keyboard_tab Cyber Resilience Act 2023/2841 SK
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- Článok 1 Predmet úpravy
- Článok 2 Rozsah pôsobnosti
- Článok 3 Vymedzenie pojmov
- Článok 4 Spracúvanie osobných údajov
- Článok 5 Vykonávanie opatrení
- Článok 6 Rámec riadenia, správy a kontroly kybernetickobezpečnostných rizík
- Článok 7 Posúdenia vyspelosti v oblasti kybernetickej bezpečnosti
- Článok 8 Opatrenia na riadenie kybernetickobezpečnostných rizík
- Článok 9 Plány kybernetickej bezpečnosti
- Článok 10 Medziinštitucionálna rada pre kybernetickú bezpečnosť
- Článok 11 Úlohy IICB
- Článok 12 Dodržiavanie povinností
- Článok 13 Poslanie a úlohy CERT-EU
- Článok 14 Usmernenia, odporúčania a výzvy na činnosť
- Článok 15 Vedúci CERT-EU
- Článok 16 Finančné a personálne záležitosti
- Článok 17 Spolupráca CERT-EU s náprotivkami v členskom štáte
- Článok 18 Spolupráca CERT-EU s ostatnými náprotivkami
- Článok 19 Zaobchádzanie s informáciami
- Článok 20 Dohody o zdieľaní informácií o kybernetickej bezpečnosti
- Článok 21 Oznamovacie povinnosti
- Článok 22 Koordinácia a spolupráca v rámci reakcie na incidenty
- Článok 23 Riadenie závažných incidentov
- Článok 24 Počiatočné prerozdelenie rozpočtových prostriedkov
- Článok 25 Preskúmanie
- Článok 26 Nadobudnutie účinnosti
KAPITOLA I
VŠEOBECNÉ USTANOVENIA
KAPITOLA II
OPATRENIA NA ZABEZPEČENIE VYSOKEJ SPOLOČNEJ ÚROVNE KYBERNETICKEJ BEZPEČNOSTI
KAPITOLA III
MEDZIINŠTITUCIONÁLNA RADA PRE KYBERNETICKÚ BEZPEČNOSŤ
KAPITOLA IV
CERT-EU
KAPITOLA V
SPOLUPRÁCA A OZNAMOVACIE POVINNOSTI
KAPITOLA VI
ZÁVEREČNÉ USTANOVENIA
- bezpečnosti 13
- kybernetickej 10
- Únie 9
- vrátane 7
- riadenie 7
- kybernetickobezpečnostných 6
- rizík 6
- opatrenia 5
- služieb 5
- prípadoch 4
- v oblasti 4
- bezpečnosť 4
- prostredníctvom 3
- softvéru 3
- systémov 3
- úrovne 3
- incidentov 3
- subjektu 3
- opatrení 3
- v náležitých 2
- vývoja 2
- dosiahnutie 2
- používanie 2
- bezpečného 2
- zraniteľnosti 2
- normy 2
- aktív 2
- tieto 2
- systému 2
- subjekty 2
- sietí 2
- a informačných 2
- rizikám 2
- kybernetickobezpečnostným 2
- aspoň 2
- dodávateľského 2
- komunikácie 2
- technické 2
- incidenty 2
- poskytovateľmi 2
- a kybernetických 2
- uvedených 2
- napríklad 2
- manažmentu 2
- najvyššej 2
- zavedenie 2
- zásady 2
- medzi 2
- tohto 2
- ktoré 2
Článok 8
Opatrenia na riadenie kybernetickobezpečnostných rizík
1. Bez zbytočného odkladu a v každom prípade do 8. septembra 2025 prijme každý subjekt Únie pod dohľadom svojho manažmentu najvyššej úrovne vhodné a primerané technické, prevádzkové a organizačné opatrenia na riadenie kybernetickobezpečnostných rizík identifikovaných prostredníctvom rámca a na predchádzanie incidentom alebo minimalizáciu ich následkov. S ohľadom na najnovšie a v náležitých prípadoch relevantné európske a medzinárodné normy sa uvedenými opatreniami zabezpečí úroveň bezpečnosti sietí a informačných systémov v celom prostredí IKT zodpovedajúca identifikovaným kybernetickobezpečnostným rizikám. Pri posudzovaní primeranosti týchto opatrení sa náležite zohľadní stupeň vystavenia subjektu Únie kybernetickobezpečnostným rizikám, jeho veľkosť a pravdepodobnosť výskytu incidentov a ich závažnosť vrátane ich spoločenského, hospodárskeho a medziinštitucionálneho vplyvu.
2. Pri vykonávaní opatrení na riadenie kybernetickobezpečnostných rizík sa subjekty Únie zameriavajú aspoň na tieto oblasti:
a) | politiku kybernetickej bezpečnosti vrátane opatrení potrebných na dosiahnutie cieľov a priorít uvedených v článku 6 a v odseku 3 tohto článku; |
b) | zásady analýzy kybernetickobezpečnostných rizík a bezpečnosti informačných systémov; |
c) | ciele politiky týkajúce sa využívania služieb cloud computingu; |
d) | v náležitých prípadoch audit kybernetickej bezpečnosti, ktorý môže zahŕňať posúdenie kybernetickobezpečnostných rizík, zraniteľností a kybernetických hrozieb, a penetračné testovanie, ktoré pravidelne vykonáva dôveryhodný súkromný poskytovateľ; |
e) | vykonávanie odporúčaní vyplývajúcich z auditov kybernetickej bezpečnosti uvedených v písmene d) prostredníctvom aktualizácií kybernetickej bezpečnosti a politiky; |
f) | organizáciu kybernetickej bezpečnosti vrátane vymedzenia úloh a povinností; |
g) | správu aktív vrátane inventára aktív IKT a kartografie sietí IKT; |
h) | bezpečnosť ľudských zdrojov a kontrolu prístupu; |
i) | bezpečnosť operácií; |
j) | komunikačnú bezpečnosť; |
k) | nadobudnutie, vývoj a údržbu systému vrátane zásad riešenia a zverejňovania zraniteľností; |
l) | ak je to možné, zásady transparentnosti zdrojového kódu; |
m) | bezpečnosť dodávateľského reťazca vrátane bezpečnostných aspektov týkajúcich sa vzťahov medzi každým subjektom Únie a jeho priamymi dodávateľmi alebo poskytovateľmi služieb; |
n) | riešenie incidentov a spoluprácu s CERT-EU, ako je napríklad údržba monitorovania bezpečnosti a logovania; |
o) | riadenie kontinuity činností, ako je napríklad riadenie zálohovania a obnova systému po havárii, a krízové riadenie; a |
p) | propagáciu a vývoj programov, pokiaľ ide o vzdelávanie, nadobúdanie zručností, zvyšovanie informovanosti, cvičenia a odbornú prípravu v oblasti kybernetickej bezpečnosti. |
Na účely prvého pododseku písm. m) subjekty Únie zohľadňujú zraniteľnosti špecifické pre každého priameho dodávateľa a poskytovateľa služieb a celkovú kvalitu produktov a postupy ich dodávateľov a poskytovateľov služieb v oblasti kybernetickej bezpečnosti vrátane ich postupov bezpečného vývoja.
3. Subjekty Únie prijmú aspoň tieto opatrenia na riadenie kybernetickobezpečnostných rizík:
a) | technické opatrenia na umožnenie a udržanie telepráce; |
b) | konkrétne kroky na prechod k zásadám nulovej dôvery; |
c) | používanie dvojstupňovej autentifikácie ako normy v sieťach a informačných systémoch; |
d) | používanie kryptografie a šifrovania, najmä šifrovania bez medzifáz, ako aj bezpečných digitálnych podpisov; |
e) | v náležitých prípadoch zavedenie zabezpečenej hlasovej, video a textovej komunikácie a zabezpečených systémov tiesňovej komunikácie v rámci subjektu Únie; |
f) | proaktívne opatrenia na odhaľovanie a odstraňovanie malvéru a špionážneho softvéru; |
g) | zavedenie bezpečnosti dodávateľského reťazca softvéru prostredníctvom kritérií bezpečného vývoja a hodnotenia softvéru; |
h) | vypracovanie a schválenie učebných plánov odbornej prípravy v oblasti kybernetickej bezpečnosti zodpovedajúce predpísaným úlohám a očakávaným spôsobilostiam manažmentu najvyššej úrovne a zamestnancov subjektu Únie poverených zaistením účinného vykonávania tohto nariadenia; |
i) | pravidelná odborná príprava zamestnancov v oblasti kybernetickej bezpečnosti; |
j) | v relevantných prípadoch účasť na analýzach rizík prepojení medzi subjektmi Únie; |
k) | posilnenie pravidiel obstarávania s cieľom uľahčiť dosiahnutie vysokej spoločnej úrovne kybernetickej bezpečnosti prostredníctvom:
|
whereas