keyboard_tab Cyber Resilience Act 2023/2841 SK
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Článok 10 Medziinštitucionálna rada pre kybernetickú bezpečnosť
- 1 Článok 13 Poslanie a úlohy CERT-EU
- 1 Článok 23 Riadenie závažných incidentov
KAPITOLA I
VŠEOBECNÉ USTANOVENIA
KAPITOLA II
OPATRENIA NA ZABEZPEČENIE VYSOKEJ SPOLOČNEJ ÚROVNE KYBERNETICKEJ BEZPEČNOSTI
KAPITOLA III
MEDZIINŠTITUCIONÁLNA RADA PRE KYBERNETICKÚ BEZPEČNOSŤ
KAPITOLA IV
CERT-EU
KAPITOLA V
SPOLUPRÁCA A OZNAMOVACIE POVINNOSTI
KAPITOLA VI
ZÁVEREČNÉ USTANOVENIA
- Únie 34
- iicb 22
- cert-eu 13
- bezpečnosti 12
- môže 12
- alebo 11
- incidentov 10
- subjektov 10
- podľa 10
- cert-eu 10
- kybernetickej 10
- subjektmi 9
- a to 9
- iicb 8
- tohto 8
- ktoré 8
- závažných 8
- služby 8
- subjekty 7
- v súlade 7
- informácií 7
- eÚ / 7
- uvedených 6
- služieb 6
- v oblasti 6
- nariadenia 6
- informácie 6
- ods 6
- kybernetických 6
- riadenie 5
- prostredníctvom 5
- enisa 5
- úrovni 5
- článku 5
- smernice 5
- riadenia 5
- kríz 5
- siete 5
- v článku 4
- predsedu 4
- csirt 4
- podporu 4
- základe 4
- sieťou 4
- spolupráci 4
- údajov 4
- ochranu 4
- jednotiek 4
- dotknuté 4
- operačnej 4
Článok 10
Medziinštitucionálna rada pre kybernetickú bezpečnosť
1. Zriaďuje sa Medziinštitucionálna rada pre kybernetickú bezpečnosť (ďalej len „IICB“).
2. IICB zodpovedá za:
| a) | monitorovanie a presadzovanie vykonávania tohto nariadenia subjektmi Únie; |
| b) | dohľad nad vykonávaním všeobecných priorít a cieľov CERT-EU, ako aj strategické riadenie CERT-EU. |
3. IICB tvoria:
| a) | jeden zástupca vymenovaný každým z týchto subjektov:
|
| b) | traja zástupcovia vymenovaní sieťou agentúr EÚ (ďalej len „EUAN“) na návrh jej poradného výboru pre IKT, ktorí zastupujú záujmy orgánov, úradov a agentúr Únie, ktoré prevádzkujú svoje vlastné prostredie IKT, ktoré sa líši od prostredí uvedených v písmene a). |
Subjekty Únie zastúpené v IICB sa snažia dosiahnuť rodovú rovnováhu vymenovaných zástupcov.
4. Členom IICB môže pomáhať náhradník. Predseda môže pozvať iných zástupcov subjektov Únie uvedených v odseku 3 alebo iných subjektov Únie, aby sa zúčastnili na zasadnutiach IICB bez hlasovacieho práva.
5. Na zasadnutiach IICB sa ako pozorovatelia môžu zúčastňovať vedúci CERT-EU a predseda skupiny pre spoluprácu zriadenej podľa článku 14 smernice (EÚ) 2022/2555, predseda siete jednotiek CSIRT zriadenej podľa článku 15 smernice 2022/2555 a predseda siete EU-CyCLONe zriadenej podľa článku 16 smernice (EÚ) 2022/2555 alebo ich náhradníci. Vo výnimočných prípadoch môže IICB v súlade so svojim vnútorným rokovacím poriadkom rozhodnúť inak.
