keyboard_tab Cyber Resilience Act 2023/2841 LT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 15 straipsnis CERT-EU vadovas
- 1 21 straipsnis Pareigos pranešti
- 1 25 straipsnis Peržiūra
- 26 straipsnis Įsigaliojimas
I SKYRIUS
BENDROSIOS NUOSTATOS
II SKYRIUS
PRIEMONĖS AUKŠTAM BENDRAM KIBERNETINIO SAUGUMO LYGIUI UŽTIKRINTI
III SKYRIUS
TARPINSTITUCINĖ KIBERNETINIO SAUGUMO TARYBA
IV SKYRIUS
CERT-EU
V SKYRIUS
PAREIGOS BENDRADARBIAUTI IR PRANEŠTI
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
- cert-eu 24
- apie 15
- arba 13
- tkst 11
- dėl 11
- sąjungos 9
- ataskaitą 9
- poveikį 8
- kaip 8
- vadovas 8
- įskaitant 8
- paslaugų 7
- pagal 7
- ataskaitas 6
- gali 6
- incidentus 6
- subjektai 6
- vėliau 5
- incidentą 5
- cert-eu 5
- reglamento 5
- incidentas 5
- nepagrįstai 5
- šio 5
- poveikio 4
- procedūra 4
- tada 4
- veiklos 4
- europos 4
- taikytina 4
- pateikia 4
- atveju 4
- teikia 4
- sąjungos 4
- incidento 4
- pateikiama 4
- incidentą – 3
- siūlomus 3
- metus 3
- kuriuos 3
- informacijos 3
- kurioje 3
- reikšmingą 3
- rekomendacijas 3
- sužinojo 3
- valandas 3
- įgyvendinimo 3
- subjektas 3
- priemonių 3
- sausio d 3
15 straipsnis
CERT-EU vadovas
1. Komisija, gavusi dviejų trečdalių TKST narių balsų daugumos pritarimą, skiria CERT-EU vadovą. Su TKST konsultuojamasi visais skyrimo procedūros etapais, visų pirma rengiant pranešimus apie laisvas darbo vietas, nagrinėjant paraiškas ir skiriant atrankos komisijas dėl pareigybės. Atrankos procedūra, įskaitant galutinį kandidatų, iš kurių turi būti paskirtas CERT-EU vadovas, sąrašą, užtikrinama, kad būtų teisingai atstovaujama kiekvienai lyčiai, atsižvelgiant į pateiktas paraiškas.
2. CERT-EU vadovas yra atsakingas už sklandų CERT-EU veikimą ir eina pareigas savo pareigų kompetencijos srityje vadovaujant TKST. CERT-EU vadovas reguliariai teikia ataskaitas TKST pirmininkui ir jo prašymu teikia TKST ad hoc ataskaitas.
3. CERT-EU vadovas padeda atsakingam deleguotajam leidimus suteikiančiam pareigūnui pagal Europos Parlamento ir Tarybos reglamento (ES, Euratomas) 2018/1046 (9) 74 straipsnio 9 dalį parengti metinę veiklos ataskaitą, kurioje pateikiama finansinė ir valdymo informacija, įskaitant kontrolės rezultatus, ir reguliariai deleguotajam leidimus suteikiančiam pareigūnui teikia ataskaitas dėl priemonių, kurių atžvilgiu CERT-EU vadovui buvo perdeleguoti įgaliojimai, įgyvendinimo.
4. CERT-EU vadovas kasmet parengia savo veiklos administracinių pajamų ir išlaidų finansinį planą, siūlomą metinę darbo programą, siūlomą paslaugų katalogą, skirtą CERT-EU, siūlomus paslaugų katalogo pakeitimus, siūlomus susitarimus dėl paslaugų lygio sąlygų ir siūlomus PVRR, skirtus CERT-EU, kuriuos pagal 11 straipsnį turi patvirtinti TKST. Peržiūrėdamas CERT-EU paslaugų kataloge pateiktą paslaugų sąrašą, CERT-EU vadovas atsižvelgia į CERT-EU skirtus išteklius.
