keyboard_tab Cyber Resilience Act 2023/2841 RO
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 3 Articolul 3 Definiții
- 1 Articolul 13 Misiunea și sarcinile CERT-UE
- 1 Articolul 17 Cooperarea CERT-UE cu omologii din statele membre
- 15 Articolul 21 Obligații de raportare
- 1 Articolul 22 Coordonarea răspunsului la incidente și cooperarea
CAPITOLUL I
DISPOZIȚII GENERALE
CAPITOLUL II
MĂSURI PENTRU UN NIVEL COMUN RIDICAT DE SECURITATE CIBERNETICĂ
CAPITOLUL III
CONSILIUL INTERINSTITUȚIONAL PENTRU SECURITATE CIBERNETICĂ
CAPITOLUL IV
CERT-UE
CAPITOLUL V
OBLIGAȚII DE COOPERARE ȘI DE RAPORTARE
CAPITOLUL VI
DISPOZIȚII FINALE
- uniunii 58
- care 37
- cert-ue 31
- articolul 27
- cibernetică 24
- ue / 21
- entitățile 19
- privind 19
- pentru 18
- directiva 18
- este 18
- informații 17
- incidente 17
- incident 17
- securitate 16
- astfel 16
- înseamnă 15
- temeiul 14
- fără 13
- poate 12
- semnificativ 12
- entități 11
- cert-ue 11
- iicb 11
- orice 10
- servicii 10
- cibernetice 10
- incidentului 10
- prin 9
- inclusiv 9
- după 9
- conformitate 9
- incidentelor 9
- entităților 9
- unei 8
- întârzieri 8
- privire 8
- incidentele 8
- punctul 8
- schimb 8
- entitatea 8
- nejustificate 8
- privește 7
- coordonarea 7
- nivel 7
- ceea 7
- relevante 7
- cooperare 7
- cazul 7
- sunt 7
Articolul 3
Definiții
În sensul prezentului regulament, se aplică următoarele definiții:
| 1. | „entități ale Uniunii” înseamnă instituțiile, organele, oficiile și agențiile Uniunii înființate prin Tratatul privind Uniunea Europeană, Tratatul privind funcționarea Uniunii Europene (TFUE) sau Tratatul de instituire a Comunității Europene a Energiei Atomice sau în temeiul acestora; |
| 2. | „rețea și sistem informatic” înseamnă rețea și sistem informatic astfel cum sunt definite la articolul 6 punctul 1 din Directiva (UE) 2022/2555; |
| 3. | „securitatea rețelelor și a sistemelor informatice” înseamnă securitatea rețelelor și a sistemelor informatice astfel cum sunt definite la articolul 6 punctul 2 din Directiva (UE) 2022/2555; |
| 4. | „securitate cibernetică” înseamnă securitate cibernetică astfel cum este definită la articolul 2 punctul 1 din Regulamentul (UE) 2019/881; |
| 5. | „cel mai înalt nivel de conducere” înseamnă un manager, un organ de conducere sau un organ de coordonare și supraveghere responsabil cu funcționarea unei entități a Uniunii, la cel mai înalt nivel administrativ, având mandatul de a adopta sau de a autoriza decizii în conformitate cu mecanismele de guvernanță la nivel înalt ale acestei entități a Uniunii, fără a aduce atingere responsabilităților oficiale ale altor niveluri de conducere în ceea ce privește conformitatea și gestionarea riscurilor de securitate cibernetică în domeniile lor de responsabilitate respective; |
| 6. | „incident evitat la limită” înseamnă un incident evitat la limită astfel cum este definit la articolul 6 punctul 5 din Directiva (UE) 2022/2555; |
| 7. | „incident” înseamnă un incident astfel cum este definit la articolul 6 punctul 6 din Directiva (UE) 2022/2555; |
| 8. | „incident major” înseamnă un incident care cauzează un nivel de perturbare ce depășește capacitatea unei entități a Uniunii și a CERT-UE de a răspunde la acesta sau care are un impact semnificativ asupra a cel puțin două entități ale Uniunii; |
| 9. | „incident de securitate cibernetică de mare amploare” înseamnă un incident de securitate cibernetică de mare amploare astfel cum este definit la articolul 6 punctul 7 din Directiva (UE) 2022/2555; |
| 10. | „gestionarea incidentului” înseamnă gestionarea incidentului astfel cum este definită la articolul 6 punctul 8 din Directiva (UE) 2022/2555; |
| 11. | „amenințare cibernetică” înseamnă o amenințare cibernetică astfel cum este definită la articolul 2 punctul 8 din Regulamentul (UE) 2019/881; |
| 12. | „amenințare cibernetică semnificativă” înseamnă o amenințare cibernetică semnificativă astfel cum este definită la articolul 6 punctul 11 din Directiva (UE) 2022/2555; |
| 13. | „vulnerabilitate” înseamnă o vulnerabilitate astfel cum este definită la articolul 6 punctul 15 din Directiva (UE) 2022/2555; |
| 14. | „risc de securitate cibernetică” înseamnă un risc astfel cum este definit la articolul 6 punctul 9 din Directiva (UE) 2022/2555; |
| 15. | „serviciu de cloud computing” înseamnă un serviciu de cloud computing astfel cum este definit la articolul 6 punctul 30 din Directiva (UE) 2022/2555. |
Articolul 13
Misiunea și sarcinile CERT-UE
(1) Misiunea CERT-UE este de a contribui la securitatea mediului TIC neclasificat al entităților Uniunii, oferindu-le consiliere cu privire la securitatea cibernetică, oferindu-le asistență pentru prevenirea, detectarea, gestionarea și atenuarea incidentelor, răspunsul la acestea și redresarea în urma lor și acționând ca centru de schimb de informații în materie de securitate cibernetică și de coordonare a răspunsului la incidente pentru aceste entități.
