search

keyboard_tab Cyber Resilience Act 2023/2841 SL

 BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf

2023/2841 SL cercato: 's cert-eu' . Output generated live by software developed by IusOnDemand srl


expand index s cert-eu:

    POGLAVJE I
    SPLOŠNE DOLOČBE

    POGLAVJE II
    UKREPI ZA VISOKO SKUPNO RAVEN KIBERNETSKE VARNOSTI

    POGLAVJE III
    MEDINSTITUCIONALNI ODBOR ZA KIBERNETSKO VARNOST

    POGLAVJE IV
    CERT-EU

    POGLAVJE V
    OBVEZNOSTI SODELOVANJA IN POROČANJA

    POGLAVJE VI
    KONČNE DOLOČBE


whereas s cert-eu:


definitions:


cloud tag: and the number of total unique words without stopwords is: 912

 

Člen 8

Ukrepi za obvladovanje tveganj za kibernetsko varnost

1.   Brez nepotrebnega odlašanja in v vsakem primeru 8. septembra 2025 vsak subjekt Unije pod nadzorom svoje najvišje ravni vodenja sprejme ustrezne in sorazmerne tehnične, operativne in organizacijske ukrepe za obvladovanje tveganj za kibernetsko varnost, opredeljene v okviru, in da se prepreči ali čim bolj zmanjša učinek incidentov. Ob upoštevanju najsodobnejših in po potrebi ustreznih evropskih in mednarodnih standardov ti ukrepi zagotavljajo raven varnosti omrežnih in informacijskih sistemov v celotnem okolju IKT, ki je sorazmerna s tveganji za kibernetsko varnost. Pri ocenjevanju sorazmernosti teh ukrepov se ustrezno upoštevajo stopnja izpostavljenosti subjekta Unije tveganjem za kibernetsko varnost, njegova velikost ter verjetnost pojava incidentov in njihova resnost, vključno z njihovim družbenim, gospodarskim in medinstitucionalnim vplivom.

2.   Subjekti Unije pri izvajanju ukrepov za obvladovanje tveganj za kibernetsko varnost obravnavajo vsaj naslednja področja:

(a)

politiko na področju kibernetske varnosti, vključno z ukrepi, potrebnimi za uresničevanje ciljev in prednostnih nalog iz člena 6 in odstavka 3 tega člena;

(b)

politike o analizi tveganj za kibernetsko varnost in o varnosti informacijskih sistemov;

(c)

cilje politike glede uporabe storitev računalništva v oblaku;

(d)

po potrebi revizijo kibernetske varnosti, ki lahko vključuje oceno tveganj za kibernetsko varnost, ranljivosti in kibernetskih groženj ter penetracijsko testiranje, ki ga redno izvaja zaupanja vreden zasebni ponudnik;

(e)

izvajanje priporočil, pripravljenih na podlagi revizij kibernetske varnosti iz točke (d), in sicer s posodobitvijo kibernetske varnosti in politik;

(f)

organizacijo kibernetske varnosti, vključno z določitvijo vlog in odgovornosti;

(g)

upravljanje sredstev, vključno s popisom sredstev IKT in kartografijo omrežja IKT;

(h)

varnost človeških virov in nadzor dostopa;

(i)

varnost operacij;

(j)

varnost komunikacij;

(k)

pridobivanje, razvoj in vzdrževanje sistema, vključno s politikami o obravnavi in razkrivanju ranljivosti;

(l)

po možnosti politike o preglednosti izvorne kode;

(m)

varnost dobavne verige, vključno z varnostnimi vidiki odnosov med vsakim subjektom Unije in njegovimi neposrednimi dobavitelji ali ponudniki storitev;

(n)

obvladovanje incidentov in sodelovanje s cert-eu, kot je vzdrževanje varnostnega spremljanja in vodenja dnevnikov;

(o)

upravljanje neprekinjenega poslovanja, kot je upravljanje varnostnih kopij in vnovična vzpostavitev delovanja po nepredvidljivih dogodkih, ter obvladovanje kriz ter

(p)

spodbujanje in razvoj izobraževanja, spretnosti, ozaveščanja, vaj in programov usposabljanja na področju kibernetske varnosti.

Za namene prvega pododstavka, točka (m), subjekti Unije upoštevajo ranljivosti, značilne za vsakega neposrednega dobavitelja in ponudnika storitev, ter splošno kakovost proizvodov in praks svojih dobaviteljev in ponudnikov storitev na področju kibernetske varnosti, vključno z njihovimi postopki varnega razvoja.

