keyboard_tab Cyber Resilience Act 2023/2841 SK
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 6 Článok 6 Rámec riadenia, správy a kontroly kybernetickobezpečnostných rizík
- 1 Článok 7 Posúdenia vyspelosti v oblasti kybernetickej bezpečnosti
- 1 Článok 10 Medziinštitucionálna rada pre kybernetickú bezpečnosť
- 1 Článok 11 Úlohy IICB
- 1 Článok 12 Dodržiavanie povinností
- 2 Článok 13 Poslanie a úlohy CERT-EU
- 2 Článok 15 Vedúci CERT-EU
KAPITOLA I
VŠEOBECNÉ USTANOVENIA
KAPITOLA II
OPATRENIA NA ZABEZPEČENIE VYSOKEJ SPOLOČNEJ ÚROVNE KYBERNETICKEJ BEZPEČNOSTI
KAPITOLA III
MEDZIINŠTITUCIONÁLNA RADA PRE KYBERNETICKÚ BEZPEČNOSŤ
KAPITOLA IV
CERT-EU
KAPITOLA V
SPOLUPRÁCA A OZNAMOVACIE POVINNOSTI
KAPITOLA VI
ZÁVEREČNÉ USTANOVENIA
- Únie 90
- cert-eu 54
- iicb 39
- bezpečnosti 31
- alebo 27
- kybernetickej 27
- tohto 24
- nariadenia 24
- subjektu 23
- podľa 21
- služieb 19
- môže 18
- bezpečnosť 17
- jeho 17
- kybernetickú 16
- subjektov 15
- a to 15
- eÚ / 14
- subjekt 14
- v oblasti 14
- č / 14
- základe 13
- ktoré 13
- subjekty 12
- ods 11
- v súlade 11
- článku 11
- správy 11
- prípadoch 10
- subjektmi 10
- informácie 10
- iicb 9
- úrovne 9
- európskeho 9
- služby 9
- parlamentu 9
- cert-eu 9
- vrátane 9
- s cieľom 9
- subjektom 8
- Článok 8
- európskej 8
- dotknutého 8
- únie 8
- opatrení 8
- kybernetickobezpečnostných 8
- v článku 7
- údajov 7
- schvaľuje 7
- úrovni 7
Článok 6
Rámec riadenia, správy a kontroly kybernetickobezpečnostných rizík
1. Každý subjekt Únie po vykonaní počiatočného preskúmania kybernetickej bezpečnosti, ako je napríklad audit, zriadi do 8. apríla 2025 vnútorný rámec riadenia, správy a kontroly kybernetickobezpečnostných rizík (ďalej len „rámec“). Nad vytvorením rámca dohliada a zodpovedá zaň manažment najvyššej úrovne subjektu Únie.
2. Rámec sa vzťahuje na celé verejne prístupné prostredie IKT dotknutého subjektu Únie vrátane akéhokoľvek prostredia IKT v jeho priestoroch, siete prevádzkovej technológie v jeho priestoroch, externe zabezpečovaných aktív a služieb v prostrediach cloud computingu alebo služieb s hostingom tretích strán, mobilných zariadení, korporátnych sietí, podnikových sietí, ktoré nie sú pripojené k internetu, a akýchkoľvek zariadení pripojených k týmto prostrediam (ďalej len „prostredie IKT“). Rámec je založený na prístupe zohľadňujúcom všetky riziká.
3. Rámcom sa zabezpečí vysoká úroveň kybernetickej bezpečnosti. V rámci sa stanovujú vnútorné politiky kybernetickej bezpečnosti, vrátane cieľov a priorít, pre bezpečnosť sietí a informačných systémov, ako aj úlohy a povinnosti zamestnancov subjektu Únie poverených zabezpečením účinného vykonávania tohto nariadenia. Rámec zahŕňa aj mechanizmy na meranie účinnosti vykonávania.
4. Rámec sa vzhľadom na meniace sa kybernetickobezpečnostné riziká pravidelne preskúma, a to aspoň každé štyri roky. V náležitých prípadoch a po podaní žiadosti Medziinštitucionálnej rady pre kybernetickú bezpečnosť zriadenej podľa článku 10 možno rámec subjektu Únie aktualizovať na základe usmernení CERT-EU vychádzajúcich zo zistených incidentov alebo možných nedostatkov vo vykonávaní tohto nariadenia.
5. Manažment najvyššej úrovne každého subjektu Únie zodpovedá za vykonávanie tohto nariadenia a dohliada na dodržiavanie povinností súvisiacich s rámcom zo strany jeho organizácie.
6. V náležitých prípadoch a bez toho, aby bola dotknutá jeho zodpovednosť za vykonávanie tohto nariadenia, môže manažment najvyššej úrovne každého subjektu Únie delegovať osobitné povinnosti podľa tohto nariadenia na riadiacich pracovníkov v zmysle článku 29 ods. 2 služobného poriadku alebo iných úradníkov na rovnocennej úrovni v rámci dotknutého subjektu Únie. Bez ohľadu na takéto delegovanie môže byť manažment najvyššej úrovne braný na zodpovednosť za porušenie tohto nariadenia dotknutým subjektom Únie.
7. Každý subjekt Únie má zavedené účinné mechanizmy s cieľom zabezpečiť, aby sa na kybernetickú bezpečnosť vynakladal primeraný percentuálny podiel z rozpočtu na IKT. Pri stanovení tohto percentuálneho podielu sa náležite zohľadní rámec.
8. Každý subjekt Únie menuje miestneho úradníka pre kybernetickú bezpečnosť alebo osobu v rovnocennej funkcii, ktorá koná ako jeho jednotné kontaktné miesto v súvislosti so všetkými aspektmi kybernetickej bezpečnosti. Miestny úradník pre kybernetickú bezpečnosť pomáha s vykonávaním tohto nariadenia a pravidelne podáva správy o stave vykonávania priamo manažmentu najvyššej úrovne. Bez toho, aby bola dotknutá skutočnosť, že miestny úradník pre kybernetickú bezpečnosť je jednotným kontaktným miestom v každom subjekte Únie, subjekt Únie môže delegovať určité úlohy miestneho pracovníka pre kybernetickú bezpečnosť v súvislosti s vykonávaním tohto nariadenia na CERT-EU na základe dohody o úrovni poskytovaných služieb uzavretej medzi daným subjektom Únie a CERT-EU, alebo tieto úlohy môžu spoločne vykonávať viaceré subjekty Únie. Ak sú tieto úlohy delegované na CERT-EU, Medziinštitucionálna rada pre kybernetickú bezpečnosť zriadená podľa článku 10 rozhodne, či poskytovanie takejto služby bude súčasťou základných služieb CERT-EU, pričom zohľadní ľudské a finančné zdroje dotknutého subjektu Únie. Každý subjekt Únie bez zbytočného odkladu oznámi CERT-EU vymenovaných miestnych úradníkov pre kybernetickú bezpečnosť a všetky následné vykonané zmeny.
CERT-EU zostaví a pravidelne aktualizuje zoznam vymenovaných miestnych úradníkov pre kybernetickú bezpečnosť.
9. Riadiaci pracovníci v zmysle článku 29 ods. 2 služobného poriadku alebo iní úradníci na rovnocennej úrovni každého subjektu Únie, ako aj všetci príslušní zamestnanci poverení výkonom opatrení a plnením povinností v oblasti riadenia kybernetickobezpečnostných rizík stanovených v tomto nariadení sa pravidelne zúčastňujú osobitnej odbornej prípravy s cieľom získať dostatočné vedomosti a zručnosti na pochopenie a posúdenie kybernetickobezpečnostných rizík a postupov ich riadenia, ako aj ich vplyvu na prevádzku subjektu Únie.
Článok 7
Posúdenia vyspelosti v oblasti kybernetickej bezpečnosti
1. Každý subjekt Únie vykoná do 8. júla 2025 a potom aspoň každé dva roky posúdenie vyspelosti v oblasti kybernetickej bezpečnosti zahŕňajúce všetky prvky jeho prostredia IKT.
2. Posúdenia vyspelosti v oblasti kybernetickej bezpečnosti sa v náležitých prípadoch vykonávajú s pomocou špecializovanej tretej strany.
3. Subjekty Únie s podobnými štruktúrami môžu spolupracovať pri vykonávaní posúdení vyspelosti v oblasti kybernetickej bezpečnosti pre svoje príslušné subjekty.
4. Na základe žiadosti Medziinštitucionálnej rady pre kybernetickú bezpečnosť zriadenej podľa článku 10 a s výslovným súhlasom dotknutého subjektu Únie môže výsledky posúdenia vyspelosti v oblasti kybernetickej bezpečnosti prerokovať táto rada alebo neformálna skupina miestnych úradníkov pre kybernetickú bezpečnosť s cieľom poučiť sa zo skúseností a zdieľať najlepšie postupy.
Článok 10
Medziinštitucionálna rada pre kybernetickú bezpečnosť
1. Zriaďuje sa Medziinštitucionálna rada pre kybernetickú bezpečnosť (ďalej len „IICB“).
2. IICB zodpovedá za:
| a) | monitorovanie a presadzovanie vykonávania tohto nariadenia subjektmi Únie; |
| b) | dohľad nad vykonávaním všeobecných priorít a cieľov CERT-EU, ako aj strategické riadenie CERT-EU. |
3. IICB tvoria:
| a) | jeden zástupca vymenovaný každým z týchto subjektov:
|
| b) | traja zástupcovia vymenovaní sieťou agentúr EÚ (ďalej len „EUAN“) na návrh jej poradného výboru pre IKT, ktorí zastupujú záujmy orgánov, úradov a agentúr Únie, ktoré prevádzkujú svoje vlastné prostredie IKT, ktoré sa líši od prostredí uvedených v písmene a). |
Subjekty Únie zastúpené v IICB sa snažia dosiahnuť rodovú rovnováhu vymenovaných zástupcov.
4. Členom IICB môže pomáhať náhradník. Predseda môže pozvať iných zástupcov subjektov Únie uvedených v odseku 3 alebo iných subjektov Únie, aby sa zúčastnili na zasadnutiach IICB bez hlasovacieho práva.
5. Na zasadnutiach IICB sa ako pozorovatelia môžu zúčastňovať vedúci CERT-EU a predseda skupiny pre spoluprácu zriadenej podľa článku 14 smernice (EÚ) 2022/2555, predseda siete jednotiek CSIRT zriadenej podľa článku 15 smernice 2022/2555 a predseda siete EU-CyCLONe zriadenej podľa článku 16 smernice (EÚ) 2022/2555 alebo ich náhradníci. Vo výnimočných prípadoch môže IICB v súlade so svojim vnútorným rokovacím poriadkom rozhodnúť inak.
6. IICB prijme svoj vnútorný rokovací poriadok.
7. IICB v súlade so svojím vnútorným rokovacím poriadkom vymenuje spomedzi svojich členov predsedu na obdobie troch rokov. Náhradník predsedu sa na rovnaké obdobie stáva riadnym členom IICB.
8. IICB zasadá aspoň trikrát do roka z iniciatívy svojho predsedu, na žiadosť CERT-EU alebo na žiadosť ktoréhokoľvek zo svojich členov.
9. Každý člen IICB má jeden hlas. IICB prijíma rozhodnutia jednoduchou väčšinou, ak v tomto nariadení nie je stanovené inak. Predseda IICB nehlasuje, s výnimkou prípadov rovnosti hlasov, keď môže udeliť rozhodujúci hlas.
10. IICB môže konať prostredníctvom zjednodušeného písomného postupu iniciovaného v súlade s vnútorným rokovacím poriadkom IICB. Pri uvedenom postupe sa príslušné rozhodnutie považuje za schválené v lehote stanovenej predsedom, okrem prípadov, keď niektorý z členov vznesie námietku.
11. Sekretariát IICB zabezpečuje Komisia a zodpovedá sa predsedovi IICB.
12. Členom siete EUAN oznamujú rozhodnutia IICB zástupcovia vymenovaní sieťou EUAN. Ktorýkoľvek člen siete EUAN má právo obrátiť sa na týchto zástupcov alebo predsedu IICB s každou záležitosťou, na ktorú by podľa jeho názoru mala byť IICB upozornená.
13. IICB môže zriadiť výkonný výbor, ktorý jej pomáha pri práci, a delegovať mu niektoré svoje úlohy a právomoci. IICB stanoví rokovací poriadok výkonného výboru vrátane jeho úloh a právomocí, ako aj funkčné obdobie jeho členov.
14. IICB predloží Európskemu parlamentu a Rade do 8. januára 2025 a následne každoročne správu, v ktorej podrobne opíše pokrok dosiahnutý pri vykonávaní tohto nariadenia a v ktorej uvedie najmä rozsah spolupráce CERT-EU s náprotivkami v členskom štáte v každom členskom štáte. Táto správa sa použije ako zdroj informácií na vypracovanie správy o stave kybernetickej bezpečnosti v Únii prijímanej každé dva roky v súlade s článkom 18 smernice (EÚ) 2022/2555.
Článok 11
Úlohy IICB
IICB pri plnení svojich úloh predovšetkým:
| a) | poskytuje usmernenia vedúcemu CERT-EU; |
| b) | účinne monitoruje vykonávanie tohto nariadenia, dohliada nad jeho vykonávaním a podporuje subjekty Únie pri posilňovaní ich kybernetickej bezpečnosti, a to v náležitých prípadoch aj vyžiadaním ad hoc správ od subjektov Únie a CERT-EU; |
| c) | v nadväznosti na strategickú diskusiu prijíma viacročnú stratégiu na zvýšenie úrovne kybernetickej bezpečnosti v subjektoch Únie, pravidelne ju posudzuje, a to aspoň každých päť rokov, a v prípade potreby ju mení; |
| d) | stanovuje metodiku a organizačné aspekty vykonávania dobrovoľných partnerských preskúmaní subjektmi Únie s cieľom čerpať sa zo spoločných skúseností, posilniť vzájomnú dôveru, dosiahnuť vysokú spoločnú úroveň kybernetickej bezpečnosti, ako aj posilniť spôsobilosti subjektov Únie v oblasti kybernetickej bezpečnosti, pričom sa zabezpečí, aby takéto partnerské preskúmania vykonávali odborníci na kybernetickú bezpečnosť určení iným subjektom Únie, než je subjekt Únie podstupujúci preskúmanie, a aby metodika vychádzala z článku 19 smernice (EÚ) 2022/2555 a v náležitých prípadoch bola prispôsobená subjektom Únie; |
| e) | na základe návrhu vedúceho CERT-EU schvaľuje ročný pracovný program CERT-EU a monitoruje jeho vykonávanie; |
| f) | na základe návrhu vedúceho CERT-EU schvaľuje katalóg služieb CERT-EU a všetky jeho aktualizácie; |
| g) | na základe návrhu vedúceho CERT-EU schvaľuje ročný finančný plán príjmov a výdavkov súvisiacich s činnosťami CERT-EU, ktorý zahŕňa aj plán počtu zamestnancov; |
| h) | na základe návrhu vedúceho CERT-EU schvaľuje postupy pre dohody o úrovni poskytovaných služieb; |
| i) | preskúmava a schvaľuje výročnú správu o činnostiach CERT-EU a správe jeho finančných prostriedkov, ktorú vypracoval vedúci CERT-EU; |
| j) | schvaľuje a monitoruje kľúčové ukazovatele výkonnosti (KPI) CERT-EU stanovené na základe návrhu vedúceho CERT-EU; |
| k) | schvaľuje dohody o spolupráci, dohody o úrovni poskytovaných služieb alebo zmluvy medzi CERT-EU a inými subjektmi podľa článku 18; |
| l) | prijíma usmernenia a odporúčania na základe návrhu CERT-EU v súlade s článkom 14 a dáva CERT-EU pokyn na vydanie, zrušenie alebo zmenu návrhu usmernení alebo odporúčaní, alebo výzvy na činnosť; |
| m) | zriaďuje technické poradné skupiny poverené konkrétnymi úlohami na pomoc pri práci IICB, schvaľuje ich mandát a menuje ich predsedov; |
| n) | prijíma a posudzuje dokumenty a správy predložené subjektmi Únie podľa tohto nariadenia, ako sú napríklad posúdenia vyspelosti v oblasti kybernetickej bezpečnosti; |
| o) | umožní zriadenie neformálnej skupiny miestnych úradníkov pre kybernetickú bezpečnosť subjektov Únie, podporovanej agentúrou ENISA, s cieľom vymieňať si najlepšie postupy a informácie v súvislosti s vykonávaním tohto nariadenia; |
| p) | s prihliadnutím na informácie o identifikovaných kybernetickobezpečnostných rizikách a získané poznatky, ktoré poskytuje CERT-EU, monitoruje primeranosť dohôd o prepojení medzi prostrediami IKT subjektov Únie a poskytuje poradenstvo o možných zlepšeniach; |
| q) | vypracuje plán riadenia kybernetických kríz s cieľom podporiť koordinované riadenie závažných incidentov, ktoré majú vplyv na subjekty Únie, na operačnej úrovni a prispieť k pravidelnej výmene relevantných informácií, najmä pokiaľ ide o dosah a závažnosť závažných incidentov a možné spôsoby zmiernenia ich vplyvov; |
| r) | koordinuje prijímanie plánov riadenia kybernetických kríz jednotlivých subjektov Únie uvedených v článku 9 ods. 2; |
| s) | prijíma odporúčania týkajúce sa bezpečnosti dodávateľského reťazca uvedenej v článku 8 ods. 2 prvom pododseku písm. m), pričom prihliada na výsledky koordinovaných posúdení bezpečnostných rizík kritických dodávateľských reťazcov na úrovni Únie uvedených v článku 22 smernice (EÚ) 2022/2555, aby podporila subjekty Únie pri prijímaní účinných a primeraných opatrení na riadenie kybernetickobezpečnostných rizík. |
Článok 12
Dodržiavanie povinností
1. IICB podľa článku 10 ods. 2 a článku 11 účinne monitoruje vykonávanie tohto nariadenia a prijatých usmernení, odporúčaní a výziev na činnosť subjektmi Únie. IICB môže od subjektov Únie požadovať informácie alebo dokumentáciu potrebné na tento účel. Na účely prijatia opatrení na zabezpečenie dodržiavania povinností podľa tohto článku nemá dotknutý subjekt Únie hlasovacie práva, ak je daný subjekt Únie priamo zastúpený v IICB.
2. Keď IICB zistí, že subjekt Únie toto nariadenie alebo usmernenia, odporúčania alebo výzvy na činnosť vydané podľa tohto nariadenia účinne nevykonáva, bez toho, aby boli dotknuté vnútorné postupy dotknutého subjektu Únie, a po poskytnutí možnosti dotknutému subjektu Únie predložiť svoje vyjadrenie, IICB môže:
| a) | dať dotknutému subjektu Únie na vedomie odôvodnené stanovisko so zistenými nedostatkami vo vykonávaní tohto nariadenia; |
| b) | po porade s CERT-EU poskytnúť dotknutému subjektu Únie usmernenia s cieľom zabezpečiť súlad jeho rámca, opatrení na riadenie kybernetickobezpečnostných rizík, plánu kybernetickej bezpečnosti a oznamovania s týmto nariadením v stanovenej lehote; |
| c) | vydať varovanie na vyriešenie zistených nedostatkov v stanovenej lehote, ktoré bude obsahovať aj odporúčania na zmenu opatrení prijatých dotknutým subjektom Únie podľa tohto nariadenia; |
| d) | vydať odôvodnené oznámenie adresované dotknutému subjektu Únie v prípade, že nedostatky zistené vo varovaní vydanom podľa písmena c) neboli v stanovenej lehote dostatočne vyriešené; |
| e) | vydať:
|
| f) | v príslušných prípadoch informovať Dvor audítorov v rámci jeho mandátu o údajnom nedodržiavaní povinností; |
| g) | vydať odporúčanie pre všetky členské štáty a subjekty Únie na dočasné pozastavenie tokov údajov do dotknutého subjektu Únie. |
Na účely prvého pododseku písm. c) sa primerane obmedzia adresáti varovania, v prípade potreby vzhľadom na závažné kybernetickobezpečnostné riziko.
Varovania a odporúčania vydané podľa prvého pododseku sú adresované manažmentu najvyššej úrovne dotknutého subjektu Únie.
3. Ak IICB prijala opatrenia podľa odseku 2 prvého pododseku písm. a) až g), dotknutý subjekt Únie poskytne podrobný opis opatrení a krokov prijatých na vyriešenie údajných nedostatkov, ktoré IICB zistila. Subjekt Únie predloží tento podrobný opis v primeranej lehote, ktorú si dohodne s IICB.
4. Ak sa IICB domnieva, že subjekt Únie neustále porušuje toto nariadenie a že toto porušovanie vyplýva priamo z konania alebo opomenutia úradníka alebo iného zamestnanca Únie, a to aj z radov manažmentu najvyššej úrovne, IICB požiada dotknutý subjekt Únie, aby prijal primerané opatrenia a aby zvážil prijatie disciplinárneho opatrenia, a to v súlade s pravidlami a postupmi stanovenými v služobnom poriadku a akýmikoľvek inými uplatniteľnými pravidlami a postupmi. Na tento účel IICB postúpi potrebné informácie dotknutému subjektu Únie.
5. Ak subjekty Únie oznámia, že nie sú schopné dodržať lehoty stanovené v článku 6 ods. 1 a článku 8 ods. 1, IICB môže v riadne odôvodnených prípadoch a s prihliadnutím na veľkosť daného subjektu Únie povoliť predĺženie týchto lehôt.
KAPITOLA IV
CERT-EU
Článok 13
Poslanie a úlohy CERT-EU
1. Poslaním CERT-EU je prispievať k bezpečnosti verejne prístupných prostredí IKT subjektov Únie tým, že im poskytuje poradenstvo v oblasti kybernetickej bezpečnosti, pomáha im predchádzať incidentom, odhaľovať ich, riešiť ich, zmierňovať ich účinky, reagovať na ne a zotaviť sa z nich a koná ako ich centrum na výmenu informácií a koordináciu reakcie na incidenty v oblasti kybernetickej bezpečnosti.
2. CERT-EU získava, spravuje a analyzuje informácie o kybernetických hrozbách, zraniteľnostiach a incidentoch týkajúcich sa verejne prístupných infraštruktúr IKT a zdieľa ich so subjektmi Únie. Koordinuje reakcie na incidenty na medziinštitucionálnej úrovni a na úrovni subjektov Únie, a to aj poskytovaním špecializovanej operačnej pomoci alebo koordináciou jej poskytovania.
3. Ako pomoc pre subjekty Únie vykonáva CERT-EU tieto úlohy:
| a) | podporuje ich pri vykonávaní tohto nariadenia a prispieva ku koordinácii vykonávania tohto nariadenia prostredníctvom opatrení uvedených v článku 14 ods. 1 alebo prostredníctvom ad hoc správ požadovaných IICB; |
| b) | ponúka štandardné služby jednotiek CSIRT subjektom Únie prostredníctvom balíka kybernetickobezpečnostných služieb opísaného vo svojom katalógu služieb (základné služby); |
| c) | spravuje sieť partnerov na podporu služieb, ako sa uvádza v článkoch 17 a 18; |
| d) | upozorňuje IICB na problémy súvisiace s vykonávaním tohto nariadenia a vykonávaním usmernení, odporúčaní a výziev na činnosť; |
| e) | na základe informácií uvedených v odseku 2 prispieva v úzkej spolupráci s agentúrou ENISA k situačnej informovanosti o kybernetickej bezpečnosti v Únii. |
| f) | koordinuje riadenie závažných incidentov; |
| g) | v mene subjektov Únie koná ako ekvivalent koordinátora určeného na účely koordinovaného zverejňovania zraniteľností podľa článku 12 ods. 1 smernice (EÚ) 2022/2555. |
| h) | na žiadosť subjektu Únie zabezpečuje proaktívne nerušivé skenovanie verejne prístupných sietí a informačných systémov tohto subjektu Únie. |
Informácie uvedené v prvom pododseku písm. e) sa zdieľajú s IICB, sieťou jednotiek CSIRT a v náležitých a vhodných prípadoch so Spravodajským a situačným centrom Európskej únie (ďalej len „EU INTCEN“), a to pri dodržaní primeraných podmienok dôvernosti.
4. CERT-EU môže v súlade s článkom 17 alebo 18 spolupracovať s príslušnými komunitami kybernetickej bezpečnosti v Únii a jej členských štátoch, a to aj v týchto oblastiach:
| a) | pripravenosť, koordinácia pri incidentoch, výmena informácií a reakcia na krízu na technickej úrovni v prípadoch súvisiacich so subjektmi Únie; |
| b) | operačná spolupráca týkajúca sa siete jednotiek CSIRT, a to aj pokiaľ ide o vzájomnú pomoc; |
| c) | spravodajské informácie o kybernetických hrozbách vrátane situačnej informovanosti; |
| d) | akákoľvek téma, ktorá si vyžaduje odborné technické znalosti CERT-EU v oblasti kybernetickej bezpečnosti. |
5. CERT-EU v rámci svojich právomocí štruktúrovane spolupracuje s agentúrou ENISA pri budovaní kapacít, operačnej spolupráci a dlhodobých strategických analýzach kybernetických hrozieb v súlade s nariadením (EÚ) 2019/881. CERT-EU môže spolupracovať a vymieňať si informácie s Európskym centrom boja proti počítačovej kriminalite pri Europole.
6. CERT-EU môže poskytovať tieto služby, ktoré nie sú opísané v jeho katalógu služieb (spoplatnené služby):
| a) | iné služby na podporu kybernetickej bezpečnosti prostredia IKT subjektov Únie, než sú služby uvedené v odseku 3, na základe dohôd o úrovni poskytovaných služieb a podľa dostupných zdrojov, a to najmä širokospektrálne monitorovanie sietí vrátane bežného nepretržitého monitorovania kybernetických hrozieb s vysokou závažnosťou; |
| b) | iné služby na podporu činností alebo projektov subjektov Únie v oblasti kybernetickej bezpečnosti, než sú služby na ochranu ich prostredia IKT, a to na základe písomných dohôd a s predchádzajúcim povolením IICB; |
| c) | na požiadanie proaktívne skenovanie sietí a informačných systémov dotknutého subjektu Únie s cieľom odhaliť zraniteľnosti s potenciálnym významným vplyvom; |
| d) | služby na podporu bezpečnosti prostredia IKT organizáciám, ktoré nie sú subjektmi Únie a ktoré so subjektmi Únie úzko spolupracujú, napríklad tak, že majú pridelené úlohy alebo povinnosti podľa práva Únie, a to na základe písomných dohôd a s predchádzajúcim povolením IICB. |
S ohľadom na prvý pododsek písm. d) CERT-EU môže výnimočne uzavrieť dohody o úrovni poskytovaných služieb s inými subjektmi, než sú subjekty Únie, a to s predchádzajúcim povolením IICB.
