keyboard_tab Cyber Resilience Act 2023/2841 LT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 8 straipsnis Kibernetinio saugumo rizikos valdymo priemonės
- 1 22 straipsnis Reagavimo į incidentus koordinavimas ir bendradarbiavimas
- 2 23 straipsnis Didelių incidentų valdymas
I SKYRIUS
BENDROSIOS NUOSTATOS
II SKYRIUS
PRIEMONĖS AUKŠTAM BENDRAM KIBERNETINIO SAUGUMO LYGIUI UŽTIKRINTI
III SKYRIUS
TARPINSTITUCINĖ KIBERNETINIO SAUGUMO TARYBA
IV SKYRIUS
CERT-EU
V SKYRIUS
PAREIGOS BENDRADARBIAUTI IR PRANEŠTI
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
- saugumo 28
- kibernetinio 21
- sąjungos 19
- valdymo 15
- incidentų 12
- incidentus 11
- subjektų 9
- informacija 7
- paslaugų 7
- įskaitant 7
- cert-eu 7
- rizikos 7
- apie 6
- reagavimo 6
- didelių 6
- priemonių 5
- techninių 5
- politikos 5
- kibernetinių 5
- kaip 5
- dėl 5
- tkst 4
- krizių 4
- pagal 4
- poveikį 4
- subjektai 4
- veiklos 4
- arba 4
- cert-eu 4
- keitimosi 3
- bent 3
- srityje 3
- atveju 3
- incidentą 3
- grėsmes 3
- taip 3
- kibernetines 3
- priemones 3
- imasi 3
- teikėjų 3
- straipsnio dalyje 3
- subjekto 3
- sąjungos 3
- ryšių 3
- plėtojimo 3
- koordinavimo 3
- pažeidžiamumą 3
- straipsnis 3
- bendradarbiaudama 3
- įrangos 3
8 straipsnis
Kibernetinio saugumo rizikos valdymo priemonės
1. Kiekvienas Sąjungos subjektas, prižiūrimas jo aukščiausio valdymo lygmens, nepagrįstai nedelsdamas ir bet kuriuo atveju ne vėliau kaip 2025 m. rugsėjo 8 d. imasi tinkamų ir proporcingų techninių, operacinių ir organizacinių priemonių, kuriomis valdoma pagal Sistemą nustatyta kibernetinio saugumo rizika ir užkertamas kelias incidentams arba kuo labiau sumažinamas incidentų poveikis. Atsižvelgiant į naujausias technologijas ir, kai taikoma, atitinkamus Europos ir tarptautinius standartus, tomis priemonėmis užtikrinamas tinklų ir informacinių sistemų saugumo lygis visoje IRT aplinkoje, proporcingas kylančiai kibernetinio saugumo rizikai. Vertinant tų priemonių proporcingumą, tinkamai atsižvelgiama į Sąjungos subjekto patiriamos kibernetinio saugumo rizikos laipsnį, jo dydį ir incidentų tikimybę ir jų sunkumą, įskaitant jų poveikį visuomenei, ekonomikai ir tarpinstitucinį poveikį.
