keyboard_tab Cyber Resilience Act 2023/2841 LT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 10 straipsnis Tarpinstitucinė kibernetinio saugumo taryba
- 6 11 straipsnis TKST užduotys
- 2 14 straipsnis Gairės, rekomendacijos ir raginimai imtis veiksmų
- 2 22 straipsnis Reagavimo į incidentus koordinavimas ir bendradarbiavimas
I SKYRIUS
BENDROSIOS NUOSTATOS
II SKYRIUS
PRIEMONĖS AUKŠTAM BENDRAM KIBERNETINIO SAUGUMO LYGIUI UŽTIKRINTI
III SKYRIUS
TARPINSTITUCINĖ KIBERNETINIO SAUGUMO TARYBA
IV SKYRIUS
CERT-EU
V SKYRIUS
PAREIGOS BENDRADARBIAUTI IR PRANEŠTI
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
- sąjungos 38
- saugumo 26
- cert-eu 26
- kibernetinio 23
- tkst 22
- subjektų 17
- europos 13
- dėl 11
- savo 11
- arba 11
- kaip 10
- gali 9
- pagal 9
- tkst 9
- subjektams 8
- tvirtina 8
- informacija 7
- darbo 7
- siūlymu 7
- incidentus 6
- apie 6
- vadovo 6
- agentūrų 5
- tinkama 5
- incidentų 5
- valdymo 5
- susitarimus 5
- reagavimo 5
- taisykles 5
- veiksmų 5
- cert-eu 5
- direktyvos 5
- tvarkos 5
- imtis 5
- priima 4
- enisa 4
- vidaus 4
- tinklo 4
- stebi 4
- išskyrus 4
- atitinkamas 4
- bendradarbiavimo 4
- teikia 4
- nurodytų 4
- rizikos 4
- straipsnis 4
- rekomendacijas 4
- siekiant 4
- paslaugų 4
- taryba 4
10 straipsnis
Tarpinstitucinė kibernetinio saugumo taryba
1. Įsteigiama Tarpinstitucinė kibernetinio saugumo taryba (toliau – TKST).
2. TKST pareigos:
| a) | stebėti, kaip Sąjungos subjektai įgyvendina šį reglamentą, ir padėti jiems jį įgyvendinti; |
| b) | prižiūrėti, kaip CERT-EU įgyvendina bendruosius prioritetus ir tikslus, ir nustatyti CERT-EU strateginę kryptį. |
3. TKST sudaro:
| a) | po vieną kiekvieno iš šių subjektų skiriamą atstovą:
|
| b) | trys atstovai, kuriuos skiria ES agentūrų tinklas savo IRT patariamojo komiteto siūlymu, kad jie atstovautų Sąjungos organų, įstaigų ir agentūrų, kurie valdo savo pačių IRT aplinką, išskyrus nurodytuosius a punkte, interesams. |
TKST atstovaujami Sąjungos subjektai siekia, kad tarp paskirtų atstovų būtų užtikrinta lyčių pusiausvyra.
4. TKST nariams gali padėti pakaitiniai nariai. Pirmininkas gali kviesti kitus 3 dalyje nurodytų Sąjungos subjektų arba kitų Sąjungos subjektų atstovus dalyvauti TKST posėdžiuose be balsavimo teisės.
5. CERT-EU vadovas ir atitinkamai pagal Direktyvos (ES) 2022/2555 14, 15 ir 16 straipsnius įsteigtų Bendradarbiavimo grupės, CSIRT tinklo ir EU-CyCLONe pirmininkai arba jų pakaitiniai nariai gali dalyvauti TKST posėdžiuose kaip stebėtojai. Išimtiniais atvejais TKST, laikydamasi savo vidaus darbo tvarkos taisyklių, gali nuspręsti kitaip.
6. TKST patvirtina savo vidaus darbo tvarkos taisykles.
7. Pagal savo vidaus darbo tvarkos taisykles TKST iš savo narių trejų metų laikotarpiui paskiria pirmininką. Pirmininko pakaitinis narys tam pačiam laikotarpiui tampa tikruoju TKST nariu.
