keyboard_tab Cyber Resilience Act 2023/2841 SL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Člen 3 Opredelitev pojmov
- 1 Člen 10 Medinstitucionalni odbor za kibernetsko varnost
- 1 Člen 12 Skladnost
- 1 Člen 21 Obveznosti poročanja
POGLAVJE I
SPLOŠNE DOLOČBE
POGLAVJE II
UKREPI ZA VISOKO SKUPNO RAVEN KIBERNETSKE VARNOSTI
POGLAVJE III
MEDINSTITUCIONALNI ODBOR ZA KIBERNETSKO VARNOST
POGLAVJE IV
CERT-EU
POGLAVJE V
OBVEZNOSTI SODELOVANJA IN POROČANJA
POGLAVJE VI
KONČNE DOLOČBE
- unije 52
- iicb 25
- eu / 21
- podlagi 18
- lahko 16
- cert-eu 16
- pomeni 15
- incident 14
- direktive 14
- št / 14
- uredbe 13
- kakor 12
- v členu 11
- točka 11
- iicb 10
- kibernetsko 10
- člena 9
- z dne 9
- str 9
- evropske 9
- brez 9
- subjekta 9
- varnost 9
- sveta 8
- subjektu 8
- poročilo 8
- incidenta 8
- evropski 7
- evropskega 7
- parlamenta 7
- ul l 7
- subjekt 7
- vključno 6
- opredeljena 6
- tega 6
- zadevnemu 6
- informacije 6
- drugih 5
- evropsko 5
- odbor 5
- varnosti 5
- v skladu 5
- kibernetske 5
- evropskim 5
- uredba 5
- kadar 5
- kadar 5
- subjektov 5
- nepotrebnega 5
- izda 5
Člen 3
Opredelitev pojmov
V tej uredbi se uporabljajo naslednje opredelitve pojmov:
| (1) | „subjekti Unije“ pomeni institucije, organe, urade in agencije Unije, ustanovljene s Pogodbo o Evropski uniji, Pogodbo o delovanju Evropske unije (PDEU) ali Pogodbo o ustanovitvi Evropske skupnosti za atomsko energijo ali na njihovi podlagi; |
| (2) | „omrežni in informacijski sistem“ pomeni omrežni in informacijski sistem, kakor je opredeljen v členu 6, točka 1, Direktive (EU) 2022/2555; |
| (3) | „varnost omrežnih in informacijskih sistemov“ pomeni varnost omrežnih in informacijskih sistemov, kakor je opredeljena v členu 6, točka 2, Direktive (EU) 2022/2555; |
| (4) | „kibernetska varnost“ pomeni kibernetsko varnost, kakor je opredeljena v členu 2, točka 1, Uredbe (EU) 2019/881; |
| (5) | „najvišja raven vodenja“ pomeni vodjo, vodstveni organ ali organ za usklajevanje in nadzor, pristojen za delovanje subjekta Unije, na najvišji upravni ravni, ki ima pristojnost za sprejemanje ali odobritev odločitev v skladu z ureditvijo upravljanja na visoki ravni tega subjekta Unije, brez poseganja v formalno odgovornost drugih ravni vodstva za skladnost in upravljanje kibernetskih tveganj na njihovih področjih odgovornosti; |
| (6) | „skorajšnji incident“ pomeni skorajšnji incident, kakor je opredeljen v členu 6, točka 5, Direktive (EU) 2022/2555; |
| (7) | „incident“ pomeni incident, kakor je opredeljen v členu 6, točka 6, Direktive (EU) 2022/2555; |
| (8) | „večji incident“ pomeni incident, ki povzroči stopnjo motnje, ki presega zmogljivost subjekta Unije in CERT-EU, da se nanjo odzoveta, ali ki pomembno vpliva na vsaj dva subjekta Unije; |
| (9) | „kibernetski incident velikih razsežnosti“ pomeni kibernetski incident velikih razsežnosti, kakor je opredeljen v členu 6, točka 7, Direktive (EU) 2022/2555; |
| (10) | „obvladovanje incidentov“ pomeni obvladovanje incidentov, kakor je opredeljeno v členu 6, točka 8, Direktive (EU) 2022/2555; |
| (11) | „kibernetska grožnja“ pomeni kibernetsko grožnjo, kakor je opredeljena v členu 2, točka 8, Uredbe (EU) 2019/881; |
| (12) | „pomembna kibernetska grožnja“ pomeni pomembno kibernetsko grožnjo, kakor je opredeljena v členu 6, točka 11, Uredbe (EU) 2022/2555; |
| (13) | „ranljivost“ pomeni ranljivost, kakor je opredeljena v členu 6, točka 15, Direktive (EU) 2022/2555; |
| (14) | „kibernetsko tveganje“ pomeni tveganje, kakor je opredeljeno v členu 6, točka 9, Direktive (EU) 2022/2555; |
| (15) | „storitev računalništva v oblaku“ pomeni storitev v oblaku, kakor je opredeljena v členu 6, točka 30, Direktive (EU) 2022/2555; |
