keyboard_tab Cyber Resilience Act 2023/2841 SK
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
KAPITOLA I
VŠEOBECNÉ USTANOVENIA
KAPITOLA II
OPATRENIA NA ZABEZPEČENIE VYSOKEJ SPOLOČNEJ ÚROVNE KYBERNETICKEJ BEZPEČNOSTI
KAPITOLA III
MEDZIINŠTITUCIONÁLNA RADA PRE KYBERNETICKÚ BEZPEČNOSŤ
KAPITOLA IV
CERT-EU
KAPITOLA V
SPOLUPRÁCA A OZNAMOVACIE POVINNOSTI
KAPITOLA VI
ZÁVEREČNÉ USTANOVENIA
- Únie 46
- cert-eu 26
- nariadenia 20
- podľa 19
- alebo 19
- bezpečnosť 17
- tohto 17
- eÚ / 16
- v článku 16
- článku 15
- v zmysle 14
- kybernetickú 14
- vymedzenia 13
- subjektu 13
- smernice 12
- bode 11
- bezpečnosti 11
- kybernetickej 10
- základe 9
- ods 9
- rizík 8
- kybernetickobezpečnostných 8
- služieb 7
- návrhu 7
- najvyššej 7
- schvaľuje 7
- subjekty 7
- a cert-eu 7
- jeho 7
- Článok 6
- úrovni 6
- subjektov 6
- rámec 6
- riadenia 6
- subjekt 6
- úrovne 6
- vykonávanie 5
- úlohy 5
- v súlade 5
- s cieľom 5
- vedúceho 5
- prípadoch 5
- incidentov 5
- sietí 5
- povinnosti 5
- údajov 4
- bola 4
- nariadenie 4
- povinností 4
- kybernetická 4
Článok 2
Rozsah pôsobnosti
1. Toto nariadenie sa vzťahuje na subjekty Únie, Medziinštitucionálnu radu pre kybernetickú bezpečnosť zriadenú podľa článku 10 a cert-eu.
2. Toto nariadenie sa uplatňuje bez toho, aby bola dotknutá inštitucionálna autonómia podľa zmlúv.
3. S výnimkou článku 13 ods. 8 sa toto nariadenie nevzťahuje na siete a informačné systémy, v ktorých sa zaobchádza s utajovanými skutočnosťami EÚ (EUCI).
Článok 3
Vymedzenie pojmov
Na účely tohto nariadenia sa uplatňujú tieto vymedzenia pojmov:
| 1. | „subjekty Únie“ sú inštitúcie, orgány, úrady a agentúry Únie zriadené Zmluvou o Európskej únii, Zmluvou o fungovaní Európskej únie (ďalej len „ZFEÚ“) alebo Zmluvou o založení Európskeho spoločenstva pre atómovú energiu alebo na ich základe; |
| 2. | „sieť a informačný systém“ je sieť a informačný systém v zmysle vymedzenia v článku 6 bode 1 smernice (EÚ) 2022/2555; |
| 3. | „bezpečnosť sietí a informačných systémov“ je bezpečnosť sietí a informačných systémov v zmysle vymedzenia v článku 6 bode 2 smernice (EÚ) 2022/2555; |
| 4. | „kybernetická bezpečnosť“ je kybernetická bezpečnosť v zmysle vymedzenia v článku 2 bode 1 nariadenia (EÚ) 2019/881; |
| 5. | „manažment najvyššej úrovne“ je manažér, riadiaci orgán alebo orgán koordinácie a dohľadu, ktorý je zodpovedný za fungovanie subjektu Únie na najvyššej administratívnej úrovni s mandátom prijímať alebo schvaľovať rozhodnutia podľa mechanizmu správy a riadenia na vysokej úrovni tohto subjektu Únie bez toho, aby boli dotknuté formálne povinnosti iných úrovní manažmentu za dodržiavanie povinností a riadenie kybernetickobezpečnostných rizík v im prislúchajúcich oblastiach zodpovednosti; |
| 6. | „udalosť odvrátená v poslednej chvíli“ je udalosť odvrátená v poslednej chvíli v zmysle vymedzenia v článku 6 bode 5 smernice (EÚ) 2022/2555; |
| 7. | „incident“ je incident v zmysle vymedzenia v článku 6 bode 6 smernice (EÚ) 2022/2555; |
| 8. | „závažný incident“ je incident, ktorý spôsobí takú úroveň narušenia, ktorá presahuje schopnosť subjektu Únie a cert-eu reagovať naň, alebo ktorý má významný vplyv na najmenej dva subjekty Únie; |
| 9. | „rozsiahly kybernetický incident“ je rozsiahly kybernetický incident v zmysle vymedzenia v článku 6 bode 7 smernice (EÚ) 2022/2555; |
| 10. | „riešenie incidentov“ je riešenie incidentov v zmysle vymedzenia v článku 6 bode 8 smernice (EÚ) 2022/2555; |
| 11. | „kybernetická hrozba“ je kybernetická hrozba v zmysle vymedzenia v článku 2 bode 8 nariadenia (EÚ) 2019/881; |
| 12. | „významná kybernetická hrozba“ je významná kybernetická hrozba v zmysle vymedzenia v článku 6 bode 11 smernice (EÚ) 2022/2555; |
| 13. | „zraniteľnosť“ je zraniteľnosť v zmysle vymedzenia v článku 6 bode 15 smernice (EÚ) 2022/2555; |
| 14. | „kybernetickobezpečnostné riziko“ je riziko v zmysle vymedzenia v článku 6 bode 9 smernice (EÚ) 2022/2555; |
| 15. | „služba cloud computingu“ je služba cloud computingu v zmysle vymedzenia v článku 6 bode 30 smernice (EÚ) 2022/2555. |
Článok 4
Spracúvanie osobných údajov
1. Spracúvanie osobných údajov podľa tohto nariadenia zo strany CERT-EU, Medziinštitucionálnej rady pre kybernetickú bezpečnosť zriadenej podľa článku 10 a subjektov Únie sa vykonáva v súlade s nariadením (EÚ) 2018/1725.
