keyboard_tab Cyber Resilience Act 2023/2841 LV
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 6. pants Kiberdrošības riska pārvaldības, pārvaldes un kontroles satvars
- 1 8. pants Kiberdrošības riska pārvaldības pasākumi
- 1 15. pants
- 1 21. pants Ziņošanas pienākumi
I NODAĻA
VISPĀRĪGI NOTEIKUMI
II NODAĻA
VIENĀDA AUGSTA KIBERDROŠĪBAS LĪMEŅA PANĀKŠANAS PASĀKUMI
III NODAĻA
IESTĀŽU KIBERDROŠĪBAS PADOME
IV NODAĻA
CERT-EU
V NODAĻA
SADARBĪBA UN ZIŅOŠANAS PIENĀKUMI
VI NODAĻA
NOBEIGUMA NOTEIKUMI
- kiberdrošības 38
- savienības 33
- cert-eu 29
- vienības 22
- tostarp 15
- pakalpojumu 14
- līmeņa 13
- gadījumā 13
- pēc 10
- vienība 10
- ietekmi 10
- riska 10
- attiecīgā 10
- incidentu 9
- regulas 9
- šīs 8
- informācijas 8
- arī 8
- incidentiem 8
- saskaņā 8
- vadītājs 8
- vērā 8
- visaugstākā 7
- pārvaldības 7
- liekas 7
- īstenošanu 7
- pasākumi 7
- kavēšanās 7
- informāciju 6
- savienības 6
- minētos 6
- regulāri 6
- laikā 6
- tīklu 6
- cert-eu 5
- incidenta 5
- ziņojumu 5
- pienākumus 5
- sistēmu 5
- kuriem 5
- tās 5
- darbības 5
- būtisks 5
- ņem 5
- finanšu 5
- minēto 5
- satvaru 5
- pantu 5
- rīcībpolitikas 5
- iesniedz 4
6. pants
Kiberdrošības riska pārvaldības, pārvaldes un kontroles satvars
1. Līdz 2025. gada 8. aprīlim katra Savienības vienība pēc sākotnējās kiberdrošības pārskatīšanas, piemēram, revīzijas, izveido iekšēju kiberdrošības riska pārvaldības, pārvaldes un kontroles satvaru (“satvars”). Satvara izveidi pārrauga un par to atbild Savienības vienības visaugstākā līmeņa vadība.
2. Satvars aptver visu attiecīgās Savienības vienības neklasificēto IKT vidi, tostarp jebkādu IKT vidi organizācijas telpās, darbības tehnoloģiju tīklu organizācijas telpās, ārpakalpojumu aktīvus un pakalpojumus mākoņdatošanas vidē vai trešās personas mitinātus aktīvus vai pakalpojumus, mobilās ierīces, korporatīvos tīklus, darbības tīklus, kas nav pievienoti internetam, un jebkādas minētajām vidēm (“IKT vide”) pievienotas ierīces. Satvara pamatā ir visu apdraudējumu pieeja.
3. Satvars nodrošina augstu kiberdrošības līmeni. Satvars nosaka iekšējās kiberdrošības rīcībpolitikas, tostarp mērķus un prioritātes, tīklu un informācijas sistēmu drošībai, kā arī to Savienības vienības darbinieku uzdevumus un pienākumus, kuriem uzticēts nodrošināt rezultatīvu šīs regulas īstenošanu. Satvarā iekļauj arī mehānismus īstenošanas rezultativitātes mērīšanai.
4. Mainīgo kiberdrošības risku kontekstā satvaru regulāri un vismaz ik četrus gadus pārskata. Attiecīgā gadījumā un pēc saskaņā ar 10. pantu izveidotās Iestāžu kiberdrošības padomes pieprasījuma Savienības vienība satvaru var atjaunināt, pamatojoties uz CERT-EU norādījumiem par konstatētajiem incidentiem vai iespējamiem trūkumiem, kas novēroti šīs regulas īstenošanā.
5. Katras Savienības vienības visaugstākā līmeņa vadība ir atbildīga par šīs regulas īstenošanu un pārrauga, kā tās organizācija pilda ar satvaru saistītos pienākumus.
