keyboard_tab Cyber Resilience Act 2023/2841 LV
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 6. pants Kiberdrošības riska pārvaldības, pārvaldes un kontroles satvars
- 1 7. pants Kiberdrošības gatavības novērtējumi
- 1 9. pants Kiberdrošības plāni
- 2 10. pants Iestāžu kiberdrošības padome
- 2 11. pants IKP uzdevumi
- 2 15. pants
- 2 16. pants Finanšu un personāla jautājumi
- 1 21. pants Ziņošanas pienākumi
- 1 23. pants Lielu incidentu pārvaldība
- 2 25. pants Pārskatīšana
- 26. pants Stāšanās spēkā
I NODAĻA
VISPĀRĪGI NOTEIKUMI
II NODAĻA
VIENĀDA AUGSTA KIBERDROŠĪBAS LĪMEŅA PANĀKŠANAS PASĀKUMI
III NODAĻA
IESTĀŽU KIBERDROŠĪBAS PADOME
IV NODAĻA
CERT-EU
V NODAĻA
SADARBĪBA UN ZIŅOŠANAS PIENĀKUMI
VI NODAĻA
NOBEIGUMA NOTEIKUMI
- savienības 66
- cert-eu 62
- kiberdrošības 52
- vienības 32
- saskaņā 23
- pēc 20
- līmeņa 18
- eiropas 18
- regulas 17
- gadījumā 17
- pārvaldības 15
- pakalpojumu 15
- incidentu 15
- šīs 15
- arī 14
- īstenošanu 13
- pantu 13
- vienība 12
- finanšu 11
- tās 11
- vienībām 10
- vienību 10
- informāciju 10
- vadītājs 10
- pants 10
- plānu 10
- apstiprina 9
- pieņem 9
- attiecīgā 9
- cert-eu 9
- ietekmi 9
- informācijas 9
- vērā 9
- lielu 9
- tostarp 9
- ikp 8
- savienības 8
- gada 8
- riska 8
- gatavības 8
- minēto 8
- uzdevumus 8
- kiberkrīžu 7
- kavēšanās 7
- komisija 7
- liekas 7
- direktīvas 7
- incidentiem 7
- iesniedz 7
- līdz 7
6. pants
Kiberdrošības riska pārvaldības, pārvaldes un kontroles satvars
1. Līdz 2025. gada 8. aprīlim katra Savienības vienība pēc sākotnējās kiberdrošības pārskatīšanas, piemēram, revīzijas, izveido iekšēju kiberdrošības riska pārvaldības, pārvaldes un kontroles satvaru (“satvars”). Satvara izveidi pārrauga un par to atbild Savienības vienības visaugstākā līmeņa vadība.
2. Satvars aptver visu attiecīgās Savienības vienības neklasificēto IKT vidi, tostarp jebkādu IKT vidi organizācijas telpās, darbības tehnoloģiju tīklu organizācijas telpās, ārpakalpojumu aktīvus un pakalpojumus mākoņdatošanas vidē vai trešās personas mitinātus aktīvus vai pakalpojumus, mobilās ierīces, korporatīvos tīklus, darbības tīklus, kas nav pievienoti internetam, un jebkādas minētajām vidēm (“IKT vide”) pievienotas ierīces. Satvara pamatā ir visu apdraudējumu pieeja.
3. Satvars nodrošina augstu kiberdrošības līmeni. Satvars nosaka iekšējās kiberdrošības rīcībpolitikas, tostarp mērķus un prioritātes, tīklu un informācijas sistēmu drošībai, kā arī to Savienības vienības darbinieku uzdevumus un pienākumus, kuriem uzticēts nodrošināt rezultatīvu šīs regulas īstenošanu. Satvarā iekļauj arī mehānismus īstenošanas rezultativitātes mērīšanai.
4. Mainīgo kiberdrošības risku kontekstā satvaru regulāri un vismaz ik četrus gadus pārskata. Attiecīgā gadījumā un pēc saskaņā ar 10. pantu izveidotās Iestāžu kiberdrošības padomes pieprasījuma Savienības vienība satvaru var atjaunināt, pamatojoties uz CERT-EU norādījumiem par konstatētajiem incidentiem vai iespējamiem trūkumiem, kas novēroti šīs regulas īstenošanā.
