keyboard_tab Cyber Resilience Act 2023/2841 LV
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 9. pants Kiberdrošības plāni
- 8 11. pants IKP uzdevumi
- 1 15. pants
- 1 17. pants
- 1 18. pants
- 1 22. pants Reaģēšanas uz incidentu koordinēšana un sadarbība
I NODAĻA
VISPĀRĪGI NOTEIKUMI
II NODAĻA
VIENĀDA AUGSTA KIBERDROŠĪBAS LĪMEŅA PANĀKŠANAS PASĀKUMI
III NODAĻA
IESTĀŽU KIBERDROŠĪBAS PADOME
IV NODAĻA
CERT-EU
V NODAĻA
SADARBĪBA UN ZIŅOŠANAS PIENĀKUMI
VI NODAĻA
NOBEIGUMA NOTEIKUMI
- cert-eu 54
- savienības 39
- kiberdrošības 28
- saskaņā 16
- vienību 14
- incidentu 14
- partneriem 13
- informāciju 12
- vadītājs 11
- gadījumā 11
- vienības 11
- apstiprina 11
- arī 10
- pakalpojumu 10
- vienībām 8
- līmeņa 8
- plānu 8
- pantu 8
- pamata 7
- cert-eu 7
- priekšlikuma 7
- pārvaldības 7
- attiecībā 7
- tostarp 7
- direktīvas 7
- vadītāja 6
- ziņojumus 6
- attiecīgā 6
- pants 6
- vienība 6
- vērā 6
- incidentiem 6
- informācijas 6
- piemēram 5
- gada 5
- incidenta 5
- ņemot 5
- informē 5
- kavēšanās 5
- minēto 5
- finanšu 5
- darba 4
- raksturojošu 4
- gandrīz 4
- sadarbību 4
- uzrauga 4
- regulas 4
- īstenošanu 4
- atbalsta 4
- vienošanos 4
9. pants
Kiberdrošības plāni
1. Pēc saskaņā ar 7. pantu veiktā kiberdrošības gatavības novērtējuma pabeigšanas un ņemot vērā aktīvus un kiberdrošības riskus, kas konstatēti satvarā, kā arī kiberdrošības riska pārvaldības pasākumos, kuri veikti saskaņā ar 8. pantu, katras Savienības vienības visaugstākā līmeņa vadība bez liekas kavēšanās un katrā ziņā līdz 2026. gada 8. janvārim apstiprina kiberdrošības plānu. Kiberdrošības plāna mērķis ir palielināt Savienības vienības vispārējo kiberdrošību, un tādējādi tas sekmē vienāda augsta kiberdrošības līmeņa uzlabošanu Savienības vienībās. Kiberdrošības plānā iekļauj vismaz kiberdrošības riska pārvaldības pasākumus, kas veikti saskaņā ar 8. pantu. Kiberdrošības plānu pārskata ik divus gadus vai vajadzības gadījumā biežāk pēc kiberdrošības gatavības novērtējumiem, ko veic saskaņā ar 7. pantu, vai katras būtiskas satvara pārskatīšanas.
2. Kiberdrošības plānā iekļauj Savienības vienības kiberkrīžu pārvaldības plānu lieliem incidentiem.
3. Savienības vienība savu pabeigto kiberdrošības plānu iesniedz saskaņā ar 10. pantu izveidotajai Iestāžu kiberdrošības padomei.