6. Attiecīgā gadījumā un neskarot vienības atbildību par šīs regulas īstenošanu, katras Savienības vienības visaugstākā līmeņa vadība var šajā regulā noteiktos īpašos pienākumus deleģēt augstākā līmeņa ierēdņiem Civildienesta noteikumu 29. panta 2. punkta izpratnē vai citiem līdzvērtīga līmeņa ierēdņiem attiecīgajā Savienības vienībā. Neatkarīgi no šādas deleģēšanas visaugstākā līmeņa vadību var saukt pie atbildības par šīs regulas pārkāpumiem, ko attiecīgā Savienības vienība izdarījusi.
7. Katra Savienības vienība ievieš iedarbīgus mehānismus, kuru mērķis ir nodrošināt, ka pienācīga to IKT budžeta procentuālā daļa tiek tērēta kiberdrošības vajadzībām. Nosakot minēto procentuālo daļu, pienācīgi ņem vērā satvaru.
8. Katra Savienības vienība ieceļ vietējo kiberdrošības speciālistu vai līdzvērtīgu darbinieku, kas rīkojas kā tās vienotais kontaktpunkts visos kiberdrošības aspektos. Vietējais kiberdrošības speciālists veicina šīs regulas īstenošanu un regulāri tieši ziņo visaugstākā līmeņa vadībai par īstenošanas stāvokli. Neskarot to, ka vietējais kiberdrošības speciālists ir vienotais kontaktpunkts katrā Savienības vienībā, Savienības vienība konkrētus vietējā kiberdrošības speciālista uzdevumus attiecībā uz šīs regulas īstenošanu var deleģēt CERT-EU, pamatojoties uz pakalpojumu līmeņa vienošanos, kas noslēgta starp minēto Savienības vienību un CERT-EU, vai minētos uzdevumus var sadalīt pa vairākām Savienības vienībām. Ja minētos uzdevumus deleģē CERT-EU, saskaņā ar 10. pantu izveidotā Iestāžu kiberdrošības padome pieņem lēmumu, vai minētā pakalpojuma sniegšana ir daļa no CERT-EU pamatpakalpojumiem, ņemot vērā attiecīgās Savienības vienības cilvēkresursus un finanšu resursus. Katra Savienības vienība bez liekas kavēšanās paziņo CERT-EU par ieceltajiem vietējiem kiberdrošības speciālistiem un jebkādām turpmākām to maiņām.
CERT-EU izveido un atjaunina iecelto vietējo kiberdrošības speciālistu sarakstu.
9. Katras Savienības vienības augstākie ierēdņi Civildienesta noteikumu 29. panta 2. punkta izpratnē vai citi līdzvērtīga līmeņa ierēdņi, kā arī visi relevantie darbinieki, kuriem uzdots īstenot kiberdrošības riska pārvaldības pasākumus un pildīt pienākumus, ko paredz šī regula, regulāri piedalās īpašās apmācībās, lai gūtu zināšanas un prasmes, kas ir pietiekamas, lai izprastu un novērtētu kiberdrošības riska un pārvaldības prakses, kā arī to ietekmi uz Savienības vienības darbību.
8. pants
Kiberdrošības riska pārvaldības pasākumi
1. Bez liekas kavēšanās un katrā ziņā līdz 2025. gada 8. septembrim katra Savienības vienība savas visaugstākā līmeņa vadības uzraudzībā veic piemērotus un samērīgus tehniskos, operacionālos un organizatoriskos pasākumus, lai pārvaldītu kiberdrošības riskus, kas apzināti satvarā, un lai novērstu vai mazinātu incidentu ietekmi. Ņemot vērā jaunāko tehnikas līmeni un attiecīgā gadījumā relevantos Eiropas un starptautiskos standartus, minētie pasākumi nodrošina tīklu un informācijas sistēmu drošības līmeni visā IKT vidē, kas ir samērīgs ar kiberdrošības riskiem, ar kuriem saskaras. Novērtējot minēto pasākumu samērīgumu, pienācīgi ņem vērā to, cik lielā mērā Savienības vienība ir pakļauta kiberdrošības riskiem, tās lielumu un incidentu varbūtību un smagumu, tostarp sociālo, ekonomisko un starpinstitucionālo ietekmi.
