keyboard_tab Cyber Resilience Act 2023/2841 LV

1.   Līdz 2025. gada 8. aprīlim katra Savienības vienība pēc sākotnējās kiberdrošības pārskatīšanas, piemēram, revīzijas, izveido iekšēju kiberdrošības riska pārvaldības, pārvaldes un kontroles satvaru (“satvars”). Satvara izveidi pārrauga un par to atbild Savienības vienības visaugstākā līmeņa vadība.

2.   Satvars aptver visu attiecīgās Savienības vienības neklasificēto IKT vidi, tostarp jebkādu IKT vidi organizācijas telpās, darbības tehnoloģiju tīklu organizācijas telpās, ārpakalpojumu aktīvus un pakalpojumus mākoņdatošanas vidē vai trešās personas mitinātus aktīvus vai pakalpojumus, mobilās ierīces, korporatīvos tīklus, darbības tīklus, kas nav pievienoti internetam, un jebkādas minētajām vidēm (“IKT vide”) pievienotas ierīces. Satvara pamatā ir visu apdraudējumu pieeja.

3.   Satvars nodrošina augstu kiberdrošības līmeni. Satvars nosaka iekšējās kiberdrošības rīcībpolitikas, tostarp mērķus un prioritātes, tīklu un informācijas sistēmu drošībai, kā arī to Savienības vienības darbinieku uzdevumus un pienākumus, kuriem uzticēts nodrošināt rezultatīvu šīs regulas īstenošanu. Satvarā iekļauj arī mehānismus īstenošanas rezultativitātes mērīšanai.

4.   Mainīgo kiberdrošības risku kontekstā satvaru regulāri un vismaz ik četrus gadus pārskata. Attiecīgā gadījumā un pēc saskaņā ar 10. pantu izveidotās Iestāžu kiberdrošības padomes pieprasījuma Savienības vienība satvaru var atjaunināt, pamatojoties uz CERT-EU norādījumiem par konstatētajiem incidentiem vai iespējamiem trūkumiem, kas novēroti šīs regulas īstenošanā.

5.   Katras Savienības vienības visaugstākā līmeņa vadība ir atbildīga par šīs regulas īstenošanu un pārrauga, kā tās organizācija pilda ar satvaru saistītos pienākumus.

6.   Attiecīgā gadījumā un neskarot vienības atbildību par šīs regulas īstenošanu, katras Savienības vienības visaugstākā līmeņa vadība var šajā regulā noteiktos īpašos pienākumus deleģēt augstākā līmeņa ierēdņiem Civildienesta noteikumu 29. panta 2. punkta izpratnē vai citiem līdzvērtīga līmeņa ierēdņiem attiecīgajā Savienības vienībā. Neatkarīgi no šādas deleģēšanas visaugstākā līmeņa vadību var saukt pie atbildības par šīs regulas pārkāpumiem, ko attiecīgā Savienības vienība izdarījusi.

7.   Katra Savienības vienība ievieš iedarbīgus mehānismus, kuru mērķis ir nodrošināt, ka pienācīga to IKT budžeta procentuālā daļa tiek tērēta kiberdrošības vajadzībām. Nosakot minēto procentuālo daļu, pienācīgi ņem vērā satvaru.

8.   Katra Savienības vienība ieceļ vietējo kiberdrošības speciālistu vai līdzvērtīgu darbinieku, kas rīkojas kā tās vienotais kontaktpunkts visos kiberdrošības aspektos. Vietējais kiberdrošības speciālists veicina šīs regulas īstenošanu un regulāri tieši ziņo visaugstākā līmeņa vadībai par īstenošanas stāvokli. Neskarot to, ka vietējais kiberdrošības speciālists ir vienotais kontaktpunkts katrā Savienības vienībā, Savienības vienība konkrētus vietējā kiberdrošības speciālista uzdevumus attiecībā uz šīs regulas īstenošanu var deleģēt CERT-EU, pamatojoties uz pakalpojumu līmeņa vienošanos, kas noslēgta starp minēto Savienības vienību un CERT-EU, vai minētos uzdevumus var sadalīt pa vairākām Savienības vienībām. Ja minētos uzdevumus deleģē CERT-EU, saskaņā ar 10. pantu izveidotā Iestāžu kiberdrošības padome pieņem lēmumu, vai minētā pakalpojuma sniegšana ir daļa no CERT-EU pamatpakalpojumiem, ņemot vērā attiecīgās Savienības vienības cilvēkresursus un finanšu resursus. Katra Savienības vienība bez liekas kavēšanās paziņo CERT-EU par ieceltajiem vietējiem kiberdrošības speciālistiem un jebkādām turpmākām to maiņām.

