keyboard_tab Cyber Resilience Act 2023/2841 SL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Člen 8 Ukrepi za obvladovanje tveganj za kibernetsko varnost
- 2 Člen 12 Skladnost
- 1 Člen 13 Poslanstvo in naloge CERT-EU
- 1 Člen 17 Sodelovanje CERT-EU s sorodnimi organi iz držav članic
- 1 Člen 25 Pregled
- Člen 26 Začetek veljavnosti
POGLAVJE I
SPLOŠNE DOLOČBE
POGLAVJE II
UKREPI ZA VISOKO SKUPNO RAVEN KIBERNETSKE VARNOSTI
POGLAVJE III
MEDINSTITUCIONALNI ODBOR ZA KIBERNETSKO VARNOST
POGLAVJE IV
CERT-EU
POGLAVJE V
OBVEZNOSTI SODELOVANJA IN POROČANJA
POGLAVJE VI
KONČNE DOLOČBE
- unije 66
- podlagi 21
- varnost 19
- varnosti 18
- cert-eu 18
- kibernetske 16
- kibernetsko 15
- vključno 15
- uredbe 14
- iicb 14
- člena 13
- cert-eu 13
- subjekt 13
- lahko 13
- subjekta 12
- storitev 12
- subjektov 10
- informacije 10
- obvladovanje 10
- kadar 8
- ustrezno 8
- incidentov 8
- ravni 7
- informacij 7
- informacijskih 7
- tveganj 7
- storitve 7
- področju 7
- subjekti 7
- tudi 6
- pododstavka 6
- eu / 6
- prvega 6
- subjektu 6
- v zvezi 6
- sistemov 6
- ukrepov 6
- glede 6
- v skladu 6
- ukrepe 6
- kibernetskih 5
- politike 5
- obvesti 5
- direktive 5
- sodeluje 5
- vodenja 5
- izvajanje 5
- tega 5
- kadar 5
- zahteva 5
Člen 8
Ukrepi za obvladovanje tveganj za kibernetsko varnost
1. Brez nepotrebnega odlašanja in v vsakem primeru 8. septembra 2025 vsak subjekt Unije pod nadzorom svoje najvišje ravni vodenja sprejme ustrezne in sorazmerne tehnične, operativne in organizacijske ukrepe za obvladovanje tveganj za kibernetsko varnost, opredeljene v okviru, in da se prepreči ali čim bolj zmanjša učinek incidentov. Ob upoštevanju najsodobnejših in po potrebi ustreznih evropskih in mednarodnih standardov ti ukrepi zagotavljajo raven varnosti omrežnih in informacijskih sistemov v celotnem okolju IKT, ki je sorazmerna s tveganji za kibernetsko varnost. Pri ocenjevanju sorazmernosti teh ukrepov se ustrezno upoštevajo stopnja izpostavljenosti subjekta Unije tveganjem za kibernetsko varnost, njegova velikost ter verjetnost pojava incidentov in njihova resnost, vključno z njihovim družbenim, gospodarskim in medinstitucionalnim vplivom.
2. Subjekti Unije pri izvajanju ukrepov za obvladovanje tveganj za kibernetsko varnost obravnavajo vsaj naslednja področja:
| (a) | politiko na področju kibernetske varnosti, vključno z ukrepi, potrebnimi za uresničevanje ciljev in prednostnih nalog iz člena 6 in odstavka 3 tega člena; |
| (b) | politike o analizi tveganj za kibernetsko varnost in o varnosti informacijskih sistemov; |
| (c) | cilje politike glede uporabe storitev računalništva v oblaku; |
| (d) | po potrebi revizijo kibernetske varnosti, ki lahko vključuje oceno tveganj za kibernetsko varnost, ranljivosti in kibernetskih groženj ter penetracijsko testiranje, ki ga redno izvaja zaupanja vreden zasebni ponudnik; |
| (e) | izvajanje priporočil, pripravljenih na podlagi revizij kibernetske varnosti iz točke (d), in sicer s posodobitvijo kibernetske varnosti in politik; |
| (f) | organizacijo kibernetske varnosti, vključno z določitvijo vlog in odgovornosti; |
| (g) | upravljanje sredstev, vključno s popisom sredstev IKT in kartografijo omrežja IKT; |
| (h) | varnost človeških virov in nadzor dostopa; |
| (i) | varnost operacij; |
| (j) | varnost komunikacij; |
| (k) | pridobivanje, razvoj in vzdrževanje sistema, vključno s politikami o obravnavi in razkrivanju ranljivosti; |
| (l) | po možnosti politike o preglednosti izvorne kode; |
| (m) | varnost dobavne verige, vključno z varnostnimi vidiki odnosov med vsakim subjektom Unije in njegovimi neposrednimi dobavitelji ali ponudniki storitev; |
| (n) | obvladovanje incidentov in sodelovanje s CERT-EU, kot je vzdrževanje varnostnega spremljanja in vodenja dnevnikov; |
| (o) | upravljanje neprekinjenega poslovanja, kot je upravljanje varnostnih kopij in vnovična vzpostavitev delovanja po nepredvidljivih dogodkih, ter obvladovanje kriz ter |
| (p) | spodbujanje in razvoj izobraževanja, spretnosti, ozaveščanja, vaj in programov usposabljanja na področju kibernetske varnosti. |
Za namene prvega pododstavka, točka (m), subjekti Unije upoštevajo ranljivosti, značilne za vsakega neposrednega dobavitelja in ponudnika storitev, ter splošno kakovost proizvodov in praks svojih dobaviteljev in ponudnikov storitev na področju kibernetske varnosti, vključno z njihovimi postopki varnega razvoja.
