keyboard_tab Cyber Resilience Act 2023/2841 SK
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Článok 8 Opatrenia na riadenie kybernetickobezpečnostných rizík
- 1 Článok 11 Úlohy IICB
- 3 Článok 12 Dodržiavanie povinností
- 1 Článok 13 Poslanie a úlohy CERT-EU
- 1 Článok 17 Spolupráca CERT-EU s náprotivkami v členskom štáte
- 1 Článok 25 Preskúmanie
- Článok 26 Nadobudnutie účinnosti
KAPITOLA I
VŠEOBECNÉ USTANOVENIA
KAPITOLA II
OPATRENIA NA ZABEZPEČENIE VYSOKEJ SPOLOČNEJ ÚROVNE KYBERNETICKEJ BEZPEČNOSTI
KAPITOLA III
MEDZIINŠTITUCIONÁLNA RADA PRE KYBERNETICKÚ BEZPEČNOSŤ
KAPITOLA IV
CERT-EU
KAPITOLA V
SPOLUPRÁCA A OZNAMOVACIE POVINNOSTI
KAPITOLA VI
ZÁVEREČNÉ USTANOVENIA
- Únie 82
- cert-eu 37
- bezpečnosti 30
- alebo 25
- kybernetickej 24
- tohto 20
- iicb 18
- subjektu 17
- podľa 17
- subjekt 16
- nariadenia 16
- a to 15
- informácie 14
- subjektov 14
- služieb 14
- v oblasti 12
- základe 11
- prípadoch 11
- subjekty 11
- riadenie 11
- ktoré 11
- môže 10
- cert-eu 10
- subjektmi 10
- kybernetickobezpečnostných 10
- rizík 9
- ods 9
- opatrení 9
- vrátane 9
- incidentov 9
- prostredníctvom 8
- schvaľuje 8
- s cieľom 8
- v článku 8
- jeho 8
- opatrenia 8
- služby 8
- eÚ / 8
- pododseku 8
- subjektom 7
- písm 7
- návrhu 7
- v súlade 7
- smernice 7
- Článok 6
- uvedených 6
- zasiahnutý 6
- bezpečnosť 6
- informácií 6
- článku 6
Článok 8
Opatrenia na riadenie kybernetickobezpečnostných rizík
1. Bez zbytočného odkladu a v každom prípade do 8. septembra 2025 prijme každý subjekt Únie pod dohľadom svojho manažmentu najvyššej úrovne vhodné a primerané technické, prevádzkové a organizačné opatrenia na riadenie kybernetickobezpečnostných rizík identifikovaných prostredníctvom rámca a na predchádzanie incidentom alebo minimalizáciu ich následkov. S ohľadom na najnovšie a v náležitých prípadoch relevantné európske a medzinárodné normy sa uvedenými opatreniami zabezpečí úroveň bezpečnosti sietí a informačných systémov v celom prostredí IKT zodpovedajúca identifikovaným kybernetickobezpečnostným rizikám. Pri posudzovaní primeranosti týchto opatrení sa náležite zohľadní stupeň vystavenia subjektu Únie kybernetickobezpečnostným rizikám, jeho veľkosť a pravdepodobnosť výskytu incidentov a ich závažnosť vrátane ich spoločenského, hospodárskeho a medziinštitucionálneho vplyvu.
