keyboard_tab Cyber Resilience Act 2023/2841 ET
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
I PEATÜKK
ÜLDSÄTTED
II PEATÜKK
KÜBERTURVALISUSE ÜHTLASELT KÕRGE TASEME TAGAMISE MEETMED
III PEATÜKK
INSTITUTSIOONIDEVAHELINE KÜBERTURVALISUSE NÕUKODA
IV PEATÜKK
CERT-EU
V PEATÜKK
KOOSTÖÖ- JA ARUANDEKOHUSTUSED
VI PEATÜKK
LÕPPSÄTTED
- küberturvalisuse 33
- liidu 31
- või 26
- ning 20
- intsidentide 16
- üksused 15
- artikli 14
- juhul 14
- cert-eu 14
- liidu 12
- üksuse 11
- sealhulgas 10
- teabe 9
- tõsiste 9
- võib 9
- kava 9
- mõju 8
- teavet 8
- viivituseta 8
- kohaselt 8
- põhjendamatu 8
- korral 7
- asjakohasel 7
- osutatud 7
- üksuste 7
- kohta 7
- nende 7
- intsidendi 7
- mida 6
- pärast 6
- arvesse 6
- artikkel 6
- igal 6
- üksus 6
- seotud 5
- olulisest 5
- välja 5
- selliste 5
- selle 5
- haldamise 5
- küberkriiside 5
- tehtud 5
- intsidendist 5
- turvalisuse 5
- kord 4
- lõikes 4
- artikli 4
- käesoleva 4
- nõrkuste 4
- põhimõtted 4
Artikkel 8
Küberturvalisuse riskijuhtimismeetmed
1. Iga liidu üksus võtab põhjendamatu viivituseta ja igal juhul hiljemalt 8. septembriks 2025 oma kõrgeima juhtimistasandi järelevalve all asjakohased ja proportsionaalsed tehnilised, tegevuslikud ja korralduslikud meetmed, et juhtida raamistiku alusel kindlaks tehtud küberturvalisusriske ning hoida ära või minimeerida intsidentide mõju. Kõnealuste meetmetega tagatakse kogu IKT-keskkonnas võrgu- ja infosüsteemide turvalisuse tase, mis vastab asjakohastele küberturvalisusriskidele, võttes arvesse tehnika taset, ja kui see on kohaldatav, asjakohaseid Euroopa ja rahvusvahelisi standardeid. Kõnealuste meetmete proportsionaalsuse hindamisel võetakse igakülgselt arvesse liidu üksuse küberturvalisusriskidele avatuse määra, tema suurust ning intsidentide esinemise tõenäosust ja nende raskust, sealhulgas nende ühiskondlikku, majanduslikku ja institutsioonidevahelist mõju.
2. liidu üksused käsitlevad küberturvalisuse riskijuhtimismeetmete rakendamisel vähemalt järgmisi valdkondi:
| a) | küberturvalisuse põhimõtted, sealhulgas artiklis 6 ja käesoleva artikli lõikes 3 osutatud eesmärkide ja prioriteetide saavutamiseks vajalikud meetmed; |
| b) | küberturvalisuse riskide analüüsi ja infosüsteemide turvalisuse põhimõtted; |
| c) | pilvandmetöötlusteenuste kasutamisega seotud põhimõtete eesmärgid; |
| d) | asjakohasel juhul küberturvalisuse audit, mis võib hõlmata küberturvalisuse riskide, nõrkuste ja küberohtude hindamist, ning läbistustestimine, mida teeb korrapäraselt usaldusväärne erasektori teenuseosutaja; |
| e) | punktis d osutatud küberturvalisuse audititest tulenevate soovituste rakendamine küberturvalisuse ja põhimõtete ajakohastamise kaudu; |
| f) | küberturvalisuse korraldamine, sealhulgas ülesannete ja kohustuste kindlaksmääramine; |
| g) | varade haldamine, sealhulgas IKT-varade inventeerimine ja IKT-võrgu kaardistamine; |
| h) | personali turvalisus ja juurdepääsu kontroll; |
| i) | tegevuse turvalisus; |
| j) | teabeedastuse turvalisus; |
| k) | süsteemide soetamine, arendamine ja hooldamine, sealhulgas nõrkuste käsitlemise ja avalikustamise põhimõtted; |
