1.   Настоящият регламент се прилага за субектите на Съюза, за Междуинституционалния съвет по киберсигурност, създаден съгласно член 10, и за CERT-EU.

2.   Настоящият регламент се прилага, без да се засяга институционалната автономност съгласно Договорите.

3.   С изключение на член 13, параграф 8, настоящият регламент не се прилага за мрежови и информационни системи, работещи с класифицирана информация на ЕС (КИЕС).

1.   Обработването на лични данни съгласно настоящия регламент от страна на CERT-EU, Междуинституционалния съвет по киберсигурност, създаден съгласно член 10, и субекти на Съюза се извършва в съответствие с Регламент (ЕС) 2018/1725.

2.   Когато изпълняват задачи или задължения съгласно настоящия регламент, CERT-EU, Междуинституционалният съвет по киберсигурност, създаден съгласно член 10, и субектите на Съюза обработват и обменят лични данни само доколкото това е необходимо и единствено с цел изпълнение на тези задачи или задължения.

3.   Обработването на специални категории лични данни, посочени в член 10, параграф 1 от Регламент (ЕС) 2018/1725, се счита за необходимо на основание значим обществен интерес съгласно член 10, параграф 2, буква ж) от посочения регламент. Тези данни могат да бъдат обработвани само доколкото това е необходимо за прилагането на мерките за управление на рисковете за киберсигурността, посочени в членове 6 и 8, за предоставянето на услуги от CERT-EU съгласно член 13, за обмена на информация за конкретни инциденти съгласно член 17, параграф 3 и член 18, параграф 3, за обмена на информация съгласно член 20, за задълженията за докладване съгласно член 21, за координацията и сътрудничеството при реагиране на инциденти съгласно член 22 и за управлението на съществени инциденти съгласно член 23 от настоящия регламент. Когато действат като администратори на данни, субектите на Съюза и CERT-EU прилагат технически мерки за предотвратяване на обработването на специални категории лични данни за други цели и предвиждат подходящи и конкретни мерки за защита на основните права и на интересите на субектите на данни.

1.   В срок до 8 септември 2024 г. Междуинституционалният съвет по киберсигурност, създаден съгласно член 10, след като се консултира с Агенцията на Европейския съюз за киберсигурност (ENISA) и след като получи насоки от CERT-EU, отправя насоки към субектите на Съюза с цел извършване на първоначален преглед на киберсигурността и създаване на вътрешна рамка за управление, ръководство и контрол на рисковете за киберсигурността съгласно член 6, извършване на оценки на зрелостта по отношение на киберсигурността съгласно член 7, предприемане на мерки за управление на рисковете за киберсигурността съгласно член 8 и приемане на плана за киберсигурност съгласно член 9.

2.   При прилагането на членове 6- 9 субектите на Съюза вземат предвид насоките, посочени в параграф 1 от настоящия член, както и приложимите насоки и препоръки, приети съгласно членове 11 и 14.

1.   В срок до 8 април 2025 г. всеки субект на Съюза, след като извърши първоначален преглед на киберсигурността, например одит, установява вътрешна рамка за управление, ръководство и контрол на рисковете за киберсигурността (наричана по-нататък „рамката“). Установяването на рамката се контролира от висшето ръководство на субекта на Съюза, което носи отговорност за нея.

2.   Рамката обхваща цялата некласифицирана ИКТ среда на съответния субект на Съюза, включително всяка локална ИКТ среда и оперативна технологична мрежа, активи и услуги в условията на компютърни услуги „в облак“, възложени на подизпълнители или хоствани от трети лица, мобилни устройства, корпоративни мрежи, бизнес мрежи, които не са свързани с интернет, и всякакви устройства, свързани с посочените среди (наричана по-нататък „ИКТ средата“). Рамката се основава на подход, обхващащ всички опасности.

3.   Рамката трябва да гарантира високо ниво на киберсигурност. С рамката се установяват вътрешни политики за киберсигурност, включително цели и приоритети, за сигурността на мрежовите и информационните системи, както и функциите и отговорностите на служителите на субекта на Съюза, на които е възложено да гарантират ефективното прилагане на настоящия регламент. Рамката включва и механизми за измерване на ефективността на прилагането.

4.   Рамката подлежи на редовен преглед, с оглед на променящите се рискове за киберсигурността, и най-малко на всеки четири години. Когато е целесъобразно и при искане на Междуинституционалния съвет по киберсигурност, създаден съгласно член 10, рамката на съответния субект на Съюза може да се актуализира въз основа на насоките на CERT-EU относно установени инциденти или евентуални пропуски, наблюдавани в рамките на прилагането на настоящия регламент.

5.   Висшето ръководство на всеки субект на Съюза отговаря за прилагането на настоящия регламент и следи за спазването от страна на неговата организация на задълженията, свързани с рамката.

