search

keyboard_tab Cyber Resilience Act 2023/2841 SL

 BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf

2023/2841 SL cercato: 'zahtevo' . Output generated live by software developed by IusOnDemand srl


expand index zahtevo:


whereas zahtevo:


definitions:


cloud tag: and the number of total unique words without stopwords is: 1065

 

Člen 10

Medinstitucionalni odbor za kibernetsko varnost

1.   Ustanovi se Medinstitucionalni odbor za kibernetsko varnost (IICB).

2.   IICB je odgovoren za:

(a)

spremljanje in podpiranje izvajanja te uredbe s strani subjektov Unije;

(b)

nadzor nad izvajanjem splošnih prednostnih nalog in ciljev CERT-EU ter zagotavljanje strateških usmeritev za CERT-EU.

3.   IICB sestavljajo:

(a)

po en predstavnik, ki ga imenuje vsak od navedenih:

(i)

Evropski parlament;

(ii)

Evropski svet;

(iii)

Svet Evropske unije;

(iv)

Komisija;

(v)

Sodišče Evropske unije;

(vi)

Evropska centralna banka;

(vii)

Evropsko računsko sodišče;

(viii)

Evropska služba za zunanje delovanje;

(ix)

Evropski ekonomsko-socialni odbor;

(x)

Evropski odbor regij;

(xi)

Evropska investicijska banka;

(xii)

Evropski industrijski, tehnološki in raziskovalni kompetenčni center za kibernetsko varnost;

(xiii)

ENISA;

(xiv)

Evropski nadzornik za varstvo podatkov (ENVP);

(xv)

Agencija Evropske unije za vesoljski program;

(b)

trije predstavniki, ki jih imenuje mreža agencij EU (EUAN) na predlog svojega svetovalnega odbora za IKT in ki zastopajo interese organov, uradov in agencij Unije, ki upravljajo svoje lastno okolje IKT, razen tistih iz točke (a).

Subjekti Unije, zastopani v IICB, si prizadevajo za uravnoteženo zastopanost spolov med imenovanimi predstavniki.

4.   Članom IICB lahko pomaga namestnik. Predsednik lahko povabi druge predstavnike subjektov Unije iz odstavka 3 ali drugih subjektov Unije, da se udeležijo sestankov IICB brez pravice do glasovanja.

5.   Vodja CERT-EU ter predsedniki skupine za sodelovanje, mreže skupin CSIRT in mreže EU-CyCLONe, ustanovljenih na podlagi členov 14, 15 in 16 Direktive (EU) 2022/2555, ali njihovi namestniki lahko sodelujejo na sestankih IICB kot opazovalci. V izjemnih primerih lahko IICB v skladu s svojim notranjim poslovnikom odloči drugače.

6.   IICB sprejme svoj notranji poslovnik.

7.   IICB v skladu s svojim notranjim poslovnikom med svojimi člani imenuje predsednika za obdobje treh let. Predsednikov namestnik postane polnopravni član IICB za enako obdobje.

8.   IICB se vsaj trikrat na leto sestane na pobudo svojega predsednika, na zahtevo CERT-EU ali na zahtevo katerega koli svojega člana.

9.   Vsak član IICB ima en glas. IICB odločitve sprejema z navadno večino, razen če je v tej uredbi določeno drugače. Predsednik IICB ne glasuje, razen v primeru neodločenega izida glasovanja, ko ima odločilni glas.

10.   IICB lahko deluje po poenostavljenem pisnem postopku, ki se začne v skladu z njegovim notranjim poslovnikom. Na podlagi tega postopka se zadevna odločitev šteje za odobreno v roku, ki ga določi predsednik, razen v primeru ugovora člana.

11.   Sekretariat IICB zagotavlja Komisija in je odgovoren predsedniku IICB.

12.   Predstavniki, ki jih imenuje mreža agencij EU, odločitve IICB posredujejo članom te mreže. Vsak član mreže agencij EU ima pravico, da na te predstavnike ali predsednika IICB naslovi katero koli vprašanje, za katero meni, da bi ga IICB moral obravnavati.

