keyboard_tab Cyber Resilience Act 2023/2841 SK
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
KAPITOLA I
VŠEOBECNÉ USTANOVENIA
KAPITOLA II
OPATRENIA NA ZABEZPEČENIE VYSOKEJ SPOLOČNEJ ÚROVNE KYBERNETICKEJ BEZPEČNOSTI
KAPITOLA III
MEDZIINŠTITUCIONÁLNA RADA PRE KYBERNETICKÚ BEZPEČNOSŤ
KAPITOLA IV
CERT-EU
KAPITOLA V
SPOLUPRÁCA A OZNAMOVACIE POVINNOSTI
KAPITOLA VI
ZÁVEREČNÉ USTANOVENIA
- Únie 65
- alebo 27
- cert-eu 24
- subjektu 19
- podľa 18
- bezpečnosti 18
- iicb 16
- subjekt 15
- kybernetickej 15
- ktoré 15
- tohto 13
- prípadoch 13
- informácie 12
- ods 12
- vrátane 11
- incidentov 11
- informácií 11
- riadenie 11
- môže 10
- opatrenia 10
- subjekty 10
- incidentu 9
- článku 9
- opatrení 9
- služieb 8
- subjekty 8
- dosah 7
- incident 7
- jeho 7
- dotknutý 7
- účely 7
- v náležitých 7
- odkladu 7
- zbytočného 7
- subjektmi 7
- závažných 7
- v článku 7
- rizík 7
- kybernetickobezpečnostných 7
- článku 7
- dotknutému 6
- správu 6
- Článok 6
- komisie 6
- nariadenia 6
- s cert-eu 6
- riadenia 6
- kríz 5
- úrovne 5
- a v každom 5
Článok 8
Opatrenia na riadenie kybernetickobezpečnostných rizík
1. Bez zbytočného odkladu a v každom prípade do 8. septembra 2025 prijme každý subjekt Únie pod dohľadom svojho manažmentu najvyššej úrovne vhodné a primerané technické, prevádzkové a organizačné opatrenia na riadenie kybernetickobezpečnostných rizík identifikovaných prostredníctvom rámca a na predchádzanie incidentom alebo minimalizáciu ich následkov. S ohľadom na najnovšie a v náležitých prípadoch relevantné európske a medzinárodné normy sa uvedenými opatreniami zabezpečí úroveň bezpečnosti sietí a informačných systémov v celom prostredí IKT zodpovedajúca identifikovaným kybernetickobezpečnostným rizikám. Pri posudzovaní primeranosti týchto opatrení sa náležite zohľadní stupeň vystavenia subjektu Únie kybernetickobezpečnostným rizikám, jeho veľkosť a pravdepodobnosť výskytu incidentov a ich závažnosť vrátane ich spoločenského, hospodárskeho a medziinštitucionálneho vplyvu.
