search

keyboard_tab Cyber Resilience Act 2023/2841 LV

 BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf

2023/2841 LV cercato: 'nolūkos' . Output generated live by software developed by IusOnDemand srl


expand index nolūkos:


whereas nolūkos:


definitions:


cloud tag: and the number of total unique words without stopwords is: 456

 

8. pants

Kiberdrošības riska pārvaldības pasākumi

1.   Bez liekas kavēšanās un katrā ziņā līdz 2025. gada 8. septembrim katra Savienības vienība savas visaugstākā līmeņa vadības uzraudzībā veic piemērotus un samērīgus tehniskos, operacionālos un organizatoriskos pasākumus, lai pārvaldītu kiberdrošības riskus, kas apzināti satvarā, un lai novērstu vai mazinātu incidentu ietekmi. Ņemot vērā jaunāko tehnikas līmeni un attiecīgā gadījumā relevantos Eiropas un starptautiskos standartus, minētie pasākumi nodrošina tīklu un informācijas sistēmu drošības līmeni visā IKT vidē, kas ir samērīgs ar kiberdrošības riskiem, ar kuriem saskaras. Novērtējot minēto pasākumu samērīgumu, pienācīgi ņem vērā to, cik lielā mērā Savienības vienība ir pakļauta kiberdrošības riskiem, tās lielumu un incidentu varbūtību un smagumu, tostarp sociālo, ekonomisko un starpinstitucionālo ietekmi.

2.   Savienības vienības kiberdrošības riska pārvaldības pasākumu īstenošanā pievēršas vismaz šādām jomām:

a)

kiberdrošības rīcībpolitika, tostarp pasākumi, kas vajadzīgi, lai īstenotu 6. pantā un šā panta 3. punktā minētos mērķus un prioritātes;

b)

kiberdrošības riska analīzes un informācijas sistēmu drošības rīcībpolitikas;

c)

rīcībpolitiskie mērķi mākoņdatošanas pakalpojumu izmantošanas ziņā;

d)

attiecīgā gadījumā kiberdrošības revīzija, kas var ietvert kiberdrošības riska, ievainojamību un kiberdraudu novērtējumu, un ielaušanās testēšana, ko regulāri veic uzticams privāts pakalpojumu sniedzējs;

e)

no d) apakšpunktā minētajām kiberdrošības revīzijām izrietošo ieteikumu īstenošana ar kiberdrošības un rīcībpolitikas atjauninājumiem;

f)

kiberdrošības organizācija, tostarp lomu un pienākumu noteikšana;

g)

aktīvu pārvaldība, tostarp IKT aktīvu inventarizācija un IKT tīkla kartogrāfija;

h)

cilvēkresursu drošība un piekļuves kontrole;

i)

darbības drošība;

j)

komunikāciju drošība;

k)

sistēmas iegāde, izstrāde un uzturēšana, tostarp ievainojamības risināšanas un izpaušanas rīcībpolitikas;

l)

ja iespējams, pirmkoda pārredzamības rīcībpolitikas;

m)

piegādes ķēdes drošība, tostarp ar drošību saistītus aspektus, kas attiecas uz attiecībām starp katru Savienības vienību un tās tiešajiem piegādātājiem vai pakalpojumu sniedzējiem;

n)

incidentu risināšana un sadarbība ar CERT-EU, piemēram, drošības uzraudzības un reģistrēšanas uzturēšana;

o)

darbības nepārtrauktības pārvaldība, piemēram, dublējuma pārvaldība un negadījuma seku novēršana, un krīžu pārvaldība; un

p)

kiberdrošības izglītības, prasmju, izpratnes veidošanas, mācību un apmācības programmu veicināšana un izstrāde.

Pirmās daļas m) apakšpunkta nolūkos Savienības vienības ņem vērā ievainojamības, kas raksturīgas katram tiešajam piegādātājam un pakalpojumu sniedzējam, un savu piegādātāju un pakalpojumu sniedzēju produktu un kiberdrošības prakšu vispārējo kvalitāti, tostarp drošas izstrādes procedūras.

3.   Savienības vienības veic vismaz šādus īpašus kiberdrošības riska pārvaldības pasākumus:

a)

tehniskie pasākumi, kas dara iespējamu un uztur tāldarbu;

b)

konkrēti pasākumi virzībā uz nulles uzticēšanās principiem;

c)

daudzfaktoru autentifikācijas izmantošana par normu tīklu un informācijas sistēmās;

d)

kriptogrāfijas un šifrēšanas, jo īpaši galšifrēšanas, kā arī droša digitālā paraksta izmantošana;

e)

attiecīgā gadījumā droši balss, video un teksta sakari un drošas ārkārtas situācijas sakaru sistēmas Savienības vienībā;

f)

proaktīvi pasākumi ļaunprogrammatūras un spiegprogrammatūras atklāšanai un izņemšanai;

g)

programmatūras piegādes ķēdes drošības izveide uz programmatūras drošas izstrādes un izvērtēšanas kritēriju pamata;

h)

tādu kiberdrošības mācību programmu izveide un pieņemšana, kas ir samērīgas ar Savienības vienības visaugstākā līmeņa vadībai un tehniskajiem un operatīvajiem darbiniekiem, kam uzdots nodrošināt rezultatīvu šīs regulas īstenošanu, noteiktajiem uzdevumiem un vēlamajām spējām;