2. Savienības vienības kiberdrošības riska pārvaldības pasākumu īstenošanā pievēršas vismaz šādām jomām:
| a) | kiberdrošības rīcībpolitika, tostarp pasākumi, kas vajadzīgi, lai īstenotu 6. pantā un šā panta 3. punktā minētos mērķus un prioritātes; |
| b) | kiberdrošības riska analīzes un informācijas sistēmu drošības rīcībpolitikas; |
| c) | rīcībpolitiskie mērķi mākoņdatošanas pakalpojumu izmantošanas ziņā; |
| d) | attiecīgā gadījumā kiberdrošības revīzija, kas var ietvert kiberdrošības riska, ievainojamību un kiberdraudu novērtējumu, un ielaušanās testēšana, ko regulāri veic uzticams privāts pakalpojumu sniedzējs; |
| e) | no d) apakšpunktā minētajām kiberdrošības revīzijām izrietošo ieteikumu īstenošana ar kiberdrošības un rīcībpolitikas atjauninājumiem; |
| f) | kiberdrošības organizācija, tostarp lomu un pienākumu noteikšana; |
| g) | aktīvu pārvaldība, tostarp IKT aktīvu inventarizācija un IKT tīkla kartogrāfija; |
| h) | cilvēkresursu drošība un piekļuves kontrole; |
| i) | darbības drošība; |
| j) | komunikāciju drošība; |
| k) | sistēmas iegāde, izstrāde un uzturēšana, tostarp ievainojamības risināšanas un izpaušanas rīcībpolitikas; |
| l) | ja iespējams, pirmkoda pārredzamības rīcībpolitikas; |
| m) | piegādes ķēdes drošība, tostarp ar drošību saistītus aspektus, kas attiecas uz attiecībām starp katru Savienības vienību un tās tiešajiem piegādātājiem vai pakalpojumu sniedzējiem; |
| n) | incidentu risināšana un sadarbība ar CERT-EU, piemēram, drošības uzraudzības un reģistrēšanas uzturēšana; |
| o) | darbības nepārtrauktības pārvaldība, piemēram, dublējuma pārvaldība un negadījuma seku novēršana, un krīžu pārvaldība; un |
| p) | kiberdrošības izglītības, prasmju, izpratnes veidošanas, mācību un apmācības programmu veicināšana un izstrāde. |
Pirmās daļas m) apakšpunkta nolūkos Savienības vienības ņem vērā ievainojamības, kas raksturīgas katram tiešajam piegādātājam un pakalpojumu sniedzējam, un savu piegādātāju un pakalpojumu sniedzēju produktu un kiberdrošības prakšu vispārējo kvalitāti, tostarp drošas izstrādes procedūras.
3. Savienības vienības veic vismaz šādus īpašus kiberdrošības riska pārvaldības pasākumus:
| a) | tehniskie pasākumi, kas dara iespējamu un uztur tāldarbu; |
| b) | konkrēti pasākumi virzībā uz nulles uzticēšanās principiem; |
| c) | daudzfaktoru autentifikācijas izmantošana par normu tīklu un informācijas sistēmās; |
| d) | kriptogrāfijas un šifrēšanas, jo īpaši galšifrēšanas, kā arī droša digitālā paraksta izmantošana; |
| e) | attiecīgā gadījumā droši balss, video un teksta sakari un drošas ārkārtas situācijas sakaru sistēmas Savienības vienībā; |
| f) | proaktīvi pasākumi ļaunprogrammatūras un spiegprogrammatūras atklāšanai un izņemšanai; |
| g) | programmatūras piegādes ķēdes drošības izveide uz programmatūras drošas izstrādes un izvērtēšanas kritēriju pamata; |
| h) | tādu kiberdrošības mācību programmu izveide un pieņemšana, kas ir samērīgas ar Savienības vienības visaugstākā līmeņa vadībai un tehniskajiem un operatīvajiem darbiniekiem, kam uzdots nodrošināt rezultatīvu šīs regulas īstenošanu, noteiktajiem uzdevumiem un vēlamajām spējām; |
| i) | regulāra darbinieku apmācība kiberdrošības jomā; |
| j) | attiecīgā gadījumā dalība savstarpējās savienotības riska analīzē Savienības vienību starpā; |
| k) | iepirkuma noteikumu uzlabošana nolūkā veicināt vienādu augstu kiberdrošības līmeni, kas darāms:
|
15. pants
1. Komisija pēc divu trešdaļu IKP locekļu vairākuma apstiprinājuma saņemšanas ieceļ CERT-EU vadītāju. Visos iecelšanas procedūras posmos apspriežas ar IKP, jo īpaši attiecībā uz paziņojuma par vakanci sagatavošanu, pieteikumu izskatīšanu un atlases komitejas iecelšanu šai amata vietai. Atlases procedūra, tostarp galīgo to kandidātu saraksts, no kuru vidus jāieceļ CERT-EU vadītājs, nodrošina taisnīgu katra dzimuma pārstāvību, ņemot vērā iesniegtos pieteikumus.
