keyboard_tab Cyber Resilience Act 2023/2841 RO
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- Articolul 1 Obiect
- Articolul 2 Domeniul de aplicare
- Articolul 3 Definiții
- Articolul 4 Prelucrarea datelor cu caracter personal
- Articolul 5 Punerea în aplicare a măsurilor
- Articolul 6 Cadrul de gestionare, guvernanță și control al riscurilor de securitate cibernetică
- Articolul 7 Evaluări ale maturității în materie de securitate cibernetică
- Articolul 8 Măsuri de gestionare a riscurilor de securitate cibernetică
- Articolul 9 Planuri de securitate cibernetică
- Articolul 10 Consiliul interinstituțional pentru securitate cibernetică
- Articolul 11 Sarcinile IICB
- Articolul 12 Respectarea dispozițiilor
- Articolul 13 Misiunea și sarcinile CERT-UE
- Articolul 14 Orientări, recomandări și apeluri la acțiune
- Articolul 15 Șeful CERT-UE
- Articolul 16 Aspecte financiare și de personal
- Articolul 17 Cooperarea CERT-UE cu omologii din statele membre
- Articolul 18 Cooperarea CERT-UE cu alți omologi
- Articolul 19 Gestionarea informațiilor
- Articolul 20 Acorduri privind schimbul de informații în materie de securitate cibernetică
- Articolul 21 Obligații de raportare
- Articolul 22 Coordonarea răspunsului la incidente și cooperarea
- Articolul 23 Gestionarea incidentelor majore
- Articolul 24 Realocare bugetară inițială
- Articolul 25 Revizuire
- Articolul 26 Intrarea în vigoare
CAPITOLUL I
DISPOZIȚII GENERALE
CAPITOLUL II
MĂSURI PENTRU UN NIVEL COMUN RIDICAT DE SECURITATE CIBERNETICĂ
CAPITOLUL III
CONSILIUL INTERINSTITUȚIONAL PENTRU SECURITATE CIBERNETICĂ
CAPITOLUL IV
CERT-UE
CAPITOLUL V
OBLIGAȚII DE COOPERARE ȘI DE RAPORTARE
CAPITOLUL VI
DISPOZIȚII FINALE
- securitate 18
- cibernetică 14
- pentru 10
- uniunii 9
- privind 7
- inclusiv 7
- precum 7
- măsuri 6
- gestionarea 6
- securitatea 6
- riscurilor 5
- cibernetice 5
- securizate 4
- nivel 4
- materie 4
- după 4
- servicii 4
- informatice 3
- unor 3
- incidente 3
- aplicare 3
- securității 3
- politicile 3
- utilizarea 3
- gestionare 3
- activelor 2
- entității 2
- personalului 2
- dezvoltare 2
- măsurilor 2
- stabilirea 2
- acestora 2
- articolul 2
- cibernetică: 2
- entitățile 2
- puțin 2
- următoarele 2
- asigurarea 2
- punerea 2
- prin 2
- litera 2
- eliminarea 2
- menționate 2
- încredere 2
- furnizor 2
- comunicații 2
- care 2
- evaluare 2
- dezvoltarea 2
- criptării 2
Articolul 8
Măsuri de gestionare a riscurilor de securitate cibernetică
(1) Fără întârzieri nejustificate și, în orice caz, până la 8 septembrie 2025, fiecare entitate a Uniunii, sub supravegherea celui mai înalt nivel de conducere, ia măsuri tehnice, operaționale și organizatorice adecvate și proporționale pentru a gestiona riscurile de securitate cibernetică identificate în temeiul cadrului și pentru a preveni sau a reduce la minimum impactul incidentelor. Ținând seama de stadiul actual al tehnologiei și, după caz, de standardele europene și internaționale relevante, măsurile respective asigură un nivel de securitate a rețelelor și a sistemelor informatice în întregul mediu TIC proporțional cu riscurile de securitate cibernetică existente. Atunci când se evaluează proporționalitatea măsurilor respective, se ține seama în mod corespunzător de gradul de expunere a entității Uniunii la riscuri de securitate cibernetică, de dimensiunea sa, de probabilitatea producerii unor incidente și de gravitatea acestora, inclusiv de impactul lor societal, economic și interinstituțional.
