keyboard_tab Cyber Resilience Act 2023/2841 SL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Člen 10 Medinstitucionalni odbor za kibernetsko varnost
- 7 Člen 11 Naloge IICB
- 2 Člen 14 Smernice, priporočila in pozivi k ukrepanju
- 2 Člen 22 Usklajevanje odzivanja na incidente in sodelovanje
- 1 Člen 25 Pregled
- Člen 26 Začetek veljavnosti
POGLAVJE I
SPLOŠNE DOLOČBE
POGLAVJE II
UKREPI ZA VISOKO SKUPNO RAVEN KIBERNETSKE VARNOSTI
POGLAVJE III
MEDINSTITUCIONALNI ODBOR ZA KIBERNETSKO VARNOST
POGLAVJE IV
CERT-EU
POGLAVJE V
OBVEZNOSTI SODELOVANJA IN POROČANJA
POGLAVJE VI
KONČNE DOLOČBE
- unije 38
- cert-eu 28
- iicb 22
- podlagi 14
- subjektov 13
- varnosti 11
- kibernetsko 10
- varnost 10
- iicb 10
- uredbe 10
- kibernetske 10
- predloga 9
- lahko 9
- odobri 9
- člena 8
- informacij 7
- potrebi 7
- priporočila 7
- imenuje 6
- evropski 6
- subjekte 6
- v zvezi 6
- subjekti 6
- obvladovanje 5
- v skladu 5
- odbor 5
- vodje 5
- direktive 5
- izvajanje 5
- eu / 5
- cert-eu 5
- sprejme 5
- vključno 5
- ravni 5
- januarja 5
- agencij 4
- evropskemu 4
- spremlja 4
- poročilo 4
- mreže 4
- podpira 4
- storitev 4
- incident 4
- incidente 4
- področju 4
- tveganj 4
- razen 4
- smernice 4
- k ukrepanju 4
- sodelovanju 4
Člen 10
Medinstitucionalni odbor za kibernetsko varnost
1. Ustanovi se Medinstitucionalni odbor za kibernetsko varnost (IICB).
2. IICB je odgovoren za:
| (a) | spremljanje in podpiranje izvajanja te uredbe s strani subjektov Unije; |
| (b) | nadzor nad izvajanjem splošnih prednostnih nalog in ciljev CERT-EU ter zagotavljanje strateških usmeritev za CERT-EU. |
3. IICB sestavljajo:
| (a) | po en predstavnik, ki ga imenuje vsak od navedenih:
|
| (b) | trije predstavniki, ki jih imenuje mreža agencij EU (EUAN) na predlog svojega svetovalnega odbora za IKT in ki zastopajo interese organov, uradov in agencij Unije, ki upravljajo svoje lastno okolje IKT, razen tistih iz točke (a). |
Subjekti Unije, zastopani v IICB, si prizadevajo za uravnoteženo zastopanost spolov med imenovanimi predstavniki.
4. Članom IICB lahko pomaga namestnik. Predsednik lahko povabi druge predstavnike subjektov Unije iz odstavka 3 ali drugih subjektov Unije, da se udeležijo sestankov IICB brez pravice do glasovanja.
5. Vodja CERT-EU ter predsedniki skupine za sodelovanje, mreže skupin CSIRT in mreže EU-CyCLONe, ustanovljenih na podlagi členov 14, 15 in 16 Direktive (EU) 2022/2555, ali njihovi namestniki lahko sodelujejo na sestankih IICB kot opazovalci. V izjemnih primerih lahko IICB v skladu s svojim notranjim poslovnikom odloči drugače.
6. IICB sprejme svoj notranji poslovnik.
7. IICB v skladu s svojim notranjim poslovnikom med svojimi člani imenuje predsednika za obdobje treh let. Predsednikov namestnik postane polnopravni član IICB za enako obdobje.
8. IICB se vsaj trikrat na leto sestane na pobudo svojega predsednika, na zahtevo CERT-EU ali na zahtevo katerega koli svojega člana.