13.   IICB lahko ustanovi izvršni odbor, ki mu pomaga pri delu ter na katerega prenese nekaj svojih nalog in pooblastil. IICB določi poslovnik izvršnega odbora, vključno z njegovimi nalogami in pooblastili, ter mandati njegovih članov.

14.   IICB do 8. januarja 2025 in nato vsako leto Evropskemu parlamentu in Svetu predloži poročilo, v katerem podrobno opiše napredek pri izvajanju te uredbe in navede zlasti obseg sodelovanja CERT-EU s sorodnimi organi držav članic v vsaki državi članici. Poročilo je prispevek k dvoletnemu poročilu o stanju kibernetske varnosti v Uniji, sprejetem na podlagi člena 18 Direktive (EU) 2022/2555.

Člen 12

Skladnost

1.   IICB na podlagi člena 10(2) in člena 11 učinkovito spremlja izvajanje te uredbe ter sprejetih smernic, priporočil in pozivov k ukrepanju s strani subjektov Unije. IICB lahko od subjektov Unije zahteva informacije ali dokumentacijo, potrebne za ta namen. Za namen sprejetja ukrepov za skladnost na podlagi tega člena zadevni subjekt Unije, kadar je neposredno zastopan v IICB, nima glasovalnih pravic.

2.   Kadar IICB ugotovi, da subjekt Unije ni učinkovito izvajal te uredbe ali smernic, priporočil ali pozivov k ukrepanju, izdanih na podlagi te uredbe, lahko brez poseganja v notranje postopke zadevnega subjekta Unije in po tem, ko je zadevnemu subjektu Unije dal možnost, da predloži svoja opažanja:

(a)

subjektu Unije, pri katerem so bile opažene vrzeli pri izvajanju te uredbe, sporoči obrazloženo mnenje;

(b)

po posvetovanju s CERT-EU zadevnemu subjektu Unije zagotovi smernice za zagotovitev, da so njegov okvir, ukrepi za obvladovanje tveganj za kibernetsko varnost, načrt za kibernetsko varnost in poročanje skladni s to uredbo v določenem obdobju;

(c)

izda opozorilo za odpravo ugotovljenih pomanjkljivosti v določenem obdobju, vključno s priporočili za spremembo ukrepov, ki jih je zadevni subjekt Unije sprejel na podlagi te uredbe;

(d)

zadevnemu subjektu Unije izda utemeljeno uradno obvestilo, v primeru, da pomanjkljivosti, ugotovljene v opozorilu, izdanem na podlagi točke (c), niso bile ustrezno odpravljene v določenem roku;

(e)

izda:

(i)

priporočilo za izvedbo revizije ali

(ii)

zahtevo, da revizijo izvede neodvisna revizijska služba;

(f)

če je ustrezno, obvesti Računsko sodišče v okviru svojih pristojnosti o domnevni neskladnosti;

(g)

izda priporočilo, naj vse države članice in subjekti Unije začasno prekinejo prenose podatkov zadevnemu subjektu Unije.

Za namene prvega pododstavka, točka (c), je krog prejemnikov opozorila ustrezno omejen, kadar je to potrebno zaradi tveganja za kibernetsko varnost.

Opozorila in priporočila, izdana na podlagi prvega pododstavka, se naslovijo na najvišjo raven vodenja zadevnega subjekta Unije.

3.   Kadar IICB sprejme ukrepe na podlagi odstavka 2, prvi pododstavek, točke (a) do (g), zadevni subjekt Unije zagotovi podrobnosti ukrepov in dejavnosti, sprejetih za odpravo domnevnih pomanjkljivosti, ki jih je ugotovil IICB. Subjekt Unije te podrobnosti predloži v razumnem roku, o katerem se dogovori z IICB.

4.   Kadar IICB meni, da subjekt Unije vztrajno krši to uredbo neposredno zaradi dejanj ali opustitev dejanj uradnika ali drugega uslužbenca Unije, tudi na najvišji ravni vodenja, IICB zahteva, da zadevni subjekt Unije sprejme ustrezne ukrepe, vključno z zahtevo, da razmisli o sprejetju disciplinskih ukrepov v skladu s pravili in postopki, določenimi v kadrovskih predpisih in vseh drugih veljavnih pravilih in postopkih. V ta namen IICB zadevnemu subjektu Unije posreduje potrebne informacije.

