keyboard_tab Cyber Resilience Act 2023/2841 LT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 8 straipsnis Kibernetinio saugumo rizikos valdymo priemonės
- 1 14 straipsnis Gairės, rekomendacijos ir raginimai imtis veiksmų
- 1 18 straipsnis CERT-EU bendradarbiavimas su kitais analogiškais centrais
I SKYRIUS
BENDROSIOS NUOSTATOS
II SKYRIUS
PRIEMONĖS AUKŠTAM BENDRAM KIBERNETINIO SAUGUMO LYGIUI UŽTIKRINTI
III SKYRIUS
TARPINSTITUCINĖ KIBERNETINIO SAUGUMO TARYBA
IV SKYRIUS
CERT-EU
V SKYRIUS
PAREIGOS BENDRADARBIAUTI IR PRANEŠTI
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
- saugumo 38
- kibernetinio 29
- sąjungos 18
- valdymo 13
- įskaitant 10
- cert-eu 10
- rizikos 9
- tkst 8
- priemonių 7
- dėl 6
- paslaugų 6
- arba 6
- bendradarbiauti 6
- gali 6
- politikos 5
- apie 5
- centrais 4
- veiksmų 4
- subjekto 4
- sąlygos 4
- siekiant 4
- pažeidžiamumą 4
- tinkama 4
- subjektų 4
- incidentus 4
- priemones 4
- subjektai 4
- cert-eu 4
- imtis 4
- tokiais 4
- teikėjų 3
- tiekimo 3
- plėtojimo 3
- konfidencialumo 3
- taip 3
- straipsnis 3
- analogiškais 3
- naudoja 3
- programinės 3
- įrangos 3
- saugumą 3
- vertinimo 3
- užtikrinti 3
- informuoja 3
- atitinkamas 3
- informacija 3
- kibernetines 3
- grėsmes 3
- informaciją 3
- tiekėjų 3
8 straipsnis
Kibernetinio saugumo rizikos valdymo priemonės
1. Kiekvienas Sąjungos subjektas, prižiūrimas jo aukščiausio valdymo lygmens, nepagrįstai nedelsdamas ir bet kuriuo atveju ne vėliau kaip 2025 m. rugsėjo 8 d. imasi tinkamų ir proporcingų techninių, operacinių ir organizacinių priemonių, kuriomis valdoma pagal Sistemą nustatyta kibernetinio saugumo rizika ir užkertamas kelias incidentams arba kuo labiau sumažinamas incidentų poveikis. Atsižvelgiant į naujausias technologijas ir, kai taikoma, atitinkamus Europos ir tarptautinius standartus, tomis priemonėmis užtikrinamas tinklų ir informacinių sistemų saugumo lygis visoje IRT aplinkoje, proporcingas kylančiai kibernetinio saugumo rizikai. Vertinant tų priemonių proporcingumą, tinkamai atsižvelgiama į Sąjungos subjekto patiriamos kibernetinio saugumo rizikos laipsnį, jo dydį ir incidentų tikimybę ir jų sunkumą, įskaitant jų poveikį visuomenei, ekonomikai ir tarpinstitucinį poveikį.
2. Sąjungos subjektai, įgyvendindami kibernetinio saugumo rizikos valdymo priemones, imasi priemonių bent šiose konkrečiose srityse:
| a) | kibernetinio saugumo politikos, įskaitant priemones, būtinas 6 straipsnyje ir šio straipsnio 3 dalyje nurodytiems tikslams ir prioritetams pasiekti; |
| b) | kibernetinio saugumo rizikos analizės ir informacinių sistemų saugumo politikos; |
| c) | politikos tikslų, susijusių su debesijos kompiuterijos paslaugų naudojimu; |
| d) | kai tinkama, kibernetinio saugumo audito, kuris gali apimti kibernetinio saugumo rizikos, pažeidžiamumo ir kibernetinių grėsmių vertinimą ir skverbimosi testavimą, kurį reguliariai atlieka patikimas privatus paslaugų teikėjas; |
| e) | rekomendacijų, pateiktų atlikus d punkte nurodytus kibernetinio saugumo auditus, įgyvendinimo pasitelkiant kibernetinio saugumo priemones ir politikos atnaujinimus; |
| f) | kibernetinio saugumo organizavimo, įskaitant funkcijų ir pareigų nustatymą; |
| g) | turto valdymo, įskaitant IRT turto aprašo ir IRT tinklo kartografijos sudarymą; |
