keyboard_tab Cyber Resilience Act 2023/2841 SK

1.   Medziinštitucionálna rada pre kybernetickú bezpečnosť zriadená podľa článku 10 po konzultácii s Agentúrou Európskej únie pre kybernetickú bezpečnosť (ďalej len „ENISA“) a po prijatí usmernení od cert-eu vydá do 8. septembra 2024 usmernenia pre subjekty Únie na účely vykonania počiatočného preskúmania kybernetickej bezpečnosti a vytvorenia vnútorného rámca riadenia, správy a kontroly kybernetickobezpečnostných rizík podľa článku 6, vykonávania posúdení vyspelosti v oblasti kybernetickej bezpečnosti podľa článku 7, prijatia opatrení na riadenie kybernetickobezpečnostných rizík podľa článku 8 a prijatia plánu kybernetickej bezpečnosti podľa článku 9.

2.   Pri vykonávaní článkov 6 až 9 subjekty Únie zohľadňujú usmernenia uvedené v odseku 1 tohto článku, ako aj príslušné usmernenia a odporúčania prijaté podľa článkov 11 a 14.

1.   Každý subjekt Únie po vykonaní počiatočného preskúmania kybernetickej bezpečnosti, ako je napríklad audit, zriadi do 8. apríla 2025 vnútorný rámec riadenia, správy a kontroly kybernetickobezpečnostných rizík (ďalej len „rámec“). Nad vytvorením rámca dohliada a zodpovedá zaň manažment najvyššej úrovne subjektu Únie.

2.   Rámec sa vzťahuje na celé verejne prístupné prostredie IKT dotknutého subjektu Únie vrátane akéhokoľvek prostredia IKT v jeho priestoroch, siete prevádzkovej technológie v jeho priestoroch, externe zabezpečovaných aktív a služieb v prostrediach cloud computingu alebo služieb s hostingom tretích strán, mobilných zariadení, korporátnych sietí, podnikových sietí, ktoré nie sú pripojené k internetu, a akýchkoľvek zariadení pripojených k týmto prostrediam (ďalej len „prostredie IKT“). Rámec je založený na prístupe zohľadňujúcom všetky riziká.

3.   Rámcom sa zabezpečí vysoká úroveň kybernetickej bezpečnosti. V rámci sa stanovujú vnútorné politiky kybernetickej bezpečnosti, vrátane cieľov a priorít, pre bezpečnosť sietí a informačných systémov, ako aj úlohy a povinnosti zamestnancov subjektu Únie poverených zabezpečením účinného vykonávania tohto nariadenia. Rámec zahŕňa aj mechanizmy na meranie účinnosti vykonávania.

4.   Rámec sa vzhľadom na meniace sa kybernetickobezpečnostné riziká pravidelne preskúma, a to aspoň každé štyri roky. V náležitých prípadoch a po podaní žiadosti Medziinštitucionálnej rady pre kybernetickú bezpečnosť zriadenej podľa článku 10 možno rámec subjektu Únie aktualizovať na základe usmernení cert-eu vychádzajúcich zo zistených incidentov alebo možných nedostatkov vo vykonávaní tohto nariadenia.

5.   Manažment najvyššej úrovne každého subjektu Únie zodpovedá za vykonávanie tohto nariadenia a dohliada na dodržiavanie povinností súvisiacich s rámcom zo strany jeho organizácie.

6.   V náležitých prípadoch a bez toho, aby bola dotknutá jeho zodpovednosť za vykonávanie tohto nariadenia, môže manažment najvyššej úrovne každého subjektu Únie delegovať osobitné povinnosti podľa tohto nariadenia na riadiacich pracovníkov v zmysle článku 29 ods. 2 služobného poriadku alebo iných úradníkov na rovnocennej úrovni v rámci dotknutého subjektu Únie. Bez ohľadu na takéto delegovanie môže byť manažment najvyššej úrovne braný na zodpovednosť za porušenie tohto nariadenia dotknutým subjektom Únie.

7.   Každý subjekt Únie má zavedené účinné mechanizmy s cieľom zabezpečiť, aby sa na kybernetickú bezpečnosť vynakladal primeraný percentuálny podiel z rozpočtu na IKT. Pri stanovení tohto percentuálneho podielu sa náležite zohľadní rámec.

8.   Každý subjekt Únie menuje miestneho úradníka pre kybernetickú bezpečnosť alebo osobu v rovnocennej funkcii, ktorá koná ako jeho jednotné kontaktné miesto v súvislosti so všetkými aspektmi kybernetickej bezpečnosti. Miestny úradník pre kybernetickú bezpečnosť pomáha s vykonávaním tohto nariadenia a pravidelne podáva správy o stave vykonávania priamo manažmentu najvyššej úrovne. Bez toho, aby bola dotknutá skutočnosť, že miestny úradník pre kybernetickú bezpečnosť je jednotným kontaktným miestom v každom subjekte Únie, subjekt Únie môže delegovať určité úlohy miestneho pracovníka pre kybernetickú bezpečnosť v súvislosti s vykonávaním tohto nariadenia na cert-eu na základe dohody o úrovni poskytovaných služieb uzavretej medzi daným subjektom Únie a cert-eu, alebo tieto úlohy môžu spoločne vykonávať viaceré subjekty Únie. Ak sú tieto úlohy delegované na cert-eu, Medziinštitucionálna rada pre kybernetickú bezpečnosť zriadená podľa článku 10 rozhodne, či poskytovanie takejto služby bude súčasťou základných služieb cert-eu, pričom zohľadní ľudské a finančné zdroje dotknutého subjektu Únie. Každý subjekt Únie bez zbytočného odkladu oznámi cert-eu vymenovaných miestnych úradníkov pre kybernetickú bezpečnosť a všetky následné vykonané zmeny.

cert-eu zostaví a pravidelne aktualizuje zoznam vymenovaných miestnych úradníkov pre kybernetickú bezpečnosť.

9.   Riadiaci pracovníci v zmysle článku 29 ods. 2 služobného poriadku alebo iní úradníci na rovnocennej úrovni každého subjektu Únie, ako aj všetci príslušní zamestnanci poverení výkonom opatrení a plnením povinností v oblasti riadenia kybernetickobezpečnostných rizík stanovených v tomto nariadení sa pravidelne zúčastňujú osobitnej odbornej prípravy s cieľom získať dostatočné vedomosti a zručnosti na pochopenie a posúdenie kybernetickobezpečnostných rizík a postupov ich riadenia, ako aj ich vplyvu na prevádzku subjektu Únie.

1.   Bez zbytočného odkladu a v každom prípade do 8. septembra 2025 prijme každý subjekt Únie pod dohľadom svojho manažmentu najvyššej úrovne vhodné a primerané technické, prevádzkové a organizačné opatrenia na riadenie kybernetickobezpečnostných rizík identifikovaných prostredníctvom rámca a na predchádzanie incidentom alebo minimalizáciu ich následkov. S ohľadom na najnovšie a v náležitých prípadoch relevantné európske a medzinárodné normy sa uvedenými opatreniami zabezpečí úroveň bezpečnosti sietí a informačných systémov v celom prostredí IKT zodpovedajúca identifikovaným kybernetickobezpečnostným rizikám. Pri posudzovaní primeranosti týchto opatrení sa náležite zohľadní stupeň vystavenia subjektu Únie kybernetickobezpečnostným rizikám, jeho veľkosť a pravdepodobnosť výskytu incidentov a ich závažnosť vrátane ich spoločenského, hospodárskeho a medziinštitucionálneho vplyvu.