Člen 10
Medinstitucionalni odbor za kibernetsko varnost
1. Ustanovi se Medinstitucionalni odbor za kibernetsko varnost (IICB).
2. IICB je odgovoren za:
| (a) | spremljanje in podpiranje izvajanja te uredbe s strani subjektov Unije; |
| (b) | nadzor nad izvajanjem splošnih prednostnih nalog in ciljev CERT-EU ter zagotavljanje strateških usmeritev za CERT-EU. |
3. IICB sestavljajo:
| (a) | po en predstavnik, ki ga imenuje vsak od navedenih:
|
| (b) | trije predstavniki, ki jih imenuje mreža agencij EU (EUAN) na predlog svojega svetovalnega odbora za IKT in ki zastopajo interese organov, uradov in agencij Unije, ki upravljajo svoje lastno okolje IKT, razen tistih iz točke (a). |
Subjekti Unije, zastopani v IICB, si prizadevajo za uravnoteženo zastopanost spolov med imenovanimi predstavniki.
4. Članom IICB lahko pomaga namestnik. Predsednik lahko povabi druge predstavnike subjektov Unije iz odstavka 3 ali drugih subjektov Unije, da se udeležijo sestankov IICB brez pravice do glasovanja.
5. Vodja CERT-EU ter predsedniki skupine za sodelovanje, mreže skupin CSIRT in mreže EU-CyCLONe, ustanovljenih na podlagi členov 14, 15 in 16 Direktive (EU) 2022/2555, ali njihovi namestniki lahko sodelujejo na sestankih IICB kot opazovalci. V izjemnih primerih lahko IICB v skladu s svojim notranjim poslovnikom odloči drugače.
6. IICB sprejme svoj notranji poslovnik.
7. IICB v skladu s svojim notranjim poslovnikom med svojimi člani imenuje predsednika za obdobje treh let. Predsednikov namestnik postane polnopravni član IICB za enako obdobje.
8. IICB se vsaj trikrat na leto sestane na pobudo svojega predsednika, na zahtevo CERT-EU ali na zahtevo katerega koli svojega člana.
9. Vsak član IICB ima en glas. IICB odločitve sprejema z navadno večino, razen če je v tej uredbi določeno drugače. Predsednik IICB ne glasuje, razen v primeru neodločenega izida glasovanja, ko ima odločilni glas.
10. IICB lahko deluje po poenostavljenem pisnem postopku, ki se začne v skladu z njegovim notranjim poslovnikom. Na podlagi tega postopka se zadevna odločitev šteje za odobreno v roku, ki ga določi predsednik, razen v primeru ugovora člana.
11. Sekretariat IICB zagotavlja Komisija in je odgovoren predsedniku IICB.
12. Predstavniki, ki jih imenuje mreža agencij EU, odločitve IICB posredujejo članom te mreže. Vsak član mreže agencij EU ima pravico, da na te predstavnike ali predsednika IICB naslovi katero koli vprašanje, za katero meni, da bi ga IICB moral obravnavati.
13. IICB lahko ustanovi izvršni odbor, ki mu pomaga pri delu ter na katerega prenese nekaj svojih nalog in pooblastil. IICB določi poslovnik izvršnega odbora, vključno z njegovimi nalogami in pooblastili, ter mandati njegovih članov.
