keyboard_tab Cyber Resilience Act 2023/2841 RO
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Articolul 1 Obiect
- 1 Articolul 5 Punerea în aplicare a măsurilor
- 1 Articolul 6 Cadrul de gestionare, guvernanță și control al riscurilor de securitate cibernetică
- 1 Articolul 9 Planuri de securitate cibernetică
- 1 Articolul 11 Sarcinile IICB
- 5 Articolul 12 Respectarea dispozițiilor
- 2 Articolul 17 Cooperarea CERT-UE cu omologii din statele membre
- 1 Articolul 20 Acorduri privind schimbul de informații în materie de securitate cibernetică
- 3 Articolul 21 Obligații de raportare
- 1 Articolul 22 Coordonarea răspunsului la incidente și cooperarea
CAPITOLUL I
DISPOZIȚII GENERALE
CAPITOLUL II
MĂSURI PENTRU UN NIVEL COMUN RIDICAT DE SECURITATE CIBERNETICĂ
CAPITOLUL III
CONSILIUL INTERINSTITUȚIONAL PENTRU SECURITATE CIBERNETICĂ
CAPITOLUL IV
CERT-UE
CAPITOLUL V
OBLIGAȚII DE COOPERARE ȘI DE RAPORTARE
CAPITOLUL VI
DISPOZIȚII FINALE
- uniunii 114
- cibernetică 70
- cert-ue 59
- securitate 58
- care 49
- pentru 43
- privind 31
- temeiul 30
- articolul 28
- entitățile 23
- regulament 22
- articolului 22
- entitatea 21
- entității 20
- informații 20
- aplicare 19
- unui 19
- cauză 18
- fără 18
- iicb 18
- cibernetice 18
- este 18
- prezentului 17
- nivel 17
- după 17
- orice 16
- unei 16
- incidente 15
- european 15
- ue / 14
- incident 14
- poate 14
- către 14
- gestionare 14
- nr / 13
- cazul 13
- entitate 13
- riscurilor 13
- punerea 12
- precum 12
- inclusiv 12
- măsuri 12
- partea 11
- materie 11
- orientări 11
- nejustificate 11
- întârzieri 11
- securitatea 11
- incidentele 11
- consiliului 11
Articolul 1
Obiect
Prezentul regulament stabilește măsuri care vizează atingerea unui nivel comun ridicat de securitate cibernetică în entitățile Uniunii în ceea ce privește:
| (a) | instituirea de către fiecare entitate a Uniunii a unui cadru intern de gestionare, guvernanță și control al riscurilor de securitate cibernetică în temeiul articolului 6; |
| (b) | gestionarea riscurilor de securitate cibernetică, raportarea și schimbul de informații; |
| (c) | organizarea, funcționarea și operarea Consiliului interinstituțional pentru securitate cibernetică instituit în temeiul articolului 10, precum și organizarea, funcționarea și operarea Serviciului de securitate cibernetică pentru instituțiile, organele, oficiile și agențiile Uniunii (CERT-UE); |
| (d) | monitorizarea punerii în aplicare a prezentului regulament. |
Articolul 5
Punerea în aplicare a măsurilor
(1) Până la 8 septembrie 2024, Consiliul interinstituțional pentru securitate cibernetică instituit în temeiul articolului 10, după consultarea Agenției Uniunii Europene pentru Securitate Cibernetică (ENISA) și după primirea de orientări din partea CERT-UE, emite orientări pentru entitățile Uniunii în scopul efectuării unei analize inițiale a securității cibernetice și al instituirii unui cadru intern de gestionare, guvernanță și control al riscurilor de securitate cibernetică în temeiul articolului 6, al efectuării unor evaluări ale maturității în materie de securitate cibernetică în temeiul articolului 7, al luării unor măsuri de gestionare a riscurilor de securitate cibernetică în temeiul articolului 8, precum și al adoptării planului de securitate cibernetică în temeiul articolului 9.
(2) La punerea în aplicare a articolelor 6-9, entitățile Uniunii țin seama de orientările menționate la alineatul (1) de la prezentul articol, precum și de orientările și recomandările relevante adoptate în temeiul articolelor 11 și 14.
Articolul 6
Cadrul de gestionare, guvernanță și control al riscurilor de securitate cibernetică
(1) Până la 8 aprilie 2025, fiecare entitate a Uniunii, după efectuarea unei analize inițiale a securității cibernetice, cum ar fi un audit, instituie un cadru intern de gestionare, guvernanță și control al riscurilor de securitate cibernetică (denumit în continuare „cadrul”). Instituirea cadrului se află sub supravegherea și responsabilitatea celui mai înalt nivel de conducere al entității Uniunii.