9. Vsak član IICB ima en glas. IICB odločitve sprejema z navadno večino, razen če je v tej uredbi določeno drugače. Predsednik IICB ne glasuje, razen v primeru neodločenega izida glasovanja, ko ima odločilni glas.
10. IICB lahko deluje po poenostavljenem pisnem postopku, ki se začne v skladu z njegovim notranjim poslovnikom. Na podlagi tega postopka se zadevna odločitev šteje za odobreno v roku, ki ga določi predsednik, razen v primeru ugovora člana.
11. Sekretariat IICB zagotavlja Komisija in je odgovoren predsedniku IICB.
12. Predstavniki, ki jih imenuje mreža agencij EU, odločitve IICB posredujejo članom te mreže. Vsak član mreže agencij EU ima pravico, da na te predstavnike ali predsednika IICB naslovi katero koli vprašanje, za katero meni, da bi ga IICB moral obravnavati.
13. IICB lahko ustanovi izvršni odbor, ki mu pomaga pri delu ter na katerega prenese nekaj svojih nalog in pooblastil. IICB določi poslovnik izvršnega odbora, vključno z njegovimi nalogami in pooblastili, ter mandati njegovih članov.
14. IICB do 8. januarja 2025 in nato vsako leto Evropskemu parlamentu in Svetu predloži poročilo, v katerem podrobno opiše napredek pri izvajanju te uredbe in navede zlasti obseg sodelovanja CERT-EU s sorodnimi organi držav članic v vsaki državi članici. Poročilo je prispevek k dvoletnemu poročilu o stanju kibernetske varnosti v Uniji, sprejetem na podlagi člena 18 Direktive (EU) 2022/2555.
Člen 11
Naloge IICB
IICB pri izvrševanju svojih dolžnosti zlasti:
| (a) | zagotavlja usmeritve vodji CERT-EU; |
| (b) | učinkovito spremlja in nadzoruje izvajanje te uredbe ter subjekte Unije podpira pri izboljševanju njihove kibernetske varnosti, po potrebi tudi tako, da od subjektov Unije in CERT-EU zahteva ad hoc poročila; |
| (c) | po strateški razpravi sprejme večletno strategijo za dvig ravni kibernetske varnosti v subjektih Unije, to strategijo redno ocenjuje, in v vsakem primeru vsakih pet let, ter jo po potrebi spremeni; |
| (d) | pripravi metodologijo in organizacijske vidike za izvajanje prostovoljnih medsebojnih strokovnih pregledov s strani subjektov Unije, da bi se učili iz skupnih izkušenj, okrepili medsebojno zaupanje, dosegli visoko skupno raven kibernetske varnosti ter okrepili zmogljivosti subjektov Unije na področju kibernetske varnosti, pri čemer te medsebojne strokovne preglede izvajajo strokovnjaki za kibernetsko varnost, ki jih imenuje subjekt Unije, ki ni subjekt Unije, ki se pregleduje, metodologija pa temelji na členu 19 Direktive (EU) 2022/2555 in je po potrebi prilagojena subjektom Unije; |
| (e) | na podlagi predloga vodje CERT-EU odobri letni delovni program CERT-EU in spremlja njegovo izvajanje; |
| (f) | na podlagi predloga vodje CERT-EU odobri katalog storitev CERT-EU in vse posodobitve tega kataloga; |
| (g) | na podlagi predloga vodje CERT-EU odobri letno finančno načrtovanje prihodkov in izdatkov, vključno z osebjem, za dejavnosti CERT-EU; |
