keyboard_tab Cyber Resilience Act 2023/2841 ET

1.   Luuakse institutsioonidevaheline küberturvalisuse nõukoda (IICB).

2.   IICB kohustused on järgmised:

3.   IICB-sse kuuluvad järgmised isikud:

IICBs esindatud liidu üksused püüavad saavutada määratud esindajate seas soolise tasakaalu.

4.   IICB liikmeid võivad abistada asendusliikmed. Juhataja võib IICB koosolekule osalema kutsuda lõikes 3 osutatud liidu üksuste või muude liidu üksuste muid esindajaid, kuid neil ei ole hääleõigust.

5.   CERT-EU juht ja direktiivi (EL) 2022/2555 artikli 14 kohaselt loodud koostöörühma, artikli 15 kohaselt loodud CSIRTide võrgustiku ja artikli 16 kohaselt loodud EU-CyCLONe juhatajad või nende asendusliikmed võivad IICB koosolekul osaleda vaatlejana. Erandjuhtudel ja kooskõlas IICB kodukorraga võib IICB otsustada teisiti.

6.   IICB võtab vastu oma kodukorra.

7.   IICB määrab kooskõlas kodukorraga oma liikmete hulgast juhataja kolmeks aastaks. Juhataja asendusliikmest saab samaks ajavahemikuks IICB täisliige.

8.   IICB kohtub vähemalt kolm korda aastas juhataja algatusel või CERT-EU või mõne oma liikme taotlusel.

9.   Igal IICB liikmel on üks hääl. IICB otsused tehakse lihthäälteenamusega, kui käesolevas määruses ei ole sätestatud teisiti. IICB juhatajal ei ole hääleõigust, välja arvatud häälte võrdse jagunemise korral, kui ta võib anda otsustava hääle.

10.   IICB võib tegutseda oma kodukorra kohaselt algatatud lihtsustatud kirjaliku menetluse teel. Kõnealuse menetluse kohaselt loetakse asjaomane otsus juhataja määratud aja jooksul heakskiidetuks, kui mõni liige ei esita vastuväidet.

11.   IICB sekretariaaditeenuseid osutab komisjon ja sekretariaat on vastutav IICB juhataja ees.

12.   ELi asutuste võrgustiku poolt nimetatud esindajad edastavad IICB otsused ELi asutuste võrgustiku liikmetele. Igal ELi asutuste võrgustiku liikmel on õigus juhtida nende esindajate või IICB juhataja tähelepanu teemale, mis tema arvates peaks pälvima IICB tähelepanu.

13.   IICB võib luua täitevkomitee, mis aitaks teda tema töös, ning delegeerida sellele osa oma ülesandeid ja volitusi. IICB kehtestab täitevkomitee kodukorra, kaasa arvatud selle ülesanded ja volitused, ning selle liikmete ametiaja kestuse.

14.   IICB esitab hiljemalt 8. jaanuariks 2025 ja seejärel igal aastal Euroopa Parlamendile ja nõukogule aruande, milles kirjeldatakse üksikasjalikult käesoleva määruse rakendamisel tehtud edusamme ning täpsustatakse eelkõige, mil määral teeb CERT-EU koostööd iga liikmesriigi samalaadsete asutustega. Aruannet võetakse arvesse direktiivi (EL) 2022/2555 artikli 18 kohaselt iga kahe aasta tagant vastu võetavas aruandes, mis käsitleb küberturvalisuse olukorda liidus.

1.   CERT-EU missioon on aidata kaasa kõigi liidu üksuste salastamata IKT-keskkonna turvalisusele, andes neile küberturvalisuse alast nõu, aidates neil intsidente ära hoida, tuvastada, neid käsitleda ja leevendada, intsidentidele reageerida ja neist taastuda ning tegutsedes nende küberturvalisuse alase teabevahetuse ja intsidentidele reageerimise koordineerimise keskusena.

2.   CERT-EU kogub, haldab, analüüsib ja jagab liidu üksustega teavet, mis käsitleb salastamata IKT-taristu küberohte, nõrkusi ja sellega seotud intsidente. CERT-EU koordineerib intsidentidele reageerimist institutsioonidevahelisel ja liidu üksuste tasandil, andes muu hulgas operatiivset eriabi või koordineerides seda.

