keyboard_tab Cyber Resilience Act 2023/2841 LT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 3 2 straipsnis Taikymo sritis
- 1 6 straipsnis Kibernetinio saugumo rizikos valdymo, administravimo ir kontrolės sistema
- 1 11 straipsnis TKST užduotys
- 1 12 straipsnis Reikalavimų laikymasis
- 1 19 straipsnis Duomenų tvarkymas
I SKYRIUS
BENDROSIOS NUOSTATOS
II SKYRIUS
PRIEMONĖS AUKŠTAM BENDRAM KIBERNETINIO SAUGUMO LYGIUI UŽTIKRINTI
III SKYRIUS
TARPINSTITUCINĖ KIBERNETINIO SAUGUMO TARYBA
IV SKYRIUS
CERT-EU
V SKYRIUS
PAREIGOS BENDRADARBIAUTI IR PRANEŠTI
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
- sąjungos 65
- saugumo 37
- kibernetinio 34
- cert-eu 31
- europos 23
- dėl 19
- 18
- reglamentas 17
- subjekto 16
- pagal 16
- valdymo 15
- subjektas 14
- tarybos 13
- tkst 13
- kaip 12
- arba 11
- nr / 11
- parlamento 9
- šį 9
- subjektų 9
- tvirtina 8
- reglamentą 8
- ol l 7
- vietos 7
- veiksmų 7
- gali 7
- sistema 6
- straipsnis 6
- siūlymu 6
- apie 6
- vadovo 6
- priemones 6
- įskaitant 6
- atitinkamo 6
- tarnybos 6
- reglamento 6
- rizikos 6
- subjektui 6
- šio 6
- taikomas 6
- subjektams 6
- straipsnį 6
- es / 5
- atitinkamam 5
- stebi 5
- būtų 5
- informaciją 5
- paslaugų 5
- kuriuo 5
- būti 5
2 straipsnis
Taikymo sritis
1. Šis reglamentas taikomas Sąjungos subjektams, pagal 10 straipsnį įsteigtai Tarpinstitucinei kibernetinio saugumo tarybai ir CERT-EU.
2. Šis reglamentas taikomas nedarant poveikio Sutartyse numatytam instituciniam savarankiškumui.
3. Išskyrus 13 straipsnio 8 dalį, šis reglamentas netaikomas tinklų ir informacinėms sistemoms, kuriose tvarkoma ES įslaptinta informacija (ESĮI).
6 straipsnis
Kibernetinio saugumo rizikos valdymo, administravimo ir kontrolės sistema
1. Ne vėliau kaip 2025 m. balandžio 8 d.] kiekvienas Sąjungos subjektas, atlikęs pradinę kibernetinio saugumo peržiūrą, pavyzdžiui, auditą, nustato vidaus kibernetinio saugumo rizikos valdymo, administravimo ir kontrolės sistemą (toliau – Sistema). Sistemos sukūrimą prižiūri ir už jį atsako Sąjungos subjekto aukščiausias valdymo lygmuo.
2. Sistema apima visą atitinkamo Sąjungos subjekto neįslaptintą IRT aplinką, įskaitant bet kokias vietoje esančias IRT aplinką, operacinį technologijų tinklą, užsakomąjį turtą ir paslaugas debesijos kompiuterijos aplinkoje arba kurių prieglobą teikia trečiosios šalys, mobiliuosius įrenginius, įmonių tinklus, prie interneto neprijungtus verslo tinklus ir bet kokius su tomis aplinkomis susijusius įrenginius (toliau – IRT aplinka). Sistema grindžiama visus pavojus apimančiu požiūriu.
3. Sistema užtikrinamas aukštas kibernetinio saugumo lygis. Sistemoje nustatoma tinklų ir informacinių sistemų saugumo vidaus kibernetinio saugumo politika, įskaitant tikslus ir prioritetus, taip pat Sąjungos subjekto darbuotojų, kuriems pavesta užtikrinti, kad šis reglamentas būtų veiksmingai įgyvendinamas, funkcijos ir pareigos. Į Sistemą taip pat įtraukiami įgyvendinimo veiksmingumo vertinimo mechanizmai.
4. Sistema turėtų būti reguliariai peržiūrima atsižvelgiant į kintančią kibernetinio saugumo riziką ir ne rečiau kaip kas ketverius metus. Kai tinkama ir gavus pagal 10 straipsnį įsteigtos Tarpinstitucinės kibernetinio saugumo tarybos prašymą, Sąjungos subjekto Sistema gali būti atnaujinama remiantis CERT-EU rekomendacijomis dėl nustatytų incidentų ar galimų spragų, pastebėtų įgyvendinant šį reglamentą.
