keyboard_tab Cyber Resilience Act 2023/2841 LV

1.   Ar šo tiek izveidota Iestāžu kiberdrošības padome (IKP).

2.   IKP ziņā ir:

3.   IKP sastāvā ir:

IKP pārstāvētās Savienības vienības tiecas iecelto pārstāvju vidū nodrošināt dzimumu līdzsvaru.

4.   IKP locekļiem var palīdzēt aizvietotājs. Citus 3. punktā minēto Savienības vienību vai citu Savienības vienību pārstāvjus priekšsēdētājs var uzaicināt piedalīties IKP sanāksmēs bez balsošanas tiesībām.

5.   CERT-EU vadītājs un saskaņā ar attiecīgi direktīvas (ES) 2022/2555 14., 15. un 16. pantu izveidotās sadarbības grupas, CSIRT tīkla un EU-CyCLONe priekšsēdētāji vai to aizstājēji var piedalīties IKP sanāksmēs kā novērotāji. Ārkārtas gadījumos IKP saskaņā ar savu iekšējo reglamentu var nolemt citādi.

6.   IKP pieņem iekšējo reglamentu.

7.   Saskaņā ar iekšējo reglamentu IKP no visu locekļu vidus uz trim gadiem ieceļ priekšsēdētāju. Priekšsēdētāja aizvietotājs kļūst par pilntiesīgu IKP locekli uz tādu pašu laika periodu.

8.   IKP tiekas vismaz trīs reizes gadā pēc tās priekšsēdētāja iniciatīvas, pēc CERT-EU pieprasījuma vai pēc kāda tās locekļa lūguma.

9.   Katram IKP loceklim ir viena balss. IKP lēmumus pieņem ar vienkāršu balsu vairākumu, izņemot gadījumos, kad šajā regulā paredzēts citādi. IKP priekšsēdētājs nebalso, ja vien nav vienāds balsu sadalījums – tādā gadījumā priekšsēdētāja balss ir izšķirošā.

10.   IKP var izmantot vienkāršotu rakstisku procedūru, ko sāk saskaņā ar tās iekšējo reglamentu. Minētajā procedūrā relevantais lēmums tiek uzskatīts par apstiprinātu priekšsēdētāja noteiktajā periodā, ja vien kāds loceklis nav iebildis.

11.   IKP sekretariātu nodrošina Komisija, un tas atskaitās IKP priekšsēdētājam.

12.   ESAT izvirzītie pārstāvji par IKP lēmumiem informē ESAT locekļus. Ikvienam ESAT loceklim ir tiesības informēt minētos pārstāvjus vai IKP priekšsēdētāju par jebkuru jautājumu, ko tas uzskata par tādu, kas būtu jādara zināms IKP.

13.   IKP var izveidot izpildkomiteju, kas tai palīdz veikt tās darbu, kā arī deleģēt izpildkomitejai dažus savus uzdevumus un pilnvaras. IKP pieņem izpildkomitejas reglamentu, kas nosaka tās uzdevumus un pilnvaras, kā arī locekļu pilnvaru laiku.

14.   Līdz 2025. gada 8. janvārim un pēc tam ik gadu IKP iesniedz Eiropas Parlamentam un Padomei ziņojumu, kurā sīki izklāstīts progress, kas panākts šīs regulas īstenošanā, un jo īpaši norādīts, cik lielā mērā CERT-EU sadarbojas ar saviem partneriem katrā dalībvalstī. Minētais ziņojums ir ieguldījums divgadu ziņojumā par kiberdrošības stāvokli Savienībā, ko pieņem saskaņā ar direktīvas (ES) 2022/2555 18. pantu.

1.   CERT-EU misija ir dot ieguldījumu Savienības vienību neklasificētās IKT vides drošībā, sniedzot tām padomus par kiberdrošību, palīdzot novērst, atklāt, risināt, mitigēt incidentus, reaģēt uz tiem un atgūties no tiem, kā arī rīkojoties kā to kiberdrošības informācijas apmaiņas un reaģēšanas uz incidentiem koordinēšanas centram.

2.   CERT-EU vāc, pārvalda, analizē un ar Savienības vienībām kopīgo informāciju par kiberdraudiem, ievainojamībām un incidentiem neklasificētā IKT infrastruktūrā. CERT-EU koordinē reaģēšanu uz incidentiem starpiestāžu un Savienības vienību līmenī, citstarp nodrošinot specializētu operacionālo palīdzību vai koordinējot tās nodrošināšanu.

