keyboard_tab Cyber Resilience Act 2023/2841 SL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Člen 5 Izvajanje ukrepov
- 5 Člen 7 Ocene kibernetskovarnostne zrelosti
- 2 Člen 9 Načrti za kibernetsko varnost
- 1 Člen 11 Naloge IICB
- 2 Člen 14 Smernice, priporočila in pozivi k ukrepanju
POGLAVJE I
SPLOŠNE DOLOČBE
POGLAVJE II
UKREPI ZA VISOKO SKUPNO RAVEN KIBERNETSKE VARNOSTI
POGLAVJE III
MEDINSTITUCIONALNI ODBOR ZA KIBERNETSKO VARNOST
POGLAVJE IV
CERT-EU
POGLAVJE V
OBVEZNOSTI SODELOVANJA IN POROČANJA
POGLAVJE VI
KONČNE DOLOČBE
- unije 32
- kibernetsko 26
- varnost 26
- podlagi 22
- cert-eu 19
- člena 15
- varnosti 11
- kibernetske 11
- kibernetskovarnostne 11
- zrelosti 11
- obvladovanje 10
- odobri 9
- tveganj 9
- subjektov 8
- predloga 7
- priporočila 6
- smernice 6
- ocene 6
- subjekte 6
- načrt 6
- iicb 5
- vodje 5
- ukrepov 5
- izvajanje 5
- ravni 4
- storitev 4
- subjekt 4
- ocen 4
- spremlja 4
- uredbe 4
- potrebi 4
- Člen 4
- k ukrepanju 4
- informacij 4
- subjekta 4
- podpira 3
- subjekti 3
- vključuje 3
- sprejme 3
- verige 3
- dobavne 3
- pripravi 3
- kriz 3
- upoštevanju 3
- kibernetskih 3
- področju 3
- ukrepe 3
- njihove 3
- izvajanja 3
- skupne 3
Člen 5
Izvajanje ukrepov
1. Medinstitucionalni odbor za kibernetsko varnost, ustanovljen na podlagi člena 10, do 8. septembra 2024 po posvetovanju z Agencijo Evropske unije za kibernetsko varnost (ENISA) in po prejetju usmeritev s strani CERT-EU izda smernice za subjekte Unije za namene izvajanja začetnega pregleda kibernetske varnosti in vzpostavitve notranjega okvira za obvladovanje tveganj, upravljanje in nadzor kibernetske varnosti na podlagi člena 6, izvajanja ocene kibernetskovarnostne zrelosti na podlagi člena 7, uvedbe ukrepov za obvladovanje tveganj za kibernetsko varnost na podlagi člena 8 in sprejetja načrta za kibernetsko varnost na podlagi člena 9.
2. Subjekti Unije pri izvajanju členov 6 do 9 upoštevajo smernice iz odstavka 1 tega člena ter ustrezne smernice in priporočila, sprejeta na podlagi členov 11 in 14.
Člen 7
Ocene kibernetskovarnostne zrelosti
1. Vsak subjekt Unije do 8. julija 2025 in nato najmanj vsaki dve leti izvede oceno kibernetskovarnostne zrelosti, ki vključuje vse elemente njegovega okolja IKT.
2. Kadar je primerno, se ocene kibernetskovarnostne zrelosti izvedejo s pomočjo specializirane tretje strani.
3. Subjekti Unije s podobno strukturo lahko sodelujejo pri izvajanju ocen kibernetskovarnostne zrelosti za svoje ustrezne subjekte.
4. Na zaprosilo Medinstitucionalnega odbora za kibernetsko varnost, ustanovljenega na podlagi člena 10, in z izrecnim soglasjem zadevnega subjekta Unije se lahko o rezultatih ocene kibernetskovarnostne zrelosti razpravlja v okviru navedenega odbora ali neformalne skupine lokalnih uradnikov za kibernetsko varnost, da bi se učili iz izkušenj ter izmenjali dobre prakse.
