keyboard_tab Cyber Resilience Act 2023/2841 SL

1.   Vsak subjekt Unije do 8. aprila 2025 po opravljenem začetnem pregledu kibernetske varnosti, kot je revizija, vzpostavi notranji okvir za obvladovanje tveganj, upravljanje in nadzor kibernetske varnosti (v nadaljnjem besedilu: okvir). Vzpostavitev okvira nadzoruje ter je zanjo odgovorna najvišja raven vodenja subjekta Unije.

2.   Okvir zajema celotno netajno okolje IKT zadevnega subjekta Unije, vključno z vsem lokalnim okoljem IKT in lokalnim operativnim tehnološkim omrežjem, sredstvi in storitvami v okoljih storitev računalništva v oblaku, ki jih upravlja zunanji izvajalec ali gostijo tretje osebe, mobilnimi napravami, korporativnimi omrežji, poslovnimi omrežji, ki niso povezana z internetom, in vsemi napravami, povezanimi s temi okolji (v nadaljnjem besedilu: okolje IKT). Okvir temelji na pristopu, ki upošteva vse nevarnosti.

3.   Okvir zagotavlja visoko raven kibernetske varnosti. V okviru so določene notranje politike kibernetske varnosti skupaj s cilji in prednostnimi nalogami za varnost omrežnih in informacijskih sistemov ter vloge in odgovornosti osebja subjekta Unije, zadolženega za uspešno izvajanje te uredbe. Okvir vključuje tudi mehanizme za merjenje učinkovitosti izvajanja.

4.   Okvir se pregleduje redno in vsaj vsaka štiri leta glede na spreminjajoča se tveganja za kibernetsko varnost. Po potrebi in na zaprosilo Medinstitucionalnega odbora za kibernetsko varnost, ustanovljenega na podlagi člena 10, se lahko okvir subjekta Unije posodobi na podlagi usmeritev CERT-EU o ugotovljenih incidentih ali morebitnih opaženih vrzelih pri izvajanju te uredbe.

5.   Najvišja raven vodenja vsakega subjekta Unije je odgovorna za izvajanje te uredbe in nadzira skladnost svoje organizacije z obveznostmi, povezanimi z okvirom.

6.   Kadar je to primerno in brez poseganja v svojo odgovornost za izvajanje te uredbe, lahko najvišja raven vodenja vsakega subjekta Unije prenese na visoke uradnike v smislu člena 29(2) kadrovskih predpisov ali druge uradnike na enakovredni ravni znotraj zadevnega subjekta Unije posebne obveznosti iz te uredbe. Ne glede na tak morebiten prenos lahko najvišja raven vodenja odgovarja za kršitve te uredbe s strani zadevnega subjekta Unije.

7.   Vsak subjekt Unije ima vzpostavljene učinkovite mehanizme za zagotavljanje, da se za kibernetsko varnost nameni ustrezen delež proračuna za IKT. Pri določanju navedenega odstotka se ustrezno upošteva okvir.

8.   Vsak subjekt Unije imenuje lokalnega uradnika za kibernetsko varnost ali enakovredno funkcijo, ki deluje kot njegova enotna kontaktna točka v zvezi z vsemi vidiki kibernetske varnosti. Lokalni uradnik za kibernetsko varnost olajša izvajanje te uredbe in neposredno redno poroča najvišji ravni vodenja o stanju izvajanja. Brez poseganja v to, da je lokalni uradnik za kibernetsko varnost enotna kontaktna točka v vsakem subjektu Unije, lahko subjekt Unije nekatere naloge lokalnega uradnika za kibernetsko varnost v zvezi z izvajanjem te uredbe prenese na CERT-EU na podlagi sporazuma o ravni storitve, sklenjenega med tem subjektom Unije in CERT-EU, ali se te naloge razdelijo med več subjektov Unije. Kadar se te naloge prenesejo na CERT-EU, Medinstitucionalni odbor za kibernetsko varnost, ustanovljen na podlagi člena 10, odloči, ali bo opravljanje te storitve del osnovnih storitev CERT-EU, pri čemer upošteva človeške in finančne vire zadevnega subjekta Unije. Vsak subjekt Unije brez odlašanja uradno obvesti CERT-EU o imenovanem lokalnem uradniku za kibernetsko varnost in vseh naknadnih spremembah v zvezi s tem.

