Cyber Resilience Act 2023/2841 LT

1)	Sąjungos subjektai – Sąjungos institucijos, įstaigos, organai ir agentūros, įsteigti Europos Sąjungos sutartimi, Sutartimi dėl Europos Sąjungos veikimo (SESV) arba Europos atominės energijos bendrijos steigimo sutartimi arba jomis remiantis;

2)	tinklų ir informacinė sistema – tinklų ir informacinė sistema, kaip apibrėžta Direktyvos (ES) 2022/2555 6 straipsnio 1 punkte;

3)	tinklų ir informacinių sistemų saugumas – tinklų ir informacinių sistemų saugumas, kaip apibrėžta Direktyvos (ES) 2022/2555 6 straipsnio 2 punkte;

4)	kibernetinis saugumas – kibernetinis saugumas, kaip apibrėžta Reglamento (ES) 2019/881 2 straipsnio 1 punkte;

aukščiausias valdymo lygmuo – už Sąjungos subjekto veikimą atsakingas aukščiausio administracinio lygmens vadovas, valdymo organas arba koordinavimo ir priežiūros organas, įgaliotas priimti arba patvirtinti sprendimus, atitinkančius to Sąjungos subjekto aukšto lygio valdymo tvarką, nedarant poveikio oficialioms kitų valdymo lygmenų pareigoms už atitiktį ir kibernetinio saugumo rizikos valdymą jų atitinkamose atsakomybės srityse;

6)	vos neįvykęs incidentas – vos neįvykęs incidentas, kaip apibrėžta Direktyvos (ES) 2022/2555 6 straipsnio 5 punkte;

7)	incidentas – incidentas, kaip apibrėžta Direktyvos (ES) 2022/2555 6 straipsnio 6 punkte;

8)	didelis incidentas – incidentas, į kurio sukeltą sutrikimą Sąjungos subjektas ir CERT-EU nepajėgia reaguoti arba kuris daro didelį poveikį bent dviem Sąjungos subjektams;

9)	didelio masto kibernetinio saugumo incidentas – didelio masto kibernetinio saugumo incidentas, kaip apibrėžta Direktyvos (ES) 2022/2555 6 straipsnio 7 punkte;

10)	incidento valdymas – incidento valdymas, kaip apibrėžta Direktyvos (ES) 2022/2555 6 straipsnio 8 punkte;

11)	kibernetinė grėsmė – kibernetinė grėsmė, kaip apibrėžta Reglamento (ES) 2019/881 2 straipsnio 8 punkte;

12)	didelė kibernetinė grėsmė – didelė kibernetinė grėsmė, kaip apibrėžta Direktyvos (ES) 2022/2555 6 straipsnio 11 punkte;

(13)	pažeidžiamumas – pažeidžiamumas, kaip apibrėžta Direktyvos (ES) 2022/2555 6 straipsnio 15 punkte;

(14)	kibernetinio saugumo rizika – rizika, kaip apibrėžta Direktyvos (ES) 2022/2555 6 straipsnio 9 punkte;

(15)	debesijos kompiuterijos paslauga – debesijos kompiuterijos paslauga, kaip apibrėžta Direktyvos (ES) 2022/2555 6 straipsnio 30 punkte.

6 straipsnis

Kibernetinio saugumo rizikos valdymo, administravimo ir kontrolės sistema

1. Ne vėliau kaip 2025 m. balandžio 8 d.] kiekvienas Sąjungos subjektas, atlikęs pradinę kibernetinio saugumo peržiūrą, pavyzdžiui, auditą, nustato vidaus kibernetinio saugumo rizikos valdymo, administravimo ir kontrolės sistemą (toliau – Sistema). Sistemos sukūrimą prižiūri ir už jį atsako Sąjungos subjekto aukščiausias valdymo lygmuo.

