keyboard_tab Cyber Resilience Act 2023/2841 LV
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 8. pants Kiberdrošības riska pārvaldības pasākumi
- 1 17. pants
I NODAĻA
VISPĀRĪGI NOTEIKUMI
II NODAĻA
VIENĀDA AUGSTA KIBERDROŠĪBAS LĪMEŅA PANĀKŠANAS PASĀKUMI
III NODAĻA
IESTĀŽU KIBERDROŠĪBAS PADOME
IV NODAĻA
CERT-EU
V NODAĻA
SADARBĪBA UN ZIŅOŠANAS PIENĀKUMI
VI NODAĻA
NOBEIGUMA NOTEIKUMI
- kiberdrošības 19
- savienības 18
- cert-eu 11
- incidentu 9
- tostarp 7
- vienības 6
- saskaņā 6
- riska 6
- pasākumi 6
- pakalpojumu 6
- vienību 6
- attiecīgā 5
- vienība 5
- informāciju 5
- gadījumā 5
- arī 5
- direktīvas 4
- informācijas 4
- vērā 4
- drošības 4
- drošība 4
- pārvaldība 4
- incidentiem 4
- rīcībpolitikas 4
- partneriem 4
- pārvaldības 4
- kavēšanās 4
- skartā 3
- tīklu 3
- raksturojošu 3
- līmeni 3
- dalībvalstīs 3
- drošas 3
- apmainās 3
- vadītājs 3
- veic 3
- tās 3
- ievainojamībām 3
- kiberdraudiem 3
- incidenta 3
- izpaušana 2
- varbūtību 2
- csirt 2
- identitātes 2
- krīžu 2
- daļas 2
- pirmās 2
- līgumiskos 2
- kiberdraudu 2
- savienības 2
8. pants
Kiberdrošības riska pārvaldības pasākumi
1. Bez liekas kavēšanās un katrā ziņā līdz 2025. gada 8. septembrim katra Savienības vienība savas visaugstākā līmeņa vadības uzraudzībā veic piemērotus un samērīgus tehniskos, operacionālos un organizatoriskos pasākumus, lai pārvaldītu kiberdrošības riskus, kas apzināti satvarā, un lai novērstu vai mazinātu incidentu ietekmi. Ņemot vērā jaunāko tehnikas līmeni un attiecīgā gadījumā relevantos Eiropas un starptautiskos standartus, minētie pasākumi nodrošina tīklu un informācijas sistēmu drošības līmeni visā IKT vidē, kas ir samērīgs ar kiberdrošības riskiem, ar kuriem saskaras. Novērtējot minēto pasākumu samērīgumu, pienācīgi ņem vērā to, cik lielā mērā Savienības vienība ir pakļauta kiberdrošības riskiem, tās lielumu un incidentu varbūtību un smagumu, tostarp sociālo, ekonomisko un starpinstitucionālo ietekmi.
2. Savienības vienības kiberdrošības riska pārvaldības pasākumu īstenošanā pievēršas vismaz šādām jomām:
| a) | kiberdrošības rīcībpolitika, tostarp pasākumi, kas vajadzīgi, lai īstenotu 6. pantā un šā panta 3. punktā minētos mērķus un prioritātes; |
| b) | kiberdrošības riska analīzes un informācijas sistēmu drošības rīcībpolitikas; |
| c) | rīcībpolitiskie mērķi mākoņdatošanas pakalpojumu izmantošanas ziņā; |
| d) | attiecīgā gadījumā kiberdrošības revīzija, kas var ietvert kiberdrošības riska, ievainojamību un kiberdraudu novērtējumu, un ielaušanās testēšana, ko regulāri veic uzticams privāts pakalpojumu sniedzējs; |
| e) | no d) apakšpunktā minētajām kiberdrošības revīzijām izrietošo ieteikumu īstenošana ar kiberdrošības un rīcībpolitikas atjauninājumiem; |
| f) | kiberdrošības organizācija, tostarp lomu un pienākumu noteikšana; |
| g) | aktīvu pārvaldība, tostarp IKT aktīvu inventarizācija un IKT tīkla kartogrāfija; |
| h) | cilvēkresursu drošība un piekļuves kontrole; |
| i) | darbības drošība; |
| j) | komunikāciju drošība; |
| k) | sistēmas iegāde, izstrāde un uzturēšana, tostarp ievainojamības risināšanas un izpaušanas rīcībpolitikas; |
| l) | ja iespējams, pirmkoda pārredzamības rīcībpolitikas; |
| m) | piegādes ķēdes drošība, tostarp ar drošību saistītus aspektus, kas attiecas uz attiecībām starp katru Savienības vienību un tās tiešajiem piegādātājiem vai pakalpojumu sniedzējiem; |
| n) | incidentu risināšana un sadarbība ar CERT-EU, piemēram, drošības uzraudzības un reģistrēšanas uzturēšana; |
| o) | darbības nepārtrauktības pārvaldība, piemēram, dublējuma pārvaldība un negadījuma seku novēršana, un krīžu pārvaldība; un |
| p) | kiberdrošības izglītības, prasmju, izpratnes veidošanas, mācību un apmācības programmu veicināšana un izstrāde. |
Pirmās daļas m) apakšpunkta nolūkos Savienības vienības ņem vērā ievainojamības, kas raksturīgas katram tiešajam piegādātājam un pakalpojumu sniedzējam, un savu piegādātāju un pakalpojumu sniedzēju produktu un kiberdrošības prakšu vispārējo kvalitāti, tostarp drošas izstrādes procedūras.
