IZVEDBENA UREDBA KOMISIJE (EU) 2024/2690

z dne 17. oktobra 2024

o določitvi pravil za uporabo Direktive (EU) 2022/2555 v zvezi s tehničnimi in metodološkimi zahtevami ukrepov za obvladovanje tveganj za kibernetsko varnost ter podrobnejšo opredelitvijo primerov, v katerih se incident šteje za pomembnega, kar zadeva ponudnike storitev DNS, registre TLD imen, ponudnike storitev računalništva v oblaku, ponudnike storitev podatkovnega centra, ponudnike omrežij za dostavo vsebin, ponudnike upravljanih storitev, ponudnike upravljanih varnostnih storitev, ponudnike spletnih tržnic, spletnih iskalnikov in platform za storitve družbenega mreženja ter ponudnike storitev zaupanja

(Besedilo velja za EGP)

EVROPSKA KOMISIJA JE –

ob upoštevanju Pogodbe o delovanju Evropske unije,

ob upoštevanju Direktive (EU) 2022/2555 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o ukrepih za visoko skupno raven kibernetske varnosti v Uniji, spremembi Uredbe (EU) št. 910/2014 in Direktive (EU) 2018/1972 ter razveljavitvi Direktive (EU) 2016/1148 (direktiva NIS 2) (1) in zlasti člena 21(5), prvi pododstavek, ter člena 23(11), drugi pododstavek, Direktive,

ob upoštevanju naslednjega:

(1)

V zvezi s ponudniki storitev DNS, registri TLD imen, ponudniki storitev računalništva v oblaku, ponudniki storitev podatkovnega centra, ponudniki omrežij za dostavo vsebin, ponudniki upravljanih storitev, ponudniki upravljanih varnostnih storitev, ponudniki spletnih tržnic, spletnih iskalnikov in platform za storitve družbenega mreženja ter ponudniki storitev zaupanja, kot so zajeti v členu 3 Direktive (EU) 2022/2555 (v nadaljnjem besedilu: zadevni subjekti), je namen te uredbe določiti tehnične in metodološke zahteve ukrepov iz člena 21(2) Direktive (EU) 2022/2555 ter podrobneje opredeliti primere, v katerih bi bilo treba incident šteti za pomembnega, kot je navedeno v členu 23(3) Direktive (EU) 2022/2555.

(2)

Ob upoštevanju čezmejne narave njihovih dejavnosti in za zagotovitev skladnega okvira za ponudnike storitev zaupanja bi bilo treba v tej uredbi v zvezi s ponudniki storitev zaupanja poleg tehničnih in metodoloških zahtev ukrepov za obvladovanje tveganj za kibernetsko varnost podrobneje opredeliti primere, v katerih se incident šteje za pomembnega.

(3)

V skladu s členom 21(5), tretji pododstavek, Direktive (EU) 2022/2555 tehnične in metodološke zahteve ukrepov za obvladovanje tveganj za kibernetsko varnost iz Priloge k tej uredbi temeljijo na evropskih in mednarodnih standardih, kot so ISO/IEC 27001, ISO/IEC 27002 in ETSI EN 319401, ter tehničnih specifikacijah, kot je CEN/TS 18026:2024, ki so pomembni za varnost omrežnih in informacijskih sistemov.

(4)

Kar zadeva izvajanje in uporabo tehničnih in metodoloških zahtev ukrepov za obvladovanje tveganj za kibernetsko varnost iz Priloge k tej uredbi, bi bilo treba pri izpolnjevanju teh zahtev v skladu z načelom sorazmernosti ustrezno upoštevati različno izpostavljenost zadevnih subjektov tveganjem, kot je kritičnost zadevnega subjekta, tveganja, ki so jim izpostavljeni, velikost in strukturo zadevnega subjekta ter verjetnost pojava incidentov in njihovo resnost, vključno z njihovim družbenim in gospodarskim vplivom.

(5)

V skladu z načelom sorazmernosti bi morali imeti zadevni subjekti, kadar zaradi svoje velikosti ne morejo izvajati nekaterih tehničnih in metodoloških zahtev ukrepov za obvladovanje tveganj za kibernetsko varnost, možnost, da sprejmejo druge izravnalne ukrepe, ki so primerni za doseganje namena navedenih zahtev. Mikrosubjekti imajo lahko na primer pri opredeljevanju vlog, odgovornosti in pooblastil za varnost omrežnih in informacijskih sistemov v zadevnem subjektu težave pri ločevanju nasprotujočih si nalog in nasprotujočih si področij odgovornosti. Taki subjekti bi morali imeti možnost, da razmislijo o izravnalnih ukrepih, kot so ciljno usmerjen nadzor s strani vodstva subjekta ali okrepljeno spremljanje in vodenje dnevnikov.

(6)

Zadevni subjekti bi morali, kadar je ustrezno ali relevantno ali kolikor je izvedljivo, uporabljati nekatere tehnične in metodološke zahteve iz Priloge k tej uredbi. Kadar zadevni subjekt meni, da uporaba nekaterih tehničnih in metodoloških zahtev iz Priloge k tej uredbi ni ustrezna, relevantna ali izvedljiva, bi moral v ta namen na razumljiv način dokumentirati svojo utemeljitev. Pristojni nacionalni organi lahko pri izvajanju nadzora upoštevajo ustrezen čas, ki ga zadevni subjekti potrebujejo za izvedbo tehničnih in metodoloških zahtev ukrepov za obvladovanje tveganj za kibernetsko varnost.

(7)

Agencija Evropske unije za kibernetsko varnost (v nadaljnjem besedilu: ENISA) ali pristojni nacionalni organi lahko v skladu z Direktivo (EU) 2022/2555 zagotovijo smernice za podporo zadevnim subjektom pri opredelitvi, analizi in oceni tveganj za namene izvajanja tehničnih in metodoloških zahtev v zvezi z vzpostavitvijo in vzdrževanjem ustreznega okvira za obvladovanje tveganj. Take smernice lahko vključujejo zlasti nacionalne in sektorske ocene tveganja ter ocene tveganja, specifične za določeno vrsto subjekta. Vključujejo lahko tudi orodja ali predloge za razvoj okvira za obvladovanje tveganj na ravni zadevnih subjektov. Zadevnim subjektom so lahko pri dokazovanju skladnosti s to uredbo v pomoč tudi okviri, smernice ali drugi mehanizmi, določeni v nacionalnem pravu držav članic, ter zadevni evropski in mednarodni standardi. Poleg tega lahko ENISA ali pristojni nacionalni organi v skladu z Direktivo (EU) 2022/2555 podpirajo zadevne subjekte pri opredeljevanju in izvajanju ustreznih rešitev za obravnavo tveganj, opredeljenih v takih ocenah tveganja. Take smernice ne bi smele posegati v obveznost zadevnih subjektov, da opredelijo in dokumentirajo tveganja za varnost omrežnih in informacijskih sistemov ter da izvajajo tehnične in metodološke zahteve ukrepov za obvladovanje tveganj za kibernetsko varnost iz Priloge k tej uredbi v skladu z njihovimi potrebami in viri.

(8)

Ukrepi za varnost omrežja, povezani s: (i) prehodom na komunikacijske protokole omrežne plasti zadnje generacije, (ii) uvedbo mednarodno dogovorjenih in interoperabilnih sodobnih standardov za elektronsko pošto ter (iii) uporabo najboljših praks za varnost DNS ter varnost in higieno internetnih storitev usmerjanja, prinašajo posebne izzive glede opredelitve najboljših razpoložljivih standardov in tehnik uvajanja. Da bi čim prej dosegli visoko skupno raven kibernetske varnosti v omrežjih, bi morala Komisija ob pomoči ENISA in v sodelovanju s pristojnimi organi, industrijo, vključno s telekomunikacijsko industrijo, in drugimi deležniki podpreti razvoj foruma različnih deležnikov, katerega naloga bi bila opredelitev teh najboljših razpoložljivih standardov in tehnik uvajanja. Take smernice različnih deležnikov ne bi smele posegati v obveznost zadevnih subjektov, da izvajajo tehnične in metodološke zahteve ukrepov za obvladovanje tveganj za kibernetsko varnost iz Priloge k tej uredbi.

(9)

V skladu s členom 21(2), točka (a), Direktive (EU) 2022/2555 bi morali imeti bistveni in pomembni subjekti poleg politik o analizi tveganja tudi politike o varnosti informacijskih sistemov. V ta namen bi morali zadevni subjekti vzpostaviti politiko o varnosti omrežnih in informacijskih sistemov ter politike za posamezne teme, kot je nadzor dostopa, ki bi morale biti skladne s politiko o varnosti omrežnih in informacijskih sistemov. Politika o varnosti omrežnih in informacijskih sistemov bi morala biti dokument na najvišji ravni, ki določa splošni pristop zadevnih subjektov k varnosti omrežnih in informacijskih sistemov, odobriti pa bi jo morali upravni organi zadevnih subjektov. Tematske politike bi se morale odobriti na ustrezni vodstveni ravni. Politika bi morala določati kazalnike in ukrepe za spremljanje njenega izvajanja in trenutno raven zrelosti varnosti omrežnih in informacijskih sistemov zadevnih subjektov, zlasti za olajšanje nadzora nad izvajanjem ukrepov za obvladovanje tveganj za kibernetsko varnost prek upravljalnih organov.

(10)	Za namene tehničnih in metodoloških zahtev iz Priloge k tej uredbi bi moral izraz „uporabnik“ zajemati vse pravne in fizične osebe, ki imajo dostop do omrežnih in informacijskih sistemov subjekta.

(11)

Za opredelitev in obravnavanje tveganj za varnost omrežnih in informacijskih sistemov bi morali zadevni subjekti vzpostaviti in vzdrževati ustrezen okvir za obvladovanje tveganj. Zadevni subjekti bi morali kot del okvira za obvladovanje tveganj vzpostaviti, izvajati in spremljati načrt za obravnavo tveganj. Zadevni subjekti lahko načrt za obravnavo tveganj uporabijo za opredelitev in prednostno razvrstitev možnosti in ukrepov za obravnavo tveganj. Možnosti za obravnavo tveganj vključujejo zlasti izogibanje tveganju, zmanjšanje tveganja ali v izjemnih primerih njegovo sprejemanje. Pri izbiri možnosti za obravnavo tveganj bi bilo treba upoštevati rezultate ocene tveganja, ki jo je izvedel zadevni subjekt, in politiko zadevnega subjekta o varnosti omrežnih in informacijskih sistemov. Za uveljavitev izbranih možnosti za obravnavo tveganj bi morali zadevni subjekti sprejeti ustrezne ukrepe za obravnavo tveganj.

(12)

Za odkrivanje dogodkov, skorajšnjih incidentov in incidentov bi morali zadevni subjekti spremljati svoje omrežne in informacijske sisteme ter sprejeti ukrepe za oceno dogodkov, skorajšnjih incidentov in incidentov. Ti ukrepi bi morali omogočati pravočasno odkrivanje omrežnih napadov, ki temeljijo na neobičajnih vhodnih ali izhodnih prometnih vzorcih in napadih za zavrnitev storitve.

(13)	Kadar zadevni subjekti izvedejo analizo poslovnega učinka, se jih spodbuja k izvedbi celovite analize, s katero po potrebi določijo najdaljše dopustno trajanje izpada ter cilje glede časa vnovične vzpostavitve delovanja, točke vnovične vzpostavitve delovanja in zagotavljanja storitev.

(14)

Za zmanjšanje tveganj, ki izhajajo iz dobavne verige zadevnega subjekta in njegovega odnosa z dobavitelji, bi morali zadevni subjekti vzpostaviti politiko varnosti dobavne verige, ki bi urejala njihove odnose z neposrednimi dobavitelji in ponudniki storitev. Ti subjekti bi morali v pogodbah s svojimi neposrednimi dobavitelji ali ponudniki storitev določiti ustrezne varnostne klavzule, ki bi na primer, kadar je ustrezno, zahtevale ukrepe za obvladovanje tveganj za kibernetsko varnost v skladu s členom 21(2) Direktive (EU) 2022/2555, ali druge podobne pravne zahteve.

(15)

Zadevni subjekti bi morali redno izvajati varnostno testiranje na podlagi namenske politike in postopkov, da bi preverili, ali se ukrepi za obvladovanje tveganj za kibernetsko varnost izvajajo in ali pravilno delujejo. Varnostni testi se lahko izvajajo na posebnih omrežnih in informacijskih sistemih ali zadevnem subjektu kot celoti ter lahko vključujejo avtomatizirane ali ročne teste, penetracijske teste, pregledovanje ranljivosti, statične in dinamične varnostne teste za aplikacije, konfiguracijske teste in revizije varnosti. Zadevni subjekti lahko varnostne teste na svojih omrežnih in informacijskih sistemih izvajajo ob njihovi vzpostavitvi, po nadgradnji ali spremembah infrastrukture ali aplikacij, za katere menijo, da so pomembne, ali po vzdrževanju. Ugotovitve varnostnih testov bi morale biti podlaga za politike in postopke zadevnih subjektov za oceno učinkovitosti ukrepov za obvladovanje tveganj za kibernetsko varnost ter za neodvisne preglede njihovih politik za varnost omrežnih in informacijskih sistemov.

(16)

Da bi se izognili znatnim motnjam in škodi, ki jih povzroči izkoriščanje neodpravljenih šibkih točk v omrežnih in informacijskih sistemih, bi morali zadevni subjekti določiti in uporabljati ustrezne postopke za upravljanje varnostih popravkov, ki so usklajeni s postopki zadevnih subjektov za upravljanje sprememb, ranljivosti in tveganj ter drugimi postopki. Zadevni subjekti bi morali sprejeti ukrepe, sorazmerne z njihovimi viri, da bi zagotovili, da varnostni popravki ne povzročajo dodatnih ranljivosti ali nestabilnosti. Zadevne subjekte se spodbuja, naj stranke vnaprej ustrezno obvestijo o načrtovani nedostopnosti storitve zaradi uporabe varnostnih popravkov.

(17)

Zadevni subjekti bi morali obvladovati tveganja, ki izhajajo iz pridobivanja proizvodov storitev IKT od dobaviteljev ali ponudnikov storitev, in pridobiti zagotovilo, da ti proizvodi ali storitve IKT dosegajo določene ravni zaščite kibernetske varnosti, na primer z evropskimi certifikati kibernetske varnosti in izjavami EU o skladnosti za proizvode ali storitve IKT, izdanimi v okviru evropske certifikacijske sheme za kibernetsko varnost, sprejete v skladu s členom 49 Uredbe (EU) 2019/881 Evropskega parlamenta in Sveta (2). Kadar zadevni subjekti določijo varnostne zahteve, ki se uporabljajo za izdelke IKT, ki jih nameravajo pridobiti, bi morali upoštevati bistvene zahteve glede kibernetske varnosti iz uredbe Evropskega parlamenta in Sveta o horizontalnih zahtevah glede kibernetske varnosti za izdelke z digitalnimi elementi.

(18)

Zadevni subjekti bi morali za zaščito pred kibernetskimi grožnjami ter v podporo preprečevanju in omejevanju kršitev varstva podatkov izvajati rešitve za varnost omrežij. Tipične rešitve za varnost omrežja vključujejo uporabo požarnih zidov za zaščito notranjih omrežij zadevnih subjektov, omejitev povezav ter dostop do storitev, kadar so povezave in dostop nujno potrebni, ter uporabo navideznih zasebnih omrežij za oddaljeni dostop in omogočanje povezave ponudnikom storitev šele po vložitvi zahtevka za dovoljenje in za določeno obdobje, kot je trajanje vzdrževanja.

