keyboard_tab Cyber Resilience Act 2023/2841 RO
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Articolul 8 Măsuri de gestionare a riscurilor de securitate cibernetică
- 2 Articolul 12 Respectarea dispozițiilor
- 1 Articolul 18 Cooperarea CERT-UE cu alți omologi
- 1 Articolul 23 Gestionarea incidentelor majore
CAPITOLUL I
DISPOZIȚII GENERALE
CAPITOLUL II
MĂSURI PENTRU UN NIVEL COMUN RIDICAT DE SECURITATE CIBERNETICĂ
CAPITOLUL III
CONSILIUL INTERINSTITUȚIONAL PENTRU SECURITATE CIBERNETICĂ
CAPITOLUL IV
CERT-UE
CAPITOLUL V
OBLIGAȚII DE COOPERARE ȘI DE RAPORTARE
CAPITOLUL VI
DISPOZIȚII FINALE
- uniunii 40
- securitate 22
- pentru 22
- cibernetică 20
- iicb 19
- care 15
- articolul 14
- cert-ue 13
- inclusiv 13
- cauză 11
- cibernetice 11
- gestionarea 11
- entității 10
- cazul 9
- entitatea 9
- privind 9
- măsuri 9
- precum 9
- entitățile 8
- temeiul 8
- majore 8
- poate 8
- nivel 8
- este 8
- securitatea 8
- gestionare 8
- către 7
- regulament 7
- incidentelor 7
- cooperare 6
- alineatul 6
- astfel 6
- unor 6
- incidente 6
- materie 6
- aplicare 6
- după 6
- prezentului 6
- riscurilor 6
- crizelor 6
- informații 6
- specifice 6
- tehnice 5
- unui 5
- omologi 5
- privire 5
- necesare 5
- securizate 5
- măsurilor 5
- entitate 5
Articolul 8
Măsuri de gestionare a riscurilor de securitate cibernetică
(1) Fără întârzieri nejustificate și, în orice caz, până la 8 septembrie 2025, fiecare entitate a Uniunii, sub supravegherea celui mai înalt nivel de conducere, ia măsuri tehnice, operaționale și organizatorice adecvate și proporționale pentru a gestiona riscurile de securitate cibernetică identificate în temeiul cadrului și pentru a preveni sau a reduce la minimum impactul incidentelor. Ținând seama de stadiul actual al tehnologiei și, după caz, de standardele europene și internaționale relevante, măsurile respective asigură un nivel de securitate a rețelelor și a sistemelor informatice în întregul mediu TIC proporțional cu riscurile de securitate cibernetică existente. Atunci când se evaluează proporționalitatea măsurilor respective, se ține seama în mod corespunzător de gradul de expunere a entității Uniunii la riscuri de securitate cibernetică, de dimensiunea sa, de probabilitatea producerii unor incidente și de gravitatea acestora, inclusiv de impactul lor societal, economic și interinstituțional.
