keyboard_tab Cyber Resilience Act 2023/2841 SL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Člen 11 Naloge IICB
- 2 Člen 13 Poslanstvo in naloge CERT-EU
- 4 Člen 15 Vodja CERT-EU
POGLAVJE I
SPLOŠNE DOLOČBE
POGLAVJE II
UKREPI ZA VISOKO SKUPNO RAVEN KIBERNETSKE VARNOSTI
POGLAVJE III
MEDINSTITUCIONALNI ODBOR ZA KIBERNETSKO VARNOST
POGLAVJE IV
CERT-EU
POGLAVJE V
OBVEZNOSTI SODELOVANJA IN POROČANJA
POGLAVJE VI
KONČNE DOLOČBE
- cert-eu 40
- unije 38
- podlagi 19
- storitev 17
- iicb 13
- subjektov 12
- cert-eu 11
- varnosti 10
- kibernetske 10
- vključno 10
- lahko 9
- varnost 9
- odobri 9
- v zvezi 8
- kibernetsko 8
- člena 8
- uredbe 8
- storitve 7
- predloga 7
- informacij 6
- informacije 6
- poročila 6
- o ravni 6
- obvladovanje 6
- v skladu 6
- pripravi 6
- ravni 6
- incidentov 6
- subjektom 5
- eu / 5
- subjekte 5
- vodje 5
- izvajanje 5
- vodja 5
- subjekti 5
- podpira 4
- prispeva 4
- sporazumov 4
- sodelovanju 4
- zagotavlja 4
- vodja 4
- potrebi 4
- s subjekti 4
- področju 4
- čemer 4
- naloge 4
- spremlja 4
- sodeluje 4
- s členom 3
- imenuje 3
Člen 11
Naloge IICB
IICB pri izvrševanju svojih dolžnosti zlasti:
| (a) | zagotavlja usmeritve vodji CERT-EU; |
| (b) | učinkovito spremlja in nadzoruje izvajanje te uredbe ter subjekte Unije podpira pri izboljševanju njihove kibernetske varnosti, po potrebi tudi tako, da od subjektov Unije in CERT-EU zahteva ad hoc poročila; |
| (c) | po strateški razpravi sprejme večletno strategijo za dvig ravni kibernetske varnosti v subjektih Unije, to strategijo redno ocenjuje, in v vsakem primeru vsakih pet let, ter jo po potrebi spremeni; |
| (d) | pripravi metodologijo in organizacijske vidike za izvajanje prostovoljnih medsebojnih strokovnih pregledov s strani subjektov Unije, da bi se učili iz skupnih izkušenj, okrepili medsebojno zaupanje, dosegli visoko skupno raven kibernetske varnosti ter okrepili zmogljivosti subjektov Unije na področju kibernetske varnosti, pri čemer te medsebojne strokovne preglede izvajajo strokovnjaki za kibernetsko varnost, ki jih imenuje subjekt Unije, ki ni subjekt Unije, ki se pregleduje, metodologija pa temelji na členu 19 Direktive (EU) 2022/2555 in je po potrebi prilagojena subjektom Unije; |
| (e) | na podlagi predloga vodje CERT-EU odobri letni delovni program CERT-EU in spremlja njegovo izvajanje; |
| (f) | na podlagi predloga vodje CERT-EU odobri katalog storitev CERT-EU in vse posodobitve tega kataloga; |
| (g) | na podlagi predloga vodje CERT-EU odobri letno finančno načrtovanje prihodkov in izdatkov, vključno z osebjem, za dejavnosti CERT-EU; |
| (h) | na podlagi predloga vodje CERT-EU odobri ureditve izvajanja sporazumov o ravni storitev; |
| (i) | preuči in odobri letno poročilo, ki ga pripravi vodja CERT-EU in ki zajema dejavnosti in upravljanje sredstev CERT-EU; |
| (j) | odobri in spremlja ključne kazalnike uspešnosti za CERT-EU, določene na podlagi predloga vodje CERT-EU; |
| (k) | odobri dogovore o sodelovanju ter sporazume ali pogodbe o ravni storitev med CERT-EU in drugimi subjekti na podlagi člena 18; |
| (l) | sprejme smernice in priporočila na podlagi predloga CERT-EU v skladu s členom 14 ter CERT-EU naroči izdajo, umik ali spremembo predloga smernic ali priporočil ali poziva k ukrepanju; |
| (m) | vzpostavi tehnične svetovalne skupine s posebnimi nalogami za pomoč IICB pri njegovem delu, odobri njihove mandate in imenuje njihove predsednike; |
| (n) | prejema in ocenjuje dokumente in poročila, ki jih na podlagi te uredbe predložijo subjekti Unije, kot so ocene kibernetskovarnostne zrelosti; |