5.   Kadar subjekti Unije uradno obvestijo, da ne morejo spoštovati rokov iz člena 6(1) in člena 8(1), lahko IICB v ustrezno utemeljenih primerih in ob upoštevanju velikosti subjekta Unije odobri podaljšanje teh rokov.

POGLAVJE IV

CERT-EU

Člen 13

Poslanstvo in naloge CERT-EU

1.   Poslanstvo CERT-EU je prispevati k varnosti netajnega okolja IKT subjektov Unije, tako da jim svetuje glede kibernetske varnosti, jim pomaga preprečiti, odkriti, obvladovati in ublažiti incidente ter se odzivati nanje in okrevati po njih, deluje pa tudi kot njihovo vozlišče za izmenjavo informacij o kibernetski varnosti in za usklajevanje odzivanja na incidente.

2.   CERT-EU zbira, upravlja, analizira in izmenjuje informacije s subjekti Unije o kibernetskih grožnjah, ranljivostih ter incidentih na netajni infrastrukturi IKT. Usklajuje odzive na incidente na medinstitucionalni ravni in na ravni subjektov Unije, vključno z zagotavljanjem ali usklajevanjem zagotavljanja specializirane operativne pomoči.

3.   CERT-EU za pomoč subjektom Unije izvaja naslednje naloge:

(a)

podpira jih pri izvajanju te uredbe in prispeva k usklajevanju izvajanja te uredbe z ukrepi iz člena 14(1) ali ad hoc poročili, ki jih zahteva IICB;

(b)

ponuja standardne storitve skupine CSIRT subjektom Unije s svežnjem storitev za kibernetsko varnost, opisanih v katalogu storitev (osnovne storitve);

(c)

vzdržuje mrežo podobnih institucij, organov in agencij ter partnerjev za podporo storitev, kot so navedene v členih 17 in 18;

(d)

IICB opozori na vse težave, ki se nanašajo na izvajanje te uredbe ter izvajanje smernic, priporočil in pozivov k ukrepanju;

(e)

na podlagi informacij iz odstavka 2 in v tesnem sodelovanju z ENISA prispeva k situacijskem zavedanju na področju kibernetske varnosti v Uniji;

(f)

usklajuje obvladovanje večjih incidentov;

(g)

deluje na strani subjektov Unije kot enakovreden koordinatorju, imenovanemu za usklajeno razkrivanje ranljivosti na podlagi člena 12(1) Direktive (EU) 2022/2555;

(h)

na zahtevo subjekta Unije zagotovi proaktivno neinvazivno pregledovanje javno dostopnih omrežnih in informacijskih sistemov tega subjekta Unije.

Informacije iz prvega pododstavka, točka (e), se po potrebi in kadar je to ustrezno ter ob upoštevanju ustreznih pogojev zaupnosti izmenjujejo z IICB, mrežo skupin CSIRT ter Obveščevalnim in situacijskim centrom Evropske unije (EU INTCEN).

4.   CERT-EU lahko v skladu s členom 17 ali 18, kot je ustrezno, sodeluje z ustreznimi skupnostmi za kibernetsko varnost v Uniji in njenih državah članicah, vključno na naslednjih področjih:

(a)

pripravljenost, obvladovanje incidentov, izmenjava informacij in odzivanje na krize na tehnični ravni v zvezi s primeri, povezanimi s subjekti Unije;

(b)

operativno sodelovanje v zvezi z mrežo skupin CSIRT, vključno z vzajemno pomočjo;

(c)

obveščevalni podatki o kibernetskih grožnjah, vključno s situacijskim zavedanjem;

(d)

vsaka tema, ki zahteva tehnično strokovno znanje CERT-EU na področju kibernetske varnosti.

5.   CERT-EU v okviru svoje pristojnosti strukturirano sodeluje z ENISA pri krepitvi zmogljivosti, operativnem sodelovanju in dolgoročnih strateških analizah kibernetskih groženj v skladu z Uredbo (EU) 2019/881. CERT-EU lahko sodeluje in izmenjuje informacije z Europolovim Evropskim centrom za boj proti kibernetski kriminaliteti.

