keyboard_tab Cyber Resilience Act 2023/2841 LV
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 7 12. pants Atbilstība
- 1 17. pants
- 1 20. pants Kiberdrošības informācijas kopīgošanas kārtība
- 1 21. pants Ziņošanas pienākumi
I NODAĻA
VISPĀRĪGI NOTEIKUMI
II NODAĻA
VIENĀDA AUGSTA KIBERDROŠĪBAS LĪMEŅA PANĀKŠANAS PASĀKUMI
III NODAĻA
IESTĀŽU KIBERDROŠĪBAS PADOME
IV NODAĻA
CERT-EU
V NODAĻA
SADARBĪBA UN ZIŅOŠANAS PIENĀKUMI
VI NODAĻA
NOBEIGUMA NOTEIKUMI
- savienības 47
- cert-eu 25
- informāciju 20
- saskaņā 18
- vienības 18
- incidentu 14
- vienība 13
- pēc 10
- gadījumā 10
- laikā 10
- vienībai 10
- kiberdrošības 10
- attiecīgā 9
- kavēšanās 9
- tās 8
- incidenta 8
- informācijas 7
- liekas 7
- incidentiem 6
- ietekmi 6
- direktīvas 6
- attiecīgajai 6
- savienības 6
- ja 5
- tostarp 5
- pasākumus 5
- ieteikumus 5
- arī 5
- ziņojumu 5
- būtisks 5
- pantu 5
- vienībām 5
- vienību 5
- būtisku 4
- kiberdraudiem 4
- sniegt 4
- sniedz 4
- partneriem 4
- ievainojamībām 4
- skartā 4
- veikt 4
- gandrīz 4
- notikušiem 4
- paziņojumu 4
- notikumiem 4
- būtisko 4
- raksturojošu 4
- pants 4
- incidents 4
- pieprasījuma 4
12. pants
Atbilstība
1. IKP saskaņā ar 10. panta 2. punktu un 11. pantu rezultatīvi uzrauga šīs regulas un pieņemto vadlīniju, ieteikumu un aicinājumu rīkoties īstenošanu Savienības vienībās. IKP var pieprasīt no Savienības vienībām šim nolūkam nepieciešamo informāciju vai dokumentāciju. Kas attiecas uz atbilstības nodrošināšanas pasākumu pieņemšanu saskaņā ar šo pantu, ja attiecīgā Savienības vienība ir tieši pārstāvēta IKP, minētajai Savienības vienībai nav balsstiesību.
2. Ja IKP konstatē, ka Savienības vienība nav rezultatīvi īstenojusi šo regulu vai vadlīnijas, ieteikumus vai aicinājumus rīkoties, kas izdoti saskaņā ar šo regulu, tā, neskarot attiecīgās Savienības vienības iekšējās procedūras un pēc tam, kad ir devusi iespēju attiecīgajai vienībai izteikt komentārus, var:
| a) | sniegt attiecīgajai Savienības vienībai pamatotu atzinumu, kur norādītas konstatētās šīs regulas īstenošanas nepilnības; |
| b) | pēc apspriešanās ar CERT-EU izdot vadlīnijas attiecīgajai Savienības vienībai, kā noteiktā laikā nodrošināt, ka tās satvars, kiberdrošības riska pārvaldības pasākumi, kiberdrošības plāns un ziņošana atbilst šai regulai; |
| c) | izdot brīdinājumu noteiktā laikā risināt identificētos trūkumus, tostarp ieteikumus grozīt pasākumus, ko attiecīgā Savienības vienība pieņēmusi saskaņā ar šo regulu; |
| d) | sniegt attiecīgajai Savienības vienībai pamatotu paziņojumu, ja saskaņā ar c) apakšpunktu izdotajā brīdinājumā identificētie trūkumi noteiktajā laikā nav pietiekami novērsti; |
| e) | izdot:
|
| f) | attiecīgā gadījumā par iespējamo neatbilstību informēt Revīzijas palātu tās pilnvaru ietvaros; |
| g) | izdot ieteikumu visām dalībvalstīm un Savienības vienībām uz laiku apturēt datu plūsmas uz attiecīgo Savienības vienību. |
Pirmās daļas c) apakšpunkta nolūkos brīdinājuma saņēmēju loku pienācīgi ierobežo, ja tas nepieciešams kiberdrošības riska dēļ.