(2) CERT-UE colectează, gestionează, analizează și face schimb de informații cu entitățile Uniunii cu privire la amenințări cibernetice, vulnerabilități și incidente legate de infrastructura TIC neclasificată. Acesta coordonează răspunsurile la incidente la nivel interinstituțional și la nivelul entităților Uniunii, inclusiv prin furnizarea de asistență operațională specializată sau prin coordonarea acesteia.
(3) CERT-UE îndeplinește următoarele sarcini pentru a asista entitățile Uniunii:
| (a) | le oferă sprijin la punerea în aplicare a prezentului regulament și contribuie la coordonarea punerii în aplicare a prezentului regulament prin intermediul măsurilor enumerate la articolul 14 alineatul (1) sau al rapoartelor ad-hoc solicitate de IICB; |
| (b) | oferă servicii CSIRT standard pentru entitățile Uniunii printr-un pachet de servicii de securitate cibernetică descrise în catalogul său de servicii (servicii de referință); |
| (c) | menține o rețea de omologi și parteneri pentru a sprijini serviciile, astfel cum se prevede la articolele 17 și 18; |
| (d) | aduce în atenția IICB orice problemă legată de punerea în aplicare a prezentului regulament și a orientărilor, recomandărilor și apelurilor la acțiune; |
| (e) | pe baza informațiilor menționate la alineatul (2), contribuie la conștientizarea situației amenințărilor la adresa securității cibernetice în Uniune în strânsă cooperare cu ENISA; |
| (f) | coordonează gestionarea incidentelor majore; |
| (g) | îndeplinește pentru entitățile Uniunii un rol echivalent celui de coordonator desemnat în scopul divulgării coordonate a vulnerabilităților în temeiul articolului 12 alineatul (1) din Directiva (UE) 2022/2555; |
| (h) | furnizează, la cererea unei entități a Uniunii, scanarea proactivă și neintruzivă a rețelelor și a sistemelor informatice accesibile publicului respectivei entități a Uniunii. |
Informațiile menționate la primul paragraf litera (e) se comunică IICB, rețelei CSIRT și Centrului de situații și de analiză a informațiilor al Uniunii Europene (INTCEN UE), dacă este cazul și în funcție de situație și sub rezerva unor condiții de confidențialitate adecvate.
(4) CERT-UE poate, în conformitate cu articolul 17 sau 18, după caz, să coopereze cu comunitățile relevante în materie de securitate cibernetică din Uniune și din statele sale membre, inclusiv în următoarele domenii:
| (a) | pregătirea, coordonarea în materie de incidente, schimbul de informații și răspunsul la situații de criză la nivel tehnic în cazurile legate de entitățile Uniunii; |
| (b) | cooperarea operațională privind rețeaua CSIRT, inclusiv în ceea ce privește asistența reciprocă; |
| (c) | informații privind amenințările cibernetice, inclusiv conștientizarea situației; |
| (d) | orice subiect care necesită expertiză tehnică în materie de securitate cibernetică din partea CERT-UE. |
(5) În limitele competențelor sale, CERT-UE desfășoară o cooperare structurată cu ENISA în ceea ce privește consolidarea capacităților, cooperarea operațională și analizele strategice pe termen lung ale amenințărilor cibernetice, în temeiul Regulamentului (UE) 2019/881. CERT-UE poate coopera și face schimb de informații cu Centrul european de combatere a criminalității informatice al Europol.
