keyboard_tab Cyber Resilience Act 2023/2841 SL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 3 Člen 2 Področje uporabe
- 1 Člen 3 Opredelitev pojmov
- 1 Člen 16 Finančne in kadrovske zadeve
- 1 Člen 19 Ravnanje z informacijami
- 1 Člen 23 Obvladovanje večjih incidentov
- 1 Člen 25 Pregled
- Člen 26 Začetek veljavnosti
POGLAVJE I
SPLOŠNE DOLOČBE
POGLAVJE II
UKREPI ZA VISOKO SKUPNO RAVEN KIBERNETSKE VARNOSTI
POGLAVJE III
MEDINSTITUCIONALNI ODBOR ZA KIBERNETSKO VARNOST
POGLAVJE IV
CERT-EU
POGLAVJE V
OBVEZNOSTI SODELOVANJA IN POROČANJA
POGLAVJE VI
KONČNE DOLOČBE
- unije 31
- eu / 18
- cert-eu 17
- pomeni 15
- št / 15
- v členu 13
- kakor 12
- uredbe 12
- točka 11
- direktive 11
- str 9
- podlagi 9
- člena 9
- komisije 9
- z dne 9
- obvladovanje 8
- parlamenta 8
- evropskega 8
- sveta 8
- incidentov 8
- ul l 7
- večjih 7
- evropske 6
- ravni 6
- uporablja 6
- opredeljena 6
- storitev 5
- incident 5
- iicb 5
- kibernetskih 5
- tega 5
- uredba 5
- kibernetsko 5
- Člen 5
- uredba 5
- evropskim 5
- uporabljajo 4
- subjekta 4
- subjekti 4
- subjekte 4
- varnosti 4
- evropsko 4
- varnost 4
- opredeljen 4
- v zvezi 4
- kriz 4
- subjekti 4
- operativni 3
- delovanje 3
- člena 3
Člen 2
Področje uporabe
1. Ta uredba se uporablja za subjekte Unije, Medinstitucionalni odbor za kibernetsko varnost, ustanovljen na podlagi člena 10, in CERT-EU.
2. Ta uredba se uporablja brez poseganja v institucionalno avtonomijo na podlagi Pogodb.
3. Z izjemo člena 13(8) se ta uredba ne uporablja za omrežne in informacijske sisteme, s katerimi se obravnavajo tajni podatki EU (EUCI).
Člen 3
Opredelitev pojmov
V tej uredbi se uporabljajo naslednje opredelitve pojmov:
| (1) | „subjekti Unije“ pomeni institucije, organe, urade in agencije Unije, ustanovljene s Pogodbo o Evropski uniji, Pogodbo o delovanju Evropske unije (PDEU) ali Pogodbo o ustanovitvi Evropske skupnosti za atomsko energijo ali na njihovi podlagi; |
| (2) | „omrežni in informacijski sistem“ pomeni omrežni in informacijski sistem, kakor je opredeljen v členu 6, točka 1, Direktive (EU) 2022/2555; |
| (3) | „varnost omrežnih in informacijskih sistemov“ pomeni varnost omrežnih in informacijskih sistemov, kakor je opredeljena v členu 6, točka 2, Direktive (EU) 2022/2555; |
| (4) | „kibernetska varnost“ pomeni kibernetsko varnost, kakor je opredeljena v členu 2, točka 1, Uredbe (EU) 2019/881; |
| (5) | „najvišja raven vodenja“ pomeni vodjo, vodstveni organ ali organ za usklajevanje in nadzor, pristojen za delovanje subjekta Unije, na najvišji upravni ravni, ki ima pristojnost za sprejemanje ali odobritev odločitev v skladu z ureditvijo upravljanja na visoki ravni tega subjekta Unije, brez poseganja v formalno odgovornost drugih ravni vodstva za skladnost in upravljanje kibernetskih tveganj na njihovih področjih odgovornosti; |
| (6) | „skorajšnji incident“ pomeni skorajšnji incident, kakor je opredeljen v členu 6, točka 5, Direktive (EU) 2022/2555; |
