keyboard_tab Cyber Resilience Act 2023/2841 RO
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Articolul 6 Cadrul de gestionare, guvernanță și control al riscurilor de securitate cibernetică
- 2 Articolul 8 Măsuri de gestionare a riscurilor de securitate cibernetică
- 1 Articolul 14 Orientări, recomandări și apeluri la acțiune
CAPITOLUL I
DISPOZIȚII GENERALE
CAPITOLUL II
MĂSURI PENTRU UN NIVEL COMUN RIDICAT DE SECURITATE CIBERNETICĂ
CAPITOLUL III
CONSILIUL INTERINSTITUȚIONAL PENTRU SECURITATE CIBERNETICĂ
CAPITOLUL IV
CERT-UE
CAPITOLUL V
OBLIGAȚII DE COOPERARE ȘI DE RAPORTARE
CAPITOLUL VI
DISPOZIȚII FINALE
- cibernetică 37
- securitate 36
- uniunii 34
- pentru 21
- securitatea 15
- aplicare 13
- care 12
- nivel 12
- riscurilor 11
- precum 11
- regulament 11
- inclusiv 11
- privind 11
- cert-ue 10
- prezentului 10
- cibernetice 10
- entitate 9
- după 9
- conducere 9
- punerea 9
- gestionare 8
- securității 8
- entității 7
- înalt 7
- materie 7
- servicii 6
- măsuri 6
- fiecare 6
- gestionarea 6
- temeiul 5
- utilizarea 5
- articolului 5
- poate 5
- cadrul 5
- personalului 5
- entitatea 5
- este 5
- măsurile 5
- cauză 5
- acestora 4
- entităților 4
- articolul 4
- unor 4
- toate 4
- măsurilor 4
- entități 4
- informatice 4
- punerii 4
- comune 4
- periodic 4
Articolul 6
Cadrul de gestionare, guvernanță și control al riscurilor de securitate cibernetică
(1) Până la 8 aprilie 2025, fiecare entitate a Uniunii, după efectuarea unei analize inițiale a securității cibernetice, cum ar fi un audit, instituie un cadru intern de gestionare, guvernanță și control al riscurilor de securitate cibernetică (denumit în continuare „cadrul”). Instituirea cadrului se află sub supravegherea și responsabilitatea celui mai înalt nivel de conducere al entității Uniunii.
(2) Cadrul acoperă întregul mediu TIC neclasificat al entității Uniunii în cauză, inclusiv orice mediu TIC de la fața locului, rețea tehnologică operațională, active și servicii externalizate în medii de cloud computing sau găzduite de părți terțe, dispozitive mobile, rețele corporative, rețele organizaționale care nu sunt conectate la internet și orice dispozitive conectate la aceste medii (mediul TIC). Cadrul se bazează pe o abordare care ia în considerare toate riscurile.
(3) Cadrul asigură un nivel ridicat de securitate cibernetică. Cadrul stabilește politici interne de securitate cibernetică, inclusiv obiective și priorități, pentru securitatea rețelelor și a sistemelor informatice, precum și rolurile și responsabilitățile personalului entității Uniunii însărcinat cu asigurarea punerii în aplicare eficace a prezentului regulament. Cadrul include, de asemenea, mecanisme de măsurare a eficacității punerii în aplicare.
(4) Cadrul este revizuit periodic, având în vedere evoluția riscurilor de securitate cibernetică, și cel puțin o dată la patru ani. După caz și în urma unei cereri din partea Consiliului interinstituțional pentru securitate cibernetică instituit în temeiul articolului 10, cadrul unei entități a Uniunii poate fi actualizat pe baza orientărilor CERT-UE privind incidentele identificate sau posibilele lacune observate în punerea în aplicare a prezentului regulament.
(5) Cel mai înalt nivel de conducere al fiecărei entități a Uniunii este responsabil cu punerea în aplicare a prezentului regulament și supraveghează respectarea de către organizația sa a obligațiilor legate de cadru.
(6) După caz și fără a aduce atingere responsabilității sale pentru punerea în aplicare a prezentului regulament, cel mai înalt nivel de conducere al fiecărei entități a Uniunii poate delega obligații specifice în temeiul prezentului regulament personalului cu funcții superioare de conducere în sensul articolului 29 alineatul (2) din Statutul funcționarilor sau altor funcționari de nivel echivalent, din entitatea Uniunii în cauză. Indiferent de astfel de delegări, cel mai înalt nivel de conducere poate fi tras la răspundere pentru încălcarea prezentului regulament de către entitatea Uniunii în cauză.
(7) Fiecare entitate a Uniunii dispune de mecanisme eficace pentru a se asigura că un procent adecvat din bugetul în domeniul TIC este cheltuit pentru securitatea cibernetică. La stabilirea acestui procent se ține seama în mod corespunzător de cadru.
