keyboard_tab Cyber Resilience Act 2023/2841 ET
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Artikkel 8 Küberturvalisuse riskijuhtimismeetmed
- 1 Artikkel 12 Nõuete järgimine
- 1 Artikkel 17
I PEATÜKK
ÜLDSÄTTED
II PEATÜKK
KÜBERTURVALISUSE ÜHTLASELT KÕRGE TASEME TAGAMISE MEETMED
III PEATÜKK
INSTITUTSIOONIDEVAHELINE KÜBERTURVALISUSE NÕUKODA
IV PEATÜKK
CERT-EU
V PEATÜKK
KOOSTÖÖ- JA ARUANDEKOHUSTUSED
VI PEATÜKK
LÕPPSÄTTED
- liidu 40
- küberturvalisuse 17
- või 15
- üksus 14
- ning 11
- sealhulgas 10
- üksuse 9
- cert-eu 9
- kohaselt 8
- iicb 8
- käesoleva 7
- mõjutatud 7
- asjaomasele 6
- juhul 6
- üksusele 6
- artikli 6
- lõigu 5
- turvalisuse 5
- esimese 5
- teavet 5
- arvesse 5
- intsidendi 5
- intsidentide 5
- jooksul 5
- kui 5
- nende 4
- direktiivi 4
- asutustega 4
- samalaadsete 4
- turvalisus 4
- asjakohased 4
- määruse 4
- võib 4
- kindlaksmääratud 4
- selleks 4
- põhimõtted 4
- kohta 4
- üksused 4
- meetmed 4
- teeb 3
- asjaomase 3
- küberohtude 3
- käesolevat 3
- nõrkuste 3
- asjakohasel 3
- põhimõtete 3
- osutatud 3
- põhjendatud 3
- seotud 3
- intsidente 3
Artikkel 8
Küberturvalisuse riskijuhtimismeetmed
1. Iga liidu üksus võtab põhjendamatu viivituseta ja igal juhul hiljemalt 8. septembriks 2025 oma kõrgeima juhtimistasandi järelevalve all asjakohased ja proportsionaalsed tehnilised, tegevuslikud ja korralduslikud meetmed, et juhtida raamistiku alusel kindlaks tehtud küberturvalisusriske ning hoida ära või minimeerida intsidentide mõju. Kõnealuste meetmetega tagatakse kogu IKT-keskkonnas võrgu- ja infosüsteemide turvalisuse tase, mis vastab asjakohastele küberturvalisusriskidele, võttes arvesse tehnika taset, ja kui see on kohaldatav, asjakohaseid Euroopa ja rahvusvahelisi standardeid. Kõnealuste meetmete proportsionaalsuse hindamisel võetakse igakülgselt arvesse liidu üksuse küberturvalisusriskidele avatuse määra, tema suurust ning intsidentide esinemise tõenäosust ja nende raskust, sealhulgas nende ühiskondlikku, majanduslikku ja institutsioonidevahelist mõju.
2. Liidu üksused käsitlevad küberturvalisuse riskijuhtimismeetmete rakendamisel vähemalt järgmisi valdkondi:
| a) | küberturvalisuse põhimõtted, sealhulgas artiklis 6 ja käesoleva artikli lõikes 3 osutatud eesmärkide ja prioriteetide saavutamiseks vajalikud meetmed; |
| b) | küberturvalisuse riskide analüüsi ja infosüsteemide turvalisuse põhimõtted; |
| c) | pilvandmetöötlusteenuste kasutamisega seotud põhimõtete eesmärgid; |
| d) | asjakohasel juhul küberturvalisuse audit, mis võib hõlmata küberturvalisuse riskide, nõrkuste ja küberohtude hindamist, ning läbistustestimine, mida teeb korrapäraselt usaldusväärne erasektori teenuseosutaja; |
| e) | punktis d osutatud küberturvalisuse audititest tulenevate soovituste rakendamine küberturvalisuse ja põhimõtete ajakohastamise kaudu; |
| f) | küberturvalisuse korraldamine, sealhulgas ülesannete ja kohustuste kindlaksmääramine; |
| g) | varade haldamine, sealhulgas IKT-varade inventeerimine ja IKT-võrgu kaardistamine; |
| h) | personali turvalisus ja juurdepääsu kontroll; |
| i) | tegevuse turvalisus; |
| j) | teabeedastuse turvalisus; |
| k) | süsteemide soetamine, arendamine ja hooldamine, sealhulgas nõrkuste käsitlemise ja avalikustamise põhimõtted; |
| l) | võimaluse korral lähtekoodi läbipaistvuse põhimõtted; |
| m) | tarneahela turvalisus, sealhulgas turvalisusega seotud aspektid iga liidu üksuse ja tema otseste tarnijate või teenuseosutajate vahelistes suhetes; |
| n) | intsidentide käsitlemine ja koostöö CERT-EUga, näiteks pidev turvalisuse seire ja logipidamine; |
| o) | talitluspidevuse juhtimine, näiteks varundushaldus ja avariitaaste, ning kriisiohje, ning |
| p) | küberturvalisuse alase õppe, oskuste, teadlikkuse suurendamise, õppuste ja koolitusega seotud programmide edendamine ja arendamine. |
Esimese lõigu punkti m kohaldamisel võtavad liidu üksused arvesse igale otsesele tarnijale ja teenuseosutajale omaseid nõrkusi ning oma tarnijate ja teenuseosutajate toodete üldist kvaliteeti ja küberturvalisuse tavasid, sealhulgas nende turvalise arenduse korda.
