keyboard_tab Cyber Resilience Act 2023/2841 LT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 6 straipsnis Kibernetinio saugumo rizikos valdymo, administravimo ir kontrolės sistema
- 1 10 straipsnis Tarpinstitucinė kibernetinio saugumo taryba
- 7 13 straipsnis CERT-EU misija ir užduotys
- 1 14 straipsnis Gairės, rekomendacijos ir raginimai imtis veiksmų
- 2 16 straipsnis Finansiniai ir personalo klausimai
I SKYRIUS
BENDROSIOS NUOSTATOS
II SKYRIUS
PRIEMONĖS AUKŠTAM BENDRAM KIBERNETINIO SAUGUMO LYGIUI UŽTIKRINTI
III SKYRIUS
TARPINSTITUCINĖ KIBERNETINIO SAUGUMO TARYBA
IV SKYRIUS
CERT-EU
V SKYRIUS
PAREIGOS BENDRADARBIAUTI IR PRANEŠTI
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
- sąjungos 63
- saugumo 41
- kibernetinio 37
- cert-eu 29
- tkst 27
- kaip 22
- pagal 22
- gali 20
- europos 16
- arba 15
- subjekto 15
- cert-eu 14
- subjektų 13
- valdymo 13
- apie 13
- dėl 12
- savo 12
- paslaugas 12
- paslaugų 11
- reglamentą 9
- subjektai 8
- šio 8
- subjektams 8
- tkst 8
- informacija 7
- įskaitant 7
- reglamento 7
- subjektas 7
- vidaus 7
- šį 7
- tinkama 6
- išskyrus 6
- veiksmų 6
- imtis 6
- vietos 6
- straipsnį 5
- incidentų 5
- remiantis 5
- būti 5
- taryba 5
- komisijos 5
- įgyvendinti 5
- užduotis 5
- teikia 5
- agentūrų 5
- bendradarbiavimo 5
- tinklo 5
- darbo 5
- tvarkos 5
- atitinkamas 5
6 straipsnis
Kibernetinio saugumo rizikos valdymo, administravimo ir kontrolės sistema
1. Ne vėliau kaip 2025 m. balandžio 8 d.] kiekvienas Sąjungos subjektas, atlikęs pradinę kibernetinio saugumo peržiūrą, pavyzdžiui, auditą, nustato vidaus kibernetinio saugumo rizikos valdymo, administravimo ir kontrolės sistemą (toliau – Sistema). Sistemos sukūrimą prižiūri ir už jį atsako Sąjungos subjekto aukščiausias valdymo lygmuo.
2. Sistema apima visą atitinkamo Sąjungos subjekto neįslaptintą IRT aplinką, įskaitant bet kokias vietoje esančias IRT aplinką, operacinį technologijų tinklą, užsakomąjį turtą ir paslaugas debesijos kompiuterijos aplinkoje arba kurių prieglobą teikia trečiosios šalys, mobiliuosius įrenginius, įmonių tinklus, prie interneto neprijungtus verslo tinklus ir bet kokius su tomis aplinkomis susijusius įrenginius (toliau – IRT aplinka). Sistema grindžiama visus pavojus apimančiu požiūriu.
3. Sistema užtikrinamas aukštas kibernetinio saugumo lygis. Sistemoje nustatoma tinklų ir informacinių sistemų saugumo vidaus kibernetinio saugumo politika, įskaitant tikslus ir prioritetus, taip pat Sąjungos subjekto darbuotojų, kuriems pavesta užtikrinti, kad šis reglamentas būtų veiksmingai įgyvendinamas, funkcijos ir pareigos. Į Sistemą taip pat įtraukiami įgyvendinimo veiksmingumo vertinimo mechanizmai.
4. Sistema turėtų būti reguliariai peržiūrima atsižvelgiant į kintančią kibernetinio saugumo riziką ir ne rečiau kaip kas ketverius metus. Kai tinkama ir gavus pagal 10 straipsnį įsteigtos Tarpinstitucinės kibernetinio saugumo tarybos prašymą, Sąjungos subjekto Sistema gali būti atnaujinama remiantis CERT-EU rekomendacijomis dėl nustatytų incidentų ar galimų spragų, pastebėtų įgyvendinant šį reglamentą.
