keyboard_tab Cyber Resilience Act 2023/2841 LT

1.   Ne vėliau kaip 2025 m. balandžio 8 d.] kiekvienas Sąjungos subjektas, atlikęs pradinę kibernetinio saugumo peržiūrą, pavyzdžiui, auditą, nustato vidaus kibernetinio saugumo rizikos valdymo, administravimo ir kontrolės sistemą (toliau – Sistema). Sistemos sukūrimą prižiūri ir už jį atsako Sąjungos subjekto aukščiausias valdymo lygmuo.

2.   Sistema apima visą atitinkamo Sąjungos subjekto neįslaptintą IRT aplinką, įskaitant bet kokias vietoje esančias IRT aplinką, operacinį technologijų tinklą, užsakomąjį turtą ir paslaugas debesijos kompiuterijos aplinkoje arba kurių prieglobą teikia trečiosios šalys, mobiliuosius įrenginius, įmonių tinklus, prie interneto neprijungtus verslo tinklus ir bet kokius su tomis aplinkomis susijusius įrenginius (toliau – IRT aplinka). Sistema grindžiama visus pavojus apimančiu požiūriu.

3.   Sistema užtikrinamas aukštas kibernetinio saugumo lygis. Sistemoje nustatoma tinklų ir informacinių sistemų saugumo vidaus kibernetinio saugumo politika, įskaitant tikslus ir prioritetus, taip pat Sąjungos subjekto darbuotojų, kuriems pavesta užtikrinti, kad šis reglamentas būtų veiksmingai įgyvendinamas, funkcijos ir pareigos. Į Sistemą taip pat įtraukiami įgyvendinimo veiksmingumo vertinimo mechanizmai.

4.   Sistema turėtų būti reguliariai peržiūrima atsižvelgiant į kintančią kibernetinio saugumo riziką ir ne rečiau kaip kas ketverius metus. Kai tinkama ir gavus pagal 10 straipsnį įsteigtos Tarpinstitucinės kibernetinio saugumo tarybos prašymą, Sąjungos subjekto Sistema gali būti atnaujinama remiantis CERT-EU rekomendacijomis dėl nustatytų incidentų ar galimų spragų, pastebėtų įgyvendinant šį reglamentą.

5.   Kiekvieno Sąjungos subjekto aukščiausias valdymo lygmuo yra atsakingas už šio reglamento įgyvendinimą ir prižiūri, kaip jo organizacija laikosi su Sistema susijusių pareigų.

6.   Kiekvieno Sąjungos subjekto aukščiausias valdymo lygmuo, kai tikslinga ir nedarant poveikio jo atsakomybei už šio reglamento įgyvendinimą, gali konkrečias pareigas pagal šį reglamentą deleguoti atitinkamo Sąjungos subjekto vyresniesiems pareigūnams, kaip tai suprantama Tarnybos nuostatų 29 straipsnio 2 dalyje, arba kitiems lygiaverčio lygmens pareigūnams. Neatsižvelgiant į tokį pareigų delegavimą, aukščiausias valdymo lygmuo gali būti laikomas atsakingu už atitinkamo Sąjungos subjekto padarytus šio reglamento pažeidimus.

7.   Kiekvienas Sąjungos subjektas turi turėti veiksmingus mechanizmus, kuriais užtikrinama, kad kibernetiniam saugumui būtų išleidžiama tinkama IRT biudžeto lėšų procentinė dalis. Nustatant tą procentinę dalį tinkamai atsižvelgiama į Sistemą.

8.   Kiekvienas Sąjungos subjektas paskiria vietos kibernetinio saugumo pareigūną arba lygiavertę funkciją atliekantį pareigūną, kuris visais kibernetinio saugumo aspektais veikia kaip vienas kontaktinis punktas. Vietos kibernetinio saugumo pareigūnas sudaro palankias sąlygas įgyvendinti šį reglamentą ir aukščiausiam valdymo lygmeniui reguliariai tiesiogiai teikia ataskaitas apie įgyvendinimo padėtį. Nedarant poveikio tam, kad vietos kibernetinio saugumo pareigūnas veikia kaip vienas kontaktinis punktas kiekviename Sąjungos subjekte, Sąjungos subjektas gali CERT-EU deleguoti tam tikras vietos kibernetinio saugumo pareigūno užduotis, susijusias su šio reglamento įgyvendinimu, remdamasis to Sąjungos subjekto ir CERT-EU sudarytu susitarimu dėl paslaugų lygio, arba tas užduotis gali dalytis keli Sąjungos subjektai. Kai tos užduotys deleguojamos CERT-EU, pagal 10 straipsnį įsteigta Tarpinstitucinė kibernetinio saugumo taryba, atsižvelgdama į atitinkamo Sąjungos subjekto žmogiškuosius ir finansinius išteklius, nusprendžia, ar tos paslaugos turi būti teikiamos kaip CERT-EU pagrindinių paslaugų dalis. Kiekvienas Sąjungos subjektas nepagrįstai nedelsdamas praneša CERT-EU apie paskirtą vietos kibernetinio saugumo pareigūną ir apie visus vėlesnius jo pakeitimus.

CERT-EU nuolat parengia ir nuolat atnaujina paskirtų vietos kibernetinio saugumo pareigūnų sąrašą.

9.   Kiekvieno Sąjungos subjekto vyresnieji pareigūnai, kaip tai suprantama Tarnybos nuostatų 29 straipsnio 2 dalyje, arba lygiaverčio lygmens pareigūnai, taip pat visi atitinkami darbuotojai, kuriems pavesta įgyvendinti kibernetinio saugumo rizikos valdymo priemones ir vykdyti šiame reglamente nustatytas pareigas, reguliariai dalyvauja specialiuose mokymuose, kad įgytų pakankamai žinių ir įgūdžių, kurių reikia siekiant suprasti ir įvertinti kibernetinio saugumo riziką ir su ja susijusią valdymo praktiką bei jos poveikį Sąjungos subjekto veiklai.

1.   Įsteigiama Tarpinstitucinė kibernetinio saugumo taryba (toliau – TKST).

2.   TKST pareigos:

3.   TKST sudaro:

TKST atstovaujami Sąjungos subjektai siekia, kad tarp paskirtų atstovų būtų užtikrinta lyčių pusiausvyra.

4.   TKST nariams gali padėti pakaitiniai nariai. Pirmininkas gali kviesti kitus 3 dalyje nurodytų Sąjungos subjektų arba kitų Sąjungos subjektų atstovus dalyvauti TKST posėdžiuose be balsavimo teisės.

5.   CERT-EU vadovas ir atitinkamai pagal Direktyvos (ES) 2022/2555 14, 15 ir 16 straipsnius įsteigtų Bendradarbiavimo grupės, CSIRT tinklo ir EU-CyCLONe pirmininkai arba jų pakaitiniai nariai gali dalyvauti TKST posėdžiuose kaip stebėtojai. Išimtiniais atvejais TKST, laikydamasi savo vidaus darbo tvarkos taisyklių, gali nuspręsti kitaip.

6.   TKST patvirtina savo vidaus darbo tvarkos taisykles.

7.   Pagal savo vidaus darbo tvarkos taisykles TKST iš savo narių trejų metų laikotarpiui paskiria pirmininką. Pirmininko pakaitinis narys tam pačiam laikotarpiui tampa tikruoju TKST nariu.

8.   TKST renkasi bent tris kartus per metus savo pirmininko iniciatyva, CERT-EU prašymu arba bet kurio iš jos narių prašymu.

9.   Kiekvienas TKST narys turi po vieną balsą. TKST sprendimai priimami paprasta balsų dauguma, išskyrus atvejus, kai šiame reglamente numatyta kitaip. TKST pirmininkas nebalsuoja, išskyrus atvejus, kai balsai pasiskirsto po lygiai – tokiu atveju pirmininkas gali pasinaudoti lemiamo balso teise.

10.   TKST gali priimti sprendimus taikydama supaprastintą rašytinę procedūrą, inicijuotą pagal jos vidaus darbo tvarkos taisykles. Pagal tą procedūrą laikoma, kad atitinkamas sprendimas yra patvirtintas per pirmininko nustatytą laikotarpį, išskyrus atvejus, kai narys pareiškia prieštaravimų.

