keyboard_tab Cyber Resilience Act 2023/2841 FI
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 8 artikla Kyberturvallisuusriskien hallintatoimenpiteet
- 2 15 artikla CERT-EU:n päällikkö
I LUKU
YLEISET SÄÄNNÖKSET
II LUKU
TOIMENPITEET KYBERTURVALLISUUDEN YHTEISEN KORKEAN TASON VARMISTAMISEKSI
III LUKU
TOIMIELINTEN VÄLINEN KYBERTURVALLISUUSLAUTAKUNTA
IV LUKU
CERT-EU
V LUKU
YHTEISTYÖ- JA RAPORTOINTIVELVOITTEET
VI LUKU
LOPPUSÄÄNNÖKSET
- cert-eu:n 14
- mukaan 13
- lukien 11
- päällikkö 9
- sekä 8
- unionin 7
- niiden 6
- koskevat 6
- huomioon 5
- kyberturvallisuusriskien 5
- koskevien 4
- toimijan 4
- cert-eu:n 4
- palveluluettelon 4
- turvallisuuden 3
- henkilöstön 3
- jotka 3
- poikkeamien 3
- kanssa 3
- osalta 3
- joka 3
- ehdotetut 3
- toimijat 3
- tarvittaessa 3
- vuosittain 3
- johtuvien 2
- välisten 2
- toimitusketjun 2
- toimintaperiaatteet 2
- ainakin 2
- ylläpito 2
- toimenpiteet 2
- tämän 2
- säännöllisesti 2
- kehittäminen 2
- kyberturvallisuutta 2
- turvallisuus 2
- sisältää 2
- hallinta 2
- kyberturvallisuuden 2
- avulla 2
- haavoittuvuuksien 2
- artikla 2
- ohjelmistojen 2
- varten 2
- raportoi 2
- ehdotetun 2
- menoista 2
- tuloista 2
- mukaisesti 2
8 artikla
Kyberturvallisuusriskien hallintatoimenpiteet
1. Kukin unionin toimija toteuttaa ilman aiheetonta viivytystä ja joka tapauksessa viimeistään 8 päivänä syyskuuta 2025 ylimmän johtonsa valvonnassa asianmukaisia ja oikeasuhteisia teknisiä, operatiivisia ja organisatorisia toimenpiteitä kehyksessä eriteltyjen kyberturvallisuusriskien hallitsemiseksi ja poikkeamien ehkäisemiseksi tai niiden vaikutusten minimoimiseksi. Kun otetaan huomioon viimeisin kehitys ja tapauksen mukaan asiaan liittyvät eurooppalaiset ja kansainväliset standardit, näillä toimenpiteillä on varmistettava, että koko TVT-ympäristön verkko- ja tietojärjestelmien turvallisuuden taso on oikeassa suhteessa kyberturvallisuusriskeihin. Näiden toimenpiteiden oikeasuhteisuutta arvioitaessa on otettava asianmukaisesti huomioon se, missä määrin unionin toimija altistuu kyberturvallisuusriskeille, toimijan koko sekä poikkeamien esiintymisen todennäköisyys ja niiden vakavuus, mukaan lukien niiden yhteiskunnalliset, taloudelliset ja toimielinten väliset vaikutukset.
2. Unionin toimijat käsittelevät kyberturvallisuusriskien hallintatoimenpiteiden täytäntöönpanossa ainakin seuraavia osa-alueita:
| a) | kyberturvallisuuspolitiikka, mukaan lukien 6 artiklassa ja tämän artiklan 3 kohdassa tarkoitettujen tavoitteiden ja painopisteiden saavuttamiseksi tarvittavat toimenpiteet; |
| b) | kyberturvallisuutta koskevia riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat; |
| c) | pilvipalvelujen käyttöä koskevat politiikkatavoitteet; |
| d) | tarvittaessa kyberturvallisuusauditointi, joka voi sisältää kyberturvallisuusriskien, haavoittuvuuksien ja kyberuhkien arvioinnin, sekä luotettavan yksityisen palveluntarjoajan säännöllisesti suorittama tunkeutumisenestotestaus; |
| e) | d alakohdassa tarkoitetuista kyberturvallisuusauditoinneista johtuvien suositusten täytäntöönpano kyberturvallisuuspäivitysten ja toimintaperiaatteiden päivitysten avulla; |
| f) | kyberturvallisuuden organisointi, mukaan lukien tehtävien ja vastuualueiden määrittäminen; |
| g) | resurssien hallinta, mukaan lukien TVT-resurssien inventointi ja TVT-verkkojen kartoitus; |
| h) | henkilöstöturvallisuus ja kulunvalvonta; |
| i) | operatiivinen turvallisuus; |
| j) | tietoliikenneturvallisuus; |
| k) | järjestelmien hankinta, kehittäminen ja ylläpito, mukaan lukien haavoittuvuuksien käsittelyä ja julkistamista koskevat toimintaperiaatteet; |
| l) | mahdollisuuksien mukaan lähdekoodin läpinäkyvyyttä koskevat toimintaperiaatteet; |
| m) | toimitusketjun turvallisuus, mukaan lukien kunkin unionin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat; |
| n) | poikkeamien käsittely ja yhteistyö CERT-EU:n kanssa, kuten turvallisuuden seurannan ja kirjaamisen ylläpito; |
| o) | toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta; ja |
| p) | kyberturvallisuuskoulutusta ja -taitoja, -tiedotusta ja -harjoituksia koskevien ohjelmien edistäminen ja kehittäminen. |
Unionin toimijat ottavat ensimmäisen alakohdan m alakohdan tarkoituksia varten huomioon kullekin välittömälle toimittajalle ja palveluntarjoajalle ominaiset haavoittuvuudet, toimittajiensa ja palveluntarjoajiensa tuotteiden yleisen laadun sekä niiden kyberturvallisuuskäytännöt, mukaan lukien niiden tuotekehityksen suojausmenettelyt.