2. Sistema apima visą atitinkamo Sąjungos subjekto neįslaptintą IRT aplinką, įskaitant bet kokias vietoje esančias IRT aplinką, operacinį technologijų tinklą, užsakomąjį turtą ir paslaugas debesijos kompiuterijos aplinkoje arba kurių prieglobą teikia trečiosios šalys, mobiliuosius įrenginius, įmonių tinklus, prie interneto neprijungtus verslo tinklus ir bet kokius su tomis aplinkomis susijusius įrenginius (toliau – IRT aplinka). Sistema grindžiama visus pavojus apimančiu požiūriu.

3. Sistema užtikrinamas aukštas kibernetinio saugumo lygis. Sistemoje nustatoma tinklų ir informacinių sistemų saugumo vidaus kibernetinio saugumo politika, įskaitant tikslus ir prioritetus, taip pat Sąjungos subjekto darbuotojų, kuriems pavesta užtikrinti, kad šis reglamentas būtų veiksmingai įgyvendinamas, funkcijos ir pareigos. Į Sistemą taip pat įtraukiami įgyvendinimo veiksmingumo vertinimo mechanizmai.

4. Sistema turėtų būti reguliariai peržiūrima atsižvelgiant į kintančią kibernetinio saugumo riziką ir ne rečiau kaip kas ketverius metus. Kai tinkama ir gavus pagal 10 straipsnį įsteigtos Tarpinstitucinės kibernetinio saugumo tarybos prašymą, Sąjungos subjekto Sistema gali būti atnaujinama remiantis CERT-EU rekomendacijomis dėl nustatytų incidentų ar galimų spragų, pastebėtų įgyvendinant šį reglamentą.

5. Kiekvieno Sąjungos subjekto aukščiausias valdymo lygmuo yra atsakingas už šio reglamento įgyvendinimą ir prižiūri, kaip jo organizacija laikosi su Sistema susijusių pareigų.

6. Kiekvieno Sąjungos subjekto aukščiausias valdymo lygmuo, kai tikslinga ir nedarant poveikio jo atsakomybei už šio reglamento įgyvendinimą, gali konkrečias pareigas pagal šį reglamentą deleguoti atitinkamo Sąjungos subjekto vyresniesiems pareigūnams, kaip tai suprantama Tarnybos nuostatų 29 straipsnio 2 dalyje, arba kitiems lygiaverčio lygmens pareigūnams. Neatsižvelgiant į tokį pareigų delegavimą, aukščiausias valdymo lygmuo gali būti laikomas atsakingu už atitinkamo Sąjungos subjekto padarytus šio reglamento pažeidimus.

7. Kiekvienas Sąjungos subjektas turi turėti veiksmingus mechanizmus, kuriais užtikrinama, kad kibernetiniam saugumui būtų išleidžiama tinkama IRT biudžeto lėšų procentinė dalis. Nustatant tą procentinę dalį tinkamai atsižvelgiama į Sistemą.

8. Kiekvienas Sąjungos subjektas paskiria vietos kibernetinio saugumo pareigūną arba lygiavertę funkciją atliekantį pareigūną, kuris visais kibernetinio saugumo aspektais veikia kaip vienas kontaktinis punktas. Vietos kibernetinio saugumo pareigūnas sudaro palankias sąlygas įgyvendinti šį reglamentą ir aukščiausiam valdymo lygmeniui reguliariai tiesiogiai teikia ataskaitas apie įgyvendinimo padėtį. Nedarant poveikio tam, kad vietos kibernetinio saugumo pareigūnas veikia kaip vienas kontaktinis punktas kiekviename Sąjungos subjekte, Sąjungos subjektas gali CERT-EU deleguoti tam tikras vietos kibernetinio saugumo pareigūno užduotis, susijusias su šio reglamento įgyvendinimu, remdamasis to Sąjungos subjekto ir CERT-EU sudarytu susitarimu dėl paslaugų lygio, arba tas užduotis gali dalytis keli Sąjungos subjektai. Kai tos užduotys deleguojamos CERT-EU, pagal 10 straipsnį įsteigta Tarpinstitucinė kibernetinio saugumo taryba, atsižvelgdama į atitinkamo Sąjungos subjekto žmogiškuosius ir finansinius išteklius, nusprendžia, ar tos paslaugos turi būti teikiamos kaip CERT-EU pagrindinių paslaugų dalis. Kiekvienas Sąjungos subjektas nepagrįstai nedelsdamas praneša CERT-EU apie paskirtą vietos kibernetinio saugumo pareigūną ir apie visus vėlesnius jo pakeitimus.

