keyboard_tab Cyber Resilience Act 2023/2841 LT

1.   CERT-EU misija – prisidėti prie Sąjungos subjektų neįslaptintos IRT aplinkos saugumo, konsultuojant juos kibernetinio saugumo klausimais, padedant jiems užkirsti kelią incidentams, juos atskleisti, valdyti, sušvelninti jų poveikį, į juos reaguoti ir atstatyti po jų veiklą, taip pat veikiant kaip jų keitimosi kibernetinio saugumo informacija ir reagavimo į incidentus koordinavimo centras.

2.   CERT-EU neįslaptintoje IRT infrastruktūroje renka, tvarko, analizuoja informaciją apie kibernetines grėsmes, pažeidžiamumą bei incidentus ir ja dalijasi su Sąjungos subjektais. Ji koordinuoja reagavimą į incidentus tarpinstituciniu ir Sąjungos subjektų lygmeniu, be kita ko, teikdamas specializuotą operatyvinę pagalbą arba koordinuodamas jos teikimą.

3.   Siekdama padėti Sąjungos subjektams, CERT-EU atlieka šias užduotis:

Pirmos pastraipos e punkte nurodyta informacija dalijamasi su TKST, CSIRT tinklu ir Europos Sąjungos žvalgybos ir situacijų centru (EU INTCEN), kai taikytina ir tinkama, laikantis tinkamų konfidencialumo sąlygų.

4.   CERT-EU gali atitinkamai pagal 17 arba 18 straipsnį bendradarbiauti su atitinkamomis kibernetinio saugumo bendruomenėmis Sąjungoje ir jos valstybėse narėse, be kita ko, šiose srityse:

5.   Savo kompetencijos srityje CERT-EU vykdo struktūrinį bendradarbiavimą su ENISA pajėgumų stiprinimo, operatyvinio bendradarbiavimo ir ilgalaikės strateginės kibernetinių grėsmių analizės srityse pagal Reglamentą (ES) 2019/881. CERT-EU gali bendradarbiauti ir keistis informacija su Europolo Europos kovos su elektroniniu nusikalstamumu centru.

6.   CERT-EU gali teikti šias paslaugas, kurios nėra aprašytos jos paslaugų kataloge (toliau – apmokestinamosios paslaugos):

Kalbant apie pirmos pastraipos d punktą, CERT-EU, gavusi išankstinį TKST pritarimą, išimtiniais atvejais gali sudaryti susitarimus dėl paslaugų lygio su subjektais, kurie nėra Sąjungos subjektai.

7.   CERT-EU rengia kibernetinio saugumo pratybas ir gali jose dalyvauti, arba rekomenduoti dalyvauti vykdomose pratybose, kai tinkama, glaudžiai bendradarbiaudama su ENISA, kad patikrintų Sąjungos subjektų kibernetinio saugumo lygį.

8.   CERT-EU gali teikti pagalbą Sąjungos subjektams dėl incidentų tinklų ir informacinėse sistemose, kuriose tvarkoma ESĮI, jei to aiškiai paprašo atitinkami Sąjungos subjektai pagal savo atitinkamas procedūras. CERT-EU pagalbos teikimas pagal šią dalį nedaro poveikio taikomoms taisyklėms dėl įslaptintos informacijos apsaugos.

9.   CERT-EU informuoja Sąjungos subjektus apie incidentų valdymo procedūras ir procesus.

10.   CERT-EU, užtikrindama aukštą konfidencialumo ir patikimumo lygį, naudodamasi tinkamais bendradarbiavimo mechanizmais ir atskaitomybės ryšiais, teikia aktualią ir anoniminę informaciją apie didelius incidentus ir apie tai, kaip jie buvo valdomi. Ta informacija įtraukiama į 10 straipsnio 14 dalyje nurodytą ataskaitą.

11.   CERT-EU, bendradarbiaudama su EDAPP, padeda atitinkamiems Sąjungos subjektams reaguoti į incidentus, dėl kurių pažeidžiamas asmens duomenų saugumas, nedarant poveikio EDAPP, kaip priežiūros institucijos, kompetencijai ir užduotims pagal Reglamentą (ES) 2018/1725.

12.   CERT-EU gali, jei to aiškiai paprašo Sąjungos subjektų politiniai skyriai, pateikti technines rekomendacijas arba nuomonę atitinkamais politiniais klausimais.

