keyboard_tab Cyber Resilience Act 2023/2841 ET
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artikkel 1 Reguleerimisese
- 1 Artikkel 9 Küberturvalisuse kavad
- 1 Artikkel 11 IICB ülesanded
- 1 Artikkel 14 Suunised, soovitused ja üleskutsed
- 1 Artikkel 22 Intsidentidele reageerimise koordineerimine ja koostöö
I PEATÜKK
ÜLDSÄTTED
II PEATÜKK
KÜBERTURVALISUSE ÜHTLASELT KÕRGE TASEME TAGAMISE MEETMED
III PEATÜKK
INSTITUTSIOONIDEVAHELINE KÜBERTURVALISUSE NÕUKODA
IV PEATÜKK
CERT-EU
V PEATÜKK
KOOSTÖÖ- JA ARUANDEKOHUSTUSED
VI PEATÜKK
LÕPPSÄTTED
- liidu 35
- küberturvalisuse 33
- cert-eu 22
- artikli 14
- või 11
- üksuste 11
- kiidab 10
- heaks 10
- ning 9
- ettepaneku 8
- kohaselt 7
- kava 7
- alusel 6
- annab 6
- intsidentide 6
- juhi 6
- nende 6
- põhjal 6
- tehtud 5
- kohta 5
- käesoleva 5
- määruse 5
- võtab 5
- küpsustaseme 5
- võttes 5
- arvesse 5
- reageerimise 5
- artikkel 5
- vastu 5
- soovitused 4
- seotud 4
- intsidentidele 4
- selle 4
- üksusi 4
- juhul 4
- osutatud 4
- üksustes 4
- seirab 4
- üksustele 4
- sealhulgas 4
- üksus 4
- iicb 4
- välja 3
- kohase 3
- teavet 3
- üksuse 3
- seda 3
- põhjendamatu 3
- toetab 3
- seoses 3
Artikkel 1
Reguleerimisese
Käesolevas määruses sätestatakse meetmed, mille eesmärk on saavutada küberturvalisuse ühtlaselt kõrge tase liidu üksustes seoses järgmisega:
| a) | artikli 6 kohase sisemise küberturvalisusriskide juhtimis-, haldamis- ja kontrollraamistiku kehtestamine igas liidu üksuses; |
| b) | küberturvalisuse riskijuhtimine, küberturvalisusriskidest teatamine ja teabevahetus; |
| c) | artikli 10 kohaselt loodud institutsioonidevahelise küberturvalisuse nõukoja ülesehitus, toimimine ja töökorraldus ning liidu institutsioonide, organite ja asutuste küberturvalisuse teenistuse (CERT-EU) ülesehitus, toimimine ja töökorraldus; |
| d) | käesoleva määruse rakendamise seire. |
Artikkel 9
Küberturvalisuse kavad
1. Lähtudes artikli 7 kohaselt tehtud küberturvalisuse küpsustaseme hindamise põhjal tehtud järeldustest ning võttes arvesse raamistikus kindlaks tehtud varasid ja küberturvalisusriske ning artikli 8 kohaselt võetud küberturvalisuse riskijuhtimismeetmeid, kiidab iga liidu üksuse kõrgeim juhtimistasand küberturvalisuse kava heaks ilma põhjendamatu viivituseta, ent igal juhul hiljemalt 8. jaanuariks 2026. Küberturvalisuse kava eesmärk on suurendada asjaomase liidu üksuse üldist küberturvalisust ja aidata seeläbi tõsta küberturvalisuse ühtlaselt kõrget taset liidu üksustes. Küberturvalisuse kava hõlmab vähemalt artikli 8 kohaselt võetud küberturvalisuse riskijuhtimismeetmeid. Küberturvalisuse kava vaadatakse läbi iga kahe aasta tagant või vajaduse korral tihemini pärast artikli 7 kohaselt tehtud küberturvalisuse küpsustaseme hindamist või raamistiku põhjalikku läbivaatamist.
2. Küberturvalisuse kava hõlmab liidu üksuse küberkriiside haldamise kava tõsiste intsidentide käsitlemiseks.
3. Liidu üksus esitab oma küberturvalisuse tervikkava artikli 10 kohaselt loodud institutsioonidevahelisele küberturvalisuse nõukojale.
