keyboard_tab Cyber Resilience Act 2023/2841 SK
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Článok 10 Medziinštitucionálna rada pre kybernetickú bezpečnosť
- 3 Článok 17 Spolupráca CERT-EU s náprotivkami v členskom štáte
- 2 Článok 18 Spolupráca CERT-EU s ostatnými náprotivkami
- 2 Článok 21 Oznamovacie povinnosti
KAPITOLA I
VŠEOBECNÉ USTANOVENIA
KAPITOLA II
OPATRENIA NA ZABEZPEČENIE VYSOKEJ SPOLOČNEJ ÚROVNE KYBERNETICKEJ BEZPEČNOSTI
KAPITOLA III
MEDZIINŠTITUCIONÁLNA RADA PRE KYBERNETICKÚ BEZPEČNOSŤ
KAPITOLA IV
CERT-EU
KAPITOLA V
SPOLUPRÁCA A OZNAMOVACIE POVINNOSTI
KAPITOLA VI
ZÁVEREČNÉ USTANOVENIA
- alebo 37
- Únie 31
- cert-eu 28
- iicb 23
- môže 14
- incidentu 14
- podľa 13
- informácie 12
- prípadoch 11
- ktoré 10
- subjekt 10
- štáte 10
- iicb 9
- smernice 9
- subjektu 8
- článku 8
- eÚ / 8
- v členskom 8
- dosah 7
- jeho 7
- v súlade 7
- v náležitých 7
- informácií 7
- zasiahnutý 6
- zbytočného 6
- incident 6
- odkladu 6
- správu 6
- predsedu 5
- informuje 5
- cert-eu 5
- prípade 5
- vrátane 5
- incidentom 5
- subjektov 5
- incidente 5
- siete 5
- zriadenej 5
- vedúci 4
- v písmene 4
- csirt 4
- všetky 4
- rada 4
- bezpečnosť 4
- uvedené 4
- náprotivkami 4
- a to 4
- subjekty 4
- v prípade 4
- kybernetických 4
Článok 10
Medziinštitucionálna rada pre kybernetickú bezpečnosť
1. Zriaďuje sa Medziinštitucionálna rada pre kybernetickú bezpečnosť (ďalej len „IICB“).
2. IICB zodpovedá za:
| a) | monitorovanie a presadzovanie vykonávania tohto nariadenia subjektmi Únie; |
| b) | dohľad nad vykonávaním všeobecných priorít a cieľov CERT-EU, ako aj strategické riadenie CERT-EU. |
3. IICB tvoria:
| a) | jeden zástupca vymenovaný každým z týchto subjektov:
|
| b) | traja zástupcovia vymenovaní sieťou agentúr EÚ (ďalej len „EUAN“) na návrh jej poradného výboru pre IKT, ktorí zastupujú záujmy orgánov, úradov a agentúr Únie, ktoré prevádzkujú svoje vlastné prostredie IKT, ktoré sa líši od prostredí uvedených v písmene a). |
Subjekty Únie zastúpené v IICB sa snažia dosiahnuť rodovú rovnováhu vymenovaných zástupcov.
4. Členom IICB môže pomáhať náhradník. Predseda môže pozvať iných zástupcov subjektov Únie uvedených v odseku 3 alebo iných subjektov Únie, aby sa zúčastnili na zasadnutiach IICB bez hlasovacieho práva.
5. Na zasadnutiach IICB sa ako pozorovatelia môžu zúčastňovať vedúci CERT-EU a predseda skupiny pre spoluprácu zriadenej podľa článku 14 smernice (EÚ) 2022/2555, predseda siete jednotiek CSIRT zriadenej podľa článku 15 smernice 2022/2555 a predseda siete EU-CyCLONe zriadenej podľa článku 16 smernice (EÚ) 2022/2555 alebo ich náhradníci. Vo výnimočných prípadoch môže IICB v súlade so svojim vnútorným rokovacím poriadkom rozhodnúť inak.
6. IICB prijme svoj vnútorný rokovací poriadok.
7. IICB v súlade so svojím vnútorným rokovacím poriadkom vymenuje spomedzi svojich členov predsedu na obdobie troch rokov. Náhradník predsedu sa na rovnaké obdobie stáva riadnym členom IICB.
8. IICB zasadá aspoň trikrát do roka z iniciatívy svojho predsedu, na žiadosť CERT-EU alebo na žiadosť ktoréhokoľvek zo svojich členov.
9. Každý člen IICB má jeden hlas. IICB prijíma rozhodnutia jednoduchou väčšinou, ak v tomto nariadení nie je stanovené inak. Predseda IICB nehlasuje, s výnimkou prípadov rovnosti hlasov, keď môže udeliť rozhodujúci hlas.