5. Katras Savienības vienības visaugstākā līmeņa vadība ir atbildīga par šīs regulas īstenošanu un pārrauga, kā tās organizācija pilda ar satvaru saistītos pienākumus.
6. Attiecīgā gadījumā un neskarot vienības atbildību par šīs regulas īstenošanu, katras Savienības vienības visaugstākā līmeņa vadība var šajā regulā noteiktos īpašos pienākumus deleģēt augstākā līmeņa ierēdņiem Civildienesta noteikumu 29. panta 2. punkta izpratnē vai citiem līdzvērtīga līmeņa ierēdņiem attiecīgajā Savienības vienībā. Neatkarīgi no šādas deleģēšanas visaugstākā līmeņa vadību var saukt pie atbildības par šīs regulas pārkāpumiem, ko attiecīgā Savienības vienība izdarījusi.
7. Katra Savienības vienība ievieš iedarbīgus mehānismus, kuru mērķis ir nodrošināt, ka pienācīga to IKT budžeta procentuālā daļa tiek tērēta kiberdrošības vajadzībām. Nosakot minēto procentuālo daļu, pienācīgi ņem vērā satvaru.
8. Katra Savienības vienība ieceļ vietējo kiberdrošības speciālistu vai līdzvērtīgu darbinieku, kas rīkojas kā tās vienotais kontaktpunkts visos kiberdrošības aspektos. Vietējais kiberdrošības speciālists veicina šīs regulas īstenošanu un regulāri tieši ziņo visaugstākā līmeņa vadībai par īstenošanas stāvokli. Neskarot to, ka vietējais kiberdrošības speciālists ir vienotais kontaktpunkts katrā Savienības vienībā, Savienības vienība konkrētus vietējā kiberdrošības speciālista uzdevumus attiecībā uz šīs regulas īstenošanu var deleģēt CERT-EU, pamatojoties uz pakalpojumu līmeņa vienošanos, kas noslēgta starp minēto Savienības vienību un CERT-EU, vai minētos uzdevumus var sadalīt pa vairākām Savienības vienībām. Ja minētos uzdevumus deleģē CERT-EU, saskaņā ar 10. pantu izveidotā Iestāžu kiberdrošības padome pieņem lēmumu, vai minētā pakalpojuma sniegšana ir daļa no CERT-EU pamatpakalpojumiem, ņemot vērā attiecīgās Savienības vienības cilvēkresursus un finanšu resursus. Katra Savienības vienība bez liekas kavēšanās paziņo CERT-EU par ieceltajiem vietējiem kiberdrošības speciālistiem un jebkādām turpmākām to maiņām.
CERT-EU izveido un atjaunina iecelto vietējo kiberdrošības speciālistu sarakstu.
9. Katras Savienības vienības augstākie ierēdņi Civildienesta noteikumu 29. panta 2. punkta izpratnē vai citi līdzvērtīga līmeņa ierēdņi, kā arī visi relevantie darbinieki, kuriem uzdots īstenot kiberdrošības riska pārvaldības pasākumus un pildīt pienākumus, ko paredz šī regula, regulāri piedalās īpašās apmācībās, lai gūtu zināšanas un prasmes, kas ir pietiekamas, lai izprastu un novērtētu kiberdrošības riska un pārvaldības prakses, kā arī to ietekmi uz Savienības vienības darbību.
7. pants
Kiberdrošības gatavības novērtējumi
1. Līdz 2025. gada 8. jūlijam un pēc tam vismaz ik divus gadus katra Savienības vienība veic kiberdrošības gatavības novērtējumu, kas aptver visus tās IKT vides elementus.
2. Kiberdrošības gatavības novērtējumus attiecīgā gadījumā veic ar specializētas trešās puses palīdzību.
3. Savienības vienības ar līdzīgu struktūru var sadarboties savu attiecīgo vienību kiberdrošības gatavības novērtēšanā.
4. Pēc saskaņā ar 10. pantu izveidotās Iestāžu kiberdrošības padomes pieprasījuma un ar skaidru attiecīgās Savienības vienības piekrišanu kiberdrošības gatavības novērtējuma rezultātus var apspriest minētajā padomē vai neformālajā vietējo kiberdrošības speciālistu grupā, lai mācītos no pieredzes un dalītos paraugpraksēs.