6.   Когато е целесъобразно и без да се засяга отговорността му за прилагането на настоящия регламент, висшето ръководство на всеки субект на Съюза може да делегира конкретни задължения по настоящия регламент на висши длъжностни лица по смисъла на член 29, параграф 2 от Правилника за длъжностните лица или на други длъжностни лица на равностойно равнище в рамките на съответния субект на Съюза. Независимо от това делегиране, от висшето ръководство може да се търси отговорност за нарушения на настоящия регламент от страна на съответния субект на Съюза.

7.   Всеки субект на Съюза трябва да разполага с ефективни механизми, за да гарантира, че подходящ процент от ИКТ бюджета се изразходва за киберсигурност. При определянето на този процент надлежно се взема предвид рамката.

8.   Всеки субект на Съюза назначава местен служител по киберсигурността или служител на равностойна позиция, който действа като единно звено за контакт по отношение на всички аспекти на киберсигурността. Местният служител по киберсигурността улеснява прилагането на настоящия регламент и се отчита пряко и редовно пред висшето ръководство за напредъка по прилагането. Без да се засяга фактът, че местният служител по киберсигурността е единното звено за контакт във всеки субект на Съюза, даден субект на Съюза може да делегира на CERT-EU определени задачи на местния служител по киберсигурността във връзка с прилагането на настоящия регламент въз основа на споразумение за нивото на обслужване, сключено между съответния субект на Съюза и CERT-EU, или изпълнението на тези задачи може да се споделя от няколко субекта на Съюза. Когато тези задачи са делегирани на CERT-EU, Междуинституционалният съвет по киберсигурност, създаден съгласно член 10, решава дали предоставянето на съответната услуга трябва да бъде част от базовите услуги на CERT-EU, като взема предвид човешките и финансовите ресурси на съответния субект на Съюза. Всеки субект на Съюза уведомява без необосновано забавяне CERT-EU за назначените местни служители по киберсигурността и за всяка последваща промяна, свързана с тях.

CERT-EU изготвя и осигурява актуализирането на списък на назначените местни служители по киберсигурността.

9.   Висшите длъжностни лица по смисъла на член 29, параграф 2 от Правилника за длъжностните лица или други длъжностни лица на равностойно равнище в рамките на съответния субект на Съюза, както и съответните членове на персонала, на който е възложено изпълнението на мерките и задълженията за управление на рисковете за киберсигурността, предвидени в настоящия регламент, редовно преминават специално обучение, за да придобият достатъчно знания и умения с цел разбиране и оценка на практиките във връзка с рисковете за киберсигурността и управлението на рисковете за киберсигурността, както и на тяхното въздействие върху дейността на съответния субект на Съюза.

1.   В срок до 8 юли 2025 г. и най-малко на всеки две години след това всеки субект на Съюза извършва оценка на зрелостта по отношение на киберсигурността, включваща всички елементи на неговата ИКТ среда.

2.   Оценките на зрелостта по отношение на киберсигурността се извършват, когато е целесъобразно, с помощта на трето лице специалист.

3.   Субектите на Съюза със сходни структури могат да си сътрудничат при извършването на оценки на зрелостта по отношение на киберсигурността за съответните си субекти.

4.   По искане на Междуинституционалния съвет по киберсигурност, създаден съгласно член 10, и с изричното съгласие на съответния субект на Съюза резултатите от оценката на зрелостта по отношение на киберсигурността могат да бъдат обсъдени в рамките на Междуинституционалния съвет по киберсигурност или в рамките на неформалната група на местните служители по киберсигурността с цел извличане на поуки от натрупания опит и споделяне на най-добри практики.

1.   Всеки субект на Съюза предприема без необосновано забавяне и във всички случаи до 8 септември 2025 г., под надзора на своето висше ръководство, подходящи и пропорционални технически, оперативни и организационни мерки за управление на рисковете за киберсигурността, установени съгласно рамката, и за предотвратяване на инциденти или за свеждане до минимум на тяхното въздействие. Като се вземат предвид достиженията на техническия прогрес и когато е приложимо, съответните европейски и международни стандарти, посочените мерки трябва да гарантират ниво на сигурност на мрежовите и информационните системи в цялата ИКТ среда, съизмеримо с наличните рискове за киберсигурността. При оценката на пропорционалността на тези мерки надлежно се вземат предвид степента на изложеност на съответния субект на Съюза на рискове за киберсигурността, неговият размер, вероятността от настъпване на инциденти и тяхната сериозност, включително тяхното обществено, икономическо и междуинституционално въздействие.

2.   При изпълнението на мерките за управление на рисковете за киберсигурността субектите на Съюза предприемат действия най-малко в следните области:

За целите на първа алинея, буква м) субектите на Съюза вземат предвид уязвимостите, присъщи на всеки пряк доставчик на стоки и услуги, и цялостното качество на продуктите и практиките в областта на киберсигурността на своите доставчици на стоки и услуги, включително техните процедури за сигурно разработване.

