keyboard_tab Cyber Resilience Act 2023/2841 LT

1.   Ne vėliau kaip 2025 m. balandžio 8 d.] kiekvienas Sąjungos subjektas, atlikęs pradinę kibernetinio saugumo peržiūrą, pavyzdžiui, auditą, nustato vidaus kibernetinio saugumo rizikos valdymo, administravimo ir kontrolės sistemą (toliau – Sistema). Sistemos sukūrimą prižiūri ir už jį atsako Sąjungos subjekto aukščiausias valdymo lygmuo.

2.   Sistema apima visą atitinkamo Sąjungos subjekto neįslaptintą IRT aplinką, įskaitant bet kokias vietoje esančias IRT aplinką, operacinį technologijų tinklą, užsakomąjį turtą ir paslaugas debesijos kompiuterijos aplinkoje arba kurių prieglobą teikia trečiosios šalys, mobiliuosius įrenginius, įmonių tinklus, prie interneto neprijungtus verslo tinklus ir bet kokius su tomis aplinkomis susijusius įrenginius (toliau – IRT aplinka). Sistema grindžiama visus pavojus apimančiu požiūriu.

3.   Sistema užtikrinamas aukštas kibernetinio saugumo lygis. Sistemoje nustatoma tinklų ir informacinių sistemų saugumo vidaus kibernetinio saugumo politika, įskaitant tikslus ir prioritetus, taip pat Sąjungos subjekto darbuotojų, kuriems pavesta užtikrinti, kad šis reglamentas būtų veiksmingai įgyvendinamas, funkcijos ir pareigos. Į Sistemą taip pat įtraukiami įgyvendinimo veiksmingumo vertinimo mechanizmai.

4.   Sistema turėtų būti reguliariai peržiūrima atsižvelgiant į kintančią kibernetinio saugumo riziką ir ne rečiau kaip kas ketverius metus. Kai tinkama ir gavus pagal 10 straipsnį įsteigtos Tarpinstitucinės kibernetinio saugumo tarybos prašymą, Sąjungos subjekto Sistema gali būti atnaujinama remiantis CERT-EU rekomendacijomis dėl nustatytų incidentų ar galimų spragų, pastebėtų įgyvendinant šį reglamentą.

5.   Kiekvieno Sąjungos subjekto aukščiausias valdymo lygmuo yra atsakingas už šio reglamento įgyvendinimą ir prižiūri, kaip jo organizacija laikosi su Sistema susijusių pareigų.

6.   Kiekvieno Sąjungos subjekto aukščiausias valdymo lygmuo, kai tikslinga ir nedarant poveikio jo atsakomybei už šio reglamento įgyvendinimą, gali konkrečias pareigas pagal šį reglamentą deleguoti atitinkamo Sąjungos subjekto vyresniesiems pareigūnams, kaip tai suprantama Tarnybos nuostatų 29 straipsnio 2 dalyje, arba kitiems lygiaverčio lygmens pareigūnams. Neatsižvelgiant į tokį pareigų delegavimą, aukščiausias valdymo lygmuo gali būti laikomas atsakingu už atitinkamo Sąjungos subjekto padarytus šio reglamento pažeidimus.

7.   Kiekvienas Sąjungos subjektas turi turėti veiksmingus mechanizmus, kuriais užtikrinama, kad kibernetiniam saugumui būtų išleidžiama tinkama IRT biudžeto lėšų procentinė dalis. Nustatant tą procentinę dalį tinkamai atsižvelgiama į Sistemą.

8.   Kiekvienas Sąjungos subjektas paskiria vietos kibernetinio saugumo pareigūną arba lygiavertę funkciją atliekantį pareigūną, kuris visais kibernetinio saugumo aspektais veikia kaip vienas kontaktinis punktas. Vietos kibernetinio saugumo pareigūnas sudaro palankias sąlygas įgyvendinti šį reglamentą ir aukščiausiam valdymo lygmeniui reguliariai tiesiogiai teikia ataskaitas apie įgyvendinimo padėtį. Nedarant poveikio tam, kad vietos kibernetinio saugumo pareigūnas veikia kaip vienas kontaktinis punktas kiekviename Sąjungos subjekte, Sąjungos subjektas gali CERT-EU deleguoti tam tikras vietos kibernetinio saugumo pareigūno užduotis, susijusias su šio reglamento įgyvendinimu, remdamasis to Sąjungos subjekto ir CERT-EU sudarytu susitarimu dėl paslaugų lygio, arba tas užduotis gali dalytis keli Sąjungos subjektai. Kai tos užduotys deleguojamos CERT-EU, pagal 10 straipsnį įsteigta Tarpinstitucinė kibernetinio saugumo taryba, atsižvelgdama į atitinkamo Sąjungos subjekto žmogiškuosius ir finansinius išteklius, nusprendžia, ar tos paslaugos turi būti teikiamos kaip CERT-EU pagrindinių paslaugų dalis. Kiekvienas Sąjungos subjektas nepagrįstai nedelsdamas praneša CERT-EU apie paskirtą vietos kibernetinio saugumo pareigūną ir apie visus vėlesnius jo pakeitimus.

CERT-EU nuolat parengia ir nuolat atnaujina paskirtų vietos kibernetinio saugumo pareigūnų sąrašą.

