keyboard_tab Cyber Resilience Act 2023/2841 LV
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 5. pants Pasākumu īstenošana
- 5 7. pants Kiberdrošības gatavības novērtējumi
- 2 9. pants Kiberdrošības plāni
- 1 11. pants IKP uzdevumi
- 2 14. pants Vadlīnijas, ieteikumi un aicinājumi rīkoties
I NODAĻA
VISPĀRĪGI NOTEIKUMI
II NODAĻA
VIENĀDA AUGSTA KIBERDROŠĪBAS LĪMEŅA PANĀKŠANAS PASĀKUMI
III NODAĻA
IESTĀŽU KIBERDROŠĪBAS PADOME
IV NODAĻA
CERT-EU
V NODAĻA
SADARBĪBA UN ZIŅOŠANAS PIENĀKUMI
VI NODAĻA
NOBEIGUMA NOTEIKUMI
- kiberdrošības 44
- savienības 29
- cert-eu 20
- saskaņā 15
- pantu 14
- gatavības 11
- vienības 11
- pārvaldības 10
- apstiprina 9
- plānu 9
- riska 8
- gadījumā 7
- vienību 7
- vienībām 7
- attiecīgā 6
- līmeņa 6
- vadītāja 6
- pēc 6
- priekšlikuma 5
- pamata 5
- arī 5
- vērā 5
- vadlīnijas 5
- vienība 5
- veikt 5
- veic 5
- pants 5
- uzrauga 4
- ņemot 4
- pasākumus 4
- īstenošanu 4
- informāciju 4
- kārtību 4
- pakalpojumu 4
- rīkoties 4
- pasākumu 3
- vismaz 3
- ieteikumus 3
- piegādes 3
- gada 3
- iestāžu 3
- gadus 3
- šīs 3
- vienībās 3
- regulas 3
- gada 3
- atbalsta 3
- novērtējumus 3
- pieņem 3
- kiberkrīžu 3
5. pants
Pasākumu īstenošana
1. Līdz 2024. gada 8. septembrim saskaņā ar 10. pantu izveidotā Iestāžu kiberdrošības padome pēc apspriešanās ar Eiropas Savienības Kiberdrošības aģentūru (ENISA) un pēc CERT-EU norādījumu saņemšanas izdod vadlīnijas Savienības vienībām nolūkā veikt sākotnējo kiberdrošības pārskatīšanu un izveidot iekšēju kiberdrošības riska pārvaldības, pārvaldes un kontroles satvaru saskaņā ar 6. pantu, veikt kiberdrošības gatavības novērtējumus saskaņā ar 7. pantu, veikt kiberdrošības riska pārvaldības pasākumus saskaņā ar 8. pantu un pieņemt kiberdrošības plānu saskaņā ar 9. pantu.
2. Īstenojot 6. līdz 9. pantu, Savienības vienības ņem vērā šā panta 1. punktā minētās vadlīnijas, kā arī relevantās vadlīnijas un ieteikumus, kas pieņemti saskaņā ar 11. un 14. pantu.
7. pants
Kiberdrošības gatavības novērtējumi
1. Līdz 2025. gada 8. jūlijam un pēc tam vismaz ik divus gadus katra Savienības vienība veic kiberdrošības gatavības novērtējumu, kas aptver visus tās IKT vides elementus.
2. Kiberdrošības gatavības novērtējumus attiecīgā gadījumā veic ar specializētas trešās puses palīdzību.
3. Savienības vienības ar līdzīgu struktūru var sadarboties savu attiecīgo vienību kiberdrošības gatavības novērtēšanā.
4. Pēc saskaņā ar 10. pantu izveidotās Iestāžu kiberdrošības padomes pieprasījuma un ar skaidru attiecīgās Savienības vienības piekrišanu kiberdrošības gatavības novērtējuma rezultātus var apspriest minētajā padomē vai neformālajā vietējo kiberdrošības speciālistu grupā, lai mācītos no pieredzes un dalītos paraugpraksēs.