III NODAĻA
IESTĀŽU KIBERDROŠĪBAS PADOME
11. pants
IKP uzdevumi
Pildot savus pienākumus, IKP jo īpaši:
| a) | sniedz norādes CERT-EU vadītājam; |
| b) | rezultatīvi uzrauga un pārrauga šīs regulas īstenošanu un atbalsta Savienības vienības to kiberdrošības stiprināšanā, attiecīgā gadījumā arī pieprasot Savienības vienībām un CERT-EU ad hoc ziņojumus; |
| c) | pēc stratēģiskām diskusijām pieņem daudzgadu stratēģiju kiberdrošības līmeņa paaugstināšanai Savienības vienībās un regulāri un vismaz ik piecus gadus novērtē to un vajadzības gadījumā to groza; |
| d) | nosaka metodiku un organizatoriskos aspektus brīvprātīgai salīdzinošajai izvērtēšanai, ko veic Savienības vienības, lai mācītos no kopīgas pieredzes, stiprinātu savstarpējo uzticēšanos, panāktu vienādu augstu kiberdrošības līmeni, kā arī uzlabotu Savienības vienību kiberdrošības spējas, nodrošinot, ka šādu salīdzinošo izvērtēšanu veic kiberdrošības eksperti, kurus iecēlusi Savienības vienība, kas nav vērtējamā Savienības vienība, un ka metodika ir balstīta uz Direktīvas (ES) 2022/2555 19. pantu un attiecīgā gadījumā ir pielāgota Savienības vienībām; |
| e) | uz CERT-EU vadītāja priekšlikuma pamata apstiprina CERT-EU gada darba programmu un uzrauga tās īstenošanu; |
| f) | uz CERT-EU vadītāja priekšlikuma pamata apstiprina CERT-EU pakalpojumu katalogu un visus tā turpmākos atjauninājumus; |
| g) | uz CERT-EU vadītāja priekšlikuma pamata apstiprina CERT-EU darbību ieņēmumu un izdevumu gada finanšu plānu, kas ietver arī personāla sastāvu; |
| h) | uz CERT-EU vadītāja priekšlikuma pamata apstiprina pakalpojumu līmeņa vienošanos nosacījumus; |
| i) | izskata un apstiprina CERT-EU vadītāja sagatavoto gada pārskatu par CERT-EU darbībām un līdzekļu pārvaldību; |
| j) | apstiprina un uzrauga CERT-EU galvenos snieguma rādītājus (KPI), kas noteikti uz CERT-EU vadītāja priekšlikuma pamata; |
| k) | apstiprina sadarbības kārtību, pakalpojumu līmeņa vienošanās vai līgumus starp CERT-EU un citām vienībām atbilstoši 18. pantam; |
| l) | pieņem vadlīnijas un ieteikumus, balstoties uz CERT-EU priekšlikumu saskaņā ar 14. pantu, un uzdod CERT-EU izdot, atsaukt vai grozīt vadlīniju vai ieteikumu priekšlikumu vai aicinājumu rīkoties; |
| m) | veido tehniskās padomdevējas grupas ar konkrētiem uzdevumiem palīdzēt veikt IKP darbu, apstiprina to darba uzdevumus un ieceļ to attiecīgos priekšsēdētājus; |
| n) | saņem un novērtē dokumentus un ziņojumus, ko Savienības vienības iesniegušas saskaņā ar šo regulu, piemēram, kiberdrošības gatavības novērtējumus; |
| o) | veicina neformālas grupas izveidi, kurā ietilpst vienību vietējie kiberdrošības speciālisti, kuru atbalsta ENISA un kuras mērķis ir apmainīties ar paraugpraksēm un informāciju, kas saistīta ar šīs regulas īstenošanu; |
| p) | ņemot vērā CERT-EU sniegto informāciju par identificētajiem kiberdrošības riskiem un gūto pieredzi, uzrauga Savienības vienību IKT vižu savienotības pasākumu pietiekamību un konsultē par iespējamiem uzlabojumiem; |
| q) | izstrādā kiberkrīžu pārvaldības plānu, lai operacionālā līmenī atbalstītu tādu lielu incidentu koordinētu pārvaldību, kas ietekmē Savienības vienības, un veicinātu regulāru apmaiņu ar relevantu informāciju, jo īpaši par lielu incidentu ietekmi un smagumu un iespējamiem veidiem, kā mazināt to sekas; |
| r) | koordinē 9. panta 2. punktā minēto individuālo Savienības vienību kiberkrīžu pārvaldības plānu pieņemšanu; |
| s) | ņemot vērā rezultātus, ko devuši Direktīvas (ES) 2022/2555 22. pantā minētie Savienības līmeņa koordinētie kritisko piegādes ķēžu riska novērtējumi, pieņem ieteikumus par 8. panta 2. punkta pirmās daļas m) apakšpunktā minēto piegādes ķēdes drošību, lai palīdzētu Savienības vienībām pieņemt rezultatīvus un samērīgus kiberdrošības riska pārvaldības pasākumus. |
15. pants
1. Komisija pēc divu trešdaļu IKP locekļu vairākuma apstiprinājuma saņemšanas ieceļ CERT-EU vadītāju. Visos iecelšanas procedūras posmos apspriežas ar IKP, jo īpaši attiecībā uz paziņojuma par vakanci sagatavošanu, pieteikumu izskatīšanu un atlases komitejas iecelšanu šai amata vietai. Atlases procedūra, tostarp galīgo to kandidātu saraksts, no kuru vidus jāieceļ CERT-EU vadītājs, nodrošina taisnīgu katra dzimuma pārstāvību, ņemot vērā iesniegtos pieteikumus.