9. pants
Kiberdrošības plāni
1. Pēc saskaņā ar 7. pantu veiktā kiberdrošības gatavības novērtējuma pabeigšanas un ņemot vērā aktīvus un kiberdrošības riskus, kas konstatēti satvarā, kā arī kiberdrošības riska pārvaldības pasākumos, kuri veikti saskaņā ar 8. pantu, katras Savienības vienības visaugstākā līmeņa vadība bez liekas kavēšanās un katrā ziņā līdz 2026. gada 8. janvārim apstiprina kiberdrošības plānu. Kiberdrošības plāna mērķis ir palielināt Savienības vienības vispārējo kiberdrošību, un tādējādi tas sekmē vienāda augsta kiberdrošības līmeņa uzlabošanu Savienības vienībās. Kiberdrošības plānā iekļauj vismaz kiberdrošības riska pārvaldības pasākumus, kas veikti saskaņā ar 8. pantu. Kiberdrošības plānu pārskata ik divus gadus vai vajadzības gadījumā biežāk pēc kiberdrošības gatavības novērtējumiem, ko veic saskaņā ar 7. pantu, vai katras būtiskas satvara pārskatīšanas.
2. Kiberdrošības plānā iekļauj Savienības vienības kiberkrīžu pārvaldības plānu lieliem incidentiem.
3. Savienības vienība savu pabeigto kiberdrošības plānu iesniedz saskaņā ar 10. pantu izveidotajai Iestāžu kiberdrošības padomei.
III NODAĻA
IESTĀŽU KIBERDROŠĪBAS PADOME
10. pants
Iestāžu kiberdrošības padome
1. Ar šo tiek izveidota Iestāžu kiberdrošības padome (IKP).
2. IKP ziņā ir:
| a) | uzraudzīt un atbalstīt šīs regulas īstenošanu Savienības vienībās; |
| b) | uzraudzīt CERT-EU vispārējo prioritāšu un mērķu īstenošanu un noteikt CERT-EU stratēģisko virzienu. |
3. IKP sastāvā ir:
| a) | viens pārstāvis, ko ieceļ katrs no turpmāk minētajiem:
|
| b) | trīs pārstāvji, ko pēc IKT Padomdevējas komitejas ierosinājuma ieceļ ES aģentūru tīkls (ESAT), lai pārstāvētu tādu Savienības struktūru, biroju un aģentūru intereses, kas uztur savu IKT vidi un kas nav minētas a) apakšpunktā. |
IKP pārstāvētās Savienības vienības tiecas iecelto pārstāvju vidū nodrošināt dzimumu līdzsvaru.
4. IKP locekļiem var palīdzēt aizvietotājs. Citus 3. punktā minēto Savienības vienību vai citu Savienības vienību pārstāvjus priekšsēdētājs var uzaicināt piedalīties IKP sanāksmēs bez balsošanas tiesībām.
5. CERT-EU vadītājs un saskaņā ar attiecīgi Direktīvas (ES) 2022/2555 14., 15. un 16. pantu izveidotās sadarbības grupas, CSIRT tīkla un EU-CyCLONe priekšsēdētāji vai to aizstājēji var piedalīties IKP sanāksmēs kā novērotāji. Ārkārtas gadījumos IKP saskaņā ar savu iekšējo reglamentu var nolemt citādi.
6. IKP pieņem iekšējo reglamentu.
7. Saskaņā ar iekšējo reglamentu IKP no visu locekļu vidus uz trim gadiem ieceļ priekšsēdētāju. Priekšsēdētāja aizvietotājs kļūst par pilntiesīgu IKP locekli uz tādu pašu laika periodu.
8. IKP tiekas vismaz trīs reizes gadā pēc tās priekšsēdētāja iniciatīvas, pēc CERT-EU pieprasījuma vai pēc kāda tās locekļa lūguma.
9. Katram IKP loceklim ir viena balss. IKP lēmumus pieņem ar vienkāršu balsu vairākumu, izņemot gadījumos, kad šajā regulā paredzēts citādi. IKP priekšsēdētājs nebalso, ja vien nav vienāds balsu sadalījums – tādā gadījumā priekšsēdētāja balss ir izšķirošā.