7. CERT-EU organizuje cvičenia v oblasti kybernetickej bezpečnosti a môže sa na nich zúčastňovať alebo odporúčať účasť na existujúcich cvičeniach, a to v náležitých prípadoch v úzkej spolupráci s agentúrou ENISA, s cieľom testovať úroveň kybernetickej bezpečnosti subjektov Únie.
8. CERT-EU môže subjektom Únie poskytovať pomoc s incidentmi v sieťach a informačných systémoch, v ktorých sa zaobchádza s utajovanými skutočnosťami EÚ, ak o to dotknuté subjekty Únie výslovne požiadajú v súlade so svojimi príslušnými postupmi. Poskytovaním pomoci zo strany CERT-EU podľa tohto odseku nie sú dotknuté príslušné pravidlá týkajúce sa ochrany utajovaných skutočností.
9. CERT-EU informuje subjekty Únie o svojich postupoch a procesoch riešenia incidentov.
10. Zachovávajúc vysokú mieru dôvernosti a spoľahlivosti CERT-EU prispieva prostredníctvom vhodných mechanizmov spolupráce a hierarchických vzťahov k relevantným a anonymizovaným informáciám o závažných incidentoch a o spôsobe, akým boli riešené. Uvedené informácie sa zahrnú do správy uvedenej v článku 10 ods. 14.
11. CERT-EU v spolupráci s európsky dozorným úradníkom pre ochranu osobných údajov podporuje dotknuté subjekty Únie pri riešení incidentov, ktoré majú za následok porušenie ochrany osobných údajov, bez toho, aby boli dotknuté kompetencie a úlohy európskeho dozorného úradníka pre ochranu osobných údajov ako orgánu dohľadu podľa nariadenia (EÚ) 2018/1725.
12. CERT-EU môže subjektom Únie poskytnúť technické poradenstvo alebo informácie o relevantných politických otázkach, ak o to politické oddelenia subjektov Únie výslovne požiadajú.
Článok 15
Vedúci CERT-EU
1. Vedúceho CERT-EU vymenuje Komisia po jeho schválení dvojtretinovou väčšinou členov IICB. Vo všetkých fázach postupu vymenovania, najmä pri vypracúvaní oznámení o voľnom pracovnom mieste, posudzovaní prihlášok a vymenovaní výberových komisií v súvislosti s uvedeným miestom, sa uskutočňujú konzultácie s IICB. Vo výberovom konaní vrátane konečného užšieho zoznamu kandidátov, z ktorých sa vedúci CERT-EU má vymenovať, sa zabezpečí spravodlivé rodové zastúpenie, pričom sa zohľadnia predložené prihlášky.
2. Vedúci CERT-EU zodpovedá za riadne fungovanie CERT-EU a koná v rámci právomocí jeho funkcie a pod vedením IICB. Vedúci CERT-EU predkladá pravidelné správy predsedovi IICB a na požiadanie podáva IICB ad hoc správy.
3. Vedúci CERT-EU pomáha zodpovednému povoľujúcemu úradníkovi vymenovanému delegovaním pri vypracúvaní výročnej správy o činnosti, ktorá obsahuje finančné informácie a informácie o riadení vrátane výsledkov kontrol a ktorá sa vypracúva v súlade s článkom 74 ods. 9 nariadenia Európskeho parlamentu a Rady (EÚ, Euratom) 2018/1046 (9), a pravidelne povoľujúcemu úradníkovi vymenovanému delegovaním podáva správy o vykonávaní opatrení, v súvislosti s ktorými sa na vedúceho CERT-EU subdelegovali právomoci.
4. Vedúci CERT-EU každoročne vypracuje finančné plánovanie administratívnych príjmov a výdavkov na jeho činnosti, návrh ročného pracovného programu, návrh katalógu služieb CERT-EU, návrh revízií katalógu služieb, návrh dohôd o úrovni poskytovaných služieb a návrh kľúčových ukazovateľov výkonnosti (KPI) pre CERT-EU, ktoré má schváliť IICB v súlade s článkom 11. Pri revízii zoznamu služieb v katalógu služieb CERT-EU vedúci CERT-EU zohľadní zdroje pridelené CERT-EU.
5. Vedúci CERT-EU aspoň raz ročne predkladá IICB a predsedovi IICB správy o činnostiach a výkonnosti CERT-EU počas referenčného obdobia, a to aj o plnení rozpočtu, dohodách o úrovni poskytovaných služieb a uzatvorených písomných dohodách, spolupráci s náprotivkami a partnermi, ako aj o služobných cestách zamestnancov, vrátane správ uvedených v článku 11. Uvedené správy zahŕňajú pracovný program na nasledujúce obdobie, finančný plán príjmov a výdavkov vrátane plánu počtu zamestnancov, plánované aktualizácie katalógu služieb CERT-EU a posúdenie očakávaného vplyvu, ktorý takéto aktualizácie môžu mať na finančné a ľudské zdroje.
Článok 26
Nadobudnutie účinnosti
Toto nariadenie nadobúda účinnosť dvadsiatym dňom nasledujúcim po jeho uverejnení v Úradnom vestníku Európskej únie.
Toto nariadenie je záväzné v celom rozsahu a priamo uplatniteľné vo všetkých členských štátoch.
V Štrasburgu 13. decembra 2023
Za Európsky parlament
predsedníčka
R. METSOLA
Za Radu
predseda
P. NAVARRO RÍOS
(1) Pozícia Európskeho parlamentu z 21. novembra 2023 (zatiaľ neuverejnená v úradnom vestníku) a rozhodnutie Rady z 8. decembra 2023.
(2) Smernica Európskeho parlamentu a Rady (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148 (smernica NIS 2) (Ú. v. EÚ L 333, 27.12.2022, s. 80).
(3) Nariadenie Európskeho parlamentu a Rady (EÚ) 2019/881 zo 17. apríla 2019 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti) (Ú. v. EÚ L 151, 7.6.2019, s. 15).
(4) Dohoda medzi Európskym parlamentom, Európskou radou, Radou Európskej únie, Európskou komisiou, Súdnym dvorom Európskej únie, Európskou centrálnou bankou, Európskym dvorom audítorov, Európskou službou pre vonkajšiu činnosť, Európskym hospodárskym a sociálnym výborom, Európskym výborom regiónov a Európskou investičnou bankou o organizácii a fungovaní tímu reakcie na núdzové počítačové situácie v inštitúciách, orgánoch a agentúrach Únie (CERT-EU) (Ú. v. EÚ C 12, 13.1.2018, s. 1).
(5) Nariadenie Rady (EHS, Euratom, ESUO) č. 259/68 z 29. februára 1968, ktorým sa ustanovuje Služobný poriadok a Podmienky zamestnávania ostatných zamestnancov Európskych spoločenstiev a osobitné pravidlá, ktoré sa dočasne uplatňujú na úradníkov Komisie (Ú. v. ES L 56, 4.3.1968, s. 1).
(6) Odporúčanie Komisie (EÚ) 2017/1584 z 13. septembra 2017 o koordinovanej reakcii na kybernetické incidenty a krízy veľkého rozsahu (Ú. v. EÚ L 239, 19.9.2017, s. 36).
(7) Nariadenie Európskeho parlamentu a Rady (EÚ) 2018/1725 z 23. októbra 2018 o ochrane fyzických osôb pri spracúvaní osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a o voľnom pohybe takýchto údajov, ktorým sa zrušuje nariadenie (ES) č. 45/2001 a rozhodnutie č. 1247/2002/ES (Ú. v. EÚ L 295, 21.11.2018, s. 39).
(8) Ú. v. EÚ C 258, 5.7.2022, s. 10.
(9) Nariadenie Európskeho parlamentu a Rady (EÚ, Euratom) 2018/1046 z 18. júla 2018 o rozpočtových pravidlách, ktoré sa vzťahujú na všeobecný rozpočet Únie, o zmene nariadení (EÚ) č. 1296/2013, (EÚ) č. 1301/2013, (EÚ) č. 1303/2013, (EÚ) č. 1304/2013, (EÚ) č. 1309/2013, (EÚ) č. 1316/2013, (EÚ) č. 223/2014, (EÚ) č. 283/2014 a rozhodnutia č. 541/2014/EÚ a o zrušení nariadenia (EÚ, Euratom) č. 966/2012 (Ú. v. EÚ L 193, 30.7.2018, s. 1).
(10) Nariadenie Európskeho parlamentu a Rady (ES) č. 1049/2001 z 30. mája 2001 o prístupe verejnosti k dokumentom Európskeho parlamentu, Rady a Komisie (Ú. v. ES L 145, 31.5.2001, s. 43).
ELI: http://data.europa.eu/eli/reg/2023/2841/oj
ISSN 1977-0790 (electronic edition)