(19)

Za zaščito omrežij zadevnih subjektov in njihovih informacijskih sistemov pred zlonamerno in nepooblaščeno programsko opremo bi morali ti subjekti izvajati kontrole, ki preprečujejo ali odkrivajo uporabo nepooblaščene programske opreme, in, kadar je ustrezno, uporabljati programsko opremo za odkrivanje in odzivanje. Zadevni subjekti bi morali razmisliti tudi o izvajanju ukrepov za zmanjšanje napadne površine in ranljivosti, ki jih lahko izkoriščajo napadalci, in nadzor nad izvajanjem aplikacij na končnih točkah ter o uporabi filtrov elektronske pošte in spletnih aplikacij za zmanjšanje izpostavljenosti zlonamernim vsebinam.

(20)

V skladu s členom 21(2), točka (g), Direktive (EU) 2022/2555 morajo države članice zagotoviti, da bistveni in pomembni subjekti uporabljajo osnovne prakse kibernetske higiene in se usposabljajo na področju kibernetske varnosti. Osnovne prakse kibernetske higiene lahko vključujejo načela popolnega nezaupanja, posodobitve programske opreme, konfiguracijo naprav, segmentacijo omrežja, upravljanje identitete in dostopa ter ozaveščenost uporabnikov, organizacijo usposabljanja in ozaveščanje zaposlenih v zvezi s kibernetskimi grožnjami, lažnim predstavljanjem in tehnikami socialnega inženiringa. Prakse kibernetske higiene so del različnih tehničnih in metodoloških zahtev ukrepov za obvladovanje tveganj za kibernetsko varnost iz Priloge k tej uredbi. V zvezi z osnovnimi praksami kibernetske higiene za uporabnike bi morali zadevni subjekti upoštevati prakse, kot so politika prazne mize in zaslona, uporaba večfaktorske avtentikacije in drugih sredstev za avtentikacijo, varna uporaba elektronske pošte in varno brskanje po spletu, zaščita pred lažnim predstavljanjem in socialnim inženiringom ter varne prakse dela na daljavo.

(21)	Za preprečitev nepooblaščenega dostopa do sredstev zadevnih subjektov bi ti morali vzpostaviti in izvajati tematsko politiko, ki obravnava dostopanje oseb ter omrežnih in informacijskih sistemov, kot so aplikacije.

(22)

V izogib, da bi zaposleni na primer zlorabili pravice dostopa v zadevnem subjektu za povzročitev škode, bi morali zadevni subjekti razmisliti o ustreznih ukrepih za upravljanje varnosti zaposlenih in ozaveščati zaposlene o takih tveganjih. Zadevni subjekti bi morali določiti, sporočiti in vzdrževati disciplinski postopek za obravnavanje kršitev varnostnih politik zadevnih subjektov na področju varnosti omrežnih in informacijskih sistemov, ki je lahko vključen v druge disciplinske postopke, ki jih določijo zadevni subjekti. Preverjanja preteklosti zaposlenih ter, kadar je relevantno, neposrednih dobaviteljev in ponudnikov storitev zadevnih subjektov bi morala prispevati k cilju varnosti človeških virov v zadevnih subjektih in lahko vključujejo ukrepe, kot so preverjanje kazenske evidence osebe ali preteklih poklicnih dolžnosti, kot je ustrezno za naloge osebe v zadevnem subjektu in v skladu s politiko zadevnega subjekta o varnosti omrežnih in informacijskih sistemov.

(23)

Večfaktorska avtentikacija lahko izboljša kibernetsko varnost subjektov in bi jo ti morali upoštevati zlasti, kadar uporabniki dostopajo do omrežnih in informacijskih sistemov z oddaljenih lokacij ali kadar dostopajo do občutljivih informacij ali privilegiranih računov in računov za upravljanje sistema. Večfaktorska avtentikacija se lahko kombinira z drugimi tehnikami, da se v posebnih okoliščinah zahtevajo dodatni faktorji na podlagi vnaprej določenih pravil in vzorcev, kot je dostop z neobičajne lokacije, z neobičajne naprave ali v neobičajnem času.

(24)

Zadevni subjekti bi morali upravljati in varovati sredstva, ki so zanje pomembna, z dobrim upravljanjem sredstev, ki bi moralo služiti tudi kot podlaga za analizo tveganja in upravljanje neprekinjenega poslovanja. Zadevna podjetja bi morala upravljati opredmetena in neopredmetena sredstva ter oblikovati evidenco sredstev, povezati sredstva z opredeljeno razvrstitveno ravnjo, upravljati in spremljati sredstva ter sprejeti ukrepe za zaščito sredstev v njihovem celotnem življenjskem ciklu.

(25)

Upravljanje sredstev bi moralo vključevati razvrščanje sredstev glede na njihovo vrsto, občutljivost, raven tveganja in varnostne zahteve ter uporabo ustreznih ukrepov in kontrol za zagotovitev njihove razpoložljivosti, celovitosti, zaupnosti in avtentičnosti. Z razvrstitvijo sredstev glede na raven tveganja bi morali imeti zadevni subjekti možnost, da uporabijo ustrezne varnostne ukrepe in nadzor za zaščito sredstev, kot so šifriranje, nadzor dostopa, vključno z nadzorom okolice ter fizičnega in logičnega dostopa, varnostne kopije, vodenje dnevnikov in spremljanje, zadržanje ter odstranjevanje. Pri izvajanju analize poslovnega učinka lahko zadevni subjekti določijo razvrstitveno raven na podlagi posledic motenj sredstev za subjekte. Vsi zaposleni v podjetjih, ki upravljajo sredstva, morajo biti seznanjeni s politikami in navodili za ravnanje s sredstvi.

(26)

Granularnost evidence sredstev bi morala ustrezati potrebam zadevnih subjektov. Celovita evidenca sredstev bi lahko za vsako sredstvo vključevala vsaj edinstveni identifikator, lastnika, opis, lokacijo, vrsto, vrsto in razvrstitev informacij, obdelanih v sredstvu, datum zadnje posodobitve ali popravka, razvrstitev glede na oceno tveganja ter konec življenjske dobe. Pri identifikaciji lastnika sredstva bi morali zadevni subjekti opredeliti tudi osebo, odgovorno za zaščito navedenega sredstva.

(27)

Z dodeljevanjem in organizacijo vlog, odgovornosti in pooblastil na področju kibernetske varnosti bi se morala vzpostaviti dosledna struktura za upravljanje in izvajanje kibernetske varnosti v zadevnih subjektih ter zagotoviti učinkovita komunikacija v primeru incidentov. Pri opredeljevanju in dodeljevanju odgovornosti za nekatere vloge bi morali zadevni subjekti upoštevati vloge, kot so vodilni uradnik za informacijsko varnost, uradnik za informacijsko varnost, uradnik za obvladovanje incidentov, revizor ali primerljive enakovredne vloge. Zadevni subjekti lahko vloge in odgovornosti dodelijo zunanjim osebam, kot so tretji ponudniki storitev IKT.

(28)

V skladu s členom 21(2) Direktive (EU) 2022/2555 bi morali ukrepi za obvladovanje tveganj za kibernetsko varnost temeljiti na pristopu upoštevanja vseh nevarnosti, katerega namen je zaščititi omrežne in informacijske sisteme ter njihovo fizično okolje pred dogodki, kot so kraja, požar, poplave in izpadi telekomunikacij ali električne energije, ter pred kakršnim koli nepooblaščenim fizičnim dostopom in poškodbami ali poseganjem v informacije bistvenega ali pomembnega subjekta in njegovo opremo za obdelavo informacij, ki bi lahko ogrozili razpoložljivost, avtentičnost, celovitost ali zaupnost shranjenih, prenesenih ali obdelanih podatkov ali storitev, ki se ponujajo ali so dostopne prek omrežnih in informacijskih sistemov. Tehnične in metodološke zahteve ukrepov za obvladovanje tveganj za kibernetsko varnost bi zato morale obravnavati tudi fizično in okoljsko varnost omrežnih in informacijskih sistemov z vključitvijo ukrepov za zaščito tovrstnih sistemov pred okvarami sistemov, človeškimi napakami, zlonamernimi dejanji ali naravnimi pojavi. Primeri fizičnih in okoljskih groženj so lahko tudi potresi, eksplozije, sabotaže, notranje grožnje, državljanski nemiri, strupeni odpadki in okoljske emisije. Preprečevanje izgube, poškodovanja ali ogrožanja omrežnih in informacijskih sistemov ali prekinitve njihovega delovanja zaradi okvar in motenj v podpornih javnih službah bi moralo prispevati k cilju neprekinjenega poslovanja v zadevnih subjektih. Poleg tega bi morala zaščita pred fizičnimi in okoljskimi grožnjami prispevati k vzdrževanju varnosti omrežnih in informacijskih sistemov v zadevnih subjektih.

(29)

Zadevni subjekti bi morali oblikovati in izvajati zaščitne ukrepe pred fizičnimi in okoljskimi grožnjami, določiti najnižje in najvišje nadzorne pragove za fizične in okoljske grožnje ter spremljati okoljske parametre. Razmisliti bi morali na primer o namestitvi sistemov za zgodnje odkrivanje poplav na območij, kjer se nahajajo omrežni in informacijski sistemi. Kar zadeva požarno nevarnost, bi morali zadevni subjekti razmisliti o vzpostavitvi ločenega požarnega oddelka za podatkovni center, uporabi protipožarnih materialov ter senzorjev za spremljanje temperature in vlažnosti, povezavi stavbe s sistemom za javljanje požara s samodejnim obveščanjem lokalne gasilske enote ter sistemih za zgodnje odkrivanje in gašenje požara. Zadevni subjekti bi morali izvajati tudi redne protipožarne vaje in požarne inšpekcije. Poleg tega bi morali zadevni subjekti za zagotovitev oskrbe z električno energijo razmisliti o prenapetostni zaščiti in ustreznem zasilnem električnem napajanju v skladu z zadevnimi standardi. Ker pregretje predstavlja tveganje za razpoložljivost omrežnih in informacijskih sistemov, bi lahko zadevni subjekti, zlasti ponudniki storitve podatkovnega centra, razmislili o ustreznih, neprekinjenih in redundantnih klimatskih sistemih.

(30)

Ta uredba podrobneje opredeljuje primere, v katerih bi bilo treba incident šteti za pomembnega za namene člena 23(3) Direktive (EU) 2022/2555. Merila bi morala biti taka, da lahko zadevni subjekti ocenijo, ali je incident pomemben, da bi ga priglasili v skladu z Direktivo (EU) 2022/2555. Poleg tega bi bilo treba merila iz te uredbe šteti za izčrpna, brez poseganja v člen 5 Direktive (EU) 2022/2555. Ta uredba opredeljuje primere, v katerih bi bilo treba incident šteti za pomembnega, in sicer z določitvijo horizontalnih primerov in primerov, specifičnih za posamezne subjekte.

(31)

V skladu s členom 23(4) Direktive (EU) 2022/2555 bi bilo treba od zadevnih subjektov zahtevati, da priglasijo pomembne incidente v rokih, določenih v navedeni določbi. Ti roki za priglasitev začnejo teči od trenutka, ko subjekt izve za take pomembne incidente. Zadevni subjekt mora zato poročati o incidentih, ki bi lahko na podlagi njegove začetne ocene povzročili resno operativno motnjo storitev ali finančno izgubo zanj ali vplivali na druge fizične ali pravne osebe s povzročitvijo znatne materialne ali nematerialne škode. Zadevni subjekt bi moral ob zaznavi sumljivega dogodka ali opozorilu tretje osebe, kot je posameznik, stranka, subjekt, organ, medijska organizacija ali drug vir, o morebitnem incidentu pravočasno oceniti sumljivi dogodek, da bi ugotovil, ali gre za incident, ter v primeru slednjega določiti njegovo naravo in resnost. Zato je treba šteti, da je zadevni subjekt ugotovil pomemben incident, kadar po taki začetni oceni z razumno stopnjo gotovosti domneva, da se je zgodil pomemben incident.

(32)

Za določanje, ali je incident pomemben, bi morali zadevni subjekti po potrebi upoštevati število uporabnikov, na katere je incident vplival, pri čemer bi morali upoštevati poslovne in končne stranke, s katerimi so zadevni subjekti v pogodbenem razmerju, ter fizične in pravne osebe, ki so povezane s poslovnimi strankami. Kadar zadevni subjekt ne more izračunati števila prizadetih uporabnikov, bi bilo treba pri izračunu skupnega števila uporabnikov, ki jih je incident prizadel, upoštevati oceno zadevnega subjekta o največjem možnem številu prizadetih uporabnikov. Pomembnost incidenta, ki vključuje storitev zaupanja, ne bi smela biti določena le s številom uporabnikov, temveč tudi s številom zanašajočih se strank, saj jim lahko tak incident ravno tako povzroči operativne motnje ter materialno ali nematerialno škodo. Zato bi morali ponudniki storitev zaupanja, kadar je relevantno, pri ugotavljanju, ali je incident pomemben, upoštevati tudi število zanašajočih se strank. V ta namen bi bilo treba zanašajoče se stranke razumeti kot fizične ali pravne osebe, ki se zanašajo na storitev zaupanja.

(33)

Vzdrževalna dela, katerih posledica je omejena razpoložljivost ali nerazpoložljivost storitev, se ne bi smela šteti za pomembne incidente, če do omejene razpoložljivosti ali nerazpoložljivosti storitve pride v skladu z načrtovanim vzdrževanjem. Poleg tega se za pomemben incident ne bi smelo šteti, kadar storitev ni razpoložljiva zaradi načrtovanih prekinitev, kot so prekinitve ali nerazpoložljivost na podlagi vnaprej določenega pogodbenega dogovora.

(34)

Trajanje incidenta, ki vpliva na razpoložljivost storitve, bi bilo treba meriti od začetka motnje ustreznega zagotavljanja take storitve do vnovične vzpostavitve delovanja. Kadar zadevni subjekt ne more določiti trenutka začetka motnje, bi bilo treba trajanje incidenta meriti od trenutka odkritja incidenta ali od trenutka, ko je bil incident zabeležen v omrežnih ali sistemskih dnevnikih ali drugih virih podatkov, kar nastopi prej.

(35)

Popolno nerazpoložljivost storitve bi bilo treba meriti od trenutka, ko je storitev uporabnikom popolnoma nerazpoložljiva, do trenutka, ko so se redne dejavnosti ali operacije ponovno vzpostavile na raven storitve, ki je bila zagotovljena pred incidentom. Kadar zadevni subjekt ne more določiti trenutka začetka popolne nerazpoložljivosti storitve, bi bilo treba nerazpoložljivost meriti od trenutka, ko jo je ta subjekt odkril.

(36)

Pri določanju neposrednih finančnih izgub zaradi incidenta bi morali zadevni subjekti upoštevati vse finančne izgube, ki so jih imeli zaradi incidenta, kot so stroški zamenjave ali premestitve programske opreme, strojne opreme ali infrastrukture, stroški zaposlenih, vključno s stroški, povezanimi z zamenjavo ali premestitvijo zaposlenih, zaposlovanjem dodatnih zaposlenih, plačilom nadur in povračilom izgubljenih ali oslabljenih spretnosti, pristojbine zaradi neizpolnjevanja pogodbenih obveznosti, stroški za odpravo škode in nadomestila za stranke, izgube zaradi izpada prihodkov, stroški, povezani z notranjo in zunanjo komunikacijo, stroški svetovanja, vključno s stroški, povezanimi s pravnim svetovanjem, forenzičnimi storitvami in storitvami vnovične vzpostavitve delovanja, ter drugi stroški, povezani z incidentom. Vendar se za finančne izgube zaradi incidenta ne bi smele šteti upravne kazni in stroški, ki so potrebni za tekoče poslovanje podjetja, kot so stroški splošnega vzdrževanja infrastrukture, opreme, strojne in programske opreme ter posodabljanja spretnosti zaposlenih, notranji ali zunanji stroški za izboljšanje poslovanja po incidentu, vključno s pobudami za nadgradnje, izboljšave in ocene tveganja, ter zavarovalne premije. Zadevni subjekti bi morali zneske finančnih izgub izračunati na podlagi razpoložljivih podatkov, kadar pa dejanskih zneskov finančnih izgub ni mogoče določiti, bi morali te zneske oceniti.

