keyboard_tab Cyber Resilience Act 2023/2841 LT

1.   Ne vėliau kaip 2025 m. balandžio 8 d.] kiekvienas Sąjungos subjektas, atlikęs pradinę kibernetinio saugumo peržiūrą, pavyzdžiui, auditą, nustato vidaus kibernetinio saugumo rizikos valdymo, administravimo ir kontrolės sistemą (toliau – Sistema). Sistemos sukūrimą prižiūri ir už jį atsako Sąjungos subjekto aukščiausias valdymo lygmuo.

2.   Sistema apima visą atitinkamo Sąjungos subjekto neįslaptintą IRT aplinką, įskaitant bet kokias vietoje esančias IRT aplinką, operacinį technologijų tinklą, užsakomąjį turtą ir paslaugas debesijos kompiuterijos aplinkoje arba kurių prieglobą teikia trečiosios šalys, mobiliuosius įrenginius, įmonių tinklus, prie interneto neprijungtus verslo tinklus ir bet kokius su tomis aplinkomis susijusius įrenginius (toliau – IRT aplinka). Sistema grindžiama visus pavojus apimančiu požiūriu.

3.   Sistema užtikrinamas aukštas kibernetinio saugumo lygis. Sistemoje nustatoma tinklų ir informacinių sistemų saugumo vidaus kibernetinio saugumo politika, įskaitant tikslus ir prioritetus, taip pat Sąjungos subjekto darbuotojų, kuriems pavesta užtikrinti, kad šis reglamentas būtų veiksmingai įgyvendinamas, funkcijos ir pareigos. Į Sistemą taip pat įtraukiami įgyvendinimo veiksmingumo vertinimo mechanizmai.

4.   Sistema turėtų būti reguliariai peržiūrima atsižvelgiant į kintančią kibernetinio saugumo riziką ir ne rečiau kaip kas ketverius metus. Kai tinkama ir gavus pagal 10 straipsnį įsteigtos Tarpinstitucinės kibernetinio saugumo tarybos prašymą, Sąjungos subjekto Sistema gali būti atnaujinama remiantis CERT-EU rekomendacijomis dėl nustatytų incidentų ar galimų spragų, pastebėtų įgyvendinant šį reglamentą.

5.   Kiekvieno Sąjungos subjekto aukščiausias valdymo lygmuo yra atsakingas už šio reglamento įgyvendinimą ir prižiūri, kaip jo organizacija laikosi su Sistema susijusių pareigų.

6.   Kiekvieno Sąjungos subjekto aukščiausias valdymo lygmuo, kai tikslinga ir nedarant poveikio jo atsakomybei už šio reglamento įgyvendinimą, gali konkrečias pareigas pagal šį reglamentą deleguoti atitinkamo Sąjungos subjekto vyresniesiems pareigūnams, kaip tai suprantama Tarnybos nuostatų 29 straipsnio 2 dalyje, arba kitiems lygiaverčio lygmens pareigūnams. Neatsižvelgiant į tokį pareigų delegavimą, aukščiausias valdymo lygmuo gali būti laikomas atsakingu už atitinkamo Sąjungos subjekto padarytus šio reglamento pažeidimus.

7.   Kiekvienas Sąjungos subjektas turi turėti veiksmingus mechanizmus, kuriais užtikrinama, kad kibernetiniam saugumui būtų išleidžiama tinkama IRT biudžeto lėšų procentinė dalis. Nustatant tą procentinę dalį tinkamai atsižvelgiama į Sistemą.

8.   Kiekvienas Sąjungos subjektas paskiria vietos kibernetinio saugumo pareigūną arba lygiavertę funkciją atliekantį pareigūną, kuris visais kibernetinio saugumo aspektais veikia kaip vienas kontaktinis punktas. Vietos kibernetinio saugumo pareigūnas sudaro palankias sąlygas įgyvendinti šį reglamentą ir aukščiausiam valdymo lygmeniui reguliariai tiesiogiai teikia ataskaitas apie įgyvendinimo padėtį. Nedarant poveikio tam, kad vietos kibernetinio saugumo pareigūnas veikia kaip vienas kontaktinis punktas kiekviename Sąjungos subjekte, Sąjungos subjektas gali CERT-EU deleguoti tam tikras vietos kibernetinio saugumo pareigūno užduotis, susijusias su šio reglamento įgyvendinimu, remdamasis to Sąjungos subjekto ir CERT-EU sudarytu susitarimu dėl paslaugų lygio, arba tas užduotis gali dalytis keli Sąjungos subjektai. Kai tos užduotys deleguojamos CERT-EU, pagal 10 straipsnį įsteigta Tarpinstitucinė kibernetinio saugumo taryba, atsižvelgdama į atitinkamo Sąjungos subjekto žmogiškuosius ir finansinius išteklius, nusprendžia, ar tos paslaugos turi būti teikiamos kaip CERT-EU pagrindinių paslaugų dalis. Kiekvienas Sąjungos subjektas nepagrįstai nedelsdamas praneša CERT-EU apie paskirtą vietos kibernetinio saugumo pareigūną ir apie visus vėlesnius jo pakeitimus.

CERT-EU nuolat parengia ir nuolat atnaujina paskirtų vietos kibernetinio saugumo pareigūnų sąrašą.

