keyboard_tab Cyber Resilience Act 2023/2841 SK

1.   Zriaďuje sa Medziinštitucionálna rada pre kybernetickú bezpečnosť (ďalej len „IICB“).

2.   IICB zodpovedá za:

3.   IICB tvoria:

Subjekty Únie zastúpené v IICB sa snažia dosiahnuť rodovú rovnováhu vymenovaných zástupcov.

4.   Členom IICB môže pomáhať náhradník. Predseda môže pozvať iných zástupcov subjektov Únie uvedených v odseku 3 alebo iných subjektov Únie, aby sa zúčastnili na zasadnutiach IICB bez hlasovacieho práva.

5.   Na zasadnutiach IICB sa ako pozorovatelia môžu zúčastňovať vedúci CERT-EU a predseda skupiny pre spoluprácu zriadenej podľa článku 14 smernice (EÚ) 2022/2555, predseda siete jednotiek CSIRT zriadenej podľa článku 15 smernice 2022/2555 a predseda siete EU-CyCLONe zriadenej podľa článku 16 smernice (EÚ) 2022/2555 alebo ich náhradníci. Vo výnimočných prípadoch môže IICB v súlade so svojim vnútorným rokovacím poriadkom rozhodnúť inak.

6.   IICB prijme svoj vnútorný rokovací poriadok.

7.   IICB v súlade so svojím vnútorným rokovacím poriadkom vymenuje spomedzi svojich členov predsedu na obdobie troch rokov. Náhradník predsedu sa na rovnaké obdobie stáva riadnym členom IICB.

8.   IICB zasadá aspoň trikrát do roka z iniciatívy svojho predsedu, na žiadosť CERT-EU alebo na žiadosť ktoréhokoľvek zo svojich členov.

9.   Každý člen IICB má jeden hlas. IICB prijíma rozhodnutia jednoduchou väčšinou, ak v tomto nariadení nie je stanovené inak. Predseda IICB nehlasuje, s výnimkou prípadov rovnosti hlasov, keď môže udeliť rozhodujúci hlas.

10.   IICB môže konať prostredníctvom zjednodušeného písomného postupu iniciovaného v súlade s vnútorným rokovacím poriadkom IICB. Pri uvedenom postupe sa príslušné rozhodnutie považuje za schválené v lehote stanovenej predsedom, okrem prípadov, keď niektorý z členov vznesie námietku.

11.   Sekretariát IICB zabezpečuje Komisia a zodpovedá sa predsedovi IICB.

12.   Členom siete EUAN oznamujú rozhodnutia IICB zástupcovia vymenovaní sieťou EUAN. Ktorýkoľvek člen siete EUAN má právo obrátiť sa na týchto zástupcov alebo predsedu IICB s každou záležitosťou, na ktorú by podľa jeho názoru mala byť IICB upozornená.

13.   IICB môže zriadiť výkonný výbor, ktorý jej pomáha pri práci, a delegovať mu niektoré svoje úlohy a právomoci. IICB stanoví rokovací poriadok výkonného výboru vrátane jeho úloh a právomocí, ako aj funkčné obdobie jeho členov.

14.   IICB predloží Európskemu parlamentu a Rade do 8. januára 2025 a následne každoročne správu, v ktorej podrobne opíše pokrok dosiahnutý pri vykonávaní tohto nariadenia a v ktorej uvedie najmä rozsah spolupráce CERT-EU s náprotivkami v členskom štáte v každom členskom štáte. Táto správa sa použije ako zdroj informácií na vypracovanie správy o stave kybernetickej bezpečnosti v Únii prijímanej každé dva roky v súlade s článkom 18 smernice (EÚ) 2022/2555.

1.   CERT-EU bezodkladne spolupracuje a vymieňa si informácie s náprotivkami v členskom štáte, najmä s jednotkami CSIRT určenými alebo zriadenými podľa článku 10 smernice (EÚ) 2022/2555 alebo v náležitých prípadoch s príslušnými orgánmi a jednotnými kontaktnými miestami určenými alebo zriadenými podľa článku 8 danej smernice, v súvislosti s incidentmi, kybernetickými hrozbami, zraniteľnosťami, udalosťami odvrátenými v poslednej chvíli, možnými protiopatreniami, ako aj v súvislosti s najlepšími postupmi a o všetkých otázkach relevantných pre zlepšenie ochrany prostredí IKT subjektov Únie, a to aj prostredníctvom siete jednotiek CSIRT zriadenej podľa článku 15 smernice (EÚ) 2022/2555. CERT-EU podporuje Komisiu v sieti EU-CyCLONe zriadenej podľa článku 16 smernice (EÚ) 2022/2555 o koordinovanom riadení rozsiahlych kybernetických incidentov a kríz.

2.   Ak sa CERT-EU dozvie o významnom incidente, ku ktorému došlo na území členského štátu, bezodkladne informuje všetkých relevantných náprotivkov v tomto členskom štáte, v súlade s odsekom 1.