6.   CERT-EU lahko zagotavlja naslednje storitve, ki niso opisane v njegovem katalogu storitev (storitve, ki se zaračunajo):

(a)

storitve, ki podpirajo kibernetsko varnost okolja IKT subjektov Unije, razen storitev iz odstavka 3, in sicer na podlagi sporazumov o ravni storitev in glede na razpoložljive vire, zlasti spremljanje mreže širokega spektra, vključno s primarnim spremljanjem 24 ur na dan sedem dni v tednu za zelo resne kibernetske grožnje;

(b)

storitve, ki podpirajo operacije ali projekte subjektov Unije za kibernetsko varnost, razen tistih za zaščito njihovih okolij IKT, in sicer na podlagi pisnih sporazumov in s predhodno odobritvijo IICB;

(c)

na zahtevo proaktivno pregledovanje omrežnih in informacijskih sistemov zadevnega subjekta Unije, da se odkrijejo ranljivosti, ki bi lahko imele pomemben vpliv;

(d)

storitve, ki podpirajo varnost okolja IKT organizacij, ki niso subjekti Unije, ki tesno sodelujejo s subjekti Unije, ker so jim na primer bile dodeljene naloge ali odgovornosti na podlagi prava Unije, na podlagi pisnih sporazumov in s predhodno odobritvijo IICB.

V zvezi s prvim pododstavkom, točka (d), lahko CERT-EU s predhodno odobritvijo IICB izjemoma sklene sporazume o ravni storitev s subjekti, ki niso subjekti Unije.

7.   CERT-EU organizira vaje na področju kibernetske varnosti in lahko v njih sodeluje ali priporoča udeležbo na obstoječih vajah, v tesnem sodelovanju z agencijo ENISA, kadar je to primerno, da preizkusi raven kibernetske varnosti subjektov Unije.

8.   CERT-EU lahko subjektom Unije zagotovi pomoč v zvezi z incidenti v omrežnih in informacijskih sistemih, v katerih se obravnavajo tajni podatki EU, kadar zadevni subjekti Unije to izrecno zahtevajo v skladu s svojimi postopki. Zagotavljanje pomoči s strani CERT-EU na podlagi tega odstavka ne posega v veljavna pravila v zvezi z varstvom tajnih podatkov.

9.   CERT-EU obvesti subjekte Unije o svojih postopkih in procesih obvladovanja incidentov.

10.   CERT-EU z visoko stopnjo zaupnosti in zanesljivosti prek ustreznih mehanizmov sodelovanja in linij poročanja prispeva ustrezne in anonimizirane informacije o večjih incidentih in načinu, kako se jih je obravnavalo. Te informacije se vključijo v poročilo iz člena 10(14).

11.   CERT-EU v sodelovanju z ENVP podpira zadevne subjekte Unije pri obravnavanju incidentov, katerih posledica je kršitev varstva osebnih podatkov, pri čemer se ne posega v pristojnosti in naloge ENVP kot nadzornega organa na podlagi Uredbe (EU) 2018/1725.

12.   CERT-EU lahko, če to izrecno zahtevajo službe subjektov Unije, ki skrbijo za vprašanja politike, zagotavlja tehnične nasvete ali prispevek o ustreznih zadevah politike.

Člen 15

Vodja CERT-EU

1.   Komisija na podlagi odobritve dveh tretjin članov IICB imenuje vodjo CERT-EU. Posvetovanje z IICB se izvede v vseh fazah postopka imenovanja, zlasti pri pripravi razpisov za prosto delovno mesto, pregledovanju prijav in imenovanju izbirnih komisij v zvezi z delovnim mestom. Izbirni postopek, vključno s končnim ožjim izborom kandidatov, iz katerega bo imenovan vodja CERT-EU, zagotavlja pravično zastopanost spolov, pri čemer se upoštevajo vložene prijave.

