keyboard_tab Cyber Resilience Act 2023/2841 RO

(1)   Se instituie Consiliul interinstituțional pentru securitate cibernetică (IICB).

(2)   IICB este responsabil cu:

(3)   IICB este format din:

Entitățile Uniunii reprezentate în IICB urmăresc să asigure echilibrul de gen în rândul reprezentanților desemnați.

(4)   Membrii IICB pot fi asistați de un supleant. Alți reprezentanți ai entităților Uniunii menționate la alineatul (3) sau ai altor entități ale Uniunii pot fi invitați de președinte să participe la reuniunile IICB, fără drept de vot.

(5)   Șeful CERT-UE și președinții Grupului de cooperare, ai rețelei CSIRT și ai EU-CyCLONe instituite în temeiul articolelor 14, 15 și, respectiv, 16 din Directiva (UE) 2022/2555, sau supleanții acestora pot participa la reuniunile IICB în calitate de observatori. În cazuri excepționale, IICB poate, în conformitate cu regulamentul său intern de procedură să decidă altfel.

(6)   IICB își stabilește regulamentul intern de procedură.

(7)   IICB numește un președinte din rândul membrilor săi, în conformitate cu regulamentul intern de procedură, pentru o perioadă de trei ani. Supleantul președintelui devine membru titular al IICB pentru aceeași durată.

(8)   IICB se reunește de cel puțin trei ori pe an la inițiativa președintelui său, la solicitarea CERT-UE sau la solicitarea oricăruia dintre membrii săi.

(9)   Fiecare membru al IICB dispune de un vot. Deciziile IICB sunt adoptate cu majoritate simplă, cu excepția cazurilor în care se prevede altfel în prezentul regulament. Președintele IICB votează doar în caz de egalitate de voturi, situație în care poate exprima un vot decisiv.

(10)   IICB poate acționa printr-o procedură scrisă simplificată inițiată în conformitate cu regulamentul său intern de procedură. În temeiul procedurii respective, decizia relevantă se consideră aprobată în termenul stabilit de președinte, cu excepția cazului în care un membru formulează obiecții.

(11)   Secretariatul IICB este asigurat de Comisie și răspunde în fața președintelui IICB.

(12)   Reprezentantul numit de EUAN informează membrii EUAN cu privire la deciziile adoptate de IICB. Orice membru al EUAN are dreptul să supună atenției acelor reprezentanți și președintelui IICB orice chestiune care, în opinia sa, ar trebui adusă în atenția IICB.

(13)   IICB poate înființa un comitet executiv care să îl asiste în activitatea sa și căruia să îi delege o parte din sarcinile și competențele sale. IICB stabilește regulamentul de procedură al comitetului executiv, inclusiv sarcinile și competențele acestuia, precum și mandatul membrilor săi.

(14)   Până la 8 ianuarie 2025 și, ulterior, în fiecare an, IICB prezintă Parlamentului european și Consiliului un raport care detaliază progresele înregistrate în ceea ce privește punerea în aplicare a prezentului regulament și care specifică, în special, gradul de cooperare a CERT-UE cu omologii săi naționali în fiecare dintre statele membre. Raportul reprezintă o contribuție la raportul bienal privind situația în materie de securitate cibernetică în Uniune, adoptat în temeiul articolului 18 din Directiva (UE) 2022/2555.

(1)   Misiunea CERT-UE este de a contribui la securitatea mediului TIC neclasificat al entităților Uniunii, oferindu-le consiliere cu privire la securitatea cibernetică, oferindu-le asistență pentru prevenirea, detectarea, gestionarea și atenuarea incidentelor, răspunsul la acestea și redresarea în urma lor și acționând ca centru de schimb de informații în materie de securitate cibernetică și de coordonare a răspunsului la incidente pentru aceste entități.

(2)   CERT-UE colectează, gestionează, analizează și face schimb de informații cu entitățile Uniunii cu privire la amenințări cibernetice, vulnerabilități și incidente legate de infrastructura TIC neclasificată. Acesta coordonează răspunsurile la incidente la nivel interinstituțional și la nivelul entităților Uniunii, inclusiv prin furnizarea de asistență operațională specializată sau prin coordonarea acesteia.