3.   Za predpokladu, že osobné údaje sú chránené v súlade s príslušným právom Únie v oblasti ochrany údajov, si CERT-EU bez zbytočného odkladu vymieňa relevantné informácie o konkrétnom incidente s náprotivkami v členskom štáte s cieľom pomôcť odhaliť podobné kybernetické hrozby alebo incidenty alebo prispieť k analýze incidentu, a to bez povolenia zasiahnutého subjektu Únie. CERT-EU si vymieňa informácie o konkrétnom incidente, ktoré odhaľujú identitu cieľa incidentu len v prípade jednej z týchto možností:

Rozhodnutia o výmene informácií o konkrétnom incidente, ktoré odhaľujú totožnosť cieľa incidentu podľa prvého pododseku písm. b), schvaľuje vedúci CERT-EU. Pred vydaním takéhoto rozhodnutia sa CERT-EU písomne obráti na zasiahnutý subjekt Únie, pričom mu jasne vysvetlí, ako by zverejnenie jeho totožnosti pomohlo zamedziť ďalším incidentom alebo zmierniť ich následky. Vedúci CERT-EU poskytne vysvetlenie a výslovne požiada subjekt Únie, aby v stanovenej lehote uviedol, či súhlasí. Vedúci CERT-EU takisto informuje subjekt Únie o tom, že na základe poskytnutého vysvetlenia si vyhradzuje právo zverejniť dané informácie aj bez udelenia súhlasu. Zasiahnutý subjekt Únie musí byť informovaný pred tým, než sú informácie zverejnené.

1.   Incident sa považuje za významný, ak:

2.   Subjekty Únie podávajú CERT-EU:

3.   Subjekt Únie bez zbytočného odkladu a v každom prípade do 24 hodín od zistenia významného incidentu informuje všetky príslušné náprotivky v členskom štáte uvedené v článku 17 ods. 1 v členskom štáte, v ktorom sa nachádza, o tom, že došlo k významnému incidentu.

4.   Subjekty Únie oznamujú CERT-EU okrem iného všetky informácie, ktoré mu umožnia určiť akýkoľvek dosah na iný subjekt, dosah na hostiteľský členský štát alebo cezhraničný dosah po tom, čo došlo k významnému incidentu. Bez toho, aby bol dotknutý článok 12, samotný akt oznámenia nezakladá zvýšenú zodpovednosť subjektu Únie.

5.   Subjekty Únie v náležitých prípadoch bez zbytočného odkladu informujú používateľov zasiahnutých sietí a informačných systémov alebo iných zložiek prostredia IKT, ktoré sú potenciálne zasiahnuté významným incidentom alebo významnou kybernetickou hrozbou a vo vhodných prípadoch si vyžadujú prijatie zmierňujúcich opatrení, o opatreniach alebo prostriedkoch nápravy, ktoré môžu prijať v reakcii na daný incident alebo danú hrozbu. Subjekty Únie vo vhodných prípadoch informujú týchto používateľov o samotnej významnej kybernetickej hrozbe.

6.   Ak má významný incident alebo významná kybernetická hrozba vplyv na sieť a informačný systém alebo zložku prostredia IKT subjektu Únie, o ktorej je známe jej prepojenie s prostredím IKT iného subjektu Únie, CERT-EU vydá príslušnú výstrahu.

7.   Subjekty Únie na žiadosť CERT-EU bez zbytočného odkladu poskytnú CERT-EU digitálne informácie vytvorené pomocou elektronických zariadení, ktorých sa príslušné incidenty týkali. CERT-EU môže poskytnúť ďalšie podrobnosti o type informácií, ktoré požaduje na účely situačnej informovanosti a reakcie na incident.

8.   CERT-EU predkladá IICB, agentúre ENISA, centru EU INTCEN a sieti jednotiek CSIRT každé tri mesiace súhrnnú správu obsahujúcu anonymizované a súhrnné údaje o významných incidentoch, incidentoch, kybernetických hrozbách, udalostiach odvrátených v poslednej chvíli a zraniteľnostiach podľa článku 20 a významných incidentoch oznámených podľa odseku 2 tohto článku. Táto súhrnná správa sa použije ako zdroj informácií na vypracovanie správy o stave kybernetickej bezpečnosti v Únii prijímanej každé dva roky v súlade s článkom 18 smernice (EÚ) 2022/2555.

9.   IICB do 8. júla 2024 vydá usmernenia alebo odporúčania, v ktorých bližšie určí spôsoby, formát a obsah oznamovania podľa tohto článku. Pri príprave takýchto usmernení alebo odporúčaní IICB zohľadní všetky vykonávacie akty prijaté podľa článku 23 ods. 11 smernice (EÚ) 2022/2555, v ktorých sa bližšie určuje druh informácií, formát a postup oznamovania. CERT-EU šíri náležité technické podrobnosti, aby subjektom Únie umožnil vykonať proaktívne odhaľovanie, reagovanie na incident alebo prijatie zmierňujúcich opatrení.

10.   Oznamovacie povinnosti stanovené v tomto článku sa nevzťahujú na: