keyboard_tab Cyber Resilience Act 2023/2841 RO
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Articolul 8 Măsuri de gestionare a riscurilor de securitate cibernetică
- 1 Articolul 13 Misiunea și sarcinile CERT-UE
- 1 Articolul 19 Gestionarea informațiilor
- 1 Articolul 22 Coordonarea răspunsului la incidente și cooperarea
CAPITOLUL I
DISPOZIȚII GENERALE
CAPITOLUL II
MĂSURI PENTRU UN NIVEL COMUN RIDICAT DE SECURITATE CIBERNETICĂ
CAPITOLUL III
CONSILIUL INTERINSTITUȚIONAL PENTRU SECURITATE CIBERNETICĂ
CAPITOLUL IV
CERT-UE
CAPITOLUL V
OBLIGAȚII DE COOPERARE ȘI DE RAPORTARE
CAPITOLUL VI
DISPOZIȚII FINALE
- uniunii 48
- securitate 31
- cibernetică 30
- privind 27
- pentru 27
- cert-ue 19
- entitățile 18
- care 16
- european 15
- incidente 15
- nr / 14
- servicii 14
- inclusiv 14
- cibernetice 13
- securitatea 12
- articolul 12
- informații 11
- ue / 10
- materie 10
- poate 10
- gestionarea 9
- precum 9
- cert-ue 9
- după 8
- parlamentului 8
- incidentelor 8
- măsuri 8
- iicb 8
- temeiul 8
- consiliului 8
- unor 8
- nivel 8
- entităților 8
- aplicare 7
- securității 7
- coordonarea 7
- jo l 7
- europene 7
- cooperare 7
- prin 7
- ceea 7
- privește 7
- informatice 6
- este 6
- regulamentului 6
- regulament 6
- informațiilor 6
- privire 6
- enisa 6
- nivelul 5
Articolul 8
Măsuri de gestionare a riscurilor de securitate cibernetică
(1) Fără întârzieri nejustificate și, în orice caz, până la 8 septembrie 2025, fiecare entitate a Uniunii, sub supravegherea celui mai înalt nivel de conducere, ia măsuri tehnice, operaționale și organizatorice adecvate și proporționale pentru a gestiona riscurile de securitate cibernetică identificate în temeiul cadrului și pentru a preveni sau a reduce la minimum impactul incidentelor. Ținând seama de stadiul actual al tehnologiei și, după caz, de standardele europene și internaționale relevante, măsurile respective asigură un nivel de securitate a rețelelor și a sistemelor informatice în întregul mediu TIC proporțional cu riscurile de securitate cibernetică existente. Atunci când se evaluează proporționalitatea măsurilor respective, se ține seama în mod corespunzător de gradul de expunere a entității Uniunii la riscuri de securitate cibernetică, de dimensiunea sa, de probabilitatea producerii unor incidente și de gravitatea acestora, inclusiv de impactul lor societal, economic și interinstituțional.
(2) Entitățile Uniunii abordează cel puțin următoarele domenii în punerea în aplicare a măsurilor de gestionare a riscurilor de securitate cibernetică:
| (a) | politica în materie de securitate cibernetică, inclusiv măsurile necesare pentru atingerea obiectivelor și priorităților menționate la articolul 6 și la alineatul (3) de la prezentul articol; |
| (b) | politicile privind analiza riscurilor de securitate cibernetică și securitatea sistemelor informatice; |
| (c) | obiectivele de politică privind utilizarea serviciilor de cloud computing; |
| (d) | auditul de securitate cibernetică, după caz, care poate include o evaluare a riscurilor de securitate cibernetică, a vulnerabilității și a amenințărilor cibernetice, precum și teste de penetrare efectuate periodic de un furnizor privat de încredere; |
| (e) | punerea în aplicare a recomandărilor rezultate în urma auditurilor de securitate cibernetică menționate la litera (d) prin intermediul actualizărilor securității cibernetice și ale politicilor; |
| (f) | organizarea securității cibernetice, inclusiv stabilirea rolurilor și a responsabilităților; |
| (g) | gestionarea activelor, inclusiv inventarul activelor TIC și cartografierea rețelelor TIC; |
| (h) | securitatea resurselor umane și controlul accesului; |
| (i) | securitatea operațiunilor; |
| (j) | securitatea comunicațiilor; |
