keyboard_tab Cyber Resilience Act 2023/2841 LV
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 8. pants Kiberdrošības riska pārvaldības pasākumi
- 1 9. pants Kiberdrošības plāni
- 1 10. pants Iestāžu kiberdrošības padome
- 1 16. pants Finanšu un personāla jautājumi
- 2 21. pants Ziņošanas pienākumi
I NODAĻA
VISPĀRĪGI NOTEIKUMI
II NODAĻA
VIENĀDA AUGSTA KIBERDROŠĪBAS LĪMEŅA PANĀKŠANAS PASĀKUMI
III NODAĻA
IESTĀŽU KIBERDROŠĪBAS PADOME
IV NODAĻA
CERT-EU
V NODAĻA
SADARBĪBA UN ZIŅOŠANAS PIENĀKUMI
VI NODAĻA
NOBEIGUMA NOTEIKUMI
- kiberdrošības 37
- savienības 31
- cert-eu 24
- vienības 18
- eiropas 15
- saskaņā 14
- gadījumā 13
- pēc 12
- pakalpojumu 10
- incidentu 9
- tostarp 9
- tās 9
- pantu 8
- attiecīgā 8
- ietekmi 8
- incidentiem 8
- savienības 8
- ikp 8
- riska 8
- pārvaldības 7
- pasākumi 7
- informācijas 7
- ziņā 7
- arī 7
- liekas 7
- kavēšanās 7
- laikā 6
- katrā 6
- ziņojumu 6
- informāciju 6
- incidenta 5
- līmeņa 5
- vērā 5
- vienību 5
- šā 5
- būtisks 5
- pants 5
- reglamentu 5
- veic 5
- komisijas 5
- finanšu 5
- pieņem 5
- pasākumus 5
- būtisko 4
- informē 4
- vismaz 4
- priekšsēdētāja 4
- minētos 4
- rīcībpolitikas 4
- pārvaldība 4
8. pants
Kiberdrošības riska pārvaldības pasākumi
1. Bez liekas kavēšanās un katrā ziņā līdz 2025. gada 8. septembrim katra Savienības vienība savas visaugstākā līmeņa vadības uzraudzībā veic piemērotus un samērīgus tehniskos, operacionālos un organizatoriskos pasākumus, lai pārvaldītu kiberdrošības riskus, kas apzināti satvarā, un lai novērstu vai mazinātu incidentu ietekmi. Ņemot vērā jaunāko tehnikas līmeni un attiecīgā gadījumā relevantos Eiropas un starptautiskos standartus, minētie pasākumi nodrošina tīklu un informācijas sistēmu drošības līmeni visā IKT vidē, kas ir samērīgs ar kiberdrošības riskiem, ar kuriem saskaras. Novērtējot minēto pasākumu samērīgumu, pienācīgi ņem vērā to, cik lielā mērā Savienības vienība ir pakļauta kiberdrošības riskiem, tās lielumu un incidentu varbūtību un smagumu, tostarp sociālo, ekonomisko un starpinstitucionālo ietekmi.