(2) Entitățile Uniunii abordează cel puțin următoarele domenii în punerea în aplicare a măsurilor de gestionare a riscurilor de securitate cibernetică:
| (a) | politica în materie de securitate cibernetică, inclusiv măsurile necesare pentru atingerea obiectivelor și priorităților menționate la articolul 6 și la alineatul (3) de la prezentul articol; |
| (b) | politicile privind analiza riscurilor de securitate cibernetică și securitatea sistemelor informatice; |
| (c) | obiectivele de politică privind utilizarea serviciilor de cloud computing; |
| (d) | auditul de securitate cibernetică, după caz, care poate include o evaluare a riscurilor de securitate cibernetică, a vulnerabilității și a amenințărilor cibernetice, precum și teste de penetrare efectuate periodic de un furnizor privat de încredere; |
| (e) | punerea în aplicare a recomandărilor rezultate în urma auditurilor de securitate cibernetică menționate la litera (d) prin intermediul actualizărilor securității cibernetice și ale politicilor; |
| (f) | organizarea securității cibernetice, inclusiv stabilirea rolurilor și a responsabilităților; |
| (g) | gestionarea activelor, inclusiv inventarul activelor TIC și cartografierea rețelelor TIC; |
| (h) | securitatea resurselor umane și controlul accesului; |
| (i) | securitatea operațiunilor; |
| (j) | securitatea comunicațiilor; |
| (k) | achiziționarea, dezvoltarea și întreținerea de sisteme, inclusiv politicile privind gestionarea și divulgarea vulnerabilităților; |
| (l) | acolo unde este posibil, politicile privind transparența codului-sursă; |
| (m) | securitatea lanțului de aprovizionare, inclusiv aspectele legate de securitate referitoare la relațiile dintre fiecare entitate a Uniunii și furnizorii sau prestatorii de servicii direcți ai acesteia; |
| (n) | gestionarea incidentelor și cooperarea cu CERT-UE, cum ar fi monitorizarea și jurnalizarea evenimentelor de securitate; |
| (o) | gestionarea continuității activității, de exemplu gestionarea copiilor de rezervă și recuperarea în caz de dezastru, precum și gestionarea crizelor; precum și |
| (p) | promovarea și dezvoltarea unor programe de educație, competențe, sensibilizare, exerciții și formare în materie de securitate cibernetică. |
În sensul primului paragraf litera (m), entitățile Uniunii iau în considerare vulnerabilitățile specifice fiecărui furnizor și prestator de servicii direct, precum și calitatea generală a produselor și a practicilor în materie de securitate cibernetică ale furnizorilor și prestatorilor lor de servicii, inclusiv procedurile lor securizate de dezvoltare.
(3) Entitățile Uniunii iau cel puțin următoarele măsuri specifice de gestionare a riscurilor de securitate cibernetică:
| (a) | măsuri tehnice pentru a permite și a susține telemunca; |
| (b) | măsuri concrete pentru trecerea la principiile de încredere zero; |
| (c) | utilizarea autentificării multifactor ca normă pentru toate rețelele și sistemele informatice; |
| (d) | utilizarea criptografiei și a criptării, în special a criptării de la un capăt la altul, precum și a semnăturilor digitale securizate; |
| (e) | după caz, comunicații securizate de voce, video și text, precum și sisteme securizate de comunicații de urgență în entitatea Uniunii; |
| (f) | măsuri proactive pentru detectarea și eliminarea programelor malware și spyware; |
| (g) | asigurarea securității lanțului de aprovizionare cu software prin criterii de dezvoltare și evaluare securizată a software-ului; |
| (h) | stabilirea și adoptarea unor programe de formare privind securitatea cibernetică, proporționale cu sarcinile prevăzute și cu capacitățile preconizate pentru cel mai înalt nivel de conducere și pentru membrii personalului entității Uniunii însărcinați cu asigurarea punerii în aplicare eficace a prezentului regulament; |
| (i) | formarea periodică a membrilor personalului în materie de securitate cibernetică; |
| (j) | după caz, participarea la analizele de risc privind interconectivitatea între entitățile Uniunii; |
| (k) | consolidarea normelor privind achizițiile publice pentru a facilita un nivel comun ridicat de securitate cibernetică prin:
|
Articolul 12
Respectarea dispozițiilor
(1) În conformitate cu articolul 10 alineatul (2) și cu articolul 11, IICB monitorizează în mod eficace punerea în aplicare de către entitățile Uniunii a prezentului regulament și a orientărilor, a recomandărilor și a apelurilor la acțiune adoptate. IICB poate solicita entităților Uniunii informațiile sau documentele necesare în acest scop. În scopul adoptării unor măsuri de asigurare a conformității în temeiul prezentului articol, atunci când entitatea Uniunii în cauză este reprezentată direct în IICB, aceasta nu are drept de vot.