(6) CERT-UE poate furniza următoarele servicii care nu sunt descrise în catalogul său de servicii (servicii contra cost):
| (a) | servicii care sprijină securitatea cibernetică a mediului TIC al entităților Uniunii, altele decât cele menționate la alineatul (3), în temeiul unor acorduri privind nivelul serviciilor și sub rezerva resurselor disponibile, în special monitorizarea rețelelor cu spectru larg, inclusiv monitorizarea non-stop din prima linie pentru amenințările cibernetice grave; |
| (b) | servicii care sprijină operațiunile sau proiectele în materie de securitate cibernetică ale entităților Uniunii, altele decât cele care vizează protejarea mediului lor TIC, în temeiul unor acorduri scrise și cu aprobarea prealabilă a IICB; |
| (c) | la cerere, o scanare proactivă a rețelei și a sistemelor informatice ale entității Uniunii în cauză pentru a detecta vulnerabilitățile cu un impact potențial semnificativ; |
| (d) | servicii care sprijină securitatea mediului TIC furnizat altor organizații decât entitățile Uniunii, care cooperează îndeaproape cu entitățile Uniunii, de exemplu, cărora li s-au atribuit sarcini sau responsabilități în temeiul dreptului Uniunii, pe baza unor acorduri scrise și cu aprobarea prealabilă a IICB. |
În ceea ce privește primul alineat litera (d), CERT-EU poate, cu titlu excepțional, să încheie acorduri privind nivelul serviciilor cu alte entități decât entitățile Uniunii, cu aprobarea prealabilă a IICB.
(7) CERT-UE organizează și poate participa la exerciții de securitate cibernetică sau poate recomanda participarea la exercițiile existente, dacă este cazul în strânsă cooperare cu ENISA, pentru a testa nivelul de securitate cibernetică al entităților Uniunii.
(8) CERT-UE poate oferi entităților Uniunii asistență privind incidentele din rețele și din sistemele de informații care procesează IUEC dacă entitățile Uniunii în cauză îi solicită acest lucru în mod expres în conformitate cu procedurile lor respective. Furnizarea de asistență din partea CERT-UE în temeiul prezentului alineat nu aduce atingere normelor aplicabile privind protecția informațiilor clasificate.
(9) CERT-UE informează entitățile Uniunii cu privire la procedurile și procesele sale de gestionare a incidentelor.
(10) CERT-UE contribuie, cu un nivel ridicat de confidențialitate și fiabilitate, prin intermediul mecanismelor de cooperare și al liniilor de raportare adecvate, cu informații relevante și anonimizate cu privire la incidentele majore și la modul în care acestea au fost gestionate. Informațiile respective sunt incluse în raportul menționat la articolul 10 alineatul (14).
(11) CERT-EU, în cooperare cu AEPD, sprijină entitățile Uniunii în cauză atunci când abordează incidente care duc la încălcarea securității datelor cu caracter personal, fără a aduce atingere competenței și sarcinilor AEPD în calitate de autoritate de supraveghere în temeiul Regulamentului (UE) 2018/1725.
(12) La solicitarea explicită a departamentelor tematice ale entităților Uniunii, CERT-UE poate oferi consultanță sau sprijin tehnic cu privire la aspecte de politică relevante.
Articolul 17
Cooperarea CERT-UE cu omologii din statele membre
(1) CERT-UE, fără întârzieri nejustificate, cooperează și face schimb de informații cu omologii naționali din statele membre, in special CSIRT desemnate sau stabilite în conformitate cu articolul 10 din Directiva (UE) 2022/2555, sau, după caz, autoritățile competente și punctele unice de contact menționate la articolul 8 din directiva respectivă, cu privire la incidente, amenințări cibernetice, vulnerabilități, incidente evitate la limită, la posibile contramăsuri, precum și la cele mai bune practici și la toate aspectele relevante pentru îmbunătățirea protecției mediilor TIC ale entităților Uniunii, inclusiv prin intermediul rețelei CSIRT menționate la articolul 15 din Directiva (UE) 2022/2555. CERT-UE sprijină Comisia în cadrul EU-CyCLONe stabilit în conformitate cu articolul 16 din Directiva (UE) 2022/2555 în ceea ce privește gestionarea coordonată a incidentelor și crizelor de securitate cibernetică de mare amploare.
(2) În cazul în care CERT-UE ia cunoștință de incidente semnificative care au loc pe teritoriul unui stat membru, acesta notifică fără întârziere omologilor relevanți din statul membru respectiv în conformitate cu alineatul (1).