2.   Pri vykonávaní opatrení na riadenie kybernetickobezpečnostných rizík sa subjekty Únie zameriavajú aspoň na tieto oblasti:

a)	politiku kybernetickej bezpečnosti vrátane opatrení potrebných na dosiahnutie cieľov a priorít uvedených v článku 6 a v odseku 3 tohto článku;

b)	zásady analýzy kybernetickobezpečnostných rizík a bezpečnosti informačných systémov;

c)	ciele politiky týkajúce sa využívania služieb cloud computingu;

d)	v náležitých prípadoch audit kybernetickej bezpečnosti, ktorý môže zahŕňať posúdenie kybernetickobezpečnostných rizík, zraniteľností a kybernetických hrozieb, a penetračné testovanie, ktoré pravidelne vykonáva dôveryhodný súkromný poskytovateľ;

e)	vykonávanie odporúčaní vyplývajúcich z auditov kybernetickej bezpečnosti uvedených v písmene d) prostredníctvom aktualizácií kybernetickej bezpečnosti a politiky;

f)	organizáciu kybernetickej bezpečnosti vrátane vymedzenia úloh a povinností;

g)	správu aktív vrátane inventára aktív IKT a kartografie sietí IKT;

h)	bezpečnosť ľudských zdrojov a kontrolu prístupu;

i)	bezpečnosť operácií;

j)	komunikačnú bezpečnosť;

k)	nadobudnutie, vývoj a údržbu systému vrátane zásad riešenia a zverejňovania zraniteľností;

l)	ak je to možné, zásady transparentnosti zdrojového kódu;

m)	bezpečnosť dodávateľského reťazca vrátane bezpečnostných aspektov týkajúcich sa vzťahov medzi každým subjektom Únie a jeho priamymi dodávateľmi alebo poskytovateľmi služieb;

n)	riešenie incidentov a spoluprácu s cert-eu, ako je napríklad údržba monitorovania bezpečnosti a logovania;

o)	riadenie kontinuity činností, ako je napríklad riadenie zálohovania a obnova systému po havárii, a krízové riadenie; a

p)	propagáciu a vývoj programov, pokiaľ ide o vzdelávanie, nadobúdanie zručností, zvyšovanie informovanosti, cvičenia a odbornú prípravu v oblasti kybernetickej bezpečnosti.

Na účely prvého pododseku písm. m) subjekty Únie zohľadňujú zraniteľnosti špecifické pre každého priameho dodávateľa a poskytovateľa služieb a celkovú kvalitu produktov a postupy ich dodávateľov a poskytovateľov služieb v oblasti kybernetickej bezpečnosti vrátane ich postupov bezpečného vývoja.

3.   Subjekty Únie prijmú aspoň tieto opatrenia na riadenie kybernetickobezpečnostných rizík:

a)	technické opatrenia na umožnenie a udržanie telepráce;

b)	konkrétne kroky na prechod k zásadám nulovej dôvery;

c)	používanie dvojstupňovej autentifikácie ako normy v sieťach a informačných systémoch;

d)	používanie kryptografie a šifrovania, najmä šifrovania bez medzifáz, ako aj bezpečných digitálnych podpisov;

e)	v náležitých prípadoch zavedenie zabezpečenej hlasovej, video a textovej komunikácie a zabezpečených systémov tiesňovej komunikácie v rámci subjektu Únie;

f)	proaktívne opatrenia na odhaľovanie a odstraňovanie malvéru a špionážneho softvéru;

g)	zavedenie bezpečnosti dodávateľského reťazca softvéru prostredníctvom kritérií bezpečného vývoja a hodnotenia softvéru;

h)	vypracovanie a schválenie učebných plánov odbornej prípravy v oblasti kybernetickej bezpečnosti zodpovedajúce predpísaným úlohám a očakávaným spôsobilostiam manažmentu najvyššej úrovne a zamestnancov subjektu Únie poverených zaistením účinného vykonávania tohto nariadenia;

i)	pravidelná odborná príprava zamestnancov v oblasti kybernetickej bezpečnosti;

j)	v relevantných prípadoch účasť na analýzach rizík prepojení medzi subjektmi Únie;

k)

posilnenie pravidiel obstarávania s cieľom uľahčiť dosiahnutie vysokej spoločnej úrovne kybernetickej bezpečnosti prostredníctvom: i) odstránenia zmluvných prekážok, ktoré obmedzujú zdieľanie informácií cert-eu o incidentoch, zraniteľnostiach a kybernetických hrozbách poskytovateľmi služieb IKT; ii) zmluvných povinností oznamovať incidenty, zraniteľnosti a kybernetické hrozby, ako aj mať zavedené mechanizmy primeranej reakcie na incidenty a monitorovania incidentov.

1.   Zriaďuje sa Medziinštitucionálna rada pre kybernetickú bezpečnosť (ďalej len „IICB“).

2.   IICB zodpovedá za:

a)	monitorovanie a presadzovanie vykonávania tohto nariadenia subjektmi Únie;

b)	dohľad nad vykonávaním všeobecných priorít a cieľov cert-eu, ako aj strategické riadenie cert-eu.

3.   IICB tvoria:

a)

jeden zástupca vymenovaný každým z týchto subjektov: i) Európsky parlament; ii) Európska rada iii) Rada Európskej únie; iv) Komisia; v) Súdny dvor Európskej únie; vi) Európska centrálna banka; vii) Dvor audítorov; viii) Európska služba pre vonkajšiu činnosť; ix) Európsky hospodársky a sociálny výbor; x) Európsky výbor regiónov; xi) Európska investičná banka; xii) Európske centrum priemyselných, technologických a výskumných kompetencií v oblasti kybernetickej bezpečnosti; xiii) agentúra ENISA; xiv) európsky dozorný úradník pre ochranu údajov; xv) Agentúra Európskej únie pre vesmírny program;

b)	traja zástupcovia vymenovaní sieťou agentúr EÚ (ďalej len „EUAN“) na návrh jej poradného výboru pre IKT, ktorí zastupujú záujmy orgánov, úradov a agentúr Únie, ktoré prevádzkujú svoje vlastné prostredie IKT, ktoré sa líši od prostredí uvedených v písmene a).

Subjekty Únie zastúpené v IICB sa snažia dosiahnuť rodovú rovnováhu vymenovaných zástupcov.

4.   Členom IICB môže pomáhať náhradník. Predseda môže pozvať iných zástupcov subjektov Únie uvedených v odseku 3 alebo iných subjektov Únie, aby sa zúčastnili na zasadnutiach IICB bez hlasovacieho práva.

