keyboard_tab Cyber Resilience Act 2023/2841 SL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Člen 6 Okvir za obvladovanje tveganj, upravljanje in nadzor kibernetske varnosti
- 1 Člen 7 Ocene kibernetskovarnostne zrelosti
- 1 Člen 8 Ukrepi za obvladovanje tveganj za kibernetsko varnost
- 4 Člen 10 Medinstitucionalni odbor za kibernetsko varnost
- 1 Člen 13 Poslanstvo in naloge CERT-EU
- 2 Člen 15 Vodja CERT-EU
- 1 Člen 20 Dogovori o izmenjavi informacij o kibernetski varnosti
POGLAVJE I
SPLOŠNE DOLOČBE
POGLAVJE II
UKREPI ZA VISOKO SKUPNO RAVEN KIBERNETSKE VARNOSTI
POGLAVJE III
MEDINSTITUCIONALNI ODBOR ZA KIBERNETSKO VARNOST
POGLAVJE IV
CERT-EU
POGLAVJE V
OBVEZNOSTI SODELOVANJA IN POROČANJA
POGLAVJE VI
KONČNE DOLOČBE
- unije 72
- cert-eu 43
- varnost 35
- kibernetsko 30
- lahko 27
- varnosti 26
- iicb 25
- kibernetske 23
- storitev 21
- podlagi 21
- subjekta 19
- vključno 18
- uredbe 17
- subjektov 12
- informacije 12
- cert-eu 12
- člena 12
- v zvezi 11
- obvladovanje 11
- subjekt 10
- tveganj 10
- iicb 9
- storitve 9
- redno 8
- glede 8
- izvajanje 8
- v skladu 8
- vodenja 8
- raven 8
- incidentov 8
- ravni 8
- svoje 8
- zahtevo 7
- sistemov 7
- okvir 7
- naloge 7
- področju 7
- informacijskih 7
- kadar 7
- informacij 7
- razen 7
- s subjekti 6
- evropski 6
- subjekti 6
- odbor 6
- politike 6
- brez 6
- ustrezno 6
- zadevnega 6
- ranljivosti 6
Člen 6
Okvir za obvladovanje tveganj, upravljanje in nadzor kibernetske varnosti
1. Vsak subjekt Unije do 8. aprila 2025 po opravljenem začetnem pregledu kibernetske varnosti, kot je revizija, vzpostavi notranji okvir za obvladovanje tveganj, upravljanje in nadzor kibernetske varnosti (v nadaljnjem besedilu: okvir). Vzpostavitev okvira nadzoruje ter je zanjo odgovorna najvišja raven vodenja subjekta Unije.
2. Okvir zajema celotno netajno okolje IKT zadevnega subjekta Unije, vključno z vsem lokalnim okoljem IKT in lokalnim operativnim tehnološkim omrežjem, sredstvi in storitvami v okoljih storitev računalništva v oblaku, ki jih upravlja zunanji izvajalec ali gostijo tretje osebe, mobilnimi napravami, korporativnimi omrežji, poslovnimi omrežji, ki niso povezana z internetom, in vsemi napravami, povezanimi s temi okolji (v nadaljnjem besedilu: okolje IKT). Okvir temelji na pristopu, ki upošteva vse nevarnosti.
3. Okvir zagotavlja visoko raven kibernetske varnosti. V okviru so določene notranje politike kibernetske varnosti skupaj s cilji in prednostnimi nalogami za varnost omrežnih in informacijskih sistemov ter vloge in odgovornosti osebja subjekta Unije, zadolženega za uspešno izvajanje te uredbe. Okvir vključuje tudi mehanizme za merjenje učinkovitosti izvajanja.
4. Okvir se pregleduje redno in vsaj vsaka štiri leta glede na spreminjajoča se tveganja za kibernetsko varnost. Po potrebi in na zaprosilo Medinstitucionalnega odbora za kibernetsko varnost, ustanovljenega na podlagi člena 10, se lahko okvir subjekta Unije posodobi na podlagi usmeritev CERT-EU o ugotovljenih incidentih ali morebitnih opaženih vrzelih pri izvajanju te uredbe.
5. Najvišja raven vodenja vsakega subjekta Unije je odgovorna za izvajanje te uredbe in nadzira skladnost svoje organizacije z obveznostmi, povezanimi z okvirom.
