keyboard_tab Cyber Resilience Act 2023/2841 LT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 4 straipsnis Asmens duomenų tvarkymas
- 3 17 straipsnis CERT-EU bendradarbiavimas su analogiškais valstybės narės centrais
I SKYRIUS
BENDROSIOS NUOSTATOS
II SKYRIUS
PRIEMONĖS AUKŠTAM BENDRAM KIBERNETINIO SAUGUMO LYGIUI UŽTIKRINTI
III SKYRIUS
TARPINSTITUCINĖ KIBERNETINIO SAUGUMO TARYBA
IV SKYRIUS
CERT-EU
V SKYRIUS
PAREIGOS BENDRADARBIAUTI IR PRANEŠTI
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
- pagal 19
- sąjungos 15
- cert-eu 12
- arba 9
- straipsnį 8
- duomenų 7
- asmens 6
- kibernetinio 6
- saugumo 6
- informacija 6
- valstybės 5
- incidentų 5
- narės 5
- keičiasi 4
- susijusia 4
- direktyvos 4
- kaip 4
- paveiktas 4
- reglamento 4
- es / straipsnį 3
- incidento 3
- vadovas 3
- tapatybę 3
- nedelsdama 3
- centrais 3
- incidentais 3
- subjektas 3
- incidentu 3
- analogiškais 3
- apsaugos 3
- subjekto 3
- reglamentą 3
- subjektai 3
- toms 2
- csirt 2
- klausimais 2
- dalytis 2
- kai 2
- prieš 2
- tvarko 2
- apie 2
- šį 2
- duomenis 2
- priemones 2
- kitur 2
- aiškiai 2
- taikinio 2
- atskleidus 2
- subjektų 2
- taryba 2
4 straipsnis
Asmens duomenų tvarkymas
1. CERT-EU, pagal 10 straipsnį įsteigta Tarpinstitucinė kibernetinio saugumo taryba arba Sąjungos subjektai asmens duomenis pagal šį reglamentą tvarko pagal Reglamentą (ES) 2018/1725.
2. Kai CERT-EU, pagal 10 straipsnį įsteigta Tarpinstitucinė kibernetinio saugumo taryba ir Sąjungos subjektai atlieka užduotis arba vykdo pareigas pagal šį reglamentą, jie asmens duomenis tvarko ir jais keičiasi tik tiek, kiek tai būtina toms užduotims atlikti arba toms pareigoms vykdyti.
3. Specialių kategorijų asmens duomenų tvarkymas, kaip nurodyta Reglamento (ES) 2018/1725 10 straipsnio 1 dalyje, laikomas būtinu dėl svarbių viešojo intereso priežasčių pagal to reglamento 10 straipsnio 2 dalies g punktą. Tokie duomenys gali būti tvarkomi tik tiek, kiek tai būtina šio reglamento 6 ir 8 straipsniuose nurodytoms kibernetinio saugumo rizikos valdymo priemonėms įgyvendinti, CERT-EU paslaugoms teikti pagal šio reglamento 13 straipsnį, dalytis su incidentais susijusia informacija pagal 17 straipsnio 3 dalį ir 18 straipsnio 3 dalį, dalytis informacija pagal 20 straipsnį, vykdyti pareigas pranešti pagal 21 straipsnį, reagavimo į incidentus koordinavimui ir bendradarbiavimui pagal 22 straipsnį ir didelių incidentų valdymui pagal 23 straipsnį. Sąjungos subjektai ir CERT-EU, veikdami kaip duomenų valdytojai, taiko technines priemones, kad užkirstų kelią specialių kategorijų asmens duomenų tvarkymui kitais tikslais, ir numato tinkamas ir konkrečias priemones duomenų subjektų pagrindinėms teisėms ir interesams apsaugoti.
II SKYRIUS
PRIEMONĖS AUKŠTAM BENDRAM KIBERNETINIO SAUGUMO LYGIUI UŽTIKRINTI
17 straipsnis
CERT-EU bendradarbiavimas su analogiškais valstybės narės centrais
1. CERT-EU nepagrįstai nedelsdama bendradarbiauja ir keičiasi informacija su atitinkamais analogiškais valstybės narės centrais, visų pirma CSIRT, paskirtomis arba įsteigtomis pagal Direktyvos (ES) 2022/2555 10 straipsnį, arba, kai taikytina, su kompetentingomis institucijomis ir bendrais kontaktiniais punktais, paskirtais arba įsteigtais pagal tos direktyvos 8 straipsnį, klausimais, susijusiais su incidentais, kibernetinėmis grėsmėmis, pažeidžiamumais, vos neįvykusiais incidentais, galimomis atsakomosiomis priemonėmis ir geriausia praktika, taip pat visais klausimais, susijusiais su Sąjungos subjektų IRT aplinkos apsaugos gerinimu, be kita ko, pasitelkiant CSIRT tinklą, sukurtą pagal Direktyvos (ES) 2022/2555 15 straipsnį. CERT-EU padeda Komisijai EU-CyCLONe, įsteigtame pagal Direktyvos (ES) 2022/2555 16 straipsnį, koordinuoti didelio masto kibernetinio saugumo incidentų ir krizių valdymą.
2. Kai CERT-EU sužino apie reikšmingą incidentą, vykstantį atitinkamos valstybės narės teritorijoje, ji nedelsdama pagal 1 dalį praneša visiems analogiškiems tos valstybės narės centrams.
3. Su sąlyga, kad asmens duomenys yra saugomi pagal taikytinus Sąjungos duomenų apsaugos teisės aktus, CERT-EU nepagrįstai nedelsdama be paveikto Sąjungos subjekto leidimo keičiasi su analogiškais valstybės narės centrais atitinkama su incidentu susijusia informacija, kuri yra svarbi siekiant palengvinti panašių kibernetinių grėsmių ar incidentų nustatymą arba prisidėti prie incidento analizės. CERT-EU keičiasi su incidentu susijusia informacija, kurioje atskleidžiama kibernetinio saugumo incidento taikinio tapatybė, tik vienu iš šių atvejų:
| a) | laikomasi Sąjungos duomenų apsaugos teisės aktų, o paveiktas Sąjungos subjektas duoda sutikimą; |
| b) | paveiktas Sąjungos subjektas neduoda sutikimo, kaip numatyta a punkte, tačiau atskleidus paveikto Sąjungos subjekto tapatybę padidėtų tikimybė, kad kitur bus išvengta incidentų arba jų poveikis bus sumažintas; |
| c) | paveiktas Sąjungos subjektas jau viešai paskelbė, kad buvo paveiktas. |
Sprendimus keistis su incidentu susijusia informacija, atskleidžiančia incidento taikinio tapatybę pagal pirmos pastraipos b punktą, tvirtina CERT-EU vadovas. Prieš priimdama tokį sprendimą CERT-EU raštu susisiekia su paveiktu Sąjungos subjektu ir aiškiai paaiškina, kaip atskleidus jo tapatybę būtų galima išvengti incidentų kitur arba sumažinti jų poveikį. CERT-EU vadovas pateikia paaiškinimą ir aiškiai paprašo Sąjungos subjekto per nustatytą laikotarpį nurodyti, ar jis sutinka. CERT-EU vadovas taip pat informuoja Sąjungos subjektą, kad, atsižvelgdamas į pateiktą paaiškinimą, jis pasilieka teisę atskleisti informaciją net ir negavus sutikimo. Prieš atskleidžiant informaciją, apie tai pranešama paveiktam Sąjungos subjektui.
whereas