CERT-EU vzpostavi in redno posodablja seznam imenovanih lokalnih uradnikov za kibernetsko varnost.

9.   Višji uradniki v smislu člena 29(2) kadrovskih predpisov ali drugi uradniki na enakovredni ravni vsakega subjekta Unije ter vsi ustrezni člani osebja, ki je zadolženo za izvajanje ukrepov za obvladovanje tveganj za kibernetsko varnost in izpolnjevanje obveznosti iz te uredbe, redno opravljajo posebno usposabljanje, da pridobijo dovolj znanja in spretnosti za razumevanje in oceno tveganj za kibernetsko varnost in praks njihovega obvladovanja ter njihovega vpliva na delovanje subjekta Unije.

1.   Poslanstvo CERT-EU je prispevati k varnosti netajnega okolja IKT subjektov Unije, tako da jim svetuje glede kibernetske varnosti, jim pomaga preprečiti, odkriti, obvladovati in ublažiti incidente ter se odzivati nanje in okrevati po njih, deluje pa tudi kot njihovo vozlišče za izmenjavo informacij o kibernetski varnosti in za usklajevanje odzivanja na incidente.

2.   CERT-EU zbira, upravlja, analizira in izmenjuje informacije s subjekti Unije o kibernetskih grožnjah, ranljivostih ter incidentih na netajni infrastrukturi IKT. Usklajuje odzive na incidente na medinstitucionalni ravni in na ravni subjektov Unije, vključno z zagotavljanjem ali usklajevanjem zagotavljanja specializirane operativne pomoči.

3.   CERT-EU za pomoč subjektom Unije izvaja naslednje naloge:

Informacije iz prvega pododstavka, točka (e), se po potrebi in kadar je to ustrezno ter ob upoštevanju ustreznih pogojev zaupnosti izmenjujejo z IICB, mrežo skupin CSIRT ter Obveščevalnim in situacijskim centrom Evropske unije (EU INTCEN).

4.   CERT-EU lahko v skladu s členom 17 ali 18, kot je ustrezno, sodeluje z ustreznimi skupnostmi za kibernetsko varnost v Uniji in njenih državah članicah, vključno na naslednjih področjih:

5.   CERT-EU v okviru svoje pristojnosti strukturirano sodeluje z ENISA pri krepitvi zmogljivosti, operativnem sodelovanju in dolgoročnih strateških analizah kibernetskih groženj v skladu z Uredbo (EU) 2019/881. CERT-EU lahko sodeluje in izmenjuje informacije z Europolovim Evropskim centrom za boj proti kibernetski kriminaliteti.

6.   CERT-EU lahko zagotavlja naslednje storitve, ki niso opisane v njegovem katalogu storitev (storitve, ki se zaračunajo):

v zvezi s prvim pododstavkom, točka (d), lahko CERT-EU s predhodno odobritvijo IICB izjemoma sklene sporazume o ravni storitev s subjekti, ki niso subjekti Unije.

7.   CERT-EU organizira vaje na področju kibernetske varnosti in lahko v njih sodeluje ali priporoča udeležbo na obstoječih vajah, v tesnem sodelovanju z agencijo ENISA, kadar je to primerno, da preizkusi raven kibernetske varnosti subjektov Unije.

8.   CERT-EU lahko subjektom Unije zagotovi pomoč v zvezi z incidenti v omrežnih in informacijskih sistemih, v katerih se obravnavajo tajni podatki EU, kadar zadevni subjekti Unije to izrecno zahtevajo v skladu s svojimi postopki. Zagotavljanje pomoči s strani CERT-EU na podlagi tega odstavka ne posega v veljavna pravila v zvezi z varstvom tajnih podatkov.