3. Subjekti Unije sprejmejo vsaj naslednje posebne ukrepe za obvladovanje tveganj za kibernetsko varnost:
| (a) | tehnične ureditve za omogočanje in ohranjanje dela na daljavo; |
| (b) | konkretne ukrepe za prehod na načela ničelnega zaupanja; |
| (c) | uporabo večfaktorske avtentifikacije kot norme v omrežnih in informacijskih sistemih; |
| (d) | uporabo kriptografije in šifriranja, zlasti šifriranja od konca do konca ter varnega digitalnega podpisovanja; |
| (e) | kadar je primerno, vzpostavitev varnega glasovnega, video- in besedilnega sporočanja ter varnih sistemov za komunikacijo v sili znotraj subjekta Unije; |
| (f) | proaktivne ukrepe za odkrivanje in odstranjevanje zlonamerne in vohunske programske opreme; |
| (g) | vzpostavitev varnosti dobavne verige programske opreme z merili za razvoj in oceno varne programske opreme; |
| (h) | vzpostavitev in sprejetje programov za usposabljanje o kibernetski varnosti, ki so sorazmerni s predpisanimi nalogami in pričakovanimi zmogljivostmi najvišje ravni vodenja ter članov osebja subjekta Unije, ki je zadolženo za zagotavljanje učinkovitega izvajanja te uredbe; |
| (i) | redno usposabljanje zaposlenih na področju kibernetske varnosti; |
| (j) | kadar je ustrezno, udeležbo pri analizah tveganja medsebojne povezljivosti med subjekti Unije; |
| (k) | krepitev pravil o javnem naročanju, da se omogoči visoka skupna raven kibernetske varnosti, in sicer:
|
Člen 12
Skladnost
1. IICB na podlagi člena 10(2) in člena 11 učinkovito spremlja izvajanje te uredbe ter sprejetih smernic, priporočil in pozivov k ukrepanju s strani subjektov Unije. IICB lahko od subjektov Unije zahteva informacije ali dokumentacijo, potrebne za ta namen. Za namen sprejetja ukrepov za skladnost na podlagi tega člena zadevni subjekt Unije, kadar je neposredno zastopan v IICB, nima glasovalnih pravic.
2. Kadar IICB ugotovi, da subjekt Unije ni učinkovito izvajal te uredbe ali smernic, priporočil ali pozivov k ukrepanju, izdanih na podlagi te uredbe, lahko brez poseganja v notranje postopke zadevnega subjekta Unije in po tem, ko je zadevnemu subjektu Unije dal možnost, da predloži svoja opažanja:
| (a) | subjektu Unije, pri katerem so bile opažene vrzeli pri izvajanju te uredbe, sporoči obrazloženo mnenje; |
| (b) | po posvetovanju s CERT-EU zadevnemu subjektu Unije zagotovi smernice za zagotovitev, da so njegov okvir, ukrepi za obvladovanje tveganj za kibernetsko varnost, načrt za kibernetsko varnost in poročanje skladni s to uredbo v določenem obdobju; |
| (c) | izda opozorilo za odpravo ugotovljenih pomanjkljivosti v določenem obdobju, vključno s priporočili za spremembo ukrepov, ki jih je zadevni subjekt Unije sprejel na podlagi te uredbe; |
| (d) | zadevnemu subjektu Unije izda utemeljeno uradno obvestilo, v primeru, da pomanjkljivosti, ugotovljene v opozorilu, izdanem na podlagi točke (c), niso bile ustrezno odpravljene v določenem roku; |
| (e) | izda:
|
| (f) | če je ustrezno, obvesti Računsko sodišče v okviru svojih pristojnosti o domnevni neskladnosti; |
| (g) | izda priporočilo, naj vse države članice in subjekti Unije začasno prekinejo prenose podatkov zadevnemu subjektu Unije. |
Za namene prvega pododstavka, točka (c), je krog prejemnikov opozorila ustrezno omejen, kadar je to potrebno zaradi tveganja za kibernetsko varnost.