5. Kiekvieno Sąjungos subjekto aukščiausias valdymo lygmuo yra atsakingas už šio reglamento įgyvendinimą ir prižiūri, kaip jo organizacija laikosi su Sistema susijusių pareigų.
6. Kiekvieno Sąjungos subjekto aukščiausias valdymo lygmuo, kai tikslinga ir nedarant poveikio jo atsakomybei už šio reglamento įgyvendinimą, gali konkrečias pareigas pagal šį reglamentą deleguoti atitinkamo Sąjungos subjekto vyresniesiems pareigūnams, kaip tai suprantama Tarnybos nuostatų 29 straipsnio 2 dalyje, arba kitiems lygiaverčio lygmens pareigūnams. Neatsižvelgiant į tokį pareigų delegavimą, aukščiausias valdymo lygmuo gali būti laikomas atsakingu už atitinkamo Sąjungos subjekto padarytus šio reglamento pažeidimus.
7. Kiekvienas Sąjungos subjektas turi turėti veiksmingus mechanizmus, kuriais užtikrinama, kad kibernetiniam saugumui būtų išleidžiama tinkama IRT biudžeto lėšų procentinė dalis. Nustatant tą procentinę dalį tinkamai atsižvelgiama į Sistemą.
8. Kiekvienas Sąjungos subjektas paskiria vietos kibernetinio saugumo pareigūną arba lygiavertę funkciją atliekantį pareigūną, kuris visais kibernetinio saugumo aspektais veikia kaip vienas kontaktinis punktas. Vietos kibernetinio saugumo pareigūnas sudaro palankias sąlygas įgyvendinti šį reglamentą ir aukščiausiam valdymo lygmeniui reguliariai tiesiogiai teikia ataskaitas apie įgyvendinimo padėtį. Nedarant poveikio tam, kad vietos kibernetinio saugumo pareigūnas veikia kaip vienas kontaktinis punktas kiekviename Sąjungos subjekte, Sąjungos subjektas gali CERT-EU deleguoti tam tikras vietos kibernetinio saugumo pareigūno užduotis, susijusias su šio reglamento įgyvendinimu, remdamasis to Sąjungos subjekto ir CERT-EU sudarytu susitarimu dėl paslaugų lygio, arba tas užduotis gali dalytis keli Sąjungos subjektai. Kai tos užduotys deleguojamos CERT-EU, pagal 10 straipsnį įsteigta Tarpinstitucinė kibernetinio saugumo taryba, atsižvelgdama į atitinkamo Sąjungos subjekto žmogiškuosius ir finansinius išteklius, nusprendžia, ar tos paslaugos turi būti teikiamos kaip CERT-EU pagrindinių paslaugų dalis. Kiekvienas Sąjungos subjektas nepagrįstai nedelsdamas praneša CERT-EU apie paskirtą vietos kibernetinio saugumo pareigūną ir apie visus vėlesnius jo pakeitimus.
CERT-EU nuolat parengia ir nuolat atnaujina paskirtų vietos kibernetinio saugumo pareigūnų sąrašą.
9. Kiekvieno Sąjungos subjekto vyresnieji pareigūnai, kaip tai suprantama Tarnybos nuostatų 29 straipsnio 2 dalyje, arba lygiaverčio lygmens pareigūnai, taip pat visi atitinkami darbuotojai, kuriems pavesta įgyvendinti kibernetinio saugumo rizikos valdymo priemones ir vykdyti šiame reglamente nustatytas pareigas, reguliariai dalyvauja specialiuose mokymuose, kad įgytų pakankamai žinių ir įgūdžių, kurių reikia siekiant suprasti ir įvertinti kibernetinio saugumo riziką ir su ja susijusią valdymo praktiką bei jos poveikį Sąjungos subjekto veiklai.
10 straipsnis
Tarpinstitucinė kibernetinio saugumo taryba
1. Įsteigiama Tarpinstitucinė kibernetinio saugumo taryba (toliau – TKST).
