keyboard_tab Cyber Resilience Act 2023/2841 SL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- Člen 1 Predmet urejanja
- Člen 2 Področje uporabe
- Člen 3 Opredelitev pojmov
- Člen 4 Obdelava osebnih podatkov
- Člen 5 Izvajanje ukrepov
- Člen 6 Okvir za obvladovanje tveganj, upravljanje in nadzor kibernetske varnosti
- Člen 7 Ocene kibernetskovarnostne zrelosti
- Člen 8 Ukrepi za obvladovanje tveganj za kibernetsko varnost
- Člen 9 Načrti za kibernetsko varnost
- Člen 10 Medinstitucionalni odbor za kibernetsko varnost
- Člen 11 Naloge IICB
- Člen 12 Skladnost
- Člen 13 Poslanstvo in naloge CERT-EU
- Člen 14 Smernice, priporočila in pozivi k ukrepanju
- Člen 15 Vodja CERT-EU
- Člen 16 Finančne in kadrovske zadeve
- Člen 17 Sodelovanje CERT-EU s sorodnimi organi iz držav članic
- Člen 18 Sodelovanje CERT-EU z drugimi sorodnimi organi
- Člen 19 Ravnanje z informacijami
- Člen 20 Dogovori o izmenjavi informacij o kibernetski varnosti
- Člen 21 Obveznosti poročanja
- Člen 22 Usklajevanje odzivanja na incidente in sodelovanje
- Člen 23 Obvladovanje večjih incidentov
- Člen 24 Začetna proračunska prerazporeditev
- Člen 25 Pregled
- Člen 26 Začetek veljavnosti
POGLAVJE I
SPLOŠNE DOLOČBE
POGLAVJE II
UKREPI ZA VISOKO SKUPNO RAVEN KIBERNETSKE VARNOSTI
POGLAVJE III
MEDINSTITUCIONALNI ODBOR ZA KIBERNETSKO VARNOST
POGLAVJE IV
CERT-EU
POGLAVJE V
OBVEZNOSTI SODELOVANJA IN POROČANJA
POGLAVJE VI
KONČNE DOLOČBE
- varnosti 12
- varnost 11
- kibernetske 9
- unije 9
- kibernetsko 8
- vključno 7
- obvladovanje 6
- tveganj 6
- storitev 5
- ukrepe 4
- področju 4
- vzpostavitev 4
- razvoj 3
- informacijskih 3
- sistemov 3
- glede 3
- politike 3
- incidentov 3
- ranljivosti 3
- opreme 3
- vodenja 3
- subjekta 3
- upravljanje 3
- varnega 3
- programske 3
- kibernetskih 3
- ustrezno 2
- ukrepov 2
- ustreznih 2
- oceno 2
- vsaj 2
- sredstev 2
- raven 2
- vzdrževanje 2
- usposabljanje 2
- upoštevajo 2
- ukrepi 2
- potrebi 2
- programov 2
- spremljanja 2
- šifriranja 2
- ponudniki 2
- konca 2
- grožnjah 2
- ranljivostih 2
- o incidentih 2
- najvišje 2
- ravni 2
- subjekti 2
- kadar 2
Člen 8
Ukrepi za obvladovanje tveganj za kibernetsko varnost
1. Brez nepotrebnega odlašanja in v vsakem primeru 8. septembra 2025 vsak subjekt Unije pod nadzorom svoje najvišje ravni vodenja sprejme ustrezne in sorazmerne tehnične, operativne in organizacijske ukrepe za obvladovanje tveganj za kibernetsko varnost, opredeljene v okviru, in da se prepreči ali čim bolj zmanjša učinek incidentov. Ob upoštevanju najsodobnejših in po potrebi ustreznih evropskih in mednarodnih standardov ti ukrepi zagotavljajo raven varnosti omrežnih in informacijskih sistemov v celotnem okolju IKT, ki je sorazmerna s tveganji za kibernetsko varnost. Pri ocenjevanju sorazmernosti teh ukrepov se ustrezno upoštevajo stopnja izpostavljenosti subjekta Unije tveganjem za kibernetsko varnost, njegova velikost ter verjetnost pojava incidentov in njihova resnost, vključno z njihovim družbenim, gospodarskim in medinstitucionalnim vplivom.