(2) Cadrul acoperă întregul mediu TIC neclasificat al entității Uniunii în cauză, inclusiv orice mediu TIC de la fața locului, rețea tehnologică operațională, active și servicii externalizate în medii de cloud computing sau găzduite de părți terțe, dispozitive mobile, rețele corporative, rețele organizaționale care nu sunt conectate la internet și orice dispozitive conectate la aceste medii (mediul TIC). Cadrul se bazează pe o abordare care ia în considerare toate riscurile.
(3) Cadrul asigură un nivel ridicat de securitate cibernetică. Cadrul stabilește politici interne de securitate cibernetică, inclusiv obiective și priorități, pentru securitatea rețelelor și a sistemelor informatice, precum și rolurile și responsabilitățile personalului entității Uniunii însărcinat cu asigurarea punerii în aplicare eficace a prezentului regulament. Cadrul include, de asemenea, mecanisme de măsurare a eficacității punerii în aplicare.
(4) Cadrul este revizuit periodic, având în vedere evoluția riscurilor de securitate cibernetică, și cel puțin o dată la patru ani. După caz și în urma unei cereri din partea Consiliului interinstituțional pentru securitate cibernetică instituit în temeiul articolului 10, cadrul unei entități a Uniunii poate fi actualizat pe baza orientărilor CERT-UE privind incidentele identificate sau posibilele lacune observate în punerea în aplicare a prezentului regulament.
(5) Cel mai înalt nivel de conducere al fiecărei entități a Uniunii este responsabil cu punerea în aplicare a prezentului regulament și supraveghează respectarea de către organizația sa a obligațiilor legate de cadru.
(6) După caz și fără a aduce atingere responsabilității sale pentru punerea în aplicare a prezentului regulament, cel mai înalt nivel de conducere al fiecărei entități a Uniunii poate delega obligații specifice în temeiul prezentului regulament personalului cu funcții superioare de conducere în sensul articolului 29 alineatul (2) din Statutul funcționarilor sau altor funcționari de nivel echivalent, din entitatea Uniunii în cauză. Indiferent de astfel de delegări, cel mai înalt nivel de conducere poate fi tras la răspundere pentru încălcarea prezentului regulament de către entitatea Uniunii în cauză.
(7) Fiecare entitate a Uniunii dispune de mecanisme eficace pentru a se asigura că un procent adecvat din bugetul în domeniul TIC este cheltuit pentru securitatea cibernetică. La stabilirea acestui procent se ține seama în mod corespunzător de cadru.
(8) Fiecare entitate a Uniunii numește un responsabil local cu securitatea cibernetică sau o funcție echivalentă care acționează ca punct unic de contact în ceea ce privește toate aspectele securității cibernetice. Responsabilul local cu securitatea cibernetică facilitează punerea în aplicare a prezentului regulament și raportează periodic în mod direct celui mai înalt nivel de conducere cu privire la stadiul punerii în aplicare. Fără a aduce atingere faptului că responsabilul local cu securitatea cibernetică este punctul unic de contact în fiecare entitate a Uniunii, o entitate a Uniunii poate delega CERT-UE anumite sarcini ale responsabilului local cu securitatea cibernetică în ceea ce privește punerea în aplicare a prezentului regulament, pe baza unui acord privind nivelul serviciilor încheiat între entitatea Uniunii respectivă și CERT-UE, sau sarcinile respective pot fi partajate de mai multe entități ale Uniunii. În cazul în care aceste sarcini sunt delegate CERT-UE, Consiliul interinstituțional pentru securitate cibernetică instituit în temeiul articolului 10 decide dacă furnizarea serviciului respectiv urmează să facă parte dintre serviciile de referință ale CERT-UE, ținând seama de resursele umane și financiare ale entității Uniunii în cauză. Fiecare entitate a Uniunii comunică CERT-UE, fără întârzieri nejustificate, responsabilii locali cu securitatea cibernetică numiți și orice modificare ulterioară a numirilor.
CERT-UE întocmește și menține actualizată o listă a responsabililor locali cu securitatea cibernetică numiți.
(9) Personalul cu funcții superioare de conducere în sensul articolului 29 alineatul (2) din Statutul funcționarilor sau alți funcționari de nivel echivalent din fiecare entitate a Uniunii, precum și toți membrii relevanți ai personalului însărcinați cu punerea în aplicare a măsurilor de gestionare a riscurilor de securitate cibernetică și cu îndeplinirea obligațiilor prevăzute în prezentul regulament urmează periodic cursuri de formare specifice în vederea dobândirii unor cunoștințe și competențe suficiente pentru a înțelege și a evalua riscul în materie de securitate cibernetică și practicile de gestionare a securității cibernetice, precum și impactul acestora asupra operațiunilor entității Uniunii.
