keyboard_tab Cyber Resilience Act 2023/2841 SL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Člen 11 Naloge IICB
- 1 Člen 14 Smernice, priporočila in pozivi k ukrepanju
- 1 Člen 17 Sodelovanje CERT-EU s sorodnimi organi iz držav članic
- 1 Člen 18 Sodelovanje CERT-EU z drugimi sorodnimi organi
- 1 Člen 20 Dogovori o izmenjavi informacij o kibernetski varnosti
- 1 Člen 22 Usklajevanje odzivanja na incidente in sodelovanje
- 1 Člen 23 Obvladovanje večjih incidentov
POGLAVJE I
SPLOŠNE DOLOČBE
POGLAVJE II
UKREPI ZA VISOKO SKUPNO RAVEN KIBERNETSKE VARNOSTI
POGLAVJE III
MEDINSTITUCIONALNI ODBOR ZA KIBERNETSKO VARNOST
POGLAVJE IV
CERT-EU
POGLAVJE V
OBVEZNOSTI SODELOVANJA IN POROČANJA
POGLAVJE VI
KONČNE DOLOČBE
- unije 59
- cert-eu 43
- podlagi 20
- informacij 18
- člena 16
- subjektov 14
- iicb 13
- varnosti 13
- obvladovanje 13
- kibernetske 12
- cert-eu 12
- informacije 12
- v zvezi 12
- subjekt 11
- incidentov 11
- lahko 11
- organi 10
- subjekti 9
- odobri 9
- predloga 9
- brez 9
- večjih 9
- kibernetskih 9
- potrebi 8
- kibernetsko 8
- varnost 8
- subjekte 8
- direktive 8
- incident 7
- obvesti 7
- sodelovanje 7
- incidente 7
- eu / 7
- priporočila 7
- kriz 7
- vključno 7
- kadar 6
- ravni 6
- incidenti 6
- odlašanja 6
- subjekta 5
- Člen 5
- s sorodnimi 5
- vodje 5
- ureditve 5
- smernice 5
- izmenjuje 5
- k ukrepanju 5
- soglasje 5
- nepotrebnega 5
Člen 11
Naloge IICB
IICB pri izvrševanju svojih dolžnosti zlasti:
| (a) | zagotavlja usmeritve vodji CERT-EU; |
| (b) | učinkovito spremlja in nadzoruje izvajanje te uredbe ter subjekte Unije podpira pri izboljševanju njihove kibernetske varnosti, po potrebi tudi tako, da od subjektov Unije in CERT-EU zahteva ad hoc poročila; |
| (c) | po strateški razpravi sprejme večletno strategijo za dvig ravni kibernetske varnosti v subjektih Unije, to strategijo redno ocenjuje, in v vsakem primeru vsakih pet let, ter jo po potrebi spremeni; |
| (d) | pripravi metodologijo in organizacijske vidike za izvajanje prostovoljnih medsebojnih strokovnih pregledov s strani subjektov Unije, da bi se učili iz skupnih izkušenj, okrepili medsebojno zaupanje, dosegli visoko skupno raven kibernetske varnosti ter okrepili zmogljivosti subjektov Unije na področju kibernetske varnosti, pri čemer te medsebojne strokovne preglede izvajajo strokovnjaki za kibernetsko varnost, ki jih imenuje subjekt Unije, ki ni subjekt Unije, ki se pregleduje, metodologija pa temelji na členu 19 Direktive (EU) 2022/2555 in je po potrebi prilagojena subjektom Unije; |
| (e) | na podlagi predloga vodje CERT-EU odobri letni delovni program CERT-EU in spremlja njegovo izvajanje; |
| (f) | na podlagi predloga vodje CERT-EU odobri katalog storitev CERT-EU in vse posodobitve tega kataloga; |
| (g) | na podlagi predloga vodje CERT-EU odobri letno finančno načrtovanje prihodkov in izdatkov, vključno z osebjem, za dejavnosti CERT-EU; |
| (h) | na podlagi predloga vodje CERT-EU odobri ureditve izvajanja sporazumov o ravni storitev; |
| (i) | preuči in odobri letno poročilo, ki ga pripravi vodja CERT-EU in ki zajema dejavnosti in upravljanje sredstev CERT-EU; |
| (j) | odobri in spremlja ključne kazalnike uspešnosti za CERT-EU, določene na podlagi predloga vodje CERT-EU; |
| (k) | odobri dogovore o sodelovanju ter sporazume ali pogodbe o ravni storitev med CERT-EU in drugimi subjekti na podlagi člena 18; |
| (l) | sprejme smernice in priporočila na podlagi predloga CERT-EU v skladu s členom 14 ter CERT-EU naroči izdajo, umik ali spremembo predloga smernic ali priporočil ali poziva k ukrepanju; |
| (m) | vzpostavi tehnične svetovalne skupine s posebnimi nalogami za pomoč IICB pri njegovem delu, odobri njihove mandate in imenuje njihove predsednike; |
| (n) | prejema in ocenjuje dokumente in poročila, ki jih na podlagi te uredbe predložijo subjekti Unije, kot so ocene kibernetskovarnostne zrelosti; |