3.   Lai palīdzētu Savienības vienībām, CERT-EU veic šādus uzdevumus:

Šā punkta pirmās daļas e) apakšpunktā minēto informāciju attiecīgos un piemērotos gadījumos un ievērojot pienācīgus konfidencialitātes nosacījumus, kopīgo ar IKP, CSIRT tīklu un Eiropas Savienības Izlūkošanas un situāciju centru (EU INTCEN).

4.    CERT-EU var saskaņā ar attiecīgi 17. vai 18. pantu sadarboties ar relevantajām kiberdrošības kopienām Savienībā un tās dalībvalstīs, arī šādās jomās:

5.   CERT-EU savu kompetenču robežās iesaistās strukturētā sadarbībā ar ENISA attiecībā uz spēju veidošanu, operacionālo sadarbību un kiberdraudu ilgtermiņa stratēģisko analīzi saskaņā ar Regulu (ES) 2019/881. CERT-EU var sadarboties un apmainīties ar informāciju ar Eiropola Eiropas Kibernoziedzības apkarošanas centru.

6.    CERT-EU var sniegt tālāk norādītos pakalpojumus, kas nav aprakstīti pakalpojumu katalogā (maksas pakalpojumi):

Attiecībā uz pirmās daļas d) apakšpunktu CERT-EU var izņēmuma kārtā slēgt pakalpojumu līmeņa vienošanās ar vienībām, kas nav Savienības vienības, ja IKP tam iepriekš piekritusi.

7.   CERT-EU organizē kiberdrošības mācības, var piedalīties tajās vai ieteikt piedalīties esošās mācībās attiecīgā gadījumā ciešā sadarbībā ar ENISA, lai pārbaudītu Savienības vienību kiberdrošības līmeni.

8.   CERT-EU var sniegt palīdzību Savienības vienībām attiecībā uz incidentiem tīklu un informācijas sistēmās, kas rīkojas ar ESKI, ja to nepārprotami pieprasa attiecīgās Savienības vienības saskaņā ar savām attiecīgajām procedūrām. CERT-EU palīdzības sniegšana saskaņā ar šo punktu neskar piemērojamos noteikumus par klasificētas informācijas aizsardzību.

9.   CERT-EU informē Savienības vienības par savām incidentu risināšanas procedūrām un procesiem.

10.   CERT-EU, ievērojot augstu konfidencialitātes un uzticamības līmeni un izmantojot pienācīgos sadarbības mehānismus un ziņošanas kārtību, sniedz relevantu un anonimizētu informāciju par lieliem incidentiem un to, kā tie risināti. Minēto informāciju iekļauj 10. panta 14. punktā minētajā ziņojumā.

11.   CERT-EU sadarbībā ar EDAU atbalsta attiecīgās Savienības vienības, kad tās risina incidentus, kuru rezultātā notiek personas datu aizsardzības pārkāpumi, neskarot kompetenci un uzdevumus, kas EDAU ir kā uzraudzības iestādei saskaņā ar Regulu (ES) 2018/1725.

12.   Ja Savienības vienību rīcībpolitikas nodaļas to skaidri lūdz, CERT-EU var sniegt tehniskus padomus vai tehnisku ieguldījumu relevantos rīcībpolitiskos jautājumos.

1.   CERT-EU bez liekas kavēšanās sadarbojas un apmainās ar informāciju ar partneriem dalībvalstīs, jo īpaši CSIRT, kas ieceltas vai izveidotas saskaņā ar direktīvas (ES) 2022/2555 10. pantu, vai attiecīgā gadījumā kompetentajām iestādēm un vienotajiem kontaktpunktiem, kas iecelti vai izveidoti saskaņā ar minētās direktīvas 8. pantu, attiecībā uz incidentiem, kiberdraudiem, ievainojamībām, gandrīz notikušiem notikumiem, iespējamajiem pretpasākumiem, kā arī paraugpraksēm un attiecībā uz visiem jautājumiem, kas ir relevanti Savienības vienību IKT vižu aizsardzībai, arī izmantojot direktīvas (ES) 2022/2555 15. pantā minēto CSIRT tīklu. CERT-EU atbalsta Komisiju saskaņā ar direktīvas (ES) 2022/2555 16. pantu izveidotajā EU-CyCLONe koordinētas lielu kiberdrošības incidentu un krīžu pārvaldības jomā.