2. Pri vykonávaní opatrení na riadenie kybernetickobezpečnostných rizík sa subjekty Únie zameriavajú aspoň na tieto oblasti:
| a) | politiku kybernetickej bezpečnosti vrátane opatrení potrebných na dosiahnutie cieľov a priorít uvedených v článku 6 a v odseku 3 tohto článku; |
| b) | zásady analýzy kybernetickobezpečnostných rizík a bezpečnosti informačných systémov; |
| c) | ciele politiky týkajúce sa využívania služieb cloud computingu; |
| d) | v náležitých prípadoch audit kybernetickej bezpečnosti, ktorý môže zahŕňať posúdenie kybernetickobezpečnostných rizík, zraniteľností a kybernetických hrozieb, a penetračné testovanie, ktoré pravidelne vykonáva dôveryhodný súkromný poskytovateľ; |
| e) | vykonávanie odporúčaní vyplývajúcich z auditov kybernetickej bezpečnosti uvedených v písmene d) prostredníctvom aktualizácií kybernetickej bezpečnosti a politiky; |
| f) | organizáciu kybernetickej bezpečnosti vrátane vymedzenia úloh a povinností; |
| g) | správu aktív vrátane inventára aktív IKT a kartografie sietí IKT; |
| h) | bezpečnosť ľudských zdrojov a kontrolu prístupu; |
| i) | bezpečnosť operácií; |
| j) | komunikačnú bezpečnosť; |
| k) | nadobudnutie, vývoj a údržbu systému vrátane zásad riešenia a zverejňovania zraniteľností; |
| l) | ak je to možné, zásady transparentnosti zdrojového kódu; |
| m) | bezpečnosť dodávateľského reťazca vrátane bezpečnostných aspektov týkajúcich sa vzťahov medzi každým subjektom Únie a jeho priamymi dodávateľmi alebo poskytovateľmi služieb; |
| n) | riešenie incidentov a spoluprácu s CERT-EU, ako je napríklad údržba monitorovania bezpečnosti a logovania; |
| o) | riadenie kontinuity činností, ako je napríklad riadenie zálohovania a obnova systému po havárii, a krízové riadenie; a |
| p) | propagáciu a vývoj programov, pokiaľ ide o vzdelávanie, nadobúdanie zručností, zvyšovanie informovanosti, cvičenia a odbornú prípravu v oblasti kybernetickej bezpečnosti. |
Na účely prvého pododseku písm. m) subjekty Únie zohľadňujú zraniteľnosti špecifické pre každého priameho dodávateľa a poskytovateľa služieb a celkovú kvalitu produktov a postupy ich dodávateľov a poskytovateľov služieb v oblasti kybernetickej bezpečnosti vrátane ich postupov bezpečného vývoja.
3. Subjekty Únie prijmú aspoň tieto opatrenia na riadenie kybernetickobezpečnostných rizík:
| a) | technické opatrenia na umožnenie a udržanie telepráce; |
| b) | konkrétne kroky na prechod k zásadám nulovej dôvery; |
| c) | používanie dvojstupňovej autentifikácie ako normy v sieťach a informačných systémoch; |
| d) | používanie kryptografie a šifrovania, najmä šifrovania bez medzifáz, ako aj bezpečných digitálnych podpisov; |
| e) | v náležitých prípadoch zavedenie zabezpečenej hlasovej, video a textovej komunikácie a zabezpečených systémov tiesňovej komunikácie v rámci subjektu Únie; |
| f) | proaktívne opatrenia na odhaľovanie a odstraňovanie malvéru a špionážneho softvéru; |
| g) | zavedenie bezpečnosti dodávateľského reťazca softvéru prostredníctvom kritérií bezpečného vývoja a hodnotenia softvéru; |
| h) | vypracovanie a schválenie učebných plánov odbornej prípravy v oblasti kybernetickej bezpečnosti zodpovedajúce predpísaným úlohám a očakávaným spôsobilostiam manažmentu najvyššej úrovne a zamestnancov subjektu Únie poverených zaistením účinného vykonávania tohto nariadenia; |
| i) | pravidelná odborná príprava zamestnancov v oblasti kybernetickej bezpečnosti; |
| j) | v relevantných prípadoch účasť na analýzach rizík prepojení medzi subjektmi Únie; |
| k) | posilnenie pravidiel obstarávania s cieľom uľahčiť dosiahnutie vysokej spoločnej úrovne kybernetickej bezpečnosti prostredníctvom:
|
Článok 11
Úlohy IICB
IICB pri plnení svojich úloh predovšetkým:
| a) | poskytuje usmernenia vedúcemu CERT-EU; |
| b) | účinne monitoruje vykonávanie tohto nariadenia, dohliada nad jeho vykonávaním a podporuje subjekty Únie pri posilňovaní ich kybernetickej bezpečnosti, a to v náležitých prípadoch aj vyžiadaním ad hoc správ od subjektov Únie a CERT-EU; |