(8) Fiecare entitate a Uniunii numește un responsabil local cu securitatea cibernetică sau o funcție echivalentă care acționează ca punct unic de contact în ceea ce privește toate aspectele securității cibernetice. Responsabilul local cu securitatea cibernetică facilitează punerea în aplicare a prezentului regulament și raportează periodic în mod direct celui mai înalt nivel de conducere cu privire la stadiul punerii în aplicare. Fără a aduce atingere faptului că responsabilul local cu securitatea cibernetică este punctul unic de contact în fiecare entitate a Uniunii, o entitate a Uniunii poate delega CERT-UE anumite sarcini ale responsabilului local cu securitatea cibernetică în ceea ce privește punerea în aplicare a prezentului regulament, pe baza unui acord privind nivelul serviciilor încheiat între entitatea Uniunii respectivă și CERT-UE, sau sarcinile respective pot fi partajate de mai multe entități ale Uniunii. În cazul în care aceste sarcini sunt delegate CERT-UE, Consiliul interinstituțional pentru securitate cibernetică instituit în temeiul articolului 10 decide dacă furnizarea serviciului respectiv urmează să facă parte dintre serviciile de referință ale CERT-UE, ținând seama de resursele umane și financiare ale entității Uniunii în cauză. Fiecare entitate a Uniunii comunică CERT-UE, fără întârzieri nejustificate, responsabilii locali cu securitatea cibernetică numiți și orice modificare ulterioară a numirilor.
CERT-UE întocmește și menține actualizată o listă a responsabililor locali cu securitatea cibernetică numiți.
(9) Personalul cu funcții superioare de conducere în sensul articolului 29 alineatul (2) din Statutul funcționarilor sau alți funcționari de nivel echivalent din fiecare entitate a Uniunii, precum și toți membrii relevanți ai personalului însărcinați cu punerea în aplicare a măsurilor de gestionare a riscurilor de securitate cibernetică și cu îndeplinirea obligațiilor prevăzute în prezentul regulament urmează periodic cursuri de formare specifice în vederea dobândirii unor cunoștințe și competențe suficiente pentru a înțelege și a evalua riscul în materie de securitate cibernetică și practicile de gestionare a securității cibernetice, precum și impactul acestora asupra operațiunilor entității Uniunii.
Articolul 8
Măsuri de gestionare a riscurilor de securitate cibernetică
(1) Fără întârzieri nejustificate și, în orice caz, până la 8 septembrie 2025, fiecare entitate a Uniunii, sub supravegherea celui mai înalt nivel de conducere, ia măsuri tehnice, operaționale și organizatorice adecvate și proporționale pentru a gestiona riscurile de securitate cibernetică identificate în temeiul cadrului și pentru a preveni sau a reduce la minimum impactul incidentelor. Ținând seama de stadiul actual al tehnologiei și, după caz, de standardele europene și internaționale relevante, măsurile respective asigură un nivel de securitate a rețelelor și a sistemelor informatice în întregul mediu TIC proporțional cu riscurile de securitate cibernetică existente. Atunci când se evaluează proporționalitatea măsurilor respective, se ține seama în mod corespunzător de gradul de expunere a entității Uniunii la riscuri de securitate cibernetică, de dimensiunea sa, de probabilitatea producerii unor incidente și de gravitatea acestora, inclusiv de impactul lor societal, economic și interinstituțional.
(2) Entitățile Uniunii abordează cel puțin următoarele domenii în punerea în aplicare a măsurilor de gestionare a riscurilor de securitate cibernetică:
| (a) | politica în materie de securitate cibernetică, inclusiv măsurile necesare pentru atingerea obiectivelor și priorităților menționate la articolul 6 și la alineatul (3) de la prezentul articol; |
| (b) | politicile privind analiza riscurilor de securitate cibernetică și securitatea sistemelor informatice; |
| (c) | obiectivele de politică privind utilizarea serviciilor de cloud computing; |
| (d) | auditul de securitate cibernetică, după caz, care poate include o evaluare a riscurilor de securitate cibernetică, a vulnerabilității și a amenințărilor cibernetice, precum și teste de penetrare efectuate periodic de un furnizor privat de încredere; |
| (e) | punerea în aplicare a recomandărilor rezultate în urma auditurilor de securitate cibernetică menționate la litera (d) prin intermediul actualizărilor securității cibernetice și ale politicilor; |
| (f) | organizarea securității cibernetice, inclusiv stabilirea rolurilor și a responsabilităților; |
| (g) | gestionarea activelor, inclusiv inventarul activelor TIC și cartografierea rețelelor TIC; |
| (h) | securitatea resurselor umane și controlul accesului; |
| (i) | securitatea operațiunilor; |
| (j) | securitatea comunicațiilor; |
| (k) | achiziționarea, dezvoltarea și întreținerea de sisteme, inclusiv politicile privind gestionarea și divulgarea vulnerabilităților; |
| (l) | acolo unde este posibil, politicile privind transparența codului-sursă; |
| (m) | securitatea lanțului de aprovizionare, inclusiv aspectele legate de securitate referitoare la relațiile dintre fiecare entitate a Uniunii și furnizorii sau prestatorii de servicii direcți ai acesteia; |
| (n) | gestionarea incidentelor și cooperarea cu CERT-UE, cum ar fi monitorizarea și jurnalizarea evenimentelor de securitate; |
| (o) | gestionarea continuității activității, de exemplu gestionarea copiilor de rezervă și recuperarea în caz de dezastru, precum și gestionarea crizelor; precum și |
| (p) | promovarea și dezvoltarea unor programe de educație, competențe, sensibilizare, exerciții și formare în materie de securitate cibernetică. |
În sensul primului paragraf litera (m), entitățile Uniunii iau în considerare vulnerabilitățile specifice fiecărui furnizor și prestator de servicii direct, precum și calitatea generală a produselor și a practicilor în materie de securitate cibernetică ale furnizorilor și prestatorilor lor de servicii, inclusiv procedurile lor securizate de dezvoltare.