2. CERT-EU vadītājs ir atbildīgs par pareizu CERT-EU darbību un IKP vadībā darbojas savas kompetences ietvaros. CERT-EU vadītājs regulāri ziņo IKP priekšsēdētājam un pēc IKP pieprasījuma iesniedz tai ad hoc ziņojumus.
3. CERT-EU vadītājs palīdz atbildīgajam deleģētajam kredītrīkotājam sagatavot gada darbības pārskatu, kas satur finanšu un vadības informāciju, tostarp kontroļu rezultātus, un ko izstrādā saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES, Euratom) 2018/1046 (9) 74. panta 9. punktu, un regulāri ziņo deleģētajam kredītrīkotājam par to pasākumu īstenošanu, attiecībā uz kuriem CERT-EU vadītājam pastarpināti deleģētas pilnvaras.
4. CERT-EU vadītājs ik gadu sagatavo savu darbību administratīvo ieņēmumu un izdevumu finanšu plānu, gada darba programmas priekšlikumu, CERT-EU pakalpojumu kataloga priekšlikumu un pārskatīto pakalpojumu kataloga redakciju priekšlikumus, priekšlikumus par pakalpojumu līmeņa vienošanos kārtību un priekšlikumus par CERT-EU KPI, kas IKP jāapstiprina saskaņā ar 11. pantu. Pārskatot CERT-EU pakalpojumu katalogā iekļauto pakalpojumu sarakstu, CERT-EU vadītājs ņem vērā CERT-EU piešķirtos resursus.
5. CERT-EU vadītājs vismaz ik gadu iesniedz IKP un IKP priekšsēdētājam ziņojumus par CERT-EU darbībām un sniegumu pārskata periodā, tostarp par budžeta izpildi, pakalpojumu līmeņa vienošanos un noslēgtajiem rakstiskajiem nolīgumiem, sadarbību ar partneriem un darbinieku komandējumiem, tostarp 11. pantā minētos ziņojumus. Minētajos ziņojumos iekļauj nākamā perioda darba programmu, ieņēmumu un izdevumu finanšu plānojumu, tostarp personāla sastāvu, CERT-EU pakalpojumu kataloga plānoto atjaunināšanu un novērtējumu par šādu atjauninājumu paredzamo ietekmi uz finanšu resursiem un cilvēkresursiem.
17. pants
1. CERT-EU bez liekas kavēšanās sadarbojas un apmainās ar informāciju ar partneriem dalībvalstīs, jo īpaši CSIRT, kas ieceltas vai izveidotas saskaņā ar Direktīvas (ES) 2022/2555 10. pantu, vai attiecīgā gadījumā kompetentajām iestādēm un vienotajiem kontaktpunktiem, kas iecelti vai izveidoti saskaņā ar minētās direktīvas 8. pantu, attiecībā uz incidentiem, kiberdraudiem, ievainojamībām, gandrīz notikušiem notikumiem, iespējamajiem pretpasākumiem, kā arī paraugpraksēm un attiecībā uz visiem jautājumiem, kas ir relevanti Savienības vienību IKT vižu aizsardzībai, arī izmantojot Direktīvas (ES) 2022/2555 15. pantā minēto CSIRT tīklu. CERT-EU atbalsta Komisiju saskaņā ar Direktīvas (ES) 2022/2555 16. pantu izveidotajā EU-CyCLONe koordinētas lielu kiberdrošības incidentu un krīžu pārvaldības jomā.
2. Kad CERT-EU uzzina par būtisku incidentu, kas noticis kādas dalībvalsts teritorijā, tā bez kavēšanās saskaņā ar 1. punktu ziņo visiem relevantajiem partneriem minētajā dalībvalstī.
3. Ar noteikumu, ka personas dati tiek aizsargāti saskaņā ar piemērojamajiem Savienības datu aizsardzības tiesību aktiem, CERT-EU bez nepamatotas kavēšanās bez skartās Savienības vienības atļaujas apmainās ar attiecīgo incidentu raksturojošu informāciju ar partneriem dalībvalstīs, kas ir relevanta nolūkā atvieglot līdzīgu kiberdraudu vai incidentu atklāšanu vai veicināt incidenta analīzi. CERT-EU apmainās ar incidentu raksturojošu informāciju, kas atklāj incidenta mērķa identitāti, tikai kādā no šādiem gadījumiem:
| a) | skartā Savienības vienība tam piekrīt; |
| b) | skartā Savienības vienība nesniedz a) apakšpunktā paredzēto piekrišanu, bet skartās Savienības vienības identitātes izpaušana palielinātu varbūtību, ka tiks novērsti vai mitigēti incidenti citviet; |
| c) | skartā Savienības vienība jau ir publiski izpaudusi, ka tā ir skarta. |
Lēmumus apmainīties ar incidentu raksturojošu informāciju, kas izpauž incidenta mērķa identitāti saskaņā ar pirmās daļas b) apakšpunktu, apstiprina CERT-EU vadītājs. Pirms šāda lēmuma izdošanas CERT-EU rakstiski sazinās ar skarto Savienības vienību, skaidri paskaidrojot, kā tās identitātes izpaušana palīdzētu novērst vai mitigēt incidentus citviet. CERT-EU vadītājs sniedz paskaidrojumu un skaidri lūdz Savienības vienībai noteiktā laikā norādīt, vai tā piekrīt. CERT-EU vadītājs informē Savienības vienību arī par to, ka, ņemot vērā sniegto paskaidrojumu, viņš patur tiesības informāciju izpaust pat bez piekrišanas. Pirms informācijas izpaušanas informē skarto Savienības vienību.
18. pants
1. Attiecībā uz rīkiem un metodēm, piemēram, paņēmieniem, taktiku, procedūrām un paraugpraksēm, kā arī kiberdraudiem un ievainojamībām CERT-EU var sadarboties ar partneriem Savienībā, kas nav 17. pantā minētie partneri un uz ko attiecas Savienības kiberdrošības prasības, tostarp nozarspecifiskiem industrijas partneriem. Lai sadarbotos ar šādiem partneriem, CERT-EU katrā atsevišķā gadījumā iepriekš saņem IKP apstiprinājumu. Ja CERT-EU iedibina sadarbību ar šādiem partneriem, tā informē visus relevantos 17. panta 1. punktā minētos partnerus tajā dalībvalstī, kurā partneris atrodas. Attiecīgā un piemērotā gadījumā šādu sadarbību un tās nosacījumus, arī attiecībā uz kiberdrošību, datu aizsardzību un informācijas apstrādi, nosaka ar īpašiem konfidencialitātes pasākumiem, piemēram, līgumu vai administratīvu vienošanos. Konfidencialitātes pasākumi IKP nav iepriekš jāapstiprina, tomēr IKP priekšsēdētāju par tiem informē. Ja ir steidzama un neatliekama vajadzība apmainīties ar kiberdrošības informāciju Savienības vienību vai citas puses interesēs, CERT-EU var to darīt ar vienību, kuras konkrētā kompetence, spējas un lietpratība ir pamatoti nepieciešamas, lai palīdzētu risināt šādu steidzamu un neatliekamu vajadzību, pat ja CERT-EU ar minēto vienību nav vienojusies par konfidencialitāti. Šādos gadījumos CERT-EU nekavējoties informē IKP priekšsēdētāju un ziņo IKP, izmantojot regulārus ziņojumus vai sanāksmes.