| c) | v nadväznosti na strategickú diskusiu prijíma viacročnú stratégiu na zvýšenie úrovne kybernetickej bezpečnosti v subjektoch Únie, pravidelne ju posudzuje, a to aspoň každých päť rokov, a v prípade potreby ju mení; |
| d) | stanovuje metodiku a organizačné aspekty vykonávania dobrovoľných partnerských preskúmaní subjektmi Únie s cieľom čerpať sa zo spoločných skúseností, posilniť vzájomnú dôveru, dosiahnuť vysokú spoločnú úroveň kybernetickej bezpečnosti, ako aj posilniť spôsobilosti subjektov Únie v oblasti kybernetickej bezpečnosti, pričom sa zabezpečí, aby takéto partnerské preskúmania vykonávali odborníci na kybernetickú bezpečnosť určení iným subjektom Únie, než je subjekt Únie podstupujúci preskúmanie, a aby metodika vychádzala z článku 19 smernice (EÚ) 2022/2555 a v náležitých prípadoch bola prispôsobená subjektom Únie; |
| e) | na základe návrhu vedúceho CERT-EU schvaľuje ročný pracovný program CERT-EU a monitoruje jeho vykonávanie; |
| f) | na základe návrhu vedúceho CERT-EU schvaľuje katalóg služieb CERT-EU a všetky jeho aktualizácie; |
| g) | na základe návrhu vedúceho CERT-EU schvaľuje ročný finančný plán príjmov a výdavkov súvisiacich s činnosťami CERT-EU, ktorý zahŕňa aj plán počtu zamestnancov; |
| h) | na základe návrhu vedúceho CERT-EU schvaľuje postupy pre dohody o úrovni poskytovaných služieb; |
| i) | preskúmava a schvaľuje výročnú správu o činnostiach CERT-EU a správe jeho finančných prostriedkov, ktorú vypracoval vedúci CERT-EU; |
| j) | schvaľuje a monitoruje kľúčové ukazovatele výkonnosti (KPI) CERT-EU stanovené na základe návrhu vedúceho CERT-EU; |
| k) | schvaľuje dohody o spolupráci, dohody o úrovni poskytovaných služieb alebo zmluvy medzi CERT-EU a inými subjektmi podľa článku 18; |
| l) | prijíma usmernenia a odporúčania na základe návrhu CERT-EU v súlade s článkom 14 a dáva CERT-EU pokyn na vydanie, zrušenie alebo zmenu návrhu usmernení alebo odporúčaní, alebo výzvy na činnosť; |
| m) | zriaďuje technické poradné skupiny poverené konkrétnymi úlohami na pomoc pri práci IICB, schvaľuje ich mandát a menuje ich predsedov; |
| n) | prijíma a posudzuje dokumenty a správy predložené subjektmi Únie podľa tohto nariadenia, ako sú napríklad posúdenia vyspelosti v oblasti kybernetickej bezpečnosti; |
| o) | umožní zriadenie neformálnej skupiny miestnych úradníkov pre kybernetickú bezpečnosť subjektov Únie, podporovanej agentúrou ENISA, s cieľom vymieňať si najlepšie postupy a informácie v súvislosti s vykonávaním tohto nariadenia; |
| p) | s prihliadnutím na informácie o identifikovaných kybernetickobezpečnostných rizikách a získané poznatky, ktoré poskytuje CERT-EU, monitoruje primeranosť dohôd o prepojení medzi prostrediami IKT subjektov Únie a poskytuje poradenstvo o možných zlepšeniach; |
| q) | vypracuje plán riadenia kybernetických kríz s cieľom podporiť koordinované riadenie závažných incidentov, ktoré majú vplyv na subjekty Únie, na operačnej úrovni a prispieť k pravidelnej výmene relevantných informácií, najmä pokiaľ ide o dosah a závažnosť závažných incidentov a možné spôsoby zmiernenia ich vplyvov; |
| r) | koordinuje prijímanie plánov riadenia kybernetických kríz jednotlivých subjektov Únie uvedených v článku 9 ods. 2; |
| s) | prijíma odporúčania týkajúce sa bezpečnosti dodávateľského reťazca uvedenej v článku 8 ods. 2 prvom pododseku písm. m), pričom prihliada na výsledky koordinovaných posúdení bezpečnostných rizík kritických dodávateľských reťazcov na úrovni Únie uvedených v článku 22 smernice (EÚ) 2022/2555, aby podporila subjekty Únie pri prijímaní účinných a primeraných opatrení na riadenie kybernetickobezpečnostných rizík. |
Článok 12
Dodržiavanie povinností
1. IICB podľa článku 10 ods. 2 a článku 11 účinne monitoruje vykonávanie tohto nariadenia a prijatých usmernení, odporúčaní a výziev na činnosť subjektmi Únie. IICB môže od subjektov Únie požadovať informácie alebo dokumentáciu potrebné na tento účel. Na účely prijatia opatrení na zabezpečenie dodržiavania povinností podľa tohto článku nemá dotknutý subjekt Únie hlasovacie práva, ak je daný subjekt Únie priamo zastúpený v IICB.
