keyboard_tab Cyber Resilience Act 2023/2841 LV
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 11. pants IKP uzdevumi
- 1 13. pants
- 3 15. pants
- 1 18. pants
I NODAĻA
VISPĀRĪGI NOTEIKUMI
II NODAĻA
VIENĀDA AUGSTA KIBERDROŠĪBAS LĪMEŅA PANĀKŠANAS PASĀKUMI
III NODAĻA
IESTĀŽU KIBERDROŠĪBAS PADOME
IV NODAĻA
CERT-EU
V NODAĻA
SADARBĪBA UN ZIŅOŠANAS PIENĀKUMI
VI NODAĻA
NOBEIGUMA NOTEIKUMI
- cert-eu 49
- savienības 41
- kiberdrošības 18
- pakalpojumu 16
- vienībām 14
- cert-eu 13
- informāciju 13
- vienības 13
- vienību 13
- saskaņā 10
- arī 9
- partneriem 9
- attiecībā 9
- tostarp 8
- līmeņa 8
- apstiprina 8
- vadītājs 8
- informācijas 8
- īstenošanu 7
- tās 7
- gadījumā 7
- ziņojumus 7
- incidentu 6
- minēto 6
- vadītāja 6
- piemēram 5
- tīklu 5
- incidentiem 5
- pēc 5
- vienošanos 5
- priekšlikuma 5
- pamata 5
- regulas 5
- finanšu 5
- gada 5
- priekšlikumu 4
- plānu 4
- tiem 4
- vides 4
- īpaši 4
- darba 4
- panta punktā 4
- enisa 4
- šādu 4
- līmenī 4
- vērā 4
- pants 4
- kiberdraudiem 4
- attiecīgā 4
- konfidencialitātes 4
11. pants
IKP uzdevumi
Pildot savus pienākumus, IKP jo īpaši:
| a) | sniedz norādes CERT-EU vadītājam; |
| b) | rezultatīvi uzrauga un pārrauga šīs regulas īstenošanu un atbalsta Savienības vienības to kiberdrošības stiprināšanā, attiecīgā gadījumā arī pieprasot Savienības vienībām un CERT-EU ad hoc ziņojumus; |
| c) | pēc stratēģiskām diskusijām pieņem daudzgadu stratēģiju kiberdrošības līmeņa paaugstināšanai Savienības vienībās un regulāri un vismaz ik piecus gadus novērtē to un vajadzības gadījumā to groza; |
| d) | nosaka metodiku un organizatoriskos aspektus brīvprātīgai salīdzinošajai izvērtēšanai, ko veic Savienības vienības, lai mācītos no kopīgas pieredzes, stiprinātu savstarpējo uzticēšanos, panāktu vienādu augstu kiberdrošības līmeni, kā arī uzlabotu Savienības vienību kiberdrošības spējas, nodrošinot, ka šādu salīdzinošo izvērtēšanu veic kiberdrošības eksperti, kurus iecēlusi Savienības vienība, kas nav vērtējamā Savienības vienība, un ka metodika ir balstīta uz Direktīvas (ES) 2022/2555 19. pantu un attiecīgā gadījumā ir pielāgota Savienības vienībām; |
| e) | uz CERT-EU vadītāja priekšlikuma pamata apstiprina CERT-EU gada darba programmu un uzrauga tās īstenošanu; |
| f) | uz CERT-EU vadītāja priekšlikuma pamata apstiprina CERT-EU pakalpojumu katalogu un visus tā turpmākos atjauninājumus; |
| g) | uz CERT-EU vadītāja priekšlikuma pamata apstiprina CERT-EU darbību ieņēmumu un izdevumu gada finanšu plānu, kas ietver arī personāla sastāvu; |
| h) | uz CERT-EU vadītāja priekšlikuma pamata apstiprina pakalpojumu līmeņa vienošanos nosacījumus; |
| i) | izskata un apstiprina CERT-EU vadītāja sagatavoto gada pārskatu par CERT-EU darbībām un līdzekļu pārvaldību; |