2. Savienības vienības kiberdrošības riska pārvaldības pasākumu īstenošanā pievēršas vismaz šādām jomām:
| a) | kiberdrošības rīcībpolitika, tostarp pasākumi, kas vajadzīgi, lai īstenotu 6. pantā un šā panta 3. punktā minētos mērķus un prioritātes; |
| b) | kiberdrošības riska analīzes un informācijas sistēmu drošības rīcībpolitikas; |
| c) | rīcībpolitiskie mērķi mākoņdatošanas pakalpojumu izmantošanas ziņā; |
| d) | attiecīgā gadījumā kiberdrošības revīzija, kas var ietvert kiberdrošības riska, ievainojamību un kiberdraudu novērtējumu, un ielaušanās testēšana, ko regulāri veic uzticams privāts pakalpojumu sniedzējs; |
| e) | no d) apakšpunktā minētajām kiberdrošības revīzijām izrietošo ieteikumu īstenošana ar kiberdrošības un rīcībpolitikas atjauninājumiem; |
| f) | kiberdrošības organizācija, tostarp lomu un pienākumu noteikšana; |
| g) | aktīvu pārvaldība, tostarp IKT aktīvu inventarizācija un IKT tīkla kartogrāfija; |
| h) | cilvēkresursu drošība un piekļuves kontrole; |
| i) | darbības drošība; |
| j) | komunikāciju drošība; |
| k) | sistēmas iegāde, izstrāde un uzturēšana, tostarp ievainojamības risināšanas un izpaušanas rīcībpolitikas; |
| l) | ja iespējams, pirmkoda pārredzamības rīcībpolitikas; |
| m) | piegādes ķēdes drošība, tostarp ar drošību saistītus aspektus, kas attiecas uz attiecībām starp katru Savienības vienību un tās tiešajiem piegādātājiem vai pakalpojumu sniedzējiem; |
| n) | incidentu risināšana un sadarbība ar CERT-EU, piemēram, drošības uzraudzības un reģistrēšanas uzturēšana; |
| o) | darbības nepārtrauktības pārvaldība, piemēram, dublējuma pārvaldība un negadījuma seku novēršana, un krīžu pārvaldība; un |
| p) | kiberdrošības izglītības, prasmju, izpratnes veidošanas, mācību un apmācības programmu veicināšana un izstrāde. |
Pirmās daļas m) apakšpunkta nolūkos Savienības vienības ņem vērā ievainojamības, kas raksturīgas katram tiešajam piegādātājam un pakalpojumu sniedzējam, un savu piegādātāju un pakalpojumu sniedzēju produktu un kiberdrošības prakšu vispārējo kvalitāti, tostarp drošas izstrādes procedūras.
3. Savienības vienības veic vismaz šādus īpašus kiberdrošības riska pārvaldības pasākumus:
| a) | tehniskie pasākumi, kas dara iespējamu un uztur tāldarbu; |
| b) | konkrēti pasākumi virzībā uz nulles uzticēšanās principiem; |
| c) | daudzfaktoru autentifikācijas izmantošana par normu tīklu un informācijas sistēmās; |
| d) | kriptogrāfijas un šifrēšanas, jo īpaši galšifrēšanas, kā arī droša digitālā paraksta izmantošana; |
| e) | attiecīgā gadījumā droši balss, video un teksta sakari un drošas ārkārtas situācijas sakaru sistēmas Savienības vienībā; |
| f) | proaktīvi pasākumi ļaunprogrammatūras un spiegprogrammatūras atklāšanai un izņemšanai; |
| g) | programmatūras piegādes ķēdes drošības izveide uz programmatūras drošas izstrādes un izvērtēšanas kritēriju pamata; |
| h) | tādu kiberdrošības mācību programmu izveide un pieņemšana, kas ir samērīgas ar Savienības vienības visaugstākā līmeņa vadībai un tehniskajiem un operatīvajiem darbiniekiem, kam uzdots nodrošināt rezultatīvu šīs regulas īstenošanu, noteiktajiem uzdevumiem un vēlamajām spējām; |
| i) | regulāra darbinieku apmācība kiberdrošības jomā; |
| j) | attiecīgā gadījumā dalība savstarpējās savienotības riska analīzē Savienības vienību starpā; |
| k) | iepirkuma noteikumu uzlabošana nolūkā veicināt vienādu augstu kiberdrošības līmeni, kas darāms:
|
9. pants
Kiberdrošības plāni
1. Pēc saskaņā ar 7. pantu veiktā kiberdrošības gatavības novērtējuma pabeigšanas un ņemot vērā aktīvus un kiberdrošības riskus, kas konstatēti satvarā, kā arī kiberdrošības riska pārvaldības pasākumos, kuri veikti saskaņā ar 8. pantu, katras Savienības vienības visaugstākā līmeņa vadība bez liekas kavēšanās un katrā ziņā līdz 2026. gada 8. janvārim apstiprina kiberdrošības plānu. Kiberdrošības plāna mērķis ir palielināt Savienības vienības vispārējo kiberdrošību, un tādējādi tas sekmē vienāda augsta kiberdrošības līmeņa uzlabošanu Savienības vienībās. Kiberdrošības plānā iekļauj vismaz kiberdrošības riska pārvaldības pasākumus, kas veikti saskaņā ar 8. pantu. Kiberdrošības plānu pārskata ik divus gadus vai vajadzības gadījumā biežāk pēc kiberdrošības gatavības novērtējumiem, ko veic saskaņā ar 7. pantu, vai katras būtiskas satvara pārskatīšanas.