8. TKST renkasi bent tris kartus per metus savo pirmininko iniciatyva, CERT-EU prašymu arba bet kurio iš jos narių prašymu.
9. Kiekvienas TKST narys turi po vieną balsą. TKST sprendimai priimami paprasta balsų dauguma, išskyrus atvejus, kai šiame reglamente numatyta kitaip. TKST pirmininkas nebalsuoja, išskyrus atvejus, kai balsai pasiskirsto po lygiai – tokiu atveju pirmininkas gali pasinaudoti lemiamo balso teise.
10. TKST gali priimti sprendimus taikydama supaprastintą rašytinę procedūrą, inicijuotą pagal jos vidaus darbo tvarkos taisykles. Pagal tą procedūrą laikoma, kad atitinkamas sprendimas yra patvirtintas per pirmininko nustatytą laikotarpį, išskyrus atvejus, kai narys pareiškia prieštaravimų.
11. Sekretoriato paslaugas TKST teikia Komisija ir sekretoriatas yra atskaitingas TKST pirmininkui.
12. Sąjungos agentūrų tinklo paskirti atstovai perduoda TKST sprendimus Sąjungos agentūrų tinklo nariams. Bet kuris Sąjungos agentūrų tinklo narys turi teisę pateikti tiems TKST atstovams ar pirmininkui bet kokį klausimą, į kurį, jo nuomone, turėtų būti atkreiptas TKST dėmesys.
13. TKST gali įsteigti vykdomąjį komitetą, kuris padėtų jam vykdyti savo darbą, ir deleguoti jam kai kurias savo užduotis ir įgaliojimus. TKST nustato vykdomojo komiteto darbo tvarkos taisykles, įskaitant jo užduotis bei įgaliojimus ir jo narių kadencijos trukmę.
14. TKST ne vėliau kaip 2025 m. sausio 8 d., o vėliau – kasmet teikia Europos Parlamentui ir Tarybai ataskaitą, kurioje išsamiai aprašoma pažanga, padaryta įgyvendinant šį reglamentą, ir, visų pirma, nurodomas CERT-EU bendradarbiavimo su analogiškais valstybės narės centrais kiekvienoje valstybėje narėje mastas. Ataskaita laikoma indėliu kas dvejus metus rengiant pagal Direktyvos (ES) 2022/2555 18 straipsnį teikiamą ataskaitą dėl kibernetinio saugumo padėties Sąjungoje.
11 straipsnis
TKST užduotys
Vykdydama savo pareigas TKST visų pirma:
| a) | teikia rekomendacijas CERT-EU vadovui; |
| b) | veiksmingai stebi ir prižiūri, kaip įgyvendinamas šis reglamentas, ir padeda Sąjungos subjektams stiprinti savo kibernetinį saugumą, be kita ko, kai tinkama, prašydama iš Sąjungos subjektų ir CERT-EU ad hoc ataskaitų; |
| c) | po strateginių diskusijų priima daugiametę strategiją dėl kibernetinio saugumo lygio didinimo Sąjungos subjektuose ir reguliariai, ir bet kuriuo atveju kas penkerius metus, tą strategiją įvertina ir, prireikus, iš dalies pakeičia; |
| d) | nustato Sąjungos subjektų savanoriškų tarpusavio vertinimų atlikimo metodiką ir organizacinius aspektus, siekiant mokytis iš bendros patirties, stiprinti tarpusavio pasitikėjimą, pasiekti aukštą bendrą kibernetinio saugumo lygį, taip pat stiprinti Sąjungos subjektų kibernetinio saugumo pajėgumus, užtikrinant, kad tokius tarpusavio vertinimus atliktų kito Sąjungos subjekto nei vertinamas Sąjungos subjektas paskirti kibernetinio saugumo ekspertai ir kad metodika būtų grindžiama Direktyvos (ES) 2022/2555 19 straipsniu ir, kai tinkama, būtų pritaikyta Sąjungos subjektams; |
| e) | CERT-EU vadovo siūlymu tvirtina CERT-EU metinę darbo programą ir stebi, kaip ji įgyvendinama; |
| f) | CERT-EU vadovo siūlymu tvirtina CERT-EU paslaugų katalogą ir visus jo atnaujinimus; |