Člen 9
Načrti za kibernetsko varnost
1. Najvišja raven vodenja vsakega subjekta Unije na podlagi ocene kibernetskovarnostne zrelosti, opravljene na podlagi člena 7, in ob upoštevanju sredstev in tveganj za kibernetsko varnost, opredeljenih v okviru, ter ukrepov za obvladovanje tveganj za kibernetsko varnost, sprejetih na podlagi člena 8, brez nepotrebnega odlašanja in v vsakem primeru do 8. januarja 2026 odobri načrt za kibernetsko varnost. Cilj načrta za kibernetsko varnost je izboljšati splošno kibernetsko varnost subjekta Unije, s tem pa prispevati k zvišanju visoke skupne ravni kibernetske varnosti v subjektih Unije. Načrt za kibernetsko varnost vključuje najmanj ukrepe za obvladovanje tveganj za kibernetsko varnost, sprejete na podlagi člena 8. Načrt za kibernetsko varnost se pregleda vsaki dve leti ali bolj pogosto, kadar je to potrebno, in sicer na podlagi ocen kibernetskovarnostne zrelosti, izvedenih na podlagi člena 7, ali morebitnega vsebinskega pregledu okvira.
2. Načrt za kibernetsko varnost vključuje načrt subjekta Unije za obvladovanje kibernetskih kriz za večje incidente.
3. Subjekt Unije svoj dokončan načrt za kibernetsko varnost predloži Medinstitucionalnemu odboru za kibernetsko varnost, ustanovljenemu na podlagi člena 10.
POGLAVJE III
MEDINSTITUCIONALNI ODBOR ZA KIBERNETSKO VARNOST
Člen 11
Naloge IICB
IICB pri izvrševanju svojih dolžnosti zlasti:
| (a) | zagotavlja usmeritve vodji CERT-EU; |
| (b) | učinkovito spremlja in nadzoruje izvajanje te uredbe ter subjekte Unije podpira pri izboljševanju njihove kibernetske varnosti, po potrebi tudi tako, da od subjektov Unije in CERT-EU zahteva ad hoc poročila; |
| (c) | po strateški razpravi sprejme večletno strategijo za dvig ravni kibernetske varnosti v subjektih Unije, to strategijo redno ocenjuje, in v vsakem primeru vsakih pet let, ter jo po potrebi spremeni; |
| (d) | pripravi metodologijo in organizacijske vidike za izvajanje prostovoljnih medsebojnih strokovnih pregledov s strani subjektov Unije, da bi se učili iz skupnih izkušenj, okrepili medsebojno zaupanje, dosegli visoko skupno raven kibernetske varnosti ter okrepili zmogljivosti subjektov Unije na področju kibernetske varnosti, pri čemer te medsebojne strokovne preglede izvajajo strokovnjaki za kibernetsko varnost, ki jih imenuje subjekt Unije, ki ni subjekt Unije, ki se pregleduje, metodologija pa temelji na členu 19 Direktive (EU) 2022/2555 in je po potrebi prilagojena subjektom Unije; |
| (e) | na podlagi predloga vodje CERT-EU odobri letni delovni program CERT-EU in spremlja njegovo izvajanje; |
| (f) | na podlagi predloga vodje CERT-EU odobri katalog storitev CERT-EU in vse posodobitve tega kataloga; |
| (g) | na podlagi predloga vodje CERT-EU odobri letno finančno načrtovanje prihodkov in izdatkov, vključno z osebjem, za dejavnosti CERT-EU; |
| (h) | na podlagi predloga vodje CERT-EU odobri ureditve izvajanja sporazumov o ravni storitev; |
| (i) | preuči in odobri letno poročilo, ki ga pripravi vodja CERT-EU in ki zajema dejavnosti in upravljanje sredstev CERT-EU; |
| (j) | odobri in spremlja ključne kazalnike uspešnosti za CERT-EU, določene na podlagi predloga vodje CERT-EU; |
| (k) | odobri dogovore o sodelovanju ter sporazume ali pogodbe o ravni storitev med CERT-EU in drugimi subjekti na podlagi člena 18; |
| (l) | sprejme smernice in priporočila na podlagi predloga CERT-EU v skladu s členom 14 ter CERT-EU naroči izdajo, umik ali spremembo predloga smernic ali priporočil ali poziva k ukrepanju; |
