keyboard_tab Cyber Resilience Act 2023/2841 SK

1.   Poslaním CERT-EU je prispievať k bezpečnosti verejne prístupných prostredí IKT subjektov Únie tým, že im poskytuje poradenstvo v oblasti kybernetickej bezpečnosti, pomáha im predchádzať incidentom, odhaľovať ich, riešiť ich, zmierňovať ich účinky, reagovať na ne a zotaviť sa z nich a koná ako ich centrum na výmenu informácií a koordináciu reakcie na incidenty v oblasti kybernetickej bezpečnosti.

2.   CERT-EU získava, spravuje a analyzuje informácie o kybernetických hrozbách, zraniteľnostiach a incidentoch týkajúcich sa verejne prístupných infraštruktúr IKT a zdieľa ich so subjektmi Únie. Koordinuje reakcie na incidenty na medziinštitucionálnej úrovni a na úrovni subjektov Únie, a to aj poskytovaním špecializovanej operačnej pomoci alebo koordináciou jej poskytovania.

3.   Ako pomoc pre subjekty Únie vykonáva CERT-EU tieto úlohy:

Informácie uvedené v prvom pododseku písm. e) sa zdieľajú s IICB, sieťou jednotiek CSIRT a v náležitých a vhodných prípadoch so Spravodajským a situačným centrom Európskej únie (ďalej len „EU INTCEN“), a to pri dodržaní primeraných podmienok dôvernosti.

4.   CERT-EU môže v súlade s článkom 17 alebo 18 spolupracovať s príslušnými komunitami kybernetickej bezpečnosti v Únii a jej členských štátoch, a to aj v týchto oblastiach:

5.   CERT-EU v rámci svojich právomocí štruktúrovane spolupracuje s agentúrou ENISA pri budovaní kapacít, operačnej spolupráci a dlhodobých strategických analýzach kybernetických hrozieb v súlade s nariadením (EÚ) 2019/881. CERT-EU môže spolupracovať a vymieňať si informácie s Európskym centrom boja proti počítačovej kriminalite pri Europole.

6.   CERT-EU môže poskytovať tieto služby, ktoré nie sú opísané v jeho katalógu služieb (spoplatnené služby):

S ohľadom na prvý pododsek písm. d) CERT-EU môže výnimočne uzavrieť dohody o úrovni poskytovaných služieb s inými subjektmi, než sú subjekty Únie, a to s predchádzajúcim povolením IICB.

7.   CERT-EU organizuje cvičenia v oblasti kybernetickej bezpečnosti a môže sa na nich zúčastňovať alebo odporúčať účasť na existujúcich cvičeniach, a to v náležitých prípadoch v úzkej spolupráci s agentúrou ENISA, s cieľom testovať úroveň kybernetickej bezpečnosti subjektov Únie.

8.   CERT-EU môže subjektom Únie poskytovať pomoc s incidentmi v sieťach a informačných systémoch, v ktorých sa zaobchádza s utajovanými skutočnosťami EÚ, ak o to dotknuté subjekty Únie výslovne požiadajú v súlade so svojimi príslušnými postupmi. Poskytovaním pomoci zo strany CERT-EU podľa tohto odseku nie sú dotknuté príslušné pravidlá týkajúce sa ochrany utajovaných skutočností.

9.   CERT-EU informuje subjekty Únie o svojich postupoch a procesoch riešenia incidentov.

10.   Zachovávajúc vysokú mieru dôvernosti a spoľahlivosti CERT-EU prispieva prostredníctvom vhodných mechanizmov spolupráce a hierarchických vzťahov k relevantným a anonymizovaným informáciám o závažných incidentoch a o spôsobe, akým boli riešené. Uvedené informácie sa zahrnú do správy uvedenej v článku 10 ods. 14.

11.   CERT-EU v spolupráci s európsky dozorným úradníkom pre ochranu osobných údajov podporuje dotknuté subjekty Únie pri riešení incidentov, ktoré majú za následok porušenie ochrany osobných údajov, bez toho, aby boli dotknuté kompetencie a úlohy európskeho dozorného úradníka pre ochranu osobných údajov ako orgánu dohľadu podľa nariadenia (EÚ) 2018/1725.

12.   CERT-EU môže subjektom Únie poskytnúť technické poradenstvo alebo informácie o relevantných politických otázkach, ak o to politické oddelenia subjektov Únie výslovne požiadajú.