10. IICB môže konať prostredníctvom zjednodušeného písomného postupu iniciovaného v súlade s vnútorným rokovacím poriadkom IICB. Pri uvedenom postupe sa príslušné rozhodnutie považuje za schválené v lehote stanovenej predsedom, okrem prípadov, keď niektorý z členov vznesie námietku.
11. Sekretariát IICB zabezpečuje Komisia a zodpovedá sa predsedovi IICB.
12. Členom siete EUAN oznamujú rozhodnutia IICB zástupcovia vymenovaní sieťou EUAN. Ktorýkoľvek člen siete EUAN má právo obrátiť sa na týchto zástupcov alebo predsedu IICB s každou záležitosťou, na ktorú by podľa jeho názoru mala byť IICB upozornená.
13. IICB môže zriadiť výkonný výbor, ktorý jej pomáha pri práci, a delegovať mu niektoré svoje úlohy a právomoci. IICB stanoví rokovací poriadok výkonného výboru vrátane jeho úloh a právomocí, ako aj funkčné obdobie jeho členov.
14. IICB predloží Európskemu parlamentu a Rade do 8. januára 2025 a následne každoročne správu, v ktorej podrobne opíše pokrok dosiahnutý pri vykonávaní tohto nariadenia a v ktorej uvedie najmä rozsah spolupráce CERT-EU s náprotivkami v členskom štáte v každom členskom štáte. Táto správa sa použije ako zdroj informácií na vypracovanie správy o stave kybernetickej bezpečnosti v Únii prijímanej každé dva roky v súlade s článkom 18 smernice (EÚ) 2022/2555.
Článok 17
Spolupráca CERT-EU s náprotivkami v členskom štáte
1. CERT-EU bezodkladne spolupracuje a vymieňa si informácie s náprotivkami v členskom štáte, najmä s jednotkami CSIRT určenými alebo zriadenými podľa článku 10 smernice (EÚ) 2022/2555 alebo v náležitých prípadoch s príslušnými orgánmi a jednotnými kontaktnými miestami určenými alebo zriadenými podľa článku 8 danej smernice, v súvislosti s incidentmi, kybernetickými hrozbami, zraniteľnosťami, udalosťami odvrátenými v poslednej chvíli, možnými protiopatreniami, ako aj v súvislosti s najlepšími postupmi a o všetkých otázkach relevantných pre zlepšenie ochrany prostredí IKT subjektov Únie, a to aj prostredníctvom siete jednotiek CSIRT zriadenej podľa článku 15 smernice (EÚ) 2022/2555. CERT-EU podporuje Komisiu v sieti EU-CyCLONe zriadenej podľa článku 16 smernice (EÚ) 2022/2555 o koordinovanom riadení rozsiahlych kybernetických incidentov a kríz.
2. Ak sa CERT-EU dozvie o významnom incidente, ku ktorému došlo na území členského štátu, bezodkladne informuje všetkých relevantných náprotivkov v tomto členskom štáte, v súlade s odsekom 1.
3. Za predpokladu, že osobné údaje sú chránené v súlade s príslušným právom Únie v oblasti ochrany údajov, si CERT-EU bez zbytočného odkladu vymieňa relevantné informácie o konkrétnom incidente s náprotivkami v členskom štáte s cieľom pomôcť odhaliť podobné kybernetické hrozby alebo incidenty alebo prispieť k analýze incidentu, a to bez povolenia zasiahnutého subjektu Únie. CERT-EU si vymieňa informácie o konkrétnom incidente, ktoré odhaľujú identitu cieľa incidentu len v prípade jednej z týchto možností:
| a) | zasiahnutý subjekt Únie súhlasí; |
| b) | zasiahnutý subjekt Únie nesúhlasí, ako sa stanovuje v písmene a), ale zverejnením identity zasiahnutého subjektu Únie by sa zvýšila pravdepodobnosť, že sa zamedzí ďalším incidentom alebo sa zmiernia ich následky; |
| c) | zasiahnutý subjekt Únie už zverejnil, že bol incidentom zasiahnutý. |
Rozhodnutia o výmene informácií o konkrétnom incidente, ktoré odhaľujú totožnosť cieľa incidentu podľa prvého pododseku písm. b), schvaľuje vedúci CERT-EU. Pred vydaním takéhoto rozhodnutia sa CERT-EU písomne obráti na zasiahnutý subjekt Únie, pričom mu jasne vysvetlí, ako by zverejnenie jeho totožnosti pomohlo zamedziť ďalším incidentom alebo zmierniť ich následky. Vedúci CERT-EU poskytne vysvetlenie a výslovne požiada subjekt Únie, aby v stanovenej lehote uviedol, či súhlasí. Vedúci CERT-EU takisto informuje subjekt Únie o tom, že na základe poskytnutého vysvetlenia si vyhradzuje právo zverejniť dané informácie aj bez udelenia súhlasu. Zasiahnutý subjekt Únie musí byť informovaný pred tým, než sú informácie zverejnené.