Articolul 9
Planuri de securitate cibernetică
(1) În urma încheierii evaluării maturității în materie de securitate cibernetică efectuate în temeiul articolului 7 și ținând seama de activele și riscurile de securitate cibernetică identificate în cadru, precum și de măsurile de gestionare a riscurilor de securitate cibernetică luate în temeiul articolului 8, cel mai înalt nivel de conducere al fiecărei entități a Uniunii aprobă un plan de securitate cibernetică fără întârzieri nejustificate și, în orice caz, până la 8 ianuarie 2026. Planul de securitate cibernetică vizează creșterea gradului de securitate cibernetică în ansamblu a entității Uniunii și contribuie, astfel, la îmbunătățirea unui nivel comun ridicat de securitate cibernetică în entitățile Uniunii. Planul de securitate cibernetică include cel puțin măsurile de gestionare a riscurilor de securitate cibernetică luate în temeiul articolului 8. Planul de securitate cibernetică se revizuiește o dată la doi ani, sau mai des dacă este necesar, în urma evaluărilor maturității în materie de securitate cibernetică efectuate în temeiul articolului 7 sau a oricărei revizuiri substanțiale a cadrului.
(2) Planul de securitate cibernetică include planul de gestionare a crizelor cibernetice al entității Uniunii pentru incidentele majore.
(3) Entitatea Uniunii transmite planul de securitate cibernetică finalizat Consiliului interinstituțional pentru securitate cibernetică instituit în temeiul articolului 10.
CAPITOLUL III
CONSILIUL INTERINSTITUȚIONAL PENTRU SECURITATE CIBERNETICĂ
Articolul 11
Sarcinile IICB
Când își exercită responsabilitățile, IICB, în special:
| (a) | oferă orientări șefului CERT-UE; |
| (b) | monitorizează și supraveghează efectiv punerea în aplicare a prezentului regulament și sprijină entitățile Uniunii în consolidarea securității lor cibernetice, inclusiv, după caz, solicitând rapoarte ad-hoc din partea entităților Uniunii și a CERT-UE; |
| (c) | în urma unei discuții strategice, adoptă o strategie multianuală privind creșterea nivelului de securitate cibernetică în entitățile Uniunii, o evaluează periodic și, în orice caz, o dată la cinci ani, dacă este necesar, o modifică; |
| (d) | stabilește metodologia și aspectele organizatorice pentru efectuarea evaluărilor inter pares voluntare de către entitățile Uniunii, cu scopul de a învăța din experiențele comune, de a consolida încrederea reciprocă, de a atinge un nivel comun ridicat de securitate cibernetică, precum și de a consolida capacitățile în materie de securitate cibernetică ale entităților Uniunii, asigurându-se că astfel de evaluări inter pares sunt efectuate de experți în materie de securitate cibernetică desemnați de o entitate a Uniunii diferită de entitatea Uniunii care este analizată și că metodologia se bazează pe articolul 19 din Directiva (UE) 2022/2555 și, după caz, este adaptată entităților Uniunii; |
| (e) | aprobă, pe baza unei propuneri din partea șefului CERT-UE, programul anual de lucru al CERT-UE și monitorizează implementarea acestuia; |
| (f) | aprobă, pe baza unei propuneri din partea șefului CERT-UE, catalogul de servicii al CERT-UE și orice actualizări ulterioare ale acestuia; |
| (g) | aprobă, pe baza unei propuneri din partea șefului CERT-UE, planificarea anuală a veniturilor și cheltuielilor, inclusiv a personalului, pentru activitățile CERT-UE; |
| (h) | aprobă, pe baza unei propuneri din partea șefului CERT-UE, modalitățile pentru acordurile privind nivelul serviciilor; |
| (i) | examinează și aprobă raportul anual întocmit de șeful CERT-UE, care acoperă activitățile și gestionarea fondurilor de către CERT-UE; |
| (j) | aprobă și monitorizează indicatorii cheie de performanță (KPI) pentru CERT-UE, stabiliți pe baza unei propuneri din partea șefului CERT-UE; |
| (k) | aprobă acordurile de cooperare, acordurile privind nivelul serviciilor sau contractele dintre CERT-UE și alte entități în temeiul articolului 18; |
| (l) | adoptă orientări și recomandări pe baza unei propuneri din partea CERT-UE în conformitate cu articolul 14 și încredințează CERT-UE sarcina să emită, să retragă sau să modifice o propunere de orientări sau recomandări sau un apel la acțiune; |
| (m) | instituie grupuri consultative tehnice cu sarcini specifice pentru a sprijini activitatea IICB, le aprobă mandatul și desemnează președinții acestor grupuri; |