5. Kiekvieno Sąjungos subjekto aukščiausias valdymo lygmuo yra atsakingas už šio reglamento įgyvendinimą ir prižiūri, kaip jo organizacija laikosi su Sistema susijusių pareigų.
6. Kiekvieno Sąjungos subjekto aukščiausias valdymo lygmuo, kai tikslinga ir nedarant poveikio jo atsakomybei už šio reglamento įgyvendinimą, gali konkrečias pareigas pagal šį reglamentą deleguoti atitinkamo Sąjungos subjekto vyresniesiems pareigūnams, kaip tai suprantama Tarnybos nuostatų 29 straipsnio 2 dalyje, arba kitiems lygiaverčio lygmens pareigūnams. Neatsižvelgiant į tokį pareigų delegavimą, aukščiausias valdymo lygmuo gali būti laikomas atsakingu už atitinkamo Sąjungos subjekto padarytus šio reglamento pažeidimus.
7. Kiekvienas Sąjungos subjektas turi turėti veiksmingus mechanizmus, kuriais užtikrinama, kad kibernetiniam saugumui būtų išleidžiama tinkama IRT biudžeto lėšų procentinė dalis. Nustatant tą procentinę dalį tinkamai atsižvelgiama į Sistemą.
8. Kiekvienas Sąjungos subjektas paskiria vietos kibernetinio saugumo pareigūną arba lygiavertę funkciją atliekantį pareigūną, kuris visais kibernetinio saugumo aspektais veikia kaip vienas kontaktinis punktas. Vietos kibernetinio saugumo pareigūnas sudaro palankias sąlygas įgyvendinti šį reglamentą ir aukščiausiam valdymo lygmeniui reguliariai tiesiogiai teikia ataskaitas apie įgyvendinimo padėtį. Nedarant poveikio tam, kad vietos kibernetinio saugumo pareigūnas veikia kaip vienas kontaktinis punktas kiekviename Sąjungos subjekte, Sąjungos subjektas gali CERT-EU deleguoti tam tikras vietos kibernetinio saugumo pareigūno užduotis, susijusias su šio reglamento įgyvendinimu, remdamasis to Sąjungos subjekto ir CERT-EU sudarytu susitarimu dėl paslaugų lygio, arba tas užduotis gali dalytis keli Sąjungos subjektai. Kai tos užduotys deleguojamos CERT-EU, pagal 10 straipsnį įsteigta Tarpinstitucinė kibernetinio saugumo taryba, atsižvelgdama į atitinkamo Sąjungos subjekto žmogiškuosius ir finansinius išteklius, nusprendžia, ar tos paslaugos turi būti teikiamos kaip CERT-EU pagrindinių paslaugų dalis. Kiekvienas Sąjungos subjektas nepagrįstai nedelsdamas praneša CERT-EU apie paskirtą vietos kibernetinio saugumo pareigūną ir apie visus vėlesnius jo pakeitimus.
CERT-EU nuolat parengia ir nuolat atnaujina paskirtų vietos kibernetinio saugumo pareigūnų sąrašą.
9. Kiekvieno Sąjungos subjekto vyresnieji pareigūnai, kaip tai suprantama Tarnybos nuostatų 29 straipsnio 2 dalyje, arba lygiaverčio lygmens pareigūnai, taip pat visi atitinkami darbuotojai, kuriems pavesta įgyvendinti kibernetinio saugumo rizikos valdymo priemones ir vykdyti šiame reglamente nustatytas pareigas, reguliariai dalyvauja specialiuose mokymuose, kad įgytų pakankamai žinių ir įgūdžių, kurių reikia siekiant suprasti ir įvertinti kibernetinio saugumo riziką ir su ja susijusią valdymo praktiką bei jos poveikį Sąjungos subjekto veiklai.