| h) | žmogiškųjų išteklių saugumo ir prieigos kontrolės; |
| i) | operacijų saugumo; |
| j) | ryšių saugumo; |
| k) | sistemos įsigijimo, plėtojimo ir techninės priežiūros, įskaitant pažeidžiamumo valdymo ir atskleidimo politiką; |
| l) | kai įmanoma, pirminio kodo skaidrumo politikos; |
| m) | tiekimo grandinės saugumo, įskaitant su saugumu susijusius aspektus, susijusius su kiekvieno Sąjungos subjekto ir jo tiesioginių tiekėjų ar paslaugų teikėjų santykiais; |
| n) | incidentų valdymo ir bendradarbiavimo su CERT-EU, pvz., saugumo stebėsenos ir registravimo užtikrinimo; |
| o) | veiklos tęstinumo valdymo, pvz., atsarginių kopijų valdymo ir veiklos atkūrimo po ekstremaliųjų įvykių, taip pat krizių valdymo; ir |
| p) | švietimo, įgūdžių, informuotumo didinimo, pratybų ir mokymo programų kibernetinio saugumo srityje skatinimo ir plėtojimo. |
Pirmos pastraipos m punkto taikymo tikslais Sąjungos subjektai atsižvelgia į kiekvienam tiesioginiam tiekėjui ir paslaugų teikėjui būdingą pažeidžiamumą ir bendrą savo tiekėjų bei paslaugų teikėjų produktų kokybę ir kibernetinio saugumo praktiką, įskaitant jų saugaus plėtojimo procedūras.
3. Sąjungos subjektai imasi bent šių konkrečių kibernetinio saugumo rizikos valdymo priemonių:
| a) | techninių priemonių, kuriomis sudaromos sąlygos nuotoliniam darbui ir jis palaikomas; |
| b) | konkrečių veiksmų siekiant nulinio pasitikėjimo principų; |
| c) | naudoja daugiaveiksnio tapatumo nustatymo būdą kaip visose tinklų ir informacinėse sistemose taikomą standartą; |
| d) | naudoja kriptografiją ir šifravimą, visų pirma ištisinį šifravimą, taip pat saugų skaitmeninį pasirašymą; |
| e) | kai taikytina, naudoja saugius balso, vaizdo ir teksto ryšius bei saugias avarinių ryšių sistemas Sąjungos subjekte; |
| f) | iniciatyvių kenkimo programinės įrangos ir šnipinėjimo programų aptikimo ir pašalinimo priemonių; |
| g) | užtikrina programinės įrangos tiekimo grandinės saugumą, taikydami saugios programinės įrangos kūrimo ir vertinimo kriterijus; |
| h) | parengia ir patvirtina mokymo programas kibernetinio saugumo srityje, atitinkančias Sąjungos subjekto aukščiausio valdymo lygmeniui ir darbuotojams, kuriems pavesta užtikrinti veiksmingą šio reglamento įgyvendinimą, nustatytus uždavinius ir numatytus gebėjimus; |
| i) | vykdo reguliarius darbuotojų mokymus kibernetinio saugumo klausimais; |
| j) | prireikus dalyvauja atliekant dėl Sąjungos subjektų sujungiamumo kylančios rizikos analizę; |
| k) | sugriežtina viešųjų pirkimų taisykles, kad būtų sudarytos palankesnės sąlygos užtikrinti aukštą bendrą kibernetinio saugumo lygį:
|
14 straipsnis
Gairės, rekomendacijos ir raginimai imtis veiksmų
1. CERT-EU padeda įgyvendinti šį reglamentą, teikdama:
| a) | raginimus imtis veiksmų, kuriuose aprašomos skubios saugumo priemonės, kurių Sąjungos subjektai raginami imtis per nustatytą laikotarpį; |
| b) | pasiūlymus TKST dėl gairių, skirtų visiems Sąjungos subjektams arba jų daliai; |
| c) | pasiūlymus TKST dėl atskiriems Sąjungos subjektams skirtų rekomendacijų. |
Kiek tai susiję su pirmos pastraipos a punktu, atitinkamas Sąjungos subjektas, gavęs raginimą imtis veiksmų, nepagrįstai nedelsdamas informuoja CERT-EU apie tai, kaip buvo taikomos skubios saugumo priemonės.
