keyboard_tab Cyber Resilience Act 2023/2841 LV

1.   Līdz 2025. gada 8. aprīlim katra Savienības vienība pēc sākotnējās kiberdrošības pārskatīšanas, piemēram, revīzijas, izveido iekšēju kiberdrošības riska pārvaldības, pārvaldes un kontroles satvaru (“satvars”). Satvara izveidi pārrauga un par to atbild Savienības vienības visaugstākā līmeņa vadība.

2.   Satvars aptver visu attiecīgās Savienības vienības neklasificēto IKT vidi, tostarp jebkādu IKT vidi organizācijas telpās, darbības tehnoloģiju tīklu organizācijas telpās, ārpakalpojumu aktīvus un pakalpojumus mākoņdatošanas vidē vai trešās personas mitinātus aktīvus vai pakalpojumus, mobilās ierīces, korporatīvos tīklus, darbības tīklus, kas nav pievienoti internetam, un jebkādas minētajām vidēm (“IKT vide”) pievienotas ierīces. Satvara pamatā ir visu apdraudējumu pieeja.

3.   Satvars nodrošina augstu kiberdrošības līmeni. Satvars nosaka iekšējās kiberdrošības rīcībpolitikas, tostarp mērķus un prioritātes, tīklu un informācijas sistēmu drošībai, kā arī to Savienības vienības darbinieku uzdevumus un pienākumus, kuriem uzticēts nodrošināt rezultatīvu šīs regulas īstenošanu. Satvarā iekļauj arī mehānismus īstenošanas rezultativitātes mērīšanai.

4.   Mainīgo kiberdrošības risku kontekstā satvaru regulāri un vismaz ik četrus gadus pārskata. Attiecīgā gadījumā un pēc saskaņā ar 10. pantu izveidotās Iestāžu kiberdrošības padomes pieprasījuma Savienības vienība satvaru var atjaunināt, pamatojoties uz CERT-EU norādījumiem par konstatētajiem incidentiem vai iespējamiem trūkumiem, kas novēroti šīs regulas īstenošanā.

5.   Katras Savienības vienības visaugstākā līmeņa vadība ir atbildīga par šīs regulas īstenošanu un pārrauga, kā tās organizācija pilda ar satvaru saistītos pienākumus.

6.   Attiecīgā gadījumā un neskarot vienības atbildību par šīs regulas īstenošanu, katras Savienības vienības visaugstākā līmeņa vadība var šajā regulā noteiktos īpašos pienākumus deleģēt augstākā līmeņa ierēdņiem Civildienesta noteikumu 29. panta 2. punkta izpratnē vai citiem līdzvērtīga līmeņa ierēdņiem attiecīgajā Savienības vienībā. Neatkarīgi no šādas deleģēšanas visaugstākā līmeņa vadību var saukt pie atbildības par šīs regulas pārkāpumiem, ko attiecīgā Savienības vienība izdarījusi.

7.   Katra Savienības vienība ievieš iedarbīgus mehānismus, kuru mērķis ir nodrošināt, ka pienācīga to IKT budžeta procentuālā daļa tiek tērēta kiberdrošības vajadzībām. Nosakot minēto procentuālo daļu, pienācīgi ņem vērā satvaru.

8.   Katra Savienības vienība ieceļ vietējo kiberdrošības speciālistu vai līdzvērtīgu darbinieku, kas rīkojas kā tās vienotais kontaktpunkts visos kiberdrošības aspektos. Vietējais kiberdrošības speciālists veicina šīs regulas īstenošanu un regulāri tieši ziņo visaugstākā līmeņa vadībai par īstenošanas stāvokli. Neskarot to, ka vietējais kiberdrošības speciālists ir vienotais kontaktpunkts katrā Savienības vienībā, Savienības vienība konkrētus vietējā kiberdrošības speciālista uzdevumus attiecībā uz šīs regulas īstenošanu var deleģēt CERT-EU, pamatojoties uz pakalpojumu līmeņa vienošanos, kas noslēgta starp minēto Savienības vienību un CERT-EU, vai minētos uzdevumus var sadalīt pa vairākām Savienības vienībām. Ja minētos uzdevumus deleģē CERT-EU, saskaņā ar 10. pantu izveidotā Iestāžu kiberdrošības padome pieņem lēmumu, vai minētā pakalpojuma sniegšana ir daļa no CERT-EU pamatpakalpojumiem, ņemot vērā attiecīgās Savienības vienības cilvēkresursus un finanšu resursus. Katra Savienības vienība bez liekas kavēšanās paziņo CERT-EU par ieceltajiem vietējiem kiberdrošības speciālistiem un jebkādām turpmākām to maiņām.

CERT-EU izveido un atjaunina iecelto vietējo kiberdrošības speciālistu sarakstu.

