НАЦИОНАЛЬНЫЕ СТАНДАРТЫ ПО БЕЗОПАСНОСТИ СЕТЕВЫХ И ИНФОРМАЦИОННЫХ СИСТЕМ

1   2   3   4   5

Глава I. ОБЩИЕ ПОЛОЖЕНИЯ

Статья 1

Предмет и сфера действия

  1. Настоящая Директива устанавливает меры, направленные на достижение единого высокого уровня безопасности сетевых и информационных систем в Союзе с целью улучшения функционирования внутреннего рынка.
  2. В указанных целях настоящая Директива:

(a) возлагает на все государства-члены ЕС обязательства по принятию национальной стратегии по обеспечению безопасности сетевых и информационных систем;

(b) создает Группу по сотрудничеству для оказания помощи и содействия стратегическому взаимодействию и обмену информацией между государствами-членами ЕС, а также для укрепления доверия между ними;

(c) устанавливает сеть групп реагирования на инциденты, связанные с компьютерной безопасностью (“сеть CSIRTs”), чтобы способствовать укреплению доверия между государствами-членами ЕС и быстрому и эффективному оперативному сотрудничеству;

(d) устанавливает требования к операторам основных услуг и провайдерам цифровых услуг по обеспечению безопасности и уведомлению;

(e) возлагает на государства-члены ЕС обязательства по назначению национальных компетентных органов, единого контактного пункта и CSIRTs с возложением на них задач по обеспечению безопасности сетевых и информационных систем.

  1. Требования по обеспечению безопасности и уведомлению, установленные в настоящей Директиве, не распространяются на предприятия, подпадающие под требования, установленные в Статьях 13a и 13b Директивы 2002/21/ЕС, а также на провайдеров удостоверительных сервисов, подпадающих под требования Статьи 19 Регламента (ЕС) 910/2014.

Примечание.

Здесь и далее по тексту документа при переводе, видимо, допущена опечатка: вместо “Директивы 2008/144/ЕС/ЕС” следует читать “Директивы 2008/114/ЕС”.

 

  1. Настоящая Директива применяется без ущерба действию Директивы 2008/144/ЕС Совета ЕС <*> и Директив 2011/93/ЕС <**> и 2013/40/ЕС <***> Европейского Парламента и Совета ЕС.

——————————–

<*> Директива 2008/144/ЕС Совета ЕС от 8 декабря 2008 г. об определении и обозначении европейских объектов жизнеобеспечения и оценке необходимости в укреплении их защиты (ОЖ N L 345, 23.12.2008, стр. 75).

<**> Директива 2011/93/ЕС Европейского Парламента и Совета ЕС от 13 декабря 2011 г. о борьбе с сексуальным насилием, сексуальной эксплуатацией детей и детской порнографией и о замене Рамочного Решения 2004/68/ПВД Совета ЕС (ОЖ N L 335, 17.12.2011, стр. 1).

<***> Директива 2013/40/ЕС Европейского Парламента и Совета ЕС от 12 августа 2013 г. об атаках на информационные системы и о замене Рамочного Решения 2005/222/ПВД Совета ЕС (ОЖ N L 218, 14.08.2013, стр. 8).

 

  1. Без ущерба действию положений Статьи 346 TFEU обмен информацией, подпадающей под категорию конфиденциальной информации в соответствии с нормами Союза или национальными нормами, например, нормами о коммерческой тайне, с Европейской Комиссией и другими соответствующими органами может быть осуществлен, только если он необходим для применения настоящей Директивы. Информационный обмен должен быть ограничен рамками соответствия и пропорциональности целям указанного обмена. Указанный обмен информацией должен соблюдать режим конфиденциальности информации и охранять безопасность и коммерческие интересы операторов основных услуг и провайдеров цифровых услуг.
  2. Настоящая Директива применятся без ущерба осуществлению государствами-членами ЕС действий, направленных на защиту основных государственных функций, в частности, защиту национальной безопасности, в том числе действий, направленных на защиту информации, раскрытие которой, по мнению государства-члена ЕС, будет противоречить соблюдению основных интересов его безопасности, а также поддержание законности и порядка, в частности, обеспечение раскрытия, расследования и уголовного преследования преступлений.
  3. Если внутриотраслевые правовые акты Союза требуют от операторов основных услуг или провайдеров цифровых услуг обеспечивать безопасность их сетевых и информационных систем и уведомлять об инцидентах, при условии, что указанные требования по своему действию эквивалентны обязательствам, установленным в настоящей Директиве, применяются указанные внутриотраслевые правовые акты Союза.