Opozorila in priporočila, izdana na podlagi prvega pododstavka, se naslovijo na najvišjo raven vodenja zadevnega subjekta Unije.
3. Kadar IICB sprejme ukrepe na podlagi odstavka 2, prvi pododstavek, točke (a) do (g), zadevni subjekt Unije zagotovi podrobnosti ukrepov in dejavnosti, sprejetih za odpravo domnevnih pomanjkljivosti, ki jih je ugotovil IICB. Subjekt Unije te podrobnosti predloži v razumnem roku, o katerem se dogovori z IICB.
4. Kadar IICB meni, da subjekt Unije vztrajno krši to uredbo neposredno zaradi dejanj ali opustitev dejanj uradnika ali drugega uslužbenca Unije, tudi na najvišji ravni vodenja, IICB zahteva, da zadevni subjekt Unije sprejme ustrezne ukrepe, vključno z zahtevo, da razmisli o sprejetju disciplinskih ukrepov v skladu s pravili in postopki, določenimi v kadrovskih predpisih in vseh drugih veljavnih pravilih in postopkih. V ta namen IICB zadevnemu subjektu Unije posreduje potrebne informacije.
5. Kadar subjekti Unije uradno obvestijo, da ne morejo spoštovati rokov iz člena 6(1) in člena 8(1), lahko IICB v ustrezno utemeljenih primerih in ob upoštevanju velikosti subjekta Unije odobri podaljšanje teh rokov.
POGLAVJE IV
CERT-EU
Člen 13
Poslanstvo in naloge CERT-EU
1. Poslanstvo CERT-EU je prispevati k varnosti netajnega okolja IKT subjektov Unije, tako da jim svetuje glede kibernetske varnosti, jim pomaga preprečiti, odkriti, obvladovati in ublažiti incidente ter se odzivati nanje in okrevati po njih, deluje pa tudi kot njihovo vozlišče za izmenjavo informacij o kibernetski varnosti in za usklajevanje odzivanja na incidente.
2. CERT-EU zbira, upravlja, analizira in izmenjuje informacije s subjekti Unije o kibernetskih grožnjah, ranljivostih ter incidentih na netajni infrastrukturi IKT. Usklajuje odzive na incidente na medinstitucionalni ravni in na ravni subjektov Unije, vključno z zagotavljanjem ali usklajevanjem zagotavljanja specializirane operativne pomoči.
3. CERT-EU za pomoč subjektom Unije izvaja naslednje naloge:
| (a) | podpira jih pri izvajanju te uredbe in prispeva k usklajevanju izvajanja te uredbe z ukrepi iz člena 14(1) ali ad hoc poročili, ki jih zahteva IICB; |
| (b) | ponuja standardne storitve skupine CSIRT subjektom Unije s svežnjem storitev za kibernetsko varnost, opisanih v katalogu storitev (osnovne storitve); |
| (c) | vzdržuje mrežo podobnih institucij, organov in agencij ter partnerjev za podporo storitev, kot so navedene v členih 17 in 18; |
| (d) | IICB opozori na vse težave, ki se nanašajo na izvajanje te uredbe ter izvajanje smernic, priporočil in pozivov k ukrepanju; |
| (e) | na podlagi informacij iz odstavka 2 in v tesnem sodelovanju z ENISA prispeva k situacijskem zavedanju na področju kibernetske varnosti v Uniji; |
| (f) | usklajuje obvladovanje večjih incidentov; |
| (g) | deluje na strani subjektov Unije kot enakovreden koordinatorju, imenovanemu za usklajeno razkrivanje ranljivosti na podlagi člena 12(1) Direktive (EU) 2022/2555; |
| (h) | na zahtevo subjekta Unije zagotovi proaktivno neinvazivno pregledovanje javno dostopnih omrežnih in informacijskih sistemov tega subjekta Unije. |
Informacije iz prvega pododstavka, točka (e), se po potrebi in kadar je to ustrezno ter ob upoštevanju ustreznih pogojev zaupnosti izmenjujejo z IICB, mrežo skupin CSIRT ter Obveščevalnim in situacijskim centrom Evropske unije (EU INTCEN).
