keyboard_tab Cyber Resilience Act 2023/2841 SK
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Článok 13 Poslanie a úlohy CERT-EU
- 1 Článok 17 Spolupráca CERT-EU s náprotivkami v členskom štáte
- 1 Článok 23 Riadenie závažných incidentov
KAPITOLA I
VŠEOBECNÉ USTANOVENIA
KAPITOLA II
OPATRENIA NA ZABEZPEČENIE VYSOKEJ SPOLOČNEJ ÚROVNE KYBERNETICKEJ BEZPEČNOSTI
KAPITOLA III
MEDZIINŠTITUCIONÁLNA RADA PRE KYBERNETICKÚ BEZPEČNOSŤ
KAPITOLA IV
CERT-EU
KAPITOLA V
SPOLUPRÁCA A OZNAMOVACIE POVINNOSTI
KAPITOLA VI
ZÁVEREČNÉ USTANOVENIA
- Únie 40
- cert-eu 17
- alebo 14
- informácie 11
- incidentov 11
- a to 11
- cert-eu 11
- bezpečnosti 10
- podľa 10
- subjektov 9
- závažných 8
- ktoré 8
- služby 8
- subjektmi 8
- kybernetickej 8
- informácií 7
- iicb 7
- subjekt 7
- eÚ / 7
- kybernetických 7
- v oblasti 6
- ods 6
- subjekty 6
- môže 6
- zasiahnutý 6
- tohto 6
- služieb 6
- smernice 6
- úrovni 5
- csirt 5
- článku 5
- prostredníctvom 5
- základe 5
- v súlade 5
- kríz 5
- riadenia 5
- subjektu 5
- uvedených 4
- v článku 4
- nariadenia 4
- riadenie 4
- jednotiek 4
- relevantných 4
- ochrany 4
- podporu 4
- dotknuté 4
- spolupráci 4
- incidente 4
- písm 4
- majú 4
Článok 13
Poslanie a úlohy CERT-EU
1. Poslaním CERT-EU je prispievať k bezpečnosti verejne prístupných prostredí IKT subjektov Únie tým, že im poskytuje poradenstvo v oblasti kybernetickej bezpečnosti, pomáha im predchádzať incidentom, odhaľovať ich, riešiť ich, zmierňovať ich účinky, reagovať na ne a zotaviť sa z nich a koná ako ich centrum na výmenu informácií a koordináciu reakcie na incidenty v oblasti kybernetickej bezpečnosti.
2. CERT-EU získava, spravuje a analyzuje informácie o kybernetických hrozbách, zraniteľnostiach a incidentoch týkajúcich sa verejne prístupných infraštruktúr IKT a zdieľa ich so subjektmi Únie. Koordinuje reakcie na incidenty na medziinštitucionálnej úrovni a na úrovni subjektov Únie, a to aj poskytovaním špecializovanej operačnej pomoci alebo koordináciou jej poskytovania.
3. Ako pomoc pre subjekty Únie vykonáva CERT-EU tieto úlohy:
| a) | podporuje ich pri vykonávaní tohto nariadenia a prispieva ku koordinácii vykonávania tohto nariadenia prostredníctvom opatrení uvedených v článku 14 ods. 1 alebo prostredníctvom ad hoc správ požadovaných IICB; |
| b) | ponúka štandardné služby jednotiek CSIRT subjektom Únie prostredníctvom balíka kybernetickobezpečnostných služieb opísaného vo svojom katalógu služieb (základné služby); |
| c) | spravuje sieť partnerov na podporu služieb, ako sa uvádza v článkoch 17 a 18; |
| d) | upozorňuje IICB na problémy súvisiace s vykonávaním tohto nariadenia a vykonávaním usmernení, odporúčaní a výziev na činnosť; |
| e) | na základe informácií uvedených v odseku 2 prispieva v úzkej spolupráci s agentúrou ENISA k situačnej informovanosti o kybernetickej bezpečnosti v Únii. |
| f) | koordinuje riadenie závažných incidentov; |
| g) | v mene subjektov Únie koná ako ekvivalent koordinátora určeného na účely koordinovaného zverejňovania zraniteľností podľa článku 12 ods. 1 smernice (EÚ) 2022/2555. |
| h) | na žiadosť subjektu Únie zabezpečuje proaktívne nerušivé skenovanie verejne prístupných sietí a informačných systémov tohto subjektu Únie. |
Informácie uvedené v prvom pododseku písm. e) sa zdieľajú s IICB, sieťou jednotiek CSIRT a v náležitých a vhodných prípadoch so Spravodajským a situačným centrom Európskej únie (ďalej len „EU INTCEN“), a to pri dodržaní primeraných podmienok dôvernosti.