9. pants
Kiberdrošības plāni
1. Pēc saskaņā ar 7. pantu veiktā kiberdrošības gatavības novērtējuma pabeigšanas un ņemot vērā aktīvus un kiberdrošības riskus, kas konstatēti satvarā, kā arī kiberdrošības riska pārvaldības pasākumos, kuri veikti saskaņā ar 8. pantu, katras Savienības vienības visaugstākā līmeņa vadība bez liekas kavēšanās un katrā ziņā līdz 2026. gada 8. janvārim apstiprina kiberdrošības plānu. Kiberdrošības plāna mērķis ir palielināt Savienības vienības vispārējo kiberdrošību, un tādējādi tas sekmē vienāda augsta kiberdrošības līmeņa uzlabošanu Savienības vienībās. Kiberdrošības plānā iekļauj vismaz kiberdrošības riska pārvaldības pasākumus, kas veikti saskaņā ar 8. pantu. Kiberdrošības plānu pārskata ik divus gadus vai vajadzības gadījumā biežāk pēc kiberdrošības gatavības novērtējumiem, ko veic saskaņā ar 7. pantu, vai katras būtiskas satvara pārskatīšanas.
2. Kiberdrošības plānā iekļauj Savienības vienības kiberkrīžu pārvaldības plānu lieliem incidentiem.
3. Savienības vienība savu pabeigto kiberdrošības plānu iesniedz saskaņā ar 10. pantu izveidotajai Iestāžu kiberdrošības padomei.
III NODAĻA
IESTĀŽU KIBERDROŠĪBAS PADOME
11. pants
IKP uzdevumi
Pildot savus pienākumus, IKP jo īpaši:
| a) | sniedz norādes CERT-EU vadītājam; |
| b) | rezultatīvi uzrauga un pārrauga šīs regulas īstenošanu un atbalsta Savienības vienības to kiberdrošības stiprināšanā, attiecīgā gadījumā arī pieprasot Savienības vienībām un CERT-EU ad hoc ziņojumus; |
| c) | pēc stratēģiskām diskusijām pieņem daudzgadu stratēģiju kiberdrošības līmeņa paaugstināšanai Savienības vienībās un regulāri un vismaz ik piecus gadus novērtē to un vajadzības gadījumā to groza; |
| d) | nosaka metodiku un organizatoriskos aspektus brīvprātīgai salīdzinošajai izvērtēšanai, ko veic Savienības vienības, lai mācītos no kopīgas pieredzes, stiprinātu savstarpējo uzticēšanos, panāktu vienādu augstu kiberdrošības līmeni, kā arī uzlabotu Savienības vienību kiberdrošības spējas, nodrošinot, ka šādu salīdzinošo izvērtēšanu veic kiberdrošības eksperti, kurus iecēlusi Savienības vienība, kas nav vērtējamā Savienības vienība, un ka metodika ir balstīta uz Direktīvas (ES) 2022/2555 19. pantu un attiecīgā gadījumā ir pielāgota Savienības vienībām; |
| e) | uz CERT-EU vadītāja priekšlikuma pamata apstiprina CERT-EU gada darba programmu un uzrauga tās īstenošanu; |
| f) | uz CERT-EU vadītāja priekšlikuma pamata apstiprina CERT-EU pakalpojumu katalogu un visus tā turpmākos atjauninājumus; |
| g) | uz CERT-EU vadītāja priekšlikuma pamata apstiprina CERT-EU darbību ieņēmumu un izdevumu gada finanšu plānu, kas ietver arī personāla sastāvu; |
| h) | uz CERT-EU vadītāja priekšlikuma pamata apstiprina pakalpojumu līmeņa vienošanos nosacījumus; |
| i) | izskata un apstiprina CERT-EU vadītāja sagatavoto gada pārskatu par CERT-EU darbībām un līdzekļu pārvaldību; |
| j) | apstiprina un uzrauga CERT-EU galvenos snieguma rādītājus (KPI), kas noteikti uz CERT-EU vadītāja priekšlikuma pamata; |
| k) | apstiprina sadarbības kārtību, pakalpojumu līmeņa vienošanās vai līgumus starp CERT-EU un citām vienībām atbilstoši 18. pantam; |
| l) | pieņem vadlīnijas un ieteikumus, balstoties uz CERT-EU priekšlikumu saskaņā ar 14. pantu, un uzdod CERT-EU izdot, atsaukt vai grozīt vadlīniju vai ieteikumu priekšlikumu vai aicinājumu rīkoties; |