| l) | võimaluse korral lähtekoodi läbipaistvuse põhimõtted; |
| m) | tarneahela turvalisus, sealhulgas turvalisusega seotud aspektid iga liidu üksuse ja tema otseste tarnijate või teenuseosutajate vahelistes suhetes; |
| n) | intsidentide käsitlemine ja koostöö CERT-EUga, näiteks pidev turvalisuse seire ja logipidamine; |
| o) | talitluspidevuse juhtimine, näiteks varundushaldus ja avariitaaste, ning kriisiohje, ning |
| p) | küberturvalisuse alase õppe, oskuste, teadlikkuse suurendamise, õppuste ja koolitusega seotud programmide edendamine ja arendamine. |
Esimese lõigu punkti m kohaldamisel võtavad liidu üksused arvesse igale otsesele tarnijale ja teenuseosutajale omaseid nõrkusi ning oma tarnijate ja teenuseosutajate toodete üldist kvaliteeti ja küberturvalisuse tavasid, sealhulgas nende turvalise arenduse korda.
3. liidu üksused võtavad vähemalt järgmisi küberturvalisuse riskijuhtimiserimeetmeid:
| a) | kaugtöö võimaldamise ja jätkamise tehniline kord; |
| b) | konkreetsed sammud usaldamatuse põhimõtete järgimiseks; |
| c) | võrgu- ja infosüsteemides mitmikautentimise kohustuslik kasutamine; |
| d) | krüptograafia ja krüpteerimise, eelkõige otspunktkrüpteerimise ja turvalise digiallkirjastamise kasutamine; |
| e) | asjakohasel juhul turvalise hääl-, video- ja tekstiside ning turvaliste hädaolukorra sidesüsteemide kasutamine liidu üksuses; |
| f) | ennetavad meetmed paha- ja nuhkvara tuvastamiseks ja kõrvaldamiseks; |
| g) | tarkvara tarneahela turvalisuse tagamine tarkvara arendamise ja hindamise turvalisuse kriteeriumide abil; |
| h) | selliste küberturvalisuse alaste koolitusprogrammide koostamine ja vastuvõtmine, mis on vastavuses ülesannetega, mis on antud käesoleva määruse tulemusliku rakendamise tagamise eest vastutavale liidu üksuse kõrgeimale juhtimistasandile ja töötajatele, ja neilt eeldatava suutlikkusega; |
| i) | töötajate korrapärane koolitamine küberturvalisuse teemal; |
| j) | liidu üksuste omavahelise ühendatuse riskianalüüsides osalemine, kui see on asjakohane; |
| k) | hankereeglite tõhustamine, et toetada küberturvalisuse ühtlaselt kõrget taset järgmiste vahenditega:
|
Artikkel 9
Küberturvalisuse kavad
1. Lähtudes artikli 7 kohaselt tehtud küberturvalisuse küpsustaseme hindamise põhjal tehtud järeldustest ning võttes arvesse raamistikus kindlaks tehtud varasid ja küberturvalisusriske ning artikli 8 kohaselt võetud küberturvalisuse riskijuhtimismeetmeid, kiidab iga liidu üksuse kõrgeim juhtimistasand küberturvalisuse kava heaks ilma põhjendamatu viivituseta, ent igal juhul hiljemalt 8. jaanuariks 2026. Küberturvalisuse kava eesmärk on suurendada asjaomase liidu üksuse üldist küberturvalisust ja aidata seeläbi tõsta küberturvalisuse ühtlaselt kõrget taset liidu üksustes. Küberturvalisuse kava hõlmab vähemalt artikli 8 kohaselt võetud küberturvalisuse riskijuhtimismeetmeid. Küberturvalisuse kava vaadatakse läbi iga kahe aasta tagant või vajaduse korral tihemini pärast artikli 7 kohaselt tehtud küberturvalisuse küpsustaseme hindamist või raamistiku põhjalikku läbivaatamist.