(2) În cazul în care constată că o entitate a Uniunii nu a pus în aplicare în mod efectiv prezentul regulament sau orientările, recomandările sau apelurile la acțiune emise în temeiul acestuia, IICB poate, fără a aduce atingere procedurilor interne ale entității Uniunii în cauză și după ce îi oferă entității Uniunii în cauză ocazia de a-și prezenta observațiile:
| (a) | să comunice entității Uniunii în cauză un aviz motivat despre lacunele constatate în punerea în aplicare a prezentului regulament; |
| (b) | să ofere, după consultarea CERT-UE, orientări entității Uniunii pentru a asigura conformitatea cu prezentul regulament a cadrului acesteia, a măsurilor de gestionare a riscurilor de securitate cibernetică, a planului de securitate cibernetică și a obligațiilor de raportare, într-o perioadă specificată; |
| (c) | să emită un avertisment în vederea remedierii deficiențelor identificate într-o perioadă specificată, inclusiv recomandări de modificare a măsurilor adoptate de entitatea Uniunii în cauză în temeiul prezentului regulament; |
| (d) | să emită o notificare motivată către entitatea Uniunii în cauză, în cazul în care deficiențele identificate într-un avertisment emis în temeiul literei (c) nu au fost abordate suficient în termenul specificat; |
| (e) | să emită:
|
| (f) | dacă este cazul, să informeze Curtea de Conturi, în limitele mandatului său, cu privire la presupusa neconformitate; |
| (g) | să emită o recomandare pentru toate statele membre și entitățile Uniunii de a implementa o suspendare temporară a fluxurilor de date către entitatea Uniunii în cauză. |
În sensul primului paragraf litera (c), audiența unui avertisment este restricționată în mod corespunzător, dacă este necesar, având în vedere riscul în materie de securitate cibernetică.
Avertismentele și recomandările emise în temeiul primului paragraf se adresează celui mai înalt nivel de conducere al entității Uniunii în cauză.
(3) În cazul în care IICB a adoptat măsuri în temeiul alineatului (2) primul paragraf literele (a)-(g), entitatea Uniunii în cauză oferă detalii ale măsurilor și acțiunilor întreprinse pentru a remedia presupusele deficiențe identificate de IICB. Entitatea Uniunii transmite aceste detalii într-un termen rezonabil care urmează să fie convenit cu IICB.
(4) În cazul în care consideră că există o încălcare persistentă a dispozițiilor prezentului regulament de către o entitate a Uniunii, care rezultă direct din acțiunile sau omisiunile unui funcționar sau ale unui alt agent al Uniunii, inclusiv la cel mai înalt nivel de conducere, IICB solicită entității Uniunii în cauză să ia măsurile corespunzătoare, solicitându-i inclusiv să adopte măsuri de natură disciplinară, în conformitate cu normele și procedurile prevăzute în Statutul funcționarilor Uniunii Europene și cu orice altă norme și proceduri aplicabile. În acest scop, IICB transferă informațiile necesare către entitatea Uniunii în cauză.
(5) În cazul în care entitățile Uniunii notifică faptul că nu sunt în măsură să respecte termenele-limită stabilite la articolul 6 alineatul (1) și la articolul 8 alineatul (1), IICB poate, în cazuri justificate în mod corespunzător, ținând cont de dimensiunea entității Uniunii, să autorizeze prelungirea acestor termene-limită.
CAPITOLUL IV
CERT-UE
Articolul 18
Cooperarea CERT-UE cu alți omologi
(1) CERT-UE poate coopera cu omologi din Uniune alții decât cei menționați la articolul 17, care fac obiectul cerințelor privind securitatea cibernetică, inclusiv cu omologii din cadrul sectorului, cu privire la instrumente și metode, cum ar fi tehnici, tactici, proceduri și bune practici, precum și cu privire la amenințări cibernetice și vulnerabilități. Pentru orice tip de cooperare cu astfel de omologi, CERT-UE solicită aprobarea prealabilă a IICB, de la caz la caz. În cazul în care CERT-UE stabilește o cooperare cu astfel de omologi, informează orice omologi relevanți din statele membre menționați la articolul 17 alineatul (1), în statul membru în care este situat omologul. Dacă este aplicabil și adecvat, o astfel de cooperare și condițiile aferente, inclusiv în ceea ce privește securitatea cibernetică, protecția datelor și gestionarea informațiilor, se stabilesc în acorduri de confidențialitate specifice, cum ar fi contractele sau acordurile administrative. Acordurile de confidențialitate nu necesită aprobarea prealabilă a IICB, însă trebuie să fie informat președintele IICB. În cazul unei nevoi urgente și iminente de a face schimb de informații în materie de securitate cibernetică în interesul entităților Uniunii sau al unei alte părți, CERT-UE poate face acest lucru cu o entitate a cărei competență, capacitate și expertiză specifice sunt necesare în mod justificat pentru a sprijini o astfel de nevoie urgentă și iminentă, chiar dacă CERT-UE nu a încheiat un acord de confidențialitate cu entitatea respectivă. În astfel de cazuri, CERT-UE informează imediat președintele IICB și raportează IICB prin intermediul unor rapoarte sau reuniuni periodice.