CERT-EU izveido un atjaunina iecelto vietējo kiberdrošības speciālistu sarakstu.

9.   Katras Savienības vienības augstākie ierēdņi Civildienesta noteikumu 29. panta 2. punkta izpratnē vai citi līdzvērtīga līmeņa ierēdņi, kā arī visi relevantie darbinieki, kuriem uzdots īstenot kiberdrošības riska pārvaldības pasākumus un pildīt pienākumus, ko paredz šī regula, regulāri piedalās īpašās apmācībās, lai gūtu zināšanas un prasmes, kas ir pietiekamas, lai izprastu un novērtētu kiberdrošības riska un pārvaldības prakses, kā arī to ietekmi uz Savienības vienības darbību.

1.   Bez liekas kavēšanās un katrā ziņā līdz 2025. gada 8. septembrim katra Savienības vienība savas visaugstākā līmeņa vadības uzraudzībā veic piemērotus un samērīgus tehniskos, operacionālos un organizatoriskos pasākumus, lai pārvaldītu kiberdrošības riskus, kas apzināti satvarā, un lai novērstu vai mazinātu incidentu ietekmi. Ņemot vērā jaunāko tehnikas līmeni un attiecīgā gadījumā relevantos Eiropas un starptautiskos standartus, minētie pasākumi nodrošina tīklu un informācijas sistēmu drošības līmeni visā IKT vidē, kas ir samērīgs ar kiberdrošības riskiem, ar kuriem saskaras. Novērtējot minēto pasākumu samērīgumu, pienācīgi ņem vērā to, cik lielā mērā Savienības vienība ir pakļauta kiberdrošības riskiem, tās lielumu un incidentu varbūtību un smagumu, tostarp sociālo, ekonomisko un starpinstitucionālo ietekmi.

2.   Savienības vienības kiberdrošības riska pārvaldības pasākumu īstenošanā pievēršas vismaz šādām jomām:

a)	kiberdrošības rīcībpolitika, tostarp pasākumi, kas vajadzīgi, lai īstenotu 6. pantā un šā panta 3. punktā minētos mērķus un prioritātes;

b)	kiberdrošības riska analīzes un informācijas sistēmu drošības rīcībpolitikas;

c)	rīcībpolitiskie mērķi mākoņdatošanas pakalpojumu izmantošanas ziņā;

d)	attiecīgā gadījumā kiberdrošības revīzija, kas var ietvert kiberdrošības riska, ievainojamību un kiberdraudu novērtējumu, un ielaušanās testēšana, ko regulāri veic uzticams privāts pakalpojumu sniedzējs;

e)	no d) apakšpunktā minētajām kiberdrošības revīzijām izrietošo ieteikumu īstenošana ar kiberdrošības un rīcībpolitikas atjauninājumiem;

f)	kiberdrošības organizācija, tostarp lomu un pienākumu noteikšana;

g)	aktīvu pārvaldība, tostarp IKT aktīvu inventarizācija un IKT tīkla kartogrāfija;

h)	cilvēkresursu drošība un piekļuves kontrole;

i)	darbības drošība;

j)	komunikāciju drošība;

k)	sistēmas iegāde, izstrāde un uzturēšana, tostarp ievainojamības risināšanas un izpaušanas rīcībpolitikas;

l)	ja iespējams, pirmkoda pārredzamības rīcībpolitikas;

m)	piegādes ķēdes drošība, tostarp ar drošību saistītus aspektus, kas attiecas uz attiecībām starp katru Savienības vienību un tās tiešajiem piegādātājiem vai pakalpojumu sniedzējiem;

n)	incidentu risināšana un sadarbība ar CERT-EU, piemēram, drošības uzraudzības un reģistrēšanas uzturēšana;

o)	darbības nepārtrauktības pārvaldība, piemēram, dublējuma pārvaldība un negadījuma seku novēršana, un krīžu pārvaldība; un

p)	kiberdrošības izglītības, prasmju, izpratnes veidošanas, mācību un apmācības programmu veicināšana un izstrāde.

