keyboard_tab Cyber Resilience Act 2023/2841 SL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Člen 1 Predmet urejanja
- 1 Člen 3 Opredelitev pojmov
- 1 Člen 17 Sodelovanje CERT-EU s sorodnimi organi iz držav članic
- 1 Člen 18 Sodelovanje CERT-EU z drugimi sorodnimi organi
- 1 Člen 21 Obveznosti poročanja
POGLAVJE I
SPLOŠNE DOLOČBE
POGLAVJE II
UKREPI ZA VISOKO SKUPNO RAVEN KIBERNETSKE VARNOSTI
POGLAVJE III
MEDINSTITUCIONALNI ODBOR ZA KIBERNETSKO VARNOST
POGLAVJE IV
CERT-EU
POGLAVJE V
OBVEZNOSTI SODELOVANJA IN POROČANJA
POGLAVJE VI
KONČNE DOLOČBE
- unije 41
- cert-eu 25
- eu / 22
- direktive 16
- incident 16
- pomeni 15
- podlagi 15
- št / 14
- člena 12
- kakor 12
- brez 11
- lahko 11
- točka 11
- incidenta 11
- v členu 11
- subjekta 10
- informacije 9
- z dne 9
- organi 9
- str 9
- odlašanja 8
- informacij 8
- iicb 8
- varnosti 8
- kibernetske 8
- sveta 8
- ul l 7
- evropskega 7
- uredbe 7
- obvesti 7
- kibernetsko 7
- parlamenta 7
- nepotrebnega 7
- vključno 6
- opredeljena 6
- organe 6
- sodelovanje 6
- evropske 6
- cert-eu 6
- varnost 6
- poročilo 6
- subjekt 6
- kadar 6
- potrebi 5
- evropskim 5
- incidentih 5
- incidente 5
- uredba 5
- druge 5
- Člen 5
Člen 1
Predmet urejanja
Ta uredba določa ukrepe, katerih cilj je doseči visoko skupno raven kibernetske varnosti v subjektih Unije v zvezi z:
| (a) | notranjim okvirom za obvladovanje tveganj, upravljanje in nadzor kibernetske varnosti na podlagi člena 6, ki ga vzpostavi vsak subjekt Unije; |
| (b) | obvladovanjem tveganj za kibernetsko varnost, poročanjem in izmenjavo informacij; |
| (c) | organizacijo in delovanjem Medinstitucionalnega odbora za kibernetsko varnost, ustanovljenega na podlagi člena 10, ter organizacijo in delovanjem Službe za kibernetsko varnost za institucije, organe, urade in agencije Unije; |
| (d) | spremljanjem izvajanja te uredbe; |
Člen 3
Opredelitev pojmov
V tej uredbi se uporabljajo naslednje opredelitve pojmov:
| (1) | „subjekti Unije“ pomeni institucije, organe, urade in agencije Unije, ustanovljene s Pogodbo o Evropski uniji, Pogodbo o delovanju Evropske unije (PDEU) ali Pogodbo o ustanovitvi Evropske skupnosti za atomsko energijo ali na njihovi podlagi; |
| (2) | „omrežni in informacijski sistem“ pomeni omrežni in informacijski sistem, kakor je opredeljen v členu 6, točka 1, Direktive (EU) 2022/2555; |
| (3) | „varnost omrežnih in informacijskih sistemov“ pomeni varnost omrežnih in informacijskih sistemov, kakor je opredeljena v členu 6, točka 2, Direktive (EU) 2022/2555; |
| (4) | „kibernetska varnost“ pomeni kibernetsko varnost, kakor je opredeljena v členu 2, točka 1, Uredbe (EU) 2019/881; |
| (5) | „najvišja raven vodenja“ pomeni vodjo, vodstveni organ ali organ za usklajevanje in nadzor, pristojen za delovanje subjekta Unije, na najvišji upravni ravni, ki ima pristojnost za sprejemanje ali odobritev odločitev v skladu z ureditvijo upravljanja na visoki ravni tega subjekta Unije, brez poseganja v formalno odgovornost drugih ravni vodstva za skladnost in upravljanje kibernetskih tveganj na njihovih področjih odgovornosti; |
| (6) | „skorajšnji incident“ pomeni skorajšnji incident, kakor je opredeljen v členu 6, točka 5, Direktive (EU) 2022/2555; |
| (7) | „incident“ pomeni incident, kakor je opredeljen v členu 6, točka 6, Direktive (EU) 2022/2555; |
| (8) | „večji incident“ pomeni incident, ki povzroči stopnjo motnje, ki presega zmogljivost subjekta Unije in CERT-EU, da se nanjo odzoveta, ali ki pomembno vpliva na vsaj dva subjekta Unije; |
