keyboard_tab Cyber Resilience Act 2023/2841 SL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Člen 20 Dogovori o izmenjavi informacij o kibernetski varnosti
- 2 Člen 21 Obveznosti poročanja
POGLAVJE I
SPLOŠNE DOLOČBE
POGLAVJE II
UKREPI ZA VISOKO SKUPNO RAVEN KIBERNETSKE VARNOSTI
POGLAVJE III
MEDINSTITUCIONALNI ODBOR ZA KIBERNETSKO VARNOST
POGLAVJE IV
CERT-EU
POGLAVJE V
OBVEZNOSTI SODELOVANJA IN POROČANJA
POGLAVJE VI
KONČNE DOLOČBE
- unije 20
- cert-eu 15
- lahko 12
- incident 10
- informacije 10
- podlagi 8
- incidenta 8
- brez 8
- poročilo 6
- odlašanja 6
- subjekti 6
- nepotrebnega 6
- incidente 5
- člena 5
- informacij 5
- priglasitve 5
- priglasitev 4
- pomemben 4
- kadar 4
- tega 4
- incidentih 4
- vpliv 4
- zahtevo 4
- druge 4
- člena 4
- bila 4
- subjekta 3
- potrebi 3
- katerih 3
- vključno 3
- pomembni 3
- subjektu 3
- čezmejni 3
- subjekte 3
- subjekt 3
- izmenjava 3
- poročanja 3
- ukrepe 3
- ustrezno 3
- pomembnega 3
- v vsakem 3
- primeru 3
- učinek 3
- opozorilo 2
- oznako 2
- posreduje 2
- izključena 2
- z vidno 2
- razen 2
- njihova 2
Člen 20
Dogovori o izmenjavi informacij o kibernetski varnosti
1. Subjekti Unije lahko CERT-EU prostovoljno priglasijo incidente, kibernetske grožnje, skorajšnje incidente in ranljivosti, ki vplivajo nanje, ter mu zagotovijo informacije o njih. CERT-EU poskrbi, da so na voljo učinkovita komunikacijska sredstva, in sicer z visoko ravnjo sledljivosti, zaupnosti in zanesljivosti, da se olajša izmenjava informacij s subjekti Unije. Pri obdelavi priglasitev lahko CERT-EU da prednost obdelavi obveznih priglasitev pred prostovoljnimi. Brez poseganja v člen 12 se zaradi prostovoljne priglasitve poročajočemu subjektu Unije ne nalagajo dodatne obveznosti, ki zanj ne bi veljale, če priglasitve ne bi opravil.
2. Da bi CERT-EU lahko izvajal svoje poslanstvo in naloge, podeljene na podlagi člena 13, lahko CERT-EU od subjektov Unije zahteva predložitev informacij iz njihovih zbirk sistemov ICT, kar vključuje informacije v zvezi s kibernetskimi grožnjami, skorajšnjimi incidenti, ranljivostmi, kazalniki ogroženosti, kibernetskovarnostnimi opozorili in priporočili glede konfiguracije kibernetskovarnostnih orodij za odkrivanje incidentov. Subjekt Unije brez nepotrebnega odlašanja posreduje zahtevane informacije in vse njihove naknadne posodobitve.
3. CERT-EU si lahko informacije o posameznem incidentu, ki razkrivajo identiteto subjekta Unije, ki ga je prizadel incident, izmenjuje s subjekti Unije, če prizadeti subjekt Unije s tem soglaša. Kadar subjekt Unije odkloni soglasje, predloži CERT-EU razloge, ki utemeljujejo to odločitev.
4. Subjekti Unije na zahtevo izmenjujejo informacije z Evropskim parlamentom in Svetom o dokončanju načrtov za kibernetsko varnost.
5. IICB ali CERT-EU, kot je ustrezno, posreduje smernice, priporočila in pozive k ukrepanju Evropskemu parlamentu in Svetu na njuno zahtevo.