CERT-EU nuolat parengia ir nuolat atnaujina paskirtų vietos kibernetinio saugumo pareigūnų sąrašą.

9. Kiekvieno Sąjungos subjekto vyresnieji pareigūnai, kaip tai suprantama Tarnybos nuostatų 29 straipsnio 2 dalyje, arba lygiaverčio lygmens pareigūnai, taip pat visi atitinkami darbuotojai, kuriems pavesta įgyvendinti kibernetinio saugumo rizikos valdymo priemones ir vykdyti šiame reglamente nustatytas pareigas, reguliariai dalyvauja specialiuose mokymuose, kad įgytų pakankamai žinių ir įgūdžių, kurių reikia siekiant suprasti ir įvertinti kibernetinio saugumo riziką ir su ja susijusią valdymo praktiką bei jos poveikį Sąjungos subjekto veiklai.

9 straipsnis

Kibernetinio saugumo planai

1. Remdamasi išvadomis, padarytomis atlikus kibernetinio saugumo brandos vertinimą pagal 7 straipsnį, ir atsižvelgdama į Sistemoje nustatytą turtą ir kibernetinio saugumo riziką bei į kibernetinio saugumo rizikos valdymo priemones, kurių imtasi pagal 8 straipsnį, kiekvieno Sąjungos subjekto aukščiausias valdymo lygmuo nepagrįstai nedelsdamas ir bet kuriuo atveju ne vėliau kaip 2026 m. sausio 8 d. patvirtina kibernetinio saugumo planą. Kibernetinio saugumo planu siekiama padidinti bendrą atitinkamo Sąjungos subjekto kibernetinį saugumą ir taip juo prisidedama prie aukšto bendro kibernetinio saugumo lygio pasiekimo arba padidinimo Sąjungos subjektuose. Į kibernetinio saugumo planą įtraukiamos bent kibernetinio saugumo rizikos valdymo priemonės, kurių imtasi pagal 8 straipsnį. Kibernetinio saugumo planas peržiūrimas kas dvejus metus arba, prireikus – dažniau, po kibernetinio saugumo brandos vertinimų, atliktų pagal 7 straipsnį, arba po kiekvienos esminės Sistemos peržiūros.

2. Kibernetinio saugumo planas apima Sąjungos subjekto kibernetinės krizės valdymo planą įvykus dideliems incidentams.

3. Sąjungos subjektas parengtą kibernetinio saugumo planą pateikia pagal 10 straipsnį įsteigtai Tarpinstitucinei kibernetinio saugumo tarybai.

III SKYRIUS

TARPINSTITUCINĖ KIBERNETINIO SAUGUMO TARYBA

11 straipsnis

TKST užduotys

Vykdydama savo pareigas TKST visų pirma:

a)	teikia rekomendacijas CERT-EU vadovui;

b)	veiksmingai stebi ir prižiūri, kaip įgyvendinamas šis reglamentas, ir padeda Sąjungos subjektams stiprinti savo kibernetinį saugumą, be kita ko, kai tinkama, prašydama iš Sąjungos subjektų ir CERT-EU ad hoc ataskaitų;

c)	po strateginių diskusijų priima daugiametę strategiją dėl kibernetinio saugumo lygio didinimo Sąjungos subjektuose ir reguliariai, ir bet kuriuo atveju kas penkerius metus, tą strategiją įvertina ir, prireikus, iš dalies pakeičia;

nustato Sąjungos subjektų savanoriškų tarpusavio vertinimų atlikimo metodiką ir organizacinius aspektus, siekiant mokytis iš bendros patirties, stiprinti tarpusavio pasitikėjimą, pasiekti aukštą bendrą kibernetinio saugumo lygį, taip pat stiprinti Sąjungos subjektų kibernetinio saugumo pajėgumus, užtikrinant, kad tokius tarpusavio vertinimus atliktų kito Sąjungos subjekto nei vertinamas Sąjungos subjektas paskirti kibernetinio saugumo ekspertai ir kad metodika būtų grindžiama Direktyvos (ES) 2022/2555 19 straipsniu ir, kai tinkama, būtų pritaikyta Sąjungos subjektams;

