keyboard_tab Cyber Resilience Act 2023/2841 SL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- Člen 1 Predmet urejanja
- Člen 2 Področje uporabe
- Člen 3 Opredelitev pojmov
- Člen 4 Obdelava osebnih podatkov
- Člen 5 Izvajanje ukrepov
- Člen 6 Okvir za obvladovanje tveganj, upravljanje in nadzor kibernetske varnosti
- Člen 7 Ocene kibernetskovarnostne zrelosti
- Člen 8 Ukrepi za obvladovanje tveganj za kibernetsko varnost
- Člen 9 Načrti za kibernetsko varnost
- Člen 10 Medinstitucionalni odbor za kibernetsko varnost
- Člen 11 Naloge IICB
- Člen 12 Skladnost
- Člen 13 Poslanstvo in naloge CERT-EU
- Člen 14 Smernice, priporočila in pozivi k ukrepanju
- Člen 15 Vodja CERT-EU
- Člen 16 Finančne in kadrovske zadeve
- Člen 17 Sodelovanje CERT-EU s sorodnimi organi iz držav članic
- Člen 18 Sodelovanje CERT-EU z drugimi sorodnimi organi
- Člen 19 Ravnanje z informacijami
- Člen 20 Dogovori o izmenjavi informacij o kibernetski varnosti
- Člen 21 Obveznosti poročanja
- Člen 22 Usklajevanje odzivanja na incidente in sodelovanje
- Člen 23 Obvladovanje večjih incidentov
- Člen 24 Začetna proračunska prerazporeditev
- Člen 25 Pregled
- Člen 26 Začetek veljavnosti
POGLAVJE I
SPLOŠNE DOLOČBE
POGLAVJE II
UKREPI ZA VISOKO SKUPNO RAVEN KIBERNETSKE VARNOSTI
POGLAVJE III
MEDINSTITUCIONALNI ODBOR ZA KIBERNETSKO VARNOST
POGLAVJE IV
CERT-EU
POGLAVJE V
OBVEZNOSTI SODELOVANJA IN POROČANJA
POGLAVJE VI
KONČNE DOLOČBE
- unije 19
- varnost 13
- kibernetsko 12
- subjekta 11
- uredbe 9
- okvir 7
- cert-eu 7
- kibernetske 6
- varnosti 6
- raven 5
- vodenja 5
- subjekt 5
- izvajanje 5
- redno 4
- podlagi 4
- člena 4
- lahko 4
- tveganj 4
- zadevnega 4
- v zvezi 3
- naloge 3
- brez 3
- okvir 3
- upošteva 3
- vsakega 3
- najvišja 3
- ravni 3
- obvladovanje 3
- vsak 3
- napravami 2
- omrežji 2
- odgovorna 2
- enotna 2
- vzpostavi 2
- povezanimi 2
- enakovredni 2
- kontaktna 2
- točka 2
- lokalni 2
- njihovega 2
- lokalnega 2
- uradnik 2
- obveznosti 2
- glede 2
- nadzor 2
- storitve 2
- izvajanja 2
- osebja 2
- upravljanje 2
- uradnika 2
Člen 6
Okvir za obvladovanje tveganj, upravljanje in nadzor kibernetske varnosti
1. Vsak subjekt Unije do 8. aprila 2025 po opravljenem začetnem pregledu kibernetske varnosti, kot je revizija, vzpostavi notranji okvir za obvladovanje tveganj, upravljanje in nadzor kibernetske varnosti (v nadaljnjem besedilu: okvir). Vzpostavitev okvira nadzoruje ter je zanjo odgovorna najvišja raven vodenja subjekta Unije.
2. Okvir zajema celotno netajno okolje IKT zadevnega subjekta Unije, vključno z vsem lokalnim okoljem IKT in lokalnim operativnim tehnološkim omrežjem, sredstvi in storitvami v okoljih storitev računalništva v oblaku, ki jih upravlja zunanji izvajalec ali gostijo tretje osebe, mobilnimi napravami, korporativnimi omrežji, poslovnimi omrežji, ki niso povezana z internetom, in vsemi napravami, povezanimi s temi okolji (v nadaljnjem besedilu: okolje IKT). Okvir temelji na pristopu, ki upošteva vse nevarnosti.
3. Okvir zagotavlja visoko raven kibernetske varnosti. V okviru so določene notranje politike kibernetske varnosti skupaj s cilji in prednostnimi nalogami za varnost omrežnih in informacijskih sistemov ter vloge in odgovornosti osebja subjekta Unije, zadolženega za uspešno izvajanje te uredbe. Okvir vključuje tudi mehanizme za merjenje učinkovitosti izvajanja.
4. Okvir se pregleduje redno in vsaj vsaka štiri leta glede na spreminjajoča se tveganja za kibernetsko varnost. Po potrebi in na zaprosilo Medinstitucionalnega odbora za kibernetsko varnost, ustanovljenega na podlagi člena 10, se lahko okvir subjekta Unije posodobi na podlagi usmeritev CERT-EU o ugotovljenih incidentih ali morebitnih opaženih vrzelih pri izvajanju te uredbe.
5. Najvišja raven vodenja vsakega subjekta Unije je odgovorna za izvajanje te uredbe in nadzira skladnost svoje organizacije z obveznostmi, povezanimi z okvirom.
6. Kadar je to primerno in brez poseganja v svojo odgovornost za izvajanje te uredbe, lahko najvišja raven vodenja vsakega subjekta Unije prenese na visoke uradnike v smislu člena 29(2) kadrovskih predpisov ali druge uradnike na enakovredni ravni znotraj zadevnega subjekta Unije posebne obveznosti iz te uredbe. Ne glede na tak morebiten prenos lahko najvišja raven vodenja odgovarja za kršitve te uredbe s strani zadevnega subjekta Unije.
7. Vsak subjekt Unije ima vzpostavljene učinkovite mehanizme za zagotavljanje, da se za kibernetsko varnost nameni ustrezen delež proračuna za IKT. Pri določanju navedenega odstotka se ustrezno upošteva okvir.
8. Vsak subjekt Unije imenuje lokalnega uradnika za kibernetsko varnost ali enakovredno funkcijo, ki deluje kot njegova enotna kontaktna točka v zvezi z vsemi vidiki kibernetske varnosti. Lokalni uradnik za kibernetsko varnost olajša izvajanje te uredbe in neposredno redno poroča najvišji ravni vodenja o stanju izvajanja. Brez poseganja v to, da je lokalni uradnik za kibernetsko varnost enotna kontaktna točka v vsakem subjektu Unije, lahko subjekt Unije nekatere naloge lokalnega uradnika za kibernetsko varnost v zvezi z izvajanjem te uredbe prenese na CERT-EU na podlagi sporazuma o ravni storitve, sklenjenega med tem subjektom Unije in CERT-EU, ali se te naloge razdelijo med več subjektov Unije. Kadar se te naloge prenesejo na CERT-EU, Medinstitucionalni odbor za kibernetsko varnost, ustanovljen na podlagi člena 10, odloči, ali bo opravljanje te storitve del osnovnih storitev CERT-EU, pri čemer upošteva človeške in finančne vire zadevnega subjekta Unije. Vsak subjekt Unije brez odlašanja uradno obvesti CERT-EU o imenovanem lokalnem uradniku za kibernetsko varnost in vseh naknadnih spremembah v zvezi s tem.
CERT-EU vzpostavi in redno posodablja seznam imenovanih lokalnih uradnikov za kibernetsko varnost.
9. Višji uradniki v smislu člena 29(2) kadrovskih predpisov ali drugi uradniki na enakovredni ravni vsakega subjekta Unije ter vsi ustrezni člani osebja, ki je zadolženo za izvajanje ukrepov za obvladovanje tveganj za kibernetsko varnost in izpolnjevanje obveznosti iz te uredbe, redno opravljajo posebno usposabljanje, da pridobijo dovolj znanja in spretnosti za razumevanje in oceno tveganj za kibernetsko varnost in praks njihovega obvladovanja ter njihovega vpliva na delovanje subjekta Unije.
whereas