2. Küberturvalisuse kava hõlmab liidu üksuse küberkriiside haldamise kava tõsiste intsidentide käsitlemiseks.
3. liidu üksus esitab oma küberturvalisuse tervikkava artikli 10 kohaselt loodud institutsioonidevahelisele küberturvalisuse nõukojale.
III PEATÜKK
INSTITUTSIOONIDEVAHELINE KÜBERTURVALISUSE NÕUKODA
Artikkel 19
Teabe käitlemine
1. liidu üksused ja CERT-EU järgivad ametisaladuse hoidmise kohustust kooskõlas ELi toimimise lepingu artikliga 339 või samaväärsete kohaldatavate raamistikega.
2. CERT-EU valduses olevatele dokumentidele üldsuse juurdepääsu taotluste suhtes kohaldatakse Euroopa Parlamendi ja nõukogu määrust (EÜ) nr 1049/2001 (10), kaasa arvatud nimetatud määruse kohast kohustust konsulteerida teiste liidu üksuste ning asjakohasel juhul liikmesriikidega alati, kui taotlus puudutab nende dokumente.
3. liidu üksused ja CERT-EU käitlevad teavet kooskõlas kohaldatavate infoturvet käsitlevate õigusnormidega.
Artikkel 20
Küberturvalisuse alase teabe jagamise kord
1. liidu üksused võivad vabatahtlikult teatada CERT-EU-le neid mõjutavatest intsidentidest, küberohtudest, ohuolukordadest ja nõrkustest ning anda sellekohast teavet. CERT-EU tagab selliste tõhusate sidevahendite olemasolu, mis kindlustavad kõrgel tasemel jälgitavuse, konfidentsiaalsuse ja usaldusväärsuse, et hõlbustada liidu üksustega teabe jagamist. Teadete töötlemisel võib CERT-EU seada kohustuslike teadete menetlemise vabatahtlike teadete menetlemisest tähtsamale kohale. Ilma et see piiraks artikli 12 kohaldamist, ei too vabatahtlik teatamine teadet esitavale liidu üksusele kaasa lisakohustusi, mida tal ei oleks olnud, kui ta ei oleks teadet esitanud.
2. Selleks et täita oma artiklist 13 tulenevat missiooni ja ülesandeid, võib CERT-EU taotleda, et liidu üksused esitaksid talle oma IKT-süsteemide varade loendist teavet, sealhulgas teavet, mis käsitleb küberohtusid, ohuolukordi, nõrkusi, rikkeindikaatoreid, küberturvalisuse hoiatusi ning soovitusi seoses intsidentide tuvastamiseks vajalike küberturvalisuse vahendite konfiguratsiooniga. Taotluse saanud liidu üksus edastab taotletud teabe ja kõik selle hilisemad ajakohastused põhjendamatu viivituseta.
3. Sellist teavet, millest ilmneb intsidendist mõjutatud liidu üksuse identiteet, võib CERT-EU intsidendi kohta vahetada liidu üksustega tingimusel, et mõjutatud liidu üksus annab selleks nõusoleku. Nõusoleku andmisest keeldumise korral esitab liidu üksus CERT-EU-le oma otsuse põhjendused.
4. liidu üksused jagavad taotluse korral Euroopa Parlamendi ja nõukoguga teavet küberturvalisuse kavade lõpuleviimise kohta.
5. IICB või CERT-EU, nagu on asjakohane, jagab taotluse korral suuniseid, soovitusi ja üleskutseid Euroopa Parlamendi ja nõukoguga.