(37)

Zadevni subjekti bi morali biti dolžni poročati tudi o incidentih, ki so ali bi lahko povzročili smrt fizičnih oseb ali znatno škodovali zdravju fizičnih oseb, saj so taki incidenti posebej resni primeri povzročitve znatne materialne ali nematerialne škode. Incident, ki vpliva na zadevni subjekt, bi lahko na primer povzročil nerazpoložljivost zdravstvenega varstva ali služb za nujno pomoč ali izgubo zaupnosti ali celovitosti podatkov, kar bi vplivalo na zdravje fizičnih oseb. Pri ugotavljanju, ali je incident znatno škodoval ali bi lahko znatno škodoval zdravju fizične osebe, bi morali zadevni subjekti upoštevati, ali je incident povzročil ali bi lahko povzročil hude poškodbe in slabo zdravje. V ta namen se od zadevnih subjektov ne bi smelo zahtevati, da zbirajo dodatne informacije, do katerih nimajo dostopa.

(38)

Razpoložljivost bi se morala šteti za omejeno zlasti, kadar je odzivni čas storitve, ki jo zagotavlja zadevni subjekt, precej počasnejši od povprečnega ali kadar niso razpoložljive vse funkcije storitve. Kadar je mogoče, bi bilo treba za oceno zamud v odzivnem času uporabiti objektivna merila, ki temeljijo na povprečnem odzivnem času storitev zadevnih subjektov. Funkcionalnost storitve je lahko na primer funkcija klepeta ali funkcija iskanja slik.

(39)

Uspešen, domnevno zlonameren in nepooblaščen dostop do omrežnih in informacijskih sistemov zadevnega subjekta bi bilo treba obravnavati kot pomemben incident, kadar lahko tak dostop povzroči resne operativne motnje. Za pomemben incident bi se na primer moralo na primer šteti, kadar se akter kibernetske grožnje vnaprej infilitrira v omrežne in informacijske sisteme zadevnega subjekta, da bi v prihodnosti povzročil motnje v storitvah.

(40)

Ponavljajoče se incidente, ki jih povezuje isti očiten temeljni vzrok in sami po sebi ne izpolnjujejo meril za pomemben incident, bi bilo treba skupaj šteti za pomemben incident, če skupaj izpolnjujejo merilo za finančno izgubo in so se zgodili vsaj dvakrat v šestih mesecih. Taki ponavljajoči se incidenti lahko kažejo na znatne pomanjkljivosti in slabosti v postopkih zadevnega subjekta za obvladovanje tveganj za kibernetsko varnost in njihovi ravni zrelosti na področju kibernetske varnosti. Poleg tega lahko taki ponavljajoči se incidenti zadevnemu subjektu povzročijo znatno finančno izgubo.

(41)	Komisija je izmenjala nasvete ter sodelovala s Skupino za sodelovanje in agencijo ENISA pri osnutku izvedbenega akta v skladu s členom 21(5) in členom 23(11) Direktive (EU) 2022/2555.

(42)	V skladu s členom 42(1) Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta (3) je bilo opravljeno posvetovanje z Evropskim nadzornikom za varstvo podatkov, ki je mnenje podal 1. septembra 2024.

(43)	Ukrepi iz te uredbe so usklajeni z mnenjem odbora, ustanovljenega s členom 39 Direktive (EU) 2022/2555 –

SPREJELA NASLEDNJO UREDBO:

Člen 1

Predmet urejanja

Ta uredba določa tehnične in metodološke zahteve ukrepov iz člena 21(2) Direktive (EU) 2022/2555 ter podrobneje opredeljuje primere, v katerih se incident šteje za pomembnega, kot je navedeno v členu 23(3) Direktive (EU) 2022/2555, v zvezi s ponudniki storitev DNS, registri TLD imen, ponudniki storitev računalništva v oblaku, ponudniki storitve podatkovnega centra, ponudniki omrežij za dostavo vsebin, ponudniki upravljanih storitev, ponudniki upravljanih varnostnih storitev, ponudniki spletnih tržnic, spletnih iskalnikov in platform za storitve družbenega mreženja ter ponudniki storitev zaupanja (v nadaljnjem besedilu: zadevni subjekti).

Člen 2

Tehnične in metodološke zahteve

1. Tehnične in metodološke zahteve ukrepov za obvladovanje tveganj za kibernetsko varnost iz člena 21(2), točke (a) do (j), Direktive (EU) 2022/2555 za zadevne subjekte so določene v Prilogi k tej uredbi.

2. Zadevni subjekti zagotovijo raven varnosti omrežnih in informacijskih sistemov, ki ustreza nastalim tveganjem pri izvajanju in uporabi tehničnih in metodoloških zahtev ukrepov za obvladovanje tveganj za kibernetsko varnost iz Priloge k tej uredbi. V ta namen pri izpolnjevanju teh tehničnih in metodoloških zahtev ustrezno upoštevajo stopnjo svoje izpostavljenosti tveganjem, svojo velikost ter verjetnost pojava incidentov in njihovo resnost, vključno z njihovim družbenim in gospodarskim vplivom.

Kadar Priloga k tej uredbi določa, da se tehnična ali metodološka zahteva ukrepa za obvladovanje tveganj za kibernetsko varnost uporablja „kadar je ustrezno“, „kadar je relevantno“ ali „kolikor je izvedljivo“ in zadevni subjekt meni, da uporaba nekaterih takih tehničnih in metodoloških zahtev zanj ni ustrezna, relevantna ali izvedljiva, v ta namen na razumljiv način dokumentira svojo utemeljitev.

Člen 3

Pomembni incidenti

1. Incident se šteje za pomembnega za namene člena 23(3) Direktive (EU) 2022/2555 v zvezi z zadevnimi subjekti, če je izpolnjeno eno ali več naslednjih meril:

(a)	incident je ali bi lahko zadevnemu subjektu povzročil neposredno finančno izgubo, ki presega 500 000 EUR oziroma 5 % skupnega letnega prometa zadevnega subjekta v predhodnem poslovnem letu, pri čemer se upošteva nižji znesek;

(b)	incident je ali bi lahko povzročil eksfiltracijo poslovnih skrivnosti iz člena 2, točka 1, Direktive (EU) 2016/943 zadevnega subjekta;

(c)	incident je ali bi lahko povzročil smrt fizične osebe;

(d)	incident je ali bi lahko znatno škodoval zdravju fizične osebe;

(e)	prišlo je do uspešnega, domnevno zlonamernega in nepooblaščenega dostopa do omrežnih in informacijskih sistemov, ki lahko povzroči hude operativne motnje;

(f)	incident izpolnjuje merila iz člena 4;

(g)	incident izpolnjuje eno ali več meril iz členov 5 do 14.

2. Načrtovane prekinitve storitev in predvidene posledice načrtovanih vzdrževalnih del, ki jih izvajajo zadevni subjekti ali se izvajajo v njihovem imenu, se ne štejejo za pomembne incidente.

3. Zadevni subjekti pri izračunu števila uporabnikov, na katere je incident vplival, za namene člena 7 in členov 9 do 14 upoštevajo vse naslednje:

(a)	število strank, ki imajo z zadevnim subjektom sklenjeno pogodbo, ki jim omogoča dostop do omrežnih in informacijskih sistemov ali storitev zadevnega subjekta, ki jih ponujajo navedeni omrežni in informacijski sistemi ali so dostopni prek njih;

(b)	število fizičnih in pravnih oseb, povezanih s poslovnimi strankami, ki uporabljajo omrežne in informacijske sisteme zadevnih subjektov ali storitve, ki jih ponujajo navedeni omrežni in informacijski sistemi ali so dostopne prek njih.

Člen 4

Ponavljajoči se incidenti

Incidenti, ki se posamično ne štejejo za pomemben incident v smislu člena 3, se skupaj štejejo kot en pomemben incident, če izpolnjujejo vsa naslednja merila:

(a)	zgodili so se vsaj dvakrat v šestih mesecih;

(b)	imajo enak očiten temeljni vzrok;

(c)	skupaj izpolnjujejo merila iz člena 3(1), točka (a).

Člen 5

Pomembni incidenti v zvezi s ponudniki storitev DNS

Kar zadeva ponudnike storitev DNS, se incident šteje za pomembnega v skladu s členom 3(1), točka (g), če izpolnjuje eno ali več naslednjih meril:

(a)	storitev rekurzivnega ali avtoritativnega razreševanja domenskih imen je popolnoma nerazpoložljiva dlje kot 30 minut;

(b)	v obdobju, ki je daljše od ene ure, je povprečni odzivni čas storitve rekurzivnega ali avtoritativnega razreševanja domenskih imen na zahteve DNS daljši od 10 sekund;

(c)

ogrožena je celovitost, zaupnost ali avtentičnost shranjenih, prenesenih ali obdelanih podatkov, povezanih z zagotavljanjem storitve avtoritativnega razreševanja domenskih imen, razen v primerih, ko podatki o manj kot 1 000 domenskih imenih, ki jih upravlja ponudnik storitev DNS, kar ne presega 1 % vseh domenskih imen, ki jih upravlja ponudnik storitev DNS, niso pravilni zaradi napačne konfiguracije.

Člen 6

Pomembni incidenti v zvezi z registri TLD imen

Kar zadeva registre TLD imen, se incident šteje za pomembnega v skladu s členom 3(1), točka (g), če izpolnjuje eno ali več naslednjih meril:

(a)	storitev avtoritativnega razreševanja domenskih imen je popolnoma nerazpoložljiva;

(b)	v obdobju, ki je daljše od ene ure, je povprečni odzivni čas storitve avtoritativnega razreševanja domenskih imen na zahteve DNS daljši od 10 sekund;

(c)	ogrožena je celovitost, zaupnost ali avtentičnost shranjenih, prenesenih ali obdelanih podatkov, povezanih s tehničnim delovanjem TLD.

Člen 7

Pomembni incidenti v zvezi s ponudniki storitev računalništva v oblaku

Kar zadeva ponudnike storitev računalništva v oblaku, se incident šteje za pomembnega v skladu s členom 3(1), točka (g), če izpolnjuje eno ali več naslednjih meril:

(a)	ponujena storitev računalništva v oblaku je popolnoma nerazpoložljiva dlje kot 30 minut;

(b)	razpoložljivost ponudnikove storitve računalništva v oblaku je dlje kot eno uro omejena za najmanj 5 % oziroma milijon uporabnikov te storitve računalništva v oblaku v Uniji, kar je manj;

(c)	celovitost, zaupnost ali avtentičnost shranjenih, prenesenih ali obdelanih podatkov, povezanih z zagotavljanjem storitve računalništva v oblaku, je ogrožena zaradi domnevno zlonamernega dejanja;

(d)	celovitost, zaupnost ali avtentičnost shranjenih, prenesenih ali obdelanih podatkov, povezanih z zagotavljanjem storitve računalništva v oblaku, je ogrožena in vpliva na najmanj 5 % oziroma milijon uporabnikov te storitve računalništva v oblaku v Uniji, kar je manj.

Člen 8

Pomembni incidenti v zvezi s ponudniki storitve podatkovnega centra

Kar zadeva ponudnike storitve podatkovnega centra, se incident šteje za pomembnega v skladu s členom 3(1), točka (g), če izpolnjuje eno ali več naslednjih meril:

(a)	storitev podatkovnega centra, ki ga upravlja ponudnik, je popolnoma nerazpoložljiva;

(b)	razpoložljivost storitve podatkovnega centra, ki ga upravlja ponudnik, je omejena dlje kot eno uro;

(c)	celovitost, zaupnost ali avtentičnost shranjenih, prenesenih ali obdelanih podatkov, povezanih z zagotavljanjem storitve podatkovnega centra, je ogrožena zaradi domnevno zlonamernega dejanja;

(d)	ogrožen je fizični dostop do podatkovnega centra, ki ga upravlja ponudnik.

Člen 9

Pomembni incidenti v zvezi s ponudniki omrežij za dostavo vsebin

Kar zadeva ponudnike omrežje za dostavo vsebin, se incident šteje za pomembnega v skladu s členom 3(1), točka (g), če izpolnjuje eno ali več naslednjih meril:

(a)	omrežje za dostavo vsebin je popolnoma nerazpoložljivo dlje kot 30 minut;

(b)	razpoložljivost omrežja za dostavo vsebin je dlje kot eno uro omejena za najmanj 5 % oziroma milijon uporabnikov tega omrežja za dostavo vsebin v Uniji, kar je manj;

(c)	celovitost, zaupnost ali avtentičnost shranjenih, prenesenih ali obdelanih podatkov, povezanih z zagotavljanjem omrežja za dostavo vsebin, je ogrožena zaradi domnevno zlonamernega dejanja;

(d)	celovitost, zaupnost ali avtentičnost shranjenih, prenesenih ali obdelanih podatkov, povezanih z zagotavljanjem omrežja za dostavo vsebin, je ogrožena in vpliva na najmanj 5 % oziroma milijon uporabnikov tega omrežja za dostavo vsebin v Uniji, kar je manj.

Člen 10

Pomembni incidenti v zvezi s ponudniki upravljanih storitev in ponudniki upravljanih varnostnih storitev

Kar zadeva ponudnike upravljanih storitev in ponudnike upravljanih varnostnih storitev, se incident šteje za pomembnega v skladu s členom 3(1), točka (g), če izpolnjuje eno ali več naslednjih meril:

(a)	upravljana storitev ali upravljana varnostna storitev je popolnoma nerazpoložljiva dlje kot 30 minut;

(b)	razpoložljivost upravljane storitve ali upravljane varnostne storitve je dlje kot eno uro omejena za najmanj 5 % oziroma milijon uporabnikov te storitve v Uniji, kar je manj;

(c)	celovitost, zaupnost ali avtentičnost shranjenih, prenesenih ali obdelanih podatkov, povezanih z zagotavljanjem upravljane storitve ali upravljane varnostne storitve, je ogrožena zaradi domnevno zlonamernega dejanja;

(d)

celovitost, zaupnost ali avtentičnost shranjenih, prenesenih ali obdelanih podatkov, povezanih z zagotavljanjem upravljane storitve ali upravljane varnostne storitve, je ogrožena in vpliva na najmanj 5 % oziroma milijon uporabnikov te upravljane storitve ali upravljane varnostne storitve v Uniji, kar je manj.

Člen 11

Pomembni incidenti v zvezi s ponudniki spletnih tržnic

Kar zadeva ponudnike spletnih tržnic, se incident šteje za pomembnega v skladu s členom 3(1), točka (g), če izpolnjuje eno ali več naslednjih meril:

(a)	spletna tržnica je popolnoma nerazpoložljiva najmanj 5 % oziroma milijonu uporabnikov te spletne tržnice v Uniji, kar je manj;

(b)	omejena razpoložljivost spletne tržnice vpliva na najmanj 5 % oziroma milijon uporabnikov te spletne tržnice v Uniji, kar je manj;

(c)	celovitost, zaupnost ali avtentičnost shranjenih, prenesenih ali obdelanih podatkov, povezanih z zagotavljanjem spletne tržnice, je ogrožena zaradi domnevno zlonamernega dejanja;

(d)	celovitost, zaupnost ali avtentičnost shranjenih, prenesenih ali obdelanih podatkov, povezanih z zagotavljanjem spletne tržnice, je ogrožena in vpliva na najmanj 5 % oziroma milijon uporabnikov te spletne tržnice v Uniji, kar je manj.