2. Ak CERT-EU, Medziinštitucionálna rada pre kybernetickú bezpečnosť zriadená podľa článku 10 a subjekty Únie vykonávajú úlohy alebo plnia povinnosti podľa tohto nariadenia, spracúvajú a vymieňajú si osobné údaje len v potrebnom rozsahu a výlučne na účely výkonu týchto úloh alebo plnenia týchto povinností.
3. Spracúvanie osobitných kategórií osobných údajov uvedených v článku 10 ods. 1 nariadenia (EÚ) 2018/1725 sa považuje za potrebné z dôvodov významného verejného záujmu v súlade s článkom 10 ods. 2 písm. g) uvedeného nariadenia. Takéto údaje sa môžu spracúvať len v rozsahu potrebnom na vykonávanie opatrení na riadenie kybernetickobezpečnostných rizík uvedených v článkoch 6 a 8, na poskytovanie služieb CERT-EU podľa článku 13, na zdieľanie informácií o incidentoch podľa článku 17 ods. 3 a článku 18 ods. 3, na zdieľanie informácií podľa článku 20, na oznamovacie povinnosti podľa článku 21, na koordináciu a spoluprácu v oblasti reakcie na incidenty podľa článku 22 a na riadenie závažných incidentov podľa článku 23 tohto nariadenia. Keď subjekty Únie a cert-eu konajú ako prevádzkovatelia, uplatňujú technické opatrenia na zabránenie spracúvaniu osobitných kategórií osobných údajov na iné účely a stanovia vhodné a konkrétne opatrenia na ochranu základných práv a záujmov dotknutých osôb.
KAPITOLA II
OPATRENIA NA ZABEZPEČENIE VYSOKEJ SPOLOČNEJ ÚROVNE KYBERNETICKEJ BEZPEČNOSTI
Článok 6
Rámec riadenia, správy a kontroly kybernetickobezpečnostných rizík
1. Každý subjekt Únie po vykonaní počiatočného preskúmania kybernetickej bezpečnosti, ako je napríklad audit, zriadi do 8. apríla 2025 vnútorný rámec riadenia, správy a kontroly kybernetickobezpečnostných rizík (ďalej len „rámec“). Nad vytvorením rámca dohliada a zodpovedá zaň manažment najvyššej úrovne subjektu Únie.
2. Rámec sa vzťahuje na celé verejne prístupné prostredie IKT dotknutého subjektu Únie vrátane akéhokoľvek prostredia IKT v jeho priestoroch, siete prevádzkovej technológie v jeho priestoroch, externe zabezpečovaných aktív a služieb v prostrediach cloud computingu alebo služieb s hostingom tretích strán, mobilných zariadení, korporátnych sietí, podnikových sietí, ktoré nie sú pripojené k internetu, a akýchkoľvek zariadení pripojených k týmto prostrediam (ďalej len „prostredie IKT“). Rámec je založený na prístupe zohľadňujúcom všetky riziká.
3. Rámcom sa zabezpečí vysoká úroveň kybernetickej bezpečnosti. V rámci sa stanovujú vnútorné politiky kybernetickej bezpečnosti, vrátane cieľov a priorít, pre bezpečnosť sietí a informačných systémov, ako aj úlohy a povinnosti zamestnancov subjektu Únie poverených zabezpečením účinného vykonávania tohto nariadenia. Rámec zahŕňa aj mechanizmy na meranie účinnosti vykonávania.