6. Käesolevas artiklis sätestatud jagamiskohustused ei laiene
| a) | ELi salastatud teabele; |
| b) | teabele, mille edasine levitamine on nähtava märgistuse abil välistatud, välja arvatud juhul, kui selle jagamiseks CERT-EUga on antud sõnaselge luba. |
Artikkel 21
Aruandekohustused
1. Intsidenti käsitatakse olulisena, kui:
| a) | see on põhjustanud või võib põhjustada tõsiseid häireid asjaomase liidu üksuse toimimises või rahalist kahju sellele üksusele; |
| b) | see on mõjutanud või võib mõjutada teisi füüsilisi või juriidilisi isikuid, põhjustades märkimisväärset materiaalset või mittemateriaalset kahju. |
2. liidu üksused esitavad CERT-EU-le:
| a) | põhjendamatu viivituseta, ent igal juhul 24 tunni jooksul pärast olulisest intsidendist teadasaamist varajase hoiatuse, milles asjakohasel juhul märgitakse, et olulise intsidendi põhjuseks on eeldatavasti ebaseaduslik või pahatahtlik tegevus või et sellel võib olla üksuseülene või piiriülene mõju; |
| b) | põhjendamatu viivituseta, ent igal juhul 72 tunni jooksul pärast olulisest intsidendist teadasaamist intsidenditeate, millega asjakohasel juhul ajakohastatakse punktis a osutatud teavet ning antakse esialgne hinnang olulisele intsidendile, sealhulgas selle raskusastmele ja mõjule ning võimaluse korral ka rikkeindikaatoritele; |
| c) | CERT-EU taotlusel vahearuande vaatlusaluste asjade seisu kohta; |
| d) | hiljemalt üks kuu pärast punkti b kohase intsidenditeate edastamist lõpparuande, mis sisaldab järgmist:
|
| e) | kui intsident punktis d osutatud lõpparuande esitamise ajal veel kestab, hetkeseisu kajastava eduaruande ja ühe kuu jooksul pärast intsidendi käsitlemist üksuste poolt lõpparuande. |
3. liidu üksus teavitab põhjendamatu viivituseta, ent igal juhul 24 tunni jooksul pärast olulisest intsidendist teadasaamist artikli 17 lõikes 1 osutatud liikmesriikide samalaadseid asutusi liikmesriigis, kus ta asub, olulise intsidendi ilmnemisest.
4. liidu üksused esitavad muu hulgas mis tahes teabe, mis võimaldab CERT-EU-l teha kindlaks sellest olulisest intsidendist lähtuva üksuseülese mõju, vastuvõtvale liikmesriigile avalduva mõju või piiriülese mõju. Ilma et see piiraks artikli 12 kohaldamist, ei suurene teavitava üksuse vastutus üksnes teavitamise tõttu.
5. Kui see on kohaldatav, teavitavad liidu üksused mõjutatud võrgu- ja infosüsteemide või muude selliste IKT-keskkonna komponentide kasutajaid, mida oluline intsident või oluline küberoht võib mõjutada, ja kes peavad asjakohasel juhul võtma leevendusmeetmeid, põhjendamatu viivituseta meetmetest või parandusmeetmetest, mida nad saavad sellele intsidendile või ohule reageerimiseks võtta. Kui see on asjakohane, teavitavad liidu üksused kõnealuseid kasutajaid ka olulisest küberohust endast.
6. Kui oluline intsident või oluline küberoht mõjutab võrgu- ja infosüsteemi või liidu üksuse IKT-keskkonna sellist komponenti, mis on teadlikult ühendatud mõne teise liidu üksuse IKT-keskkonnaga, väljastab CERT-EU asjakohase küberturvalisuse hoiatuse.
7. liidu üksused esitavad CERT-EU taotlusel CERT-EU-le põhjendamatu viivituseta digitaalse teabe, mis on tekkinud nende vastavate intsidentidega seotud elektrooniliste seadmete kasutamisel. CERT-EU võib esitada täiendavaid üksikasju sellise teabe liigi kohta, mida ta vajab olukorrateadlikkuse ja intsidentidele reageerimise jaoks.
