keyboard_tab Cyber Resilience Act 2023/2841 LV
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
I NODAĻA
VISPĀRĪGI NOTEIKUMI
II NODAĻA
VIENĀDA AUGSTA KIBERDROŠĪBAS LĪMEŅA PANĀKŠANAS PASĀKUMI
III NODAĻA
IESTĀŽU KIBERDROŠĪBAS PADOME
IV NODAĻA
CERT-EU
V NODAĻA
SADARBĪBA UN ZIŅOŠANAS PIENĀKUMI
VI NODAĻA
NOBEIGUMA NOTEIKUMI
- savienības 55
- saskaņā 28
- vienības 24
- cert-eu 23
- kiberdrošības 15
- informāciju 13
- informācijas 12
- incidentu 11
- pantu 10
- pēc 10
- incidentiem 10
- vienībām 10
- tās 9
- attiecīgā 9
- gadījumā 9
- cert-eu 9
- laikā 9
- vienībai 8
- pasākumus 8
- datu 8
- regulas 7
- minēto 7
- ja 7
- vienību 7
- pakalpojumu 7
- vienība 7
- tīklu 7
- ietekmi 6
- personas 6
- attiecībā 6
- šīs 6
- attiecīgās 6
- attiecīgajai 6
- arī 6
- regulu 6
- vides 6
- ziņojumu 5
- incidenta 5
- ieteikumus 5
- liekas 5
- ziņošanas 5
- būtisks 5
- tostarp 5
- sniegt 5
- kavēšanās 5
- daļas 4
- csirt 4
- pirmās 4
- savienības 4
- veikt 4
4. pants
Personas datu apstrāde
1. Personas datu apstrādi, kas paredzēta šajā regulā, CERT-EU, Iestāžu kiberdrošības padome, kura izveidota saskaņā ar 10. pantu, un Savienības vienības veic saskaņā ar Regulu (ES) 2018/1725.
2. ja CERT-EU, Iestāžu kiberdrošības padome, kura izveidota saskaņā ar 10. pantu, un Savienības vienības pilda šajā regulā paredzētus uzdevumus vai pienākumus, tās personas datus apstrādā un ar tiem apmainās tikai tādā apmērā, cik nepieciešams, un vienīgi nolūkā pildīt minētos uzdevumus vai pienākumus.
3. Regulas (ES) 2018/1725 10. panta 1. punktā minēto īpašu kategoriju personas datu apstrādi uzskata par nepieciešamu būtisku sabiedrības interešu dēļ saskaņā ar minētās regulas 10. panta 2. punkta g) apakšpunktu. Šādus datus var apstrādāt tikai tiktāl, ciktāl tas nepieciešams šīs regulas 6. un 8. pantā minēto kiberdrošības riska pārvaldības pasākumu īstenošanai, CERT-EU pakalpojumu sniegšanai saskaņā ar 13. pantu, incidentu raksturojošas informācijas kopīgošanai saskaņā ar 17. panta 3. punktu un 18. panta 3. punktu, informācijas kopīgošanai saskaņā ar 20. pantu, ziņošanas pienākumiem saskaņā ar 21. pantu, reaģēšanas uz incidentiem koordinācijai un sadarbībai saskaņā ar 22. pantu un lielu incidentu pārvaldībai saskaņā ar 23. pantu. Savienības vienības un CERT-EU, rīkojoties kā datu pārziņi, piemēro tehniskus pasākumus, lai nepieļautu īpašu kategoriju personas datu apstrādi citiem nolūkiem, un paredz piemērotus un konkrētus pasākumus, kas aizsargā datu subjektu pamattiesības un intereses.
II NODAĻA
VIENĀDA AUGSTA KIBERDROŠĪBAS LĪMEŅA PANĀKŠANAS PASĀKUMI
12. pants
Atbilstība
1. IKP saskaņā ar 10. panta 2. punktu un 11. pantu rezultatīvi uzrauga šīs regulas un pieņemto vadlīniju, ieteikumu un aicinājumu rīkoties īstenošanu Savienības vienībās. IKP var pieprasīt no Savienības vienībām šim nolūkam nepieciešamo informāciju vai dokumentāciju. Kas attiecas uz atbilstības nodrošināšanas pasākumu pieņemšanu saskaņā ar šo pantu, ja attiecīgā Savienības vienība ir tieši pārstāvēta IKP, minētajai Savienības vienībai nav balsstiesību.
