search


keyboard_tab Cyber Resilience Act 2023/2841 SL

BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf

2023/2841 SL cercato: 'opredeljen' . Output generated live by software developed by IusOnDemand srl


expand index opredeljen:


whereas opredeljen:


definitions:


cloud tag: and the number of total unique words without stopwords is: 562

 

Člen 3

Opredelitev pojmov

V tej uredbi se uporabljajo naslednje opredelitve pojmov:

(1)

„subjekti Unije“ pomeni institucije, organe, urade in agencije Unije, ustanovljene s Pogodbo o Evropski uniji, Pogodbo o delovanju Evropske unije (PDEU) ali Pogodbo o ustanovitvi Evropske skupnosti za atomsko energijo ali na njihovi podlagi;

(2)

„omrežni in informacijski sistem“ pomeni omrežni in informacijski sistem, kakor je opredeljen v členu 6, točka 1, Direktive (EU) 2022/2555;

(3)

„varnost omrežnih in informacijskih sistemov“ pomeni varnost omrežnih in informacijskih sistemov, kakor je opredeljena v členu 6, točka 2, Direktive (EU) 2022/2555;

(4)

„kibernetska varnost“ pomeni kibernetsko varnost, kakor je opredeljena v členu 2, točka 1, Uredbe (EU) 2019/881;

(5)

„najvišja raven vodenja“ pomeni vodjo, vodstveni organ ali organ za usklajevanje in nadzor, pristojen za delovanje subjekta Unije, na najvišji upravni ravni, ki ima pristojnost za sprejemanje ali odobritev odločitev v skladu z ureditvijo upravljanja na visoki ravni tega subjekta Unije, brez poseganja v formalno odgovornost drugih ravni vodstva za skladnost in upravljanje kibernetskih tveganj na njihovih področjih odgovornosti;

(6)

„skorajšnji incident“ pomeni skorajšnji incident, kakor je opredeljen v členu 6, točka 5, Direktive (EU) 2022/2555;

(7)

„incident“ pomeni incident, kakor je opredeljen v členu 6, točka 6, Direktive (EU) 2022/2555;

(8)

„večji incident“ pomeni incident, ki povzroči stopnjo motnje, ki presega zmogljivost subjekta Unije in CERT-EU, da se nanjo odzoveta, ali ki pomembno vpliva na vsaj dva subjekta Unije;

(9)

„kibernetski incident velikih razsežnosti“ pomeni kibernetski incident velikih razsežnosti, kakor je opredeljen v členu 6, točka 7, Direktive (EU) 2022/2555;

(10)

„obvladovanje incidentov“ pomeni obvladovanje incidentov, kakor je opredeljeno v členu 6, točka 8, Direktive (EU) 2022/2555;

(11)

„kibernetska grožnja“ pomeni kibernetsko grožnjo, kakor je opredeljena v členu 2, točka 8, Uredbe (EU) 2019/881;

(12)

„pomembna kibernetska grožnja“ pomeni pomembno kibernetsko grožnjo, kakor je opredeljena v členu 6, točka 11, Uredbe (EU) 2022/2555;

(13)

„ranljivost“ pomeni ranljivost, kakor je opredeljena v členu 6, točka 15, Direktive (EU) 2022/2555;

(14)

„kibernetsko tveganje“ pomeni tveganje, kakor je opredeljeno v členu 6, točka 9, Direktive (EU) 2022/2555;

(15)

„storitev računalništva v oblaku“ pomeni storitev v oblaku, kakor je opredeljena v členu 6, točka 30, Direktive (EU) 2022/2555;

Člen 8

Ukrepi za obvladovanje tveganj za kibernetsko varnost

1.   Brez nepotrebnega odlašanja in v vsakem primeru 8. septembra 2025 vsak subjekt Unije pod nadzorom svoje najvišje ravni vodenja sprejme ustrezne in sorazmerne tehnične, operativne in organizacijske ukrepe za obvladovanje tveganj za kibernetsko varnost, opredeljene v okviru, in da se prepreči ali čim bolj zmanjša učinek incidentov. Ob upoštevanju najsodobnejših in po potrebi ustreznih evropskih in mednarodnih standardov ti ukrepi zagotavljajo raven varnosti omrežnih in informacijskih sistemov v celotnem okolju IKT, ki je sorazmerna s tveganji za kibernetsko varnost. Pri ocenjevanju sorazmernosti teh ukrepov se ustrezno upoštevajo stopnja izpostavljenosti subjekta Unije tveganjem za kibernetsko varnost, njegova velikost ter verjetnost pojava incidentov in njihova resnost, vključno z njihovim družbenim, gospodarskim in medinstitucionalnim vplivom.

