keyboard_tab Cyber Resilience Act 2023/2841 LT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 16 straipsnis Finansiniai ir personalo klausimai
- 2 21 straipsnis Pareigos pranešti
- 1 23 straipsnis Didelių incidentų valdymas
I SKYRIUS
BENDROSIOS NUOSTATOS
II SKYRIUS
PRIEMONĖS AUKŠTAM BENDRAM KIBERNETINIO SAUGUMO LYGIUI UŽTIKRINTI
III SKYRIUS
TARPINSTITUCINĖ KIBERNETINIO SAUGUMO TARYBA
IV SKYRIUS
CERT-EU
V SKYRIUS
PAREIGOS BENDRADARBIAUTI IR PRANEŠTI
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
- cert-eu 20
- sąjungos 18
- pagal 14
- apie 14
- arba 13
- poveikį 9
- subjektai 8
- incidentus 8
- kaip 8
- tkst 8
- didelių 7
- atveju 6
- incidentų 6
- dėl 6
- nepagrįstai 5
- sąjungos 5
- subjektų 5
- valdymo 5
- ataskaitą 5
- incidentas 5
- gali 5
- komisijos 5
- incidentą 5
- subjektams 5
- informacijos 4
- kuriuo 4
- imtis 4
- tada 4
- subjektas 4
- cert-eu 4
- šio 4
- incidento 4
- taikytina 4
- įskaitant 4
- nurodomi 4
- paslaugų 4
- poveikio 4
- valandas 3
- kuriame 3
- incidentą – 3
- reikšmingą 3
- sužinojo 3
- informacija 3
- nedelsdami 3
- straipsnis 3
- mažinimo 3
- reikšmingas 3
- subjekto 3
- galėtų 3
- kibernetinių 3
16 straipsnis
Finansiniai ir personalo klausimai
1. CERT-EU integruojama į Komisijos generalinio direktorato administracinę struktūrą, kad galėtų naudotis Komisijos administravimo, finansų valdymo ir apskaitos paramos struktūromis, kartu išlaikant jos, kaip savarankiško tarpinstitucinio paslaugų visiems Sąjungos subjektams teikėjo statusą. Komisija informuoja TKST apie CERT-EU vietą administracinėje struktūroje ir su tuo susijusius pokyčius. Komisija reguliariai ir bet kuriuo atveju prieš sudarant bet kokią daugiametę finansinę programą pagal SESV 312 straipsnį peržiūri su CERT-EU susijusius administracinius susitarimus, kad būtų galima imtis tinkamų veiksmų. Atliekant peržiūrą svarstoma galimybė įsteigti CERT-EU kaip Sąjungos tarnybą.
2. Taikydamas administracines ir finansines procedūras, CERT-EU vadovas veikia vadovaudamasis Komisijos nurodymais ir prižiūrint TKST.
3. CERT-EU užduotys ir veikla, įskaitant pagal 13 straipsnio 3, 4, 5 ir 7 dalis ir 14 straipsnio 1 dalį CERT-EU teikiamas paslaugas Sąjungos subjektams, finansuojamas pagal daugiametės finansinės programos išlaidų kategoriją, skirtą Europos viešajam administravimui, finansuojamos pagal atskirą Komisijos biudžeto eilutę. CERT-EU skirti etatai išsamiai nurodomi Komisijos etatų plano išnašoje.
4. Kiti nei šio straipsnio 3 dalyje nurodyti Sąjungos subjektai pagal tą dalį skiria CERT-EU metinį finansinį įnašą CERT-EU teikiamų paslaugų sąnaudoms padengti. Įnašai nustatomi remiantis TKST pateiktomis gairėmis ir dėl jų kiekvienas Sąjungos subjektas ir CERT-EU susitaria paslaugų lygio susitarimuose. Įnašai sudaro teisingą ir proporcingą visų suteiktų paslaugų sąnaudų dalį. Jos gaunamos pagal šio straipsnio 3 dalyje nurodytą atskirą biudžeto eilutę kaip vidaus asignuotosios pajamos, kaip numatyta Reglamento (ES, Euratomas) 2018/1046 21 straipsnio 3 dalies c punkte.
