keyboard_tab Cyber Resilience Act 2023/2841 LT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 13 straipsnis CERT-EU misija ir užduotys
- 2 18 straipsnis CERT-EU bendradarbiavimas su kitais analogiškais centrais
- 1 19 straipsnis Duomenų tvarkymas
- 3 21 straipsnis Pareigos pranešti
- 1 23 straipsnis Didelių incidentų valdymas
I SKYRIUS
BENDROSIOS NUOSTATOS
II SKYRIUS
PRIEMONĖS AUKŠTAM BENDRAM KIBERNETINIO SAUGUMO LYGIUI UŽTIKRINTI
III SKYRIUS
TARPINSTITUCINĖ KIBERNETINIO SAUGUMO TARYBA
IV SKYRIUS
CERT-EU
V SKYRIUS
PAREIGOS BENDRADARBIAUTI IR PRANEŠTI
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
- sąjungos 40
- cert-eu 27
- apie 23
- arba 22
- tkst 17
- pagal 16
- gali 16
- cert-eu 15
- saugumo 15
- incidentus 14
- dėl 13
- kibernetinio 13
- subjektų 12
- subjektai 12
- poveikį 11
- informacija 10
- incidentų 10
- kaip 9
- informacijos 9
- didelių 9
- bendradarbiauti 8
- įskaitant 8
- subjektams 7
- informaciją 7
- subjekto 7
- paslaugas 7
- sąjungos 7
- atveju 7
- poveikio 6
- ataskaitą 6
- straipsnio dalyje 6
- incidento 6
- prie 6
- subjektais 6
- taikytina 6
- enisa 5
- konfidencialumo 5
- informuoja 5
- nurodyta 5
- nepagrįstai 5
- paslaugų 5
- pritarimą 5
- incidentą 5
- valdymo 5
- incidentas 5
- kibernetinių 5
- tinklų 5
- straipsnis 5
- juos 5
- aplinkos 5
13 straipsnis
CERT-EU misija ir užduotys
1. CERT-EU misija – prisidėti prie Sąjungos subjektų neįslaptintos IRT aplinkos saugumo, konsultuojant juos kibernetinio saugumo klausimais, padedant jiems užkirsti kelią incidentams, juos atskleisti, valdyti, sušvelninti jų poveikį, į juos reaguoti ir atstatyti po jų veiklą, taip pat veikiant kaip jų keitimosi kibernetinio saugumo informacija ir reagavimo į incidentus koordinavimo centras.
2. CERT-EU neįslaptintoje IRT infrastruktūroje renka, tvarko, analizuoja informaciją apie kibernetines grėsmes, pažeidžiamumą bei incidentus ir ja dalijasi su Sąjungos subjektais. Ji koordinuoja reagavimą į incidentus tarpinstituciniu ir Sąjungos subjektų lygmeniu, be kita ko, teikdamas specializuotą operatyvinę pagalbą arba koordinuodamas jos teikimą.
3. Siekdama padėti Sąjungos subjektams, CERT-EU atlieka šias užduotis:
| a) | padeda jiems įgyvendinti šį reglamentą ir prisideda prie šio reglamento įgyvendinimo koordinavimo taikydama 14 straipsnio 1 dalyje išvardytas priemones arba teikdama TKST prašomas ad hoc ataskaitas; |
| b) | siūlo standartines CSIRT paslaugas Sąjungos subjektams teikdama kibernetinio saugumo paslaugų, aprašytų savo paslaugų kataloge, paketą (toliau – pagrindinės paslaugos); |
| c) | prižiūri kolegų ir partnerių tinklą, padedantį teikti paslaugas, kaip nurodyta 17 ir 18 straipsniuose; |
| d) | atkreipia TKST dėmesį į visas problemas, susijusias su šio reglamento įgyvendinimu ir gairių, rekomendacijų bei raginimų imtis veiksmų įgyvendinimu; |
| e) | remdamasi 2 dalyje nurodyta informacija ir glaudžiai bendradarbiaudama su ENISA prisideda prie informuotumo apie kibernetinę padėtį Sąjungoje; |
| f) | koordinuoja didelių incidentų valdymą; |
| g) | veikia Sąjungos subjektų vardu kaip koordinatoriaus, paskirto koordinuoto pažeidžiamumų atskleidimo tikslais pagal Direktyvos (ES) 2022/2555 12 straipsnio 1 dalį, atitikmuo; |
| h) | Sąjungos subjekto prašymu atlieka aktyvų neintervencinį to Sąjungos subjekto viešai prieinamų tinklų ir informacinių sistemų tikrinimą. |
Pirmos pastraipos e punkte nurodyta informacija dalijamasi su TKST, CSIRT tinklu ir Europos Sąjungos žvalgybos ir situacijų centru (EU INTCEN), kai taikytina ir tinkama, laikantis tinkamų konfidencialumo sąlygų.