9.   Katras Savienības vienības augstākie ierēdņi Civildienesta noteikumu 29. panta 2. punkta izpratnē vai citi līdzvērtīga līmeņa ierēdņi, kā arī visi relevantie darbinieki, kuriem uzdots īstenot kiberdrošības riska pārvaldības pasākumus un pildīt pienākumus, ko paredz šī regula, regulāri piedalās īpašās apmācībās, lai gūtu zināšanas un prasmes, kas ir pietiekamas, lai izprastu un novērtētu kiberdrošības riska un pārvaldības prakses, kā arī to ietekmi uz Savienības vienības darbību.

1.   Bez liekas kavēšanās un katrā ziņā līdz 2025. gada 8. septembrim katra Savienības vienība savas visaugstākā līmeņa vadības uzraudzībā veic piemērotus un samērīgus tehniskos, operacionālos un organizatoriskos pasākumus, lai pārvaldītu kiberdrošības riskus, kas apzināti satvarā, un lai novērstu vai mazinātu incidentu ietekmi. Ņemot vērā jaunāko tehnikas līmeni un attiecīgā gadījumā relevantos Eiropas un starptautiskos standartus, minētie pasākumi nodrošina tīklu un informācijas sistēmu drošības līmeni visā IKT vidē, kas ir samērīgs ar kiberdrošības riskiem, ar kuriem saskaras. Novērtējot minēto pasākumu samērīgumu, pienācīgi ņem vērā to, cik lielā mērā Savienības vienība ir pakļauta kiberdrošības riskiem, tās lielumu un incidentu varbūtību un smagumu, tostarp sociālo, ekonomisko un starpinstitucionālo ietekmi.

2.   Savienības vienības kiberdrošības riska pārvaldības pasākumu īstenošanā pievēršas vismaz šādām jomām:

a)	kiberdrošības rīcībpolitika, tostarp pasākumi, kas vajadzīgi, lai īstenotu 6. pantā un šā panta 3. punktā minētos mērķus un prioritātes;

b)	kiberdrošības riska analīzes un informācijas sistēmu drošības rīcībpolitikas;

c)	rīcībpolitiskie mērķi mākoņdatošanas pakalpojumu izmantošanas ziņā;

d)	attiecīgā gadījumā kiberdrošības revīzija, kas var ietvert kiberdrošības riska, ievainojamību un kiberdraudu novērtējumu, un ielaušanās testēšana, ko regulāri veic uzticams privāts pakalpojumu sniedzējs;

e)	no d) apakšpunktā minētajām kiberdrošības revīzijām izrietošo ieteikumu īstenošana ar kiberdrošības un rīcībpolitikas atjauninājumiem;

f)	kiberdrošības organizācija, tostarp lomu un pienākumu noteikšana;

g)	aktīvu pārvaldība, tostarp IKT aktīvu inventarizācija un IKT tīkla kartogrāfija;

h)	cilvēkresursu drošība un piekļuves kontrole;

i)	darbības drošība;

j)	komunikāciju drošība;

k)	sistēmas iegāde, izstrāde un uzturēšana, tostarp ievainojamības risināšanas un izpaušanas rīcībpolitikas;

l)	ja iespējams, pirmkoda pārredzamības rīcībpolitikas;

m)	piegādes ķēdes drošība, tostarp ar drošību saistītus aspektus, kas attiecas uz attiecībām starp katru Savienības vienību un tās tiešajiem piegādātājiem vai pakalpojumu sniedzējiem;

n)	incidentu risināšana un sadarbība ar CERT-EU, piemēram, drošības uzraudzības un reģistrēšanas uzturēšana;

o)	darbības nepārtrauktības pārvaldība, piemēram, dublējuma pārvaldība un negadījuma seku novēršana, un krīžu pārvaldība; un

p)	kiberdrošības izglītības, prasmju, izpratnes veidošanas, mācību un apmācības programmu veicināšana un izstrāde.

Pirmās daļas m) apakšpunkta nolūkos Savienības vienības ņem vērā ievainojamības, kas raksturīgas katram tiešajam piegādātājam un pakalpojumu sniedzējam, un savu piegādātāju un pakalpojumu sniedzēju produktu un kiberdrošības prakšu vispārējo kvalitāti, tostarp drošas izstrādes procedūras.