| j) | apstiprina un uzrauga CERT-EU galvenos snieguma rādītājus (KPI), kas noteikti uz CERT-EU vadītāja priekšlikuma pamata; |
| k) | apstiprina sadarbības kārtību, pakalpojumu līmeņa vienošanās vai līgumus starp CERT-EU un citām vienībām atbilstoši 18. pantam; |
| l) | pieņem vadlīnijas un ieteikumus, balstoties uz CERT-EU priekšlikumu saskaņā ar 14. pantu, un uzdod CERT-EU izdot, atsaukt vai grozīt vadlīniju vai ieteikumu priekšlikumu vai aicinājumu rīkoties; |
| m) | veido tehniskās padomdevējas grupas ar konkrētiem uzdevumiem palīdzēt veikt IKP darbu, apstiprina to darba uzdevumus un ieceļ to attiecīgos priekšsēdētājus; |
| n) | saņem un novērtē dokumentus un ziņojumus, ko Savienības vienības iesniegušas saskaņā ar šo regulu, piemēram, kiberdrošības gatavības novērtējumus; |
| o) | veicina neformālas grupas izveidi, kurā ietilpst vienību vietējie kiberdrošības speciālisti, kuru atbalsta ENISA un kuras mērķis ir apmainīties ar paraugpraksēm un informāciju, kas saistīta ar šīs regulas īstenošanu; |
| p) | ņemot vērā CERT-EU sniegto informāciju par identificētajiem kiberdrošības riskiem un gūto pieredzi, uzrauga Savienības vienību IKT vižu savienotības pasākumu pietiekamību un konsultē par iespējamiem uzlabojumiem; |
| q) | izstrādā kiberkrīžu pārvaldības plānu, lai operacionālā līmenī atbalstītu tādu lielu incidentu koordinētu pārvaldību, kas ietekmē Savienības vienības, un veicinātu regulāru apmaiņu ar relevantu informāciju, jo īpaši par lielu incidentu ietekmi un smagumu un iespējamiem veidiem, kā mazināt to sekas; |
| r) | koordinē 9. panta 2. punktā minēto individuālo Savienības vienību kiberkrīžu pārvaldības plānu pieņemšanu; |
| s) | ņemot vērā rezultātus, ko devuši Direktīvas (ES) 2022/2555 22. pantā minētie Savienības līmeņa koordinētie kritisko piegādes ķēžu riska novērtējumi, pieņem ieteikumus par 8. panta 2. punkta pirmās daļas m) apakšpunktā minēto piegādes ķēdes drošību, lai palīdzētu Savienības vienībām pieņemt rezultatīvus un samērīgus kiberdrošības riska pārvaldības pasākumus. |
13. pants
1. CERT-EU misija ir dot ieguldījumu Savienības vienību neklasificētās IKT vides drošībā, sniedzot tām padomus par kiberdrošību, palīdzot novērst, atklāt, risināt, mitigēt incidentus, reaģēt uz tiem un atgūties no tiem, kā arī rīkojoties kā to kiberdrošības informācijas apmaiņas un reaģēšanas uz incidentiem koordinēšanas centram.
2. CERT-EU vāc, pārvalda, analizē un ar Savienības vienībām kopīgo informāciju par kiberdraudiem, ievainojamībām un incidentiem neklasificētā IKT infrastruktūrā. CERT-EU koordinē reaģēšanu uz incidentiem starpiestāžu un Savienības vienību līmenī, citstarp nodrošinot specializētu operacionālo palīdzību vai koordinējot tās nodrošināšanu.