9.   CERT-EU obvesti subjekte Unije o svojih postopkih in procesih obvladovanja incidentov.

10.   CERT-EU z visoko stopnjo zaupnosti in zanesljivosti prek ustreznih mehanizmov sodelovanja in linij poročanja prispeva ustrezne in anonimizirane informacije o večjih incidentih in načinu, kako se jih je obravnavalo. Te informacije se vključijo v poročilo iz člena 10(14).

11.   CERT-EU v sodelovanju z ENVP podpira zadevne subjekte Unije pri obravnavanju incidentov, katerih posledica je kršitev varstva osebnih podatkov, pri čemer se ne posega v pristojnosti in naloge ENVP kot nadzornega organa na podlagi Uredbe (EU) 2018/1725.

12.   CERT-EU lahko, če to izrecno zahtevajo službe subjektov Unije, ki skrbijo za vprašanja politike, zagotavlja tehnične nasvete ali prispevek o ustreznih zadevah politike.

1.   CERT-EU podpira izvajanje te uredbe z izdajo:

v zvezi s prvim pododstavkom, točka (a), zadevni subjekt Unije po prejemu poziva k ukrepanju brez nepotrebnega odlašanja obvesti CERT-EU o tem, kako so se nujni varnostni ukrepi izvajali.

2.   Smernice in priporočila lahko vključujejo:

1.   Komisija na podlagi odobritve dveh tretjin članov IICB imenuje vodjo CERT-EU. Posvetovanje z IICB se izvede v vseh fazah postopka imenovanja, zlasti pri pripravi razpisov za prosto delovno mesto, pregledovanju prijav in imenovanju izbirnih komisij v zvezi z delovnim mestom. Izbirni postopek, vključno s končnim ožjim izborom kandidatov, iz katerega bo imenovan vodja CERT-EU, zagotavlja pravično zastopanost spolov, pri čemer se upoštevajo vložene prijave.

2.   Vodja CERT-EU je odgovoren za pravilno delovanje CERT-EU ter deluje v okviru svoje vloge in pod vodstvom IICB. Vodja CERT-EU redno poroča predsedniku IICB in mu na njegovo zahtevo predloži ad hoc poročila.

3.   Vodja CERT-EU pomaga odgovornemu odredbodajalcu na podlagi prenosa pooblastil pri pripravi letnega poročila o dejavnostih, ki vsebuje finančne in upravljavske informacije, vključno z rezultati kontrol, pripravljenega v skladu s členom 74(9) Uredbe (EU, Euratom) 2018/1046 Evropskega parlamenta in Sveta (9), ter redno poroča odredbodajalcu na podlagi prenosa pooblastil o izvajanju ukrepov, v zvezi s katerimi so bila pooblastila nadaljnje prenesena na vodjo CERT-EU.

4.   Vodja CERT-EU vsako leto pripravi finančno načrtovanje upravnih prihodkov in odhodkov za svoje dejavnosti, predlagan letni delovni program, predlagan katalog storitev za CERT-EU, predlagane revizije kataloga storitev, predlagane ureditve za sporazume o ravni storitev in predlagane ključne kazalnike uspešnosti za CERT-EU, ki jih odobri IICB v skladu s členom 11. Pri reviziji seznama storitev v katalogu storitev CERT-EU vodja CERT-EU upošteva vire, dodeljene CERT-EU.

5.   Vodja CERT-EU predloži IICB in njegovemu predsedniku najmanj enkrat letno poročila o dejavnostih in uspešnosti CERT-EU v referenčnem obdobju, med drugim o izvrševanju proračuna, sporazumih o ravni storitev in sklenjenih pisnih sporazumih, sodelovanju s sorodnimi organi in partnerji ter misijah osebja, vključno s poročili iz člena 11. Ta poročila vključujejo delovni program za naslednje obdobje, finančno načrtovanje prihodkov in odhodkov, vključno z osebjem, načrtovane posodobitve kataloga storitev CERT-EU in oceno pričakovanega učinka, ki bi ga take posodobitve lahko imele na finančne in človeške vire.