| (o) | podpira ustanovitev neformalne skupine lokalnih uradnikov za kibernetsko varnost subjektov Unije ob podpori ENISA, da bi olajšali izmenjavo dobrih praks in informacij v zvezi z izvajanjem te uredbe; |
| (p) | ob upoštevanju informacij o ugotovljenih tveganjih za kibernetsko varnost in pridobljenih izkušnjah, ki jih posreduje CERT-EU, spremlja ustreznost ureditev medsebojne povezljivosti med okolji IKT subjektov Unije ter svetuje o možnih izboljšavah; |
| (q) | pripravi načrt za obvladovanje kibernetskih kriz, da se na operativni ravni podpre usklajeno obvladovanje večjih incidentov, ki vplivajo na subjekte Unije, in prispeva k redni izmenjavi ustreznih informacij, zlasti o vplivu in resnosti večjih incidentov ter možnih načinih za blažitev njihovih posledic; |
| (r) | usklajuje sprejemanje načrtov za obvladovanje kibernetskih kriz iz člena 9(2) za posamezne subjekte Unije; |
| (s) | sprejme priporočila o varnosti dobavne verige iz člena 8(2), prvi pododstavek, točka (m), pri čemer upošteva rezultate usklajenih ocen varnostnih tveganj na ravni Unije za kritične dobavne verige iz člena 22 Direktive (EU) 2022/2555 v podporo subjektom Unije pri sprejemanju učinkovitih in sorazmernih ukrepov za obvladovanje tveganj za kibernetsko varnost. |
Člen 14
Smernice, priporočila in pozivi k ukrepanju
1. CERT-EU podpira izvajanje te uredbe z izdajo:
| (a) | pozivov k ukrepanju, ki opisujejo nujne varnostne ukrepe, ki naj bi jih subjekti Unije nujno sprejeli v določenem časovnem obdobju; |
| (b) | predlogov za IICB za smernice, naslovljene na vse ali podskupino subjektov Unije; |
| (c) | predlogov za IICB za priporočila, naslovljena na posamezne subjekte Unije. |
V zvezi s prvim pododstavkom, točka (a), zadevni subjekt Unije po prejemu poziva k ukrepanju brez nepotrebnega odlašanja obvesti CERT-EU o tem, kako so se nujni varnostni ukrepi izvajali.
2. Smernice in priporočila lahko vključujejo:
| (a) | skupne metodologije in model za oceno kibernetskovarnostne zrelosti subjektov Unije, vključno z ustreznimi lestvicami ali ključnimi kazalniki uspešnosti, ki služijo kot referenca v podporo stalnemu izboljševanju kibernetske varnosti v vseh subjektih Unije ter olajšujejo prednostno razvrščanje področij in ukrepov na področju kibernetske varnosti ob upoštevanju odnosa subjektov do kibernetske varnosti; |
| (b) | ureditve obvladovanja tveganj za kibernetsko varnost ali njegove izboljšave in ukrepe za obvladovanje tveganj za kibernetsko varnost; |
| (c) | ureditve ocen kibernetskovarnostne zrelosti in načrtov za kibernetsko varnost; |
| (d) | kadar je primerno, uporabo skupne tehnologije, arhitekture, odprtokodnih in povezanih dobrih praks s ciljem doseganja interoperabilnosti in skupnih standardov, vključno z usklajenim pristopom k varnosti dobavne verige; |
| (e) | po potrebi informacije za lažjo uporabo instrumentov za skupna javna naročila za nakup ustreznih storitev in izdelkov na področju kibernetske varnosti od tretjih dobaviteljev; |
| (f) | dogovori o izmenjavi informacij na podlagi člena 20. |
Člen 17
Sodelovanje CERT-EU s sorodnimi organi iz držav članic
1. CERT-EU brez nepotrebnega odlašanja sodeluje in si izmenjuje informacije s sorodnimi organi iz držav članic, zlasti skupinami CSIRT, imenovanimi ali ustanovljenimi na podlagi člena 10 Direktive (EU) 2022/2555, ali, kadar je ustrezno, pristojnimi organi in enotnimi kontaktnimi točkami, imenovanimi ali ustanovljenimi na podlagi člena 8 navedene direktive, v zvezi z incidenti, kibernetskimi grožnjami, ranljivostmi, skorajšnjimi incidenti, možnimi protiukrepi in dobrimi praksami ter vsemi zadevami, pomembnimi za izboljšanje zaščite okolij IKT subjektov Unije, vključno prek mreže skupin CSIRT, vzpostavljene na podlagi člena 15 Direktive (EU) 2022/2555. CERT-EU podpira Komisijo v mreži EU-CyCLONe, ustanovljeni na podlagi člena 16 Direktive (EU) 2022/2555 za usklajeno obvladovanje kibernetskih incidentov velikih razsežnosti in kriz.
