keyboard_tab Cyber Resilience Act 2023/2841 ET
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Artikkel 4 Isikuandmete töötlemine
- 2 Artikkel 6 Küberturvalisusriskide juhtimis-, haldamis- ja kontrollraamistik
- 2 Artikkel 8 Küberturvalisuse riskijuhtimismeetmed
I PEATÜKK
ÜLDSÄTTED
II PEATÜKK
KÜBERTURVALISUSE ÜHTLASELT KÕRGE TASEME TAGAMISE MEETMED
III PEATÜKK
INSTITUTSIOONIDEVAHELINE KÜBERTURVALISUSE NÕUKODA
IV PEATÜKK
CERT-EU
V PEATÜKK
KOOSTÖÖ- JA ARUANDEKOHUSTUSED
VI PEATÜKK
LÕPPSÄTTED
- küberturvalisuse 32
- liidu 30
- üksuse 16
- ning 13
- määruse 12
- käesoleva 12
- artikli 10
- või 10
- sealhulgas 9
- seotud 9
- nende 8
- vastavalt 8
- võib 7
- arvesse 6
- cert-eu 6
- üksused 6
- intsidentide 5
- eest 5
- põhimõtted 5
- turvalisuse 5
- rakendamise 5
- artiklile 5
- üksus 5
- juhul 5
- alusel 4
- osutatud 4
- iga 4
- turvalisus 4
- loodud 4
- kohaliku 4
- ametniku 4
- meetmed 4
- üksuses 4
- korrapäraselt 4
- mõju 3
- tagatakse 3
- infosüsteemide 3
- võrgu- 3
- artikkel 3
- turvalise 3
- nõrkuste 3
- ametisse 3
- isikuandmete 3
- asjaomase 3
- juhtimistasand 3
- kõrgeim 3
- ülesanded 3
- selle 3
- küberturvalisusriskide 3
- teeb 3
Artikkel 4
Isikuandmete töötlemine
1. CERT-EU, artikli 10 kohaselt loodud institutsioonidevaheline küberturvalisuse nõukoda ja liidu üksused töötlevad käesoleva määruse alusel isikuandmeid kooskõlas määrusega (EL) 2018/1725.
2. CERT-EU, artikli 10 kohaselt loodud institutsioonidevaheline küberturvalisuse nõukoda ja liidu üksused töötlevad ja vahetavad isikuandmeid käesoleva määruse kohaste ülesannete või kohustuste täitmisel üksnes kõnealuste ülesannete või kohustuste täitmise eesmärgil ja ulatuses, mis on selleks vajalik.
3. Määruse (EL) 2018/1725 artikli 10 lõikes 1 osutatud isikuandmete eriliikide töötlemist peetakse vajalikuks olulise avaliku huviga seotud põhjustel vastavalt kõnealuse määruse artikli 10 lõike 2 punktile g. Selliseid andmeid võib töödelda üksnes ulatuses, mis on vajalik käesoleva määruse artiklites 6 ja 8 osutatud küberturvalisuse riskijuhtimismeetmete rakendamiseks, CERT-EU teenuste osutamiseks vastavalt artiklile 13, konkreetse intsidendiga seotud teabe jagamiseks vastavalt artikli 17 lõikele 3 ja artikli 18 lõikele 3, teabe jagamiseks vastavalt artiklile 20, aruandekohustuste täitmiseks vastavalt artiklile 21, intsidentidele reageerimise koordineerimiseks ja koostööks vastavalt artiklile 22 ning tõsiste intsidentide haldamiseks vastavalt artiklile 23. Vastutava töötlejana kohaldavad liidu üksused ja CERT-EU tehnilisi meetmeid, et takistada isikuandmete eriliikide töötlemist muudel eesmärkidel, ning näevad ette sobivad erimeetmed andmesubjektide põhiõiguste ja huvide kaitseks.
II PEATÜKK
KÜBERTURVALISUSE ÜHTLASELT KÕRGE TASEME TAGAMISE MEETMED
Artikkel 6
Küberturvalisusriskide juhtimis-, haldamis- ja kontrollraamistik
1. Hiljemalt 8. aprilliks 2025 kehtestab iga liidu üksus pärast küberturvalisuse alast esialgset läbivaatamist, näiteks auditit, sisemise küberturvalisusriskide juhtimis-, haldamis- ja kontrollraamistiku (edaspidi „raamistik“). Raamistiku kehtestamise üle teeb järelevalvet ja selle eest vastutab liidu üksuse kõrgeim juhtimistasand.
2. Raamistik peab hõlmama asjaomase liidu üksuse kogu salastamata IKT-keskkonda, sealhulgas ruumides kohapeal olev IKT-keskkond, käidutehnoloogia võrk, hanke korras sisse ostetavad varad ja teenused, mis asuvad pilvandmetöötluse keskkondades või mida majutavad kolmandad isikud, mobiilseadmed, ettevõttevõrgud, internetiga ühendamata koondisevõrgud ja mistahes seadmed, mis on ühendatud nende keskkondadega (edaspidi „IKT-keskkond“). Raamistik põhineb kõiki ohte hõlmaval lähenemisviisil.