III PEATÜKK
INSTITUTSIOONIDEVAHELINE KÜBERTURVALISUSE NÕUKODA
Artikkel 11
IICB ülesanded
Oma kohustuste täitmisel teeb IICB eeskätt järgmist:
| a) | annab CERT-EU juhile juhiseid; |
| b) | seirab tõhusalt käesoleva määruse rakendamist ja teeb selle üle järelevalvet ning toetab liidu üksusi nende küberturvalisuse parandamisel, sealhulgas nõuab asjakohasel juhul liidu üksustelt ja CERT-EU-lt ad hoc aruandeid; |
| c) | võtab pärast strateegilist arutelu vastu mitmeaastase strateegia liidu üksustes küberturvalisuse taseme tõstmiseks, hindab seda strateegiat korrapäraselt, ent vähemalt iga viie aasta tagant, ning muudab seda vajaduse korral; |
| d) | töötab välja metoodika ja korralduslikud aspektid liidu üksuste vabatahtlike vastastikuste hindamiste tegemiseks, et õppida jagatud kogemustest, tugevdada vastastikust usaldust, saavutada küberturvalisuse ühtlaselt kõrge tase ja suurendada liidu üksuste küberturvalisuse alast suutlikkust, tagades, et selliseid vastastikuseid hindamisi teevad küberturvalisuse valdkonna eksperdid, kelle on määranud liidu üksus, mis ei ole hinnatav liidu üksus, ning et metoodika põhineb direktiivi (EL) 2022/2555 artiklil 19 ja on asjakohasel juhul kohandatud liidu üksustele; |
| e) | kiidab CERT-EU juhi ettepaneku põhjal heaks CERT-EU iga-aastase tööprogrammi ja seirab selle rakendamist; |
| f) | kiidab CERT-EU juhi ettepaneku põhjal heaks CERT-EU teenuste kataloogi ja kõik selle ajakohastused; |
| g) | kiidab CERT-EU juhi ettepaneku põhjal heaks CERT-EU tegevuse iga-aastase tulude ja kulude finantskalkulatsiooni, sealhulgas seoses personaliga; |
| h) | kiidab CERT-EU juhi ettepaneku põhjal heaks CERT-EU teenustaseme kokkulepete korra; |
| i) | vaatab läbi ja kiidab heaks CERT-EU juhi koostatud aastaaruande, milles käsitletakse CERT-EU tegevust ja rahaliste vahendite haldamist; |
| j) | kiidab heaks CERT-EU juhi ettepaneku põhjal kehtestatud CERT-EU põhilised tulemusnäitajad ja seirab neid; |
| k) | kiidab heaks CERT-EU ja muude üksuste vahelised artikli 18 kohaselt sõlmitud koostöökokkulepped, teenustaseme kokkulepped ja lepingud; |
| l) | võtab CERT-EU artikli 14 kohase ettepaneku alusel vastu suuniseid ja soovitusi ning annab CERT-EU-le korralduse esitada suuniste või soovituste ettepanek või üleskutse, see tagasi võtta või seda muuta; |
| m) | loob spetsiifilisi ülesandeid täitvaid tehnilisi nõuanderühmi, et abistada IICBd tema töös, kiidab heaks nende pädevuse ja määrab nende juhatajad; |
| n) | võtab vastu ja hindab liidu üksuste poolt käesoleva määruse alusel esitatud dokumente ja aruandeid, näiteks küberturvalisuse küpsustaseme hinnanguid; |
| o) | hõlbustab ENISA toetatava, liidu üksuste kohalike küberturvalisuse ametnike mitteametliku rühma loomist, et vahetada käesoleva määruse rakendamisega seotud parimaid tavasid ja teavet; |
| p) | seirab liidu üksuste IKT-keskkondade omavahelise ühendatuse korra asjakohasust ja annab nõuandeid võimalike paranduste tegemiseks, võttes arvesse CERT-EU esitatud teavet kindlaks tehtud küberturvalisusriskide ja saadud kogemuste kohta; |
| q) | töötab välja küberkriiside haldamise kava, et toetada tegevuse tasandil liidu üksusi mõjutavate tõsiste intsidentide koordineeritud haldamist ja aidata kaasa asjakohase teabe korrapärasele vahetamisele, eelkõige seoses tõsiste intsidentide mõju ja raskusega ning nende mõju vähendamise võimalike viisidega; |
| r) | koordineerib liidu eri üksuste artikli 9 lõikes 2 osutatud küberkriiside haldamise kavade vastuvõtmist; |
| s) | võtab vastu artikli 8 lõike 2 esimese lõigu punkti m kohase tarneahela turvalisusega seotud soovitused, võttes arvesse direktiivi (EL) 2022/2555 artiklis 22 osutatud liidu tasandil kriitilise tähtsusega tarneahelate koordineeritud turberiski hindamise tulemusi, et toetada liidu üksusi tulemuslike ja proportsionaalsete küberturvalisuse riskijuhtimismeetmete vastuvõtmisel. |
Artikkel 14
Suunised, soovitused ja üleskutsed
1. CERT-EU toetab käesoleva määruse rakendamist sellega, et annab välja järgmisi dokumente:
| a) | üleskutsed, milles kirjeldatakse kiireloomulisi turbemeetmeid, mida liidu üksused peaksid võtma kindlaksmääratud aja jooksul; |
| b) | ettepanekud IICB-le suuniste kohta, mis on adresseeritud kõigile liidu üksustele või mõnedele nende hulgast; |
| c) | ettepanekud IICB-le soovituste kohta, mis on adresseeritud konkreetsetele liidu üksustele. |
Võttes arvesse esimese lõigu punkti a, annab asjaomane liidu üksus põhjendamatu viivituseta pärast üleskutse saamist CERT-EU-le teada, kuidas kiireloomulisi turbemeetmeid rakendati.