9.   Kiekvieno Sąjungos subjekto vyresnieji pareigūnai, kaip tai suprantama Tarnybos nuostatų 29 straipsnio 2 dalyje, arba lygiaverčio lygmens pareigūnai, taip pat visi atitinkami darbuotojai, kuriems pavesta įgyvendinti kibernetinio saugumo rizikos valdymo priemones ir vykdyti šiame reglamente nustatytas pareigas, reguliariai dalyvauja specialiuose mokymuose, kad įgytų pakankamai žinių ir įgūdžių, kurių reikia siekiant suprasti ir įvertinti kibernetinio saugumo riziką ir su ja susijusią valdymo praktiką bei jos poveikį Sąjungos subjekto veiklai.

1.   Įsteigiama Tarpinstitucinė kibernetinio saugumo taryba (toliau – TKST).

2.   TKST pareigos:

3.   TKST sudaro:

TKST atstovaujami Sąjungos subjektai siekia, kad tarp paskirtų atstovų būtų užtikrinta lyčių pusiausvyra.

4.   TKST nariams gali padėti pakaitiniai nariai. Pirmininkas gali kviesti kitus 3 dalyje nurodytų Sąjungos subjektų arba kitų Sąjungos subjektų atstovus dalyvauti TKST posėdžiuose be balsavimo teisės.

5.   CERT-EU vadovas ir atitinkamai pagal Direktyvos (ES) 2022/2555 14, 15 ir 16 straipsnius įsteigtų Bendradarbiavimo grupės, CSIRT tinklo ir EU-CyCLONe pirmininkai arba jų pakaitiniai nariai gali dalyvauti TKST posėdžiuose kaip stebėtojai. Išimtiniais atvejais TKST, laikydamasi savo vidaus darbo tvarkos taisyklių, gali nuspręsti kitaip.

6.   TKST patvirtina savo vidaus darbo tvarkos taisykles.

7.   Pagal savo vidaus darbo tvarkos taisykles TKST iš savo narių trejų metų laikotarpiui paskiria pirmininką. Pirmininko pakaitinis narys tam pačiam laikotarpiui tampa tikruoju TKST nariu.

8.   TKST renkasi bent tris kartus per metus savo pirmininko iniciatyva, CERT-EU prašymu arba bet kurio iš jos narių prašymu.

9.   Kiekvienas TKST narys turi po vieną balsą. TKST sprendimai priimami paprasta balsų dauguma, išskyrus atvejus, kai šiame reglamente numatyta kitaip. TKST pirmininkas nebalsuoja, išskyrus atvejus, kai balsai pasiskirsto po lygiai – tokiu atveju pirmininkas gali pasinaudoti lemiamo balso teise.

10.   TKST gali priimti sprendimus taikydama supaprastintą rašytinę procedūrą, inicijuotą pagal jos vidaus darbo tvarkos taisykles. Pagal tą procedūrą laikoma, kad atitinkamas sprendimas yra patvirtintas per pirmininko nustatytą laikotarpį, išskyrus atvejus, kai narys pareiškia prieštaravimų.

11.   Sekretoriato paslaugas TKST teikia Komisija ir sekretoriatas yra atskaitingas TKST pirmininkui.

12.   Sąjungos agentūrų tinklo paskirti atstovai perduoda TKST sprendimus Sąjungos agentūrų tinklo nariams. Bet kuris Sąjungos agentūrų tinklo narys turi teisę pateikti tiems TKST atstovams ar pirmininkui bet kokį klausimą, į kurį, jo nuomone, turėtų būti atkreiptas TKST dėmesys.

13.   TKST gali įsteigti vykdomąjį komitetą, kuris padėtų jam vykdyti savo darbą, ir deleguoti jam kai kurias savo užduotis ir įgaliojimus. TKST nustato vykdomojo komiteto darbo tvarkos taisykles, įskaitant jo užduotis bei įgaliojimus ir jo narių kadencijos trukmę.

14.   TKST ne vėliau kaip 2025 m. sausio 8 d., o vėliau – kasmet teikia Europos Parlamentui ir Tarybai ataskaitą, kurioje išsamiai aprašoma pažanga, padaryta įgyvendinant šį reglamentą, ir, visų pirma, nurodomas CERT-EU bendradarbiavimo su analogiškais valstybės narės centrais kiekvienoje valstybėje narėje mastas. Ataskaita laikoma indėliu kas dvejus metus rengiant pagal Direktyvos (ES) 2022/2555 18 straipsnį teikiamą ataskaitą dėl kibernetinio saugumo padėties Sąjungoje.

1.   Sąjungos subjektai ir CERT-EU laikosi pareigos saugoti tarnybinę paslaptį pagal SESV 339 straipsnį arba lygiavertes taikytinas sistemas.

2.   Paraiškoms dėl galimybės visuomenei susipažinti su CERT-EU turimais dokumentais taikomas Europos Parlamento ir Tarybos reglamentas (EB) Nr. 1049/2001 (10), įskaitant tame reglamente nustatytą pareigą konsultuotis su kitais Sąjungos subjektais ir, kai tikslinga, su valstybėmis narėmis, kai prašymas susijęs su jų dokumentais.

3.   Sąjungos subjektai ir CERT-EU duomenis tvarko pagal taikomas taisykles dėl informacijos saugumo.