11 straipsnis
TKST užduotys
Vykdydama savo pareigas TKST visų pirma:
| a) | teikia rekomendacijas CERT-EU vadovui; |
| b) | veiksmingai stebi ir prižiūri, kaip įgyvendinamas šis reglamentas, ir padeda Sąjungos subjektams stiprinti savo kibernetinį saugumą, be kita ko, kai tinkama, prašydama iš Sąjungos subjektų ir CERT-EU ad hoc ataskaitų; |
| c) | po strateginių diskusijų priima daugiametę strategiją dėl kibernetinio saugumo lygio didinimo Sąjungos subjektuose ir reguliariai, ir bet kuriuo atveju kas penkerius metus, tą strategiją įvertina ir, prireikus, iš dalies pakeičia; |
| d) | nustato Sąjungos subjektų savanoriškų tarpusavio vertinimų atlikimo metodiką ir organizacinius aspektus, siekiant mokytis iš bendros patirties, stiprinti tarpusavio pasitikėjimą, pasiekti aukštą bendrą kibernetinio saugumo lygį, taip pat stiprinti Sąjungos subjektų kibernetinio saugumo pajėgumus, užtikrinant, kad tokius tarpusavio vertinimus atliktų kito Sąjungos subjekto nei vertinamas Sąjungos subjektas paskirti kibernetinio saugumo ekspertai ir kad metodika būtų grindžiama Direktyvos (ES) 2022/2555 19 straipsniu ir, kai tinkama, būtų pritaikyta Sąjungos subjektams; |
| e) | CERT-EU vadovo siūlymu tvirtina CERT-EU metinę darbo programą ir stebi, kaip ji įgyvendinama; |
| f) | CERT-EU vadovo siūlymu tvirtina CERT-EU paslaugų katalogą ir visus jo atnaujinimus; |
| g) | CERT-EU vadovo siūlymu tvirtina metinį finansinį CERT-EU veiklos pajamų ir išlaidų, įskaitant personalą, planavimą; |
| h) | CERT-EU vadovo siūlymu tvirtina susitarimus dėl paslaugų lygio susitarimų; |
| i) | nagrinėja ir tvirtina CERT-EU vadovo parengtą metinę ataskaitą, kurioje aptariama CERT-EU veikla ir lėšų valdymas; |
| j) | tvirtina CERT-EU pagrindinius veiklos rezultatų rodiklius (toliau - PVRR), kurie nustatomi remiantis CERT-EU vadovo siūlymu, ir stebi jų įgyvendinimą; |
| k) | tvirtina CERT-EU ir kitų subjektų bendradarbiavimo susitarimus, susitarimus dėl paslaugų lygio arba sutartis pagal 18 straipsnį; |
| l) | priima gaires ir rekomendacijas, remdamasi CERT-EU siūlymu pagal 14 straipsnį, ir nurodo CERT-EU paskelbti, atsiimti arba pakeisti pasiūlymą dėl gairių ar rekomendacijų arba raginimą imtis veiksmų; |
| m) | įsteigia konkrečias užduotis turinčias technines patariamąsias grupes, siekiant prisidėti prie TKST darbo, tvirtina jų įgaliojimus ir skiria atitinkamus jų pirmininkus; |
| n) | gauna ir vertina Sąjungos subjektų pagal šį reglamentą pateiktus dokumentus ir ataskaitas, pvz., kibernetinio saugumo brandos vertinimus; |
| o) | sudaro palankesnes sąlygas įsteigti neformalią Sąjungos subjektų vietos kibernetinio saugumo pareigūnų grupę, kuriai padėtų ENISA ir kurios tikslas – keistis geriausios praktikos pavyzdžiais ir informacija, susijusiais su šio reglamento įgyvendinimu; |
| p) | atsižvelgdama į CERT-EU pateiktą informaciją apie nustatytą kibernetinio saugumo riziką ir įgytą patirtį, stebi Sąjungos subjektų IRT aplinkų sujungimo susitarimų tinkamumą ir pataria dėl galimų patobulinimų; |
| q) | parengia kibernetinių krizių valdymo planą, kuriuo siekiama operaciniu lygmeniu remti koordinuotą didelių incidentų, darančių poveikį Sąjungos subjektams, valdymą ir prisidėti prie reguliaraus keitimosi atitinkama informacija, visų pirma susijusia su didelių incidentų poveikiu, sunkumu ir galimais jų poveikio mažinimo būdais; |
| r) | koordinuoja atskirų Sąjungos subjektų kibernetinių krizių valdymo planų, nurodytų 9 straipsnio 2 dalyje, priėmimą; |
| s) | atsižvelgdama į Sąjungos lygmeniu koordinuojamų ypatingos svarbos tiekimo grandinių saugumo rizikos vertinimų, nurodytų Direktyvos (ES) 2022/2555 22 straipsnyje, rezultatus, priima rekomendacijas, susijusias su 8 straipsnio 2 dalies pirmos pastraipos m punkte minimu tiekimo grandinės saugumu, siekdama padėti Sąjungos subjektams priimti veiksmingas ir proporcingas kibernetinio saugumo rizikos valdymo priemones. |
12 straipsnis
Reikalavimų laikymasis
1. TKST pagal 10 straipsnio 2 dalį ir 11 straipsnį veiksmingai stebi, kaip įgyvendinamas šis reglamentas ir priimtos gairės, rekomendacijos ir raginimai Sąjungos subjektams imtis veiksmų. TKST gali prašyti Sąjungos subjektų pateikti tam tikslui reikalingą informaciją ar dokumentus. Atitikties užtikrinimo priemonių priėmimo pagal šį straipsnį tikslais, kai atitinkamas Sąjungos subjektas yra tiesiogiai atstovaujamas TKST, tam Sąjungos subjektui balsavimo teisės nesuteikiamos.