2. CERT-EU vadītājs ir atbildīgs par pareizu CERT-EU darbību un IKP vadībā darbojas savas kompetences ietvaros. CERT-EU vadītājs regulāri ziņo IKP priekšsēdētājam un pēc IKP pieprasījuma iesniedz tai ad hoc ziņojumus.
3. CERT-EU vadītājs palīdz atbildīgajam deleģētajam kredītrīkotājam sagatavot gada darbības pārskatu, kas satur finanšu un vadības informāciju, tostarp kontroļu rezultātus, un ko izstrādā saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES, Euratom) 2018/1046 (9) 74. panta 9. punktu, un regulāri ziņo deleģētajam kredītrīkotājam par to pasākumu īstenošanu, attiecībā uz kuriem CERT-EU vadītājam pastarpināti deleģētas pilnvaras.
4. CERT-EU vadītājs ik gadu sagatavo savu darbību administratīvo ieņēmumu un izdevumu finanšu plānu, gada darba programmas priekšlikumu, CERT-EU pakalpojumu kataloga priekšlikumu un pārskatīto pakalpojumu kataloga redakciju priekšlikumus, priekšlikumus par pakalpojumu līmeņa vienošanos kārtību un priekšlikumus par CERT-EU KPI, kas IKP jāapstiprina saskaņā ar 11. pantu. Pārskatot CERT-EU pakalpojumu katalogā iekļauto pakalpojumu sarakstu, CERT-EU vadītājs ņem vērā CERT-EU piešķirtos resursus.
5. CERT-EU vadītājs vismaz ik gadu iesniedz IKP un IKP priekšsēdētājam ziņojumus par CERT-EU darbībām un sniegumu pārskata periodā, tostarp par budžeta izpildi, pakalpojumu līmeņa vienošanos un noslēgtajiem rakstiskajiem nolīgumiem, sadarbību ar partneriem un darbinieku komandējumiem, tostarp 11. pantā minētos ziņojumus. Minētajos ziņojumos iekļauj nākamā perioda darba programmu, ieņēmumu un izdevumu finanšu plānojumu, tostarp personāla sastāvu, CERT-EU pakalpojumu kataloga plānoto atjaunināšanu un novērtējumu par šādu atjauninājumu paredzamo ietekmi uz finanšu resursiem un cilvēkresursiem.
21. pants
Ziņošanas pienākumi
1. Incidentu uzskata par būtisku, ja:
| a) | tas ir izraisījis vai spēj izraisīt smagus attiecīgās Savienības vienības funkcionēšanas traucējumus vai finansiālus zaudējumus; |
| b) | tas ir ietekmējis vai spēj ietekmēt citas fiziskas vai juridiskas personas, radot būtisku materiālu vai nemateriālu kaitējumu. |
2. Savienības vienības iesniedz CERT-EU:
| a) | bez liekas kavēšanās un katrā ziņā 24 stundu laikā no brīža, kad uzzinājušas par būtisko incidentu, – agrīnu brīdinājumu, kurā attiecīgā gadījumā norāda, ka būtisko incidentu ir izraisījusi, domājams, nelikumīga vai ļaunprātīga rīcība un vai tam varētu būt pārvienību vai pārrobežu ietekme; |
| b) | bez liekas kavēšanās un jebkurā gadījumā 72 stundu laikā pēc tam, kad uzzinājušas par būtisko incidentu, – paziņojumu par incidentu, kurā attiecīgā gadījumā atjaunina a) apakšpunktā minēto informāciju un norāda būtiskā incidenta sākotnējo novērtējumu, tostarp tā smagumu un ietekmi, kā arī, ja pieejami, aizskāruma rādītājus; |
| c) | pēc CERT-EU pieprasījuma – starpposma ziņojumu par relevantajiem statusa atjauninājumiem; |
| d) | galīgu ziņojumu ne vēlāk kā mēnesi pēc b) apakšpunktā minētā paziņojuma par incidentu iesniegšanas, un tajā iekļauj:
|
| e) | ja šā punkta d) apakšpunktā minētā galīgā ziņojuma iesniegšanas laikā incidents vēl notiek – progresa ziņojumu tajā laikā, savukārt viena mēneša laikā pēc rīkošanās incidenta sakarā –– galīgo ziņojumu. |
3. Savienības vienība bez liekas kavēšanās un katrā ziņā 24 stundu laikā pēc tam, kad uzzinājusi par būtisku incidentu, informē visus relevantos 17. panta 1. punktā minētos partnerus dalībvalstī, kurā tā atrodas, par to, ka ir noticis būtisks incidents.