2. Suunised ja soovitused võivad sisaldada:
| a) | ühtset metoodikat ja mudelit liidu üksuste küberturvalisuse küpsustaseme hindamiseks, sealhulgas vastavaid skaalasid või peamisi tulemusnäitajaid, mida kasutatakse võrdlusalusena küberturvalisuse pideva suurendamise toetamisel kõigis liidu üksustes ning küberturvalisuse valdkondade ja meetmete prioriseerimise hõlbustamisel, võttes arvesse üksuste turvaoleku taset kübervaldkonnas; |
| b) | küberturvalisuse riskijuhtimise ja küberturvalisuse riskijuhtimismeetmete üksikasju või parendusi; |
| c) | küberturvalisuse küpsustaseme hindamise ja küberturvalisuse kavade üksikasju; |
| d) | kui see on asjakohane, ühise tehnoloogia, arhitektuuri, avatud lähtekoodi ja nendega seotud heade tavade kasutamist, et saavutada koostalitlusvõime ja ühised standardid, sealhulgas koordineeritud lähenemisviis tarneahela turvalisusele; |
| e) | kui see on asjakohane, teavet, mis hõlbustaks ühishankevahendite kasutamist asjaomaste küberturvalisuse teenuste ja toodete ostmiseks kolmandast isikust tarnijatelt; |
| f) | artikli 20 kohast teabevahetuskorda. |
Artikkel 22
Intsidentidele reageerimise koordineerimine ja koostöö
1. Küberturvalisuse alase teabevahetuse ja intsidentidele reageerimise koordineerimise keskusena hõlbustab CERT-EU intsidentide, küberohtude, nõrkuste ja ohuolukordadega seotud teabevahetust järgnevalt nimetatute vahel:
| a) | liidu üksused; |
| b) | artiklites 17 ja 18 osutatud samalaadsed asutused. |
2. CERT-EU hõlbustab asjakohasel juhul ja tihedas koostöös ENISAga intsidentidele reageerimise alast koordineerimist liidu üksuste vahel, sealhulgas:
| a) | panustamist järjepidevasse välissuhtlusesse; |
| b) | vastastikust toetust, nagu liidu üksustele olulise teabe jagamine või abistamine vahetult kohapeal, kui see on asjakohane; |
| c) | operatiivressursside optimaalset kasutamist; |
| d) | koordineerimist muude kriisidele reageerimise mehhanismidega liidu tasandil. |
3. CERT-EU toetab tihedas koostöös ENISAga liidu üksusi intsidentide, küberohtude, nõrkuste ja ohuolukordade alase olukorrateadlikkuse vallas, samuti küberturvalisuse valdkonna asjakohaste arengusuundumuste alase teabe jagamise vallas.
4. Hiljemalt 8. jaanuariks 2025 võtab IICB CERT-EU ettepaneku alusel vastu suunised või soovitused intsidentidele reageerimise koordineerimise ja koostöö kohta oluliste intsidentide korral. Kui kahtlustatakse, et intsident on kuritegelik, annab CERT-EU nõu selle kohta, kuidas teatada intsidendist põhjendamatu viivituseta õiguskaitseasutustele.
5. Liikmesriigi konkreetse taotluse alusel ja asjaomaste liidu üksuste nõusolekul võib CERT-EU kutsuda artikli 23 lõikes 4 osutatud nimekirjast eksperte, et aidata reageerida kõnealust liikmesriiki mõjutavale tõsisele intsidendile või ulatuslikule küberturbeintsidendile kooskõlas direktiivi (EL) 2022/2555 artikli 15 lõike 3 punktiga g. Konkreetsed reeglid, mille alusel saab liidu üksustest tehnilisi eksperte kutsuda ja nende teadmisi kasutada, kiidab CERT-EU ettepaneku alusel heaks IICB.
whereas