| g) | CERT-EU vadovo siūlymu tvirtina metinį finansinį CERT-EU veiklos pajamų ir išlaidų, įskaitant personalą, planavimą; |
| h) | CERT-EU vadovo siūlymu tvirtina susitarimus dėl paslaugų lygio susitarimų; |
| i) | nagrinėja ir tvirtina CERT-EU vadovo parengtą metinę ataskaitą, kurioje aptariama CERT-EU veikla ir lėšų valdymas; |
| j) | tvirtina CERT-EU pagrindinius veiklos rezultatų rodiklius (toliau - PVRR), kurie nustatomi remiantis CERT-EU vadovo siūlymu, ir stebi jų įgyvendinimą; |
| k) | tvirtina CERT-EU ir kitų subjektų bendradarbiavimo susitarimus, susitarimus dėl paslaugų lygio arba sutartis pagal 18 straipsnį; |
| l) | priima gaires ir rekomendacijas, remdamasi CERT-EU siūlymu pagal 14 straipsnį, ir nurodo CERT-EU paskelbti, atsiimti arba pakeisti pasiūlymą dėl gairių ar rekomendacijų arba raginimą imtis veiksmų; |
| m) | įsteigia konkrečias užduotis turinčias technines patariamąsias grupes, siekiant prisidėti prie TKST darbo, tvirtina jų įgaliojimus ir skiria atitinkamus jų pirmininkus; |
| n) | gauna ir vertina Sąjungos subjektų pagal šį reglamentą pateiktus dokumentus ir ataskaitas, pvz., kibernetinio saugumo brandos vertinimus; |
| o) | sudaro palankesnes sąlygas įsteigti neformalią Sąjungos subjektų vietos kibernetinio saugumo pareigūnų grupę, kuriai padėtų ENISA ir kurios tikslas – keistis geriausios praktikos pavyzdžiais ir informacija, susijusiais su šio reglamento įgyvendinimu; |
| p) | atsižvelgdama į CERT-EU pateiktą informaciją apie nustatytą kibernetinio saugumo riziką ir įgytą patirtį, stebi Sąjungos subjektų IRT aplinkų sujungimo susitarimų tinkamumą ir pataria dėl galimų patobulinimų; |
| q) | parengia kibernetinių krizių valdymo planą, kuriuo siekiama operaciniu lygmeniu remti koordinuotą didelių incidentų, darančių poveikį Sąjungos subjektams, valdymą ir prisidėti prie reguliaraus keitimosi atitinkama informacija, visų pirma susijusia su didelių incidentų poveikiu, sunkumu ir galimais jų poveikio mažinimo būdais; |
| r) | koordinuoja atskirų Sąjungos subjektų kibernetinių krizių valdymo planų, nurodytų 9 straipsnio 2 dalyje, priėmimą; |
| s) | atsižvelgdama į Sąjungos lygmeniu koordinuojamų ypatingos svarbos tiekimo grandinių saugumo rizikos vertinimų, nurodytų Direktyvos (ES) 2022/2555 22 straipsnyje, rezultatus, priima rekomendacijas, susijusias su 8 straipsnio 2 dalies pirmos pastraipos m punkte minimu tiekimo grandinės saugumu, siekdama padėti Sąjungos subjektams priimti veiksmingas ir proporcingas kibernetinio saugumo rizikos valdymo priemones. |
14 straipsnis
Gairės, rekomendacijos ir raginimai imtis veiksmų
1. CERT-EU padeda įgyvendinti šį reglamentą, teikdama:
| a) | raginimus imtis veiksmų, kuriuose aprašomos skubios saugumo priemonės, kurių Sąjungos subjektai raginami imtis per nustatytą laikotarpį; |
| b) | pasiūlymus TKST dėl gairių, skirtų visiems Sąjungos subjektams arba jų daliai; |
| c) | pasiūlymus TKST dėl atskiriems Sąjungos subjektams skirtų rekomendacijų. |
Kiek tai susiję su pirmos pastraipos a punktu, atitinkamas Sąjungos subjektas, gavęs raginimą imtis veiksmų, nepagrįstai nedelsdamas informuoja CERT-EU apie tai, kaip buvo taikomos skubios saugumo priemonės.