1.   Vedúceho CERT-EU vymenuje Komisia po jeho schválení dvojtretinovou väčšinou členov IICB. Vo všetkých fázach postupu vymenovania, najmä pri vypracúvaní oznámení o voľnom pracovnom mieste, posudzovaní prihlášok a vymenovaní výberových komisií v súvislosti s uvedeným miestom, sa uskutočňujú konzultácie s IICB. Vo výberovom konaní vrátane konečného užšieho zoznamu kandidátov, z ktorých sa vedúci CERT-EU má vymenovať, sa zabezpečí spravodlivé rodové zastúpenie, pričom sa zohľadnia predložené prihlášky.

2.   Vedúci CERT-EU zodpovedá za riadne fungovanie CERT-EU a koná v rámci právomocí jeho funkcie a pod vedením IICB. Vedúci CERT-EU predkladá pravidelné správy predsedovi IICB a na požiadanie podáva IICB ad hoc správy.

3.   Vedúci CERT-EU pomáha zodpovednému povoľujúcemu úradníkovi vymenovanému delegovaním pri vypracúvaní výročnej správy o činnosti, ktorá obsahuje finančné informácie a informácie o riadení vrátane výsledkov kontrol a ktorá sa vypracúva v súlade s článkom 74 ods. 9 nariadenia Európskeho parlamentu a Rady (EÚ, Euratom) 2018/1046 (9), a pravidelne povoľujúcemu úradníkovi vymenovanému delegovaním podáva správy o vykonávaní opatrení, v súvislosti s ktorými sa na vedúceho CERT-EU subdelegovali právomoci.

4.   Vedúci CERT-EU každoročne vypracuje finančné plánovanie administratívnych príjmov a výdavkov na jeho činnosti, návrh ročného pracovného programu, návrh katalógu služieb CERT-EU, návrh revízií katalógu služieb, návrh dohôd o úrovni poskytovaných služieb a návrh kľúčových ukazovateľov výkonnosti (KPI) pre CERT-EU, ktoré má schváliť IICB v súlade s článkom 11. Pri revízii zoznamu služieb v katalógu služieb CERT-EU vedúci CERT-EU zohľadní zdroje pridelené CERT-EU.

5.   Vedúci CERT-EU aspoň raz ročne predkladá IICB a predsedovi IICB správy o činnostiach a výkonnosti CERT-EU počas referenčného obdobia, a to aj o plnení rozpočtu, dohodách o úrovni poskytovaných služieb a uzatvorených písomných dohodách, spolupráci s náprotivkami a partnermi, ako aj o služobných cestách zamestnancov, vrátane správ uvedených v článku 11. Uvedené správy zahŕňajú pracovný program na nasledujúce obdobie, finančný plán príjmov a výdavkov vrátane plánu počtu zamestnancov, plánované aktualizácie katalógu služieb CERT-EU a posúdenie očakávaného vplyvu, ktorý takéto aktualizácie môžu mať na finančné a ľudské zdroje.

1.   CERT-EU sa začlení do administratívnej štruktúry generálneho riaditeľstva Komisie, aby mohol využívať administratívnu podpornú štruktúru a podpornú štruktúru finančného riadenia a účtovníctva Komisie a zároveň si zachovať svoje postavenie nezávislého medziinštitucionálneho poskytovateľa služieb pre všetky subjekty Únie. Komisia informuje IICB o administratívnom umiestnení CERT-EU a o všetkých jeho následných zmenách. Komisia pravidelne a v každom prípade pred vytvorením akéhokoľvek viacročného finančného rámca podľa článku 312 ZFEÚ preskúma správne dojednania týkajúce sa CERT-EU, aby bolo možné prijať vhodné opatrenia. Preskúmanie zahŕňa možnosť zriadiť CERT-EU ako úrad Únie.

2.   Pri uplatňovaní administratívnych a finančných postupov koná vedúci CERT-EU pod vedením Komisie a pod dohľadom IICB.

3.   Úlohy a činnosti CERT-EU vrátane služieb, ktoré CERT-EU poskytuje podľa článku 13 ods. 3, 4, 5 a 7 a článku 14 ods. 1 subjektom Únie financovaným v rámci okruhu viacročného finančného rámca určeného pre európsku verejnú administratívu, sa financujú zo samostatného rozpočtového riadku v rozpočte Komisie. Pracovné miesta vyčlenené pre CERT-EU sa detailne uvádzajú v poznámke pod čiarou plánu pracovných miest Komisie.