4. CERT-EU lahko v skladu s členom 17 ali 18, kot je ustrezno, sodeluje z ustreznimi skupnostmi za kibernetsko varnost v Uniji in njenih državah članicah, vključno na naslednjih področjih:
| (a) | pripravljenost, obvladovanje incidentov, izmenjava informacij in odzivanje na krize na tehnični ravni v zvezi s primeri, povezanimi s subjekti Unije; |
| (b) | operativno sodelovanje v zvezi z mrežo skupin CSIRT, vključno z vzajemno pomočjo; |
| (c) | obveščevalni podatki o kibernetskih grožnjah, vključno s situacijskim zavedanjem; |
| (d) | vsaka tema, ki zahteva tehnično strokovno znanje CERT-EU na področju kibernetske varnosti. |
5. CERT-EU v okviru svoje pristojnosti strukturirano sodeluje z ENISA pri krepitvi zmogljivosti, operativnem sodelovanju in dolgoročnih strateških analizah kibernetskih groženj v skladu z Uredbo (EU) 2019/881. CERT-EU lahko sodeluje in izmenjuje informacije z Europolovim Evropskim centrom za boj proti kibernetski kriminaliteti.
6. CERT-EU lahko zagotavlja naslednje storitve, ki niso opisane v njegovem katalogu storitev (storitve, ki se zaračunajo):
| (a) | storitve, ki podpirajo kibernetsko varnost okolja IKT subjektov Unije, razen storitev iz odstavka 3, in sicer na podlagi sporazumov o ravni storitev in glede na razpoložljive vire, zlasti spremljanje mreže širokega spektra, vključno s primarnim spremljanjem 24 ur na dan sedem dni v tednu za zelo resne kibernetske grožnje; |
| (b) | storitve, ki podpirajo operacije ali projekte subjektov Unije za kibernetsko varnost, razen tistih za zaščito njihovih okolij IKT, in sicer na podlagi pisnih sporazumov in s predhodno odobritvijo IICB; |
| (c) | na zahtevo proaktivno pregledovanje omrežnih in informacijskih sistemov zadevnega subjekta Unije, da se odkrijejo ranljivosti, ki bi lahko imele pomemben vpliv; |
| (d) | storitve, ki podpirajo varnost okolja IKT organizacij, ki niso subjekti Unije, ki tesno sodelujejo s subjekti Unije, ker so jim na primer bile dodeljene naloge ali odgovornosti na podlagi prava Unije, na podlagi pisnih sporazumov in s predhodno odobritvijo IICB. |
V zvezi s prvim pododstavkom, točka (d), lahko CERT-EU s predhodno odobritvijo IICB izjemoma sklene sporazume o ravni storitev s subjekti, ki niso subjekti Unije.
7. CERT-EU organizira vaje na področju kibernetske varnosti in lahko v njih sodeluje ali priporoča udeležbo na obstoječih vajah, v tesnem sodelovanju z agencijo ENISA, kadar je to primerno, da preizkusi raven kibernetske varnosti subjektov Unije.
8. CERT-EU lahko subjektom Unije zagotovi pomoč v zvezi z incidenti v omrežnih in informacijskih sistemih, v katerih se obravnavajo tajni podatki EU, kadar zadevni subjekti Unije to izrecno zahtevajo v skladu s svojimi postopki. Zagotavljanje pomoči s strani CERT-EU na podlagi tega odstavka ne posega v veljavna pravila v zvezi z varstvom tajnih podatkov.
9. CERT-EU obvesti subjekte Unije o svojih postopkih in procesih obvladovanja incidentov.
10. CERT-EU z visoko stopnjo zaupnosti in zanesljivosti prek ustreznih mehanizmov sodelovanja in linij poročanja prispeva ustrezne in anonimizirane informacije o večjih incidentih in načinu, kako se jih je obravnavalo. Te informacije se vključijo v poročilo iz člena 10(14).
11. CERT-EU v sodelovanju z ENVP podpira zadevne subjekte Unije pri obravnavanju incidentov, katerih posledica je kršitev varstva osebnih podatkov, pri čemer se ne posega v pristojnosti in naloge ENVP kot nadzornega organa na podlagi Uredbe (EU) 2018/1725.