4. Rámec sa vzhľadom na meniace sa kybernetickobezpečnostné riziká pravidelne preskúma, a to aspoň každé štyri roky. V náležitých prípadoch a po podaní žiadosti Medziinštitucionálnej rady pre kybernetickú bezpečnosť zriadenej podľa článku 10 možno rámec subjektu Únie aktualizovať na základe usmernení CERT-EU vychádzajúcich zo zistených incidentov alebo možných nedostatkov vo vykonávaní tohto nariadenia.
5. Manažment najvyššej úrovne každého subjektu Únie zodpovedá za vykonávanie tohto nariadenia a dohliada na dodržiavanie povinností súvisiacich s rámcom zo strany jeho organizácie.
6. V náležitých prípadoch a bez toho, aby bola dotknutá jeho zodpovednosť za vykonávanie tohto nariadenia, môže manažment najvyššej úrovne každého subjektu Únie delegovať osobitné povinnosti podľa tohto nariadenia na riadiacich pracovníkov v zmysle článku 29 ods. 2 služobného poriadku alebo iných úradníkov na rovnocennej úrovni v rámci dotknutého subjektu Únie. Bez ohľadu na takéto delegovanie môže byť manažment najvyššej úrovne braný na zodpovednosť za porušenie tohto nariadenia dotknutým subjektom Únie.
7. Každý subjekt Únie má zavedené účinné mechanizmy s cieľom zabezpečiť, aby sa na kybernetickú bezpečnosť vynakladal primeraný percentuálny podiel z rozpočtu na IKT. Pri stanovení tohto percentuálneho podielu sa náležite zohľadní rámec.
8. Každý subjekt Únie menuje miestneho úradníka pre kybernetickú bezpečnosť alebo osobu v rovnocennej funkcii, ktorá koná ako jeho jednotné kontaktné miesto v súvislosti so všetkými aspektmi kybernetickej bezpečnosti. Miestny úradník pre kybernetickú bezpečnosť pomáha s vykonávaním tohto nariadenia a pravidelne podáva správy o stave vykonávania priamo manažmentu najvyššej úrovne. Bez toho, aby bola dotknutá skutočnosť, že miestny úradník pre kybernetickú bezpečnosť je jednotným kontaktným miestom v každom subjekte Únie, subjekt Únie môže delegovať určité úlohy miestneho pracovníka pre kybernetickú bezpečnosť v súvislosti s vykonávaním tohto nariadenia na CERT-EU na základe dohody o úrovni poskytovaných služieb uzavretej medzi daným subjektom Únie a cert-eu, alebo tieto úlohy môžu spoločne vykonávať viaceré subjekty Únie. Ak sú tieto úlohy delegované na CERT-EU, Medziinštitucionálna rada pre kybernetickú bezpečnosť zriadená podľa článku 10 rozhodne, či poskytovanie takejto služby bude súčasťou základných služieb CERT-EU, pričom zohľadní ľudské a finančné zdroje dotknutého subjektu Únie. Každý subjekt Únie bez zbytočného odkladu oznámi CERT-EU vymenovaných miestnych úradníkov pre kybernetickú bezpečnosť a všetky následné vykonané zmeny.
CERT-EU zostaví a pravidelne aktualizuje zoznam vymenovaných miestnych úradníkov pre kybernetickú bezpečnosť.
9. Riadiaci pracovníci v zmysle článku 29 ods. 2 služobného poriadku alebo iní úradníci na rovnocennej úrovni každého subjektu Únie, ako aj všetci príslušní zamestnanci poverení výkonom opatrení a plnením povinností v oblasti riadenia kybernetickobezpečnostných rizík stanovených v tomto nariadení sa pravidelne zúčastňujú osobitnej odbornej prípravy s cieľom získať dostatočné vedomosti a zručnosti na pochopenie a posúdenie kybernetickobezpečnostných rizík a postupov ich riadenia, ako aj ich vplyvu na prevádzku subjektu Únie.
