keyboard_tab Cyber Resilience Act 2023/2841 RO
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Articolul 6 Cadrul de gestionare, guvernanță și control al riscurilor de securitate cibernetică
- 1 Articolul 15 Șeful CERT-UE
- 2 Articolul 16 Aspecte financiare și de personal
- 1 Articolul 24 Realocare bugetară inițială
CAPITOLUL I
DISPOZIȚII GENERALE
CAPITOLUL II
MĂSURI PENTRU UN NIVEL COMUN RIDICAT DE SECURITATE CIBERNETICĂ
CAPITOLUL III
CONSILIUL INTERINSTITUȚIONAL PENTRU SECURITATE CIBERNETICĂ
CAPITOLUL IV
CERT-UE
CAPITOLUL V
OBLIGAȚII DE COOPERARE ȘI DE RAPORTARE
CAPITOLUL VI
DISPOZIȚII FINALE
- cert-ue 38
- uniunii 32
- pentru 27
- cibernetică 21
- privind 16
- european 14
- nr / 13
- securitate 13
- regulament 12
- iicb 11
- aplicare 10
- care 10
- comisiei 10
- articolul 10
- prezentului 9
- securitatea 9
- consiliului 9
- nivel 9
- cadrul 9
- entitate 8
- inclusiv 8
- parlamentului 8
- este 8
- conducere 7
- financiare 7
- serviciilor 7
- jo l 7
- articolului 7
- punerea 7
- privește 6
- ceea 6
- toate 6
- sunt 6
- temeiul 6
- servicii 6
- ue / 6
- entității 5
- fiecare 5
- regulamentul 5
- poate 5
- furnizate 5
- europene 5
- privire 5
- înalt 5
- alineatul 5
- comisia 5
- propunere 5
- regulamentului 4
- către 4
- Șeful 4
Articolul 6
Cadrul de gestionare, guvernanță și control al riscurilor de securitate cibernetică
(1) Până la 8 aprilie 2025, fiecare entitate a Uniunii, după efectuarea unei analize inițiale a securității cibernetice, cum ar fi un audit, instituie un cadru intern de gestionare, guvernanță și control al riscurilor de securitate cibernetică (denumit în continuare „cadrul”). Instituirea cadrului se află sub supravegherea și responsabilitatea celui mai înalt nivel de conducere al entității Uniunii.
(2) Cadrul acoperă întregul mediu TIC neclasificat al entității Uniunii în cauză, inclusiv orice mediu TIC de la fața locului, rețea tehnologică operațională, active și servicii externalizate în medii de cloud computing sau găzduite de părți terțe, dispozitive mobile, rețele corporative, rețele organizaționale care nu sunt conectate la internet și orice dispozitive conectate la aceste medii (mediul TIC). Cadrul se bazează pe o abordare care ia în considerare toate riscurile.
(3) Cadrul asigură un nivel ridicat de securitate cibernetică. Cadrul stabilește politici interne de securitate cibernetică, inclusiv obiective și priorități, pentru securitatea rețelelor și a sistemelor informatice, precum și rolurile și responsabilitățile personalului entității Uniunii însărcinat cu asigurarea punerii în aplicare eficace a prezentului regulament. Cadrul include, de asemenea, mecanisme de măsurare a eficacității punerii în aplicare.
(4) Cadrul este revizuit periodic, având în vedere evoluția riscurilor de securitate cibernetică, și cel puțin o dată la patru ani. După caz și în urma unei cereri din partea Consiliului interinstituțional pentru securitate cibernetică instituit în temeiul articolului 10, cadrul unei entități a Uniunii poate fi actualizat pe baza orientărilor CERT-UE privind incidentele identificate sau posibilele lacune observate în punerea în aplicare a prezentului regulament.
(5) Cel mai înalt nivel de conducere al fiecărei entități a Uniunii este responsabil cu punerea în aplicare a prezentului regulament și supraveghează respectarea de către organizația sa a obligațiilor legate de cadru.