3. Raamistikuga tagatakse küberturvalisuse kõrge tase. Raamistikuga kehtestatakse võrgu- ja infosüsteemide turvalisusega seotud sisemised küberturvalisuse põhimõtted, sealhulgas eesmärgid ja prioriteedid, ning liidu üksuse nende töötajate roll ja kohustused, kelle ülesanne on tagada käesoleva määruse tulemuslik rakendamine. Raamistik sisaldab ka rakendamise tulemuslikkuse mõõtmise mehhanisme.
4. Raamistik vaadatakse läbi korrapäraselt, ent vähemalt iga nelja aasta tagant, võttes arvesse küberturvalisusriskide muutumist. Asjakohasel juhul ja artikli 10 kohaselt loodud institutsioonidevahelise küberturvalisuse nõukoja taotlusel võib liidu üksuse raamistikku ajakohastada vastavalt CERT-EU juhistele, mis käsitlevad kindlaks tehtud intsidente või käesoleva määruse rakendamisel täheldatud võimalikke lünki.
5. Iga liidu üksuse kõrgeim juhtimistasand vastutab käesoleva määruse rakendamise eest ja teeb järelevalvet selle üle, kuidas tema organisatsioon täidab raamistikuga seotud kohustusi.
6. Asjakohasel juhul ja ilma et see piiraks liidu üksuse kõrgeima juhtimistasandi vastutust käesoleva määruse rakendamise eest, võib iga liidu üksuse kõrgeim juhtimistasand delegeerida käesolevast määrusest tulenevad teatavad kohustused asjaomase liidu üksuse kõrgematele ametnikele personalieeskirjade artikli 29 lõike 2 tähenduses või muudele samaväärse tasandi ametnikele. Olenemata delegeerimisest võib kõrgeimat juhtimistasandit pidada vastutavaks käesoleva määruse rikkumise eest asjaomases liidu üksuses.
7. Igas liidu üksuses peavad olema toimivad mehhanismid, millega tagatakse, et küberturvalisusele kulutatakse piisav osa IKT eelarvest. Selle osa kindlaksmääramisel võetakse nõuetekohaselt arvesse raamistikku.
8. Iga liidu üksus nimetab ametisse kohaliku küberturvalisuse ametniku või samaväärseid ülesandeid täitva töötaja, kes on ühtne kontaktpunkt kõigis küberturvalisuse aspektides. Kohalik küberturvalisuse ametnik hõlbustab käesoleva määruse rakendamist ja annab otse kõrgeimale juhtimistasandile rakendamise seisust korrapäraselt aru. Ilma et see piiraks kohaliku küberturvalisuse ametniku tegutsemist igas liidu üksuses ühtse kontaktpunktina, võib liidu üksus delegeerida kohaliku küberturvalisuse ametniku teatavad käesoleva määruse rakendamisega seotud ülesanded CERT-EU-le kõnealuse liidu üksuse ja CERT-EU vahel sõlmitud teenustaseme kokkuleppe alusel või võib need ülesanded jagada mitme liidu üksuse vahel. Kui need ülesanded delegeeritakse CERT-EU-le, otsustab artikli 10 alusel loodud institutsioonidevaheline küberturvalisuse nõukoda, kas seda teenust osutatakse CERT-EU põhiteenuste osana, võttes arvesse asjaomase liidu üksuse inim- ja rahalisi ressursse. Iga liidu üksus teavitab põhjendamatu viivituseta CERT-EUd kohaliku küberturvalisuse ametniku ametisse nimetamisest ja sellega seotud hilisematest muudatustest.
CERT-EU koostab ametisse nimetatud kohalike küberturvalisuse ametnike nimekirja ja ajakohastab seda.
9. Iga liidu üksuse kõrgemad ametnikud personalieeskirjade artikli 29 lõike 2 tähenduses või muud samaväärse tasandi ametnikud ning kõik töötajad, kelle ülesanne on rakendada käesolevas määruses sätestatud küberturvalisuse riskijuhtimismeetmeid ja täita käesolevas määruses sätestatud kohustusi, osalevad korrapäraselt erikoolitustel, et omandada piisavad teadmised ja oskused küberturvalisuse riskide ja nende juhtimise tavade ning nende liidu üksuse tegevusele avalduva mõju mõistmiseks ja hindamiseks.