10. IKP var izmantot vienkāršotu rakstisku procedūru, ko sāk saskaņā ar tās iekšējo reglamentu. Minētajā procedūrā relevantais lēmums tiek uzskatīts par apstiprinātu priekšsēdētāja noteiktajā periodā, ja vien kāds loceklis nav iebildis.
11. IKP sekretariātu nodrošina Komisija, un tas atskaitās IKP priekšsēdētājam.
12. ESAT izvirzītie pārstāvji par IKP lēmumiem informē ESAT locekļus. Ikvienam ESAT loceklim ir tiesības informēt minētos pārstāvjus vai IKP priekšsēdētāju par jebkuru jautājumu, ko tas uzskata par tādu, kas būtu jādara zināms IKP.
13. IKP var izveidot izpildkomiteju, kas tai palīdz veikt tās darbu, kā arī deleģēt izpildkomitejai dažus savus uzdevumus un pilnvaras. IKP pieņem izpildkomitejas reglamentu, kas nosaka tās uzdevumus un pilnvaras, kā arī locekļu pilnvaru laiku.
14. Līdz 2025. gada 8. janvārim un pēc tam ik gadu IKP iesniedz Eiropas Parlamentam un Padomei ziņojumu, kurā sīki izklāstīts progress, kas panākts šīs regulas īstenošanā, un jo īpaši norādīts, cik lielā mērā CERT-EU sadarbojas ar saviem partneriem katrā dalībvalstī. Minētais ziņojums ir ieguldījums divgadu ziņojumā par kiberdrošības stāvokli Savienībā, ko pieņem saskaņā ar Direktīvas (ES) 2022/2555 18. pantu.
11. pants
IKP uzdevumi
Pildot savus pienākumus, IKP jo īpaši:
| a) | sniedz norādes CERT-EU vadītājam; |
| b) | rezultatīvi uzrauga un pārrauga šīs regulas īstenošanu un atbalsta Savienības vienības to kiberdrošības stiprināšanā, attiecīgā gadījumā arī pieprasot Savienības vienībām un CERT-EU ad hoc ziņojumus; |
| c) | pēc stratēģiskām diskusijām pieņem daudzgadu stratēģiju kiberdrošības līmeņa paaugstināšanai Savienības vienībās un regulāri un vismaz ik piecus gadus novērtē to un vajadzības gadījumā to groza; |
| d) | nosaka metodiku un organizatoriskos aspektus brīvprātīgai salīdzinošajai izvērtēšanai, ko veic Savienības vienības, lai mācītos no kopīgas pieredzes, stiprinātu savstarpējo uzticēšanos, panāktu vienādu augstu kiberdrošības līmeni, kā arī uzlabotu Savienības vienību kiberdrošības spējas, nodrošinot, ka šādu salīdzinošo izvērtēšanu veic kiberdrošības eksperti, kurus iecēlusi Savienības vienība, kas nav vērtējamā Savienības vienība, un ka metodika ir balstīta uz Direktīvas (ES) 2022/2555 19. pantu un attiecīgā gadījumā ir pielāgota Savienības vienībām; |
| e) | uz CERT-EU vadītāja priekšlikuma pamata apstiprina CERT-EU gada darba programmu un uzrauga tās īstenošanu; |
| f) | uz CERT-EU vadītāja priekšlikuma pamata apstiprina CERT-EU pakalpojumu katalogu un visus tā turpmākos atjauninājumus; |
| g) | uz CERT-EU vadītāja priekšlikuma pamata apstiprina CERT-EU darbību ieņēmumu un izdevumu gada finanšu plānu, kas ietver arī personāla sastāvu; |
| h) | uz CERT-EU vadītāja priekšlikuma pamata apstiprina pakalpojumu līmeņa vienošanos nosacījumus; |
| i) | izskata un apstiprina CERT-EU vadītāja sagatavoto gada pārskatu par CERT-EU darbībām un līdzekļu pārvaldību; |
| j) | apstiprina un uzrauga CERT-EU galvenos snieguma rādītājus (KPI), kas noteikti uz CERT-EU vadītāja priekšlikuma pamata; |
| k) | apstiprina sadarbības kārtību, pakalpojumu līmeņa vienošanās vai līgumus starp CERT-EU un citām vienībām atbilstoši 18. pantam; |
| l) | pieņem vadlīnijas un ieteikumus, balstoties uz CERT-EU priekšlikumu saskaņā ar 14. pantu, un uzdod CERT-EU izdot, atsaukt vai grozīt vadlīniju vai ieteikumu priekšlikumu vai aicinājumu rīkoties; |