2. TKST pareigos:
| a) | stebėti, kaip Sąjungos subjektai įgyvendina šį reglamentą, ir padėti jiems jį įgyvendinti; |
| b) | prižiūrėti, kaip CERT-EU įgyvendina bendruosius prioritetus ir tikslus, ir nustatyti CERT-EU strateginę kryptį. |
3. TKST sudaro:
| a) | po vieną kiekvieno iš šių subjektų skiriamą atstovą:
|
| b) | trys atstovai, kuriuos skiria ES agentūrų tinklas savo IRT patariamojo komiteto siūlymu, kad jie atstovautų Sąjungos organų, įstaigų ir agentūrų, kurie valdo savo pačių IRT aplinką, išskyrus nurodytuosius a punkte, interesams. |
TKST atstovaujami Sąjungos subjektai siekia, kad tarp paskirtų atstovų būtų užtikrinta lyčių pusiausvyra.
4. TKST nariams gali padėti pakaitiniai nariai. Pirmininkas gali kviesti kitus 3 dalyje nurodytų Sąjungos subjektų arba kitų Sąjungos subjektų atstovus dalyvauti TKST posėdžiuose be balsavimo teisės.
5. CERT-EU vadovas ir atitinkamai pagal Direktyvos (ES) 2022/2555 14, 15 ir 16 straipsnius įsteigtų Bendradarbiavimo grupės, CSIRT tinklo ir EU-CyCLONe pirmininkai arba jų pakaitiniai nariai gali dalyvauti TKST posėdžiuose kaip stebėtojai. Išimtiniais atvejais TKST, laikydamasi savo vidaus darbo tvarkos taisyklių, gali nuspręsti kitaip.
6. TKST patvirtina savo vidaus darbo tvarkos taisykles.
7. Pagal savo vidaus darbo tvarkos taisykles TKST iš savo narių trejų metų laikotarpiui paskiria pirmininką. Pirmininko pakaitinis narys tam pačiam laikotarpiui tampa tikruoju TKST nariu.
8. TKST renkasi bent tris kartus per metus savo pirmininko iniciatyva, CERT-EU prašymu arba bet kurio iš jos narių prašymu.
9. Kiekvienas TKST narys turi po vieną balsą. TKST sprendimai priimami paprasta balsų dauguma, išskyrus atvejus, kai šiame reglamente numatyta kitaip. TKST pirmininkas nebalsuoja, išskyrus atvejus, kai balsai pasiskirsto po lygiai – tokiu atveju pirmininkas gali pasinaudoti lemiamo balso teise.
10. TKST gali priimti sprendimus taikydama supaprastintą rašytinę procedūrą, inicijuotą pagal jos vidaus darbo tvarkos taisykles. Pagal tą procedūrą laikoma, kad atitinkamas sprendimas yra patvirtintas per pirmininko nustatytą laikotarpį, išskyrus atvejus, kai narys pareiškia prieštaravimų.
11. Sekretoriato paslaugas TKST teikia Komisija ir sekretoriatas yra atskaitingas TKST pirmininkui.
12. Sąjungos agentūrų tinklo paskirti atstovai perduoda TKST sprendimus Sąjungos agentūrų tinklo nariams. Bet kuris Sąjungos agentūrų tinklo narys turi teisę pateikti tiems TKST atstovams ar pirmininkui bet kokį klausimą, į kurį, jo nuomone, turėtų būti atkreiptas TKST dėmesys.
13. TKST gali įsteigti vykdomąjį komitetą, kuris padėtų jam vykdyti savo darbą, ir deleguoti jam kai kurias savo užduotis ir įgaliojimus. TKST nustato vykdomojo komiteto darbo tvarkos taisykles, įskaitant jo užduotis bei įgaliojimus ir jo narių kadencijos trukmę.
14. TKST ne vėliau kaip 2025 m. sausio 8 d., o vėliau – kasmet teikia Europos Parlamentui ir Tarybai ataskaitą, kurioje išsamiai aprašoma pažanga, padaryta įgyvendinant šį reglamentą, ir, visų pirma, nurodomas CERT-EU bendradarbiavimo su analogiškais valstybės narės centrais kiekvienoje valstybėje narėje mastas. Ataskaita laikoma indėliu kas dvejus metus rengiant pagal Direktyvos (ES) 2022/2555 18 straipsnį teikiamą ataskaitą dėl kibernetinio saugumo padėties Sąjungoje.
