keyboard_tab Cyber Resilience Act 2023/2841 RO

(1)   Fără întârzieri nejustificate și, în orice caz, până la 8 septembrie 2025, fiecare entitate a Uniunii, sub supravegherea celui mai înalt nivel de conducere, ia măsuri tehnice, operaționale și organizatorice adecvate și proporționale pentru a gestiona riscurile de securitate cibernetică identificate în temeiul cadrului și pentru a preveni sau a reduce la minimum impactul incidentelor. Ținând seama de stadiul actual al tehnologiei și, după caz, de standardele europene și internaționale relevante, măsurile respective asigură un nivel de securitate a rețelelor și a sistemelor informatice în întregul mediu TIC proporțional cu riscurile de securitate cibernetică existente. Atunci când se evaluează proporționalitatea măsurilor respective, se ține seama în mod corespunzător de gradul de expunere a entității Uniunii la riscuri de securitate cibernetică, de dimensiunea sa, de probabilitatea producerii unor incidente și de gravitatea acestora, inclusiv de impactul lor societal, economic și interinstituțional.

(2)   Entitățile Uniunii abordează cel puțin următoarele domenii în punerea în aplicare a măsurilor de gestionare a riscurilor de securitate cibernetică:

(a)	politica în materie de securitate cibernetică, inclusiv măsurile necesare pentru atingerea obiectivelor și priorităților menționate la articolul 6 și la alineatul (3) de la prezentul articol;

(b)	politicile privind analiza riscurilor de securitate cibernetică și securitatea sistemelor informatice;

(c)	obiectivele de politică privind utilizarea serviciilor de cloud computing;

(d)	auditul de securitate cibernetică, după caz, care poate include o evaluare a riscurilor de securitate cibernetică, a vulnerabilității și a amenințărilor cibernetice, precum și teste de penetrare efectuate periodic de un furnizor privat de încredere;

(e)	punerea în aplicare a recomandărilor rezultate în urma auditurilor de securitate cibernetică menționate la litera (d) prin intermediul actualizărilor securității cibernetice și ale politicilor;

(f)	organizarea securității cibernetice, inclusiv stabilirea rolurilor și a responsabilităților;

(g)	gestionarea activelor, inclusiv inventarul activelor TIC și cartografierea rețelelor TIC;

(h)	securitatea resurselor umane și controlul accesului;

(i)	securitatea operațiunilor;

(j)	securitatea comunicațiilor;

(k)	achiziționarea, dezvoltarea și întreținerea de sisteme, inclusiv politicile privind gestionarea și divulgarea vulnerabilităților;

(l)	acolo unde este posibil, politicile privind transparența codului-sursă;

(m)	securitatea lanțului de aprovizionare, inclusiv aspectele legate de securitate referitoare la relațiile dintre fiecare entitate a Uniunii și furnizorii sau prestatorii de servicii direcți ai acesteia;

(n)	gestionarea incidentelor și cooperarea cu CERT-UE, cum ar fi monitorizarea și jurnalizarea evenimentelor de securitate;

(o)	gestionarea continuității activității, de exemplu gestionarea copiilor de rezervă și recuperarea în caz de dezastru, precum și gestionarea crizelor; precum și

(p)	promovarea și dezvoltarea unor programe de educație, competențe, sensibilizare, exerciții și formare în materie de securitate cibernetică.

În sensul primului paragraf litera (m), entitățile Uniunii iau în considerare vulnerabilitățile specifice fiecărui furnizor și prestator de servicii direct, precum și calitatea generală a produselor și a practicilor în materie de securitate cibernetică ale furnizorilor și prestatorilor lor de servicii, inclusiv procedurile lor securizate de dezvoltare.