e)	CERT-EU vadovo siūlymu tvirtina CERT-EU metinę darbo programą ir stebi, kaip ji įgyvendinama;

f)	CERT-EU vadovo siūlymu tvirtina CERT-EU paslaugų katalogą ir visus jo atnaujinimus;

g)	CERT-EU vadovo siūlymu tvirtina metinį finansinį CERT-EU veiklos pajamų ir išlaidų, įskaitant personalą, planavimą;

h)	CERT-EU vadovo siūlymu tvirtina susitarimus dėl paslaugų lygio susitarimų;

i)	nagrinėja ir tvirtina CERT-EU vadovo parengtą metinę ataskaitą, kurioje aptariama CERT-EU veikla ir lėšų valdymas;

j)	tvirtina CERT-EU pagrindinius veiklos rezultatų rodiklius (toliau - PVRR), kurie nustatomi remiantis CERT-EU vadovo siūlymu, ir stebi jų įgyvendinimą;

k)	tvirtina CERT-EU ir kitų subjektų bendradarbiavimo susitarimus, susitarimus dėl paslaugų lygio arba sutartis pagal 18 straipsnį;

l)	priima gaires ir rekomendacijas, remdamasi CERT-EU siūlymu pagal 14 straipsnį, ir nurodo CERT-EU paskelbti, atsiimti arba pakeisti pasiūlymą dėl gairių ar rekomendacijų arba raginimą imtis veiksmų;

m)	įsteigia konkrečias užduotis turinčias technines patariamąsias grupes, siekiant prisidėti prie TKST darbo, tvirtina jų įgaliojimus ir skiria atitinkamus jų pirmininkus;

n)	gauna ir vertina Sąjungos subjektų pagal šį reglamentą pateiktus dokumentus ir ataskaitas, pvz., kibernetinio saugumo brandos vertinimus;

o)	sudaro palankesnes sąlygas įsteigti neformalią Sąjungos subjektų vietos kibernetinio saugumo pareigūnų grupę, kuriai padėtų ENISA ir kurios tikslas – keistis geriausios praktikos pavyzdžiais ir informacija, susijusiais su šio reglamento įgyvendinimu;

p)	atsižvelgdama į CERT-EU pateiktą informaciją apie nustatytą kibernetinio saugumo riziką ir įgytą patirtį, stebi Sąjungos subjektų IRT aplinkų sujungimo susitarimų tinkamumą ir pataria dėl galimų patobulinimų;

parengia kibernetinių krizių valdymo planą, kuriuo siekiama operaciniu lygmeniu remti koordinuotą didelių incidentų, darančių poveikį Sąjungos subjektams, valdymą ir prisidėti prie reguliaraus keitimosi atitinkama informacija, visų pirma susijusia su didelių incidentų poveikiu, sunkumu ir galimais jų poveikio mažinimo būdais;

r)	koordinuoja atskirų Sąjungos subjektų kibernetinių krizių valdymo planų, nurodytų 9 straipsnio 2 dalyje, priėmimą;

atsižvelgdama į Sąjungos lygmeniu koordinuojamų ypatingos svarbos tiekimo grandinių saugumo rizikos vertinimų, nurodytų Direktyvos (ES) 2022/2555 22 straipsnyje, rezultatus, priima rekomendacijas, susijusias su 8 straipsnio 2 dalies pirmos pastraipos m punkte minimu tiekimo grandinės saugumu, siekdama padėti Sąjungos subjektams priimti veiksmingas ir proporcingas kibernetinio saugumo rizikos valdymo priemones.