(3) Cu condiția ca datele cu caracter personal să fie protejate în conformitate cu dreptul aplicabil al Uniunii privind protecția datelor, CERT-UE face schimb de informații relevante, fără întârzieri nejustificate, referitoare la incident cu omologii din statele membre pentru a facilita detectarea amenințărilor sau incidentelor cibernetice similare sau pentru a contribui la analiza unui incident, fără autorizarea entității Uniunii afectate. CERT-UE face schimb de informații referitoare la incidente care dezvăluie identitatea țintei incidentului numai în unul din următoarele cazuri:
| (a) | entitatea Uniunii afectată își dă consimțământul; |
| (b) | entitatea Uniunii nu își dă consimțământul, astfel cum se prevede la litera (a), dar publicarea identității entității Uniunii afectate ar crește probabilitatea ca incidentele din altă parte să fie evitate sau atenuate; |
| (c) | entitatea Uniunii afectată a făcut deja public faptul că a fost afectată. |
Deciziile de a face schimb de informații specifice incidentului care dezvăluie identitatea țintei incidentului în temeiul primului paragraf litera (b) sunt aprobate de șeful CERT-UE. Înainte de a emite o astfel de decizie, CERT-UE contactează în scris entitatea Uniunii afectată, explicând în mod clar modul în care divulgarea identității sale ar contribui la evitarea sau atenuarea incidentelor în altă parte. Șeful CERT-UE furnizează explicația și solicită în mod explicit entității Uniunii să precizeze dacă își dă consimțământul într-un termen stabilit. Șeful CERT-UE informează, de asemenea, entitatea Uniunii că, având în vedere explicația oferită, își rezervă dreptul de a divulga informațiile chiar și în absența consimțământului. Entitatea Uniunii afectată este informată înainte de divulgarea informațiilor.
Articolul 21
Obligații de raportare
(1) Un incident este considerat a fi semnificativ dacă:
| (a) | a cauzat sau poate cauza perturbări operaționale grave în funcționarea entității Uniunii sau pierderi financiare pentru entitatea Uniunii în cauză; |
| (b) | a afectat sau poate afecta alte persoane fizice sau juridice, cauzând prejudicii materiale sau morale considerabile. |
(2) Entitățile Uniunii transmit CERT-UE:
| (a) | fără întârzieri nejustificate și, în orice caz, în termen de 24 de ore de la data la care au luat cunoștință de incidentul semnificativ, o avertizare timpurie, care, după caz, indică dacă există suspiciuni că incidentul semnificativ este cauzat de acțiuni ilegale sau răuvoitoare sau ar putea avea un impact în mai multe entități sau transfrontalier; |
| (b) | fără întârzieri nejustificate și, în orice caz, în termen de 72 de ore din momentul în care au luat cunoștință de incidentul semnificativ, o notificare a incidentului, care, după caz, actualizează informațiile menționate la litera (a) și prezintă o evaluare inițială a incidentului semnificativ, inclusiv a gravității și a impactului acestuia, precum și a indicatorilor de compromitere, dacă sunt disponibili; |
| (c) | la cererea CERT-UE, un raport intermediar privind actualizări relevante ale situației; |
| (d) | un raport final, în termen de cel mult o lună de la transmiterea notificării cu privire la incident în temeiul literei (b), care să includă următoarele elemente:
|
| (e) | în cazul unui incident în desfășurare la momentul prezentării raportului final menționat la litera (d), un raport privind progresele înregistrate și un raport final în termen de o lună de la gestionarea incidentului. |
(3) O entitate a Uniunii informează, fără întârzieri nejustificate și, în orice caz, în termen de 24 de ore de la data la care a luat cunoștință de un incident semnificativ, omologii relevanți din statele membre menționați la articolul 17 alineatul (1) din statul membru în care se află că s-a produs un incident semnificativ.
(4) Entitățile Uniunii notifică, printre altele, toate informațiile care permit CERT-UE să stabilească orice impact inter-entități, orice impact asupra statului membru gazdă sau orice impact transfrontalier în urma unui incident semnificativ. Fără a aduce atingere articolului 12, simpla notificare nu expune entitatea Uniunii la o răspundere sporită.
(5) După caz, entitățile Uniunii comunică, fără întârzieri nejustificate, utilizatorilor rețelei și ai sistemelor informatice afectate sau ai altor componente ale mediului TIC care ar putea fi afectate de un incident semnificativ sau de o amenințare cibernetică semnificativă și după caz, trebuie să ia măsuri de atenuare, orice măsuri sau măsuri corective pe care le pot lua ca răspuns la incidentul respectiv sau amenințarea respectivă. După caz, entitățile Uniunii informează utilizatorii respectivi despre amenințarea cibernetică semnificativă.