4. CERT-EU gali atitinkamai pagal 17 arba 18 straipsnį bendradarbiauti su atitinkamomis kibernetinio saugumo bendruomenėmis Sąjungoje ir jos valstybėse narėse, be kita ko, šiose srityse:
| a) | parengties, incidentų koordinavimo, keitimosi informacija ir reagavimo į krizes techniniu lygmeniu su Sąjungos subjektais susijusiais atvejais; |
| b) | operatyvinio bendradarbiavimo CSIRT tinkle, be kita ko, savitarpio pagalbos klausimais srityje; |
| c) | žvalgybos informacijos apie kibernetines grėsmes, įskaitant informuotumą apie padėtį, srityje; |
| d) | bet kurio klausimo, kuriam reikalingos CERT-EU techninės kibernetinio saugumo žinios, srityje. |
5. Savo kompetencijos srityje CERT-EU vykdo struktūrinį bendradarbiavimą su ENISA pajėgumų stiprinimo, operatyvinio bendradarbiavimo ir ilgalaikės strateginės kibernetinių grėsmių analizės srityse pagal Reglamentą (ES) 2019/881. CERT-EU gali bendradarbiauti ir keistis informacija su Europolo Europos kovos su elektroniniu nusikalstamumu centru.
6. CERT-EU gali teikti šias paslaugas, kurios nėra aprašytos jos paslaugų kataloge (toliau – apmokestinamosios paslaugos):
| a) | paslaugas, kuriomis remiamas Sąjungos subjektų IRT aplinkos kibernetinis saugumas, išskyrus 3 dalyje nurodytas paslaugas, teikiamas remiantis susitarimais dėl paslaugų lygio ir atsižvelgiant į turimus išteklius, visų pirma plataus spektro tinklo stebėseną, įskaitant visą parą kasdien vykdomą labai didelių kibernetinių grėsmių stebėseną; |
| b) | paslaugas, kuriomis remiamos Sąjungos subjektų kibernetinio saugumo operacijos ar projektai, išskyrus tas, kuriomis jie siekia apsaugoti savo IRT aplinką, teikiamas remiantis rašytiniais susitarimais ir gavus išankstinį TKST pritarimą; |
| c) | gavus prašymą, aktyviai tikrina atitinkamo Sąjungos subjekto tinklų ir informacines sistemas, kad būtų galima nustatyti pažeidžiamumus, galinčius turėti didelį poveikį; |
| d) | paslaugas, kuriomis remiamas organizacijų, kurios nėra Sąjungos subjektai, bet glaudžiai su jais bendradarbiauja, pavyzdžiui, vykdo pagal Sąjungos teisę pavestas užduotis ar pareigas, IRT aplinkos saugumas, teikiamas remiantis rašytiniais susitarimais ir iš anksto gavus TKST pritarimą. |
Kalbant apie pirmos pastraipos d punktą, CERT-EU, gavusi išankstinį TKST pritarimą, išimtiniais atvejais gali sudaryti susitarimus dėl paslaugų lygio su subjektais, kurie nėra Sąjungos subjektai.
7. CERT-EU rengia kibernetinio saugumo pratybas ir gali jose dalyvauti, arba rekomenduoti dalyvauti vykdomose pratybose, kai tinkama, glaudžiai bendradarbiaudama su ENISA, kad patikrintų Sąjungos subjektų kibernetinio saugumo lygį.
8. CERT-EU gali teikti pagalbą Sąjungos subjektams dėl incidentų tinklų ir informacinėse sistemose, kuriose tvarkoma ESĮI, jei to aiškiai paprašo atitinkami Sąjungos subjektai pagal savo atitinkamas procedūras. CERT-EU pagalbos teikimas pagal šią dalį nedaro poveikio taikomoms taisyklėms dėl įslaptintos informacijos apsaugos.