Saskaņā ar pirmo daļu izdotus brīdinājumus un ieteikumus adresē attiecīgās Savienības vienības visaugstākā līmeņa vadībai.
3. Ja IKP ir pieņēmusi pasākumus saskaņā ar 2. punkta pirmās daļas a)–g) apakšpunktu, attiecīgā Savienības vienība sniedz detalizētu pārskatu par pasākumiem un darbībām, kas veiktas, lai novērstu iespējamos trūkumus, kurus identificējusi IKP. Savienības vienība šo detalizēto pārskatu iesniedz saprātīgā termiņā, par ko vienojas ar IKP.
4. Ja IKP uzskata, ka Savienības vienība izdara pastāvīgu šīs regulas pārkāpumu, kas tieši izriet no Savienības ierēdņa vai cita darbinieka, tostarp augstākajā vadības līmenī, darbības vai bezdarbības, IKP pieprasa attiecīgajai Savienības vienībai veikt pienācīgus pasākumus, tostarp apsvērt disciplināra rakstura pasākumu veikšanu, saskaņā ar noteikumiem un procedūrām, ko paredz Civildienesta noteikumi un citi piemērojamie noteikumi un procedūras. Šajā nolūkā IKP nodod attiecīgajai Savienības vienībai vajadzīgo informāciju.
5. Ja Savienības vienības ziņo, ka tās nespēj ievērot 6. panta 1. punktā un 8. panta 1. punktā minētos termiņus, pienācīgi pamatotos gadījumos, ņemot vērā Savienības vienības lielumu, IKP var atļaut tos pagarināt.
IV NODAĻA
CERT-EU
17. pants
1. CERT-EU bez liekas kavēšanās sadarbojas un apmainās ar informāciju ar partneriem dalībvalstīs, jo īpaši CSIRT, kas ieceltas vai izveidotas saskaņā ar Direktīvas (ES) 2022/2555 10. pantu, vai attiecīgā gadījumā kompetentajām iestādēm un vienotajiem kontaktpunktiem, kas iecelti vai izveidoti saskaņā ar minētās direktīvas 8. pantu, attiecībā uz incidentiem, kiberdraudiem, ievainojamībām, gandrīz notikušiem notikumiem, iespējamajiem pretpasākumiem, kā arī paraugpraksēm un attiecībā uz visiem jautājumiem, kas ir relevanti Savienības vienību IKT vižu aizsardzībai, arī izmantojot Direktīvas (ES) 2022/2555 15. pantā minēto CSIRT tīklu. CERT-EU atbalsta Komisiju saskaņā ar Direktīvas (ES) 2022/2555 16. pantu izveidotajā EU-CyCLONe koordinētas lielu kiberdrošības incidentu un krīžu pārvaldības jomā.
2. Kad CERT-EU uzzina par būtisku incidentu, kas noticis kādas dalībvalsts teritorijā, tā bez kavēšanās saskaņā ar 1. punktu ziņo visiem relevantajiem partneriem minētajā dalībvalstī.
3. Ar noteikumu, ka personas dati tiek aizsargāti saskaņā ar piemērojamajiem Savienības datu aizsardzības tiesību aktiem, CERT-EU bez nepamatotas kavēšanās bez skartās Savienības vienības atļaujas apmainās ar attiecīgo incidentu raksturojošu informāciju ar partneriem dalībvalstīs, kas ir relevanta nolūkā atvieglot līdzīgu kiberdraudu vai incidentu atklāšanu vai veicināt incidenta analīzi. CERT-EU apmainās ar incidentu raksturojošu informāciju, kas atklāj incidenta mērķa identitāti, tikai kādā no šādiem gadījumiem:
| a) | skartā Savienības vienība tam piekrīt; |
| b) | skartā Savienības vienība nesniedz a) apakšpunktā paredzēto piekrišanu, bet skartās Savienības vienības identitātes izpaušana palielinātu varbūtību, ka tiks novērsti vai mitigēti incidenti citviet; |
| c) | skartā Savienības vienība jau ir publiski izpaudusi, ka tā ir skarta. |
Lēmumus apmainīties ar incidentu raksturojošu informāciju, kas izpauž incidenta mērķa identitāti saskaņā ar pirmās daļas b) apakšpunktu, apstiprina CERT-EU vadītājs. Pirms šāda lēmuma izdošanas CERT-EU rakstiski sazinās ar skarto Savienības vienību, skaidri paskaidrojot, kā tās identitātes izpaušana palīdzētu novērst vai mitigēt incidentus citviet. CERT-EU vadītājs sniedz paskaidrojumu un skaidri lūdz Savienības vienībai noteiktā laikā norādīt, vai tā piekrīt. CERT-EU vadītājs informē Savienības vienību arī par to, ka, ņemot vērā sniegto paskaidrojumu, viņš patur tiesības informāciju izpaust pat bez piekrišanas. Pirms informācijas izpaušanas informē skarto Savienības vienību.