2.   Subjekti Unije pri izvajanju ukrepov za obvladovanje tveganj za kibernetsko varnost obravnavajo vsaj naslednja področja:

(a)

politiko na področju kibernetske varnosti, vključno z ukrepi, potrebnimi za uresničevanje ciljev in prednostnih nalog iz člena 6 in odstavka 3 tega člena;

(b)

politike o analizi tveganj za kibernetsko varnost in o varnosti informacijskih sistemov;

(c)

cilje politike glede uporabe storitev računalništva v oblaku;

(d)

po potrebi revizijo kibernetske varnosti, ki lahko vključuje oceno tveganj za kibernetsko varnost, ranljivosti in kibernetskih groženj ter penetracijsko testiranje, ki ga redno izvaja zaupanja vreden zasebni ponudnik;

(e)

izvajanje priporočil, pripravljenih na podlagi revizij kibernetske varnosti iz točke (d), in sicer s posodobitvijo kibernetske varnosti in politik;

(f)

organizacijo kibernetske varnosti, vključno z določitvijo vlog in odgovornosti;

(g)

upravljanje sredstev, vključno s popisom sredstev IKT in kartografijo omrežja IKT;

(h)

varnost človeških virov in nadzor dostopa;

(i)

varnost operacij;

(j)

varnost komunikacij;

(k)

pridobivanje, razvoj in vzdrževanje sistema, vključno s politikami o obravnavi in razkrivanju ranljivosti;

(l)

po možnosti politike o preglednosti izvorne kode;

(m)

varnost dobavne verige, vključno z varnostnimi vidiki odnosov med vsakim subjektom Unije in njegovimi neposrednimi dobavitelji ali ponudniki storitev;

(n)

obvladovanje incidentov in sodelovanje s CERT-EU, kot je vzdrževanje varnostnega spremljanja in vodenja dnevnikov;

(o)

upravljanje neprekinjenega poslovanja, kot je upravljanje varnostnih kopij in vnovična vzpostavitev delovanja po nepredvidljivih dogodkih, ter obvladovanje kriz ter

(p)

spodbujanje in razvoj izobraževanja, spretnosti, ozaveščanja, vaj in programov usposabljanja na področju kibernetske varnosti.

Za namene prvega pododstavka, točka (m), subjekti Unije upoštevajo ranljivosti, značilne za vsakega neposrednega dobavitelja in ponudnika storitev, ter splošno kakovost proizvodov in praks svojih dobaviteljev in ponudnikov storitev na področju kibernetske varnosti, vključno z njihovimi postopki varnega razvoja.

3.   Subjekti Unije sprejmejo vsaj naslednje posebne ukrepe za obvladovanje tveganj za kibernetsko varnost:

(a)

tehnične ureditve za omogočanje in ohranjanje dela na daljavo;

(b)

konkretne ukrepe za prehod na načela ničelnega zaupanja;

(c)

uporabo večfaktorske avtentifikacije kot norme v omrežnih in informacijskih sistemih;

(d)

uporabo kriptografije in šifriranja, zlasti šifriranja od konca do konca ter varnega digitalnega podpisovanja;

(e)

kadar je primerno, vzpostavitev varnega glasovnega, video- in besedilnega sporočanja ter varnih sistemov za komunikacijo v sili znotraj subjekta Unije;

(f)

proaktivne ukrepe za odkrivanje in odstranjevanje zlonamerne in vohunske programske opreme;

(g)

vzpostavitev varnosti dobavne verige programske opreme z merili za razvoj in oceno varne programske opreme;

(h)

vzpostavitev in sprejetje programov za usposabljanje o kibernetski varnosti, ki so sorazmerni s predpisanimi nalogami in pričakovanimi zmogljivostmi najvišje ravni vodenja ter članov osebja subjekta Unije, ki je zadolženo za zagotavljanje učinkovitega izvajanja te uredbe;

(i)

redno usposabljanje zaposlenih na področju kibernetske varnosti;

(j)

kadar je ustrezno, udeležbo pri analizah tveganja medsebojne povezljivosti med subjekti Unije;

(k)

krepitev pravil o javnem naročanju, da se omogoči visoka skupna raven kibernetske varnosti, in sicer:

(i)

z odpravo pogodbenih ovir, ki omejujejo izmenjavo informacij med ponudniki storitev IKT in CERT-EU o incidentih, ranljivostih in kibernetskih grožnjah;

(ii)

s pogodbenimi obveznostmi glede poročanja o incidentih, ranljivostih in kibernetskih grožnjah ter glede vzpostavitve ustreznih mehanizmov odzivanja na incidente in njihovega spremljanja.