Pirmās daļas m) apakšpunkta nolūkos Savienības vienības ņem vērā ievainojamības, kas raksturīgas katram tiešajam piegādātājam un pakalpojumu sniedzējam, un savu piegādātāju un pakalpojumu sniedzēju produktu un kiberdrošības prakšu vispārējo kvalitāti, tostarp drošas izstrādes procedūras.

3.   Savienības vienības veic vismaz šādus īpašus kiberdrošības riska pārvaldības pasākumus:

a)	tehniskie pasākumi, kas dara iespējamu un uztur tāldarbu;

b)	konkrēti pasākumi virzībā uz nulles uzticēšanās principiem;

c)	daudzfaktoru autentifikācijas izmantošana par normu tīklu un informācijas sistēmās;

d)	kriptogrāfijas un šifrēšanas, jo īpaši galšifrēšanas, kā arī droša digitālā paraksta izmantošana;

e)	attiecīgā gadījumā droši balss, video un teksta sakari un drošas ārkārtas situācijas sakaru sistēmas Savienības vienībā;

f)	proaktīvi pasākumi ļaunprogrammatūras un spiegprogrammatūras atklāšanai un izņemšanai;

g)	programmatūras piegādes ķēdes drošības izveide uz programmatūras drošas izstrādes un izvērtēšanas kritēriju pamata;

h)	tādu kiberdrošības mācību programmu izveide un pieņemšana, kas ir samērīgas ar Savienības vienības visaugstākā līmeņa vadībai un tehniskajiem un operatīvajiem darbiniekiem, kam uzdots nodrošināt rezultatīvu šīs regulas īstenošanu, noteiktajiem uzdevumiem un vēlamajām spējām;

i)	regulāra darbinieku apmācība kiberdrošības jomā;

j)	attiecīgā gadījumā dalība savstarpējās savienotības riska analīzē Savienības vienību starpā;

k)

iepirkuma noteikumu uzlabošana nolūkā veicināt vienādu augstu kiberdrošības līmeni, kas darāms: i) likvidējot līgumiskos šķēršļus, kuri ierobežo to, kā IKT pakalpojumu sniedzēji var informēt CERT-EU par incidentiem, ievainojamībām un kiberdraudiem; ii) ievērojot līgumiskos pienākumus ziņot par incidentiem, ievainojamībām un kiberdraudiem, kā arī ieviest mehānismus pienācīgai reaģēšanai uz incidentiem un to uzraudzībai.

1.   Ar šo tiek izveidota Iestāžu kiberdrošības padome (IKP).

2.   IKP ziņā ir:

a)	uzraudzīt un atbalstīt šīs regulas īstenošanu Savienības vienībās;

b)	uzraudzīt CERT-EU vispārējo prioritāšu un mērķu īstenošanu un noteikt CERT-EU stratēģisko virzienu.

3.   IKP sastāvā ir:

a)

viens pārstāvis, ko ieceļ katrs no turpmāk minētajiem: i) Eiropas Parlaments; ii) Eiropadome; iii) Eiropas Savienības Padome; iv) Komisija; v) Eiropas Savienības Tiesa; vi) Eiropas Centrālā banka; vii) Revīzijas palāta; viii) Eiropas Ārējās darbības dienests; ix) Eiropas Ekonomikas un sociālo lietu komiteja; x) Eiropas Reģionu komiteja; xi) Eiropas Investīciju banka; xii) Eiropas Industriālais, tehnoloģiskais un pētnieciskais kiberdrošības kompetenču centrs; xiii) ENISA; xiv) Eiropas Datu aizsardzības uzraudzītājs (EDAU); xv) Eiropas Savienības Kosmosa programmas aģentūra;

b)	trīs pārstāvji, ko pēc IKT Padomdevējas komitejas ierosinājuma ieceļ ES aģentūru tīkls (ESAT), lai pārstāvētu tādu Savienības struktūru, biroju un aģentūru intereses, kas uztur savu IKT vidi un kas nav minētas a) apakšpunktā.