2. Gairės ir rekomendacijos gali apimti:
| a) | bendras Sąjungos subjektų kibernetinio saugumo brandos vertinimo metodikas ir modelį, įskaitant atitinkamas skales arba PVRR, kuriais remiamasi siekiant nuolat gerinti kibernetinį saugumą Sąjungos subjektuose ir palengvinti kibernetinio saugumo sričių ir priemonių prioritetų nustatymą, atsižvelgiant į subjektų kibernetinio saugumo būklę; |
| b) | susitarimus dėl kibernetinio saugumo rizikos valdymo ir kibernetinio saugumo rizikos valdymo priemonių ir jų tobulinimo sąlygas; |
| c) | kibernetinio saugumo brandos vertinimo ir kibernetinio saugumo planų susitarimus; |
| d) | kai tinkama, bendrų technologijų, architektūros, atvirojo kodo ir susijusios geriausios praktikos naudojimą siekiant užtikrinti sąveikumą ir bendrus standartus, įskaitanti suderintą požiūrį į tiekimo grandinių saugumą; |
| e) | kai tinkama, informaciją, kuria sudaromos palankesnės sąlygos naudotis bendradarbiaujamųjų viešųjų pirkimų priemonėmis perkant atitinkamas kibernetinio saugumo paslaugas ir produktus iš trečiųjų šalių tiekėjų; |
| f) | keitimosi informacija tvarką pagal 20 straipsnį. |
18 straipsnis
CERT-EU bendradarbiavimas su kitais analogiškais centrais
1. CERT-EU gali bendradarbiauti su 17 straipsnyje nenurodytais analogiškais Sąjungos centrais, kuriems taikomi Sąjungos kibernetinio saugumo reikalavimai, įskaitant pramonės sektorių partnerius, klausimais, susijusiais su priemonėmis ir metodais, pavyzdžiui, specialia metodika, taktika, procedūromis ir geriausios praktikos pavyzdžiais, taip pat su kibernetinėmis grėsmėmis bei pažeidžiamumu. Kad galėtų visapusiškai bendradarbiauti su tokiais centrais CERT-EU kiekvienu atskiru atveju turi gauti išankstinį TKST pritarimą. Kai CERT-EU pradeda bendradarbiauti su tokiais analogiškais centrais, ji informuoja visus 17 straipsnio 1 dalyje nurodytus atitinkamus analogiškus valstybės narės centrus toje valstybėje narėje, kurioje centras yra įsisteigęs. Kai taikytina ir tinkama, toks bendradarbiavimas ir jo sąlygos, be kita ko, dėl kibernetinio saugumo, duomenų apsaugos ir informacijos tvarkymo, nustatomi specialiuose konfidencialumo susitarimuose, pvz., sutartyse ar administraciniuose susitarimuose. Konfidencialumo susitarimams nereikia išankstinio TKST pritarimo, tačiau apie juos informuojamas TKST pirmininkas. Iškilus skubiam ir neišvengiamam poreikiui keistis kibernetinio saugumo informacija Sąjungos subjektų ar kitos šalies interesais, CERT-EU gali tai daryti su subjektu, kurio konkreti kompetencija, pajėgumai ir ekspertinės žinios pagrįstai reikalingi siekiant patenkinti tokį skubų ir neišvengiamą poreikį, net jei CERT-EU su tuo subjektu nėra sudariusi konfidencialumo susitarimo. Tokiais atvejais CERT-EU nedelsdama informuoja TKST pirmininką ir atsiskaito TKST reguliariai teikdama ataskaitas arba rengdama posėdžius.
2. CERT-EU gali bendradarbiauti su partneriais, pvz., komerciniais subjektais, įskaitant konkretaus pramonės sektoriaus subjektus, tarptautinėmis organizacijomis, ne Europos Sąjungos nacionaliniais subjektais arba atskirais ekspertais, kad surinktų informaciją apie bendro pobūdžio ir konkrečias kibernetines grėsmes, vos neįvykusius incidentus, pažeidžiamumą ir galimas atsakomąsias priemones. Kad galėtų platesniu mastu bendradarbiauti su tokiais partneriais CERT-EU kiekvienu atskiru atveju turi gauti išankstinį TKST pritarimą.
3. CERT-EU, gavusi incidento paveikto Sąjungos subjekto sutikimą ir su sąlyga, kad su analogišku centru ar partneriu yra sudarytas informacijos neatskleidimo susitarimas arba sutartis, 1 ir 2 dalyse nurodytiems analogiškiems centrams ar partneriams gali teikti su incidentu susijusią informaciją tik tam, kad prisidėtų prie to incidento analizės.
V SKYRIUS
PAREIGOS BENDRADARBIAUTI IR PRANEŠTI
whereas