3.   Субектите на Съюза предприемат най-малко следните конкретни мерки за управление на рисковете за киберсигурността:

1.   При отчитане на заключенията от оценката на зрелостта по отношение на киберсигурността, извършена съгласно член 7, и на активите и установените в рамката рискове за киберсигурността, както и мерките за управление на рисковете за киберсигурността, предприети съгласно член 8, висшето ръководство на всеки субект на Съюза одобрява план за киберсигурност без необосновано забавяне и във всеки случай до 8 януари 2026 г. Планът за киберсигурност цели повишаване на цялостната киберсигурност на субекта на Съюза, като по този начин допринася за утвърждаването на високо общо ниво на киберсигурност в рамките на субектите на Съюза. Планът за киберсигурност включва най-малко мерките за управление на рисковете за киберсигурността, предприети съгласно член 8. Планът за киберсигурност се преразглежда на всеки две години или по-често, когато е необходимо, след оценките на зрелостта по отношение на киберсигурността, които се извършват съгласно член 7, или след всеки съществен преглед на рамката.

2.   Планът за киберсигурност включва плана на субекта на Съюза за управление на киберкризи при съществени инциденти.

3.   Субектът на Съюза представя изготвения план за киберсигурност на Междуинституционалния съвет по киберсигурност, създаден съгласно член 10.

1.   Създава се Междуинституционален съвет по киберсигурност (МСК).

2.   МСК отговаря за:

3.   МСК се състои от:

Субектите на Съюза, които са представени в МСК, се стремят да постигнат баланс между половете сред определените представители.

4.   Членовете на МСК може да се подпомагат от заместник. Председателят може да покани и други представители на субектите на Съюза, посочени в параграф 3, или на други субекти на Съюза да присъстват на заседанията на МСК без право на глас.

5.   Ръководителят на CERT-EU и председателите на групата за сътрудничество, мрежата на ЕРИКС и EU-CyCLONe, създадени съответно съгласно членове 14, 15 и 16 от Директива (ЕС) 2022/2555, или техните заместници могат да участват в заседанията на МСК като наблюдатели. В изключителни случаи и в съответствие с вътрешния процедурен правилник на МСК той може да реши друго.

6.   МСК приема свой вътрешен процедурен правилник.

7.   МСК определя, съответствие със своя вътрешен процедурен правилник, председател измежду своите членове за срок от три години. Заместник-председателят става пълноправен член на МСК за същия срок.

8.   МСК провежда заседания най-малко три пъти годишно по инициатива на своя председател, по искане на CERT-EU или по искане на някой от своите членове.

9.   Всеки член на МСК има един глас. Решенията на МСК се вземат с обикновено мнозинство, освен ако в настоящия регламент не е предвидено друго. Председателят на МСК не гласува, освен при равен брой гласове, когато председателят може да участва в гласуването с решаващ глас.

10.   МСК може да предприема действия чрез опростена писмена процедура, която започва в съответствие със своя вътрешен процедурен правилник. Съгласно тази процедура съответното решение се счита за одобрено в определения от председателя срок, освен ако някой от членовете не направи възражение.

11.   Секретариатът на МСК се осигурява от Комисията и се отчита пред председателя на МСК.

12.   Представителите, определени от EUAN, предават решенията на МСК на членовете на EUAN. Всеки член на EUAN има право да отправя до тези представители или до председателя на МСК всякакви въпроси, които счита, че трябва да бъдат отнесени до МСК.

13.   МСК може да създаде изпълнителен комитет, който да го подпомага в неговата работа, и да му делегира някои от своите задачи и правомощия. МСК утвърждава процедурния правилник на изпълнителния комитет, включително неговите задачи и правомощия, както и мандата на неговите членове.

14.   До 8 януари 2025 г. и ежегодно след това МСК представя на Европейския парламент и на Съвета доклад, в който подробно се описва напредъкът, постигнат при прилагането на настоящия регламент, и се посочва по-специално степента на сътрудничество на CERT-EU с неговите партньори във всяка от държавите членки. Докладът представлява част от материалите за двугодишния доклад за състоянието на киберсигурността в Съюза, който се приема съгласно член 18 от Директива (ЕС) 2022/2555.

1.   МСК извършва ефективен мониторинг съгласно член 10, параграф 2 и член 11 на прилагането на настоящия регламент и на приетите насоки, препоръки и призиви за действие от страна на субектите на Съюза. МСК може да поиска от субектите на Съюза информация или документация, необходими за тази цел. За целите на приемането на мерки за постигане на съответствие съгласно настоящия член, когато съответният субект на Съюза е пряко представляван в МСК, този субект на Съюза няма право на глас.

2.   Когато МСК установи, че субект на Съюза не прилага ефективно настоящия регламент или отправените съгласно него насоки, препоръки или призиви за действие, той може, без да се засягат вътрешните процедури на съответния субект на Съюза и след като даде на съответния субект на Съюза възможност да представи коментари:

За целите на първа алинея, буква в) адресатите на предупреждението се ограничават по подходящ начин, когато е необходимо предвид риска за киберсигурността.