5.   Na zasadnutiach IICB sa ako pozorovatelia môžu zúčastňovať vedúci cert-eu a predseda skupiny pre spoluprácu zriadenej podľa článku 14 smernice (EÚ) 2022/2555, predseda siete jednotiek CSIRT zriadenej podľa článku 15 smernice 2022/2555 a predseda siete EU-CyCLONe zriadenej podľa článku 16 smernice (EÚ) 2022/2555 alebo ich náhradníci. Vo výnimočných prípadoch môže IICB v súlade so svojim vnútorným rokovacím poriadkom rozhodnúť inak.

6.   IICB prijme svoj vnútorný rokovací poriadok.

7.   IICB v súlade so svojím vnútorným rokovacím poriadkom vymenuje spomedzi svojich členov predsedu na obdobie troch rokov. Náhradník predsedu sa na rovnaké obdobie stáva riadnym členom IICB.

8.   IICB zasadá aspoň trikrát do roka z iniciatívy svojho predsedu, na žiadosť cert-eu alebo na žiadosť ktoréhokoľvek zo svojich členov.

9.   Každý člen IICB má jeden hlas. IICB prijíma rozhodnutia jednoduchou väčšinou, ak v tomto nariadení nie je stanovené inak. Predseda IICB nehlasuje, s výnimkou prípadov rovnosti hlasov, keď môže udeliť rozhodujúci hlas.

10.   IICB môže konať prostredníctvom zjednodušeného písomného postupu iniciovaného v súlade s vnútorným rokovacím poriadkom IICB. Pri uvedenom postupe sa príslušné rozhodnutie považuje za schválené v lehote stanovenej predsedom, okrem prípadov, keď niektorý z členov vznesie námietku.

11.   Sekretariát IICB zabezpečuje Komisia a zodpovedá sa predsedovi IICB.

12.   Členom siete EUAN oznamujú rozhodnutia IICB zástupcovia vymenovaní sieťou EUAN. Ktorýkoľvek člen siete EUAN má právo obrátiť sa na týchto zástupcov alebo predsedu IICB s každou záležitosťou, na ktorú by podľa jeho názoru mala byť IICB upozornená.

13.   IICB môže zriadiť výkonný výbor, ktorý jej pomáha pri práci, a delegovať mu niektoré svoje úlohy a právomoci. IICB stanoví rokovací poriadok výkonného výboru vrátane jeho úloh a právomocí, ako aj funkčné obdobie jeho členov.

14.   IICB predloží Európskemu parlamentu a Rade do 8. januára 2025 a následne každoročne správu, v ktorej podrobne opíše pokrok dosiahnutý pri vykonávaní tohto nariadenia a v ktorej uvedie najmä rozsah spolupráce cert-eu s náprotivkami v členskom štáte v každom členskom štáte. Táto správa sa použije ako zdroj informácií na vypracovanie správy o stave kybernetickej bezpečnosti v Únii prijímanej každé dva roky v súlade s článkom 18 smernice (EÚ) 2022/2555.

1.   IICB podľa článku 10 ods. 2 a článku 11 účinne monitoruje vykonávanie tohto nariadenia a prijatých usmernení, odporúčaní a výziev na činnosť subjektmi Únie. IICB môže od subjektov Únie požadovať informácie alebo dokumentáciu potrebné na tento účel. Na účely prijatia opatrení na zabezpečenie dodržiavania povinností podľa tohto článku nemá dotknutý subjekt Únie hlasovacie práva, ak je daný subjekt Únie priamo zastúpený v IICB.

2.   Keď IICB zistí, že subjekt Únie toto nariadenie alebo usmernenia, odporúčania alebo výzvy na činnosť vydané podľa tohto nariadenia účinne nevykonáva, bez toho, aby boli dotknuté vnútorné postupy dotknutého subjektu Únie, a po poskytnutí možnosti dotknutému subjektu Únie predložiť svoje vyjadrenie, IICB môže:

a)	dať dotknutému subjektu Únie na vedomie odôvodnené stanovisko so zistenými nedostatkami vo vykonávaní tohto nariadenia;

b)	po porade s cert-eu poskytnúť dotknutému subjektu Únie usmernenia s cieľom zabezpečiť súlad jeho rámca, opatrení na riadenie kybernetickobezpečnostných rizík, plánu kybernetickej bezpečnosti a oznamovania s týmto nariadením v stanovenej lehote;

c)	vydať varovanie na vyriešenie zistených nedostatkov v stanovenej lehote, ktoré bude obsahovať aj odporúčania na zmenu opatrení prijatých dotknutým subjektom Únie podľa tohto nariadenia;

d)	vydať odôvodnené oznámenie adresované dotknutému subjektu Únie v prípade, že nedostatky zistené vo varovaní vydanom podľa písmena c) neboli v stanovenej lehote dostatočne vyriešené;

e)	vydať: i) odporúčanie, aby sa vykonal audit; alebo ii) žiadosť, aby audit vykonal audítorský útvar tretej strany;

f)	v príslušných prípadoch informovať Dvor audítorov v rámci jeho mandátu o údajnom nedodržiavaní povinností;

g)	vydať odporúčanie pre všetky členské štáty a subjekty Únie na dočasné pozastavenie tokov údajov do dotknutého subjektu Únie.

Na účely prvého pododseku písm. c) sa primerane obmedzia adresáti varovania, v prípade potreby vzhľadom na závažné kybernetickobezpečnostné riziko.

Varovania a odporúčania vydané podľa prvého pododseku sú adresované manažmentu najvyššej úrovne dotknutého subjektu Únie.

3.   Ak IICB prijala opatrenia podľa odseku 2 prvého pododseku písm. a) až g), dotknutý subjekt Únie poskytne podrobný opis opatrení a krokov prijatých na vyriešenie údajných nedostatkov, ktoré IICB zistila. Subjekt Únie predloží tento podrobný opis v primeranej lehote, ktorú si dohodne s IICB.

4.   Ak sa IICB domnieva, že subjekt Únie neustále porušuje toto nariadenie a že toto porušovanie vyplýva priamo z konania alebo opomenutia úradníka alebo iného zamestnanca Únie, a to aj z radov manažmentu najvyššej úrovne, IICB požiada dotknutý subjekt Únie, aby prijal primerané opatrenia a aby zvážil prijatie disciplinárneho opatrenia, a to v súlade s pravidlami a postupmi stanovenými v služobnom poriadku a akýmikoľvek inými uplatniteľnými pravidlami a postupmi. Na tento účel IICB postúpi potrebné informácie dotknutému subjektu Únie.

5.   Ak subjekty Únie oznámia, že nie sú schopné dodržať lehoty stanovené v článku 6 ods. 1 a článku 8 ods. 1, IICB môže v riadne odôvodnených prípadoch a s prihliadnutím na veľkosť daného subjektu Únie povoliť predĺženie týchto lehôt.