13 straipsnis

CERT-EU misija ir užduotys

1. CERT-EU misija – prisidėti prie Sąjungos subjektų neįslaptintos IRT aplinkos saugumo, konsultuojant juos kibernetinio saugumo klausimais, padedant jiems užkirsti kelią incidentams, juos atskleisti, valdyti, sušvelninti jų poveikį, į juos reaguoti ir atstatyti po jų veiklą, taip pat veikiant kaip jų keitimosi kibernetinio saugumo informacija ir reagavimo į incidentus koordinavimo centras.

2. CERT-EU neįslaptintoje IRT infrastruktūroje renka, tvarko, analizuoja informaciją apie kibernetines grėsmes, pažeidžiamumą bei incidentus ir ja dalijasi su Sąjungos subjektais. Ji koordinuoja reagavimą į incidentus tarpinstituciniu ir Sąjungos subjektų lygmeniu, be kita ko, teikdamas specializuotą operatyvinę pagalbą arba koordinuodamas jos teikimą.

3. Siekdama padėti Sąjungos subjektams, CERT-EU atlieka šias užduotis:

a)	padeda jiems įgyvendinti šį reglamentą ir prisideda prie šio reglamento įgyvendinimo koordinavimo taikydama 14 straipsnio 1 dalyje išvardytas priemones arba teikdama TKST prašomas ad hoc ataskaitas;

b)	siūlo standartines CSIRT paslaugas Sąjungos subjektams teikdama kibernetinio saugumo paslaugų, aprašytų savo paslaugų kataloge, paketą (toliau – pagrindinės paslaugos);

c)	prižiūri kolegų ir partnerių tinklą, padedantį teikti paslaugas, kaip nurodyta 17 ir 18 straipsniuose;

d)	atkreipia TKST dėmesį į visas problemas, susijusias su šio reglamento įgyvendinimu ir gairių, rekomendacijų bei raginimų imtis veiksmų įgyvendinimu;

e)	remdamasi 2 dalyje nurodyta informacija ir glaudžiai bendradarbiaudama su ENISA prisideda prie informuotumo apie kibernetinę padėtį Sąjungoje;

f)	koordinuoja didelių incidentų valdymą;

g)	veikia Sąjungos subjektų vardu kaip koordinatoriaus, paskirto koordinuoto pažeidžiamumų atskleidimo tikslais pagal Direktyvos (ES) 2022/2555 12 straipsnio 1 dalį, atitikmuo;

h)	Sąjungos subjekto prašymu atlieka aktyvų neintervencinį to Sąjungos subjekto viešai prieinamų tinklų ir informacinių sistemų tikrinimą.

Pirmos pastraipos e punkte nurodyta informacija dalijamasi su TKST, CSIRT tinklu ir Europos Sąjungos žvalgybos ir situacijų centru (EU INTCEN), kai taikytina ir tinkama, laikantis tinkamų konfidencialumo sąlygų.

4. CERT-EU gali atitinkamai pagal 17 arba 18 straipsnį bendradarbiauti su atitinkamomis kibernetinio saugumo bendruomenėmis Sąjungoje ir jos valstybėse narėse, be kita ko, šiose srityse:

a)	parengties, incidentų koordinavimo, keitimosi informacija ir reagavimo į krizes techniniu lygmeniu su Sąjungos subjektais susijusiais atvejais;

b)	operatyvinio bendradarbiavimo CSIRT tinkle, be kita ko, savitarpio pagalbos klausimais srityje;

c)	žvalgybos informacijos apie kibernetines grėsmes, įskaitant informuotumą apie padėtį, srityje;

d)	bet kurio klausimo, kuriam reikalingos CERT-EU techninės kibernetinio saugumo žinios, srityje.

5. Savo kompetencijos srityje CERT-EU vykdo struktūrinį bendradarbiavimą su ENISA pajėgumų stiprinimo, operatyvinio bendradarbiavimo ir ilgalaikės strateginės kibernetinių grėsmių analizės srityse pagal Reglamentą (ES) 2019/881. CERT-EU gali bendradarbiauti ir keistis informacija su Europolo Europos kovos su elektroniniu nusikalstamumu centru.