3.   Subjekti Unije sprejmejo vsaj naslednje posebne ukrepe za obvladovanje tveganj za kibernetsko varnost:

(a)

tehnične ureditve za omogočanje in ohranjanje dela na daljavo;

(b)

konkretne ukrepe za prehod na načela ničelnega zaupanja;

(c)

uporabo večfaktorske avtentifikacije kot norme v omrežnih in informacijskih sistemih;

(d)

uporabo kriptografije in šifriranja, zlasti šifriranja od konca do konca ter varnega digitalnega podpisovanja;

(e)

kadar je primerno, vzpostavitev varnega glasovnega, video- in besedilnega sporočanja ter varnih sistemov za komunikacijo v sili znotraj subjekta Unije;

(f)

proaktivne ukrepe za odkrivanje in odstranjevanje zlonamerne in vohunske programske opreme;

(g)

vzpostavitev varnosti dobavne verige programske opreme z merili za razvoj in oceno varne programske opreme;

(h)

vzpostavitev in sprejetje programov za usposabljanje o kibernetski varnosti, ki so sorazmerni s predpisanimi nalogami in pričakovanimi zmogljivostmi najvišje ravni vodenja ter članov osebja subjekta Unije, ki je zadolženo za zagotavljanje učinkovitega izvajanja te uredbe;

(i)

redno usposabljanje zaposlenih na področju kibernetske varnosti;

(j)

kadar je ustrezno, udeležbo pri analizah tveganja medsebojne povezljivosti med subjekti Unije;

(k)

krepitev pravil o javnem naročanju, da se omogoči visoka skupna raven kibernetske varnosti, in sicer:

(i)

z odpravo pogodbenih ovir, ki omejujejo izmenjavo informacij med ponudniki storitev IKT in CERT-EU o incidentih, ranljivostih in kibernetskih grožnjah;

(ii)

s pogodbenimi obveznostmi glede poročanja o incidentih, ranljivostih in kibernetskih grožnjah ter glede vzpostavitve ustreznih mehanizmov odzivanja na incidente in njihovega spremljanja.

Člen 12

Skladnost

1.   IICB na podlagi člena 10(2) in člena 11 učinkovito spremlja izvajanje te uredbe ter sprejetih smernic, priporočil in pozivov k ukrepanju s strani subjektov Unije. IICB lahko od subjektov Unije zahteva informacije ali dokumentacijo, potrebne za ta namen. Za namen sprejetja ukrepov za skladnost na podlagi tega člena zadevni subjekt Unije, kadar je neposredno zastopan v IICB, nima glasovalnih pravic.

2.   Kadar IICB ugotovi, da subjekt Unije ni učinkovito izvajal te uredbe ali smernic, priporočil ali pozivov k ukrepanju, izdanih na podlagi te uredbe, lahko brez poseganja v notranje postopke zadevnega subjekta Unije in po tem, ko je zadevnemu subjektu Unije dal možnost, da predloži svoja opažanja:

(a)

subjektu Unije, pri katerem so bile opažene vrzeli pri izvajanju te uredbe, sporoči obrazloženo mnenje;

(b)

po posvetovanju s cert-eu zadevnemu subjektu Unije zagotovi smernice za zagotovitev, da so njegov okvir, ukrepi za obvladovanje tveganj za kibernetsko varnost, načrt za kibernetsko varnost in poročanje skladni s to uredbo v določenem obdobju;

(c)

izda opozorilo za odpravo ugotovljenih pomanjkljivosti v določenem obdobju, vključno s priporočili za spremembo ukrepov, ki jih je zadevni subjekt Unije sprejel na podlagi te uredbe;

(d)

zadevnemu subjektu Unije izda utemeljeno uradno obvestilo, v primeru, da pomanjkljivosti, ugotovljene v opozorilu, izdanem na podlagi točke (c), niso bile ustrezno odpravljene v določenem roku;

(e)

izda:

(i)

priporočilo za izvedbo revizije ali

(ii)

zahtevo, da revizijo izvede neodvisna revizijska služba;

(f)

če je ustrezno, obvesti Računsko sodišče v okviru svojih pristojnosti o domnevni neskladnosti;

(g)

izda priporočilo, naj vse države članice in subjekti Unije začasno prekinejo prenose podatkov zadevnemu subjektu Unije.

Za namene prvega pododstavka, točka (c), je krog prejemnikov opozorila ustrezno omejen, kadar je to potrebno zaradi tveganja za kibernetsko varnost.

Opozorila in priporočila, izdana na podlagi prvega pododstavka, se naslovijo na najvišjo raven vodenja zadevnega subjekta Unije.