| (o) | podpira ustanovitev neformalne skupine lokalnih uradnikov za kibernetsko varnost subjektov Unije ob podpori ENISA, da bi olajšali izmenjavo dobrih praks in informacij v zvezi z izvajanjem te uredbe; |
| (p) | ob upoštevanju informacij o ugotovljenih tveganjih za kibernetsko varnost in pridobljenih izkušnjah, ki jih posreduje CERT-EU, spremlja ustreznost ureditev medsebojne povezljivosti med okolji IKT subjektov Unije ter svetuje o možnih izboljšavah; |
| (q) | pripravi načrt za obvladovanje kibernetskih kriz, da se na operativni ravni podpre usklajeno obvladovanje večjih incidentov, ki vplivajo na subjekte Unije, in prispeva k redni izmenjavi ustreznih informacij, zlasti o vplivu in resnosti večjih incidentov ter možnih načinih za blažitev njihovih posledic; |
| (r) | usklajuje sprejemanje načrtov za obvladovanje kibernetskih kriz iz člena 9(2) za posamezne subjekte Unije; |
| (s) | sprejme priporočila o varnosti dobavne verige iz člena 8(2), prvi pododstavek, točka (m), pri čemer upošteva rezultate usklajenih ocen varnostnih tveganj na ravni Unije za kritične dobavne verige iz člena 22 Direktive (EU) 2022/2555 v podporo subjektom Unije pri sprejemanju učinkovitih in sorazmernih ukrepov za obvladovanje tveganj za kibernetsko varnost. |
Člen 13
Poslanstvo in naloge CERT-EU
1. Poslanstvo CERT-EU je prispevati k varnosti netajnega okolja IKT subjektov Unije, tako da jim svetuje glede kibernetske varnosti, jim pomaga preprečiti, odkriti, obvladovati in ublažiti incidente ter se odzivati nanje in okrevati po njih, deluje pa tudi kot njihovo vozlišče za izmenjavo informacij o kibernetski varnosti in za usklajevanje odzivanja na incidente.
2. CERT-EU zbira, upravlja, analizira in izmenjuje informacije s subjekti Unije o kibernetskih grožnjah, ranljivostih ter incidentih na netajni infrastrukturi IKT. Usklajuje odzive na incidente na medinstitucionalni ravni in na ravni subjektov Unije, vključno z zagotavljanjem ali usklajevanjem zagotavljanja specializirane operativne pomoči.
3. CERT-EU za pomoč subjektom Unije izvaja naslednje naloge:
| (a) | podpira jih pri izvajanju te uredbe in prispeva k usklajevanju izvajanja te uredbe z ukrepi iz člena 14(1) ali ad hoc poročili, ki jih zahteva IICB; |
| (b) | ponuja standardne storitve skupine CSIRT subjektom Unije s svežnjem storitev za kibernetsko varnost, opisanih v katalogu storitev (osnovne storitve); |
| (c) | vzdržuje mrežo podobnih institucij, organov in agencij ter partnerjev za podporo storitev, kot so navedene v členih 17 in 18; |
| (d) | IICB opozori na vse težave, ki se nanašajo na izvajanje te uredbe ter izvajanje smernic, priporočil in pozivov k ukrepanju; |
| (e) | na podlagi informacij iz odstavka 2 in v tesnem sodelovanju z ENISA prispeva k situacijskem zavedanju na področju kibernetske varnosti v Uniji; |
| (f) | usklajuje obvladovanje večjih incidentov; |
| (g) | deluje na strani subjektov Unije kot enakovreden koordinatorju, imenovanemu za usklajeno razkrivanje ranljivosti na podlagi člena 12(1) Direktive (EU) 2022/2555; |
| (h) | na zahtevo subjekta Unije zagotovi proaktivno neinvazivno pregledovanje javno dostopnih omrežnih in informacijskih sistemov tega subjekta Unije. |
Informacije iz prvega pododstavka, točka (e), se po potrebi in kadar je to ustrezno ter ob upoštevanju ustreznih pogojev zaupnosti izmenjujejo z IICB, mrežo skupin CSIRT ter Obveščevalnim in situacijskim centrom Evropske unije (EU INTCEN).