12. CERT-EU lahko, če to izrecno zahtevajo službe subjektov Unije, ki skrbijo za vprašanja politike, zagotavlja tehnične nasvete ali prispevek o ustreznih zadevah politike.
Člen 17
Sodelovanje CERT-EU s sorodnimi organi iz držav članic
1. CERT-EU brez nepotrebnega odlašanja sodeluje in si izmenjuje informacije s sorodnimi organi iz držav članic, zlasti skupinami CSIRT, imenovanimi ali ustanovljenimi na podlagi člena 10 Direktive (EU) 2022/2555, ali, kadar je ustrezno, pristojnimi organi in enotnimi kontaktnimi točkami, imenovanimi ali ustanovljenimi na podlagi člena 8 navedene direktive, v zvezi z incidenti, kibernetskimi grožnjami, ranljivostmi, skorajšnjimi incidenti, možnimi protiukrepi in dobrimi praksami ter vsemi zadevami, pomembnimi za izboljšanje zaščite okolij IKT subjektov Unije, vključno prek mreže skupin CSIRT, vzpostavljene na podlagi člena 15 Direktive (EU) 2022/2555. CERT-EU podpira Komisijo v mreži EU-CyCLONe, ustanovljeni na podlagi člena 16 Direktive (EU) 2022/2555 za usklajeno obvladovanje kibernetskih incidentov velikih razsežnosti in kriz.
2. Kadar CERT-EU izve za pomembni incident na ozemlju države članice, brez odlašanja v skladu z odstavkom 1 uradno obvesti vse ustrezne sorodne organe v tej državi članici.
3. CERT-EU brez nepotrebnega odlašanja in pod pogojem, da so osebni podatki zaščiteni v skladu z veljavnim pravom Unije o varstvu podatkov, s sorodnimi organi v državah članicah izmenjuje ustrezne informacije o posameznem incidentu, da se lažje odkrivajo podobne kibernetske grožnje ali incidenti ali prispeva k analizi incidenta, brez dovoljenja prizadetega subjekta Unije. CERT-EU informacije o posameznem incidentu, ki razkrivajo identiteto tarče incidenta, izmenjuje le, če:
| (a) | prizadeti subjekt Unije da soglasje; |
| (b) | prizadeti subjekt Unije ne soglaša, kot je določeno v točki (a), vendar bi razkritje identitete prizadetega subjekta Unije povečalo verjetnost, da bi se incidentom drugje izognili ali jih ublažili; |
| (c) | je prizadeti subjekt Unije že javno objavil, da je bil prizadet. |
Odločitve o izmenjavi informacij o posameznem incidentu, ki razkrivajo identiteto tarče incidenta na podlagi prvega pododstavka, točka (b), potrdi vodja CERT-EU. CERT-EU pred izdajo take odločitve pisno stopi v stik s prizadetim subjektom Unije in jasno pojasni, kako bi razkritje njegove identitete pomagalo preprečiti ali ublažiti incidente drugje. Vodja CERT-EU zagotovi pojasnilo in od subjekta Unije izrecno zahteva, da v določenem roku navede, ali soglaša. Vodja CERT-EU subjekt Unije tudi obvesti, da si glede na predloženo pojasnilo pridržuje pravico do razkritja informacij, tudi če soglasje ni bilo predloženo. Prizadeti subjekt Unije se obvesti pred razkritjem informacij.
Člen 25
Pregled
1. IICB ob pomoči CERT-EU do 8. januarja 2025 ter nato vsako leto poroča Komisiji o izvajanju te uredbe. IICB lahko Komisiji izda tudi priporočila, naj pregleda to uredbo.
2. Komisija do 8. januarja 2027 ter nato vsaki dve leti oceni izvajanje te uredbe ter izkušnje, pridobljene na strateški in operativni ravni, ter o njih poroča Evropskemu parlamentu in Svetu.
V poročilo iz prvega pododstavka tega odstavka se vključi pregled iz člena 16(1) o možnosti ustanovitve CERT-EU kot urada Unije.
3. Komisija do 8. januarja 2029 oceni delovanje te uredbe ter Evropskemu parlamentu, Svetu, Evropskemu ekonomsko-socialnemu odboru in Odboru regij predloži poročilo. Komisija oceni tudi ustreznost vključitve omrežnih in informacijskih sistemov, ki obravnavajo tajne podatke EU, na področje uporabe te uredbe, pri čemer upošteva druge zakonodajne akte Unije, ki se uporabljajo za te sisteme. Poročilu se po potrebi priloži zakonodajni predlog.
whereas