| (9) | „kibernetski incident velikih razsežnosti“ pomeni kibernetski incident velikih razsežnosti, kakor je opredeljen v členu 6, točka 7, Direktive (EU) 2022/2555; |
| (10) | „obvladovanje incidentov“ pomeni obvladovanje incidentov, kakor je opredeljeno v členu 6, točka 8, Direktive (EU) 2022/2555; |
| (11) | „kibernetska grožnja“ pomeni kibernetsko grožnjo, kakor je opredeljena v členu 2, točka 8, Uredbe (EU) 2019/881; |
| (12) | „pomembna kibernetska grožnja“ pomeni pomembno kibernetsko grožnjo, kakor je opredeljena v členu 6, točka 11, Uredbe (EU) 2022/2555; |
| (13) | „ranljivost“ pomeni ranljivost, kakor je opredeljena v členu 6, točka 15, Direktive (EU) 2022/2555; |
| (14) | „kibernetsko tveganje“ pomeni tveganje, kakor je opredeljeno v členu 6, točka 9, Direktive (EU) 2022/2555; |
| (15) | „storitev računalništva v oblaku“ pomeni storitev v oblaku, kakor je opredeljena v členu 6, točka 30, Direktive (EU) 2022/2555; |
Člen 17
Sodelovanje CERT-EU s sorodnimi organi iz držav članic
1. CERT-EU brez nepotrebnega odlašanja sodeluje in si izmenjuje informacije s sorodnimi organi iz držav članic, zlasti skupinami CSIRT, imenovanimi ali ustanovljenimi na podlagi člena 10 Direktive (EU) 2022/2555, ali, kadar je ustrezno, pristojnimi organi in enotnimi kontaktnimi točkami, imenovanimi ali ustanovljenimi na podlagi člena 8 navedene direktive, v zvezi z incidenti, kibernetskimi grožnjami, ranljivostmi, skorajšnjimi incidenti, možnimi protiukrepi in dobrimi praksami ter vsemi zadevami, pomembnimi za izboljšanje zaščite okolij IKT subjektov Unije, vključno prek mreže skupin CSIRT, vzpostavljene na podlagi člena 15 Direktive (EU) 2022/2555. CERT-EU podpira Komisijo v mreži EU-CyCLONe, ustanovljeni na podlagi člena 16 Direktive (EU) 2022/2555 za usklajeno obvladovanje kibernetskih incidentov velikih razsežnosti in kriz.
2. Kadar CERT-EU izve za pomembni incident na ozemlju države članice, brez odlašanja v skladu z odstavkom 1 uradno obvesti vse ustrezne sorodne organe v tej državi članici.
3. CERT-EU brez nepotrebnega odlašanja in pod pogojem, da so osebni podatki zaščiteni v skladu z veljavnim pravom Unije o varstvu podatkov, s sorodnimi organi v državah članicah izmenjuje ustrezne informacije o posameznem incidentu, da se lažje odkrivajo podobne kibernetske grožnje ali incidenti ali prispeva k analizi incidenta, brez dovoljenja prizadetega subjekta Unije. CERT-EU informacije o posameznem incidentu, ki razkrivajo identiteto tarče incidenta, izmenjuje le, če:
| (a) | prizadeti subjekt Unije da soglasje; |
| (b) | prizadeti subjekt Unije ne soglaša, kot je določeno v točki (a), vendar bi razkritje identitete prizadetega subjekta Unije povečalo verjetnost, da bi se incidentom drugje izognili ali jih ublažili; |
| (c) | je prizadeti subjekt Unije že javno objavil, da je bil prizadet. |
Odločitve o izmenjavi informacij o posameznem incidentu, ki razkrivajo identiteto tarče incidenta na podlagi prvega pododstavka, točka (b), potrdi vodja CERT-EU. CERT-EU pred izdajo take odločitve pisno stopi v stik s prizadetim subjektom Unije in jasno pojasni, kako bi razkritje njegove identitete pomagalo preprečiti ali ublažiti incidente drugje. Vodja CERT-EU zagotovi pojasnilo in od subjekta Unije izrecno zahteva, da v določenem roku navede, ali soglaša. Vodja CERT-EU subjekt Unije tudi obvesti, da si glede na predloženo pojasnilo pridržuje pravico do razkritja informacij, tudi če soglasje ni bilo predloženo. Prizadeti subjekt Unije se obvesti pred razkritjem informacij.