2. Pri vykonávaní opatrení na riadenie kybernetickobezpečnostných rizík sa subjekty Únie zameriavajú aspoň na tieto oblasti:
| a) | politiku kybernetickej bezpečnosti vrátane opatrení potrebných na dosiahnutie cieľov a priorít uvedených v článku 6 a v odseku 3 tohto článku; |
| b) | zásady analýzy kybernetickobezpečnostných rizík a bezpečnosti informačných systémov; |
| c) | ciele politiky týkajúce sa využívania služieb cloud computingu; |
| d) | v náležitých prípadoch audit kybernetickej bezpečnosti, ktorý môže zahŕňať posúdenie kybernetickobezpečnostných rizík, zraniteľností a kybernetických hrozieb, a penetračné testovanie, ktoré pravidelne vykonáva dôveryhodný súkromný poskytovateľ; |
| e) | vykonávanie odporúčaní vyplývajúcich z auditov kybernetickej bezpečnosti uvedených v písmene d) prostredníctvom aktualizácií kybernetickej bezpečnosti a politiky; |
| f) | organizáciu kybernetickej bezpečnosti vrátane vymedzenia úloh a povinností; |
| g) | správu aktív vrátane inventára aktív IKT a kartografie sietí IKT; |
| h) | bezpečnosť ľudských zdrojov a kontrolu prístupu; |
| i) | bezpečnosť operácií; |
| j) | komunikačnú bezpečnosť; |
| k) | nadobudnutie, vývoj a údržbu systému vrátane zásad riešenia a zverejňovania zraniteľností; |
| l) | ak je to možné, zásady transparentnosti zdrojového kódu; |
| m) | bezpečnosť dodávateľského reťazca vrátane bezpečnostných aspektov týkajúcich sa vzťahov medzi každým subjektom Únie a jeho priamymi dodávateľmi alebo poskytovateľmi služieb; |
| n) | riešenie incidentov a spoluprácu s cert-eu, ako je napríklad údržba monitorovania bezpečnosti a logovania; |
| o) | riadenie kontinuity činností, ako je napríklad riadenie zálohovania a obnova systému po havárii, a krízové riadenie; a |
| p) | propagáciu a vývoj programov, pokiaľ ide o vzdelávanie, nadobúdanie zručností, zvyšovanie informovanosti, cvičenia a odbornú prípravu v oblasti kybernetickej bezpečnosti. |
Na účely prvého pododseku písm. m) subjekty Únie zohľadňujú zraniteľnosti špecifické pre každého priameho dodávateľa a poskytovateľa služieb a celkovú kvalitu produktov a postupy ich dodávateľov a poskytovateľov služieb v oblasti kybernetickej bezpečnosti vrátane ich postupov bezpečného vývoja.
3. Subjekty Únie prijmú aspoň tieto opatrenia na riadenie kybernetickobezpečnostných rizík:
| a) | technické opatrenia na umožnenie a udržanie telepráce; |
| b) | konkrétne kroky na prechod k zásadám nulovej dôvery; |
| c) | používanie dvojstupňovej autentifikácie ako normy v sieťach a informačných systémoch; |
| d) | používanie kryptografie a šifrovania, najmä šifrovania bez medzifáz, ako aj bezpečných digitálnych podpisov; |
| e) | v náležitých prípadoch zavedenie zabezpečenej hlasovej, video a textovej komunikácie a zabezpečených systémov tiesňovej komunikácie v rámci subjektu Únie; |
| f) | proaktívne opatrenia na odhaľovanie a odstraňovanie malvéru a špionážneho softvéru; |
| g) | zavedenie bezpečnosti dodávateľského reťazca softvéru prostredníctvom kritérií bezpečného vývoja a hodnotenia softvéru; |
| h) | vypracovanie a schválenie učebných plánov odbornej prípravy v oblasti kybernetickej bezpečnosti zodpovedajúce predpísaným úlohám a očakávaným spôsobilostiam manažmentu najvyššej úrovne a zamestnancov subjektu Únie poverených zaistením účinného vykonávania tohto nariadenia; |
| i) | pravidelná odborná príprava zamestnancov v oblasti kybernetickej bezpečnosti; |
| j) | v relevantných prípadoch účasť na analýzach rizík prepojení medzi subjektmi Únie; |
| k) | posilnenie pravidiel obstarávania s cieľom uľahčiť dosiahnutie vysokej spoločnej úrovne kybernetickej bezpečnosti prostredníctvom:
|
Článok 12
Dodržiavanie povinností
1. IICB podľa článku 10 ods. 2 a článku 11 účinne monitoruje vykonávanie tohto nariadenia a prijatých usmernení, odporúčaní a výziev na činnosť subjektmi Únie. IICB môže od subjektov Únie požadovať informácie alebo dokumentáciu potrebné na tento účel. Na účely prijatia opatrení na zabezpečenie dodržiavania povinností podľa tohto článku nemá dotknutý subjekt Únie hlasovacie práva, ak je daný subjekt Únie priamo zastúpený v IICB.