5. CERT-EU vadovas bent kartą per metus pateikia TKST ir TKST pirmininkui ataskaitas apie CERT-EU veiklą ir veiklos rezultatus ataskaitiniu laikotarpiu, įskaitant ataskaitas dėl biudžeto vykdymo, sudarytų susitarimų dėl paslaugų lygio ir rašytinių susitarimų, bendradarbiavimo su analogiškais centrais ir partneriais ir darbuotojų vykdomų misijų, įskaitant 11 straipsnyje nurodytas ataskaitas. Tose ataskaitose pateikiama kito laikotarpio darbo programa, pajamų ir išlaidų finansinis planavimas, įskaitant personalo srityje, planuojami CERT-EU paslaugų katalogo atnaujinimai ir numatomo tokių atnaujinimų poveikio finansiniams ir žmogiškiesiems ištekliams vertinimas.
21 straipsnis
Pareigos pranešti
1. Incidentas laikomas reikšmingu, jeigu:
| a) | dėl jo atitinkamas Sąjungos subjektas patyrė arba gali patirti didelių veikimo sutrikimų arba finansinių nuostolių; |
| b) | jis paveikė arba gali paveikti kitus fizinius ar juridinius asmenis sukeldamas didelę materialinę arba neturtinę žalą. |
2. Sąjungos subjektai CERT-EU pateikia:
| a) | nepagrįstai nedelsiant ir bet kuriuo atveju per 24 valandas nuo tada, kai sužinojo apie reikšmingą incidentą, – ankstyvąjį perspėjimą, kuriame, kai taikytina, nurodoma, kad reikšmingą incidentą, kaip įtariama, sukėlė neteisėti ar piktavališki veiksmai arba, kad jis galėtų daryti poveikį keliems subjektams ar tarpvalstybinį poveikį; |
| b) | nepagrįstai nedelsdami ir bet kuriuo atveju per 72 valandas nuo tada, kai sužinojo apie didelį incidentą, – pranešimą apie incidentą, kuriame, kai taikytina, atnaujinama a punkte nurodyta informacija ir nurodomas didelio incidento, įskaitant jo sunkumą ir poveikį, pradinis vertinimas, taip pat nurodomi užvaldymo rodikliai, jei tokių yra; |
| c) | CERT-EU prašymu – tarpinę ataskaitą apie atitinkamus atnaujintus duomenis apie padėtį; |
| d) | ne vėliau kaip per vieną mėnesį nuo b punkte nurodyto pranešimo apie incidentą – galutinę ataskaitą, kurioje pateikiama ši informacija:
|
| e) | tuo atveju, jei d punkte nurodytos galutinės ataskaitos pateikimo metu incidentas tebevyksta, – to meto pažangos ataskaitą, o galutinę ataskaitą – per vieną mėnesį nuo tada, kai suvaldė incidentą. |
3. Sąjungos subjektas nepagrįstai nedelsdamas ir bet kuriuo atveju per 24 valandas nuo tada, kai sužinojo apie reikšmingą incidentą, informuoja visus atitinkamus 17 straipsnio 1 dalyje nurodytus analogiškus valstybės narės centrus toje valstybėje narėje, kurioje yra subjektas, kad įvyko reikšmingas incidentas.
4. Sąjungos subjektai, inter alia, praneša bet kokią informaciją, kuri gali padėti CERT-EU nustatyti bet kokį poveikį keliems subjektams, poveikį priimančiajai valstybei narei arba tarpvalstybinį reikšmingo incidento poveikį. Nedarant poveikio 12 straipsnio taikymui, vien dėl pranešimo veiksmo negali būti padidinama Sąjungos subjekto atsakomybė.
5. Kai taikytina, Sąjungos subjektai nepagrįstai nedelsdami informuoja paveiktų tinklų ir informacinių sistemų arba kitų IRT aplinkos komponentų naudotojus, kuriuos reikšmingas incidentas arba didelė kibernetinė grėsmė galėjo paveikti ir kurie, kai tinkama, turi imtis poveikio mažinimo priemonių, apie visas priemones ar teisių gynimo priemones, kurių jie gali imtis reaguodami į tą incidentą arba tą grėsmę. Atitinkamais atvejais Sąjungos subjektai praneša tiems naudotojams apie pačią didelę kibernetinę grėsmę.