Člen 18
Sodelovanje CERT-EU z drugimi sorodnimi organi
1. CERT-EU lahko sodeluje s sorodnimi organi v Uniji, razen tistih iz člena 17, za katere veljajo zahteve Unije glede kibernetske varnosti, vključno s sorodnimi organi iz posameznih industrijskih sektorjev, v zvezi z orodji in metodami, kot so tehnike, taktike, postopki in dobre prakse, ter v zvezi s kibernetskimi grožnjami in ranljivostmi. Za vsako sodelovanje s takimi sorodnimi organi CERT-EU pridobi predhodno soglasje IICB za vsak primer posebej. Kadar CERT-EU vzpostavi sodelovanje s takimi sorodnimi organi, obvesti vse ustrezne sorodne organe držav članic iz člena 17(1) v državi članici, v kateri ima sorodni organ sedež. Tako sodelovanje in pogoji zanj, tudi v zvezi s kibernetsko varnostjo, varstvom podatkov in ravnanjem z informacijami, se po potrebi in, kadar je to ustrezno, določijo v posebnih dogovorih o zaupnosti, kot so pogodbe ali upravne ureditve. Za dogovore o zaupnosti ni potrebna predhodna odobritev IICB, vendar se o njih obvesti predsednika IICB. CERT-EU lahko v primeru nujne in neizbežne potrebe po izmenjavi informacij o kibernetski varnosti v interesu subjektov Unije ali druge strani izmenjuje informacije s subjektom, katerega posebna usposobljenost, zmogljivost in strokovno znanje so upravičeno potrebni za pomoč pri taki nujni in takojšnji potrebi, tudi če CERT-EU s tem subjektom nima sklenjenega dogovora o zaupnosti. V takih primerih CERT-EU nemudoma obvesti predsednika IICB in z rednimi poročili ali sestanki poroča IICB.
2. CERT-EU lahko za zbiranje informacij o splošnih in specifičnih kibernetskih grožnjah, skorajšnjih incidentih, ranljivostih in možnih protiukrepih sodeluje s partnerji, kot so komercialni subjekti, vključno s subjekti iz posameznih industrijskih sektorjev, mednarodne organizacije, nacionalni subjekti, ki ne prihajajo iz Unije, ali posamezni strokovnjaki. Za širše sodelovanje s takimi partnerji CERT-EU pridobi predhodno soglasje IICB za vsak primer posebej.
3. CERT-EU lahko s soglasjem subjekta Unije, ki ga je incident prizadel, in pod pogojem, da ima z zadevnim sorodnim organom ali partnerjem sklenjen dogovor ali pogodbo o nerazkritju, sorodnim organom ali partnerjem iz odstavkov 1 in 2 zagotovi informacije, povezane s posameznim incidentom, izključno za namene prispevanja k njegovi analizi.