9.   Kiekvieno Sąjungos subjekto vyresnieji pareigūnai, kaip tai suprantama Tarnybos nuostatų 29 straipsnio 2 dalyje, arba lygiaverčio lygmens pareigūnai, taip pat visi atitinkami darbuotojai, kuriems pavesta įgyvendinti kibernetinio saugumo rizikos valdymo priemones ir vykdyti šiame reglamente nustatytas pareigas, reguliariai dalyvauja specialiuose mokymuose, kad įgytų pakankamai žinių ir įgūdžių, kurių reikia siekiant suprasti ir įvertinti kibernetinio saugumo riziką ir su ja susijusią valdymo praktiką bei jos poveikį Sąjungos subjekto veiklai.

1.   Ne vėliau kaip 2025 m. liepos 8 d., o vėliau – bent kas dvejus metus kiekvienas Sąjungos subjektas atlieka kibernetinio saugumo brandos vertinimą, apimantį visus jo IRT aplinkos elementus.

2.   Kai tinkama, kibernetinio saugumo brandos vertinimai atliekami padedant specializuotai trečiajai šaliai.

3.   Panašias struktūras turintys Sąjungos subjektai gali bendradarbiauti atlikdami savo atitinkamų subjektų kibernetinio saugumo brandos vertinimus.

4.   Remiantis pagal 10 straipsnį įsteigtos Tarpinstitucinės kibernetinio saugumo tarybos prašymu ir gavus aiškų atitinkamo Sąjungos subjekto sutikimą, kibernetinio saugumo brandos vertinimo rezultatai gali būti aptarti toje taryboje arba neoficialioje vietos kibernetinio saugumo pareigūnų grupėje, siekiant mokytis iš patirties ir dalytis geriausios praktikos pavyzdžiais.

1.   Komisija, gavusi dviejų trečdalių TKST narių balsų daugumos pritarimą, skiria CERT-EU vadovą. Su TKST konsultuojamasi visais skyrimo procedūros etapais, visų pirma rengiant pranešimus apie laisvas darbo vietas, nagrinėjant paraiškas ir skiriant atrankos komisijas dėl pareigybės. Atrankos procedūra, įskaitant galutinį kandidatų, iš kurių turi būti paskirtas CERT-EU vadovas, sąrašą, užtikrinama, kad būtų teisingai atstovaujama kiekvienai lyčiai, atsižvelgiant į pateiktas paraiškas.

2.   CERT-EU vadovas yra atsakingas už sklandų CERT-EU veikimą ir eina pareigas savo pareigų kompetencijos srityje vadovaujant TKST. CERT-EU vadovas reguliariai teikia ataskaitas TKST pirmininkui ir jo prašymu teikia TKST ad hoc ataskaitas.

3.   CERT-EU vadovas padeda atsakingam deleguotajam leidimus suteikiančiam pareigūnui pagal Europos Parlamento ir tarybos reglamento (ES, Euratomas) 2018/1046 (9) 74 straipsnio 9 dalį parengti metinę veiklos ataskaitą, kurioje pateikiama finansinė ir valdymo informacija, įskaitant kontrolės rezultatus, ir reguliariai deleguotajam leidimus suteikiančiam pareigūnui teikia ataskaitas dėl priemonių, kurių atžvilgiu CERT-EU vadovui buvo perdeleguoti įgaliojimai, įgyvendinimo.

4.   CERT-EU vadovas kasmet parengia savo veiklos administracinių pajamų ir išlaidų finansinį planą, siūlomą metinę darbo programą, siūlomą paslaugų katalogą, skirtą CERT-EU, siūlomus paslaugų katalogo pakeitimus, siūlomus susitarimus dėl paslaugų lygio sąlygų ir siūlomus PVRR, skirtus CERT-EU, kuriuos pagal 11 straipsnį turi patvirtinti TKST. Peržiūrėdamas CERT-EU paslaugų kataloge pateiktą paslaugų sąrašą, CERT-EU vadovas atsižvelgia į CERT-EU skirtus išteklius.

5.   CERT-EU vadovas bent kartą per metus pateikia TKST ir TKST pirmininkui ataskaitas apie CERT-EU veiklą ir veiklos rezultatus ataskaitiniu laikotarpiu, įskaitant ataskaitas dėl biudžeto vykdymo, sudarytų susitarimų dėl paslaugų lygio ir rašytinių susitarimų, bendradarbiavimo su analogiškais centrais ir partneriais ir darbuotojų vykdomų misijų, įskaitant 11 straipsnyje nurodytas ataskaitas. Tose ataskaitose pateikiama kito laikotarpio darbo programa, pajamų ir išlaidų finansinis planavimas, įskaitant personalo srityje, planuojami CERT-EU paslaugų katalogo atnaujinimai ir numatomo tokių atnaujinimų poveikio finansiniams ir žmogiškiesiems ištekliams vertinimas.

1.   Sąjungos subjektai ir CERT-EU laikosi pareigos saugoti tarnybinę paslaptį pagal SESV 339 straipsnį arba lygiavertes taikytinas sistemas.

2.   Paraiškoms dėl galimybės visuomenei susipažinti su CERT-EU turimais dokumentais taikomas Europos Parlamento ir tarybos reglamentas (EB) Nr. 1049/2001 (10), įskaitant tame reglamente nustatytą pareigą konsultuotis su kitais Sąjungos subjektais ir, kai tikslinga, su valstybėmis narėmis, kai prašymas susijęs su jų dokumentais.

3.   Sąjungos subjektai ir CERT-EU duomenis tvarko pagal taikomas taisykles dėl informacijos saugumo.