keyboard_tab Cyber Resilience Act 2023/2841 RO
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Articolul 8 Măsuri de gestionare a riscurilor de securitate cibernetică
- 2 Articolul 17 Cooperarea CERT-UE cu omologii din statele membre
CAPITOLUL I
DISPOZIȚII GENERALE
CAPITOLUL II
MĂSURI PENTRU UN NIVEL COMUN RIDICAT DE SECURITATE CIBERNETICĂ
CAPITOLUL III
CONSILIUL INTERINSTITUȚIONAL PENTRU SECURITATE CIBERNETICĂ
CAPITOLUL IV
CERT-UE
CAPITOLUL V
OBLIGAȚII DE COOPERARE ȘI DE RAPORTARE
CAPITOLUL VI
DISPOZIȚII FINALE
- uniunii 20
- securitate 19
- cibernetică 15
- pentru 13
- cert-ue 11
- inclusiv 8
- privind 8
- precum 8
- articolul 7
- entitatea 7
- incidente 7
- care 7
- cibernetice 7
- gestionarea 7
- măsuri 6
- securitatea 6
- după 5
- riscurilor 5
- incidentelor 5
- entității 5
- afectată 5
- directiva 4
- servicii 4
- își 4
- schimb 4
- menționate 4
- informații 4
- conformitate 4
- face 4
- litera 4
- securizate 4
- fără 4
- materie 4
- nivel 4
- consimțământul 3
- securității 3
- unor 3
- referitoare 3
- incidentului 3
- omologii 3
- utilizarea 3
- statele 3
- divulgarea 3
- următoarele 3
- informatice 3
- prin 3
- aplicare 3
- specifice 3
- nejustificate 3
- politicile 3
Articolul 8
Măsuri de gestionare a riscurilor de securitate cibernetică
(1) Fără întârzieri nejustificate și, în orice caz, până la 8 septembrie 2025, fiecare entitate a Uniunii, sub supravegherea celui mai înalt nivel de conducere, ia măsuri tehnice, operaționale și organizatorice adecvate și proporționale pentru a gestiona riscurile de securitate cibernetică identificate în temeiul cadrului și pentru a preveni sau a reduce la minimum impactul incidentelor. Ținând seama de stadiul actual al tehnologiei și, după caz, de standardele europene și internaționale relevante, măsurile respective asigură un nivel de securitate a rețelelor și a sistemelor informatice în întregul mediu TIC proporțional cu riscurile de securitate cibernetică existente. Atunci când se evaluează proporționalitatea măsurilor respective, se ține seama în mod corespunzător de gradul de expunere a entității Uniunii la riscuri de securitate cibernetică, de dimensiunea sa, de probabilitatea producerii unor incidente și de gravitatea acestora, inclusiv de impactul lor societal, economic și interinstituțional.
(2) Entitățile Uniunii abordează cel puțin următoarele domenii în punerea în aplicare a măsurilor de gestionare a riscurilor de securitate cibernetică:
| (a) | politica în materie de securitate cibernetică, inclusiv măsurile necesare pentru atingerea obiectivelor și priorităților menționate la articolul 6 și la alineatul (3) de la prezentul articol; |
| (b) | politicile privind analiza riscurilor de securitate cibernetică și securitatea sistemelor informatice; |
| (c) | obiectivele de politică privind utilizarea serviciilor de cloud computing; |
| (d) | auditul de securitate cibernetică, după caz, care poate include o evaluare a riscurilor de securitate cibernetică, a vulnerabilității și a amenințărilor cibernetice, precum și teste de penetrare efectuate periodic de un furnizor privat de încredere; |
| (e) | punerea în aplicare a recomandărilor rezultate în urma auditurilor de securitate cibernetică menționate la litera (d) prin intermediul actualizărilor securității cibernetice și ale politicilor; |
| (f) | organizarea securității cibernetice, inclusiv stabilirea rolurilor și a responsabilităților; |
| (g) | gestionarea activelor, inclusiv inventarul activelor TIC și cartografierea rețelelor TIC; |
| (h) | securitatea resurselor umane și controlul accesului; |
| (i) | securitatea operațiunilor; |
| (j) | securitatea comunicațiilor; |
| (k) | achiziționarea, dezvoltarea și întreținerea de sisteme, inclusiv politicile privind gestionarea și divulgarea vulnerabilităților; |
| (l) | acolo unde este posibil, politicile privind transparența codului-sursă; |
| (m) | securitatea lanțului de aprovizionare, inclusiv aspectele legate de securitate referitoare la relațiile dintre fiecare entitate a Uniunii și furnizorii sau prestatorii de servicii direcți ai acesteia; |
| (n) | gestionarea incidentelor și cooperarea cu CERT-UE, cum ar fi monitorizarea și jurnalizarea evenimentelor de securitate; |
| (o) | gestionarea continuității activității, de exemplu gestionarea copiilor de rezervă și recuperarea în caz de dezastru, precum și gestionarea crizelor; precum și |
| (p) | promovarea și dezvoltarea unor programe de educație, competențe, sensibilizare, exerciții și formare în materie de securitate cibernetică. |
În sensul primului paragraf litera (m), entitățile Uniunii iau în considerare vulnerabilitățile specifice fiecărui furnizor și prestator de servicii direct, precum și calitatea generală a produselor și a practicilor în materie de securitate cibernetică ale furnizorilor și prestatorilor lor de servicii, inclusiv procedurile lor securizate de dezvoltare.