Отправените съгласно първа алинея предупреждения и препоръки се насочват към висшето ръководство на съответния субект на Съюза.

3.   Когато МСК е приел мерки съгласно параграф 2, първа алинея, букви а) – ж), съответният субект на Съюза предоставя подробни сведения за мерките и действията, предприети за отстраняване на установените от МСК предполагаеми недостатъци. Субектът на Съюза представя тези подробни сведения в разумен срок, който се договаря с МСК.

4.   Когато МСК счете, че е налице трайно нарушение на настоящия регламент от страна на субект на Съюза, произтичащо пряко от действия или бездействия на длъжностно лице или друг служител на Съюза, включително на висшето ръководство, МСК изисква от съответния субект на Съюза да предприеме подходящи действия, включително изисква от него да разгледа възможността за предприемането на действия от дисциплинарен характер, в съответствие с правилата и процедурите, установени в Правилника за длъжностните лица, и всякакви други приложими правила и процедури. За тази цел МСК предава необходимата информация на съответния субект на Съюза.

5.   Когато субектите на Съюза уведомят, че не са в състояние да спазят сроковете, определени в член 6, параграф 1 и член 8, параграф 1, МСК може в надлежно обосновани случаи, като взема предвид размера на субекта на Съюза, да разреши удължаването на тези срокове.

1.   Мисията на CERT-EU е да допринася за сигурността на некласифицираната ИКТ среда на субектите на Съюза посредством предоставяне на консултации в областта на киберсигурността, осигуряване на подкрепа за предотвратяването, откриването, действията, смекчаването, реагирането и възстановяването от инциденти и извършването на дейност като техен координационен център за обмен на информация и реагиране при инциденти в областта на киберсигурността.

2.   CERT-EU събира, управлява, анализира и обменя информация със субектите на Съюза относно киберзаплахи, уязвимости и инциденти в некласифицираната ИКТ инфраструктура. Той координира реакцията при инциденти на междуинституционално равнище и на равнището на субекта на Съюза, включително като предоставя или координира предоставянето на специализирана оперативна помощ.

3.   CERT-EU изпълнява следните задачи с цел подпомагане на субектите на Съюза:

Информацията, посочена в първа алинея, буква д), се споделя с МСК, мрежата на ЕРИКС и Центъра на Европейския съюз за анализ на информация (EU INTCEN), когато е приложимо и целесъобразно, и при спазване на подходящи условия за поверителност.

4.   CERT-EU може в съответствие с член 17 или 18, в зависимост от случая, да си сътрудничи със съответните общности в областта на киберсигурността в рамките на Съюза и неговите държави членки, включително в следните области:

5.   В рамките на своята област на компетентност CERT-EU участва в структурирано сътрудничество с ENISA с цел изграждане на капацитет, оперативно сътрудничество и дългосрочни стратегически анализи на киберзаплахите в съответствие с Регламент (ЕС) 2019/881. CERT-EU може да си сътрудничи и да обменя информация с Европейския център за борба с киберпрестъпността на Европол.

6.   CERT-EU може да предоставя следните услуги, които не са описани в неговия каталог на услугите (услуги, за които се събира такса):

По отношение на първа алинея, буква г) CERT-EU може по изключение да сключва споразумения за нивото на обслужване с образувания, различни от субектите на Съюза, с предварително одобрение от МСК.

7.   CERT-EU организира и може да участва в учения в областта на киберсигурността или да препоръчва участие в съществуващи учения, когато е целесъобразно - в тясно сътрудничество с ENISA, с цел проверка на нивото на киберсигурност на субектите на Съюза.

8.   CERT-EU може да предоставя помощ на субектите на Съюза във връзка с инциденти в мрежови и информационни системи, работещи с КИЕС, когато съответните субекти на Съюза изрично поискат това съгласно своите съответни процедури. Предоставянето на помощ от CERT-EU съгласно настоящия параграф не засяга приложимите правила относно защитата на класифицирана информация.

9.   CERT-EU уведомява субектите на Съюза за своите процедури и протоколи за действия при инциденти.

10.   CERT-EU представя, с висока степен на поверителност и надеждност и чрез подходящи механизми за сътрудничество и канали на докладване, относима и анонимизирана информация за съществените инциденти и начина, по който са третирани. Тази информация се включва в доклада, посочен в член 10, параграф 14.

11.   CERT-EU, в сътрудничество с ЕНОЗД, оказва подкрепа на съответните субекти на Съюза при справянето с инциденти, водещи до нарушаване на сигурността на личните данни, без да се засягат компетентността и задачите на ЕНОЗД като надзорен орган съгласно Регламент (ЕС) 2018/1725.

12.   CERT-EU може, ако това е изрично поискано от съответните отговарящи за политиката отдели на субектите на Съюза, да предоставя технически консултации или информация във връзка със съответните въпроси на политиката.