6. IICB prijme svoj vnútorný rokovací poriadok.
7. IICB v súlade so svojím vnútorným rokovacím poriadkom vymenuje spomedzi svojich členov predsedu na obdobie troch rokov. Náhradník predsedu sa na rovnaké obdobie stáva riadnym členom IICB.
8. IICB zasadá aspoň trikrát do roka z iniciatívy svojho predsedu, na žiadosť CERT-EU alebo na žiadosť ktoréhokoľvek zo svojich členov.
9. Každý člen IICB má jeden hlas. IICB prijíma rozhodnutia jednoduchou väčšinou, ak v tomto nariadení nie je stanovené inak. Predseda IICB nehlasuje, s výnimkou prípadov rovnosti hlasov, keď môže udeliť rozhodujúci hlas.
10. IICB môže konať prostredníctvom zjednodušeného písomného postupu iniciovaného v súlade s vnútorným rokovacím poriadkom IICB. Pri uvedenom postupe sa príslušné rozhodnutie považuje za schválené v lehote stanovenej predsedom, okrem prípadov, keď niektorý z členov vznesie námietku.
11. Sekretariát IICB zabezpečuje Komisia a zodpovedá sa predsedovi IICB.
12. Členom siete EUAN oznamujú rozhodnutia IICB zástupcovia vymenovaní sieťou EUAN. Ktorýkoľvek člen siete EUAN má právo obrátiť sa na týchto zástupcov alebo predsedu IICB s každou záležitosťou, na ktorú by podľa jeho názoru mala byť IICB upozornená.
13. IICB môže zriadiť výkonný výbor, ktorý jej pomáha pri práci, a delegovať mu niektoré svoje úlohy a právomoci. IICB stanoví rokovací poriadok výkonného výboru vrátane jeho úloh a právomocí, ako aj funkčné obdobie jeho členov.
14. IICB predloží Európskemu parlamentu a Rade do 8. januára 2025 a následne každoročne správu, v ktorej podrobne opíše pokrok dosiahnutý pri vykonávaní tohto nariadenia a v ktorej uvedie najmä rozsah spolupráce CERT-EU s náprotivkami v členskom štáte v každom členskom štáte. Táto správa sa použije ako zdroj informácií na vypracovanie správy o stave kybernetickej bezpečnosti v Únii prijímanej každé dva roky v súlade s článkom 18 smernice (EÚ) 2022/2555.
Článok 13
Poslanie a úlohy CERT-EU
1. Poslaním CERT-EU je prispievať k bezpečnosti verejne prístupných prostredí IKT subjektov Únie tým, že im poskytuje poradenstvo v oblasti kybernetickej bezpečnosti, pomáha im predchádzať incidentom, odhaľovať ich, riešiť ich, zmierňovať ich účinky, reagovať na ne a zotaviť sa z nich a koná ako ich centrum na výmenu informácií a koordináciu reakcie na incidenty v oblasti kybernetickej bezpečnosti.
2. CERT-EU získava, spravuje a analyzuje informácie o kybernetických hrozbách, zraniteľnostiach a incidentoch týkajúcich sa verejne prístupných infraštruktúr IKT a zdieľa ich so subjektmi Únie. Koordinuje reakcie na incidenty na medziinštitucionálnej úrovni a na úrovni subjektov Únie, a to aj poskytovaním špecializovanej operačnej pomoci alebo koordináciou jej poskytovania.