| (n) | primește și evaluează documentele și rapoartele prezentate de entitățile Uniunii în temeiul prezentului regulament, cum ar fi evaluări ale nivelului de maturitate al securității cibernetice; |
| (o) | facilitează instituirea unui grup informal care să reunească responsabilii locali cu securitatea cibernetică ai entităților Uniunii, sprijinit de ENISA, în scopul de a face schimb de bune practici și de informații în legătură cu punerea în aplicare a prezentului regulament; |
| (p) | ținând cont de informațiile privind riscurile identificate în materie de securitate cibernetică și de lecțiile învățate oferite de CERT-UE, monitorizează caracterul adecvat al acordurilor de interconectivitate între mediile TIC ale entităților Uniunii și oferă consiliere cu privire la posibile îmbunătățiri; |
| (q) | stabilește un plan de gestionare a crizelor cibernetice pentru a sprijini, la nivel operațional, gestionarea coordonată a incidentelor majore care afectează entitățile Uniunii și pentru a contribui la schimbul periodic de informații relevante, în special în ceea ce privește impactul, gravitatea și posibilele modalități de atenuare a efectelor incidentelor majore; |
| (r) | coordonează adoptarea planurilor individuale de gestionare a crizelor cibernetice ale entităților Uniunii menționate la articolul 9 alineatul (2); |
| (s) | adoptă recomandări legate de securitatea lanțurilor de aprovizionare menționate la articolul 8 alineatul (2) primul paragraf litera (m), ținând cont de rezultatele evaluărilor coordonate la nivelul Uniunii ale riscurilor lanțurilor de aprovizionare critice menționate la articolul 22 din Directiva (UE) 2022/2555, pentru a sprijini entitățile Uniunii în adoptarea unor măsuri de securitate cibernetică eficace și proporționale de gestionare a riscurilor de securitate cibernetică. |
Articolul 12
Respectarea dispozițiilor
(1) În conformitate cu articolul 10 alineatul (2) și cu articolul 11, IICB monitorizează în mod eficace punerea în aplicare de către entitățile Uniunii a prezentului regulament și a orientărilor, a recomandărilor și a apelurilor la acțiune adoptate. IICB poate solicita entităților Uniunii informațiile sau documentele necesare în acest scop. În scopul adoptării unor măsuri de asigurare a conformității în temeiul prezentului articol, atunci când entitatea Uniunii în cauză este reprezentată direct în IICB, aceasta nu are drept de vot.
(2) În cazul în care constată că o entitate a Uniunii nu a pus în aplicare în mod efectiv prezentul regulament sau orientările, recomandările sau apelurile la acțiune emise în temeiul acestuia, IICB poate, fără a aduce atingere procedurilor interne ale entității Uniunii în cauză și după ce îi oferă entității Uniunii în cauză ocazia de a-și prezenta observațiile:
| (a) | să comunice entității Uniunii în cauză un aviz motivat despre lacunele constatate în punerea în aplicare a prezentului regulament; |
| (b) | să ofere, după consultarea CERT-UE, orientări entității Uniunii pentru a asigura conformitatea cu prezentul regulament a cadrului acesteia, a măsurilor de gestionare a riscurilor de securitate cibernetică, a planului de securitate cibernetică și a obligațiilor de raportare, într-o perioadă specificată; |
| (c) | să emită un avertisment în vederea remedierii deficiențelor identificate într-o perioadă specificată, inclusiv recomandări de modificare a măsurilor adoptate de entitatea Uniunii în cauză în temeiul prezentului regulament; |
| (d) | să emită o notificare motivată către entitatea Uniunii în cauză, în cazul în care deficiențele identificate într-un avertisment emis în temeiul literei (c) nu au fost abordate suficient în termenul specificat; |
| (e) | să emită:
|
| (f) | dacă este cazul, să informeze Curtea de Conturi, în limitele mandatului său, cu privire la presupusa neconformitate; |
| (g) | să emită o recomandare pentru toate statele membre și entitățile Uniunii de a implementa o suspendare temporară a fluxurilor de date către entitatea Uniunii în cauză. |
În sensul primului paragraf litera (c), audiența unui avertisment este restricționată în mod corespunzător, dacă este necesar, având în vedere riscul în materie de securitate cibernetică.