3. Liidu üksused võtavad vähemalt järgmisi küberturvalisuse riskijuhtimiserimeetmeid:
| a) | kaugtöö võimaldamise ja jätkamise tehniline kord; |
| b) | konkreetsed sammud usaldamatuse põhimõtete järgimiseks; |
| c) | võrgu- ja infosüsteemides mitmikautentimise kohustuslik kasutamine; |
| d) | krüptograafia ja krüpteerimise, eelkõige otspunktkrüpteerimise ja turvalise digiallkirjastamise kasutamine; |
| e) | asjakohasel juhul turvalise hääl-, video- ja tekstiside ning turvaliste hädaolukorra sidesüsteemide kasutamine liidu üksuses; |
| f) | ennetavad meetmed paha- ja nuhkvara tuvastamiseks ja kõrvaldamiseks; |
| g) | tarkvara tarneahela turvalisuse tagamine tarkvara arendamise ja hindamise turvalisuse kriteeriumide abil; |
| h) | selliste küberturvalisuse alaste koolitusprogrammide koostamine ja vastuvõtmine, mis on vastavuses ülesannetega, mis on antud käesoleva määruse tulemusliku rakendamise tagamise eest vastutavale liidu üksuse kõrgeimale juhtimistasandile ja töötajatele, ja neilt eeldatava suutlikkusega; |
| i) | töötajate korrapärane koolitamine küberturvalisuse teemal; |
| j) | liidu üksuste omavahelise ühendatuse riskianalüüsides osalemine, kui see on asjakohane; |
| k) | hankereeglite tõhustamine, et toetada küberturvalisuse ühtlaselt kõrget taset järgmiste vahenditega:
|
Artikkel 12
Nõuete järgimine
1. IICB teeb kooskõlas artikli 10 lõikega 2 ja artikliga 11 tulemuslikku seiret selle üle, kuidas liidu üksused rakendavad käesolevat määrust ning vastuvõetud suuniseid, soovitusi ja üleskutseid. IICB võib nõuda liidu üksustelt selleks vajalikku teavet või dokumente. Käesoleva artikli kohaste nõuete järgimise meetmete vastuvõtmisel ei ole liidu üksusel hääleõigust, kui asjaomane liidu üksus on otseselt esindatud IICBs.
2. Kui IICB leiab, et liidu üksus ei ole käesolevat määrust või käesoleva määruse alusel esitatud suuniseid, soovitusi või üleskutseid tulemuslikult järginud, võib ta pärast asjaomasele liidu üksusele võimaluse andmist tähelepanekute esitamiseks ja ilma, et see piiraks asjaomase liidu üksuse sisemenetlusi, teha järgmist:
| a) | edastada asjaomasele liidu üksusele põhjendatud arvamuse, milles juhitakse tähelepanu käesoleva määruse rakendamisel täheldatud puudustele; |
| b) | anda pärast CERT-EUga konsulteerimist asjaomasele liidu üksusele suuniseid, tagamaks et selle raamistik, küberturvalisuse riskijuhtimismeetmed, küberturvalisuse kava ja aruandlus oleksid kindlaksmääratud aja jooksul käesoleva määrusega kooskõlas; |
| c) | anda hoiatuse tuvastatud puuduste käsitlemiseks kindlaksmääratud aja jooksul, sealhulgas soovitused muuta asjaomase liidu üksuse poolt käesoleva määruse kohaselt vastu võetud meetmeid; |
| d) | esitada asjaomasele liidu üksusele põhjendatud teate, kui punkti c kohaselt antud hoiatuses tuvastatud puudusi ei ole kindlaksmääratud aja jooksul piisavalt käsitletud; |
| e) | esitada
|
| f) | teavitada oma volituste piires kontrollikoda väidetavast nõuetele mittevastavusest, kui see on asjakohane; |
| g) | esitada kõigile liikmesriikidele ja liidu üksustele soovituse peatada ajutiselt asjaomasele liidu üksusele suunatud andmevood. |
Esimese lõigu punkti c kohaldamisel piiratakse hoiatuse sihtrühma asjakohaselt, kui see on vajalik küberturvalisusriski tõttu.