1.   CERT-EU оказва подкрепа при прилагането на настоящия регламент, като отправя:

По отношение на първа алинея, буква а) след получаване на призива за действие съответният субект на Съюза без необосновано забавяне информира CERT-EU за начина, по който са приложени спешните мерки за сигурност.

2.   Насоките и препоръките може да включват:

1.   Комисията назначава ръководителя на CERT-EU, след като получи одобрението на мнозинство от две трети от членовете на МСК. На всички етапи на процедурата по назначаване на ръководителя на CERT-EU се провеждат консултации с МСК, по-специално по отношение на изготвянето на обявленията за свободна длъжност, разглеждането на кандидатурите и назначаването на комисии за подбор във връзка с длъжността. Процедурата за подбор, включително окончателният списък с кандидати, от който ще бъде назначен ръководителят на CERT-EU, трябва да гарантира справедлива представеност на всеки пол, като се вземат предвид подадените кандидатури.

2.   Ръководителят на CERT-EU отговаря за правилното функциониране на CERT-EU и действа в рамките на функциите си и под ръководството на МСК. Ръководителят на CERT-EU докладва редовно на председателя на МСК и представя ad hoc доклади на МСК по негово искане.

3.   Ръководителят на CERT-EU подпомага отговорния оправомощен разпоредител с бюджетни кредити при изготвянето на годишния отчет за дейността, съдържащ финансова информация и информация за управлението, включително резултатите от контрола, изготвян съгласно член 74, параграф 9 от Регламент (ЕС, Евратом) 2018/1046 на Европейския парламент и на Съвета (9), и редовно докладва на оправомощения разпоредител с бюджетни кредити за изпълнението на мерките, по отношение на които са били делегирани правомощия на ръководителя на CERT-EU.

4.   Ръководителят на CERT-EU изготвя ежегодно финансов план на административните приходи и разходи за дейностите му, предложение за годишна работна програма, предложение за каталог на услугите на CERT-EU, предложения за преразглеждане на каталога на услугите, предложение за правила за споразуменията за нивото на обслужване и предложение за КПЕ за CERT-EU, които се одобряват от МСК в съответствие с член 11. При преразглеждането на списъка на услугите в каталога на услугите на CERT-EU ръководителят на CERT-EU взема предвид разпределените на CERT-EU ресурси.

5.   Най-малко веднъж годишно ръководителят на CERT-EU представя на МСК и на председателя на МСК доклади относно дейността и резултатите от дейността на CERT-EU по време на референтния период, включително относно изпълнението на бюджета, сключените споразумения за нивото на обслужване и писмени споразумения, сътрудничеството с различни партньори и предприетите от персонала задания, включително докладите, посочени в член 11. Тези доклади включват работна програма за следващия период, финансово планиране на приходите и разходите, включително щатното разписание, планирани актуализации на каталога с услуги на CERT-EU и оценка на очакваното въздействие, което тези актуализации могат да окажат по отношение на финансовите и човешките ресурси.

1.   CERT-EU се включва в административната структура на една от генералните дирекции на Комисията, за да се ползва от структурите на Комисията за подкрепа при административната дейност, финансовото управление и счетоводството, като същевременно запазва положението си на автономен междуинституционален доставчик на услуги за всички субекти на Съюза. Комисията информира МСК за мястото на CERT-EU в административната структура, както и за всички промени във връзка с това. Комисията прави редовен преглед на административните правила, свързани със CERT-EU, и във всеки случай преди установяването на всяка многогодишна финансова рамка съгласно член 312 ДФЕС, за да даде възможност за предприемане на подходящи действия. Прегледът включва разглеждане на възможността за учредяване на CERT-EU като служба на Съюза.

2.   По отношение на прилагането на административните и финансовите процедури ръководителят на CERT-EU действа под ръководството на Комисията и под надзора на МСК.

3.   Задачите и дейностите на CERT-EU, включително услугите, предоставяни на субектите на Съюза съгласно член 13, параграфи 3, 4, 5 и 7 и член 14, параграф 1, които се финансират по функцията на многогодишната финансова рамка, предназначена за европейската публична администрация, се финансират чрез отделен бюджетен ред от бюджета на Комисията. Определените за CERT-EU длъжности се описват подробно в бележка под линия към щатното разписание на Комисията.

4.   Субектите на Съюза, различни от посочените в параграф 3, правят годишни финансови вноски за дейността на CERT-EU с цел покриване на услугите, предоставяни от CERT-EU съгласно този параграф. Вноските се правят въз основа на насоките, дадени от МСК и договорени между всеки субект на Съюза и CERT-EU в споразуменията за нивото на обслужване. Вноските представляват справедлив и пропорционален дял от общите разходи за предоставените услуги. Те се получават по отделния бюджетен ред, посочен в параграф 3 от настоящия член, като целеви приходи съгласно член 21, параграф 3, буква в) от Регламент (ЕС, Евратом) 2018/1046.

5.   Разходите за услугите, предвидени в член 13, параграф 6, се възстановяват от субектите на Съюза, които използват услугите на CERT-EU. Приходите се разпределят по бюджетните редове в подкрепа на разходите.

1.   CERT-EU без необосновано забавяне си сътрудничи и обменя информация с партньорите си в държавите членки, по-специално ЕРИКС, определени или създадени съгласно член 10 от Директива (ЕС) 2022/2555, или когато е приложимо, компетентните органи и единните звена за контакт, определени или създадени съгласно член 8 от посочената директива, по отношение на инциденти, киберзаплахи, уязвимости, ситуации, близки до инцидент, евентуални мерки за противодействие, както и най-добри практики, и по всички въпроси от значение за подобряването на защитата на ИКТ средите на субектите на Съюза, включително чрез мрежата на ЕРИКС, посочена в член 15 от Директива (ЕС) 2022/2555. CERT-EU оказва на Комисията подкрепа в мрежата EU-CyCLONe, създадена съгласно член 16 от Директива (ЕС) 2022/2555, във връзка с координираното управление на мащабни киберинциденти и киберкризи.

2.   Когато CERT-EU узнае за настъпването на значим инцидент на територията на дадена държава членка, той без забавяне уведомява съответния партньор в тази държава членка в съответствие с параграф 1.

3.   При условие че личните данни са защитени в съответствие с приложимото право на Съюза за защита на данните, CERT-EU без необосновано забавяне обменя относима информация за конкретен инцидент с партньорите в държавите членки, за да се улесни откриването на подобни киберзаплахи или инциденти или за да допринесе за анализа на инцидента, без разрешението на засегнатия субект на Съюза. CERT-EU обменя информация за конкретен инцидент, от която става ясна мишената на инцидента, само в някой от следните случаи:

Решенията за обмен на информация за конкретен инцидент, от която става ясна мишената на инцидента съгласно първа алинея, буква б), се одобряват от ръководителя на CERT-EU. Преди да приеме такова решение, CERT-EU се свързва писмено със засегнатия субект на Съюза, като обяснява ясно как разкриването на това кой е засегнатият субект на Съюза би спомогнало да бъдат избегнати или смекчени инцидентите другаде. Ръководителят на CERT-EU предоставя обяснението и изрично изисква от субекта на Съюза да посочи дали дава съгласието си в рамките на определен срок. Ръководителят на CERT-EU също така информира субекта на Съюза, че с оглед на предоставеното обяснение си запазва правото да разкрие информацията дори при липсата на съгласие. Засегнатият субект на Съюза се уведомява преди разкриването на информацията.

1.   CERT-EU може да си сътрудничи с партньори в Съюза, различни от посочените в член 17, за които се прилагат изискванията на Съюза относно киберсигурността, включително с партньори от конкретни промишлени отрасли, във връзка с инструменти и методи, например техники, тактики, процедури и добри практики, както и във връзка с киберзаплахи и уязвимости. За всяко сътрудничество с такива партньори CERT-EU иска предварително одобрение от МСК във всеки отделен случай. Когато CERT-EU установява сътрудничество с такива партньори, той информира съответните посочени в член 17, параграф 1 партньори в държавата членка, в която се намира партньорът. Когато е приложимо и целесъобразно, това сътрудничество и съответните условия, включително по отношение на киберсигурността, защитата на данните и работата с информация, се установяват в специални договорености за поверителност, като например договори или административни договорености. За договореностите за поверителност не е необходимо предварително одобрение от МСК, но неговият председател трябва да бъде информиран за тях. В случай на спешна и непосредствена нужда от обмен на информация в областта на киберсигурността в интерес на субектите на Съюза или на друго лице, CERT-EU може да извърши такъв обмен със субект, от чиято специфична компетентност, капацитет и експертен опит съществува оправдана необходимост с оглед на получаване на помощ във връзка с такава спешна и непосредствена нужда, дори ако CERT-EU не е постигнал договореност за поверителност с този субект. В такива случаи CERT-EU незабавно информира председателя на МСК и докладва на МСК чрез редовни доклади или заседания.

2.   CERT-EU може да си сътрудничи с партньори, като например търговски субекти, включително субекти от конкретни промишлени отрасли, международни организации, национални субекти от държави извън Съюза или отделни експерти, с цел събиране на информация относно общи и конкретни киберзаплахи, ситуации, близки до инцидент, уязвимости и възможни мерки за противодействие. За по-широкообхватно сътрудничество с такива партньори CERT-EU иска предварително одобрение от МСК във всеки отделен случай.

3.   CERT-EU може, със съгласието на субекта на Съюза, който е засегнат от инцидент, и при условие че е налице договореност или договор за неразкриване на информация със съответния партньор или сътрудник, да предоставя информация във връзка с конкретния инцидент на различните партньори, посочени в параграфи 1 и 2, единствено с цел да допринесат за неговия анализ.