4. CERT-EU môže v súlade s článkom 17 alebo 18 spolupracovať s príslušnými komunitami kybernetickej bezpečnosti v Únii a jej členských štátoch, a to aj v týchto oblastiach:
| a) | pripravenosť, koordinácia pri incidentoch, výmena informácií a reakcia na krízu na technickej úrovni v prípadoch súvisiacich so subjektmi Únie; |
| b) | operačná spolupráca týkajúca sa siete jednotiek CSIRT, a to aj pokiaľ ide o vzájomnú pomoc; |
| c) | spravodajské informácie o kybernetických hrozbách vrátane situačnej informovanosti; |
| d) | akákoľvek téma, ktorá si vyžaduje odborné technické znalosti CERT-EU v oblasti kybernetickej bezpečnosti. |
5. CERT-EU v rámci svojich právomocí štruktúrovane spolupracuje s agentúrou ENISA pri budovaní kapacít, operačnej spolupráci a dlhodobých strategických analýzach kybernetických hrozieb v súlade s nariadením (EÚ) 2019/881. CERT-EU môže spolupracovať a vymieňať si informácie s Európskym centrom boja proti počítačovej kriminalite pri Europole.
6. CERT-EU môže poskytovať tieto služby, ktoré nie sú opísané v jeho katalógu služieb (spoplatnené služby):
| a) | iné služby na podporu kybernetickej bezpečnosti prostredia IKT subjektov Únie, než sú služby uvedené v odseku 3, na základe dohôd o úrovni poskytovaných služieb a podľa dostupných zdrojov, a to najmä širokospektrálne monitorovanie sietí vrátane bežného nepretržitého monitorovania kybernetických hrozieb s vysokou závažnosťou; |
| b) | iné služby na podporu činností alebo projektov subjektov Únie v oblasti kybernetickej bezpečnosti, než sú služby na ochranu ich prostredia IKT, a to na základe písomných dohôd a s predchádzajúcim povolením IICB; |
| c) | na požiadanie proaktívne skenovanie sietí a informačných systémov dotknutého subjektu Únie s cieľom odhaliť zraniteľnosti s potenciálnym významným vplyvom; |
| d) | služby na podporu bezpečnosti prostredia IKT organizáciám, ktoré nie sú subjektmi Únie a ktoré so subjektmi Únie úzko spolupracujú, napríklad tak, že majú pridelené úlohy alebo povinnosti podľa práva Únie, a to na základe písomných dohôd a s predchádzajúcim povolením IICB. |
S ohľadom na prvý pododsek písm. d) CERT-EU môže výnimočne uzavrieť dohody o úrovni poskytovaných služieb s inými subjektmi, než sú subjekty Únie, a to s predchádzajúcim povolením IICB.
7. CERT-EU organizuje cvičenia v oblasti kybernetickej bezpečnosti a môže sa na nich zúčastňovať alebo odporúčať účasť na existujúcich cvičeniach, a to v náležitých prípadoch v úzkej spolupráci s agentúrou ENISA, s cieľom testovať úroveň kybernetickej bezpečnosti subjektov Únie.
8. CERT-EU môže subjektom Únie poskytovať pomoc s incidentmi v sieťach a informačných systémoch, v ktorých sa zaobchádza s utajovanými skutočnosťami EÚ, ak o to dotknuté subjekty Únie výslovne požiadajú v súlade so svojimi príslušnými postupmi. Poskytovaním pomoci zo strany CERT-EU podľa tohto odseku nie sú dotknuté príslušné pravidlá týkajúce sa ochrany utajovaných skutočností.
9. CERT-EU informuje subjekty Únie o svojich postupoch a procesoch riešenia incidentov.
10. Zachovávajúc vysokú mieru dôvernosti a spoľahlivosti CERT-EU prispieva prostredníctvom vhodných mechanizmov spolupráce a hierarchických vzťahov k relevantným a anonymizovaným informáciám o závažných incidentoch a o spôsobe, akým boli riešené. Uvedené informácie sa zahrnú do správy uvedenej v článku 10 ods. 14.
11. CERT-EU v spolupráci s európsky dozorným úradníkom pre ochranu osobných údajov podporuje dotknuté subjekty Únie pri riešení incidentov, ktoré majú za následok porušenie ochrany osobných údajov, bez toho, aby boli dotknuté kompetencie a úlohy európskeho dozorného úradníka pre ochranu osobných údajov ako orgánu dohľadu podľa nariadenia (EÚ) 2018/1725.
12. CERT-EU môže subjektom Únie poskytnúť technické poradenstvo alebo informácie o relevantných politických otázkach, ak o to politické oddelenia subjektov Únie výslovne požiadajú.