 

Статья 2

Обработка персональных данных

  1. Обработка персональных данных в рамках настоящей Директивы должна осуществляться в соответствии с требованиями Директивы 95/46/ЕС.
  2. Обработка персональных данных учреждениями и органами Союза в рамках настоящей Директивы должна осуществляться в соответствии с требованиями Регламента (ЕС) 45/2001.

 

Статья 3

Минимальная гармонизация

Без ущерба действию положений Статьи 16(10) и обязательств государств-членов ЕС в соответствии с законодательством Союза государства-члены ЕС могут принимать и применять положения, направленные на достижение высокого уровня безопасности сетевых и информационных систем.

 

Статья 4

Определения

Для целей настоящей Директивы применяются следующие определения:

(1) “сетевые и информационные системы”:

(a) сеть электронных коммуникаций в значении пункта (a) Статьи 2 Директивы 2002/21/ЕС;

(b) любое устройство или группа соединенных или связанных между собой устройств, одно или несколько из которых в соответствии с программой автоматически выполняют обработку цифровых данных; или

(c) цифровые данные, хранение, получение и передача которых осуществляется элементами, указанными в пунктах (a) и (b), для целей их обработки, использования, защиты и обслуживания;

(2) “безопасность сетевых и информационных систем” – способность сетевых и информационных систем на заданном уровне уверенности противостоять любым действиям, угрожающим доступности, достоверности, целостности или конфиденциальности хранимых, передаваемых или обрабатываемых данных или связанных с ними услуг, предлагаемых или доступных через указанные сетевые и информационные системы;

(3) “национальная стратегия по обеспечению безопасности сетевых и информационных систем” – рамочные положения, содержащие стратегические цели и приоритеты в области обеспечения безопасности сетевых и информационных систем на национальном уровне;

(4) “оператор основных услуг” – государственное или частное предприятие, подпадающее под типы, указанные в Приложении II, отвечающее требованиям, установленным в Статье 5(2);

(5) “цифровые услуги” – услуги в понимании пункта (b) Статьи 1(1) Директивы (ЕС) 2015/1535 Европейского Парламента и Совета ЕС <*>, относящиеся к типам, указанным в Приложении III;

——————————–

<*> Директива (ЕС) 2015/1535 Европейского Парламента и Совета ЕС от 9 сентября 2015 г. о процедуре предоставления информации в области технических регламентов, а также правил оказания услуг в информационном обществе (ОЖ N L 241, 17.09.2015, стр. 1).

 

(6) “провайдер цифровых услуг” – юридическое лицо, оказывающее цифровые услуги;

(7) “инцидент” – событие, оказывающее непосредственное отрицательное воздействие на сетевые и информационные системы;

(8) “управление инцидентами” – все процедуры, способствующие обнаружению, анализу и ликвидации инцидентов, а также реагированию на инциденты;

(9) “риск” – объективно предсказуемые обстоятельства или события, которые могут оказать отрицательное влияние на безопасность сетевых или информационных систем;

(10) “представитель” – физическое или юридическое лицо, учрежденное на территории Союза, назначенное действовать от имени провайдера цифровых услуг, учрежденного за пределами Союза, к которому могут обратиться национальный компетентный орган или CSIRT вместо обращения к провайдеру цифровых услуг в связи с обязательствами указанного провайдера цифровых услуг в соответствии с настоящей Директивой;

(11) “стандарт” – стандарт в соответствии с пунктом 1 Статьи 2 Регламента (ЕС) 1025/2012;