1.   CERT-EU integruojama į Komisijos generalinio direktorato administracinę struktūrą, kad galėtų naudotis Komisijos administravimo, finansų valdymo ir apskaitos paramos struktūromis, kartu išlaikant jos, kaip savarankiško tarpinstitucinio paslaugų visiems Sąjungos subjektams teikėjo statusą. Komisija informuoja TKST apie CERT-EU vietą administracinėje struktūroje ir su tuo susijusius pokyčius. Komisija reguliariai ir bet kuriuo atveju prieš sudarant bet kokią daugiametę finansinę programą pagal SESV 312 straipsnį peržiūri su CERT-EU susijusius administracinius susitarimus, kad būtų galima imtis tinkamų veiksmų. Atliekant peržiūrą svarstoma galimybė įsteigti CERT-EU kaip Sąjungos tarnybą.

2.   Taikydamas administracines ir finansines procedūras, CERT-EU vadovas veikia vadovaudamasis Komisijos nurodymais ir prižiūrint TKST.

3.   CERT-EU užduotys ir veikla, įskaitant pagal 13 straipsnio 3, 4, 5 ir 7 dalis ir 14 straipsnio 1 dalį CERT-EU teikiamas paslaugas Sąjungos subjektams, finansuojamas pagal daugiametės finansinės programos išlaidų kategoriją, skirtą Europos viešajam administravimui, finansuojamos pagal atskirą Komisijos biudžeto eilutę. CERT-EU skirti etatai išsamiai nurodomi Komisijos etatų plano išnašoje.

4.   Kiti nei šio straipsnio 3 dalyje nurodyti Sąjungos subjektai pagal tą dalį skiria CERT-EU metinį finansinį įnašą CERT-EU teikiamų paslaugų sąnaudoms padengti. Įnašai nustatomi remiantis TKST pateiktomis gairėmis ir dėl jų kiekvienas Sąjungos subjektas ir CERT-EU susitaria paslaugų lygio susitarimuose. Įnašai sudaro teisingą ir proporcingą visų suteiktų paslaugų sąnaudų dalį. Jos gaunamos pagal šio straipsnio 3 dalyje nurodytą atskirą biudžeto eilutę kaip vidaus asignuotosios pajamos, kaip numatyta Reglamento (ES, Euratomas) 2018/1046 21 straipsnio 3 dalies c punkte.

5.   Su pagal 13 straipsnio 6 dalį teikiamomis paslaugomis susijusios išlaidos susigrąžinamos iš CERT-EU paslaugas gaunančių Sąjungos subjektų. Pajamos priskiriamos išlaidoms padengti skirtoms biudžeto eilutėms.

1.   CERT-EU nepagrįstai nedelsdama bendradarbiauja ir keičiasi informacija su atitinkamais analogiškais valstybės narės centrais, visų pirma CSIRT, paskirtomis arba įsteigtomis pagal Direktyvos (ES) 2022/2555 10 straipsnį, arba, kai taikytina, su kompetentingomis institucijomis ir bendrais kontaktiniais punktais, paskirtais arba įsteigtais pagal tos direktyvos 8 straipsnį, klausimais, susijusiais su incidentais, kibernetinėmis grėsmėmis, pažeidžiamumais, vos neįvykusiais incidentais, galimomis atsakomosiomis priemonėmis ir geriausia praktika, taip pat visais klausimais, susijusiais su Sąjungos subjektų IRT aplinkos apsaugos gerinimu, be kita ko, pasitelkiant CSIRT tinklą, sukurtą pagal Direktyvos (ES) 2022/2555 15 straipsnį. CERT-EU padeda Komisijai EU-CyCLONe, įsteigtame pagal Direktyvos (ES) 2022/2555 16 straipsnį, koordinuoti didelio masto kibernetinio saugumo incidentų ir krizių valdymą.

2.   Kai CERT-EU sužino apie reikšmingą incidentą, vykstantį atitinkamos valstybės narės teritorijoje, ji nedelsdama pagal 1 dalį praneša visiems analogiškiems tos valstybės narės centrams.

