keyboard_tab Cyber Resilience Act 2023/2841 SL

1.   Medinstitucionalni odbor za kibernetsko varnost, ustanovljen na podlagi člena 10, do 8. septembra 2024 po posvetovanju z Agencijo Evropske unije za kibernetsko varnost (ENISA) in po prejetju usmeritev s strani CERT-EU izda smernice za subjekte Unije za namene izvajanja začetnega pregleda kibernetske varnosti in vzpostavitve notranjega okvira za obvladovanje tveganj, upravljanje in nadzor kibernetske varnosti na podlagi člena 6, izvajanja ocene kibernetskovarnostne zrelosti na podlagi člena 7, uvedbe ukrepov za obvladovanje tveganj za kibernetsko varnost na podlagi člena 8 in sprejetja načrta za kibernetsko varnost na podlagi člena 9.

2.   Subjekti Unije pri izvajanju členov 6 do 9 upoštevajo smernice iz odstavka 1 tega člena ter ustrezne smernice in priporočila, sprejeta na podlagi členov 11 in 14.

1.   Vsak subjekt Unije do 8. aprila 2025 po opravljenem začetnem pregledu kibernetske varnosti, kot je revizija, vzpostavi notranji okvir za obvladovanje tveganj, upravljanje in nadzor kibernetske varnosti (v nadaljnjem besedilu: okvir). Vzpostavitev okvira nadzoruje ter je zanjo odgovorna najvišja raven vodenja subjekta Unije.

2.   Okvir zajema celotno netajno okolje IKT zadevnega subjekta Unije, vključno z vsem lokalnim okoljem IKT in lokalnim operativnim tehnološkim omrežjem, sredstvi in storitvami v okoljih storitev računalništva v oblaku, ki jih upravlja zunanji izvajalec ali gostijo tretje osebe, mobilnimi napravami, korporativnimi omrežji, poslovnimi omrežji, ki niso povezana z internetom, in vsemi napravami, povezanimi s temi okolji (v nadaljnjem besedilu: okolje IKT). Okvir temelji na pristopu, ki upošteva vse nevarnosti.

3.   Okvir zagotavlja visoko raven kibernetske varnosti. V okviru so določene notranje politike kibernetske varnosti skupaj s cilji in prednostnimi nalogami za varnost omrežnih in informacijskih sistemov ter vloge in odgovornosti osebja subjekta Unije, zadolženega za uspešno izvajanje te uredbe. Okvir vključuje tudi mehanizme za merjenje učinkovitosti izvajanja.

4.   Okvir se pregleduje redno in vsaj vsaka štiri leta glede na spreminjajoča se tveganja za kibernetsko varnost. Po potrebi in na zaprosilo Medinstitucionalnega odbora za kibernetsko varnost, ustanovljenega na podlagi člena 10, se lahko okvir subjekta Unije posodobi na podlagi usmeritev CERT-EU o ugotovljenih incidentih ali morebitnih opaženih vrzelih pri izvajanju te uredbe.

5.   Najvišja raven vodenja vsakega subjekta Unije je odgovorna za izvajanje te uredbe in nadzira skladnost svoje organizacije z obveznostmi, povezanimi z okvirom.

6.   Kadar je to primerno in brez poseganja v svojo odgovornost za izvajanje te uredbe, lahko najvišja raven vodenja vsakega subjekta Unije prenese na visoke uradnike v smislu člena 29(2) kadrovskih predpisov ali druge uradnike na enakovredni ravni znotraj zadevnega subjekta Unije posebne obveznosti iz te uredbe. Ne glede na tak morebiten prenos lahko najvišja raven vodenja odgovarja za kršitve te uredbe s strani zadevnega subjekta Unije.

7.   Vsak subjekt Unije ima vzpostavljene učinkovite mehanizme za zagotavljanje, da se za kibernetsko varnost nameni ustrezen delež proračuna za IKT. Pri določanju navedenega odstotka se ustrezno upošteva okvir.