IKP pārstāvētās Savienības vienības tiecas iecelto pārstāvju vidū nodrošināt dzimumu līdzsvaru.

4.   IKP locekļiem var palīdzēt aizvietotājs. Citus 3. punktā minēto Savienības vienību vai citu Savienības vienību pārstāvjus priekšsēdētājs var uzaicināt piedalīties IKP sanāksmēs bez balsošanas tiesībām.

5.   CERT-EU vadītājs un saskaņā ar attiecīgi Direktīvas (ES) 2022/2555 14., 15. un 16. pantu izveidotās sadarbības grupas, CSIRT tīkla un EU-CyCLONe priekšsēdētāji vai to aizstājēji var piedalīties IKP sanāksmēs kā novērotāji. Ārkārtas gadījumos IKP saskaņā ar savu iekšējo reglamentu var nolemt citādi.

6.   IKP pieņem iekšējo reglamentu.

7.   Saskaņā ar iekšējo reglamentu IKP no visu locekļu vidus uz trim gadiem ieceļ priekšsēdētāju. Priekšsēdētāja aizvietotājs kļūst par pilntiesīgu IKP locekli uz tādu pašu laika periodu.

8.   IKP tiekas vismaz trīs reizes gadā pēc tās priekšsēdētāja iniciatīvas, pēc CERT-EU pieprasījuma vai pēc kāda tās locekļa lūguma.

9.   Katram IKP loceklim ir viena balss. IKP lēmumus pieņem ar vienkāršu balsu vairākumu, izņemot gadījumos, kad šajā regulā paredzēts citādi. IKP priekšsēdētājs nebalso, ja vien nav vienāds balsu sadalījums – tādā gadījumā priekšsēdētāja balss ir izšķirošā.

10.   IKP var izmantot vienkāršotu rakstisku procedūru, ko sāk saskaņā ar tās iekšējo reglamentu. Minētajā procedūrā relevantais lēmums tiek uzskatīts par apstiprinātu priekšsēdētāja noteiktajā periodā, ja vien kāds loceklis nav iebildis.

11.   IKP sekretariātu nodrošina Komisija, un tas atskaitās IKP priekšsēdētājam.

12.   ESAT izvirzītie pārstāvji par IKP lēmumiem informē ESAT locekļus. Ikvienam ESAT loceklim ir tiesības informēt minētos pārstāvjus vai IKP priekšsēdētāju par jebkuru jautājumu, ko tas uzskata par tādu, kas būtu jādara zināms IKP.

13.   IKP var izveidot izpildkomiteju, kas tai palīdz veikt tās darbu, kā arī deleģēt izpildkomitejai dažus savus uzdevumus un pilnvaras. IKP pieņem izpildkomitejas reglamentu, kas nosaka tās uzdevumus un pilnvaras, kā arī locekļu pilnvaru laiku.

14.   Līdz 2025. gada 8. janvārim un pēc tam ik gadu IKP iesniedz Eiropas Parlamentam un Padomei ziņojumu, kurā sīki izklāstīts progress, kas panākts šīs regulas īstenošanā, un jo īpaši norādīts, cik lielā mērā CERT-EU sadarbojas ar saviem partneriem katrā dalībvalstī. Minētais ziņojums ir ieguldījums divgadu ziņojumā par kiberdrošības stāvokli Savienībā, ko pieņem saskaņā ar Direktīvas (ES) 2022/2555 18. pantu.

1.   IKP saskaņā ar 10. panta 2. punktu un 11. pantu rezultatīvi uzrauga šīs regulas un pieņemto vadlīniju, ieteikumu un aicinājumu rīkoties īstenošanu Savienības vienībās. IKP var pieprasīt no Savienības vienībām šim nolūkam nepieciešamo informāciju vai dokumentāciju. Kas attiecas uz atbilstības nodrošināšanas pasākumu pieņemšanu saskaņā ar šo pantu, ja attiecīgā Savienības vienība ir tieši pārstāvēta IKP, minētajai Savienības vienībai nav balsstiesību.