| m) | veido tehniskās padomdevējas grupas ar konkrētiem uzdevumiem palīdzēt veikt IKP darbu, apstiprina to darba uzdevumus un ieceļ to attiecīgos priekšsēdētājus; |
| n) | saņem un novērtē dokumentus un ziņojumus, ko Savienības vienības iesniegušas saskaņā ar šo regulu, piemēram, kiberdrošības gatavības novērtējumus; |
| o) | veicina neformālas grupas izveidi, kurā ietilpst vienību vietējie kiberdrošības speciālisti, kuru atbalsta ENISA un kuras mērķis ir apmainīties ar paraugpraksēm un informāciju, kas saistīta ar šīs regulas īstenošanu; |
| p) | ņemot vērā CERT-EU sniegto informāciju par identificētajiem kiberdrošības riskiem un gūto pieredzi, uzrauga Savienības vienību IKT vižu savienotības pasākumu pietiekamību un konsultē par iespējamiem uzlabojumiem; |
| q) | izstrādā kiberkrīžu pārvaldības plānu, lai operacionālā līmenī atbalstītu tādu lielu incidentu koordinētu pārvaldību, kas ietekmē Savienības vienības, un veicinātu regulāru apmaiņu ar relevantu informāciju, jo īpaši par lielu incidentu ietekmi un smagumu un iespējamiem veidiem, kā mazināt to sekas; |
| r) | koordinē 9. panta 2. punktā minēto individuālo Savienības vienību kiberkrīžu pārvaldības plānu pieņemšanu; |
| s) | ņemot vērā rezultātus, ko devuši Direktīvas (ES) 2022/2555 22. pantā minētie Savienības līmeņa koordinētie kritisko piegādes ķēžu riska novērtējumi, pieņem ieteikumus par 8. panta 2. punkta pirmās daļas m) apakšpunktā minēto piegādes ķēdes drošību, lai palīdzētu Savienības vienībām pieņemt rezultatīvus un samērīgus kiberdrošības riska pārvaldības pasākumus. |
15. pants
1. Komisija pēc divu trešdaļu IKP locekļu vairākuma apstiprinājuma saņemšanas ieceļ CERT-EU vadītāju. Visos iecelšanas procedūras posmos apspriežas ar IKP, jo īpaši attiecībā uz paziņojuma par vakanci sagatavošanu, pieteikumu izskatīšanu un atlases komitejas iecelšanu šai amata vietai. Atlases procedūra, tostarp galīgo to kandidātu saraksts, no kuru vidus jāieceļ CERT-EU vadītājs, nodrošina taisnīgu katra dzimuma pārstāvību, ņemot vērā iesniegtos pieteikumus.
2. CERT-EU vadītājs ir atbildīgs par pareizu CERT-EU darbību un IKP vadībā darbojas savas kompetences ietvaros. CERT-EU vadītājs regulāri ziņo IKP priekšsēdētājam un pēc IKP pieprasījuma iesniedz tai ad hoc ziņojumus.
3. CERT-EU vadītājs palīdz atbildīgajam deleģētajam kredītrīkotājam sagatavot gada darbības pārskatu, kas satur finanšu un vadības informāciju, tostarp kontroļu rezultātus, un ko izstrādā saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES, Euratom) 2018/1046 (9) 74. panta 9. punktu, un regulāri ziņo deleģētajam kredītrīkotājam par to pasākumu īstenošanu, attiecībā uz kuriem CERT-EU vadītājam pastarpināti deleģētas pilnvaras.
4. CERT-EU vadītājs ik gadu sagatavo savu darbību administratīvo ieņēmumu un izdevumu finanšu plānu, gada darba programmas priekšlikumu, CERT-EU pakalpojumu kataloga priekšlikumu un pārskatīto pakalpojumu kataloga redakciju priekšlikumus, priekšlikumus par pakalpojumu līmeņa vienošanos kārtību un priekšlikumus par CERT-EU KPI, kas IKP jāapstiprina saskaņā ar 11. pantu. Pārskatot CERT-EU pakalpojumu katalogā iekļauto pakalpojumu sarakstu, CERT-EU vadītājs ņem vērā CERT-EU piešķirtos resursus.