3. Savienības vienības veic vismaz šādus īpašus kiberdrošības riska pārvaldības pasākumus:
| a) | tehniskie pasākumi, kas dara iespējamu un uztur tāldarbu; |
| b) | konkrēti pasākumi virzībā uz nulles uzticēšanās principiem; |
| c) | daudzfaktoru autentifikācijas izmantošana par normu tīklu un informācijas sistēmās; |
| d) | kriptogrāfijas un šifrēšanas, jo īpaši galšifrēšanas, kā arī droša digitālā paraksta izmantošana; |
| e) | attiecīgā gadījumā droši balss, video un teksta sakari un drošas ārkārtas situācijas sakaru sistēmas Savienības vienībā; |
| f) | proaktīvi pasākumi ļaunprogrammatūras un spiegprogrammatūras atklāšanai un izņemšanai; |
| g) | programmatūras piegādes ķēdes drošības izveide uz programmatūras drošas izstrādes un izvērtēšanas kritēriju pamata; |
| h) | tādu kiberdrošības mācību programmu izveide un pieņemšana, kas ir samērīgas ar Savienības vienības visaugstākā līmeņa vadībai un tehniskajiem un operatīvajiem darbiniekiem, kam uzdots nodrošināt rezultatīvu šīs regulas īstenošanu, noteiktajiem uzdevumiem un vēlamajām spējām; |
| i) | regulāra darbinieku apmācība kiberdrošības jomā; |
| j) | attiecīgā gadījumā dalība savstarpējās savienotības riska analīzē Savienības vienību starpā; |
| k) | iepirkuma noteikumu uzlabošana nolūkā veicināt vienādu augstu kiberdrošības līmeni, kas darāms:
|
17. pants
1. CERT-EU bez liekas kavēšanās sadarbojas un apmainās ar informāciju ar partneriem dalībvalstīs, jo īpaši CSIRT, kas ieceltas vai izveidotas saskaņā ar Direktīvas (ES) 2022/2555 10. pantu, vai attiecīgā gadījumā kompetentajām iestādēm un vienotajiem kontaktpunktiem, kas iecelti vai izveidoti saskaņā ar minētās direktīvas 8. pantu, attiecībā uz incidentiem, kiberdraudiem, ievainojamībām, gandrīz notikušiem notikumiem, iespējamajiem pretpasākumiem, kā arī paraugpraksēm un attiecībā uz visiem jautājumiem, kas ir relevanti Savienības vienību IKT vižu aizsardzībai, arī izmantojot Direktīvas (ES) 2022/2555 15. pantā minēto CSIRT tīklu. CERT-EU atbalsta Komisiju saskaņā ar Direktīvas (ES) 2022/2555 16. pantu izveidotajā EU-CyCLONe koordinētas lielu kiberdrošības incidentu un krīžu pārvaldības jomā.
2. Kad CERT-EU uzzina par būtisku incidentu, kas noticis kādas dalībvalsts teritorijā, tā bez kavēšanās saskaņā ar 1. punktu ziņo visiem relevantajiem partneriem minētajā dalībvalstī.
3. Ar noteikumu, ka personas dati tiek aizsargāti saskaņā ar piemērojamajiem Savienības datu aizsardzības tiesību aktiem, CERT-EU bez nepamatotas kavēšanās bez skartās Savienības vienības atļaujas apmainās ar attiecīgo incidentu raksturojošu informāciju ar partneriem dalībvalstīs, kas ir relevanta nolūkā atvieglot līdzīgu kiberdraudu vai incidentu atklāšanu vai veicināt incidenta analīzi. CERT-EU apmainās ar incidentu raksturojošu informāciju, kas atklāj incidenta mērķa identitāti, tikai kādā no šādiem gadījumiem:
| a) | skartā Savienības vienība tam piekrīt; |
| b) | skartā Savienības vienība nesniedz a) apakšpunktā paredzēto piekrišanu, bet skartās Savienības vienības identitātes izpaušana palielinātu varbūtību, ka tiks novērsti vai mitigēti incidenti citviet; |
| c) | skartā Savienības vienība jau ir publiski izpaudusi, ka tā ir skarta. |
Lēmumus apmainīties ar incidentu raksturojošu informāciju, kas izpauž incidenta mērķa identitāti saskaņā ar pirmās daļas b) apakšpunktu, apstiprina CERT-EU vadītājs. Pirms šāda lēmuma izdošanas CERT-EU rakstiski sazinās ar skarto Savienības vienību, skaidri paskaidrojot, kā tās identitātes izpaušana palīdzētu novērst vai mitigēt incidentus citviet. CERT-EU vadītājs sniedz paskaidrojumu un skaidri lūdz Savienības vienībai noteiktā laikā norādīt, vai tā piekrīt. CERT-EU vadītājs informē Savienības vienību arī par to, ka, ņemot vērā sniegto paskaidrojumu, viņš patur tiesības informāciju izpaust pat bez piekrišanas. Pirms informācijas izpaušanas informē skarto Savienības vienību.
whereas