14. IICB do 8. januarja 2025 in nato vsako leto Evropskemu parlamentu in Svetu predloži poročilo, v katerem podrobno opiše napredek pri izvajanju te uredbe in navede zlasti obseg sodelovanja CERT-EU s sorodnimi organi držav članic v vsaki državi članici. Poročilo je prispevek k dvoletnemu poročilu o stanju kibernetske varnosti v Uniji, sprejetem na podlagi člena 18 Direktive (EU) 2022/2555.
Člen 12
Skladnost
1. IICB na podlagi člena 10(2) in člena 11 učinkovito spremlja izvajanje te uredbe ter sprejetih smernic, priporočil in pozivov k ukrepanju s strani subjektov Unije. IICB lahko od subjektov Unije zahteva informacije ali dokumentacijo, potrebne za ta namen. Za namen sprejetja ukrepov za skladnost na podlagi tega člena zadevni subjekt Unije, kadar je neposredno zastopan v IICB, nima glasovalnih pravic.
2. Kadar IICB ugotovi, da subjekt Unije ni učinkovito izvajal te uredbe ali smernic, priporočil ali pozivov k ukrepanju, izdanih na podlagi te uredbe, lahko brez poseganja v notranje postopke zadevnega subjekta Unije in po tem, ko je zadevnemu subjektu Unije dal možnost, da predloži svoja opažanja:
| (a) | subjektu Unije, pri katerem so bile opažene vrzeli pri izvajanju te uredbe, sporoči obrazloženo mnenje; |
| (b) | po posvetovanju s CERT-EU zadevnemu subjektu Unije zagotovi smernice za zagotovitev, da so njegov okvir, ukrepi za obvladovanje tveganj za kibernetsko varnost, načrt za kibernetsko varnost in poročanje skladni s to uredbo v določenem obdobju; |
| (c) | izda opozorilo za odpravo ugotovljenih pomanjkljivosti v določenem obdobju, vključno s priporočili za spremembo ukrepov, ki jih je zadevni subjekt Unije sprejel na podlagi te uredbe; |
| (d) | zadevnemu subjektu Unije izda utemeljeno uradno obvestilo, v primeru, da pomanjkljivosti, ugotovljene v opozorilu, izdanem na podlagi točke (c), niso bile ustrezno odpravljene v določenem roku; |
| (e) | izda:
|
| (f) | če je ustrezno, obvesti Računsko sodišče v okviru svojih pristojnosti o domnevni neskladnosti; |
| (g) | izda priporočilo, naj vse države članice in subjekti Unije začasno prekinejo prenose podatkov zadevnemu subjektu Unije. |
Za namene prvega pododstavka, točka (c), je krog prejemnikov opozorila ustrezno omejen, kadar je to potrebno zaradi tveganja za kibernetsko varnost.
Opozorila in priporočila, izdana na podlagi prvega pododstavka, se naslovijo na najvišjo raven vodenja zadevnega subjekta Unije.
3. Kadar IICB sprejme ukrepe na podlagi odstavka 2, prvi pododstavek, točke (a) do (g), zadevni subjekt Unije zagotovi podrobnosti ukrepov in dejavnosti, sprejetih za odpravo domnevnih pomanjkljivosti, ki jih je ugotovil IICB. Subjekt Unije te podrobnosti predloži v razumnem roku, o katerem se dogovori z IICB.
4. Kadar IICB meni, da subjekt Unije vztrajno krši to uredbo neposredno zaradi dejanj ali opustitev dejanj uradnika ali drugega uslužbenca Unije, tudi na najvišji ravni vodenja, IICB zahteva, da zadevni subjekt Unije sprejme ustrezne ukrepe, vključno z zahtevo, da razmisli o sprejetju disciplinskih ukrepov v skladu s pravili in postopki, določenimi v kadrovskih predpisih in vseh drugih veljavnih pravilih in postopkih. V ta namen IICB zadevnemu subjektu Unije posreduje potrebne informacije.
5. Kadar subjekti Unije uradno obvestijo, da ne morejo spoštovati rokov iz člena 6(1) in člena 8(1), lahko IICB v ustrezno utemeljenih primerih in ob upoštevanju velikosti subjekta Unije odobri podaljšanje teh rokov.