2.   Ja IKP konstatē, ka Savienības vienība nav rezultatīvi īstenojusi šo regulu vai vadlīnijas, ieteikumus vai aicinājumus rīkoties, kas izdoti saskaņā ar šo regulu, tā, neskarot attiecīgās Savienības vienības iekšējās procedūras un pēc tam, kad ir devusi iespēju attiecīgajai vienībai izteikt komentārus, var:

a)	sniegt attiecīgajai Savienības vienībai pamatotu atzinumu, kur norādītas konstatētās šīs regulas īstenošanas nepilnības;

b)	pēc apspriešanās ar CERT-EU izdot vadlīnijas attiecīgajai Savienības vienībai, kā noteiktā laikā nodrošināt, ka tās satvars, kiberdrošības riska pārvaldības pasākumi, kiberdrošības plāns un ziņošana atbilst šai regulai;

c)	izdot brīdinājumu noteiktā laikā risināt identificētos trūkumus, tostarp ieteikumus grozīt pasākumus, ko attiecīgā Savienības vienība pieņēmusi saskaņā ar šo regulu;

d)	sniegt attiecīgajai Savienības vienībai pamatotu paziņojumu, ja saskaņā ar c) apakšpunktu izdotajā brīdinājumā identificētie trūkumi noteiktajā laikā nav pietiekami novērsti;

e)	izdot: i) ieteikumu veikt revīziju; vai ii) pieprasījumu par to, lai revīziju veiktu trešās puses revīzijas dienests;

f)	attiecīgā gadījumā par iespējamo neatbilstību informēt Revīzijas palātu tās pilnvaru ietvaros;

g)	izdot ieteikumu visām dalībvalstīm un Savienības vienībām uz laiku apturēt datu plūsmas uz attiecīgo Savienības vienību.

Pirmās daļas c) apakšpunkta nolūkos brīdinājuma saņēmēju loku pienācīgi ierobežo, ja tas nepieciešams kiberdrošības riska dēļ.

Saskaņā ar pirmo daļu izdotus brīdinājumus un ieteikumus adresē attiecīgās Savienības vienības visaugstākā līmeņa vadībai.

3.   Ja IKP ir pieņēmusi pasākumus saskaņā ar 2. punkta pirmās daļas a)–g) apakšpunktu, attiecīgā Savienības vienība sniedz detalizētu pārskatu par pasākumiem un darbībām, kas veiktas, lai novērstu iespējamos trūkumus, kurus identificējusi IKP. Savienības vienība šo detalizēto pārskatu iesniedz saprātīgā termiņā, par ko vienojas ar IKP.

4.   Ja IKP uzskata, ka Savienības vienība izdara pastāvīgu šīs regulas pārkāpumu, kas tieši izriet no Savienības ierēdņa vai cita darbinieka, tostarp augstākajā vadības līmenī, darbības vai bezdarbības, IKP pieprasa attiecīgajai Savienības vienībai veikt pienācīgus pasākumus, tostarp apsvērt disciplināra rakstura pasākumu veikšanu, saskaņā ar noteikumiem un procedūrām, ko paredz Civildienesta noteikumi un citi piemērojamie noteikumi un procedūras. Šajā nolūkā IKP nodod attiecīgajai Savienības vienībai vajadzīgo informāciju.

5.   Ja Savienības vienības ziņo, ka tās nespēj ievērot 6. panta 1. punktā un 8. panta 1. punktā minētos termiņus, pienācīgi pamatotos gadījumos, ņemot vērā Savienības vienības lielumu, IKP var atļaut tos pagarināt.

1.   Komisija pēc divu trešdaļu IKP locekļu vairākuma apstiprinājuma saņemšanas ieceļ CERT-EU vadītāju. Visos iecelšanas procedūras posmos apspriežas ar IKP, jo īpaši attiecībā uz paziņojuma par vakanci sagatavošanu, pieteikumu izskatīšanu un atlases komitejas iecelšanu šai amata vietai. Atlases procedūra, tostarp galīgo to kandidātu saraksts, no kuru vidus jāieceļ CERT-EU vadītājs, nodrošina taisnīgu katra dzimuma pārstāvību, ņemot vērā iesniegtos pieteikumus.

2.   CERT-EU vadītājs ir atbildīgs par pareizu CERT-EU darbību un IKP vadībā darbojas savas kompetences ietvaros. CERT-EU vadītājs regulāri ziņo IKP priekšsēdētājam un pēc IKP pieprasījuma iesniedz tai ad hoc ziņojumus.