POGLAVJE V
OBVEZNOSTI SODELOVANJA IN POROČANJA
Člen 21
Obveznosti poročanja
1. Incident se šteje za pomembnega, če:
| (a) | je zadevnemu subjektu Unije povzročil ali bi mu lahko povzročil znatne operativne motnje pri delovanju ali finančno izgubo; |
| (b) | je vplival ali bi lahko vplival na druge fizične ali pravne osebe s povzročitvijo precejšnje premoženjske ali nepremoženjske škode. |
2. Subjekti Unije CERT-EU predložijo:
| (a) | brez nepotrebnega odlašanja, v vsakem primeru pa v 24 urah po tem, ko izvejo za pomembni incident, zgodnje opozorilo, iz katerega je po možnosti razvidno, da je bil pomemben incident domnevno povzročen z nezakonitim ali zlonamernim dejanjem ali da bi lahko imel vpliv na druge subjekte ali čezmejni vpliv; |
| (b) | brez nepotrebnega odlašanja, v vsakem primeru pa v 72 urah po tem, ko izvejo za pomembni incident, priglasitev incidenta, s katero se po potrebi posodobijo informacije iz točke (a) in navede začetna ocena pomembnega incidenta, vključno z njegovo resnostjo in vplivom ter kazalniki ogroženosti, kadar so ti na voljo; |
| (c) | na zahtevo organa CERT-EU vmesno poročilo o ustreznih posodobitvah stanja; |
| (d) | končno poročilo, najpozneje v enem mesecu po predložitvi priglasitve incidenta na podlagi točke (b), ki vključuje:
|
| (e) | v primeru incidenta, ki je ob predložitvi končnega poročila iz točke (d) še vedno v teku, poročilo o napredku, končno poročilo pa najpozneje en mesec po razrešitvi incidenta. |
3. Subjekt Unije brez nepotrebnega odlašanja, v vsakem primeru pa v 24 urah po tem, ko izve za pomembni incident, obvesti vse ustrezne sorodne organe držav članic iz člena 17(1) v državi članici, v kateri se nahaja, da se je zgodil pomemben incident.
4. Subjekti Unije med drugim priglasijo vse informacije, na podlagi katerih lahko CERT-EU ugotovi morebitni učinek na druge subjekte, učinek na državo članico gostiteljico ali čezmejni učinek pomembnega incidenta. Brez poseganja v člen 12 samo dejanje priglasitve ne nalaga dodatne odgovornosti subjektu, ki tako priglasitev izvede.
5. Subjekti Unije po potrebi in brez nepotrebnega odlašanja sporočijo uporabnikom prizadetih omrežnih in informacijskih sistemov ali drugih komponent okolja IKT, na katere lahko vpliva pomemben incident ali pomembna kibernetska grožnja in ki morajo, kadar je to ustrezno, sprejeti blažilne ukrepe, o vseh ukrepih ali pravnih sredstvih, ki jih lahko sprejmejo v odziv na incident ali grožnjo. Kadar je primerno, subjekti Unije obvestijo te uporabnike o pomembni kibernetski grožnji kot taki.
6. Kadar pomemben incident ali pomembna kibernetska grožnja prizadene omrežni in informacijski sistem ali komponento okolja IKT subjekta Unije, ki je načrtno povezana z okoljem IKT drugega subjekta Unije, CERT-EU izda ustrezno kibernetskovarnostno opozorilo.
7. Subjekti Unije na zahtevo CERT-EU brez nepotrebnega odlašanja posredujejo CERT-EU digitalne informacije, ustvarjene z uporabo elektronskih naprav, ki so vpete v zadevne incidente. CERT-EU lahko dodatno pojasni vrste informacij, ki jih potrebuje za situacijsko zavedanje in odzivanje na incidente.
8. CERT-EU predloži IICB, ENISA, EU INTCEN in mreži skupin CSIRT vsake tri mesece zbirno poročilo, vključno z anonimiziranimi in zbirnimi podatki o pomembnih incidentih, incidentih, kibernetskih grožnjah, skorajšnjih incidentih in ranljivostih na podlagi člena 20 ter pomembnih incidentih, priglašenih na podlagi odstavka 2 tega člena. Zbirno poročilo je prispevek k dveletnemu poročilu o stanju kibernetske varnosti v Uniji, ki se sprejme na podlagi člena 18 Direktive (EU) 2022/2555.