2. CERT-EU var sadarboties ar partneriem, piemēram, komercuzņēmumiem, tostarp nozarspecifiskām industrijas vienībām, starptautiskām organizācijām, trešo valstu nacionālām vienībām un atsevišķiem ekspertiem, lai vāktu informāciju par vispārējiem un konkrētiem kiberdraudiem, gandrīz notikušiem notikumiem, ievainojamībām un iespējamiem pretpasākumiem. Lai plašāk sadarbotos ar šādiem partneriem, CERT-EU katrā atsevišķā gadījumā iepriekš saņem IKP apstiprinājumu.
3. Ar incidenta skartās Savienības vienības piekrišanu un ar noteikumu, ka ir noslēgta informācijas neizpaušanas vienošanās vai līgums ar relevanto partneri, CERT-EU var sniegt incidentu raksturojošu informāciju partneriem, kas minēti 1. un 2. punktā, vienīgi nolūkā no tiem saņemt palīdzību tās analīzē.
V NODAĻA
SADARBĪBA UN ZIŅOŠANAS PIENĀKUMI
22. pants
Reaģēšanas uz incidentu koordinēšana un sadarbība
1. Rīkojoties kā kiberdrošības informācijas apmaiņas un reaģēšanas uz incidentiem koordinēšanas centrs, CERT-EU atvieglo informācijas apmaiņu par incidentiem, kiberdraudiem, ievainojamībām un gandrīz notikušiem notikumiem:
| a) | Savienības vienību vidū; |
| b) | regulas 17. un 18. pantā minēto partneru vidū. |
2. CERT-EU attiecīgā gadījumā ciešā sadarbībā ar ENISA veicina koordināciju starp Savienības vienībām attiecībā uz reaģēšanu uz incidentiem, tostarp:
| a) | ieguldījumu konsekventā ārējā komunikācijā; |
| b) | savstarpējo atbalstu, piemēram, Savienības vienībām relevantas informācijas kopīgošanu vai palīdzības sniegšanu, attiecīgā gadījumā tieši uz vietas; |
| c) | optimālu operacionālo resursu izmantošanu; |
| d) | koordinēšanu ar citiem krīzes reaģēšanas mehānismiem Savienības līmenī. |
3. CERT-EU ciešā sadarbībā ar ENISA atbalsta Savienības vienības attiecībā uz situācijas apzināšanos tādos aspektos kā incidenti, kiberdraudi, ievainojamības un gandrīz notikuši notikumi, kā arī relevanto kiberdrošības jomas jaunumu kopīgošanu.
4. Līdz 2025. gada 8. janvārim IKP uz CERT-EU priekšlikuma pamata pieņem vadlīnijas vai ieteikumus par reaģēšanas uz incidentiem koordinēšanu un sadarbību būtisku incidentu gadījumā. Ja ir aizdomas par incidenta noziedzīgo raksturu, CERT-EU bez liekas kavēšanās sniedz padomus, kā par šo incidentu ziņot tiesībaizsardzības iestādēm.
5. Pēc īpaša dalībvalsts pieprasījuma un ar attiecīgo Savienības vienību piekrišanu CERT-EU var aicināt ekspertus no 23. panta 4. punktā minētā saraksta palīdzēt reaģēt uz lielu incidentu, kam ir ietekme minētajā dalībvalstī, vai plašapmēra kiberdrošības incidentu saskaņā ar Direktīvas (ES) 2022/2555 15. panta 3. punkta g) apakšpunktu. Konkrētus noteikumus par piekļuvi Savienības vienību tehniskajiem ekspertiem un viņu izmantošanu uz CERT-EU priekšlikuma pamata apstiprina IKP.
whereas