| m) | veido tehniskās padomdevējas grupas ar konkrētiem uzdevumiem palīdzēt veikt IKP darbu, apstiprina to darba uzdevumus un ieceļ to attiecīgos priekšsēdētājus; |
| n) | saņem un novērtē dokumentus un ziņojumus, ko Savienības vienības iesniegušas saskaņā ar šo regulu, piemēram, kiberdrošības gatavības novērtējumus; |
| o) | veicina neformālas grupas izveidi, kurā ietilpst vienību vietējie kiberdrošības speciālisti, kuru atbalsta ENISA un kuras mērķis ir apmainīties ar paraugpraksēm un informāciju, kas saistīta ar šīs regulas īstenošanu; |
| p) | ņemot vērā CERT-EU sniegto informāciju par identificētajiem kiberdrošības riskiem un gūto pieredzi, uzrauga Savienības vienību IKT vižu savienotības pasākumu pietiekamību un konsultē par iespējamiem uzlabojumiem; |
| q) | izstrādā kiberkrīžu pārvaldības plānu, lai operacionālā līmenī atbalstītu tādu lielu incidentu koordinētu pārvaldību, kas ietekmē Savienības vienības, un veicinātu regulāru apmaiņu ar relevantu informāciju, jo īpaši par lielu incidentu ietekmi un smagumu un iespējamiem veidiem, kā mazināt to sekas; |
| r) | koordinē 9. panta 2. punktā minēto individuālo Savienības vienību kiberkrīžu pārvaldības plānu pieņemšanu; |
| s) | ņemot vērā rezultātus, ko devuši Direktīvas (ES) 2022/2555 22. pantā minētie Savienības līmeņa koordinētie kritisko piegādes ķēžu riska novērtējumi, pieņem ieteikumus par 8. panta 2. punkta pirmās daļas m) apakšpunktā minēto piegādes ķēdes drošību, lai palīdzētu Savienības vienībām pieņemt rezultatīvus un samērīgus kiberdrošības riska pārvaldības pasākumus. |
14. pants
Vadlīnijas, ieteikumi un aicinājumi rīkoties
1. CERT-EU atbalsta šīs regulas īstenošanu, izdodot:
| a) | aicinājumus rīkoties, kuros apraksta neatliekamus drošības pasākumus, ko Savienības vienības tiek mudinātas veikt noteiktā laikā; |
| b) | IKP adresētus priekšlikumus vadlīnijām, kas paredzētas visām Savienības vienībām vai kādai to grupai; |
| c) | IKP adresētus priekšlikumus ieteikumiem, kas paredzēti atsevišķām Savienības vienībām. |
Attiecībā uz pirmās daļas a) apakšpunktu attiecīgā Savienības vienība bez liekas kavēšanās pēc uzaicinājuma rīkoties saņemšanas informē CERT-EU par to, kā neatliekamie drošības pasākumi piemēroti.
2. Vadlīnijas un ieteikumi var ietvert:
| a) | kopīgas metodikas un modeli Savienības vienību kiberdrošības gatavības novērtēšanai, tostarp attiecīgās skalas vai KPI, kas kalpo par atsauces punktu pastāvīgai kiberdrošības uzlabošanai Savienības vienībās un atvieglo prioritāšu noteikšanu kiberdrošības jomām un pasākumiem, ņemot vērā vienību kiberdrošības pozīciju; |
| b) | kiberdrošības riska pārvaldības un kiberdrošības riska pārvaldības pasākumu kārtību vai uzlabojumus; |
| c) | kiberdrošības gatavības novērtējumu un kiberdrošības plānu kārtību; |
| d) | attiecīgā gadījumā plaši lietotu tehnoloģiju, arhitektūras, atvērtā pirmkoda un saistītu paraugprakšu izmantošanu ar mērķi panākt sadarbspēju un kopējus standartus, tostarp koordinētu pieeju piegādes ķēdes drošībai; |
| e) | attiecīgā gadījumā informāciju, kas atvieglo kopīgā iepirkuma instrumentu izmantošanu relevanto kiberdrošības pakalpojumu un produktu iegādei no piegādātājiem trešām pusēm; |
| f) | informācijas kopīgošanas kārtību saskaņā ar 20. pantu. |
whereas