| (k) | achiziționarea, dezvoltarea și întreținerea de sisteme, inclusiv politicile privind gestionarea și divulgarea vulnerabilităților; |
| (l) | acolo unde este posibil, politicile privind transparența codului-sursă; |
| (m) | securitatea lanțului de aprovizionare, inclusiv aspectele legate de securitate referitoare la relațiile dintre fiecare entitate a Uniunii și furnizorii sau prestatorii de servicii direcți ai acesteia; |
| (n) | gestionarea incidentelor și cooperarea cu CERT-UE, cum ar fi monitorizarea și jurnalizarea evenimentelor de securitate; |
| (o) | gestionarea continuității activității, de exemplu gestionarea copiilor de rezervă și recuperarea în caz de dezastru, precum și gestionarea crizelor; precum și |
| (p) | promovarea și dezvoltarea unor programe de educație, competențe, sensibilizare, exerciții și formare în materie de securitate cibernetică. |
În sensul primului paragraf litera (m), entitățile Uniunii iau în considerare vulnerabilitățile specifice fiecărui furnizor și prestator de servicii direct, precum și calitatea generală a produselor și a practicilor în materie de securitate cibernetică ale furnizorilor și prestatorilor lor de servicii, inclusiv procedurile lor securizate de dezvoltare.
(3) Entitățile Uniunii iau cel puțin următoarele măsuri specifice de gestionare a riscurilor de securitate cibernetică:
| (a) | măsuri tehnice pentru a permite și a susține telemunca; |
| (b) | măsuri concrete pentru trecerea la principiile de încredere zero; |
| (c) | utilizarea autentificării multifactor ca normă pentru toate rețelele și sistemele informatice; |
| (d) | utilizarea criptografiei și a criptării, în special a criptării de la un capăt la altul, precum și a semnăturilor digitale securizate; |
| (e) | după caz, comunicații securizate de voce, video și text, precum și sisteme securizate de comunicații de urgență în entitatea Uniunii; |
| (f) | măsuri proactive pentru detectarea și eliminarea programelor malware și spyware; |
| (g) | asigurarea securității lanțului de aprovizionare cu software prin criterii de dezvoltare și evaluare securizată a software-ului; |
| (h) | stabilirea și adoptarea unor programe de formare privind securitatea cibernetică, proporționale cu sarcinile prevăzute și cu capacitățile preconizate pentru cel mai înalt nivel de conducere și pentru membrii personalului entității Uniunii însărcinați cu asigurarea punerii în aplicare eficace a prezentului regulament; |
| (i) | formarea periodică a membrilor personalului în materie de securitate cibernetică; |
| (j) | după caz, participarea la analizele de risc privind interconectivitatea între entitățile Uniunii; |
| (k) | consolidarea normelor privind achizițiile publice pentru a facilita un nivel comun ridicat de securitate cibernetică prin:
|
Articolul 13
Misiunea și sarcinile CERT-UE
(1) Misiunea CERT-UE este de a contribui la securitatea mediului TIC neclasificat al entităților Uniunii, oferindu-le consiliere cu privire la securitatea cibernetică, oferindu-le asistență pentru prevenirea, detectarea, gestionarea și atenuarea incidentelor, răspunsul la acestea și redresarea în urma lor și acționând ca centru de schimb de informații în materie de securitate cibernetică și de coordonare a răspunsului la incidente pentru aceste entități.
(2) CERT-UE colectează, gestionează, analizează și face schimb de informații cu entitățile Uniunii cu privire la amenințări cibernetice, vulnerabilități și incidente legate de infrastructura TIC neclasificată. Acesta coordonează răspunsurile la incidente la nivel interinstituțional și la nivelul entităților Uniunii, inclusiv prin furnizarea de asistență operațională specializată sau prin coordonarea acesteia.