9. CERT-EU informuoja Sąjungos subjektus apie incidentų valdymo procedūras ir procesus.
10. CERT-EU, užtikrindama aukštą konfidencialumo ir patikimumo lygį, naudodamasi tinkamais bendradarbiavimo mechanizmais ir atskaitomybės ryšiais, teikia aktualią ir anoniminę informaciją apie didelius incidentus ir apie tai, kaip jie buvo valdomi. Ta informacija įtraukiama į 10 straipsnio 14 dalyje nurodytą ataskaitą.
11. CERT-EU, bendradarbiaudama su EDAPP, padeda atitinkamiems Sąjungos subjektams reaguoti į incidentus, dėl kurių pažeidžiamas asmens duomenų saugumas, nedarant poveikio EDAPP, kaip priežiūros institucijos, kompetencijai ir užduotims pagal Reglamentą (ES) 2018/1725.
12. CERT-EU gali, jei to aiškiai paprašo Sąjungos subjektų politiniai skyriai, pateikti technines rekomendacijas arba nuomonę atitinkamais politiniais klausimais.
18 straipsnis
CERT-EU bendradarbiavimas su kitais analogiškais centrais
1. CERT-EU gali bendradarbiauti su 17 straipsnyje nenurodytais analogiškais Sąjungos centrais, kuriems taikomi Sąjungos kibernetinio saugumo reikalavimai, įskaitant pramonės sektorių partnerius, klausimais, susijusiais su priemonėmis ir metodais, pavyzdžiui, specialia metodika, taktika, procedūromis ir geriausios praktikos pavyzdžiais, taip pat su kibernetinėmis grėsmėmis bei pažeidžiamumu. Kad galėtų visapusiškai bendradarbiauti su tokiais centrais CERT-EU kiekvienu atskiru atveju turi gauti išankstinį TKST pritarimą. Kai CERT-EU pradeda bendradarbiauti su tokiais analogiškais centrais, ji informuoja visus 17 straipsnio 1 dalyje nurodytus atitinkamus analogiškus valstybės narės centrus toje valstybėje narėje, kurioje centras yra įsisteigęs. Kai taikytina ir tinkama, toks bendradarbiavimas ir jo sąlygos, be kita ko, dėl kibernetinio saugumo, duomenų apsaugos ir informacijos tvarkymo, nustatomi specialiuose konfidencialumo susitarimuose, pvz., sutartyse ar administraciniuose susitarimuose. Konfidencialumo susitarimams nereikia išankstinio TKST pritarimo, tačiau apie juos informuojamas TKST pirmininkas. Iškilus skubiam ir neišvengiamam poreikiui keistis kibernetinio saugumo informacija Sąjungos subjektų ar kitos šalies interesais, CERT-EU gali tai daryti su subjektu, kurio konkreti kompetencija, pajėgumai ir ekspertinės žinios pagrįstai reikalingi siekiant patenkinti tokį skubų ir neišvengiamą poreikį, net jei CERT-EU su tuo subjektu nėra sudariusi konfidencialumo susitarimo. Tokiais atvejais CERT-EU nedelsdama informuoja TKST pirmininką ir atsiskaito TKST reguliariai teikdama ataskaitas arba rengdama posėdžius.
2. CERT-EU gali bendradarbiauti su partneriais, pvz., komerciniais subjektais, įskaitant konkretaus pramonės sektoriaus subjektus, tarptautinėmis organizacijomis, ne Europos Sąjungos nacionaliniais subjektais arba atskirais ekspertais, kad surinktų informaciją apie bendro pobūdžio ir konkrečias kibernetines grėsmes, vos neįvykusius incidentus, pažeidžiamumą ir galimas atsakomąsias priemones. Kad galėtų platesniu mastu bendradarbiauti su tokiais partneriais CERT-EU kiekvienu atskiru atveju turi gauti išankstinį TKST pritarimą.
3. CERT-EU, gavusi incidento paveikto Sąjungos subjekto sutikimą ir su sąlyga, kad su analogišku centru ar partneriu yra sudarytas informacijos neatskleidimo susitarimas arba sutartis, 1 ir 2 dalyse nurodytiems analogiškiems centrams ar partneriams gali teikti su incidentu susijusią informaciją tik tam, kad prisidėtų prie to incidento analizės.
V SKYRIUS
PAREIGOS BENDRADARBIAUTI IR PRANEŠTI
19 straipsnis
Duomenų tvarkymas
1. Sąjungos subjektai ir CERT-EU laikosi pareigos saugoti tarnybinę paslaptį pagal SESV 339 straipsnį arba lygiavertes taikytinas sistemas.