2. Kiberdrošības plānā iekļauj Savienības vienības kiberkrīžu pārvaldības plānu lieliem incidentiem.
3. Savienības vienība savu pabeigto kiberdrošības plānu iesniedz saskaņā ar 10. pantu izveidotajai Iestāžu kiberdrošības padomei.
III NODAĻA
IESTĀŽU KIBERDROŠĪBAS PADOME
10. pants
Iestāžu kiberdrošības padome
1. Ar šo tiek izveidota Iestāžu kiberdrošības padome (IKP).
2. IKP ziņā ir:
| a) | uzraudzīt un atbalstīt šīs regulas īstenošanu Savienības vienībās; |
| b) | uzraudzīt CERT-EU vispārējo prioritāšu un mērķu īstenošanu un noteikt CERT-EU stratēģisko virzienu. |
3. IKP sastāvā ir:
| a) | viens pārstāvis, ko ieceļ katrs no turpmāk minētajiem:
|
| b) | trīs pārstāvji, ko pēc IKT Padomdevējas komitejas ierosinājuma ieceļ ES aģentūru tīkls (ESAT), lai pārstāvētu tādu Savienības struktūru, biroju un aģentūru intereses, kas uztur savu IKT vidi un kas nav minētas a) apakšpunktā. |
IKP pārstāvētās Savienības vienības tiecas iecelto pārstāvju vidū nodrošināt dzimumu līdzsvaru.
4. IKP locekļiem var palīdzēt aizvietotājs. Citus 3. punktā minēto Savienības vienību vai citu Savienības vienību pārstāvjus priekšsēdētājs var uzaicināt piedalīties IKP sanāksmēs bez balsošanas tiesībām.
5. CERT-EU vadītājs un saskaņā ar attiecīgi Direktīvas (ES) 2022/2555 14., 15. un 16. pantu izveidotās sadarbības grupas, CSIRT tīkla un EU-CyCLONe priekšsēdētāji vai to aizstājēji var piedalīties IKP sanāksmēs kā novērotāji. Ārkārtas gadījumos IKP saskaņā ar savu iekšējo reglamentu var nolemt citādi.
6. IKP pieņem iekšējo reglamentu.
7. Saskaņā ar iekšējo reglamentu IKP no visu locekļu vidus uz trim gadiem ieceļ priekšsēdētāju. Priekšsēdētāja aizvietotājs kļūst par pilntiesīgu IKP locekli uz tādu pašu laika periodu.
8. IKP tiekas vismaz trīs reizes gadā pēc tās priekšsēdētāja iniciatīvas, pēc CERT-EU pieprasījuma vai pēc kāda tās locekļa lūguma.
9. Katram IKP loceklim ir viena balss. IKP lēmumus pieņem ar vienkāršu balsu vairākumu, izņemot gadījumos, kad šajā regulā paredzēts citādi. IKP priekšsēdētājs nebalso, ja vien nav vienāds balsu sadalījums – tādā gadījumā priekšsēdētāja balss ir izšķirošā.
10. IKP var izmantot vienkāršotu rakstisku procedūru, ko sāk saskaņā ar tās iekšējo reglamentu. Minētajā procedūrā relevantais lēmums tiek uzskatīts par apstiprinātu priekšsēdētāja noteiktajā periodā, ja vien kāds loceklis nav iebildis.
11. IKP sekretariātu nodrošina Komisija, un tas atskaitās IKP priekšsēdētājam.
12. ESAT izvirzītie pārstāvji par IKP lēmumiem informē ESAT locekļus. Ikvienam ESAT loceklim ir tiesības informēt minētos pārstāvjus vai IKP priekšsēdētāju par jebkuru jautājumu, ko tas uzskata par tādu, kas būtu jādara zināms IKP.
13. IKP var izveidot izpildkomiteju, kas tai palīdz veikt tās darbu, kā arī deleģēt izpildkomitejai dažus savus uzdevumus un pilnvaras. IKP pieņem izpildkomitejas reglamentu, kas nosaka tās uzdevumus un pilnvaras, kā arī locekļu pilnvaru laiku.
