keyboard_tab Cyber Resilience Act 2023/2841 ET
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Artikkel 8 Küberturvalisuse riskijuhtimismeetmed
- 1 Artikkel 14 Suunised, soovitused ja üleskutsed
I PEATÜKK
ÜLDSÄTTED
II PEATÜKK
KÜBERTURVALISUSE ÜHTLASELT KÕRGE TASEME TAGAMISE MEETMED
III PEATÜKK
INSTITUTSIOONIDEVAHELINE KÜBERTURVALISUSE NÕUKODA
IV PEATÜKK
CERT-EU
V PEATÜKK
KOOSTÖÖ- JA ARUANDEKOHUSTUSED
VI PEATÜKK
LÕPPSÄTTED
- küberturvalisuse 23
- liidu 13
- ning 9
- sealhulgas 9
- arvesse 5
- turvalisuse 5
- nende 5
- või 5
- turvalisus 4
- üksused 4
- seotud 4
- põhimõtted 4
- intsidentide 4
- tarneahela 3
- üksuse 3
- nõrkuste 3
- turvalise 3
- mida 3
- võttes 3
- taset 3
- üksuste 3
- meetmed 3
- juhul 3
- kohta 3
- kasutamine 3
- järgmisi 3
- põhimõtete 3
- käesoleva 3
- asjakohane 3
- näiteks 2
- osutatud 2
- teenuseosutajate 2
- ettepanekud 2
- iicb-le 2
- meetmete 2
- adresseeritud 2
- võtavad 2
- lõigu 2
- küberohtude 2
- suurendamise 2
- tema 2
- cert-euga 2
- esimese 2
- vähemalt 2
- üksustele 2
- asjakohasel 2
- riskijuhtimismeetmete 2
- liidu 2
- küpsustaseme 2
- toodete 2
Artikkel 8
Küberturvalisuse riskijuhtimismeetmed
1. Iga liidu üksus võtab põhjendamatu viivituseta ja igal juhul hiljemalt 8. septembriks 2025 oma kõrgeima juhtimistasandi järelevalve all asjakohased ja proportsionaalsed tehnilised, tegevuslikud ja korralduslikud meetmed, et juhtida raamistiku alusel kindlaks tehtud küberturvalisusriske ning hoida ära või minimeerida intsidentide mõju. Kõnealuste meetmetega tagatakse kogu IKT-keskkonnas võrgu- ja infosüsteemide turvalisuse tase, mis vastab asjakohastele küberturvalisusriskidele, võttes arvesse tehnika taset, ja kui see on kohaldatav, asjakohaseid Euroopa ja rahvusvahelisi standardeid. Kõnealuste meetmete proportsionaalsuse hindamisel võetakse igakülgselt arvesse liidu üksuse küberturvalisusriskidele avatuse määra, tema suurust ning intsidentide esinemise tõenäosust ja nende raskust, sealhulgas nende ühiskondlikku, majanduslikku ja institutsioonidevahelist mõju.
2. Liidu üksused käsitlevad küberturvalisuse riskijuhtimismeetmete rakendamisel vähemalt järgmisi valdkondi:
a) | küberturvalisuse põhimõtted, sealhulgas artiklis 6 ja käesoleva artikli lõikes 3 osutatud eesmärkide ja prioriteetide saavutamiseks vajalikud meetmed; |
b) | küberturvalisuse riskide analüüsi ja infosüsteemide turvalisuse põhimõtted; |
c) | pilvandmetöötlusteenuste kasutamisega seotud põhimõtete eesmärgid; |
d) | asjakohasel juhul küberturvalisuse audit, mis võib hõlmata küberturvalisuse riskide, nõrkuste ja küberohtude hindamist, ning läbistustestimine, mida teeb korrapäraselt usaldusväärne erasektori teenuseosutaja; |
e) | punktis d osutatud küberturvalisuse audititest tulenevate soovituste rakendamine küberturvalisuse ja põhimõtete ajakohastamise kaudu; |
f) | küberturvalisuse korraldamine, sealhulgas ülesannete ja kohustuste kindlaksmääramine; |
g) | varade haldamine, sealhulgas IKT-varade inventeerimine ja IKT-võrgu kaardistamine; |
h) | personali turvalisus ja juurdepääsu kontroll; |
i) | tegevuse turvalisus; |
j) | teabeedastuse turvalisus; |
k) | süsteemide soetamine, arendamine ja hooldamine, sealhulgas nõrkuste käsitlemise ja avalikustamise põhimõtted; |
l) | võimaluse korral lähtekoodi läbipaistvuse põhimõtted; |
m) | tarneahela turvalisus, sealhulgas turvalisusega seotud aspektid iga liidu üksuse ja tema otseste tarnijate või teenuseosutajate vahelistes suhetes; |
n) | intsidentide käsitlemine ja koostöö CERT-EUga, näiteks pidev turvalisuse seire ja logipidamine; |
o) | talitluspidevuse juhtimine, näiteks varundushaldus ja avariitaaste, ning kriisiohje, ning |
p) | küberturvalisuse alase õppe, oskuste, teadlikkuse suurendamise, õppuste ja koolitusega seotud programmide edendamine ja arendamine. |
Esimese lõigu punkti m kohaldamisel võtavad liidu üksused arvesse igale otsesele tarnijale ja teenuseosutajale omaseid nõrkusi ning oma tarnijate ja teenuseosutajate toodete üldist kvaliteeti ja küberturvalisuse tavasid, sealhulgas nende turvalise arenduse korda.
