Cyber Resilience Act 2023/2841 LV

BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf

2023/2841 LV Art. 26 cercato: 'sistēmas' . Output generated live by software developed by IusOnDemand srl

expand index sistēmas:

I NODAĻA

VISPĀRĪGI NOTEIKUMI

II NODAĻA

VIENĀDA AUGSTA KIBERDROŠĪBAS LĪMEŅA PANĀKŠANAS PASĀKUMI

2 8. pants Kiberdrošības riska pārvaldības pasākumi

III NODAĻA

IESTĀŽU KIBERDROŠĪBAS PADOME

IV NODAĻA

CERT-EU

V NODAĻA

SADARBĪBA UN ZIŅOŠANAS PIENĀKUMI

VI NODAĻA

NOBEIGUMA NOTEIKUMI

1 25. pants Pārskatīšana

26. pants Stāšanās spēkā

whereas sistēmas:

definitions:

cloud tag:

and the number of total unique words without stopwords is: 485

26. pants

Stāšanās spēkā

Šī regula stājas spēkā divdesmitajā dienā pēc tās publicēšanas Eiropas Savienības Oficiālajā Vēstnesī.

Šī regula uzliek saistības kopumā un ir tieši piemērojama visās dalībvalstīs.

Strasbūrā, 2023. gada 13. decembrī

Eiropas Parlamenta vārdā –

priekšsēdētāja

R. METSOLA

Padomes vārdā –

priekšsēdētājs

P. NAVARRO RÍOS

(1) Eiropas Parlamenta 2023. gada 21. novembra nostāja (Oficiālajā Vēstnesī vēl nav publicēta) un Padomes 2023. gada 8. decembra lēmums.

(2) Eiropas Parlamenta un Padomes Direktīva (ES) 2022/2555 (2022. gada 14. decembris), ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Savienībā un ar ko groza Regulu (ES) Nr. 910/2014 un Direktīvu (ES) 2018/1972 un atceļ Direktīvu (ES) 2016/1148 (TID 2 direktīva) (OV L 333, 27.12.2022., 80. lpp.).

(3) Eiropas Parlamenta un Padomes Regula (ES) 2019/881 (2019. gada 17. aprīlis) par ENISA (Eiropas Savienības Kiberdrošības aģentūra) un par informācijas un komunikācijas tehnoloģiju kiberdrošības sertifikāciju, un ar ko atceļ Regulu (ES) Nr. 526/2013 (Kiberdrošības akts) (OV L 151, 7.6.2019., 15. lpp.).

(4) Vienošanās starp Eiropas Parlamentu, Eiropadomi, Eiropas Savienības Padomi, Eiropas Komisiju, Eiropas Savienības Tiesu, Eiropas Centrālo banku, Eiropas Revīzijas palātu, Eiropas Ārējās darbības dienestu, Eiropas Ekonomikas un sociālo lietu komiteju, Eiropas Reģionu komiteju un Eiropas Investīciju banku par Savienības iestāžu, struktūru un aģentūru datorapdraudējumu reaģēšanas vienības (CERT-EU) organizāciju un darbību (OV C 12, 13.1.2018., 1. lpp.).

(5) Padomes Regula (EEK, Euratom, EOTK) Nr. 259/68 (1968. gada 29. februāris), ar ko nosaka Eiropas Kopienu Civildienesta noteikumus un Pārējo darbinieku nodarbināšanas kārtību, kā arī paredz īpašus Komisijas ierēdņiem uz laiku piemērojamus pasākumus (OV L 56, 4.3.1968., 1. lpp.).

(6) Komisijas Ieteikums (ES) 2017/1584 (2017. gada 13. septembris) par koordinētu reaģēšanu uz plašapmēra kiberdrošības incidentiem un krīzēm (OV L 239, 19.9.2017., 36. lpp.).

(7) Eiropas Parlamenta un Padomes Regula (ES) 2018/1725 (2018. gada 23. oktobris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās un par šādu datu brīvu apriti un ar ko atceļ Regulu (EK) Nr. 45/2001 un Lēmumu Nr. 1247/2002/EK (OV L 295, 21.11.2018., 39. lpp.).

(8) OV C 258, 5.7.2022., 10. lpp.