Člen 12

Pomembni incidenti v zvezi s ponudniki spletnih iskalnikov

Kar zadeva ponudnike spletnih iskalnikov, se incident šteje za pomembnega v skladu s členom 3(1), točka (g), če izpolnjuje eno ali več naslednjih meril:

(a)	spletni iskalnik je popolnoma nerazpoložljiv najmanj 5 % oziroma milijonu uporabnikov tega spletnega iskalnika v Uniji, kar je manj;

(b)	omejena razpoložljivost spletnega iskalnika vpliva na najmanj 5 % oziroma milijon uporabnikov tega spletnega iskalnika v Uniji, kar je manj;

(c)	celovitost, zaupnost ali avtentičnost shranjenih, prenesenih ali obdelanih podatkov, povezanih z zagotavljanjem spletnega iskalnika, je ogrožena zaradi domnevno zlonamernega dejanja;

(d)	celovitost, zaupnost ali avtentičnost shranjenih, prenesenih ali obdelanih podatkov, povezanih z zagotavljanjem spletnega iskalnika, je ogrožena in vpliva na najmanj 5 % oziroma milijon uporabnikov tega spletnega iskalnika v Uniji, kar je manj.

Člen 13

Pomembni incidenti v zvezi s ponudniki platform za storitve družbenega mreženja

Kar zadeva ponudnike platform za storitve družbenega mreženja, se incident šteje za pomembnega v skladu s členom 3(1), točka (g), če izpolnjuje eno ali več naslednjih meril:

(a)	platforma za storitve družbenega mreženja je popolnoma nerazpoložljiva najmanj 5 % oziroma milijonu uporabnikov te platforme za storitve družbenega mreženja v Uniji, kar je manj;

(b)	omejena razpoložljivost platforme za storitve družbenega mreženja vpliva na najmanj 5 % oziroma milijon uporabnikov te platforme za storitve družbenega mreženja v Uniji, kar je manj;

(c)	celovitost, zaupnost ali avtentičnost shranjenih, prenesenih ali obdelanih podatkov, povezanih z zagotavljanjem platforme za storitve družbenega mreženja, je ogrožena zaradi domnevno zlonamernega dejanja;

(d)	celovitost, zaupnost ali avtentičnost shranjenih, prenesenih ali obdelanih podatkov, povezanih z zagotavljanjem platforme za storitve družbenega mreženja, je ogrožena in vpliva na najmanj 5 % oziroma milijon uporabnikov te platforme za storitve družbenega mreženja v Uniji, kar je manj.

Člen 14

Pomembni incidenti v zvezi s ponudniki storitev zaupanja

Kar zadeva ponudnike storitev zaupanja, se incident šteje za pomembnega v skladu s členom 3(1), točka (g), če izpolnjuje eno ali več naslednjih meril:

(a)	storitev zaupanja je popolnoma nerazpoložljiva dlje kot 20 minut;

(b)	storitev zaupanja je uporabnikom ali zanašajočim se strankam popolnoma nerazpoložljiva dlje kot eno uro, izračunano na podlagi koledarskega tedna;

(c)	omejena razpoložljivost storitve zaupanja vpliva na najmanj 1 % oziroma 200 000 uporabnikov ali zanašajočih se strank v Uniji, kar je manj;

(d)	ogrožen je fizični dostop ali zaščita fizičnega dostopa do območja, kjer se nahajajo omrežni in informacijski sistemi in do katerega je dostop omejen na zaupanja vredne zaposlene ponudnika storitev zaupanja;

(e)	celovitost, zaupnost ali avtentičnost shranjenih, prenesenih ali obdelanih podatkov, povezanih z zagotavljanjem storitve zaupanja, je ogrožena in vpliva na najmanj 0,1 % oziroma 100 uporabnikov ali zanašajočih se strank storitve zaupanja v Uniji, kar je manj.

Člen 15

Razveljavitev

Izvedbena uredba Komisije (EU) 2018/151 (4) se razveljavi.

Člen 16

Začetek veljavnosti in uporaba

Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.

Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.

V Bruslju, 17. oktobra 2024

Za Komisijo

predsednica

Ursula VON DER LEYEN

(1) UL L 333, 27.12.2022, str. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj.

(2) Uredba (EU) 2019/881 Evropskega parlamenta in Sveta z dne 17. aprila 2019 o Agenciji Evropske unije za kibernetsko varnost (ENISA) in o certificiranju informacijske in komunikacijske tehnologije na področju kibernetske varnosti ter razveljavitvi Uredbe (EU) št. 526/2013 (Akt o kibernetski varnosti) (UL L 151, 7.6.2019, str. 15, ELI: http://data.europa.eu/eli/reg/2019/881/oj).

(3) Uredba (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (UL L 295, 21.11.2018, str. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(4) Izvedbena uredba Komisije (EU) 2018/151 z dne 30. januarja 2018 o določitvi pravil za uporabo Direktive (EU) 2016/1148 Evropskega parlamenta in Sveta v zvezi z dodatno specifikacijo elementov, ki jih morajo upoštevati ponudniki digitalnih storitev pri obvladovanju tveganj za varnost omrežij in informacijskih sistemov, in parametrov za določanje, ali ima incident pomemben vpliv (UL L 26, 31.1.2018, str. 48, ELI: http://data.europa.eu/eli/reg_impl/2018/151/oj).

PRILOGA

Tehnične in metodološke zahteve iz člena 2 te uredbe

1. Politika o varnosti omrežnih in informacijskih sistemov (člen 21(2), točka (a), Direktive (EU) 2022/2555)

1.1. Politika o varnosti omrežnih in informacijskih sistemov

1.1.1.

Za namene člena 21(2), točka (a), Direktive (EU) 2022/2555 politika o varnosti omrežnih in informacijskih sistemov:

(a)	določa pristop zadevnih subjektov k upravljanju varnosti svojih omrežnih in informacijskih sistemov;

(b)	ustreza poslovni strategiji in ciljem zadevnih subjektov ter jih dopolnjuje;

(c)	določa cilje glede varnosti omrežnih in informacijskih sistemov;

(d)	vključuje zavezo k stalnemu izboljševanju varnosti omrežnih in informacijskih sistemov;

(e)	vključuje zavezo k zagotavljanju ustreznih virov, potrebnih za njeno izvajanje, vključno s potrebnimi zaposlenimi, finančnimi viri, procesi, orodji in tehnologijami;

(f)	se sporoči zadevnim zaposlenim in zainteresiranim zunanjim stranem, ki jo potrdijo;

(g)	določa vloge in odgovornosti v skladu s točko 1.2;

(h)	navaja dokumentacijo, ki jo je treba hraniti, in določa obdobje hrambe dokumentacije;

(i)	navaja tematske politike;

(j)	določa kazalnike in ukrepe za spremljanje njenega izvajanja ter trenutnega stanja ravni zrelosti varnosti omrežnih in informacijskih sistemov zadevnih subjektov;

(k)	določa datum uradne odobritve s strani upravljalnih organov zadevnih subjektov (v nadaljnjem besedilu: upravljalni organi).

1.1.2.

Upravljalni organi politiko o varnosti omrežnih in informacijskih sistemih pregledajo in, kadar je ustrezno, posodobijo najmanj vsako leto ter v primeru pomembnih incidentov, pomembnih sprememb delovanja ali tveganj. Rezultati pregledov se dokumentirajo.

1.2. Vloge, odgovornosti in pooblastila

1.2.1.

Zadevni subjekti v okviru svoje politike o varnosti omrežnih in informacijskih sistemov iz točke 1.1 določijo odgovornosti in pooblastila za varnost omrežnih in informacijskih sistemov ter jih dodelijo vlogam glede na svoje potrebe in sporočijo upravljalnim organom.

1.2.2.

Zadevni subjekti zahtevajo, da vsi zaposleni in tretje osebe uporabljajo varnost omrežnih in informacijskih sistemov v skladu z uveljavljeno politiko o varnosti omrežnih in informacijskih sistemov ter tematskimi politikami in postopki zadevnih subjektov.

1.2.3.

Vsaj ena oseba neposredno poroča upravljalnim organom o zadevah v zvezi z varnostjo omrežnih in informacijskih sistemov.

1.2.4.

Glede na velikost zadevnih subjektov se varnost omrežnih in informacijskih sistemov zagotavlja z namenskimi vlogami ali nalogami, ki se izvajajo poleg obstoječih vlog.

1.2.5.

Nasprotujoče si naloge in nasprotujoča si področja odgovornosti se ločijo, kadar je to relevantno.

1.2.6.

Upravljalni organi pregledajo in, kadar je ustrezno, posodobijo vloge, odgovornosti in pooblastila v načrtovanih časovnih presledkih ter v primeru pomembnih incidentov, pomembnih sprememb delovanja ali tveganj.

2. Politika obvladovanja tveganj (člen 21(2), točka (a), Direktive (EU) 2022/2555)

2.1. Okvir za obvladovanje tveganj

2.1.1.

Za namene člena 21(2), točka (a), Direktive (EU) 2022/2555 zadevni subjekti vzpostavijo in vzdržujejo ustrezen okvir za obvladovanje tveganj za opredelitev in obravnavanje tveganj za varnost omrežnih in informacijskih sistemov. Zadevni subjekti izvajajo in dokumentirajo ocene tveganja ter na podlagi rezultatov pripravijo, izvajajo in spremljajo načrt za obravnavo tveganj. Rezultate ocene tveganja in preostala tveganja sprejmejo upravljalni organi ali, kadar je relevantno, osebe, ki so odgovorne in pooblaščene za obvladovanje tveganj, pod pogojem, da zadevni subjekti zagotovijo ustrezno poročanje upravljalnim organom.

2.1.2.

Za namene točke 2.1.1 zadevni subjekti vzpostavijo postopke za opredelitev, analizo, oceno in obravnavo tveganj (v nadaljnjem besedilu: postopek obvladovanja tveganj za kibernetsko varnost). Postopek obvladovanja tveganj za kibernetsko varnost je, kadar je relevantno, sestavni del celotnega postopka zadevnih subjektov za obvladovanje tveganj. Zadevni subjekti v okviru postopka obvladovanja tveganj za kibernetsko varnost:

(a)	upoštevajo metodologijo obvladovanja tveganj;

(b)	določijo tolerančno stopnjo tveganja v skladu z nagnjenostjo zadevnih subjektov k prevzemanju tveganj;

(c)	določijo in ohranjajo ustrezna merila tveganja;

(d)

v skladu s pristopom, ki upošteva vse nevarnosti, opredelijo in dokumentirajo tveganja za varnost omrežnih in informacijskih sistemov, zlasti v zvezi s tretjimi osebami, ter tveganja, ki bi lahko povzročila motnje v razpoložljivosti, celovitosti, avtentičnosti in zaupnosti omrežnih in informacijskih sistemov, vključno z opredelitvijo enotne točke odpovedi;

(e)	analizirajo tveganja za varnost omrežnih in informacijskih sistemov, vključno z grožnjami, verjetnostjo, učinkom in stopnjo tveganja, ob upoštevanju obveščevalnih podatkov o kibernetskih grožnjah in ranljivostih;

(f)	ovrednotijo ugotovljena tveganja na podlagi meril tveganja;

(g)	opredelijo in prednostno razvrstijo ustrezne možnosti in ukrepe za obvladovanje tveganj;

(h)	stalno spremljajo izvajanje ukrepov za obvladovanje tveganj;

(i)	opredelijo, kdo je odgovoren za izvajanje ukrepov za obvladovanje tveganj in kdaj jih je treba izvajati;

(j)	na razumljiv način dokumentirajo izbrane ukrepe za obvladovanje tveganj v načrtu za obvladovanje tveganj in razloge, ki upravičujejo sprejetje preostalih tveganj.

2.1.3.

Zadevni subjekti pri opredeljevanju in prednostnem razvrščanju ustreznih možnosti in ukrepov za obvladovanje tveganj upoštevajo rezultate ocene tveganja, rezultate postopka za oceno učinkovitosti ukrepov za obvladovanje tveganj za kibernetsko varnost, stroške izvajanja glede na pričakovano korist, razvrstitev sredstev iz točke 12.1 in analizo poslovnega učinka iz točke 4.1.3.

2.1.4.

Zadevni subjekti pregledajo in, kadar je ustrezno, posodobijo rezultate ocene tveganja in načrt obravnave tveganja v načrtovanih časovnih presledkih in vsaj enkrat letno ter v primeru pomembnih sprememb dejavnosti ali tveganj ali pomembnih incidentov.

2.2. Spremljanje skladnosti

2.2.1.

Zadevni subjekti redno pregledujejo skladnost s svojimi politikami o varnosti omrežnih in informacijskih sistemov, tematskimi politikami, pravili in standardi. Upravljalni organi so z rednim poročanjem obveščeni o stanju varnosti omrežnih in informacijskih sistemov na podlagi pregledov skladnosti.

2.2.2.

Zadevni subjekti vzpostavijo učinkovit sistem poročanja o skladnosti, ki ustreza njihovim strukturam, operativnim okoljem in krajini groženj. Sistem poročanja o skladnosti je zmožen upravljalnim organom zagotoviti informiran pregled nad trenutnim stanjem obvladovanja tveganj s strani zadevnih subjektov.

2.2.3.

Zadevni subjekti spremljajo skladnost v načrtovanih časovnih presledkih ter v primeru pomembnih incidentov ali pomembnih sprememb delovanja ali tveganj.

2.3. Neodvisni pregled varnosti omrežnih in informacijskih sistemov

2.3.1.

Zadevni subjekti neodvisno pregledajo svoj pristop k upravljanju varnosti omrežnih in informacijskih sistemov ter njegovo izvajanje, vključno z ljudmi, postopki in tehnologijami.

2.3.2.

Zadevni subjekti razvijejo in vzdržujejo postopke za izvajanje neodvisnih pregledov, ki jih izvajajo posamezniki z ustreznim revizijskim znanjem. Kadar neodvisni pregled izvajajo zaposleni zadevnega subjekta, osebe, ki izvajajo preglede, ne smejo biti v hierarhičnem odnosu z zaposlenimi na področju, ki se pregleduje. Če velikost zadevnih subjektov ne omogoča takega hierarhičnega odnosa, zadevni subjekti uvedejo alternativne ukrepe za zagotovitev nepristranskosti pregledov.

2.3.3.

Rezultati neodvisnih pregledov, vključno z rezultati spremljanja skladnosti v skladu s točko 2.2 ter spremljanja in merjenja v skladu s točko 7, se sporočijo upravljalnim organom. Popravni ukrepi ali preostalo tveganje se sprejmejo v skladu z merili za sprejemanje tveganja zadevnih subjektov.

2.3.4.

Neodvisni pregledi se izvajajo v načrtovanih časovnih presledkih ter v primeru pomembnih incidentov ali pomembnih sprememb delovanja ali tveganj.

3. Obvladovanje incidentov (člen 21(2), točka (b), Direktive (EU) 2022/2555)

3.1. Politika obvladovanja incidentov

3.1.1.

Za namene člena 21(2), točka (b), Direktive (EU) 2022/2555 zadevni subjekti vzpostavijo in izvajajo politiko obvladovanja incidentov, v kateri so določene vloge, odgovornosti in postopki za pravočasno odkrivanje, analiziranje, omejevanje in dokumentiranje incidentov, odzivanje nanje, obnovo po njih ter poročanje o njih.

3.1.2.

Politika iz točke 3.1.1 je skladna z načrtom neprekinjenega poslovanja in vnovične vzpostavitve delovanja po nepredvidljivih dogodkih iz točke 4.1. Politika vključuje:

(a)	sistem kategorizacije incidentov, ki je skladen z oceno in razvrstitvijo dogodkov, izvedenima v skladu s točko 3.4.1;

(b)	učinkovite komunikacijske načrte, tudi za stopnjevanje in poročanje;

(c)	dodelitev vlog za odkrivanje incidentov in ustrezno odzivanje na incidente pristojnim zaposlenim;

(d)	dokumente, ki se uporabljajo pri odkrivanju incidentov in odzivanju nanje, kot so priročniki za odzivanje na incidente, diagrami stopnjevanja, seznami stikov in predloge.

3.1.3.

Vloge, odgovornosti in postopki, določeni v politiki, se preskusijo in pregledajo ter, kadar je ustrezno, posodobijo v načrtovanih časovnih presledkih in po pomembnih incidentih ali pomembnih spremembah delovanja ali tveganj.