(3) CERT-UE îndeplinește următoarele sarcini pentru a asista entitățile Uniunii:
| (a) | le oferă sprijin la punerea în aplicare a prezentului regulament și contribuie la coordonarea punerii în aplicare a prezentului regulament prin intermediul măsurilor enumerate la articolul 14 alineatul (1) sau al rapoartelor ad-hoc solicitate de IICB; |
| (b) | oferă servicii CSIRT standard pentru entitățile Uniunii printr-un pachet de servicii de securitate cibernetică descrise în catalogul său de servicii (servicii de referință); |
| (c) | menține o rețea de omologi și parteneri pentru a sprijini serviciile, astfel cum se prevede la articolele 17 și 18; |
| (d) | aduce în atenția IICB orice problemă legată de punerea în aplicare a prezentului regulament și a orientărilor, recomandărilor și apelurilor la acțiune; |
| (e) | pe baza informațiilor menționate la alineatul (2), contribuie la conștientizarea situației amenințărilor la adresa securității cibernetice în Uniune în strânsă cooperare cu ENISA; |
| (f) | coordonează gestionarea incidentelor majore; |
| (g) | îndeplinește pentru entitățile Uniunii un rol echivalent celui de coordonator desemnat în scopul divulgării coordonate a vulnerabilităților în temeiul articolului 12 alineatul (1) din Directiva (UE) 2022/2555; |
| (h) | furnizează, la cererea unei entități a Uniunii, scanarea proactivă și neintruzivă a rețelelor și a sistemelor informatice accesibile publicului respectivei entități a Uniunii. |
Informațiile menționate la primul paragraf litera (e) se comunică IICB, rețelei CSIRT și Centrului de situații și de analiză a informațiilor al Uniunii Europene (INTCEN UE), dacă este cazul și în funcție de situație și sub rezerva unor condiții de confidențialitate adecvate.
(4) CERT-UE poate, în conformitate cu articolul 17 sau 18, după caz, să coopereze cu comunitățile relevante în materie de securitate cibernetică din Uniune și din statele sale membre, inclusiv în următoarele domenii:
| (a) | pregătirea, coordonarea în materie de incidente, schimbul de informații și răspunsul la situații de criză la nivel tehnic în cazurile legate de entitățile Uniunii; |
| (b) | cooperarea operațională privind rețeaua CSIRT, inclusiv în ceea ce privește asistența reciprocă; |
| (c) | informații privind amenințările cibernetice, inclusiv conștientizarea situației; |
| (d) | orice subiect care necesită expertiză tehnică în materie de securitate cibernetică din partea CERT-UE. |
(5) În limitele competențelor sale, CERT-UE desfășoară o cooperare structurată cu ENISA în ceea ce privește consolidarea capacităților, cooperarea operațională și analizele strategice pe termen lung ale amenințărilor cibernetice, în temeiul Regulamentului (UE) 2019/881. CERT-UE poate coopera și face schimb de informații cu Centrul european de combatere a criminalității informatice al Europol.
(6) CERT-UE poate furniza următoarele servicii care nu sunt descrise în catalogul său de servicii (servicii contra cost):
| (a) | servicii care sprijină securitatea cibernetică a mediului TIC al entităților Uniunii, altele decât cele menționate la alineatul (3), în temeiul unor acorduri privind nivelul serviciilor și sub rezerva resurselor disponibile, în special monitorizarea rețelelor cu spectru larg, inclusiv monitorizarea non-stop din prima linie pentru amenințările cibernetice grave; |
| (b) | servicii care sprijină operațiunile sau proiectele în materie de securitate cibernetică ale entităților Uniunii, altele decât cele care vizează protejarea mediului lor TIC, în temeiul unor acorduri scrise și cu aprobarea prealabilă a IICB; |
| (c) | la cerere, o scanare proactivă a rețelei și a sistemelor informatice ale entității Uniunii în cauză pentru a detecta vulnerabilitățile cu un impact potențial semnificativ; |
| (d) | servicii care sprijină securitatea mediului TIC furnizat altor organizații decât entitățile Uniunii, care cooperează îndeaproape cu entitățile Uniunii, de exemplu, cărora li s-au atribuit sarcini sau responsabilități în temeiul dreptului Uniunii, pe baza unor acorduri scrise și cu aprobarea prealabilă a IICB. |
În ceea ce privește primul alineat litera (d), CERT-EU poate, cu titlu excepțional, să încheie acorduri privind nivelul serviciilor cu alte entități decât entitățile Uniunii, cu aprobarea prealabilă a IICB.