5. CERT-EU vadītājs vismaz ik gadu iesniedz IKP un IKP priekšsēdētājam ziņojumus par CERT-EU darbībām un sniegumu pārskata periodā, tostarp par budžeta izpildi, pakalpojumu līmeņa vienošanos un noslēgtajiem rakstiskajiem nolīgumiem, sadarbību ar partneriem un darbinieku komandējumiem, tostarp 11. pantā minētos ziņojumus. Minētajos ziņojumos iekļauj nākamā perioda darba programmu, ieņēmumu un izdevumu finanšu plānojumu, tostarp personāla sastāvu, CERT-EU pakalpojumu kataloga plānoto atjaunināšanu un novērtējumu par šādu atjauninājumu paredzamo ietekmi uz finanšu resursiem un cilvēkresursiem.
16. pants
Finanšu un personāla jautājumi
1. CERT-EU integrē Komisijas ģenerāldirektorāta administratīvajā struktūrā, lai gūtu labumu no Komisijas administratīvās, finanšu pārvaldības un grāmatvedības atbalsta struktūrām, vienlaikus CERT-EU joprojām paliekot autonomam starpiestāžu pakalpojumu sniedzējam visām Savienības vienībām. Komisija informē IKP par CERT-EU administratīvo izvietojumu un par jebkādām tā izmaiņām. Komisija regulāri un katrā ziņā pirms ikvienas daudzgadu finanšu shēmas izveides saskaņā ar LESD 312. pantu pārskata ar CERT-EU saistītos administratīvos pasākumus, lai varētu attiecīgi rīkoties. Pārskatīšanā izskata iespēju pārveidot CERT-EU par Savienības biroju.
2. Administratīvo un finanšu procedūru piemērošanā CERT-EU vadītājs darbojas Komisijas pakļautībā un IKP uzraudzībā.
3. CERT-EU uzdevumus un darbības, tostarp pakalpojumus, ko CERT-EU atbilstoši 13. panta 3., 4., 5. un 7. punktam un 14. panta 1. punktam sniedz Savienības vienībām, kuras finansē no daudzgadu finanšu shēmas izdevumu kategorijas, kas paredzēta Eiropas publiskajai pārvaldei, finansē no īpašas Komisijas budžeta pozīcijas. CERT-EU paredzētās amata vietas norāda Komisijas štatu saraksta zemsvītras piezīmē.
4. Savienības vienības, kas nav minētas šā panta 3. punktā, veic ikgadēju finansiālu iemaksu CERT-EU, lai apmaksātu atbilstoši minētajam punktam sniegtos CERT-EU pakalpojumus. Iemaksas balstās uz IKP orientējošo informāciju, un CERT-EU par tām vienojas ar katru Savienības vienību, izmantojot pakalpojumu līmeņa vienošanos. Iemaksas ir taisnīga un samērīga daļa no kopējām sniegto pakalpojumu izmaksām. Tās saņem šā panta 3. punktā minētā atsevišķā budžeta pozīcija kā iekšējus piešķirtos ieņēmumus, kā paredzēts Eiropas Parlamenta un Padomes Regulas (ES, Euratom) 2018/1046 21. panta 3. punkta c) apakšpunktā.
5. Regulas 13. panta 6. punktā paredzēto pakalpojumu izmaksas atgūst no Savienības vienībām, kas saņem CERT-EU pakalpojumus. Ieņēmumus novirza uz budžeta izmaksu pozīcijām.