6. Kadar je to primerno in brez poseganja v svojo odgovornost za izvajanje te uredbe, lahko najvišja raven vodenja vsakega subjekta Unije prenese na visoke uradnike v smislu člena 29(2) kadrovskih predpisov ali druge uradnike na enakovredni ravni znotraj zadevnega subjekta Unije posebne obveznosti iz te uredbe. Ne glede na tak morebiten prenos lahko najvišja raven vodenja odgovarja za kršitve te uredbe s strani zadevnega subjekta Unije.
7. Vsak subjekt Unije ima vzpostavljene učinkovite mehanizme za zagotavljanje, da se za kibernetsko varnost nameni ustrezen delež proračuna za IKT. Pri določanju navedenega odstotka se ustrezno upošteva okvir.
8. Vsak subjekt Unije imenuje lokalnega uradnika za kibernetsko varnost ali enakovredno funkcijo, ki deluje kot njegova enotna kontaktna točka v zvezi z vsemi vidiki kibernetske varnosti. Lokalni uradnik za kibernetsko varnost olajša izvajanje te uredbe in neposredno redno poroča najvišji ravni vodenja o stanju izvajanja. Brez poseganja v to, da je lokalni uradnik za kibernetsko varnost enotna kontaktna točka v vsakem subjektu Unije, lahko subjekt Unije nekatere naloge lokalnega uradnika za kibernetsko varnost v zvezi z izvajanjem te uredbe prenese na CERT-EU na podlagi sporazuma o ravni storitve, sklenjenega med tem subjektom Unije in CERT-EU, ali se te naloge razdelijo med več subjektov Unije. Kadar se te naloge prenesejo na CERT-EU, Medinstitucionalni odbor za kibernetsko varnost, ustanovljen na podlagi člena 10, odloči, ali bo opravljanje te storitve del osnovnih storitev CERT-EU, pri čemer upošteva človeške in finančne vire zadevnega subjekta Unije. Vsak subjekt Unije brez odlašanja uradno obvesti CERT-EU o imenovanem lokalnem uradniku za kibernetsko varnost in vseh naknadnih spremembah v zvezi s tem.
CERT-EU vzpostavi in redno posodablja seznam imenovanih lokalnih uradnikov za kibernetsko varnost.
9. Višji uradniki v smislu člena 29(2) kadrovskih predpisov ali drugi uradniki na enakovredni ravni vsakega subjekta Unije ter vsi ustrezni člani osebja, ki je zadolženo za izvajanje ukrepov za obvladovanje tveganj za kibernetsko varnost in izpolnjevanje obveznosti iz te uredbe, redno opravljajo posebno usposabljanje, da pridobijo dovolj znanja in spretnosti za razumevanje in oceno tveganj za kibernetsko varnost in praks njihovega obvladovanja ter njihovega vpliva na delovanje subjekta Unije.
Člen 7
Ocene kibernetskovarnostne zrelosti
1. Vsak subjekt Unije do 8. julija 2025 in nato najmanj vsaki dve leti izvede oceno kibernetskovarnostne zrelosti, ki vključuje vse elemente njegovega okolja IKT.
2. Kadar je primerno, se ocene kibernetskovarnostne zrelosti izvedejo s pomočjo specializirane tretje strani.
3. Subjekti Unije s podobno strukturo lahko sodelujejo pri izvajanju ocen kibernetskovarnostne zrelosti za svoje ustrezne subjekte.
4. Na zaprosilo Medinstitucionalnega odbora za kibernetsko varnost, ustanovljenega na podlagi člena 10, in z izrecnim soglasjem zadevnega subjekta Unije se lahko o rezultatih ocene kibernetskovarnostne zrelosti razpravlja v okviru navedenega odbora ali neformalne skupine lokalnih uradnikov za kibernetsko varnost, da bi se učili iz izkušenj ter izmenjali dobre prakse.