13 straipsnis
CERT-EU misija ir užduotys
1. CERT-EU misija – prisidėti prie Sąjungos subjektų neįslaptintos IRT aplinkos saugumo, konsultuojant juos kibernetinio saugumo klausimais, padedant jiems užkirsti kelią incidentams, juos atskleisti, valdyti, sušvelninti jų poveikį, į juos reaguoti ir atstatyti po jų veiklą, taip pat veikiant kaip jų keitimosi kibernetinio saugumo informacija ir reagavimo į incidentus koordinavimo centras.
2. CERT-EU neįslaptintoje IRT infrastruktūroje renka, tvarko, analizuoja informaciją apie kibernetines grėsmes, pažeidžiamumą bei incidentus ir ja dalijasi su Sąjungos subjektais. Ji koordinuoja reagavimą į incidentus tarpinstituciniu ir Sąjungos subjektų lygmeniu, be kita ko, teikdamas specializuotą operatyvinę pagalbą arba koordinuodamas jos teikimą.
3. Siekdama padėti Sąjungos subjektams, CERT-EU atlieka šias užduotis:
| a) | padeda jiems įgyvendinti šį reglamentą ir prisideda prie šio reglamento įgyvendinimo koordinavimo taikydama 14 straipsnio 1 dalyje išvardytas priemones arba teikdama TKST prašomas ad hoc ataskaitas; |
| b) | siūlo standartines CSIRT paslaugas Sąjungos subjektams teikdama kibernetinio saugumo paslaugų, aprašytų savo paslaugų kataloge, paketą (toliau – pagrindinės paslaugos); |
| c) | prižiūri kolegų ir partnerių tinklą, padedantį teikti paslaugas, kaip nurodyta 17 ir 18 straipsniuose; |
| d) | atkreipia TKST dėmesį į visas problemas, susijusias su šio reglamento įgyvendinimu ir gairių, rekomendacijų bei raginimų imtis veiksmų įgyvendinimu; |
| e) | remdamasi 2 dalyje nurodyta informacija ir glaudžiai bendradarbiaudama su ENISA prisideda prie informuotumo apie kibernetinę padėtį Sąjungoje; |
| f) | koordinuoja didelių incidentų valdymą; |
| g) | veikia Sąjungos subjektų vardu kaip koordinatoriaus, paskirto koordinuoto pažeidžiamumų atskleidimo tikslais pagal Direktyvos (ES) 2022/2555 12 straipsnio 1 dalį, atitikmuo; |
| h) | Sąjungos subjekto prašymu atlieka aktyvų neintervencinį to Sąjungos subjekto viešai prieinamų tinklų ir informacinių sistemų tikrinimą. |
Pirmos pastraipos e punkte nurodyta informacija dalijamasi su TKST, CSIRT tinklu ir Europos Sąjungos žvalgybos ir situacijų centru (EU INTCEN), kai taikytina ir tinkama, laikantis tinkamų konfidencialumo sąlygų.
4. CERT-EU gali atitinkamai pagal 17 arba 18 straipsnį bendradarbiauti su atitinkamomis kibernetinio saugumo bendruomenėmis Sąjungoje ir jos valstybėse narėse, be kita ko, šiose srityse:
| a) | parengties, incidentų koordinavimo, keitimosi informacija ir reagavimo į krizes techniniu lygmeniu su Sąjungos subjektais susijusiais atvejais; |
| b) | operatyvinio bendradarbiavimo CSIRT tinkle, be kita ko, savitarpio pagalbos klausimais srityje; |
| c) | žvalgybos informacijos apie kibernetines grėsmes, įskaitant informuotumą apie padėtį, srityje; |
| d) | bet kurio klausimo, kuriam reikalingos CERT-EU techninės kibernetinio saugumo žinios, srityje. |
5. Savo kompetencijos srityje CERT-EU vykdo struktūrinį bendradarbiavimą su ENISA pajėgumų stiprinimo, operatyvinio bendradarbiavimo ir ilgalaikės strateginės kibernetinių grėsmių analizės srityse pagal Reglamentą (ES) 2019/881. CERT-EU gali bendradarbiauti ir keistis informacija su Europolo Europos kovos su elektroniniu nusikalstamumu centru.