2.   Vodja CERT-EU je odgovoren za pravilno delovanje CERT-EU ter deluje v okviru svoje vloge in pod vodstvom IICB. Vodja CERT-EU redno poroča predsedniku IICB in mu na njegovo zahtevo predloži ad hoc poročila.

3.   Vodja CERT-EU pomaga odgovornemu odredbodajalcu na podlagi prenosa pooblastil pri pripravi letnega poročila o dejavnostih, ki vsebuje finančne in upravljavske informacije, vključno z rezultati kontrol, pripravljenega v skladu s členom 74(9) Uredbe (EU, Euratom) 2018/1046 Evropskega parlamenta in Sveta (9), ter redno poroča odredbodajalcu na podlagi prenosa pooblastil o izvajanju ukrepov, v zvezi s katerimi so bila pooblastila nadaljnje prenesena na vodjo CERT-EU.

4.   Vodja CERT-EU vsako leto pripravi finančno načrtovanje upravnih prihodkov in odhodkov za svoje dejavnosti, predlagan letni delovni program, predlagan katalog storitev za CERT-EU, predlagane revizije kataloga storitev, predlagane ureditve za sporazume o ravni storitev in predlagane ključne kazalnike uspešnosti za CERT-EU, ki jih odobri IICB v skladu s členom 11. Pri reviziji seznama storitev v katalogu storitev CERT-EU vodja CERT-EU upošteva vire, dodeljene CERT-EU.

5.   Vodja CERT-EU predloži IICB in njegovemu predsedniku najmanj enkrat letno poročila o dejavnostih in uspešnosti CERT-EU v referenčnem obdobju, med drugim o izvrševanju proračuna, sporazumih o ravni storitev in sklenjenih pisnih sporazumih, sodelovanju s sorodnimi organi in partnerji ter misijah osebja, vključno s poročili iz člena 11. Ta poročila vključujejo delovni program za naslednje obdobje, finančno načrtovanje prihodkov in odhodkov, vključno z osebjem, načrtovane posodobitve kataloga storitev CERT-EU in oceno pričakovanega učinka, ki bi ga take posodobitve lahko imele na finančne in človeške vire.

Člen 20

Dogovori o izmenjavi informacij o kibernetski varnosti

1.   Subjekti Unije lahko CERT-EU prostovoljno priglasijo incidente, kibernetske grožnje, skorajšnje incidente in ranljivosti, ki vplivajo nanje, ter mu zagotovijo informacije o njih. CERT-EU poskrbi, da so na voljo učinkovita komunikacijska sredstva, in sicer z visoko ravnjo sledljivosti, zaupnosti in zanesljivosti, da se olajša izmenjava informacij s subjekti Unije. Pri obdelavi priglasitev lahko CERT-EU da prednost obdelavi obveznih priglasitev pred prostovoljnimi. Brez poseganja v člen 12 se zaradi prostovoljne priglasitve poročajočemu subjektu Unije ne nalagajo dodatne obveznosti, ki zanj ne bi veljale, če priglasitve ne bi opravil.

2.   Da bi CERT-EU lahko izvajal svoje poslanstvo in naloge, podeljene na podlagi člena 13, lahko CERT-EU od subjektov Unije zahteva predložitev informacij iz njihovih zbirk sistemov ICT, kar vključuje informacije v zvezi s kibernetskimi grožnjami, skorajšnjimi incidenti, ranljivostmi, kazalniki ogroženosti, kibernetskovarnostnimi opozorili in priporočili glede konfiguracije kibernetskovarnostnih orodij za odkrivanje incidentov. Subjekt Unije brez nepotrebnega odlašanja posreduje zahtevane informacije in vse njihove naknadne posodobitve.

3.   CERT-EU si lahko informacije o posameznem incidentu, ki razkrivajo identiteto subjekta Unije, ki ga je prizadel incident, izmenjuje s subjekti Unije, če prizadeti subjekt Unije s tem soglaša. Kadar subjekt Unije odkloni soglasje, predloži CERT-EU razloge, ki utemeljujejo to odločitev.

4.   Subjekti Unije na zahtevo izmenjujejo informacije z Evropskim parlamentom in Svetom o dokončanju načrtov za kibernetsko varnost.