Člen 8
Ukrepi za obvladovanje tveganj za kibernetsko varnost
1. Brez nepotrebnega odlašanja in v vsakem primeru 8. septembra 2025 vsak subjekt Unije pod nadzorom svoje najvišje ravni vodenja sprejme ustrezne in sorazmerne tehnične, operativne in organizacijske ukrepe za obvladovanje tveganj za kibernetsko varnost, opredeljene v okviru, in da se prepreči ali čim bolj zmanjša učinek incidentov. Ob upoštevanju najsodobnejših in po potrebi ustreznih evropskih in mednarodnih standardov ti ukrepi zagotavljajo raven varnosti omrežnih in informacijskih sistemov v celotnem okolju IKT, ki je sorazmerna s tveganji za kibernetsko varnost. Pri ocenjevanju sorazmernosti teh ukrepov se ustrezno upoštevajo stopnja izpostavljenosti subjekta Unije tveganjem za kibernetsko varnost, njegova velikost ter verjetnost pojava incidentov in njihova resnost, vključno z njihovim družbenim, gospodarskim in medinstitucionalnim vplivom.
2. Subjekti Unije pri izvajanju ukrepov za obvladovanje tveganj za kibernetsko varnost obravnavajo vsaj naslednja področja:
| (a) | politiko na področju kibernetske varnosti, vključno z ukrepi, potrebnimi za uresničevanje ciljev in prednostnih nalog iz člena 6 in odstavka 3 tega člena; |
| (b) | politike o analizi tveganj za kibernetsko varnost in o varnosti informacijskih sistemov; |
| (c) | cilje politike glede uporabe storitev računalništva v oblaku; |
| (d) | po potrebi revizijo kibernetske varnosti, ki lahko vključuje oceno tveganj za kibernetsko varnost, ranljivosti in kibernetskih groženj ter penetracijsko testiranje, ki ga redno izvaja zaupanja vreden zasebni ponudnik; |
| (e) | izvajanje priporočil, pripravljenih na podlagi revizij kibernetske varnosti iz točke (d), in sicer s posodobitvijo kibernetske varnosti in politik; |
| (f) | organizacijo kibernetske varnosti, vključno z določitvijo vlog in odgovornosti; |
| (g) | upravljanje sredstev, vključno s popisom sredstev IKT in kartografijo omrežja IKT; |
| (h) | varnost človeških virov in nadzor dostopa; |
| (i) | varnost operacij; |
| (j) | varnost komunikacij; |
| (k) | pridobivanje, razvoj in vzdrževanje sistema, vključno s politikami o obravnavi in razkrivanju ranljivosti; |
| (l) | po možnosti politike o preglednosti izvorne kode; |
| (m) | varnost dobavne verige, vključno z varnostnimi vidiki odnosov med vsakim subjektom Unije in njegovimi neposrednimi dobavitelji ali ponudniki storitev; |
| (n) | obvladovanje incidentov in sodelovanje s CERT-EU, kot je vzdrževanje varnostnega spremljanja in vodenja dnevnikov; |
| (o) | upravljanje neprekinjenega poslovanja, kot je upravljanje varnostnih kopij in vnovična vzpostavitev delovanja po nepredvidljivih dogodkih, ter obvladovanje kriz ter |
| (p) | spodbujanje in razvoj izobraževanja, spretnosti, ozaveščanja, vaj in programov usposabljanja na področju kibernetske varnosti. |
Za namene prvega pododstavka, točka (m), subjekti Unije upoštevajo ranljivosti, značilne za vsakega neposrednega dobavitelja in ponudnika storitev, ter splošno kakovost proizvodov in praks svojih dobaviteljev in ponudnikov storitev na področju kibernetske varnosti, vključno z njihovimi postopki varnega razvoja.