8.   Vsak subjekt Unije imenuje lokalnega uradnika za kibernetsko varnost ali enakovredno funkcijo, ki deluje kot njegova enotna kontaktna točka v zvezi z vsemi vidiki kibernetske varnosti. Lokalni uradnik za kibernetsko varnost olajša izvajanje te uredbe in neposredno redno poroča najvišji ravni vodenja o stanju izvajanja. Brez poseganja v to, da je lokalni uradnik za kibernetsko varnost enotna kontaktna točka v vsakem subjektu Unije, lahko subjekt Unije nekatere naloge lokalnega uradnika za kibernetsko varnost v zvezi z izvajanjem te uredbe prenese na CERT-EU na podlagi sporazuma o ravni storitve, sklenjenega med tem subjektom Unije in CERT-EU, ali se te naloge razdelijo med več subjektov Unije. Kadar se te naloge prenesejo na CERT-EU, Medinstitucionalni odbor za kibernetsko varnost, ustanovljen na podlagi člena 10, odloči, ali bo opravljanje te storitve del osnovnih storitev CERT-EU, pri čemer upošteva človeške in finančne vire zadevnega subjekta Unije. Vsak subjekt Unije brez odlašanja uradno obvesti CERT-EU o imenovanem lokalnem uradniku za kibernetsko varnost in vseh naknadnih spremembah v zvezi s tem.

CERT-EU vzpostavi in redno posodablja seznam imenovanih lokalnih uradnikov za kibernetsko varnost.

9.   Višji uradniki v smislu člena 29(2) kadrovskih predpisov ali drugi uradniki na enakovredni ravni vsakega subjekta Unije ter vsi ustrezni člani osebja, ki je zadolženo za izvajanje ukrepov za obvladovanje tveganj za kibernetsko varnost in izpolnjevanje obveznosti iz te uredbe, redno opravljajo posebno usposabljanje, da pridobijo dovolj znanja in spretnosti za razumevanje in oceno tveganj za kibernetsko varnost in praks njihovega obvladovanja ter njihovega vpliva na delovanje subjekta Unije.

1.   Brez nepotrebnega odlašanja in v vsakem primeru 8. septembra 2025 vsak subjekt Unije pod nadzorom svoje najvišje ravni vodenja sprejme ustrezne in sorazmerne tehnične, operativne in organizacijske ukrepe za obvladovanje tveganj za kibernetsko varnost, opredeljene v okviru, in da se prepreči ali čim bolj zmanjša učinek incidentov. Ob upoštevanju najsodobnejših in po potrebi ustreznih evropskih in mednarodnih standardov ti ukrepi zagotavljajo raven varnosti omrežnih in informacijskih sistemov v celotnem okolju IKT, ki je sorazmerna s tveganji za kibernetsko varnost. Pri ocenjevanju sorazmernosti teh ukrepov se ustrezno upoštevajo stopnja izpostavljenosti subjekta Unije tveganjem za kibernetsko varnost, njegova velikost ter verjetnost pojava incidentov in njihova resnost, vključno z njihovim družbenim, gospodarskim in medinstitucionalnim vplivom.

2.   Subjekti Unije pri izvajanju ukrepov za obvladovanje tveganj za kibernetsko varnost obravnavajo vsaj naslednja področja:

(a)	politiko na področju kibernetske varnosti, vključno z ukrepi, potrebnimi za uresničevanje ciljev in prednostnih nalog iz člena 6 in odstavka 3 tega člena;

(b)	politike o analizi tveganj za kibernetsko varnost in o varnosti informacijskih sistemov;

(c)	cilje politike glede uporabe storitev računalništva v oblaku;

(d)	po potrebi revizijo kibernetske varnosti, ki lahko vključuje oceno tveganj za kibernetsko varnost, ranljivosti in kibernetskih groženj ter penetracijsko testiranje, ki ga redno izvaja zaupanja vreden zasebni ponudnik;

(e)	izvajanje priporočil, pripravljenih na podlagi revizij kibernetske varnosti iz točke (d), in sicer s posodobitvijo kibernetske varnosti in politik;

(f)	organizacijo kibernetske varnosti, vključno z določitvijo vlog in odgovornosti;

(g)	upravljanje sredstev, vključno s popisom sredstev IKT in kartografijo omrežja IKT;