2. Keď IICB zistí, že subjekt Únie toto nariadenie alebo usmernenia, odporúčania alebo výzvy na činnosť vydané podľa tohto nariadenia účinne nevykonáva, bez toho, aby boli dotknuté vnútorné postupy dotknutého subjektu Únie, a po poskytnutí možnosti dotknutému subjektu Únie predložiť svoje vyjadrenie, IICB môže:
| a) | dať dotknutému subjektu Únie na vedomie odôvodnené stanovisko so zistenými nedostatkami vo vykonávaní tohto nariadenia; |
| b) | po porade s cert-eu poskytnúť dotknutému subjektu Únie usmernenia s cieľom zabezpečiť súlad jeho rámca, opatrení na riadenie kybernetickobezpečnostných rizík, plánu kybernetickej bezpečnosti a oznamovania s týmto nariadením v stanovenej lehote; |
| c) | vydať varovanie na vyriešenie zistených nedostatkov v stanovenej lehote, ktoré bude obsahovať aj odporúčania na zmenu opatrení prijatých dotknutým subjektom Únie podľa tohto nariadenia; |
| d) | vydať odôvodnené oznámenie adresované dotknutému subjektu Únie v prípade, že nedostatky zistené vo varovaní vydanom podľa písmena c) neboli v stanovenej lehote dostatočne vyriešené; |
| e) | vydať:
|
| f) | v príslušných prípadoch informovať Dvor audítorov v rámci jeho mandátu o údajnom nedodržiavaní povinností; |
| g) | vydať odporúčanie pre všetky členské štáty a subjekty Únie na dočasné pozastavenie tokov údajov do dotknutého subjektu Únie. |
Na účely prvého pododseku písm. c) sa primerane obmedzia adresáti varovania, v prípade potreby vzhľadom na závažné kybernetickobezpečnostné riziko.
Varovania a odporúčania vydané podľa prvého pododseku sú adresované manažmentu najvyššej úrovne dotknutého subjektu Únie.
3. Ak IICB prijala opatrenia podľa odseku 2 prvého pododseku písm. a) až g), dotknutý subjekt Únie poskytne podrobný opis opatrení a krokov prijatých na vyriešenie údajných nedostatkov, ktoré IICB zistila. Subjekt Únie predloží tento podrobný opis v primeranej lehote, ktorú si dohodne s IICB.
4. Ak sa IICB domnieva, že subjekt Únie neustále porušuje toto nariadenie a že toto porušovanie vyplýva priamo z konania alebo opomenutia úradníka alebo iného zamestnanca Únie, a to aj z radov manažmentu najvyššej úrovne, IICB požiada dotknutý subjekt Únie, aby prijal primerané opatrenia a aby zvážil prijatie disciplinárneho opatrenia, a to v súlade s pravidlami a postupmi stanovenými v služobnom poriadku a akýmikoľvek inými uplatniteľnými pravidlami a postupmi. Na tento účel IICB postúpi potrebné informácie dotknutému subjektu Únie.
5. Ak subjekty Únie oznámia, že nie sú schopné dodržať lehoty stanovené v článku 6 ods. 1 a článku 8 ods. 1, IICB môže v riadne odôvodnených prípadoch a s prihliadnutím na veľkosť daného subjektu Únie povoliť predĺženie týchto lehôt.
KAPITOLA IV
CERT-EU
Článok 16
Finančné a personálne záležitosti
1. CERT-EU sa začlení do administratívnej štruktúry generálneho riaditeľstva Komisie, aby mohol využívať administratívnu podpornú štruktúru a podpornú štruktúru finančného riadenia a účtovníctva Komisie a zároveň si zachovať svoje postavenie nezávislého medziinštitucionálneho poskytovateľa služieb pre všetky subjekty Únie. Komisia informuje IICB o administratívnom umiestnení CERT-EU a o všetkých jeho následných zmenách. Komisia pravidelne a v každom prípade pred vytvorením akéhokoľvek viacročného finančného rámca podľa článku 312 ZFEÚ preskúma správne dojednania týkajúce sa CERT-EU, aby bolo možné prijať vhodné opatrenia. Preskúmanie zahŕňa možnosť zriadiť CERT-EU ako úrad Únie.