9. IICB do 8. julija 2024 izda smernice ali priporočila, v katerih podrobneje opredeli ureditve za poročanje ter obliko in vsebino poročanja na podlagi tega člena. IICB pri pripravi takih smernic ali priporočil upošteva vse izvedbene akte, sprejete na podlagi člena 23(11) Direktive (EU) 2022/2555, v katerih so določeni vrsta informacij, oblika in postopek priglasitve. CERT-EU razširja ustrezne tehnične podrobnosti, da se subjektom Unije omogočijo proaktivno odkrivanje, odzivanje na incidente ali blažilni ukrepi.
10. Obveznosti poročanja iz tega člena ne veljajo za:
| (a) | tajne podatke EU; |
| (b) | informacije, katerih nadaljnja distribucija je bila izključena z vidno oznako, razen če je bila njihova izmenjava s CERT-EU izrecno dovoljena. |
Člen 26
Začetek veljavnosti
Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.
Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.
V Strasbourgu, 13. decembra 2023
Za Evropski parlament
predsednica
R. METSOLA
Za Svet
predsednik
P. NAVARRO RÍOS
(1) Stališče Evropskega parlamenta z dne 21. novembra 2023 (še ni objavljeno v Uradnem listu) in odločitev Sveta z dne 8. decembra 2023.
(2) Direktiva (EU) 2022/2555 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o ukrepih za visoko skupno raven kibernetske varnosti v Uniji, spremembi Uredbe (EU) št. 910/2014 in Direktive (EU) 2018/1972 ter razveljavitvi Direktive (EU) 2016/1148 (direktiva NIS 2) (UL L 333, 27.12.2022, str. 80).
(3) Uredba (EU) 2019/881 Evropskega parlamenta in Sveta z dne 17. aprila 2019 o Agenciji Evropske unije za kibernetsko varnost (ENISA) in o certificiranju informacijske in komunikacijske tehnologije na področju kibernetske varnosti ter razveljavitvi Uredbe (EU) št. 526/2013 (Akt o kibernetski varnosti) (UL L 151, 7.6.2019, str. 15).
(4) Dogovor med Evropskim parlamentom, Evropskim svetom, Svetom Evropske unije, Evropsko komisijo, Sodiščem Evropske unije, Evropsko centralno banko, Evropskim računskim sodiščem, Evropsko službo za zunanje delovanje, Evropskim ekonomsko-socialnim odborom, Evropskim odborom regij in Evropsko investicijsko banko o organizaciji in delovanju skupine za odzivanje na računalniške grožnje za institucije, organe in agencije Unije (CERT-EU) (UL C 12, 13.1.2018, str. 1).
(5) Uredba Sveta (EGS, Euratom, ESPJ) št. 259/68 z dne 29. februarja 1968 o kadrovskih predpisih za uradnike in pogojih za zaposlitev drugih uslužbencev Evropskih skupnosti in o posebnih ukrepih, ki se začasno uporabljajo za uradnike Komisije (UL L 56, 4.3.1968, str. 1).
(6) Priporočilo Komisije (EU) 2017/1584 z dne 13. septembra 2017 o usklajenem odzivu na velike kibernetske incidente in krize (UL L 239, 19.9.2017, str. 36).
(7) Uredba (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (UL L 295, 21.11.2018, str. 39).
(8) UL C 258, 5.7.2022, str. 10.
(9) Uredba (EU, Euratom) 2018/1046 Evropskega parlamenta in Sveta z dne 18. julija 2018 o finančnih pravilih, ki se uporabljajo za splošni proračun Unije, spremembi uredb (EU) št. 1296/2013, (EU) št. 1301/2013, (EU) št. 1303/2013, (EU) št. 1304/2013, (EU) št. 1309/2013, (EU) št. 1316/2013, (EU) št. 223/2014, (EU) št. 283/2014 in Sklepa št. 541/2014/EU ter razveljavitvi Uredbe (EU, Euratom) št. 966/2012 (UL L 193, 30.7.2018, str. 1).
(10) Uredba Evropskega parlamenta in Sveta (ES) št. 1049/2001 z dne 30. maja 2001 o dostopu javnosti do dokumentov Evropskega parlamenta, Sveta in Komisije (UL L 145, 31.5.2001, str. 43).
ELI: http://data.europa.eu/eli/reg/2023/2841/oj
ISSN 1977-0804 (electronic edition)