(3)   CERT-UE îndeplinește următoarele sarcini pentru a asista entitățile Uniunii:

Informațiile menționate la primul paragraf litera (e) se comunică IICB, rețelei CSIRT și Centrului de situații și de analiză a informațiilor al Uniunii Europene (INTCEN UE), dacă este cazul și în funcție de situație și sub rezerva unor condiții de confidențialitate adecvate.

(4)   CERT-UE poate, în conformitate cu articolul 17 sau 18, după caz, să coopereze cu comunitățile relevante în materie de securitate cibernetică din Uniune și din statele sale membre, inclusiv în următoarele domenii:

(5)   În limitele competențelor sale, CERT-UE desfășoară o cooperare structurată cu ENISA în ceea ce privește consolidarea capacităților, cooperarea operațională și analizele strategice pe termen lung ale amenințărilor cibernetice, în temeiul Regulamentului (UE) 2019/881. CERT-UE poate coopera și face schimb de informații cu Centrul european de combatere a criminalității informatice al Europol.

(6)   CERT-UE poate furniza următoarele servicii care nu sunt descrise în catalogul său de servicii (servicii contra cost):

În ceea ce privește primul alineat litera (d), CERT-EU poate, cu titlu excepțional, să încheie acorduri privind nivelul serviciilor cu alte entități decât entitățile Uniunii, cu aprobarea prealabilă a IICB.

(7)   CERT-UE organizează și poate participa la exerciții de securitate cibernetică sau poate recomanda participarea la exercițiile existente, dacă este cazul în strânsă cooperare cu ENISA, pentru a testa nivelul de securitate cibernetică al entităților Uniunii.

(8)   CERT-UE poate oferi entităților Uniunii asistență privind incidentele din rețele și din sistemele de informații care procesează IUEC dacă entitățile Uniunii în cauză îi solicită acest lucru în mod expres în conformitate cu procedurile lor respective. Furnizarea de asistență din partea CERT-UE în temeiul prezentului alineat nu aduce atingere normelor aplicabile privind protecția informațiilor clasificate.

(9)   CERT-UE informează entitățile Uniunii cu privire la procedurile și procesele sale de gestionare a incidentelor.

(10)   CERT-UE contribuie, cu un nivel ridicat de confidențialitate și fiabilitate, prin intermediul mecanismelor de cooperare și al liniilor de raportare adecvate, cu informații relevante și anonimizate cu privire la incidentele majore și la modul în care acestea au fost gestionate. Informațiile respective sunt incluse în raportul menționat la articolul 10 alineatul (14).

(11)   CERT-EU, în cooperare cu AEPD, sprijină entitățile Uniunii în cauză atunci când abordează incidente care duc la încălcarea securității datelor cu caracter personal, fără a aduce atingere competenței și sarcinilor AEPD în calitate de autoritate de supraveghere în temeiul Regulamentului (UE) 2018/1725.

(12)   La solicitarea explicită a departamentelor tematice ale entităților Uniunii, CERT-UE poate oferi consultanță sau sprijin tehnic cu privire la aspecte de politică relevante.

(1)   După obținerea aprobării cu o majoritate de două treimi din membrii IICB, Comisia numește șeful CERT-UE. IICB este consultat în toate etapele procedurii de numire, în special în ceea ce privește elaborarea anunțurilor privind posturile vacante, examinarea dosarelor de candidatură și desemnarea comitetelor de selecție pentru acest post. Procedura de selecție, inclusiv lista scurtă finală a candidaților de pe care urmează să fie selectat șeful CERT-UE, asigură o reprezentare echitabilă a fiecărui gen, ținând cont de candidaturile depuse.

(2)   Șeful CERT-UE este responsabil pentru buna funcționare a CERT-UE și acționează în limitele competențelor sale și sub conducerea IICB. Șeful CERT-UE raportează în mod regulat președintelui IICB și prezintă rapoarte ad-hoc IICB, la solicitarea acestuia.

(3)   Șeful CERT-UE acordă ordonatorului de credite delegat responsabil asistență la întocmirea raportului de activitate anual, care conține informații financiare și de gestiune, inclusiv rezultatele controalelor, redactate în conformitate cu articolul 74 alineatul (9) din Regulamentul (UE, Euratom) 2018/1046 al Parlamentului european și al Consiliului (9), și îi raportează periodic acestuia cu privire la punerea în aplicare a măsurilor pentru care i-au fost subdelegate competențe șefului CERT-UE.