14. Līdz 2025. gada 8. janvārim un pēc tam ik gadu IKP iesniedz Eiropas Parlamentam un Padomei ziņojumu, kurā sīki izklāstīts progress, kas panākts šīs regulas īstenošanā, un jo īpaši norādīts, cik lielā mērā CERT-EU sadarbojas ar saviem partneriem katrā dalībvalstī. Minētais ziņojums ir ieguldījums divgadu ziņojumā par kiberdrošības stāvokli Savienībā, ko pieņem saskaņā ar Direktīvas (ES) 2022/2555 18. pantu.
16. pants
Finanšu un personāla jautājumi
1. CERT-EU integrē Komisijas ģenerāldirektorāta administratīvajā struktūrā, lai gūtu labumu no Komisijas administratīvās, finanšu pārvaldības un grāmatvedības atbalsta struktūrām, vienlaikus CERT-EU joprojām paliekot autonomam starpiestāžu pakalpojumu sniedzējam visām Savienības vienībām. Komisija informē IKP par CERT-EU administratīvo izvietojumu un par jebkādām tā izmaiņām. Komisija regulāri un katrā ziņā pirms ikvienas daudzgadu finanšu shēmas izveides saskaņā ar LESD 312. pantu pārskata ar CERT-EU saistītos administratīvos pasākumus, lai varētu attiecīgi rīkoties. Pārskatīšanā izskata iespēju pārveidot CERT-EU par Savienības biroju.
2. Administratīvo un finanšu procedūru piemērošanā CERT-EU vadītājs darbojas Komisijas pakļautībā un IKP uzraudzībā.
3. CERT-EU uzdevumus un darbības, tostarp pakalpojumus, ko CERT-EU atbilstoši 13. panta 3., 4., 5. un 7. punktam un 14. panta 1. punktam sniedz Savienības vienībām, kuras finansē no daudzgadu finanšu shēmas izdevumu kategorijas, kas paredzēta Eiropas publiskajai pārvaldei, finansē no īpašas Komisijas budžeta pozīcijas. CERT-EU paredzētās amata vietas norāda Komisijas štatu saraksta zemsvītras piezīmē.
4. Savienības vienības, kas nav minētas šā panta 3. punktā, veic ikgadēju finansiālu iemaksu CERT-EU, lai apmaksātu atbilstoši minētajam punktam sniegtos CERT-EU pakalpojumus. Iemaksas balstās uz IKP orientējošo informāciju, un CERT-EU par tām vienojas ar katru Savienības vienību, izmantojot pakalpojumu līmeņa vienošanos. Iemaksas ir taisnīga un samērīga daļa no kopējām sniegto pakalpojumu izmaksām. Tās saņem šā panta 3. punktā minētā atsevišķā budžeta pozīcija kā iekšējus piešķirtos ieņēmumus, kā paredzēts Eiropas Parlamenta un Padomes Regulas (ES, Euratom) 2018/1046 21. panta 3. punkta c) apakšpunktā.
5. Regulas 13. panta 6. punktā paredzēto pakalpojumu izmaksas atgūst no Savienības vienībām, kas saņem CERT-EU pakalpojumus. Ieņēmumus novirza uz budžeta izmaksu pozīcijām.
21. pants
Ziņošanas pienākumi
1. Incidentu uzskata par būtisku, ja:
| a) | tas ir izraisījis vai spēj izraisīt smagus attiecīgās Savienības vienības funkcionēšanas traucējumus vai finansiālus zaudējumus; |
| b) | tas ir ietekmējis vai spēj ietekmēt citas fiziskas vai juridiskas personas, radot būtisku materiālu vai nemateriālu kaitējumu. |
2. Savienības vienības iesniedz CERT-EU:
| a) | bez liekas kavēšanās un katrā ziņā 24 stundu laikā no brīža, kad uzzinājušas par būtisko incidentu, – agrīnu brīdinājumu, kurā attiecīgā gadījumā norāda, ka būtisko incidentu ir izraisījusi, domājams, nelikumīga vai ļaunprātīga rīcība un vai tam varētu būt pārvienību vai pārrobežu ietekme; |
| b) | bez liekas kavēšanās un jebkurā gadījumā 72 stundu laikā pēc tam, kad uzzinājušas par būtisko incidentu, – paziņojumu par incidentu, kurā attiecīgā gadījumā atjaunina a) apakšpunktā minēto informāciju un norāda būtiskā incidenta sākotnējo novērtējumu, tostarp tā smagumu un ietekmi, kā arī, ja pieejami, aizskāruma rādītājus; |
| c) | pēc CERT-EU pieprasījuma – starpposma ziņojumu par relevantajiem statusa atjauninājumiem; |
| d) | galīgu ziņojumu ne vēlāk kā mēnesi pēc b) apakšpunktā minētā paziņojuma par incidentu iesniegšanas, un tajā iekļauj:
|
| e) | ja šā punkta d) apakšpunktā minētā galīgā ziņojuma iesniegšanas laikā incidents vēl notiek – progresa ziņojumu tajā laikā, savukārt viena mēneša laikā pēc rīkošanās incidenta sakarā –– galīgo ziņojumu. |
3. Savienības vienība bez liekas kavēšanās un katrā ziņā 24 stundu laikā pēc tam, kad uzzinājusi par būtisku incidentu, informē visus relevantos 17. panta 1. punktā minētos partnerus dalībvalstī, kurā tā atrodas, par to, ka ir noticis būtisks incidents.