2. Keď IICB zistí, že subjekt Únie toto nariadenie alebo usmernenia, odporúčania alebo výzvy na činnosť vydané podľa tohto nariadenia účinne nevykonáva, bez toho, aby boli dotknuté vnútorné postupy dotknutého subjektu Únie, a po poskytnutí možnosti dotknutému subjektu Únie predložiť svoje vyjadrenie, IICB môže:
| a) | dať dotknutému subjektu Únie na vedomie odôvodnené stanovisko so zistenými nedostatkami vo vykonávaní tohto nariadenia; |
| b) | po porade s CERT-EU poskytnúť dotknutému subjektu Únie usmernenia s cieľom zabezpečiť súlad jeho rámca, opatrení na riadenie kybernetickobezpečnostných rizík, plánu kybernetickej bezpečnosti a oznamovania s týmto nariadením v stanovenej lehote; |
| c) | vydať varovanie na vyriešenie zistených nedostatkov v stanovenej lehote, ktoré bude obsahovať aj odporúčania na zmenu opatrení prijatých dotknutým subjektom Únie podľa tohto nariadenia; |
| d) | vydať odôvodnené oznámenie adresované dotknutému subjektu Únie v prípade, že nedostatky zistené vo varovaní vydanom podľa písmena c) neboli v stanovenej lehote dostatočne vyriešené; |
| e) | vydať:
|
| f) | v príslušných prípadoch informovať Dvor audítorov v rámci jeho mandátu o údajnom nedodržiavaní povinností; |
| g) | vydať odporúčanie pre všetky členské štáty a subjekty Únie na dočasné pozastavenie tokov údajov do dotknutého subjektu Únie. |
Na účely prvého pododseku písm. c) sa primerane obmedzia adresáti varovania, v prípade potreby vzhľadom na závažné kybernetickobezpečnostné riziko.
Varovania a odporúčania vydané podľa prvého pododseku sú adresované manažmentu najvyššej úrovne dotknutého subjektu Únie.
3. Ak IICB prijala opatrenia podľa odseku 2 prvého pododseku písm. a) až g), dotknutý subjekt Únie poskytne podrobný opis opatrení a krokov prijatých na vyriešenie údajných nedostatkov, ktoré IICB zistila. Subjekt Únie predloží tento podrobný opis v primeranej lehote, ktorú si dohodne s IICB.
4. Ak sa IICB domnieva, že subjekt Únie neustále porušuje toto nariadenie a že toto porušovanie vyplýva priamo z konania alebo opomenutia úradníka alebo iného zamestnanca Únie, a to aj z radov manažmentu najvyššej úrovne, IICB požiada dotknutý subjekt Únie, aby prijal primerané opatrenia a aby zvážil prijatie disciplinárneho opatrenia, a to v súlade s pravidlami a postupmi stanovenými v služobnom poriadku a akýmikoľvek inými uplatniteľnými pravidlami a postupmi. Na tento účel IICB postúpi potrebné informácie dotknutému subjektu Únie.
5. Ak subjekty Únie oznámia, že nie sú schopné dodržať lehoty stanovené v článku 6 ods. 1 a článku 8 ods. 1, IICB môže v riadne odôvodnených prípadoch a s prihliadnutím na veľkosť daného subjektu Únie povoliť predĺženie týchto lehôt.
