keyboard_tab Cyber Resilience Act 2023/2841 SK
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 3 Článok 13 Poslanie a úlohy CERT-EU
- 2 Článok 22 Koordinácia a spolupráca v rámci reakcie na incidenty
KAPITOLA I
VŠEOBECNÉ USTANOVENIA
KAPITOLA II
OPATRENIA NA ZABEZPEČENIE VYSOKEJ SPOLOČNEJ ÚROVNE KYBERNETICKEJ BEZPEČNOSTI
KAPITOLA III
MEDZIINŠTITUCIONÁLNA RADA PRE KYBERNETICKÚ BEZPEČNOSŤ
KAPITOLA IV
CERT-EU
KAPITOLA V
SPOLUPRÁCA A OZNAMOVACIE POVINNOSTI
KAPITOLA VI
ZÁVEREČNÉ USTANOVENIA
- Únie 32
- bezpečnosti 15
- cert-eu 13
- kybernetickej 13
- cert-eu 12
- alebo 10
- subjektov 10
- podľa 10
- a to 9
- subjekty 8
- služby 8
- v oblasti 8
- subjektmi 7
- informácií 7
- môže 7
- základe 6
- služieb 6
- informácie 6
- reakcie 6
- incidenty 6
- s agentúrou 6
- iicb 6
- článku 6
- tohto 6
- enisa 5
- spolupráci 5
- ods 5
- incidentov 4
- eÚ / 4
- v úzkej 4
- v súlade 4
- uvedené 4
- nariadenia 4
- kybernetických 4
- dotknuté 4
- hrozbách 4
- prostredníctvom 4
- usmernenia 4
- podporu 4
- úrovni 4
- prípadoch 4
- a informačných 3
- údajov 3
- pomoc 3
- písm 3
- v článku 3
- pomoci 3
- jednotiek 3
- verejne 3
- prístupných 3
Článok 5
Vykonávanie opatrení
1. Medziinštitucionálna rada pre kybernetickú bezpečnosť zriadená podľa článku 10 po konzultácii s agentúrou Európskej únie pre kybernetickú bezpečnosť (ďalej len „ENISA“) a po prijatí usmernení od CERT-EU vydá do 8. septembra 2024 usmernenia pre subjekty Únie na účely vykonania počiatočného preskúmania kybernetickej bezpečnosti a vytvorenia vnútorného rámca riadenia, správy a kontroly kybernetickobezpečnostných rizík podľa článku 6, vykonávania posúdení vyspelosti v oblasti kybernetickej bezpečnosti podľa článku 7, prijatia opatrení na riadenie kybernetickobezpečnostných rizík podľa článku 8 a prijatia plánu kybernetickej bezpečnosti podľa článku 9.
2. Pri vykonávaní článkov 6 až 9 subjekty Únie zohľadňujú usmernenia uvedené v odseku 1 tohto článku, ako aj príslušné usmernenia a odporúčania prijaté podľa článkov 11 a 14.
Článok 13
Poslanie a úlohy CERT-EU
1. Poslaním CERT-EU je prispievať k bezpečnosti verejne prístupných prostredí IKT subjektov Únie tým, že im poskytuje poradenstvo v oblasti kybernetickej bezpečnosti, pomáha im predchádzať incidentom, odhaľovať ich, riešiť ich, zmierňovať ich účinky, reagovať na ne a zotaviť sa z nich a koná ako ich centrum na výmenu informácií a koordináciu reakcie na incidenty v oblasti kybernetickej bezpečnosti.
2. CERT-EU získava, spravuje a analyzuje informácie o kybernetických hrozbách, zraniteľnostiach a incidentoch týkajúcich sa verejne prístupných infraštruktúr IKT a zdieľa ich so subjektmi Únie. Koordinuje reakcie na incidenty na medziinštitucionálnej úrovni a na úrovni subjektov Únie, a to aj poskytovaním špecializovanej operačnej pomoci alebo koordináciou jej poskytovania.