3. Unionin toimijat toteuttavat ainakin seuraavat erityiset kyberturvallisuusriskien hallintatoimenpiteet:
| a) | tekniset järjestelyt etätyön mahdollistamiseksi ja tukemiseksi; |
| b) | konkreettiset toimet nollaluottamuksen periaatteiden noudattamiseen siirtymiseksi; |
| c) | monivaiheisen tunnistuksen käyttö yleiskäytäntönä kaikissa verkko- ja tietojärjestelmissä; |
| d) | kryptografian ja salaustekniikoiden käyttö, mukaan lukien erityisesti päästä päähän -salaus, sekä suojattu digitaalinen allekirjoitus; |
| e) | tarvittaessa suojattu puhe-, video- ja tekstiviestintä sekä suojatut hätäviestintäjärjestelmät unionin toimijan toiminnassa; |
| f) | ennakoivat toimenpiteet haitta- ja vakoiluohjelmien havaitsemiseksi ja poistamiseksi; |
| g) | ohjelmistojen toimitusketjun turvallisuuden varmistaminen ohjelmistokehityksessä ja ohjelmistojen arvioinnissa sovellettavien turvallisuuskriteerien avulla; |
| h) | sellaisten kyberturvallisuutta koskevien koulutusohjelmien laatiminen ja käyttöönotto, jotka ovat oikeassa suhteessa unionin toimijan ylimmälle johdolle ja tämän asetuksen tehokkaan täytäntöönpanon varmistamisesta vastaaville henkilöstön jäsenille asetettuihin tehtäviin ja näiltä odotettuihin valmiuksiin; |
| i) | henkilöstön säännöllinen kyberturvallisuuskoulutus; |
| j) | tarvittaessa osallistuminen unionin toimijoiden välisten yhteyksien riskianalyyseihin; |
| k) | julkisia hankintoja koskevien sääntöjen parantaminen kyberturvallisuuden yhteisen korkean tason edistämiseksi seuraavien avulla:
|
15 artikla
CERT-EU:n päällikkö
1. Komissio nimittää CERT-EU:n päällikön saatuaan IICB:n jäsenten kahden kolmasosan enemmistön hyväksynnän. IICB:tä kuullaan nimitysmenettelyn kaikissa vaiheissa, erityisesti tähän tehtävään liittyvien avoinna olevaa tointa koskevien ilmoitusten laatimisen, hakemusten tutkimisen ja valintalautakuntien nimittämisen osalta. Valintamenettelyssä, mukaan lukien lopullinen esivalintaluettelo ehdokkaista, joiden joukosta CERT-EU:n päällikkö on nimitettävä, on varmistettava kummankin sukupuolen tasapuolinen edustus ottaen huomioon jätetyt hakemukset.
2. CERT-EU:n päällikkö vastaa CERT-EU:n asianmukaisesta toiminnasta ja toimii roolinsa puitteissa ja IICB:n ohjauksessa. CERT-EU:n päällikkö raportoi säännöllisesti IICB:n puheenjohtajalle ja toimittaa IICB:lle tapauskohtaisia raportteja sen pyynnöstä.
3. CERT-EU:n päällikkö avustaa toimivaltaista valtuutettua tulojen ja menojen hyväksyjää laadittaessa Euroopan parlamentin ja neuvoston asetuksen (EU, Euratom) 2018/1046 (9) 74 artiklan 9 kohdan mukaisesti vuosittain toimintakertomus, joka sisältää taloutta ja hallinnointia koskevat tiedot, myös valvonnan tulokset, ja raportoi valtuutetulle tulojen ja menojen hyväksyjälle säännöllisesti niiden toimenpiteiden täytäntöönpanosta, joiden osalta CERT-EU:n päällikkö on saanut edelleenvaltuutuksen.
4. CERT-EU:n päällikkö laatii vuosittain sen toimintaa koskevan rahoitussuunnitelman hallinnollista tuloista ja menoista, ehdotetun vuotuisen työohjelman, CERT-EU:n ehdotetun palveluluettelon, ehdotetut palveluluettelon tarkistukset, ehdotetut palvelutasosopimuksia koskevat järjestelyt ja CERT-EU:n ehdotetut keskeiset tulosindikaattorit IICB:n hyväksyttäväksi 11 artiklan mukaisesti. Tarkistettaessa CERT-EU:n palveluluettelon palveluvalikoimaa CERT-EU:n päällikkö ottaa huomioon CERT-EU:lle osoitetut resurssit.
5. CERT-EU:n päällikkö toimittaa IICB:lle ja IICB:n puheenjohtajalle vähintään vuosittain raportteja CERT-EU:n toimista ja tuloksista viiteajanjakson aikana, muun muassa talousarvion toteuttamisesta, tehdyistä palvelutasosopimuksista ja kirjallisista sopimuksista, yhteistyöstä vastaavaa tehtävää hoitavien elinten ja kumppanien kanssa sekä henkilöstön tekemistä työmatkoista, mukaan lukien 11 artiklassa tarkoitetut raportit. Näihin raportteihin on sisällyttävä työohjelma seuraavaksi kaudeksi, rahoitussuunnitelma tuloista ja menoista, mukaan lukien henkilöstö, CERT-EU:n palveluluettelon suunnitellut päivitykset ja arvio odotetuista vaikutuksista, joita tällaisilla päivityksillä saattaa taloudellisten ja henkilöresurssien osalta olla.
whereas