3.   Savienības vienības veic vismaz šādus īpašus kiberdrošības riska pārvaldības pasākumus:

a)	tehniskie pasākumi, kas dara iespējamu un uztur tāldarbu;

b)	konkrēti pasākumi virzībā uz nulles uzticēšanās principiem;

c)	daudzfaktoru autentifikācijas izmantošana par normu tīklu un informācijas sistēmās;

d)	kriptogrāfijas un šifrēšanas, jo īpaši galšifrēšanas, kā arī droša digitālā paraksta izmantošana;

e)	attiecīgā gadījumā droši balss, video un teksta sakari un drošas ārkārtas situācijas sakaru sistēmas Savienības vienībā;

f)	proaktīvi pasākumi ļaunprogrammatūras un spiegprogrammatūras atklāšanai un izņemšanai;

g)	programmatūras piegādes ķēdes drošības izveide uz programmatūras drošas izstrādes un izvērtēšanas kritēriju pamata;

h)	tādu kiberdrošības mācību programmu izveide un pieņemšana, kas ir samērīgas ar Savienības vienības visaugstākā līmeņa vadībai un tehniskajiem un operatīvajiem darbiniekiem, kam uzdots nodrošināt rezultatīvu šīs regulas īstenošanu, noteiktajiem uzdevumiem un vēlamajām spējām;

i)	regulāra darbinieku apmācība kiberdrošības jomā;

j)	attiecīgā gadījumā dalība savstarpējās savienotības riska analīzē Savienības vienību starpā;

k)

iepirkuma noteikumu uzlabošana nolūkā veicināt vienādu augstu kiberdrošības līmeni, kas darāms: i) likvidējot līgumiskos šķēršļus, kuri ierobežo to, kā IKT pakalpojumu sniedzēji var informēt CERT-EU par incidentiem, ievainojamībām un kiberdraudiem; ii) ievērojot līgumiskos pienākumus ziņot par incidentiem, ievainojamībām un kiberdraudiem, kā arī ieviest mehānismus pienācīgai reaģēšanai uz incidentiem un to uzraudzībai.

1.   Ar šo tiek izveidota Iestāžu kiberdrošības padome (IKP).

2.   IKP ziņā ir:

a)	uzraudzīt un atbalstīt šīs regulas īstenošanu Savienības vienībās;

b)	uzraudzīt CERT-EU vispārējo prioritāšu un mērķu īstenošanu un noteikt CERT-EU stratēģisko virzienu.

3.   IKP sastāvā ir:

a)

viens pārstāvis, ko ieceļ katrs no turpmāk minētajiem: i) Eiropas Parlaments; ii) Eiropadome; iii) Eiropas Savienības Padome; iv) Komisija; v) Eiropas Savienības Tiesa; vi) Eiropas Centrālā banka; vii) Revīzijas palāta; viii) Eiropas Ārējās darbības dienests; ix) Eiropas Ekonomikas un sociālo lietu komiteja; x) Eiropas Reģionu komiteja; xi) Eiropas Investīciju banka; xii) Eiropas Industriālais, tehnoloģiskais un pētnieciskais kiberdrošības kompetenču centrs; xiii) ENISA; xiv) Eiropas Datu aizsardzības uzraudzītājs (EDAU); xv) Eiropas Savienības Kosmosa programmas aģentūra;

b)	trīs pārstāvji, ko pēc IKT Padomdevējas komitejas ierosinājuma ieceļ ES aģentūru tīkls (ESAT), lai pārstāvētu tādu Savienības struktūru, biroju un aģentūru intereses, kas uztur savu IKT vidi un kas nav minētas a) apakšpunktā.

IKP pārstāvētās Savienības vienības tiecas iecelto pārstāvju vidū nodrošināt dzimumu līdzsvaru.

4.   IKP locekļiem var palīdzēt aizvietotājs. Citus 3. punktā minēto Savienības vienību vai citu Savienības vienību pārstāvjus priekšsēdētājs var uzaicināt piedalīties IKP sanāksmēs bez balsošanas tiesībām.

5.   CERT-EU vadītājs un saskaņā ar attiecīgi Direktīvas (ES) 2022/2555 14., 15. un 16. pantu izveidotās sadarbības grupas, CSIRT tīkla un EU-CyCLONe priekšsēdētāji vai to aizstājēji var piedalīties IKP sanāksmēs kā novērotāji. Ārkārtas gadījumos IKP saskaņā ar savu iekšējo reglamentu var nolemt citādi.

6.   IKP pieņem iekšējo reglamentu.

7.   Saskaņā ar iekšējo reglamentu IKP no visu locekļu vidus uz trim gadiem ieceļ priekšsēdētāju. Priekšsēdētāja aizvietotājs kļūst par pilntiesīgu IKP locekli uz tādu pašu laika periodu.

8.   IKP tiekas vismaz trīs reizes gadā pēc tās priekšsēdētāja iniciatīvas, pēc CERT-EU pieprasījuma vai pēc kāda tās locekļa lūguma.

9.   Katram IKP loceklim ir viena balss. IKP lēmumus pieņem ar vienkāršu balsu vairākumu, izņemot gadījumos, kad šajā regulā paredzēts citādi. IKP priekšsēdētājs nebalso, ja vien nav vienāds balsu sadalījums – tādā gadījumā priekšsēdētāja balss ir izšķirošā.

10.   IKP var izmantot vienkāršotu rakstisku procedūru, ko sāk saskaņā ar tās iekšējo reglamentu. Minētajā procedūrā relevantais lēmums tiek uzskatīts par apstiprinātu priekšsēdētāja noteiktajā periodā, ja vien kāds loceklis nav iebildis.

