keyboard_tab Cyber Resilience Act 2023/2841 LV
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 7. pants Kiberdrošības gatavības novērtējumi
- 3 13. pants
- 1 18. pants
- 1 25. pants Pārskatīšana
- 26. pants Stāšanās spēkā
I NODAĻA
VISPĀRĪGI NOTEIKUMI
II NODAĻA
VIENĀDA AUGSTA KIBERDROŠĪBAS LĪMEŅA PANĀKŠANAS PASĀKUMI
III NODAĻA
IESTĀŽU KIBERDROŠĪBAS PADOME
IV NODAĻA
CERT-EU
V NODAĻA
SADARBĪBA UN ZIŅOŠANAS PIENĀKUMI
VI NODAĻA
NOBEIGUMA NOTEIKUMI
- savienības 31
- cert-eu 21
- kiberdrošības 15
- vienības 11
- vienībām 10
- vienību 10
- informācijas 9
- cert-eu 9
- informāciju 9
- arī 8
- partneriem 8
- saskaņā 7
- attiecībā 7
- tās 7
- gadījumā 6
- regulas 6
- palīdzību 6
- šīs 6
- pakalpojumu 6
- tīklu 6
- sadarboties 5
- vides 5
- minēto 5
- incidentiem 5
- pēc 5
- eiropas 5
- īstenošanu 5
- gatavības 5
- sniegt 5
- sadarbībā 4
- sekmē 4
- incidentu 4
- izmantojot 4
- pants 4
- konfidencialitātes 4
- līmenī 4
- panta punktā 4
- kiberdraudiem 4
- apstiprinājumu 4
- piemēram 4
- iepriekš 4
- informē 4
- tiem 4
- gada 4
- līdz 4
- attiecīgās 4
- ievainojamībām 3
- gadījumos 3
- csirt 3
- pakalpojumus 3
7. pants
Kiberdrošības gatavības novērtējumi
1. Līdz 2025. gada 8. jūlijam un pēc tam vismaz ik divus gadus katra Savienības vienība veic kiberdrošības gatavības novērtējumu, kas aptver visus tās IKT vides elementus.
2. Kiberdrošības gatavības novērtējumus attiecīgā gadījumā veic ar specializētas trešās puses palīdzību.
3. Savienības vienības ar līdzīgu struktūru var sadarboties savu attiecīgo vienību kiberdrošības gatavības novērtēšanā.
4. Pēc saskaņā ar 10. pantu izveidotās Iestāžu kiberdrošības padomes pieprasījuma un ar skaidru attiecīgās Savienības vienības piekrišanu kiberdrošības gatavības novērtējuma rezultātus var apspriest minētajā padomē vai neformālajā vietējo kiberdrošības speciālistu grupā, lai mācītos no pieredzes un dalītos paraugpraksēs.
13. pants
1. CERT-EU misija ir dot ieguldījumu Savienības vienību neklasificētās IKT vides drošībā, sniedzot tām padomus par kiberdrošību, palīdzot novērst, atklāt, risināt, mitigēt incidentus, reaģēt uz tiem un atgūties no tiem, kā arī rīkojoties kā to kiberdrošības informācijas apmaiņas un reaģēšanas uz incidentiem koordinēšanas centram.
2. CERT-EU vāc, pārvalda, analizē un ar Savienības vienībām kopīgo informāciju par kiberdraudiem, ievainojamībām un incidentiem neklasificētā IKT infrastruktūrā. CERT-EU koordinē reaģēšanu uz incidentiem starpiestāžu un Savienības vienību līmenī, citstarp nodrošinot specializētu operacionālo palīdzību vai koordinējot tās nodrošināšanu.
3. Lai palīdzētu Savienības vienībām, CERT-EU veic šādus uzdevumus:
| a) | sniedz tām atbalstu šīs regulas īstenošanā un palīdz koordinēt tās īstenošanu, izmantojot 14. panta 1. punktā uzskaitītos pasākumus vai IKP pieprasītus ad hoc ziņojumus; |
| b) | piedāvā CSIRT standarta pakalpojumus Savienības vienībām ar tā pakalpojumu katalogā aprakstīto kiberdrošības pakalpojumu pakotni (pamatpakalpojumi); |
| c) | uztur partneru un kolēģu tīklu, lai sekmētu pakalpojumu sniegšanu, kā norādīts 17. un 18. pantā; |
| d) | vērš IKP uzmanību uz visām problēmām, kas saistītas ar šīs regulas īstenošanu un vadlīniju, ieteikumu un aicinājumu rīkoties īstenošanu; |
| e) | izmantojot 2. punktā minēto informāciju, ciešā sadarbībā ar ENISA sekmē Savienības kibersituācijas apzināšanos; |
| f) | koordinē lielu incidentu pārvaldību; |
| g) | attiecībā pret Savienības vienībām darbojas ekvivalenti koordinatoram, kas izraudzīts koordinētas ievainojamības izpaušanas nolūkā saskaņā ar Direktīvas (ES) 2022/2555 12. panta 1. punktu; |
| h) | pēc Savienības vienības pieprasījuma nodrošina minētās Savienības vienības publiski piekļūstamu tīklu un informācijas sistēmu proaktīvu neintruzīvu skenēšanu. |
Šā punkta pirmās daļas e) apakšpunktā minēto informāciju attiecīgos un piemērotos gadījumos un ievērojot pienācīgus konfidencialitātes nosacījumus, kopīgo ar IKP, CSIRT tīklu un Eiropas Savienības Izlūkošanas un situāciju centru (EU INTCEN).