6. Obveznosti izmenjave iz tega člena ne veljajo za:
| (a) | tajne podatke EU; |
| (b) | informacije, katerih nadaljnja distribucija je bila izključena z vidno oznako, razen če je bila njihova izmenjava s CERT-EU izrecno dovoljena. |
Člen 21
Obveznosti poročanja
1. Incident se šteje za pomembnega, če:
| (a) | je zadevnemu subjektu Unije povzročil ali bi mu lahko povzročil znatne operativne motnje pri delovanju ali finančno izgubo; |
| (b) | je vplival ali bi lahko vplival na druge fizične ali pravne osebe s povzročitvijo precejšnje premoženjske ali nepremoženjske škode. |
2. Subjekti Unije CERT-EU predložijo:
| (a) | brez nepotrebnega odlašanja, v vsakem primeru pa v 24 urah po tem, ko izvejo za pomembni incident, zgodnje opozorilo, iz katerega je po možnosti razvidno, da je bil pomemben incident domnevno povzročen z nezakonitim ali zlonamernim dejanjem ali da bi lahko imel vpliv na druge subjekte ali čezmejni vpliv; |
| (b) | brez nepotrebnega odlašanja, v vsakem primeru pa v 72 urah po tem, ko izvejo za pomembni incident, priglasitev incidenta, s katero se po potrebi posodobijo informacije iz točke (a) in navede začetna ocena pomembnega incidenta, vključno z njegovo resnostjo in vplivom ter kazalniki ogroženosti, kadar so ti na voljo; |
| (c) | na zahtevo organa CERT-EU vmesno poročilo o ustreznih posodobitvah stanja; |
| (d) | končno poročilo, najpozneje v enem mesecu po predložitvi priglasitve incidenta na podlagi točke (b), ki vključuje:
|
| (e) | v primeru incidenta, ki je ob predložitvi končnega poročila iz točke (d) še vedno v teku, poročilo o napredku, končno poročilo pa najpozneje en mesec po razrešitvi incidenta. |
3. Subjekt Unije brez nepotrebnega odlašanja, v vsakem primeru pa v 24 urah po tem, ko izve za pomembni incident, obvesti vse ustrezne sorodne organe držav članic iz člena 17(1) v državi članici, v kateri se nahaja, da se je zgodil pomemben incident.
4. Subjekti Unije med drugim priglasijo vse informacije, na podlagi katerih lahko CERT-EU ugotovi morebitni učinek na druge subjekte, učinek na državo članico gostiteljico ali čezmejni učinek pomembnega incidenta. Brez poseganja v člen 12 samo dejanje priglasitve ne nalaga dodatne odgovornosti subjektu, ki tako priglasitev izvede.
5. Subjekti Unije po potrebi in brez nepotrebnega odlašanja sporočijo uporabnikom prizadetih omrežnih in informacijskih sistemov ali drugih komponent okolja IKT, na katere lahko vpliva pomemben incident ali pomembna kibernetska grožnja in ki morajo, kadar je to ustrezno, sprejeti blažilne ukrepe, o vseh ukrepih ali pravnih sredstvih, ki jih lahko sprejmejo v odziv na incident ali grožnjo. Kadar je primerno, subjekti Unije obvestijo te uporabnike o pomembni kibernetski grožnji kot taki.
6. Kadar pomemben incident ali pomembna kibernetska grožnja prizadene omrežni in informacijski sistem ali komponento okolja IKT subjekta Unije, ki je načrtno povezana z okoljem IKT drugega subjekta Unije, CERT-EU izda ustrezno kibernetskovarnostno opozorilo.
7. Subjekti Unije na zahtevo CERT-EU brez nepotrebnega odlašanja posredujejo CERT-EU digitalne informacije, ustvarjene z uporabo elektronskih naprav, ki so vpete v zadevne incidente. CERT-EU lahko dodatno pojasni vrste informacij, ki jih potrebuje za situacijsko zavedanje in odzivanje na incidente.
8. CERT-EU predloži IICB, ENISA, EU INTCEN in mreži skupin CSIRT vsake tri mesece zbirno poročilo, vključno z anonimiziranimi in zbirnimi podatki o pomembnih incidentih, incidentih, kibernetskih grožnjah, skorajšnjih incidentih in ranljivostih na podlagi člena 20 ter pomembnih incidentih, priglašenih na podlagi odstavka 2 tega člena. Zbirno poročilo je prispevek k dveletnemu poročilu o stanju kibernetske varnosti v Uniji, ki se sprejme na podlagi člena 18 Direktive (EU) 2022/2555.
9. IICB do 8. julija 2024 izda smernice ali priporočila, v katerih podrobneje opredeli ureditve za poročanje ter obliko in vsebino poročanja na podlagi tega člena. IICB pri pripravi takih smernic ali priporočil upošteva vse izvedbene akte, sprejete na podlagi člena 23(11) Direktive (EU) 2022/2555, v katerih so določeni vrsta informacij, oblika in postopek priglasitve. CERT-EU razširja ustrezne tehnične podrobnosti, da se subjektom Unije omogočijo proaktivno odkrivanje, odzivanje na incidente ali blažilni ukrepi.
10. Obveznosti poročanja iz tega člena ne veljajo za:
| (a) | tajne podatke EU; |
| (b) | informacije, katerih nadaljnja distribucija je bila izključena z vidno oznako, razen če je bila njihova izmenjava s CERT-EU izrecno dovoljena. |
whereas