3.2. Spremljanje in vodenje dnevnikov

3.2.1.

Zadevni subjekti določijo postopke in uporabljajo orodja za spremljanje in vodenje dnevnikov dejavnosti v svojih omrežnih in informacijskih sistemih za odkrivanje dogodkov, ki bi se lahko šteli za incidente, ter ustrezno odzivanje nanje za ublažitev posledic.

3.2.2.

Kolikor je izvedljivo, je spremljanje avtomatizirano in se izvaja stalno ali v rednih časovnih presledkih v skladu s poslovnimi zmogljivostmi. Zadevni subjekti izvajajo svoje dejavnosti spremljanja tako, da je čim manj lažno pozitivnih in lažno negativnih rezultatov.

3.2.3.

Zadevni subjekti na podlagi postopkov iz točke 3.2.1 vodijo, dokumentirajo in pregledujejo dnevnike. Zadevni subjekti na podlagi rezultatov ocene tveganja, izvedene v skladu s točko 2.1, pripravijo seznam sredstev, za katere se izvaja vodenje dnevnikov. Kadar je ustrezno, dnevniki vključujejo:

(a)	zadevni odhodni in dohodni omrežni promet;

(b)	ustvarjanje, spreminjanje ali izbris uporabnikov omrežnih in informacijskih sistemov zadevnih subjektov ter razširitev dovoljenj;

(c)	dostop do sistemov in aplikacij;

(d)	dogodke, povezane z avtentikacijo;

(e)	vse privilegirane dostope do sistemov in aplikacij ter dejavnosti, ki jih izvajajo upravljalni računi;

(f)	dostop do kritične konfiguracije in varnostne kopije datotek ali njuno spreminjanje;

(g)	dnevnike dogodkov in dnevnike iz varnostnih orodij, kot so protivirusni sistemi, sistemi za odkrivanje vdorov ali požarni zidovi;

(h)	uporabo sistemskih virov in njihovo delovanje;

(i)	fizični dostop do objektov;

(j)	dostop do njihove omrežne opreme in naprav ter njihovo uporabo;

(k)	aktiviranje, ustavitev in prekinitev različnih dnevnikov;

(l)	okoljske dogodke.

3.2.4.

Dnevniki se redno pregledujejo v zvezi z vsemi nenavadnimi ali neželenimi trendi. Zadevni subjekti, kadar je ustrezno, določijo ustrezne vrednosti za alarmne pragove. Če so predpisane vrednosti za alarmne pragove presežene, se, kadar je ustrezno, samodejno sproži alarm. Zadevni subjekti zagotovijo, da se v primeru alarma pravočasno sproži kvalificiran in ustrezen odziv.

3.2.5.

Zadevni subjekti vodijo dnevnike in hranijo njihove varnostne kopije za vnaprej določeno obdobje ter jih varujejo pred nepooblaščenim dostopom ali spremembami.

3.2.6.

Kolikor je izvedljivo, zadevni subjekti zagotovijo, da imajo vsi sistemi sinhronizirane časovne vire, da se pri ocenjevanju dogodkov omogoči korelacija med dnevniki sistemov. Zadevni subjekti pripravijo in vodijo seznam vseh sredstev, ki se beležijo, ter zagotovijo redundantno zmogljivost sistemov spremljanja in vodenja dnevnikov. Razpoložljivost sistemov spremljanja in vodenja dnevnikov se spremlja neodvisno od sistemov, ki se spremljajo.

3.2.7.

Postopki in seznam sredstev, o katerih se vodi dnevnik, se pregledujejo in, kadar je ustrezno, posodabljajo v rednih časovnih presledkih in po pomembnih incidentih.

3.3. Poročanje o dogodkih

3.3.1.

Zadevni subjekti vzpostavijo preprost mehanizem, ki njihovim zaposlenim, dobaviteljem in strankam omogoča poročanje o sumljivih dogodkih.

3.3.2.

Zadevni subjekti svoje dobavitelje in stranke, kadar je ustrezno, obvestijo o mehanizmu za poročanje o dogodkih ter redno usposabljajo svoje zaposlene o njegovi uporabi.

3.4. Ocena dogodka in razvrstitev

3.4.1.

Zadevni subjekti ocenijo sumljive dogodke, da ugotovijo, ali gre za incidente, ter v tem primeru določijo njihovo naravo in resnost.

3.4.2.

Za namene točke 3.4.1 zadevni subjekti:

(a)	izvedejo oceno na podlagi vnaprej določenih meril in na podlagi triaže, da se določi prednostna obravnava obvladovanja in izkoreninjenja incidentov;

(b)	v vsakem četrtletju ocenijo obstoj ponavljajočih se incidentov iz člena 4 te uredbe;

(c)	pregledajo ustrezne dnevnike za namene ocene in razvrstitve dogodkov;

(d)	vzpostavijo postopek za korelacijo in analizo dnevnikov ter

(e)	ponovno ocenijo in prerazvrstijo dogodke, če so na voljo nove informacije ali po analizi predhodno razpoložljivih informacij.

3.5. Odzivanje na incidente

3.5.1.

Zadevni subjekti se na incidente odzovejo pravočasno v skladu z dokumentiranimi postopki.

3.5.2.

Postopki odzivanja na incidente vključujejo naslednje faze:

(a)	obvladovanje incidenta, da se prepreči širjenje njegovih posledic;

(b)	izkoreninjenje, da se incident ne bi nadaljeval ali ponovno pojavil;

(c)	vnovično vzpostavitev delovanja po incidentu, kadar je to potrebno.

3.5.3.

Zadevni subjekti pripravijo komunikacijske načrte in postopke:

(a)	s skupinami za odzivanje na incidente na področju računalniške varnosti (skupine CSIRT) ali, kadar je relevantno, s pristojnimi organi v zvezi s priglasitvijo incidentov;

(b)	za komunikacijo med zaposlenimi v zadevnem subjektu in z njegovimi zadevnimi zunanjimi deležniki.

3.5.4.

Zadevni subjekti vodijo dnevnik dejavnosti odzivanja na incidente v skladu s postopki iz točke 3.2.1 in zabeležijo dokaze.

3.5.5.

Zadevni subjekti v načrtovanih časovnih presledkih preskusijo svoje postopke odzivanja na incidente.

3.6. Pregledi po incidentu

3.6.1.

Zadevni subjekti po vnovični vzpostavitvi delovanja po incidentih izvedejo preglede po incidentih, kadar je to ustrezno. V njih se, kadar je to mogoče, opredeli temeljni vzrok incidenta in pridobijo dokumentirane izkušnje za zmanjšanje pojavljanja prihodnjih incidentov in njihovih posledic.

3.6.2.

Zadevni subjekti zagotovijo, da pregledi po incidentih prispevajo k izboljšanju njihovega pristopa k varnosti omrežnih in informacijskih sistemov, ukrepom za obvladovanje tveganja ter postopkom za obvladovanje incidentov, njihovo odkrivanje in odzivanje nanje.

3.6.3.

Zadevni subjekti v načrtovanih časovnih presledkih pregledajo, ali so incidenti privedli do pregledov po incidentih.

4. Neprekinjeno poslovanje in obvladovanje kriz (člen 21(2), točka (c), Direktive (EU) 2022/2555)

4.1. Načrt neprekinjenega poslovanja in vnovične vzpostavitve delovanja po nepredvidljivih dogodkih

4.1.1.

Za namene člena 21(2), točka (c), Direktive (EU) 2022/2555 zadevni subjekti določijo in vzdržujejo načrt neprekinjenega poslovanja in vnovične vzpostavitve delovanja po nepredvidljivih dogodkih, ki se uporablja v primeru incidentov.

4.1.2.

Dejavnosti zadevnih subjektov se ponovno vzpostavijo v skladu z načrtom neprekinjenega poslovanja in vnovične vzpostavitve delovanja po nepredvidljivih dogodkih. Načrt temelji na rezultatih ocene tveganja, izvedene v skladu s točko 2.1, in, kadar je ustrezno, vključuje naslednje:

(a)	namen, področje uporabe in občinstvo;

(b)	vloge in odgovornosti;

(c)	ključne kontakte in (notranje in zunanje) komunikacijske kanale;

(d)	pogoje za aktivacijo in deaktivacijo načrta;

(e)	vrstni red vnovične vzpostavitve operacij;

(f)	načrte za vnovično vzpostavitvijo določenih operacij, vključno s cilji vnovične vzpostavitve;

(g)	potrebne vire, vključno z varnostnimi kopijami in redundantnimi zmogljivostmi;

(h)	obnovitev in nadaljevanje dejavnosti po začasnih ukrepih.

4.1.3.

Zadevni subjekti izvedejo analizo poslovnega učinka, da ocenijo morebitni vpliv resnih motenj na poslovanje in na podlagi rezultatov analize poslovnega učinka določijo zahteve glede neprekinjenega poslovanja omrežnih in informacijskih sistemov.

4.1.4.

Načrt neprekinjenega poslovanja in vnovične vzpostavitve delovanja po nepredvidljivih dogodkih se preskusi in pregleda ter, kadar je ustrezno, posodobi v načrtovanih časovnih presledkih in po pomembnih incidentih ali pomembnih spremembah delovanja ali tveganj. Zadevni subjekti zagotovijo, da načrti vključujejo izkušnje, pridobljene s takšnimi preskusi.

4.2. Upravljanje varnostnega kopiranja in redundantne zmogljivosti

4.2.1.

Zadevni subjekti vzdržujejo varnostne kopije podatkov in zagotovijo dovolj razpoložljivih virov, vključno z objekti, omrežnimi in informacijskimi sistemi ter zaposlenimi, da se zagotovi ustrezna raven redundantne zmogljivosti.

4.2.2.

Zadevni subjekti na podlagi rezultatov ocene tveganja, izvedene v skladu s točko 2.1, in načrta neprekinjenega poslovanja pripravijo načrte za varnostno kopiranje, ki vključujejo naslednje:

(a)	čase vnovične vzpostavitve delovanja:

(b)	zagotovilo, da so varnostne kopije popolne in točne, vključno s konfiguracijskimi podatki in podatki, shranjenimi v okolju storitev računalništva v oblaku;

(c)	shranjevanje varnostnih kopij (spletnih ali nespletnih) na varni lokaciji ali lokacijah, ki niso v istem omrežju kot sistem in so dovolj oddaljene, da se izognejo kakršni koli škodi zaradi nesreče na glavni lokaciji;

(d)	ustrezen fizični in logični nadzor dostopa do varnostnih kopij v skladu z razvrstitveno ravnjo sredstev;

(e)	obnovitev podatkov iz varnostnih kopij;

(f)	obdobja hrambe na podlagi poslovnih in regulativnih zahtev.

4.2.3.

Zadevni subjekti redno preverjajo celovitost varnostnih kopij.

4.2.4.

Zadevni subjekti na podlagi rezultatov ocene tveganja, izvedene v skladu s točko 2.1, in načrta neprekinjenega poslovanja zagotovijo zadostno razpoložljivost virov z vsaj delno redundantno zmogljivostjo:

(a)	omrežnih in informacijskih sistemov;

(b)	sredstev, vključno z objekti, opremo in zalogami;

(c)	zaposlenih s potrebnimi odgovornostmi, pooblastili in kompetencami;

(d)	ustreznih komunikacijskih kanalov.

4.2.5.

Zadevni subjekti, kadar je ustrezno, zagotovijo, da se pri spremljanju in prilagajanju virov, vključno z objekti, sistemi in zaposlenimi, ustrezno upoštevajo zahteve glede varnostnega kopiranja in redundantnih zmogljivosti.

4.2.6.

Zadevni subjekti redno preskušajo obnove varnostnih kopij in redundantne zmogljivosti, da zagotovijo, da so zanesljive v primeru izpolnjenih pogojev za obnovo ter zajemajo kopije, postopke in znanje za izvedbo učinkovite obnove. Zadevni subjekti dokumentirajo rezultate preskusov in, kadar je ustrezno, sprejmejo popravne ukrepe.

4.3. Obvladovanje kriz

4.3.1.

Zadevni subjekti vzpostavijo postopek za obvladovanje kriz.

4.3.2.

Zadevni subjekti zagotovijo, da postopek za obvladovanje kriz obravnava vsaj naslednje elemente:

(a)	vloge in odgovornosti zaposlenih ter, kadar je ustrezno, dobaviteljev in ponudnikov storitev, pri čemer se opredeli dodelitev vlog v kriznih razmerah, vključno s posebnimi koraki, ki jim je treba slediti;

(b)	ustrezna komunikacijska sredstva med zadevnimi subjekti in zadevnimi pristojnimi organi;

(c)	uporabo ustreznih ukrepov za zagotovitev ohranjanja varnosti omrežnih in informacijskih sistemov v kriznih razmerah.

Za namene točke (b) pretok informacij med zadevnimi subjekti in zadevnimi pristojnimi organi vključuje tako obvezno komunikacijo, kot so poročila o incidentih in povezane časovnice, kot neobvezno komunikacijo.

4.3.3.

Zadevni subjekti vzpostavijo postopek za upravljanje in uporabo informacij, prejetih od skupin CSIRT ali, kadar je relevantno, pristojnih organov, v zvezi z incidenti, ranljivostmi, grožnjami ali morebitnimi blažilnimi ukrepi.

4.3.4.

Zadevni subjekti načrt za obvladovanje kriz preskušajo, pregledujejo in, kadar je ustrezno, posodabljajo redno ter po pomembnih incidentih ali pomembnih spremembah delovanja ali tveganj.

5. Varnost dobavne verige (člen 21(2), točka (d), Direktive (EU) 2022/2555)

5.1. Politika varnosti dobavne verige

5.1.1.

Za namene člena 21(2), točka (d), Direktive (EU) 2022/2555 zadevni subjekti vzpostavijo, izvajajo in uporabljajo politiko varnosti dobavne verige, ki ureja odnose z njihovimi neposrednimi dobavitelji in ponudniki storitev, da bi ublažili ugotovljena tveganja za varnost omrežnih in informacijskih sistemov. V politiki varnosti dobavne verige zadevni subjekti opredelijo svojo vlogo v dobavni verigi ter jo sporočijo svojim neposrednim dobaviteljem in ponudnikom storitev.

5.1.2.

V okviru politike varnosti dobavne verige iz točke 5.1.1 zadevni subjekti določijo merila za izbiro in sklepanje pogodb z dobavitelji in ponudniki storitev. Ta merila vključujejo:

(a)	prakse dobaviteljev in ponudnikov storitev na področju kibernetske varnosti, vključno z njihovimi postopki varnega razvoja;

(b)	zmožnost dobaviteljev in ponudnikov storitev, da izpolnjujejo specifikacije kibernetske varnosti, ki jih določijo zadevni subjekti;

(c)	splošno kakovost in odpornost proizvodov in storitev IKT ter vanje vgrajenih ukrepov za obvladovanje tveganj za kibernetsko varnost, vključno s tveganji in razvrstitveno ravnjo proizvodov in storitev IKT;

(d)	zmožnost zadevnih subjektov, da diverzificirajo dobavne vire in omejijo vezanost na ponudnika, kadar je relevantno.

5.1.3.

Zadevni subjekti, kadar je relevantno, pri vzpostavljanju politike varnosti dobavne verige upoštevajo rezultate usklajenih ocen tveganja za varnost kritičnih dobavnih verig, ki se opravijo v skladu s členom 22(1) Direktive (EU) 2022/2555;

5.1.4.

