keyboard_tab Cyber Resilience Act 2023/2841 RO
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Articolul 1 Obiect
- 1 Articolul 9 Planuri de securitate cibernetică
- 1 Articolul 13 Misiunea și sarcinile CERT-UE
CAPITOLUL I
DISPOZIȚII GENERALE
CAPITOLUL II
MĂSURI PENTRU UN NIVEL COMUN RIDICAT DE SECURITATE CIBERNETICĂ
CAPITOLUL III
CONSILIUL INTERINSTITUȚIONAL PENTRU SECURITATE CIBERNETICĂ
CAPITOLUL IV
CERT-UE
CAPITOLUL V
OBLIGAȚII DE COOPERARE ȘI DE RAPORTARE
CAPITOLUL VI
DISPOZIȚII FINALE
- uniunii 30
- cibernetică 29
- securitate 28
- temeiul 14
- pentru 14
- entitățile 13
- care 11
- servicii 10
- cert-ue 8
- cert-ue 8
- poate 8
- informații 8
- articolului 8
- entităților 7
- materie 7
- iicb 6
- cibernetice 6
- articolul 6
- privind 6
- nivel 6
- inclusiv 5
- cooperare 5
- prezentului 5
- incidente 5
- regulament 5
- entități 5
- gestionare 5
- planul 5
- privire 5
- contribuie 4
- este 4
- aplicare 4
- ceea 4
- unor 4
- acorduri 4
- nivelul 4
- prin 4
- decât 4
- mediului 4
- securitatea 4
- dacă 4
- sprijină 4
- riscurilor 4
- asistență 4
- incidentele 3
- prealabilă 3
- entității 3
- cauză 3
- majore 3
- sale 3
Articolul 1
Obiect
Prezentul regulament stabilește măsuri care vizează atingerea unui nivel comun ridicat de securitate cibernetică în entitățile Uniunii în ceea ce privește:
| (a) | instituirea de către fiecare entitate a Uniunii a unui cadru intern de gestionare, guvernanță și control al riscurilor de securitate cibernetică în temeiul articolului 6; |
| (b) | gestionarea riscurilor de securitate cibernetică, raportarea și schimbul de informații; |
| (c) | organizarea, funcționarea și operarea Consiliului interinstituțional pentru securitate cibernetică instituit în temeiul articolului 10, precum și organizarea, funcționarea și operarea Serviciului de securitate cibernetică pentru instituțiile, organele, oficiile și agențiile Uniunii (CERT-UE); |
| (d) | monitorizarea punerii în aplicare a prezentului regulament. |
Articolul 9
Planuri de securitate cibernetică
(1) În urma încheierii evaluării maturității în materie de securitate cibernetică efectuate în temeiul articolului 7 și ținând seama de activele și riscurile de securitate cibernetică identificate în cadru, precum și de măsurile de gestionare a riscurilor de securitate cibernetică luate în temeiul articolului 8, cel mai înalt nivel de conducere al fiecărei entități a Uniunii aprobă un plan de securitate cibernetică fără întârzieri nejustificate și, în orice caz, până la 8 ianuarie 2026. Planul de securitate cibernetică vizează creșterea gradului de securitate cibernetică în ansamblu a entității Uniunii și contribuie, astfel, la îmbunătățirea unui nivel comun ridicat de securitate cibernetică în entitățile Uniunii. Planul de securitate cibernetică include cel puțin măsurile de gestionare a riscurilor de securitate cibernetică luate în temeiul articolului 8. Planul de securitate cibernetică se revizuiește o dată la doi ani, sau mai des dacă este necesar, în urma evaluărilor maturității în materie de securitate cibernetică efectuate în temeiul articolului 7 sau a oricărei revizuiri substanțiale a cadrului.
(2) Planul de securitate cibernetică include planul de gestionare a crizelor cibernetice al entității Uniunii pentru incidentele majore.
(3) Entitatea Uniunii transmite planul de securitate cibernetică finalizat Consiliului interinstituțional pentru securitate cibernetică instituit în temeiul articolului 10.
CAPITOLUL III
CONSILIUL INTERINSTITUȚIONAL PENTRU SECURITATE CIBERNETICĂ
Articolul 13
Misiunea și sarcinile CERT-UE
(1) Misiunea CERT-UE este de a contribui la securitatea mediului TIC neclasificat al entităților Uniunii, oferindu-le consiliere cu privire la securitatea cibernetică, oferindu-le asistență pentru prevenirea, detectarea, gestionarea și atenuarea incidentelor, răspunsul la acestea și redresarea în urma lor și acționând ca centru de schimb de informații în materie de securitate cibernetică și de coordonare a răspunsului la incidente pentru aceste entități.
(2) CERT-UE colectează, gestionează, analizează și face schimb de informații cu entitățile Uniunii cu privire la amenințări cibernetice, vulnerabilități și incidente legate de infrastructura TIC neclasificată. Acesta coordonează răspunsurile la incidente la nivel interinstituțional și la nivelul entităților Uniunii, inclusiv prin furnizarea de asistență operațională specializată sau prin coordonarea acesteia.
(3) CERT-UE îndeplinește următoarele sarcini pentru a asista entitățile Uniunii:
| (a) | le oferă sprijin la punerea în aplicare a prezentului regulament și contribuie la coordonarea punerii în aplicare a prezentului regulament prin intermediul măsurilor enumerate la articolul 14 alineatul (1) sau al rapoartelor ad-hoc solicitate de IICB; |
| (b) | oferă servicii CSIRT standard pentru entitățile Uniunii printr-un pachet de servicii de securitate cibernetică descrise în catalogul său de servicii (servicii de referință); |
| (c) | menține o rețea de omologi și parteneri pentru a sprijini serviciile, astfel cum se prevede la articolele 17 și 18; |
| (d) | aduce în atenția IICB orice problemă legată de punerea în aplicare a prezentului regulament și a orientărilor, recomandărilor și apelurilor la acțiune; |
| (e) | pe baza informațiilor menționate la alineatul (2), contribuie la conștientizarea situației amenințărilor la adresa securității cibernetice în Uniune în strânsă cooperare cu ENISA; |
| (f) | coordonează gestionarea incidentelor majore; |
| (g) | îndeplinește pentru entitățile Uniunii un rol echivalent celui de coordonator desemnat în scopul divulgării coordonate a vulnerabilităților în temeiul articolului 12 alineatul (1) din Directiva (UE) 2022/2555; |
| (h) | furnizează, la cererea unei entități a Uniunii, scanarea proactivă și neintruzivă a rețelelor și a sistemelor informatice accesibile publicului respectivei entități a Uniunii. |
Informațiile menționate la primul paragraf litera (e) se comunică IICB, rețelei CSIRT și Centrului de situații și de analiză a informațiilor al Uniunii Europene (INTCEN UE), dacă este cazul și în funcție de situație și sub rezerva unor condiții de confidențialitate adecvate.
(4) CERT-UE poate, în conformitate cu articolul 17 sau 18, după caz, să coopereze cu comunitățile relevante în materie de securitate cibernetică din Uniune și din statele sale membre, inclusiv în următoarele domenii:
| (a) | pregătirea, coordonarea în materie de incidente, schimbul de informații și răspunsul la situații de criză la nivel tehnic în cazurile legate de entitățile Uniunii; |
| (b) | cooperarea operațională privind rețeaua CSIRT, inclusiv în ceea ce privește asistența reciprocă; |
| (c) | informații privind amenințările cibernetice, inclusiv conștientizarea situației; |
| (d) | orice subiect care necesită expertiză tehnică în materie de securitate cibernetică din partea CERT-UE. |
(5) În limitele competențelor sale, CERT-UE desfășoară o cooperare structurată cu ENISA în ceea ce privește consolidarea capacităților, cooperarea operațională și analizele strategice pe termen lung ale amenințărilor cibernetice, în temeiul Regulamentului (UE) 2019/881. CERT-UE poate coopera și face schimb de informații cu Centrul european de combatere a criminalității informatice al Europol.
(6) CERT-UE poate furniza următoarele servicii care nu sunt descrise în catalogul său de servicii (servicii contra cost):
| (a) | servicii care sprijină securitatea cibernetică a mediului TIC al entităților Uniunii, altele decât cele menționate la alineatul (3), în temeiul unor acorduri privind nivelul serviciilor și sub rezerva resurselor disponibile, în special monitorizarea rețelelor cu spectru larg, inclusiv monitorizarea non-stop din prima linie pentru amenințările cibernetice grave; |
| (b) | servicii care sprijină operațiunile sau proiectele în materie de securitate cibernetică ale entităților Uniunii, altele decât cele care vizează protejarea mediului lor TIC, în temeiul unor acorduri scrise și cu aprobarea prealabilă a IICB; |
| (c) | la cerere, o scanare proactivă a rețelei și a sistemelor informatice ale entității Uniunii în cauză pentru a detecta vulnerabilitățile cu un impact potențial semnificativ; |
| (d) | servicii care sprijină securitatea mediului TIC furnizat altor organizații decât entitățile Uniunii, care cooperează îndeaproape cu entitățile Uniunii, de exemplu, cărora li s-au atribuit sarcini sau responsabilități în temeiul dreptului Uniunii, pe baza unor acorduri scrise și cu aprobarea prealabilă a IICB. |
În ceea ce privește primul alineat litera (d), CERT-EU poate, cu titlu excepțional, să încheie acorduri privind nivelul serviciilor cu alte entități decât entitățile Uniunii, cu aprobarea prealabilă a IICB.
(7) CERT-UE organizează și poate participa la exerciții de securitate cibernetică sau poate recomanda participarea la exercițiile existente, dacă este cazul în strânsă cooperare cu ENISA, pentru a testa nivelul de securitate cibernetică al entităților Uniunii.
(8) CERT-UE poate oferi entităților Uniunii asistență privind incidentele din rețele și din sistemele de informații care procesează IUEC dacă entitățile Uniunii în cauză îi solicită acest lucru în mod expres în conformitate cu procedurile lor respective. Furnizarea de asistență din partea CERT-UE în temeiul prezentului alineat nu aduce atingere normelor aplicabile privind protecția informațiilor clasificate.
(9) CERT-UE informează entitățile Uniunii cu privire la procedurile și procesele sale de gestionare a incidentelor.
(10) CERT-UE contribuie, cu un nivel ridicat de confidențialitate și fiabilitate, prin intermediul mecanismelor de cooperare și al liniilor de raportare adecvate, cu informații relevante și anonimizate cu privire la incidentele majore și la modul în care acestea au fost gestionate. Informațiile respective sunt incluse în raportul menționat la articolul 10 alineatul (14).
(11) CERT-EU, în cooperare cu AEPD, sprijină entitățile Uniunii în cauză atunci când abordează incidente care duc la încălcarea securității datelor cu caracter personal, fără a aduce atingere competenței și sarcinilor AEPD în calitate de autoritate de supraveghere în temeiul Regulamentului (UE) 2018/1725.
(12) La solicitarea explicită a departamentelor tematice ale entităților Uniunii, CERT-UE poate oferi consultanță sau sprijin tehnic cu privire la aspecte de politică relevante.
whereas