5.   IICB ali CERT-EU, kot je ustrezno, posreduje smernice, priporočila in pozive k ukrepanju Evropskemu parlamentu in Svetu na njuno zahtevo.

6.   Obveznosti izmenjave iz tega člena ne veljajo za:

(a)

tajne podatke EU;

(b)

informacije, katerih nadaljnja distribucija je bila izključena z vidno oznako, razen če je bila njihova izmenjava s CERT-EU izrecno dovoljena.

Člen 21

Obveznosti poročanja

1.   Incident se šteje za pomembnega, če:

(a)

je zadevnemu subjektu Unije povzročil ali bi mu lahko povzročil znatne operativne motnje pri delovanju ali finančno izgubo;

(b)

je vplival ali bi lahko vplival na druge fizične ali pravne osebe s povzročitvijo precejšnje premoženjske ali nepremoženjske škode.

2.   Subjekti Unije CERT-EU predložijo:

(a)

brez nepotrebnega odlašanja, v vsakem primeru pa v 24 urah po tem, ko izvejo za pomembni incident, zgodnje opozorilo, iz katerega je po možnosti razvidno, da je bil pomemben incident domnevno povzročen z nezakonitim ali zlonamernim dejanjem ali da bi lahko imel vpliv na druge subjekte ali čezmejni vpliv;

(b)

brez nepotrebnega odlašanja, v vsakem primeru pa v 72 urah po tem, ko izvejo za pomembni incident, priglasitev incidenta, s katero se po potrebi posodobijo informacije iz točke (a) in navede začetna ocena pomembnega incidenta, vključno z njegovo resnostjo in vplivom ter kazalniki ogroženosti, kadar so ti na voljo;

(c)

na zahtevo organa CERT-EU vmesno poročilo o ustreznih posodobitvah stanja;

(d)

končno poročilo, najpozneje v enem mesecu po predložitvi priglasitve incidenta na podlagi točke (b), ki vključuje:

(i)

podroben opis incidenta, vključno z njegovo resnostjo in učinkom;

(ii)

vrsto grožnje ali temeljnega vzroka, ki je verjetno sprožil incident;

(iii)

izvedene blažilne ukrepe in take ukrepe v teku;

(iv)

po potrebi čezmejni vpliv ali vpliv na druge subjekte incidenta;

(e)

v primeru incidenta, ki je ob predložitvi končnega poročila iz točke (d) še vedno v teku, poročilo o napredku, končno poročilo pa najpozneje en mesec po razrešitvi incidenta.

3.   Subjekt Unije brez nepotrebnega odlašanja, v vsakem primeru pa v 24 urah po tem, ko izve za pomembni incident, obvesti vse ustrezne sorodne organe držav članic iz člena 17(1) v državi članici, v kateri se nahaja, da se je zgodil pomemben incident.

4.   Subjekti Unije med drugim priglasijo vse informacije, na podlagi katerih lahko CERT-EU ugotovi morebitni učinek na druge subjekte, učinek na državo članico gostiteljico ali čezmejni učinek pomembnega incidenta. Brez poseganja v člen 12 samo dejanje priglasitve ne nalaga dodatne odgovornosti subjektu, ki tako priglasitev izvede.

5.   Subjekti Unije po potrebi in brez nepotrebnega odlašanja sporočijo uporabnikom prizadetih omrežnih in informacijskih sistemov ali drugih komponent okolja IKT, na katere lahko vpliva pomemben incident ali pomembna kibernetska grožnja in ki morajo, kadar je to ustrezno, sprejeti blažilne ukrepe, o vseh ukrepih ali pravnih sredstvih, ki jih lahko sprejmejo v odziv na incident ali grožnjo. Kadar je primerno, subjekti Unije obvestijo te uporabnike o pomembni kibernetski grožnji kot taki.

6.   Kadar pomemben incident ali pomembna kibernetska grožnja prizadene omrežni in informacijski sistem ali komponento okolja IKT subjekta Unije, ki je načrtno povezana z okoljem IKT drugega subjekta Unije, CERT-EU izda ustrezno kibernetskovarnostno opozorilo.

