keyboard_tab Cyber Resilience Act 2023/2841 SK
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Článok 8 Opatrenia na riadenie kybernetickobezpečnostných rizík
- 1 Článok 14 Usmernenia, odporúčania a výzvy na činnosť
KAPITOLA I
VŠEOBECNÉ USTANOVENIA
KAPITOLA II
OPATRENIA NA ZABEZPEČENIE VYSOKEJ SPOLOČNEJ ÚROVNE KYBERNETICKEJ BEZPEČNOSTI
KAPITOLA III
MEDZIINŠTITUCIONÁLNA RADA PRE KYBERNETICKÚ BEZPEČNOSŤ
KAPITOLA IV
CERT-EU
KAPITOLA V
SPOLUPRÁCA A OZNAMOVACIE POVINNOSTI
KAPITOLA VI
ZÁVEREČNÉ USTANOVENIA
- bezpečnosti 32
- kybernetickej 26
- Únie 24
- vrátane 16
- riadenie 15
- kybernetickobezpečnostných 15
- rizík 14
- opatrenia 12
- služieb 11
- prípadoch 10
- v oblasti 10
- opatrení 8
- bezpečnosť 8
- alebo 8
- incidentov 6
- úrovne 6
- softvéru 6
- subjektu 6
- systémov 6
- prostredníctvom 6
- normy 5
- tieto 5
- dodávateľského 5
- reťazca 5
- ktoré 5
- subjekty 5
- tohto 5
- aspoň 4
- zmluvných 4
- subjektom 4
- komunikácie 4
- v náležitých 4
- sietí 4
- a informačných 4
- bezpečného 4
- vývoja 4
- kybernetickobezpečnostným 4
- rizikám 4
- systému 4
- medzi 4
- zavedenie 4
- zásady 4
- najvyššej 4
- dosiahnutie 4
- poskytovateľmi 4
- používanie 4
- a kybernetických 4
- incidenty 4
- uvedených 4
- napríklad 4
Článok 8
Opatrenia na riadenie kybernetickobezpečnostných rizík
1. Bez zbytočného odkladu a v každom prípade do 8. septembra 2025 prijme každý subjekt Únie pod dohľadom svojho manažmentu najvyššej úrovne vhodné a primerané technické, prevádzkové a organizačné opatrenia na riadenie kybernetickobezpečnostných rizík identifikovaných prostredníctvom rámca a na predchádzanie incidentom alebo minimalizáciu ich následkov. S ohľadom na najnovšie a v náležitých prípadoch relevantné európske a medzinárodné normy sa uvedenými opatreniami zabezpečí úroveň bezpečnosti sietí a informačných systémov v celom prostredí IKT zodpovedajúca identifikovaným kybernetickobezpečnostným rizikám. Pri posudzovaní primeranosti týchto opatrení sa náležite zohľadní stupeň vystavenia subjektu Únie kybernetickobezpečnostným rizikám, jeho veľkosť a pravdepodobnosť výskytu incidentov a ich závažnosť vrátane ich spoločenského, hospodárskeho a medziinštitucionálneho vplyvu.
2. Pri vykonávaní opatrení na riadenie kybernetickobezpečnostných rizík sa subjekty Únie zameriavajú aspoň na tieto oblasti:
a) | politiku kybernetickej bezpečnosti vrátane opatrení potrebných na dosiahnutie cieľov a priorít uvedených v článku 6 a v odseku 3 tohto článku; |
b) | zásady analýzy kybernetickobezpečnostných rizík a bezpečnosti informačných systémov; |
c) | ciele politiky týkajúce sa využívania služieb cloud computingu; |
d) | v náležitých prípadoch audit kybernetickej bezpečnosti, ktorý môže zahŕňať posúdenie kybernetickobezpečnostných rizík, zraniteľností a kybernetických hrozieb, a penetračné testovanie, ktoré pravidelne vykonáva dôveryhodný súkromný poskytovateľ; |
e) | vykonávanie odporúčaní vyplývajúcich z auditov kybernetickej bezpečnosti uvedených v písmene d) prostredníctvom aktualizácií kybernetickej bezpečnosti a politiky; |
f) | organizáciu kybernetickej bezpečnosti vrátane vymedzenia úloh a povinností; |
g) | správu aktív vrátane inventára aktív IKT a kartografie sietí IKT; |
h) | bezpečnosť ľudských zdrojov a kontrolu prístupu; |
i) | bezpečnosť operácií; |
j) | komunikačnú bezpečnosť; |
k) | nadobudnutie, vývoj a údržbu systému vrátane zásad riešenia a zverejňovania zraniteľností; |
l) | ak je to možné, zásady transparentnosti zdrojového kódu; |
m) | bezpečnosť dodávateľského reťazca vrátane bezpečnostných aspektov týkajúcich sa vzťahov medzi každým subjektom Únie a jeho priamymi dodávateľmi alebo poskytovateľmi služieb; |
n) | riešenie incidentov a spoluprácu s CERT-EU, ako je napríklad údržba monitorovania bezpečnosti a logovania; |
o) | riadenie kontinuity činností, ako je napríklad riadenie zálohovania a obnova systému po havárii, a krízové riadenie; a |
p) | propagáciu a vývoj programov, pokiaľ ide o vzdelávanie, nadobúdanie zručností, zvyšovanie informovanosti, cvičenia a odbornú prípravu v oblasti kybernetickej bezpečnosti. |
Na účely prvého pododseku písm. m) subjekty Únie zohľadňujú zraniteľnosti špecifické pre každého priameho dodávateľa a poskytovateľa služieb a celkovú kvalitu produktov a postupy ich dodávateľov a poskytovateľov služieb v oblasti kybernetickej bezpečnosti vrátane ich postupov bezpečného vývoja.