(6) După caz și fără a aduce atingere responsabilității sale pentru punerea în aplicare a prezentului regulament, cel mai înalt nivel de conducere al fiecărei entități a Uniunii poate delega obligații specifice în temeiul prezentului regulament personalului cu funcții superioare de conducere în sensul articolului 29 alineatul (2) din Statutul funcționarilor sau altor funcționari de nivel echivalent, din entitatea Uniunii în cauză. Indiferent de astfel de delegări, cel mai înalt nivel de conducere poate fi tras la răspundere pentru încălcarea prezentului regulament de către entitatea Uniunii în cauză.
(7) Fiecare entitate a Uniunii dispune de mecanisme eficace pentru a se asigura că un procent adecvat din bugetul în domeniul TIC este cheltuit pentru securitatea cibernetică. La stabilirea acestui procent se ține seama în mod corespunzător de cadru.
(8) Fiecare entitate a Uniunii numește un responsabil local cu securitatea cibernetică sau o funcție echivalentă care acționează ca punct unic de contact în ceea ce privește toate aspectele securității cibernetice. Responsabilul local cu securitatea cibernetică facilitează punerea în aplicare a prezentului regulament și raportează periodic în mod direct celui mai înalt nivel de conducere cu privire la stadiul punerii în aplicare. Fără a aduce atingere faptului că responsabilul local cu securitatea cibernetică este punctul unic de contact în fiecare entitate a Uniunii, o entitate a Uniunii poate delega CERT-UE anumite sarcini ale responsabilului local cu securitatea cibernetică în ceea ce privește punerea în aplicare a prezentului regulament, pe baza unui acord privind nivelul serviciilor încheiat între entitatea Uniunii respectivă și CERT-UE, sau sarcinile respective pot fi partajate de mai multe entități ale Uniunii. În cazul în care aceste sarcini sunt delegate CERT-UE, Consiliul interinstituțional pentru securitate cibernetică instituit în temeiul articolului 10 decide dacă furnizarea serviciului respectiv urmează să facă parte dintre serviciile de referință ale CERT-UE, ținând seama de resursele umane și financiare ale entității Uniunii în cauză. Fiecare entitate a Uniunii comunică CERT-UE, fără întârzieri nejustificate, responsabilii locali cu securitatea cibernetică numiți și orice modificare ulterioară a numirilor.
CERT-UE întocmește și menține actualizată o listă a responsabililor locali cu securitatea cibernetică numiți.
(9) Personalul cu funcții superioare de conducere în sensul articolului 29 alineatul (2) din Statutul funcționarilor sau alți funcționari de nivel echivalent din fiecare entitate a Uniunii, precum și toți membrii relevanți ai personalului însărcinați cu punerea în aplicare a măsurilor de gestionare a riscurilor de securitate cibernetică și cu îndeplinirea obligațiilor prevăzute în prezentul regulament urmează periodic cursuri de formare specifice în vederea dobândirii unor cunoștințe și competențe suficiente pentru a înțelege și a evalua riscul în materie de securitate cibernetică și practicile de gestionare a securității cibernetice, precum și impactul acestora asupra operațiunilor entității Uniunii.
Articolul 15
Șeful CERT-UE
(1) După obținerea aprobării cu o majoritate de două treimi din membrii IICB, Comisia numește șeful CERT-UE. IICB este consultat în toate etapele procedurii de numire, în special în ceea ce privește elaborarea anunțurilor privind posturile vacante, examinarea dosarelor de candidatură și desemnarea comitetelor de selecție pentru acest post. Procedura de selecție, inclusiv lista scurtă finală a candidaților de pe care urmează să fie selectat șeful CERT-UE, asigură o reprezentare echitabilă a fiecărui gen, ținând cont de candidaturile depuse.
(2) Șeful CERT-UE este responsabil pentru buna funcționare a CERT-UE și acționează în limitele competențelor sale și sub conducerea IICB. Șeful CERT-UE raportează în mod regulat președintelui IICB și prezintă rapoarte ad-hoc IICB, la solicitarea acestuia.