7.   Subjekti Unije na zahtevo CERT-EU brez nepotrebnega odlašanja posredujejo CERT-EU digitalne informacije, ustvarjene z uporabo elektronskih naprav, ki so vpete v zadevne incidente. CERT-EU lahko dodatno pojasni vrste informacij, ki jih potrebuje za situacijsko zavedanje in odzivanje na incidente.

8.   CERT-EU predloži IICB, ENISA, EU INTCEN in mreži skupin CSIRT vsake tri mesece zbirno poročilo, vključno z anonimiziranimi in zbirnimi podatki o pomembnih incidentih, incidentih, kibernetskih grožnjah, skorajšnjih incidentih in ranljivostih na podlagi člena 20 ter pomembnih incidentih, priglašenih na podlagi odstavka 2 tega člena. Zbirno poročilo je prispevek k dveletnemu poročilu o stanju kibernetske varnosti v Uniji, ki se sprejme na podlagi člena 18 Direktive (EU) 2022/2555.

9.   IICB do 8. julija 2024 izda smernice ali priporočila, v katerih podrobneje opredeli ureditve za poročanje ter obliko in vsebino poročanja na podlagi tega člena. IICB pri pripravi takih smernic ali priporočil upošteva vse izvedbene akte, sprejete na podlagi člena 23(11) Direktive (EU) 2022/2555, v katerih so določeni vrsta informacij, oblika in postopek priglasitve. CERT-EU razširja ustrezne tehnične podrobnosti, da se subjektom Unije omogočijo proaktivno odkrivanje, odzivanje na incidente ali blažilni ukrepi.

10.   Obveznosti poročanja iz tega člena ne veljajo za:

(a)

tajne podatke EU;

(b)

informacije, katerih nadaljnja distribucija je bila izključena z vidno oznako, razen če je bila njihova izmenjava s CERT-EU izrecno dovoljena.

Člen 22

Usklajevanje odzivanja na incidente in sodelovanje

1.   CERT-EU, ki deluje kot vozlišče za izmenjavo informacij o kibernetski varnosti in usklajevanje odzivanja na incidente, olajša izmenjavo informacij v zvezi z incidenti, kibernetskimi grožnjami, ranljivostmi in skorajšnjimi incidenti med:

(a)

subjekti Unije;

(b)

sorodnimi organi iz členov 17 in 18.

2.   CERT-EU po potrebi v tesnem sodelovanju z ENISA olajša usklajevanje med subjekti Unije v zvezi z odzivanjem na incidente, vključno s:

(a)

prispevkom k doslednemu zunanjemu komuniciranju;

(b)

medsebojno podporo, kot je izmenjava informacij, pomembnih za subjekte Unije, ali zagotavljanje pomoči, po potrebi neposredno na kraju samem;

(c)

optimalno uporabo operativnih virov;

(d)

usklajevanjem z drugimi mehanizmi za odzivanje na krize na ravni Unije.

3.   CERT-EU v tesnem sodelovanju z ENISA podpira subjekte Unije v zvezi s situacijskim zavedanjem o incidentih, kibernetskih grožnjah, ranljivostih, in skorajšnjih incidentih ter pri izmenjavi najnovejših dosežkov na področju kibernetske varnosti.

4.   IICB do 8. januarja 2025 na podlagi predloga CERT-EU sprejme smernice ali priporočila o usklajevanju odzivanja na incidente in sodelovanju v zvezi s pomembnimi incidenti. Kadar obstaja sum, da je incident kaznivo dejanje, CERT-EU svetuje o tem, kako incident brez nepotrebnega odlašanja prijaviti organom kazenskega pregona.

5.   CERT-EU lahko na posebno zahtevo države članice in z odobritvijo zadevnih subjektov Unije povabi strokovnjake s seznama iz člena 23(4), da prispevajo k odzivu na večji incident, ki vpliva na to državo članico, ali kibernetski incident velikih razsežnosti v skladu s členom 15(3), točka (g), Direktive (EU) 2022/2555. IICB na podlagi predloga CERT-EU odobri posebna pravila o dostopu do tehničnih strokovnjakov iz subjektov Unije ter njihovem sodelovanju.


whereas
keyboard_arrow_down