3.   Su sąlyga, kad asmens duomenys yra saugomi pagal taikytinus Sąjungos duomenų apsaugos teisės aktus, CERT-EU nepagrįstai nedelsdama be paveikto Sąjungos subjekto leidimo keičiasi su analogiškais valstybės narės centrais atitinkama su incidentu susijusia informacija, kuri yra svarbi siekiant palengvinti panašių kibernetinių grėsmių ar incidentų nustatymą arba prisidėti prie incidento analizės. CERT-EU keičiasi su incidentu susijusia informacija, kurioje atskleidžiama kibernetinio saugumo incidento taikinio tapatybė, tik vienu iš šių atvejų:

Sprendimus keistis su incidentu susijusia informacija, atskleidžiančia incidento taikinio tapatybę pagal pirmos pastraipos b punktą, tvirtina CERT-EU vadovas. Prieš priimdama tokį sprendimą CERT-EU raštu susisiekia su paveiktu Sąjungos subjektu ir aiškiai paaiškina, kaip atskleidus jo tapatybę būtų galima išvengti incidentų kitur arba sumažinti jų poveikį. CERT-EU vadovas pateikia paaiškinimą ir aiškiai paprašo Sąjungos subjekto per nustatytą laikotarpį nurodyti, ar jis sutinka. CERT-EU vadovas taip pat informuoja Sąjungos subjektą, kad, atsižvelgdamas į pateiktą paaiškinimą, jis pasilieka teisę atskleisti informaciją net ir negavus sutikimo. Prieš atskleidžiant informaciją, apie tai pranešama paveiktam Sąjungos subjektui.

1.   CERT-EU gali bendradarbiauti su 17 straipsnyje nenurodytais analogiškais Sąjungos centrais, kuriems taikomi Sąjungos kibernetinio saugumo reikalavimai, įskaitant pramonės sektorių partnerius, klausimais, susijusiais su priemonėmis ir metodais, pavyzdžiui, specialia metodika, taktika, procedūromis ir geriausios praktikos pavyzdžiais, taip pat su kibernetinėmis grėsmėmis bei pažeidžiamumu. Kad galėtų visapusiškai bendradarbiauti su tokiais centrais CERT-EU kiekvienu atskiru atveju turi gauti išankstinį TKST pritarimą. Kai CERT-EU pradeda bendradarbiauti su tokiais analogiškais centrais, ji informuoja visus 17 straipsnio 1 dalyje nurodytus atitinkamus analogiškus valstybės narės centrus toje valstybėje narėje, kurioje centras yra įsisteigęs. Kai taikytina ir tinkama, toks bendradarbiavimas ir jo sąlygos, be kita ko, dėl kibernetinio saugumo, duomenų apsaugos ir informacijos tvarkymo, nustatomi specialiuose konfidencialumo susitarimuose, pvz., sutartyse ar administraciniuose susitarimuose. Konfidencialumo susitarimams nereikia išankstinio TKST pritarimo, tačiau apie juos informuojamas TKST pirmininkas. Iškilus skubiam ir neišvengiamam poreikiui keistis kibernetinio saugumo informacija Sąjungos subjektų ar kitos šalies interesais, CERT-EU gali tai daryti su subjektu, kurio konkreti kompetencija, pajėgumai ir ekspertinės žinios pagrįstai reikalingi siekiant patenkinti tokį skubų ir neišvengiamą poreikį, net jei CERT-EU su tuo subjektu nėra sudariusi konfidencialumo susitarimo. Tokiais atvejais CERT-EU nedelsdama informuoja TKST pirmininką ir atsiskaito TKST reguliariai teikdama ataskaitas arba rengdama posėdžius.

2.   CERT-EU gali bendradarbiauti su partneriais, pvz., komerciniais subjektais, įskaitant konkretaus pramonės sektoriaus subjektus, tarptautinėmis organizacijomis, ne Europos Sąjungos nacionaliniais subjektais arba atskirais ekspertais, kad surinktų informaciją apie bendro pobūdžio ir konkrečias kibernetines grėsmes, vos neįvykusius incidentus, pažeidžiamumą ir galimas atsakomąsias priemones. Kad galėtų platesniu mastu bendradarbiauti su tokiais partneriais CERT-EU kiekvienu atskiru atveju turi gauti išankstinį TKST pritarimą.

3.   CERT-EU, gavusi incidento paveikto Sąjungos subjekto sutikimą ir su sąlyga, kad su analogišku centru ar partneriu yra sudarytas informacijos neatskleidimo susitarimas arba sutartis, 1 ir 2 dalyse nurodytiems analogiškiems centrams ar partneriams gali teikti su incidentu susijusią informaciją tik tam, kad prisidėtų prie to incidento analizės.