3.   CERT-EU täidab liidu üksuste jaoks järgmisi ülesandeid:

Kui see on kohaldatav ja asjakohane, jagatakse esimese lõigu punktis e osutatud teavet IICB, CSIRTide võrgustiku ning Euroopa Liidu luure- ja situatsioonikeskusega (EU INTCEN), järgides seejuures asjakohaseid konfidentsiaalsusnõudeid.

4.   CERT-EU võib asjakohasel juhul teha liidus ja selle liikmesriikides koostööd asjaomaste küberturvalisuse kogukondadega vastavalt artiklile 17 või 18, muuhulgas järgmistes valdkondades:

5.   CERT-EU teeb enda pädevusse kuuluvates küsimustes struktureeritud koostööd ENISAga suutlikkuse suurendamise, operatiivkoostöö ja küberohtude pikaajalise strateegilise analüüsi vallas kooskõlas määrusega (EL) 2019/881. CERT-EU võib teha koostööd ja vahetada teavet Europoli küberkuritegevuse vastase võitluse Euroopa keskusega.

6.   CERT-EU võib pakkuda järgmisi teenuseid, mida ei ole kirjeldatud tema teenuste kataloogis (edaspidi „tasulised teenused“):

Võttes arvesse esimese lõigu punkti d, võib CERT-EU erandkorras sõlmida teenustaseme kokkuleppeid muude üksustega kui liidu üksused, kui IICB on selle eelnevalt heaks kiitnud.

7.   CERT-EU korraldab küberturvalisuse õppusi ja võib neil osaleda või soovitada osaleda olemasolevatel õppustel, tehes seda tihedas koostöös ENISAga alati, kui see on asjakohane, et kontrollida liidu üksuste küberturvalisuse taset.

8.   CERT-EU võib pakkuda liidu üksustele abi ELi salastatud teavet käitlevate võrgu- ja infosüsteemide intsidentide puhul, kui asjaomased liidu üksused seda temalt oma vastavate menetluste kohaselt sõnaselgelt taotlevad. CERT-EU poolt käesoleva lõike alusel abi osutamine ei piira salastatud teabe kaitseks kehtestatud reeglite järgimist.

9.   CERT-EU teavitab liidu üksusi oma intsidendi käsitlemise menetlustest ja protsessidest.

10.   CERT-EU edastab asjakohaste koostöömehhanismide ja aruandlusahelate kaudu olulise ja anonüümitud teabe tõsiste intsidentide ja nende käsitlemisviisi kohta, tagades seejuures konfidentsiaalsuse ja usaldusväärsuse kõrge taseme. See teave lisatakse artikli 10 lõikes 14 osutatud aruandesse.

11.   CERT-EU toetab koostöös Euroopa Andmekaitseinspektoriga liidu üksusi selliste intsidentide käsitlemisel, millega kaasneb isikuandmetega seotud rikkumine, ilma et see piiraks Euroopa Andmekaitseinspektori kui järelevalveasutuse ülesandeid ja pädevust määruse (EL) 2018/1725 alusel.

12.   CERT-EU võib asjakohastes poliitikaküsimustes anda tehnilist nõu või sisendit, kui liidu üksuste poliitikaosakonnad on seda sõnaselgelt taotlenud.

1.   CERT-EU teeb liikmesriikide samalaadsete asutustega, sh direktiivi (EL) 2022/2555 artikli 10 kohaselt määratud või asutatud CSIRTidega või asjakohasel juhul pädevate asutustega ja sama direktiivi artikli 8 kohaselt määratud või asutatud ühtsete kontaktpunktidega põhjendamatu viivituseta koostööd ja vahetab nendega teavet küsimustes, mis puudutavad intsidente, küberohte, nõrkusi, ohuolukordi, võimalikke vastumeetmeid ja häid tavasid, ning kõigis küsimustes, mis on asjakohased liidu üksuste IKT-keskkondade kaitse parandamiseks, sh direktiivi (EL) 2022/2555 artiklis 15 osutatud CSIRTide võrgustiku kaudu. CERT-EU toetab komisjoni direktiivi (EL) 2022/2555 artikli 16 kohaselt loodud EU-CyCLONe töös ulatuslike küberturbeintsidentide ja kriiside koordineeritud haldamisel.