2. Subjekti Unije pri izvajanju ukrepov za obvladovanje tveganj za kibernetsko varnost obravnavajo vsaj naslednja področja:
(a) | politiko na področju kibernetske varnosti, vključno z ukrepi, potrebnimi za uresničevanje ciljev in prednostnih nalog iz člena 6 in odstavka 3 tega člena; |
(b) | politike o analizi tveganj za kibernetsko varnost in o varnosti informacijskih sistemov; |
(c) | cilje politike glede uporabe storitev računalništva v oblaku; |
(d) | po potrebi revizijo kibernetske varnosti, ki lahko vključuje oceno tveganj za kibernetsko varnost, ranljivosti in kibernetskih groženj ter penetracijsko testiranje, ki ga redno izvaja zaupanja vreden zasebni ponudnik; |
(e) | izvajanje priporočil, pripravljenih na podlagi revizij kibernetske varnosti iz točke (d), in sicer s posodobitvijo kibernetske varnosti in politik; |
(f) | organizacijo kibernetske varnosti, vključno z določitvijo vlog in odgovornosti; |
(g) | upravljanje sredstev, vključno s popisom sredstev IKT in kartografijo omrežja IKT; |
(h) | varnost človeških virov in nadzor dostopa; |
(i) | varnost operacij; |
(j) | varnost komunikacij; |
(k) | pridobivanje, razvoj in vzdrževanje sistema, vključno s politikami o obravnavi in razkrivanju ranljivosti; |
(l) | po možnosti politike o preglednosti izvorne kode; |
(m) | varnost dobavne verige, vključno z varnostnimi vidiki odnosov med vsakim subjektom Unije in njegovimi neposrednimi dobavitelji ali ponudniki storitev; |
(n) | obvladovanje incidentov in sodelovanje s CERT-EU, kot je vzdrževanje varnostnega spremljanja in vodenja dnevnikov; |
(o) | upravljanje neprekinjenega poslovanja, kot je upravljanje varnostnih kopij in vnovična vzpostavitev delovanja po nepredvidljivih dogodkih, ter obvladovanje kriz ter |
(p) | spodbujanje in razvoj izobraževanja, spretnosti, ozaveščanja, vaj in programov usposabljanja na področju kibernetske varnosti. |
Za namene prvega pododstavka, točka (m), subjekti Unije upoštevajo ranljivosti, značilne za vsakega neposrednega dobavitelja in ponudnika storitev, ter splošno kakovost proizvodov in praks svojih dobaviteljev in ponudnikov storitev na področju kibernetske varnosti, vključno z njihovimi postopki varnega razvoja.
3. Subjekti Unije sprejmejo vsaj naslednje posebne ukrepe za obvladovanje tveganj za kibernetsko varnost:
(a) | tehnične ureditve za omogočanje in ohranjanje dela na daljavo; |
(b) | konkretne ukrepe za prehod na načela ničelnega zaupanja; |
(c) | uporabo večfaktorske avtentifikacije kot norme v omrežnih in informacijskih sistemih; |
(d) | uporabo kriptografije in šifriranja, zlasti šifriranja od konca do konca ter varnega digitalnega podpisovanja; |
(e) | kadar je primerno, vzpostavitev varnega glasovnega, video- in besedilnega sporočanja ter varnih sistemov za komunikacijo v sili znotraj subjekta Unije; |
(f) | proaktivne ukrepe za odkrivanje in odstranjevanje zlonamerne in vohunske programske opreme; |
(g) | vzpostavitev varnosti dobavne verige programske opreme z merili za razvoj in oceno varne programske opreme; |
(h) | vzpostavitev in sprejetje programov za usposabljanje o kibernetski varnosti, ki so sorazmerni s predpisanimi nalogami in pričakovanimi zmogljivostmi najvišje ravni vodenja ter članov osebja subjekta Unije, ki je zadolženo za zagotavljanje učinkovitega izvajanja te uredbe; |
(i) | redno usposabljanje zaposlenih na področju kibernetske varnosti; |
(j) | kadar je ustrezno, udeležbo pri analizah tveganja medsebojne povezljivosti med subjekti Unije; |
(k) | krepitev pravil o javnem naročanju, da se omogoči visoka skupna raven kibernetske varnosti, in sicer:
|
whereas