(9) Eiropas Parlamenta un Padomes Regula (ES, Euratom) 2018/1046 (2018. gada 18. jūlijs) par finanšu noteikumiem, ko piemēro Savienības vispārējam budžetam, ar kuru groza Regulas (ES) Nr. 1296/2013, (ES) Nr. 1301/2013, (ES) Nr. 1303/2013, (ES) Nr. 1304/2013, (ES) Nr. 1309/2013, (ES) Nr. 1316/2013, (ES) Nr. 223/2014, (ES) Nr. 283/2014 un Lēmumu Nr. 541/2014/ES un atceļ Regulu (ES, Euratom) Nr. 966/2012 (OV L 193, 30.7.2018., 1. lpp.).

(10) Eiropas Parlamenta un Padomes Regula (EK) Nr. 1049/2001 (2001. gada 30. maijs) par publisku piekļuvi Eiropas Parlamenta, Padomes un Komisijas dokumentiem (OV L 145, 31.5.2001., 43. lpp.).

ELI: http://data.europa.eu/eli/reg/2023/2841/oj

ISSN 1977-0715 (electronic edition)

8. pants

Kiberdrošības riska pārvaldības pasākumi

1. Bez liekas kavēšanās un katrā ziņā līdz 2025. gada 8. septembrim katra Savienības vienība savas visaugstākā līmeņa vadības uzraudzībā veic piemērotus un samērīgus tehniskos, operacionālos un organizatoriskos pasākumus, lai pārvaldītu kiberdrošības riskus, kas apzināti satvarā, un lai novērstu vai mazinātu incidentu ietekmi. Ņemot vērā jaunāko tehnikas līmeni un attiecīgā gadījumā relevantos Eiropas un starptautiskos standartus, minētie pasākumi nodrošina tīklu un informācijas sistēmu drošības līmeni visā IKT vidē, kas ir samērīgs ar kiberdrošības riskiem, ar kuriem saskaras. Novērtējot minēto pasākumu samērīgumu, pienācīgi ņem vērā to, cik lielā mērā Savienības vienība ir pakļauta kiberdrošības riskiem, tās lielumu un incidentu varbūtību un smagumu, tostarp sociālo, ekonomisko un starpinstitucionālo ietekmi.

2. Savienības vienības kiberdrošības riska pārvaldības pasākumu īstenošanā pievēršas vismaz šādām jomām:

a)	kiberdrošības rīcībpolitika, tostarp pasākumi, kas vajadzīgi, lai īstenotu 6. pantā un šā panta 3. punktā minētos mērķus un prioritātes;

b)	kiberdrošības riska analīzes un informācijas sistēmu drošības rīcībpolitikas;

c)	rīcībpolitiskie mērķi mākoņdatošanas pakalpojumu izmantošanas ziņā;

d)	attiecīgā gadījumā kiberdrošības revīzija, kas var ietvert kiberdrošības riska, ievainojamību un kiberdraudu novērtējumu, un ielaušanās testēšana, ko regulāri veic uzticams privāts pakalpojumu sniedzējs;

e)	no d) apakšpunktā minētajām kiberdrošības revīzijām izrietošo ieteikumu īstenošana ar kiberdrošības un rīcībpolitikas atjauninājumiem;

f)	kiberdrošības organizācija, tostarp lomu un pienākumu noteikšana;

g)	aktīvu pārvaldība, tostarp IKT aktīvu inventarizācija un IKT tīkla kartogrāfija;

h)	cilvēkresursu drošība un piekļuves kontrole;

i)	darbības drošība;

j)	komunikāciju drošība;

k)	sistēmas iegāde, izstrāde un uzturēšana, tostarp ievainojamības risināšanas un izpaušanas rīcībpolitikas;

l)	ja iespējams, pirmkoda pārredzamības rīcībpolitikas;

m)	piegādes ķēdes drošība, tostarp ar drošību saistītus aspektus, kas attiecas uz attiecībām starp katru Savienības vienību un tās tiešajiem piegādātājiem vai pakalpojumu sniedzējiem;

n)	incidentu risināšana un sadarbība ar CERT-EU, piemēram, drošības uzraudzības un reģistrēšanas uzturēšana;

o)	darbības nepārtrauktības pārvaldība, piemēram, dublējuma pārvaldība un negadījuma seku novēršana, un krīžu pārvaldība; un

p)	kiberdrošības izglītības, prasmju, izpratnes veidošanas, mācību un apmācības programmu veicināšana un izstrāde.

Pirmās daļas m) apakšpunkta nolūkos Savienības vienības ņem vērā ievainojamības, kas raksturīgas katram tiešajam piegādātājam un pakalpojumu sniedzējam, un savu piegādātāju un pakalpojumu sniedzēju produktu un kiberdrošības prakšu vispārējo kvalitāti, tostarp drošas izstrādes procedūras.

3. Savienības vienības veic vismaz šādus īpašus kiberdrošības riska pārvaldības pasākumus:

a)	tehniskie pasākumi, kas dara iespējamu un uztur tāldarbu;

b)	konkrēti pasākumi virzībā uz nulles uzticēšanās principiem;

c)	daudzfaktoru autentifikācijas izmantošana par normu tīklu un informācijas sistēmās;

d)	kriptogrāfijas un šifrēšanas, jo īpaši galšifrēšanas, kā arī droša digitālā paraksta izmantošana;

e)	attiecīgā gadījumā droši balss, video un teksta sakari un drošas ārkārtas situācijas sakaru sistēmas Savienības vienībā;

f)	proaktīvi pasākumi ļaunprogrammatūras un spiegprogrammatūras atklāšanai un izņemšanai;

g)	programmatūras piegādes ķēdes drošības izveide uz programmatūras drošas izstrādes un izvērtēšanas kritēriju pamata;

h)	tādu kiberdrošības mācību programmu izveide un pieņemšana, kas ir samērīgas ar Savienības vienības visaugstākā līmeņa vadībai un tehniskajiem un operatīvajiem darbiniekiem, kam uzdots nodrošināt rezultatīvu šīs regulas īstenošanu, noteiktajiem uzdevumiem un vēlamajām spējām;

i)	regulāra darbinieku apmācība kiberdrošības jomā;

j)	attiecīgā gadījumā dalība savstarpējās savienotības riska analīzē Savienības vienību starpā;

iepirkuma noteikumu uzlabošana nolūkā veicināt vienādu augstu kiberdrošības līmeni, kas darāms:

i)	likvidējot līgumiskos šķēršļus, kuri ierobežo to, kā IKT pakalpojumu sniedzēji var informēt CERT-EU par incidentiem, ievainojamībām un kiberdraudiem;

ii)	ievērojot līgumiskos pienākumus ziņot par incidentiem, ievainojamībām un kiberdraudiem, kā arī ieviest mehānismus pienācīgai reaģēšanai uz incidentiem un to uzraudzībai.

25. pants

Pārskatīšana

1. Līdz 2025. gada 8. janvārim un pēc tam ik gadu IKP ar CERT-EU palīdzību ziņo Komisijai par šīs regulas īstenošanu. IKP var arī sniegt Komisijai ieteikumus pārskatīt šo regulu.

2. Līdz 2027. gada 8. janvārim un pēc tam ik divus gadus Komisija novērtē šīs regulas īstenošanu un stratēģiskajā un operacionālajā līmenī gūto pieredzi un ziņo par to Eiropas Parlamentam un Padomei.

Šī punkta pirmajā daļā minētajā ziņojumā ietver 16. panta 1. punktā minēto pārskatīšanu par iespēju CERT-EU izveidot kā Savienības biroju.

3. Līdz 2029. gada 8. janvārim Komisija izvērtē šīs regulas darbību un iesniedz ziņojumu Eiropas Parlamentam, Padomei, Eiropas Ekonomikas un sociālo lietu komitejai un Reģionu komitejai. Komisija arī izvērtē, vai ir lietderīgi šīs regulas darbības jomā iekļaut tīklu un informācijas sistēmas, kuras rīkojas ar ESKI, ņemot vērā citus Savienības tiesību aktus, kas minētajām sistēmām piemērojami. Ziņojumam vajadzības gadījumā pievieno leģislatīva akta priekšlikumu.

whereas

keyboard_tab Cyber Resilience Act 2023/2841 LV

Cyber Resilience Act 2023/2841 LV