2. Pri uplatňovaní administratívnych a finančných postupov koná vedúci CERT-EU pod vedením Komisie a pod dohľadom IICB.
3. Úlohy a činnosti CERT-EU vrátane služieb, ktoré CERT-EU poskytuje podľa článku 13 ods. 3, 4, 5 a 7 a článku 14 ods. 1 subjektom Únie financovaným v rámci okruhu viacročného finančného rámca určeného pre európsku verejnú administratívu, sa financujú zo samostatného rozpočtového riadku v rozpočte Komisie. Pracovné miesta vyčlenené pre CERT-EU sa detailne uvádzajú v poznámke pod čiarou plánu pracovných miest Komisie.
4. Iné subjekty Únie než subjekty uvedené v odseku 3 tohto článku poskytujú CERT-EU ročný finančný príspevok na úhradu služieb, ktoré CERT-EU poskytuje podľa daného odseku. Príspevky vychádzajú z usmernení IICB a každý subjekt Únie si ich dohodne s cert-eu v dohodách o úrovni poskytovaných služieb. Príspevky predstavujú spravodlivý a primeraný podiel z celkových nákladov na poskytnuté služby. Započítajú sa do samostatného rozpočtového riadka uvedeného v odseku 3 tohto článku ako vnútorné pripísané príjmy, ako sa stanovuje v článku 21 ods. 3 písm. c) nariadenia (EÚ, Euratom) 2018/1046.
5. Náklady na služby vymedzené v článku 13 ods. 6 uhrádzajú subjekty Únie, ktorým CERT-EU poskytol služby. Príjmy sa pripíšu do rozpočtových riadkov na podporu nákladov.
Článok 20
Dohody o zdieľaní informácií o kybernetickej bezpečnosti
1. Subjekty Únie môžu CERT-EU dobrovoľne oznamovať incidenty, kybernetické hrozby, udalosti odvrátené v poslednej chvíli a zraniteľnosti, ktoré majú na nich vplyv, a poskytovať o nich informácie. CERT-EU zabezpečuje, aby na účely umožnenia zdieľania informácií so subjektmi Únie boli k dispozícii účinné prostriedky komunikácie vyznačujúce sa vysokou úrovňou vysledovateľnosti, dôvernosti a spoľahlivosti. Pri spracúvaní oznámení môže CERT-EU uprednostniť spracovanie povinných oznámení pred dobrovoľnými oznámeniami. Bez toho, aby bol dotknutý článok 12, dobrovoľným oznámením nevznikajú oznamujúcemu subjektu Únie žiadne ďalšie povinnosti, ktoré by sa naň nevzťahovali, ak by oznámenie nepodal.
2. CERT-EU môže na účely vykonávania svojho poslania a úloh udelených podľa článku 13 požiadať subjekty Únie, aby mu poskytli informácie zo svojich príslušných inventárov systémov IKT vrátane informácií o kybernetických hrozbách, udalostiach odvrátených v poslednej chvíli, zraniteľnostiach, ukazovateľoch narušenia, výstrahách a odporúčaniach týkajúcich sa konfigurácie nástrojov kybernetickej bezpečnosti na odhaľovanie incidentov. Dožiadaný subjekt Únie poskytne požadované informácie a všetky ich ďalšie aktualizácie bez zbytočného odkladu.
3. CERT-EU si môže so subjektmi Únie vymieňať informácie o konkrétnom incidente, ktorými sa odhaľuje identita subjektu Únie zasiahnutého incidentom pod podmienkou, že dotknutý subjekt Únie súhlasí. Ak subjekt Únie odmietne udeliť súhlas, poskytne CERT-EU dôvody tohto rozhodnutia.
4. Subjekty Únie na požiadanie zdieľajú s Európskym parlamentom a Radou informácie o dokončení plánov kybernetickej bezpečnosti.