11.   IKP sekretariātu nodrošina Komisija, un tas atskaitās IKP priekšsēdētājam.

12.   ESAT izvirzītie pārstāvji par IKP lēmumiem informē ESAT locekļus. Ikvienam ESAT loceklim ir tiesības informēt minētos pārstāvjus vai IKP priekšsēdētāju par jebkuru jautājumu, ko tas uzskata par tādu, kas būtu jādara zināms IKP.

13.   IKP var izveidot izpildkomiteju, kas tai palīdz veikt tās darbu, kā arī deleģēt izpildkomitejai dažus savus uzdevumus un pilnvaras. IKP pieņem izpildkomitejas reglamentu, kas nosaka tās uzdevumus un pilnvaras, kā arī locekļu pilnvaru laiku.

14.   Līdz 2025. gada 8. janvārim un pēc tam ik gadu IKP iesniedz Eiropas Parlamentam un Padomei ziņojumu, kurā sīki izklāstīts progress, kas panākts šīs regulas īstenošanā, un jo īpaši norādīts, cik lielā mērā CERT-EU sadarbojas ar saviem partneriem katrā dalībvalstī. Minētais ziņojums ir ieguldījums divgadu ziņojumā par kiberdrošības stāvokli Savienībā, ko pieņem saskaņā ar Direktīvas (ES) 2022/2555 18. pantu.

1.   IKP saskaņā ar 10. panta 2. punktu un 11. pantu rezultatīvi uzrauga šīs regulas un pieņemto vadlīniju, ieteikumu un aicinājumu rīkoties īstenošanu Savienības vienībās. IKP var pieprasīt no Savienības vienībām šim nolūkam nepieciešamo informāciju vai dokumentāciju. Kas attiecas uz atbilstības nodrošināšanas pasākumu pieņemšanu saskaņā ar šo pantu, ja attiecīgā Savienības vienība ir tieši pārstāvēta IKP, minētajai Savienības vienībai nav balsstiesību.

2.   Ja IKP konstatē, ka Savienības vienība nav rezultatīvi īstenojusi šo regulu vai vadlīnijas, ieteikumus vai aicinājumus rīkoties, kas izdoti saskaņā ar šo regulu, tā, neskarot attiecīgās Savienības vienības iekšējās procedūras un pēc tam, kad ir devusi iespēju attiecīgajai vienībai izteikt komentārus, var:

a)	sniegt attiecīgajai Savienības vienībai pamatotu atzinumu, kur norādītas konstatētās šīs regulas īstenošanas nepilnības;

b)	pēc apspriešanās ar CERT-EU izdot vadlīnijas attiecīgajai Savienības vienībai, kā noteiktā laikā nodrošināt, ka tās satvars, kiberdrošības riska pārvaldības pasākumi, kiberdrošības plāns un ziņošana atbilst šai regulai;

c)	izdot brīdinājumu noteiktā laikā risināt identificētos trūkumus, tostarp ieteikumus grozīt pasākumus, ko attiecīgā Savienības vienība pieņēmusi saskaņā ar šo regulu;

d)	sniegt attiecīgajai Savienības vienībai pamatotu paziņojumu, ja saskaņā ar c) apakšpunktu izdotajā brīdinājumā identificētie trūkumi noteiktajā laikā nav pietiekami novērsti;

e)	izdot: i) ieteikumu veikt revīziju; vai ii) pieprasījumu par to, lai revīziju veiktu trešās puses revīzijas dienests;

f)	attiecīgā gadījumā par iespējamo neatbilstību informēt Revīzijas palātu tās pilnvaru ietvaros;

g)	izdot ieteikumu visām dalībvalstīm un Savienības vienībām uz laiku apturēt datu plūsmas uz attiecīgo Savienības vienību.

Pirmās daļas c) apakšpunkta nolūkos brīdinājuma saņēmēju loku pienācīgi ierobežo, ja tas nepieciešams kiberdrošības riska dēļ.

Saskaņā ar pirmo daļu izdotus brīdinājumus un ieteikumus adresē attiecīgās Savienības vienības visaugstākā līmeņa vadībai.

3.   Ja IKP ir pieņēmusi pasākumus saskaņā ar 2. punkta pirmās daļas a)–g) apakšpunktu, attiecīgā Savienības vienība sniedz detalizētu pārskatu par pasākumiem un darbībām, kas veiktas, lai novērstu iespējamos trūkumus, kurus identificējusi IKP. Savienības vienība šo detalizēto pārskatu iesniedz saprātīgā termiņā, par ko vienojas ar IKP.