Článok 17
Spolupráca CERT-EU s náprotivkami v členskom štáte
1. CERT-EU bezodkladne spolupracuje a vymieňa si informácie s náprotivkami v členskom štáte, najmä s jednotkami CSIRT určenými alebo zriadenými podľa článku 10 smernice (EÚ) 2022/2555 alebo v náležitých prípadoch s príslušnými orgánmi a jednotnými kontaktnými miestami určenými alebo zriadenými podľa článku 8 danej smernice, v súvislosti s incidentmi, kybernetickými hrozbami, zraniteľnosťami, udalosťami odvrátenými v poslednej chvíli, možnými protiopatreniami, ako aj v súvislosti s najlepšími postupmi a o všetkých otázkach relevantných pre zlepšenie ochrany prostredí IKT subjektov Únie, a to aj prostredníctvom siete jednotiek CSIRT zriadenej podľa článku 15 smernice (EÚ) 2022/2555. CERT-EU podporuje Komisiu v sieti EU-CyCLONe zriadenej podľa článku 16 smernice (EÚ) 2022/2555 o koordinovanom riadení rozsiahlych kybernetických incidentov a kríz.
2. Ak sa CERT-EU dozvie o významnom incidente, ku ktorému došlo na území členského štátu, bezodkladne informuje všetkých relevantných náprotivkov v tomto členskom štáte, v súlade s odsekom 1.
3. Za predpokladu, že osobné údaje sú chránené v súlade s príslušným právom Únie v oblasti ochrany údajov, si CERT-EU bez zbytočného odkladu vymieňa relevantné informácie o konkrétnom incidente s náprotivkami v členskom štáte s cieľom pomôcť odhaliť podobné kybernetické hrozby alebo incidenty alebo prispieť k analýze incidentu, a to bez povolenia zasiahnutého subjektu Únie. CERT-EU si vymieňa informácie o konkrétnom incidente, ktoré odhaľujú identitu cieľa incidentu len v prípade jednej z týchto možností:
| a) | zasiahnutý subjekt Únie súhlasí; |
| b) | zasiahnutý subjekt Únie nesúhlasí, ako sa stanovuje v písmene a), ale zverejnením identity zasiahnutého subjektu Únie by sa zvýšila pravdepodobnosť, že sa zamedzí ďalším incidentom alebo sa zmiernia ich následky; |
| c) | zasiahnutý subjekt Únie už zverejnil, že bol incidentom zasiahnutý. |
Rozhodnutia o výmene informácií o konkrétnom incidente, ktoré odhaľujú totožnosť cieľa incidentu podľa prvého pododseku písm. b), schvaľuje vedúci CERT-EU. Pred vydaním takéhoto rozhodnutia sa CERT-EU písomne obráti na zasiahnutý subjekt Únie, pričom mu jasne vysvetlí, ako by zverejnenie jeho totožnosti pomohlo zamedziť ďalším incidentom alebo zmierniť ich následky. Vedúci CERT-EU poskytne vysvetlenie a výslovne požiada subjekt Únie, aby v stanovenej lehote uviedol, či súhlasí. Vedúci CERT-EU takisto informuje subjekt Únie o tom, že na základe poskytnutého vysvetlenia si vyhradzuje právo zverejniť dané informácie aj bez udelenia súhlasu. Zasiahnutý subjekt Únie musí byť informovaný pred tým, než sú informácie zverejnené.
Článok 23
Riadenie závažných incidentov
1. S cieľom podporiť koordinované riadenie závažných incidentov, ktoré majú vplyv na subjekty Únie, na operačnej úrovni a prispieť k pravidelnej výmene relevantných informácií medzi subjektmi Únie a s členskými štátmi vypracuje IICB podľa článku 11 písm. q) v úzkej spolupráci s CERT-EU a agentúrou ENISA plán riadenia kybernetických kríz založený na činnostiach uvedených v článku 22 ods. 2. Plán riadenia kybernetických kríz obsahuje aspoň tieto prvky:
| a) | postupy týkajúce sa koordinácie a toku informácií medzi subjektmi Únie na účely riadenia závažných incidentov na operačnej úrovni; |
| b) | spoločné štandardné operačné postupy (SOPs); |
| c) | spoločnú taxonómiu závažnosti závažných incidentov a spúšťacích bodov kríz; |
| d) | pravidelné cvičenia; |
| e) | bezpečné komunikačné kanály, ktoré sa majú používať. |
2. Zástupca Komisie v IICB je v závislosti od plánu riadenia kybernetických kríz vypracovaného podľa odseku 1 tohto článku a bez toho, aby bol dotknutý článok 16 ods. 2 prvý pododsek smernice (EÚ) 2022/2555, kontaktnou osobou na zdieľanie relevantných informácií v súvislosti so závažnými incidentmi so sieťou EU-CyCLONe.
3. CERT-EU koordinuje riadenie závažných incidentov medzi subjektmi Únie. Vedie súpis dostupných odborných technických znalostí, ktoré by boli potrebné na reakciu na incident v prípade závažných incidentov, a pomáha IICB pri koordinácii plánov riadenia kybernetických kríz subjektov Únie pre prípad závažných incidentov uvedených v článku 9 ods. 2.
4. Subjekty Únie prispievajú do súpisu odborných technických znalostí poskytovaním každoročne aktualizovaného zoznamu odborníkov dostupných v jednotlivých organizáciách s podrobným opisom ich konkrétnych technických zručností.
KAPITOLA VI
ZÁVEREČNÉ USTANOVENIA
whereas