8. CERT-EU esitab IICB-le, ENISA-le, EU INTCENile ja CSIRTide võrgustikule iga kolme kuu tagant koondaruande, mis sisaldab anonüümitud ja koondatud andmeid oluliste intsidentide, intsidentide, küberohtude, ohuolukordade ja nõrkuste kohta vastavalt artiklile 20 ning käesoleva artikli lõike 2 kohaselt teatatud oluliste intsidentide kohta. Koondaruannet võetakse arvesse direktiivi (EL) 2022/2555 artikli 18 kohaselt iga kahe aasta järel vastu võetavas aruandes, mis käsitleb küberturvalisuse olukorda liidus.
9. Hiljemalt 8. juuliks 2024 annab IICB välja suunised või soovitused, milles täpsustatakse käesoleva artikli alusel aruandmise täiendavad üksikasjad, vorming ja sisu. Selliste suuniste või soovituste koostamisel võtab IICB arvesse kõiki direktiivi (EL) 2022/2555 artikli 23 lõike 11 kohaselt vastu võetud rakendusakte, milles täpsustatakse teavituse teabeliik, vorming ja esitamise kord. CERT-EU levitab asjakohaseid tehnilisi üksikasju, et liidu üksused saaksid tegeleda ennetava tuvastamise, intsidentidele reageerimise või leevendusmeetmetega.
10. Käesolevas artiklis sätestatud aruandekohustused ei laiene
| a) | ELi salastatud teabele; |
| b) | teabele, mille edasine levitamine on nähtava märgistuse abil välistatud, välja arvatud juhul, kui selle jagamiseks CERT-EUga on antud sõnaselge luba. |
Artikkel 23
Tõsiste intsidentide haldamine
1. Selleks et toetada liidu üksusi mõjutavate tõsiste intsidentide koordineeritud haldamist operatiivtasandil ning aidata kaasa asjakohase teabe korrapärasele vahetamisele liidu üksuste vahel ja liikmesriikidega, töötab IICB vastavalt artikli 11 punktile q ning tihedas koostöös CERT-EU ja ENISAga välja artikli 22 lõikes 2 osutatud tegevustel põhineva küberkriiside haldamise kava. Küberkriiside haldamise kava sisaldab vähemalt järgmist:
| a) | liidu üksuste vahelise koordineerimise ja teabevoo kord tõsiste intsidentide haldamiseks operatiivtasandil; |
| b) | ühtne standardne töökord; |
| c) | tõsiste intsidentide raskusastme ja kriisi käivitavate tegurite ühtne taksonoomia; |
| d) | korrapärased õppused; |
| e) | kasutatavad turvalised sidekanalid. |
2. Käesoleva artikli lõike 1 alusel välja töötatud küberkriiside haldamise kava kohaldamisel ja ilma et see piiraks direktiivi (EL) 2022/2555 artikli 16 lõike 2 esimese lõigu kohaldamist, toimib IICB tegevuses osalev komisjoni esindaja kontaktpunktina tõsiste intsidentidega seotud asjakohase teabe jagamisel EU-CyCLONega.
3. CERT-EU koordineerib tõsiste intsidentide haldamist liidu üksuste vahel. CERT-EU peab loendit olemasolevatest tehnilistest eksperditeadmistest, mida oleks vaja tõsiste intsidentide korral intsidentidele reageerimiseks, ning aitab IICB-l koordineerida artikli 9 lõikes 2 osutatud liidu üksuste küberkriiside haldamise kavasid tõsiste intsidentide käsitlemiseks.
4. liidu üksused annavad oma panuse tehniliste eksperditeadmiste loendisse ning esitavad igal aastal ajakohastatava nimekirja oma vastavates organisatsioonides tegutsevatest ekspertidest, märkides ära nende konkreetsed tehnilised oskused.
VI PEATÜKK
LÕPPSÄTTED
whereas