2. Gairės ir rekomendacijos gali apimti:
| a) | bendras Sąjungos subjektų kibernetinio saugumo brandos vertinimo metodikas ir modelį, įskaitant atitinkamas skales arba PVRR, kuriais remiamasi siekiant nuolat gerinti kibernetinį saugumą Sąjungos subjektuose ir palengvinti kibernetinio saugumo sričių ir priemonių prioritetų nustatymą, atsižvelgiant į subjektų kibernetinio saugumo būklę; |
| b) | susitarimus dėl kibernetinio saugumo rizikos valdymo ir kibernetinio saugumo rizikos valdymo priemonių ir jų tobulinimo sąlygas; |
| c) | kibernetinio saugumo brandos vertinimo ir kibernetinio saugumo planų susitarimus; |
| d) | kai tinkama, bendrų technologijų, architektūros, atvirojo kodo ir susijusios geriausios praktikos naudojimą siekiant užtikrinti sąveikumą ir bendrus standartus, įskaitanti suderintą požiūrį į tiekimo grandinių saugumą; |
| e) | kai tinkama, informaciją, kuria sudaromos palankesnės sąlygos naudotis bendradarbiaujamųjų viešųjų pirkimų priemonėmis perkant atitinkamas kibernetinio saugumo paslaugas ir produktus iš trečiųjų šalių tiekėjų; |
| f) | keitimosi informacija tvarką pagal 20 straipsnį. |
22 straipsnis
Reagavimo į incidentus koordinavimas ir bendradarbiavimas
1. CERT-EU, veikdama kaip keitimosi kibernetinio saugumo informacija ir reagavimo į incidentus koordinavimo centras, palengvina keitimąsi informacija apie incidentus, kibernetines grėsmes, pažeidžiamumus ir vos neįvykusius incidentus tarp:
| a) | Sąjungos subjektų; |
| b) | 17 ir 18 straipsniuose nurodytų analogiškų centrų. |
2. CERT-EU, kai tinkama, glaudžiai bendradarbiaudama su ENISA, palengvina Sąjungos subjektų reagavimo į incidentus koordinavimą, susijusį, be kita ko, su:
| a) | indėliu prie nuoseklios išorės komunikacijos; |
| b) | savitarpio pagalba, pvz., dalijimusi Sąjungos subjektams svarbia informacija arba prireikus teikiant pagalbą tiesiogiai vietoje; |
| c) | optimaliu veiklos išteklių naudojimu; |
| d) | koordinavimu su kitais reagavimo į krizes mechanizmais Sąjungos lygmeniu. |
3. CERT-EU, glaudžiai bendradarbiaudama su ENISA, teikia paramą Sąjungos subjektams, susijusią su informuotumu apie incidentų, kibernetinių grėsmių, pažeidžiamumų ir vos neįvykusių incidentų padėtį, taip pat dalijantis atitinkama informacija apie pokyčius kibernetinio saugumo srityje.
4. TKST, remdamasis CERT-EU pasiūlymu, ne vėliau kaip 2025 m. sausio 8 d. priima gaires arba rekomendacijas dėl reagavimo į incidentus koordinavimo ir bendradarbiavimo reikšmingų incidentų atveju. Kai įtariama, kad incidentas yra baudžiamojo pobūdžio, CERT-EU pataria, kaip nepagrįstai nedelsiant pranešti apie incidentą teisėsaugos institucijoms.
5. Gavusi konkretų valstybės narės prašymą ir sulaukusi atitinkamų Sąjungos subjektų pritarimo, CERT-EU gali pakviesti ekspertus iš 23 straipsnio 4 dalyje nurodyto sąrašo prisidėti reaguojant į didelį incidentą, kuris daro poveikį toje valstybėje narėje, arba į didelio masto kibernetinio saugumo incidentą pagal Direktyvos (ES) 2022/2555 15 straipsnio 3 dalies g punktą. TKST, remdamasi CERT-EU pasiūlymu, patvirtina konkrečias taisykles dėl Sąjungos subjektų techninių ekspertų paslaugų prieinamumo ir naudojimosi jomis.
whereas