(12) “спецификация” – техническая спецификация в соответствии с пунктом (4) Статьи 2 Регламента (ЕС) 1025/2012;

(13) “точка обмена интернет-трафиком (IXP)” – сетевой объект, позволяющий соединить более двух независимых автономных систем, в первую очередь для облегчения обмена интернет-трафиком; IXP обеспечивает соединение только автономных систем; соединение через IXP не требует, чтобы интернет-трафик, проходящий через пары задействованных автономных систем, проходил через третью автономную систему, а также чтобы оно изменяло указанный трафик или каким-либо иным образом влияло на него;

(14) “система доменных имен (DNS)” – иерархическая система распределенных имен в сети, которая посылает запросы для доменных имен;

(15) “провайдер DNS-услуг” – организация, оказывающая DNS-услуги в сети Интернет;

(16) “регистратор доменных имен верхнего уровня” – организация, управляющая доменными именами в Интернете в специальном домене верхнего уровня (TLD <*>) и осуществляющая их регистрацию;

——————————–

<*> Англ. – top-level domain – прим. перевод.

 

(17) “интернет-магазин” – цифровой сервис, позволяющий потребителям и/или продавцам согласно определению, содержащемуся в пункте (a) и в пункте (b) Статьи 4(1) Директивы 2013/11/ЕС Европейского Парламента и Совета ЕС <*>, соответственно совершать онлайн-продажи или заключать договоры на оказание услуг с продавцами на веб-сайте интернет-магазина или веб-сайте продавца, использующего вычислительные услуги, предоставляемые интернет-магазином;

——————————–

<*> Директива 2013/11/ЕС Европейского Парламента и Совета ЕС от 21 мая 2013 г. об альтернативном рассмотрении споров потребителей и об изменении Регламента (EC) 2006/2004 и Директивы 2009/22/EC (Директива об ADR потребителей) (ОЖ N L 165, 18.06.2013, стр. 63).

 

(18) “онлайн-поисковые системы” – цифровой сервис, позволяющий пользователям осуществлять поиск практически всех веб-сайтов или веб-сайтов на определенном языке по запросу на любую тему в виде ключевого слова, фразы или иных вводимых данных, в ответ на который предоставляются ссылки, содержащие информацию, относящуюся к запросу;

(19) “операционная система на базе облака” – цифровой сервис, который позволяет получить доступ к расширяемому и адаптивному пулу многопользовательских компьютерных ресурсов.

 

Статья 5

Идентификация операторов основных услуг

  1. До 9 ноября 2018 г. государства-члены ЕС должны идентифицировать операторов основных услуг, учрежденных на их территории, в каждой отрасли и подотрасли, установленных в Приложении II.
  2. Для идентификации операторов основных услуг согласно пункту (4) Статьи 4 используются следующие критерии:

(a) организации, предоставляющие услуги, которые являются основными с точки зрения поддержания важнейшей социальной и/или экономической деятельности;

(b) оказание услуг зависит от сетевых и информационных систем; и

(c) инцидент оказывает существенное негативное воздействие на оказание услуги.

  1. Для целей параграфа 1 каждое государство-член ЕС должно разработать список услуг, указанных в пункте (a) параграфа 2.
  2. Для целей параграфа 1, если организация оказывает услуги, указанные в пункте (a) параграфа 2, на территории нескольких государств-членов ЕС, указанные государства-члены ЕС должны провести совместные консультации. Указанные консультации проводятся до принятия решения об идентификации.
  3. Государства-члены ЕС должны регулярно, но не реже чем каждые два года после 9 мая 2018 г. пересматривать, а при необходимости обновлять список идентифицированных операторов основных услуг.
  4. В соответствии с задачами, указанными в Статье 11, группа по сотрудничеству оказывает поддержку государствам-членам ЕС в установлении единообразного подхода к процессу идентификации операторов основных услуг.

Примечание.

В тексте документа при переводе, видимо, допущена опечатка: вместо “Статье 29” следует читать “Статье 23”.

