet, teikia Komisijai šio reglamento įgyvendinimo ataskaitą. TKST gali teikti rekomendacijas Komisijai peržiūrėti šį reglamentą.
2. Komisija ne vėliau kaip 2027 m. sausio 8 d., o vėliau – kas dvejus metus, įvertina šio reglamento įgyvendinimą ir strateginiu bei veiklos lygmenimis įgytą patirtį ir pateikia ataskaitą Europos Parlamentui ir Tarybai.
Šios dalies pirmos pastraipos nurodytoje ataskaitoje pateikiama 16 straipsnio 1 dalyje nurodyta peržiūra dėl galimybės įsteigti CERT-EU kaip Sąjungos tarnybą.
3. Komisija ne vėliau kaip 2029 m. sausio 8 d. įvertina šio reglamento veikimą ir pateikia ataskaitą Europos Parlamentui, Tarybai, Europos ekonomikos ir socialinių reikalų komitetui bei Regionų komitetui. Komisija taip pat įvertina, ar tikslinga į šio reglamento taikymo sritį įtraukti tinklų ir informacines sistemas, kuriose tvarkoma ESĮI, atsižvelgdama į kitus toms sistemoms taikomus Sąjungos teisėkūros procedūra priimtus aktus. Kai būtina, prie ataskaitos pridedamas pasiūlymas dėl teisėkūros procedūra priimamo akto.
whereas