Zadevni subjekti na podlagi politike varnosti dobavne verige in ob upoštevanju rezultatov ocene tveganja, izvedene v skladu s točko 2.1 te priloge, zagotovijo, da njihove pogodbe z dobavitelji in ponudniki storitev, kadar je ustrezno in po potrebi v okviru sporazuma o ravni storitve, določajo:

(a)	zahteve glede kibernetske varnosti za dobavitelje ali ponudnike storitev, vključno z zahtevami glede varnosti pri nakupu storitev ali proizvodov IKT iz točke 6.1;

(b)	zahteve glede ozaveščenosti, spretnosti in usposabljanja ter, kadar je ustrezno, potrdil, ki se zahtevajo od zaposlenih pri dobaviteljih ali ponudnikih storitev;

(c)	zahteve glede preverjanja preteklosti zaposlenih pri dobaviteljih in ponudnikih storitev;

(d)	obveznost dobaviteljev in ponudnikov storitev, da brez nepotrebnega odlašanja obvestijo zadevne subjekte o incidentih, ki predstavljajo tveganje za varnost omrežnih in informacijskih sistemov teh subjektov;

(e)	pravico do revizije ali pravico do prejema revizijskih poročil;

(f)	obveznost dobaviteljev in ponudnikov storitev, da obravnavajo ranljivosti, ki predstavljajo tveganje za varnost omrežnih in informacijskih sistemov zadevnih subjektov;

(g)	zahteve glede oddaje naročil podizvajalcem in, kadar zadevni subjekti dovolijo oddajo naročil podizvajalcem, zahteve glede kibernetske varnosti za podizvajalce v skladu z zahtevami glede kibernetske varnosti iz točke (a);

(h)	obveznosti dobaviteljev in ponudnikov storitev ob prenehanju pogodbe, kot sta pridobivanje in odstranjevanje informacij, ki jih dobavitelji in ponudniki storitev pridobijo pri opravljanju svojih nalog.

5.1.5.

Zadevni subjekti upoštevajo elemente iz točk 5.1.2 in 5.1.3 kot del postopka izbire novih dobaviteljev in ponudnikov storitev in tudi kot del postopka javnega naročanja iz točke 6.1.

5.1.6.

Zadevni subjekti pregledajo varnostno politiko dobavne verige, spremljajo in ocenijo spremembe praks dobaviteljev in ponudnikov storitev na področju kibernetske varnosti ter, kadar je ustrezno, ukrepajo v zvezi z njimi v načrtovanih časovnih presledkih in v primeru znatnih sprememb delovanja ali tveganj ali pomembnih incidentov, povezanih z zagotavljanjem storitev IKT ali ki vplivajo na varnost proizvodov IKT s strani dobaviteljev in ponudnikov storitev.

5.1.7.

Za namene točke 5.1.6 zadevni subjekti:

(a)	redno spremljajo poročila o izvajanju sporazumov o ravni storitev, kadar je relevantno;

(b)	pregledajo incidente, povezane s proizvodi in storitvami IKT dobaviteljev in ponudnikov storitev;

(c)	ocenijo potrebo po nenačrtovanih pregledih in na razumljiv način dokumentirajo ugotovitve;

(d)	analizirajo tveganja zaradi sprememb, povezanih s proizvodi in storitvami IKT dobaviteljev in ponudnikov storitev, ter, kadar je ustrezno, pravočasno sprejmejo blažilne ukrepe.

5.2. Register dobaviteljev in ponudnikov storitev

Zadevni subjekti vodijo in posodabljajo register svojih neposrednih dobaviteljev in ponudnikov storitev, vključno s:

(a)	kontaktnimi točkami za vsakega neposrednega dobavitelja in ponudnika storitev;

(b)	seznamom proizvodov, storitev in postopkov IKT, ki jih neposredni dobavitelj ali ponudnik storitev zagotavlja zadevnim subjektom.

6. Varnost pri pridobivanju, razvoju in vzdrževanju omrežnih in informacijskih sistemov (člen 21(2), točka (e), Direktive (EU) 2022/2555)

6.1. Varnost pri pridobivanju storitev ali proizvodov IKT

6.1.1.

Za namene člena 21(2), točka (e), Direktive (EU) 2022/2555 zadevni subjekti določijo in izvajajo postopke za obvladovanje tveganj, ki izhajajo iz pridobitve storitev IKT ali proizvodov IKT od dobaviteljev ali ponudnikov storitev za komponente, ključne za varnost omrežnih in informacijskih sistemov zadevnih subjektov, v njihovem celotnem življenjskem ciklu, in sicer na podlagi ocene tveganja, izvedene v skladu s točko 2.1.

6.1.2.

Za namene točke 6.1.1 postopki iz točke 6.1.1 vključujejo:

(a)	varnostne zahteve, ki se uporabljajo za storitve IKT ali proizvode IKT, ki bodo pridobljeni;

(b)	zahteve v zvezi z varnostnimi posodobitvami v celotni življenjski dobi storitev IKT ali proizvodov IKT ali zamenjavo po koncu obdobja podpore;

(c)	informacije, ki opisujejo komponente strojne in programske opreme, ki se uporabljajo v storitvah IKT ali proizvodih IKT;

(d)	informacije, ki opisujejo vzpostavljene funkcije storitev ali proizvodov IKT na področju kibernetske varnosti in konfiguracijo, potrebno za njihovo varno delovanje;

(e)	zagotovilo, da storitve IKT ali proizvodi IKT izpolnjujejo varnostne zahteve v skladu s točko (a);

(f)	metode za potrjevanje, da so zagotovljene storitve IKT ali proizvodi IKT skladni z navedenimi varnostnimi zahtevami, ter dokumentiranje rezultatov potrjevanja.

6.1.3.

Zadevni subjekti pregledajo in, kadar je ustrezno, posodobijo postopke v načrtovanih časovnih presledkih in v primeru pomembnih incidentov.

6.2. Varen življenjski cikel razvoja

6.2.1.

Zadevni subjekti pred razvojem omrežnega in informacijskega sistema, vključno s programsko opremo, določijo pravila za varen razvoj omrežnih in informacijskih sistemov ter jih uporabijo pri notranjem ali zunanjem izvajanju razvoja omrežnih in informacijskih sistemov. Pravila zajemajo vse razvojne faze, vključno s specifikacijo, zasnovo, razvojem, izvajanjem in preskušanjem.

6.2.2.

Za namene točke 6.2.1 zadevni subjekti:

(a)	izvedejo analizo varnostnih zahtev v fazi specifikacije in zasnove vsakega razvojnega ali pridobitvenega projekta, ki ga izvedejo sami ali ki se izvede v njihovem imenu;

(b)	uporabljajo načela za razvoj varnih sistemov in načela varnega kodiranja za vse dejavnosti razvoja informacijskih sistemov, kot je spodbujanje arhitektur ničelnega zaupanja z vgrajeno kibernetsko varnostjo;

(c)	določijo varnostne zahteve v zvezi z razvojnimi okolji;

(d)	vzpostavijo in izvajajo postopke preskušanja varnosti v razvojnem življenjskem ciklu;

(e)	ustrezno izberejo, varujejo in upravljajo podatke varnostnih preskusov;

(f)	varno uničijo in anonimizirajo podatke o testiranju v skladu z oceno tveganja, izvedeno v skladu s točko 2.1.

6.2.3.

Za zunanje izvajanje razvoja omrežnih in informacijskih sistemov zadevni subjekti uporabljajo tudi politike in postopke iz točke 5 in točke 6.1.

6.2.4.

Zadevni subjekti v načrtovanih časovnih presledkih pregledajo in, kadar je ustrezno, posodobijo svoja pravila za varen razvoj.

6.3. Upravljanje konfiguracij

6.3.1.

Zadevni subjekti sprejmejo ustrezne ukrepe za vzpostavitev, dokumentiranje, izvajanje in spremljanje konfiguracij, vključno z varnostnimi konfiguracijami strojne opreme, programske opreme, storitev in omrežij.

6.3.2.

Za namene točke 6.3.1 zadevni subjekti:

(a)	določijo in zagotovijo varnost konfiguracij za svojo strojno opremo, programsko opremo, storitve in omrežja;

(b)	določijo in izvajajo postopke in orodja za uveljavljanje določenih varnih konfiguracij za strojno opremo, programsko opremo, storitve in omrežja, za novonameščene in delujoče sisteme v njihovi celotni življenjski dobi.

6.3.3.

Zadevni subjekti pregledajo in, kadar je ustrezno, posodobijo konfiguracije v načrtovanih časovnih presledkih ter v primeru pomembnih incidentov ali pomembnih sprememb delovanja ali tveganj.

6.4. Upravljanje sprememb, popravila in vzdrževanje

6.4.1.

Zadevni subjekti uporabljajo postopke upravljanja sprememb za nadzor sprememb omrežnih in informacijskih sistemov. Postopki so, kadar je relevantno, skladni s splošnimi politikami zadevnih subjektov glede upravljanja sprememb.

6.4.2.

Postopki iz točke 6.4.1 se uporabljajo za izdaje, spremembe in nujne spremembe vsake delujoče programske in strojne opreme ter spremembe konfiguracije. S postopki se zagotovi, da so te spremembe dokumentirane ter se na podlagi ocene tveganja, izvedene v skladu s točko 2.1, pred izvedbo preskusijo in ocenijo glede na morebitni učinek.

6.4.3.

Če rednih postopkov upravljanja sprememb ni bilo mogoče upoštevati zaradi izrednih razmer, zadevni subjekti dokumentirajo rezultat spremembe in razloge, zakaj postopkov ni bilo mogoče upoštevati.

6.4.4.

Zadevni subjekti pregledajo in, kadar je ustrezno, posodobijo postopke v načrtovanih časovnih presledkih ter v primeru pomembnih incidentov ali pomembnih sprememb delovanja ali tveganj.

6.5. Varnostno testiranje

6.5.1.

Zadevni subjekti vzpostavijo, izvajajo in uporabljajo politiko in postopke za varnostno testiranje.

6.5.2.

Zadevni subjekti:

(a)	na podlagi ocene tveganja, izvedene v skladu s točko 2.1, določijo potrebo, obseg, pogostost in vrsto varnostnih testov;

(b)	izvajajo varnostno testiranje v skladu z dokumentirano testno metodologijo, ki zajema komponente, ki so v analizi tveganja opredeljene kot pomembne za varno delovanje;

(c)	dokumentirajo vrsto, obseg, čas in rezultate testov, vključno z oceno kritičnosti in blažilnimi ukrepi za vsako ugotovitev;

(d)	v primeru kritičnih ugotovitev uporabijo blažilne ukrepe.

6.5.3.

Zadevni subjekti v načrtovanih časovnih presledkih pregledajo in, kadar je ustrezno, posodobijo svoje politike za varnostno testiranje.

6.6. Upravljanje varnostnih popravkov

6.6.1.

Zadevni subjekti določijo in uporabljajo postopke, skladne s postopki upravljanja sprememb iz točke 6.4.1 ter s postopki za obvladovanje ranljivosti in tveganj ter drugimi ustreznimi postopki upravljanja, za zagotovitev, da se:

(a)	varnostni popravki uporabijo v razumnem času po tem, ko postanejo razpoložljivi;

(b)	varnostni popravki preskusijo, preden se uporabijo v proizvodnih sistemih;

(c)	varnostni popravki pridobijo iz zaupanja vrednih virov in da se preveri njihova celovitost;

(d)	izvajajo dodatni ukrepi in sprejmejo preostala tveganja v primerih, ko popravek ni razpoložljiv ali se ne uporabi v skladu s točko 6.6.2.

6.6.2.

Z odstopanjem od točke 6.6.1(a) se lahko zadevni subjekti odločijo, da ne bodo uporabili varnostnih popravkov, kadar slabosti njihove uporabe presegajo koristi za kibernetsko varnost. Zadevni subjekti ustrezno dokumentirajo in utemeljijo razloge za tako odločitev.

6.7. Varnost omrežja

6.7.1.

Zadevni subjekti sprejmejo ustrezne ukrepe za zaščito svojih omrežnih in informacijskih sistemov pred kibernetskimi grožnjami.

6.7.2.

Za namene točke 6.7.1 zadevni subjekti:

(a)	dokumentirajo arhitekturo omrežja na razumljiv in posodobljen način;

(b)	določijo in izvajajo nadzor za zaščito notranjih omrežnih domen zadevnih subjektov pred nepooblaščenim dostopom;

(c)	konfigurirajo upravljalne elemente za preprečevanje dostopov in omrežne komunikacije, ki niso potrebni za delovanje zadevnih subjektov;

(d)	določijo in uporabljajo upravljalne elemente za oddaljeni dostop do omrežnih in informacijskih sistemov, vključno z dostopom ponudnikov storitev;

(e)	ne uporabljajo sistemov, ki se uporabljajo za upravljanje izvajanja varnostne politike, v druge namene;

(f)	izrecno prepovejo ali deaktivirajo nepotrebne povezave in storitve;

(g)	kadar je ustrezno, dostop do svojih omrežnih in informacijskih sistemov dovolijo izključno pooblaščenim napravam;

(h)	dovolijo povezave ponudnikov storitev šele po zahtevku za pooblastitev in za določeno časovno obdobje, kot je trajanje vzdrževalnih del;

(i)

vzpostavijo komunikacijo med različnimi sistemi samo prek zaupanja vrednih kanalov, ki so izolirani z uporabo logičnega, kriptografskega ali fizičnega ločevanja od drugih komunikacijskih kanalov ter zagotavljajo zanesljivo identifikacijo njihovih končnih točk in zaščito podatkov kanala pred spreminjanjem ali razkritjem;

(j)	sprejmejo izvedbeni načrt za popoln prehod na komunikacijske protokole omrežne plasti zadnje generacije na varen, ustrezen in postopen način ter določijo ukrepe za pospešitev takega prehoda;

(k)

sprejmejo izvedbeni načrt za uvedbo mednarodno dogovorjenih in interoperabilnih sodobnih standardov za komunikacijo po elektronski pošti, da se zavaruje komunikacija po elektronski pošti in s tem ublažijo ranljivosti, povezane z grožnjami v zvezi z elektronsko pošto, ter določijo ukrepe za pospešitev takega uvajanja;

(l)	uporabljajo najboljše prakse za varnost DNS ter varnost in higieno internetnega usmerjanja odhodnega in dohodnega prometa omrežja.

6.7.3.

Zadevni subjekti pregledajo in, kadar je ustrezno, posodobijo navedene ukrepe v načrtovanih časovnih presledkih ter v primeru pomembnih incidentov ali pomembnih sprememb delovanja ali tveganj.

6.8. Segmentacija omrežja

6.8.1.

Zadevni subjekti sisteme segmentirajo v omrežja ali območja v skladu z rezultati ocene tveganja iz točke 2.1. Svoje sisteme in omrežja ločijo od sistemov in omrežij tretjih oseb.

6.8.2.

V ta namen zadevni subjekti:

(a)	upoštevajo funkcionalno, logično in fizično povezavo med zaupanja vrednimi sistemi in storitvami, vključno z lokacijo;

(b)	odobrijo dostop do omrežja ali območja na podlagi ocene svojih varnostnih zahtev;

(c)	vzdržujejo sisteme, ki so ključni za delovanje zadevnih subjektov ali za varnost na varovanih območjih;

(d)	vzpostavijo demilitarizirano območje v svojih komunikacijskih omrežjih, da se v njih zagotovi varna odhodna in dohodna komunikacija;

(e)	omejijo dostop in komunikacijo med območji in znotraj njih na tiste, ki so potrebni za delovanje zadevnih subjektov ali za varnost;

(f)	ločijo namensko omrežje za upravljanje omrežnih in informacijskih sistemov od operativnega omrežja zadevnih subjektov;

(g)	ločijo kanale za upravljanje omrežja od drugega omrežnega prometa;

(h)	ločijo proizvodne sisteme za storitve zadevnih subjektov od sistemov, ki se uporabljajo pri razvoju in testiranju, vključno z varnostnimi kopijami.

6.8.3.

Zadevni subjekti pregledajo in, kadar je ustrezno, posodobijo segmentacijo omrežja v načrtovanih časovnih presledkih ter v primeru pomembnih incidentov ali pomembnih sprememb delovanja ali tveganj.

6.9. Zaščita pred zlonamerno in nepooblaščeno programsko opremo

6.9.1.