| (7) | „incident“ pomeni incident, kakor je opredeljen v členu 6, točka 6, Direktive (EU) 2022/2555; |
| (8) | „večji incident“ pomeni incident, ki povzroči stopnjo motnje, ki presega zmogljivost subjekta Unije in CERT-EU, da se nanjo odzoveta, ali ki pomembno vpliva na vsaj dva subjekta Unije; |
| (9) | „kibernetski incident velikih razsežnosti“ pomeni kibernetski incident velikih razsežnosti, kakor je opredeljen v členu 6, točka 7, Direktive (EU) 2022/2555; |
| (10) | „obvladovanje incidentov“ pomeni obvladovanje incidentov, kakor je opredeljeno v členu 6, točka 8, Direktive (EU) 2022/2555; |
| (11) | „kibernetska grožnja“ pomeni kibernetsko grožnjo, kakor je opredeljena v členu 2, točka 8, Uredbe (EU) 2019/881; |
| (12) | „pomembna kibernetska grožnja“ pomeni pomembno kibernetsko grožnjo, kakor je opredeljena v členu 6, točka 11, Uredbe (EU) 2022/2555; |
| (13) | „ranljivost“ pomeni ranljivost, kakor je opredeljena v členu 6, točka 15, Direktive (EU) 2022/2555; |
| (14) | „kibernetsko tveganje“ pomeni tveganje, kakor je opredeljeno v členu 6, točka 9, Direktive (EU) 2022/2555; |
| (15) | „storitev računalništva v oblaku“ pomeni storitev v oblaku, kakor je opredeljena v členu 6, točka 30, Direktive (EU) 2022/2555; |
Člen 16
Finančne in kadrovske zadeve
1. CERT-EU se vključi v upravno strukturo generalnega direktorata Komisije, da lahko uporablja upravne, finančne in računovodske podporne strukture Komisije, hkrati pa ohrani svoj status samostojnega medinstitucionalnega ponudnika storitev za vse subjekte Unije. Komisija obvesti IICB o upravnemu sedežu CERT-EU in o vseh spremembah v zvezi z njim. Komisija redno pregleduje upravne ureditve v zvezi s CERT-EU, v vsakem primeru pa pred vzpostavitvijo večletnega finančnega okvira na podlagi člena 312 PDEU, da se lahko sprejmejo ustrezni ukrepi. Pregled vključuje možnost ustanovitve CERT-EU kot urada Unije.
2. Pri uporabi upravnih in finančnih postopkov vodja CERT-EU deluje v pristojnosti Komisije in pod nadzorom IICB.
3. Naloge in dejavnosti CERT-EU, vključno s storitvami, ki jih subjektom Unije zagotavlja na podlagi člena 13(3), (4), (5) in (7) ter člena 14(1) in so financirane iz razdelka večletnega finančnega okvira, namenjenega evropski javni upravi, se financirajo iz posebne proračunske vrstice proračuna Komisije. Delovna mesta, rezervirana za CERT-EU, se podrobneje opredelijo v opombi h kadrovskemu načrtu Komisije.
4. Subjekti Unije, razen tistih iz odstavka 3 tega člena, zagotovijo CERT-EU letni finančni prispevek za kritje storitev, ki jih CERT-EU zagotavlja na podlagi navedenega odstavka. Prispevki temeljijo na usmeritvah IICB, o njih pa se vsak subjekt Unije in CERT-EU dogovorita v sporazumih o ravni storitev. Prispevki pomenijo pravičen in sorazmeren delež skupnih stroškov zagotovljenih storitev. Zbirajo se na posebni proračunski vrstici iz odstavka 3 tega člena kot notranji namenski prejemki, kot je določeno v členu 21(3), točka (c), Uredbe (EU, Euratom) 2018/1046.