Článok 18
Spolupráca CERT-EU s ostatnými náprotivkami
1. CERT-EU môže spolupracovať s inými náprotivkami v Únii, než sú tie, ktoré sú uvedené v článku 17 a na ktoré sa vzťahujú požiadavky Únie na kybernetickú bezpečnosť, vrátane náprotivkov z konkrétnych odvetví v oblasti nástrojov a metód, ako sú napríklad techniky, taktiky, postupy a najlepšie postupy, ako aj v oblasti kybernetických hrozieb a zraniteľností. Na každú spoluprácu s takýmito náprotivkami si CERT-EU v každom konkrétnom prípade vyžiada predchádzajúce povolenie IICB. Keď CERT-EU nadviaže spoluprácu s takýmito náprotivkami, informuje o tom všetky príslušné náprotivky v členskom štáte uvedené v článku 17 ods. 1 v členskom štáte, v ktorom sa náprotivok nachádza. V náležitých a vhodných prípadoch sa takáto spolupráca a jej podmienky, a to aj pokiaľ ide o kybernetickú bezpečnosť, ochranu údajov a zaobchádzanie s informáciami, stanovia v osobitných dohodách o zachovaní dôvernosti, ako sú napríklad zmluvy alebo správne dojednania. Dohody o zachovaní dôvernosti si nevyžadujú predchádzajúce povolenie zo strany IICB, ale predseda IICB o nich musí byť informovaný. V prípade naliehavej a bezprostrednej potreby výmeny informácií o kybernetickej bezpečnosti v záujme subjektov Únie alebo inej strany môže CERT-EU takúto výmenu urobiť so subjektom, ktorého osobitná spôsobilosť, kapacita a odborné znalosti sa oprávnene vyžadujú na pomoc s takouto naliehavou a bezprostrednou potrebou, a to aj v prípade, že CERT-EU nemá s daným subjektom uzavretú dohodu o zachovaní dôvernosti. V takýchto prípadoch CERT-EU bezodkladne informuje predsedu IICB a podáva IICB informácie prostredníctvom pravidelných správ alebo zasadnutí.
2. CERT-EU môže spolupracovať s partnermi, ako sú napríklad obchodné subjekty vrátane subjektov z konkrétnych odvetví, medzinárodné organizácie, vnútroštátne subjekty z tretích krajín alebo jednotliví odborníci, s cieľom zhromažďovať informácie o všeobecných a konkrétnych kybernetických hrozbách, udalostiach odvrátených v poslednej chvíli, zraniteľnostiach a možných protiopatreniach. Na širšiu spoluprácu s týmito partnermi si CERT-EU v každom konkrétnom prípade vyžiada predchádzajúce povolenie IICB.
3. CERT-EU môže so súhlasom subjektu Únie zasiahnutého incidentom a pod podmienkou, že s relevantným náprotivkom alebo partnerom má uzavretú dohodu alebo zmluvu o nezverejňovaní informácií, poskytnúť informácie týkajúce sa konkrétneho incidentu náprotivkom alebo partnerom uvedeným v odsekoch 1 a 2 výlučne na účely príspevku k analýze incidentu.