KAPITOLA IV
CERT-EU
Článok 13
Poslanie a úlohy CERT-EU
1. Poslaním CERT-EU je prispievať k bezpečnosti verejne prístupných prostredí IKT subjektov Únie tým, že im poskytuje poradenstvo v oblasti kybernetickej bezpečnosti, pomáha im predchádzať incidentom, odhaľovať ich, riešiť ich, zmierňovať ich účinky, reagovať na ne a zotaviť sa z nich a koná ako ich centrum na výmenu informácií a koordináciu reakcie na incidenty v oblasti kybernetickej bezpečnosti.
2. CERT-EU získava, spravuje a analyzuje informácie o kybernetických hrozbách, zraniteľnostiach a incidentoch týkajúcich sa verejne prístupných infraštruktúr IKT a zdieľa ich so subjektmi Únie. Koordinuje reakcie na incidenty na medziinštitucionálnej úrovni a na úrovni subjektov Únie, a to aj poskytovaním špecializovanej operačnej pomoci alebo koordináciou jej poskytovania.
3. Ako pomoc pre subjekty Únie vykonáva CERT-EU tieto úlohy:
| a) | podporuje ich pri vykonávaní tohto nariadenia a prispieva ku koordinácii vykonávania tohto nariadenia prostredníctvom opatrení uvedených v článku 14 ods. 1 alebo prostredníctvom ad hoc správ požadovaných IICB; |
| b) | ponúka štandardné služby jednotiek CSIRT subjektom Únie prostredníctvom balíka kybernetickobezpečnostných služieb opísaného vo svojom katalógu služieb (základné služby); |
| c) | spravuje sieť partnerov na podporu služieb, ako sa uvádza v článkoch 17 a 18; |
| d) | upozorňuje IICB na problémy súvisiace s vykonávaním tohto nariadenia a vykonávaním usmernení, odporúčaní a výziev na činnosť; |
| e) | na základe informácií uvedených v odseku 2 prispieva v úzkej spolupráci s agentúrou ENISA k situačnej informovanosti o kybernetickej bezpečnosti v Únii. |
| f) | koordinuje riadenie závažných incidentov; |
| g) | v mene subjektov Únie koná ako ekvivalent koordinátora určeného na účely koordinovaného zverejňovania zraniteľností podľa článku 12 ods. 1 smernice (EÚ) 2022/2555. |
| h) | na žiadosť subjektu Únie zabezpečuje proaktívne nerušivé skenovanie verejne prístupných sietí a informačných systémov tohto subjektu Únie. |
Informácie uvedené v prvom pododseku písm. e) sa zdieľajú s IICB, sieťou jednotiek CSIRT a v náležitých a vhodných prípadoch so Spravodajským a situačným centrom Európskej únie (ďalej len „EU INTCEN“), a to pri dodržaní primeraných podmienok dôvernosti.
4. CERT-EU môže v súlade s článkom 17 alebo 18 spolupracovať s príslušnými komunitami kybernetickej bezpečnosti v Únii a jej členských štátoch, a to aj v týchto oblastiach:
| a) | pripravenosť, koordinácia pri incidentoch, výmena informácií a reakcia na krízu na technickej úrovni v prípadoch súvisiacich so subjektmi Únie; |
| b) | operačná spolupráca týkajúca sa siete jednotiek CSIRT, a to aj pokiaľ ide o vzájomnú pomoc; |
| c) | spravodajské informácie o kybernetických hrozbách vrátane situačnej informovanosti; |
| d) | akákoľvek téma, ktorá si vyžaduje odborné technické znalosti CERT-EU v oblasti kybernetickej bezpečnosti. |
5. CERT-EU v rámci svojich právomocí štruktúrovane spolupracuje s agentúrou ENISA pri budovaní kapacít, operačnej spolupráci a dlhodobých strategických analýzach kybernetických hrozieb v súlade s nariadením (EÚ) 2019/881. CERT-EU môže spolupracovať a vymieňať si informácie s Európskym centrom boja proti počítačovej kriminalite pri Europole.
