keyboard_tab Cyber Resilience Act 2023/2841 LT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 7 straipsnis Kibernetinio saugumo brandos vertinimai
- 1 11 straipsnis TKST užduotys
- 1 14 straipsnis Gairės, rekomendacijos ir raginimai imtis veiksmų
- 1 18 straipsnis CERT-EU bendradarbiavimas su kitais analogiškais centrais
I SKYRIUS
BENDROSIOS NUOSTATOS
II SKYRIUS
PRIEMONĖS AUKŠTAM BENDRAM KIBERNETINIO SAUGUMO LYGIUI UŽTIKRINTI
III SKYRIUS
TARPINSTITUCINĖ KIBERNETINIO SAUGUMO TARYBA
IV SKYRIUS
CERT-EU
V SKYRIUS
PAREIGOS BENDRADARBIAUTI IR PRANEŠTI
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
- sąjungos 29
- saugumo 29
- kibernetinio 26
- cert-eu 25
- subjektų 12
- tkst 11
- arba 9
- dėl 9
- tvirtina 8
- brandos 8
- bendradarbiauti 7
- gali 7
- siūlymu 6
- tinkama 6
- vadovo 6
- subjektams 6
- siekiant 6
- valdymo 5
- pagal 5
- susitarimus 5
- imtis 5
- cert-eu 4
- straipsnį 4
- rizikos 4
- geriausios 4
- veiksmų 4
- praktikos 4
- apie 4
- stebi 4
- informaciją 4
- informacija 4
- tokiais 4
- centrais 4
- straipsnis 4
- įskaitant 4
- kaip 4
- atveju 3
- paslaugų 3
- tarpusavio 3
- pavyzdžiais 3
- tiekimo 3
- savo 3
- visus 3
- stiprinti 3
- informuoja 3
- saugumą 3
- konfidencialumo 3
- subjektas 3
- analogiškais 3
- vertinimo 3
7 straipsnis
Kibernetinio saugumo brandos vertinimai
1. Ne vėliau kaip 2025 m. liepos 8 d., o vėliau – bent kas dvejus metus kiekvienas Sąjungos subjektas atlieka kibernetinio saugumo brandos vertinimą, apimantį visus jo IRT aplinkos elementus.
2. Kai tinkama, kibernetinio saugumo brandos vertinimai atliekami padedant specializuotai trečiajai šaliai.
3. Panašias struktūras turintys Sąjungos subjektai gali bendradarbiauti atlikdami savo atitinkamų subjektų kibernetinio saugumo brandos vertinimus.
4. Remiantis pagal 10 straipsnį įsteigtos Tarpinstitucinės kibernetinio saugumo tarybos prašymu ir gavus aiškų atitinkamo Sąjungos subjekto sutikimą, kibernetinio saugumo brandos vertinimo rezultatai gali būti aptarti toje taryboje arba neoficialioje vietos kibernetinio saugumo pareigūnų grupėje, siekiant mokytis iš patirties ir dalytis geriausios praktikos pavyzdžiais.
11 straipsnis
TKST užduotys
Vykdydama savo pareigas TKST visų pirma:
| a) | teikia rekomendacijas CERT-EU vadovui; |
| b) | veiksmingai stebi ir prižiūri, kaip įgyvendinamas šis reglamentas, ir padeda Sąjungos subjektams stiprinti savo kibernetinį saugumą, be kita ko, kai tinkama, prašydama iš Sąjungos subjektų ir CERT-EU ad hoc ataskaitų; |
| c) | po strateginių diskusijų priima daugiametę strategiją dėl kibernetinio saugumo lygio didinimo Sąjungos subjektuose ir reguliariai, ir bet kuriuo atveju kas penkerius metus, tą strategiją įvertina ir, prireikus, iš dalies pakeičia; |
| d) | nustato Sąjungos subjektų savanoriškų tarpusavio vertinimų atlikimo metodiką ir organizacinius aspektus, siekiant mokytis iš bendros patirties, stiprinti tarpusavio pasitikėjimą, pasiekti aukštą bendrą kibernetinio saugumo lygį, taip pat stiprinti Sąjungos subjektų kibernetinio saugumo pajėgumus, užtikrinant, kad tokius tarpusavio vertinimus atliktų kito Sąjungos subjekto nei vertinamas Sąjungos subjektas paskirti kibernetinio saugumo ekspertai ir kad metodika būtų grindžiama Direktyvos (ES) 2022/2555 19 straipsniu ir, kai tinkama, būtų pritaikyta Sąjungos subjektams; |