(2) Entitățile Uniunii abordează cel puțin următoarele domenii în punerea în aplicare a măsurilor de gestionare a riscurilor de securitate cibernetică:
| (a) | politica în materie de securitate cibernetică, inclusiv măsurile necesare pentru atingerea obiectivelor și priorităților menționate la articolul 6 și la alineatul (3) de la prezentul articol; |
| (b) | politicile privind analiza riscurilor de securitate cibernetică și securitatea sistemelor informatice; |
| (c) | obiectivele de politică privind utilizarea serviciilor de cloud computing; |
| (d) | auditul de securitate cibernetică, după caz, care poate include o evaluare a riscurilor de securitate cibernetică, a vulnerabilității și a amenințărilor cibernetice, precum și teste de penetrare efectuate periodic de un furnizor privat de încredere; |
| (e) | punerea în aplicare a recomandărilor rezultate în urma auditurilor de securitate cibernetică menționate la litera (d) prin intermediul actualizărilor securității cibernetice și ale politicilor; |
| (f) | organizarea securității cibernetice, inclusiv stabilirea rolurilor și a responsabilităților; |
| (g) | gestionarea activelor, inclusiv inventarul activelor TIC și cartografierea rețelelor TIC; |
| (h) | securitatea resurselor umane și controlul accesului; |
| (i) | securitatea operațiunilor; |
| (j) | securitatea comunicațiilor; |
| (k) | achiziționarea, dezvoltarea și întreținerea de sisteme, inclusiv politicile privind gestionarea și divulgarea vulnerabilităților; |
| (l) | acolo unde este posibil, politicile privind transparența codului-sursă; |
| (m) | securitatea lanțului de aprovizionare, inclusiv aspectele legate de securitate referitoare la relațiile dintre fiecare entitate a Uniunii și furnizorii sau prestatorii de servicii direcți ai acesteia; |
| (n) | gestionarea incidentelor și cooperarea cu CERT-UE, cum ar fi monitorizarea și jurnalizarea evenimentelor de securitate; |
| (o) | gestionarea continuității activității, de exemplu gestionarea copiilor de rezervă și recuperarea în caz de dezastru, precum și gestionarea crizelor; precum și |
| (p) | promovarea și dezvoltarea unor programe de educație, competențe, sensibilizare, exerciții și formare în materie de securitate cibernetică. |
În sensul primului paragraf litera (m), entitățile Uniunii iau în considerare vulnerabilitățile specifice fiecărui furnizor și prestator de servicii direct, precum și calitatea generală a produselor și a practicilor în materie de securitate cibernetică ale furnizorilor și prestatorilor lor de servicii, inclusiv procedurile lor securizate de dezvoltare.
(3) Entitățile Uniunii iau cel puțin următoarele măsuri specifice de gestionare a riscurilor de securitate cibernetică:
| (a) | măsuri tehnice pentru a permite și a susține telemunca; |
| (b) | măsuri concrete pentru trecerea la principiile de încredere zero; |
| (c) | utilizarea autentificării multifactor ca normă pentru toate rețelele și sistemele informatice; |
| (d) | utilizarea criptografiei și a criptării, în special a criptării de la un capăt la altul, precum și a semnăturilor digitale securizate; |
| (e) | după caz, comunicații securizate de voce, video și text, precum și sisteme securizate de comunicații de urgență în entitatea Uniunii; |
| (f) | măsuri proactive pentru detectarea și eliminarea programelor malware și spyware; |
| (g) | asigurarea securității lanțului de aprovizionare cu software prin criterii de dezvoltare și evaluare securizată a software-ului; |
| (h) | stabilirea și adoptarea unor programe de formare privind securitatea cibernetică, proporționale cu sarcinile prevăzute și cu capacitățile preconizate pentru cel mai înalt nivel de conducere și pentru membrii personalului entității Uniunii însărcinați cu asigurarea punerii în aplicare eficace a prezentului regulament; |
| (i) | formarea periodică a membrilor personalului în materie de securitate cibernetică; |
| (j) | după caz, participarea la analizele de risc privind interconectivitatea între entitățile Uniunii; |
| (k) | consolidarea normelor privind achizițiile publice pentru a facilita un nivel comun ridicat de securitate cibernetică prin:
|
whereas