keyboard_tab Cyber Resilience Act 2023/2841 LT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 4 straipsnis Asmens duomenų tvarkymas
- 2 17 straipsnis CERT-EU bendradarbiavimas su analogiškais valstybės narės centrais
- 1 20 straipsnis Dalijimosi kibernetinio saugumo informacija susitarimai
- 1 21 straipsnis Pareigos pranešti
- 1 23 straipsnis Didelių incidentų valdymas
I SKYRIUS
BENDROSIOS NUOSTATOS
II SKYRIUS
PRIEMONĖS AUKŠTAM BENDRAM KIBERNETINIO SAUGUMO LYGIUI UŽTIKRINTI
III SKYRIUS
TARPINSTITUCINĖ KIBERNETINIO SAUGUMO TARYBA
IV SKYRIUS
CERT-EU
V SKYRIUS
PAREIGOS BENDRADARBIAUTI IR PRANEŠTI
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
- sąjungos 35
- cert-eu 30
- pagal 27
- arba 23
- apie 18
- subjektai 13
- informacija 13
- kibernetinio 13
- saugumo 13
- incidentus 12
- poveikį 11
- incidentų 11
- gali 10
- straipsnį 10
- informaciją 9
- subjektas 9
- dėl 8
- nepagrįstai 8
- kaip 8
- didelių 8
- incidento 8
- subjekto 7
- duomenų 7
- direktyvos 7
- sąjungos 7
- asmens 6
- incidentą 6
- susijusia 6
- subjektų 6
- aiškiai 6
- tkst 6
- valstybės 6
- incidentais 6
- narės 6
- dalytis 5
- atveju 5
- valdymo 5
- straipsnis 5
- poveikio 5
- cert-eu 5
- incidentas 5
- ataskaitą 5
- taikytina 5
- incidentu 4
- keičiasi 4
- kurios 4
- kurioje 4
- kai 4
- imtis 4
- pranešimo 4
4 straipsnis
Asmens duomenų tvarkymas
1. CERT-EU, pagal 10 straipsnį įsteigta Tarpinstitucinė kibernetinio saugumo taryba arba Sąjungos subjektai asmens duomenis pagal šį reglamentą tvarko pagal Reglamentą (ES) 2018/1725.
2. Kai CERT-EU, pagal 10 straipsnį įsteigta Tarpinstitucinė kibernetinio saugumo taryba ir Sąjungos subjektai atlieka užduotis arba vykdo pareigas pagal šį reglamentą, jie asmens duomenis tvarko ir jais keičiasi tik tiek, kiek tai būtina toms užduotims atlikti arba toms pareigoms vykdyti.
3. Specialių kategorijų asmens duomenų tvarkymas, kaip nurodyta Reglamento (ES) 2018/1725 10 straipsnio 1 dalyje, laikomas būtinu dėl svarbių viešojo intereso priežasčių pagal to reglamento 10 straipsnio 2 dalies g punktą. Tokie duomenys gali būti tvarkomi tik tiek, kiek tai būtina šio reglamento 6 ir 8 straipsniuose nurodytoms kibernetinio saugumo rizikos valdymo priemonėms įgyvendinti, CERT-EU paslaugoms teikti pagal šio reglamento 13 straipsnį, dalytis su incidentais susijusia informacija pagal 17 straipsnio 3 dalį ir 18 straipsnio 3 dalį, dalytis informacija pagal 20 straipsnį, vykdyti pareigas pranešti pagal 21 straipsnį, reagavimo į incidentus koordinavimui ir bendradarbiavimui pagal 22 straipsnį ir didelių incidentų valdymui pagal 23 straipsnį. Sąjungos subjektai ir CERT-EU, veikdami kaip duomenų valdytojai, taiko technines priemones, kad užkirstų kelią specialių kategorijų asmens duomenų tvarkymui kitais tikslais, ir numato tinkamas ir konkrečias priemones duomenų subjektų pagrindinėms teisėms ir interesams apsaugoti.
II SKYRIUS
PRIEMONĖS AUKŠTAM BENDRAM KIBERNETINIO SAUGUMO LYGIUI UŽTIKRINTI
17 straipsnis
CERT-EU bendradarbiavimas su analogiškais valstybės narės centrais
1. CERT-EU nepagrįstai nedelsdama bendradarbiauja ir keičiasi informacija su atitinkamais analogiškais valstybės narės centrais, visų pirma CSIRT, paskirtomis arba įsteigtomis pagal Direktyvos (ES) 2022/2555 10 straipsnį, arba, kai taikytina, su kompetentingomis institucijomis ir bendrais kontaktiniais punktais, paskirtais arba įsteigtais pagal tos direktyvos 8 straipsnį, klausimais, susijusiais su incidentais, kibernetinėmis grėsmėmis, pažeidžiamumais, vos neįvykusiais incidentais, galimomis atsakomosiomis priemonėmis ir geriausia praktika, taip pat visais klausimais, susijusiais su Sąjungos subjektų IRT aplinkos apsaugos gerinimu, be kita ko, pasitelkiant CSIRT tinklą, sukurtą pagal Direktyvos (ES) 2022/2555 15 straipsnį. CERT-EU padeda Komisijai EU-CyCLONe, įsteigtame pagal Direktyvos (ES) 2022/2555 16 straipsnį, koordinuoti didelio masto kibernetinio saugumo incidentų ir krizių valdymą.