Avertismentele și recomandările emise în temeiul primului paragraf se adresează celui mai înalt nivel de conducere al entității Uniunii în cauză.
(3) În cazul în care IICB a adoptat măsuri în temeiul alineatului (2) primul paragraf literele (a)-(g), entitatea Uniunii în cauză oferă detalii ale măsurilor și acțiunilor întreprinse pentru a remedia presupusele deficiențe identificate de IICB. Entitatea Uniunii transmite aceste detalii într-un termen rezonabil care urmează să fie convenit cu IICB.
(4) În cazul în care consideră că există o încălcare persistentă a dispozițiilor prezentului regulament de către o entitate a Uniunii, care rezultă direct din acțiunile sau omisiunile unui funcționar sau ale unui alt agent al Uniunii, inclusiv la cel mai înalt nivel de conducere, IICB solicită entității Uniunii în cauză să ia măsurile corespunzătoare, solicitându-i inclusiv să adopte măsuri de natură disciplinară, în conformitate cu normele și procedurile prevăzute în Statutul funcționarilor Uniunii Europene și cu orice altă norme și proceduri aplicabile. În acest scop, IICB transferă informațiile necesare către entitatea Uniunii în cauză.
(5) În cazul în care entitățile Uniunii notifică faptul că nu sunt în măsură să respecte termenele-limită stabilite la articolul 6 alineatul (1) și la articolul 8 alineatul (1), IICB poate, în cazuri justificate în mod corespunzător, ținând cont de dimensiunea entității Uniunii, să autorizeze prelungirea acestor termene-limită.
CAPITOLUL IV
CERT-UE
Articolul 17
Cooperarea CERT-UE cu omologii din statele membre
(1) CERT-UE, fără întârzieri nejustificate, cooperează și face schimb de informații cu omologii naționali din statele membre, in special CSIRT desemnate sau stabilite în conformitate cu articolul 10 din Directiva (UE) 2022/2555, sau, după caz, autoritățile competente și punctele unice de contact menționate la articolul 8 din directiva respectivă, cu privire la incidente, amenințări cibernetice, vulnerabilități, incidente evitate la limită, la posibile contramăsuri, precum și la cele mai bune practici și la toate aspectele relevante pentru îmbunătățirea protecției mediilor TIC ale entităților Uniunii, inclusiv prin intermediul rețelei CSIRT menționate la articolul 15 din Directiva (UE) 2022/2555. CERT-UE sprijină Comisia în cadrul EU-CyCLONe stabilit în conformitate cu articolul 16 din Directiva (UE) 2022/2555 în ceea ce privește gestionarea coordonată a incidentelor și crizelor de securitate cibernetică de mare amploare.
(2) În cazul în care CERT-UE ia cunoștință de incidente semnificative care au loc pe teritoriul unui stat membru, acesta notifică fără întârziere omologilor relevanți din statul membru respectiv în conformitate cu alineatul (1).
(3) Cu condiția ca datele cu caracter personal să fie protejate în conformitate cu dreptul aplicabil al Uniunii privind protecția datelor, CERT-UE face schimb de informații relevante, fără întârzieri nejustificate, referitoare la incident cu omologii din statele membre pentru a facilita detectarea amenințărilor sau incidentelor cibernetice similare sau pentru a contribui la analiza unui incident, fără autorizarea entității Uniunii afectate. CERT-UE face schimb de informații referitoare la incidente care dezvăluie identitatea țintei incidentului numai în unul din următoarele cazuri:
| (a) | entitatea Uniunii afectată își dă consimțământul; |
| (b) | entitatea Uniunii nu își dă consimțământul, astfel cum se prevede la litera (a), dar publicarea identității entității Uniunii afectate ar crește probabilitatea ca incidentele din altă parte să fie evitate sau atenuate; |
| (c) | entitatea Uniunii afectată a făcut deja public faptul că a fost afectată. |
Deciziile de a face schimb de informații specifice incidentului care dezvăluie identitatea țintei incidentului în temeiul primului paragraf litera (b) sunt aprobate de șeful CERT-UE. Înainte de a emite o astfel de decizie, CERT-UE contactează în scris entitatea Uniunii afectată, explicând în mod clar modul în care divulgarea identității sale ar contribui la evitarea sau atenuarea incidentelor în altă parte. Șeful CERT-UE furnizează explicația și solicită în mod explicit entității Uniunii să precizeze dacă își dă consimțământul într-un termen stabilit. Șeful CERT-UE informează, de asemenea, entitatea Uniunii că, având în vedere explicația oferită, își rezervă dreptul de a divulga informațiile chiar și în absența consimțământului. Entitatea Uniunii afectată este informată înainte de divulgarea informațiilor.