5. Su pagal 13 straipsnio 6 dalį teikiamomis paslaugomis susijusios išlaidos susigrąžinamos iš CERT-EU paslaugas gaunančių Sąjungos subjektų. Pajamos priskiriamos išlaidoms padengti skirtoms biudžeto eilutėms.
21 straipsnis
Pareigos pranešti
1. Incidentas laikomas reikšmingu, jeigu:
| a) | dėl jo atitinkamas Sąjungos subjektas patyrė arba gali patirti didelių veikimo sutrikimų arba finansinių nuostolių; |
| b) | jis paveikė arba gali paveikti kitus fizinius ar juridinius asmenis sukeldamas didelę materialinę arba neturtinę žalą. |
2. Sąjungos subjektai CERT-EU pateikia:
| a) | nepagrįstai nedelsiant ir bet kuriuo atveju per 24 valandas nuo tada, kai sužinojo apie reikšmingą incidentą, – ankstyvąjį perspėjimą, kuriame, kai taikytina, nurodoma, kad reikšmingą incidentą, kaip įtariama, sukėlė neteisėti ar piktavališki veiksmai arba, kad jis galėtų daryti poveikį keliems subjektams ar tarpvalstybinį poveikį; |
| b) | nepagrįstai nedelsdami ir bet kuriuo atveju per 72 valandas nuo tada, kai sužinojo apie didelį incidentą, – pranešimą apie incidentą, kuriame, kai taikytina, atnaujinama a punkte nurodyta informacija ir nurodomas didelio incidento, įskaitant jo sunkumą ir poveikį, pradinis vertinimas, taip pat nurodomi užvaldymo rodikliai, jei tokių yra; |
| c) | CERT-EU prašymu – tarpinę ataskaitą apie atitinkamus atnaujintus duomenis apie padėtį; |
| d) | ne vėliau kaip per vieną mėnesį nuo b punkte nurodyto pranešimo apie incidentą – galutinę ataskaitą, kurioje pateikiama ši informacija:
|
| e) | tuo atveju, jei d punkte nurodytos galutinės ataskaitos pateikimo metu incidentas tebevyksta, – to meto pažangos ataskaitą, o galutinę ataskaitą – per vieną mėnesį nuo tada, kai suvaldė incidentą. |
3. Sąjungos subjektas nepagrįstai nedelsdamas ir bet kuriuo atveju per 24 valandas nuo tada, kai sužinojo apie reikšmingą incidentą, informuoja visus atitinkamus 17 straipsnio 1 dalyje nurodytus analogiškus valstybės narės centrus toje valstybėje narėje, kurioje yra subjektas, kad įvyko reikšmingas incidentas.
4. Sąjungos subjektai, inter alia, praneša bet kokią informaciją, kuri gali padėti CERT-EU nustatyti bet kokį poveikį keliems subjektams, poveikį priimančiajai valstybei narei arba tarpvalstybinį reikšmingo incidento poveikį. Nedarant poveikio 12 straipsnio taikymui, vien dėl pranešimo veiksmo negali būti padidinama Sąjungos subjekto atsakomybė.
5. Kai taikytina, Sąjungos subjektai nepagrįstai nedelsdami informuoja paveiktų tinklų ir informacinių sistemų arba kitų IRT aplinkos komponentų naudotojus, kuriuos reikšmingas incidentas arba didelė kibernetinė grėsmė galėjo paveikti ir kurie, kai tinkama, turi imtis poveikio mažinimo priemonių, apie visas priemones ar teisių gynimo priemones, kurių jie gali imtis reaguodami į tą incidentą arba tą grėsmę. Atitinkamais atvejais Sąjungos subjektai praneša tiems naudotojams apie pačią didelę kibernetinę grėsmę.
6. Kai reikšmingas incidentas ar didelė kibernetinė grėsmė daro poveikį tinklų ar informacinei sistemai arba Sąjungos subjekto IRT aplinkos komponentui, kuris, kaip žinoma, yra sujungtas su kito Sąjungos subjekto aplinka, CERT-EU paskelbia atitinkamą kibernetinio saugumo įspėjimą.