3.   CERT-EU vadītājs palīdz atbildīgajam deleģētajam kredītrīkotājam sagatavot gada darbības pārskatu, kas satur finanšu un vadības informāciju, tostarp kontroļu rezultātus, un ko izstrādā saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES, Euratom) 2018/1046 (9) 74. panta 9. punktu, un regulāri ziņo deleģētajam kredītrīkotājam par to pasākumu īstenošanu, attiecībā uz kuriem CERT-EU vadītājam pastarpināti deleģētas pilnvaras.

4.   CERT-EU vadītājs ik gadu sagatavo savu darbību administratīvo ieņēmumu un izdevumu finanšu plānu, gada darba programmas priekšlikumu, CERT-EU pakalpojumu kataloga priekšlikumu un pārskatīto pakalpojumu kataloga redakciju priekšlikumus, priekšlikumus par pakalpojumu līmeņa vienošanos kārtību un priekšlikumus par CERT-EU KPI, kas IKP jāapstiprina saskaņā ar 11. pantu. Pārskatot CERT-EU pakalpojumu katalogā iekļauto pakalpojumu sarakstu, CERT-EU vadītājs ņem vērā CERT-EU piešķirtos resursus.

5.   CERT-EU vadītājs vismaz ik gadu iesniedz IKP un IKP priekšsēdētājam ziņojumus par CERT-EU darbībām un sniegumu pārskata periodā, tostarp par budžeta izpildi, pakalpojumu līmeņa vienošanos un noslēgtajiem rakstiskajiem nolīgumiem, sadarbību ar partneriem un darbinieku komandējumiem, tostarp 11. pantā minētos ziņojumus. Minētajos ziņojumos iekļauj nākamā perioda darba programmu, ieņēmumu un izdevumu finanšu plānojumu, tostarp personāla sastāvu, CERT-EU pakalpojumu kataloga plānoto atjaunināšanu un novērtējumu par šādu atjauninājumu paredzamo ietekmi uz finanšu resursiem un cilvēkresursiem.

1.   Attiecībā uz rīkiem un metodēm, piemēram, paņēmieniem, taktiku, procedūrām un paraugpraksēm, kā arī kiberdraudiem un ievainojamībām CERT-EU var sadarboties ar partneriem Savienībā, kas nav 17. pantā minētie partneri un uz ko attiecas Savienības kiberdrošības prasības, tostarp nozarspecifiskiem industrijas partneriem. Lai sadarbotos ar šādiem partneriem, CERT-EU katrā atsevišķā gadījumā iepriekš saņem IKP apstiprinājumu. Ja CERT-EU iedibina sadarbību ar šādiem partneriem, tā informē visus relevantos 17. panta 1. punktā minētos partnerus tajā dalībvalstī, kurā partneris atrodas. Attiecīgā un piemērotā gadījumā šādu sadarbību un tās nosacījumus, arī attiecībā uz kiberdrošību, datu aizsardzību un informācijas apstrādi, nosaka ar īpašiem konfidencialitātes pasākumiem, piemēram, līgumu vai administratīvu vienošanos. Konfidencialitātes pasākumi IKP nav iepriekš jāapstiprina, tomēr IKP priekšsēdētāju par tiem informē. Ja ir steidzama un neatliekama vajadzība apmainīties ar kiberdrošības informāciju Savienības vienību vai citas puses interesēs, CERT-EU var to darīt ar vienību, kuras konkrētā kompetence, spējas un lietpratība ir pamatoti nepieciešamas, lai palīdzētu risināt šādu steidzamu un neatliekamu vajadzību, pat ja CERT-EU ar minēto vienību nav vienojusies par konfidencialitāti. Šādos gadījumos CERT-EU nekavējoties informē IKP priekšsēdētāju un ziņo IKP, izmantojot regulārus ziņojumus vai sanāksmes.

2.   CERT-EU var sadarboties ar partneriem, piemēram, komercuzņēmumiem, tostarp nozarspecifiskām industrijas vienībām, starptautiskām organizācijām, trešo valstu nacionālām vienībām un atsevišķiem ekspertiem, lai vāktu informāciju par vispārējiem un konkrētiem kiberdraudiem, gandrīz notikušiem notikumiem, ievainojamībām un iespējamiem pretpasākumiem. Lai plašāk sadarbotos ar šādiem partneriem, CERT-EU katrā atsevišķā gadījumā iepriekš saņem IKP apstiprinājumu.