1.   Poslaním cert-eu je prispievať k bezpečnosti verejne prístupných prostredí IKT subjektov Únie tým, že im poskytuje poradenstvo v oblasti kybernetickej bezpečnosti, pomáha im predchádzať incidentom, odhaľovať ich, riešiť ich, zmierňovať ich účinky, reagovať na ne a zotaviť sa z nich a koná ako ich centrum na výmenu informácií a koordináciu reakcie na incidenty v oblasti kybernetickej bezpečnosti.

2.   cert-eu získava, spravuje a analyzuje informácie o kybernetických hrozbách, zraniteľnostiach a incidentoch týkajúcich sa verejne prístupných infraštruktúr IKT a zdieľa ich so subjektmi Únie. Koordinuje reakcie na incidenty na medziinštitucionálnej úrovni a na úrovni subjektov Únie, a to aj poskytovaním špecializovanej operačnej pomoci alebo koordináciou jej poskytovania.

3.   Ako pomoc pre subjekty Únie vykonáva cert-eu tieto úlohy:

a)	podporuje ich pri vykonávaní tohto nariadenia a prispieva ku koordinácii vykonávania tohto nariadenia prostredníctvom opatrení uvedených v článku 14 ods. 1 alebo prostredníctvom ad hoc správ požadovaných IICB;

b)	ponúka štandardné služby jednotiek CSIRT subjektom Únie prostredníctvom balíka kybernetickobezpečnostných služieb opísaného vo svojom katalógu služieb (základné služby);

c)	spravuje sieť partnerov na podporu služieb, ako sa uvádza v článkoch 17 a 18;

d)	upozorňuje IICB na problémy súvisiace s vykonávaním tohto nariadenia a vykonávaním usmernení, odporúčaní a výziev na činnosť;

e)	na základe informácií uvedených v odseku 2 prispieva v úzkej spolupráci s agentúrou ENISA k situačnej informovanosti o kybernetickej bezpečnosti v Únii.

f)	koordinuje riadenie závažných incidentov;

g)	v mene subjektov Únie koná ako ekvivalent koordinátora určeného na účely koordinovaného zverejňovania zraniteľností podľa článku 12 ods. 1 smernice (EÚ) 2022/2555.

h)	na žiadosť subjektu Únie zabezpečuje proaktívne nerušivé skenovanie verejne prístupných sietí a informačných systémov tohto subjektu Únie.

Informácie uvedené v prvom pododseku písm. e) sa zdieľajú s IICB, sieťou jednotiek CSIRT a v náležitých a vhodných prípadoch so Spravodajským a situačným centrom Európskej únie (ďalej len „EU INTCEN“), a to pri dodržaní primeraných podmienok dôvernosti.

4.   cert-eu môže v súlade s článkom 17 alebo 18 spolupracovať s príslušnými komunitami kybernetickej bezpečnosti v Únii a jej členských štátoch, a to aj v týchto oblastiach:

a)	pripravenosť, koordinácia pri incidentoch, výmena informácií a reakcia na krízu na technickej úrovni v prípadoch súvisiacich so subjektmi Únie;

b)	operačná spolupráca týkajúca sa siete jednotiek CSIRT, a to aj pokiaľ ide o vzájomnú pomoc;

c)	spravodajské informácie o kybernetických hrozbách vrátane situačnej informovanosti;

d)	akákoľvek téma, ktorá si vyžaduje odborné technické znalosti cert-eu v oblasti kybernetickej bezpečnosti.

5.   cert-eu v rámci svojich právomocí štruktúrovane spolupracuje s agentúrou ENISA pri budovaní kapacít, operačnej spolupráci a dlhodobých strategických analýzach kybernetických hrozieb v súlade s nariadením (EÚ) 2019/881. cert-eu môže spolupracovať a vymieňať si informácie s Európskym centrom boja proti počítačovej kriminalite pri Europole.

6.   cert-eu môže poskytovať tieto služby, ktoré nie sú opísané v jeho katalógu služieb (spoplatnené služby):

a)

iné služby na podporu kybernetickej bezpečnosti prostredia IKT subjektov Únie, než sú služby uvedené v odseku 3, na základe dohôd o úrovni poskytovaných služieb a podľa dostupných zdrojov, a to najmä širokospektrálne monitorovanie sietí vrátane bežného nepretržitého monitorovania kybernetických hrozieb s vysokou závažnosťou;

b)	iné služby na podporu činností alebo projektov subjektov Únie v oblasti kybernetickej bezpečnosti, než sú služby na ochranu ich prostredia IKT, a to na základe písomných dohôd a s predchádzajúcim povolením IICB;

c)	na požiadanie proaktívne skenovanie sietí a informačných systémov dotknutého subjektu Únie s cieľom odhaliť zraniteľnosti s potenciálnym významným vplyvom;

d)	služby na podporu bezpečnosti prostredia IKT organizáciám, ktoré nie sú subjektmi Únie a ktoré so subjektmi Únie úzko spolupracujú, napríklad tak, že majú pridelené úlohy alebo povinnosti podľa práva Únie, a to na základe písomných dohôd a s predchádzajúcim povolením IICB.

S ohľadom na prvý pododsek písm. d) cert-eu môže výnimočne uzavrieť dohody o úrovni poskytovaných služieb s inými subjektmi, než sú subjekty Únie, a to s predchádzajúcim povolením IICB.

7.   cert-eu organizuje cvičenia v oblasti kybernetickej bezpečnosti a môže sa na nich zúčastňovať alebo odporúčať účasť na existujúcich cvičeniach, a to v náležitých prípadoch v úzkej spolupráci s agentúrou ENISA, s cieľom testovať úroveň kybernetickej bezpečnosti subjektov Únie.

8.   cert-eu môže subjektom Únie poskytovať pomoc s incidentmi v sieťach a informačných systémoch, v ktorých sa zaobchádza s utajovanými skutočnosťami EÚ, ak o to dotknuté subjekty Únie výslovne požiadajú v súlade so svojimi príslušnými postupmi. Poskytovaním pomoci zo strany cert-eu podľa tohto odseku nie sú dotknuté príslušné pravidlá týkajúce sa ochrany utajovaných skutočností.

9.   cert-eu informuje subjekty Únie o svojich postupoch a procesoch riešenia incidentov.

10.   Zachovávajúc vysokú mieru dôvernosti a spoľahlivosti cert-eu prispieva prostredníctvom vhodných mechanizmov spolupráce a hierarchických vzťahov k relevantným a anonymizovaným informáciám o závažných incidentoch a o spôsobe, akým boli riešené. Uvedené informácie sa zahrnú do správy uvedenej v článku 10 ods. 14.

11.   cert-eu v spolupráci s európsky dozorným úradníkom pre ochranu osobných údajov podporuje dotknuté subjekty Únie pri riešení incidentov, ktoré majú za následok porušenie ochrany osobných údajov, bez toho, aby boli dotknuté kompetencie a úlohy európskeho dozorného úradníka pre ochranu osobných údajov ako orgánu dohľadu podľa nariadenia (EÚ) 2018/1725.

12.   cert-eu môže subjektom Únie poskytnúť technické poradenstvo alebo informácie o relevantných politických otázkach, ak o to politické oddelenia subjektov Únie výslovne požiadajú.