(h)	varnost človeških virov in nadzor dostopa;

(i)	varnost operacij;

(j)	varnost komunikacij;

(k)	pridobivanje, razvoj in vzdrževanje sistema, vključno s politikami o obravnavi in razkrivanju ranljivosti;

(l)	po možnosti politike o preglednosti izvorne kode;

(m)	varnost dobavne verige, vključno z varnostnimi vidiki odnosov med vsakim subjektom Unije in njegovimi neposrednimi dobavitelji ali ponudniki storitev;

(n)	obvladovanje incidentov in sodelovanje s CERT-EU, kot je vzdrževanje varnostnega spremljanja in vodenja dnevnikov;

(o)	upravljanje neprekinjenega poslovanja, kot je upravljanje varnostnih kopij in vnovična vzpostavitev delovanja po nepredvidljivih dogodkih, ter obvladovanje kriz ter

(p)	spodbujanje in razvoj izobraževanja, spretnosti, ozaveščanja, vaj in programov usposabljanja na področju kibernetske varnosti.

Za namene prvega pododstavka, točka (m), subjekti Unije upoštevajo ranljivosti, značilne za vsakega neposrednega dobavitelja in ponudnika storitev, ter splošno kakovost proizvodov in praks svojih dobaviteljev in ponudnikov storitev na področju kibernetske varnosti, vključno z njihovimi postopki varnega razvoja.

3.   Subjekti Unije sprejmejo vsaj naslednje posebne ukrepe za obvladovanje tveganj za kibernetsko varnost:

(a)	tehnične ureditve za omogočanje in ohranjanje dela na daljavo;

(b)	konkretne ukrepe za prehod na načela ničelnega zaupanja;

(c)	uporabo večfaktorske avtentifikacije kot norme v omrežnih in informacijskih sistemih;

(d)	uporabo kriptografije in šifriranja, zlasti šifriranja od konca do konca ter varnega digitalnega podpisovanja;

(e)	kadar je primerno, vzpostavitev varnega glasovnega, video- in besedilnega sporočanja ter varnih sistemov za komunikacijo v sili znotraj subjekta Unije;

(f)	proaktivne ukrepe za odkrivanje in odstranjevanje zlonamerne in vohunske programske opreme;

(g)	vzpostavitev varnosti dobavne verige programske opreme z merili za razvoj in oceno varne programske opreme;

(h)	vzpostavitev in sprejetje programov za usposabljanje o kibernetski varnosti, ki so sorazmerni s predpisanimi nalogami in pričakovanimi zmogljivostmi najvišje ravni vodenja ter članov osebja subjekta Unije, ki je zadolženo za zagotavljanje učinkovitega izvajanja te uredbe;

(i)	redno usposabljanje zaposlenih na področju kibernetske varnosti;

(j)	kadar je ustrezno, udeležbo pri analizah tveganja medsebojne povezljivosti med subjekti Unije;

(k)

krepitev pravil o javnem naročanju, da se omogoči visoka skupna raven kibernetske varnosti, in sicer: (i) z odpravo pogodbenih ovir, ki omejujejo izmenjavo informacij med ponudniki storitev IKT in CERT-EU o incidentih, ranljivostih in kibernetskih grožnjah; (ii) s pogodbenimi obveznostmi glede poročanja o incidentih, ranljivostih in kibernetskih grožnjah ter glede vzpostavitve ustreznih mehanizmov odzivanja na incidente in njihovega spremljanja.

1.   IICB na podlagi člena 10(2) in člena 11 učinkovito spremlja izvajanje te uredbe ter sprejetih smernic, priporočil in pozivov k ukrepanju s strani subjektov Unije. IICB lahko od subjektov Unije zahteva informacije ali dokumentacijo, potrebne za ta namen. Za namen sprejetja ukrepov za skladnost na podlagi tega člena zadevni subjekt Unije, kadar je neposredno zastopan v IICB, nima glasovalnih pravic.