3. Ako pomoc pre subjekty Únie vykonáva CERT-EU tieto úlohy:
| a) | podporuje ich pri vykonávaní tohto nariadenia a prispieva ku koordinácii vykonávania tohto nariadenia prostredníctvom opatrení uvedených v článku 14 ods. 1 alebo prostredníctvom ad hoc správ požadovaných IICB; |
| b) | ponúka štandardné služby jednotiek CSIRT subjektom Únie prostredníctvom balíka kybernetickobezpečnostných služieb opísaného vo svojom katalógu služieb (základné služby); |
| c) | spravuje sieť partnerov na podporu služieb, ako sa uvádza v článkoch 17 a 18; |
| d) | upozorňuje IICB na problémy súvisiace s vykonávaním tohto nariadenia a vykonávaním usmernení, odporúčaní a výziev na činnosť; |
| e) | na základe informácií uvedených v odseku 2 prispieva v úzkej spolupráci s agentúrou ENISA k situačnej informovanosti o kybernetickej bezpečnosti v Únii. |
| f) | koordinuje riadenie závažných incidentov; |
| g) | v mene subjektov Únie koná ako ekvivalent koordinátora určeného na účely koordinovaného zverejňovania zraniteľností podľa článku 12 ods. 1 smernice (EÚ) 2022/2555. |
| h) | na žiadosť subjektu Únie zabezpečuje proaktívne nerušivé skenovanie verejne prístupných sietí a informačných systémov tohto subjektu Únie. |
Informácie uvedené v prvom pododseku písm. e) sa zdieľajú s IICB, sieťou jednotiek CSIRT a v náležitých a vhodných prípadoch so Spravodajským a situačným centrom Európskej únie (ďalej len „EU INTCEN“), a to pri dodržaní primeraných podmienok dôvernosti.
4. CERT-EU môže v súlade s článkom 17 alebo 18 spolupracovať s príslušnými komunitami kybernetickej bezpečnosti v Únii a jej členských štátoch, a to aj v týchto oblastiach:
| a) | pripravenosť, koordinácia pri incidentoch, výmena informácií a reakcia na krízu na technickej úrovni v prípadoch súvisiacich so subjektmi Únie; |
| b) | operačná spolupráca týkajúca sa siete jednotiek CSIRT, a to aj pokiaľ ide o vzájomnú pomoc; |
| c) | spravodajské informácie o kybernetických hrozbách vrátane situačnej informovanosti; |
| d) | akákoľvek téma, ktorá si vyžaduje odborné technické znalosti CERT-EU v oblasti kybernetickej bezpečnosti. |
5. CERT-EU v rámci svojich právomocí štruktúrovane spolupracuje s agentúrou ENISA pri budovaní kapacít, operačnej spolupráci a dlhodobých strategických analýzach kybernetických hrozieb v súlade s nariadením (EÚ) 2019/881. CERT-EU môže spolupracovať a vymieňať si informácie s Európskym centrom boja proti počítačovej kriminalite pri Europole.
6. CERT-EU môže poskytovať tieto služby, ktoré nie sú opísané v jeho katalógu služieb (spoplatnené služby):
| a) | iné služby na podporu kybernetickej bezpečnosti prostredia IKT subjektov Únie, než sú služby uvedené v odseku 3, na základe dohôd o úrovni poskytovaných služieb a podľa dostupných zdrojov, a to najmä širokospektrálne monitorovanie sietí vrátane bežného nepretržitého monitorovania kybernetických hrozieb s vysokou závažnosťou; |
| b) | iné služby na podporu činností alebo projektov subjektov Únie v oblasti kybernetickej bezpečnosti, než sú služby na ochranu ich prostredia IKT, a to na základe písomných dohôd a s predchádzajúcim povolením IICB; |
| c) | na požiadanie proaktívne skenovanie sietí a informačných systémov dotknutého subjektu Únie s cieľom odhaliť zraniteľnosti s potenciálnym významným vplyvom; |
| d) | služby na podporu bezpečnosti prostredia IKT organizáciám, ktoré nie sú subjektmi Únie a ktoré so subjektmi Únie úzko spolupracujú, napríklad tak, že majú pridelené úlohy alebo povinnosti podľa práva Únie, a to na základe písomných dohôd a s predchádzajúcim povolením IICB. |
S ohľadom na prvý pododsek písm. d) CERT-EU môže výnimočne uzavrieť dohody o úrovni poskytovaných služieb s inými subjektmi, než sú subjekty Únie, a to s predchádzajúcim povolením IICB.