3. Subjekti Unije sprejmejo vsaj naslednje posebne ukrepe za obvladovanje tveganj za kibernetsko varnost:
| (a) | tehnične ureditve za omogočanje in ohranjanje dela na daljavo; |
| (b) | konkretne ukrepe za prehod na načela ničelnega zaupanja; |
| (c) | uporabo večfaktorske avtentifikacije kot norme v omrežnih in informacijskih sistemih; |
| (d) | uporabo kriptografije in šifriranja, zlasti šifriranja od konca do konca ter varnega digitalnega podpisovanja; |
| (e) | kadar je primerno, vzpostavitev varnega glasovnega, video- in besedilnega sporočanja ter varnih sistemov za komunikacijo v sili znotraj subjekta Unije; |
| (f) | proaktivne ukrepe za odkrivanje in odstranjevanje zlonamerne in vohunske programske opreme; |
| (g) | vzpostavitev varnosti dobavne verige programske opreme z merili za razvoj in oceno varne programske opreme; |
| (h) | vzpostavitev in sprejetje programov za usposabljanje o kibernetski varnosti, ki so sorazmerni s predpisanimi nalogami in pričakovanimi zmogljivostmi najvišje ravni vodenja ter članov osebja subjekta Unije, ki je zadolženo za zagotavljanje učinkovitega izvajanja te uredbe; |
| (i) | redno usposabljanje zaposlenih na področju kibernetske varnosti; |
| (j) | kadar je ustrezno, udeležbo pri analizah tveganja medsebojne povezljivosti med subjekti Unije; |
| (k) | krepitev pravil o javnem naročanju, da se omogoči visoka skupna raven kibernetske varnosti, in sicer:
|
Člen 10
Medinstitucionalni odbor za kibernetsko varnost
1. Ustanovi se Medinstitucionalni odbor za kibernetsko varnost (IICB).
2. IICB je odgovoren za:
| (a) | spremljanje in podpiranje izvajanja te uredbe s strani subjektov Unije; |
| (b) | nadzor nad izvajanjem splošnih prednostnih nalog in ciljev CERT-EU ter zagotavljanje strateških usmeritev za CERT-EU. |
3. IICB sestavljajo:
| (a) | po en predstavnik, ki ga imenuje vsak od navedenih:
|
| (b) | trije predstavniki, ki jih imenuje mreža agencij EU (EUAN) na predlog svojega svetovalnega odbora za IKT in ki zastopajo interese organov, uradov in agencij Unije, ki upravljajo svoje lastno okolje IKT, razen tistih iz točke (a). |
Subjekti Unije, zastopani v IICB, si prizadevajo za uravnoteženo zastopanost spolov med imenovanimi predstavniki.
4. Članom IICB lahko pomaga namestnik. Predsednik lahko povabi druge predstavnike subjektov Unije iz odstavka 3 ali drugih subjektov Unije, da se udeležijo sestankov IICB brez pravice do glasovanja.
5. Vodja CERT-EU ter predsedniki skupine za sodelovanje, mreže skupin CSIRT in mreže EU-CyCLONe, ustanovljenih na podlagi členov 14, 15 in 16 Direktive (EU) 2022/2555, ali njihovi namestniki lahko sodelujejo na sestankih IICB kot opazovalci. V izjemnih primerih lahko IICB v skladu s svojim notranjim poslovnikom odloči drugače.
6. IICB sprejme svoj notranji poslovnik.
7. IICB v skladu s svojim notranjim poslovnikom med svojimi člani imenuje predsednika za obdobje treh let. Predsednikov namestnik postane polnopravni član IICB za enako obdobje.
8. IICB se vsaj trikrat na leto sestane na pobudo svojega predsednika, na zahtevo CERT-EU ali na zahtevo katerega koli svojega člana.
9. Vsak član IICB ima en glas. IICB odločitve sprejema z navadno večino, razen če je v tej uredbi določeno drugače. Predsednik IICB ne glasuje, razen v primeru neodločenega izida glasovanja, ko ima odločilni glas.
10. IICB lahko deluje po poenostavljenem pisnem postopku, ki se začne v skladu z njegovim notranjim poslovnikom. Na podlagi tega postopka se zadevna odločitev šteje za odobreno v roku, ki ga določi predsednik, razen v primeru ugovora člana.
11. Sekretariat IICB zagotavlja Komisija in je odgovoren predsedniku IICB.
12. Predstavniki, ki jih imenuje mreža agencij EU, odločitve IICB posredujejo članom te mreže. Vsak član mreže agencij EU ima pravico, da na te predstavnike ali predsednika IICB naslovi katero koli vprašanje, za katero meni, da bi ga IICB moral obravnavati.
13. IICB lahko ustanovi izvršni odbor, ki mu pomaga pri delu ter na katerega prenese nekaj svojih nalog in pooblastil. IICB določi poslovnik izvršnega odbora, vključno z njegovimi nalogami in pooblastili, ter mandati njegovih članov.
