keyboard_tab Cyber Resilience Act 2023/2841 SK
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Článok 2 Rozsah pôsobnosti
- 3 Článok 12 Dodržiavanie povinností
- 2 Článok 17 Spolupráca CERT-EU s náprotivkami v členskom štáte
- 1 Článok 25 Preskúmanie
- Článok 26 Nadobudnutie účinnosti
KAPITOLA I
VŠEOBECNÉ USTANOVENIA
KAPITOLA II
OPATRENIA NA ZABEZPEČENIE VYSOKEJ SPOLOČNEJ ÚROVNE KYBERNETICKEJ BEZPEČNOSTI
KAPITOLA III
MEDZIINŠTITUCIONÁLNA RADA PRE KYBERNETICKÚ BEZPEČNOSŤ
KAPITOLA IV
CERT-EU
KAPITOLA V
SPOLUPRÁCA A OZNAMOVACIE POVINNOSTI
KAPITOLA VI
ZÁVEREČNÉ USTANOVENIA
- Únie 39
- subjekt 14
- č / 14
- podľa 13
- cert-eu 13
- alebo 12
- subjektu 11
- tohto 10
- iicb 10
- nariadenie 10
- nariadenia 10
- parlamentu 9
- eÚ / 9
- európskeho 7
- toto 7
- informácie 7
- ktoré 6
- článku 6
- zasiahnutý 6
- Ú v eÚ l 5
- ods 5
- Článok 5
- nariadenie 5
- pododseku 5
- a rady 5
- dotknutému 5
- lehote 5
- prvého 4
- opatrení 4
- európskym 4
- európskou 4
- v prípade 4
- v stanovenej 4
- ak 4
- jeho 4
- incidente 4
- údajov 4
- bezpečnosti 4
- únie 4
- a to 4
- smernice 4
- európskej 4
- štáte 4
- v členskom 3
- prípadoch 3
- siete 3
- incidentu 3
- dotknutého 3
- rady 3
- s náprotivkami 3
Článok 2
Rozsah pôsobnosti
1. toto nariadenie sa vzťahuje na subjekty Únie, Medziinštitucionálnu radu pre kybernetickú bezpečnosť zriadenú podľa článku 10 a CERT-EU.
2. toto nariadenie sa uplatňuje bez toho, aby bola dotknutá inštitucionálna autonómia podľa zmlúv.
3. S výnimkou článku 13 ods. 8 sa toto nariadenie nevzťahuje na siete a informačné systémy, v ktorých sa zaobchádza s utajovanými skutočnosťami EÚ (EUCI).
Článok 12
Dodržiavanie povinností
1. IICB podľa článku 10 ods. 2 a článku 11 účinne monitoruje vykonávanie tohto nariadenia a prijatých usmernení, odporúčaní a výziev na činnosť subjektmi Únie. IICB môže od subjektov Únie požadovať informácie alebo dokumentáciu potrebné na tento účel. Na účely prijatia opatrení na zabezpečenie dodržiavania povinností podľa tohto článku nemá dotknutý subjekt Únie hlasovacie práva, ak je daný subjekt Únie priamo zastúpený v IICB.
2. Keď IICB zistí, že subjekt Únie toto nariadenie alebo usmernenia, odporúčania alebo výzvy na činnosť vydané podľa tohto nariadenia účinne nevykonáva, bez toho, aby boli dotknuté vnútorné postupy dotknutého subjektu Únie, a po poskytnutí možnosti dotknutému subjektu Únie predložiť svoje vyjadrenie, IICB môže:
| a) | dať dotknutému subjektu Únie na vedomie odôvodnené stanovisko so zistenými nedostatkami vo vykonávaní tohto nariadenia; |
| b) | po porade s CERT-EU poskytnúť dotknutému subjektu Únie usmernenia s cieľom zabezpečiť súlad jeho rámca, opatrení na riadenie kybernetickobezpečnostných rizík, plánu kybernetickej bezpečnosti a oznamovania s týmto nariadením v stanovenej lehote; |
| c) | vydať varovanie na vyriešenie zistených nedostatkov v stanovenej lehote, ktoré bude obsahovať aj odporúčania na zmenu opatrení prijatých dotknutým subjektom Únie podľa tohto nariadenia; |
| d) | vydať odôvodnené oznámenie adresované dotknutému subjektu Únie v prípade, že nedostatky zistené vo varovaní vydanom podľa písmena c) neboli v stanovenej lehote dostatočne vyriešené; |
| e) | vydať:
|
| f) | v príslušných prípadoch informovať Dvor audítorov v rámci jeho mandátu o údajnom nedodržiavaní povinností; |
| g) | vydať odporúčanie pre všetky členské štáty a subjekty Únie na dočasné pozastavenie tokov údajov do dotknutého subjektu Únie. |
Na účely prvého pododseku písm. c) sa primerane obmedzia adresáti varovania, v prípade potreby vzhľadom na závažné kybernetickobezpečnostné riziko.
Varovania a odporúčania vydané podľa prvého pododseku sú adresované manažmentu najvyššej úrovne dotknutého subjektu Únie.