3. Lai palīdzētu Savienības vienībām, CERT-EU veic šādus uzdevumus:
| a) | sniedz tām atbalstu šīs regulas īstenošanā un palīdz koordinēt tās īstenošanu, izmantojot 14. panta 1. punktā uzskaitītos pasākumus vai IKP pieprasītus ad hoc ziņojumus; |
| b) | piedāvā CSIRT standarta pakalpojumus Savienības vienībām ar tā pakalpojumu katalogā aprakstīto kiberdrošības pakalpojumu pakotni (pamatpakalpojumi); |
| c) | uztur partneru un kolēģu tīklu, lai sekmētu pakalpojumu sniegšanu, kā norādīts 17. un 18. pantā; |
| d) | vērš IKP uzmanību uz visām problēmām, kas saistītas ar šīs regulas īstenošanu un vadlīniju, ieteikumu un aicinājumu rīkoties īstenošanu; |
| e) | izmantojot 2. punktā minēto informāciju, ciešā sadarbībā ar ENISA sekmē Savienības kibersituācijas apzināšanos; |
| f) | koordinē lielu incidentu pārvaldību; |
| g) | attiecībā pret Savienības vienībām darbojas ekvivalenti koordinatoram, kas izraudzīts koordinētas ievainojamības izpaušanas nolūkā saskaņā ar Direktīvas (ES) 2022/2555 12. panta 1. punktu; |
| h) | pēc Savienības vienības pieprasījuma nodrošina minētās Savienības vienības publiski piekļūstamu tīklu un informācijas sistēmu proaktīvu neintruzīvu skenēšanu. |
Šā punkta pirmās daļas e) apakšpunktā minēto informāciju attiecīgos un piemērotos gadījumos un ievērojot pienācīgus konfidencialitātes nosacījumus, kopīgo ar IKP, CSIRT tīklu un Eiropas Savienības Izlūkošanas un situāciju centru (EU INTCEN).
4. CERT-EU var saskaņā ar attiecīgi 17. vai 18. pantu sadarboties ar relevantajām kiberdrošības kopienām Savienībā un tās dalībvalstīs, arī šādās jomās:
| a) | gatavība, incidentu risināšanas koordinēšana, informācijas apmaiņa un reaģēšana uz krīzi tehniskā līmenī ar Savienības vienībām saistītos gadījumos; |
| b) | operacionālā sadarbība CSIRT tīkla aspektā, arī attiecībā uz savstarpējo palīdzību; |
| c) | kiberdraudu izlūkdati, arī situācijas apzināšanās; |
| d) | jebkurš gadījums, kad vajadzīga CERT-EU tehniskā kiberdrošības lietpratība. |
5. CERT-EU savu kompetenču robežās iesaistās strukturētā sadarbībā ar ENISA attiecībā uz spēju veidošanu, operacionālo sadarbību un kiberdraudu ilgtermiņa stratēģisko analīzi saskaņā ar Regulu (ES) 2019/881. CERT-EU var sadarboties un apmainīties ar informāciju ar Eiropola Eiropas Kibernoziedzības apkarošanas centru.
6. CERT-EU var sniegt tālāk norādītos pakalpojumus, kas nav aprakstīti pakalpojumu katalogā (maksas pakalpojumi):
| a) | pakalpojumi, kas sekmē Savienības vienību IKT vides kiberdrošību un nav minēti 3. punktā, pamatojoties uz pakalpojumu līmeņa vienošanos un atkarībā no pieejamajiem resursiem, jo īpaši plaša spektra tīkla uzraudzība, tostarp nepārtrauktu uzraudzību zemākajā līmenī attiecībā uz īpaši bīstamiem kiberdraudiem; |
| b) | pakalpojumi, kas sekmē Savienības vienību kiberdrošības darbības vai projektus, izņemot pakalpojumus to IKT vides aizsardzībai, pamatojoties uz rakstiskiem līgumiem un ar iepriekšēju IKP apstiprinājumu; |
| c) | pēc pieprasījuma proaktīva attiecīgās Savienības vienības tīklu un informācijas sistēmu skenēšana nolūkā atklāt ievainojamības, kam var būt būtiska ietekme; |
| d) | pakalpojumi, kas sekmē IKT vides drošību organizācijās, kuras nav Savienības vienības, bet cieši sadarbojas ar Savienības vienībām, piemēram, pilda ar Savienības tiesību aktiem uzticētus uzdevumus vai pienākumus, pamatojoties uz rakstiskiem līgumiem un ar iepriekšēju IKP apstiprinājumu. |
Attiecībā uz pirmās daļas d) apakšpunktu CERT-EU var izņēmuma kārtā slēgt pakalpojumu līmeņa vienošanās ar vienībām, kas nav Savienības vienības, ja IKP tam iepriekš piekritusi.