(3)   Entitățile Uniunii iau cel puțin următoarele măsuri specifice de gestionare a riscurilor de securitate cibernetică:

(a)	măsuri tehnice pentru a permite și a susține telemunca;

(b)	măsuri concrete pentru trecerea la principiile de încredere zero;

(c)	utilizarea autentificării multifactor ca normă pentru toate rețelele și sistemele informatice;

(d)	utilizarea criptografiei și a criptării, în special a criptării de la un capăt la altul, precum și a semnăturilor digitale securizate;

(e)	după caz, comunicații securizate de voce, video și text, precum și sisteme securizate de comunicații de urgență în entitatea Uniunii;

(f)	măsuri proactive pentru detectarea și eliminarea programelor malware și spyware;

(g)	asigurarea securității lanțului de aprovizionare cu software prin criterii de dezvoltare și evaluare securizată a software-ului;

(h)

stabilirea și adoptarea unor programe de formare privind securitatea cibernetică, proporționale cu sarcinile prevăzute și cu capacitățile preconizate pentru cel mai înalt nivel de conducere și pentru membrii personalului entității Uniunii însărcinați cu asigurarea punerii în aplicare eficace a prezentului regulament;

(i)	formarea periodică a membrilor personalului în materie de securitate cibernetică;

(j)	după caz, participarea la analizele de risc privind interconectivitatea între entitățile Uniunii;

(k)

consolidarea normelor privind achizițiile publice pentru a facilita un nivel comun ridicat de securitate cibernetică prin: (i) eliminarea barierelor contractuale care limitează partajarea informațiilor de către furnizorii de servicii TIC cu CERT-UE despre incidente, vulnerabilități și amenințări cibernetice; (ii) obligațiile contractuale de a raporta incidentele, vulnerabilitățile și amenințările cibernetice, precum și de a institui mecanisme adecvate de răspuns la incidente și de monitorizare a acestora.

(1)   CERT-UE sprijină punerea în aplicare a prezentului regulament prin adoptarea unor:

(a)	apeluri la acțiune care descriu măsurile urgente de securitate pe care entitățile Uniunii sunt invitate să le adopte într-un termen stabilit;

(b)	propuneri de orientări, transmise IICB, care se adresează tuturor entităților Uniunii sau doar unei părți a acestora;

(c)	propuneri de recomandări, transmise IICB, care se adresează entităților individuale ale Uniunii.

În ceea ce privește primul paragraf litera (a), entitatea Uniunii în cauză informează CERT-UE, fără întârzieri nejustificate după primirea apelului la acțiune, cu privire la modul în care au fost aplicate măsurile de securitate urgente.

(2)   Orientările și recomandările pot include:

(a)

metodologii comune și un model pentru evaluarea maturității în materie de securitate cibernetică a entităților Uniunii, inclusiv baremele sau indicatorii-cheie de performanță corespunzători, care să servească drept referință în sprijinul îmbunătățirii continue a securității cibernetice în toate entitățile Uniunii și să faciliteze stabilirea priorităților în domeniile și măsurile de securitate cibernetică, ținând cont de poziția entităților în materie de securitate cibernetică;

(b)	modalități sau îmbunătățiri ale gestionării riscurilor de securitate cibernetică și ale măsurilor de gestionare a riscurilor de securitate cibernetică;

(c)	acorduri de evaluare a nivelului maturității securității cibernetice și de elaborare a planurilor de securitate cibernetică;

(d)	după caz, utilizarea tehnologiei și a arhitecturii comune, din sursă deschisă, precum și a bunelor practici asociate în scopul realizării interoperabilității și a standardelor comune, inclusiv o abordare coordonată privind securitatea lanțului de aprovizionare;

(e)	după caz, informații pentru a facilita utilizarea instrumentelor de achiziții publice comune pentru achiziționarea de servicii și produse de securitate cibernetică relevante de la furnizori terți;

(f)	acorduri privind schimbul de informații în temeiul articolului 20.

(1)   După obținerea aprobării cu o majoritate de două treimi din membrii IICB, Comisia numește șeful CERT-UE. IICB este consultat în toate etapele procedurii de numire, în special în ceea ce privește elaborarea anunțurilor privind posturile vacante, examinarea dosarelor de candidatură și desemnarea comitetelor de selecție pentru acest post. Procedura de selecție, inclusiv lista scurtă finală a candidaților de pe care urmează să fie selectat șeful CERT-UE, asigură o reprezentare echitabilă a fiecărui gen, ținând cont de candidaturile depuse.