1.   Субектите на Съюза и CERT-EU спазват задължението за професионална тайна в съответствие с член 339 ДФЕС или равностойни приложими уредби.

2.   Регламент (ЕО) № 1049/2001 на Европейския парламент и на Съвета (10) се прилага по отношение на исканията за публичен достъп до документи, съхранявани от CERT-EU, включително предвиденото в посочения регламент задължение за консултация с други субекти на Съюза или, когато е приложимо, с държави членки, когато дадено искане се отнася до техни документи.

3.   При работата с информация от страна на субектите на Съюза и CERT-EU се спазват приложимите правила относно информационната сигурност.

1.   Субектите на Съюза могат на доброволна основа да уведомяват CERT-EU и да му предоставят информация за инциденти, киберзаплахи, ситуации, близки до инциденти, и уязвимости, които ги засягат. CERT-EU осигурява наличието на ефикасни средства за комуникация с високо равнище на проследимост, поверителност и надеждност с цел улесняване на споделянето на информация със субектите на Съюза. При обработването на уведомленията CERT-EU може да обработва задължителните уведомления с предимство пред доброволните уведомления. Без да се засяга член 12, доброволното уведомяване не води до налагането на никакви допълнителни задължения за подалия уведомлението субект на Съюза, които той не би имал, ако не беше подал уведомлението.

2.   За да изпълнява мисията и задачите си, възложени съгласно член 13, CERT-EU може да поиска от субектите на Съюза да му предоставят информация от регистрите на съответните си ИКТ системи, включително информация, свързана с киберзаплахи, ситуации, близки до инциденти, уязвимости, показатели за нарушаване на сигурността, предупреждения във връзка с киберсигурността и препоръки относно конфигурацията на инструментите за киберсигурност за откриване на инциденти. Субектът на Съюза, към който е отправено искането, предава исканата информация и всички нейни последващи актуализации без необосновано забавяне.

3.   CERT-EU може да обменя със субектите на Съюза информация за конкретен инцидент, която разкрива кой е субектът на Съюза, засегнат от инцидента, при условие че засегнатият субект е дал съгласие за това. Когато субект на Съюза откаже да даде съгласието си, той представя на CERT-EU мотивите, обосноваващи това решение.

4.   При поискване субектите на Съюза споделят информация с Европейския парламент и Съвета относно изготвянето на плановете за киберсигурност.

5.   При поискване МСК или CERT-EU, в зависимост от случая, споделят насоки, препоръки и призиви за действие с Европейския парламент и Съвета.

6.   Задълженията за споделяне, предвидени в настоящия член, не обхващат:

1.   За значим се счита инцидент, който:

2.   Всички субекти на Съюза подават до CERT-EU:

3.   Без необосновано забавяне и при всички случаи в рамките на 24 часа от узнаването за значим инцидент субектът на Съюза информира всички съответни партньори в държавата членка, посочени в член 17, параграф 1, в държавата членка, в която се намира, че е възникнал значим инцидент.

4.   Субектите на Съюза уведомяват, наред с другото, за всяка информация, която дава възможност на CERT-EU да определи въздействието върху различните субекти, въздействието върху държавата членка домакин или трансграничното въздействие след значим инцидент. Без да се засяга член 12, актът на уведомяване сам по себе си не води до повишена отговорност за субекта на Съюза.

5.   Когато е приложимо, субектите на Съюза съобщават без необосновано забавяне на ползвателите на засегнатите мрежови и информационни системи или на други компоненти на ИКТ средата, че е възможно да са засегнати от значим инцидент или значителна киберзаплаха, и когато е целесъобразно, че трябва да предприемат смекчаващи мерки, всякакви други мерки или корективни мерки, които могат да предприемат в отговор на този инцидент или заплаха. Когато е целесъобразно, субектите на Съюза информират тези ползватели за самата значителна киберзаплаха.

6.   Когато значим инцидент или значителна киберзаплаха засяга мрежова и информационна система или компонент от ИКТ средата на субект на Съюза, за която е известно, че е свързана с ИКТ средата на друг субект на Съюза, CERT-EU отправя съответно предупреждение във връзка с киберсигурността.

7.   Субектите на Съюза предоставят на CERT-EU, по негово искане и без необосновано забавяне, цифрова информация, създадена чрез използването на електронните устройства, засегнати от съответните инциденти. CERT-EU може да предостави допълнителни подробни сведения за видовете информация, която му е необходима за постигане на ситуационна осведоменост и за реагиране при инциденти.

8.   На всеки три месеца CERT-EU представя на МСК, ENISA, EU INTCEN и мрежата на ЕРИКС обобщен доклад, включващ анонимизирани и обобщени данни относно значимите инциденти, инциденти, киберзаплахи, ситуации, близки до инциденти, и уязвимости съгласно член 20, и значимите инциденти, за които е уведомен съгласно параграф 2 от настоящия член. Обобщеният доклад представлява част от материалите за двугодишния доклад за състоянието на киберсигурността в Съюза, който се приема съгласно член 18 от Директива (ЕС) 2022/2555.