3.   Kadar IICB sprejme ukrepe na podlagi odstavka 2, prvi pododstavek, točke (a) do (g), zadevni subjekt Unije zagotovi podrobnosti ukrepov in dejavnosti, sprejetih za odpravo domnevnih pomanjkljivosti, ki jih je ugotovil IICB. Subjekt Unije te podrobnosti predloži v razumnem roku, o katerem se dogovori z IICB.

4.   Kadar IICB meni, da subjekt Unije vztrajno krši to uredbo neposredno zaradi dejanj ali opustitev dejanj uradnika ali drugega uslužbenca Unije, tudi na najvišji ravni vodenja, IICB zahteva, da zadevni subjekt Unije sprejme ustrezne ukrepe, vključno z zahtevo, da razmisli o sprejetju disciplinskih ukrepov v skladu s pravili in postopki, določenimi v kadrovskih predpisih in vseh drugih veljavnih pravilih in postopkih. V ta namen IICB zadevnemu subjektu Unije posreduje potrebne informacije.

5.   Kadar subjekti Unije uradno obvestijo, da ne morejo spoštovati rokov iz člena 6(1) in člena 8(1), lahko IICB v ustrezno utemeljenih primerih in ob upoštevanju velikosti subjekta Unije odobri podaljšanje teh rokov.

POGLAVJE IV

CERT-EU

Člen 16

Finančne in kadrovske zadeve

1.   CERT-EU se vključi v upravno strukturo generalnega direktorata Komisije, da lahko uporablja upravne, finančne in računovodske podporne strukture Komisije, hkrati pa ohrani svoj status samostojnega medinstitucionalnega ponudnika storitev za vse subjekte Unije. Komisija obvesti IICB o upravnemu sedežu CERT-EU in o vseh spremembah v zvezi z njim. Komisija redno pregleduje upravne ureditve v zvezi s cert-eu, v vsakem primeru pa pred vzpostavitvijo večletnega finančnega okvira na podlagi člena 312 PDEU, da se lahko sprejmejo ustrezni ukrepi. Pregled vključuje možnost ustanovitve CERT-EU kot urada Unije.

2.   Pri uporabi upravnih in finančnih postopkov vodja CERT-EU deluje v pristojnosti Komisije in pod nadzorom IICB.

3.   Naloge in dejavnosti CERT-EU, vključno s storitvami, ki jih subjektom Unije zagotavlja na podlagi člena 13(3), (4), (5) in (7) ter člena 14(1) in so financirane iz razdelka večletnega finančnega okvira, namenjenega evropski javni upravi, se financirajo iz posebne proračunske vrstice proračuna Komisije. Delovna mesta, rezervirana za CERT-EU, se podrobneje opredelijo v opombi h kadrovskemu načrtu Komisije.

4.   Subjekti Unije, razen tistih iz odstavka 3 tega člena, zagotovijo CERT-EU letni finančni prispevek za kritje storitev, ki jih CERT-EU zagotavlja na podlagi navedenega odstavka. Prispevki temeljijo na usmeritvah IICB, o njih pa se vsak subjekt Unije in CERT-EU dogovorita v sporazumih o ravni storitev. Prispevki pomenijo pravičen in sorazmeren delež skupnih stroškov zagotovljenih storitev. Zbirajo se na posebni proračunski vrstici iz odstavka 3 tega člena kot notranji namenski prejemki, kot je določeno v členu 21(3), točka (c), Uredbe (EU, Euratom) 2018/1046.

5.   Stroške storitev, opredeljenih v členu 13(6), krijejo subjekti Unije, ki prejemajo storitve CERT-EU. Prihodki se dodelijo proračunskim vrsticam, ki krijejo stroške.

Člen 20

Dogovori o izmenjavi informacij o kibernetski varnosti

1.   Subjekti Unije lahko CERT-EU prostovoljno priglasijo incidente, kibernetske grožnje, skorajšnje incidente in ranljivosti, ki vplivajo nanje, ter mu zagotovijo informacije o njih. CERT-EU poskrbi, da so na voljo učinkovita komunikacijska sredstva, in sicer z visoko ravnjo sledljivosti, zaupnosti in zanesljivosti, da se olajša izmenjava informacij s subjekti Unije. Pri obdelavi priglasitev lahko CERT-EU da prednost obdelavi obveznih priglasitev pred prostovoljnimi. Brez poseganja v člen 12 se zaradi prostovoljne priglasitve poročajočemu subjektu Unije ne nalagajo dodatne obveznosti, ki zanj ne bi veljale, če priglasitve ne bi opravil.