14. IICB do 8. januarja 2025 in nato vsako leto Evropskemu parlamentu in Svetu predloži poročilo, v katerem podrobno opiše napredek pri izvajanju te uredbe in navede zlasti obseg sodelovanja CERT-EU s sorodnimi organi držav članic v vsaki državi članici. Poročilo je prispevek k dvoletnemu poročilu o stanju kibernetske varnosti v Uniji, sprejetem na podlagi člena 18 Direktive (EU) 2022/2555.
Člen 13
Poslanstvo in naloge CERT-EU
1. Poslanstvo CERT-EU je prispevati k varnosti netajnega okolja IKT subjektov Unije, tako da jim svetuje glede kibernetske varnosti, jim pomaga preprečiti, odkriti, obvladovati in ublažiti incidente ter se odzivati nanje in okrevati po njih, deluje pa tudi kot njihovo vozlišče za izmenjavo informacij o kibernetski varnosti in za usklajevanje odzivanja na incidente.
2. CERT-EU zbira, upravlja, analizira in izmenjuje informacije s subjekti Unije o kibernetskih grožnjah, ranljivostih ter incidentih na netajni infrastrukturi IKT. Usklajuje odzive na incidente na medinstitucionalni ravni in na ravni subjektov Unije, vključno z zagotavljanjem ali usklajevanjem zagotavljanja specializirane operativne pomoči.
3. CERT-EU za pomoč subjektom Unije izvaja naslednje naloge:
| (a) | podpira jih pri izvajanju te uredbe in prispeva k usklajevanju izvajanja te uredbe z ukrepi iz člena 14(1) ali ad hoc poročili, ki jih zahteva IICB; |
| (b) | ponuja standardne storitve skupine CSIRT subjektom Unije s svežnjem storitev za kibernetsko varnost, opisanih v katalogu storitev (osnovne storitve); |
| (c) | vzdržuje mrežo podobnih institucij, organov in agencij ter partnerjev za podporo storitev, kot so navedene v členih 17 in 18; |
| (d) | IICB opozori na vse težave, ki se nanašajo na izvajanje te uredbe ter izvajanje smernic, priporočil in pozivov k ukrepanju; |
| (e) | na podlagi informacij iz odstavka 2 in v tesnem sodelovanju z ENISA prispeva k situacijskem zavedanju na področju kibernetske varnosti v Uniji; |
| (f) | usklajuje obvladovanje večjih incidentov; |
| (g) | deluje na strani subjektov Unije kot enakovreden koordinatorju, imenovanemu za usklajeno razkrivanje ranljivosti na podlagi člena 12(1) Direktive (EU) 2022/2555; |
| (h) | na zahtevo subjekta Unije zagotovi proaktivno neinvazivno pregledovanje javno dostopnih omrežnih in informacijskih sistemov tega subjekta Unije. |
Informacije iz prvega pododstavka, točka (e), se po potrebi in kadar je to ustrezno ter ob upoštevanju ustreznih pogojev zaupnosti izmenjujejo z IICB, mrežo skupin CSIRT ter Obveščevalnim in situacijskim centrom Evropske unije (EU INTCEN).
4. CERT-EU lahko v skladu s členom 17 ali 18, kot je ustrezno, sodeluje z ustreznimi skupnostmi za kibernetsko varnost v Uniji in njenih državah članicah, vključno na naslednjih področjih:
| (a) | pripravljenost, obvladovanje incidentov, izmenjava informacij in odzivanje na krize na tehnični ravni v zvezi s primeri, povezanimi s subjekti Unije; |
| (b) | operativno sodelovanje v zvezi z mrežo skupin CSIRT, vključno z vzajemno pomočjo; |
| (c) | obveščevalni podatki o kibernetskih grožnjah, vključno s situacijskim zavedanjem; |
| (d) | vsaka tema, ki zahteva tehnično strokovno znanje CERT-EU na področju kibernetske varnosti. |
5. CERT-EU v okviru svoje pristojnosti strukturirano sodeluje z ENISA pri krepitvi zmogljivosti, operativnem sodelovanju in dolgoročnih strateških analizah kibernetskih groženj v skladu z Uredbo (EU) 2019/881. CERT-EU lahko sodeluje in izmenjuje informacije z Europolovim Evropskim centrom za boj proti kibernetski kriminaliteti.