(6) În cazul în care un incident semnificativ sau o amenințare cibernetică semnificativă afectează o rețea și un sistem informatic sau o componentă a mediului TIC al unei entități a Uniunii care știe că este conectată la mediul TIC al unei alte entități a Uniunii, CERT-UE emite o alertă privind o amenințare cibernetică relevantă.
(7) Entitățile Uniunii, la cererea CERT-UE și fără întârzieri nejustificate, îi furnizează CERT-UE informații digitale create prin utilizarea dispozitivelor electronice implicate în incidentele respective. CERT-UE poate furniza detalii suplimentare privind tipurile de informații de care are nevoie pentru o cunoaștere detaliată a situației și pentru răspunsul la incidente.
(8) CERT-UE transmite IICB, ENISA, INTCEN UE și rețelei CSIRT, o dată la trei luni, un raport de sinteză care include date anonimizate și agregate privind incidentele semnificative, incidentele, amenințările cibernetice, incidentele evitate la limită și vulnerabilitățile în temeiul articolului 20 și incidentele semnificative notificate în temeiul alineatului (2) din prezentul articol. Raportul de sinteză reprezintă o contribuție la raportul bienal privind situația în materie de securitate cibernetică în Uniune, adoptat în temeiul articolului 18 din Directiva (UE) 2022/2555.
(9) Până la 8 iulie 2024, IICB emite orientări sau recomandări care aduc precizări suplimentare privind modalitățile și formatul și conținutul raportării în conformitate cu prezentul articol. Atunci când elaborează astfel de orientări sau recomandări, IICB ține seama de orice acte de punere în aplicare adoptate în temeiul articolului 23 alineatul (11) din Directiva (UE) 2022/2555 care precizează tipul de informații, formatul și procedura de notificare. CERT-UE difuzează detaliile tehnice adecvate pentru a permite detectarea proactivă, răspunsul la incidente sau adoptarea unor măsuri de atenuare de către entitățile Uniunii.
(10) Obligațiile de raportare prevăzute la prezentul articol nu se aplică:
| (a) | IUEC; |
| (b) | informațiilor a căror distribuție ulterioară a fost exclusă prin intermediul unui marcaj vizibil, cu excepția cazului în care schimbul acestora cu CERT-UE a fost permis în mod explicit. |
Articolul 22
Coordonarea răspunsului la incidente și cooperarea
(1) Acționând în calitate de centru de schimb de informații în materie de securitate cibernetică și de coordonare a răspunsului la incidente, CERT-UE facilitează schimbul de informații cu privire la incidente, amenințările cibernetice, vulnerabilități și incidente evitate la limită, între:
| (a) | entitățile Uniunii; |
| (b) | omologii menționați la articolele 17 și 18. |
(2) CERT-UE, după caz în strânsă cooperare cu ENISA, facilitează coordonarea între entitățile Uniunii în ceea ce privește răspunsul la incidente, inclusiv prin:
| (a) | contribuția la o comunicare externă coerentă; |
| (b) | sprijin reciproc, cum ar fi schimbul de informații relevante pentru entitățile Uniunii sau furnizarea de asistență, după caz, direct la fața locului; |
| (c) | utilizarea optimă a resurselor operaționale; |
| (d) | coordonarea cu alte mecanisme de răspuns la situații de criză la nivelul Uniunii. |
(3) În strânsă cooperare cu ENISA, CERT-UE sprijină entitățile Uniunii în ceea ce privește conștientizarea situației incidentelor, amenințărilor cibernetice, a vulnerabilităților și a incidentelor evitate la limită, precum și prin schimburile legate de cele mai recente evoluții în domeniul securității cibernetice.
(4) Până la 8 ianuarie 2025, pe baza unei propuneri din partea CERT-UE, IICB adoptă orientări sau recomandări privind coordonarea răspunsului la incidente și cooperarea în cazul incidentelor semnificative. În cazul în care se suspectează că un incident este de natură penală, CERT-UE furnizează orientări privind raportarea incidentului către autoritățile de aplicare a legii, fără întârzieri nejustificate.
(5) În urma unei cereri specifice din partea unui stat membru și cu aprobarea entităților Uniunii în cauză, CERT-UE poate apela la experți de pe lista menționată la articolul 23 alineatul (4) pentru a contribui la răspunsul la un incident major care are un impact în statul membru respectiv sau la un incident de securitate cibernetică de mare amploare în conformitate cu articolul 15 alineatul (3) litera (g) din Directiva (UE) 2022/2555. Normele specifice privind accesul și folosirea experților tehnici din entitățile Uniunii sunt aprobate de IICB pe baza unei propuneri a CERT-UE.
whereas