20. pants
Kiberdrošības informācijas kopīgošanas kārtība
1. Savienības vienības var brīvprātīgi ziņot un sniegt informāciju CERT-EU par incidentiem, kiberdraudiem, gandrīz notikušiem notikumiem un ievainojamībām, kas tās skar. CERT-EU nodrošina, ka nolūkā atvieglot informācijas kopīgošanu ar Savienības vienībām ir pieejami efektīvi saziņas līdzekļi, kam raksturīga augsta līmeņa izsekojamība, konfidencialitāte un uzticamība. Paziņojumu apstrādē CERT-EU var noteikt obligātajiem paziņojumiem prioritāti pār brīvprātīgajiem paziņojumiem. Neskarot 12. pantu, brīvprātīgā paziņošana ziņotājai Savienības vienībai neuzliek nekādus papildu pienākumus, kas uz to neattiektos, ja tā nebūtu iesniegusi paziņojumu.
2. Lai pildītu savu misiju un uzdevumus, kas piešķirti ar 13. pantu, CERT-EU var pieprasīt Savienības vienībām sniegt tai informāciju no to attiecīgajām IKT sistēmām, tostarp informāciju par kiberdraudiem, gandrīz notikušiem notikumiem, ievainojamībām, aizskāruma rādītājiem, kiberdrošības brīdinājumiem un ieteikumiem par incidentu atklāšanas kiberdrošības rīku konfigurāciju. Pieprasījuma saņēmēja Savienības vienība prasīto informāciju un tās atjauninājumus nosūta bez liekas kavēšanās.
3. CERT-EU var apmainīties ar Savienības vienībām ar incidentu raksturojošu informāciju, kas izpauž incidentā skartās Savienības vienības identitāti, ar noteikumu, kas skartā Savienības vienība tam piekrīt. Ja Savienības vienība piekrišanu nedod, tā sniedz CERT-EU šāda lēmuma pamatojumu.
4. Savienības vienības pēc pieprasījuma ar Eiropas Parlamentu un Padomi kopīgo informāciju par kiberdrošības plānu pabeigšanu.
5. Attiecīgā gadījumā IKP vai CERT-EU pēc pieprasījuma ar Eiropas Parlamentu un Padomi kopīgo informāciju par vadlīnijām, ieteikumiem un aicinājumiem rīkoties.
6. Šajā pantā noteiktie kopīgošanas pienākumi neattiecas uz:
| a) | ESKI; |
| b) | informāciju, kuras tālāka izplatīšana ir izslēgta ar redzamu marķējumu, ja vien tās kopīgošana ar CERT-EU nav skaidri atļauta. |
21. pants
Ziņošanas pienākumi
1. Incidentu uzskata par būtisku, ja:
| a) | tas ir izraisījis vai spēj izraisīt smagus attiecīgās Savienības vienības funkcionēšanas traucējumus vai finansiālus zaudējumus; |
| b) | tas ir ietekmējis vai spēj ietekmēt citas fiziskas vai juridiskas personas, radot būtisku materiālu vai nemateriālu kaitējumu. |
2. Savienības vienības iesniedz CERT-EU:
| a) | bez liekas kavēšanās un katrā ziņā 24 stundu laikā no brīža, kad uzzinājušas par būtisko incidentu, – agrīnu brīdinājumu, kurā attiecīgā gadījumā norāda, ka būtisko incidentu ir izraisījusi, domājams, nelikumīga vai ļaunprātīga rīcība un vai tam varētu būt pārvienību vai pārrobežu ietekme; |
| b) | bez liekas kavēšanās un jebkurā gadījumā 72 stundu laikā pēc tam, kad uzzinājušas par būtisko incidentu, – paziņojumu par incidentu, kurā attiecīgā gadījumā atjaunina a) apakšpunktā minēto informāciju un norāda būtiskā incidenta sākotnējo novērtējumu, tostarp tā smagumu un ietekmi, kā arī, ja pieejami, aizskāruma rādītājus; |
| c) | pēc CERT-EU pieprasījuma – starpposma ziņojumu par relevantajiem statusa atjauninājumiem; |
| d) | galīgu ziņojumu ne vēlāk kā mēnesi pēc b) apakšpunktā minētā paziņojuma par incidentu iesniegšanas, un tajā iekļauj:
|
| e) | ja šā punkta d) apakšpunktā minētā galīgā ziņojuma iesniegšanas laikā incidents vēl notiek – progresa ziņojumu tajā laikā, savukārt viena mēneša laikā pēc rīkošanās incidenta sakarā –– galīgo ziņojumu. |
3. Savienības vienība bez liekas kavēšanās un katrā ziņā 24 stundu laikā pēc tam, kad uzzinājusi par būtisku incidentu, informē visus relevantos 17. panta 1. punktā minētos partnerus dalībvalstī, kurā tā atrodas, par to, ka ir noticis būtisks incidents.
