Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Summaries of EU Legislation

Kibernetinio solidarumo aktas

DOKUMENTAS, KURIO SANTRAUKA PATEIKIAMA:

Reglamentas (ES) 2025/38 dėl solidarumo stiprinimo ir pajėgumo aptikti kibernetinio saugumo grėsmes ir incidentus ES, jiems pasirengti ir į juos reaguoti didinimo (Kibernetinio solidarumo aktas)

KOKS ŠIO REGLAMENTO TIKSLAS?

Reglamentu (ES) 2025/38 siekiama didinti Europos Sąjungos (ES) pajėgumą aptikti kibernetines grėsmes ir incidentus, jiems pasirengti ir į juos reaguoti. Juo nustatomos ES lygmens priemonės, kuriomis siekiama didinti informuotumą apie padėtį, stiprinti pasirengimą, remti koordinuotą reagavimą ir sudaryti sąlygas atlikti struktūrizuotas peržiūras po incidentų, kad būtų apsaugotos ypatingos svarbos paslaugos ir padidintas bendras ES atsparumas.

PAGRINDINIAI ASPEKTAI

Taikymo sritis ir tikslas

Šio reglamento bendrasis tikslas – stiprinti solidarumą ES lygmeniu, kartu stiprinant ES pramonės ir paslaugų konkurencinę padėtį visoje skaitmeninėje ekonomikoje ir prisidedant prie ES technologinio suverenumo bei atviro strateginio savarankiškumo kibernetinio saugumo srityje.

Šis tikslas įgyvendinamas pasitelkiant tris pagrindinius ramsčius.

1. Europos kibernetinio saugumo įspėjimų sistema

Ši sistema sukurta siekiant visoje ES beveik tikruoju laiku pagerinti informuotumą apie padėtį ir kibernetinių grėsmių aptikimą; ją sudaro:

  • nacionaliniai kibernetinio saugumo centrai, kuriuos paskiria ES valstybės narės;
  • tarpvalstybiniai kibernetinio saugumo centrai, kuriuos steigia konsorciumai, kuriuose dalyvauja ne mažiau kaip trys valstybės narės.

Šie kibernetinio saugumo centrai1 aptinka, analizuoja žvalgybinę informaciją apie kibernetines grėsmes ir ja keičiasi, o jų veiklą palaiko pažangios priemonės, tokios kaip dirbtinis intelektas ir duomenų analizė. Finansavimą administruoja Europos kibernetinio saugumo kompetencijos centras (žr. santrauką) (bendras priemonių, infrastruktūros ir paslaugų pirkimas bei dotacijos jų veiklai).

Siekiant užtikrinti veiksmingą bendradarbiavimą, Europos Sąjungos kibernetinio saugumo agentūra (ENISA) turėjo parengti sąveikumo gaires, įskaitant bendrus formatus ir protokolus, iki 2026 m. vasario 5 d. Tarpvalstybinių kibernetinio saugumo centrų tarpusavyje sudaromi bendradarbiavimo susitarimai turi būti grindžiami šiomis gairėmis.

2. Reagavimo į kibernetinio saugumo krizes mechanizmas

Šis mechanizmas suteikia galimybę teikti koordinuotą ES paramą, kad būtų pasirengta reikšmingiems2, didelio masto3 ir didelio masto incidentams prilygstantiems4 incidentams ir į juos reaguojama, taip stiprinant ES atsparumą ir valstybių narių solidarumą. Jam priklauso toliau nurodytos sritys.

  1. Pasirengimo priemonės, pavyzdžiui:
    • koordinuotas subjektų, vykdančių veiklą ypatingos svarbos sektoriuose, parengties testavimas;
    • parama kitai pasirengimo veiklai subjektams, vykdantiems veiklą ypatingos svarbos ir kituose itin svarbiuose sektoriuose, įskaitant pažeidžiamumo stebėseną, rizikos vertinimus, pratybas ir mokymus.
  2. ES kibernetinio saugumo rezervas, kurį sudaro reagavimo į incidentus paslaugos, kurias teikia patikimi valdomų saugumo paslaugų teikėjai, atrinkti pagal ES viešųjų pirkimų procedūras.