4. Savienības vienības cita starpā ziņo jebkādu informāciju, kas CERT-EU dod iespēju noteikt jebkādu būtiska incidenta pārvienību ietekmi, ietekmi uz uzņēmēju dalībvalsti vai pārrobežu ietekmi. Neskarot 12. pantu, paziņošana pati par sevi neuzliek Savienības vienībai lielāku atbildību.
5. Attiecīgā gadījumā Savienības vienības skarto tīklu un informācijas sistēmu vai citu IKT vides komponentu lietotājiem, kurus potenciāli var skart būtisks incidents vai būtisks kiberdrauds un kuriem attiecīga gadījumā jāveic mitigācijas pasākumi, bez liekas kavēšanās paziņo par jebkādiem pasākumiem vai korektīvajām darbībām, ko var veikt, reaģējot uz minēto incidentu vai draudu. Attiecīgā gadījumā Savienības vienības informē minētos lietotājus par pašu būtisko kiberdraudu.
6. Ja būtisks incidents vai būtisks kiberdrauds skar Savienības vienības tādas IKT vides tīklu un informācijas sistēmu vai komponentu, kas ir ar nolūku savienota ar citas Savienības vienības IKT vidi, CERT-EU izdod relevantu kiberdrošības brīdinājumu.
7. Savienības vienības pēc CERT-EU pieprasījuma un bez liekas kavēšanās sniedz tai digitālo informāciju, kas radusies attiecīgajos incidentos iesaistīto elektronisko ierīču izmantošanā. CERT-EU var sīkāk precizēt, kuri šādas informācijas veidi tai ir vajadzīgi situācijas apzināšanai un reaģēšanai uz incidentiem.
8. CERT-EU ik trīs mēnešus iesniedz IKP, ENISA, ES INTCEN un CSIRT tīklam kopsavilkuma ziņojumu, kas ietver anonimizētus un apkopotus datus par būtiskiem incidentiem, incidentiem, kiberdraudiem, gandrīz notikušiem notikumiem un ievainojamībām saskaņā ar 20. pantu un būtiskiem incidentiem, kas paziņoti saskaņā ar šā panta 2. punktu. Kopsavilkuma ziņojums ir ieguldījums divgadu ziņojumā par kiberdrošības stāvokli Savienībā, ko pieņem saskaņā ar Direktīvas (ES) 2022/2555 18. pantu.
9. Līdz 2024. gada 8. jūlijam IKP izdod vadlīnijas vai ieteikumus, kur sīkāk precizēta šajā pantā paredzētās ziņošanas kārtība, formāts un saturs. Sagatavojot šādas vadlīnijas vai ieteikumus, IKP ņem vērā visus īstenošanas aktus, kas pieņemti saskaņā ar Direktīvas (ES) 2022/2555 23. panta 11. punktu un nosaka informācijas veidu, formātu un paziņošanas procedūru. CERT-EU izplata attiecīgo tehnisko informāciju, lai Savienības vienības varētu preventīvi atklāt incidentus, reaģēt uz tiem vai veikt mitigācijas pasākumus.
10. Šajā pantā noteiktie ziņošanas pienākumi neattiecas uz:
| a) | ESKI; |
| b) | informāciju, kuras tālāka izplatīšana ir izslēgta ar redzamu marķējumu, ja vien tās kopīgošana ar CERT-EU nav skaidri atļauta. |
whereas