Článok 11
Úlohy IICB
IICB pri plnení svojich úloh predovšetkým:
| a) | poskytuje usmernenia vedúcemu CERT-EU; |
| b) | účinne monitoruje vykonávanie tohto nariadenia, dohliada nad jeho vykonávaním a podporuje subjekty Únie pri posilňovaní ich kybernetickej bezpečnosti, a to v náležitých prípadoch aj vyžiadaním ad hoc správ od subjektov Únie a cert-eu; |
| c) | v nadväznosti na strategickú diskusiu prijíma viacročnú stratégiu na zvýšenie úrovne kybernetickej bezpečnosti v subjektoch Únie, pravidelne ju posudzuje, a to aspoň každých päť rokov, a v prípade potreby ju mení; |
| d) | stanovuje metodiku a organizačné aspekty vykonávania dobrovoľných partnerských preskúmaní subjektmi Únie s cieľom čerpať sa zo spoločných skúseností, posilniť vzájomnú dôveru, dosiahnuť vysokú spoločnú úroveň kybernetickej bezpečnosti, ako aj posilniť spôsobilosti subjektov Únie v oblasti kybernetickej bezpečnosti, pričom sa zabezpečí, aby takéto partnerské preskúmania vykonávali odborníci na kybernetickú bezpečnosť určení iným subjektom Únie, než je subjekt Únie podstupujúci preskúmanie, a aby metodika vychádzala z článku 19 smernice (EÚ) 2022/2555 a v náležitých prípadoch bola prispôsobená subjektom Únie; |
| e) | na základe návrhu vedúceho CERT-EU schvaľuje ročný pracovný program CERT-EU a monitoruje jeho vykonávanie; |
| f) | na základe návrhu vedúceho CERT-EU schvaľuje katalóg služieb CERT-EU a všetky jeho aktualizácie; |
| g) | na základe návrhu vedúceho CERT-EU schvaľuje ročný finančný plán príjmov a výdavkov súvisiacich s činnosťami CERT-EU, ktorý zahŕňa aj plán počtu zamestnancov; |
| h) | na základe návrhu vedúceho CERT-EU schvaľuje postupy pre dohody o úrovni poskytovaných služieb; |
| i) | preskúmava a schvaľuje výročnú správu o činnostiach CERT-EU a správe jeho finančných prostriedkov, ktorú vypracoval vedúci CERT-EU; |
| j) | schvaľuje a monitoruje kľúčové ukazovatele výkonnosti (KPI) CERT-EU stanovené na základe návrhu vedúceho CERT-EU; |
| k) | schvaľuje dohody o spolupráci, dohody o úrovni poskytovaných služieb alebo zmluvy medzi CERT-EU a inými subjektmi podľa článku 18; |
| l) | prijíma usmernenia a odporúčania na základe návrhu CERT-EU v súlade s článkom 14 a dáva CERT-EU pokyn na vydanie, zrušenie alebo zmenu návrhu usmernení alebo odporúčaní, alebo výzvy na činnosť; |
| m) | zriaďuje technické poradné skupiny poverené konkrétnymi úlohami na pomoc pri práci IICB, schvaľuje ich mandát a menuje ich predsedov; |
| n) | prijíma a posudzuje dokumenty a správy predložené subjektmi Únie podľa tohto nariadenia, ako sú napríklad posúdenia vyspelosti v oblasti kybernetickej bezpečnosti; |
| o) | umožní zriadenie neformálnej skupiny miestnych úradníkov pre kybernetickú bezpečnosť subjektov Únie, podporovanej agentúrou ENISA, s cieľom vymieňať si najlepšie postupy a informácie v súvislosti s vykonávaním tohto nariadenia; |
| p) | s prihliadnutím na informácie o identifikovaných kybernetickobezpečnostných rizikách a získané poznatky, ktoré poskytuje CERT-EU, monitoruje primeranosť dohôd o prepojení medzi prostrediami IKT subjektov Únie a poskytuje poradenstvo o možných zlepšeniach; |
| q) | vypracuje plán riadenia kybernetických kríz s cieľom podporiť koordinované riadenie závažných incidentov, ktoré majú vplyv na subjekty Únie, na operačnej úrovni a prispieť k pravidelnej výmene relevantných informácií, najmä pokiaľ ide o dosah a závažnosť závažných incidentov a možné spôsoby zmiernenia ich vplyvov; |
| r) | koordinuje prijímanie plánov riadenia kybernetických kríz jednotlivých subjektov Únie uvedených v článku 9 ods. 2; |
| s) | prijíma odporúčania týkajúce sa bezpečnosti dodávateľského reťazca uvedenej v článku 8 ods. 2 prvom pododseku písm. m), pričom prihliada na výsledky koordinovaných posúdení bezpečnostných rizík kritických dodávateľských reťazcov na úrovni Únie uvedených v článku 22 smernice (EÚ) 2022/2555, aby podporila subjekty Únie pri prijímaní účinných a primeraných opatrení na riadenie kybernetickobezpečnostných rizík. |
Článok 19
Zaobchádzanie s informáciami
1. Subjekty Únie a cert-eu rešpektujú povinnosť služobného tajomstva v súlade s článkom 339 ZFEÚ alebo s rovnocennými uplatniteľnými rámcami.
2. V súvislosti so žiadosťami o prístup verejnosti k dokumentom v držbe CERT-EU sa uplatňuje nariadenie Európskeho parlamentu a Rady (ES) č. 1049/2001 (10) vrátane povinnosti podľa daného nariadenia poradiť sa s ďalšími subjektmi Únie alebo v relevantných prípadoch s členskými štátmi vždy, keď sa žiadosť týka ich dokumentov.
3. Zaobchádzanie s informáciami zo strany subjektov Únie a cert-eu je v súlade s príslušnými pravidlami o informačnej bezpečnosti.
whereas