4.   Ja IKP uzskata, ka Savienības vienība izdara pastāvīgu šīs regulas pārkāpumu, kas tieši izriet no Savienības ierēdņa vai cita darbinieka, tostarp augstākajā vadības līmenī, darbības vai bezdarbības, IKP pieprasa attiecīgajai Savienības vienībai veikt pienācīgus pasākumus, tostarp apsvērt disciplināra rakstura pasākumu veikšanu, saskaņā ar noteikumiem un procedūrām, ko paredz Civildienesta noteikumi un citi piemērojamie noteikumi un procedūras. Šajā nolūkā IKP nodod attiecīgajai Savienības vienībai vajadzīgo informāciju.

5.   Ja Savienības vienības ziņo, ka tās nespēj ievērot 6. panta 1. punktā un 8. panta 1. punktā minētos termiņus, pienācīgi pamatotos gadījumos, ņemot vērā Savienības vienības lielumu, IKP var atļaut tos pagarināt.

1.   CERT-EU misija ir dot ieguldījumu Savienības vienību neklasificētās IKT vides drošībā, sniedzot tām padomus par kiberdrošību, palīdzot novērst, atklāt, risināt, mitigēt incidentus, reaģēt uz tiem un atgūties no tiem, kā arī rīkojoties kā to kiberdrošības informācijas apmaiņas un reaģēšanas uz incidentiem koordinēšanas centram.

2.   CERT-EU vāc, pārvalda, analizē un ar Savienības vienībām kopīgo informāciju par kiberdraudiem, ievainojamībām un incidentiem neklasificētā IKT infrastruktūrā. CERT-EU koordinē reaģēšanu uz incidentiem starpiestāžu un Savienības vienību līmenī, citstarp nodrošinot specializētu operacionālo palīdzību vai koordinējot tās nodrošināšanu.

3.   Lai palīdzētu Savienības vienībām, CERT-EU veic šādus uzdevumus:

a)	sniedz tām atbalstu šīs regulas īstenošanā un palīdz koordinēt tās īstenošanu, izmantojot 14. panta 1. punktā uzskaitītos pasākumus vai IKP pieprasītus ad hoc ziņojumus;

b)	piedāvā CSIRT standarta pakalpojumus Savienības vienībām ar tā pakalpojumu katalogā aprakstīto kiberdrošības pakalpojumu pakotni (pamatpakalpojumi);

c)	uztur partneru un kolēģu tīklu, lai sekmētu pakalpojumu sniegšanu, kā norādīts 17. un 18. pantā;

d)	vērš IKP uzmanību uz visām problēmām, kas saistītas ar šīs regulas īstenošanu un vadlīniju, ieteikumu un aicinājumu rīkoties īstenošanu;

e)	izmantojot 2. punktā minēto informāciju, ciešā sadarbībā ar ENISA sekmē Savienības kibersituācijas apzināšanos;

f)	koordinē lielu incidentu pārvaldību;

g)	attiecībā pret Savienības vienībām darbojas ekvivalenti koordinatoram, kas izraudzīts koordinētas ievainojamības izpaušanas nolūkā saskaņā ar Direktīvas (ES) 2022/2555 12. panta 1. punktu;

h)	pēc Savienības vienības pieprasījuma nodrošina minētās Savienības vienības publiski piekļūstamu tīklu un informācijas sistēmu proaktīvu neintruzīvu skenēšanu.

Šā punkta pirmās daļas e) apakšpunktā minēto informāciju attiecīgos un piemērotos gadījumos un ievērojot pienācīgus konfidencialitātes nosacījumus, kopīgo ar IKP, CSIRT tīklu un Eiropas Savienības Izlūkošanas un situāciju centru (EU INTCEN).

4.    CERT-EU var saskaņā ar attiecīgi 17. vai 18. pantu sadarboties ar relevantajām kiberdrošības kopienām Savienībā un tās dalībvalstīs, arī šādās jomās:

a)	gatavība, incidentu risināšanas koordinēšana, informācijas apmaiņa un reaģēšana uz krīzi tehniskā līmenī ar Savienības vienībām saistītos gadījumos;

b)	operacionālā sadarbība CSIRT tīkla aspektā, arī attiecībā uz savstarpējo palīdzību;

c)	kiberdraudu izlūkdati, arī situācijas apzināšanās;

d)	jebkurš gadījums, kad vajadzīga CERT-EU tehniskā kiberdrošības lietpratība.

5.   CERT-EU savu kompetenču robežās iesaistās strukturētā sadarbībā ar ENISA attiecībā uz spēju veidošanu, operacionālo sadarbību un kiberdraudu ilgtermiņa stratēģisko analīzi saskaņā ar Regulu (ES) 2019/881. CERT-EU var sadarboties un apmainīties ar informāciju ar Eiropola Eiropas Kibernoziedzības apkarošanas centru.