Artikkel 8
Küberturvalisuse riskijuhtimismeetmed
1. Iga liidu üksus võtab põhjendamatu viivituseta ja igal juhul hiljemalt 8. septembriks 2025 oma kõrgeima juhtimistasandi järelevalve all asjakohased ja proportsionaalsed tehnilised, tegevuslikud ja korralduslikud meetmed, et juhtida raamistiku alusel kindlaks tehtud küberturvalisusriske ning hoida ära või minimeerida intsidentide mõju. Kõnealuste meetmetega tagatakse kogu IKT-keskkonnas võrgu- ja infosüsteemide turvalisuse tase, mis vastab asjakohastele küberturvalisusriskidele, võttes arvesse tehnika taset, ja kui see on kohaldatav, asjakohaseid Euroopa ja rahvusvahelisi standardeid. Kõnealuste meetmete proportsionaalsuse hindamisel võetakse igakülgselt arvesse liidu üksuse küberturvalisusriskidele avatuse määra, tema suurust ning intsidentide esinemise tõenäosust ja nende raskust, sealhulgas nende ühiskondlikku, majanduslikku ja institutsioonidevahelist mõju.
2. Liidu üksused käsitlevad küberturvalisuse riskijuhtimismeetmete rakendamisel vähemalt järgmisi valdkondi:
| a) | küberturvalisuse põhimõtted, sealhulgas artiklis 6 ja käesoleva artikli lõikes 3 osutatud eesmärkide ja prioriteetide saavutamiseks vajalikud meetmed; |
| b) | küberturvalisuse riskide analüüsi ja infosüsteemide turvalisuse põhimõtted; |
| c) | pilvandmetöötlusteenuste kasutamisega seotud põhimõtete eesmärgid; |
| d) | asjakohasel juhul küberturvalisuse audit, mis võib hõlmata küberturvalisuse riskide, nõrkuste ja küberohtude hindamist, ning läbistustestimine, mida teeb korrapäraselt usaldusväärne erasektori teenuseosutaja; |
| e) | punktis d osutatud küberturvalisuse audititest tulenevate soovituste rakendamine küberturvalisuse ja põhimõtete ajakohastamise kaudu; |
| f) | küberturvalisuse korraldamine, sealhulgas ülesannete ja kohustuste kindlaksmääramine; |
| g) | varade haldamine, sealhulgas IKT-varade inventeerimine ja IKT-võrgu kaardistamine; |
| h) | personali turvalisus ja juurdepääsu kontroll; |
| i) | tegevuse turvalisus; |
| j) | teabeedastuse turvalisus; |
| k) | süsteemide soetamine, arendamine ja hooldamine, sealhulgas nõrkuste käsitlemise ja avalikustamise põhimõtted; |
| l) | võimaluse korral lähtekoodi läbipaistvuse põhimõtted; |
| m) | tarneahela turvalisus, sealhulgas turvalisusega seotud aspektid iga liidu üksuse ja tema otseste tarnijate või teenuseosutajate vahelistes suhetes; |
| n) | intsidentide käsitlemine ja koostöö CERT-EUga, näiteks pidev turvalisuse seire ja logipidamine; |
| o) | talitluspidevuse juhtimine, näiteks varundushaldus ja avariitaaste, ning kriisiohje, ning |
| p) | küberturvalisuse alase õppe, oskuste, teadlikkuse suurendamise, õppuste ja koolitusega seotud programmide edendamine ja arendamine. |
Esimese lõigu punkti m kohaldamisel võtavad liidu üksused arvesse igale otsesele tarnijale ja teenuseosutajale omaseid nõrkusi ning oma tarnijate ja teenuseosutajate toodete üldist kvaliteeti ja küberturvalisuse tavasid, sealhulgas nende turvalise arenduse korda.
3. Liidu üksused võtavad vähemalt järgmisi küberturvalisuse riskijuhtimiserimeetmeid:
| a) | kaugtöö võimaldamise ja jätkamise tehniline kord; |
| b) | konkreetsed sammud usaldamatuse põhimõtete järgimiseks; |
| c) | võrgu- ja infosüsteemides mitmikautentimise kohustuslik kasutamine; |
| d) | krüptograafia ja krüpteerimise, eelkõige otspunktkrüpteerimise ja turvalise digiallkirjastamise kasutamine; |
| e) | asjakohasel juhul turvalise hääl-, video- ja tekstiside ning turvaliste hädaolukorra sidesüsteemide kasutamine liidu üksuses; |
| f) | ennetavad meetmed paha- ja nuhkvara tuvastamiseks ja kõrvaldamiseks; |
| g) | tarkvara tarneahela turvalisuse tagamine tarkvara arendamise ja hindamise turvalisuse kriteeriumide abil; |
| h) | selliste küberturvalisuse alaste koolitusprogrammide koostamine ja vastuvõtmine, mis on vastavuses ülesannetega, mis on antud käesoleva määruse tulemusliku rakendamise tagamise eest vastutavale liidu üksuse kõrgeimale juhtimistasandile ja töötajatele, ja neilt eeldatava suutlikkusega; |
| i) | töötajate korrapärane koolitamine küberturvalisuse teemal; |
| j) | liidu üksuste omavahelise ühendatuse riskianalüüsides osalemine, kui see on asjakohane; |
| k) | hankereeglite tõhustamine, et toetada küberturvalisuse ühtlaselt kõrget taset järgmiste vahenditega:
|
whereas