3. Ako pomoc pre subjekty Únie vykonáva CERT-EU tieto úlohy:
a) | podporuje ich pri vykonávaní tohto nariadenia a prispieva ku koordinácii vykonávania tohto nariadenia prostredníctvom opatrení uvedených v článku 14 ods. 1 alebo prostredníctvom ad hoc správ požadovaných IICB; |
b) | ponúka štandardné služby jednotiek CSIRT subjektom Únie prostredníctvom balíka kybernetickobezpečnostných služieb opísaného vo svojom katalógu služieb (základné služby); |
c) | spravuje sieť partnerov na podporu služieb, ako sa uvádza v článkoch 17 a 18; |
d) | upozorňuje IICB na problémy súvisiace s vykonávaním tohto nariadenia a vykonávaním usmernení, odporúčaní a výziev na činnosť; |
e) | na základe informácií uvedených v odseku 2 prispieva v úzkej spolupráci s agentúrou ENISA k situačnej informovanosti o kybernetickej bezpečnosti v Únii. |
f) | koordinuje riadenie závažných incidentov; |
g) | v mene subjektov Únie koná ako ekvivalent koordinátora určeného na účely koordinovaného zverejňovania zraniteľností podľa článku 12 ods. 1 smernice (EÚ) 2022/2555. |
h) | na žiadosť subjektu Únie zabezpečuje proaktívne nerušivé skenovanie verejne prístupných sietí a informačných systémov tohto subjektu Únie. |
Informácie uvedené v prvom pododseku písm. e) sa zdieľajú s IICB, sieťou jednotiek CSIRT a v náležitých a vhodných prípadoch so Spravodajským a situačným centrom Európskej únie (ďalej len „EU INTCEN“), a to pri dodržaní primeraných podmienok dôvernosti.
4. CERT-EU môže v súlade s článkom 17 alebo 18 spolupracovať s príslušnými komunitami kybernetickej bezpečnosti v Únii a jej členských štátoch, a to aj v týchto oblastiach:
a) | pripravenosť, koordinácia pri incidentoch, výmena informácií a reakcia na krízu na technickej úrovni v prípadoch súvisiacich so subjektmi Únie; |
b) | operačná spolupráca týkajúca sa siete jednotiek CSIRT, a to aj pokiaľ ide o vzájomnú pomoc; |
c) | spravodajské informácie o kybernetických hrozbách vrátane situačnej informovanosti; |
d) | akákoľvek téma, ktorá si vyžaduje odborné technické znalosti CERT-EU v oblasti kybernetickej bezpečnosti. |
5. CERT-EU v rámci svojich právomocí štruktúrovane spolupracuje s agentúrou ENISA pri budovaní kapacít, operačnej spolupráci a dlhodobých strategických analýzach kybernetických hrozieb v súlade s nariadením (EÚ) 2019/881. CERT-EU môže spolupracovať a vymieňať si informácie s Európskym centrom boja proti počítačovej kriminalite pri Europole.
6. CERT-EU môže poskytovať tieto služby, ktoré nie sú opísané v jeho katalógu služieb (spoplatnené služby):
a) | iné služby na podporu kybernetickej bezpečnosti prostredia IKT subjektov Únie, než sú služby uvedené v odseku 3, na základe dohôd o úrovni poskytovaných služieb a podľa dostupných zdrojov, a to najmä širokospektrálne monitorovanie sietí vrátane bežného nepretržitého monitorovania kybernetických hrozieb s vysokou závažnosťou; |
b) | iné služby na podporu činností alebo projektov subjektov Únie v oblasti kybernetickej bezpečnosti, než sú služby na ochranu ich prostredia IKT, a to na základe písomných dohôd a s predchádzajúcim povolením IICB; |
c) | na požiadanie proaktívne skenovanie sietí a informačných systémov dotknutého subjektu Únie s cieľom odhaliť zraniteľnosti s potenciálnym významným vplyvom; |
d) | služby na podporu bezpečnosti prostredia IKT organizáciám, ktoré nie sú subjektmi Únie a ktoré so subjektmi Únie úzko spolupracujú, napríklad tak, že majú pridelené úlohy alebo povinnosti podľa práva Únie, a to na základe písomných dohôd a s predchádzajúcim povolením IICB. |
S ohľadom na prvý pododsek písm. d) CERT-EU môže výnimočne uzavrieť dohody o úrovni poskytovaných služieb s inými subjektmi, než sú subjekty Únie, a to s predchádzajúcim povolením IICB.