6.    CERT-EU var sniegt tālāk norādītos pakalpojumus, kas nav aprakstīti pakalpojumu katalogā (maksas pakalpojumi):

a)

pakalpojumi, kas sekmē Savienības vienību IKT vides kiberdrošību un nav minēti 3. punktā, pamatojoties uz pakalpojumu līmeņa vienošanos un atkarībā no pieejamajiem resursiem, jo īpaši plaša spektra tīkla uzraudzība, tostarp nepārtrauktu uzraudzību zemākajā līmenī attiecībā uz īpaši bīstamiem kiberdraudiem;

b)	pakalpojumi, kas sekmē Savienības vienību kiberdrošības darbības vai projektus, izņemot pakalpojumus to IKT vides aizsardzībai, pamatojoties uz rakstiskiem līgumiem un ar iepriekšēju IKP apstiprinājumu;

c)	pēc pieprasījuma proaktīva attiecīgās Savienības vienības tīklu un informācijas sistēmu skenēšana nolūkā atklāt ievainojamības, kam var būt būtiska ietekme;

d)	pakalpojumi, kas sekmē IKT vides drošību organizācijās, kuras nav Savienības vienības, bet cieši sadarbojas ar Savienības vienībām, piemēram, pilda ar Savienības tiesību aktiem uzticētus uzdevumus vai pienākumus, pamatojoties uz rakstiskiem līgumiem un ar iepriekšēju IKP apstiprinājumu.

Attiecībā uz pirmās daļas d) apakšpunktu CERT-EU var izņēmuma kārtā slēgt pakalpojumu līmeņa vienošanās ar vienībām, kas nav Savienības vienības, ja IKP tam iepriekš piekritusi.

7.   CERT-EU organizē kiberdrošības mācības, var piedalīties tajās vai ieteikt piedalīties esošās mācībās attiecīgā gadījumā ciešā sadarbībā ar ENISA, lai pārbaudītu Savienības vienību kiberdrošības līmeni.

8.   CERT-EU var sniegt palīdzību Savienības vienībām attiecībā uz incidentiem tīklu un informācijas sistēmās, kas rīkojas ar ESKI, ja to nepārprotami pieprasa attiecīgās Savienības vienības saskaņā ar savām attiecīgajām procedūrām. CERT-EU palīdzības sniegšana saskaņā ar šo punktu neskar piemērojamos noteikumus par klasificētas informācijas aizsardzību.

9.   CERT-EU informē Savienības vienības par savām incidentu risināšanas procedūrām un procesiem.

10.   CERT-EU, ievērojot augstu konfidencialitātes un uzticamības līmeni un izmantojot pienācīgos sadarbības mehānismus un ziņošanas kārtību, sniedz relevantu un anonimizētu informāciju par lieliem incidentiem un to, kā tie risināti. Minēto informāciju iekļauj 10. panta 14. punktā minētajā ziņojumā.

11.   CERT-EU sadarbībā ar EDAU atbalsta attiecīgās Savienības vienības, kad tās risina incidentus, kuru rezultātā notiek personas datu aizsardzības pārkāpumi, neskarot kompetenci un uzdevumus, kas EDAU ir kā uzraudzības iestādei saskaņā ar Regulu (ES) 2018/1725.

12.   Ja Savienības vienību rīcībpolitikas nodaļas to skaidri lūdz, CERT-EU var sniegt tehniskus padomus vai tehnisku ieguldījumu relevantos rīcībpolitiskos jautājumos.

1.    CERT-EU atbalsta šīs regulas īstenošanu, izdodot:

a)	aicinājumus rīkoties, kuros apraksta neatliekamus drošības pasākumus, ko Savienības vienības tiek mudinātas veikt noteiktā laikā;

b)	IKP adresētus priekšlikumus vadlīnijām, kas paredzētas visām Savienības vienībām vai kādai to grupai;

c)	IKP adresētus priekšlikumus ieteikumiem, kas paredzēti atsevišķām Savienības vienībām.

Attiecībā uz pirmās daļas a) apakšpunktu attiecīgā Savienības vienība bez liekas kavēšanās pēc uzaicinājuma rīkoties saņemšanas informē CERT-EU par to, kā neatliekamie drošības pasākumi piemēroti.

2.   Vadlīnijas un ieteikumi var ietvert:

a)

kopīgas metodikas un modeli Savienības vienību kiberdrošības gatavības novērtēšanai, tostarp attiecīgās skalas vai KPI, kas kalpo par atsauces punktu pastāvīgai kiberdrošības uzlabošanai Savienības vienībās un atvieglo prioritāšu noteikšanu kiberdrošības jomām un pasākumiem, ņemot vērā vienību kiberdrošības pozīciju;

b)	kiberdrošības riska pārvaldības un kiberdrošības riska pārvaldības pasākumu kārtību vai uzlabojumus;

c)	kiberdrošības gatavības novērtējumu un kiberdrošības plānu kārtību;

d)	attiecīgā gadījumā plaši lietotu tehnoloģiju, arhitektūras, atvērtā pirmkoda un saistītu paraugprakšu izmantošanu ar mērķi panākt sadarbspēju un kopējus standartus, tostarp koordinētu pieeju piegādes ķēdes drošībai;

e)	attiecīgā gadījumā informāciju, kas atvieglo kopīgā iepirkuma instrumentu izmantošanu relevanto kiberdrošības pakalpojumu un produktu iegādei no piegādātājiem trešām pusēm;

f)	informācijas kopīgošanas kārtību saskaņā ar 20. pantu.