7. Sąjungos subjektai CERT-EU prašymu nepagrįstai nedelsdami suteikia CERT-EU skaitmeninę informaciją, sukurtą naudojant elektroninius įtaisus, susijusius su atitinkamais incidentais. CERT-EU gali pateikti išsamesnės informacijos apie tai, kokios rūšies informacijos jai reikia informuotumo apie padėtį ir reagavimo į incidentus tikslais.
8. CERT-EU kas tris mėnesius TKST, ENISA, ES INTCEN ir CSIRT tinklui pateikia apibendrinamąją ataskaitą, įskaitant nuasmenintus ir apibendrintus duomenis apie reikšmingus incidentus, incidentus, kibernetines grėsmes, vos neįvykusius incidentus ir pažeidžiamumus pagal 20 straipsnį ir reikšmingus incidentus, apie kuriuos pranešta pagal šio straipsnio 2 dalį. Apibendrinamoji ataskaita laikoma indėliu kas dvejus metus rengiant ataskaitą dėl kibernetinio saugumo padėties Sąjungoje, priimamą pagal Direktyvos (ES) 2022/2555 18 straipsnį.
9. TKST ne vėliau kaip 2024 m. liepos 8 d. paskelbia gaires arba rekomendacijas, kuriose toliau patikslinami pagal šį straipsnį teikiamų ataskaitų tvarka, forma ir turinys. Rengdama tokias gaires ar rekomendacijas, TKST atsižvelgia į visus pagal Direktyvos (ES) 2022/2555 23 straipsnio 11 dalį priimtus įgyvendinimo aktus, kuriuose nurodomi informacijos rūšis, formatas ir pranešimų teikimo procedūra. CERT-EU platina atitinkamą techninę informaciją, kad Sąjungos subjektai galėtų aktyviai aptikti incidentus, reaguoti į juos arba imtis rizikos mažinimo priemonių.
10. Šiame straipsnyje nustatytos pareigos pranešti netaikomos:
| a) | ESĮI; |
| b) | informacijai, kurios tolesnis platinimas uždraustas aiškiai pažymint, išskyrus atvejus, kai ja aiškiai leidžiama dalytis su CERT-EU. |
23 straipsnis
Didelių incidentų valdymas
1. Siekdama operaciniu lygmeniu remti suderintą didelių incidentų, darančių poveikį Sąjungos subjektams, valdymą ir prisidėti prie reguliaraus Sąjungos subjektų tarpusavio keitimosi atitinkama informacija ir keitimosi ja su valstybėmis narėmis, TKST, glaudžiai bendradarbiaudama su CERT-EU ir ENISA, pagal 11 straipsnio q punktą parengia kibernetinių krizių valdymo planą, grindžiamą 22 straipsnio 2 dalyje nurodyta veikla. Į kibernetinių krizių valdymo planą įtraukiami bent šie aspektai:
| a) | susitarimai dėl Sąjungos subjektų veiksmų koordinavimo ir informacijos srautų, susijusių su didelių incidentų valdymu operaciniu lygmeniu; |
| b) | bendros standartinės veiklos procedūros (SVP); |
| c) | bendra didelių incidentų rimtumo ir krizę sukeliančių veiksnių taksonomija; |
| d) | reguliarios pratybos; |
| e) | naudotini saugūs ryšių kanalai. |
2. Komisijos atstovas TKST, atsižvelgiant į pagal šio straipsnio 1 dalį priimtą kibernetinių krizių valdymo planą ir nedarant poveikio Direktyvos (ES) 2022/2555 16 straipsnio 2 dalies pirmai pastraipai, yra kontaktinis punktas keičiantis svarbia informacija, susijusia su dideliais incidentais EU-CyCLONe.
3. CERT-EU koordinuoja Sąjungos subjektų veiksmus valdant didelius incidentus. Ji tvarko turimų techninių ekspertinių žinių, kurių reikėtų reaguojant į incidentus didelių incidentų atveju, aprašą ir padeda TKST koordinuoti Sąjungos subjektų didelių incidentų sukeltos kibernetinės krizės valdymo planus, nurodytus 9 straipsnio 2 dalyje.
4. Sąjungos subjektai prisideda prie techninių ekspertinių žinių aprašo, pateikdami kasmet atnaujinamą atitinkamose jų organizacijose turimų ekspertų sąrašą, kuriame išsamiai nurodomi jų konkretūs techniniai įgūdžiai.
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
whereas