3. Ak IICB prijala opatrenia podľa odseku 2 prvého pododseku písm. a) až g), dotknutý subjekt Únie poskytne podrobný opis opatrení a krokov prijatých na vyriešenie údajných nedostatkov, ktoré IICB zistila. Subjekt Únie predloží tento podrobný opis v primeranej lehote, ktorú si dohodne s IICB.
4. Ak sa IICB domnieva, že subjekt Únie neustále porušuje toto nariadenie a že toto porušovanie vyplýva priamo z konania alebo opomenutia úradníka alebo iného zamestnanca Únie, a to aj z radov manažmentu najvyššej úrovne, IICB požiada dotknutý subjekt Únie, aby prijal primerané opatrenia a aby zvážil prijatie disciplinárneho opatrenia, a to v súlade s pravidlami a postupmi stanovenými v služobnom poriadku a akýmikoľvek inými uplatniteľnými pravidlami a postupmi. Na tento účel IICB postúpi potrebné informácie dotknutému subjektu Únie.
5. Ak subjekty Únie oznámia, že nie sú schopné dodržať lehoty stanovené v článku 6 ods. 1 a článku 8 ods. 1, IICB môže v riadne odôvodnených prípadoch a s prihliadnutím na veľkosť daného subjektu Únie povoliť predĺženie týchto lehôt.
KAPITOLA IV
CERT-EU
Článok 17
Spolupráca CERT-EU s náprotivkami v členskom štáte
1. CERT-EU bezodkladne spolupracuje a vymieňa si informácie s náprotivkami v členskom štáte, najmä s jednotkami CSIRT určenými alebo zriadenými podľa článku 10 smernice (EÚ) 2022/2555 alebo v náležitých prípadoch s príslušnými orgánmi a jednotnými kontaktnými miestami určenými alebo zriadenými podľa článku 8 danej smernice, v súvislosti s incidentmi, kybernetickými hrozbami, zraniteľnosťami, udalosťami odvrátenými v poslednej chvíli, možnými protiopatreniami, ako aj v súvislosti s najlepšími postupmi a o všetkých otázkach relevantných pre zlepšenie ochrany prostredí IKT subjektov Únie, a to aj prostredníctvom siete jednotiek CSIRT zriadenej podľa článku 15 smernice (EÚ) 2022/2555. CERT-EU podporuje Komisiu v sieti EU-CyCLONe zriadenej podľa článku 16 smernice (EÚ) 2022/2555 o koordinovanom riadení rozsiahlych kybernetických incidentov a kríz.
2. Ak sa CERT-EU dozvie o významnom incidente, ku ktorému došlo na území členského štátu, bezodkladne informuje všetkých relevantných náprotivkov v tomto členskom štáte, v súlade s odsekom 1.
3. Za predpokladu, že osobné údaje sú chránené v súlade s príslušným právom Únie v oblasti ochrany údajov, si CERT-EU bez zbytočného odkladu vymieňa relevantné informácie o konkrétnom incidente s náprotivkami v členskom štáte s cieľom pomôcť odhaliť podobné kybernetické hrozby alebo incidenty alebo prispieť k analýze incidentu, a to bez povolenia zasiahnutého subjektu Únie. CERT-EU si vymieňa informácie o konkrétnom incidente, ktoré odhaľujú identitu cieľa incidentu len v prípade jednej z týchto možností:
| a) | zasiahnutý subjekt Únie súhlasí; |
| b) | zasiahnutý subjekt Únie nesúhlasí, ako sa stanovuje v písmene a), ale zverejnením identity zasiahnutého subjektu Únie by sa zvýšila pravdepodobnosť, že sa zamedzí ďalším incidentom alebo sa zmiernia ich následky; |
| c) | zasiahnutý subjekt Únie už zverejnil, že bol incidentom zasiahnutý. |
Rozhodnutia o výmene informácií o konkrétnom incidente, ktoré odhaľujú totožnosť cieľa incidentu podľa prvého pododseku písm. b), schvaľuje vedúci CERT-EU. Pred vydaním takéhoto rozhodnutia sa CERT-EU písomne obráti na zasiahnutý subjekt Únie, pričom mu jasne vysvetlí, ako by zverejnenie jeho totožnosti pomohlo zamedziť ďalším incidentom alebo zmierniť ich následky. Vedúci CERT-EU poskytne vysvetlenie a výslovne požiada subjekt Únie, aby v stanovenej lehote uviedol, či súhlasí. Vedúci CERT-EU takisto informuje subjekt Únie o tom, že na základe poskytnutého vysvetlenia si vyhradzuje právo zverejniť dané informácie aj bez udelenia súhlasu. Zasiahnutý subjekt Únie musí byť informovaný pred tým, než sú informácie zverejnené.
Článok 25
Preskúmanie
1. IICB s pomocou CERT-EU do 8. januára 2025 a potom každoročne predloží Komisii správu o vykonávaní tohto nariadenia. IICB môže Komisii takisto odporučiť, aby toto nariadenie preskúmala.