3. Subjekty Únie prijmú aspoň tieto opatrenia na riadenie kybernetickobezpečnostných rizík:
a) | technické opatrenia na umožnenie a udržanie telepráce; |
b) | konkrétne kroky na prechod k zásadám nulovej dôvery; |
c) | používanie dvojstupňovej autentifikácie ako normy v sieťach a informačných systémoch; |
d) | používanie kryptografie a šifrovania, najmä šifrovania bez medzifáz, ako aj bezpečných digitálnych podpisov; |
e) | v náležitých prípadoch zavedenie zabezpečenej hlasovej, video a textovej komunikácie a zabezpečených systémov tiesňovej komunikácie v rámci subjektu Únie; |
f) | proaktívne opatrenia na odhaľovanie a odstraňovanie malvéru a špionážneho softvéru; |
g) | zavedenie bezpečnosti dodávateľského reťazca softvéru prostredníctvom kritérií bezpečného vývoja a hodnotenia softvéru; |
h) | vypracovanie a schválenie učebných plánov odbornej prípravy v oblasti kybernetickej bezpečnosti zodpovedajúce predpísaným úlohám a očakávaným spôsobilostiam manažmentu najvyššej úrovne a zamestnancov subjektu Únie poverených zaistením účinného vykonávania tohto nariadenia; |
i) | pravidelná odborná príprava zamestnancov v oblasti kybernetickej bezpečnosti; |
j) | v relevantných prípadoch účasť na analýzach rizík prepojení medzi subjektmi Únie; |
k) | posilnenie pravidiel obstarávania s cieľom uľahčiť dosiahnutie vysokej spoločnej úrovne kybernetickej bezpečnosti prostredníctvom:
|
Článok 8
Opatrenia na riadenie kybernetickobezpečnostných rizík
1. Bez zbytočného odkladu a v každom prípade do 8. septembra 2025 prijme každý subjekt Únie pod dohľadom svojho manažmentu najvyššej úrovne vhodné a primerané technické, prevádzkové a organizačné opatrenia na riadenie kybernetickobezpečnostných rizík identifikovaných prostredníctvom rámca a na predchádzanie incidentom alebo minimalizáciu ich následkov. S ohľadom na najnovšie a v náležitých prípadoch relevantné európske a medzinárodné normy sa uvedenými opatreniami zabezpečí úroveň bezpečnosti sietí a informačných systémov v celom prostredí IKT zodpovedajúca identifikovaným kybernetickobezpečnostným rizikám. Pri posudzovaní primeranosti týchto opatrení sa náležite zohľadní stupeň vystavenia subjektu Únie kybernetickobezpečnostným rizikám, jeho veľkosť a pravdepodobnosť výskytu incidentov a ich závažnosť vrátane ich spoločenského, hospodárskeho a medziinštitucionálneho vplyvu.
2. Pri vykonávaní opatrení na riadenie kybernetickobezpečnostných rizík sa subjekty Únie zameriavajú aspoň na tieto oblasti:
a) | politiku kybernetickej bezpečnosti vrátane opatrení potrebných na dosiahnutie cieľov a priorít uvedených v článku 6 a v odseku 3 tohto článku; |
b) | zásady analýzy kybernetickobezpečnostných rizík a bezpečnosti informačných systémov; |
c) | ciele politiky týkajúce sa využívania služieb cloud computingu; |
d) | v náležitých prípadoch audit kybernetickej bezpečnosti, ktorý môže zahŕňať posúdenie kybernetickobezpečnostných rizík, zraniteľností a kybernetických hrozieb, a penetračné testovanie, ktoré pravidelne vykonáva dôveryhodný súkromný poskytovateľ; |
e) | vykonávanie odporúčaní vyplývajúcich z auditov kybernetickej bezpečnosti uvedených v písmene d) prostredníctvom aktualizácií kybernetickej bezpečnosti a politiky; |
f) | organizáciu kybernetickej bezpečnosti vrátane vymedzenia úloh a povinností; |
g) | správu aktív vrátane inventára aktív IKT a kartografie sietí IKT; |
h) | bezpečnosť ľudských zdrojov a kontrolu prístupu; |
i) | bezpečnosť operácií; |
j) | komunikačnú bezpečnosť; |
k) | nadobudnutie, vývoj a údržbu systému vrátane zásad riešenia a zverejňovania zraniteľností; |
l) | ak je to možné, zásady transparentnosti zdrojového kódu; |
m) | bezpečnosť dodávateľského reťazca vrátane bezpečnostných aspektov týkajúcich sa vzťahov medzi každým subjektom Únie a jeho priamymi dodávateľmi alebo poskytovateľmi služieb; |
n) | riešenie incidentov a spoluprácu s CERT-EU, ako je napríklad údržba monitorovania bezpečnosti a logovania; |
o) | riadenie kontinuity činností, ako je napríklad riadenie zálohovania a obnova systému po havárii, a krízové riadenie; a |
p) | propagáciu a vývoj programov, pokiaľ ide o vzdelávanie, nadobúdanie zručností, zvyšovanie informovanosti, cvičenia a odbornú prípravu v oblasti kybernetickej bezpečnosti. |
Na účely prvého pododseku písm. m) subjekty Únie zohľadňujú zraniteľnosti špecifické pre každého priameho dodávateľa a poskytovateľa služieb a celkovú kvalitu produktov a postupy ich dodávateľov a poskytovateľov služieb v oblasti kybernetickej bezpečnosti vrátane ich postupov bezpečného vývoja.
3. Subjekty Únie prijmú aspoň tieto opatrenia na riadenie kybernetickobezpečnostných rizík:
a) | technické opatrenia na umožnenie a udržanie telepráce; |
b) | konkrétne kroky na prechod k zásadám nulovej dôvery; |
c) | používanie dvojstupňovej autentifikácie ako normy v sieťach a informačných systémoch; |
d) | používanie kryptografie a šifrovania, najmä šifrovania bez medzifáz, ako aj bezpečných digitálnych podpisov; |
e) | v náležitých prípadoch zavedenie zabezpečenej hlasovej, video a textovej komunikácie a zabezpečených systémov tiesňovej komunikácie v rámci subjektu Únie; |
f) | proaktívne opatrenia na odhaľovanie a odstraňovanie malvéru a špionážneho softvéru; |
g) | zavedenie bezpečnosti dodávateľského reťazca softvéru prostredníctvom kritérií bezpečného vývoja a hodnotenia softvéru; |
h) | vypracovanie a schválenie učebných plánov odbornej prípravy v oblasti kybernetickej bezpečnosti zodpovedajúce predpísaným úlohám a očakávaným spôsobilostiam manažmentu najvyššej úrovne a zamestnancov subjektu Únie poverených zaistením účinného vykonávania tohto nariadenia; |
i) | pravidelná odborná príprava zamestnancov v oblasti kybernetickej bezpečnosti; |
j) | v relevantných prípadoch účasť na analýzach rizík prepojení medzi subjektmi Únie; |
k) | posilnenie pravidiel obstarávania s cieľom uľahčiť dosiahnutie vysokej spoločnej úrovne kybernetickej bezpečnosti prostredníctvom:
|
Článok 14
Usmernenia, odporúčania a výzvy na činnosť
1. CERT-EU podporuje vykonávanie tohto nariadenia vydávaním:
a) | výziev na činnosť s opisom naliehavých bezpečnostných opatrení, v ktorých sa subjekty Únie naliehavo vyzývajú, aby tieto opatrenia prijali v stanovenej lehote; |
b) | návrhov usmernení pre IICB adresovaných všetkým subjektom Únie alebo ich časti; |
c) | návrhov odporúčaní pre IICB adresovaných jednotlivým subjektom Únie. |
Pokiaľ ide o prvý pododsek písm. a), dotknutý subjekt Únie bez zbytočného odkladu po prijatí výzvy na činnosť informuje CERT-EU o tom, ako vykonal naliehavé bezpečnostné opatrenia.
2. Usmernenia a odporúčania môžu zahŕňať:
a) | spoločné metodiky a model posudzovania vyspelosti v oblasti kybernetickej bezpečnosti subjektov Únie vrátane zodpovedajúcich stupníc alebo kľúčových ukazovateľov výkonnosti, ktoré slúžia ako referencia na podporu neustáleho zlepšovania kybernetickej bezpečnosti naprieč subjektmi Únie a uľahčujú uprednostňovanie kybernetickobezpečnostných oblastí a opatrení s prihliadnutím na stav kybernetickej bezpečnosti subjektov; |
b) | postupy alebo zlepšenia týkajúce sa riadenia kybernetickobezpečnostných rizík alebo opatrení na riadenie kybernetickobezpečnostných rizík; |
c) | postupy týkajúce sa posudzovania vyspelosti v oblasti kybernetickej bezpečnosti a plánov kybernetickej bezpečnosti; |
d) | vo vhodných prípadoch využívanie spoločných technológií, architektúry, otvoreného zdrojového kódu a súvisiacich najlepších postupov s cieľom dosiahnuť interoperabilitu a spoločné normy vrátane koordinovaného prístupu k bezpečnosti dodávateľského reťazca; |
e) | vo vhodných prípadoch informácie na umožnenie využívania nástrojov spoločného obstarávania na nákup príslušných služieb a produktov kybernetickej bezpečnosti od dodávateľov, ktorí sú tretími stranami; |
f) | dohody o zdieľaní informácií podľa článku 20. |
whereas