POGLAVJE IV
CERT-EU
Člen 21
Obveznosti poročanja
1. Incident se šteje za pomembnega, če:
| (a) | je zadevnemu subjektu Unije povzročil ali bi mu lahko povzročil znatne operativne motnje pri delovanju ali finančno izgubo; |
| (b) | je vplival ali bi lahko vplival na druge fizične ali pravne osebe s povzročitvijo precejšnje premoženjske ali nepremoženjske škode. |
2. Subjekti Unije CERT-EU predložijo:
| (a) | brez nepotrebnega odlašanja, v vsakem primeru pa v 24 urah po tem, ko izvejo za pomembni incident, zgodnje opozorilo, iz katerega je po možnosti razvidno, da je bil pomemben incident domnevno povzročen z nezakonitim ali zlonamernim dejanjem ali da bi lahko imel vpliv na druge subjekte ali čezmejni vpliv; |
| (b) | brez nepotrebnega odlašanja, v vsakem primeru pa v 72 urah po tem, ko izvejo za pomembni incident, priglasitev incidenta, s katero se po potrebi posodobijo informacije iz točke (a) in navede začetna ocena pomembnega incidenta, vključno z njegovo resnostjo in vplivom ter kazalniki ogroženosti, kadar so ti na voljo; |
| (c) | na zahtevo organa CERT-EU vmesno poročilo o ustreznih posodobitvah stanja; |
| (d) | končno poročilo, najpozneje v enem mesecu po predložitvi priglasitve incidenta na podlagi točke (b), ki vključuje:
|
| (e) | v primeru incidenta, ki je ob predložitvi končnega poročila iz točke (d) še vedno v teku, poročilo o napredku, končno poročilo pa najpozneje en mesec po razrešitvi incidenta. |
3. Subjekt Unije brez nepotrebnega odlašanja, v vsakem primeru pa v 24 urah po tem, ko izve za pomembni incident, obvesti vse ustrezne sorodne organe držav članic iz člena 17(1) v državi članici, v kateri se nahaja, da se je zgodil pomemben incident.
4. Subjekti Unije med drugim priglasijo vse informacije, na podlagi katerih lahko CERT-EU ugotovi morebitni učinek na druge subjekte, učinek na državo članico gostiteljico ali čezmejni učinek pomembnega incidenta. Brez poseganja v člen 12 samo dejanje priglasitve ne nalaga dodatne odgovornosti subjektu, ki tako priglasitev izvede.
5. Subjekti Unije po potrebi in brez nepotrebnega odlašanja sporočijo uporabnikom prizadetih omrežnih in informacijskih sistemov ali drugih komponent okolja IKT, na katere lahko vpliva pomemben incident ali pomembna kibernetska grožnja in ki morajo, kadar je to ustrezno, sprejeti blažilne ukrepe, o vseh ukrepih ali pravnih sredstvih, ki jih lahko sprejmejo v odziv na incident ali grožnjo. Kadar je primerno, subjekti Unije obvestijo te uporabnike o pomembni kibernetski grožnji kot taki.
6. Kadar pomemben incident ali pomembna kibernetska grožnja prizadene omrežni in informacijski sistem ali komponento okolja IKT subjekta Unije, ki je načrtno povezana z okoljem IKT drugega subjekta Unije, CERT-EU izda ustrezno kibernetskovarnostno opozorilo.
7. Subjekti Unije na zahtevo CERT-EU brez nepotrebnega odlašanja posredujejo CERT-EU digitalne informacije, ustvarjene z uporabo elektronskih naprav, ki so vpete v zadevne incidente. CERT-EU lahko dodatno pojasni vrste informacij, ki jih potrebuje za situacijsko zavedanje in odzivanje na incidente.
8. CERT-EU predloži IICB, ENISA, EU INTCEN in mreži skupin CSIRT vsake tri mesece zbirno poročilo, vključno z anonimiziranimi in zbirnimi podatki o pomembnih incidentih, incidentih, kibernetskih grožnjah, skorajšnjih incidentih in ranljivostih na podlagi člena 20 ter pomembnih incidentih, priglašenih na podlagi odstavka 2 tega člena. Zbirno poročilo je prispevek k dveletnemu poročilu o stanju kibernetske varnosti v Uniji, ki se sprejme na podlagi člena 18 Direktive (EU) 2022/2555.