2.   Kad CERT-EU uzzina par būtisku incidentu, kas noticis kādas dalībvalsts teritorijā, tā bez kavēšanās saskaņā ar 1. punktu ziņo visiem relevantajiem partneriem minētajā dalībvalstī.

3.   Ar noteikumu, ka personas dati tiek aizsargāti saskaņā ar piemērojamajiem Savienības datu aizsardzības tiesību aktiem, CERT-EU bez nepamatotas kavēšanās bez skartās Savienības vienības atļaujas apmainās ar attiecīgo incidentu raksturojošu informāciju ar partneriem dalībvalstīs, kas ir relevanta nolūkā atvieglot līdzīgu kiberdraudu vai incidentu atklāšanu vai veicināt incidenta analīzi. CERT-EU apmainās ar incidentu raksturojošu informāciju, kas atklāj incidenta mērķa identitāti, tikai kādā no šādiem gadījumiem:

Lēmumus apmainīties ar incidentu raksturojošu informāciju, kas izpauž incidenta mērķa identitāti saskaņā ar pirmās daļas b) apakšpunktu, apstiprina CERT-EU vadītājs. Pirms šāda lēmuma izdošanas CERT-EU rakstiski sazinās ar skarto Savienības vienību, skaidri paskaidrojot, kā tās identitātes izpaušana palīdzētu novērst vai mitigēt incidentus citviet. CERT-EU vadītājs sniedz paskaidrojumu un skaidri lūdz Savienības vienībai noteiktā laikā norādīt, vai tā piekrīt. CERT-EU vadītājs informē Savienības vienību arī par to, ka, ņemot vērā sniegto paskaidrojumu, viņš patur tiesības informāciju izpaust pat bez piekrišanas. Pirms informācijas izpaušanas informē skarto Savienības vienību.

1.   Incidentu uzskata par būtisku, ja:

2.   Savienības vienības iesniedz CERT-EU:

3.   Savienības vienība bez liekas kavēšanās un katrā ziņā 24 stundu laikā pēc tam, kad uzzinājusi par būtisku incidentu, informē visus relevantos 17. panta 1. punktā minētos partnerus dalībvalstī, kurā tā atrodas, par to, ka ir noticis būtisks incidents.

4.   Savienības vienības cita starpā ziņo jebkādu informāciju, kas CERT-EU dod iespēju noteikt jebkādu būtiska incidenta pārvienību ietekmi, ietekmi uz uzņēmēju dalībvalsti vai pārrobežu ietekmi. Neskarot 12. pantu, paziņošana pati par sevi neuzliek Savienības vienībai lielāku atbildību.

5.   Attiecīgā gadījumā Savienības vienības skarto tīklu un informācijas sistēmu vai citu IKT vides komponentu lietotājiem, kurus potenciāli var skart būtisks incidents vai būtisks kiberdrauds un kuriem attiecīga gadījumā jāveic mitigācijas pasākumi, bez liekas kavēšanās paziņo par jebkādiem pasākumiem vai korektīvajām darbībām, ko var veikt, reaģējot uz minēto incidentu vai draudu. Attiecīgā gadījumā Savienības vienības informē minētos lietotājus par pašu būtisko kiberdraudu.

6.   Ja būtisks incidents vai būtisks kiberdrauds skar Savienības vienības tādas IKT vides tīklu un informācijas sistēmu vai komponentu, kas ir ar nolūku savienota ar citas Savienības vienības IKT vidi, CERT-EU izdod relevantu kiberdrošības brīdinājumu.

7.   Savienības vienības pēc CERT-EU pieprasījuma un bez liekas kavēšanās sniedz tai digitālo informāciju, kas radusies attiecīgajos incidentos iesaistīto elektronisko ierīču izmantošanā. CERT-EU var sīkāk precizēt, kuri šādas informācijas veidi tai ir vajadzīgi situācijas apzināšanai un reaģēšanai uz incidentiem.

8.   CERT-EU ik trīs mēnešus iesniedz IKP, ENISA, ES INTCEN un CSIRT tīklam kopsavilkuma ziņojumu, kas ietver anonimizētus un apkopotus datus par būtiskiem incidentiem, incidentiem, kiberdraudiem, gandrīz notikušiem notikumiem un ievainojamībām saskaņā ar 20. pantu un būtiskiem incidentiem, kas paziņoti saskaņā ar šā panta 2. punktu. Kopsavilkuma ziņojums ir ieguldījums divgadu ziņojumā par kiberdrošības stāvokli Savienībā, ko pieņem saskaņā ar direktīvas (ES) 2022/2555 18. pantu.