2. ja IKP konstatē, ka Savienības vienība nav rezultatīvi īstenojusi šo regulu vai vadlīnijas, ieteikumus vai aicinājumus rīkoties, kas izdoti saskaņā ar šo regulu, tā, neskarot attiecīgās Savienības vienības iekšējās procedūras un pēc tam, kad ir devusi iespēju attiecīgajai vienībai izteikt komentārus, var:
| a) | sniegt attiecīgajai Savienības vienībai pamatotu atzinumu, kur norādītas konstatētās šīs regulas īstenošanas nepilnības; |
| b) | pēc apspriešanās ar CERT-EU izdot vadlīnijas attiecīgajai Savienības vienībai, kā noteiktā laikā nodrošināt, ka tās satvars, kiberdrošības riska pārvaldības pasākumi, kiberdrošības plāns un ziņošana atbilst šai regulai; |
| c) | izdot brīdinājumu noteiktā laikā risināt identificētos trūkumus, tostarp ieteikumus grozīt pasākumus, ko attiecīgā Savienības vienība pieņēmusi saskaņā ar šo regulu; |
| d) | sniegt attiecīgajai Savienības vienībai pamatotu paziņojumu, ja saskaņā ar c) apakšpunktu izdotajā brīdinājumā identificētie trūkumi noteiktajā laikā nav pietiekami novērsti; |
| e) | izdot:
|
| f) | attiecīgā gadījumā par iespējamo neatbilstību informēt Revīzijas palātu tās pilnvaru ietvaros; |
| g) | izdot ieteikumu visām dalībvalstīm un Savienības vienībām uz laiku apturēt datu plūsmas uz attiecīgo Savienības vienību. |
Pirmās daļas c) apakšpunkta nolūkos brīdinājuma saņēmēju loku pienācīgi ierobežo, ja tas nepieciešams kiberdrošības riska dēļ.
Saskaņā ar pirmo daļu izdotus brīdinājumus un ieteikumus adresē attiecīgās Savienības vienības visaugstākā līmeņa vadībai.
3. ja IKP ir pieņēmusi pasākumus saskaņā ar 2. punkta pirmās daļas a)–g) apakšpunktu, attiecīgā Savienības vienība sniedz detalizētu pārskatu par pasākumiem un darbībām, kas veiktas, lai novērstu iespējamos trūkumus, kurus identificējusi IKP. Savienības vienība šo detalizēto pārskatu iesniedz saprātīgā termiņā, par ko vienojas ar IKP.
4. ja IKP uzskata, ka Savienības vienība izdara pastāvīgu šīs regulas pārkāpumu, kas tieši izriet no Savienības ierēdņa vai cita darbinieka, tostarp augstākajā vadības līmenī, darbības vai bezdarbības, IKP pieprasa attiecīgajai Savienības vienībai veikt pienācīgus pasākumus, tostarp apsvērt disciplināra rakstura pasākumu veikšanu, saskaņā ar noteikumiem un procedūrām, ko paredz Civildienesta noteikumi un citi piemērojamie noteikumi un procedūras. Šajā nolūkā IKP nodod attiecīgajai Savienības vienībai vajadzīgo informāciju.
5. ja Savienības vienības ziņo, ka tās nespēj ievērot 6. panta 1. punktā un 8. panta 1. punktā minētos termiņus, pienācīgi pamatotos gadījumos, ņemot vērā Savienības vienības lielumu, IKP var atļaut tos pagarināt.
IV NODAĻA
CERT-EU
13. pants
1. CERT-EU misija ir dot ieguldījumu Savienības vienību neklasificētās IKT vides drošībā, sniedzot tām padomus par kiberdrošību, palīdzot novērst, atklāt, risināt, mitigēt incidentus, reaģēt uz tiem un atgūties no tiem, kā arī rīkojoties kā to kiberdrošības informācijas apmaiņas un reaģēšanas uz incidentiem koordinēšanas centram.
2. CERT-EU vāc, pārvalda, analizē un ar Savienības vienībām kopīgo informāciju par kiberdraudiem, ievainojamībām un incidentiem neklasificētā IKT infrastruktūrā. CERT-EU koordinē reaģēšanu uz incidentiem starpiestāžu un Savienības vienību līmenī, citstarp nodrošinot specializētu operacionālo palīdzību vai koordinējot tās nodrošināšanu.
3. Lai palīdzētu Savienības vienībām, CERT-EU veic šādus uzdevumus:
| a) | sniedz tām atbalstu šīs regulas īstenošanā un palīdz koordinēt tās īstenošanu, izmantojot 14. panta 1. punktā uzskaitītos pasākumus vai IKP pieprasītus ad hoc ziņojumus; |
| b) | piedāvā CSIRT standarta pakalpojumus Savienības vienībām ar tā pakalpojumu katalogā aprakstīto kiberdrošības pakalpojumu pakotni (pamatpakalpojumi); |
| c) | uztur partneru un kolēģu tīklu, lai sekmētu pakalpojumu sniegšanu, kā norādīts 17. un 18. pantā; |
| d) | vērš IKP uzmanību uz visām problēmām, kas saistītas ar šīs regulas īstenošanu un vadlīniju, ieteikumu un aicinājumu rīkoties īstenošanu; |
| e) | izmantojot 2. punktā minēto informāciju, ciešā sadarbībā ar ENISA sekmē Savienības kibersituācijas apzināšanos; |
| f) | koordinē lielu incidentu pārvaldību; |
| g) | attiecībā pret Savienības vienībām darbojas ekvivalenti koordinatoram, kas izraudzīts koordinētas ievainojamības izpaušanas nolūkā saskaņā ar Direktīvas (ES) 2022/2555 12. panta 1. punktu; |
| h) | pēc Savienības vienības pieprasījuma nodrošina minētās Savienības vienības publiski piekļūstamu tīklu un informācijas sistēmu proaktīvu neintruzīvu skenēšanu. |
Šā punkta pirmās daļas e) apakšpunktā minēto informāciju attiecīgos un piemērotos gadījumos un ievērojot pienācīgus konfidencialitātes nosacījumus, kopīgo ar IKP, CSIRT tīklu un Eiropas Savienības Izlūkošanas un situāciju centru (EU INTCEN).
4. CERT-EU var saskaņā ar attiecīgi 17. vai 18. pantu sadarboties ar relevantajām kiberdrošības kopienām Savienībā un tās dalībvalstīs, arī šādās jomās:
| a) | gatavība, incidentu risināšanas koordinēšana, informācijas apmaiņa un reaģēšana uz krīzi tehniskā līmenī ar Savienības vienībām saistītos gadījumos; |
| b) | operacionālā sadarbība CSIRT tīkla aspektā, arī attiecībā uz savstarpējo palīdzību; |
| c) | kiberdraudu izlūkdati, arī situācijas apzināšanās; |
| d) | jebkurš gadījums, kad vajadzīga CERT-EU tehniskā kiberdrošības lietpratība. |
5. CERT-EU savu kompetenču robežās iesaistās strukturētā sadarbībā ar ENISA attiecībā uz spēju veidošanu, operacionālo sadarbību un kiberdraudu ilgtermiņa stratēģisko analīzi saskaņā ar Regulu (ES) 2019/881. CERT-EU var sadarboties un apmainīties ar informāciju ar Eiropola Eiropas Kibernoziedzības apkarošanas centru.