1.   CERT-EU se vključi v upravno strukturo generalnega direktorata Komisije, da lahko uporablja upravne, finančne in računovodske podporne strukture Komisije, hkrati pa ohrani svoj status samostojnega medinstitucionalnega ponudnika storitev za vse subjekte Unije. Komisija obvesti IICB o upravnemu sedežu CERT-EU in o vseh spremembah v zvezi z njim. Komisija redno pregleduje upravne ureditve v zvezi s CERT-EU, v vsakem primeru pa pred vzpostavitvijo večletnega finančnega okvira na podlagi člena 312 PDEU, da se lahko sprejmejo ustrezni ukrepi. Pregled vključuje možnost ustanovitve CERT-EU kot urada Unije.

2.   Pri uporabi upravnih in finančnih postopkov vodja CERT-EU deluje v pristojnosti Komisije in pod nadzorom IICB.

3.   Naloge in dejavnosti CERT-EU, vključno s storitvami, ki jih subjektom Unije zagotavlja na podlagi člena 13(3), (4), (5) in (7) ter člena 14(1) in so financirane iz razdelka večletnega finančnega okvira, namenjenega evropski javni upravi, se financirajo iz posebne proračunske vrstice proračuna Komisije. Delovna mesta, rezervirana za CERT-EU, se podrobneje opredelijo v opombi h kadrovskemu načrtu Komisije.

4.   Subjekti Unije, razen tistih iz odstavka 3 tega člena, zagotovijo CERT-EU letni finančni prispevek za kritje storitev, ki jih CERT-EU zagotavlja na podlagi navedenega odstavka. Prispevki temeljijo na usmeritvah IICB, o njih pa se vsak subjekt Unije in CERT-EU dogovorita v sporazumih o ravni storitev. Prispevki pomenijo pravičen in sorazmeren delež skupnih stroškov zagotovljenih storitev. Zbirajo se na posebni proračunski vrstici iz odstavka 3 tega člena kot notranji namenski prejemki, kot je določeno v členu 21(3), točka (c), Uredbe (EU, Euratom) 2018/1046.

5.   Stroške storitev, opredeljenih v členu 13(6), krijejo subjekti Unije, ki prejemajo storitve CERT-EU. Prihodki se dodelijo proračunskim vrsticam, ki krijejo stroške.

1.   CERT-EU brez nepotrebnega odlašanja sodeluje in si izmenjuje informacije s sorodnimi organi iz držav članic, zlasti skupinami CSIRT, imenovanimi ali ustanovljenimi na podlagi člena 10 Direktive (EU) 2022/2555, ali, kadar je ustrezno, pristojnimi organi in enotnimi kontaktnimi točkami, imenovanimi ali ustanovljenimi na podlagi člena 8 navedene direktive, v zvezi z incidenti, kibernetskimi grožnjami, ranljivostmi, skorajšnjimi incidenti, možnimi protiukrepi in dobrimi praksami ter vsemi zadevami, pomembnimi za izboljšanje zaščite okolij IKT subjektov Unije, vključno prek mreže skupin CSIRT, vzpostavljene na podlagi člena 15 Direktive (EU) 2022/2555. CERT-EU podpira Komisijo v mreži EU-CyCLONe, ustanovljeni na podlagi člena 16 Direktive (EU) 2022/2555 za usklajeno obvladovanje kibernetskih incidentov velikih razsežnosti in kriz.

2.   Kadar CERT-EU izve za pomembni incident na ozemlju države članice, brez odlašanja v skladu z odstavkom 1 uradno obvesti vse ustrezne sorodne organe v tej državi članici.