7. CERT-EU organizē kiberdrošības mācības, var piedalīties tajās vai ieteikt piedalīties esošās mācībās attiecīgā gadījumā ciešā sadarbībā ar ENISA, lai pārbaudītu Savienības vienību kiberdrošības līmeni.
8. CERT-EU var sniegt palīdzību Savienības vienībām attiecībā uz incidentiem tīklu un informācijas sistēmās, kas rīkojas ar ESKI, ja to nepārprotami pieprasa attiecīgās Savienības vienības saskaņā ar savām attiecīgajām procedūrām. CERT-EU palīdzības sniegšana saskaņā ar šo punktu neskar piemērojamos noteikumus par klasificētas informācijas aizsardzību.
9. CERT-EU informē Savienības vienības par savām incidentu risināšanas procedūrām un procesiem.
10. CERT-EU, ievērojot augstu konfidencialitātes un uzticamības līmeni un izmantojot pienācīgos sadarbības mehānismus un ziņošanas kārtību, sniedz relevantu un anonimizētu informāciju par lieliem incidentiem un to, kā tie risināti. Minēto informāciju iekļauj 10. panta 14. punktā minētajā ziņojumā.
11. CERT-EU sadarbībā ar EDAU atbalsta attiecīgās Savienības vienības, kad tās risina incidentus, kuru rezultātā notiek personas datu aizsardzības pārkāpumi, neskarot kompetenci un uzdevumus, kas EDAU ir kā uzraudzības iestādei saskaņā ar Regulu (ES) 2018/1725.
12. Ja Savienības vienību rīcībpolitikas nodaļas to skaidri lūdz, CERT-EU var sniegt tehniskus padomus vai tehnisku ieguldījumu relevantos rīcībpolitiskos jautājumos.
15. pants
1. Komisija pēc divu trešdaļu IKP locekļu vairākuma apstiprinājuma saņemšanas ieceļ CERT-EU vadītāju. Visos iecelšanas procedūras posmos apspriežas ar IKP, jo īpaši attiecībā uz paziņojuma par vakanci sagatavošanu, pieteikumu izskatīšanu un atlases komitejas iecelšanu šai amata vietai. Atlases procedūra, tostarp galīgo to kandidātu saraksts, no kuru vidus jāieceļ CERT-EU vadītājs, nodrošina taisnīgu katra dzimuma pārstāvību, ņemot vērā iesniegtos pieteikumus.
2. CERT-EU vadītājs ir atbildīgs par pareizu CERT-EU darbību un IKP vadībā darbojas savas kompetences ietvaros. CERT-EU vadītājs regulāri ziņo IKP priekšsēdētājam un pēc IKP pieprasījuma iesniedz tai ad hoc ziņojumus.
3. CERT-EU vadītājs palīdz atbildīgajam deleģētajam kredītrīkotājam sagatavot gada darbības pārskatu, kas satur finanšu un vadības informāciju, tostarp kontroļu rezultātus, un ko izstrādā saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES, Euratom) 2018/1046 (9) 74. panta 9. punktu, un regulāri ziņo deleģētajam kredītrīkotājam par to pasākumu īstenošanu, attiecībā uz kuriem CERT-EU vadītājam pastarpināti deleģētas pilnvaras.
4. CERT-EU vadītājs ik gadu sagatavo savu darbību administratīvo ieņēmumu un izdevumu finanšu plānu, gada darba programmas priekšlikumu, CERT-EU pakalpojumu kataloga priekšlikumu un pārskatīto pakalpojumu kataloga redakciju priekšlikumus, priekšlikumus par pakalpojumu līmeņa vienošanos kārtību un priekšlikumus par CERT-EU KPI, kas IKP jāapstiprina saskaņā ar 11. pantu. Pārskatot CERT-EU pakalpojumu katalogā iekļauto pakalpojumu sarakstu, CERT-EU vadītājs ņem vērā CERT-EU piešķirtos resursus.