21. pants
Ziņošanas pienākumi
1. Incidentu uzskata par būtisku, ja:
| a) | tas ir izraisījis vai spēj izraisīt smagus attiecīgās Savienības vienības funkcionēšanas traucējumus vai finansiālus zaudējumus; |
| b) | tas ir ietekmējis vai spēj ietekmēt citas fiziskas vai juridiskas personas, radot būtisku materiālu vai nemateriālu kaitējumu. |
2. Savienības vienības iesniedz CERT-EU:
| a) | bez liekas kavēšanās un katrā ziņā 24 stundu laikā no brīža, kad uzzinājušas par būtisko incidentu, – agrīnu brīdinājumu, kurā attiecīgā gadījumā norāda, ka būtisko incidentu ir izraisījusi, domājams, nelikumīga vai ļaunprātīga rīcība un vai tam varētu būt pārvienību vai pārrobežu ietekme; |
| b) | bez liekas kavēšanās un jebkurā gadījumā 72 stundu laikā pēc tam, kad uzzinājušas par būtisko incidentu, – paziņojumu par incidentu, kurā attiecīgā gadījumā atjaunina a) apakšpunktā minēto informāciju un norāda būtiskā incidenta sākotnējo novērtējumu, tostarp tā smagumu un ietekmi, kā arī, ja pieejami, aizskāruma rādītājus; |
| c) | pēc CERT-EU pieprasījuma – starpposma ziņojumu par relevantajiem statusa atjauninājumiem; |
| d) | galīgu ziņojumu ne vēlāk kā mēnesi pēc b) apakšpunktā minētā paziņojuma par incidentu iesniegšanas, un tajā iekļauj:
|
| e) | ja šā punkta d) apakšpunktā minētā galīgā ziņojuma iesniegšanas laikā incidents vēl notiek – progresa ziņojumu tajā laikā, savukārt viena mēneša laikā pēc rīkošanās incidenta sakarā –– galīgo ziņojumu. |
3. Savienības vienība bez liekas kavēšanās un katrā ziņā 24 stundu laikā pēc tam, kad uzzinājusi par būtisku incidentu, informē visus relevantos 17. panta 1. punktā minētos partnerus dalībvalstī, kurā tā atrodas, par to, ka ir noticis būtisks incidents.
4. Savienības vienības cita starpā ziņo jebkādu informāciju, kas CERT-EU dod iespēju noteikt jebkādu būtiska incidenta pārvienību ietekmi, ietekmi uz uzņēmēju dalībvalsti vai pārrobežu ietekmi. Neskarot 12. pantu, paziņošana pati par sevi neuzliek Savienības vienībai lielāku atbildību.
5. Attiecīgā gadījumā Savienības vienības skarto tīklu un informācijas sistēmu vai citu IKT vides komponentu lietotājiem, kurus potenciāli var skart būtisks incidents vai būtisks kiberdrauds un kuriem attiecīga gadījumā jāveic mitigācijas pasākumi, bez liekas kavēšanās paziņo par jebkādiem pasākumiem vai korektīvajām darbībām, ko var veikt, reaģējot uz minēto incidentu vai draudu. Attiecīgā gadījumā Savienības vienības informē minētos lietotājus par pašu būtisko kiberdraudu.
6. Ja būtisks incidents vai būtisks kiberdrauds skar Savienības vienības tādas IKT vides tīklu un informācijas sistēmu vai komponentu, kas ir ar nolūku savienota ar citas Savienības vienības IKT vidi, CERT-EU izdod relevantu kiberdrošības brīdinājumu.
7. Savienības vienības pēc CERT-EU pieprasījuma un bez liekas kavēšanās sniedz tai digitālo informāciju, kas radusies attiecīgajos incidentos iesaistīto elektronisko ierīču izmantošanā. CERT-EU var sīkāk precizēt, kuri šādas informācijas veidi tai ir vajadzīgi situācijas apzināšanai un reaģēšanai uz incidentiem.
8. CERT-EU ik trīs mēnešus iesniedz IKP, ENISA, ES INTCEN un CSIRT tīklam kopsavilkuma ziņojumu, kas ietver anonimizētus un apkopotus datus par būtiskiem incidentiem, incidentiem, kiberdraudiem, gandrīz notikušiem notikumiem un ievainojamībām saskaņā ar 20. pantu un būtiskiem incidentiem, kas paziņoti saskaņā ar šā panta 2. punktu. Kopsavilkuma ziņojums ir ieguldījums divgadu ziņojumā par kiberdrošības stāvokli Savienībā, ko pieņem saskaņā ar Direktīvas (ES) 2022/2555 18. pantu.