1.   Komisija pēc divu trešdaļu IKP locekļu vairākuma apstiprinājuma saņemšanas ieceļ CERT-EU vadītāju. Visos iecelšanas procedūras posmos apspriežas ar IKP, jo īpaši attiecībā uz paziņojuma par vakanci sagatavošanu, pieteikumu izskatīšanu un atlases komitejas iecelšanu šai amata vietai. Atlases procedūra, tostarp galīgo to kandidātu saraksts, no kuru vidus jāieceļ CERT-EU vadītājs, nodrošina taisnīgu katra dzimuma pārstāvību, ņemot vērā iesniegtos pieteikumus.

2.   CERT-EU vadītājs ir atbildīgs par pareizu CERT-EU darbību un IKP vadībā darbojas savas kompetences ietvaros. CERT-EU vadītājs regulāri ziņo IKP priekšsēdētājam un pēc IKP pieprasījuma iesniedz tai ad hoc ziņojumus.

3.   CERT-EU vadītājs palīdz atbildīgajam deleģētajam kredītrīkotājam sagatavot gada darbības pārskatu, kas satur finanšu un vadības informāciju, tostarp kontroļu rezultātus, un ko izstrādā saskaņā ar Eiropas Parlamenta un Padomes regulas (ES, Euratom) 2018/1046 (9) 74. panta 9. punktu, un regulāri ziņo deleģētajam kredītrīkotājam par to pasākumu īstenošanu, attiecībā uz kuriem CERT-EU vadītājam pastarpināti deleģētas pilnvaras.

4.   CERT-EU vadītājs ik gadu sagatavo savu darbību administratīvo ieņēmumu un izdevumu finanšu plānu, gada darba programmas priekšlikumu, CERT-EU pakalpojumu kataloga priekšlikumu un pārskatīto pakalpojumu kataloga redakciju priekšlikumus, priekšlikumus par pakalpojumu līmeņa vienošanos kārtību un priekšlikumus par CERT-EU KPI, kas IKP jāapstiprina saskaņā ar 11. pantu. Pārskatot CERT-EU pakalpojumu katalogā iekļauto pakalpojumu sarakstu, CERT-EU vadītājs ņem vērā CERT-EU piešķirtos resursus.

5.   CERT-EU vadītājs vismaz ik gadu iesniedz IKP un IKP priekšsēdētājam ziņojumus par CERT-EU darbībām un sniegumu pārskata periodā, tostarp par budžeta izpildi, pakalpojumu līmeņa vienošanos un noslēgtajiem rakstiskajiem nolīgumiem, sadarbību ar partneriem un darbinieku komandējumiem, tostarp 11. pantā minētos ziņojumus. Minētajos ziņojumos iekļauj nākamā perioda darba programmu, ieņēmumu un izdevumu finanšu plānojumu, tostarp personāla sastāvu, CERT-EU pakalpojumu kataloga plānoto atjaunināšanu un novērtējumu par šādu atjauninājumu paredzamo ietekmi uz finanšu resursiem un cilvēkresursiem.

1.   CERT-EU integrē Komisijas ģenerāldirektorāta administratīvajā struktūrā, lai gūtu labumu no Komisijas administratīvās, finanšu pārvaldības un grāmatvedības atbalsta struktūrām, vienlaikus CERT-EU joprojām paliekot autonomam starpiestāžu pakalpojumu sniedzējam visām Savienības vienībām. Komisija informē IKP par CERT-EU administratīvo izvietojumu un par jebkādām tā izmaiņām. Komisija regulāri un katrā ziņā pirms ikvienas daudzgadu finanšu shēmas izveides saskaņā ar LESD 312. pantu pārskata ar CERT-EU saistītos administratīvos pasākumus, lai varētu attiecīgi rīkoties. Pārskatīšanā izskata iespēju pārveidot CERT-EU par Savienības biroju.

2.   Administratīvo un finanšu procedūru piemērošanā CERT-EU vadītājs darbojas Komisijas pakļautībā un IKP uzraudzībā.

3.   CERT-EU uzdevumus un darbības, tostarp pakalpojumus, ko CERT-EU atbilstoši 13. panta 3., 4., 5. un 7. punktam un 14. panta 1. punktam sniedz Savienības vienībām, kuras finansē no daudzgadu finanšu shēmas izdevumu kategorijas, kas paredzēta Eiropas publiskajai pārvaldei, finansē no īpašas Komisijas budžeta pozīcijas. CERT-EU paredzētās amata vietas norāda Komisijas štatu saraksta zemsvītras piezīmē.