4.   Iné subjekty Únie než subjekty uvedené v odseku 3 tohto článku poskytujú CERT-EU ročný finančný príspevok na úhradu služieb, ktoré CERT-EU poskytuje podľa daného odseku. Príspevky vychádzajú z usmernení IICB a každý subjekt Únie si ich dohodne s CERT-EU v dohodách o úrovni poskytovaných služieb. Príspevky predstavujú spravodlivý a primeraný podiel z celkových nákladov na poskytnuté služby. Započítajú sa do samostatného rozpočtového riadka uvedeného v odseku 3 tohto článku ako vnútorné pripísané príjmy, ako sa stanovuje v článku 21 ods. 3 písm. c) nariadenia (EÚ, Euratom) 2018/1046.

5.   Náklady na služby vymedzené v článku 13 ods. 6 uhrádzajú subjekty Únie, ktorým CERT-EU poskytol služby. Príjmy sa pripíšu do rozpočtových riadkov na podporu nákladov.

1.   CERT-EU môže spolupracovať s inými náprotivkami v Únii, než sú tie, ktoré sú uvedené v článku 17 a na ktoré sa vzťahujú požiadavky Únie na kybernetickú bezpečnosť, vrátane náprotivkov z konkrétnych odvetví v oblasti nástrojov a metód, ako sú napríklad techniky, taktiky, postupy a najlepšie postupy, ako aj v oblasti kybernetických hrozieb a zraniteľností. Na každú spoluprácu s takýmito náprotivkami si CERT-EU v každom konkrétnom prípade vyžiada predchádzajúce povolenie IICB. Keď CERT-EU nadviaže spoluprácu s takýmito náprotivkami, informuje o tom všetky príslušné náprotivky v členskom štáte uvedené v článku 17 ods. 1 v členskom štáte, v ktorom sa náprotivok nachádza. V náležitých a vhodných prípadoch sa takáto spolupráca a jej podmienky, a to aj pokiaľ ide o kybernetickú bezpečnosť, ochranu údajov a zaobchádzanie s informáciami, stanovia v osobitných dohodách o zachovaní dôvernosti, ako sú napríklad zmluvy alebo správne dojednania. Dohody o zachovaní dôvernosti si nevyžadujú predchádzajúce povolenie zo strany IICB, ale predseda IICB o nich musí byť informovaný. V prípade naliehavej a bezprostrednej potreby výmeny informácií o kybernetickej bezpečnosti v záujme subjektov Únie alebo inej strany môže CERT-EU takúto výmenu urobiť so subjektom, ktorého osobitná spôsobilosť, kapacita a odborné znalosti sa oprávnene vyžadujú na pomoc s takouto naliehavou a bezprostrednou potrebou, a to aj v prípade, že CERT-EU nemá s daným subjektom uzavretú dohodu o zachovaní dôvernosti. V takýchto prípadoch CERT-EU bezodkladne informuje predsedu IICB a podáva IICB informácie prostredníctvom pravidelných správ alebo zasadnutí.

2.   CERT-EU môže spolupracovať s partnermi, ako sú napríklad obchodné subjekty vrátane subjektov z konkrétnych odvetví, medzinárodné organizácie, vnútroštátne subjekty z tretích krajín alebo jednotliví odborníci, s cieľom zhromažďovať informácie o všeobecných a konkrétnych kybernetických hrozbách, udalostiach odvrátených v poslednej chvíli, zraniteľnostiach a možných protiopatreniach. Na širšiu spoluprácu s týmito partnermi si CERT-EU v každom konkrétnom prípade vyžiada predchádzajúce povolenie IICB.

3.   CERT-EU môže so súhlasom subjektu Únie zasiahnutého incidentom a pod podmienkou, že s relevantným náprotivkom alebo partnerom má uzavretú dohodu alebo zmluvu o nezverejňovaní informácií, poskytnúť informácie týkajúce sa konkrétneho incidentu náprotivkom alebo partnerom uvedeným v odsekoch 1 a 2 výlučne na účely príspevku k analýze incidentu.