Articolul 20
Acorduri privind schimbul de informații în materie de securitate cibernetică
(1) Entitățile Uniunii pot, în mod voluntar, să aducă la cunoștința CERT-UE și să-i furnizeze informații privind incidentele, amenințările cibernetice, incidentele evitate la limită și vulnerabilitățile care le afectează. CERT-UE se asigură că sunt disponibile mijloace eficiente de comunicare, cu un nivel ridicat de trasabilitate, confidențialitate și fiabilitate, în scopul de a facilita schimbul de informații cu entitățile Uniunii. Atunci când prelucrează notificările, CERT-UE poate acorda prioritate notificărilor obligatorii față de notificările voluntare. Fără a aduce atingere articolului 12, notificarea voluntară nu impune entității Uniunii care transmite informația nicio obligație suplimentară care nu i-ar fi revenit dacă nu ar fi transmis notificarea.
(2) Pentru a-și îndeplini misiunea și sarcinile încredințate în conformitate cu articolul 13, CERT-UE poate solicita entităților Uniunii să îi furnizeze informații din inventarele lor de sisteme TIC, inclusiv informații referitoare la amenințări cibernetice, incidente evitate la limită, vulnerabilități, indicatori de compromitere, alerte de securitate cibernetică și recomandări privind configurarea instrumentelor de securitate cibernetică pentru detectarea incidentelor cibernetice. Entitatea Uniunii care primește o astfel de solicitare transmite informațiile solicitate și orice modificare ulterioară a acestora, fără întârzieri nejustificate.
(3) CERT-UE poate face schimb de informații referitoare la incidente cu entitățile Uniunii care dezvăluie identitatea entității Uniunii afectate de incident, cu condiția ca entitatea respectivă a Uniunii să-și fi dat acordul. În cazul în care o entitate a Uniunii nu își dă consimțământul, aceasta furnizează CERT-UE motivele care justifică decizia respectivă.
(4) Entitățile Uniunii fac schimb, la cerere, de informații cu Parlamentul European și cu Consiliul cu privire la finalizarea planurilor de securitate cibernetică.
(5) IICB sau CERT-UE, după caz, fac schimb, la cerere, de orientări, recomandări și apeluri la acțiune cu Parlamentul European și cu Consiliul.
(6) Obligațiile de partajare prevăzute la prezentul articol nu se aplică:
| (a) | IUEC; |
| (b) | informațiilor a căror distribuție ulterioară a fost exclusă prin intermediul unui marcaj vizibil, cu excepția cazului în care schimbul acestora cu CERT-UE a fost permis în mod explicit. |
Articolul 21
Obligații de raportare
(1) Un incident este considerat a fi semnificativ dacă:
| (a) | a cauzat sau poate cauza perturbări operaționale grave în funcționarea entității Uniunii sau pierderi financiare pentru entitatea Uniunii în cauză; |
| (b) | a afectat sau poate afecta alte persoane fizice sau juridice, cauzând prejudicii materiale sau morale considerabile. |
(2) Entitățile Uniunii transmit CERT-UE:
| (a) | fără întârzieri nejustificate și, în orice caz, în termen de 24 de ore de la data la care au luat cunoștință de incidentul semnificativ, o avertizare timpurie, care, după caz, indică dacă există suspiciuni că incidentul semnificativ este cauzat de acțiuni ilegale sau răuvoitoare sau ar putea avea un impact în mai multe entități sau transfrontalier; |
| (b) | fără întârzieri nejustificate și, în orice caz, în termen de 72 de ore din momentul în care au luat cunoștință de incidentul semnificativ, o notificare a incidentului, care, după caz, actualizează informațiile menționate la litera (a) și prezintă o evaluare inițială a incidentului semnificativ, inclusiv a gravității și a impactului acestuia, precum și a indicatorilor de compromitere, dacă sunt disponibili; |
| (c) | la cererea CERT-UE, un raport intermediar privind actualizări relevante ale situației; |
| (d) | un raport final, în termen de cel mult o lună de la transmiterea notificării cu privire la incident în temeiul literei (b), care să includă următoarele elemente:
|
| (e) | în cazul unui incident în desfășurare la momentul prezentării raportului final menționat la litera (d), un raport privind progresele înregistrate și un raport final în termen de o lună de la gestionarea incidentului. |
(3) O entitate a Uniunii informează, fără întârzieri nejustificate și, în orice caz, în termen de 24 de ore de la data la care a luat cunoștință de un incident semnificativ, omologii relevanți din statele membre menționați la articolul 17 alineatul (1) din statul membru în care se află că s-a produs un incident semnificativ.
(4) Entitățile Uniunii notifică, printre altele, toate informațiile care permit CERT-UE să stabilească orice impact inter-entități, orice impact asupra statului membru gazdă sau orice impact transfrontalier în urma unui incident semnificativ. Fără a aduce atingere articolului 12, simpla notificare nu expune entitatea Uniunii la o răspundere sporită.
(5) După caz, entitățile Uniunii comunică, fără întârzieri nejustificate, utilizatorilor rețelei și ai sistemelor informatice afectate sau ai altor componente ale mediului TIC care ar putea fi afectate de un incident semnificativ sau de o amenințare cibernetică semnificativă și după caz, trebuie să ia măsuri de atenuare, orice măsuri sau măsuri corective pe care le pot lua ca răspuns la incidentul respectiv sau amenințarea respectivă. După caz, entitățile Uniunii informează utilizatorii respectivi despre amenințarea cibernetică semnificativă.
(6) În cazul în care un incident semnificativ sau o amenințare cibernetică semnificativă afectează o rețea și un sistem informatic sau o componentă a mediului TIC al unei entități a Uniunii care știe că este conectată la mediul TIC al unei alte entități a Uniunii, CERT-UE emite o alertă privind o amenințare cibernetică relevantă.
(7) Entitățile Uniunii, la cererea CERT-UE și fără întârzieri nejustificate, îi furnizează CERT-UE informații digitale create prin utilizarea dispozitivelor electronice implicate în incidentele respective. CERT-UE poate furniza detalii suplimentare privind tipurile de informații de care are nevoie pentru o cunoaștere detaliată a situației și pentru răspunsul la incidente.
(8) CERT-UE transmite IICB, ENISA, INTCEN UE și rețelei CSIRT, o dată la trei luni, un raport de sinteză care include date anonimizate și agregate privind incidentele semnificative, incidentele, amenințările cibernetice, incidentele evitate la limită și vulnerabilitățile în temeiul articolului 20 și incidentele semnificative notificate în temeiul alineatului (2) din prezentul articol. Raportul de sinteză reprezintă o contribuție la raportul bienal privind situația în materie de securitate cibernetică în Uniune, adoptat în temeiul articolului 18 din Directiva (UE) 2022/2555.
(9) Până la 8 iulie 2024, IICB emite orientări sau recomandări care aduc precizări suplimentare privind modalitățile și formatul și conținutul raportării în conformitate cu prezentul articol. Atunci când elaborează astfel de orientări sau recomandări, IICB ține seama de orice acte de punere în aplicare adoptate în temeiul articolului 23 alineatul (11) din Directiva (UE) 2022/2555 care precizează tipul de informații, formatul și procedura de notificare. CERT-UE difuzează detaliile tehnice adecvate pentru a permite detectarea proactivă, răspunsul la incidente sau adoptarea unor măsuri de atenuare de către entitățile Uniunii.
(10) Obligațiile de raportare prevăzute la prezentul articol nu se aplică:
| (a) | IUEC; |
| (b) | informațiilor a căror distribuție ulterioară a fost exclusă prin intermediul unui marcaj vizibil, cu excepția cazului în care schimbul acestora cu CERT-UE a fost permis în mod explicit. |
Articolul 22
Coordonarea răspunsului la incidente și cooperarea
(1) Acționând în calitate de centru de schimb de informații în materie de securitate cibernetică și de coordonare a răspunsului la incidente, CERT-UE facilitează schimbul de informații cu privire la incidente, amenințările cibernetice, vulnerabilități și incidente evitate la limită, între:
| (a) | entitățile Uniunii; |
| (b) | omologii menționați la articolele 17 și 18. |
(2) CERT-UE, după caz în strânsă cooperare cu ENISA, facilitează coordonarea între entitățile Uniunii în ceea ce privește răspunsul la incidente, inclusiv prin:
| (a) | contribuția la o comunicare externă coerentă; |
| (b) | sprijin reciproc, cum ar fi schimbul de informații relevante pentru entitățile Uniunii sau furnizarea de asistență, după caz, direct la fața locului; |
| (c) | utilizarea optimă a resurselor operaționale; |
| (d) | coordonarea cu alte mecanisme de răspuns la situații de criză la nivelul Uniunii. |
(3) În strânsă cooperare cu ENISA, CERT-UE sprijină entitățile Uniunii în ceea ce privește conștientizarea situației incidentelor, amenințărilor cibernetice, a vulnerabilităților și a incidentelor evitate la limită, precum și prin schimburile legate de cele mai recente evoluții în domeniul securității cibernetice.
