keyboard_tab Cyber Resilience Act 2023/2841 LT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 3 straipsnis Terminų apibrėžtys
- 2 8 straipsnis Kibernetinio saugumo rizikos valdymo priemonės
I SKYRIUS
BENDROSIOS NUOSTATOS
II SKYRIUS
PRIEMONĖS AUKŠTAM BENDRAM KIBERNETINIO SAUGUMO LYGIUI UŽTIKRINTI
III SKYRIUS
TARPINSTITUCINĖ KIBERNETINIO SAUGUMO TARYBA
IV SKYRIUS
CERT-EU
V SKYRIUS
PAREIGOS BENDRADARBIAUTI IR PRANEŠTI
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
- saugumo 29
- kibernetinio 22
- sąjungos 15
- valdymo 15
- kaip 14
- es / straipsnio punkte 12
- apibrėžta 12
- direktyvos 10
- rizikos 8
- įskaitant 7
- arba 6
- tinklų 6
- paslaugų 6
- politikos 5
- subjekto 5
- priemonių 5
- incidentas 4
- informacinių 4
- sistemų 4
- incidentas – 4
- kibernetinė 4
- europos 4
- reglamento 3
- cert-eu 3
- incidentų 3
- poveikį 3
- aukščiausio 3
- pažeidžiamumą 3
- bent 3
- teikėjų 3
- subjektai 3
- naudoja 3
- imasi 3
- incidentus 3
- sutartimi 3
- dėl 3
- plėtojimo 3
- programinės 3
- įrangos 3
- priemones 3
- kompiuterijos 3
- debesijos 3
- šio 2
- subjektas 2
- kuris 2
- srityje 2
- neįvykęs 2
- užtikrinti 2
- kuriomis 2
- didelio 2
3 straipsnis
Terminų apibrėžtys
Šiame reglamente vartojamų terminų apibrėžtys:
| 1) | Sąjungos subjektai – Sąjungos institucijos, įstaigos, organai ir agentūros, įsteigti Europos Sąjungos sutartimi, Sutartimi dėl Europos Sąjungos veikimo (SESV) arba Europos atominės energijos bendrijos steigimo sutartimi arba jomis remiantis; |
| 2) | tinklų ir informacinė sistema – tinklų ir informacinė sistema, kaip apibrėžta Direktyvos (ES) 2022/2555 6 straipsnio 1 punkte; |
| 3) | tinklų ir informacinių sistemų saugumas – tinklų ir informacinių sistemų saugumas, kaip apibrėžta Direktyvos (ES) 2022/2555 6 straipsnio 2 punkte; |
| 4) | kibernetinis saugumas – kibernetinis saugumas, kaip apibrėžta Reglamento (ES) 2019/881 2 straipsnio 1 punkte; |
| 5) | aukščiausias valdymo lygmuo – už Sąjungos subjekto veikimą atsakingas aukščiausio administracinio lygmens vadovas, valdymo organas arba koordinavimo ir priežiūros organas, įgaliotas priimti arba patvirtinti sprendimus, atitinkančius to Sąjungos subjekto aukšto lygio valdymo tvarką, nedarant poveikio oficialioms kitų valdymo lygmenų pareigoms už atitiktį ir kibernetinio saugumo rizikos valdymą jų atitinkamose atsakomybės srityse; |
| 6) | vos neįvykęs incidentas – vos neįvykęs incidentas, kaip apibrėžta Direktyvos (ES) 2022/2555 6 straipsnio 5 punkte; |
| 7) | incidentas – incidentas, kaip apibrėžta Direktyvos (ES) 2022/2555 6 straipsnio 6 punkte; |
| 8) | didelis incidentas – incidentas, į kurio sukeltą sutrikimą Sąjungos subjektas ir CERT-EU nepajėgia reaguoti arba kuris daro didelį poveikį bent dviem Sąjungos subjektams; |
| 9) | didelio masto kibernetinio saugumo incidentas – didelio masto kibernetinio saugumo incidentas, kaip apibrėžta Direktyvos (ES) 2022/2555 6 straipsnio 7 punkte; |
| 10) | incidento valdymas – incidento valdymas, kaip apibrėžta Direktyvos (ES) 2022/2555 6 straipsnio 8 punkte; |
| 11) | kibernetinė grėsmė – kibernetinė grėsmė, kaip apibrėžta Reglamento (ES) 2019/881 2 straipsnio 8 punkte; |
| 12) | didelė kibernetinė grėsmė – didelė kibernetinė grėsmė, kaip apibrėžta Direktyvos (ES) 2022/2555 6 straipsnio 11 punkte; |
| (13) | pažeidžiamumas – pažeidžiamumas, kaip apibrėžta Direktyvos (ES) 2022/2555 6 straipsnio 15 punkte; |
| (14) | kibernetinio saugumo rizika – rizika, kaip apibrėžta Direktyvos (ES) 2022/2555 6 straipsnio 9 punkte; |
| (15) | debesijos kompiuterijos paslauga – debesijos kompiuterijos paslauga, kaip apibrėžta Direktyvos (ES) 2022/2555 6 straipsnio 30 punkte. |
8 straipsnis
Kibernetinio saugumo rizikos valdymo priemonės
1. Kiekvienas Sąjungos subjektas, prižiūrimas jo aukščiausio valdymo lygmens, nepagrįstai nedelsdamas ir bet kuriuo atveju ne vėliau kaip 2025 m. rugsėjo 8 d. imasi tinkamų ir proporcingų techninių, operacinių ir organizacinių priemonių, kuriomis valdoma pagal Sistemą nustatyta kibernetinio saugumo rizika ir užkertamas kelias incidentams arba kuo labiau sumažinamas incidentų poveikis. Atsižvelgiant į naujausias technologijas ir, kai taikoma, atitinkamus Europos ir tarptautinius standartus, tomis priemonėmis užtikrinamas tinklų ir informacinių sistemų saugumo lygis visoje IRT aplinkoje, proporcingas kylančiai kibernetinio saugumo rizikai. Vertinant tų priemonių proporcingumą, tinkamai atsižvelgiama į Sąjungos subjekto patiriamos kibernetinio saugumo rizikos laipsnį, jo dydį ir incidentų tikimybę ir jų sunkumą, įskaitant jų poveikį visuomenei, ekonomikai ir tarpinstitucinį poveikį.