4.   Savienības vienības, kas nav minētas šā panta 3. punktā, veic ikgadēju finansiālu iemaksu CERT-EU, lai apmaksātu atbilstoši minētajam punktam sniegtos CERT-EU pakalpojumus. Iemaksas balstās uz IKP orientējošo informāciju, un CERT-EU par tām vienojas ar katru Savienības vienību, izmantojot pakalpojumu līmeņa vienošanos. Iemaksas ir taisnīga un samērīga daļa no kopējām sniegto pakalpojumu izmaksām. Tās saņem šā panta 3. punktā minētā atsevišķā budžeta pozīcija kā iekšējus piešķirtos ieņēmumus, kā paredzēts Eiropas Parlamenta un Padomes regulas (ES, Euratom) 2018/1046 21. panta 3. punkta c) apakšpunktā.

5.   regulas 13. panta 6. punktā paredzēto pakalpojumu izmaksas atgūst no Savienības vienībām, kas saņem CERT-EU pakalpojumus. Ieņēmumus novirza uz budžeta izmaksu pozīcijām.

1.   Rīkojoties kā kiberdrošības informācijas apmaiņas un reaģēšanas uz incidentiem koordinēšanas centrs, CERT-EU atvieglo informācijas apmaiņu par incidentiem, kiberdraudiem, ievainojamībām un gandrīz notikušiem notikumiem:

a)	Savienības vienību vidū;

b)	regulas 17. un 18. pantā minēto partneru vidū.

2.    CERT-EU attiecīgā gadījumā ciešā sadarbībā ar ENISA veicina koordināciju starp Savienības vienībām attiecībā uz reaģēšanu uz incidentiem, tostarp:

a)	ieguldījumu konsekventā ārējā komunikācijā;

b)	savstarpējo atbalstu, piemēram, Savienības vienībām relevantas informācijas kopīgošanu vai palīdzības sniegšanu, attiecīgā gadījumā tieši uz vietas;

c)	optimālu operacionālo resursu izmantošanu;

d)	koordinēšanu ar citiem krīzes reaģēšanas mehānismiem Savienības līmenī.

3.   CERT-EU ciešā sadarbībā ar ENISA atbalsta Savienības vienības attiecībā uz situācijas apzināšanos tādos aspektos kā incidenti, kiberdraudi, ievainojamības un gandrīz notikuši notikumi, kā arī relevanto kiberdrošības jomas jaunumu kopīgošanu.

4.   Līdz 2025. gada 8. janvārim IKP uz CERT-EU priekšlikuma pamata pieņem vadlīnijas vai ieteikumus par reaģēšanas uz incidentiem koordinēšanu un sadarbību būtisku incidentu gadījumā. Ja ir aizdomas par incidenta noziedzīgo raksturu, CERT-EU bez liekas kavēšanās sniedz padomus, kā par šo incidentu ziņot tiesībaizsardzības iestādēm.

5.   Pēc īpaša dalībvalsts pieprasījuma un ar attiecīgo Savienības vienību piekrišanu CERT-EU var aicināt ekspertus no 23. panta 4. punktā minētā saraksta palīdzēt reaģēt uz lielu incidentu, kam ir ietekme minētajā dalībvalstī, vai plašapmēra kiberdrošības incidentu saskaņā ar Direktīvas (ES) 2022/2555 15. panta 3. punkta g) apakšpunktu. Konkrētus noteikumus par piekļuvi Savienības vienību tehniskajiem ekspertiem un viņu izmantošanu uz CERT-EU priekšlikuma pamata apstiprina IKP.

1.   Līdz 2025. gada 8. janvārim un pēc tam ik gadu IKP ar CERT-EU palīdzību ziņo Komisijai par šīs regulas īstenošanu. IKP var arī sniegt Komisijai ieteikumus pārskatīt šo regulu.

2.   Līdz 2027. gada 8. janvārim un pēc tam ik divus gadus Komisija novērtē šīs regulas īstenošanu un stratēģiskajā un operacionālajā līmenī gūto pieredzi un ziņo par to Eiropas Parlamentam un Padomei.

Šī punkta pirmajā daļā minētajā ziņojumā ietver 16. panta 1. punktā minēto pārskatīšanu par iespēju CERT-EU izveidot kā Savienības biroju.

3.   Līdz 2029. gada 8. janvārim Komisija izvērtē šīs regulas darbību un iesniedz ziņojumu Eiropas Parlamentam, Padomei, Eiropas Ekonomikas un sociālo lietu komitejai un Reģionu komitejai. Komisija arī izvērtē, vai ir lietderīgi šīs regulas darbības jomā iekļaut tīklu un informācijas sistēmas, kuras rīkojas ar ESKI, ņemot vērā citus Savienības tiesību aktus, kas minētajām sistēmām piemērojami. Ziņojumam vajadzības gadījumā pievieno leģislatīva akta priekšlikumu.