6. Kai reikšmingas incidentas ar didelė kibernetinė grėsmė daro poveikį tinklų ar informacinei sistemai arba Sąjungos subjekto IRT aplinkos komponentui, kuris, kaip žinoma, yra sujungtas su kito Sąjungos subjekto aplinka, CERT-EU paskelbia atitinkamą kibernetinio saugumo įspėjimą.
7. Sąjungos subjektai CERT-EU prašymu nepagrįstai nedelsdami suteikia CERT-EU skaitmeninę informaciją, sukurtą naudojant elektroninius įtaisus, susijusius su atitinkamais incidentais. CERT-EU gali pateikti išsamesnės informacijos apie tai, kokios rūšies informacijos jai reikia informuotumo apie padėtį ir reagavimo į incidentus tikslais.
8. CERT-EU kas tris mėnesius TKST, ENISA, ES INTCEN ir CSIRT tinklui pateikia apibendrinamąją ataskaitą, įskaitant nuasmenintus ir apibendrintus duomenis apie reikšmingus incidentus, incidentus, kibernetines grėsmes, vos neįvykusius incidentus ir pažeidžiamumus pagal 20 straipsnį ir reikšmingus incidentus, apie kuriuos pranešta pagal šio straipsnio 2 dalį. Apibendrinamoji ataskaita laikoma indėliu kas dvejus metus rengiant ataskaitą dėl kibernetinio saugumo padėties Sąjungoje, priimamą pagal Direktyvos (ES) 2022/2555 18 straipsnį.
9. TKST ne vėliau kaip 2024 m. liepos 8 d. paskelbia gaires arba rekomendacijas, kuriose toliau patikslinami pagal šį straipsnį teikiamų ataskaitų tvarka, forma ir turinys. Rengdama tokias gaires ar rekomendacijas, TKST atsižvelgia į visus pagal Direktyvos (ES) 2022/2555 23 straipsnio 11 dalį priimtus įgyvendinimo aktus, kuriuose nurodomi informacijos rūšis, formatas ir pranešimų teikimo procedūra. CERT-EU platina atitinkamą techninę informaciją, kad Sąjungos subjektai galėtų aktyviai aptikti incidentus, reaguoti į juos arba imtis rizikos mažinimo priemonių.
10. Šiame straipsnyje nustatytos pareigos pranešti netaikomos:
| a) | ESĮI; |
| b) | informacijai, kurios tolesnis platinimas uždraustas aiškiai pažymint, išskyrus atvejus, kai ja aiškiai leidžiama dalytis su CERT-EU. |
25 straipsnis
Peržiūra
1. TKST, padedant CERT-EU, ne vėliau kaip 2025 m. sausio 8 d., o vėliau – kasmet, teikia Komisijai šio reglamento įgyvendinimo ataskaitą. TKST gali teikti rekomendacijas Komisijai peržiūrėti šį reglamentą.
2. Komisija ne vėliau kaip 2027 m. sausio 8 d., o vėliau – kas dvejus metus, įvertina šio reglamento įgyvendinimą ir strateginiu bei veiklos lygmenimis įgytą patirtį ir pateikia ataskaitą Europos Parlamentui ir Tarybai.
Šios dalies pirmos pastraipos nurodytoje ataskaitoje pateikiama 16 straipsnio 1 dalyje nurodyta peržiūra dėl galimybės įsteigti CERT-EU kaip Sąjungos tarnybą.
3. Komisija ne vėliau kaip 2029 m. sausio 8 d. įvertina šio reglamento veikimą ir pateikia ataskaitą Europos Parlamentui, Tarybai, Europos ekonomikos ir socialinių reikalų komitetui bei Regionų komitetui. Komisija taip pat įvertina, ar tikslinga į šio reglamento taikymo sritį įtraukti tinklų ir informacines sistemas, kuriose tvarkoma ESĮI, atsižvelgdama į kitus toms sistemoms taikomus Sąjungos teisėkūros procedūra priimtus aktus. Kai būtina, prie ataskaitos pridedamas pasiūlymas dėl teisėkūros procedūra priimamo akto.
whereas