keyboard_tab Cyber Resilience Act 2023/2841 LT

1.   CERT-EU padeda įgyvendinti šį reglamentą, teikdama:

Kiek tai susiję su pirmos pastraipos a punktu, atitinkamas Sąjungos subjektas, gavęs raginimą imtis veiksmų, nepagrįstai nedelsdamas informuoja CERT-EU apie tai, kaip buvo taikomos skubios saugumo priemonės.

2.   Gairės ir rekomendacijos gali apimti:

1.   CERT-EU integruojama į Komisijos generalinio direktorato administracinę struktūrą, kad galėtų naudotis Komisijos administravimo, finansų valdymo ir apskaitos paramos struktūromis, kartu išlaikant jos, kaip savarankiško tarpinstitucinio paslaugų visiems Sąjungos subjektams teikėjo statusą. Komisija informuoja TKST apie CERT-EU vietą administracinėje struktūroje ir su tuo susijusius pokyčius. Komisija reguliariai ir bet kuriuo atveju prieš sudarant bet kokią daugiametę finansinę programą pagal SESV 312 straipsnį peržiūri su CERT-EU susijusius administracinius susitarimus, kad būtų galima imtis tinkamų veiksmų. Atliekant peržiūrą svarstoma galimybė įsteigti CERT-EU kaip Sąjungos tarnybą.

2.   Taikydamas administracines ir finansines procedūras, CERT-EU vadovas veikia vadovaudamasis Komisijos nurodymais ir prižiūrint TKST.

3.   CERT-EU užduotys ir veikla, įskaitant pagal 13 straipsnio 3, 4, 5 ir 7 dalis ir 14 straipsnio 1 dalį CERT-EU teikiamas paslaugas Sąjungos subjektams, finansuojamas pagal daugiametės finansinės programos išlaidų kategoriją, skirtą Europos viešajam administravimui, finansuojamos pagal atskirą Komisijos biudžeto eilutę. CERT-EU skirti etatai išsamiai nurodomi Komisijos etatų plano išnašoje.

4.   Kiti nei šio straipsnio 3 dalyje nurodyti Sąjungos subjektai pagal tą dalį skiria CERT-EU metinį finansinį įnašą CERT-EU teikiamų paslaugų sąnaudoms padengti. Įnašai nustatomi remiantis TKST pateiktomis gairėmis ir dėl jų kiekvienas Sąjungos subjektas ir CERT-EU susitaria paslaugų lygio susitarimuose. Įnašai sudaro teisingą ir proporcingą visų suteiktų paslaugų sąnaudų dalį. Jos gaunamos pagal šio straipsnio 3 dalyje nurodytą atskirą biudžeto eilutę kaip vidaus asignuotosios pajamos, kaip numatyta Reglamento (ES, Euratomas) 2018/1046 21 straipsnio 3 dalies c punkte.

5.   Su pagal 13 straipsnio 6 dalį teikiamomis paslaugomis susijusios išlaidos susigrąžinamos iš CERT-EU paslaugas gaunančių Sąjungos subjektų. Pajamos priskiriamos išlaidoms padengti skirtoms biudžeto eilutėms.

1.   Sąjungos subjektai gali savanoriškai pranešti CERT-EU apie jiems poveikį darančius incidentus, kibernetines grėsmes, vos neįvykusius incidentus ir pažeidžiamumą, ir teikti CERT-EU informaciją apie juos. Siekiant palengvinti keitimąsi informacija su Sąjungos subjektais, CERT-EU užtikrina, kad būtų galima naudotis veiksmingomis, aukšto lygio atsekamumo, konfidencialumo ir patikimumo komunikacijos priemonėmis. CERT-EU, tvarkydama pranešimus, gali teikti pirmenybę privalomų pranešimų tvarkymui, palyginti su savanoriškais pranešimais. Nedarant poveikio 12 straipsniui, dėl savanoriško pranešimo pranešimą teikiančiam Sąjungos subjektui nenustatoma jokių papildomų pareigų, kurios jam nebūtų taikomos, jei jis nebūtų pateikęs pranešimo.

2.   Kad galėtų vykdyti savo misiją ir užduotis, pavestas pagal 13 straipsnį, CERT-EU gali reikalauti, kad Sąjungos subjektai jai teiktų informaciją iš savo atitinkamų IRT sistemų aprašų, įskaitant informaciją, susijusią su kibernetinėmis grėsmėmis, vos neįvykusiais incidentais, pažeidžiamumais, užvaldymo rodikliais, kibernetinio saugumo įspėjimais ir rekomendacijomis dėl kibernetinio saugumo priemonių konfigūracijos siekiant aptikti incidentus. Sąjungos subjektas, į kurį kreipiamasi, nepagrįstai nedelsdamas perduoda prašomą informaciją ir visus vėlesnius jos atnaujinimus.

3.   CERT-EU gali su Sąjungos subjektais keistis su incidentu susijusia informacija, kurioje atskleidžiama nuo kibernetinio saugumo incidento nukentėjusio Sąjungos subjekto tapatybė su sąlyga, kad nukentėjęs Sąjungos subjektas sutinka. Jei Sąjungos subjektas sutikimo neduoda, jis CERT-EU pateikia tokį sprendimą pagrindžiančias priežastis.

4.   Sąjungos subjektai, gavę prašymą, dalijasi informacija apie kibernetinio saugumo planų įgyvendinimą su Europos Parlamentu ir Taryba.

5.   Gavus prašymą, atitinkamai TKST arba CERT-EU dalijasi gairėmis, rekomendacijomis ir raginimais imtis veiksmų su Europos Parlamentu ir Taryba.

6.   Šiame straipsnyje nustatytos pareigos dalytis netaikomos:

1.   Siekdama operaciniu lygmeniu remti suderintą didelių incidentų, darančių poveikį Sąjungos subjektams, valdymą ir prisidėti prie reguliaraus Sąjungos subjektų tarpusavio keitimosi atitinkama informacija ir keitimosi ja su valstybėmis narėmis, TKST, glaudžiai bendradarbiaudama su CERT-EU ir ENISA, pagal 11 straipsnio q punktą parengia kibernetinių krizių valdymo planą, grindžiamą 22 straipsnio 2 dalyje nurodyta veikla. Į kibernetinių krizių valdymo planą įtraukiami bent šie aspektai:

2.   Komisijos atstovas TKST, atsižvelgiant į pagal šio straipsnio 1 dalį priimtą kibernetinių krizių valdymo planą ir nedarant poveikio Direktyvos (ES) 2022/2555 16 straipsnio 2 dalies pirmai pastraipai, yra kontaktinis punktas keičiantis svarbia informacija, susijusia su dideliais incidentais EU-CyCLONe.

3.   CERT-EU koordinuoja Sąjungos subjektų veiksmus valdant didelius incidentus. Ji tvarko turimų techninių ekspertinių žinių, kurių reikėtų reaguojant į incidentus didelių incidentų atveju, aprašą ir padeda TKST koordinuoti Sąjungos subjektų didelių incidentų sukeltos kibernetinės krizės valdymo planus, nurodytus 9 straipsnio 2 dalyje.

4.   Sąjungos subjektai prisideda prie techninių ekspertinių žinių aprašo, pateikdami kasmet atnaujinamą atitinkamose jų organizacijose turimų ekspertų sąrašą, kuriame išsamiai nurodomi jų konkretūs techniniai įgūdžiai.