6. CERT-EU môže poskytovať tieto služby, ktoré nie sú opísané v jeho katalógu služieb (spoplatnené služby):
| a) | iné služby na podporu kybernetickej bezpečnosti prostredia IKT subjektov Únie, než sú služby uvedené v odseku 3, na základe dohôd o úrovni poskytovaných služieb a podľa dostupných zdrojov, a to najmä širokospektrálne monitorovanie sietí vrátane bežného nepretržitého monitorovania kybernetických hrozieb s vysokou závažnosťou; |
| b) | iné služby na podporu činností alebo projektov subjektov Únie v oblasti kybernetickej bezpečnosti, než sú služby na ochranu ich prostredia IKT, a to na základe písomných dohôd a s predchádzajúcim povolením IICB; |
| c) | na požiadanie proaktívne skenovanie sietí a informačných systémov dotknutého subjektu Únie s cieľom odhaliť zraniteľnosti s potenciálnym významným vplyvom; |
| d) | služby na podporu bezpečnosti prostredia IKT organizáciám, ktoré nie sú subjektmi Únie a ktoré so subjektmi Únie úzko spolupracujú, napríklad tak, že majú pridelené úlohy alebo povinnosti podľa práva Únie, a to na základe písomných dohôd a s predchádzajúcim povolením IICB. |
S ohľadom na prvý pododsek písm. d) CERT-EU môže výnimočne uzavrieť dohody o úrovni poskytovaných služieb s inými subjektmi, než sú subjekty Únie, a to s predchádzajúcim povolením IICB.
7. CERT-EU organizuje cvičenia v oblasti kybernetickej bezpečnosti a môže sa na nich zúčastňovať alebo odporúčať účasť na existujúcich cvičeniach, a to v náležitých prípadoch v úzkej spolupráci s agentúrou ENISA, s cieľom testovať úroveň kybernetickej bezpečnosti subjektov Únie.
8. CERT-EU môže subjektom Únie poskytovať pomoc s incidentmi v sieťach a informačných systémoch, v ktorých sa zaobchádza s utajovanými skutočnosťami EÚ, ak o to dotknuté subjekty Únie výslovne požiadajú v súlade so svojimi príslušnými postupmi. Poskytovaním pomoci zo strany CERT-EU podľa tohto odseku nie sú dotknuté príslušné pravidlá týkajúce sa ochrany utajovaných skutočností.
9. CERT-EU informuje subjekty Únie o svojich postupoch a procesoch riešenia incidentov.
10. Zachovávajúc vysokú mieru dôvernosti a spoľahlivosti CERT-EU prispieva prostredníctvom vhodných mechanizmov spolupráce a hierarchických vzťahov k relevantným a anonymizovaným informáciám o závažných incidentoch a o spôsobe, akým boli riešené. Uvedené informácie sa zahrnú do správy uvedenej v článku 10 ods. 14.
11. CERT-EU v spolupráci s európsky dozorným úradníkom pre ochranu osobných údajov podporuje dotknuté subjekty Únie pri riešení incidentov, ktoré majú za následok porušenie ochrany osobných údajov, bez toho, aby boli dotknuté kompetencie a úlohy európskeho dozorného úradníka pre ochranu osobných údajov ako orgánu dohľadu podľa nariadenia (EÚ) 2018/1725.
12. CERT-EU môže subjektom Únie poskytnúť technické poradenstvo alebo informácie o relevantných politických otázkach, ak o to politické oddelenia subjektov Únie výslovne požiadajú.
Článok 17
Spolupráca CERT-EU s náprotivkami v členskom štáte
1. CERT-EU bezodkladne spolupracuje a vymieňa si informácie s náprotivkami v členskom štáte, najmä s jednotkami CSIRT určenými alebo zriadenými podľa článku 10 smernice (EÚ) 2022/2555 alebo v náležitých prípadoch s príslušnými orgánmi a jednotnými kontaktnými miestami určenými alebo zriadenými podľa článku 8 danej smernice, v súvislosti s incidentmi, kybernetickými hrozbami, zraniteľnosťami, udalosťami odvrátenými v poslednej chvíli, možnými protiopatreniami, ako aj v súvislosti s najlepšími postupmi a o všetkých otázkach relevantných pre zlepšenie ochrany prostredí IKT subjektov Únie, a to aj prostredníctvom siete jednotiek CSIRT zriadenej podľa článku 15 smernice (EÚ) 2022/2555. CERT-EU podporuje Komisiu v sieti EU-CyCLONe zriadenej podľa článku 16 smernice (EÚ) 2022/2555 o koordinovanom riadení rozsiahlych kybernetických incidentov a kríz.