4. CERT-EU lahko v skladu s členom 17 ali 18, kot je ustrezno, sodeluje z ustreznimi skupnostmi za kibernetsko varnost v Uniji in njenih državah članicah, vključno na naslednjih področjih:
| (a) | pripravljenost, obvladovanje incidentov, izmenjava informacij in odzivanje na krize na tehnični ravni v zvezi s primeri, povezanimi s subjekti Unije; |
| (b) | operativno sodelovanje v zvezi z mrežo skupin CSIRT, vključno z vzajemno pomočjo; |
| (c) | obveščevalni podatki o kibernetskih grožnjah, vključno s situacijskim zavedanjem; |
| (d) | vsaka tema, ki zahteva tehnično strokovno znanje CERT-EU na področju kibernetske varnosti. |
5. CERT-EU v okviru svoje pristojnosti strukturirano sodeluje z ENISA pri krepitvi zmogljivosti, operativnem sodelovanju in dolgoročnih strateških analizah kibernetskih groženj v skladu z Uredbo (EU) 2019/881. CERT-EU lahko sodeluje in izmenjuje informacije z Europolovim Evropskim centrom za boj proti kibernetski kriminaliteti.
6. CERT-EU lahko zagotavlja naslednje storitve, ki niso opisane v njegovem katalogu storitev (storitve, ki se zaračunajo):
| (a) | storitve, ki podpirajo kibernetsko varnost okolja IKT subjektov Unije, razen storitev iz odstavka 3, in sicer na podlagi sporazumov o ravni storitev in glede na razpoložljive vire, zlasti spremljanje mreže širokega spektra, vključno s primarnim spremljanjem 24 ur na dan sedem dni v tednu za zelo resne kibernetske grožnje; |
| (b) | storitve, ki podpirajo operacije ali projekte subjektov Unije za kibernetsko varnost, razen tistih za zaščito njihovih okolij IKT, in sicer na podlagi pisnih sporazumov in s predhodno odobritvijo IICB; |
| (c) | na zahtevo proaktivno pregledovanje omrežnih in informacijskih sistemov zadevnega subjekta Unije, da se odkrijejo ranljivosti, ki bi lahko imele pomemben vpliv; |
| (d) | storitve, ki podpirajo varnost okolja IKT organizacij, ki niso subjekti Unije, ki tesno sodelujejo s subjekti Unije, ker so jim na primer bile dodeljene naloge ali odgovornosti na podlagi prava Unije, na podlagi pisnih sporazumov in s predhodno odobritvijo IICB. |
V zvezi s prvim pododstavkom, točka (d), lahko CERT-EU s predhodno odobritvijo IICB izjemoma sklene sporazume o ravni storitev s subjekti, ki niso subjekti Unije.
7. CERT-EU organizira vaje na področju kibernetske varnosti in lahko v njih sodeluje ali priporoča udeležbo na obstoječih vajah, v tesnem sodelovanju z agencijo ENISA, kadar je to primerno, da preizkusi raven kibernetske varnosti subjektov Unije.