2. Kai CERT-EU sužino apie reikšmingą incidentą, vykstantį atitinkamos valstybės narės teritorijoje, ji nedelsdama pagal 1 dalį praneša visiems analogiškiems tos valstybės narės centrams.
3. Su sąlyga, kad asmens duomenys yra saugomi pagal taikytinus Sąjungos duomenų apsaugos teisės aktus, CERT-EU nepagrįstai nedelsdama be paveikto Sąjungos subjekto leidimo keičiasi su analogiškais valstybės narės centrais atitinkama su incidentu susijusia informacija, kuri yra svarbi siekiant palengvinti panašių kibernetinių grėsmių ar incidentų nustatymą arba prisidėti prie incidento analizės. CERT-EU keičiasi su incidentu susijusia informacija, kurioje atskleidžiama kibernetinio saugumo incidento taikinio tapatybė, tik vienu iš šių atvejų:
| a) | laikomasi Sąjungos duomenų apsaugos teisės aktų, o paveiktas Sąjungos subjektas duoda sutikimą; |
| b) | paveiktas Sąjungos subjektas neduoda sutikimo, kaip numatyta a punkte, tačiau atskleidus paveikto Sąjungos subjekto tapatybę padidėtų tikimybė, kad kitur bus išvengta incidentų arba jų poveikis bus sumažintas; |
| c) | paveiktas Sąjungos subjektas jau viešai paskelbė, kad buvo paveiktas. |
Sprendimus keistis su incidentu susijusia informacija, atskleidžiančia incidento taikinio tapatybę pagal pirmos pastraipos b punktą, tvirtina CERT-EU vadovas. Prieš priimdama tokį sprendimą CERT-EU raštu susisiekia su paveiktu Sąjungos subjektu ir aiškiai paaiškina, kaip atskleidus jo tapatybę būtų galima išvengti incidentų kitur arba sumažinti jų poveikį. CERT-EU vadovas pateikia paaiškinimą ir aiškiai paprašo Sąjungos subjekto per nustatytą laikotarpį nurodyti, ar jis sutinka. CERT-EU vadovas taip pat informuoja Sąjungos subjektą, kad, atsižvelgdamas į pateiktą paaiškinimą, jis pasilieka teisę atskleisti informaciją net ir negavus sutikimo. Prieš atskleidžiant informaciją, apie tai pranešama paveiktam Sąjungos subjektui.
20 straipsnis
Dalijimosi kibernetinio saugumo informacija susitarimai
1. Sąjungos subjektai gali savanoriškai pranešti CERT-EU apie jiems poveikį darančius incidentus, kibernetines grėsmes, vos neįvykusius incidentus ir pažeidžiamumą, ir teikti CERT-EU informaciją apie juos. Siekiant palengvinti keitimąsi informacija su Sąjungos subjektais, CERT-EU užtikrina, kad būtų galima naudotis veiksmingomis, aukšto lygio atsekamumo, konfidencialumo ir patikimumo komunikacijos priemonėmis. CERT-EU, tvarkydama pranešimus, gali teikti pirmenybę privalomų pranešimų tvarkymui, palyginti su savanoriškais pranešimais. Nedarant poveikio 12 straipsniui, dėl savanoriško pranešimo pranešimą teikiančiam Sąjungos subjektui nenustatoma jokių papildomų pareigų, kurios jam nebūtų taikomos, jei jis nebūtų pateikęs pranešimo.
2. Kad galėtų vykdyti savo misiją ir užduotis, pavestas pagal 13 straipsnį, CERT-EU gali reikalauti, kad Sąjungos subjektai jai teiktų informaciją iš savo atitinkamų IRT sistemų aprašų, įskaitant informaciją, susijusią su kibernetinėmis grėsmėmis, vos neįvykusiais incidentais, pažeidžiamumais, užvaldymo rodikliais, kibernetinio saugumo įspėjimais ir rekomendacijomis dėl kibernetinio saugumo priemonių konfigūracijos siekiant aptikti incidentus. Sąjungos subjektas, į kurį kreipiamasi, nepagrįstai nedelsdamas perduoda prašomą informaciją ir visus vėlesnius jos atnaujinimus.