Člen 9

Načrti za kibernetsko varnost

1.   Najvišja raven vodenja vsakega subjekta Unije na podlagi ocene kibernetskovarnostne zrelosti, opravljene na podlagi člena 7, in ob upoštevanju sredstev in tveganj za kibernetsko varnost, opredeljenih v okviru, ter ukrepov za obvladovanje tveganj za kibernetsko varnost, sprejetih na podlagi člena 8, brez nepotrebnega odlašanja in v vsakem primeru do 8. januarja 2026 odobri načrt za kibernetsko varnost. Cilj načrta za kibernetsko varnost je izboljšati splošno kibernetsko varnost subjekta Unije, s tem pa prispevati k zvišanju visoke skupne ravni kibernetske varnosti v subjektih Unije. Načrt za kibernetsko varnost vključuje najmanj ukrepe za obvladovanje tveganj za kibernetsko varnost, sprejete na podlagi člena 8. Načrt za kibernetsko varnost se pregleda vsaki dve leti ali bolj pogosto, kadar je to potrebno, in sicer na podlagi ocen kibernetskovarnostne zrelosti, izvedenih na podlagi člena 7, ali morebitnega vsebinskega pregledu okvira.

2.   Načrt za kibernetsko varnost vključuje načrt subjekta Unije za obvladovanje kibernetskih kriz za večje incidente.

3.   Subjekt Unije svoj dokončan načrt za kibernetsko varnost predloži Medinstitucionalnemu odboru za kibernetsko varnost, ustanovljenemu na podlagi člena 10.

POGLAVJE III

MEDINSTITUCIONALNI ODBOR ZA KIBERNETSKO VARNOST

Člen 16

Finančne in kadrovske zadeve

1.   CERT-EU se vključi v upravno strukturo generalnega direktorata Komisije, da lahko uporablja upravne, finančne in računovodske podporne strukture Komisije, hkrati pa ohrani svoj status samostojnega medinstitucionalnega ponudnika storitev za vse subjekte Unije. Komisija obvesti IICB o upravnemu sedežu CERT-EU in o vseh spremembah v zvezi z njim. Komisija redno pregleduje upravne ureditve v zvezi s CERT-EU, v vsakem primeru pa pred vzpostavitvijo večletnega finančnega okvira na podlagi člena 312 PDEU, da se lahko sprejmejo ustrezni ukrepi. Pregled vključuje možnost ustanovitve CERT-EU kot urada Unije.

2.   Pri uporabi upravnih in finančnih postopkov vodja CERT-EU deluje v pristojnosti Komisije in pod nadzorom IICB.

3.   Naloge in dejavnosti CERT-EU, vključno s storitvami, ki jih subjektom Unije zagotavlja na podlagi člena 13(3), (4), (5) in (7) ter člena 14(1) in so financirane iz razdelka večletnega finančnega okvira, namenjenega evropski javni upravi, se financirajo iz posebne proračunske vrstice proračuna Komisije. Delovna mesta, rezervirana za CERT-EU, se podrobneje opredelijo v opombi h kadrovskemu načrtu Komisije.

4.   Subjekti Unije, razen tistih iz odstavka 3 tega člena, zagotovijo CERT-EU letni finančni prispevek za kritje storitev, ki jih CERT-EU zagotavlja na podlagi navedenega odstavka. Prispevki temeljijo na usmeritvah IICB, o njih pa se vsak subjekt Unije in CERT-EU dogovorita v sporazumih o ravni storitev. Prispevki pomenijo pravičen in sorazmeren delež skupnih stroškov zagotovljenih storitev. Zbirajo se na posebni proračunski vrstici iz odstavka 3 tega člena kot notranji namenski prejemki, kot je določeno v členu 21(3), točka (c), Uredbe (EU, Euratom) 2018/1046.

5.   Stroške storitev, opredeljenih v členu 13(6), krijejo subjekti Unije, ki prejemajo storitve CERT-EU. Prihodki se dodelijo proračunskim vrsticam, ki krijejo stroške.


whereas









keyboard_arrow_down