6. CERT-EU var sniegt tālāk norādītos pakalpojumus, kas nav aprakstīti pakalpojumu katalogā (maksas pakalpojumi):
| a) | pakalpojumi, kas sekmē Savienības vienību IKT vides kiberdrošību un nav minēti 3. punktā, pamatojoties uz pakalpojumu līmeņa vienošanos un atkarībā no pieejamajiem resursiem, jo īpaši plaša spektra tīkla uzraudzība, tostarp nepārtrauktu uzraudzību zemākajā līmenī attiecībā uz īpaši bīstamiem kiberdraudiem; |
| b) | pakalpojumi, kas sekmē Savienības vienību kiberdrošības darbības vai projektus, izņemot pakalpojumus to IKT vides aizsardzībai, pamatojoties uz rakstiskiem līgumiem un ar iepriekšēju IKP apstiprinājumu; |
| c) | pēc pieprasījuma proaktīva attiecīgās Savienības vienības tīklu un informācijas sistēmu skenēšana nolūkā atklāt ievainojamības, kam var būt būtiska ietekme; |
| d) | pakalpojumi, kas sekmē IKT vides drošību organizācijās, kuras nav Savienības vienības, bet cieši sadarbojas ar Savienības vienībām, piemēram, pilda ar Savienības tiesību aktiem uzticētus uzdevumus vai pienākumus, pamatojoties uz rakstiskiem līgumiem un ar iepriekšēju IKP apstiprinājumu. |
Attiecībā uz pirmās daļas d) apakšpunktu CERT-EU var izņēmuma kārtā slēgt pakalpojumu līmeņa vienošanās ar vienībām, kas nav Savienības vienības, ja IKP tam iepriekš piekritusi.
7. CERT-EU organizē kiberdrošības mācības, var piedalīties tajās vai ieteikt piedalīties esošās mācībās attiecīgā gadījumā ciešā sadarbībā ar ENISA, lai pārbaudītu Savienības vienību kiberdrošības līmeni.
8. CERT-EU var sniegt palīdzību Savienības vienībām attiecībā uz incidentiem tīklu un informācijas sistēmās, kas rīkojas ar ESKI, ja to nepārprotami pieprasa attiecīgās Savienības vienības saskaņā ar savām attiecīgajām procedūrām. CERT-EU palīdzības sniegšana saskaņā ar šo punktu neskar piemērojamos noteikumus par klasificētas informācijas aizsardzību.
9. CERT-EU informē Savienības vienības par savām incidentu risināšanas procedūrām un procesiem.
10. CERT-EU, ievērojot augstu konfidencialitātes un uzticamības līmeni un izmantojot pienācīgos sadarbības mehānismus un ziņošanas kārtību, sniedz relevantu un anonimizētu informāciju par lieliem incidentiem un to, kā tie risināti. Minēto informāciju iekļauj 10. panta 14. punktā minētajā ziņojumā.
11. CERT-EU sadarbībā ar EDAU atbalsta attiecīgās Savienības vienības, kad tās risina incidentus, kuru rezultātā notiek personas datu aizsardzības pārkāpumi, neskarot kompetenci un uzdevumus, kas EDAU ir kā uzraudzības iestādei saskaņā ar Regulu (ES) 2018/1725.
12. ja Savienības vienību rīcībpolitikas nodaļas to skaidri lūdz, CERT-EU var sniegt tehniskus padomus vai tehnisku ieguldījumu relevantos rīcībpolitiskos jautājumos.
21. pants
Ziņošanas pienākumi
1. Incidentu uzskata par būtisku, ja:
| a) | tas ir izraisījis vai spēj izraisīt smagus attiecīgās Savienības vienības funkcionēšanas traucējumus vai finansiālus zaudējumus; |
| b) | tas ir ietekmējis vai spēj ietekmēt citas fiziskas vai juridiskas personas, radot būtisku materiālu vai nemateriālu kaitējumu. |
2. Savienības vienības iesniedz CERT-EU:
| a) | bez liekas kavēšanās un katrā ziņā 24 stundu laikā no brīža, kad uzzinājušas par būtisko incidentu, – agrīnu brīdinājumu, kurā attiecīgā gadījumā norāda, ka būtisko incidentu ir izraisījusi, domājams, nelikumīga vai ļaunprātīga rīcība un vai tam varētu būt pārvienību vai pārrobežu ietekme; |
| b) | bez liekas kavēšanās un jebkurā gadījumā 72 stundu laikā pēc tam, kad uzzinājušas par būtisko incidentu, – paziņojumu par incidentu, kurā attiecīgā gadījumā atjaunina a) apakšpunktā minēto informāciju un norāda būtiskā incidenta sākotnējo novērtējumu, tostarp tā smagumu un ietekmi, kā arī, ja pieejami, aizskāruma rādītājus; |
| c) | pēc CERT-EU pieprasījuma – starpposma ziņojumu par relevantajiem statusa atjauninājumiem; |
| d) | galīgu ziņojumu ne vēlāk kā mēnesi pēc b) apakšpunktā minētā paziņojuma par incidentu iesniegšanas, un tajā iekļauj:
|
| e) | ja šā punkta d) apakšpunktā minētā galīgā ziņojuma iesniegšanas laikā incidents vēl notiek – progresa ziņojumu tajā laikā, savukārt viena mēneša laikā pēc rīkošanās incidenta sakarā –– galīgo ziņojumu. |
3. Savienības vienība bez liekas kavēšanās un katrā ziņā 24 stundu laikā pēc tam, kad uzzinājusi par būtisku incidentu, informē visus relevantos 17. panta 1. punktā minētos partnerus dalībvalstī, kurā tā atrodas, par to, ka ir noticis būtisks incidents.