3. CERT-EU gali su Sąjungos subjektais keistis su incidentu susijusia informacija, kurioje atskleidžiama nuo kibernetinio saugumo incidento nukentėjusio Sąjungos subjekto tapatybė su sąlyga, kad nukentėjęs Sąjungos subjektas sutinka. Jei Sąjungos subjektas sutikimo neduoda, jis CERT-EU pateikia tokį sprendimą pagrindžiančias priežastis.
4. Sąjungos subjektai, gavę prašymą, dalijasi informacija apie kibernetinio saugumo planų įgyvendinimą su Europos Parlamentu ir Taryba.
5. Gavus prašymą, atitinkamai TKST arba CERT-EU dalijasi gairėmis, rekomendacijomis ir raginimais imtis veiksmų su Europos Parlamentu ir Taryba.
6. Šiame straipsnyje nustatytos pareigos dalytis netaikomos:
| a) | ESĮI; |
| b) | informacijai, kurios tolesnis platinimas uždraustas aiškiai pažymint, išskyrus atvejus, kai ja aiškiai leidžiama dalytis su CERT-EU. |
21 straipsnis
Pareigos pranešti
1. Incidentas laikomas reikšmingu, jeigu:
| a) | dėl jo atitinkamas Sąjungos subjektas patyrė arba gali patirti didelių veikimo sutrikimų arba finansinių nuostolių; |
| b) | jis paveikė arba gali paveikti kitus fizinius ar juridinius asmenis sukeldamas didelę materialinę arba neturtinę žalą. |
2. Sąjungos subjektai CERT-EU pateikia:
| a) | nepagrįstai nedelsiant ir bet kuriuo atveju per 24 valandas nuo tada, kai sužinojo apie reikšmingą incidentą, – ankstyvąjį perspėjimą, kuriame, kai taikytina, nurodoma, kad reikšmingą incidentą, kaip įtariama, sukėlė neteisėti ar piktavališki veiksmai arba, kad jis galėtų daryti poveikį keliems subjektams ar tarpvalstybinį poveikį; |
| b) | nepagrįstai nedelsdami ir bet kuriuo atveju per 72 valandas nuo tada, kai sužinojo apie didelį incidentą, – pranešimą apie incidentą, kuriame, kai taikytina, atnaujinama a punkte nurodyta informacija ir nurodomas didelio incidento, įskaitant jo sunkumą ir poveikį, pradinis vertinimas, taip pat nurodomi užvaldymo rodikliai, jei tokių yra; |
| c) | CERT-EU prašymu – tarpinę ataskaitą apie atitinkamus atnaujintus duomenis apie padėtį; |
| d) | ne vėliau kaip per vieną mėnesį nuo b punkte nurodyto pranešimo apie incidentą – galutinę ataskaitą, kurioje pateikiama ši informacija:
|
| e) | tuo atveju, jei d punkte nurodytos galutinės ataskaitos pateikimo metu incidentas tebevyksta, – to meto pažangos ataskaitą, o galutinę ataskaitą – per vieną mėnesį nuo tada, kai suvaldė incidentą. |
3. Sąjungos subjektas nepagrįstai nedelsdamas ir bet kuriuo atveju per 24 valandas nuo tada, kai sužinojo apie reikšmingą incidentą, informuoja visus atitinkamus 17 straipsnio 1 dalyje nurodytus analogiškus valstybės narės centrus toje valstybėje narėje, kurioje yra subjektas, kad įvyko reikšmingas incidentas.
4. Sąjungos subjektai, inter alia, praneša bet kokią informaciją, kuri gali padėti CERT-EU nustatyti bet kokį poveikį keliems subjektams, poveikį priimančiajai valstybei narei arba tarpvalstybinį reikšmingo incidento poveikį. Nedarant poveikio 12 straipsnio taikymui, vien dėl pranešimo veiksmo negali būti padidinama Sąjungos subjekto atsakomybė.
5. Kai taikytina, Sąjungos subjektai nepagrįstai nedelsdami informuoja paveiktų tinklų ir informacinių sistemų arba kitų IRT aplinkos komponentų naudotojus, kuriuos reikšmingas incidentas arba didelė kibernetinė grėsmė galėjo paveikti ir kurie, kai tinkama, turi imtis poveikio mažinimo priemonių, apie visas priemones ar teisių gynimo priemones, kurių jie gali imtis reaguodami į tą incidentą arba tą grėsmę. Atitinkamais atvejais Sąjungos subjektai praneša tiems naudotojams apie pačią didelę kibernetinę grėsmę.