2. Komisia do 8. januára 2027 a potom každé dva roky posúdi vykonávanie tohto nariadenia a predloží Európskemu parlamentu a Rade správu o jeho vykonávaní a o skúsenostiach získaných na strategickej a operačnej úrovni.
Správa uvedená v prvom pododseku tohto odseku obsahuje preskúmanie uvedené v článku 16 ods. 1 týkajúce sa možnosti zriadiť CERT-EU ako úrad Únie.
3. Komisia do 8. januára 2029 vyhodnotí fungovanie tohto nariadenia a predloží správu Európskemu parlamentu, Rade, Európskemu hospodárskemu a sociálnemu výboru a Výboru regiónov. Komisia tiež vyhodnotí vhodnosť zahrnúť siete a informačné systémy, v ktorých sa zaobchádza s utajovanými skutočnosťami EÚ, do rozsahu pôsobnosti tohto nariadenia, pričom zohľadní iné legislatívne akty Únie uplatniteľné na tieto systémy. K správe sa v prípade potreby pripojí legislatívny návrh.
Článok 26
Nadobudnutie účinnosti
toto nariadenie nadobúda účinnosť dvadsiatym dňom nasledujúcim po jeho uverejnení v Úradnom vestníku Európskej únie.
toto nariadenie je záväzné v celom rozsahu a priamo uplatniteľné vo všetkých členských štátoch.
V Štrasburgu 13. decembra 2023
Za Európsky parlament
predsedníčka
R. METSOLA
Za Radu
predseda
P. NAVARRO RÍOS
(1) Pozícia Európskeho parlamentu z 21. novembra 2023 (zatiaľ neuverejnená v úradnom vestníku) a rozhodnutie Rady z 8. decembra 2023.
(2) Smernica Európskeho parlamentu a Rady (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148 (smernica NIS 2) (Ú. v. EÚ L 333, 27.12.2022, s. 80).
(3) Nariadenie Európskeho parlamentu a Rady (EÚ) 2019/881 zo 17. apríla 2019 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti) (Ú. v. EÚ L 151, 7.6.2019, s. 15).
(4) Dohoda medzi Európskym parlamentom, Európskou radou, Radou Európskej únie, Európskou komisiou, Súdnym dvorom Európskej únie, Európskou centrálnou bankou, Európskym dvorom audítorov, Európskou službou pre vonkajšiu činnosť, Európskym hospodárskym a sociálnym výborom, Európskym výborom regiónov a Európskou investičnou bankou o organizácii a fungovaní tímu reakcie na núdzové počítačové situácie v inštitúciách, orgánoch a agentúrach Únie (CERT-EU) (Ú. v. EÚ C 12, 13.1.2018, s. 1).
(5) Nariadenie Rady (EHS, Euratom, ESUO) č. 259/68 z 29. februára 1968, ktorým sa ustanovuje Služobný poriadok a Podmienky zamestnávania ostatných zamestnancov Európskych spoločenstiev a osobitné pravidlá, ktoré sa dočasne uplatňujú na úradníkov Komisie (Ú. v. ES L 56, 4.3.1968, s. 1).
(6) Odporúčanie Komisie (EÚ) 2017/1584 z 13. septembra 2017 o koordinovanej reakcii na kybernetické incidenty a krízy veľkého rozsahu (Ú. v. EÚ L 239, 19.9.2017, s. 36).
(7) Nariadenie Európskeho parlamentu a Rady (EÚ) 2018/1725 z 23. októbra 2018 o ochrane fyzických osôb pri spracúvaní osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a o voľnom pohybe takýchto údajov, ktorým sa zrušuje nariadenie (ES) č. 45/2001 a rozhodnutie č. 1247/2002/ES (Ú. v. EÚ L 295, 21.11.2018, s. 39).
(8) Ú. v. EÚ C 258, 5.7.2022, s. 10.
(9) Nariadenie Európskeho parlamentu a Rady (EÚ, Euratom) 2018/1046 z 18. júla 2018 o rozpočtových pravidlách, ktoré sa vzťahujú na všeobecný rozpočet Únie, o zmene nariadení (EÚ) č. 1296/2013, (EÚ) č. 1301/2013, (EÚ) č. 1303/2013, (EÚ) č. 1304/2013, (EÚ) č. 1309/2013, (EÚ) č. 1316/2013, (EÚ) č. 223/2014, (EÚ) č. 283/2014 a rozhodnutia č. 541/2014/EÚ a o zrušení nariadenia (EÚ, Euratom) č. 966/2012 (Ú. v. EÚ L 193, 30.7.2018, s. 1).
(10) Nariadenie Európskeho parlamentu a Rady (ES) č. 1049/2001 z 30. mája 2001 o prístupe verejnosti k dokumentom Európskeho parlamentu, Rady a Komisie (Ú. v. ES L 145, 31.5.2001, s. 43).
ELI: http://data.europa.eu/eli/reg/2023/2841/oj
ISSN 1977-0790 (electronic edition)