(2)   Șeful CERT-UE este responsabil pentru buna funcționare a CERT-UE și acționează în limitele competențelor sale și sub conducerea IICB. Șeful CERT-UE raportează în mod regulat președintelui IICB și prezintă rapoarte ad-hoc IICB, la solicitarea acestuia.

(3)   Șeful CERT-UE acordă ordonatorului de credite delegat responsabil asistență la întocmirea raportului de activitate anual, care conține informații financiare și de gestiune, inclusiv rezultatele controalelor, redactate în conformitate cu articolul 74 alineatul (9) din Regulamentul (UE, Euratom) 2018/1046 al Parlamentului European și al Consiliului (9), și îi raportează periodic acestuia cu privire la punerea în aplicare a măsurilor pentru care i-au fost subdelegate competențe șefului CERT-UE.

(4)   Șeful CERT-UE elaborează anual o planificare financiară a veniturilor și cheltuielilor administrative pentru activitățile sale, o propunere de program de lucru anual, o propunere de catalog de servicii al CERT-UE, o propunere de revizuire a catalogului de servicii, o propunere de modalități pentru acordurile privind nivelul serviciilor și o propunere de indicatori-cheie de performanță pentru CERT-UE, care urmează să fie aprobate de IICB în conformitate cu articolul 11. Atunci când revizuiește lista serviciilor din catalogul de servicii al CERT-UE, șeful CERT-UE ține cont de resursele alocate CERT-UE.

(5)   Șeful CERT-UE prezintă IICB și președintelui IICB rapoarte cel puțin o dată pe an cu privire la activitățile și performanțele CERT-UE în perioada de referință, inclusiv cu privire la execuția bugetului, la acordurile privind nivelul serviciilor și la acordurile scrise încheiate, la cooperarea cu omologii și partenerii și la misiunile efectuate de personal, inclusiv rapoartele menționate la articolul 11. Aceste rapoarte includ un program de lucru pentru perioada următoare, planificarea financiară a veniturilor și cheltuielilor, inclusiv personalul, actualizările planificate ale catalogului de servicii al CERT-UE și o evaluare a impactului preconizat pe care astfel de actualizări îl pot avea în ceea ce privește resursele financiare și umane.

(1)   Un incident este considerat a fi semnificativ dacă:

(a)	a cauzat sau poate cauza perturbări operaționale grave în funcționarea entității Uniunii sau pierderi financiare pentru entitatea Uniunii în cauză;

(b)	a afectat sau poate afecta alte persoane fizice sau juridice, cauzând prejudicii materiale sau morale considerabile.

(2)   Entitățile Uniunii transmit CERT-UE:

(a)

fără întârzieri nejustificate și, în orice caz, în termen de 24 de ore de la data la care au luat cunoștință de incidentul semnificativ, o avertizare timpurie, care, după caz, indică dacă există suspiciuni că incidentul semnificativ este cauzat de acțiuni ilegale sau răuvoitoare sau ar putea avea un impact în mai multe entități sau transfrontalier;

(b)

fără întârzieri nejustificate și, în orice caz, în termen de 72 de ore din momentul în care au luat cunoștință de incidentul semnificativ, o notificare a incidentului, care, după caz, actualizează informațiile menționate la litera (a) și prezintă o evaluare inițială a incidentului semnificativ, inclusiv a gravității și a impactului acestuia, precum și a indicatorilor de compromitere, dacă sunt disponibili;

(c)	la cererea CERT-UE, un raport intermediar privind actualizări relevante ale situației;

(d)

un raport final, în termen de cel mult o lună de la transmiterea notificării cu privire la incident în temeiul literei (b), care să includă următoarele elemente: (i) o descriere detaliată a incidentului, inclusiv a gravității și a impactului acestuia; (ii) tipul de amenințare sau de cauză principală care probabil a declanșat incidentul; (iii) măsurile de atenuare aplicate și în curs; (iv) după caz, impactul transfrontalier sau inter-entități al incidentului;

(e)	în cazul unui incident în desfășurare la momentul prezentării raportului final menționat la litera (d), un raport privind progresele înregistrate și un raport final în termen de o lună de la gestionarea incidentului.