(3) Entitățile Uniunii iau cel puțin următoarele măsuri specifice de gestionare a riscurilor de securitate cibernetică:
| (a) | măsuri tehnice pentru a permite și a susține telemunca; |
| (b) | măsuri concrete pentru trecerea la principiile de încredere zero; |
| (c) | utilizarea autentificării multifactor ca normă pentru toate rețelele și sistemele informatice; |
| (d) | utilizarea criptografiei și a criptării, în special a criptării de la un capăt la altul, precum și a semnăturilor digitale securizate; |
| (e) | după caz, comunicații securizate de voce, video și text, precum și sisteme securizate de comunicații de urgență în entitatea Uniunii; |
| (f) | măsuri proactive pentru detectarea și eliminarea programelor malware și spyware; |
| (g) | asigurarea securității lanțului de aprovizionare cu software prin criterii de dezvoltare și evaluare securizată a software-ului; |
| (h) | stabilirea și adoptarea unor programe de formare privind securitatea cibernetică, proporționale cu sarcinile prevăzute și cu capacitățile preconizate pentru cel mai înalt nivel de conducere și pentru membrii personalului entității Uniunii însărcinați cu asigurarea punerii în aplicare eficace a prezentului regulament; |
| (i) | formarea periodică a membrilor personalului în materie de securitate cibernetică; |
| (j) | după caz, participarea la analizele de risc privind interconectivitatea între entitățile Uniunii; |
| (k) | consolidarea normelor privind achizițiile publice pentru a facilita un nivel comun ridicat de securitate cibernetică prin:
|
Articolul 14
Orientări, recomandări și apeluri la acțiune
(1) CERT-UE sprijină punerea în aplicare a prezentului regulament prin adoptarea unor:
| (a) | apeluri la acțiune care descriu măsurile urgente de securitate pe care entitățile Uniunii sunt invitate să le adopte într-un termen stabilit; |
| (b) | propuneri de orientări, transmise IICB, care se adresează tuturor entităților Uniunii sau doar unei părți a acestora; |
| (c) | propuneri de recomandări, transmise IICB, care se adresează entităților individuale ale Uniunii. |
În ceea ce privește primul paragraf litera (a), entitatea Uniunii în cauză informează CERT-UE, fără întârzieri nejustificate după primirea apelului la acțiune, cu privire la modul în care au fost aplicate măsurile de securitate urgente.
(2) Orientările și recomandările pot include:
| (a) | metodologii comune și un model pentru evaluarea maturității în materie de securitate cibernetică a entităților Uniunii, inclusiv baremele sau indicatorii-cheie de performanță corespunzători, care să servească drept referință în sprijinul îmbunătățirii continue a securității cibernetice în toate entitățile Uniunii și să faciliteze stabilirea priorităților în domeniile și măsurile de securitate cibernetică, ținând cont de poziția entităților în materie de securitate cibernetică; |
| (b) | modalități sau îmbunătățiri ale gestionării riscurilor de securitate cibernetică și ale măsurilor de gestionare a riscurilor de securitate cibernetică; |
| (c) | acorduri de evaluare a nivelului maturității securității cibernetice și de elaborare a planurilor de securitate cibernetică; |
| (d) | după caz, utilizarea tehnologiei și a arhitecturii comune, din sursă deschisă, precum și a bunelor practici asociate în scopul realizării interoperabilității și a standardelor comune, inclusiv o abordare coordonată privind securitatea lanțului de aprovizionare; |
| (e) | după caz, informații pentru a facilita utilizarea instrumentelor de achiziții publice comune pentru achiziționarea de servicii și produse de securitate cibernetică relevante de la furnizori terți; |
| (f) | acorduri privind schimbul de informații în temeiul articolului 20. |
whereas