keyboard_tab Cyber Resilience Act 2023/2841 RO
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Articolul 10 Consiliul interinstituțional pentru securitate cibernetică
- 4 Articolul 13 Misiunea și sarcinile CERT-UE
- 1 Articolul 16 Aspecte financiare și de personal
- 1 Articolul 18 Cooperarea CERT-UE cu alți omologi
CAPITOLUL I
DISPOZIȚII GENERALE
CAPITOLUL II
MĂSURI PENTRU UN NIVEL COMUN RIDICAT DE SECURITATE CIBERNETICĂ
CAPITOLUL III
CONSILIUL INTERINSTITUȚIONAL PENTRU SECURITATE CIBERNETICĂ
CAPITOLUL IV
CERT-UE
CAPITOLUL V
OBLIGAȚII DE COOPERARE ȘI DE RAPORTARE
CAPITOLUL VI
DISPOZIȚII FINALE
- uniunii 39
- iicb 31
- cert-ue 30
- pentru 26
- care 22
- cibernetică 16
- poate 16
- entitățile 15
- temeiul 13
- securitate 12
- cert-ue 12
- cooperare 12
- servicii 11
- articolul 11
- inclusiv 10
- informații 10
- entităților 10
- privire 10
- este 9
- privind 9
- entități 8
- materie 8
- european 8
- astfel 8
- sunt 8
- cibernetice 7
- orice 7
- decât 7
- menționate 7
- iicb 7
- incidente 6
- prezentului 6
- prealabilă 6
- aprobarea 6
- securitatea 6
- său 6
- privește 6
- ceea 6
- aplicare 6
- procedură 6
- prin 6
- alineatul 6
- alineatul 6
- omologi 6
- cadrul 6
- regulament 6
- regulamentul 6
- serviciilor 5
- nivelul 5
- conformitate 5
Articolul 10
Consiliul interinstituțional pentru securitate cibernetică
(1) Se instituie Consiliul interinstituțional pentru securitate cibernetică (IICB).
(2) IICB este responsabil cu:
| (a) | monitorizarea și sprijinirea punerii în aplicare a prezentului regulament de către entitățile Uniunii; |
| (b) | supravegherea punerii în aplicare a priorităților și obiectivelor generale de către CERT-UE și de elaborarea de orientări strategice pentru CERT-UE. |
(3) IICB este format din:
| (a) | un reprezentant desemnat de fiecare dintre următoarele instituții:
|
| (b) | trei reprezentanți desemnați de Rețeaua agențiilor UE (EUAN), la propunerea Comitetului său consultativ pentru tehnologia informației și comunicațiilor, pentru a reprezenta interesele organelor, oficiilor și agențiilor Uniunii care își gestionează propriul mediu TIC, altele decât cele menționate la litera (a). |
Entitățile Uniunii reprezentate în IICB urmăresc să asigure echilibrul de gen în rândul reprezentanților desemnați.
(4) Membrii IICB pot fi asistați de un supleant. Alți reprezentanți ai entităților Uniunii menționate la alineatul (3) sau ai altor entități ale Uniunii pot fi invitați de președinte să participe la reuniunile IICB, fără drept de vot.
(5) Șeful CERT-UE și președinții Grupului de cooperare, ai rețelei CSIRT și ai EU-CyCLONe instituite în temeiul articolelor 14, 15 și, respectiv, 16 din Directiva (UE) 2022/2555, sau supleanții acestora pot participa la reuniunile IICB în calitate de observatori. În cazuri excepționale, IICB poate, în conformitate cu regulamentul său intern de procedură să decidă altfel.
(6) IICB își stabilește regulamentul intern de procedură.
(7) IICB numește un președinte din rândul membrilor săi, în conformitate cu regulamentul intern de procedură, pentru o perioadă de trei ani. Supleantul președintelui devine membru titular al IICB pentru aceeași durată.
(8) IICB se reunește de cel puțin trei ori pe an la inițiativa președintelui său, la solicitarea CERT-UE sau la solicitarea oricăruia dintre membrii săi.
(9) Fiecare membru al IICB dispune de un vot. Deciziile IICB sunt adoptate cu majoritate simplă, cu excepția cazurilor în care se prevede altfel în prezentul regulament. Președintele IICB votează doar în caz de egalitate de voturi, situație în care poate exprima un vot decisiv.
(10) IICB poate acționa printr-o procedură scrisă simplificată inițiată în conformitate cu regulamentul său intern de procedură. În temeiul procedurii respective, decizia relevantă se consideră aprobată în termenul stabilit de președinte, cu excepția cazului în care un membru formulează obiecții.
