keyboard_tab Cyber Resilience Act 2023/2841 RO
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Articolul 1 Obiect
- 1 Articolul 3 Definiții
- 1 Articolul 5 Punerea în aplicare a măsurilor
- 2 Articolul 6 Cadrul de gestionare, guvernanță și control al riscurilor de securitate cibernetică
CAPITOLUL I
DISPOZIȚII GENERALE
CAPITOLUL II
MĂSURI PENTRU UN NIVEL COMUN RIDICAT DE SECURITATE CIBERNETICĂ
CAPITOLUL III
CONSILIUL INTERINSTITUȚIONAL PENTRU SECURITATE CIBERNETICĂ
CAPITOLUL IV
CERT-UE
CAPITOLUL V
OBLIGAȚII DE COOPERARE ȘI DE RAPORTARE
CAPITOLUL VI
DISPOZIȚII FINALE
- cibernetică 34
- uniunii 31
- securitate 25
- articolul 16
- înseamnă 15
- este 14
- nivel 13
- pentru 13
- astfel 13
- ue / 12
- temeiul 12
- aplicare 12
- regulament 12
- articolului 11
- cert-ue 10
- prezentului 10
- directiva 10
- punctul 9
- riscurilor 9
- conducere 9
- securitatea 9
- înalt 8
- entități 8
- punerea 8
- entitate 8
- gestionare 7
- care 7
- unei 6
- precum 6
- definită 5
- cadru 5
- guvernanță 5
- fiecare 5
- definit 5
- cadrul 5
- entității 5
- fără 4
- punctul 4
- local 4
- după 4
- sunt 4
- securității 4
- cibernetice 4
- privind 4
- cauză 4
- poate 4
- punerii 4
- incident 4
- unui 4
- funcționarea 4
Articolul 1
Obiect
Prezentul regulament stabilește măsuri care vizează atingerea unui nivel comun ridicat de securitate cibernetică în entitățile Uniunii în ceea ce privește:
| (a) | instituirea de către fiecare entitate a Uniunii a unui cadru intern de gestionare, guvernanță și control al riscurilor de securitate cibernetică în temeiul articolului 6; |
| (b) | gestionarea riscurilor de securitate cibernetică, raportarea și schimbul de informații; |
| (c) | organizarea, funcționarea și operarea Consiliului interinstituțional pentru securitate cibernetică instituit în temeiul articolului 10, precum și organizarea, funcționarea și operarea Serviciului de securitate cibernetică pentru instituțiile, organele, oficiile și agențiile Uniunii (CERT-UE); |
| (d) | monitorizarea punerii în aplicare a prezentului regulament. |
Articolul 3
Definiții
În sensul prezentului regulament, se aplică următoarele definiții:
| 1. | „entități ale Uniunii” înseamnă instituțiile, organele, oficiile și agențiile Uniunii înființate prin Tratatul privind Uniunea Europeană, Tratatul privind funcționarea Uniunii Europene (TFUE) sau Tratatul de instituire a Comunității Europene a Energiei Atomice sau în temeiul acestora; |
| 2. | „rețea și sistem informatic” înseamnă rețea și sistem informatic astfel cum sunt definite la articolul 6 punctul 1 din Directiva (UE) 2022/2555; |
| 3. | „securitatea rețelelor și a sistemelor informatice” înseamnă securitatea rețelelor și a sistemelor informatice astfel cum sunt definite la articolul 6 punctul 2 din Directiva (UE) 2022/2555; |
| 4. | „securitate cibernetică” înseamnă securitate cibernetică astfel cum este definită la articolul 2 punctul 1 din Regulamentul (UE) 2019/881; |
| 5. | „cel mai înalt nivel de conducere” înseamnă un manager, un organ de conducere sau un organ de coordonare și supraveghere responsabil cu funcționarea unei entități a Uniunii, la cel mai înalt nivel administrativ, având mandatul de a adopta sau de a autoriza decizii în conformitate cu mecanismele de guvernanță la nivel înalt ale acestei entități a Uniunii, fără a aduce atingere responsabilităților oficiale ale altor niveluri de conducere în ceea ce privește conformitatea și gestionarea riscurilor de securitate cibernetică în domeniile lor de responsabilitate respective; |
| 6. | „incident evitat la limită” înseamnă un incident evitat la limită astfel cum este definit la articolul 6 punctul 5 din Directiva (UE) 2022/2555; |