(7) CERT-UE organizează și poate participa la exerciții de securitate cibernetică sau poate recomanda participarea la exercițiile existente, dacă este cazul în strânsă cooperare cu ENISA, pentru a testa nivelul de securitate cibernetică al entităților Uniunii.
(8) CERT-UE poate oferi entităților Uniunii asistență privind incidentele din rețele și din sistemele de informații care procesează IUEC dacă entitățile Uniunii în cauză îi solicită acest lucru în mod expres în conformitate cu procedurile lor respective. Furnizarea de asistență din partea CERT-UE în temeiul prezentului alineat nu aduce atingere normelor aplicabile privind protecția informațiilor clasificate.
(9) CERT-UE informează entitățile Uniunii cu privire la procedurile și procesele sale de gestionare a incidentelor.
(10) CERT-UE contribuie, cu un nivel ridicat de confidențialitate și fiabilitate, prin intermediul mecanismelor de cooperare și al liniilor de raportare adecvate, cu informații relevante și anonimizate cu privire la incidentele majore și la modul în care acestea au fost gestionate. Informațiile respective sunt incluse în raportul menționat la articolul 10 alineatul (14).
(11) CERT-EU, în cooperare cu AEPD, sprijină entitățile Uniunii în cauză atunci când abordează incidente care duc la încălcarea securității datelor cu caracter personal, fără a aduce atingere competenței și sarcinilor AEPD în calitate de autoritate de supraveghere în temeiul Regulamentului (UE) 2018/1725.
(12) La solicitarea explicită a departamentelor tematice ale entităților Uniunii, CERT-UE poate oferi consultanță sau sprijin tehnic cu privire la aspecte de politică relevante.
Articolul 19
Gestionarea informațiilor
(1) Entitățile Uniunii și CERT-UE respectă obligația de a nu divulga informații care constituie secret profesional, în conformitate cu articolul 339 din TFUE sau cu cadrele echivalente aplicabile.
(2) Regulamentul (CE) nr. 1049/2001 al Parlamentului European și al Consiliului (10) se aplică în ceea ce privește cererile de acces public la documentele deținute de CERT-UE, inclusiv obligația care decurge din regulamentul menționat de a consulta alte entități ale Uniunii sau, după caz, statele membre, ori de câte ori o cerere se referă la documentele lor.
(3) Entitățile Uniunii și CERT-UE gestionează informațiile în conformitate cu normele aplicabile privind securitatea informațiilor.
Articolul 22
Coordonarea răspunsului la incidente și cooperarea
(1) Acționând în calitate de centru de schimb de informații în materie de securitate cibernetică și de coordonare a răspunsului la incidente, CERT-UE facilitează schimbul de informații cu privire la incidente, amenințările cibernetice, vulnerabilități și incidente evitate la limită, între:
| (a) | entitățile Uniunii; |
| (b) | omologii menționați la articolele 17 și 18. |
(2) CERT-UE, după caz în strânsă cooperare cu ENISA, facilitează coordonarea între entitățile Uniunii în ceea ce privește răspunsul la incidente, inclusiv prin:
| (a) | contribuția la o comunicare externă coerentă; |
| (b) | sprijin reciproc, cum ar fi schimbul de informații relevante pentru entitățile Uniunii sau furnizarea de asistență, după caz, direct la fața locului; |
| (c) | utilizarea optimă a resurselor operaționale; |
| (d) | coordonarea cu alte mecanisme de răspuns la situații de criză la nivelul Uniunii. |
(3) În strânsă cooperare cu ENISA, CERT-UE sprijină entitățile Uniunii în ceea ce privește conștientizarea situației incidentelor, amenințărilor cibernetice, a vulnerabilităților și a incidentelor evitate la limită, precum și prin schimburile legate de cele mai recente evoluții în domeniul securității cibernetice.
(4) Până la 8 ianuarie 2025, pe baza unei propuneri din partea CERT-UE, IICB adoptă orientări sau recomandări privind coordonarea răspunsului la incidente și cooperarea în cazul incidentelor semnificative. În cazul în care se suspectează că un incident este de natură penală, CERT-UE furnizează orientări privind raportarea incidentului către autoritățile de aplicare a legii, fără întârzieri nejustificate.