4. Savienības vienības cita starpā ziņo jebkādu informāciju, kas CERT-EU dod iespēju noteikt jebkādu būtiska incidenta pārvienību ietekmi, ietekmi uz uzņēmēju dalībvalsti vai pārrobežu ietekmi. Neskarot 12. pantu, paziņošana pati par sevi neuzliek Savienības vienībai lielāku atbildību.
5. Attiecīgā gadījumā Savienības vienības skarto tīklu un informācijas sistēmu vai citu IKT vides komponentu lietotājiem, kurus potenciāli var skart būtisks incidents vai būtisks kiberdrauds un kuriem attiecīga gadījumā jāveic mitigācijas pasākumi, bez liekas kavēšanās paziņo par jebkādiem pasākumiem vai korektīvajām darbībām, ko var veikt, reaģējot uz minēto incidentu vai draudu. Attiecīgā gadījumā Savienības vienības informē minētos lietotājus par pašu būtisko kiberdraudu.
6. Ja būtisks incidents vai būtisks kiberdrauds skar Savienības vienības tādas IKT vides tīklu un informācijas sistēmu vai komponentu, kas ir ar nolūku savienota ar citas Savienības vienības IKT vidi, CERT-EU izdod relevantu kiberdrošības brīdinājumu.
7. Savienības vienības pēc CERT-EU pieprasījuma un bez liekas kavēšanās sniedz tai digitālo informāciju, kas radusies attiecīgajos incidentos iesaistīto elektronisko ierīču izmantošanā. CERT-EU var sīkāk precizēt, kuri šādas informācijas veidi tai ir vajadzīgi situācijas apzināšanai un reaģēšanai uz incidentiem.
8. CERT-EU ik trīs mēnešus iesniedz IKP, ENISA, ES INTCEN un CSIRT tīklam kopsavilkuma ziņojumu, kas ietver anonimizētus un apkopotus datus par būtiskiem incidentiem, incidentiem, kiberdraudiem, gandrīz notikušiem notikumiem un ievainojamībām saskaņā ar 20. pantu un būtiskiem incidentiem, kas paziņoti saskaņā ar šā panta 2. punktu. Kopsavilkuma ziņojums ir ieguldījums divgadu ziņojumā par kiberdrošības stāvokli Savienībā, ko pieņem saskaņā ar Direktīvas (ES) 2022/2555 18. pantu.
9. Līdz 2024. gada 8. jūlijam IKP izdod vadlīnijas vai ieteikumus, kur sīkāk precizēta šajā pantā paredzētās ziņošanas kārtība, formāts un saturs. Sagatavojot šādas vadlīnijas vai ieteikumus, IKP ņem vērā visus īstenošanas aktus, kas pieņemti saskaņā ar Direktīvas (ES) 2022/2555 23. panta 11. punktu un nosaka informācijas veidu, formātu un paziņošanas procedūru. CERT-EU izplata attiecīgo tehnisko informāciju, lai Savienības vienības varētu preventīvi atklāt incidentus, reaģēt uz tiem vai veikt mitigācijas pasākumus.
10. Šajā pantā noteiktie ziņošanas pienākumi neattiecas uz:
| a) | ESKI; |
| b) | informāciju, kuras tālāka izplatīšana ir izslēgta ar redzamu marķējumu, ja vien tās kopīgošana ar CERT-EU nav skaidri atļauta. |
whereas