keyboard_tab Cyber Resilience Act 2023/2841 LV
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 21. pants Ziņošanas pienākumi
- 1 25. pants Pārskatīšana
- 26. pants Stāšanās spēkā
I NODAĻA
VISPĀRĪGI NOTEIKUMI
II NODAĻA
VIENĀDA AUGSTA KIBERDROŠĪBAS LĪMEŅA PANĀKŠANAS PASĀKUMI
III NODAĻA
IESTĀŽU KIBERDROŠĪBAS PADOME
IV NODAĻA
CERT-EU
V NODAĻA
SADARBĪBA UN ZIŅOŠANAS PIENĀKUMI
VI NODAĻA
NOBEIGUMA NOTEIKUMI
- savienības 9
- cert-eu 9
- vienības 9
- pēc 8
- gadījumā 8
- incidentu 6
- ziņojumu 6
- laikā 6
- ietekmi 6
- informācijas 5
- informāciju 5
- incidenta 5
- būtisks 5
- liekas 5
- kavēšanās 5
- savienības 4
- incidents 4
- attiecīgā 4
- būtisko 4
- līdz 4
- gada 4
- incidentiem 4
- saskaņā 4
- arī 4
- šīs 4
- regulas 4
- pārvienību 3
- pārrobežu 3
- janvārim 3
- kurā 3
- minēto 3
- eiropas 3
- ziņo 3
- mitigācijas 3
- komisija 3
- stundu 3
- tīklu 3
- iesniedz 3
- ieteikumus 3
- būtisku 3
- ziņošanas 3
- būtiskiem 2
- veidu 2
- ziņojumā 2
- izdod 2
- draudu 2
- kiberdrošības 2
- iesniegšanas 2
- komisijai 2
- tajā 2
21. pants
Ziņošanas pienākumi
1. Incidentu uzskata par būtisku, ja:
| a) | tas ir izraisījis vai spēj izraisīt smagus attiecīgās Savienības vienības funkcionēšanas traucējumus vai finansiālus zaudējumus; |
| b) | tas ir ietekmējis vai spēj ietekmēt citas fiziskas vai juridiskas personas, radot būtisku materiālu vai nemateriālu kaitējumu. |
2. Savienības vienības iesniedz CERT-EU:
| a) | bez liekas kavēšanās un katrā ziņā 24 stundu laikā no brīža, kad uzzinājušas par būtisko incidentu, – agrīnu brīdinājumu, kurā attiecīgā gadījumā norāda, ka būtisko incidentu ir izraisījusi, domājams, nelikumīga vai ļaunprātīga rīcība un vai tam varētu būt pārvienību vai pārrobežu ietekme; |
| b) | bez liekas kavēšanās un jebkurā gadījumā 72 stundu laikā pēc tam, kad uzzinājušas par būtisko incidentu, – paziņojumu par incidentu, kurā attiecīgā gadījumā atjaunina a) apakšpunktā minēto informāciju un norāda būtiskā incidenta sākotnējo novērtējumu, tostarp tā smagumu un ietekmi, kā arī, ja pieejami, aizskāruma rādītājus; |
| c) | pēc CERT-EU pieprasījuma – starpposma ziņojumu par relevantajiem statusa atjauninājumiem; |
| d) | galīgu ziņojumu ne vēlāk kā mēnesi pēc b) apakšpunktā minētā paziņojuma par incidentu iesniegšanas, un tajā iekļauj:
|
| e) | ja šā punkta d) apakšpunktā minētā galīgā ziņojuma iesniegšanas laikā incidents vēl notiek – progresa ziņojumu tajā laikā, savukārt viena mēneša laikā pēc rīkošanās incidenta sakarā –– galīgo ziņojumu. |
3. Savienības vienība bez liekas kavēšanās un katrā ziņā 24 stundu laikā pēc tam, kad uzzinājusi par būtisku incidentu, informē visus relevantos 17. panta 1. punktā minētos partnerus dalībvalstī, kurā tā atrodas, par to, ka ir noticis būtisks incidents.
4. Savienības vienības cita starpā ziņo jebkādu informāciju, kas CERT-EU dod iespēju noteikt jebkādu būtiska incidenta pārvienību ietekmi, ietekmi uz uzņēmēju dalībvalsti vai pārrobežu ietekmi. Neskarot 12. pantu, paziņošana pati par sevi neuzliek Savienības vienībai lielāku atbildību.
5. Attiecīgā gadījumā Savienības vienības skarto tīklu un informācijas sistēmu vai citu IKT vides komponentu lietotājiem, kurus potenciāli var skart būtisks incidents vai būtisks kiberdrauds un kuriem attiecīga gadījumā jāveic mitigācijas pasākumi, bez liekas kavēšanās paziņo par jebkādiem pasākumiem vai korektīvajām darbībām, ko var veikt, reaģējot uz minēto incidentu vai draudu. Attiecīgā gadījumā Savienības vienības informē minētos lietotājus par pašu būtisko kiberdraudu.
6. Ja būtisks incidents vai būtisks kiberdrauds skar Savienības vienības tādas IKT vides tīklu un informācijas sistēmu vai komponentu, kas ir ar nolūku savienota ar citas Savienības vienības IKT vidi, CERT-EU izdod relevantu kiberdrošības brīdinājumu.
7. Savienības vienības pēc CERT-EU pieprasījuma un bez liekas kavēšanās sniedz tai digitālo informāciju, kas radusies attiecīgajos incidentos iesaistīto elektronisko ierīču izmantošanā. CERT-EU var sīkāk precizēt, kuri šādas informācijas veidi tai ir vajadzīgi situācijas apzināšanai un reaģēšanai uz incidentiem.
8. CERT-EU ik trīs mēnešus iesniedz IKP, ENISA, ES INTCEN un CSIRT tīklam kopsavilkuma ziņojumu, kas ietver anonimizētus un apkopotus datus par būtiskiem incidentiem, incidentiem, kiberdraudiem, gandrīz notikušiem notikumiem un ievainojamībām saskaņā ar 20. pantu un būtiskiem incidentiem, kas paziņoti saskaņā ar šā panta 2. punktu. Kopsavilkuma ziņojums ir ieguldījums divgadu ziņojumā par kiberdrošības stāvokli Savienībā, ko pieņem saskaņā ar Direktīvas (ES) 2022/2555 18. pantu.
9. Līdz 2024. gada 8. jūlijam IKP izdod vadlīnijas vai ieteikumus, kur sīkāk precizēta šajā pantā paredzētās ziņošanas kārtība, formāts un saturs. Sagatavojot šādas vadlīnijas vai ieteikumus, IKP ņem vērā visus īstenošanas aktus, kas pieņemti saskaņā ar Direktīvas (ES) 2022/2555 23. panta 11. punktu un nosaka informācijas veidu, formātu un paziņošanas procedūru. CERT-EU izplata attiecīgo tehnisko informāciju, lai Savienības vienības varētu preventīvi atklāt incidentus, reaģēt uz tiem vai veikt mitigācijas pasākumus.
10. Šajā pantā noteiktie ziņošanas pienākumi neattiecas uz:
| a) | ESKI; |
| b) | informāciju, kuras tālāka izplatīšana ir izslēgta ar redzamu marķējumu, ja vien tās kopīgošana ar CERT-EU nav skaidri atļauta. |
25. pants
Pārskatīšana
1. Līdz 2025. gada 8. janvārim un pēc tam ik gadu IKP ar CERT-EU palīdzību ziņo Komisijai par šīs regulas īstenošanu. IKP var arī sniegt Komisijai ieteikumus pārskatīt šo regulu.
2. Līdz 2027. gada 8. janvārim un pēc tam ik divus gadus Komisija novērtē šīs regulas īstenošanu un stratēģiskajā un operacionālajā līmenī gūto pieredzi un ziņo par to Eiropas Parlamentam un Padomei.
Šī punkta pirmajā daļā minētajā ziņojumā ietver 16. panta 1. punktā minēto pārskatīšanu par iespēju CERT-EU izveidot kā Savienības biroju.
3. Līdz 2029. gada 8. janvārim Komisija izvērtē šīs regulas darbību un iesniedz ziņojumu Eiropas Parlamentam, Padomei, Eiropas Ekonomikas un sociālo lietu komitejai un Reģionu komitejai. Komisija arī izvērtē, vai ir lietderīgi šīs regulas darbības jomā iekļaut tīklu un informācijas sistēmas, kuras rīkojas ar ESKI, ņemot vērā citus Savienības tiesību aktus, kas minētajām sistēmām piemērojami. Ziņojumam vajadzības gadījumā pievieno leģislatīva akta priekšlikumu.
whereas