Zadevni subjekti svoje omrežne in informacijske sisteme zaščitijo pred zlonamerno in nepooblaščeno programsko opremo.

6.9.2.

V ta namen zadevni subjekti izvajajo zlasti ukrepe za odkrivanje ali preprečevanje uporabe zlonamerne ali nepooblaščene programske opreme. Zadevni subjekti, kadar je ustrezno, zagotovijo, da so njihovi omrežni in informacijski sistemi opremljeni s programsko opremo za odkrivanje in odzivanje, ki se redno posodablja v skladu z oceno tveganja, izvedeno v skladu s točko 2.1, in pogodbenimi dogovori s ponudniki.

6.10. Obravnavanje in razkrivanje ranljivosti

6.10.1.

Zadevni subjekti pridobijo informacije o tehničnih ranljivostih svojih omrežnih in informacijskih sistemov, ocenijo svojo izpostavljenost takim ranljivostim in sprejmejo ustrezne ukrepe za njihovo obravnavanje.

6.10.2.

Za namene točke 6.10.1 zadevni subjekti:

(a)	spremljajo informacije o ranljivostih prek ustreznih kanalov, kot so napovedi skupin CSIRT in pristojnih organov ali informacije, ki jih zagotovijo dobavitelji ali ponudniki storitev;

(b)	kadar je ustrezno, izvedejo preglede ranljivosti in evidentirajo dokaze o rezultatih pregledov v načrtovanih časovnih presledkih;

(c)	brez nepotrebnega odlašanja obravnavajo ranljivosti, ki so jih zadevni subjekti opredelili kot kritične za njihovo poslovanje;

(d)	zagotovijo, da je njihovo obravnavanje ranljivosti združljivo z njihovimi postopki za upravljanje sprememb, upravljanje varnostnih popravkov, obvladovanje tveganj in obvladovanje incidentov;

(e)	določijo postopek razkrivanja ranljivosti v skladu z veljavno nacionalno politiko usklajenega razkrivanja ranljivosti.

6.10.3.

Kadar je to upravičeno zaradi morebitnega vpliva ranljivosti, zadevni subjekti pripravijo in izvedejo načrt za ublažitev ranljivosti. V drugih primerih zadevni subjekti dokumentirajo in utemeljijo razloge, zakaj ranljivosti ni treba odpraviti.

6.10.4.

Zadevni subjekti v načrtovanih časovnih presledkih pregledajo in, kadar je ustrezno, posodobijo kanale, ki jih uporabljajo za spremljanje informacij o ranljivosti.

7. Politike in postopki za oceno učinkovitosti ukrepov za obvladovanje tveganj za kibernetsko varnost (člen 21(2), točka (f), Direktive (EU) 2022/2555)

7.1.

Za namene člena 21(2), točka (f), Direktive (EU) 2022/2555 zadevni subjekti vzpostavijo, izvajajo in uporabljajo politiko in postopke za oceno, ali se ukrepi za obvladovanje tveganj za kibernetsko varnost, ki jih je sprejel zadevni subjekt, učinkovito izvajajo in ohranjajo.

7.2.

Politika in postopki iz točke 7.1 upoštevajo rezultate ocene tveganja v skladu s točko 2.1 in pretekle pomembne incidente. Zadevni subjekti določijo:

(a)	katere ukrepe za obvladovanje tveganj za kibernetsko varnost je treba spremljati in meriti, vključno s postopki in kontrolami;

(b)	kadar je relevantno, metode za spremljanje, merjenje, analiziranje in vrednotenje, da se zagotovijo veljavni rezultati;

(c)	kdaj se izvajata spremljanje in merjenje;

(d)	kdo je odgovoren za spremljanje in merjenje učinkovitosti ukrepov za obvladovanje tveganj za kibernetsko varnost;

(e)	kdaj se rezultati spremljanja in merjenja analizirajo in ovrednotijo;

(f)	kdo mora analizirati in ovrednotiti te rezultate.

7.3.

Zadevni subjekti pregledajo in, kadar je ustrezno, posodobijo politiko in postopke v načrtovanih časovnih presledkih ter v primeru pomembnih incidentov ali pomembnih sprememb delovanja ali tveganj.

8. Osnovne prakse na področju kibernetske higiene in varnostno usposabljanje (člen 21(2), točka (g), Direktive (EU) 2022/2555)

8.1. Ozaveščanje in osnovne prakse kibernetske higiene

8.1.1.

Za namene člena 21(2), točka (g), Direktive (EU) 2022/2555 zadevni subjekti zagotovijo, da so njihovi zaposleni, vključno s člani upravljalnih organov, ter neposredni dobavitelji in ponudniki storitev seznanjeni s tveganji in obveščeni o pomenu kibernetske varnosti ter uporabljajo prakse kibernetske higiene.

8.1.2.

Za namene točke 8.1.1 zadevni subjekti svojim zaposlenim, vključno s člani upravljalnih organov, ter neposrednim dobaviteljem in ponudnikom storitev, kadar je to ustrezno v skladu s točko 5.1.4, ponudijo program ozaveščanja, ki:

(a)	se načrtuje v daljšem časovnem obdobju, tako da se dejavnosti ponavljajo in zajemajo nove zaposlene;

(b)	se vzpostavi v skladu s politiko o varnosti omrežnih in informacijskih sistemov, politikami za posamezne teme in ustreznimi postopki na področju varnosti omrežnih in informacijskih sistemov;

(c)	zajema zadevne kibernetske grožnje, vzpostavljene ukrepe za obvladovanje tveganj za kibernetsko varnost, kontaktne točke in vire za dodatne informacije in nasvete o zadevah kibernetske varnosti ter prakse kibernetske higiene za uporabnike.

8.1.3.

Program ozaveščanja se, kadar je ustrezno, preskusi z vidika učinkovitosti. Program ozaveščanja se posodablja in ponuja v načrtovanih časovnih presledkih ob upoštevanju sprememb praks kibernetske higiene ter trenutne krajine groženj in tveganj za zadevne subjekte.

8.2. Varnostno usposabljanje

8.2.1.

Zadevni subjekti opredelijo zaposlene, katerih naloge zahtevajo nabor spretnosti ter strokovno znanje na področju varnosti, ter zagotovijo, da se redno usposabljajo o varnosti omrežnih in informacijskih sistemov.

8.2.2.

Zadevni subjekti vzpostavijo, izvajajo in uporabljajo program usposabljanja v skladu s politiko o varnosti omrežnih in informacij, tematskimi politikami in drugimi ustreznimi postopki na področju varnosti omrežnih in informacijskih sistemov, ki določa potrebe po usposabljanju za nekatere vloge in položaje na podlagi meril.

8.2.3.

Usposabljanje iz točke 8.2.1 ustreza funkciji delovnega mesta zaposlenega in njegova učinkovitost se oceni. Usposabljanje upošteva obstoječe varnostne ukrepe in zajema naslednje:

(a)	navodila v zvezi z varno konfiguracijo in delovanjem omrežnih in informacijskih sistemov, vključno z mobilnimi napravami;

(b)	predstavitev znanih kibernetskih groženj;

(c)	usposabljanje o vedenju v primeru dogodkov, pomembnih za varnost.

8.2.4.

Zadevni subjekti izvajajo usposabljanje za zaposlene, ki so premeščeni na novo delovno mesto ali prevzamejo novo vlogo, za katero sta potrebna nabor spretnosti ter strokovno znanje s področja varnosti.

8.2.5.

Program se posodablja in redno izvaja ob upoštevanju veljavnih politik in pravil, dodeljenih vlog, odgovornosti ter znanih kibernetskih groženj in tehnološkega razvoja.

9. Kriptografija (člen 21(2), točka (h), Direktive (EU) 2022/2555)

9.1.

Za namene člena 21(2), točka (h), Direktive (EU) 2022/2555 zadevni subjekti vzpostavijo, izvajajo in uporabljajo politiko in postopke v zvezi s kriptografijo, da bi zagotovili ustrezno in učinkovito uporabo kriptografije za zaščito zaupnosti, avtentičnosti in celovitosti podatkov v skladu z razvrstitvijo sredstev zadevnih subjektov in rezultati ocene tveganja, izvedene v skladu s točko 2.1.

9.2.

Politika in postopki iz točke 9.1 določajo:

(a)	v skladu z razvrstitvijo sredstev zadevnih subjektov: vrsto, moč in kakovost kriptografskih ukrepov, potrebnih za zaščito sredstev zadevnih subjektov, vključno s podatki v mirovanju in podatki v tranzitu;

(b)	na podlagi točke (a): protokole ali družine protokolov, ki jih je treba sprejeti, ter kriptografske algoritme, moč šifer, kriptografske rešitve in prakse uporabe, ki jih je treba odobriti in zahtevati za uporabo v zadevnih subjektih, kadar je ustrezno, v skladu s pristopom kriptografske prožnosti;

(c)

pristop zadevnih subjektov k upravljanju ključev, vključno z metodami za naslednje, kadar je ustrezno:

(i)	ustvarjanje različnih ključev za kriptografske sisteme in aplikacije;

(ii)	izdajanje in pridobivanje potrdil javnih ključev;

(iii)

razdeljevanje ključev predvidenim subjektom, vključno z metodami za aktivacijo prejetih ključev;

(iv)	shranjevanje ključev, vključno z metodami, ki pooblaščenim uporabnikom omogočajo pridobitev dostopa do ključev;

(v)	spreminjanje ali posodabljanje ključev, vključno s pravili o tem, kdaj in kako spremeniti ključe;

(vi)	obravnavanje ogroženih ključev;

(vii)

preklic ključev, vključno z metodami za umik ali deaktiviranje ključev;

(viii)

povrnitev izgubljenih ali okvarjenih ključev;

(ix)	varnostno kopiranje ali arhiviranje ključev;

(x)	uničenje ključev;

(xi)	vodenje dnevnika in revidiranje dejavnosti v zvezi z upravljanjem ključev;

(xii)

določanje datumov aktivacije in deaktivacije ključev, s čimer se zagotovi, da se lahko ključi uporabljajo le za določeno obdobje v skladu s pravili organizacije o upravljanju ključev.

9.3.

Zadevni subjekti pregledajo in, kadar je ustrezno, posodobijo svojo politiko in postopke v načrtovanih časovnih presledkih, pri čemer upoštevajo najsodobnejšo tehnologijo na področju kriptografije.

10. Varnost človeških virov (člen 21(2), točka (i), Direktive (EU) 2022/2555)

10.1. Varnost človeških virov

10.1.1.

Za namene člena 21(2), točka (i), Direktive (EU) 2022/2555 zadevni subjekti zagotovijo, da njihovi zaposleni ter neposredni dobavitelji in ponudniki storitev, kadar je relevantno, razumejo svoje odgovornosti glede varnosti, kot je ustrezno za ponujene storitve in delovno mesto ter v skladu s politiko zadevnih subjektov o varnosti omrežnih in informacijskih sistemov, ter se zavežejo tem odgovornostim.

10.1.2.

Zahteva iz točke 10.1.1 vključuje:

(a)	mehanizme za zagotavljanje, da vsi zaposleni, neposredni dobavitelji in ponudniki storitev, kadar je relevantno, razumejo in upoštevajo standardne prakse kibernetske higiene, ki jih zadevni subjekti uporabljajo v skladu s točko 8.1;

(b)	mehanizme za zagotavljanje, da so vsi uporabniki z upravnim ali privilegiranim dostopom seznanjeni s svojimi vlogami, odgovornostmi in pooblastili ter delujejo v skladu z njimi;

(c)	mehanizme za zagotavljanje, da člani upravljalnih organov razumejo svojo vlogo, odgovornosti in pooblastila v zvezi z varnostjo omrežnih in informacijskih sistemov ter delujejo v skladu z njimi;

(d)	mehanizme za zaposlovanje zaposlenih, usposobljenih za zadevne naloge, kot so referenčni pregledi, postopki preverjanja, potrjevanje potrdil ali pisni preskusi.

10.1.3.

Zadevni subjekti v načrtovanih časovnih presledkih in najmanj enkrat letno pregledajo razporeditev zaposlenih po posameznih vlogah iz točke 1.2 ter dodelitev človeških virov v zvezi s tem. Razporeditev posodobijo, kadar je ustrezno.

10.2. Preverjanje preteklosti

10.2.1.

Zadevni subjekti, kolikor je izvedljivo, zagotovijo, da se za njihove zaposlene ter, kadar je relevantno, za neposredne dobavitelje in ponudnike storitev v skladu s točko 5.1.4 opravi preverjanje preteklosti, če je to potrebno zaradi njihovih vlog, odgovornosti in pooblastil.

10.2.2.

Za namene točke 10.2.1 zadevni subjekti:

(a)	vzpostavijo merila, ki določajo, katere vloge, odgovornosti in pooblastila lahko izvajajo samo osebe, za katere je bilo opravljeno preverjanje preteklosti;

(b)

zagotovijo, da se preverjanje iz točke 10.2.1 za te osebe opravi pred začetkom izvajanja teh vlog, odgovornosti in pooblastil, pri čemer se upoštevajo veljavni zakoni, predpisi in etika sorazmerno s poslovnimi zahtevami, razvrstitvijo sredstev iz točke 12.1, omrežnimi in informacijskimi sistemi, do katerih se bo dostopalo, ter zaznanimi tveganji.

10.2.3.

Zadevni subjekti pregledajo in, če je ustrezno, posodobijo politiko v načrtovanih časovnih presledkih.

10.3. Postopki za prenehanje ali spremembo zaposlitve

10.3.1.

Zadevni subjekti zagotovijo, da so odgovornosti in dolžnosti v zvezi z varnostjo omrežnih in informacijskih sistemov, ki ostanejo veljavne po prenehanju ali spremembi zaposlitve njihovih zaposlenih, pogodbeno opredeljene in uveljavljene.

10.3.2.

Za namene točke 10.3.1 zadevni subjekti v posameznikove pogoje za zaposlitev, pogodbo ali sporazum vključijo odgovornosti in dolžnosti, ki ostanejo veljavne po prenehanju zaposlitve ali pogodbe, kot so klavzule o zaupnosti.

10.4. Disciplinski postopek

10.4.1.

Zadevni subjekti vzpostavijo, sporočijo in vzdržujejo disciplinski postopek za obravnavanje kršitev varnostnih politik o omrežnih in informacijskih sistemih. V postopku se upoštevajo ustrezne pravne, statutarne, pogodbene in poslovne zahteve.

10.4.2.

Zadevni subjekti pregledajo in, kadar je ustrezno, posodobijo disciplinski postopek v načrtovanih časovnih presledkih ter kadar je to potrebno zaradi pravnih sprememb ali pomembnih sprememb delovanja ali tveganj.

11. Nadzor dostopa (člen 21(2), točki (i) in (j), Direktive (EU) 2022/2555)

11.1. Politika nadzora dostopa

11.1.1.

Za namene člena 21(2), točka (i), Direktive (EU) 2022/2555 zadevni subjekti vzpostavijo, dokumentirajo in izvajajo politike nadzora logičnega in fizičnega dostopa za dostop do svojih omrežnih in informacijskih sistemov na podlagi poslovnih zahtev ter varnostnih zahtev o omrežnih in informacijskih sistemih.

11.1.2.

Politike iz točke 11.1.1:

(a)	obravnavajo dostop oseb, vključno z zaposlenimi, obiskovalci in zunanjimi subjekti, kot so dobavitelji in ponudniki storitev;

(b)	obravnavajo dostop omrežnih in informacijskih sistemov;

(c)	zagotavljajo, da se dostop odobri samo uporabnikom, ki so bili ustrezno avtenticirani.

11.1.3.

Zadevni subjekti pregledajo in, kadar je ustrezno, posodobijo politike v načrtovanih časovnih presledkih ter v primeru pomembnih incidentov ali pomembnih sprememb delovanja ali tveganj.

11.2. Upravljanje pravic dostopa

11.2.1.