(5) În urma unei cereri specifice din partea unui stat membru și cu aprobarea entităților Uniunii în cauză, CERT-UE poate apela la experți de pe lista menționată la articolul 23 alineatul (4) pentru a contribui la răspunsul la un incident major care are un impact în statul membru respectiv sau la un incident de securitate cibernetică de mare amploare în conformitate cu articolul 15 alineatul (3) litera (g) din Directiva (UE) 2022/2555. Normele specifice privind accesul și folosirea experților tehnici din entitățile Uniunii sunt aprobate de IICB pe baza unei propuneri a CERT-UE.
Articolul 26
Intrarea în vigoare
Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.
Adoptat la Strasbourg, 13 decembrie 2023.
Pentru Parlamentul European
Președinta
R. METSOLA
Pentru Consiliu
Președintele
P. NAVARRO RÍOS
(1) Poziția Parlamentului European din 21 noiembrie 2023 (nepublicată încă în Jurnalul Oficial) și Decizia Consiliului din 8 decembrie 2023.
(2) Directiva (UE) 2022/2555 a Parlamentului European și a Consiliului din 14 decembrie 2022 privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de modificare a Regulamentului (UE) nr. 910/2014 și a Directivei (UE) 2018/1972 și de abrogare a Directivei (UE) 2016/1148 (Directiva NIS 2) (JO L 333, 27.12.2022, p. 80).
(3) Regulamentul (UE) 2019/881 al Parlamentului European și al Consiliului din 17 aprilie 2019 privind ENISA (Agenția Uniunii Europene pentru Securitate Cibernetică) și privind certificarea securității cibernetice pentru tehnologia informației și comunicațiilor și de abrogare a Regulamentului (UE) nr. 526/2013 (Regulamentul privind securitatea cibernetică) (JO L 151, 7.6.2019, p. 15).
(4) Acordul dintre Parlamentul European, Consiliul European, Consiliul Uniunii Europene, Comisia Europeană, Curtea de Justiție a Uniunii Europene, Banca Centrală Europeană, Curtea de Conturi Europeană, Serviciul European de Acțiune Externă, Comitetul Economic și Social European, Comitetul European al Regiunilor și Banca Europeană de Investiții privind organizarea și funcționarea unui Centru de răspuns la incidente de securitate cibernetică pentru instituțiile, organismele și agențiile Uniunii (CERT-UE) (JO C 12, 13.1.2018, p. 1).
(5) Regulamentul (CEE, Euratom, CECO) nr. 259/68 al Consiliului din 29 februarie 1968 de stabilire a Statutului funcționarilor Comunităților Europene, precum și a Regimului aplicabil celorlalți agenți ai acestor comunități și de instituire a unor măsuri speciale tranzitorii aplicabile funcționarilor Comisiei (JO L 56, 4.3.1968, p. 1).
(6) Recomandarea (UE) 2017/1584 a Comisiei din 13 septembrie 2017 privind răspunsul coordonat la incidentele și crizele de securitate cibernetică de mare amploare (JO L 239, 19.9.2017, p. 36).
(7) Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39).
(8) JO C 258, 5.7.2022, p. 10.
(9) Regulamentul (UE, Euratom) 2018/1046 al Parlamentului European și al Consiliului din 18 iulie 2018 privind normele financiare aplicabile bugetului general al Uniunii, de modificare a Regulamentelor (UE) nr. 1296/2013, (UE) nr. 1301/2013, (UE) nr. 1303/2013, (UE) nr. 1304/2013, (UE) nr. 1309/2013, (UE) nr. 1316/2013, (UE) nr. 223/2014, (UE) nr. 283/2014 și a Deciziei nr. 541/2014/UE și de abrogare a Regulamentului (UE, Euratom) nr. 966/2012 (JO L 193, 30.7.2018, p. 1).
(10) Regulamentul (CE) nr. 1049/2001 al Parlamentului European și al Consiliului din 30 mai 2001 privind accesul public la documentele Parlamentului European, ale Consiliului și ale Comisiei (JO L 145, 31.5.2001, p. 43).
ELI: http://data.europa.eu/eli/reg/2023/2841/oj
ISSN 1977-0782 (electronic edition)