2.   Kadar IICB ugotovi, da subjekt Unije ni učinkovito izvajal te uredbe ali smernic, priporočil ali pozivov k ukrepanju, izdanih na podlagi te uredbe, lahko brez poseganja v notranje postopke zadevnega subjekta Unije in po tem, ko je zadevnemu subjektu Unije dal možnost, da predloži svoja opažanja:

(a)	subjektu Unije, pri katerem so bile opažene vrzeli pri izvajanju te uredbe, sporoči obrazloženo mnenje;

(b)	po posvetovanju s CERT-EU zadevnemu subjektu Unije zagotovi smernice za zagotovitev, da so njegov okvir, ukrepi za obvladovanje tveganj za kibernetsko varnost, načrt za kibernetsko varnost in poročanje skladni s to uredbo v določenem obdobju;

(c)	izda opozorilo za odpravo ugotovljenih pomanjkljivosti v določenem obdobju, vključno s priporočili za spremembo ukrepov, ki jih je zadevni subjekt Unije sprejel na podlagi te uredbe;

(d)	zadevnemu subjektu Unije izda utemeljeno uradno obvestilo, v primeru, da pomanjkljivosti, ugotovljene v opozorilu, izdanem na podlagi točke (c), niso bile ustrezno odpravljene v določenem roku;

(e)	izda: (i) priporočilo za izvedbo revizije ali (ii) zahtevo, da revizijo izvede neodvisna revizijska služba;

(f)	če je ustrezno, obvesti Računsko sodišče v okviru svojih pristojnosti o domnevni neskladnosti;

(g)	izda priporočilo, naj vse države članice in subjekti Unije začasno prekinejo prenose podatkov zadevnemu subjektu Unije.

Za namene prvega pododstavka, točka (c), je krog prejemnikov opozorila ustrezno omejen, kadar je to potrebno zaradi tveganja za kibernetsko varnost.

Opozorila in priporočila, izdana na podlagi prvega pododstavka, se naslovijo na najvišjo raven vodenja zadevnega subjekta Unije.

3.   Kadar IICB sprejme ukrepe na podlagi odstavka 2, prvi pododstavek, točke (a) do (g), zadevni subjekt Unije zagotovi podrobnosti ukrepov in dejavnosti, sprejetih za odpravo domnevnih pomanjkljivosti, ki jih je ugotovil IICB. Subjekt Unije te podrobnosti predloži v razumnem roku, o katerem se dogovori z IICB.

4.   Kadar IICB meni, da subjekt Unije vztrajno krši to uredbo neposredno zaradi dejanj ali opustitev dejanj uradnika ali drugega uslužbenca Unije, tudi na najvišji ravni vodenja, IICB zahteva, da zadevni subjekt Unije sprejme ustrezne ukrepe, vključno z zahtevo, da razmisli o sprejetju disciplinskih ukrepov v skladu s pravili in postopki, določenimi v kadrovskih predpisih in vseh drugih veljavnih pravilih in postopkih. V ta namen IICB zadevnemu subjektu Unije posreduje potrebne informacije.

5.   Kadar subjekti Unije uradno obvestijo, da ne morejo spoštovati rokov iz člena 6(1) in člena 8(1), lahko IICB v ustrezno utemeljenih primerih in ob upoštevanju velikosti subjekta Unije odobri podaljšanje teh rokov.

1.   CERT-EU se vključi v upravno strukturo generalnega direktorata Komisije, da lahko uporablja upravne, finančne in računovodske podporne strukture Komisije, hkrati pa ohrani svoj status samostojnega medinstitucionalnega ponudnika storitev za vse subjekte Unije. Komisija obvesti IICB o upravnemu sedežu CERT-EU in o vseh spremembah v zvezi z njim. Komisija redno pregleduje upravne ureditve v zvezi s CERT-EU, v vsakem primeru pa pred vzpostavitvijo večletnega finančnega okvira na podlagi člena 312 PDEU, da se lahko sprejmejo ustrezni ukrepi. Pregled vključuje možnost ustanovitve CERT-EU kot urada Unije.