6. CERT-EU gali teikti šias paslaugas, kurios nėra aprašytos jos paslaugų kataloge (toliau – apmokestinamosios paslaugos):

paslaugas, kuriomis remiamas Sąjungos subjektų IRT aplinkos kibernetinis saugumas, išskyrus 3 dalyje nurodytas paslaugas, teikiamas remiantis susitarimais dėl paslaugų lygio ir atsižvelgiant į turimus išteklius, visų pirma plataus spektro tinklo stebėseną, įskaitant visą parą kasdien vykdomą labai didelių kibernetinių grėsmių stebėseną;

b)	paslaugas, kuriomis remiamos Sąjungos subjektų kibernetinio saugumo operacijos ar projektai, išskyrus tas, kuriomis jie siekia apsaugoti savo IRT aplinką, teikiamas remiantis rašytiniais susitarimais ir gavus išankstinį TKST pritarimą;

c)	gavus prašymą, aktyviai tikrina atitinkamo Sąjungos subjekto tinklų ir informacines sistemas, kad būtų galima nustatyti pažeidžiamumus, galinčius turėti didelį poveikį;

d)	paslaugas, kuriomis remiamas organizacijų, kurios nėra Sąjungos subjektai, bet glaudžiai su jais bendradarbiauja, pavyzdžiui, vykdo pagal Sąjungos teisę pavestas užduotis ar pareigas, IRT aplinkos saugumas, teikiamas remiantis rašytiniais susitarimais ir iš anksto gavus TKST pritarimą.

Kalbant apie pirmos pastraipos d punktą, CERT-EU, gavusi išankstinį TKST pritarimą, išimtiniais atvejais gali sudaryti susitarimus dėl paslaugų lygio su subjektais, kurie nėra Sąjungos subjektai.

7. CERT-EU rengia kibernetinio saugumo pratybas ir gali jose dalyvauti, arba rekomenduoti dalyvauti vykdomose pratybose, kai tinkama, glaudžiai bendradarbiaudama su ENISA, kad patikrintų Sąjungos subjektų kibernetinio saugumo lygį.

8. CERT-EU gali teikti pagalbą Sąjungos subjektams dėl incidentų tinklų ir informacinėse sistemose, kuriose tvarkoma ESĮI, jei to aiškiai paprašo atitinkami Sąjungos subjektai pagal savo atitinkamas procedūras. CERT-EU pagalbos teikimas pagal šią dalį nedaro poveikio taikomoms taisyklėms dėl įslaptintos informacijos apsaugos.

9. CERT-EU informuoja Sąjungos subjektus apie incidentų valdymo procedūras ir procesus.

10. CERT-EU, užtikrindama aukštą konfidencialumo ir patikimumo lygį, naudodamasi tinkamais bendradarbiavimo mechanizmais ir atskaitomybės ryšiais, teikia aktualią ir anoniminę informaciją apie didelius incidentus ir apie tai, kaip jie buvo valdomi. Ta informacija įtraukiama į 10 straipsnio 14 dalyje nurodytą ataskaitą.

11. CERT-EU, bendradarbiaudama su EDAPP, padeda atitinkamiems Sąjungos subjektams reaguoti į incidentus, dėl kurių pažeidžiamas asmens duomenų saugumas, nedarant poveikio EDAPP, kaip priežiūros institucijos, kompetencijai ir užduotims pagal Reglamentą (ES) 2018/1725.

12. CERT-EU gali, jei to aiškiai paprašo Sąjungos subjektų politiniai skyriai, pateikti technines rekomendacijas arba nuomonę atitinkamais politiniais klausimais.

15 straipsnis

CERT-EU vadovas

1. Komisija, gavusi dviejų trečdalių TKST narių balsų daugumos pritarimą, skiria CERT-EU vadovą. Su TKST konsultuojamasi visais skyrimo procedūros etapais, visų pirma rengiant pranešimus apie laisvas darbo vietas, nagrinėjant paraiškas ir skiriant atrankos komisijas dėl pareigybės. Atrankos procedūra, įskaitant galutinį kandidatų, iš kurių turi būti paskirtas CERT-EU vadovas, sąrašą, užtikrinama, kad būtų teisingai atstovaujama kiekvienai lyčiai, atsižvelgiant į pateiktas paraiškas.