2. Paraiškoms dėl galimybės visuomenei susipažinti su CERT-EU turimais dokumentais taikomas Europos Parlamento ir Tarybos reglamentas (EB) Nr. 1049/2001 (10), įskaitant tame reglamente nustatytą pareigą konsultuotis su kitais Sąjungos subjektais ir, kai tikslinga, su valstybėmis narėmis, kai prašymas susijęs su jų dokumentais.
3. Sąjungos subjektai ir CERT-EU duomenis tvarko pagal taikomas taisykles dėl informacijos saugumo.
21 straipsnis
Pareigos pranešti
1. Incidentas laikomas reikšmingu, jeigu:
| a) | dėl jo atitinkamas Sąjungos subjektas patyrė arba gali patirti didelių veikimo sutrikimų arba finansinių nuostolių; |
| b) | jis paveikė arba gali paveikti kitus fizinius ar juridinius asmenis sukeldamas didelę materialinę arba neturtinę žalą. |
2. Sąjungos subjektai CERT-EU pateikia:
| a) | nepagrįstai nedelsiant ir bet kuriuo atveju per 24 valandas nuo tada, kai sužinojo apie reikšmingą incidentą, – ankstyvąjį perspėjimą, kuriame, kai taikytina, nurodoma, kad reikšmingą incidentą, kaip įtariama, sukėlė neteisėti ar piktavališki veiksmai arba, kad jis galėtų daryti poveikį keliems subjektams ar tarpvalstybinį poveikį; |
| b) | nepagrįstai nedelsdami ir bet kuriuo atveju per 72 valandas nuo tada, kai sužinojo apie didelį incidentą, – pranešimą apie incidentą, kuriame, kai taikytina, atnaujinama a punkte nurodyta informacija ir nurodomas didelio incidento, įskaitant jo sunkumą ir poveikį, pradinis vertinimas, taip pat nurodomi užvaldymo rodikliai, jei tokių yra; |
| c) | CERT-EU prašymu – tarpinę ataskaitą apie atitinkamus atnaujintus duomenis apie padėtį; |
| d) | ne vėliau kaip per vieną mėnesį nuo b punkte nurodyto pranešimo apie incidentą – galutinę ataskaitą, kurioje pateikiama ši informacija:
|
| e) | tuo atveju, jei d punkte nurodytos galutinės ataskaitos pateikimo metu incidentas tebevyksta, – to meto pažangos ataskaitą, o galutinę ataskaitą – per vieną mėnesį nuo tada, kai suvaldė incidentą. |
3. Sąjungos subjektas nepagrįstai nedelsdamas ir bet kuriuo atveju per 24 valandas nuo tada, kai sužinojo apie reikšmingą incidentą, informuoja visus atitinkamus 17 straipsnio 1 dalyje nurodytus analogiškus valstybės narės centrus toje valstybėje narėje, kurioje yra subjektas, kad įvyko reikšmingas incidentas.
4. Sąjungos subjektai, inter alia, praneša bet kokią informaciją, kuri gali padėti CERT-EU nustatyti bet kokį poveikį keliems subjektams, poveikį priimančiajai valstybei narei arba tarpvalstybinį reikšmingo incidento poveikį. Nedarant poveikio 12 straipsnio taikymui, vien dėl pranešimo veiksmo negali būti padidinama Sąjungos subjekto atsakomybė.
5. Kai taikytina, Sąjungos subjektai nepagrįstai nedelsdami informuoja paveiktų tinklų ir informacinių sistemų arba kitų IRT aplinkos komponentų naudotojus, kuriuos reikšmingas incidentas arba didelė kibernetinė grėsmė galėjo paveikti ir kurie, kai tinkama, turi imtis poveikio mažinimo priemonių, apie visas priemones ar teisių gynimo priemones, kurių jie gali imtis reaguodami į tą incidentą arba tą grėsmę. Atitinkamais atvejais Sąjungos subjektai praneša tiems naudotojams apie pačią didelę kibernetinę grėsmę.
6. Kai reikšmingas incidentas ar didelė kibernetinė grėsmė daro poveikį tinklų ar informacinei sistemai arba Sąjungos subjekto IRT aplinkos komponentui, kuris, kaip žinoma, yra sujungtas su kito Sąjungos subjekto aplinka, CERT-EU paskelbia atitinkamą kibernetinio saugumo įspėjimą.