| (h) | na podlagi predloga vodje CERT-EU odobri ureditve izvajanja sporazumov o ravni storitev; |
| (i) | preuči in odobri letno poročilo, ki ga pripravi vodja CERT-EU in ki zajema dejavnosti in upravljanje sredstev CERT-EU; |
| (j) | odobri in spremlja ključne kazalnike uspešnosti za CERT-EU, določene na podlagi predloga vodje CERT-EU; |
| (k) | odobri dogovore o sodelovanju ter sporazume ali pogodbe o ravni storitev med CERT-EU in drugimi subjekti na podlagi člena 18; |
| (l) | sprejme smernice in priporočila na podlagi predloga CERT-EU v skladu s členom 14 ter CERT-EU naroči izdajo, umik ali spremembo predloga smernic ali priporočil ali poziva k ukrepanju; |
| (m) | vzpostavi tehnične svetovalne skupine s posebnimi nalogami za pomoč IICB pri njegovem delu, odobri njihove mandate in imenuje njihove predsednike; |
| (n) | prejema in ocenjuje dokumente in poročila, ki jih na podlagi te uredbe predložijo subjekti Unije, kot so ocene kibernetskovarnostne zrelosti; |
| (o) | podpira ustanovitev neformalne skupine lokalnih uradnikov za kibernetsko varnost subjektov Unije ob podpori ENISA, da bi olajšali izmenjavo dobrih praks in informacij v zvezi z izvajanjem te uredbe; |
| (p) | ob upoštevanju informacij o ugotovljenih tveganjih za kibernetsko varnost in pridobljenih izkušnjah, ki jih posreduje CERT-EU, spremlja ustreznost ureditev medsebojne povezljivosti med okolji IKT subjektov Unije ter svetuje o možnih izboljšavah; |
| (q) | pripravi načrt za obvladovanje kibernetskih kriz, da se na operativni ravni podpre usklajeno obvladovanje večjih incidentov, ki vplivajo na subjekte Unije, in prispeva k redni izmenjavi ustreznih informacij, zlasti o vplivu in resnosti večjih incidentov ter možnih načinih za blažitev njihovih posledic; |
| (r) | usklajuje sprejemanje načrtov za obvladovanje kibernetskih kriz iz člena 9(2) za posamezne subjekte Unije; |
| (s) | sprejme priporočila o varnosti dobavne verige iz člena 8(2), prvi pododstavek, točka (m), pri čemer upošteva rezultate usklajenih ocen varnostnih tveganj na ravni Unije za kritične dobavne verige iz člena 22 Direktive (EU) 2022/2555 v podporo subjektom Unije pri sprejemanju učinkovitih in sorazmernih ukrepov za obvladovanje tveganj za kibernetsko varnost. |
Člen 14
Smernice, priporočila in pozivi k ukrepanju
1. CERT-EU podpira izvajanje te uredbe z izdajo:
| (a) | pozivov k ukrepanju, ki opisujejo nujne varnostne ukrepe, ki naj bi jih subjekti Unije nujno sprejeli v določenem časovnem obdobju; |
| (b) | predlogov za IICB za smernice, naslovljene na vse ali podskupino subjektov Unije; |
| (c) | predlogov za IICB za priporočila, naslovljena na posamezne subjekte Unije. |
V zvezi s prvim pododstavkom, točka (a), zadevni subjekt Unije po prejemu poziva k ukrepanju brez nepotrebnega odlašanja obvesti CERT-EU o tem, kako so se nujni varnostni ukrepi izvajali.