3. Liidu üksused võtavad vähemalt järgmisi küberturvalisuse riskijuhtimiserimeetmeid:
a) | kaugtöö võimaldamise ja jätkamise tehniline kord; |
b) | konkreetsed sammud usaldamatuse põhimõtete järgimiseks; |
c) | võrgu- ja infosüsteemides mitmikautentimise kohustuslik kasutamine; |
d) | krüptograafia ja krüpteerimise, eelkõige otspunktkrüpteerimise ja turvalise digiallkirjastamise kasutamine; |
e) | asjakohasel juhul turvalise hääl-, video- ja tekstiside ning turvaliste hädaolukorra sidesüsteemide kasutamine liidu üksuses; |
f) | ennetavad meetmed paha- ja nuhkvara tuvastamiseks ja kõrvaldamiseks; |
g) | tarkvara tarneahela turvalisuse tagamine tarkvara arendamise ja hindamise turvalisuse kriteeriumide abil; |
h) | selliste küberturvalisuse alaste koolitusprogrammide koostamine ja vastuvõtmine, mis on vastavuses ülesannetega, mis on antud käesoleva määruse tulemusliku rakendamise tagamise eest vastutavale liidu üksuse kõrgeimale juhtimistasandile ja töötajatele, ja neilt eeldatava suutlikkusega; |
i) | töötajate korrapärane koolitamine küberturvalisuse teemal; |
j) | liidu üksuste omavahelise ühendatuse riskianalüüsides osalemine, kui see on asjakohane; |
k) | hankereeglite tõhustamine, et toetada küberturvalisuse ühtlaselt kõrget taset järgmiste vahenditega:
|
Artikkel 14
Suunised, soovitused ja üleskutsed
1. CERT-EU toetab käesoleva määruse rakendamist sellega, et annab välja järgmisi dokumente:
a) | üleskutsed, milles kirjeldatakse kiireloomulisi turbemeetmeid, mida liidu üksused peaksid võtma kindlaksmääratud aja jooksul; |
b) | ettepanekud IICB-le suuniste kohta, mis on adresseeritud kõigile liidu üksustele või mõnedele nende hulgast; |
c) | ettepanekud IICB-le soovituste kohta, mis on adresseeritud konkreetsetele liidu üksustele. |
Võttes arvesse esimese lõigu punkti a, annab asjaomane liidu üksus põhjendamatu viivituseta pärast üleskutse saamist CERT-EU-le teada, kuidas kiireloomulisi turbemeetmeid rakendati.
2. Suunised ja soovitused võivad sisaldada:
a) | ühtset metoodikat ja mudelit liidu üksuste küberturvalisuse küpsustaseme hindamiseks, sealhulgas vastavaid skaalasid või peamisi tulemusnäitajaid, mida kasutatakse võrdlusalusena küberturvalisuse pideva suurendamise toetamisel kõigis liidu üksustes ning küberturvalisuse valdkondade ja meetmete prioriseerimise hõlbustamisel, võttes arvesse üksuste turvaoleku taset kübervaldkonnas; |
b) | küberturvalisuse riskijuhtimise ja küberturvalisuse riskijuhtimismeetmete üksikasju või parendusi; |
c) | küberturvalisuse küpsustaseme hindamise ja küberturvalisuse kavade üksikasju; |
d) | kui see on asjakohane, ühise tehnoloogia, arhitektuuri, avatud lähtekoodi ja nendega seotud heade tavade kasutamist, et saavutada koostalitlusvõime ja ühised standardid, sealhulgas koordineeritud lähenemisviis tarneahela turvalisusele; |
e) | kui see on asjakohane, teavet, mis hõlbustaks ühishankevahendite kasutamist asjaomaste küberturvalisuse teenuste ja toodete ostmiseks kolmandast isikust tarnijatelt; |
f) | artikli 20 kohast teabevahetuskorda. |
whereas