5. IICB alebo CERT-EU na požiadanie zdieľa s Európskym parlamentom a Radou usmernenia, odporúčania a výzvy na činnosť.
6. Povinnosti v oblasti zdieľania informácií stanovené v tomto článku sa nevzťahujú na:
| a) | utajované skutočnosti EÚ; |
| b) | informácie, ktorých ďalšie šírenie bolo vylúčené prostredníctvom viditeľného označenia, pokiaľ ich zdieľanie s cert-eu nebolo výslovne povolené. |
Článok 21
Oznamovacie povinnosti
1. Incident sa považuje za významný, ak:
| a) | spôsobil alebo môže spôsobiť vážne prevádzkové narušenie fungovania dotknutého subjektu Únie alebo finančnú stratu dotknutému subjektu Únie; |
| b) | zasiahol alebo môže zasiahnuť iné fyzické alebo právnické osoby tým, že im spôsobí značnú majetkovú alebo nemajetkovú ujmu. |
2. Subjekty Únie podávajú CERT-EU:
| a) | bez zbytočného odkladu a v každom prípade do 24 hodín od zistenia významného incidentu včasné varovanie, v ktorom v náležitých prípadoch uvedú, že významný incident pravdepodobne spôsobilo nezákonné konanie alebo konanie so zlým úmyslom, alebo že môže mať dosah na iný subjekt či cezhraničný dosah; |
| b) | bez zbytočného odkladu a v každom prípade do 72 hodín po tom, ako sa dozvedeli o významnom incidente, oznámenie o incidente, ktorým v náležitých prípadoch aktualizujú informácie uvedené v písmene a) a uvedú prvotné posúdenie významného incidentu, vrátane jeho závažnosti a dosahu, ako aj v náležitých prípadoch ukazovatele narušenia; |
| c) | na žiadosť CERT-EU priebežnú správu s relevantnou aktualizáciou daného stavu. |
| d) | najneskôr jeden mesiac po podaní oznámenia o incidente podľa písmena b) záverečnú správu, ktorá obsahuje tieto informácie:
|
| e) | v prípade prebiehajúceho incidentu v čase podávania záverečnej správy uvedenej v písmene d), správu o pokroku v danom čase a záverečnú správu do jedného mesiaca po vyriešení incidentu. |
3. Subjekt Únie bez zbytočného odkladu a v každom prípade do 24 hodín od zistenia významného incidentu informuje všetky príslušné náprotivky v členskom štáte uvedené v článku 17 ods. 1 v členskom štáte, v ktorom sa nachádza, o tom, že došlo k významnému incidentu.
4. Subjekty Únie oznamujú CERT-EU okrem iného všetky informácie, ktoré mu umožnia určiť akýkoľvek dosah na iný subjekt, dosah na hostiteľský členský štát alebo cezhraničný dosah po tom, čo došlo k významnému incidentu. Bez toho, aby bol dotknutý článok 12, samotný akt oznámenia nezakladá zvýšenú zodpovednosť subjektu Únie.
5. Subjekty Únie v náležitých prípadoch bez zbytočného odkladu informujú používateľov zasiahnutých sietí a informačných systémov alebo iných zložiek prostredia IKT, ktoré sú potenciálne zasiahnuté významným incidentom alebo významnou kybernetickou hrozbou a vo vhodných prípadoch si vyžadujú prijatie zmierňujúcich opatrení, o opatreniach alebo prostriedkoch nápravy, ktoré môžu prijať v reakcii na daný incident alebo danú hrozbu. Subjekty Únie vo vhodných prípadoch informujú týchto používateľov o samotnej významnej kybernetickej hrozbe.
6. Ak má významný incident alebo významná kybernetická hrozba vplyv na sieť a informačný systém alebo zložku prostredia IKT subjektu Únie, o ktorej je známe jej prepojenie s prostredím IKT iného subjektu Únie, CERT-EU vydá príslušnú výstrahu.