4. Savienības vienības cita starpā ziņo jebkādu informāciju, kas CERT-EU dod iespēju noteikt jebkādu būtiska incidenta pārvienību ietekmi, ietekmi uz uzņēmēju dalībvalsti vai pārrobežu ietekmi. Neskarot 12. pantu, paziņošana pati par sevi neuzliek Savienības vienībai lielāku atbildību.
5. Attiecīgā gadījumā Savienības vienības skarto tīklu un informācijas sistēmu vai citu IKT vides komponentu lietotājiem, kurus potenciāli var skart būtisks incidents vai būtisks kiberdrauds un kuriem attiecīga gadījumā jāveic mitigācijas pasākumi, bez liekas kavēšanās paziņo par jebkādiem pasākumiem vai korektīvajām darbībām, ko var veikt, reaģējot uz minēto incidentu vai draudu. Attiecīgā gadījumā Savienības vienības informē minētos lietotājus par pašu būtisko kiberdraudu.
6. Ja būtisks incidents vai būtisks kiberdrauds skar Savienības vienības tādas IKT vides tīklu un informācijas sistēmu vai komponentu, kas ir ar nolūku savienota ar citas Savienības vienības IKT vidi, CERT-EU izdod relevantu kiberdrošības brīdinājumu.
7. Savienības vienības pēc CERT-EU pieprasījuma un bez liekas kavēšanās sniedz tai digitālo informāciju, kas radusies attiecīgajos incidentos iesaistīto elektronisko ierīču izmantošanā. CERT-EU var sīkāk precizēt, kuri šādas informācijas veidi tai ir vajadzīgi situācijas apzināšanai un reaģēšanai uz incidentiem.
8. CERT-EU ik trīs mēnešus iesniedz IKP, ENISA, ES INTCEN un CSIRT tīklam kopsavilkuma ziņojumu, kas ietver anonimizētus un apkopotus datus par būtiskiem incidentiem, incidentiem, kiberdraudiem, gandrīz notikušiem notikumiem un ievainojamībām saskaņā ar 20. pantu un būtiskiem incidentiem, kas paziņoti saskaņā ar šā panta 2. punktu. Kopsavilkuma ziņojums ir ieguldījums divgadu ziņojumā par kiberdrošības stāvokli Savienībā, ko pieņem saskaņā ar Direktīvas (ES) 2022/2555 18. pantu.
9. Līdz 2024. gada 8. jūlijam IKP izdod vadlīnijas vai ieteikumus, kur sīkāk precizēta šajā pantā paredzētās ziņošanas kārtība, formāts un saturs. Sagatavojot šādas vadlīnijas vai ieteikumus, IKP ņem vērā visus īstenošanas aktus, kas pieņemti saskaņā ar Direktīvas (ES) 2022/2555 23. panta 11. punktu un nosaka informācijas veidu, formātu un paziņošanas procedūru. CERT-EU izplata attiecīgo tehnisko informāciju, lai Savienības vienības varētu preventīvi atklāt incidentus, reaģēt uz tiem vai veikt mitigācijas pasākumus.
10. Šajā pantā noteiktie ziņošanas pienākumi neattiecas uz:
| a) | ESKI; |
| b) | informāciju, kuras tālāka izplatīšana ir izslēgta ar redzamu marķējumu, ja vien tās kopīgošana ar CERT-EU nav skaidri atļauta. |
whereas