1.   cert-eu podporuje vykonávanie tohto nariadenia vydávaním:

a)	výziev na činnosť s opisom naliehavých bezpečnostných opatrení, v ktorých sa subjekty Únie naliehavo vyzývajú, aby tieto opatrenia prijali v stanovenej lehote;

b)	návrhov usmernení pre IICB adresovaných všetkým subjektom Únie alebo ich časti;

c)	návrhov odporúčaní pre IICB adresovaných jednotlivým subjektom Únie.

Pokiaľ ide o prvý pododsek písm. a), dotknutý subjekt Únie bez zbytočného odkladu po prijatí výzvy na činnosť informuje cert-eu o tom, ako vykonal naliehavé bezpečnostné opatrenia.

2.   Usmernenia a odporúčania môžu zahŕňať:

a)

spoločné metodiky a model posudzovania vyspelosti v oblasti kybernetickej bezpečnosti subjektov Únie vrátane zodpovedajúcich stupníc alebo kľúčových ukazovateľov výkonnosti, ktoré slúžia ako referencia na podporu neustáleho zlepšovania kybernetickej bezpečnosti naprieč subjektmi Únie a uľahčujú uprednostňovanie kybernetickobezpečnostných oblastí a opatrení s prihliadnutím na stav kybernetickej bezpečnosti subjektov;

b)	postupy alebo zlepšenia týkajúce sa riadenia kybernetickobezpečnostných rizík alebo opatrení na riadenie kybernetickobezpečnostných rizík;

c)	postupy týkajúce sa posudzovania vyspelosti v oblasti kybernetickej bezpečnosti a plánov kybernetickej bezpečnosti;

d)	vo vhodných prípadoch využívanie spoločných technológií, architektúry, otvoreného zdrojového kódu a súvisiacich najlepších postupov s cieľom dosiahnuť interoperabilitu a spoločné normy vrátane koordinovaného prístupu k bezpečnosti dodávateľského reťazca;

e)	vo vhodných prípadoch informácie na umožnenie využívania nástrojov spoločného obstarávania na nákup príslušných služieb a produktov kybernetickej bezpečnosti od dodávateľov, ktorí sú tretími stranami;

f)	dohody o zdieľaní informácií podľa článku 20.

1.   Vedúceho cert-eu vymenuje Komisia po jeho schválení dvojtretinovou väčšinou členov IICB. Vo všetkých fázach postupu vymenovania, najmä pri vypracúvaní oznámení o voľnom pracovnom mieste, posudzovaní prihlášok a vymenovaní výberových komisií v súvislosti s uvedeným miestom, sa uskutočňujú konzultácie s IICB. Vo výberovom konaní vrátane konečného užšieho zoznamu kandidátov, z ktorých sa vedúci cert-eu má vymenovať, sa zabezpečí spravodlivé rodové zastúpenie, pričom sa zohľadnia predložené prihlášky.

2.   Vedúci cert-eu zodpovedá za riadne fungovanie cert-eu a koná v rámci právomocí jeho funkcie a pod vedením IICB. Vedúci cert-eu predkladá pravidelné správy predsedovi IICB a na požiadanie podáva IICB ad hoc správy.

3.   Vedúci cert-eu pomáha zodpovednému povoľujúcemu úradníkovi vymenovanému delegovaním pri vypracúvaní výročnej správy o činnosti, ktorá obsahuje finančné informácie a informácie o riadení vrátane výsledkov kontrol a ktorá sa vypracúva v súlade s článkom 74 ods. 9 nariadenia Európskeho parlamentu a Rady (EÚ, Euratom) 2018/1046 (9), a pravidelne povoľujúcemu úradníkovi vymenovanému delegovaním podáva správy o vykonávaní opatrení, v súvislosti s ktorými sa na vedúceho cert-eu subdelegovali právomoci.

4.   Vedúci cert-eu každoročne vypracuje finančné plánovanie administratívnych príjmov a výdavkov na jeho činnosti, návrh ročného pracovného programu, návrh katalógu služieb cert-eu, návrh revízií katalógu služieb, návrh dohôd o úrovni poskytovaných služieb a návrh kľúčových ukazovateľov výkonnosti (KPI) pre cert-eu, ktoré má schváliť IICB v súlade s článkom 11. Pri revízii zoznamu služieb v katalógu služieb cert-eu vedúci cert-eu zohľadní zdroje pridelené cert-eu.

5.   Vedúci cert-eu aspoň raz ročne predkladá IICB a predsedovi IICB správy o činnostiach a výkonnosti cert-eu počas referenčného obdobia, a to aj o plnení rozpočtu, dohodách o úrovni poskytovaných služieb a uzatvorených písomných dohodách, spolupráci s náprotivkami a partnermi, ako aj o služobných cestách zamestnancov, vrátane správ uvedených v článku 11. Uvedené správy zahŕňajú pracovný program na nasledujúce obdobie, finančný plán príjmov a výdavkov vrátane plánu počtu zamestnancov, plánované aktualizácie katalógu služieb cert-eu a posúdenie očakávaného vplyvu, ktorý takéto aktualizácie môžu mať na finančné a ľudské zdroje.

1.   cert-eu sa začlení do administratívnej štruktúry generálneho riaditeľstva Komisie, aby mohol využívať administratívnu podpornú štruktúru a podpornú štruktúru finančného riadenia a účtovníctva Komisie a zároveň si zachovať svoje postavenie nezávislého medziinštitucionálneho poskytovateľa služieb pre všetky subjekty Únie. Komisia informuje IICB o administratívnom umiestnení cert-eu a o všetkých jeho následných zmenách. Komisia pravidelne a v každom prípade pred vytvorením akéhokoľvek viacročného finančného rámca podľa článku 312 ZFEÚ preskúma správne dojednania týkajúce sa cert-eu, aby bolo možné prijať vhodné opatrenia. Preskúmanie zahŕňa možnosť zriadiť cert-eu ako úrad Únie.

2.   Pri uplatňovaní administratívnych a finančných postupov koná vedúci cert-eu pod vedením Komisie a pod dohľadom IICB.

3.   Úlohy a činnosti cert-eu vrátane služieb, ktoré cert-eu poskytuje podľa článku 13 ods. 3, 4, 5 a 7 a článku 14 ods. 1 subjektom Únie financovaným v rámci okruhu viacročného finančného rámca určeného pre európsku verejnú administratívu, sa financujú zo samostatného rozpočtového riadku v rozpočte Komisie. Pracovné miesta vyčlenené pre cert-eu sa detailne uvádzajú v poznámke pod čiarou plánu pracovných miest Komisie.

4.   Iné subjekty Únie než subjekty uvedené v odseku 3 tohto článku poskytujú cert-eu ročný finančný príspevok na úhradu služieb, ktoré cert-eu poskytuje podľa daného odseku. Príspevky vychádzajú z usmernení IICB a každý subjekt Únie si ich dohodne s cert-eu v dohodách o úrovni poskytovaných služieb. Príspevky predstavujú spravodlivý a primeraný podiel z celkových nákladov na poskytnuté služby. Započítajú sa do samostatného rozpočtového riadka uvedeného v odseku 3 tohto článku ako vnútorné pripísané príjmy, ako sa stanovuje v článku 21 ods. 3 písm. c) nariadenia (EÚ, Euratom) 2018/1046.

5.   Náklady na služby vymedzené v článku 13 ods. 6 uhrádzajú subjekty Únie, ktorým cert-eu poskytol služby. Príjmy sa pripíšu do rozpočtových riadkov na podporu nákladov.

1.   cert-eu bezodkladne spolupracuje a vymieňa si informácie s náprotivkami v členskom štáte, najmä s jednotkami CSIRT určenými alebo zriadenými podľa článku 10 smernice (EÚ) 2022/2555 alebo v náležitých prípadoch s príslušnými orgánmi a jednotnými kontaktnými miestami určenými alebo zriadenými podľa článku 8 danej smernice, v súvislosti s incidentmi, kybernetickými hrozbami, zraniteľnosťami, udalosťami odvrátenými v poslednej chvíli, možnými protiopatreniami, ako aj v súvislosti s najlepšími postupmi a o všetkých otázkach relevantných pre zlepšenie ochrany prostredí IKT subjektov Únie, a to aj prostredníctvom siete jednotiek CSIRT zriadenej podľa článku 15 smernice (EÚ) 2022/2555. cert-eu podporuje Komisiu v sieti EU-CyCLONe zriadenej podľa článku 16 smernice (EÚ) 2022/2555 o koordinovanom riadení rozsiahlych kybernetických incidentov a kríz.

2.   Ak sa cert-eu dozvie o významnom incidente, ku ktorému došlo na území členského štátu, bezodkladne informuje všetkých relevantných náprotivkov v tomto členskom štáte, v súlade s odsekom 1.

3.   Za predpokladu, že osobné údaje sú chránené v súlade s príslušným právom Únie v oblasti ochrany údajov, si cert-eu bez zbytočného odkladu vymieňa relevantné informácie o konkrétnom incidente s náprotivkami v členskom štáte s cieľom pomôcť odhaliť podobné kybernetické hrozby alebo incidenty alebo prispieť k analýze incidentu, a to bez povolenia zasiahnutého subjektu Únie. cert-eu si vymieňa informácie o konkrétnom incidente, ktoré odhaľujú identitu cieľa incidentu len v prípade jednej z týchto možností:

a)	zasiahnutý subjekt Únie súhlasí;

b)	zasiahnutý subjekt Únie nesúhlasí, ako sa stanovuje v písmene a), ale zverejnením identity zasiahnutého subjektu Únie by sa zvýšila pravdepodobnosť, že sa zamedzí ďalším incidentom alebo sa zmiernia ich následky;

c)	zasiahnutý subjekt Únie už zverejnil, že bol incidentom zasiahnutý.

Rozhodnutia o výmene informácií o konkrétnom incidente, ktoré odhaľujú totožnosť cieľa incidentu podľa prvého pododseku písm. b), schvaľuje vedúci cert-eu. Pred vydaním takéhoto rozhodnutia sa cert-eu písomne obráti na zasiahnutý subjekt Únie, pričom mu jasne vysvetlí, ako by zverejnenie jeho totožnosti pomohlo zamedziť ďalším incidentom alebo zmierniť ich následky. Vedúci cert-eu poskytne vysvetlenie a výslovne požiada subjekt Únie, aby v stanovenej lehote uviedol, či súhlasí. Vedúci cert-eu takisto informuje subjekt Únie o tom, že na základe poskytnutého vysvetlenia si vyhradzuje právo zverejniť dané informácie aj bez udelenia súhlasu. Zasiahnutý subjekt Únie musí byť informovaný pred tým, než sú informácie zverejnené.

1.   cert-eu môže spolupracovať s inými náprotivkami v Únii, než sú tie, ktoré sú uvedené v článku 17 a na ktoré sa vzťahujú požiadavky Únie na kybernetickú bezpečnosť, vrátane náprotivkov z konkrétnych odvetví v oblasti nástrojov a metód, ako sú napríklad techniky, taktiky, postupy a najlepšie postupy, ako aj v oblasti kybernetických hrozieb a zraniteľností. Na každú spoluprácu s takýmito náprotivkami si cert-eu v každom konkrétnom prípade vyžiada predchádzajúce povolenie IICB. Keď cert-eu nadviaže spoluprácu s takýmito náprotivkami, informuje o tom všetky príslušné náprotivky v členskom štáte uvedené v článku 17 ods. 1 v členskom štáte, v ktorom sa náprotivok nachádza. V náležitých a vhodných prípadoch sa takáto spolupráca a jej podmienky, a to aj pokiaľ ide o kybernetickú bezpečnosť, ochranu údajov a zaobchádzanie s informáciami, stanovia v osobitných dohodách o zachovaní dôvernosti, ako sú napríklad zmluvy alebo správne dojednania. Dohody o zachovaní dôvernosti si nevyžadujú predchádzajúce povolenie zo strany IICB, ale predseda IICB o nich musí byť informovaný. V prípade naliehavej a bezprostrednej potreby výmeny informácií o kybernetickej bezpečnosti v záujme subjektov Únie alebo inej strany môže cert-eu takúto výmenu urobiť so subjektom, ktorého osobitná spôsobilosť, kapacita a odborné znalosti sa oprávnene vyžadujú na pomoc s takouto naliehavou a bezprostrednou potrebou, a to aj v prípade, že cert-eu nemá s daným subjektom uzavretú dohodu o zachovaní dôvernosti. V takýchto prípadoch cert-eu bezodkladne informuje predsedu IICB a podáva IICB informácie prostredníctvom pravidelných správ alebo zasadnutí.

2.   cert-eu môže spolupracovať s partnermi, ako sú napríklad obchodné subjekty vrátane subjektov z konkrétnych odvetví, medzinárodné organizácie, vnútroštátne subjekty z tretích krajín alebo jednotliví odborníci, s cieľom zhromažďovať informácie o všeobecných a konkrétnych kybernetických hrozbách, udalostiach odvrátených v poslednej chvíli, zraniteľnostiach a možných protiopatreniach. Na širšiu spoluprácu s týmito partnermi si cert-eu v každom konkrétnom prípade vyžiada predchádzajúce povolenie IICB.

3.   cert-eu môže so súhlasom subjektu Únie zasiahnutého incidentom a pod podmienkou, že s relevantným náprotivkom alebo partnerom má uzavretú dohodu alebo zmluvu o nezverejňovaní informácií, poskytnúť informácie týkajúce sa konkrétneho incidentu náprotivkom alebo partnerom uvedeným v odsekoch 1 a 2 výlučne na účely príspevku k analýze incidentu.

1.   Subjekty Únie a cert-eu rešpektujú povinnosť služobného tajomstva v súlade s článkom 339 ZFEÚ alebo s rovnocennými uplatniteľnými rámcami.