(3) Șeful CERT-UE acordă ordonatorului de credite delegat responsabil asistență la întocmirea raportului de activitate anual, care conține informații financiare și de gestiune, inclusiv rezultatele controalelor, redactate în conformitate cu articolul 74 alineatul (9) din Regulamentul (UE, Euratom) 2018/1046 al Parlamentului European și al Consiliului (9), și îi raportează periodic acestuia cu privire la punerea în aplicare a măsurilor pentru care i-au fost subdelegate competențe șefului CERT-UE.
(4) Șeful CERT-UE elaborează anual o planificare financiară a veniturilor și cheltuielilor administrative pentru activitățile sale, o propunere de program de lucru anual, o propunere de catalog de servicii al CERT-UE, o propunere de revizuire a catalogului de servicii, o propunere de modalități pentru acordurile privind nivelul serviciilor și o propunere de indicatori-cheie de performanță pentru CERT-UE, care urmează să fie aprobate de IICB în conformitate cu articolul 11. Atunci când revizuiește lista serviciilor din catalogul de servicii al CERT-UE, șeful CERT-UE ține cont de resursele alocate CERT-UE.
(5) Șeful CERT-UE prezintă IICB și președintelui IICB rapoarte cel puțin o dată pe an cu privire la activitățile și performanțele CERT-UE în perioada de referință, inclusiv cu privire la execuția bugetului, la acordurile privind nivelul serviciilor și la acordurile scrise încheiate, la cooperarea cu omologii și partenerii și la misiunile efectuate de personal, inclusiv rapoartele menționate la articolul 11. Aceste rapoarte includ un program de lucru pentru perioada următoare, planificarea financiară a veniturilor și cheltuielilor, inclusiv personalul, actualizările planificate ale catalogului de servicii al CERT-UE și o evaluare a impactului preconizat pe care astfel de actualizări îl pot avea în ceea ce privește resursele financiare și umane.
Articolul 16
Aspecte financiare și de personal
(1) CERT-UE este integrat în structura administrativă a unei direcții generale a Comisiei pentru a beneficia de structurile de sprijin administrativ, financiar și contabil ale Comisiei, menținându-și în același timp statutul de furnizor interinstituțional autonom de servicii pentru toate entitățile Uniunii. Comisia informează IICB cu privire la amplasarea administrativă a CERT-UE și la eventuale modificări ale acesteia. Comisia revizuiește acordurile administrative referitoare la CERT-UE în mod regulat și, în orice caz, înainte de instituirea oricărui cadru financiar multianual în temeiul articolului 312 din TFUE, pentru a permite luarea de măsuri adecvate. Revizuirea include posibilitatea de a institui CERT-UE ca oficiu al Uniunii.
(2) În ceea ce privește aplicarea procedurilor administrative și financiare, șeful CERT-UE acționează sub autoritatea Comisiei și sub supravegherea IICB.
(3) Sarcinile și activitățile CERT-UE, inclusiv serviciile furnizate de CERT-UE în temeiul articolului 13 alineatele (3), (4), (5) și (7) și al articolului 14 alineatul (1) entităților Uniunii finanțate în cadrul rubricii „Administrația publică europeană” din cadrul financiar multianual, sunt finanțate printr-o linie bugetară separată a bugetului Comisiei. Posturile alocate CERT-UE sunt detaliate într-o notă de subsol la schema de personal a Comisiei.
(4) Entitățile Uniunii, altele decât cele menționate la alineatul (3), aduc o contribuție anuală la bugetul CERT-UE pentru a acoperi serviciile furnizate de CERT-UE în temeiul alineatului menționat. Contribuțiile se bazează pe orientările oferite de IICB și convenite între fiecare entitate a Uniunii și CERT-UE în cadrul acordurilor privind nivelul serviciilor. Contribuțiile reprezintă un procent echitabil și proporțional din costurile totale ale serviciilor furnizate. Acestea sunt primite în cadrul liniei bugetare separate menționate la alineatul (3) din prezentul articol, ca venituri alocate interne, astfel cum se prevede la articolul 21 alineatul (3) litera (c) din Regulamentul (UE, Euratom) 2018/1046.
(5) Costurile aferente serviciilor furnizate la articolul 13 alineatul (6) se recuperează de la entitățile Uniunii beneficiare ale serviciilor furnizate de CERT-UE. Veniturile sunt alocate liniilor bugetare prin care se suportă costurile.