9.   До 8 юли 2024 г. МСК отправя насоки или препоръки, в които допълнително се конкретизират правилата, както и формата и съдържанието на докладването съгласно настоящия член. При изготвянето на тези насоки или препоръки МСК взема предвид всички актове за изпълнение, приети съгласно член 23, параграф 11 от Директива (ЕС) 2022/2555, в които се определят видът на информацията, форматът и процедурата за уведомленията. CERT-EU разпространява подходящите технически подробни сведения, които дават възможност за изпреварващо откриване и реагиране на инциденти или за предприемане на смекчаващи мерки от страна на субектите на Съюза.

10.   Задълженията за докладване, предвидени в настоящия член, не обхващат:

1.   При извършването на дейността му като координационен център за обмен на информация и реагиране при инциденти в областта на киберсигурността CERT-EU улеснява обмена на информация по отношение на инциденти, киберзаплахи, уязвимости и ситуации, близки до инциденти, между:

2.   CERT-EU, когато е целесъобразно – в тясно сътрудничество с ENISA, улеснява координацията между субектите на Съюза във връзка с реагирането при инциденти, което включва:

3.   В тясно сътрудничество с ENISA CERT-EU оказва подкрепа на субектите на Съюза по отношение на ситуационната осведоменост във връзка с инциденти, киберзаплахи, уязвимости и ситуации, близки до инцидент, както и при споделяне на съответните промени в областта на киберсигурността.

4.   До 8 януари 2025 г., въз основа на предложение от CERT-EU, МСК приема насоки или препоръки относно координацията и сътрудничеството при реагиране на значими инциденти. Когато се подозира, че даден инцидент е престъпен по своя характер, CERT-EU предоставя консултации във връзка с начина за подаване на сигнал във връзка с инцидента на правоприлагащите органи без необосновано забавяне.

5.   След конкретно искане от държава членка и с одобрението на съответните субекти на Съюза CERT-EU може да се обърне към експертите от списъка, посочен в член 23, параграф 4, за да допринесат за реакцията при съществен инцидент с въздействие в тази държава членка или мащабен киберинцидент в съответствие с член 15, параграф 3, буква ж) от Директива (ЕС) 2022/2555. Специалните правила за достъп и използване на технически експерти от субектите на Съюза се одобряват от МСК въз основа на предложение на CERT-EU.

1.   За да окаже подкрепа на оперативно равнище при координираното управление на съществени инциденти, засягащи субекти на Съюза, и да допринесе за редовния обмен на относима информация между субектите на Съюза и с държавите членки, МСК разработва съгласно член 11, буква р) план за управление на киберкризи въз основа на дейностите, описани в член 22, параграф 2, в тясно сътрудничество със CERT-EU и ENISA. Планът за управление на киберкризи включва най-малко следните елементи:

2.   В съответствие с плана за управление на киберкризи, изготвен съгласно параграф 1 от настоящия член, и без да се засяга член 16, параграф 2, първа алинея от Директива (ЕС) 2022/2555, представителят на Комисията в МСК е звеното за контакт за споделяне на относима информация във връзка със съществени инциденти с EU-CyCLONe.

3.   CERT-EU координира управлението на съществени инциденти от субектите на Съюза. Той поддържа опис на наличния технически експертен опит, който би бил необходим при реагиране на инциденти в случай на съществени инциденти, и подпомага МСК при координирането на плановете на субектите на Съюза за управление на киберкризи в случай на съществени инциденти, посочени в член 9, параграф 2.

4.   Субектите на Съюза допринасят за изготвянето на описа на техническия експертен опит, като предоставят ежегодно актуализиран списък на наличните в техните организации експерти с подробно описание на техните специфични технически умения.

1.   До 8 януари 2025 г. и ежегодно след това МСК, със съдействието на CERT-EU, докладва на Комисията за прилагането на настоящия регламент. МСК може да отправя препоръки към Комисията във връзка с прегледа на настоящия регламент.

2.   До 8 януари 2027 г. и на всеки две години след това Комисията оценява прилагането на настоящия регламент и представя на Европейския парламент и на Съвета доклад за прилагането на настоящия регламент и за опита, придобит на стратегическо и оперативно равнище.

В доклада, посочен в първа алинея от настоящия параграф, се включват резултатите от прегледа, посочен в член 16, параграф 1, относно възможността за учредяване на CERT-EU като служба на Съюза.

3.   В срок до 8 януари 2029 г. Комисията извършва оценка на функционирането на настоящия регламент и докладва на Европейския парламент, Съвета, Европейския икономически и социален комитет и Комитета на регионите. Комисията оценява също така целесъобразността в обхвата на настоящия регламент да бъдат включени мрежовите и информационните системи, работещи с КИЕС, като взема предвид други законодателни актове на Съюза, приложими за тези системи. Ако е необходимо, докладът се придружава от законодателно предложение.