2. CERT-EU vadovas yra atsakingas už sklandų CERT-EU veikimą ir eina pareigas savo pareigų kompetencijos srityje vadovaujant TKST. CERT-EU vadovas reguliariai teikia ataskaitas TKST pirmininkui ir jo prašymu teikia TKST ad hoc ataskaitas.

3. CERT-EU vadovas padeda atsakingam deleguotajam leidimus suteikiančiam pareigūnui pagal Europos Parlamento ir Tarybos reglamento (ES, Euratomas) 2018/1046 (9) 74 straipsnio 9 dalį parengti metinę veiklos ataskaitą, kurioje pateikiama finansinė ir valdymo informacija, įskaitant kontrolės rezultatus, ir reguliariai deleguotajam leidimus suteikiančiam pareigūnui teikia ataskaitas dėl priemonių, kurių atžvilgiu CERT-EU vadovui buvo perdeleguoti įgaliojimai, įgyvendinimo.

4. CERT-EU vadovas kasmet parengia savo veiklos administracinių pajamų ir išlaidų finansinį planą, siūlomą metinę darbo programą, siūlomą paslaugų katalogą, skirtą CERT-EU, siūlomus paslaugų katalogo pakeitimus, siūlomus susitarimus dėl paslaugų lygio sąlygų ir siūlomus PVRR, skirtus CERT-EU, kuriuos pagal 11 straipsnį turi patvirtinti TKST. Peržiūrėdamas CERT-EU paslaugų kataloge pateiktą paslaugų sąrašą, CERT-EU vadovas atsižvelgia į CERT-EU skirtus išteklius.

5. CERT-EU vadovas bent kartą per metus pateikia TKST ir TKST pirmininkui ataskaitas apie CERT-EU veiklą ir veiklos rezultatus ataskaitiniu laikotarpiu, įskaitant ataskaitas dėl biudžeto vykdymo, sudarytų susitarimų dėl paslaugų lygio ir rašytinių susitarimų, bendradarbiavimo su analogiškais centrais ir partneriais ir darbuotojų vykdomų misijų, įskaitant 11 straipsnyje nurodytas ataskaitas. Tose ataskaitose pateikiama kito laikotarpio darbo programa, pajamų ir išlaidų finansinis planavimas, įskaitant personalo srityje, planuojami CERT-EU paslaugų katalogo atnaujinimai ir numatomo tokių atnaujinimų poveikio finansiniams ir žmogiškiesiems ištekliams vertinimas.

16 straipsnis

Finansiniai ir personalo klausimai

1. CERT-EU integruojama į Komisijos generalinio direktorato administracinę struktūrą, kad galėtų naudotis Komisijos administravimo, finansų valdymo ir apskaitos paramos struktūromis, kartu išlaikant jos, kaip savarankiško tarpinstitucinio paslaugų visiems Sąjungos subjektams teikėjo statusą. Komisija informuoja TKST apie CERT-EU vietą administracinėje struktūroje ir su tuo susijusius pokyčius. Komisija reguliariai ir bet kuriuo atveju prieš sudarant bet kokią daugiametę finansinę programą pagal SESV 312 straipsnį peržiūri su CERT-EU susijusius administracinius susitarimus, kad būtų galima imtis tinkamų veiksmų. Atliekant peržiūrą svarstoma galimybė įsteigti CERT-EU kaip Sąjungos tarnybą.

2. Taikydamas administracines ir finansines procedūras, CERT-EU vadovas veikia vadovaudamasis Komisijos nurodymais ir prižiūrint TKST.

3. CERT-EU užduotys ir veikla, įskaitant pagal 13 straipsnio 3, 4, 5 ir 7 dalis ir 14 straipsnio 1 dalį CERT-EU teikiamas paslaugas Sąjungos subjektams, finansuojamas pagal daugiametės finansinės programos išlaidų kategoriją, skirtą Europos viešajam administravimui, finansuojamos pagal atskirą Komisijos biudžeto eilutę. CERT-EU skirti etatai išsamiai nurodomi Komisijos etatų plano išnašoje.