(11) Secretariatul IICB este asigurat de Comisie și răspunde în fața președintelui IICB.
(12) Reprezentantul numit de EUAN informează membrii EUAN cu privire la deciziile adoptate de IICB. Orice membru al EUAN are dreptul să supună atenției acelor reprezentanți și președintelui IICB orice chestiune care, în opinia sa, ar trebui adusă în atenția IICB.
(13) IICB poate înființa un comitet executiv care să îl asiste în activitatea sa și căruia să îi delege o parte din sarcinile și competențele sale. IICB stabilește regulamentul de procedură al comitetului executiv, inclusiv sarcinile și competențele acestuia, precum și mandatul membrilor săi.
(14) Până la 8 ianuarie 2025 și, ulterior, în fiecare an, IICB prezintă Parlamentului European și Consiliului un raport care detaliază progresele înregistrate în ceea ce privește punerea în aplicare a prezentului regulament și care specifică, în special, gradul de cooperare a CERT-UE cu omologii săi naționali în fiecare dintre statele membre. Raportul reprezintă o contribuție la raportul bienal privind situația în materie de securitate cibernetică în Uniune, adoptat în temeiul articolului 18 din Directiva (UE) 2022/2555.
Articolul 13
Misiunea și sarcinile CERT-UE
(1) Misiunea CERT-UE este de a contribui la securitatea mediului TIC neclasificat al entităților Uniunii, oferindu-le consiliere cu privire la securitatea cibernetică, oferindu-le asistență pentru prevenirea, detectarea, gestionarea și atenuarea incidentelor, răspunsul la acestea și redresarea în urma lor și acționând ca centru de schimb de informații în materie de securitate cibernetică și de coordonare a răspunsului la incidente pentru aceste entități.
(2) CERT-UE colectează, gestionează, analizează și face schimb de informații cu entitățile Uniunii cu privire la amenințări cibernetice, vulnerabilități și incidente legate de infrastructura TIC neclasificată. Acesta coordonează răspunsurile la incidente la nivel interinstituțional și la nivelul entităților Uniunii, inclusiv prin furnizarea de asistență operațională specializată sau prin coordonarea acesteia.
(3) CERT-UE îndeplinește următoarele sarcini pentru a asista entitățile Uniunii:
| (a) | le oferă sprijin la punerea în aplicare a prezentului regulament și contribuie la coordonarea punerii în aplicare a prezentului regulament prin intermediul măsurilor enumerate la articolul 14 alineatul (1) sau al rapoartelor ad-hoc solicitate de IICB; |
| (b) | oferă servicii CSIRT standard pentru entitățile Uniunii printr-un pachet de servicii de securitate cibernetică descrise în catalogul său de servicii (servicii de referință); |
| (c) | menține o rețea de omologi și parteneri pentru a sprijini serviciile, astfel cum se prevede la articolele 17 și 18; |
| (d) | aduce în atenția IICB orice problemă legată de punerea în aplicare a prezentului regulament și a orientărilor, recomandărilor și apelurilor la acțiune; |
| (e) | pe baza informațiilor menționate la alineatul (2), contribuie la conștientizarea situației amenințărilor la adresa securității cibernetice în Uniune în strânsă cooperare cu ENISA; |
| (f) | coordonează gestionarea incidentelor majore; |
| (g) | îndeplinește pentru entitățile Uniunii un rol echivalent celui de coordonator desemnat în scopul divulgării coordonate a vulnerabilităților în temeiul articolului 12 alineatul (1) din Directiva (UE) 2022/2555; |
| (h) | furnizează, la cererea unei entități a Uniunii, scanarea proactivă și neintruzivă a rețelelor și a sistemelor informatice accesibile publicului respectivei entități a Uniunii. |
Informațiile menționate la primul paragraf litera (e) se comunică IICB, rețelei CSIRT și Centrului de situații și de analiză a informațiilor al Uniunii Europene (INTCEN UE), dacă este cazul și în funcție de situație și sub rezerva unor condiții de confidențialitate adecvate.
(4) CERT-UE poate, în conformitate cu articolul 17 sau 18, după caz, să coopereze cu comunitățile relevante în materie de securitate cibernetică din Uniune și din statele sale membre, inclusiv în următoarele domenii:
| (a) | pregătirea, coordonarea în materie de incidente, schimbul de informații și răspunsul la situații de criză la nivel tehnic în cazurile legate de entitățile Uniunii; |
| (b) | cooperarea operațională privind rețeaua CSIRT, inclusiv în ceea ce privește asistența reciprocă; |
| (c) | informații privind amenințările cibernetice, inclusiv conștientizarea situației; |
| (d) | orice subiect care necesită expertiză tehnică în materie de securitate cibernetică din partea CERT-UE. |
(5) În limitele competențelor sale, CERT-UE desfășoară o cooperare structurată cu ENISA în ceea ce privește consolidarea capacităților, cooperarea operațională și analizele strategice pe termen lung ale amenințărilor cibernetice, în temeiul Regulamentului (UE) 2019/881. CERT-UE poate coopera și face schimb de informații cu Centrul european de combatere a criminalității informatice al Europol.
(6) CERT-UE poate furniza următoarele servicii care nu sunt descrise în catalogul său de servicii (servicii contra cost):
| (a) | servicii care sprijină securitatea cibernetică a mediului TIC al entităților Uniunii, altele decât cele menționate la alineatul (3), în temeiul unor acorduri privind nivelul serviciilor și sub rezerva resurselor disponibile, în special monitorizarea rețelelor cu spectru larg, inclusiv monitorizarea non-stop din prima linie pentru amenințările cibernetice grave; |
| (b) | servicii care sprijină operațiunile sau proiectele în materie de securitate cibernetică ale entităților Uniunii, altele decât cele care vizează protejarea mediului lor TIC, în temeiul unor acorduri scrise și cu aprobarea prealabilă a IICB; |
| (c) | la cerere, o scanare proactivă a rețelei și a sistemelor informatice ale entității Uniunii în cauză pentru a detecta vulnerabilitățile cu un impact potențial semnificativ; |
| (d) | servicii care sprijină securitatea mediului TIC furnizat altor organizații decât entitățile Uniunii, care cooperează îndeaproape cu entitățile Uniunii, de exemplu, cărora li s-au atribuit sarcini sau responsabilități în temeiul dreptului Uniunii, pe baza unor acorduri scrise și cu aprobarea prealabilă a IICB. |
În ceea ce privește primul alineat litera (d), CERT-EU poate, cu titlu excepțional, să încheie acorduri privind nivelul serviciilor cu alte entități decât entitățile Uniunii, cu aprobarea prealabilă a IICB.
(7) CERT-UE organizează și poate participa la exerciții de securitate cibernetică sau poate recomanda participarea la exercițiile existente, dacă este cazul în strânsă cooperare cu ENISA, pentru a testa nivelul de securitate cibernetică al entităților Uniunii.
(8) CERT-UE poate oferi entităților Uniunii asistență privind incidentele din rețele și din sistemele de informații care procesează IUEC dacă entitățile Uniunii în cauză îi solicită acest lucru în mod expres în conformitate cu procedurile lor respective. Furnizarea de asistență din partea CERT-UE în temeiul prezentului alineat nu aduce atingere normelor aplicabile privind protecția informațiilor clasificate.
(9) CERT-UE informează entitățile Uniunii cu privire la procedurile și procesele sale de gestionare a incidentelor.
(10) CERT-UE contribuie, cu un nivel ridicat de confidențialitate și fiabilitate, prin intermediul mecanismelor de cooperare și al liniilor de raportare adecvate, cu informații relevante și anonimizate cu privire la incidentele majore și la modul în care acestea au fost gestionate. Informațiile respective sunt incluse în raportul menționat la articolul 10 alineatul (14).
(11) CERT-EU, în cooperare cu AEPD, sprijină entitățile Uniunii în cauză atunci când abordează incidente care duc la încălcarea securității datelor cu caracter personal, fără a aduce atingere competenței și sarcinilor AEPD în calitate de autoritate de supraveghere în temeiul Regulamentului (UE) 2018/1725.
(12) La solicitarea explicită a departamentelor tematice ale entităților Uniunii, CERT-UE poate oferi consultanță sau sprijin tehnic cu privire la aspecte de politică relevante.
Articolul 16
Aspecte financiare și de personal
(1) CERT-UE este integrat în structura administrativă a unei direcții generale a Comisiei pentru a beneficia de structurile de sprijin administrativ, financiar și contabil ale Comisiei, menținându-și în același timp statutul de furnizor interinstituțional autonom de servicii pentru toate entitățile Uniunii. Comisia informează IICB cu privire la amplasarea administrativă a CERT-UE și la eventuale modificări ale acesteia. Comisia revizuiește acordurile administrative referitoare la CERT-UE în mod regulat și, în orice caz, înainte de instituirea oricărui cadru financiar multianual în temeiul articolului 312 din TFUE, pentru a permite luarea de măsuri adecvate. Revizuirea include posibilitatea de a institui CERT-UE ca oficiu al Uniunii.
(2) În ceea ce privește aplicarea procedurilor administrative și financiare, șeful CERT-UE acționează sub autoritatea Comisiei și sub supravegherea IICB.
(3) Sarcinile și activitățile CERT-UE, inclusiv serviciile furnizate de CERT-UE în temeiul articolului 13 alineatele (3), (4), (5) și (7) și al articolului 14 alineatul (1) entităților Uniunii finanțate în cadrul rubricii „Administrația publică europeană” din cadrul financiar multianual, sunt finanțate printr-o linie bugetară separată a bugetului Comisiei. Posturile alocate CERT-UE sunt detaliate într-o notă de subsol la schema de personal a Comisiei.
(4) Entitățile Uniunii, altele decât cele menționate la alineatul (3), aduc o contribuție anuală la bugetul CERT-UE pentru a acoperi serviciile furnizate de CERT-UE în temeiul alineatului menționat. Contribuțiile se bazează pe orientările oferite de IICB și convenite între fiecare entitate a Uniunii și CERT-UE în cadrul acordurilor privind nivelul serviciilor. Contribuțiile reprezintă un procent echitabil și proporțional din costurile totale ale serviciilor furnizate. Acestea sunt primite în cadrul liniei bugetare separate menționate la alineatul (3) din prezentul articol, ca venituri alocate interne, astfel cum se prevede la articolul 21 alineatul (3) litera (c) din Regulamentul (UE, Euratom) 2018/1046.
(5) Costurile aferente serviciilor furnizate la articolul 13 alineatul (6) se recuperează de la entitățile Uniunii beneficiare ale serviciilor furnizate de CERT-UE. Veniturile sunt alocate liniilor bugetare prin care se suportă costurile.
Articolul 18
Cooperarea CERT-UE cu alți omologi
(1) CERT-UE poate coopera cu omologi din Uniune alții decât cei menționați la articolul 17, care fac obiectul cerințelor privind securitatea cibernetică, inclusiv cu omologii din cadrul sectorului, cu privire la instrumente și metode, cum ar fi tehnici, tactici, proceduri și bune practici, precum și cu privire la amenințări cibernetice și vulnerabilități. Pentru orice tip de cooperare cu astfel de omologi, CERT-UE solicită aprobarea prealabilă a IICB, de la caz la caz. În cazul în care CERT-UE stabilește o cooperare cu astfel de omologi, informează orice omologi relevanți din statele membre menționați la articolul 17 alineatul (1), în statul membru în care este situat omologul. Dacă este aplicabil și adecvat, o astfel de cooperare și condițiile aferente, inclusiv în ceea ce privește securitatea cibernetică, protecția datelor și gestionarea informațiilor, se stabilesc în acorduri de confidențialitate specifice, cum ar fi contractele sau acordurile administrative. Acordurile de confidențialitate nu necesită aprobarea prealabilă a IICB, însă trebuie să fie informat președintele IICB. În cazul unei nevoi urgente și iminente de a face schimb de informații în materie de securitate cibernetică în interesul entităților Uniunii sau al unei alte părți, CERT-UE poate face acest lucru cu o entitate a cărei competență, capacitate și expertiză specifice sunt necesare în mod justificat pentru a sprijini o astfel de nevoie urgentă și iminentă, chiar dacă CERT-UE nu a încheiat un acord de confidențialitate cu entitatea respectivă. În astfel de cazuri, CERT-UE informează imediat președintele IICB și raportează IICB prin intermediul unor rapoarte sau reuniuni periodice.
(2) CERT-UE poate coopera cu parteneri, precum entități comerciale, inclusiv entități din cadrul sectorului, organizații internaționale, entități naționale din afara Uniunii Europene sau experți individuali, pentru a colecta informații cu privire la amenințările cibernetice generale și specifice, la incidente evitate la limită, la vulnerabilități și la posibilele contramăsuri. Pentru o cooperare extinsă cu astfel de parteneri, CERT-UE solicită aprobarea prealabilă a IICB, de la caz la caz.
(3) CERT-UE poate, cu acordul entității Uniunii afectate de un incident și cu condiția să existe un acord sau un contract de nedivulgare cu omologul sau partenerul relevant, să furnizeze informații referitoare la incidentul specific omologilor sau partenerilor menționați la alineatele (1) și (2) exclusiv în scopul de a contribui la analiza acestuia.
CAPITOLUL V
OBLIGAȚII DE COOPERARE ȘI DE RAPORTARE
whereas