2.   Da bi CERT-EU lahko izvajal svoje poslanstvo in naloge, podeljene na podlagi člena 13, lahko CERT-EU od subjektov Unije zahteva predložitev informacij iz njihovih zbirk sistemov ICT, kar vključuje informacije v zvezi s kibernetskimi grožnjami, skorajšnjimi incidenti, ranljivostmi, kazalniki ogroženosti, kibernetskovarnostnimi opozorili in priporočili glede konfiguracije kibernetskovarnostnih orodij za odkrivanje incidentov. Subjekt Unije brez nepotrebnega odlašanja posreduje zahtevane informacije in vse njihove naknadne posodobitve.

3.   CERT-EU si lahko informacije o posameznem incidentu, ki razkrivajo identiteto subjekta Unije, ki ga je prizadel incident, izmenjuje s subjekti Unije, če prizadeti subjekt Unije s tem soglaša. Kadar subjekt Unije odkloni soglasje, predloži CERT-EU razloge, ki utemeljujejo to odločitev.

4.   Subjekti Unije na zahtevo izmenjujejo informacije z Evropskim parlamentom in Svetom o dokončanju načrtov za kibernetsko varnost.

5.   IICB ali CERT-EU, kot je ustrezno, posreduje smernice, priporočila in pozive k ukrepanju Evropskemu parlamentu in Svetu na njuno zahtevo.

6.   Obveznosti izmenjave iz tega člena ne veljajo za:

(a)

tajne podatke EU;

(b)

informacije, katerih nadaljnja distribucija je bila izključena z vidno oznako, razen če je bila njihova izmenjava s cert-eu izrecno dovoljena.

Člen 21

Obveznosti poročanja

1.   Incident se šteje za pomembnega, če:

(a)

je zadevnemu subjektu Unije povzročil ali bi mu lahko povzročil znatne operativne motnje pri delovanju ali finančno izgubo;

(b)

je vplival ali bi lahko vplival na druge fizične ali pravne osebe s povzročitvijo precejšnje premoženjske ali nepremoženjske škode.

2.   Subjekti Unije CERT-EU predložijo:

(a)

brez nepotrebnega odlašanja, v vsakem primeru pa v 24 urah po tem, ko izvejo za pomembni incident, zgodnje opozorilo, iz katerega je po možnosti razvidno, da je bil pomemben incident domnevno povzročen z nezakonitim ali zlonamernim dejanjem ali da bi lahko imel vpliv na druge subjekte ali čezmejni vpliv;

(b)

brez nepotrebnega odlašanja, v vsakem primeru pa v 72 urah po tem, ko izvejo za pomembni incident, priglasitev incidenta, s katero se po potrebi posodobijo informacije iz točke (a) in navede začetna ocena pomembnega incidenta, vključno z njegovo resnostjo in vplivom ter kazalniki ogroženosti, kadar so ti na voljo;

(c)

na zahtevo organa CERT-EU vmesno poročilo o ustreznih posodobitvah stanja;

(d)

končno poročilo, najpozneje v enem mesecu po predložitvi priglasitve incidenta na podlagi točke (b), ki vključuje:

(i)

podroben opis incidenta, vključno z njegovo resnostjo in učinkom;

(ii)

vrsto grožnje ali temeljnega vzroka, ki je verjetno sprožil incident;

(iii)

izvedene blažilne ukrepe in take ukrepe v teku;

(iv)

po potrebi čezmejni vpliv ali vpliv na druge subjekte incidenta;

(e)

v primeru incidenta, ki je ob predložitvi končnega poročila iz točke (d) še vedno v teku, poročilo o napredku, končno poročilo pa najpozneje en mesec po razrešitvi incidenta.

3.   Subjekt Unije brez nepotrebnega odlašanja, v vsakem primeru pa v 24 urah po tem, ko izve za pomembni incident, obvesti vse ustrezne sorodne organe držav članic iz člena 17(1) v državi članici, v kateri se nahaja, da se je zgodil pomemben incident.

4.   Subjekti Unije med drugim priglasijo vse informacije, na podlagi katerih lahko CERT-EU ugotovi morebitni učinek na druge subjekte, učinek na državo članico gostiteljico ali čezmejni učinek pomembnega incidenta. Brez poseganja v člen 12 samo dejanje priglasitve ne nalaga dodatne odgovornosti subjektu, ki tako priglasitev izvede.

5.   Subjekti Unije po potrebi in brez nepotrebnega odlašanja sporočijo uporabnikom prizadetih omrežnih in informacijskih sistemov ali drugih komponent okolja IKT, na katere lahko vpliva pomemben incident ali pomembna kibernetska grožnja in ki morajo, kadar je to ustrezno, sprejeti blažilne ukrepe, o vseh ukrepih ali pravnih sredstvih, ki jih lahko sprejmejo v odziv na incident ali grožnjo. Kadar je primerno, subjekti Unije obvestijo te uporabnike o pomembni kibernetski grožnji kot taki.