2. Jei TKST nustato, kad Sąjungos subjektas veiksmingai neįgyvendino šio reglamento arba pagal jį priimtų gairių, rekomendacijų ar raginimų imtis veiksmų, ji, nedarydama poveikio atitinkamo Sąjungos subjekto vidaus procedūroms ir suteikusi galimybę atitinkamam Sąjungos subjektui pateikti savo pastabas, gali:
| a) | perduoti pagrįstą nuomonę atitinkamam Sąjungos subjektui su nustatytomis spragomis įgyvendinant šį reglamentą; |
| b) | pasikonsultavusi su CERT-EU, pateikti atitinkamam Sąjungos subjektui gaires, kaip per nustatytą terminą užtikrinti, kad jo sistema, kibernetinio saugumo rizikos valdymo priemonės, kibernetinio saugumo planas ir teikiamos ataskaitos atitiktų šį reglamentą; |
| c) | teikti perspėjimą, kad per nustatytą terminą būtų pašalinti nustatyti trūkumai, įskaitant rekomendacijas iš dalies pakeisti priemones, kurias atitinkamas Sąjungos subjektas priėmė pagal šį reglamentą; |
| d) | pateikia pagrįstą pranešimą atitinkamam Sąjungos subjektui, jei pagal c punktą pateiktame perspėjime nustatyti trūkumai per nurodytą laikotarpį nebuvo pakankamai pašalinti; |
| e) | pateikia:
|
| f) | jei taikytina, informuoti Audito Rūmus, neviršijant jų įgaliojimų, apie įtariamą reikalavimų nesilaikymą; |
| g) | pateikti rekomendaciją, kad visos valstybės narės ir Sąjungos subjektai laikinai sustabdytų duomenų srautus į atitinkamą Sąjungos subjektą. |
Pirmos pastraipos c punkto tikslais perspėjimo auditorija tinkamai apribojama, kai tai būtina atsižvelgiant į kibernetinio saugumo riziką.
Pagal pirmą pastraipą teikiami perspėjimai ir rekomendacijos skiriami atitinkamo Sąjungos subjekto aukščiausiam valdymo lygmeniui.
3. Jeigu TKST yra patvirtinusi priemones pagal 2 dalies pirmos pastraipos a–g punktus, atitinkamas Sąjungos subjektas pateikia išsamią informaciją apie priemones ir veiksmus, kurių imtasi TKST nustatytiems įtariamiems trūkumams pašalinti. Sąjungos subjektas pateikia tą išsamią informaciją per pagrįstą laikotarpį, dėl kurio turi būti susitarta su TKST.
4. Jei TKST mano, kad Sąjungos subjektas nuolat pažeidžia šį reglamentą tiesiogiai dėl Sąjungos pareigūno ar kito tarnautojo, įskaitant aukščiausią valdymo lygmenį, veiksmų ar neveikimo, TKST prašo, kad atitinkamas Sąjungos subjektas imtųsi tinkamų veiksmų, be kita ko, prašydamas jo apsvarstyti galimybę imtis drausminio pobūdžio veiksmų, laikantis taisyklių ir procedūrų, nustatytų Tarnybos nuostatuose, kitų taikytinų taisyklių ir procedūrų. Tuo tikslu TKST perduoda reikiamą informaciją atitinkamam Sąjungos subjektui.
5. Kai Sąjungos subjektas informuoja negalintis laikytis 6 straipsnio 1 dalyje ir 8 straipsnio 1 dalyje nustatytų terminų, tinkamai pagrįstais atvejais, atsižvelgdama į Sąjungos subjekto dydį, TKST gali leisti pratęsti tuos terminus.
IV SKYRIUS
CERT-EU
19 straipsnis
Duomenų tvarkymas
1. Sąjungos subjektai ir CERT-EU laikosi pareigos saugoti tarnybinę paslaptį pagal SESV 339 straipsnį arba lygiavertes taikytinas sistemas.
2. Paraiškoms dėl galimybės visuomenei susipažinti su CERT-EU turimais dokumentais taikomas Europos Parlamento ir Tarybos reglamentas (EB) Nr. 1049/2001 (10), įskaitant tame reglamente nustatytą pareigą konsultuotis su kitais Sąjungos subjektais ir, kai tikslinga, su valstybėmis narėmis, kai prašymas susijęs su jų dokumentais.