i)

regulāra darbinieku apmācība kiberdrošības jomā;

j)

attiecīgā gadījumā dalība savstarpējās savienotības riska analīzē Savienības vienību starpā;

k)

iepirkuma noteikumu uzlabošana nolūkā veicināt vienādu augstu kiberdrošības līmeni, kas darāms:

i)

likvidējot līgumiskos šķēršļus, kuri ierobežo to, kā IKT pakalpojumu sniedzēji var informēt CERT-EU par incidentiem, ievainojamībām un kiberdraudiem;

ii)

ievērojot līgumiskos pienākumus ziņot par incidentiem, ievainojamībām un kiberdraudiem, kā arī ieviest mehānismus pienācīgai reaģēšanai uz incidentiem un to uzraudzībai.

12. pants

Atbilstība

1.   IKP saskaņā ar 10. panta 2. punktu un 11. pantu rezultatīvi uzrauga šīs regulas un pieņemto vadlīniju, ieteikumu un aicinājumu rīkoties īstenošanu Savienības vienībās. IKP var pieprasīt no Savienības vienībām šim nolūkam nepieciešamo informāciju vai dokumentāciju. Kas attiecas uz atbilstības nodrošināšanas pasākumu pieņemšanu saskaņā ar šo pantu, ja attiecīgā Savienības vienība ir tieši pārstāvēta IKP, minētajai Savienības vienībai nav balsstiesību.

2.   Ja IKP konstatē, ka Savienības vienība nav rezultatīvi īstenojusi šo regulu vai vadlīnijas, ieteikumus vai aicinājumus rīkoties, kas izdoti saskaņā ar šo regulu, tā, neskarot attiecīgās Savienības vienības iekšējās procedūras un pēc tam, kad ir devusi iespēju attiecīgajai vienībai izteikt komentārus, var:

a)

sniegt attiecīgajai Savienības vienībai pamatotu atzinumu, kur norādītas konstatētās šīs regulas īstenošanas nepilnības;

b)

pēc apspriešanās ar CERT-EU izdot vadlīnijas attiecīgajai Savienības vienībai, kā noteiktā laikā nodrošināt, ka tās satvars, kiberdrošības riska pārvaldības pasākumi, kiberdrošības plāns un ziņošana atbilst šai regulai;

c)

izdot brīdinājumu noteiktā laikā risināt identificētos trūkumus, tostarp ieteikumus grozīt pasākumus, ko attiecīgā Savienības vienība pieņēmusi saskaņā ar šo regulu;

d)

sniegt attiecīgajai Savienības vienībai pamatotu paziņojumu, ja saskaņā ar c) apakšpunktu izdotajā brīdinājumā identificētie trūkumi noteiktajā laikā nav pietiekami novērsti;

e)

izdot:

i)

ieteikumu veikt revīziju; vai

ii)

pieprasījumu par to, lai revīziju veiktu trešās puses revīzijas dienests;

f)

attiecīgā gadījumā par iespējamo neatbilstību informēt Revīzijas palātu tās pilnvaru ietvaros;

g)

izdot ieteikumu visām dalībvalstīm un Savienības vienībām uz laiku apturēt datu plūsmas uz attiecīgo Savienības vienību.

Pirmās daļas c) apakšpunkta nolūkos brīdinājuma saņēmēju loku pienācīgi ierobežo, ja tas nepieciešams kiberdrošības riska dēļ.

Saskaņā ar pirmo daļu izdotus brīdinājumus un ieteikumus adresē attiecīgās Savienības vienības visaugstākā līmeņa vadībai.

3.   Ja IKP ir pieņēmusi pasākumus saskaņā ar 2. punkta pirmās daļas a)–g) apakšpunktu, attiecīgā Savienības vienība sniedz detalizētu pārskatu par pasākumiem un darbībām, kas veiktas, lai novērstu iespējamos trūkumus, kurus identificējusi IKP. Savienības vienība šo detalizēto pārskatu iesniedz saprātīgā termiņā, par ko vienojas ar IKP.

4.   Ja IKP uzskata, ka Savienības vienība izdara pastāvīgu šīs regulas pārkāpumu, kas tieši izriet no Savienības ierēdņa vai cita darbinieka, tostarp augstākajā vadības līmenī, darbības vai bezdarbības, IKP pieprasa attiecīgajai Savienības vienībai veikt pienācīgus pasākumus, tostarp apsvērt disciplināra rakstura pasākumu veikšanu, saskaņā ar noteikumiem un procedūrām, ko paredz Civildienesta noteikumi un citi piemērojamie noteikumi un procedūras. Šajā nolūkā IKP nodod attiecīgajai Savienības vienībai vajadzīgo informāciju.

5.   Ja Savienības vienības ziņo, ka tās nespēj ievērot 6. panta 1. punktā un 8. panta 1. punktā minētos termiņus, pienācīgi pamatotos gadījumos, ņemot vērā Savienības vienības lielumu, IKP var atļaut tos pagarināt.

IV NODAĻA

CERT-EU


whereas
keyboard_arrow_down