6. Kai reikšmingas incidentas ar didelė kibernetinė grėsmė daro poveikį tinklų ar informacinei sistemai arba Sąjungos subjekto IRT aplinkos komponentui, kuris, kaip žinoma, yra sujungtas su kito Sąjungos subjekto aplinka, CERT-EU paskelbia atitinkamą kibernetinio saugumo įspėjimą.
7. Sąjungos subjektai CERT-EU prašymu nepagrįstai nedelsdami suteikia CERT-EU skaitmeninę informaciją, sukurtą naudojant elektroninius įtaisus, susijusius su atitinkamais incidentais. CERT-EU gali pateikti išsamesnės informacijos apie tai, kokios rūšies informacijos jai reikia informuotumo apie padėtį ir reagavimo į incidentus tikslais.
8. CERT-EU kas tris mėnesius TKST, ENISA, ES INTCEN ir CSIRT tinklui pateikia apibendrinamąją ataskaitą, įskaitant nuasmenintus ir apibendrintus duomenis apie reikšmingus incidentus, incidentus, kibernetines grėsmes, vos neįvykusius incidentus ir pažeidžiamumus pagal 20 straipsnį ir reikšmingus incidentus, apie kuriuos pranešta pagal šio straipsnio 2 dalį. Apibendrinamoji ataskaita laikoma indėliu kas dvejus metus rengiant ataskaitą dėl kibernetinio saugumo padėties Sąjungoje, priimamą pagal Direktyvos (ES) 2022/2555 18 straipsnį.
9. TKST ne vėliau kaip 2024 m. liepos 8 d. paskelbia gaires arba rekomendacijas, kuriose toliau patikslinami pagal šį straipsnį teikiamų ataskaitų tvarka, forma ir turinys. Rengdama tokias gaires ar rekomendacijas, TKST atsižvelgia į visus pagal Direktyvos (ES) 2022/2555 23 straipsnio 11 dalį priimtus įgyvendinimo aktus, kuriuose nurodomi informacijos rūšis, formatas ir pranešimų teikimo procedūra. CERT-EU platina atitinkamą techninę informaciją, kad Sąjungos subjektai galėtų aktyviai aptikti incidentus, reaguoti į juos arba imtis rizikos mažinimo priemonių.
10. Šiame straipsnyje nustatytos pareigos pranešti netaikomos:
| a) | ESĮI; |
| b) | informacijai, kurios tolesnis platinimas uždraustas aiškiai pažymint, išskyrus atvejus, kai ja aiškiai leidžiama dalytis su CERT-EU. |
23 straipsnis
Didelių incidentų valdymas
1. Siekdama operaciniu lygmeniu remti suderintą didelių incidentų, darančių poveikį Sąjungos subjektams, valdymą ir prisidėti prie reguliaraus Sąjungos subjektų tarpusavio keitimosi atitinkama informacija ir keitimosi ja su valstybėmis narėmis, TKST, glaudžiai bendradarbiaudama su CERT-EU ir ENISA, pagal 11 straipsnio q punktą parengia kibernetinių krizių valdymo planą, grindžiamą 22 straipsnio 2 dalyje nurodyta veikla. Į kibernetinių krizių valdymo planą įtraukiami bent šie aspektai:
| a) | susitarimai dėl Sąjungos subjektų veiksmų koordinavimo ir informacijos srautų, susijusių su didelių incidentų valdymu operaciniu lygmeniu; |
| b) | bendros standartinės veiklos procedūros (SVP); |
| c) | bendra didelių incidentų rimtumo ir krizę sukeliančių veiksnių taksonomija; |
| d) | reguliarios pratybos; |
| e) | naudotini saugūs ryšių kanalai. |
2. Komisijos atstovas TKST, atsižvelgiant į pagal šio straipsnio 1 dalį priimtą kibernetinių krizių valdymo planą ir nedarant poveikio Direktyvos (ES) 2022/2555 16 straipsnio 2 dalies pirmai pastraipai, yra kontaktinis punktas keičiantis svarbia informacija, susijusia su dideliais incidentais EU-CyCLONe.
3. CERT-EU koordinuoja Sąjungos subjektų veiksmus valdant didelius incidentus. Ji tvarko turimų techninių ekspertinių žinių, kurių reikėtų reaguojant į incidentus didelių incidentų atveju, aprašą ir padeda TKST koordinuoti Sąjungos subjektų didelių incidentų sukeltos kibernetinės krizės valdymo planus, nurodytus 9 straipsnio 2 dalyje.
4. Sąjungos subjektai prisideda prie techninių ekspertinių žinių aprašo, pateikdami kasmet atnaujinamą atitinkamose jų organizacijose turimų ekspertų sąrašą, kuriame išsamiai nurodomi jų konkretūs techniniai įgūdžiai.
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
whereas