7. CERT-EU organizuje cvičenia v oblasti kybernetickej bezpečnosti a môže sa na nich zúčastňovať alebo odporúčať účasť na existujúcich cvičeniach, a to v náležitých prípadoch v úzkej spolupráci s agentúrou ENISA, s cieľom testovať úroveň kybernetickej bezpečnosti subjektov Únie.
8. CERT-EU môže subjektom Únie poskytovať pomoc s incidentmi v sieťach a informačných systémoch, v ktorých sa zaobchádza s utajovanými skutočnosťami EÚ, ak o to dotknuté subjekty Únie výslovne požiadajú v súlade so svojimi príslušnými postupmi. Poskytovaním pomoci zo strany CERT-EU podľa tohto odseku nie sú dotknuté príslušné pravidlá týkajúce sa ochrany utajovaných skutočností.
9. CERT-EU informuje subjekty Únie o svojich postupoch a procesoch riešenia incidentov.
10. Zachovávajúc vysokú mieru dôvernosti a spoľahlivosti CERT-EU prispieva prostredníctvom vhodných mechanizmov spolupráce a hierarchických vzťahov k relevantným a anonymizovaným informáciám o závažných incidentoch a o spôsobe, akým boli riešené. Uvedené informácie sa zahrnú do správy uvedenej v článku 10 ods. 14.
11. CERT-EU v spolupráci s európsky dozorným úradníkom pre ochranu osobných údajov podporuje dotknuté subjekty Únie pri riešení incidentov, ktoré majú za následok porušenie ochrany osobných údajov, bez toho, aby boli dotknuté kompetencie a úlohy európskeho dozorného úradníka pre ochranu osobných údajov ako orgánu dohľadu podľa nariadenia (EÚ) 2018/1725.
12. CERT-EU môže subjektom Únie poskytnúť technické poradenstvo alebo informácie o relevantných politických otázkach, ak o to politické oddelenia subjektov Únie výslovne požiadajú.
Článok 23
Riadenie závažných incidentov
1. S cieľom podporiť koordinované riadenie závažných incidentov, ktoré majú vplyv na subjekty Únie, na operačnej úrovni a prispieť k pravidelnej výmene relevantných informácií medzi subjektmi Únie a s členskými štátmi vypracuje IICB podľa článku 11 písm. q) v úzkej spolupráci s CERT-EU a agentúrou ENISA plán riadenia kybernetických kríz založený na činnostiach uvedených v článku 22 ods. 2. Plán riadenia kybernetických kríz obsahuje aspoň tieto prvky:
| a) | postupy týkajúce sa koordinácie a toku informácií medzi subjektmi Únie na účely riadenia závažných incidentov na operačnej úrovni; |
| b) | spoločné štandardné operačné postupy (SOPs); |
| c) | spoločnú taxonómiu závažnosti závažných incidentov a spúšťacích bodov kríz; |
| d) | pravidelné cvičenia; |
| e) | bezpečné komunikačné kanály, ktoré sa majú používať. |
2. Zástupca Komisie v IICB je v závislosti od plánu riadenia kybernetických kríz vypracovaného podľa odseku 1 tohto článku a bez toho, aby bol dotknutý článok 16 ods. 2 prvý pododsek smernice (EÚ) 2022/2555, kontaktnou osobou na zdieľanie relevantných informácií v súvislosti so závažnými incidentmi so sieťou EU-CyCLONe.
3. CERT-EU koordinuje riadenie závažných incidentov medzi subjektmi Únie. Vedie súpis dostupných odborných technických znalostí, ktoré by boli potrebné na reakciu na incident v prípade závažných incidentov, a pomáha IICB pri koordinácii plánov riadenia kybernetických kríz subjektov Únie pre prípad závažných incidentov uvedených v článku 9 ods. 2.
4. Subjekty Únie prispievajú do súpisu odborných technických znalostí poskytovaním každoročne aktualizovaného zoznamu odborníkov dostupných v jednotlivých organizáciách s podrobným opisom ich konkrétnych technických zručností.
KAPITOLA VI
ZÁVEREČNÉ USTANOVENIA
whereas