2.   Pri uporabi upravnih in finančnih postopkov vodja CERT-EU deluje v pristojnosti Komisije in pod nadzorom IICB.

3.   Naloge in dejavnosti CERT-EU, vključno s storitvami, ki jih subjektom Unije zagotavlja na podlagi člena 13(3), (4), (5) in (7) ter člena 14(1) in so financirane iz razdelka večletnega finančnega okvira, namenjenega evropski javni upravi, se financirajo iz posebne proračunske vrstice proračuna Komisije. Delovna mesta, rezervirana za CERT-EU, se podrobneje opredelijo v opombi h kadrovskemu načrtu Komisije.

4.   Subjekti Unije, razen tistih iz odstavka 3 tega člena, zagotovijo CERT-EU letni finančni prispevek za kritje storitev, ki jih CERT-EU zagotavlja na podlagi navedenega odstavka. Prispevki temeljijo na usmeritvah IICB, o njih pa se vsak subjekt Unije in CERT-EU dogovorita v sporazumih o ravni storitev. Prispevki pomenijo pravičen in sorazmeren delež skupnih stroškov zagotovljenih storitev. Zbirajo se na posebni proračunski vrstici iz odstavka 3 tega člena kot notranji namenski prejemki, kot je določeno v členu 21(3), točka (c), Uredbe (EU, Euratom) 2018/1046.

5.   Stroške storitev, opredeljenih v členu 13(6), krijejo subjekti Unije, ki prejemajo storitve CERT-EU. Prihodki se dodelijo proračunskim vrsticam, ki krijejo stroške.

1.   CERT-EU lahko sodeluje s sorodnimi organi v Uniji, razen tistih iz člena 17, za katere veljajo zahteve Unije glede kibernetske varnosti, vključno s sorodnimi organi iz posameznih industrijskih sektorjev, v zvezi z orodji in metodami, kot so tehnike, taktike, postopki in dobre prakse, ter v zvezi s kibernetskimi grožnjami in ranljivostmi. Za vsako sodelovanje s takimi sorodnimi organi CERT-EU pridobi predhodno soglasje IICB za vsak primer posebej. Kadar CERT-EU vzpostavi sodelovanje s takimi sorodnimi organi, obvesti vse ustrezne sorodne organe držav članic iz člena 17(1) v državi članici, v kateri ima sorodni organ sedež. Tako sodelovanje in pogoji zanj, tudi v zvezi s kibernetsko varnostjo, varstvom podatkov in ravnanjem z informacijami, se po potrebi in, kadar je to ustrezno, določijo v posebnih dogovorih o zaupnosti, kot so pogodbe ali upravne ureditve. Za dogovore o zaupnosti ni potrebna predhodna odobritev IICB, vendar se o njih obvesti predsednika IICB. CERT-EU lahko v primeru nujne in neizbežne potrebe po izmenjavi informacij o kibernetski varnosti v interesu subjektov Unije ali druge strani izmenjuje informacije s subjektom, katerega posebna usposobljenost, zmogljivost in strokovno znanje so upravičeno potrebni za pomoč pri taki nujni in takojšnji potrebi, tudi če CERT-EU s tem subjektom nima sklenjenega dogovora o zaupnosti. V takih primerih CERT-EU nemudoma obvesti predsednika IICB in z rednimi poročili ali sestanki poroča IICB.

2.   CERT-EU lahko za zbiranje informacij o splošnih in specifičnih kibernetskih grožnjah, skorajšnjih incidentih, ranljivostih in možnih protiukrepih sodeluje s partnerji, kot so komercialni subjekti, vključno s subjekti iz posameznih industrijskih sektorjev, mednarodne organizacije, nacionalni subjekti, ki ne prihajajo iz Unije, ali posamezni strokovnjaki. Za širše sodelovanje s takimi partnerji CERT-EU pridobi predhodno soglasje IICB za vsak primer posebej.

3.   CERT-EU lahko s soglasjem subjekta Unije, ki ga je incident prizadel, in pod pogojem, da ima z zadevnim sorodnim organom ali partnerjem sklenjen dogovor ali pogodbo o nerazkritju, sorodnim organom ali partnerjem iz odstavkov 1 in 2 zagotovi informacije, povezane s posameznim incidentom, izključno za namene prispevanja k njegovi analizi.