 

  1. Для целей пересмотра, указанного в Статье 29, начиная с 9 ноября 2018 г. и каждые последующие два года государства-члены ЕС должны передавать в Европейскую Комиссию сведения, необходимые для проведения Европейской Комиссией оценки имплементации настоящей Директивы, в частности, единообразия подходов государств-членов ЕС к идентификации операторов основных услуг. Указанные сведения должны содержать следующую информацию:

(a) национальные меры, направленные на идентификацию операторов основных услуг;

(b) список услуг, указанный в параграфе 3;

(c) количество идентифицированных операторов основных услуг в каждой отрасли, указанной в Приложении II, а также определение их важности для указанной отрасли;

(d) пороговое значение, если оно имеется, необходимое для определения соответствующего уровня поставки со ссылкой на количество пользователей указанной услуги в соответствии с пунктом (a) Статьи 6(1) или на важность конкретного оператора для основных услуг согласно пункту (f) Статьи 6(1).

Для упрощения предоставления информации для сравнения Европейская Комиссия с учетом заключения ENISA может принять соответствующие технические рекомендации по параметрам информации, указанной в настоящем параграфе.

 

Статья 6

Существенное негативное воздействие

  1. При определении существенности негативного воздействия согласно пункту (c) Статьи 5(2) государства-члены ЕС должны учитывать следующие межотраслевые факторы:

(a) количество пользователей услуги, предоставляемой заинтересованной организацией;

(b) зависимость других отраслей, указанных в Приложении II, от услуги, предоставляемой указанной организацией;

(c) тяжесть и длительность влияния, которое инцидент может оказать на экономическую и социальную деятельность и общественную безопасность;

(d) доля, которую организация занимает на рынке;

(e) географическое распространение области, на которую может оказать влияние инцидент;

(f) влияние организации на поддержание необходимого уровня оказания услуги с учетом доступности альтернативных способов оказания указанной услуги.

  1. Для определения существенности негативного воздействия инцидента государства-члены ЕС также при необходимости должны учитывать внутриотраслевые факторы.

 

Глава II. НАЦИОНАЛЬНЫЕ СТАНДАРТЫ ПО БЕЗОПАСНОСТИ СЕТЕВЫХ И ИНФОРМАЦИОННЫХ СИСТЕМ

Статья 7

Национальная стратегия по обеспечению безопасности сетевых и информационных систем

  1. Каждое государство-член ЕС должно принять национальную стратегию по обеспечению безопасности сетевых и информационных систем, в которой будут определены цели стратегии, соответствующие политические и регламентарные меры, направленные на достижение и поддержание высокого уровня безопасности сетевых и информационных систем, охватывающую отрасли, указанные в Приложении II, и услуги, указанные в Приложении III. В национальной стратегии по обеспечению безопасности сетевых и информационных систем должны быть освещены следующие вопросы:

(a) цели и приоритеты национальной стратегии по обеспечению безопасности сетевых и информационных систем;

(b) рамки управления для достижения целей и приоритетов национальной стратегии по обеспечению безопасности сетевых и информационных систем, в том числе функции и обязанности государственных органов и других заинтересованных сторон;

(c) определение мер, касающихся готовности, реагирования и восстановления, в том числе мер по взаимодействию государственного и частного секторов;

(d) определение образовательных программ, программ по повышению осведомленности и профессиональной подготовки в области национальной стратегии по обеспечению безопасности сетевых и информационных систем;

(e) определение планов научных исследований и разработок в области национальной стратегии по обеспечению безопасности сетевых и информационных систем;

(f) план по оценке рисков, направленный на выявление рисков;

(g) список различных заинтересованных сторон, вовлеченных в имплементацию национальной стратегии по обеспечению безопасности сетевых и информационных систем.

  1. Государства-члены ЕС могут попросить содействия ENISA в разработке национальной стратегии по обеспечению безопасности сетевых и информационных систем.
  2. В течение трех месяцев после принятия национальной стратегии по обеспечению безопасности сетевых и информационных систем государства-члены ЕС должны передать ее в Европейскую Комиссию. При этом государства-члены ЕС могут исключить из стратегии элементы, относящиеся к национальной безопасности.