| 7. | „incident” înseamnă un incident astfel cum este definit la articolul 6 punctul 6 din Directiva (UE) 2022/2555; |
| 8. | „incident major” înseamnă un incident care cauzează un nivel de perturbare ce depășește capacitatea unei entități a Uniunii și a CERT-UE de a răspunde la acesta sau care are un impact semnificativ asupra a cel puțin două entități ale Uniunii; |
| 9. | „incident de securitate cibernetică de mare amploare” înseamnă un incident de securitate cibernetică de mare amploare astfel cum este definit la articolul 6 punctul 7 din Directiva (UE) 2022/2555; |
| 10. | „gestionarea incidentului” înseamnă gestionarea incidentului astfel cum este definită la articolul 6 punctul 8 din Directiva (UE) 2022/2555; |
| 11. | „amenințare cibernetică” înseamnă o amenințare cibernetică astfel cum este definită la articolul 2 punctul 8 din Regulamentul (UE) 2019/881; |
| 12. | „amenințare cibernetică semnificativă” înseamnă o amenințare cibernetică semnificativă astfel cum este definită la articolul 6 punctul 11 din Directiva (UE) 2022/2555; |
| 13. | „vulnerabilitate” înseamnă o vulnerabilitate astfel cum este definită la articolul 6 punctul 15 din Directiva (UE) 2022/2555; |
| 14. | „risc de securitate cibernetică” înseamnă un risc astfel cum este definit la articolul 6 punctul 9 din Directiva (UE) 2022/2555; |
| 15. | „serviciu de cloud computing” înseamnă un serviciu de cloud computing astfel cum este definit la articolul 6 punctul 30 din Directiva (UE) 2022/2555. |
Articolul 5
Punerea în aplicare a măsurilor
(1) Până la 8 septembrie 2024, Consiliul interinstituțional pentru securitate cibernetică instituit în temeiul articolului 10, după consultarea Agenției Uniunii Europene pentru Securitate Cibernetică (ENISA) și după primirea de orientări din partea CERT-UE, emite orientări pentru entitățile Uniunii în scopul efectuării unei analize inițiale a securității cibernetice și al instituirii unui cadru intern de gestionare, guvernanță și control al riscurilor de securitate cibernetică în temeiul articolului 6, al efectuării unor evaluări ale maturității în materie de securitate cibernetică în temeiul articolului 7, al luării unor măsuri de gestionare a riscurilor de securitate cibernetică în temeiul articolului 8, precum și al adoptării planului de securitate cibernetică în temeiul articolului 9.
(2) La punerea în aplicare a articolelor 6-9, entitățile Uniunii țin seama de orientările menționate la alineatul (1) de la prezentul articol, precum și de orientările și recomandările relevante adoptate în temeiul articolelor 11 și 14.
Articolul 6
Cadrul de gestionare, guvernanță și control al riscurilor de securitate cibernetică
(1) Până la 8 aprilie 2025, fiecare entitate a Uniunii, după efectuarea unei analize inițiale a securității cibernetice, cum ar fi un audit, instituie un cadru intern de gestionare, guvernanță și control al riscurilor de securitate cibernetică (denumit în continuare „cadrul”). Instituirea cadrului se află sub supravegherea și responsabilitatea celui mai înalt nivel de conducere al entității Uniunii.
(2) Cadrul acoperă întregul mediu TIC neclasificat al entității Uniunii în cauză, inclusiv orice mediu TIC de la fața locului, rețea tehnologică operațională, active și servicii externalizate în medii de cloud computing sau găzduite de părți terțe, dispozitive mobile, rețele corporative, rețele organizaționale care nu sunt conectate la internet și orice dispozitive conectate la aceste medii (mediul TIC). Cadrul se bazează pe o abordare care ia în considerare toate riscurile.