11.   Sekretoriato paslaugas TKST teikia Komisija ir sekretoriatas yra atskaitingas TKST pirmininkui.

12.   Sąjungos agentūrų tinklo paskirti atstovai perduoda TKST sprendimus Sąjungos agentūrų tinklo nariams. Bet kuris Sąjungos agentūrų tinklo narys turi teisę pateikti tiems TKST atstovams ar pirmininkui bet kokį klausimą, į kurį, jo nuomone, turėtų būti atkreiptas TKST dėmesys.

13.   TKST gali įsteigti vykdomąjį komitetą, kuris padėtų jam vykdyti savo darbą, ir deleguoti jam kai kurias savo užduotis ir įgaliojimus. TKST nustato vykdomojo komiteto darbo tvarkos taisykles, įskaitant jo užduotis bei įgaliojimus ir jo narių kadencijos trukmę.

14.   TKST ne vėliau kaip 2025 m. sausio 8 d., o vėliau – kasmet teikia Europos Parlamentui ir Tarybai ataskaitą, kurioje išsamiai aprašoma pažanga, padaryta įgyvendinant šį reglamentą, ir, visų pirma, nurodomas CERT-EU bendradarbiavimo su analogiškais valstybės narės centrais kiekvienoje valstybėje narėje mastas. Ataskaita laikoma indėliu kas dvejus metus rengiant pagal Direktyvos (ES) 2022/2555 18 straipsnį teikiamą ataskaitą dėl kibernetinio saugumo padėties Sąjungoje.

1.   Sąjungos subjektai gali savanoriškai pranešti CERT-EU apie jiems poveikį darančius incidentus, kibernetines grėsmes, vos neįvykusius incidentus ir pažeidžiamumą, ir teikti CERT-EU informaciją apie juos. Siekiant palengvinti keitimąsi informacija su Sąjungos subjektais, CERT-EU užtikrina, kad būtų galima naudotis veiksmingomis, aukšto lygio atsekamumo, konfidencialumo ir patikimumo komunikacijos priemonėmis. CERT-EU, tvarkydama pranešimus, gali teikti pirmenybę privalomų pranešimų tvarkymui, palyginti su savanoriškais pranešimais. Nedarant poveikio 12 straipsniui, dėl savanoriško pranešimo pranešimą teikiančiam Sąjungos subjektui nenustatoma jokių papildomų pareigų, kurios jam nebūtų taikomos, jei jis nebūtų pateikęs pranešimo.

2.   Kad galėtų vykdyti savo misiją ir užduotis, pavestas pagal 13 straipsnį, CERT-EU gali reikalauti, kad Sąjungos subjektai jai teiktų informaciją iš savo atitinkamų IRT sistemų aprašų, įskaitant informaciją, susijusią su kibernetinėmis grėsmėmis, vos neįvykusiais incidentais, pažeidžiamumais, užvaldymo rodikliais, kibernetinio saugumo įspėjimais ir rekomendacijomis dėl kibernetinio saugumo priemonių konfigūracijos siekiant aptikti incidentus. Sąjungos subjektas, į kurį kreipiamasi, nepagrįstai nedelsdamas perduoda prašomą informaciją ir visus vėlesnius jos atnaujinimus.

3.   CERT-EU gali su Sąjungos subjektais keistis su incidentu susijusia informacija, kurioje atskleidžiama nuo kibernetinio saugumo incidento nukentėjusio Sąjungos subjekto tapatybė su sąlyga, kad nukentėjęs Sąjungos subjektas sutinka. Jei Sąjungos subjektas sutikimo neduoda, jis CERT-EU pateikia tokį sprendimą pagrindžiančias priežastis.

4.   Sąjungos subjektai, gavę prašymą, dalijasi informacija apie kibernetinio saugumo planų įgyvendinimą su Europos Parlamentu ir Taryba.

5.   Gavus prašymą, atitinkamai TKST arba CERT-EU dalijasi gairėmis, rekomendacijomis ir raginimais imtis veiksmų su Europos Parlamentu ir Taryba.

6.   Šiame straipsnyje nustatytos pareigos dalytis netaikomos: