keyboard_tab Cyber Resilience Act 2023/2841 SK
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Článok 10 Medziinštitucionálna rada pre kybernetickú bezpečnosť
- 1 Článok 12 Dodržiavanie povinností
- 1 Článok 13 Poslanie a úlohy CERT-EU
- 2 Článok 19 Zaobchádzanie s informáciami
- 2 Článok 21 Oznamovacie povinnosti
KAPITOLA I
VŠEOBECNÉ USTANOVENIA
KAPITOLA II
OPATRENIA NA ZABEZPEČENIE VYSOKEJ SPOLOČNEJ ÚROVNE KYBERNETICKEJ BEZPEČNOSTI
KAPITOLA III
MEDZIINŠTITUCIONÁLNA RADA PRE KYBERNETICKÚ BEZPEČNOSŤ
KAPITOLA IV
CERT-EU
KAPITOLA V
SPOLUPRÁCA A OZNAMOVACIE POVINNOSTI
KAPITOLA VI
ZÁVEREČNÉ USTANOVENIA
- Únie 65
- alebo 37
- iicb 31
- cert-eu 22
- podľa 21
- môže 18
- subjektu 17
- bezpečnosti 15
- tohto 14
- kybernetickej 13
- prípadoch 13
- informácie 12
- nariadenia 11
- ktoré 11
- a to 11
- subjektov 11
- v súlade 11
- subjekt 10
- cert-eu 10
- iicb 10
- incidentu 9
- ods 8
- subjekty 8
- služby 8
- eÚ / 8
- jeho 8
- subjektmi 8
- opatrení 7
- dosah 7
- informácií 7
- článku 7
- žiadosť 7
- v náležitých 6
- dotknutému 6
- smernice 6
- v oblasti 6
- služieb 6
- prostredníctvom 6
- vrátane 6
- správu 6
- incident 6
- prostredia 5
- údajov 5
- incidentoch 5
- zbytočného 5
- enisa 5
- siete 5
- uvedené 5
- odkladu 5
- dotknutého 5
Článok 10
Medziinštitucionálna rada pre kybernetickú bezpečnosť
1. Zriaďuje sa Medziinštitucionálna rada pre kybernetickú bezpečnosť (ďalej len „IICB“).
2. IICB zodpovedá za:
| a) | monitorovanie a presadzovanie vykonávania tohto nariadenia subjektmi Únie; |
| b) | dohľad nad vykonávaním všeobecných priorít a cieľov CERT-EU, ako aj strategické riadenie CERT-EU. |
3. IICB tvoria:
| a) | jeden zástupca vymenovaný každým z týchto subjektov:
|
| b) | traja zástupcovia vymenovaní sieťou agentúr EÚ (ďalej len „EUAN“) na návrh jej poradného výboru pre IKT, ktorí zastupujú záujmy orgánov, úradov a agentúr Únie, ktoré prevádzkujú svoje vlastné prostredie IKT, ktoré sa líši od prostredí uvedených v písmene a). |
Subjekty Únie zastúpené v IICB sa snažia dosiahnuť rodovú rovnováhu vymenovaných zástupcov.
4. Členom IICB môže pomáhať náhradník. Predseda môže pozvať iných zástupcov subjektov Únie uvedených v odseku 3 alebo iných subjektov Únie, aby sa zúčastnili na zasadnutiach IICB bez hlasovacieho práva.
5. Na zasadnutiach IICB sa ako pozorovatelia môžu zúčastňovať vedúci CERT-EU a predseda skupiny pre spoluprácu zriadenej podľa článku 14 smernice (EÚ) 2022/2555, predseda siete jednotiek CSIRT zriadenej podľa článku 15 smernice 2022/2555 a predseda siete EU-CyCLONe zriadenej podľa článku 16 smernice (EÚ) 2022/2555 alebo ich náhradníci. Vo výnimočných prípadoch môže IICB v súlade so svojim vnútorným rokovacím poriadkom rozhodnúť inak.
6. IICB prijme svoj vnútorný rokovací poriadok.
7. IICB v súlade so svojím vnútorným rokovacím poriadkom vymenuje spomedzi svojich členov predsedu na obdobie troch rokov. Náhradník predsedu sa na rovnaké obdobie stáva riadnym členom IICB.
8. IICB zasadá aspoň trikrát do roka z iniciatívy svojho predsedu, na žiadosť CERT-EU alebo na žiadosť ktoréhokoľvek zo svojich členov.
9. Každý člen IICB má jeden hlas. IICB prijíma rozhodnutia jednoduchou väčšinou, ak v tomto nariadení nie je stanovené inak. Predseda IICB nehlasuje, s výnimkou prípadov rovnosti hlasov, keď môže udeliť rozhodujúci hlas.
10. IICB môže konať prostredníctvom zjednodušeného písomného postupu iniciovaného v súlade s vnútorným rokovacím poriadkom IICB. Pri uvedenom postupe sa príslušné rozhodnutie považuje za schválené v lehote stanovenej predsedom, okrem prípadov, keď niektorý z členov vznesie námietku.
11. Sekretariát IICB zabezpečuje Komisia a zodpovedá sa predsedovi IICB.
12. Členom siete EUAN oznamujú rozhodnutia IICB zástupcovia vymenovaní sieťou EUAN. Ktorýkoľvek člen siete EUAN má právo obrátiť sa na týchto zástupcov alebo predsedu IICB s každou záležitosťou, na ktorú by podľa jeho názoru mala byť IICB upozornená.
13. IICB môže zriadiť výkonný výbor, ktorý jej pomáha pri práci, a delegovať mu niektoré svoje úlohy a právomoci. IICB stanoví rokovací poriadok výkonného výboru vrátane jeho úloh a právomocí, ako aj funkčné obdobie jeho členov.
14. IICB predloží Európskemu parlamentu a Rade do 8. januára 2025 a následne každoročne správu, v ktorej podrobne opíše pokrok dosiahnutý pri vykonávaní tohto nariadenia a v ktorej uvedie najmä rozsah spolupráce CERT-EU s náprotivkami v členskom štáte v každom členskom štáte. Táto správa sa použije ako zdroj informácií na vypracovanie správy o stave kybernetickej bezpečnosti v Únii prijímanej každé dva roky v súlade s článkom 18 smernice (EÚ) 2022/2555.
Článok 12
Dodržiavanie povinností
1. IICB podľa článku 10 ods. 2 a článku 11 účinne monitoruje vykonávanie tohto nariadenia a prijatých usmernení, odporúčaní a výziev na činnosť subjektmi Únie. IICB môže od subjektov Únie požadovať informácie alebo dokumentáciu potrebné na tento účel. Na účely prijatia opatrení na zabezpečenie dodržiavania povinností podľa tohto článku nemá dotknutý subjekt Únie hlasovacie práva, ak je daný subjekt Únie priamo zastúpený v IICB.
2. Keď IICB zistí, že subjekt Únie toto nariadenie alebo usmernenia, odporúčania alebo výzvy na činnosť vydané podľa tohto nariadenia účinne nevykonáva, bez toho, aby boli dotknuté vnútorné postupy dotknutého subjektu Únie, a po poskytnutí možnosti dotknutému subjektu Únie predložiť svoje vyjadrenie, IICB môže:
| a) | dať dotknutému subjektu Únie na vedomie odôvodnené stanovisko so zistenými nedostatkami vo vykonávaní tohto nariadenia; |
| b) | po porade s CERT-EU poskytnúť dotknutému subjektu Únie usmernenia s cieľom zabezpečiť súlad jeho rámca, opatrení na riadenie kybernetickobezpečnostných rizík, plánu kybernetickej bezpečnosti a oznamovania s týmto nariadením v stanovenej lehote; |
| c) | vydať varovanie na vyriešenie zistených nedostatkov v stanovenej lehote, ktoré bude obsahovať aj odporúčania na zmenu opatrení prijatých dotknutým subjektom Únie podľa tohto nariadenia; |
| d) | vydať odôvodnené oznámenie adresované dotknutému subjektu Únie v prípade, že nedostatky zistené vo varovaní vydanom podľa písmena c) neboli v stanovenej lehote dostatočne vyriešené; |
| e) | vydať:
|
| f) | v príslušných prípadoch informovať Dvor audítorov v rámci jeho mandátu o údajnom nedodržiavaní povinností; |
| g) | vydať odporúčanie pre všetky členské štáty a subjekty Únie na dočasné pozastavenie tokov údajov do dotknutého subjektu Únie. |
Na účely prvého pododseku písm. c) sa primerane obmedzia adresáti varovania, v prípade potreby vzhľadom na závažné kybernetickobezpečnostné riziko.
Varovania a odporúčania vydané podľa prvého pododseku sú adresované manažmentu najvyššej úrovne dotknutého subjektu Únie.
3. Ak IICB prijala opatrenia podľa odseku 2 prvého pododseku písm. a) až g), dotknutý subjekt Únie poskytne podrobný opis opatrení a krokov prijatých na vyriešenie údajných nedostatkov, ktoré IICB zistila. Subjekt Únie predloží tento podrobný opis v primeranej lehote, ktorú si dohodne s IICB.
4. Ak sa IICB domnieva, že subjekt Únie neustále porušuje toto nariadenie a že toto porušovanie vyplýva priamo z konania alebo opomenutia úradníka alebo iného zamestnanca Únie, a to aj z radov manažmentu najvyššej úrovne, IICB požiada dotknutý subjekt Únie, aby prijal primerané opatrenia a aby zvážil prijatie disciplinárneho opatrenia, a to v súlade s pravidlami a postupmi stanovenými v služobnom poriadku a akýmikoľvek inými uplatniteľnými pravidlami a postupmi. Na tento účel IICB postúpi potrebné informácie dotknutému subjektu Únie.
5. Ak subjekty Únie oznámia, že nie sú schopné dodržať lehoty stanovené v článku 6 ods. 1 a článku 8 ods. 1, IICB môže v riadne odôvodnených prípadoch a s prihliadnutím na veľkosť daného subjektu Únie povoliť predĺženie týchto lehôt.
KAPITOLA IV
CERT-EU
Článok 13
Poslanie a úlohy CERT-EU
1. Poslaním CERT-EU je prispievať k bezpečnosti verejne prístupných prostredí IKT subjektov Únie tým, že im poskytuje poradenstvo v oblasti kybernetickej bezpečnosti, pomáha im predchádzať incidentom, odhaľovať ich, riešiť ich, zmierňovať ich účinky, reagovať na ne a zotaviť sa z nich a koná ako ich centrum na výmenu informácií a koordináciu reakcie na incidenty v oblasti kybernetickej bezpečnosti.
2. CERT-EU získava, spravuje a analyzuje informácie o kybernetických hrozbách, zraniteľnostiach a incidentoch týkajúcich sa verejne prístupných infraštruktúr IKT a zdieľa ich so subjektmi Únie. Koordinuje reakcie na incidenty na medziinštitucionálnej úrovni a na úrovni subjektov Únie, a to aj poskytovaním špecializovanej operačnej pomoci alebo koordináciou jej poskytovania.
3. Ako pomoc pre subjekty Únie vykonáva CERT-EU tieto úlohy:
| a) | podporuje ich pri vykonávaní tohto nariadenia a prispieva ku koordinácii vykonávania tohto nariadenia prostredníctvom opatrení uvedených v článku 14 ods. 1 alebo prostredníctvom ad hoc správ požadovaných IICB; |
| b) | ponúka štandardné služby jednotiek CSIRT subjektom Únie prostredníctvom balíka kybernetickobezpečnostných služieb opísaného vo svojom katalógu služieb (základné služby); |
| c) | spravuje sieť partnerov na podporu služieb, ako sa uvádza v článkoch 17 a 18; |
| d) | upozorňuje IICB na problémy súvisiace s vykonávaním tohto nariadenia a vykonávaním usmernení, odporúčaní a výziev na činnosť; |
| e) | na základe informácií uvedených v odseku 2 prispieva v úzkej spolupráci s agentúrou ENISA k situačnej informovanosti o kybernetickej bezpečnosti v Únii. |
| f) | koordinuje riadenie závažných incidentov; |
| g) | v mene subjektov Únie koná ako ekvivalent koordinátora určeného na účely koordinovaného zverejňovania zraniteľností podľa článku 12 ods. 1 smernice (EÚ) 2022/2555. |
| h) | na žiadosť subjektu Únie zabezpečuje proaktívne nerušivé skenovanie verejne prístupných sietí a informačných systémov tohto subjektu Únie. |
Informácie uvedené v prvom pododseku písm. e) sa zdieľajú s IICB, sieťou jednotiek CSIRT a v náležitých a vhodných prípadoch so Spravodajským a situačným centrom Európskej únie (ďalej len „EU INTCEN“), a to pri dodržaní primeraných podmienok dôvernosti.
4. CERT-EU môže v súlade s článkom 17 alebo 18 spolupracovať s príslušnými komunitami kybernetickej bezpečnosti v Únii a jej členských štátoch, a to aj v týchto oblastiach:
| a) | pripravenosť, koordinácia pri incidentoch, výmena informácií a reakcia na krízu na technickej úrovni v prípadoch súvisiacich so subjektmi Únie; |
| b) | operačná spolupráca týkajúca sa siete jednotiek CSIRT, a to aj pokiaľ ide o vzájomnú pomoc; |
| c) | spravodajské informácie o kybernetických hrozbách vrátane situačnej informovanosti; |
| d) | akákoľvek téma, ktorá si vyžaduje odborné technické znalosti CERT-EU v oblasti kybernetickej bezpečnosti. |
5. CERT-EU v rámci svojich právomocí štruktúrovane spolupracuje s agentúrou ENISA pri budovaní kapacít, operačnej spolupráci a dlhodobých strategických analýzach kybernetických hrozieb v súlade s nariadením (EÚ) 2019/881. CERT-EU môže spolupracovať a vymieňať si informácie s Európskym centrom boja proti počítačovej kriminalite pri Europole.
6. CERT-EU môže poskytovať tieto služby, ktoré nie sú opísané v jeho katalógu služieb (spoplatnené služby):
| a) | iné služby na podporu kybernetickej bezpečnosti prostredia IKT subjektov Únie, než sú služby uvedené v odseku 3, na základe dohôd o úrovni poskytovaných služieb a podľa dostupných zdrojov, a to najmä širokospektrálne monitorovanie sietí vrátane bežného nepretržitého monitorovania kybernetických hrozieb s vysokou závažnosťou; |
| b) | iné služby na podporu činností alebo projektov subjektov Únie v oblasti kybernetickej bezpečnosti, než sú služby na ochranu ich prostredia IKT, a to na základe písomných dohôd a s predchádzajúcim povolením IICB; |
| c) | na požiadanie proaktívne skenovanie sietí a informačných systémov dotknutého subjektu Únie s cieľom odhaliť zraniteľnosti s potenciálnym významným vplyvom; |
| d) | služby na podporu bezpečnosti prostredia IKT organizáciám, ktoré nie sú subjektmi Únie a ktoré so subjektmi Únie úzko spolupracujú, napríklad tak, že majú pridelené úlohy alebo povinnosti podľa práva Únie, a to na základe písomných dohôd a s predchádzajúcim povolením IICB. |
S ohľadom na prvý pododsek písm. d) CERT-EU môže výnimočne uzavrieť dohody o úrovni poskytovaných služieb s inými subjektmi, než sú subjekty Únie, a to s predchádzajúcim povolením IICB.
7. CERT-EU organizuje cvičenia v oblasti kybernetickej bezpečnosti a môže sa na nich zúčastňovať alebo odporúčať účasť na existujúcich cvičeniach, a to v náležitých prípadoch v úzkej spolupráci s agentúrou ENISA, s cieľom testovať úroveň kybernetickej bezpečnosti subjektov Únie.