4. CERT-EU var saskaņā ar attiecīgi 17. vai 18. pantu sadarboties ar relevantajām kiberdrošības kopienām Savienībā un tās dalībvalstīs, arī šādās jomās:
| a) | gatavība, incidentu risināšanas koordinēšana, informācijas apmaiņa un reaģēšana uz krīzi tehniskā līmenī ar Savienības vienībām saistītos gadījumos; |
| b) | operacionālā sadarbība CSIRT tīkla aspektā, arī attiecībā uz savstarpējo palīdzību; |
| c) | kiberdraudu izlūkdati, arī situācijas apzināšanās; |
| d) | jebkurš gadījums, kad vajadzīga CERT-EU tehniskā kiberdrošības lietpratība. |
5. CERT-EU savu kompetenču robežās iesaistās strukturētā sadarbībā ar ENISA attiecībā uz spēju veidošanu, operacionālo sadarbību un kiberdraudu ilgtermiņa stratēģisko analīzi saskaņā ar Regulu (ES) 2019/881. CERT-EU var sadarboties un apmainīties ar informāciju ar Eiropola Eiropas Kibernoziedzības apkarošanas centru.
6. CERT-EU var sniegt tālāk norādītos pakalpojumus, kas nav aprakstīti pakalpojumu katalogā (maksas pakalpojumi):
| a) | pakalpojumi, kas sekmē Savienības vienību IKT vides kiberdrošību un nav minēti 3. punktā, pamatojoties uz pakalpojumu līmeņa vienošanos un atkarībā no pieejamajiem resursiem, jo īpaši plaša spektra tīkla uzraudzība, tostarp nepārtrauktu uzraudzību zemākajā līmenī attiecībā uz īpaši bīstamiem kiberdraudiem; |
| b) | pakalpojumi, kas sekmē Savienības vienību kiberdrošības darbības vai projektus, izņemot pakalpojumus to IKT vides aizsardzībai, pamatojoties uz rakstiskiem līgumiem un ar iepriekšēju IKP apstiprinājumu; |
| c) | pēc pieprasījuma proaktīva attiecīgās Savienības vienības tīklu un informācijas sistēmu skenēšana nolūkā atklāt ievainojamības, kam var būt būtiska ietekme; |
| d) | pakalpojumi, kas sekmē IKT vides drošību organizācijās, kuras nav Savienības vienības, bet cieši sadarbojas ar Savienības vienībām, piemēram, pilda ar Savienības tiesību aktiem uzticētus uzdevumus vai pienākumus, pamatojoties uz rakstiskiem līgumiem un ar iepriekšēju IKP apstiprinājumu. |
Attiecībā uz pirmās daļas d) apakšpunktu CERT-EU var izņēmuma kārtā slēgt pakalpojumu līmeņa vienošanās ar vienībām, kas nav Savienības vienības, ja IKP tam iepriekš piekritusi.
7. CERT-EU organizē kiberdrošības mācības, var piedalīties tajās vai ieteikt piedalīties esošās mācībās attiecīgā gadījumā ciešā sadarbībā ar ENISA, lai pārbaudītu Savienības vienību kiberdrošības līmeni.
8. CERT-EU var sniegt palīdzību Savienības vienībām attiecībā uz incidentiem tīklu un informācijas sistēmās, kas rīkojas ar ESKI, ja to nepārprotami pieprasa attiecīgās Savienības vienības saskaņā ar savām attiecīgajām procedūrām. CERT-EU palīdzības sniegšana saskaņā ar šo punktu neskar piemērojamos noteikumus par klasificētas informācijas aizsardzību.
9. CERT-EU informē Savienības vienības par savām incidentu risināšanas procedūrām un procesiem.
10. CERT-EU, ievērojot augstu konfidencialitātes un uzticamības līmeni un izmantojot pienācīgos sadarbības mehānismus un ziņošanas kārtību, sniedz relevantu un anonimizētu informāciju par lieliem incidentiem un to, kā tie risināti. Minēto informāciju iekļauj 10. panta 14. punktā minētajā ziņojumā.