Rezervas padeda valstybėms narėms, ES institucijoms ir ES nepriklausančių šalių, prisijungusių prie Skaitmeninės Europos programos (SEP), kompetentingoms institucijoms spręsti tokius incidentus, jeigu jų SEP asociacijos susitarime numatyta tokia galimybė ir jeigu jų dalyvavimą turi patvirtinti Europos Sąjungos Taryba.

Prašymus dėl ES kibernetinio saugumo rezervo naudojimo gali pateikti:

Europos Komisija prisiima bendrą atsakomybę už ES kibernetinio saugumo rezervo įgyvendinimą ir paveda ENISA administruoti bei eksploatuoti šį rezervą. Perkančioji organizacija (Komisija arba, kai taikytina, ENISA, kai prašymus pateikia valstybės narės ar ES institucijos, įstaigos ir agentūros) sprendžia, ar teikti paramą ir kokia apimtimi, atsižvelgdama į incidento mastą ir sunkumą, paveikto subjekto rūšį, galimą incidento poveikį valstybėms narėms ir naudotojams, tarpvalstybinį pobūdį ir išplitimo riziką bei jau taikytas rizikos mažinimo priemones. Perkančioji organizacija turi atsakyti per 48 val.

SEP asocijuotųjų ES nepriklausančių šalių prašymus vertina Komisija.

  1. Savitarpio pagalba, pagal kurią valstybės narės, naudodamosi ES finansine parama, teikia viena kitai techninę pagalbą, reaguodamos į reikšmingus arba didelio masto kibernetinio saugumo incidentus.

3. Europos kibernetinio saugumo incidentų peržiūros mechanizmas

Po reikšmingų arba didelio masto kibernetinio saugumo incidentų Komisija arba Europos ryšių palaikymo dėl kibernetinių krizių organizacinis tinklas (EU-CyCLONe) gali prašyti atlikti struktūruotą peržiūrą, kad būtų įvertintos priežastys ir padariniai, atsakas ir išmoktos pamokos. Peržiūra:

  • ją atlieka ENISA, padedama reagavimo į kompiuterinius saugumo incidentus tarnybų tinklo ir gavusi atitinkamų valstybių narių pritarimą;
  • po jos parengiama ataskaita, kurioje pateikiamos išvados ir, kai tinkama, geriausios praktikos, išmoktos pamokos bei neprivalomos rekomendacijos ES kibernetinio saugumo padėčiai pagerinti.

Laikydamasi konfidencialumo taisyklių, ENISA gali paskelbti viešą incidento peržiūros ataskaitos versiją, kurioje pateikiama tik patikima vieša informacija arba, gavus paveiktų valstybių narių ar kitų šalių sutikimą, kitas turinys.

Įgyvendinimas ir vaidmenys

  • Komisija prižiūri bendrą reglamento įgyvendinimą, įskaitant ES kibernetinio saugumo rezervą. Kalbant apie rezervą, ji turėtų visiškai arba iš dalies pavesti ENISA jo eksploatavimą ir administravimą pagal susitarimą dėl įnašo.
  • Europos kibernetinio saugumo kompetencijos centras administruoja dotacijomis finansuojamas pasirengimo priemones ir nacionalinių bei tarpvalstybinių kibernetinio saugumo centrų diegimą. Jis turi atnaujinti būtinų priemonių, infrastruktūros ir paslaugų žemėlapį ne rečiau kaip kas dvejus metus.
  • ENISA koordinuoja Europos kibernetinio saugumo incidentų peržiūros mechanizmą, jai visiškai arba iš dalies patikėtas ES kibernetinio saugumo rezervo administravimas ir eksploatavimas, be to, ji turėtų reguliariai sudaryti ES kibernetinio saugumo rezervui reikalingų paslaugų žemėlapį.

Finansavimas

Reglamentas finansuojamas pagal SEP 3 konkretų tikslą („Kibernetinis saugumas ir pasitikėjimas“).