KAPITOLA V
SPOLUPRÁCA A OZNAMOVACIE POVINNOSTI
Článok 21
Oznamovacie povinnosti
1. Incident sa považuje za významný, ak:
| a) | spôsobil alebo môže spôsobiť vážne prevádzkové narušenie fungovania dotknutého subjektu Únie alebo finančnú stratu dotknutému subjektu Únie; |
| b) | zasiahol alebo môže zasiahnuť iné fyzické alebo právnické osoby tým, že im spôsobí značnú majetkovú alebo nemajetkovú ujmu. |
2. Subjekty Únie podávajú CERT-EU:
| a) | bez zbytočného odkladu a v každom prípade do 24 hodín od zistenia významného incidentu včasné varovanie, v ktorom v náležitých prípadoch uvedú, že významný incident pravdepodobne spôsobilo nezákonné konanie alebo konanie so zlým úmyslom, alebo že môže mať dosah na iný subjekt či cezhraničný dosah; |
| b) | bez zbytočného odkladu a v každom prípade do 72 hodín po tom, ako sa dozvedeli o významnom incidente, oznámenie o incidente, ktorým v náležitých prípadoch aktualizujú informácie uvedené v písmene a) a uvedú prvotné posúdenie významného incidentu, vrátane jeho závažnosti a dosahu, ako aj v náležitých prípadoch ukazovatele narušenia; |
| c) | na žiadosť CERT-EU priebežnú správu s relevantnou aktualizáciou daného stavu. |
| d) | najneskôr jeden mesiac po podaní oznámenia o incidente podľa písmena b) záverečnú správu, ktorá obsahuje tieto informácie:
|
| e) | v prípade prebiehajúceho incidentu v čase podávania záverečnej správy uvedenej v písmene d), správu o pokroku v danom čase a záverečnú správu do jedného mesiaca po vyriešení incidentu. |
3. Subjekt Únie bez zbytočného odkladu a v každom prípade do 24 hodín od zistenia významného incidentu informuje všetky príslušné náprotivky v členskom štáte uvedené v článku 17 ods. 1 v členskom štáte, v ktorom sa nachádza, o tom, že došlo k významnému incidentu.
4. Subjekty Únie oznamujú CERT-EU okrem iného všetky informácie, ktoré mu umožnia určiť akýkoľvek dosah na iný subjekt, dosah na hostiteľský členský štát alebo cezhraničný dosah po tom, čo došlo k významnému incidentu. Bez toho, aby bol dotknutý článok 12, samotný akt oznámenia nezakladá zvýšenú zodpovednosť subjektu Únie.
5. Subjekty Únie v náležitých prípadoch bez zbytočného odkladu informujú používateľov zasiahnutých sietí a informačných systémov alebo iných zložiek prostredia IKT, ktoré sú potenciálne zasiahnuté významným incidentom alebo významnou kybernetickou hrozbou a vo vhodných prípadoch si vyžadujú prijatie zmierňujúcich opatrení, o opatreniach alebo prostriedkoch nápravy, ktoré môžu prijať v reakcii na daný incident alebo danú hrozbu. Subjekty Únie vo vhodných prípadoch informujú týchto používateľov o samotnej významnej kybernetickej hrozbe.
6. Ak má významný incident alebo významná kybernetická hrozba vplyv na sieť a informačný systém alebo zložku prostredia IKT subjektu Únie, o ktorej je známe jej prepojenie s prostredím IKT iného subjektu Únie, CERT-EU vydá príslušnú výstrahu.
7. Subjekty Únie na žiadosť CERT-EU bez zbytočného odkladu poskytnú CERT-EU digitálne informácie vytvorené pomocou elektronických zariadení, ktorých sa príslušné incidenty týkali. CERT-EU môže poskytnúť ďalšie podrobnosti o type informácií, ktoré požaduje na účely situačnej informovanosti a reakcie na incident.
8. CERT-EU predkladá IICB, agentúre ENISA, centru EU INTCEN a sieti jednotiek CSIRT každé tri mesiace súhrnnú správu obsahujúcu anonymizované a súhrnné údaje o významných incidentoch, incidentoch, kybernetických hrozbách, udalostiach odvrátených v poslednej chvíli a zraniteľnostiach podľa článku 20 a významných incidentoch oznámených podľa odseku 2 tohto článku. Táto súhrnná správa sa použije ako zdroj informácií na vypracovanie správy o stave kybernetickej bezpečnosti v Únii prijímanej každé dva roky v súlade s článkom 18 smernice (EÚ) 2022/2555.
9. IICB do 8. júla 2024 vydá usmernenia alebo odporúčania, v ktorých bližšie určí spôsoby, formát a obsah oznamovania podľa tohto článku. Pri príprave takýchto usmernení alebo odporúčaní IICB zohľadní všetky vykonávacie akty prijaté podľa článku 23 ods. 11 smernice (EÚ) 2022/2555, v ktorých sa bližšie určuje druh informácií, formát a postup oznamovania. CERT-EU šíri náležité technické podrobnosti, aby subjektom Únie umožnil vykonať proaktívne odhaľovanie, reagovanie na incident alebo prijatie zmierňujúcich opatrení.
10. Oznamovacie povinnosti stanovené v tomto článku sa nevzťahujú na:
| a) | utajované skutočnosti EÚ; |
| b) | informácie, ktorých ďalšie šírenie bolo vylúčené prostredníctvom viditeľného označenia, pokiaľ ich zdieľanie s CERT-EU nebolo výslovne povolené. |
whereas