9. IICB do 8. julija 2024 izda smernice ali priporočila, v katerih podrobneje opredeli ureditve za poročanje ter obliko in vsebino poročanja na podlagi tega člena. IICB pri pripravi takih smernic ali priporočil upošteva vse izvedbene akte, sprejete na podlagi člena 23(11) Direktive (EU) 2022/2555, v katerih so določeni vrsta informacij, oblika in postopek priglasitve. CERT-EU razširja ustrezne tehnične podrobnosti, da se subjektom Unije omogočijo proaktivno odkrivanje, odzivanje na incidente ali blažilni ukrepi.
10. Obveznosti poročanja iz tega člena ne veljajo za:
| (a) | tajne podatke EU; |
| (b) | informacije, katerih nadaljnja distribucija je bila izključena z vidno oznako, razen če je bila njihova izmenjava s CERT-EU izrecno dovoljena. |
Člen 26
Začetek veljavnosti
Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.
Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.
V Strasbourgu, 13. decembra 2023
Za Evropski parlament
predsednica
R. METSOLA
Za Svet
predsednik
P. NAVARRO RÍOS
(1) Stališče Evropskega parlamenta z dne 21. novembra 2023 (še ni objavljeno v Uradnem listu) in odločitev Sveta z dne 8. decembra 2023.
(2) Direktiva (EU) 2022/2555 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o ukrepih za visoko skupno raven kibernetske varnosti v Uniji, spremembi Uredbe (EU) št. 910/2014 in Direktive (EU) 2018/1972 ter razveljavitvi Direktive (EU) 2016/1148 (direktiva NIS 2) (UL L 333, 27.12.2022, str. 80).
(3) Uredba (EU) 2019/881 Evropskega parlamenta in Sveta z dne 17. aprila 2019 o Agenciji Evropske unije za kibernetsko varnost (ENISA) in o certificiranju informacijske in komunikacijske tehnologije na področju kibernetske varnosti ter razveljavitvi Uredbe (EU) št. 526/2013 (Akt o kibernetski varnosti) (UL L 151, 7.6.2019, str. 15).
(4) Dogovor med Evropskim parlamentom, Evropskim svetom, Svetom Evropske unije, Evropsko komisijo, Sodiščem Evropske unije, Evropsko centralno banko, Evropskim računskim sodiščem, Evropsko službo za zunanje delovanje, Evropskim ekonomsko-socialnim odborom, Evropskim odborom regij in Evropsko investicijsko banko o organizaciji in delovanju skupine za odzivanje na računalniške grožnje za institucije, organe in agencije Unije (CERT-EU) (UL C 12, 13.1.2018, str. 1).
(5) Uredba Sveta (EGS, Euratom, ESPJ) št. 259/68 z dne 29. februarja 1968 o kadrovskih predpisih za uradnike in pogojih za zaposlitev drugih uslužbencev Evropskih skupnosti in o posebnih ukrepih, ki se začasno uporabljajo za uradnike Komisije (UL L 56, 4.3.1968, str. 1).
(6) Priporočilo Komisije (EU) 2017/1584 z dne 13. septembra 2017 o usklajenem odzivu na velike kibernetske incidente in krize (UL L 239, 19.9.2017, str. 36).
(7) Uredba (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (UL L 295, 21.11.2018, str. 39).
(8) UL C 258, 5.7.2022, str. 10.
(9) Uredba (EU, Euratom) 2018/1046 Evropskega parlamenta in Sveta z dne 18. julija 2018 o finančnih pravilih, ki se uporabljajo za splošni proračun Unije, spremembi uredb (EU) št. 1296/2013, (EU) št. 1301/2013, (EU) št. 1303/2013, (EU) št. 1304/2013, (EU) št. 1309/2013, (EU) št. 1316/2013, (EU) št. 223/2014, (EU) št. 283/2014 in Sklepa št. 541/2014/EU ter razveljavitvi Uredbe (EU, Euratom) št. 966/2012 (UL L 193, 30.7.2018, str. 1).
(10) Uredba Evropskega parlamenta in Sveta (ES) št. 1049/2001 z dne 30. maja 2001 o dostopu javnosti do dokumentov Evropskega parlamenta, Sveta in Komisije (UL L 145, 31.5.2001, str. 43).
ELI: http://data.europa.eu/eli/reg/2023/2841/oj
ISSN 1977-0804 (electronic edition)