| (m) | vzpostavi tehnične svetovalne skupine s posebnimi nalogami za pomoč IICB pri njegovem delu, odobri njihove mandate in imenuje njihove predsednike; |
| (n) | prejema in ocenjuje dokumente in poročila, ki jih na podlagi te uredbe predložijo subjekti Unije, kot so ocene kibernetskovarnostne zrelosti; |
| (o) | podpira ustanovitev neformalne skupine lokalnih uradnikov za kibernetsko varnost subjektov Unije ob podpori ENISA, da bi olajšali izmenjavo dobrih praks in informacij v zvezi z izvajanjem te uredbe; |
| (p) | ob upoštevanju informacij o ugotovljenih tveganjih za kibernetsko varnost in pridobljenih izkušnjah, ki jih posreduje CERT-EU, spremlja ustreznost ureditev medsebojne povezljivosti med okolji IKT subjektov Unije ter svetuje o možnih izboljšavah; |
| (q) | pripravi načrt za obvladovanje kibernetskih kriz, da se na operativni ravni podpre usklajeno obvladovanje večjih incidentov, ki vplivajo na subjekte Unije, in prispeva k redni izmenjavi ustreznih informacij, zlasti o vplivu in resnosti večjih incidentov ter možnih načinih za blažitev njihovih posledic; |
| (r) | usklajuje sprejemanje načrtov za obvladovanje kibernetskih kriz iz člena 9(2) za posamezne subjekte Unije; |
| (s) | sprejme priporočila o varnosti dobavne verige iz člena 8(2), prvi pododstavek, točka (m), pri čemer upošteva rezultate usklajenih ocen varnostnih tveganj na ravni Unije za kritične dobavne verige iz člena 22 Direktive (EU) 2022/2555 v podporo subjektom Unije pri sprejemanju učinkovitih in sorazmernih ukrepov za obvladovanje tveganj za kibernetsko varnost. |
Člen 14
Smernice, priporočila in pozivi k ukrepanju
1. CERT-EU podpira izvajanje te uredbe z izdajo:
| (a) | pozivov k ukrepanju, ki opisujejo nujne varnostne ukrepe, ki naj bi jih subjekti Unije nujno sprejeli v določenem časovnem obdobju; |
| (b) | predlogov za IICB za smernice, naslovljene na vse ali podskupino subjektov Unije; |
| (c) | predlogov za IICB za priporočila, naslovljena na posamezne subjekte Unije. |
V zvezi s prvim pododstavkom, točka (a), zadevni subjekt Unije po prejemu poziva k ukrepanju brez nepotrebnega odlašanja obvesti CERT-EU o tem, kako so se nujni varnostni ukrepi izvajali.
2. Smernice in priporočila lahko vključujejo:
| (a) | skupne metodologije in model za oceno kibernetskovarnostne zrelosti subjektov Unije, vključno z ustreznimi lestvicami ali ključnimi kazalniki uspešnosti, ki služijo kot referenca v podporo stalnemu izboljševanju kibernetske varnosti v vseh subjektih Unije ter olajšujejo prednostno razvrščanje področij in ukrepov na področju kibernetske varnosti ob upoštevanju odnosa subjektov do kibernetske varnosti; |
| (b) | ureditve obvladovanja tveganj za kibernetsko varnost ali njegove izboljšave in ukrepe za obvladovanje tveganj za kibernetsko varnost; |
| (c) | ureditve ocen kibernetskovarnostne zrelosti in načrtov za kibernetsko varnost; |
| (d) | kadar je primerno, uporabo skupne tehnologije, arhitekture, odprtokodnih in povezanih dobrih praks s ciljem doseganja interoperabilnosti in skupnih standardov, vključno z usklajenim pristopom k varnosti dobavne verige; |
| (e) | po potrebi informacije za lažjo uporabo instrumentov za skupna javna naročila za nakup ustreznih storitev in izdelkov na področju kibernetske varnosti od tretjih dobaviteljev; |
| (f) | dogovori o izmenjavi informacij na podlagi člena 20. |
whereas