4. Savienības vienības cita starpā ziņo jebkādu informāciju, kas CERT-EU dod iespēju noteikt jebkādu būtiska incidenta pārvienību ietekmi, ietekmi uz uzņēmēju dalībvalsti vai pārrobežu ietekmi. Neskarot 12. pantu, paziņošana pati par sevi neuzliek Savienības vienībai lielāku atbildību.
5. Attiecīgā gadījumā Savienības vienības skarto tīklu un informācijas sistēmu vai citu IKT vides komponentu lietotājiem, kurus potenciāli var skart būtisks incidents vai būtisks kiberdrauds un kuriem attiecīga gadījumā jāveic mitigācijas pasākumi, bez liekas kavēšanās paziņo par jebkādiem pasākumiem vai korektīvajām darbībām, ko var veikt, reaģējot uz minēto incidentu vai draudu. Attiecīgā gadījumā Savienības vienības informē minētos lietotājus par pašu būtisko kiberdraudu.
6. ja būtisks incidents vai būtisks kiberdrauds skar Savienības vienības tādas IKT vides tīklu un informācijas sistēmu vai komponentu, kas ir ar nolūku savienota ar citas Savienības vienības IKT vidi, CERT-EU izdod relevantu kiberdrošības brīdinājumu.
7. Savienības vienības pēc CERT-EU pieprasījuma un bez liekas kavēšanās sniedz tai digitālo informāciju, kas radusies attiecīgajos incidentos iesaistīto elektronisko ierīču izmantošanā. CERT-EU var sīkāk precizēt, kuri šādas informācijas veidi tai ir vajadzīgi situācijas apzināšanai un reaģēšanai uz incidentiem.
8. CERT-EU ik trīs mēnešus iesniedz IKP, ENISA, ES INTCEN un CSIRT tīklam kopsavilkuma ziņojumu, kas ietver anonimizētus un apkopotus datus par būtiskiem incidentiem, incidentiem, kiberdraudiem, gandrīz notikušiem notikumiem un ievainojamībām saskaņā ar 20. pantu un būtiskiem incidentiem, kas paziņoti saskaņā ar šā panta 2. punktu. Kopsavilkuma ziņojums ir ieguldījums divgadu ziņojumā par kiberdrošības stāvokli Savienībā, ko pieņem saskaņā ar Direktīvas (ES) 2022/2555 18. pantu.
9. Līdz 2024. gada 8. jūlijam IKP izdod vadlīnijas vai ieteikumus, kur sīkāk precizēta šajā pantā paredzētās ziņošanas kārtība, formāts un saturs. Sagatavojot šādas vadlīnijas vai ieteikumus, IKP ņem vērā visus īstenošanas aktus, kas pieņemti saskaņā ar Direktīvas (ES) 2022/2555 23. panta 11. punktu un nosaka informācijas veidu, formātu un paziņošanas procedūru. CERT-EU izplata attiecīgo tehnisko informāciju, lai Savienības vienības varētu preventīvi atklāt incidentus, reaģēt uz tiem vai veikt mitigācijas pasākumus.
10. Šajā pantā noteiktie ziņošanas pienākumi neattiecas uz:
| a) | ESKI; |
| b) | informāciju, kuras tālāka izplatīšana ir izslēgta ar redzamu marķējumu, ja vien tās kopīgošana ar CERT-EU nav skaidri atļauta. |
whereas