9. Līdz 2024. gada 8. jūlijam IKP izdod vadlīnijas vai ieteikumus, kur sīkāk precizēta šajā pantā paredzētās ziņošanas kārtība, formāts un saturs. Sagatavojot šādas vadlīnijas vai ieteikumus, IKP ņem vērā visus īstenošanas aktus, kas pieņemti saskaņā ar Direktīvas (ES) 2022/2555 23. panta 11. punktu un nosaka informācijas veidu, formātu un paziņošanas procedūru. CERT-EU izplata attiecīgo tehnisko informāciju, lai Savienības vienības varētu preventīvi atklāt incidentus, reaģēt uz tiem vai veikt mitigācijas pasākumus.
10. Šajā pantā noteiktie ziņošanas pienākumi neattiecas uz:
| a) | ESKI; |
| b) | informāciju, kuras tālāka izplatīšana ir izslēgta ar redzamu marķējumu, ja vien tās kopīgošana ar CERT-EU nav skaidri atļauta. |
23. pants
Lielu incidentu pārvaldība
1. Lai operacionālā līmenī atbalstītu tādu lielu incidentu koordinētu pārvaldību, kas ietekmē Savienības vienības, un veicinātu regulāru relevantās informācijas apmaiņu starp Savienības vienībām un ar dalībvalstīm, IKP ciešā sadarbībā ar CERT-EU un ENISA saskaņā ar 11. panta q) punktu izstrādā kiberkrīžu pārvaldības plānu, balstoties uz 22. panta 2. punktā minētajām darbībām. Kiberkrīžu pārvaldības plānā iekļauj vismaz šādus elementus:
| a) | koordinācijas un informācijas plūsmas kārtība starp Savienības vienībām lielu incidentu pārvaldībai operacionālā līmenī; |
| b) | kopējas standarta operāciju procedūras (SOP); |
| c) | lielu incidentu smaguma un krīzes izraisītāju tipiskā taksonomija; |
| d) | regulāras mācības; |
| e) | izmantojamie drošas saziņas kanāli. |
2. Komisijas pārstāvis IKP, ievērojot kiberkrīžu pārvaldības plānu, kas izveidots saskaņā ar šā panta 1. punktu, un neskarot Direktīvas (ES) 2022/2555 16. panta 2. punkta pirmo daļu, ir kontaktpunkts relevantās informācijas kopīgošanai ar EU-CyCLONe lielu incidentu sakarā.
3. CERT-EU koordinē to, kā Savienības vienības pārvalda lielus incidentus. Tā uztur tādu pieejamās tehniskās lietpratības portfeli, kas būtu vajadzīga reaģēšanai uz incidentiem lielu incidentu gadījumā, un palīdz IKP koordinēt 9. panta 2. punktā minētos Savienības vienību kiberkrīžu pārvaldības plānus lielu incidentu gadījumiem.
4. Savienības vienības palīdz veidot tehniskās lietpratības portfeli, iesniedzot un katru gadu atjauninot to attiecīgajās organizācijās pieejamo ekspertu sarakstu, kurā norāda viņu konkrētās tehniskās prasmes.
VI NODAĻA
NOBEIGUMA NOTEIKUMI
25. pants
Pārskatīšana
1. Līdz 2025. gada 8. janvārim un pēc tam ik gadu IKP ar CERT-EU palīdzību ziņo Komisijai par šīs regulas īstenošanu. IKP var arī sniegt Komisijai ieteikumus pārskatīt šo regulu.
2. Līdz 2027. gada 8. janvārim un pēc tam ik divus gadus Komisija novērtē šīs regulas īstenošanu un stratēģiskajā un operacionālajā līmenī gūto pieredzi un ziņo par to Eiropas Parlamentam un Padomei.
Šī punkta pirmajā daļā minētajā ziņojumā ietver 16. panta 1. punktā minēto pārskatīšanu par iespēju CERT-EU izveidot kā Savienības biroju.
3. Līdz 2029. gada 8. janvārim Komisija izvērtē šīs regulas darbību un iesniedz ziņojumu Eiropas Parlamentam, Padomei, Eiropas Ekonomikas un sociālo lietu komitejai un Reģionu komitejai. Komisija arī izvērtē, vai ir lietderīgi šīs regulas darbības jomā iekļaut tīklu un informācijas sistēmas, kuras rīkojas ar ESKI, ņemot vērā citus Savienības tiesību aktus, kas minētajām sistēmām piemērojami. Ziņojumam vajadzības gadījumā pievieno leģislatīva akta priekšlikumu.
whereas