5. Stroške storitev, opredeljenih v členu 13(6), krijejo subjekti Unije, ki prejemajo storitve CERT-EU. Prihodki se dodelijo proračunskim vrsticam, ki krijejo stroške.
Člen 19
Ravnanje z informacijami
1. Subjekti Unije in CERT-EU spoštujejo obveznost varovanja poslovne skrivnosti v skladu s členom 339 PDEU ali enakovrednimi veljavnimi okviri.
2. Uredba (ES) št. 1049/2001 Evropskega parlamenta in Sveta (10) se uporablja v zvezi z zahtevami za dostop javnosti do dokumentov, ki jih ima CERT-EU, vključno z obveznostjo iz navedene uredbe, da se je treba posvetovati z drugimi subjekti Unije in po potrebi državami članicami, kadar se zahteva nanaša na njihove dokumente.
3. Subjekti Unije in CERT-EU pri ravnanju z informacijami upoštevajo veljavna pravila o informacijski varnosti.
Člen 23
Obvladovanje večjih incidentov
1. IICB na podlagi člena 11, točka (q), v tesnem sodelovanju s CERT-EU in ENISA pripravi načrt za obvladovanje kibernetskih kriz na podlagi dejavnosti iz člena 22(2), da bi na operativni ravni podprl usklajeno obvladovanje večjih incidentov, ki vplivajo na subjekte Unije, in prispeval k redni izmenjavi ustreznih informacij med subjekti Unije in državami članicami. Načrt za obvladovanje kibernetskih kriz vključuje vsaj naslednje elemente:
| (a) | ureditve glede usklajevanja in prenašanja informacij med subjekti Unije za obvladovanje večjih incidentov na operativni ravni; |
| (b) | skupne standardne operativne postopke (SOP); |
| (c) | skupno taksonomijo resnosti večjih incidentov in sprožilnih točk za krize; |
| (d) | redne vaje; |
| (e) | varne komunikacijske kanale, ki jih je treba uporabljati. |
2. Predstavnik Komisije v IICB je ob upoštevanju načrta za obvladovanje kibernetskih kriz, pripravljenega na podlagi odstavka 1 tega člena, in brez poseganja v člen 16(2), prvi pododstavek, Direktive (EU) 2022/2555, kontaktna točka za izmenjavo ustreznih informacij v zvezi z večjimi incidenti z mrežo EU-CyCLONe.
3. CERT-EU usklajuje subjekte Unije pri obvladovanju večjih incidentov. Vzdržuje zbirko razpoložljivega tehničnega strokovnega znanja, ki bi bilo potrebno za odzivanje v primeru večjih incidentov, in pomaga IICB pri usklajevanju načrtov subjektov Unije za obvladovanje kibernetskih kriz v primeru večjih incidentov iz člena 9(2).
4. Subjekti Unije prispevajo v zbirko tehničnega strokovnega znanja, tako da zagotavljajo letno posodobljen seznam strokovnjakov, ki so na voljo v njihovih organizacijah, z navedbo njihovih posebnih tehničnih znanj in spretnosti.
POGLAVJE VI
KONČNE DOLOČBE
Člen 25
Pregled
1. IICB ob pomoči CERT-EU do 8. januarja 2025 ter nato vsako leto poroča Komisiji o izvajanju te uredbe. IICB lahko Komisiji izda tudi priporočila, naj pregleda to uredbo.
2. Komisija do 8. januarja 2027 ter nato vsaki dve leti oceni izvajanje te uredbe ter izkušnje, pridobljene na strateški in operativni ravni, ter o njih poroča Evropskemu parlamentu in Svetu.
V poročilo iz prvega pododstavka tega odstavka se vključi pregled iz člena 16(1) o možnosti ustanovitve CERT-EU kot urada Unije.