3.   Ar incidenta skartās Savienības vienības piekrišanu un ar noteikumu, ka ir noslēgta informācijas neizpaušanas vienošanās vai līgums ar relevanto partneri, CERT-EU var sniegt incidentu raksturojošu informāciju partneriem, kas minēti 1. un 2. punktā, vienīgi nolūkā no tiem saņemt palīdzību tās analīzē.

1.   Incidentu uzskata par būtisku, ja:

a)	tas ir izraisījis vai spēj izraisīt smagus attiecīgās Savienības vienības funkcionēšanas traucējumus vai finansiālus zaudējumus;

b)	tas ir ietekmējis vai spēj ietekmēt citas fiziskas vai juridiskas personas, radot būtisku materiālu vai nemateriālu kaitējumu.

2.   Savienības vienības iesniedz CERT-EU:

a)	bez liekas kavēšanās un katrā ziņā 24 stundu laikā no brīža, kad uzzinājušas par būtisko incidentu, – agrīnu brīdinājumu, kurā attiecīgā gadījumā norāda, ka būtisko incidentu ir izraisījusi, domājams, nelikumīga vai ļaunprātīga rīcība un vai tam varētu būt pārvienību vai pārrobežu ietekme;

b)

bez liekas kavēšanās un jebkurā gadījumā 72 stundu laikā pēc tam, kad uzzinājušas par būtisko incidentu, – paziņojumu par incidentu, kurā attiecīgā gadījumā atjaunina a) apakšpunktā minēto informāciju un norāda būtiskā incidenta sākotnējo novērtējumu, tostarp tā smagumu un ietekmi, kā arī, ja pieejami, aizskāruma rādītājus;

c)	pēc CERT-EU pieprasījuma – starpposma ziņojumu par relevantajiem statusa atjauninājumiem;

d)

galīgu ziņojumu ne vēlāk kā mēnesi pēc b) apakšpunktā minētā paziņojuma par incidentu iesniegšanas, un tajā iekļauj: i) detalizētu incidenta aprakstu, arī par tā smagumu un ietekmi; ii) draudu veidu vai pamatcēloni, kas, ticamākais, izraisījis incidentu; iii) piemērotos un notiekošos mitigācijas pasākumus; iv) attiecīgā gadījumā incidenta pārrobežu vai pārvienību ietekmi;

e)	ja šā punkta d) apakšpunktā minētā galīgā ziņojuma iesniegšanas laikā incidents vēl notiek – progresa ziņojumu tajā laikā, savukārt viena mēneša laikā pēc rīkošanās incidenta sakarā –– galīgo ziņojumu.

3.   Savienības vienība bez liekas kavēšanās un katrā ziņā 24 stundu laikā pēc tam, kad uzzinājusi par būtisku incidentu, informē visus relevantos 17. panta 1. punktā minētos partnerus dalībvalstī, kurā tā atrodas, par to, ka ir noticis būtisks incidents.

4.   Savienības vienības cita starpā ziņo jebkādu informāciju, kas CERT-EU dod iespēju noteikt jebkādu būtiska incidenta pārvienību ietekmi, ietekmi uz uzņēmēju dalībvalsti vai pārrobežu ietekmi. Neskarot 12. pantu, paziņošana pati par sevi neuzliek Savienības vienībai lielāku atbildību.

5.   Attiecīgā gadījumā Savienības vienības skarto tīklu un informācijas sistēmu vai citu IKT vides komponentu lietotājiem, kurus potenciāli var skart būtisks incidents vai būtisks kiberdrauds un kuriem attiecīga gadījumā jāveic mitigācijas pasākumi, bez liekas kavēšanās paziņo par jebkādiem pasākumiem vai korektīvajām darbībām, ko var veikt, reaģējot uz minēto incidentu vai draudu. Attiecīgā gadījumā Savienības vienības informē minētos lietotājus par pašu būtisko kiberdraudu.

6.   Ja būtisks incidents vai būtisks kiberdrauds skar Savienības vienības tādas IKT vides tīklu un informācijas sistēmu vai komponentu, kas ir ar nolūku savienota ar citas Savienības vienības IKT vidi, CERT-EU izdod relevantu kiberdrošības brīdinājumu.