Esimese lõigu kohaselt esitatud hoiatused ja soovitused suunatakse asjaomase liidu üksuse kõrgeimale juhtimistasandile.
3. Kui IICB on võtnud lõike 2 esimese lõigu punktide a–g kohaseid meetmeid, esitab asjaomane liidu üksus IICB tuvastatud väidetavate puuduste kõrvaldamiseks võetud meetmete üksikasjad. Liidu üksus esitab need üksikasjad IICBga kokku lepitud mõistliku aja jooksul.
4. Kui IICB leiab, et liidu üksus rikub järjepidevalt käesolevat määrust, tingituna otseselt liidu ametniku või muu teenistuja tegevusest või tegevusetusest, sealhulgas kõrgeimal juhtimistasandil, nõuab IICB, et asjaomane liidu üksus võtaks asjakohased meetmed, sealhulgas nõuab, et üksus kaaluks distsiplinaarmeetmete võtmist kooskõlas personalieeskirjades sätestatud normide ja menetlustega ning muude kohaldatavate normide ja menetlustega. Selleks edastab IICB asjaomasele liidu üksusele vajaliku teabe.
5. Kui liidu üksus teatab, et ta ei suuda artikli 6 lõikes 1 ja artikli 8 lõikes 1 sätestatud tähtaegadest kinni pidada, võib IICB anda igakülgselt põhjendatud juhtudel ja liidu üksuse suurust arvesse võttes loa tähtaegu pikendada.
IV PEATÜKK
CERT-EU
Artikkel 17
1. CERT-EU teeb liikmesriikide samalaadsete asutustega, sh direktiivi (EL) 2022/2555 artikli 10 kohaselt määratud või asutatud CSIRTidega või asjakohasel juhul pädevate asutustega ja sama direktiivi artikli 8 kohaselt määratud või asutatud ühtsete kontaktpunktidega põhjendamatu viivituseta koostööd ja vahetab nendega teavet küsimustes, mis puudutavad intsidente, küberohte, nõrkusi, ohuolukordi, võimalikke vastumeetmeid ja häid tavasid, ning kõigis küsimustes, mis on asjakohased liidu üksuste IKT-keskkondade kaitse parandamiseks, sh direktiivi (EL) 2022/2555 artiklis 15 osutatud CSIRTide võrgustiku kaudu. CERT-EU toetab komisjoni direktiivi (EL) 2022/2555 artikli 16 kohaselt loodud EU-CyCLONe töös ulatuslike küberturbeintsidentide ja kriiside koordineeritud haldamisel.
2. Kui CERT-EU saab teada liikmesriigi territooriumil aset leidnud olulisest intsidendist. teavitab ta vastavalt lõikele 1 viivitamata kõiki kõnealuse liikmesriigi asjaomaseid samalaadseid asutusi.
3. CERT-EU vahetab põhjendamatu viivituseta ja tingimusel, et isikuandmeid kaitstakse kohaldatava liidu andmekaitsealase õiguse kohaselt, liikmesriikide samalaadsete asutustega asjakohast teavet konkreetse intsidendi kohta, et hõlbustada samalaadsete küberohtude või intsidentide avastamist või aidata intsidenti analüüsida, ilma mõjutatud liidu üksuse loata. CERT-EU vahetab konkreetse intsidendi kohta sellist teavet, millest ilmneb intsidendi sihtmärgi identiteet, üksnes juhul, kui:
| a) | mõjutatud liidu üksus annab selleks oma nõusoleku; |
| b) | mõjutatud liidu üksus ei ole punktis a sätestatu kohaselt oma nõusolekut andnud, kuid mõjutatud liidu üksuse identiteedi avaldamine suurendaks tõenäosust, et seeläbi välditakse või leevendatakse intsidente mujal; |
| c) | mõjutatud liidu üksus on juba avalikustanud, et see intsident on teda mõjutanud. |
Otsused konkreetse intsidendi kohta sellise teabe vahetamiseks, millest ilmneb intsidendi sihtmärgi identiteet vastavalt esimese lõigu punktile b, kiidab heaks CERT-EU juht. Enne sellise otsuse tegemist võtab CERT-EU mõjutatud liidu üksusega kirjalikult ühendust ja selgitab, kuidas tema identiteedi avalikustamine aitaks vältida või leevendada intsidente mujal. CERT-EU juht esitab omapoolse selgituse ja palub sõnaselgelt, et liidu üksus teataks, kas ta annab oma nõusoleku kindlaksmääratud ajavahemiku jooksul. CERT-EU juht teavitab liidu üksust ka sellest, et esitatud selgitust arvesse võttes jätab ta endale õiguse avaldada teave isegi juhul, kui üksus selleks oma nõusolekut ei anna. Enne kui teave avalikustatakse, teavitatakse sellest mõjutatud liidu üksust.
whereas