2. Sąjungos subjektai, įgyvendindami kibernetinio saugumo rizikos valdymo priemones, imasi priemonių bent šiose konkrečiose srityse:
| a) | kibernetinio saugumo politikos, įskaitant priemones, būtinas 6 straipsnyje ir šio straipsnio 3 dalyje nurodytiems tikslams ir prioritetams pasiekti; |
| b) | kibernetinio saugumo rizikos analizės ir informacinių sistemų saugumo politikos; |
| c) | politikos tikslų, susijusių su debesijos kompiuterijos paslaugų naudojimu; |
| d) | kai tinkama, kibernetinio saugumo audito, kuris gali apimti kibernetinio saugumo rizikos, pažeidžiamumo ir kibernetinių grėsmių vertinimą ir skverbimosi testavimą, kurį reguliariai atlieka patikimas privatus paslaugų teikėjas; |
| e) | rekomendacijų, pateiktų atlikus d punkte nurodytus kibernetinio saugumo auditus, įgyvendinimo pasitelkiant kibernetinio saugumo priemones ir politikos atnaujinimus; |
| f) | kibernetinio saugumo organizavimo, įskaitant funkcijų ir pareigų nustatymą; |
| g) | turto valdymo, įskaitant IRT turto aprašo ir IRT tinklo kartografijos sudarymą; |
| h) | žmogiškųjų išteklių saugumo ir prieigos kontrolės; |
| i) | operacijų saugumo; |
| j) | ryšių saugumo; |
| k) | sistemos įsigijimo, plėtojimo ir techninės priežiūros, įskaitant pažeidžiamumo valdymo ir atskleidimo politiką; |
| l) | kai įmanoma, pirminio kodo skaidrumo politikos; |
| m) | tiekimo grandinės saugumo, įskaitant su saugumu susijusius aspektus, susijusius su kiekvieno Sąjungos subjekto ir jo tiesioginių tiekėjų ar paslaugų teikėjų santykiais; |
| n) | incidentų valdymo ir bendradarbiavimo su CERT-EU, pvz., saugumo stebėsenos ir registravimo užtikrinimo; |
| o) | veiklos tęstinumo valdymo, pvz., atsarginių kopijų valdymo ir veiklos atkūrimo po ekstremaliųjų įvykių, taip pat krizių valdymo; ir |
| p) | švietimo, įgūdžių, informuotumo didinimo, pratybų ir mokymo programų kibernetinio saugumo srityje skatinimo ir plėtojimo. |
Pirmos pastraipos m punkto taikymo tikslais Sąjungos subjektai atsižvelgia į kiekvienam tiesioginiam tiekėjui ir paslaugų teikėjui būdingą pažeidžiamumą ir bendrą savo tiekėjų bei paslaugų teikėjų produktų kokybę ir kibernetinio saugumo praktiką, įskaitant jų saugaus plėtojimo procedūras.
3. Sąjungos subjektai imasi bent šių konkrečių kibernetinio saugumo rizikos valdymo priemonių:
| a) | techninių priemonių, kuriomis sudaromos sąlygos nuotoliniam darbui ir jis palaikomas; |
| b) | konkrečių veiksmų siekiant nulinio pasitikėjimo principų; |
| c) | naudoja daugiaveiksnio tapatumo nustatymo būdą kaip visose tinklų ir informacinėse sistemose taikomą standartą; |
| d) | naudoja kriptografiją ir šifravimą, visų pirma ištisinį šifravimą, taip pat saugų skaitmeninį pasirašymą; |
| e) | kai taikytina, naudoja saugius balso, vaizdo ir teksto ryšius bei saugias avarinių ryšių sistemas Sąjungos subjekte; |
| f) | iniciatyvių kenkimo programinės įrangos ir šnipinėjimo programų aptikimo ir pašalinimo priemonių; |
| g) | užtikrina programinės įrangos tiekimo grandinės saugumą, taikydami saugios programinės įrangos kūrimo ir vertinimo kriterijus; |
| h) | parengia ir patvirtina mokymo programas kibernetinio saugumo srityje, atitinkančias Sąjungos subjekto aukščiausio valdymo lygmeniui ir darbuotojams, kuriems pavesta užtikrinti veiksmingą šio reglamento įgyvendinimą, nustatytus uždavinius ir numatytus gebėjimus; |
| i) | vykdo reguliarius darbuotojų mokymus kibernetinio saugumo klausimais; |
| j) | prireikus dalyvauja atliekant dėl Sąjungos subjektų sujungiamumo kylančios rizikos analizę; |
| k) | sugriežtina viešųjų pirkimų taisykles, kad būtų sudarytos palankesnės sąlygos užtikrinti aukštą bendrą kibernetinio saugumo lygį:
|
22 straipsnis
Reagavimo į incidentus koordinavimas ir bendradarbiavimas
1. CERT-EU, veikdama kaip keitimosi kibernetinio saugumo informacija ir reagavimo į incidentus koordinavimo centras, palengvina keitimąsi informacija apie incidentus, kibernetines grėsmes, pažeidžiamumus ir vos neįvykusius incidentus tarp:
| a) | Sąjungos subjektų; |
| b) | 17 ir 18 straipsniuose nurodytų analogiškų centrų. |
2. CERT-EU, kai tinkama, glaudžiai bendradarbiaudama su ENISA, palengvina Sąjungos subjektų reagavimo į incidentus koordinavimą, susijusį, be kita ko, su:
| a) | indėliu prie nuoseklios išorės komunikacijos; |
| b) | savitarpio pagalba, pvz., dalijimusi Sąjungos subjektams svarbia informacija arba prireikus teikiant pagalbą tiesiogiai vietoje; |
| c) | optimaliu veiklos išteklių naudojimu; |
| d) | koordinavimu su kitais reagavimo į krizes mechanizmais Sąjungos lygmeniu. |
3. CERT-EU, glaudžiai bendradarbiaudama su ENISA, teikia paramą Sąjungos subjektams, susijusią su informuotumu apie incidentų, kibernetinių grėsmių, pažeidžiamumų ir vos neįvykusių incidentų padėtį, taip pat dalijantis atitinkama informacija apie pokyčius kibernetinio saugumo srityje.