| e) | CERT-EU vadovo siūlymu tvirtina CERT-EU metinę darbo programą ir stebi, kaip ji įgyvendinama; |
| f) | CERT-EU vadovo siūlymu tvirtina CERT-EU paslaugų katalogą ir visus jo atnaujinimus; |
| g) | CERT-EU vadovo siūlymu tvirtina metinį finansinį CERT-EU veiklos pajamų ir išlaidų, įskaitant personalą, planavimą; |
| h) | CERT-EU vadovo siūlymu tvirtina susitarimus dėl paslaugų lygio susitarimų; |
| i) | nagrinėja ir tvirtina CERT-EU vadovo parengtą metinę ataskaitą, kurioje aptariama CERT-EU veikla ir lėšų valdymas; |
| j) | tvirtina CERT-EU pagrindinius veiklos rezultatų rodiklius (toliau - PVRR), kurie nustatomi remiantis CERT-EU vadovo siūlymu, ir stebi jų įgyvendinimą; |
| k) | tvirtina CERT-EU ir kitų subjektų bendradarbiavimo susitarimus, susitarimus dėl paslaugų lygio arba sutartis pagal 18 straipsnį; |
| l) | priima gaires ir rekomendacijas, remdamasi CERT-EU siūlymu pagal 14 straipsnį, ir nurodo CERT-EU paskelbti, atsiimti arba pakeisti pasiūlymą dėl gairių ar rekomendacijų arba raginimą imtis veiksmų; |
| m) | įsteigia konkrečias užduotis turinčias technines patariamąsias grupes, siekiant prisidėti prie TKST darbo, tvirtina jų įgaliojimus ir skiria atitinkamus jų pirmininkus; |
| n) | gauna ir vertina Sąjungos subjektų pagal šį reglamentą pateiktus dokumentus ir ataskaitas, pvz., kibernetinio saugumo brandos vertinimus; |
| o) | sudaro palankesnes sąlygas įsteigti neformalią Sąjungos subjektų vietos kibernetinio saugumo pareigūnų grupę, kuriai padėtų ENISA ir kurios tikslas – keistis geriausios praktikos pavyzdžiais ir informacija, susijusiais su šio reglamento įgyvendinimu; |
| p) | atsižvelgdama į CERT-EU pateiktą informaciją apie nustatytą kibernetinio saugumo riziką ir įgytą patirtį, stebi Sąjungos subjektų IRT aplinkų sujungimo susitarimų tinkamumą ir pataria dėl galimų patobulinimų; |
| q) | parengia kibernetinių krizių valdymo planą, kuriuo siekiama operaciniu lygmeniu remti koordinuotą didelių incidentų, darančių poveikį Sąjungos subjektams, valdymą ir prisidėti prie reguliaraus keitimosi atitinkama informacija, visų pirma susijusia su didelių incidentų poveikiu, sunkumu ir galimais jų poveikio mažinimo būdais; |
| r) | koordinuoja atskirų Sąjungos subjektų kibernetinių krizių valdymo planų, nurodytų 9 straipsnio 2 dalyje, priėmimą; |
| s) | atsižvelgdama į Sąjungos lygmeniu koordinuojamų ypatingos svarbos tiekimo grandinių saugumo rizikos vertinimų, nurodytų Direktyvos (ES) 2022/2555 22 straipsnyje, rezultatus, priima rekomendacijas, susijusias su 8 straipsnio 2 dalies pirmos pastraipos m punkte minimu tiekimo grandinės saugumu, siekdama padėti Sąjungos subjektams priimti veiksmingas ir proporcingas kibernetinio saugumo rizikos valdymo priemones. |
14 straipsnis
Gairės, rekomendacijos ir raginimai imtis veiksmų
1. CERT-EU padeda įgyvendinti šį reglamentą, teikdama:
| a) | raginimus imtis veiksmų, kuriuose aprašomos skubios saugumo priemonės, kurių Sąjungos subjektai raginami imtis per nustatytą laikotarpį; |
| b) | pasiūlymus TKST dėl gairių, skirtų visiems Sąjungos subjektams arba jų daliai; |
| c) | pasiūlymus TKST dėl atskiriems Sąjungos subjektams skirtų rekomendacijų. |
Kiek tai susiję su pirmos pastraipos a punktu, atitinkamas Sąjungos subjektas, gavęs raginimą imtis veiksmų, nepagrįstai nedelsdamas informuoja CERT-EU apie tai, kaip buvo taikomos skubios saugumo priemonės.