Articolul 24
Realocare bugetară inițială
Pentru a asigura funcționarea corectă și stabilă a CERT-UE, Comisia poate propune realocarea personalului și a resurselor financiare către bugetul Comisiei, pentru a fi utilizate în operațiunile CERT-UE. Realocarea produce efecte în același timp cu primul buget anual al Comisiei adoptat după intrarea în vigoare a prezentului regulament.
Articolul 26
Intrarea în vigoare
Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.
Adoptat la Strasbourg, 13 decembrie 2023.
Pentru Parlamentul European
Președinta
R. METSOLA
Pentru Consiliu
Președintele
P. NAVARRO RÍOS
(1) Poziția Parlamentului European din 21 noiembrie 2023 (nepublicată încă în Jurnalul Oficial) și Decizia Consiliului din 8 decembrie 2023.
(2) Directiva (UE) 2022/2555 a Parlamentului European și a Consiliului din 14 decembrie 2022 privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de modificare a Regulamentului (UE) nr. 910/2014 și a Directivei (UE) 2018/1972 și de abrogare a Directivei (UE) 2016/1148 (Directiva NIS 2) (JO L 333, 27.12.2022, p. 80).
(3) Regulamentul (UE) 2019/881 al Parlamentului European și al Consiliului din 17 aprilie 2019 privind ENISA (Agenția Uniunii Europene pentru Securitate Cibernetică) și privind certificarea securității cibernetice pentru tehnologia informației și comunicațiilor și de abrogare a Regulamentului (UE) nr. 526/2013 (Regulamentul privind securitatea cibernetică) (JO L 151, 7.6.2019, p. 15).
(4) Acordul dintre Parlamentul European, Consiliul European, Consiliul Uniunii Europene, Comisia Europeană, Curtea de Justiție a Uniunii Europene, Banca Centrală Europeană, Curtea de Conturi Europeană, Serviciul European de Acțiune Externă, Comitetul Economic și Social European, Comitetul European al Regiunilor și Banca Europeană de Investiții privind organizarea și funcționarea unui Centru de răspuns la incidente de securitate cibernetică pentru instituțiile, organismele și agențiile Uniunii (CERT-UE) (JO C 12, 13.1.2018, p. 1).
(5) Regulamentul (CEE, Euratom, CECO) nr. 259/68 al Consiliului din 29 februarie 1968 de stabilire a Statutului funcționarilor Comunităților Europene, precum și a Regimului aplicabil celorlalți agenți ai acestor comunități și de instituire a unor măsuri speciale tranzitorii aplicabile funcționarilor Comisiei (JO L 56, 4.3.1968, p. 1).
(6) Recomandarea (UE) 2017/1584 a Comisiei din 13 septembrie 2017 privind răspunsul coordonat la incidentele și crizele de securitate cibernetică de mare amploare (JO L 239, 19.9.2017, p. 36).
(7) Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39).
(8) JO C 258, 5.7.2022, p. 10.
(9) Regulamentul (UE, Euratom) 2018/1046 al Parlamentului European și al Consiliului din 18 iulie 2018 privind normele financiare aplicabile bugetului general al Uniunii, de modificare a Regulamentelor (UE) nr. 1296/2013, (UE) nr. 1301/2013, (UE) nr. 1303/2013, (UE) nr. 1304/2013, (UE) nr. 1309/2013, (UE) nr. 1316/2013, (UE) nr. 223/2014, (UE) nr. 283/2014 și a Deciziei nr. 541/2014/UE și de abrogare a Regulamentului (UE, Euratom) nr. 966/2012 (JO L 193, 30.7.2018, p. 1).
(10) Regulamentul (CE) nr. 1049/2001 al Parlamentului European și al Consiliului din 30 mai 2001 privind accesul public la documentele Parlamentului European, ale Consiliului și ale Comisiei (JO L 145, 31.5.2001, p. 43).
ELI: http://data.europa.eu/eli/reg/2023/2841/oj
ISSN 1977-0782 (electronic edition)