6.   Kadar pomemben incident ali pomembna kibernetska grožnja prizadene omrežni in informacijski sistem ali komponento okolja IKT subjekta Unije, ki je načrtno povezana z okoljem IKT drugega subjekta Unije, CERT-EU izda ustrezno kibernetskovarnostno opozorilo.

7.   Subjekti Unije na zahtevo CERT-EU brez nepotrebnega odlašanja posredujejo CERT-EU digitalne informacije, ustvarjene z uporabo elektronskih naprav, ki so vpete v zadevne incidente. CERT-EU lahko dodatno pojasni vrste informacij, ki jih potrebuje za situacijsko zavedanje in odzivanje na incidente.

8.   CERT-EU predloži IICB, ENISA, EU INTCEN in mreži skupin CSIRT vsake tri mesece zbirno poročilo, vključno z anonimiziranimi in zbirnimi podatki o pomembnih incidentih, incidentih, kibernetskih grožnjah, skorajšnjih incidentih in ranljivostih na podlagi člena 20 ter pomembnih incidentih, priglašenih na podlagi odstavka 2 tega člena. Zbirno poročilo je prispevek k dveletnemu poročilu o stanju kibernetske varnosti v Uniji, ki se sprejme na podlagi člena 18 Direktive (EU) 2022/2555.

9.   IICB do 8. julija 2024 izda smernice ali priporočila, v katerih podrobneje opredeli ureditve za poročanje ter obliko in vsebino poročanja na podlagi tega člena. IICB pri pripravi takih smernic ali priporočil upošteva vse izvedbene akte, sprejete na podlagi člena 23(11) Direktive (EU) 2022/2555, v katerih so določeni vrsta informacij, oblika in postopek priglasitve. CERT-EU razširja ustrezne tehnične podrobnosti, da se subjektom Unije omogočijo proaktivno odkrivanje, odzivanje na incidente ali blažilni ukrepi.

10.   Obveznosti poročanja iz tega člena ne veljajo za:

(a)

tajne podatke EU;

(b)

informacije, katerih nadaljnja distribucija je bila izključena z vidno oznako, razen če je bila njihova izmenjava s cert-eu izrecno dovoljena.

Člen 23

Obvladovanje večjih incidentov

1.   IICB na podlagi člena 11, točka (q), v tesnem sodelovanju s cert-eu in ENISA pripravi načrt za obvladovanje kibernetskih kriz na podlagi dejavnosti iz člena 22(2), da bi na operativni ravni podprl usklajeno obvladovanje večjih incidentov, ki vplivajo na subjekte Unije, in prispeval k redni izmenjavi ustreznih informacij med subjekti Unije in državami članicami. Načrt za obvladovanje kibernetskih kriz vključuje vsaj naslednje elemente:

(a)

ureditve glede usklajevanja in prenašanja informacij med subjekti Unije za obvladovanje večjih incidentov na operativni ravni;

(b)

skupne standardne operativne postopke (SOP);

(c)

skupno taksonomijo resnosti večjih incidentov in sprožilnih točk za krize;

(d)

redne vaje;

(e)

varne komunikacijske kanale, ki jih je treba uporabljati.

2.   Predstavnik Komisije v IICB je ob upoštevanju načrta za obvladovanje kibernetskih kriz, pripravljenega na podlagi odstavka 1 tega člena, in brez poseganja v člen 16(2), prvi pododstavek, Direktive (EU) 2022/2555, kontaktna točka za izmenjavo ustreznih informacij v zvezi z večjimi incidenti z mrežo EU-CyCLONe.

3.   CERT-EU usklajuje subjekte Unije pri obvladovanju večjih incidentov. Vzdržuje zbirko razpoložljivega tehničnega strokovnega znanja, ki bi bilo potrebno za odzivanje v primeru večjih incidentov, in pomaga IICB pri usklajevanju načrtov subjektov Unije za obvladovanje kibernetskih kriz v primeru večjih incidentov iz člena 9(2).

4.   Subjekti Unije prispevajo v zbirko tehničnega strokovnega znanja, tako da zagotavljajo letno posodobljen seznam strokovnjakov, ki so na voljo v njihovih organizacijah, z navedbo njihovih posebnih tehničnih znanj in spretnosti.

POGLAVJE VI

KONČNE DOLOČBE


whereas
keyboard_arrow_down