4. TKST, remdamasis CERT-EU pasiūlymu, ne vėliau kaip 2025 m. sausio 8 d. priima gaires arba rekomendacijas dėl reagavimo į incidentus koordinavimo ir bendradarbiavimo reikšmingų incidentų atveju. Kai įtariama, kad incidentas yra baudžiamojo pobūdžio, CERT-EU pataria, kaip nepagrįstai nedelsiant pranešti apie incidentą teisėsaugos institucijoms.
5. Gavusi konkretų valstybės narės prašymą ir sulaukusi atitinkamų Sąjungos subjektų pritarimo, CERT-EU gali pakviesti ekspertus iš 23 straipsnio 4 dalyje nurodyto sąrašo prisidėti reaguojant į didelį incidentą, kuris daro poveikį toje valstybėje narėje, arba į didelio masto kibernetinio saugumo incidentą pagal Direktyvos (ES) 2022/2555 15 straipsnio 3 dalies g punktą. TKST, remdamasi CERT-EU pasiūlymu, patvirtina konkrečias taisykles dėl Sąjungos subjektų techninių ekspertų paslaugų prieinamumo ir naudojimosi jomis.
23 straipsnis
Didelių incidentų valdymas
1. Siekdama operaciniu lygmeniu remti suderintą didelių incidentų, darančių poveikį Sąjungos subjektams, valdymą ir prisidėti prie reguliaraus Sąjungos subjektų tarpusavio keitimosi atitinkama informacija ir keitimosi ja su valstybėmis narėmis, TKST, glaudžiai bendradarbiaudama su CERT-EU ir ENISA, pagal 11 straipsnio q punktą parengia kibernetinių krizių valdymo planą, grindžiamą 22 straipsnio 2 dalyje nurodyta veikla. Į kibernetinių krizių valdymo planą įtraukiami bent šie aspektai:
| a) | susitarimai dėl Sąjungos subjektų veiksmų koordinavimo ir informacijos srautų, susijusių su didelių incidentų valdymu operaciniu lygmeniu; |
| b) | bendros standartinės veiklos procedūros (SVP); |
| c) | bendra didelių incidentų rimtumo ir krizę sukeliančių veiksnių taksonomija; |
| d) | reguliarios pratybos; |
| e) | naudotini saugūs ryšių kanalai. |
2. Komisijos atstovas TKST, atsižvelgiant į pagal šio straipsnio 1 dalį priimtą kibernetinių krizių valdymo planą ir nedarant poveikio Direktyvos (ES) 2022/2555 16 straipsnio 2 dalies pirmai pastraipai, yra kontaktinis punktas keičiantis svarbia informacija, susijusia su dideliais incidentais EU-CyCLONe.
3. CERT-EU koordinuoja Sąjungos subjektų veiksmus valdant didelius incidentus. Ji tvarko turimų techninių ekspertinių žinių, kurių reikėtų reaguojant į incidentus didelių incidentų atveju, aprašą ir padeda TKST koordinuoti Sąjungos subjektų didelių incidentų sukeltos kibernetinės krizės valdymo planus, nurodytus 9 straipsnio 2 dalyje.
4. Sąjungos subjektai prisideda prie techninių ekspertinių žinių aprašo, pateikdami kasmet atnaujinamą atitinkamose jų organizacijose turimų ekspertų sąrašą, kuriame išsamiai nurodomi jų konkretūs techniniai įgūdžiai.
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
whereas