(4)   Șeful CERT-UE elaborează anual o planificare financiară a veniturilor și cheltuielilor administrative pentru activitățile sale, o propunere de program de lucru anual, o propunere de catalog de servicii al CERT-UE, o propunere de revizuire a catalogului de servicii, o propunere de modalități pentru acordurile privind nivelul serviciilor și o propunere de indicatori-cheie de performanță pentru CERT-UE, care urmează să fie aprobate de IICB în conformitate cu articolul 11. Atunci când revizuiește lista serviciilor din catalogul de servicii al CERT-UE, șeful CERT-UE ține cont de resursele alocate CERT-UE.

(5)   Șeful CERT-UE prezintă IICB și președintelui IICB rapoarte cel puțin o dată pe an cu privire la activitățile și performanțele CERT-UE în perioada de referință, inclusiv cu privire la execuția bugetului, la acordurile privind nivelul serviciilor și la acordurile scrise încheiate, la cooperarea cu omologii și partenerii și la misiunile efectuate de personal, inclusiv rapoartele menționate la articolul 11. Aceste rapoarte includ un program de lucru pentru perioada următoare, planificarea financiară a veniturilor și cheltuielilor, inclusiv personalul, actualizările planificate ale catalogului de servicii al CERT-UE și o evaluare a impactului preconizat pe care astfel de actualizări îl pot avea în ceea ce privește resursele financiare și umane.

(1)   CERT-UE este integrat în structura administrativă a unei direcții generale a Comisiei pentru a beneficia de structurile de sprijin administrativ, financiar și contabil ale Comisiei, menținându-și în același timp statutul de furnizor interinstituțional autonom de servicii pentru toate entitățile Uniunii. Comisia informează IICB cu privire la amplasarea administrativă a CERT-UE și la eventuale modificări ale acesteia. Comisia revizuiește acordurile administrative referitoare la CERT-UE în mod regulat și, în orice caz, înainte de instituirea oricărui cadru financiar multianual în temeiul articolului 312 din TFUE, pentru a permite luarea de măsuri adecvate. Revizuirea include posibilitatea de a institui CERT-UE ca oficiu al Uniunii.

(2)   În ceea ce privește aplicarea procedurilor administrative și financiare, șeful CERT-UE acționează sub autoritatea Comisiei și sub supravegherea IICB.

(3)   Sarcinile și activitățile CERT-UE, inclusiv serviciile furnizate de CERT-UE în temeiul articolului 13 alineatele (3), (4), (5) și (7) și al articolului 14 alineatul (1) entităților Uniunii finanțate în cadrul rubricii „Administrația publică europeană” din cadrul financiar multianual, sunt finanțate printr-o linie bugetară separată a bugetului Comisiei. Posturile alocate CERT-UE sunt detaliate într-o notă de subsol la schema de personal a Comisiei.

(4)   Entitățile Uniunii, altele decât cele menționate la alineatul (3), aduc o contribuție anuală la bugetul CERT-UE pentru a acoperi serviciile furnizate de CERT-UE în temeiul alineatului menționat. Contribuțiile se bazează pe orientările oferite de IICB și convenite între fiecare entitate a Uniunii și CERT-UE în cadrul acordurilor privind nivelul serviciilor. Contribuțiile reprezintă un procent echitabil și proporțional din costurile totale ale serviciilor furnizate. Acestea sunt primite în cadrul liniei bugetare separate menționate la alineatul (3) din prezentul articol, ca venituri alocate interne, astfel cum se prevede la articolul 21 alineatul (3) litera (c) din Regulamentul (UE, Euratom) 2018/1046.

(5)   Costurile aferente serviciilor furnizate la articolul 13 alineatul (6) se recuperează de la entitățile Uniunii beneficiare ale serviciilor furnizate de CERT-UE. Veniturile sunt alocate liniilor bugetare prin care se suportă costurile.