6. CERT-EU lahko zagotavlja naslednje storitve, ki niso opisane v njegovem katalogu storitev (storitve, ki se zaračunajo):
| (a) | storitve, ki podpirajo kibernetsko varnost okolja IKT subjektov Unije, razen storitev iz odstavka 3, in sicer na podlagi sporazumov o ravni storitev in glede na razpoložljive vire, zlasti spremljanje mreže širokega spektra, vključno s primarnim spremljanjem 24 ur na dan sedem dni v tednu za zelo resne kibernetske grožnje; |
| (b) | storitve, ki podpirajo operacije ali projekte subjektov Unije za kibernetsko varnost, razen tistih za zaščito njihovih okolij IKT, in sicer na podlagi pisnih sporazumov in s predhodno odobritvijo IICB; |
| (c) | na zahtevo proaktivno pregledovanje omrežnih in informacijskih sistemov zadevnega subjekta Unije, da se odkrijejo ranljivosti, ki bi lahko imele pomemben vpliv; |
| (d) | storitve, ki podpirajo varnost okolja IKT organizacij, ki niso subjekti Unije, ki tesno sodelujejo s subjekti Unije, ker so jim na primer bile dodeljene naloge ali odgovornosti na podlagi prava Unije, na podlagi pisnih sporazumov in s predhodno odobritvijo IICB. |
V zvezi s prvim pododstavkom, točka (d), lahko CERT-EU s predhodno odobritvijo IICB izjemoma sklene sporazume o ravni storitev s subjekti, ki niso subjekti Unije.
7. CERT-EU organizira vaje na področju kibernetske varnosti in lahko v njih sodeluje ali priporoča udeležbo na obstoječih vajah, v tesnem sodelovanju z agencijo ENISA, kadar je to primerno, da preizkusi raven kibernetske varnosti subjektov Unije.
8. CERT-EU lahko subjektom Unije zagotovi pomoč v zvezi z incidenti v omrežnih in informacijskih sistemih, v katerih se obravnavajo tajni podatki EU, kadar zadevni subjekti Unije to izrecno zahtevajo v skladu s svojimi postopki. Zagotavljanje pomoči s strani CERT-EU na podlagi tega odstavka ne posega v veljavna pravila v zvezi z varstvom tajnih podatkov.
9. CERT-EU obvesti subjekte Unije o svojih postopkih in procesih obvladovanja incidentov.
10. CERT-EU z visoko stopnjo zaupnosti in zanesljivosti prek ustreznih mehanizmov sodelovanja in linij poročanja prispeva ustrezne in anonimizirane informacije o večjih incidentih in načinu, kako se jih je obravnavalo. Te informacije se vključijo v poročilo iz člena 10(14).
11. CERT-EU v sodelovanju z ENVP podpira zadevne subjekte Unije pri obravnavanju incidentov, katerih posledica je kršitev varstva osebnih podatkov, pri čemer se ne posega v pristojnosti in naloge ENVP kot nadzornega organa na podlagi Uredbe (EU) 2018/1725.
12. CERT-EU lahko, če to izrecno zahtevajo službe subjektov Unije, ki skrbijo za vprašanja politike, zagotavlja tehnične nasvete ali prispevek o ustreznih zadevah politike.
Člen 15
Vodja CERT-EU
1. Komisija na podlagi odobritve dveh tretjin članov IICB imenuje vodjo CERT-EU. Posvetovanje z IICB se izvede v vseh fazah postopka imenovanja, zlasti pri pripravi razpisov za prosto delovno mesto, pregledovanju prijav in imenovanju izbirnih komisij v zvezi z delovnim mestom. Izbirni postopek, vključno s končnim ožjim izborom kandidatov, iz katerega bo imenovan vodja CERT-EU, zagotavlja pravično zastopanost spolov, pri čemer se upoštevajo vložene prijave.
2. Vodja CERT-EU je odgovoren za pravilno delovanje CERT-EU ter deluje v okviru svoje vloge in pod vodstvom IICB. Vodja CERT-EU redno poroča predsedniku IICB in mu na njegovo zahtevo predloži ad hoc poročila.