2. Smernice in priporočila lahko vključujejo:
| (a) | skupne metodologije in model za oceno kibernetskovarnostne zrelosti subjektov Unije, vključno z ustreznimi lestvicami ali ključnimi kazalniki uspešnosti, ki služijo kot referenca v podporo stalnemu izboljševanju kibernetske varnosti v vseh subjektih Unije ter olajšujejo prednostno razvrščanje področij in ukrepov na področju kibernetske varnosti ob upoštevanju odnosa subjektov do kibernetske varnosti; |
| (b) | ureditve obvladovanja tveganj za kibernetsko varnost ali njegove izboljšave in ukrepe za obvladovanje tveganj za kibernetsko varnost; |
| (c) | ureditve ocen kibernetskovarnostne zrelosti in načrtov za kibernetsko varnost; |
| (d) | kadar je primerno, uporabo skupne tehnologije, arhitekture, odprtokodnih in povezanih dobrih praks s ciljem doseganja interoperabilnosti in skupnih standardov, vključno z usklajenim pristopom k varnosti dobavne verige; |
| (e) | po potrebi informacije za lažjo uporabo instrumentov za skupna javna naročila za nakup ustreznih storitev in izdelkov na področju kibernetske varnosti od tretjih dobaviteljev; |
| (f) | dogovori o izmenjavi informacij na podlagi člena 20. |
Člen 22
Usklajevanje odzivanja na incidente in sodelovanje
1. CERT-EU, ki deluje kot vozlišče za izmenjavo informacij o kibernetski varnosti in usklajevanje odzivanja na incidente, olajša izmenjavo informacij v zvezi z incidenti, kibernetskimi grožnjami, ranljivostmi in skorajšnjimi incidenti med:
| (a) | subjekti Unije; |
| (b) | sorodnimi organi iz členov 17 in 18. |
2. CERT-EU po potrebi v tesnem sodelovanju z ENISA olajša usklajevanje med subjekti Unije v zvezi z odzivanjem na incidente, vključno s:
| (a) | prispevkom k doslednemu zunanjemu komuniciranju; |
| (b) | medsebojno podporo, kot je izmenjava informacij, pomembnih za subjekte Unije, ali zagotavljanje pomoči, po potrebi neposredno na kraju samem; |
| (c) | optimalno uporabo operativnih virov; |
| (d) | usklajevanjem z drugimi mehanizmi za odzivanje na krize na ravni Unije. |
3. CERT-EU v tesnem sodelovanju z ENISA podpira subjekte Unije v zvezi s situacijskim zavedanjem o incidentih, kibernetskih grožnjah, ranljivostih, in skorajšnjih incidentih ter pri izmenjavi najnovejših dosežkov na področju kibernetske varnosti.
4. IICB do 8. januarja 2025 na podlagi predloga CERT-EU sprejme smernice ali priporočila o usklajevanju odzivanja na incidente in sodelovanju v zvezi s pomembnimi incidenti. Kadar obstaja sum, da je incident kaznivo dejanje, CERT-EU svetuje o tem, kako incident brez nepotrebnega odlašanja prijaviti organom kazenskega pregona.
5. CERT-EU lahko na posebno zahtevo države članice in z odobritvijo zadevnih subjektov Unije povabi strokovnjake s seznama iz člena 23(4), da prispevajo k odzivu na večji incident, ki vpliva na to državo članico, ali kibernetski incident velikih razsežnosti v skladu s členom 15(3), točka (g), Direktive (EU) 2022/2555. IICB na podlagi predloga CERT-EU odobri posebna pravila o dostopu do tehničnih strokovnjakov iz subjektov Unije ter njihovem sodelovanju.
Člen 25
Pregled
1. IICB ob pomoči CERT-EU do 8. januarja 2025 ter nato vsako leto poroča Komisiji o izvajanju te uredbe. IICB lahko Komisiji izda tudi priporočila, naj pregleda to uredbo.
2. Komisija do 8. januarja 2027 ter nato vsaki dve leti oceni izvajanje te uredbe ter izkušnje, pridobljene na strateški in operativni ravni, ter o njih poroča Evropskemu parlamentu in Svetu.
V poročilo iz prvega pododstavka tega odstavka se vključi pregled iz člena 16(1) o možnosti ustanovitve CERT-EU kot urada Unije.
3. Komisija do 8. januarja 2029 oceni delovanje te uredbe ter Evropskemu parlamentu, Svetu, Evropskemu ekonomsko-socialnemu odboru in Odboru regij predloži poročilo. Komisija oceni tudi ustreznost vključitve omrežnih in informacijskih sistemov, ki obravnavajo tajne podatke EU, na področje uporabe te uredbe, pri čemer upošteva druge zakonodajne akte Unije, ki se uporabljajo za te sisteme. Poročilu se po potrebi priloži zakonodajni predlog.
whereas