2.   V súvislosti so žiadosťami o prístup verejnosti k dokumentom v držbe cert-eu sa uplatňuje nariadenie Európskeho parlamentu a Rady (ES) č. 1049/2001 (10) vrátane povinnosti podľa daného nariadenia poradiť sa s ďalšími subjektmi Únie alebo v relevantných prípadoch s členskými štátmi vždy, keď sa žiadosť týka ich dokumentov.

3.   Zaobchádzanie s informáciami zo strany subjektov Únie a cert-eu je v súlade s príslušnými pravidlami o informačnej bezpečnosti.

1.   Subjekty Únie môžu cert-eu dobrovoľne oznamovať incidenty, kybernetické hrozby, udalosti odvrátené v poslednej chvíli a zraniteľnosti, ktoré majú na nich vplyv, a poskytovať o nich informácie. cert-eu zabezpečuje, aby na účely umožnenia zdieľania informácií so subjektmi Únie boli k dispozícii účinné prostriedky komunikácie vyznačujúce sa vysokou úrovňou vysledovateľnosti, dôvernosti a spoľahlivosti. Pri spracúvaní oznámení môže cert-eu uprednostniť spracovanie povinných oznámení pred dobrovoľnými oznámeniami. Bez toho, aby bol dotknutý článok 12, dobrovoľným oznámením nevznikajú oznamujúcemu subjektu Únie žiadne ďalšie povinnosti, ktoré by sa naň nevzťahovali, ak by oznámenie nepodal.

2.   cert-eu môže na účely vykonávania svojho poslania a úloh udelených podľa článku 13 požiadať subjekty Únie, aby mu poskytli informácie zo svojich príslušných inventárov systémov IKT vrátane informácií o kybernetických hrozbách, udalostiach odvrátených v poslednej chvíli, zraniteľnostiach, ukazovateľoch narušenia, výstrahách a odporúčaniach týkajúcich sa konfigurácie nástrojov kybernetickej bezpečnosti na odhaľovanie incidentov. Dožiadaný subjekt Únie poskytne požadované informácie a všetky ich ďalšie aktualizácie bez zbytočného odkladu.

3.   cert-eu si môže so subjektmi Únie vymieňať informácie o konkrétnom incidente, ktorými sa odhaľuje identita subjektu Únie zasiahnutého incidentom pod podmienkou, že dotknutý subjekt Únie súhlasí. Ak subjekt Únie odmietne udeliť súhlas, poskytne cert-eu dôvody tohto rozhodnutia.

4.   Subjekty Únie na požiadanie zdieľajú s Európskym parlamentom a Radou informácie o dokončení plánov kybernetickej bezpečnosti.

5.   IICB alebo cert-eu na požiadanie zdieľa s Európskym parlamentom a Radou usmernenia, odporúčania a výzvy na činnosť.

6.   Povinnosti v oblasti zdieľania informácií stanovené v tomto článku sa nevzťahujú na:

a)	utajované skutočnosti EÚ;

b)	informácie, ktorých ďalšie šírenie bolo vylúčené prostredníctvom viditeľného označenia, pokiaľ ich zdieľanie s cert-eu nebolo výslovne povolené.

1.   Incident sa považuje za významný, ak:

a)	spôsobil alebo môže spôsobiť vážne prevádzkové narušenie fungovania dotknutého subjektu Únie alebo finančnú stratu dotknutému subjektu Únie;

b)	zasiahol alebo môže zasiahnuť iné fyzické alebo právnické osoby tým, že im spôsobí značnú majetkovú alebo nemajetkovú ujmu.

2.   Subjekty Únie podávajú cert-eu:

a)	bez zbytočného odkladu a v každom prípade do 24 hodín od zistenia významného incidentu včasné varovanie, v ktorom v náležitých prípadoch uvedú, že významný incident pravdepodobne spôsobilo nezákonné konanie alebo konanie so zlým úmyslom, alebo že môže mať dosah na iný subjekt či cezhraničný dosah;

b)

bez zbytočného odkladu a v každom prípade do 72 hodín po tom, ako sa dozvedeli o významnom incidente, oznámenie o incidente, ktorým v náležitých prípadoch aktualizujú informácie uvedené v písmene a) a uvedú prvotné posúdenie významného incidentu, vrátane jeho závažnosti a dosahu, ako aj v náležitých prípadoch ukazovatele narušenia;

c)	na žiadosť cert-eu priebežnú správu s relevantnou aktualizáciou daného stavu.

d)

najneskôr jeden mesiac po podaní oznámenia o incidente podľa písmena b) záverečnú správu, ktorá obsahuje tieto informácie: i) podrobný opis incidentu vrátane jeho závažnosti a dosahu; ii) druh hrozby alebo hlavnú príčinu, ktorá pravdepodobne incident spôsobila; iii) zavedené a prebiehajúce zmierňujúce opatrenia; iv) v náležitých prípadoch cezhraničný dosah incidentu alebo jeho dosah na iný subjekt;

e)	v prípade prebiehajúceho incidentu v čase podávania záverečnej správy uvedenej v písmene d), správu o pokroku v danom čase a záverečnú správu do jedného mesiaca po vyriešení incidentu.

3.   Subjekt Únie bez zbytočného odkladu a v každom prípade do 24 hodín od zistenia významného incidentu informuje všetky príslušné náprotivky v členskom štáte uvedené v článku 17 ods. 1 v členskom štáte, v ktorom sa nachádza, o tom, že došlo k významnému incidentu.

4.   Subjekty Únie oznamujú cert-eu okrem iného všetky informácie, ktoré mu umožnia určiť akýkoľvek dosah na iný subjekt, dosah na hostiteľský členský štát alebo cezhraničný dosah po tom, čo došlo k významnému incidentu. Bez toho, aby bol dotknutý článok 12, samotný akt oznámenia nezakladá zvýšenú zodpovednosť subjektu Únie.

5.   Subjekty Únie v náležitých prípadoch bez zbytočného odkladu informujú používateľov zasiahnutých sietí a informačných systémov alebo iných zložiek prostredia IKT, ktoré sú potenciálne zasiahnuté významným incidentom alebo významnou kybernetickou hrozbou a vo vhodných prípadoch si vyžadujú prijatie zmierňujúcich opatrení, o opatreniach alebo prostriedkoch nápravy, ktoré môžu prijať v reakcii na daný incident alebo danú hrozbu. Subjekty Únie vo vhodných prípadoch informujú týchto používateľov o samotnej významnej kybernetickej hrozbe.

6.   Ak má významný incident alebo významná kybernetická hrozba vplyv na sieť a informačný systém alebo zložku prostredia IKT subjektu Únie, o ktorej je známe jej prepojenie s prostredím IKT iného subjektu Únie, cert-eu vydá príslušnú výstrahu.

7.   Subjekty Únie na žiadosť cert-eu bez zbytočného odkladu poskytnú cert-eu digitálne informácie vytvorené pomocou elektronických zariadení, ktorých sa príslušné incidenty týkali. cert-eu môže poskytnúť ďalšie podrobnosti o type informácií, ktoré požaduje na účely situačnej informovanosti a reakcie na incident.