3.   CERT-EU brez nepotrebnega odlašanja in pod pogojem, da so osebni podatki zaščiteni v skladu z veljavnim pravom Unije o varstvu podatkov, s sorodnimi organi v državah članicah izmenjuje ustrezne informacije o posameznem incidentu, da se lažje odkrivajo podobne kibernetske grožnje ali incidenti ali prispeva k analizi incidenta, brez dovoljenja prizadetega subjekta Unije. CERT-EU informacije o posameznem incidentu, ki razkrivajo identiteto tarče incidenta, izmenjuje le, če:

Odločitve o izmenjavi informacij o posameznem incidentu, ki razkrivajo identiteto tarče incidenta na podlagi prvega pododstavka, točka (b), potrdi vodja CERT-EU. CERT-EU pred izdajo take odločitve pisno stopi v stik s prizadetim subjektom Unije in jasno pojasni, kako bi razkritje njegove identitete pomagalo preprečiti ali ublažiti incidente drugje. Vodja CERT-EU zagotovi pojasnilo in od subjekta Unije izrecno zahteva, da v določenem roku navede, ali soglaša. Vodja CERT-EU subjekt Unije tudi obvesti, da si glede na predloženo pojasnilo pridržuje pravico do razkritja informacij, tudi če soglasje ni bilo predloženo. Prizadeti subjekt Unije se obvesti pred razkritjem informacij.

1.   CERT-EU lahko sodeluje s sorodnimi organi v Uniji, razen tistih iz člena 17, za katere veljajo zahteve Unije glede kibernetske varnosti, vključno s sorodnimi organi iz posameznih industrijskih sektorjev, v zvezi z orodji in metodami, kot so tehnike, taktike, postopki in dobre prakse, ter v zvezi s kibernetskimi grožnjami in ranljivostmi. Za vsako sodelovanje s takimi sorodnimi organi CERT-EU pridobi predhodno soglasje IICB za vsak primer posebej. Kadar CERT-EU vzpostavi sodelovanje s takimi sorodnimi organi, obvesti vse ustrezne sorodne organe držav članic iz člena 17(1) v državi članici, v kateri ima sorodni organ sedež. Tako sodelovanje in pogoji zanj, tudi v zvezi s kibernetsko varnostjo, varstvom podatkov in ravnanjem z informacijami, se po potrebi in, kadar je to ustrezno, določijo v posebnih dogovorih o zaupnosti, kot so pogodbe ali upravne ureditve. Za dogovore o zaupnosti ni potrebna predhodna odobritev IICB, vendar se o njih obvesti predsednika IICB. CERT-EU lahko v primeru nujne in neizbežne potrebe po izmenjavi informacij o kibernetski varnosti v interesu subjektov Unije ali druge strani izmenjuje informacije s subjektom, katerega posebna usposobljenost, zmogljivost in strokovno znanje so upravičeno potrebni za pomoč pri taki nujni in takojšnji potrebi, tudi če CERT-EU s tem subjektom nima sklenjenega dogovora o zaupnosti. V takih primerih CERT-EU nemudoma obvesti predsednika IICB in z rednimi poročili ali sestanki poroča IICB.

2.   CERT-EU lahko za zbiranje informacij o splošnih in specifičnih kibernetskih grožnjah, skorajšnjih incidentih, ranljivostih in možnih protiukrepih sodeluje s partnerji, kot so komercialni subjekti, vključno s subjekti iz posameznih industrijskih sektorjev, mednarodne organizacije, nacionalni subjekti, ki ne prihajajo iz Unije, ali posamezni strokovnjaki. Za širše sodelovanje s takimi partnerji CERT-EU pridobi predhodno soglasje IICB za vsak primer posebej.

3.   CERT-EU lahko s soglasjem subjekta Unije, ki ga je incident prizadel, in pod pogojem, da ima z zadevnim sorodnim organom ali partnerjem sklenjen dogovor ali pogodbo o nerazkritju, sorodnim organom ali partnerjem iz odstavkov 1 in 2 zagotovi informacije, povezane s posameznim incidentom, izključno za namene prispevanja k njegovi analizi.