7. Sąjungos subjektai CERT-EU prašymu nepagrįstai nedelsdami suteikia CERT-EU skaitmeninę informaciją, sukurtą naudojant elektroninius įtaisus, susijusius su atitinkamais incidentais. CERT-EU gali pateikti išsamesnės informacijos apie tai, kokios rūšies informacijos jai reikia informuotumo apie padėtį ir reagavimo į incidentus tikslais.
8. CERT-EU kas tris mėnesius TKST, ENISA, ES INTCEN ir CSIRT tinklui pateikia apibendrinamąją ataskaitą, įskaitant nuasmenintus ir apibendrintus duomenis apie reikšmingus incidentus, incidentus, kibernetines grėsmes, vos neįvykusius incidentus ir pažeidžiamumus pagal 20 straipsnį ir reikšmingus incidentus, apie kuriuos pranešta pagal šio straipsnio 2 dalį. Apibendrinamoji ataskaita laikoma indėliu kas dvejus metus rengiant ataskaitą dėl kibernetinio saugumo padėties Sąjungoje, priimamą pagal Direktyvos (ES) 2022/2555 18 straipsnį.
9. TKST ne vėliau kaip 2024 m. liepos 8 d. paskelbia gaires arba rekomendacijas, kuriose toliau patikslinami pagal šį straipsnį teikiamų ataskaitų tvarka, forma ir turinys. Rengdama tokias gaires ar rekomendacijas, TKST atsižvelgia į visus pagal Direktyvos (ES) 2022/2555 23 straipsnio 11 dalį priimtus įgyvendinimo aktus, kuriuose nurodomi informacijos rūšis, formatas ir pranešimų teikimo procedūra. CERT-EU platina atitinkamą techninę informaciją, kad Sąjungos subjektai galėtų aktyviai aptikti incidentus, reaguoti į juos arba imtis rizikos mažinimo priemonių.
10. Šiame straipsnyje nustatytos pareigos pranešti netaikomos:
| a) | ESĮI; |
| b) | informacijai, kurios tolesnis platinimas uždraustas aiškiai pažymint, išskyrus atvejus, kai ja aiškiai leidžiama dalytis su CERT-EU. |
23 straipsnis
Didelių incidentų valdymas
1. Siekdama operaciniu lygmeniu remti suderintą didelių incidentų, darančių poveikį Sąjungos subjektams, valdymą ir prisidėti prie reguliaraus Sąjungos subjektų tarpusavio keitimosi atitinkama informacija ir keitimosi ja su valstybėmis narėmis, TKST, glaudžiai bendradarbiaudama su CERT-EU ir ENISA, pagal 11 straipsnio q punktą parengia kibernetinių krizių valdymo planą, grindžiamą 22 straipsnio 2 dalyje nurodyta veikla. Į kibernetinių krizių valdymo planą įtraukiami bent šie aspektai:
| a) | susitarimai dėl Sąjungos subjektų veiksmų koordinavimo ir informacijos srautų, susijusių su didelių incidentų valdymu operaciniu lygmeniu; |
| b) | bendros standartinės veiklos procedūros (SVP); |
| c) | bendra didelių incidentų rimtumo ir krizę sukeliančių veiksnių taksonomija; |
| d) | reguliarios pratybos; |
| e) | naudotini saugūs ryšių kanalai. |
2. Komisijos atstovas TKST, atsižvelgiant į pagal šio straipsnio 1 dalį priimtą kibernetinių krizių valdymo planą ir nedarant poveikio Direktyvos (ES) 2022/2555 16 straipsnio 2 dalies pirmai pastraipai, yra kontaktinis punktas keičiantis svarbia informacija, susijusia su dideliais incidentais EU-CyCLONe.
3. CERT-EU koordinuoja Sąjungos subjektų veiksmus valdant didelius incidentus. Ji tvarko turimų techninių ekspertinių žinių, kurių reikėtų reaguojant į incidentus didelių incidentų atveju, aprašą ir padeda TKST koordinuoti Sąjungos subjektų didelių incidentų sukeltos kibernetinės krizės valdymo planus, nurodytus 9 straipsnio 2 dalyje.
4. Sąjungos subjektai prisideda prie techninių ekspertinių žinių aprašo, pateikdami kasmet atnaujinamą atitinkamose jų organizacijose turimų ekspertų sąrašą, kuriame išsamiai nurodomi jų konkretūs techniniai įgūdžiai.
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
whereas