(2) CERT-UE poate coopera cu parteneri, precum entități comerciale, inclusiv entități din cadrul sectorului, organizații internaționale, entități naționale din afara Uniunii Europene sau experți individuali, pentru a colecta informații cu privire la amenințările cibernetice generale și specifice, la incidente evitate la limită, la vulnerabilități și la posibilele contramăsuri. Pentru o cooperare extinsă cu astfel de parteneri, CERT-UE solicită aprobarea prealabilă a IICB, de la caz la caz.
(3) CERT-UE poate, cu acordul entității Uniunii afectate de un incident și cu condiția să existe un acord sau un contract de nedivulgare cu omologul sau partenerul relevant, să furnizeze informații referitoare la incidentul specific omologilor sau partenerilor menționați la alineatele (1) și (2) exclusiv în scopul de a contribui la analiza acestuia.
CAPITOLUL V
OBLIGAȚII DE COOPERARE ȘI DE RAPORTARE
Articolul 23
Gestionarea incidentelor majore
(1) Pentru a sprijini la nivel operațional gestionarea coordonată a incidentelor majore care afectează entitățile Uniunii și pentru a contribui la schimbul periodic de informații relevante între entitățile Uniunii și cu statele membre, IICB, în conformitate cu articolul 11 litera (q), stabilește un plan de gestionare a crizelor cibernetice pe baza activităților menționate la articolul 22 alineatul (2), în strânsă cooperare cu CERT-UE și ENISA. Planul de gestionare a crizelor cibernetice include cel puțin următoarele elemente:
| (a) | modalități cu privire la coordonarea și fluxul de informații între entitățile Uniunii pentru gestionarea incidentelor majore la nivel operațional; |
| (b) | proceduri standard de operare (PSO) comune; |
| (c) | o taxonomie comună a gravității incidentelor majore și a punctelor de declanșare a crizelor; |
| (d) | exerciții periodice; |
| (e) | canale de comunicare securizate care urmează să fie utilizate. |
(2) Reprezentantul Comisiei în cadrul IICB, sub rezerva planului de gestionare a crizelor cibernetice instituit în temeiul alineatului (1) de la prezentul articol și fără a aduce atingere articolului 16 alineatul (2) primul paragraf din Directiva (UE) 2022/2555, este punctul de contact pentru schimbul de informații relevante în legătură cu incidentele majore cu EU-CyCLONe.
(3) CERT-UE coordonează, la nivelul entităților Uniunii, gestionarea incidentelor majore. CERT-UE menține un inventar al expertizei tehnice disponibile necesare pentru răspunsul la incidente în cazul unor incidente majore și sprijină IICB în coordonarea planurilor de gestionare a crizelor cibernetice ale entităților Uniunii pentru incidentele majore menționate la articolul 9 alineatul (2).
(4) Entitățile Uniunii contribuie la inventarul expertizei tehnice prin transmiterea unei liste, actualizate anual, de experți disponibili în cadrul organizațiilor respective, în care sunt detaliate competențele tehnice specifice ale acestora.
CAPITOLUL VI
DISPOZIȚII FINALE
whereas