4. Kiti nei šio straipsnio 3 dalyje nurodyti Sąjungos subjektai pagal tą dalį skiria CERT-EU metinį finansinį įnašą CERT-EU teikiamų paslaugų sąnaudoms padengti. Įnašai nustatomi remiantis TKST pateiktomis gairėmis ir dėl jų kiekvienas Sąjungos subjektas ir CERT-EU susitaria paslaugų lygio susitarimuose. Įnašai sudaro teisingą ir proporcingą visų suteiktų paslaugų sąnaudų dalį. Jos gaunamos pagal šio straipsnio 3 dalyje nurodytą atskirą biudžeto eilutę kaip vidaus asignuotosios pajamos, kaip numatyta Reglamento (ES, Euratomas) 2018/1046 21 straipsnio 3 dalies c punkte.

5. Su pagal 13 straipsnio 6 dalį teikiamomis paslaugomis susijusios išlaidos susigrąžinamos iš CERT-EU paslaugas gaunančių Sąjungos subjektų. Pajamos priskiriamos išlaidoms padengti skirtoms biudžeto eilutėms.

20 straipsnis

Dalijimosi kibernetinio saugumo informacija susitarimai

1. Sąjungos subjektai gali savanoriškai pranešti CERT-EU apie jiems poveikį darančius incidentus, kibernetines grėsmes, vos neįvykusius incidentus ir pažeidžiamumą, ir teikti CERT-EU informaciją apie juos. Siekiant palengvinti keitimąsi informacija su Sąjungos subjektais, CERT-EU užtikrina, kad būtų galima naudotis veiksmingomis, aukšto lygio atsekamumo, konfidencialumo ir patikimumo komunikacijos priemonėmis. CERT-EU, tvarkydama pranešimus, gali teikti pirmenybę privalomų pranešimų tvarkymui, palyginti su savanoriškais pranešimais. Nedarant poveikio 12 straipsniui, dėl savanoriško pranešimo pranešimą teikiančiam Sąjungos subjektui nenustatoma jokių papildomų pareigų, kurios jam nebūtų taikomos, jei jis nebūtų pateikęs pranešimo.

2. Kad galėtų vykdyti savo misiją ir užduotis, pavestas pagal 13 straipsnį, CERT-EU gali reikalauti, kad Sąjungos subjektai jai teiktų informaciją iš savo atitinkamų IRT sistemų aprašų, įskaitant informaciją, susijusią su kibernetinėmis grėsmėmis, vos neįvykusiais incidentais, pažeidžiamumais, užvaldymo rodikliais, kibernetinio saugumo įspėjimais ir rekomendacijomis dėl kibernetinio saugumo priemonių konfigūracijos siekiant aptikti incidentus. Sąjungos subjektas, į kurį kreipiamasi, nepagrįstai nedelsdamas perduoda prašomą informaciją ir visus vėlesnius jos atnaujinimus.

3. CERT-EU gali su Sąjungos subjektais keistis su incidentu susijusia informacija, kurioje atskleidžiama nuo kibernetinio saugumo incidento nukentėjusio Sąjungos subjekto tapatybė su sąlyga, kad nukentėjęs Sąjungos subjektas sutinka. Jei Sąjungos subjektas sutikimo neduoda, jis CERT-EU pateikia tokį sprendimą pagrindžiančias priežastis.

4. Sąjungos subjektai, gavę prašymą, dalijasi informacija apie kibernetinio saugumo planų įgyvendinimą su Europos Parlamentu ir Taryba.

5. Gavus prašymą, atitinkamai TKST arba CERT-EU dalijasi gairėmis, rekomendacijomis ir raginimais imtis veiksmų su Europos Parlamentu ir Taryba.

6. Šiame straipsnyje nustatytos pareigos dalytis netaikomos:

ESĮI;

b)	informacijai, kurios tolesnis platinimas uždraustas aiškiai pažymint, išskyrus atvejus, kai ja aiškiai leidžiama dalytis su CERT-EU.

whereas

keyboard_tab Cyber Resilience Act 2023/2841 LT

Cyber Resilience Act 2023/2841 LT