6. CERT-EU gali teikti šias paslaugas, kurios nėra aprašytos jos paslaugų kataloge (toliau – apmokestinamosios paslaugos):
| a) | paslaugas, kuriomis remiamas Sąjungos subjektų IRT aplinkos kibernetinis saugumas, išskyrus 3 dalyje nurodytas paslaugas, teikiamas remiantis susitarimais dėl paslaugų lygio ir atsižvelgiant į turimus išteklius, visų pirma plataus spektro tinklo stebėseną, įskaitant visą parą kasdien vykdomą labai didelių kibernetinių grėsmių stebėseną; |
| b) | paslaugas, kuriomis remiamos Sąjungos subjektų kibernetinio saugumo operacijos ar projektai, išskyrus tas, kuriomis jie siekia apsaugoti savo IRT aplinką, teikiamas remiantis rašytiniais susitarimais ir gavus išankstinį TKST pritarimą; |
| c) | gavus prašymą, aktyviai tikrina atitinkamo Sąjungos subjekto tinklų ir informacines sistemas, kad būtų galima nustatyti pažeidžiamumus, galinčius turėti didelį poveikį; |
| d) | paslaugas, kuriomis remiamas organizacijų, kurios nėra Sąjungos subjektai, bet glaudžiai su jais bendradarbiauja, pavyzdžiui, vykdo pagal Sąjungos teisę pavestas užduotis ar pareigas, IRT aplinkos saugumas, teikiamas remiantis rašytiniais susitarimais ir iš anksto gavus TKST pritarimą. |
Kalbant apie pirmos pastraipos d punktą, CERT-EU, gavusi išankstinį TKST pritarimą, išimtiniais atvejais gali sudaryti susitarimus dėl paslaugų lygio su subjektais, kurie nėra Sąjungos subjektai.
7. CERT-EU rengia kibernetinio saugumo pratybas ir gali jose dalyvauti, arba rekomenduoti dalyvauti vykdomose pratybose, kai tinkama, glaudžiai bendradarbiaudama su ENISA, kad patikrintų Sąjungos subjektų kibernetinio saugumo lygį.
8. CERT-EU gali teikti pagalbą Sąjungos subjektams dėl incidentų tinklų ir informacinėse sistemose, kuriose tvarkoma ESĮI, jei to aiškiai paprašo atitinkami Sąjungos subjektai pagal savo atitinkamas procedūras. CERT-EU pagalbos teikimas pagal šią dalį nedaro poveikio taikomoms taisyklėms dėl įslaptintos informacijos apsaugos.
9. CERT-EU informuoja Sąjungos subjektus apie incidentų valdymo procedūras ir procesus.
10. CERT-EU, užtikrindama aukštą konfidencialumo ir patikimumo lygį, naudodamasi tinkamais bendradarbiavimo mechanizmais ir atskaitomybės ryšiais, teikia aktualią ir anoniminę informaciją apie didelius incidentus ir apie tai, kaip jie buvo valdomi. Ta informacija įtraukiama į 10 straipsnio 14 dalyje nurodytą ataskaitą.
11. CERT-EU, bendradarbiaudama su EDAPP, padeda atitinkamiems Sąjungos subjektams reaguoti į incidentus, dėl kurių pažeidžiamas asmens duomenų saugumas, nedarant poveikio EDAPP, kaip priežiūros institucijos, kompetencijai ir užduotims pagal Reglamentą (ES) 2018/1725.
12. CERT-EU gali, jei to aiškiai paprašo Sąjungos subjektų politiniai skyriai, pateikti technines rekomendacijas arba nuomonę atitinkamais politiniais klausimais.
14 straipsnis
Gairės, rekomendacijos ir raginimai imtis veiksmų
1. CERT-EU padeda įgyvendinti šį reglamentą, teikdama:
| a) | raginimus imtis veiksmų, kuriuose aprašomos skubios saugumo priemonės, kurių Sąjungos subjektai raginami imtis per nustatytą laikotarpį; |
| b) | pasiūlymus TKST dėl gairių, skirtų visiems Sąjungos subjektams arba jų daliai; |
| c) | pasiūlymus TKST dėl atskiriems Sąjungos subjektams skirtų rekomendacijų. |
Kiek tai susiję su pirmos pastraipos a punktu, atitinkamas Sąjungos subjektas, gavęs raginimą imtis veiksmų, nepagrįstai nedelsdamas informuoja CERT-EU apie tai, kaip buvo taikomos skubios saugumo priemonės.