Zadevni subjekti zagotovijo, spremenijo, odstranijo in dokumentirajo pravice dostopa do omrežnih in informacijskih sistemov v skladu s politiko nadzora dostopa iz točke 11.1.

11.2.2.

Zadevni subjekti:

(a)	dodelijo in prekličejo pravice dostopa na podlagi načel potrebe po seznanitvi, najmanjšega privilegija in ločevanja nalog;

(b)	zagotovijo, da se pravice dostopa po prenehanju ali spremembi zaposlitve ustrezno spremenijo;

(c)	zagotovijo, da dostop do omrežnih in informacijskih sistemov odobrijo zadevne osebe;

(d)	zagotovijo, da pravice dostopa ustrezno obravnavajo dostop tretjih strani, kot so obiskovalci, dobavitelji in ponudniki storitev, zlasti z omejitvijo pravic dostopa z vidika obsega in trajanja;

(e)	vodijo register dodeljenih pravic dostopa;

(f)	pri upravljanju pravic dostopa vodijo dnevnik.

11.2.3.

Zadevni subjekti pregledajo pravice dostopa v načrtovanih časovnih presledkih in jih spremenijo na podlagi organizacijskih sprememb. Zadevni subjekti dokumentirajo rezultate pregleda, vključno s potrebnimi spremembami pravic dostopa.

11.3. Privilegirani računi in računi za upravljanje sistemov

11.3.1.

Zadevni subjekti vodijo politike upravljanja privilegiranih računov in računov za upravljanje sistemov v okviru politike nadzora dostopa iz točke 11.1.

11.3.2.

Politike iz točke 11.3.1:

(a)	vzpostavijo močne postopke identifikacije, avtentikacije, kot je večfaktorska avtentikacija, in pooblastitve za privilegirane račune in račune za upravljanje sistemov;

(b)	vzpostavijo posebne račune, ki se uporabljajo izključno za operacije upravljanja sistema, kot so nameščanje, konfiguriranje, upravljanje ali vzdrževanje;

(c)	čim bolj individualizirajo in omejijo privilegije upravljanja sistema;

(d)	določajo, da se računi za upravljanje sistemov uporabljajo samo za povezavo s sistemi za upravljanje sistemov.

11.3.3.

Zadevni subjekti pregledajo pravice dostopa privilegiranih računov in računov za upravljanje sistemov v načrtovanih časovnih presledkih in jih spremenijo na podlagi organizacijskih sprememb ter dokumentirajo rezultate pregleda, vključno s potrebnimi spremembami pravic dostopa.

11.4. Sistemi za upravljanje

11.4.1.

Zadevni subjekti omejijo in nadzorujejo uporabo sistemov za upravljanje sistemov v skladu s politiko nadzora dostopa iz točke 11.1.

11.4.2.

V ta namen zadevni subjekti:

(a)	uporabljajo sisteme za upravljanje sistemov izključno za namene upravljanja sistemov in ne za druge operacije;

(b)	logično ločijo take sisteme od aplikacijske programske opreme, ki se ne uporablja za upravljanje sistemov;

(c)	zaščitijo dostop do sistemov za upravljanje sistemov z avtentikacijo in šifriranjem.

11.5. Identifikacija

11.5.1.

Zadevni subjekti upravljajo celoten življenjski cikel identitet omrežnih in informacijskih sistemov ter njihovih uporabnikov.

11.5.2.

V ta namen zadevni subjekti:

(a)	vzpostavijo edinstvene identitete za omrežne in informacijske sisteme ter njihove uporabnike;

(b)	povežejo identiteto uporabnikov z eno osebo;

(c)	zagotavljajo nadzor nad identitetami omrežnih in informacijskih sistemov;

(d)	pri upravljanju identitet vodijo dnevnik.

11.5.3.

Zadevni subjekti identitete, ki so dodeljene več osebam, kot so skupne identitete, dovolijo le, če so potrebne iz poslovnih ali operativnih razlogov; take identitete morajo biti izrecno odobrene in dokumentirane. Zadevni subjekti identitete, ki so dodeljene več osebam, upoštevajo v okviru za obvladovanje tveganj za kibernetsko varnost iz točke 2.1.

11.5.4.

Zadevni subjekti redno pregledujejo identitete omrežnih in informacijskih sistemov ter njihovih uporabnikov in jih, če niso več potrebne, nemudoma deaktivirajo.

11.6. Avtentikacija

11.6.1.

Zadevni subjekti vzpostavijo varne postopke in tehnologije za avtentikacijo, ki temeljijo na omejitvah dostopa in politiki nadzora dostopa.

11.6.2.

V ta namen zadevni subjekti:

(a)	zagotovijo, da moč avtentikacije ustreza razvrstitvi sredstva, do katerega se dostopa;

(b)	nadzirajo dodeljevanje tajnih avtentikacijskih informacij uporabnikom in upravljanje z njimi s postopkom, ki zagotavlja zaupnost informacij, vključno s svetovanjem zaposlenim o ustreznem ravnanju z avtentikacijskimi informacijami;

(c)	zahtevajo spremembo avtentikacijskih poverilnic na začetku, v vnaprej določenih časovnih presledkih in ob sumu, da so bile ogrožene;

(d)	zahtevajo ponastavitev avtentikacijskih poverilnic in blokiranje uporabnikov po vnaprej določenem številu neuspešnih poskusov prijave;

(e)	končajo neaktivne seje po vnaprej določenem obdobju nedejavnosti ter

(f)	zahtevajo ločene poverilnice za dostop do privilegiranih računov ali računov za upravljanje.

11.6.3.

Kolikor je izvedljivo, zadevni subjekti uporabljajo najsodobnejše metode avtentikacije v skladu s povezanim ocenjenim tveganjem in razvrstitvijo sredstva, do katerega se dostopa, ter edinstvene informacije o avtentikaciji.

11.6.4.

Zadevni subjekti pregledajo postopke in tehnologije avtentikacije v načrtovanih časovnih presledkih.

11.7. Večfaktorska avtentikacija

11.7.1.

Zadevni subjekti zagotovijo, da so uporabniki avtenticirani z več faktorji avtentikacije ali mehanizmi neprekinjene avtentikacije za dostop do omrežnih in informacijskih sistemov zadevnih subjektov, kadar je ustrezno, v skladu z razvrstitvijo sredstva, do katerega se dostopa.

11.7.2.

Zadevni subjekti zagotovijo, da moč avtentikacije ustreza razvrstitvi sredstva, do katerega se dostopa.

12. Upravljanje sredstev (člen 21(2), točka (i), Direktive (EU) 2022/2555)

12.1. Razvrstitev sredstev

12.1.1.

Za namene člena 21(2), točka (i), Direktive (EU) 2022/2555 zadevni subjekti določijo razvrstitvene ravni vseh sredstev, vključno z informacijami, v okviru svojih omrežnih in informacijskih sistemov glede na zahtevano raven zaščite.

12.1.2.

Za namene točke 12.1.1 zadevni subjekti:

(a)	določijo sistem razvrstitvenih ravni sredstev;

(b)	vsem sredstvom določijo razvrstitveno raven, ki temelji na zahtevah glede zaupnosti, celovitosti, avtentičnosti in razpoložljivosti ter označuje zahtevano zaščito glede na njihovo občutljivost, kritičnost, tveganje in poslovno vrednost;

(c)	uskladijo zahteve glede razpoložljivosti sredstev s cilji zagotavljanja in vnovične vzpostavitve delovanja, določenimi v njihovih načrtih za neprekinjeno poslovanje in vnovično vzpostavitev delovanja po nepredvidljivih dogodkih.

12.1.3.

Zadevni subjekti redno pregledujejo razvrstitvene ravni sredstev in jih, kadar je ustrezno, posodabljajo.

12.2. Ravnanje s sredstvi

12.2.1.

Zadevni subjekti vzpostavijo, izvajajo in uporabljajo politiko za ustrezno ravnanje s sredstvi, vključno z informacijami, v skladu s svojo politiko o varnosti omrežnih in informacijskih sistemov ter jo sporočijo vsakomur, ki uporablja sredstva ali ravna z njimi.

12.2.2.

Politika:

(a)	zajema celoten življenjski cikel sredstev, vključno s pridobitvijo, uporabo, shranjevanjem, prevozom in odstranitvijo;

(b)	določa pravila o varni uporabi, varnem shranjevanju, varnem prevozu ter nepovratnem izbrisu in uničenju sredstev;

(c)	določa, da se prenos izvede na varen način v skladu z vrsto sredstva, ki se prenese.

12.2.3.

Zadevni subjekti pregledajo in, kadar je ustrezno, posodobijo politiko v načrtovanih časovnih presledkih ter v primeru pomembnih incidentov ali pomembnih sprememb delovanja ali tveganj.

12.3. Politika o izmenljivih nosilcih podatkov

12.3.1.

Zadevni subjekti vzpostavijo, izvajajo in uporabljajo politiko upravljanja izmenljivih nosilcev podatkov ter jo sporočijo svojim zaposlenim in tretjim osebam, ki ravnajo z izmenljivimi nosilci podatkov v prostorih zadevnih subjektov ali na drugih lokacijah, na katerih so izmenljivi nosilci podatkov povezani z omrežnimi in informacijskimi sistemi zadevnih subjektov.

12.3.2.

Politika določa:

(a)	tehnično prepoved priključitve izmenljivih nosilcev podatkov, razen če obstajajo organizacijski razlogi za njihovo uporabo;

(b)	onemogočanje samodejnega izvajanja iz takih nosilcev in skeniranje nosilcev za zlonamerno kodo, preden se uporabijo v sistemih zadevnih subjektov;

(c)	ukrepe za nadzor in zaščito prenosnih pomnilniških naprav, ki vsebujejo podatke, med prevozom in shranjevanjem;

(d)	kadar je ustrezno, ukrepe za uporabo kriptografskih tehnik za zaščito podatkov na izmenljivih nosilcih podatkov.

12.3.3.

Zadevni subjekti pregledajo in, kadar je ustrezno, posodobijo politiko v načrtovanih časovnih presledkih ter v primeru pomembnih incidentov ali pomembnih sprememb delovanja ali tveganj.

12.4. Inventar sredstev

12.4.1.

Zadevni subjekti pripravijo in vzdržujejo popoln, natančen, posodobljen in dosleden popis svojih sredstev. Spremembe vnosov v inventar evidentirajo na sledljiv način.

12.4.2.

Granularnost inventarja sredstev bi morala ustrezati potrebam zadevnih subjektov. Inventar vključuje:

(a)	seznam dejavnosti in storitev ter njihov opis;

(b)	seznam omrežnih in informacijskih sistemov ter drugih povezanih sredstev, ki podpirajo delovanje in storitve zadevnih subjektov.

12.4.3.

Zadevni subjekti redno pregledujejo in posodabljajo inventar in svoja sredstva ter dokumentirajo zgodovino sprememb.

12.5. Deponiranje, vračilo ali izbris sredstev po prenehanju zaposlitve

Zadevni subjekti vzpostavijo, izvajajo in uporabljajo postopke, ki zagotavljajo, da se njihova sredstva, ki jih hranijo zaposleni, deponirajo, vrnejo ali izbrišejo po prenehanju zaposlitve, ter deponiranje, vračilo in izbris teh sredstev dokumentirajo. Kadar deponiranje, vračilo ali izbris sredstev niso mogoči, zadevni subjekti zagotovijo, da sredstva ne morejo več dostopati do omrežnih in informacijskih sistemov zadevnih subjektov v skladu s točko 12.2.2.

13. Okoljska in fizična varnost (člen 21(2), točke (c), (e) in (i), Direktive (EU) 2022/2555)

13.1. Podporne javne službe

13.1.1.

Za namene člena 21(2), točka (c), Direktive (EU) 2022/2555 zadevni subjekti preprečijo izgubo, poškodbe ali ogrožanje omrežnih in informacijskih sistemov ali prekinitev njihovega delovanja zaradi okvar in motenj v podpornih javnih službah.

13.1.2.

V ta namen zadevni subjekti, kadar je ustrezno:

(a)	zaščitijo objekte pred izpadi električne energije in drugimi motnjami, ki jih povzročijo okvare podpornih storitev, kot so električna energija, telekomunikacije, oskrba z vodo, plin, kanalizacija, prezračevanje in klimatski sistemi;

(b)	obravnavajo uporabo redundantnih zmogljivosti v storitvah javnih služb;

(c)	zaščitijo javne službe, ki zagotavljajo električno energijo in telekomunikacijske storitve za prenos podatkov ali delovanje omrežnih in informacijskih sistemov, pred prestrezanjem in poškodbami;

(d)	spremljajo storitve javnih služb iz točke (c) in poročajo pristojnim notranjim ali zunanjim zaposlenim o dogodkih zunaj najnižjih in najvišjih nadzornih pragov iz točke 13.2.2(b), ki vplivajo na storitve javnih služb;

(e)	sklenejo pogodbe za oskrbo z ustreznimi storitvami v izrednih razmerah, na primer z gorivom za oskrbo z električno energijo v sili;

(f)	zagotavljajo stalno učinkovitost, spremljanje, vzdrževanje in preskušanje omrežnih in informacijskih sistemov, potrebnih za delovanje ponujene storitve, zlasti oskrbo z električno energijo, uravnavanje temperature in vlažnosti, telekomunikacije in internetno povezavo.

13.1.3.

Zadevni subjekti zaščitne ukrepe preskušajo, pregledujejo in, kadar je ustrezno, posodabljajo redno ali po pomembnih incidentih ali pomembnih spremembah delovanja ali tveganj.

13.2. Zaščita pred fizičnimi in okoljskimi grožnjami

13.2.1.

Za namene člena 21(2), točka (e), Direktive (EU) 2022/2555 zadevni subjekti preprečujejo ali zmanjšujejo posledice dogodkov, ki izhajajo iz fizičnih in okoljskih groženj, kot so naravne nesreče in druge namerne ali nenamerne grožnje, na podlagi rezultatov ocene tveganja, izvedene v skladu s točko 2.1.

13.2.2.

V ta namen zadevni subjekti, kadar je ustrezno:

(a)	oblikujejo in izvajajo zaščitne ukrepe pred fizičnimi in okoljskimi grožnjami;

(b)	določijo najnižje in najvišje nadzorne pragove za fizične in okoljske grožnje;

(c)	spremljajo okoljske parametre in poročajo pristojnim notranjim ali zunanjim zaposlenim o dogodkih zunaj najnižjih in najvišjih nadzornih pragov iz točke (b).

13.2.3.

Zadevni subjekti zaščitne ukrepe pred fizičnimi in okoljskimi grožnjami preskušajo, pregledujejo in, kadar je ustrezno, posodabljajo redno ali po pomembnih incidentih ali pomembnih spremembah delovanja ali tveganj.

13.3. Nadzor okolice in fizičnega dostopa

13.3.1.

Za namene člena 21(2), točka (i), Direktive (EU) 2022/2555 zadevni subjekti preprečujejo in spremljajo nepooblaščen fizični dostop do svojih omrežnih in informacijskih sistemov ter njihove poškodbe in motnje.

13.3.2.

V ta namen zadevni subjekti:

(a)	na podlagi ocene tveganja, izvedene v skladu s točko 2.1, določijo in uporabljajo varnostne perimetre za zaščito območij, kjer se nahajajo omrežni in informacijski sistemi ter druga povezana sredstva;

(b)	varujejo območja iz točke (a) z ustreznimi nadzori vstopa in dostopnimi točkami;

(c)	načrtujejo in izvajajo fizično varovanje pisarn, prostorov in objektov;

(d)	stalno spremljajo svoje prostore za primer nepooblaščenega fizičnega dostopa.

13.3.3.

Zadevni subjekti ukrepe za nadzor fizičnega dostopa preskušajo, pregledujejo in, kadar je ustrezno, posodabljajo redno ali po pomembnih incidentih ali pomembnih spremembah delovanja ali tveganj.