9.   Līdz 2024. gada 8. jūlijam IKP izdod vadlīnijas vai ieteikumus, kur sīkāk precizēta šajā pantā paredzētās ziņošanas kārtība, formāts un saturs. Sagatavojot šādas vadlīnijas vai ieteikumus, IKP ņem vērā visus īstenošanas aktus, kas pieņemti saskaņā ar direktīvas (ES) 2022/2555 23. panta 11. punktu un nosaka informācijas veidu, formātu un paziņošanas procedūru. CERT-EU izplata attiecīgo tehnisko informāciju, lai Savienības vienības varētu preventīvi atklāt incidentus, reaģēt uz tiem vai veikt mitigācijas pasākumus.

10.   Šajā pantā noteiktie ziņošanas pienākumi neattiecas uz:

1.   Rīkojoties kā kiberdrošības informācijas apmaiņas un reaģēšanas uz incidentiem koordinēšanas centrs, CERT-EU atvieglo informācijas apmaiņu par incidentiem, kiberdraudiem, ievainojamībām un gandrīz notikušiem notikumiem:

2.    CERT-EU attiecīgā gadījumā ciešā sadarbībā ar ENISA veicina koordināciju starp Savienības vienībām attiecībā uz reaģēšanu uz incidentiem, tostarp:

3.   CERT-EU ciešā sadarbībā ar ENISA atbalsta Savienības vienības attiecībā uz situācijas apzināšanos tādos aspektos kā incidenti, kiberdraudi, ievainojamības un gandrīz notikuši notikumi, kā arī relevanto kiberdrošības jomas jaunumu kopīgošanu.

4.   Līdz 2025. gada 8. janvārim IKP uz CERT-EU priekšlikuma pamata pieņem vadlīnijas vai ieteikumus par reaģēšanas uz incidentiem koordinēšanu un sadarbību būtisku incidentu gadījumā. Ja ir aizdomas par incidenta noziedzīgo raksturu, CERT-EU bez liekas kavēšanās sniedz padomus, kā par šo incidentu ziņot tiesībaizsardzības iestādēm.

5.   Pēc īpaša dalībvalsts pieprasījuma un ar attiecīgo Savienības vienību piekrišanu CERT-EU var aicināt ekspertus no 23. panta 4. punktā minētā saraksta palīdzēt reaģēt uz lielu incidentu, kam ir ietekme minētajā dalībvalstī, vai plašapmēra kiberdrošības incidentu saskaņā ar direktīvas (ES) 2022/2555 15. panta 3. punkta g) apakšpunktu. Konkrētus noteikumus par piekļuvi Savienības vienību tehniskajiem ekspertiem un viņu izmantošanu uz CERT-EU priekšlikuma pamata apstiprina IKP.

1.   Lai operacionālā līmenī atbalstītu tādu lielu incidentu koordinētu pārvaldību, kas ietekmē Savienības vienības, un veicinātu regulāru relevantās informācijas apmaiņu starp Savienības vienībām un ar dalībvalstīm, IKP ciešā sadarbībā ar CERT-EU un ENISA saskaņā ar 11. panta q) punktu izstrādā kiberkrīžu pārvaldības plānu, balstoties uz 22. panta 2. punktā minētajām darbībām. Kiberkrīžu pārvaldības plānā iekļauj vismaz šādus elementus:

2.   Komisijas pārstāvis IKP, ievērojot kiberkrīžu pārvaldības plānu, kas izveidots saskaņā ar šā panta 1. punktu, un neskarot direktīvas (ES) 2022/2555 16. panta 2. punkta pirmo daļu, ir kontaktpunkts relevantās informācijas kopīgošanai ar EU-CyCLONe lielu incidentu sakarā.

3.   CERT-EU koordinē to, kā Savienības vienības pārvalda lielus incidentus. Tā uztur tādu pieejamās tehniskās lietpratības portfeli, kas būtu vajadzīga reaģēšanai uz incidentiem lielu incidentu gadījumā, un palīdz IKP koordinēt 9. panta 2. punktā minētos Savienības vienību kiberkrīžu pārvaldības plānus lielu incidentu gadījumiem.

4.   Savienības vienības palīdz veidot tehniskās lietpratības portfeli, iesniedzot un katru gadu atjauninot to attiecīgajās organizācijās pieejamo ekspertu sarakstu, kurā norāda viņu konkrētās tehniskās prasmes.