2. Gairės ir rekomendacijos gali apimti:
| a) | bendras Sąjungos subjektų kibernetinio saugumo brandos vertinimo metodikas ir modelį, įskaitant atitinkamas skales arba PVRR, kuriais remiamasi siekiant nuolat gerinti kibernetinį saugumą Sąjungos subjektuose ir palengvinti kibernetinio saugumo sričių ir priemonių prioritetų nustatymą, atsižvelgiant į subjektų kibernetinio saugumo būklę; |
| b) | susitarimus dėl kibernetinio saugumo rizikos valdymo ir kibernetinio saugumo rizikos valdymo priemonių ir jų tobulinimo sąlygas; |
| c) | kibernetinio saugumo brandos vertinimo ir kibernetinio saugumo planų susitarimus; |
| d) | kai tinkama, bendrų technologijų, architektūros, atvirojo kodo ir susijusios geriausios praktikos naudojimą siekiant užtikrinti sąveikumą ir bendrus standartus, įskaitanti suderintą požiūrį į tiekimo grandinių saugumą; |
| e) | kai tinkama, informaciją, kuria sudaromos palankesnės sąlygos naudotis bendradarbiaujamųjų viešųjų pirkimų priemonėmis perkant atitinkamas kibernetinio saugumo paslaugas ir produktus iš trečiųjų šalių tiekėjų; |
| f) | keitimosi informacija tvarką pagal 20 straipsnį. |
18 straipsnis
CERT-EU bendradarbiavimas su kitais analogiškais centrais
1. CERT-EU gali bendradarbiauti su 17 straipsnyje nenurodytais analogiškais Sąjungos centrais, kuriems taikomi Sąjungos kibernetinio saugumo reikalavimai, įskaitant pramonės sektorių partnerius, klausimais, susijusiais su priemonėmis ir metodais, pavyzdžiui, specialia metodika, taktika, procedūromis ir geriausios praktikos pavyzdžiais, taip pat su kibernetinėmis grėsmėmis bei pažeidžiamumu. Kad galėtų visapusiškai bendradarbiauti su tokiais centrais CERT-EU kiekvienu atskiru atveju turi gauti išankstinį TKST pritarimą. Kai CERT-EU pradeda bendradarbiauti su tokiais analogiškais centrais, ji informuoja visus 17 straipsnio 1 dalyje nurodytus atitinkamus analogiškus valstybės narės centrus toje valstybėje narėje, kurioje centras yra įsisteigęs. Kai taikytina ir tinkama, toks bendradarbiavimas ir jo sąlygos, be kita ko, dėl kibernetinio saugumo, duomenų apsaugos ir informacijos tvarkymo, nustatomi specialiuose konfidencialumo susitarimuose, pvz., sutartyse ar administraciniuose susitarimuose. Konfidencialumo susitarimams nereikia išankstinio TKST pritarimo, tačiau apie juos informuojamas TKST pirmininkas. Iškilus skubiam ir neišvengiamam poreikiui keistis kibernetinio saugumo informacija Sąjungos subjektų ar kitos šalies interesais, CERT-EU gali tai daryti su subjektu, kurio konkreti kompetencija, pajėgumai ir ekspertinės žinios pagrįstai reikalingi siekiant patenkinti tokį skubų ir neišvengiamą poreikį, net jei CERT-EU su tuo subjektu nėra sudariusi konfidencialumo susitarimo. Tokiais atvejais CERT-EU nedelsdama informuoja TKST pirmininką ir atsiskaito TKST reguliariai teikdama ataskaitas arba rengdama posėdžius.
2. CERT-EU gali bendradarbiauti su partneriais, pvz., komerciniais subjektais, įskaitant konkretaus pramonės sektoriaus subjektus, tarptautinėmis organizacijomis, ne Europos Sąjungos nacionaliniais subjektais arba atskirais ekspertais, kad surinktų informaciją apie bendro pobūdžio ir konkrečias kibernetines grėsmes, vos neįvykusius incidentus, pažeidžiamumą ir galimas atsakomąsias priemones. Kad galėtų platesniu mastu bendradarbiauti su tokiais partneriais CERT-EU kiekvienu atskiru atveju turi gauti išankstinį TKST pritarimą.
3. CERT-EU, gavusi incidento paveikto Sąjungos subjekto sutikimą ir su sąlyga, kad su analogišku centru ar partneriu yra sudarytas informacijos neatskleidimo susitarimas arba sutartis, 1 ir 2 dalyse nurodytiems analogiškiems centrams ar partneriams gali teikti su incidentu susijusią informaciją tik tam, kad prisidėtų prie to incidento analizės.
V SKYRIUS
PAREIGOS BENDRADARBIAUTI IR PRANEŠTI
whereas