2. Ak sa CERT-EU dozvie o významnom incidente, ku ktorému došlo na území členského štátu, bezodkladne informuje všetkých relevantných náprotivkov v tomto členskom štáte, v súlade s odsekom 1.
3. Za predpokladu, že osobné údaje sú chránené v súlade s príslušným právom Únie v oblasti ochrany údajov, si CERT-EU bez zbytočného odkladu vymieňa relevantné informácie o konkrétnom incidente s náprotivkami v členskom štáte s cieľom pomôcť odhaliť podobné kybernetické hrozby alebo incidenty alebo prispieť k analýze incidentu, a to bez povolenia zasiahnutého subjektu Únie. CERT-EU si vymieňa informácie o konkrétnom incidente, ktoré odhaľujú identitu cieľa incidentu len v prípade jednej z týchto možností:
| a) | zasiahnutý subjekt Únie súhlasí; |
| b) | zasiahnutý subjekt Únie nesúhlasí, ako sa stanovuje v písmene a), ale zverejnením identity zasiahnutého subjektu Únie by sa zvýšila pravdepodobnosť, že sa zamedzí ďalším incidentom alebo sa zmiernia ich následky; |
| c) | zasiahnutý subjekt Únie už zverejnil, že bol incidentom zasiahnutý. |
Rozhodnutia o výmene informácií o konkrétnom incidente, ktoré odhaľujú totožnosť cieľa incidentu podľa prvého pododseku písm. b), schvaľuje vedúci CERT-EU. Pred vydaním takéhoto rozhodnutia sa CERT-EU písomne obráti na zasiahnutý subjekt Únie, pričom mu jasne vysvetlí, ako by zverejnenie jeho totožnosti pomohlo zamedziť ďalším incidentom alebo zmierniť ich následky. Vedúci CERT-EU poskytne vysvetlenie a výslovne požiada subjekt Únie, aby v stanovenej lehote uviedol, či súhlasí. Vedúci CERT-EU takisto informuje subjekt Únie o tom, že na základe poskytnutého vysvetlenia si vyhradzuje právo zverejniť dané informácie aj bez udelenia súhlasu. Zasiahnutý subjekt Únie musí byť informovaný pred tým, než sú informácie zverejnené.
Článok 25
Preskúmanie
1. IICB s pomocou CERT-EU do 8. januára 2025 a potom každoročne predloží Komisii správu o vykonávaní tohto nariadenia. IICB môže Komisii takisto odporučiť, aby toto nariadenie preskúmala.
2. Komisia do 8. januára 2027 a potom každé dva roky posúdi vykonávanie tohto nariadenia a predloží Európskemu parlamentu a Rade správu o jeho vykonávaní a o skúsenostiach získaných na strategickej a operačnej úrovni.
Správa uvedená v prvom pododseku tohto odseku obsahuje preskúmanie uvedené v článku 16 ods. 1 týkajúce sa možnosti zriadiť CERT-EU ako úrad Únie.
3. Komisia do 8. januára 2029 vyhodnotí fungovanie tohto nariadenia a predloží správu Európskemu parlamentu, Rade, Európskemu hospodárskemu a sociálnemu výboru a Výboru regiónov. Komisia tiež vyhodnotí vhodnosť zahrnúť siete a informačné systémy, v ktorých sa zaobchádza s utajovanými skutočnosťami EÚ, do rozsahu pôsobnosti tohto nariadenia, pričom zohľadní iné legislatívne akty Únie uplatniteľné na tieto systémy. K správe sa v prípade potreby pripojí legislatívny návrh.
whereas