3. Sąjungos subjektai ir CERT-EU duomenis tvarko pagal taikomas taisykles dėl informacijos saugumo.
26 straipsnis
Įsigaliojimas
Šis reglamentas įsigalioja dvidešimtą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje.
Šis reglamentas privalomas visas ir tiesiogiai taikomas visose valstybėse narėse.
Priimta Strasbūre 2023 m. gruodžio 13 d.
Europos Parlamento vardu
Pirmininkė
R. METSOLA
Tarybos vardu
Pirmininkas
P. NAVARRO RÍOS
(1) 2023 m. lapkričio 21 d. Europos Parlamento pozicija (dar nepaskelbta Oficialiajame leidinyje) ir 2023 m. gruodžio 8 d. Tarybos sprendimas.
(2) 2022 m. gruodžio 14 d. Europos Parlamento ir Tarybos direktyva (ES) 2022/2555 dėl priemonių aukštam bendram kibernetinio saugumo lygiui visoje Sąjungoje užtikrinti, kuria iš dalies keičiamas reglamentas (ES) Nr. 910/2014 ir Direktyva (ES) 2018/1972 ir panaikinama Direktyva (ES) 2016/1148 (TIS 2 direktyva) (OL L 333, 2022 12 27, p. 80).
(3) 2019 m. balandžio 17 d. Europos Parlamento ir Tarybos reglamentas (ES) 2019/881 dėl ENISA (Europos Sąjungos kibernetinio saugumo agentūros) ir informacinių ir ryšių technologijų kibernetinio saugumo sertifikavimo, kuriuo panaikinamas reglamentas (ES) Nr. 526/2013 (Kibernetinio saugumo aktas) (OL L 151, 2019 6 7, p. 15).
(4) Parlamento, Europos Vadovų Tarybos, Europos Sąjungos Tarybos, Europos Komisijos, Europos Sąjungos Teisingumo Teismo, Europos Centrinio Banko, Europos Audito Rūmų, Europos išorės veiksmų tarnybos, Europos ekonomikos ir socialinių reikalų komiteto, Europos regionų komiteto ir Europos investicijų banko tarpinstitucinis susitarimas dėl Sąjungos institucijų, įstaigų ir agentūrų Kompiuterinių incidentų tyrimo tarnybos (CERT-EU) darbo organizavimo ir veiklos (OL C 12, 2018 1 13, p. 1).
(5) 1968 m. vasario 29 d. Tarybos reglamentas (EEB, Euratomas, EAPB) Nr. 259/68, nustatantis Europos Bendrijų pareigūnų tarnybos nuostatus ir kitų Europos Bendrijų tarnautojų įdarbinimo sąlygas bei Komisijos pareigūnams laikinai taikomas specialias priemones (OL L 56, 1968 3 4, p. 1).
(6) 2017 m. rugsėjo 13 d. Komisijos rekomendacija (ES) 2017/1584 dėl koordinuoto atsako į didelio masto kibernetinio saugumo incidentus ir krizes (OL L 239, 2017 9 19, p. 36).
(7) 2018 m. spalio 23 d. Europos Parlamento ir Tarybos reglamentas (ES) 2018/1725 dėl fizinių asmenų apsaugos Sąjungos institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB (OL L 295, 2018 11 21, p. 39).
(8) OL C 258, 2022 7 5, p. 10.
(9) 2018 m. liepos 18 d. Europos Parlamento ir Tarybos reglamentas (ES, Euratomas) 2018/1046 dėl Sąjungos bendrajam biudžetui taikomų finansinių taisyklių, kuriuo iš dalies keičiami reglamentai (ES) Nr. 1296/2013, (ES) Nr. 1301/2013, (ES) Nr. 1303/2013, (ES) Nr. 1304/2013, (ES) Nr. 1309/2013, (ES) Nr. 1316/2013, (ES) Nr. 223/2014, (ES) Nr. 283/2014 ir Sprendimas Nr. 541/2014/ES, bei panaikinamas reglamentas (ES, Euratomas) Nr. 966/2012 (OL L 193, 2018 7 30, p. 1).
(10) 2001 m. gegužės 30 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 1049/2001 dėl galimybės visuomenei susipažinti su Europos Parlamento, Tarybos ir Komisijos dokumentais (OL L 145, 2001 5 31, p. 43).
ELI: http://data.europa.eu/eli/reg/2023/2841/oj
ISSN 1977-0723 (electronic edition)