(1)   Entitățile Uniunii și CERT-UE respectă obligația de a nu divulga informații care constituie secret profesional, în conformitate cu articolul 339 din TFUE sau cu cadrele echivalente aplicabile.

(2)   Regulamentul (CE) nr. 1049/2001 al Parlamentului european și al Consiliului (10) se aplică în ceea ce privește cererile de acces public la documentele deținute de CERT-UE, inclusiv obligația care decurge din regulamentul menționat de a consulta alte entități ale Uniunii sau, după caz, statele membre, ori de câte ori o cerere se referă la documentele lor.

(3)   Entitățile Uniunii și CERT-UE gestionează informațiile în conformitate cu normele aplicabile privind securitatea informațiilor.

(1)   Entitățile Uniunii pot, în mod voluntar, să aducă la cunoștința CERT-UE și să-i furnizeze informații privind incidentele, amenințările cibernetice, incidentele evitate la limită și vulnerabilitățile care le afectează. CERT-UE se asigură că sunt disponibile mijloace eficiente de comunicare, cu un nivel ridicat de trasabilitate, confidențialitate și fiabilitate, în scopul de a facilita schimbul de informații cu entitățile Uniunii. Atunci când prelucrează notificările, CERT-UE poate acorda prioritate notificărilor obligatorii față de notificările voluntare. Fără a aduce atingere articolului 12, notificarea voluntară nu impune entității Uniunii care transmite informația nicio obligație suplimentară care nu i-ar fi revenit dacă nu ar fi transmis notificarea.

(2)   Pentru a-și îndeplini misiunea și sarcinile încredințate în conformitate cu articolul 13, CERT-UE poate solicita entităților Uniunii să îi furnizeze informații din inventarele lor de sisteme TIC, inclusiv informații referitoare la amenințări cibernetice, incidente evitate la limită, vulnerabilități, indicatori de compromitere, alerte de securitate cibernetică și recomandări privind configurarea instrumentelor de securitate cibernetică pentru detectarea incidentelor cibernetice. Entitatea Uniunii care primește o astfel de solicitare transmite informațiile solicitate și orice modificare ulterioară a acestora, fără întârzieri nejustificate.

(3)   CERT-UE poate face schimb de informații referitoare la incidente cu entitățile Uniunii care dezvăluie identitatea entității Uniunii afectate de incident, cu condiția ca entitatea respectivă a Uniunii să-și fi dat acordul. În cazul în care o entitate a Uniunii nu își dă consimțământul, aceasta furnizează CERT-UE motivele care justifică decizia respectivă.

(4)   Entitățile Uniunii fac schimb, la cerere, de informații cu Parlamentul european și cu Consiliul cu privire la finalizarea planurilor de securitate cibernetică.

(5)   IICB sau CERT-UE, după caz, fac schimb, la cerere, de orientări, recomandări și apeluri la acțiune cu Parlamentul european și cu Consiliul.

(6)   Obligațiile de partajare prevăzute la prezentul articol nu se aplică:

(1)   Până la 8 ianuarie 2025 și, ulterior, anual, IICB, cu sprijinul CERT-EU, prezintă un raport Comisiei cu privire la punerea în aplicare a prezentului regulament. IICB poate să facă recomandări Comisiei pentru a revizui prezentul regulament.

(2)   Până la 8 ianuarie 2027 și, ulterior, o dată la doi ani, Comisia evaluează punerea în aplicare a prezentului regulament și experiența dobândită la nivel strategic și operațional și prezintă un raport Parlamentului european și Consiliului cu privire la aceasta.

Raportul menționat la primul paragraf de la prezentul alineat include revizuirea menționată la articolul 16 alineatul (1) privind posibilitatea instituirii CERT-UE ca oficiu al Uniunii.

(3)   Până la 8 ianuarie 2029, Comisia evaluează funcționarea prezentului regulament și prezintă un raport Parlamentului european, Consiliului, Comitetului Economic și Social european și Comitetului Regiunilor. Comisia evaluează, de asemenea, oportunitatea includerii rețelelor și a sistemelor informatice care gestionează IUEC în domeniul de aplicare al prezentului regulament, ținând seama de alte acte legislative ale Uniunii aplicabile sistemelor respective. Raportul este însoțit, după caz, de o propunere legislativă.