2.   Kui CERT-EU saab teada liikmesriigi territooriumil aset leidnud olulisest intsidendist. teavitab ta vastavalt lõikele 1 viivitamata kõiki kõnealuse liikmesriigi asjaomaseid samalaadseid asutusi.

3.   CERT-EU vahetab põhjendamatu viivituseta ja tingimusel, et isikuandmeid kaitstakse kohaldatava liidu andmekaitsealase õiguse kohaselt, liikmesriikide samalaadsete asutustega asjakohast teavet konkreetse intsidendi kohta, et hõlbustada samalaadsete küberohtude või intsidentide avastamist või aidata intsidenti analüüsida, ilma mõjutatud liidu üksuse loata. CERT-EU vahetab konkreetse intsidendi kohta sellist teavet, millest ilmneb intsidendi sihtmärgi identiteet, üksnes juhul, kui:

Otsused konkreetse intsidendi kohta sellise teabe vahetamiseks, millest ilmneb intsidendi sihtmärgi identiteet vastavalt esimese lõigu punktile b, kiidab heaks CERT-EU juht. Enne sellise otsuse tegemist võtab CERT-EU mõjutatud liidu üksusega kirjalikult ühendust ja selgitab, kuidas tema identiteedi avalikustamine aitaks vältida või leevendada intsidente mujal. CERT-EU juht esitab omapoolse selgituse ja palub sõnaselgelt, et liidu üksus teataks, kas ta annab oma nõusoleku kindlaksmääratud ajavahemiku jooksul. CERT-EU juht teavitab liidu üksust ka sellest, et esitatud selgitust arvesse võttes jätab ta endale õiguse avaldada teave isegi juhul, kui üksus selleks oma nõusolekut ei anna. Enne kui teave avalikustatakse, teavitatakse sellest mõjutatud liidu üksust.

1.   Intsidenti käsitatakse olulisena, kui:

2.   Liidu üksused esitavad CERT-EU-le:

3.   Liidu üksus teavitab põhjendamatu viivituseta, ent igal juhul 24 tunni jooksul pärast olulisest intsidendist teadasaamist artikli 17 lõikes 1 osutatud liikmesriikide samalaadseid asutusi liikmesriigis, kus ta asub, olulise intsidendi ilmnemisest.

4.   Liidu üksused esitavad muu hulgas mis tahes teabe, mis võimaldab CERT-EU-l teha kindlaks sellest olulisest intsidendist lähtuva üksuseülese mõju, vastuvõtvale liikmesriigile avalduva mõju või piiriülese mõju. Ilma et see piiraks artikli 12 kohaldamist, ei suurene teavitava üksuse vastutus üksnes teavitamise tõttu.

5.   Kui see on kohaldatav, teavitavad liidu üksused mõjutatud võrgu- ja infosüsteemide või muude selliste IKT-keskkonna komponentide kasutajaid, mida oluline intsident või oluline küberoht võib mõjutada, ja kes peavad asjakohasel juhul võtma leevendusmeetmeid, põhjendamatu viivituseta meetmetest või parandusmeetmetest, mida nad saavad sellele intsidendile või ohule reageerimiseks võtta. Kui see on asjakohane, teavitavad liidu üksused kõnealuseid kasutajaid ka olulisest küberohust endast.

6.   Kui oluline intsident või oluline küberoht mõjutab võrgu- ja infosüsteemi või liidu üksuse IKT-keskkonna sellist komponenti, mis on teadlikult ühendatud mõne teise liidu üksuse IKT-keskkonnaga, väljastab CERT-EU asjakohase küberturvalisuse hoiatuse.

7.   Liidu üksused esitavad CERT-EU taotlusel CERT-EU-le põhjendamatu viivituseta digitaalse teabe, mis on tekkinud nende vastavate intsidentidega seotud elektrooniliste seadmete kasutamisel. CERT-EU võib esitada täiendavaid üksikasju sellise teabe liigi kohta, mida ta vajab olukorrateadlikkuse ja intsidentidele reageerimise jaoks.