 

Статья 8

Национальные компетентные органы и единый национальный контактный пункт

  1. Каждое государство-член ЕС должно назначить один или несколько национальных компетентных органов, ответственных за безопасность сетевых и информационных систем (“компетентный орган”), регулирующих деятельность в отраслях, указанных в Приложении II, и оказание услуг, указанных в Приложении III. Государства-члены ЕС могут передать указанную функцию уже существующему органу или органам.
  2. Компетентные органы должны осуществлять контроль за имплементацией настоящей Директивы на национальном уровне.
  3. Каждое государство-член ЕС должно назначить единый национальный контактный пункт по вопросам безопасности сетевых и информационных систем (“единый контактный пункт”). Государства-члены ЕС могут передать указанную функцию уже существующему органу. Если государство-член ЕС назначает только один компетентный орган, то он выполняет также функции единого контактного пункта.
  4. Единый контактный пункт выполняет функции связующего звена, гарантирующего трансграничное сотрудничество между органами государства-члена ЕС и соответствующими органами других государств-членов ЕС, а также взаимодействие с Группой по сотрудничеству, указанной в Статье 11, и сетью CSIRTs, указанной в Статье 12.
  5. Государства-члены ЕС обеспечивают оснащение компетентных органов и единых контактных пунктов надлежащими ресурсами, необходимыми для эффективного и квалифицированного выполнения своих задач, а также достижения целей настоящей Директивы. Государства-члены ЕС гарантируют эффективное, рациональное и безопасное взаимодействие представителей, назначенных для осуществления деятельности в группе по сотрудничеству.
  6. При необходимости компетентные органы и единые контактные пункты должны в соответствии с национальным законодательством консультироваться и сотрудничать с соответствующими национальными правоохранительными органами и национальными органами по защите персональных данных.
  7. Каждое государство-член ЕС незамедлительно уведомляет Европейскую Комиссию о назначении компетентного органа и единого контактного пункта, а также об их задачах и всех последующих изменениях. Каждое государство-член ЕС должно обнародовать информацию о назначенном компетентном органе и едином контактном пункте. Европейская Комиссия обнародует список назначенных единых контактных пунктов.

 

Статья 9

Группы реагирования на инциденты, связанные с компьютерной безопасностью (“CSIRTs”)

  1. Каждое государство-член ЕС должно назначить одну или несколько CSIRTs, отвечающих требованиям, установленным в пункте (1) Приложения I, регулирующих деятельность в отраслях, указанных в Приложении II, и оказание услуг, указанных в Приложении III, которые будут нести ответственность за риски и управление инцидентами в соответствии с четко определенными процессуальными нормами. CSIRTs могут быть учреждены в рамках компетентного органа.
  2. Государства-члены ЕС обеспечивают оснащение CSIRTs надлежащими ресурсами, необходимыми для эффективного выполнения задач в соответствии с пунктом (2) Приложения I.

Государства-члены ЕС обеспечивают эффективное, рациональное и безопасное взаимодействие их CSIRTs в рамках сети CSIRTs, указанной в Статье 12.

  1. Государства-члены ЕС гарантируют, что их CSIRTs имеют доступ к соответствующей, безопасной и устойчивой коммуникационной и информационной инфраструктуре на национальном уровне.
  2. Государства-члены ЕС уведомляют Европейскую Комиссию о задачах своих CSIRTs, а также об основных элементах процесса управления инцидентами.
  3. Государства-члены ЕС могут обратиться за помощью к ENISA для создания национальных CSIRTs.

 

Статья 10

Взаимодействие на национальном уровне

  1. Если компетентный орган, единый контактный пункт и CSIRTs одного государства-члена ЕС разделены, они должны взаимодействовать в целях исполнения обязательств, установленных в настоящей Директиве.
  2. Государства-члены ЕС гарантируют, что компетентные органы или CSIRTs получают уведомление об инциденте, передаваемое в соответствии с настоящей Директивой. Если государство-член ЕС принимает решение, что уведомление не будет передаваться в CSIRTs, то CSIRTs должен быть предоставлен доступ к сведениям об инциденте, передаваемым операторами основных услуг в соответствии со Статьей 14(3) и (5) или провайдерами цифровых услуг в соответствии со Статьей 16(3) и (6). Объем указанного доступа ограничивается задачами CSIRTs.
  3. Государства-члены ЕС гарантируют, что компетентные органы или CSIRTs сообщат в единый контактный пункт об уведомлении об инциденте, полученном в соответствии с настоящей Директивой.

До 9 августа 2018 г. и каждый последующий год единый контактный пункт должен передавать в Группу по сотрудничеству сводный отчет о полученных уведомлениях об инциденте, в том числе сведения о количестве уведомлений, природе инцидентов и о мерах, принятых в соответствии со Статьей 14(3) и (5) и Статьей 16(3) и (6).

 

Глава III. СОТРУДНИЧЕСТВО

 

Статья 11

Группа по сотрудничеству

  1. Настоящим учреждается Группа по сотрудничеству для оказания поддержки и упрощения стратегического сотрудничества и обмена информацией между государствами-членами ЕС, укрепления доверия и уверенности, а также для достижения высокого уровня безопасности сетевых и информационных систем в Союзе.

Группа по сотрудничеству выполняет свои задачи на основе двухгодичной рабочей программы в соответствии со вторым подпараграфом параграфа 3.

  1. В состав Группы по сотрудничеству входят представители государств-членов ЕС, Европейской Комиссии и ENISA.

При необходимости Группа по сотрудничеству может пригласить для участия в ее работе соответствующих представителей заинтересованных сторон.

Европейская Комиссия должна обеспечивать секретариат.

  1. Перед Группой по сотрудничеству стоят следующие задачи:

(a) обеспечение стратегического руководства деятельностью сети CSIRTs, учрежденной в соответствии со Статьей 12;

(b) обмен передовой практикой в области обмена информацией, относящейся к уведомлениям об инцидентах согласно Статье 14(3) и (5) и Статье 16(3) и (6);

(c) осуществление обмена передовым опытом между государствами-членами ЕС и оказание помощи государствам-членам ЕС при содействии ENISA в укреплении потенциала в области обеспечения безопасности сетевых и информационных систем;

(d) обсуждение возможностей и готовности государств-членов ЕС, добровольная оценка национальных стратегий по обеспечению безопасности сетевых и информационных систем и эффективности работы CSIRTs, а также выявление передового опыта;

(e) обмен информацией и передовым опытом в ходе программ по повышению осведомленности и профессиональной подготовки;

(f) обмен информацией и передовым опытом в области научных исследований и разработок в области национальной стратегии по обеспечению безопасности сетевых и информационных систем;

(g) при необходимости обмен опытом по вопросам, связанным с обеспечением безопасности сетевых и информационных систем с соответствующими организациями, органами, учреждениями и агентствами Союза;

(h) обсуждение стандартов и спецификаций, указанных в Статье 19, с представителями соответствующих Европейских организаций по стандартизации;

(i) сбор информации о передовом опыте в области рисков и инцидентов;

(j) ежегодная проверка сводных отчетов, указанных во втором подпараграфе Статьи 10(3);

(k) обсуждение деятельности, связанной с обеспечением безопасности сетевых и информационных систем, образовательных программ и программ профессионального обучения, в том числе работы, проделанной ENISA;

(l) обмен передовым опытом в области проводимой государствами-членами ЕС идентификации операторов основных услуг при содействии ENISA, в том числе трансграничной взаимозависимости, связанной с рисками и инцидентами;

(m) обсуждение обязанности по уведомлению об инцидентах в соответствии со Статьями 14 и 16.

До 9 февраля 2018 г. и каждые последующие два года Группа по сотрудничеству должна принимать рабочую программу, содержащую список действий, принятие которых необходимо для осуществления ее целей и задач, которая должна соответствовать целям настоящей Директивы.

  1. Для целей пересмотра, указанного в Статье 23, до 9 августа 2018 г. и каждые последующие полтора года Группа по сотрудничеству должна подготавливать отчет об оценке опыта, накопленного посредством стратегического сотрудничества, осуществляемого в соответствии с настоящей Статьей.
  2. Европейская Комиссия должна принять имплементационные акты, содержащие процессуальные нормы, регулирующие деятельность Группы по сотрудничеству. Указанные имплементационные акты принимаются в соответствии с процедурой проверки, указанной в Статье 22(2).

Для целей первого подпараграфа Европейская Комиссия должна до 9 февраля 2017 г. передать первый проект имплементационного акта в комитет, указанный в Статье 22(1).

 

Статья 12

Сеть CSIRTs

  1. Для укрепления доверия и уверенности в отношениях государств-членов ЕС, а также для развития быстрого и эффективного оперативного сотрудничества настоящим устанавливается сеть национальных CSIRTs.
  2. Сеть CSIRTs состоит из представителей CSIRTs государств-членов ЕС и CERT ЕС. В сети CSIRTs Европейская Комиссия осуществляет надзорные функции. ENISA обеспечивает секретариат и активно способствует сотрудничеству между CSIRTs.
  3. Перед сетью CSIRTs стоят следующие задачи:

(a) обмен информацией об услугах, функционировании и возможностях сотрудничества CSIRTs;

(b) по запросу представителей CSIRTs государства-члена ЕС, на которое может оказать влияние инцидент, обмен и обсуждение некоммерческой конфиденциальной информации, касающейся указанного инцидента и связанных с ним рисков; CSIRTs любого государства-члена ЕС может отказаться от участия в указанных обсуждениях, если это может воспрепятствовать проведению расследования инцидента;

(c) обмен и добровольное обнародование неконфиденциальной информации о конкретных инцидентах;

(d) по запросу представителей CSIRTs государства-члена ЕС обсуждение и по возможности определение согласованных ответных действий на инцидент, который был идентифицирован в рамках юрисдикции указанного государства-члена ЕС;

(e) оказание поддержки государствам-членам ЕС при разрешении трансграничных инцидентов на основе добровольной взаимопомощи;

(f) обсуждение, изучение и выявление дальнейших форм оперативного сотрудничества, в том числе в области:

(i) категорий рисков и инцидентов;

(ii) раннего предупреждения;

(iii) взаимопомощи;

(iv) принципов и возможностей сотрудничества при реагировании государств-членов ЕС на трансграничные риски и инциденты;

(g) сообщение Группе по сотрудничеству о ее деятельности и дальнейших формах оперативного сотрудничества, предложенных в соответствии с пунктом (f), и просьба о содействии в указанной области;

(h) обсуждение уроков, извлеченных из учений, связанных с обеспечением безопасности сетевых и информационных систем, в том числе организованных ENISA;

(i) по запросу отдельной CSIRT обсуждение возможностей и готовности указанной CSIRT;

(j) подготовка рекомендаций, направленных на содействие сближению оперативных практик, связанных с применением положений настоящей Статьи об оперативном сотрудничестве.

  1. Для целей пересмотра, указанного в Статье 23, до 9 августа 2018 г. и каждые последующие полтора года сеть CSIRTs должна подготавливать отчет об оценке опыта, накопленного в ходе оперативного сотрудничества, в том числе выводы и рекомендации, сделанные в соответствии с настоящей Статьей. Указанный отчет должен быть также передан в Группу по сотрудничеству.
  2. Сеть CSIRTs должна самостоятельно установить свои процессуальные нормы.

 

Статья 13

Международное сотрудничество

В соответствии со Статьей 28 TFEU Союз может заключать международные соглашения с третьими странами или международными организациями, согласно которым им будет позволено или будет установлено их участие в определенной деятельности Группы по сотрудничеству. При заключении указанных соглашений необходимо учитывать положения о надлежащей защите данных.

1   2   3   4   5

Сохранить

No votes yet.
Please wait...

Просмотров: 69

Добавить комментарий

Ваш e-mail не будет опубликован.

*

code