5. CERT-EU vadītājs vismaz ik gadu iesniedz IKP un IKP priekšsēdētājam ziņojumus par CERT-EU darbībām un sniegumu pārskata periodā, tostarp par budžeta izpildi, pakalpojumu līmeņa vienošanos un noslēgtajiem rakstiskajiem nolīgumiem, sadarbību ar partneriem un darbinieku komandējumiem, tostarp 11. pantā minētos ziņojumus. Minētajos ziņojumos iekļauj nākamā perioda darba programmu, ieņēmumu un izdevumu finanšu plānojumu, tostarp personāla sastāvu, CERT-EU pakalpojumu kataloga plānoto atjaunināšanu un novērtējumu par šādu atjauninājumu paredzamo ietekmi uz finanšu resursiem un cilvēkresursiem.
18. pants
1. Attiecībā uz rīkiem un metodēm, piemēram, paņēmieniem, taktiku, procedūrām un paraugpraksēm, kā arī kiberdraudiem un ievainojamībām CERT-EU var sadarboties ar partneriem Savienībā, kas nav 17. pantā minētie partneri un uz ko attiecas Savienības kiberdrošības prasības, tostarp nozarspecifiskiem industrijas partneriem. Lai sadarbotos ar šādiem partneriem, CERT-EU katrā atsevišķā gadījumā iepriekš saņem IKP apstiprinājumu. Ja CERT-EU iedibina sadarbību ar šādiem partneriem, tā informē visus relevantos 17. panta 1. punktā minētos partnerus tajā dalībvalstī, kurā partneris atrodas. Attiecīgā un piemērotā gadījumā šādu sadarbību un tās nosacījumus, arī attiecībā uz kiberdrošību, datu aizsardzību un informācijas apstrādi, nosaka ar īpašiem konfidencialitātes pasākumiem, piemēram, līgumu vai administratīvu vienošanos. Konfidencialitātes pasākumi IKP nav iepriekš jāapstiprina, tomēr IKP priekšsēdētāju par tiem informē. Ja ir steidzama un neatliekama vajadzība apmainīties ar kiberdrošības informāciju Savienības vienību vai citas puses interesēs, CERT-EU var to darīt ar vienību, kuras konkrētā kompetence, spējas un lietpratība ir pamatoti nepieciešamas, lai palīdzētu risināt šādu steidzamu un neatliekamu vajadzību, pat ja CERT-EU ar minēto vienību nav vienojusies par konfidencialitāti. Šādos gadījumos CERT-EU nekavējoties informē IKP priekšsēdētāju un ziņo IKP, izmantojot regulārus ziņojumus vai sanāksmes.
2. CERT-EU var sadarboties ar partneriem, piemēram, komercuzņēmumiem, tostarp nozarspecifiskām industrijas vienībām, starptautiskām organizācijām, trešo valstu nacionālām vienībām un atsevišķiem ekspertiem, lai vāktu informāciju par vispārējiem un konkrētiem kiberdraudiem, gandrīz notikušiem notikumiem, ievainojamībām un iespējamiem pretpasākumiem. Lai plašāk sadarbotos ar šādiem partneriem, CERT-EU katrā atsevišķā gadījumā iepriekš saņem IKP apstiprinājumu.
3. Ar incidenta skartās Savienības vienības piekrišanu un ar noteikumu, ka ir noslēgta informācijas neizpaušanas vienošanās vai līgums ar relevanto partneri, CERT-EU var sniegt incidentu raksturojošu informāciju partneriem, kas minēti 1. un 2. punktā, vienīgi nolūkā no tiem saņemt palīdzību tās analīzē.
V NODAĻA
SADARBĪBA UN ZIŅOŠANAS PIENĀKUMI
whereas