3. Vodja CERT-EU pomaga odgovornemu odredbodajalcu na podlagi prenosa pooblastil pri pripravi letnega poročila o dejavnostih, ki vsebuje finančne in upravljavske informacije, vključno z rezultati kontrol, pripravljenega v skladu s členom 74(9) Uredbe (EU, Euratom) 2018/1046 Evropskega parlamenta in Sveta (9), ter redno poroča odredbodajalcu na podlagi prenosa pooblastil o izvajanju ukrepov, v zvezi s katerimi so bila pooblastila nadaljnje prenesena na vodjo CERT-EU.
4. Vodja CERT-EU vsako leto pripravi finančno načrtovanje upravnih prihodkov in odhodkov za svoje dejavnosti, predlagan letni delovni program, predlagan katalog storitev za CERT-EU, predlagane revizije kataloga storitev, predlagane ureditve za sporazume o ravni storitev in predlagane ključne kazalnike uspešnosti za CERT-EU, ki jih odobri IICB v skladu s členom 11. Pri reviziji seznama storitev v katalogu storitev CERT-EU vodja CERT-EU upošteva vire, dodeljene CERT-EU.
5. Vodja CERT-EU predloži IICB in njegovemu predsedniku najmanj enkrat letno poročila o dejavnostih in uspešnosti CERT-EU v referenčnem obdobju, med drugim o izvrševanju proračuna, sporazumih o ravni storitev in sklenjenih pisnih sporazumih, sodelovanju s sorodnimi organi in partnerji ter misijah osebja, vključno s poročili iz člena 11. Ta poročila vključujejo delovni program za naslednje obdobje, finančno načrtovanje prihodkov in odhodkov, vključno z osebjem, načrtovane posodobitve kataloga storitev CERT-EU in oceno pričakovanega učinka, ki bi ga take posodobitve lahko imele na finančne in človeške vire.
Člen 20
Dogovori o izmenjavi informacij o kibernetski varnosti
1. Subjekti Unije lahko CERT-EU prostovoljno priglasijo incidente, kibernetske grožnje, skorajšnje incidente in ranljivosti, ki vplivajo nanje, ter mu zagotovijo informacije o njih. CERT-EU poskrbi, da so na voljo učinkovita komunikacijska sredstva, in sicer z visoko ravnjo sledljivosti, zaupnosti in zanesljivosti, da se olajša izmenjava informacij s subjekti Unije. Pri obdelavi priglasitev lahko CERT-EU da prednost obdelavi obveznih priglasitev pred prostovoljnimi. Brez poseganja v člen 12 se zaradi prostovoljne priglasitve poročajočemu subjektu Unije ne nalagajo dodatne obveznosti, ki zanj ne bi veljale, če priglasitve ne bi opravil.
2. Da bi CERT-EU lahko izvajal svoje poslanstvo in naloge, podeljene na podlagi člena 13, lahko CERT-EU od subjektov Unije zahteva predložitev informacij iz njihovih zbirk sistemov ICT, kar vključuje informacije v zvezi s kibernetskimi grožnjami, skorajšnjimi incidenti, ranljivostmi, kazalniki ogroženosti, kibernetskovarnostnimi opozorili in priporočili glede konfiguracije kibernetskovarnostnih orodij za odkrivanje incidentov. Subjekt Unije brez nepotrebnega odlašanja posreduje zahtevane informacije in vse njihove naknadne posodobitve.
3. CERT-EU si lahko informacije o posameznem incidentu, ki razkrivajo identiteto subjekta Unije, ki ga je prizadel incident, izmenjuje s subjekti Unije, če prizadeti subjekt Unije s tem soglaša. Kadar subjekt Unije odkloni soglasje, predloži CERT-EU razloge, ki utemeljujejo to odločitev.
4. Subjekti Unije na zahtevo izmenjujejo informacije z Evropskim parlamentom in Svetom o dokončanju načrtov za kibernetsko varnost.
5. IICB ali CERT-EU, kot je ustrezno, posreduje smernice, priporočila in pozive k ukrepanju Evropskemu parlamentu in Svetu na njuno zahtevo.
6. Obveznosti izmenjave iz tega člena ne veljajo za:
| (a) | tajne podatke EU; |
| (b) | informacije, katerih nadaljnja distribucija je bila izključena z vidno oznako, razen če je bila njihova izmenjava s CERT-EU izrecno dovoljena. |
whereas