2. Kadar CERT-EU izve za pomembni incident na ozemlju države članice, brez odlašanja v skladu z odstavkom 1 uradno obvesti vse ustrezne sorodne organe v tej državi članici.
3. CERT-EU brez nepotrebnega odlašanja in pod pogojem, da so osebni podatki zaščiteni v skladu z veljavnim pravom Unije o varstvu podatkov, s sorodnimi organi v državah članicah izmenjuje ustrezne informacije o posameznem incidentu, da se lažje odkrivajo podobne kibernetske grožnje ali incidenti ali prispeva k analizi incidenta, brez dovoljenja prizadetega subjekta Unije. CERT-EU informacije o posameznem incidentu, ki razkrivajo identiteto tarče incidenta, izmenjuje le, če:
| (a) | prizadeti subjekt Unije da soglasje; |
| (b) | prizadeti subjekt Unije ne soglaša, kot je določeno v točki (a), vendar bi razkritje identitete prizadetega subjekta Unije povečalo verjetnost, da bi se incidentom drugje izognili ali jih ublažili; |
| (c) | je prizadeti subjekt Unije že javno objavil, da je bil prizadet. |
Odločitve o izmenjavi informacij o posameznem incidentu, ki razkrivajo identiteto tarče incidenta na podlagi prvega pododstavka, točka (b), potrdi vodja CERT-EU. CERT-EU pred izdajo take odločitve pisno stopi v stik s prizadetim subjektom Unije in jasno pojasni, kako bi razkritje njegove identitete pomagalo preprečiti ali ublažiti incidente drugje. Vodja CERT-EU zagotovi pojasnilo in od subjekta Unije izrecno zahteva, da v določenem roku navede, ali soglaša. Vodja CERT-EU subjekt Unije tudi obvesti, da si glede na predloženo pojasnilo pridržuje pravico do razkritja informacij, tudi če soglasje ni bilo predloženo. Prizadeti subjekt Unije se obvesti pred razkritjem informacij.
Člen 18
Sodelovanje CERT-EU z drugimi sorodnimi organi
1. CERT-EU lahko sodeluje s sorodnimi organi v Uniji, razen tistih iz člena 17, za katere veljajo zahteve Unije glede kibernetske varnosti, vključno s sorodnimi organi iz posameznih industrijskih sektorjev, v zvezi z orodji in metodami, kot so tehnike, taktike, postopki in dobre prakse, ter v zvezi s kibernetskimi grožnjami in ranljivostmi. Za vsako sodelovanje s takimi sorodnimi organi CERT-EU pridobi predhodno soglasje IICB za vsak primer posebej. Kadar CERT-EU vzpostavi sodelovanje s takimi sorodnimi organi, obvesti vse ustrezne sorodne organe držav članic iz člena 17(1) v državi članici, v kateri ima sorodni organ sedež. Tako sodelovanje in pogoji zanj, tudi v zvezi s kibernetsko varnostjo, varstvom podatkov in ravnanjem z informacijami, se po potrebi in, kadar je to ustrezno, določijo v posebnih dogovorih o zaupnosti, kot so pogodbe ali upravne ureditve. Za dogovore o zaupnosti ni potrebna predhodna odobritev IICB, vendar se o njih obvesti predsednika IICB. CERT-EU lahko v primeru nujne in neizbežne potrebe po izmenjavi informacij o kibernetski varnosti v interesu subjektov Unije ali druge strani izmenjuje informacije s subjektom, katerega posebna usposobljenost, zmogljivost in strokovno znanje so upravičeno potrebni za pomoč pri taki nujni in takojšnji potrebi, tudi če CERT-EU s tem subjektom nima sklenjenega dogovora o zaupnosti. V takih primerih CERT-EU nemudoma obvesti predsednika IICB in z rednimi poročili ali sestanki poroča IICB.
2. CERT-EU lahko za zbiranje informacij o splošnih in specifičnih kibernetskih grožnjah, skorajšnjih incidentih, ranljivostih in možnih protiukrepih sodeluje s partnerji, kot so komercialni subjekti, vključno s subjekti iz posameznih industrijskih sektorjev, mednarodne organizacije, nacionalni subjekti, ki ne prihajajo iz Unije, ali posamezni strokovnjaki. Za širše sodelovanje s takimi partnerji CERT-EU pridobi predhodno soglasje IICB za vsak primer posebej.
3. CERT-EU lahko s soglasjem subjekta Unije, ki ga je incident prizadel, in pod pogojem, da ima z zadevnim sorodnim organom ali partnerjem sklenjen dogovor ali pogodbo o nerazkritju, sorodnim organom ali partnerjem iz odstavkov 1 in 2 zagotovi informacije, povezane s posameznim incidentom, izključno za namene prispevanja k njegovi analizi.
POGLAVJE V
OBVEZNOSTI SODELOVANJA IN POROČANJA
Člen 20
Dogovori o izmenjavi informacij o kibernetski varnosti
1. Subjekti Unije lahko CERT-EU prostovoljno priglasijo incidente, kibernetske grožnje, skorajšnje incidente in ranljivosti, ki vplivajo nanje, ter mu zagotovijo informacije o njih. CERT-EU poskrbi, da so na voljo učinkovita komunikacijska sredstva, in sicer z visoko ravnjo sledljivosti, zaupnosti in zanesljivosti, da se olajša izmenjava informacij s subjekti Unije. Pri obdelavi priglasitev lahko CERT-EU da prednost obdelavi obveznih priglasitev pred prostovoljnimi. Brez poseganja v člen 12 se zaradi prostovoljne priglasitve poročajočemu subjektu Unije ne nalagajo dodatne obveznosti, ki zanj ne bi veljale, če priglasitve ne bi opravil.
2. Da bi CERT-EU lahko izvajal svoje poslanstvo in naloge, podeljene na podlagi člena 13, lahko CERT-EU od subjektov Unije zahteva predložitev informacij iz njihovih zbirk sistemov ICT, kar vključuje informacije v zvezi s kibernetskimi grožnjami, skorajšnjimi incidenti, ranljivostmi, kazalniki ogroženosti, kibernetskovarnostnimi opozorili in priporočili glede konfiguracije kibernetskovarnostnih orodij za odkrivanje incidentov. Subjekt Unije brez nepotrebnega odlašanja posreduje zahtevane informacije in vse njihove naknadne posodobitve.
3. CERT-EU si lahko informacije o posameznem incidentu, ki razkrivajo identiteto subjekta Unije, ki ga je prizadel incident, izmenjuje s subjekti Unije, če prizadeti subjekt Unije s tem soglaša. Kadar subjekt Unije odkloni soglasje, predloži CERT-EU razloge, ki utemeljujejo to odločitev.
4. Subjekti Unije na zahtevo izmenjujejo informacije z Evropskim parlamentom in Svetom o dokončanju načrtov za kibernetsko varnost.
5. IICB ali CERT-EU, kot je ustrezno, posreduje smernice, priporočila in pozive k ukrepanju Evropskemu parlamentu in Svetu na njuno zahtevo.
6. Obveznosti izmenjave iz tega člena ne veljajo za:
| (a) | tajne podatke EU; |
| (b) | informacije, katerih nadaljnja distribucija je bila izključena z vidno oznako, razen če je bila njihova izmenjava s CERT-EU izrecno dovoljena. |
Člen 22
Usklajevanje odzivanja na incidente in sodelovanje
1. CERT-EU, ki deluje kot vozlišče za izmenjavo informacij o kibernetski varnosti in usklajevanje odzivanja na incidente, olajša izmenjavo informacij v zvezi z incidenti, kibernetskimi grožnjami, ranljivostmi in skorajšnjimi incidenti med:
| (a) | subjekti Unije; |
| (b) | sorodnimi organi iz členov 17 in 18. |
2. CERT-EU po potrebi v tesnem sodelovanju z ENISA olajša usklajevanje med subjekti Unije v zvezi z odzivanjem na incidente, vključno s:
| (a) | prispevkom k doslednemu zunanjemu komuniciranju; |
| (b) | medsebojno podporo, kot je izmenjava informacij, pomembnih za subjekte Unije, ali zagotavljanje pomoči, po potrebi neposredno na kraju samem; |
| (c) | optimalno uporabo operativnih virov; |
| (d) | usklajevanjem z drugimi mehanizmi za odzivanje na krize na ravni Unije. |
3. CERT-EU v tesnem sodelovanju z ENISA podpira subjekte Unije v zvezi s situacijskim zavedanjem o incidentih, kibernetskih grožnjah, ranljivostih, in skorajšnjih incidentih ter pri izmenjavi najnovejših dosežkov na področju kibernetske varnosti.
4. IICB do 8. januarja 2025 na podlagi predloga CERT-EU sprejme smernice ali priporočila o usklajevanju odzivanja na incidente in sodelovanju v zvezi s pomembnimi incidenti. Kadar obstaja sum, da je incident kaznivo dejanje, CERT-EU svetuje o tem, kako incident brez nepotrebnega odlašanja prijaviti organom kazenskega pregona.
5. CERT-EU lahko na posebno zahtevo države članice in z odobritvijo zadevnih subjektov Unije povabi strokovnjake s seznama iz člena 23(4), da prispevajo k odzivu na večji incident, ki vpliva na to državo članico, ali kibernetski incident velikih razsežnosti v skladu s členom 15(3), točka (g), Direktive (EU) 2022/2555. IICB na podlagi predloga CERT-EU odobri posebna pravila o dostopu do tehničnih strokovnjakov iz subjektov Unije ter njihovem sodelovanju.
Člen 23
Obvladovanje večjih incidentov
1. IICB na podlagi člena 11, točka (q), v tesnem sodelovanju s CERT-EU in ENISA pripravi načrt za obvladovanje kibernetskih kriz na podlagi dejavnosti iz člena 22(2), da bi na operativni ravni podprl usklajeno obvladovanje večjih incidentov, ki vplivajo na subjekte Unije, in prispeval k redni izmenjavi ustreznih informacij med subjekti Unije in državami članicami. Načrt za obvladovanje kibernetskih kriz vključuje vsaj naslednje elemente:
| (a) | ureditve glede usklajevanja in prenašanja informacij med subjekti Unije za obvladovanje večjih incidentov na operativni ravni; |
| (b) | skupne standardne operativne postopke (SOP); |
| (c) | skupno taksonomijo resnosti večjih incidentov in sprožilnih točk za krize; |
| (d) | redne vaje; |
| (e) | varne komunikacijske kanale, ki jih je treba uporabljati. |
2. Predstavnik Komisije v IICB je ob upoštevanju načrta za obvladovanje kibernetskih kriz, pripravljenega na podlagi odstavka 1 tega člena, in brez poseganja v člen 16(2), prvi pododstavek, Direktive (EU) 2022/2555, kontaktna točka za izmenjavo ustreznih informacij v zvezi z večjimi incidenti z mrežo EU-CyCLONe.
3. CERT-EU usklajuje subjekte Unije pri obvladovanju večjih incidentov. Vzdržuje zbirko razpoložljivega tehničnega strokovnega znanja, ki bi bilo potrebno za odzivanje v primeru večjih incidentov, in pomaga IICB pri usklajevanju načrtov subjektov Unije za obvladovanje kibernetskih kriz v primeru večjih incidentov iz člena 9(2).
4. Subjekti Unije prispevajo v zbirko tehničnega strokovnega znanja, tako da zagotavljajo letno posodobljen seznam strokovnjakov, ki so na voljo v njihovih organizacijah, z navedbo njihovih posebnih tehničnih znanj in spretnosti.
POGLAVJE VI
KONČNE DOLOČBE
whereas