8. CERT-EU lahko subjektom Unije zagotovi pomoč v zvezi z incidenti v omrežnih in informacijskih sistemih, v katerih se obravnavajo tajni podatki EU, kadar zadevni subjekti Unije to izrecno zahtevajo v skladu s svojimi postopki. Zagotavljanje pomoči s strani CERT-EU na podlagi tega odstavka ne posega v veljavna pravila v zvezi z varstvom tajnih podatkov.
9. CERT-EU obvesti subjekte Unije o svojih postopkih in procesih obvladovanja incidentov.
10. CERT-EU z visoko stopnjo zaupnosti in zanesljivosti prek ustreznih mehanizmov sodelovanja in linij poročanja prispeva ustrezne in anonimizirane informacije o večjih incidentih in načinu, kako se jih je obravnavalo. Te informacije se vključijo v poročilo iz člena 10(14).
11. CERT-EU v sodelovanju z ENVP podpira zadevne subjekte Unije pri obravnavanju incidentov, katerih posledica je kršitev varstva osebnih podatkov, pri čemer se ne posega v pristojnosti in naloge ENVP kot nadzornega organa na podlagi Uredbe (EU) 2018/1725.
12. CERT-EU lahko, če to izrecno zahtevajo službe subjektov Unije, ki skrbijo za vprašanja politike, zagotavlja tehnične nasvete ali prispevek o ustreznih zadevah politike.
Člen 15
Vodja CERT-EU
1. Komisija na podlagi odobritve dveh tretjin članov IICB imenuje vodjo CERT-EU. Posvetovanje z IICB se izvede v vseh fazah postopka imenovanja, zlasti pri pripravi razpisov za prosto delovno mesto, pregledovanju prijav in imenovanju izbirnih komisij v zvezi z delovnim mestom. Izbirni postopek, vključno s končnim ožjim izborom kandidatov, iz katerega bo imenovan vodja CERT-EU, zagotavlja pravično zastopanost spolov, pri čemer se upoštevajo vložene prijave.
2. Vodja CERT-EU je odgovoren za pravilno delovanje CERT-EU ter deluje v okviru svoje vloge in pod vodstvom IICB. Vodja CERT-EU redno poroča predsedniku IICB in mu na njegovo zahtevo predloži ad hoc poročila.
3. Vodja CERT-EU pomaga odgovornemu odredbodajalcu na podlagi prenosa pooblastil pri pripravi letnega poročila o dejavnostih, ki vsebuje finančne in upravljavske informacije, vključno z rezultati kontrol, pripravljenega v skladu s členom 74(9) Uredbe (EU, Euratom) 2018/1046 Evropskega parlamenta in Sveta (9), ter redno poroča odredbodajalcu na podlagi prenosa pooblastil o izvajanju ukrepov, v zvezi s katerimi so bila pooblastila nadaljnje prenesena na vodjo CERT-EU.
4. Vodja CERT-EU vsako leto pripravi finančno načrtovanje upravnih prihodkov in odhodkov za svoje dejavnosti, predlagan letni delovni program, predlagan katalog storitev za CERT-EU, predlagane revizije kataloga storitev, predlagane ureditve za sporazume o ravni storitev in predlagane ključne kazalnike uspešnosti za CERT-EU, ki jih odobri IICB v skladu s členom 11. Pri reviziji seznama storitev v katalogu storitev CERT-EU vodja CERT-EU upošteva vire, dodeljene CERT-EU.
5. Vodja CERT-EU predloži IICB in njegovemu predsedniku najmanj enkrat letno poročila o dejavnostih in uspešnosti CERT-EU v referenčnem obdobju, med drugim o izvrševanju proračuna, sporazumih o ravni storitev in sklenjenih pisnih sporazumih, sodelovanju s sorodnimi organi in partnerji ter misijah osebja, vključno s poročili iz člena 11. Ta poročila vključujejo delovni program za naslednje obdobje, finančno načrtovanje prihodkov in odhodkov, vključno z osebjem, načrtovane posodobitve kataloga storitev CERT-EU in oceno pričakovanega učinka, ki bi ga take posodobitve lahko imele na finančne in človeške vire.
whereas