(3) Entitățile Uniunii iau cel puțin următoarele măsuri specifice de gestionare a riscurilor de securitate cibernetică:
| (a) | măsuri tehnice pentru a permite și a susține telemunca; |
| (b) | măsuri concrete pentru trecerea la principiile de încredere zero; |
| (c) | utilizarea autentificării multifactor ca normă pentru toate rețelele și sistemele informatice; |
| (d) | utilizarea criptografiei și a criptării, în special a criptării de la un capăt la altul, precum și a semnăturilor digitale securizate; |
| (e) | după caz, comunicații securizate de voce, video și text, precum și sisteme securizate de comunicații de urgență în entitatea Uniunii; |
| (f) | măsuri proactive pentru detectarea și eliminarea programelor malware și spyware; |
| (g) | asigurarea securității lanțului de aprovizionare cu software prin criterii de dezvoltare și evaluare securizată a software-ului; |
| (h) | stabilirea și adoptarea unor programe de formare privind securitatea cibernetică, proporționale cu sarcinile prevăzute și cu capacitățile preconizate pentru cel mai înalt nivel de conducere și pentru membrii personalului entității Uniunii însărcinați cu asigurarea punerii în aplicare eficace a prezentului regulament; |
| (i) | formarea periodică a membrilor personalului în materie de securitate cibernetică; |
| (j) | după caz, participarea la analizele de risc privind interconectivitatea între entitățile Uniunii; |
| (k) | consolidarea normelor privind achizițiile publice pentru a facilita un nivel comun ridicat de securitate cibernetică prin:
|
Articolul 17
Cooperarea CERT-UE cu omologii din statele membre
(1) CERT-UE, fără întârzieri nejustificate, cooperează și face schimb de informații cu omologii naționali din statele membre, in special CSIRT desemnate sau stabilite în conformitate cu articolul 10 din Directiva (UE) 2022/2555, sau, după caz, autoritățile competente și punctele unice de contact menționate la articolul 8 din directiva respectivă, cu privire la incidente, amenințări cibernetice, vulnerabilități, incidente evitate la limită, la posibile contramăsuri, precum și la cele mai bune practici și la toate aspectele relevante pentru îmbunătățirea protecției mediilor TIC ale entităților Uniunii, inclusiv prin intermediul rețelei CSIRT menționate la articolul 15 din Directiva (UE) 2022/2555. CERT-UE sprijină Comisia în cadrul EU-CyCLONe stabilit în conformitate cu articolul 16 din Directiva (UE) 2022/2555 în ceea ce privește gestionarea coordonată a incidentelor și crizelor de securitate cibernetică de mare amploare.
(2) În cazul în care CERT-UE ia cunoștință de incidente semnificative care au loc pe teritoriul unui stat membru, acesta notifică fără întârziere omologilor relevanți din statul membru respectiv în conformitate cu alineatul (1).
(3) Cu condiția ca datele cu caracter personal să fie protejate în conformitate cu dreptul aplicabil al Uniunii privind protecția datelor, CERT-UE face schimb de informații relevante, fără întârzieri nejustificate, referitoare la incident cu omologii din statele membre pentru a facilita detectarea amenințărilor sau incidentelor cibernetice similare sau pentru a contribui la analiza unui incident, fără autorizarea entității Uniunii afectate. CERT-UE face schimb de informații referitoare la incidente care dezvăluie identitatea țintei incidentului numai în unul din următoarele cazuri:
| (a) | entitatea Uniunii afectată își dă consimțământul; |
| (b) | entitatea Uniunii nu își dă consimțământul, astfel cum se prevede la litera (a), dar publicarea identității entității Uniunii afectate ar crește probabilitatea ca incidentele din altă parte să fie evitate sau atenuate; |
| (c) | entitatea Uniunii afectată a făcut deja public faptul că a fost afectată. |
Deciziile de a face schimb de informații specifice incidentului care dezvăluie identitatea țintei incidentului în temeiul primului paragraf litera (b) sunt aprobate de șeful CERT-UE. Înainte de a emite o astfel de decizie, CERT-UE contactează în scris entitatea Uniunii afectată, explicând în mod clar modul în care divulgarea identității sale ar contribui la evitarea sau atenuarea incidentelor în altă parte. Șeful CERT-UE furnizează explicația și solicită în mod explicit entității Uniunii să precizeze dacă își dă consimțământul într-un termen stabilit. Șeful CERT-UE informează, de asemenea, entitatea Uniunii că, având în vedere explicația oferită, își rezervă dreptul de a divulga informațiile chiar și în absența consimțământului. Entitatea Uniunii afectată este informată înainte de divulgarea informațiilor.
whereas