3. Komisija do 8. januarja 2029 oceni delovanje te uredbe ter Evropskemu parlamentu, Svetu, Evropskemu ekonomsko-socialnemu odboru in Odboru regij predloži poročilo. Komisija oceni tudi ustreznost vključitve omrežnih in informacijskih sistemov, ki obravnavajo tajne podatke EU, na področje uporabe te uredbe, pri čemer upošteva druge zakonodajne akte Unije, ki se uporabljajo za te sisteme. Poročilu se po potrebi priloži zakonodajni predlog.
Člen 26
Začetek veljavnosti
Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.
Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.
V Strasbourgu, 13. decembra 2023
Za Evropski parlament
predsednica
R. METSOLA
Za Svet
predsednik
P. NAVARRO RÍOS
(1) Stališče Evropskega parlamenta z dne 21. novembra 2023 (še ni objavljeno v Uradnem listu) in odločitev Sveta z dne 8. decembra 2023.
(2) Direktiva (EU) 2022/2555 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o ukrepih za visoko skupno raven kibernetske varnosti v Uniji, spremembi Uredbe (EU) št. 910/2014 in Direktive (EU) 2018/1972 ter razveljavitvi Direktive (EU) 2016/1148 (direktiva NIS 2) (UL L 333, 27.12.2022, str. 80).
(3) Uredba (EU) 2019/881 Evropskega parlamenta in Sveta z dne 17. aprila 2019 o Agenciji Evropske unije za kibernetsko varnost (ENISA) in o certificiranju informacijske in komunikacijske tehnologije na področju kibernetske varnosti ter razveljavitvi Uredbe (EU) št. 526/2013 (Akt o kibernetski varnosti) (UL L 151, 7.6.2019, str. 15).
(4) Dogovor med Evropskim parlamentom, Evropskim svetom, Svetom Evropske unije, Evropsko komisijo, Sodiščem Evropske unije, Evropsko centralno banko, Evropskim računskim sodiščem, Evropsko službo za zunanje delovanje, Evropskim ekonomsko-socialnim odborom, Evropskim odborom regij in Evropsko investicijsko banko o organizaciji in delovanju skupine za odzivanje na računalniške grožnje za institucije, organe in agencije Unije (CERT-EU) (UL C 12, 13.1.2018, str. 1).
(5) Uredba Sveta (EGS, Euratom, ESPJ) št. 259/68 z dne 29. februarja 1968 o kadrovskih predpisih za uradnike in pogojih za zaposlitev drugih uslužbencev Evropskih skupnosti in o posebnih ukrepih, ki se začasno uporabljajo za uradnike Komisije (UL L 56, 4.3.1968, str. 1).
(6) Priporočilo Komisije (EU) 2017/1584 z dne 13. septembra 2017 o usklajenem odzivu na velike kibernetske incidente in krize (UL L 239, 19.9.2017, str. 36).
(7) Uredba (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (UL L 295, 21.11.2018, str. 39).
(8) UL C 258, 5.7.2022, str. 10.
(9) Uredba (EU, Euratom) 2018/1046 Evropskega parlamenta in Sveta z dne 18. julija 2018 o finančnih pravilih, ki se uporabljajo za splošni proračun Unije, spremembi uredb (EU) št. 1296/2013, (EU) št. 1301/2013, (EU) št. 1303/2013, (EU) št. 1304/2013, (EU) št. 1309/2013, (EU) št. 1316/2013, (EU) št. 223/2014, (EU) št. 283/2014 in Sklepa št. 541/2014/EU ter razveljavitvi Uredbe (EU, Euratom) št. 966/2012 (UL L 193, 30.7.2018, str. 1).
(10) Uredba Evropskega parlamenta in Sveta (ES) št. 1049/2001 z dne 30. maja 2001 o dostopu javnosti do dokumentov Evropskega parlamenta, Sveta in Komisije (UL L 145, 31.5.2001, str. 43).
ELI: http://data.europa.eu/eli/reg/2023/2841/oj
ISSN 1977-0804 (electronic edition)