(3) Cadrul asigură un nivel ridicat de securitate cibernetică. Cadrul stabilește politici interne de securitate cibernetică, inclusiv obiective și priorități, pentru securitatea rețelelor și a sistemelor informatice, precum și rolurile și responsabilitățile personalului entității Uniunii însărcinat cu asigurarea punerii în aplicare eficace a prezentului regulament. Cadrul include, de asemenea, mecanisme de măsurare a eficacității punerii în aplicare.
(4) Cadrul este revizuit periodic, având în vedere evoluția riscurilor de securitate cibernetică, și cel puțin o dată la patru ani. După caz și în urma unei cereri din partea Consiliului interinstituțional pentru securitate cibernetică instituit în temeiul articolului 10, cadrul unei entități a Uniunii poate fi actualizat pe baza orientărilor CERT-UE privind incidentele identificate sau posibilele lacune observate în punerea în aplicare a prezentului regulament.
(5) Cel mai înalt nivel de conducere al fiecărei entități a Uniunii este responsabil cu punerea în aplicare a prezentului regulament și supraveghează respectarea de către organizația sa a obligațiilor legate de cadru.
(6) După caz și fără a aduce atingere responsabilității sale pentru punerea în aplicare a prezentului regulament, cel mai înalt nivel de conducere al fiecărei entități a Uniunii poate delega obligații specifice în temeiul prezentului regulament personalului cu funcții superioare de conducere în sensul articolului 29 alineatul (2) din Statutul funcționarilor sau altor funcționari de nivel echivalent, din entitatea Uniunii în cauză. Indiferent de astfel de delegări, cel mai înalt nivel de conducere poate fi tras la răspundere pentru încălcarea prezentului regulament de către entitatea Uniunii în cauză.
(7) Fiecare entitate a Uniunii dispune de mecanisme eficace pentru a se asigura că un procent adecvat din bugetul în domeniul TIC este cheltuit pentru securitatea cibernetică. La stabilirea acestui procent se ține seama în mod corespunzător de cadru.
(8) Fiecare entitate a Uniunii numește un responsabil local cu securitatea cibernetică sau o funcție echivalentă care acționează ca punct unic de contact în ceea ce privește toate aspectele securității cibernetice. Responsabilul local cu securitatea cibernetică facilitează punerea în aplicare a prezentului regulament și raportează periodic în mod direct celui mai înalt nivel de conducere cu privire la stadiul punerii în aplicare. Fără a aduce atingere faptului că responsabilul local cu securitatea cibernetică este punctul unic de contact în fiecare entitate a Uniunii, o entitate a Uniunii poate delega CERT-UE anumite sarcini ale responsabilului local cu securitatea cibernetică în ceea ce privește punerea în aplicare a prezentului regulament, pe baza unui acord privind nivelul serviciilor încheiat între entitatea Uniunii respectivă și CERT-UE, sau sarcinile respective pot fi partajate de mai multe entități ale Uniunii. În cazul în care aceste sarcini sunt delegate CERT-UE, Consiliul interinstituțional pentru securitate cibernetică instituit în temeiul articolului 10 decide dacă furnizarea serviciului respectiv urmează să facă parte dintre serviciile de referință ale CERT-UE, ținând seama de resursele umane și financiare ale entității Uniunii în cauză. Fiecare entitate a Uniunii comunică CERT-UE, fără întârzieri nejustificate, responsabilii locali cu securitatea cibernetică numiți și orice modificare ulterioară a numirilor.
CERT-UE întocmește și menține actualizată o listă a responsabililor locali cu securitatea cibernetică numiți.
(9) Personalul cu funcții superioare de conducere în sensul articolului 29 alineatul (2) din Statutul funcționarilor sau alți funcționari de nivel echivalent din fiecare entitate a Uniunii, precum și toți membrii relevanți ai personalului însărcinați cu punerea în aplicare a măsurilor de gestionare a riscurilor de securitate cibernetică și cu îndeplinirea obligațiilor prevăzute în prezentul regulament urmează periodic cursuri de formare specifice în vederea dobândirii unor cunoștințe și competențe suficiente pentru a înțelege și a evalua riscul în materie de securitate cibernetică și practicile de gestionare a securității cibernetice, precum și impactul acestora asupra operațiunilor entității Uniunii.
whereas