7. CERT-EU organizuje cvičenia v oblasti kybernetickej bezpečnosti a môže sa na nich zúčastňovať alebo odporúčať účasť na existujúcich cvičeniach, a to v náležitých prípadoch v úzkej spolupráci s agentúrou ENISA, s cieľom testovať úroveň kybernetickej bezpečnosti subjektov Únie.
8. CERT-EU môže subjektom Únie poskytovať pomoc s incidentmi v sieťach a informačných systémoch, v ktorých sa zaobchádza s utajovanými skutočnosťami EÚ, ak o to dotknuté subjekty Únie výslovne požiadajú v súlade so svojimi príslušnými postupmi. Poskytovaním pomoci zo strany CERT-EU podľa tohto odseku nie sú dotknuté príslušné pravidlá týkajúce sa ochrany utajovaných skutočností.
9. CERT-EU informuje subjekty Únie o svojich postupoch a procesoch riešenia incidentov.
10. Zachovávajúc vysokú mieru dôvernosti a spoľahlivosti CERT-EU prispieva prostredníctvom vhodných mechanizmov spolupráce a hierarchických vzťahov k relevantným a anonymizovaným informáciám o závažných incidentoch a o spôsobe, akým boli riešené. Uvedené informácie sa zahrnú do správy uvedenej v článku 10 ods. 14.
11. CERT-EU v spolupráci s európsky dozorným úradníkom pre ochranu osobných údajov podporuje dotknuté subjekty Únie pri riešení incidentov, ktoré majú za následok porušenie ochrany osobných údajov, bez toho, aby boli dotknuté kompetencie a úlohy európskeho dozorného úradníka pre ochranu osobných údajov ako orgánu dohľadu podľa nariadenia (EÚ) 2018/1725.
12. CERT-EU môže subjektom Únie poskytnúť technické poradenstvo alebo informácie o relevantných politických otázkach, ak o to politické oddelenia subjektov Únie výslovne požiadajú.
Článok 22
Koordinácia a spolupráca v rámci reakcie na incidenty
1. CERT-EU ako centrum na výmenu informácií a koordináciu reakcie na incidenty v oblasti kybernetickej bezpečnosti uľahčuje výmenu informácií o incidentoch, kybernetických hrozbách, zraniteľnostiach a udalostiach odvrátených v poslednej chvíli medzi:
a) | subjektmi Únie; |
b) | náprotivkami uvedenými v článkoch 17 a 18. |
2. CERT-EU, v relevantných prípadoch v úzkej spolupráci s agentúrou ENISA, uľahčuje koordináciu reakcií subjektov Únie na incidenty vrátane:
a) | prispievania k sústavnej komunikácii navonok; |
b) | vzájomnej podpory, ako je napríklad zdieľanie relevantných informácií so subjektmi Únie, alebo v relevantných prípadoch poskytovania pomoci priamo na mieste; |
c) | optimálneho využívania operačných zdrojov; |
d) | koordinácie s inými mechanizmami reakcie na krízu na úrovni Únie. |
3. CERT-EU v úzkej spolupráci s agentúrou ENISA podporuje subjekty Únie, pokiaľ ide o situačnú informovanosť o incidentoch, kybernetických hrozbách, zraniteľnostiach a udalostiach odvrátených v poslednej chvíli, ako aj zdieľanie informácií o relevantnom vývoji v oblasti kybernetickej bezpečnosti.
4. IICB do 8. januára 2025 na základe návrhu CERT-EU vydá usmernenia alebo odporúčania týkajúce sa koordinácie a spolupráce v rámci reakcie na incidenty v prípade významných incidentov. V prípade podozrenia na trestnoprávnu povahu incidentu, CERT-EU bez zbytočného odkladu poskytne rady o spôsoboch oznamovania incidentu orgánom presadzovania práva.
5. Na základe osobitnej žiadosti členského štátu a so súhlasom dotknutých subjektov Únie môže CERT-EU vyzvať odborníkov zo zoznamu uvedeného v článku 23 ods. 4, aby prispeli k reakcii na závažný incident, ktorý má dosah v danom členskom štáte, alebo na rozsiahly kybernetický incident v súlade s článkom 15 ods. 3 písm. g) smernice (EÚ) 2022/2555. IICB schváli na návrh CERT-EU osobitné pravidlá týkajúce sa prístupu k technickým odborníkom zo subjektov Únie a ich využívania.
whereas