7.   Savienības vienības pēc CERT-EU pieprasījuma un bez liekas kavēšanās sniedz tai digitālo informāciju, kas radusies attiecīgajos incidentos iesaistīto elektronisko ierīču izmantošanā. CERT-EU var sīkāk precizēt, kuri šādas informācijas veidi tai ir vajadzīgi situācijas apzināšanai un reaģēšanai uz incidentiem.

8.   CERT-EU ik trīs mēnešus iesniedz IKP, ENISA, ES INTCEN un CSIRT tīklam kopsavilkuma ziņojumu, kas ietver anonimizētus un apkopotus datus par būtiskiem incidentiem, incidentiem, kiberdraudiem, gandrīz notikušiem notikumiem un ievainojamībām saskaņā ar 20. pantu un būtiskiem incidentiem, kas paziņoti saskaņā ar šā panta 2. punktu. Kopsavilkuma ziņojums ir ieguldījums divgadu ziņojumā par kiberdrošības stāvokli Savienībā, ko pieņem saskaņā ar Direktīvas (ES) 2022/2555 18. pantu.

9.   Līdz 2024. gada 8. jūlijam IKP izdod vadlīnijas vai ieteikumus, kur sīkāk precizēta šajā pantā paredzētās ziņošanas kārtība, formāts un saturs. Sagatavojot šādas vadlīnijas vai ieteikumus, IKP ņem vērā visus īstenošanas aktus, kas pieņemti saskaņā ar Direktīvas (ES) 2022/2555 23. panta 11. punktu un nosaka informācijas veidu, formātu un paziņošanas procedūru. CERT-EU izplata attiecīgo tehnisko informāciju, lai Savienības vienības varētu preventīvi atklāt incidentus, reaģēt uz tiem vai veikt mitigācijas pasākumus.

10.   Šajā pantā noteiktie ziņošanas pienākumi neattiecas uz:

a)

ESKI;

b)	informāciju, kuras tālāka izplatīšana ir izslēgta ar redzamu marķējumu, ja vien tās kopīgošana ar CERT-EU nav skaidri atļauta.

1.   Lai operacionālā līmenī atbalstītu tādu lielu incidentu koordinētu pārvaldību, kas ietekmē Savienības vienības, un veicinātu regulāru relevantās informācijas apmaiņu starp Savienības vienībām un ar dalībvalstīm, IKP ciešā sadarbībā ar CERT-EU un ENISA saskaņā ar 11. panta q) punktu izstrādā kiberkrīžu pārvaldības plānu, balstoties uz 22. panta 2. punktā minētajām darbībām. Kiberkrīžu pārvaldības plānā iekļauj vismaz šādus elementus:

a)	koordinācijas un informācijas plūsmas kārtība starp Savienības vienībām lielu incidentu pārvaldībai operacionālā līmenī;

b)	kopējas standarta operāciju procedūras (SOP);

c)	lielu incidentu smaguma un krīzes izraisītāju tipiskā taksonomija;

d)	regulāras mācības;

e)	izmantojamie drošas saziņas kanāli.

2.   Komisijas pārstāvis IKP, ievērojot kiberkrīžu pārvaldības plānu, kas izveidots saskaņā ar šā panta 1. punktu, un neskarot Direktīvas (ES) 2022/2555 16. panta 2. punkta pirmo daļu, ir kontaktpunkts relevantās informācijas kopīgošanai ar EU-CyCLONe lielu incidentu sakarā.

3.   CERT-EU koordinē to, kā Savienības vienības pārvalda lielus incidentus. Tā uztur tādu pieejamās tehniskās lietpratības portfeli, kas būtu vajadzīga reaģēšanai uz incidentiem lielu incidentu gadījumā, un palīdz IKP koordinēt 9. panta 2. punktā minētos Savienības vienību kiberkrīžu pārvaldības plānus lielu incidentu gadījumiem.

4.   Savienības vienības palīdz veidot tehniskās lietpratības portfeli, iesniedzot un katru gadu atjauninot to attiecīgajās organizācijās pieejamo ekspertu sarakstu, kurā norāda viņu konkrētās tehniskās prasmes.