8.   cert-eu predkladá IICB, agentúre ENISA, centru EU INTCEN a sieti jednotiek CSIRT každé tri mesiace súhrnnú správu obsahujúcu anonymizované a súhrnné údaje o významných incidentoch, incidentoch, kybernetických hrozbách, udalostiach odvrátených v poslednej chvíli a zraniteľnostiach podľa článku 20 a významných incidentoch oznámených podľa odseku 2 tohto článku. Táto súhrnná správa sa použije ako zdroj informácií na vypracovanie správy o stave kybernetickej bezpečnosti v Únii prijímanej každé dva roky v súlade s článkom 18 smernice (EÚ) 2022/2555.

9.   IICB do 8. júla 2024 vydá usmernenia alebo odporúčania, v ktorých bližšie určí spôsoby, formát a obsah oznamovania podľa tohto článku. Pri príprave takýchto usmernení alebo odporúčaní IICB zohľadní všetky vykonávacie akty prijaté podľa článku 23 ods. 11 smernice (EÚ) 2022/2555, v ktorých sa bližšie určuje druh informácií, formát a postup oznamovania. cert-eu šíri náležité technické podrobnosti, aby subjektom Únie umožnil vykonať proaktívne odhaľovanie, reagovanie na incident alebo prijatie zmierňujúcich opatrení.

10.   Oznamovacie povinnosti stanovené v tomto článku sa nevzťahujú na:

a)	utajované skutočnosti EÚ;

b)	informácie, ktorých ďalšie šírenie bolo vylúčené prostredníctvom viditeľného označenia, pokiaľ ich zdieľanie s cert-eu nebolo výslovne povolené.

1.   cert-eu ako centrum na výmenu informácií a koordináciu reakcie na incidenty v oblasti kybernetickej bezpečnosti uľahčuje výmenu informácií o incidentoch, kybernetických hrozbách, zraniteľnostiach a udalostiach odvrátených v poslednej chvíli medzi:

a)	subjektmi Únie;

b)	náprotivkami uvedenými v článkoch 17 a 18.

2.   cert-eu, v relevantných prípadoch v úzkej spolupráci s agentúrou ENISA, uľahčuje koordináciu reakcií subjektov Únie na incidenty vrátane:

a)	prispievania k sústavnej komunikácii navonok;

b)	vzájomnej podpory, ako je napríklad zdieľanie relevantných informácií so subjektmi Únie, alebo v relevantných prípadoch poskytovania pomoci priamo na mieste;

c)	optimálneho využívania operačných zdrojov;

d)	koordinácie s inými mechanizmami reakcie na krízu na úrovni Únie.

3.   cert-eu v úzkej spolupráci s agentúrou ENISA podporuje subjekty Únie, pokiaľ ide o situačnú informovanosť o incidentoch, kybernetických hrozbách, zraniteľnostiach a udalostiach odvrátených v poslednej chvíli, ako aj zdieľanie informácií o relevantnom vývoji v oblasti kybernetickej bezpečnosti.

4.   IICB do 8. januára 2025 na základe návrhu cert-eu vydá usmernenia alebo odporúčania týkajúce sa koordinácie a spolupráce v rámci reakcie na incidenty v prípade významných incidentov. V prípade podozrenia na trestnoprávnu povahu incidentu, cert-eu bez zbytočného odkladu poskytne rady o spôsoboch oznamovania incidentu orgánom presadzovania práva.

5.   Na základe osobitnej žiadosti členského štátu a so súhlasom dotknutých subjektov Únie môže cert-eu vyzvať odborníkov zo zoznamu uvedeného v článku 23 ods. 4, aby prispeli k reakcii na závažný incident, ktorý má dosah v danom členskom štáte, alebo na rozsiahly kybernetický incident v súlade s článkom 15 ods. 3 písm. g) smernice (EÚ) 2022/2555. IICB schváli na návrh cert-eu osobitné pravidlá týkajúce sa prístupu k technickým odborníkom zo subjektov Únie a ich využívania.

1.   S cieľom podporiť koordinované riadenie závažných incidentov, ktoré majú vplyv na subjekty Únie, na operačnej úrovni a prispieť k pravidelnej výmene relevantných informácií medzi subjektmi Únie a s členskými štátmi vypracuje IICB podľa článku 11 písm. q) v úzkej spolupráci s cert-eu a agentúrou ENISA plán riadenia kybernetických kríz založený na činnostiach uvedených v článku 22 ods. 2. Plán riadenia kybernetických kríz obsahuje aspoň tieto prvky:

a)	postupy týkajúce sa koordinácie a toku informácií medzi subjektmi Únie na účely riadenia závažných incidentov na operačnej úrovni;

b)	spoločné štandardné operačné postupy (SOPs);

c)	spoločnú taxonómiu závažnosti závažných incidentov a spúšťacích bodov kríz;

d)	pravidelné cvičenia;

e)	bezpečné komunikačné kanály, ktoré sa majú používať.

2.   Zástupca Komisie v IICB je v závislosti od plánu riadenia kybernetických kríz vypracovaného podľa odseku 1 tohto článku a bez toho, aby bol dotknutý článok 16 ods. 2 prvý pododsek smernice (EÚ) 2022/2555, kontaktnou osobou na zdieľanie relevantných informácií v súvislosti so závažnými incidentmi so sieťou EU-CyCLONe.

3.   cert-eu koordinuje riadenie závažných incidentov medzi subjektmi Únie. Vedie súpis dostupných odborných technických znalostí, ktoré by boli potrebné na reakciu na incident v prípade závažných incidentov, a pomáha IICB pri koordinácii plánov riadenia kybernetických kríz subjektov Únie pre prípad závažných incidentov uvedených v článku 9 ods. 2.

4.   Subjekty Únie prispievajú do súpisu odborných technických znalostí poskytovaním každoročne aktualizovaného zoznamu odborníkov dostupných v jednotlivých organizáciách s podrobným opisom ich konkrétnych technických zručností.

1.   IICB s pomocou cert-eu do 8. januára 2025 a potom každoročne predloží Komisii správu o vykonávaní tohto nariadenia. IICB môže Komisii takisto odporučiť, aby toto nariadenie preskúmala.

2.   Komisia do 8. januára 2027 a potom každé dva roky posúdi vykonávanie tohto nariadenia a predloží Európskemu parlamentu a Rade správu o jeho vykonávaní a o skúsenostiach získaných na strategickej a operačnej úrovni.

Správa uvedená v prvom pododseku tohto odseku obsahuje preskúmanie uvedené v článku 16 ods. 1 týkajúce sa možnosti zriadiť cert-eu ako úrad Únie.

3.   Komisia do 8. januára 2029 vyhodnotí fungovanie tohto nariadenia a predloží správu Európskemu parlamentu, Rade, Európskemu hospodárskemu a sociálnemu výboru a Výboru regiónov. Komisia tiež vyhodnotí vhodnosť zahrnúť siete a informačné systémy, v ktorých sa zaobchádza s utajovanými skutočnosťami EÚ, do rozsahu pôsobnosti tohto nariadenia, pričom zohľadní iné legislatívne akty Únie uplatniteľné na tieto systémy. K správe sa v prípade potreby pripojí legislatívny návrh.