2. Sąjungos subjektai, įgyvendindami kibernetinio saugumo rizikos valdymo priemones, imasi priemonių bent šiose konkrečiose srityse:
| a) | kibernetinio saugumo politikos, įskaitant priemones, būtinas 6 straipsnyje ir šio straipsnio 3 dalyje nurodytiems tikslams ir prioritetams pasiekti; |
| b) | kibernetinio saugumo rizikos analizės ir informacinių sistemų saugumo politikos; |
| c) | politikos tikslų, susijusių su debesijos kompiuterijos paslaugų naudojimu; |
| d) | kai tinkama, kibernetinio saugumo audito, kuris gali apimti kibernetinio saugumo rizikos, pažeidžiamumo ir kibernetinių grėsmių vertinimą ir skverbimosi testavimą, kurį reguliariai atlieka patikimas privatus paslaugų teikėjas; |
| e) | rekomendacijų, pateiktų atlikus d punkte nurodytus kibernetinio saugumo auditus, įgyvendinimo pasitelkiant kibernetinio saugumo priemones ir politikos atnaujinimus; |
| f) | kibernetinio saugumo organizavimo, įskaitant funkcijų ir pareigų nustatymą; |
| g) | turto valdymo, įskaitant IRT turto aprašo ir IRT tinklo kartografijos sudarymą; |
| h) | žmogiškųjų išteklių saugumo ir prieigos kontrolės; |
| i) | operacijų saugumo; |
| j) | ryšių saugumo; |
| k) | sistemos įsigijimo, plėtojimo ir techninės priežiūros, įskaitant pažeidžiamumo valdymo ir atskleidimo politiką; |
| l) | kai įmanoma, pirminio kodo skaidrumo politikos; |
| m) | tiekimo grandinės saugumo, įskaitant su saugumu susijusius aspektus, susijusius su kiekvieno Sąjungos subjekto ir jo tiesioginių tiekėjų ar paslaugų teikėjų santykiais; |
| n) | incidentų valdymo ir bendradarbiavimo su CERT-EU, pvz., saugumo stebėsenos ir registravimo užtikrinimo; |
| o) | veiklos tęstinumo valdymo, pvz., atsarginių kopijų valdymo ir veiklos atkūrimo po ekstremaliųjų įvykių, taip pat krizių valdymo; ir |
| p) | švietimo, įgūdžių, informuotumo didinimo, pratybų ir mokymo programų kibernetinio saugumo srityje skatinimo ir plėtojimo. |
Pirmos pastraipos m punkto taikymo tikslais Sąjungos subjektai atsižvelgia į kiekvienam tiesioginiam tiekėjui ir paslaugų teikėjui būdingą pažeidžiamumą ir bendrą savo tiekėjų bei paslaugų teikėjų produktų kokybę ir kibernetinio saugumo praktiką, įskaitant jų saugaus plėtojimo procedūras.
3. Sąjungos subjektai imasi bent šių konkrečių kibernetinio saugumo rizikos valdymo priemonių:
| a) | techninių priemonių, kuriomis sudaromos sąlygos nuotoliniam darbui ir jis palaikomas; |
| b) | konkrečių veiksmų siekiant nulinio pasitikėjimo principų; |
| c) | naudoja daugiaveiksnio tapatumo nustatymo būdą kaip visose tinklų ir informacinėse sistemose taikomą standartą; |
| d) | naudoja kriptografiją ir šifravimą, visų pirma ištisinį šifravimą, taip pat saugų skaitmeninį pasirašymą; |
| e) | kai taikytina, naudoja saugius balso, vaizdo ir teksto ryšius bei saugias avarinių ryšių sistemas Sąjungos subjekte; |
| f) | iniciatyvių kenkimo programinės įrangos ir šnipinėjimo programų aptikimo ir pašalinimo priemonių; |
| g) | užtikrina programinės įrangos tiekimo grandinės saugumą, taikydami saugios programinės įrangos kūrimo ir vertinimo kriterijus; |
| h) | parengia ir patvirtina mokymo programas kibernetinio saugumo srityje, atitinkančias Sąjungos subjekto aukščiausio valdymo lygmeniui ir darbuotojams, kuriems pavesta užtikrinti veiksmingą šio reglamento įgyvendinimą, nustatytus uždavinius ir numatytus gebėjimus; |
| i) | vykdo reguliarius darbuotojų mokymus kibernetinio saugumo klausimais; |
| j) | prireikus dalyvauja atliekant dėl Sąjungos subjektų sujungiamumo kylančios rizikos analizę; |
| k) | sugriežtina viešųjų pirkimų taisykles, kad būtų sudarytos palankesnės sąlygos užtikrinti aukštą bendrą kibernetinio saugumo lygį:
|
whereas