7. Subjekty Únie na žiadosť CERT-EU bez zbytočného odkladu poskytnú CERT-EU digitálne informácie vytvorené pomocou elektronických zariadení, ktorých sa príslušné incidenty týkali. CERT-EU môže poskytnúť ďalšie podrobnosti o type informácií, ktoré požaduje na účely situačnej informovanosti a reakcie na incident.
8. CERT-EU predkladá IICB, agentúre ENISA, centru EU INTCEN a sieti jednotiek CSIRT každé tri mesiace súhrnnú správu obsahujúcu anonymizované a súhrnné údaje o významných incidentoch, incidentoch, kybernetických hrozbách, udalostiach odvrátených v poslednej chvíli a zraniteľnostiach podľa článku 20 a významných incidentoch oznámených podľa odseku 2 tohto článku. Táto súhrnná správa sa použije ako zdroj informácií na vypracovanie správy o stave kybernetickej bezpečnosti v Únii prijímanej každé dva roky v súlade s článkom 18 smernice (EÚ) 2022/2555.
9. IICB do 8. júla 2024 vydá usmernenia alebo odporúčania, v ktorých bližšie určí spôsoby, formát a obsah oznamovania podľa tohto článku. Pri príprave takýchto usmernení alebo odporúčaní IICB zohľadní všetky vykonávacie akty prijaté podľa článku 23 ods. 11 smernice (EÚ) 2022/2555, v ktorých sa bližšie určuje druh informácií, formát a postup oznamovania. CERT-EU šíri náležité technické podrobnosti, aby subjektom Únie umožnil vykonať proaktívne odhaľovanie, reagovanie na incident alebo prijatie zmierňujúcich opatrení.
10. Oznamovacie povinnosti stanovené v tomto článku sa nevzťahujú na:
| a) | utajované skutočnosti EÚ; |
| b) | informácie, ktorých ďalšie šírenie bolo vylúčené prostredníctvom viditeľného označenia, pokiaľ ich zdieľanie s cert-eu nebolo výslovne povolené. |
Článok 23
Riadenie závažných incidentov
1. S cieľom podporiť koordinované riadenie závažných incidentov, ktoré majú vplyv na subjekty Únie, na operačnej úrovni a prispieť k pravidelnej výmene relevantných informácií medzi subjektmi Únie a s členskými štátmi vypracuje IICB podľa článku 11 písm. q) v úzkej spolupráci s cert-eu a agentúrou ENISA plán riadenia kybernetických kríz založený na činnostiach uvedených v článku 22 ods. 2. Plán riadenia kybernetických kríz obsahuje aspoň tieto prvky:
| a) | postupy týkajúce sa koordinácie a toku informácií medzi subjektmi Únie na účely riadenia závažných incidentov na operačnej úrovni; |
| b) | spoločné štandardné operačné postupy (SOPs); |
| c) | spoločnú taxonómiu závažnosti závažných incidentov a spúšťacích bodov kríz; |
| d) | pravidelné cvičenia; |
| e) | bezpečné komunikačné kanály, ktoré sa majú používať. |
2. Zástupca Komisie v IICB je v závislosti od plánu riadenia kybernetických kríz vypracovaného podľa odseku 1 tohto článku a bez toho, aby bol dotknutý článok 16 ods. 2 prvý pododsek smernice (EÚ) 2022/2555, kontaktnou osobou na zdieľanie relevantných informácií v súvislosti so závažnými incidentmi so sieťou EU-CyCLONe.
3. CERT-EU koordinuje riadenie závažných incidentov medzi subjektmi Únie. Vedie súpis dostupných odborných technických znalostí, ktoré by boli potrebné na reakciu na incident v prípade závažných incidentov, a pomáha IICB pri koordinácii plánov riadenia kybernetických kríz subjektov Únie pre prípad závažných incidentov uvedených v článku 9 ods. 2.
4. Subjekty Únie prispievajú do súpisu odborných technických znalostí poskytovaním každoročne aktualizovaného zoznamu odborníkov dostupných v jednotlivých organizáciách s podrobným opisom ich konkrétnych technických zručností.
KAPITOLA VI
ZÁVEREČNÉ USTANOVENIA
whereas