8. CERT-EU môže subjektom Únie poskytovať pomoc s incidentmi v sieťach a informačných systémoch, v ktorých sa zaobchádza s utajovanými skutočnosťami EÚ, ak o to dotknuté subjekty Únie výslovne požiadajú v súlade so svojimi príslušnými postupmi. Poskytovaním pomoci zo strany CERT-EU podľa tohto odseku nie sú dotknuté príslušné pravidlá týkajúce sa ochrany utajovaných skutočností.
9. CERT-EU informuje subjekty Únie o svojich postupoch a procesoch riešenia incidentov.
10. Zachovávajúc vysokú mieru dôvernosti a spoľahlivosti CERT-EU prispieva prostredníctvom vhodných mechanizmov spolupráce a hierarchických vzťahov k relevantným a anonymizovaným informáciám o závažných incidentoch a o spôsobe, akým boli riešené. Uvedené informácie sa zahrnú do správy uvedenej v článku 10 ods. 14.
11. CERT-EU v spolupráci s európsky dozorným úradníkom pre ochranu osobných údajov podporuje dotknuté subjekty Únie pri riešení incidentov, ktoré majú za následok porušenie ochrany osobných údajov, bez toho, aby boli dotknuté kompetencie a úlohy európskeho dozorného úradníka pre ochranu osobných údajov ako orgánu dohľadu podľa nariadenia (EÚ) 2018/1725.
12. CERT-EU môže subjektom Únie poskytnúť technické poradenstvo alebo informácie o relevantných politických otázkach, ak o to politické oddelenia subjektov Únie výslovne požiadajú.
Článok 19
Zaobchádzanie s informáciami
1. Subjekty Únie a CERT-EU rešpektujú povinnosť služobného tajomstva v súlade s článkom 339 ZFEÚ alebo s rovnocennými uplatniteľnými rámcami.
2. V súvislosti so žiadosťami o prístup verejnosti k dokumentom v držbe CERT-EU sa uplatňuje nariadenie Európskeho parlamentu a Rady (ES) č. 1049/2001 (10) vrátane povinnosti podľa daného nariadenia poradiť sa s ďalšími subjektmi Únie alebo v relevantných prípadoch s členskými štátmi vždy, keď sa žiadosť týka ich dokumentov.
3. Zaobchádzanie s informáciami zo strany subjektov Únie a CERT-EU je v súlade s príslušnými pravidlami o informačnej bezpečnosti.
Článok 21
Oznamovacie povinnosti
1. Incident sa považuje za významný, ak:
| a) | spôsobil alebo môže spôsobiť vážne prevádzkové narušenie fungovania dotknutého subjektu Únie alebo finančnú stratu dotknutému subjektu Únie; |
| b) | zasiahol alebo môže zasiahnuť iné fyzické alebo právnické osoby tým, že im spôsobí značnú majetkovú alebo nemajetkovú ujmu. |
2. Subjekty Únie podávajú CERT-EU:
| a) | bez zbytočného odkladu a v každom prípade do 24 hodín od zistenia významného incidentu včasné varovanie, v ktorom v náležitých prípadoch uvedú, že významný incident pravdepodobne spôsobilo nezákonné konanie alebo konanie so zlým úmyslom, alebo že môže mať dosah na iný subjekt či cezhraničný dosah; |
| b) | bez zbytočného odkladu a v každom prípade do 72 hodín po tom, ako sa dozvedeli o významnom incidente, oznámenie o incidente, ktorým v náležitých prípadoch aktualizujú informácie uvedené v písmene a) a uvedú prvotné posúdenie významného incidentu, vrátane jeho závažnosti a dosahu, ako aj v náležitých prípadoch ukazovatele narušenia; |
| c) | na žiadosť CERT-EU priebežnú správu s relevantnou aktualizáciou daného stavu. |
| d) | najneskôr jeden mesiac po podaní oznámenia o incidente podľa písmena b) záverečnú správu, ktorá obsahuje tieto informácie:
|
| e) | v prípade prebiehajúceho incidentu v čase podávania záverečnej správy uvedenej v písmene d), správu o pokroku v danom čase a záverečnú správu do jedného mesiaca po vyriešení incidentu. |
3. Subjekt Únie bez zbytočného odkladu a v každom prípade do 24 hodín od zistenia významného incidentu informuje všetky príslušné náprotivky v členskom štáte uvedené v článku 17 ods. 1 v členskom štáte, v ktorom sa nachádza, o tom, že došlo k významnému incidentu.
4. Subjekty Únie oznamujú CERT-EU okrem iného všetky informácie, ktoré mu umožnia určiť akýkoľvek dosah na iný subjekt, dosah na hostiteľský členský štát alebo cezhraničný dosah po tom, čo došlo k významnému incidentu. Bez toho, aby bol dotknutý článok 12, samotný akt oznámenia nezakladá zvýšenú zodpovednosť subjektu Únie.
5. Subjekty Únie v náležitých prípadoch bez zbytočného odkladu informujú používateľov zasiahnutých sietí a informačných systémov alebo iných zložiek prostredia IKT, ktoré sú potenciálne zasiahnuté významným incidentom alebo významnou kybernetickou hrozbou a vo vhodných prípadoch si vyžadujú prijatie zmierňujúcich opatrení, o opatreniach alebo prostriedkoch nápravy, ktoré môžu prijať v reakcii na daný incident alebo danú hrozbu. Subjekty Únie vo vhodných prípadoch informujú týchto používateľov o samotnej významnej kybernetickej hrozbe.
6. Ak má významný incident alebo významná kybernetická hrozba vplyv na sieť a informačný systém alebo zložku prostredia IKT subjektu Únie, o ktorej je známe jej prepojenie s prostredím IKT iného subjektu Únie, CERT-EU vydá príslušnú výstrahu.
7. Subjekty Únie na žiadosť CERT-EU bez zbytočného odkladu poskytnú CERT-EU digitálne informácie vytvorené pomocou elektronických zariadení, ktorých sa príslušné incidenty týkali. CERT-EU môže poskytnúť ďalšie podrobnosti o type informácií, ktoré požaduje na účely situačnej informovanosti a reakcie na incident.
8. CERT-EU predkladá IICB, agentúre ENISA, centru EU INTCEN a sieti jednotiek CSIRT každé tri mesiace súhrnnú správu obsahujúcu anonymizované a súhrnné údaje o významných incidentoch, incidentoch, kybernetických hrozbách, udalostiach odvrátených v poslednej chvíli a zraniteľnostiach podľa článku 20 a významných incidentoch oznámených podľa odseku 2 tohto článku. Táto súhrnná správa sa použije ako zdroj informácií na vypracovanie správy o stave kybernetickej bezpečnosti v Únii prijímanej každé dva roky v súlade s článkom 18 smernice (EÚ) 2022/2555.
9. IICB do 8. júla 2024 vydá usmernenia alebo odporúčania, v ktorých bližšie určí spôsoby, formát a obsah oznamovania podľa tohto článku. Pri príprave takýchto usmernení alebo odporúčaní IICB zohľadní všetky vykonávacie akty prijaté podľa článku 23 ods. 11 smernice (EÚ) 2022/2555, v ktorých sa bližšie určuje druh informácií, formát a postup oznamovania. CERT-EU šíri náležité technické podrobnosti, aby subjektom Únie umožnil vykonať proaktívne odhaľovanie, reagovanie na incident alebo prijatie zmierňujúcich opatrení.
10. Oznamovacie povinnosti stanovené v tomto článku sa nevzťahujú na:
| a) | utajované skutočnosti EÚ; |
| b) | informácie, ktorých ďalšie šírenie bolo vylúčené prostredníctvom viditeľného označenia, pokiaľ ich zdieľanie s CERT-EU nebolo výslovne povolené. |
whereas