(4) Până la 8 ianuarie 2025, pe baza unei propuneri din partea CERT-UE, IICB adoptă orientări sau recomandări privind coordonarea răspunsului la incidente și cooperarea în cazul incidentelor semnificative. În cazul în care se suspectează că un incident este de natură penală, CERT-UE furnizează orientări privind raportarea incidentului către autoritățile de aplicare a legii, fără întârzieri nejustificate.
(5) În urma unei cereri specifice din partea unui stat membru și cu aprobarea entităților Uniunii în cauză, CERT-UE poate apela la experți de pe lista menționată la articolul 23 alineatul (4) pentru a contribui la răspunsul la un incident major care are un impact în statul membru respectiv sau la un incident de securitate cibernetică de mare amploare în conformitate cu articolul 15 alineatul (3) litera (g) din Directiva (UE) 2022/2555. Normele specifice privind accesul și folosirea experților tehnici din entitățile Uniunii sunt aprobate de IICB pe baza unei propuneri a CERT-UE.
Articolul 26
Intrarea în vigoare
Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.
Adoptat la Strasbourg, 13 decembrie 2023.
Pentru Parlamentul European
Președinta
R. METSOLA
Pentru Consiliu
Președintele
P. NAVARRO RÍOS
(1) Poziția Parlamentului European din 21 noiembrie 2023 (nepublicată încă în Jurnalul Oficial) și Decizia Consiliului din 8 decembrie 2023.
(2) Directiva (UE) 2022/2555 a Parlamentului European și a Consiliului din 14 decembrie 2022 privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de modificare a Regulamentului (UE) nr. 910/2014 și a Directivei (UE) 2018/1972 și de abrogare a Directivei (UE) 2016/1148 (Directiva NIS 2) (JO L 333, 27.12.2022, p. 80).
(3) Regulamentul (UE) 2019/881 al Parlamentului European și al Consiliului din 17 aprilie 2019 privind ENISA (Agenția Uniunii Europene pentru Securitate Cibernetică) și privind certificarea securității cibernetice pentru tehnologia informației și comunicațiilor și de abrogare a Regulamentului (UE) nr. 526/2013 (Regulamentul privind securitatea cibernetică) (JO L 151, 7.6.2019, p. 15).
(4) Acordul dintre Parlamentul European, Consiliul European, Consiliul Uniunii Europene, Comisia Europeană, Curtea de Justiție a Uniunii Europene, Banca Centrală Europeană, Curtea de Conturi Europeană, Serviciul European de Acțiune Externă, Comitetul Economic și Social European, Comitetul European al Regiunilor și Banca Europeană de Investiții privind organizarea și funcționarea unui Centru de răspuns la incidente de securitate cibernetică pentru instituțiile, organismele și agențiile Uniunii (CERT-UE) (JO C 12, 13.1.2018, p. 1).
(5) Regulamentul (CEE, Euratom, CECO) nr. 259/68 al Consiliului din 29 februarie 1968 de stabilire a Statutului funcționarilor Comunităților Europene, precum și a Regimului aplicabil celorlalți agenți ai acestor comunități și de instituire a unor măsuri speciale tranzitorii aplicabile funcționarilor Comisiei (JO L 56, 4.3.1968, p. 1).
(6) Recomandarea (UE) 2017/1584 a Comisiei din 13 septembrie 2017 privind răspunsul coordonat la incidentele și crizele de securitate cibernetică de mare amploare (JO L 239, 19.9.2017, p. 36).
(7) Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39).
(8) JO C 258, 5.7.2022, p. 10.
(9) Regulamentul (UE, Euratom) 2018/1046 al Parlamentului European și al Consiliului din 18 iulie 2018 privind normele financiare aplicabile bugetului general al Uniunii, de modificare a Regulamentelor (UE) nr. 1296/2013, (UE) nr. 1301/2013, (UE) nr. 1303/2013, (UE) nr. 1304/2013, (UE) nr. 1309/2013, (UE) nr. 1316/2013, (UE) nr. 223/2014, (UE) nr. 283/2014 și a Deciziei nr. 541/2014/UE și de abrogare a Regulamentului (UE, Euratom) nr. 966/2012 (JO L 193, 30.7.2018, p. 1).
(10) Regulamentul (CE) nr. 1049/2001 al Parlamentului European și al Consiliului din 30 mai 2001 privind accesul public la documentele Parlamentului European, ale Consiliului și ale Comisiei (JO L 145, 31.5.2001, p. 43).
ELI: http://data.europa.eu/eli/reg/2023/2841/oj
ISSN 1977-0782 (electronic edition)