11. CERT-EU sadarbībā ar EDAU atbalsta attiecīgās Savienības vienības, kad tās risina incidentus, kuru rezultātā notiek personas datu aizsardzības pārkāpumi, neskarot kompetenci un uzdevumus, kas EDAU ir kā uzraudzības iestādei saskaņā ar Regulu (ES) 2018/1725.
12. Ja Savienības vienību rīcībpolitikas nodaļas to skaidri lūdz, CERT-EU var sniegt tehniskus padomus vai tehnisku ieguldījumu relevantos rīcībpolitiskos jautājumos.
18. pants
1. Attiecībā uz rīkiem un metodēm, piemēram, paņēmieniem, taktiku, procedūrām un paraugpraksēm, kā arī kiberdraudiem un ievainojamībām CERT-EU var sadarboties ar partneriem Savienībā, kas nav 17. pantā minētie partneri un uz ko attiecas Savienības kiberdrošības prasības, tostarp nozarspecifiskiem industrijas partneriem. Lai sadarbotos ar šādiem partneriem, CERT-EU katrā atsevišķā gadījumā iepriekš saņem IKP apstiprinājumu. Ja CERT-EU iedibina sadarbību ar šādiem partneriem, tā informē visus relevantos 17. panta 1. punktā minētos partnerus tajā dalībvalstī, kurā partneris atrodas. Attiecīgā un piemērotā gadījumā šādu sadarbību un tās nosacījumus, arī attiecībā uz kiberdrošību, datu aizsardzību un informācijas apstrādi, nosaka ar īpašiem konfidencialitātes pasākumiem, piemēram, līgumu vai administratīvu vienošanos. Konfidencialitātes pasākumi IKP nav iepriekš jāapstiprina, tomēr IKP priekšsēdētāju par tiem informē. Ja ir steidzama un neatliekama vajadzība apmainīties ar kiberdrošības informāciju Savienības vienību vai citas puses interesēs, CERT-EU var to darīt ar vienību, kuras konkrētā kompetence, spējas un lietpratība ir pamatoti nepieciešamas, lai palīdzētu risināt šādu steidzamu un neatliekamu vajadzību, pat ja CERT-EU ar minēto vienību nav vienojusies par konfidencialitāti. Šādos gadījumos CERT-EU nekavējoties informē IKP priekšsēdētāju un ziņo IKP, izmantojot regulārus ziņojumus vai sanāksmes.
2. CERT-EU var sadarboties ar partneriem, piemēram, komercuzņēmumiem, tostarp nozarspecifiskām industrijas vienībām, starptautiskām organizācijām, trešo valstu nacionālām vienībām un atsevišķiem ekspertiem, lai vāktu informāciju par vispārējiem un konkrētiem kiberdraudiem, gandrīz notikušiem notikumiem, ievainojamībām un iespējamiem pretpasākumiem. Lai plašāk sadarbotos ar šādiem partneriem, CERT-EU katrā atsevišķā gadījumā iepriekš saņem IKP apstiprinājumu.
3. Ar incidenta skartās Savienības vienības piekrišanu un ar noteikumu, ka ir noslēgta informācijas neizpaušanas vienošanās vai līgums ar relevanto partneri, CERT-EU var sniegt incidentu raksturojošu informāciju partneriem, kas minēti 1. un 2. punktā, vienīgi nolūkā no tiem saņemt palīdzību tās analīzē.
V NODAĻA
SADARBĪBA UN ZIŅOŠANAS PIENĀKUMI
25. pants
Pārskatīšana
1. Līdz 2025. gada 8. janvārim un pēc tam ik gadu IKP ar CERT-EU palīdzību ziņo Komisijai par šīs regulas īstenošanu. IKP var arī sniegt Komisijai ieteikumus pārskatīt šo regulu.
2. Līdz 2027. gada 8. janvārim un pēc tam ik divus gadus Komisija novērtē šīs regulas īstenošanu un stratēģiskajā un operacionālajā līmenī gūto pieredzi un ziņo par to Eiropas Parlamentam un Padomei.
Šī punkta pirmajā daļā minētajā ziņojumā ietver 16. panta 1. punktā minēto pārskatīšanu par iespēju CERT-EU izveidot kā Savienības biroju.
3. Līdz 2029. gada 8. janvārim Komisija izvērtē šīs regulas darbību un iesniedz ziņojumu Eiropas Parlamentam, Padomei, Eiropas Ekonomikas un sociālo lietu komitejai un Reģionu komitejai. Komisija arī izvērtē, vai ir lietderīgi šīs regulas darbības jomā iekļaut tīklu un informācijas sistēmas, kuras rīkojas ar ESKI, ņemot vērā citus Savienības tiesību aktus, kas minētajām sistēmām piemērojami. Ziņojumam vajadzības gadījumā pievieno leģislatīva akta priekšlikumu.
whereas