Papildomos taisyklės

  • Komisija gali priimti deleguotuosius aktus, kuriais būtų apibrėžiamos paslaugų, teiktinų naudojant ES kibernetinio saugumo rezervą, rūšys ir skaičius, atsižvelgiant į kintančias grėsmes ir turimus pajėgumus.
  • Dalijimasis informacija pagal reglamentą turi atitikti konfidencialumo ir proporcingumo taisykles ir neturi prieštarauti esminiams valstybių narių interesams, susijusiems su nacionaliniu saugumu, viešuoju saugumu ir gynyba.
  • Pirkimai iš subjektų, kurių nekontroliuoja ES, gali būti leidžiami tik griežtomis sąlygomis, kai nėra tinkamų alternatyvų ES ir užtikrinama saugumo interesų apsauga. SEP darbo programoje nustatytos tinkamumo sąlygos ir taisyklės.
  • Iki 2027 m. vasario 5 d. Komisija turi pateikti ataskaitą Europos Parlamentui ir Tarybai dėl reglamento įgyvendinimo ir veiksmingumo.

NUO KADA TAIKOMAS ŠIS REGLAMENTAS?

Reglamentas taikomas nuo

KONTEKSTAS

Kibernetinio solidarumo aktu papildomi galiojantys ES kibernetinio saugumo teisės aktai, pavyzdžiui, TIS 2 direktyva (žr. santrauką) ir ES kibernetinio saugumo aktas (žr. santrauką). Juo papildomos operatyvinės priemonės, skirtos pasirengimui, ankstyvam grėsmių aptikimui ir koordinuotam reagavimui ES lygmeniu, kuriomis siekiama kovoti su vis sudėtingesnėmis ir tarpvalstybinėmis kibernetinėmis grėsmėmis. Juo taip pat iš dalies keičiamas Reglamentas (ES) 2021/694, siekiant nustatyti teisinį ir finansinį pagrindą šiame akte numatytiems naujiems mechanizmams įgyvendinti.

Daugiau informacijos žr.:

SVARBIAUSIOS SĄVOKOS

  1. Kibernetinio saugumo centras. Paskirtas nacionalinis arba kelių šalių centras, beveik tikruoju laiku aptinkantis, analizuojantis ir bendrinantis kibernetinių grėsmių žvalgybos duomenis, taip prisidedantis prie šių grėsmių prevencijos ir didinantis informuotumą apie kibernetinio saugumo grėsmes visoje ES.
  2. Reikšmingas kibernetinio saugumo incidentas. Incidentas laikomas reikšmingu, jei jis sukėlė arba galėjo sukelti didelį paslaugų eksploatavimo sutrikimą ar finansinių nuostolių paveiktajam subjektui, arba didelę materialinę ar nematerialinę žalą kitiems asmenims.
  3. Didelio masto kibernetinio saugumo incidentas. Incidentas, kurio sukelto sutrikimo lygis viršija valstybės narės pajėgumą į jį reaguoti arba kuris daro reikšmingą poveikį bent dviem valstybėms narėms.
  4. Didelio masto incidentui prilygstantis kibernetinio saugumo incidentas. Sąjungos institucijų, organų, tarnybų ir agentūrų atveju – didelis incidentas, o SEP asocijuotųjų ES nepriklausančių šalių atveju – incidentas, kurio sukeltas sutrikimas viršija atitinkamos šalies pajėgumą į jį reaguoti.

PAGRINDINIS DOKUMENTAS

Europos Parlamento ir Tarybos Reglamentas (ES) 2025/38, kuriuo nustatomos solidarumo stiprinimo ir pajėgumo aptikti kibernetinio saugumo grėsmes ir incidentus Sąjungoje, jiems pasirengti ir į juos reaguoti didinimo priemonės ir iš dalies keičiamas Reglamentas (ES) 2021/694, (Kibernetinio solidarumo aktas) (OL L, 2025/38, ).

Vėlesni Reglamento (ES) 2025/38 daliniai pakeitimai buvo įterpti į pradinį tekstą. Ši konsoliduota redakcija yra skirta tik informacijai.

paskutinis atnaujinimas

Top