2. Gairės ir rekomendacijos gali apimti:
| a) | bendras Sąjungos subjektų kibernetinio saugumo brandos vertinimo metodikas ir modelį, įskaitant atitinkamas skales arba PVRR, kuriais remiamasi siekiant nuolat gerinti kibernetinį saugumą Sąjungos subjektuose ir palengvinti kibernetinio saugumo sričių ir priemonių prioritetų nustatymą, atsižvelgiant į subjektų kibernetinio saugumo būklę; |
| b) | susitarimus dėl kibernetinio saugumo rizikos valdymo ir kibernetinio saugumo rizikos valdymo priemonių ir jų tobulinimo sąlygas; |
| c) | kibernetinio saugumo brandos vertinimo ir kibernetinio saugumo planų susitarimus; |
| d) | kai tinkama, bendrų technologijų, architektūros, atvirojo kodo ir susijusios geriausios praktikos naudojimą siekiant užtikrinti sąveikumą ir bendrus standartus, įskaitanti suderintą požiūrį į tiekimo grandinių saugumą; |
| e) | kai tinkama, informaciją, kuria sudaromos palankesnės sąlygos naudotis bendradarbiaujamųjų viešųjų pirkimų priemonėmis perkant atitinkamas kibernetinio saugumo paslaugas ir produktus iš trečiųjų šalių tiekėjų; |
| f) | keitimosi informacija tvarką pagal 20 straipsnį. |
16 straipsnis
Finansiniai ir personalo klausimai
1. CERT-EU integruojama į Komisijos generalinio direktorato administracinę struktūrą, kad galėtų naudotis Komisijos administravimo, finansų valdymo ir apskaitos paramos struktūromis, kartu išlaikant jos, kaip savarankiško tarpinstitucinio paslaugų visiems Sąjungos subjektams teikėjo statusą. Komisija informuoja TKST apie CERT-EU vietą administracinėje struktūroje ir su tuo susijusius pokyčius. Komisija reguliariai ir bet kuriuo atveju prieš sudarant bet kokią daugiametę finansinę programą pagal SESV 312 straipsnį peržiūri su CERT-EU susijusius administracinius susitarimus, kad būtų galima imtis tinkamų veiksmų. Atliekant peržiūrą svarstoma galimybė įsteigti CERT-EU kaip Sąjungos tarnybą.
2. Taikydamas administracines ir finansines procedūras, CERT-EU vadovas veikia vadovaudamasis Komisijos nurodymais ir prižiūrint TKST.
3. CERT-EU užduotys ir veikla, įskaitant pagal 13 straipsnio 3, 4, 5 ir 7 dalis ir 14 straipsnio 1 dalį CERT-EU teikiamas paslaugas Sąjungos subjektams, finansuojamas pagal daugiametės finansinės programos išlaidų kategoriją, skirtą Europos viešajam administravimui, finansuojamos pagal atskirą Komisijos biudžeto eilutę. CERT-EU skirti etatai išsamiai nurodomi Komisijos etatų plano išnašoje.
4. Kiti nei šio straipsnio 3 dalyje nurodyti Sąjungos subjektai pagal tą dalį skiria CERT-EU metinį finansinį įnašą CERT-EU teikiamų paslaugų sąnaudoms padengti. Įnašai nustatomi remiantis TKST pateiktomis gairėmis ir dėl jų kiekvienas Sąjungos subjektas ir CERT-EU susitaria paslaugų lygio susitarimuose. Įnašai sudaro teisingą ir proporcingą visų suteiktų paslaugų sąnaudų dalį. Jos gaunamos pagal šio straipsnio 3 dalyje nurodytą atskirą biudžeto eilutę kaip vidaus asignuotosios pajamos, kaip numatyta Reglamento (ES, Euratomas) 2018/1046 21 straipsnio 3 dalies c punkte.
5. Su pagal 13 straipsnio 6 dalį teikiamomis paslaugomis susijusios išlaidos susigrąžinamos iš CERT-EU paslaugas gaunančių Sąjungos subjektų. Pajamos priskiriamos išlaidoms padengti skirtoms biudžeto eilutėms.
whereas