(3)   O entitate a Uniunii informează, fără întârzieri nejustificate și, în orice caz, în termen de 24 de ore de la data la care a luat cunoștință de un incident semnificativ, omologii relevanți din statele membre menționați la articolul 17 alineatul (1) din statul membru în care se află că s-a produs un incident semnificativ.

(4)   Entitățile Uniunii notifică, printre altele, toate informațiile care permit CERT-UE să stabilească orice impact inter-entități, orice impact asupra statului membru gazdă sau orice impact transfrontalier în urma unui incident semnificativ. Fără a aduce atingere articolului 12, simpla notificare nu expune entitatea Uniunii la o răspundere sporită.

(5)   După caz, entitățile Uniunii comunică, fără întârzieri nejustificate, utilizatorilor rețelei și ai sistemelor informatice afectate sau ai altor componente ale mediului TIC care ar putea fi afectate de un incident semnificativ sau de o amenințare cibernetică semnificativă și după caz, trebuie să ia măsuri de atenuare, orice măsuri sau măsuri corective pe care le pot lua ca răspuns la incidentul respectiv sau amenințarea respectivă. După caz, entitățile Uniunii informează utilizatorii respectivi despre amenințarea cibernetică semnificativă.

(6)   În cazul în care un incident semnificativ sau o amenințare cibernetică semnificativă afectează o rețea și un sistem informatic sau o componentă a mediului TIC al unei entități a Uniunii care știe că este conectată la mediul TIC al unei alte entități a Uniunii, CERT-UE emite o alertă privind o amenințare cibernetică relevantă.

(7)   Entitățile Uniunii, la cererea CERT-UE și fără întârzieri nejustificate, îi furnizează CERT-UE informații digitale create prin utilizarea dispozitivelor electronice implicate în incidentele respective. CERT-UE poate furniza detalii suplimentare privind tipurile de informații de care are nevoie pentru o cunoaștere detaliată a situației și pentru răspunsul la incidente.

(8)   CERT-UE transmite IICB, ENISA, INTCEN UE și rețelei CSIRT, o dată la trei luni, un raport de sinteză care include date anonimizate și agregate privind incidentele semnificative, incidentele, amenințările cibernetice, incidentele evitate la limită și vulnerabilitățile în temeiul articolului 20 și incidentele semnificative notificate în temeiul alineatului (2) din prezentul articol. Raportul de sinteză reprezintă o contribuție la raportul bienal privind situația în materie de securitate cibernetică în Uniune, adoptat în temeiul articolului 18 din Directiva (UE) 2022/2555.

(9)   Până la 8 iulie 2024, IICB emite orientări sau recomandări care aduc precizări suplimentare privind modalitățile și formatul și conținutul raportării în conformitate cu prezentul articol. Atunci când elaborează astfel de orientări sau recomandări, IICB ține seama de orice acte de punere în aplicare adoptate în temeiul articolului 23 alineatul (11) din Directiva (UE) 2022/2555 care precizează tipul de informații, formatul și procedura de notificare. CERT-UE difuzează detaliile tehnice adecvate pentru a permite detectarea proactivă, răspunsul la incidente sau adoptarea unor măsuri de atenuare de către entitățile Uniunii.

(10)   Obligațiile de raportare prevăzute la prezentul articol nu se aplică:

(a)

IUEC;

(b)	informațiilor a căror distribuție ulterioară a fost exclusă prin intermediul unui marcaj vizibil, cu excepția cazului în care schimbul acestora cu CERT-UE a fost permis în mod explicit.