8.   CERT-EU esitab IICB-le, ENISA-le, EU INTCENile ja CSIRTide võrgustikule iga kolme kuu tagant koondaruande, mis sisaldab anonüümitud ja koondatud andmeid oluliste intsidentide, intsidentide, küberohtude, ohuolukordade ja nõrkuste kohta vastavalt artiklile 20 ning käesoleva artikli lõike 2 kohaselt teatatud oluliste intsidentide kohta. Koondaruannet võetakse arvesse direktiivi (EL) 2022/2555 artikli 18 kohaselt iga kahe aasta järel vastu võetavas aruandes, mis käsitleb küberturvalisuse olukorda liidus.

9.   Hiljemalt 8. juuliks 2024 annab IICB välja suunised või soovitused, milles täpsustatakse käesoleva artikli alusel aruandmise täiendavad üksikasjad, vorming ja sisu. Selliste suuniste või soovituste koostamisel võtab IICB arvesse kõiki direktiivi (EL) 2022/2555 artikli 23 lõike 11 kohaselt vastu võetud rakendusakte, milles täpsustatakse teavituse teabeliik, vorming ja esitamise kord. CERT-EU levitab asjakohaseid tehnilisi üksikasju, et liidu üksused saaksid tegeleda ennetava tuvastamise, intsidentidele reageerimise või leevendusmeetmetega.

10.   Käesolevas artiklis sätestatud aruandekohustused ei laiene

1.   Küberturvalisuse alase teabevahetuse ja intsidentidele reageerimise koordineerimise keskusena hõlbustab CERT-EU intsidentide, küberohtude, nõrkuste ja ohuolukordadega seotud teabevahetust järgnevalt nimetatute vahel:

2.   CERT-EU hõlbustab asjakohasel juhul ja tihedas koostöös ENISAga intsidentidele reageerimise alast koordineerimist liidu üksuste vahel, sealhulgas:

3.   CERT-EU toetab tihedas koostöös ENISAga liidu üksusi intsidentide, küberohtude, nõrkuste ja ohuolukordade alase olukorrateadlikkuse vallas, samuti küberturvalisuse valdkonna asjakohaste arengusuundumuste alase teabe jagamise vallas.

4.   Hiljemalt 8. jaanuariks 2025 võtab IICB CERT-EU ettepaneku alusel vastu suunised või soovitused intsidentidele reageerimise koordineerimise ja koostöö kohta oluliste intsidentide korral. Kui kahtlustatakse, et intsident on kuritegelik, annab CERT-EU nõu selle kohta, kuidas teatada intsidendist põhjendamatu viivituseta õiguskaitseasutustele.

5.   Liikmesriigi konkreetse taotluse alusel ja asjaomaste liidu üksuste nõusolekul võib CERT-EU kutsuda artikli 23 lõikes 4 osutatud nimekirjast eksperte, et aidata reageerida kõnealust liikmesriiki mõjutavale tõsisele intsidendile või ulatuslikule küberturbeintsidendile kooskõlas direktiivi (EL) 2022/2555 artikli 15 lõike 3 punktiga g. Konkreetsed reeglid, mille alusel saab liidu üksustest tehnilisi eksperte kutsuda ja nende teadmisi kasutada, kiidab CERT-EU ettepaneku alusel heaks IICB.

1.   Selleks et toetada liidu üksusi mõjutavate tõsiste intsidentide koordineeritud haldamist operatiivtasandil ning aidata kaasa asjakohase teabe korrapärasele vahetamisele liidu üksuste vahel ja liikmesriikidega, töötab IICB vastavalt artikli 11 punktile q ning tihedas koostöös CERT-EU ja ENISAga välja artikli 22 lõikes 2 osutatud tegevustel põhineva küberkriiside haldamise kava. Küberkriiside haldamise kava sisaldab vähemalt järgmist:

2.   Käesoleva artikli lõike 1 alusel välja töötatud küberkriiside haldamise kava kohaldamisel ja ilma et see piiraks direktiivi (EL) 2022/2555 artikli 16 lõike 2 esimese lõigu kohaldamist, toimib IICB tegevuses osalev komisjoni esindaja kontaktpunktina tõsiste intsidentidega seotud asjakohase teabe jagamisel EU-CyCLONega.

3.   CERT-EU koordineerib tõsiste intsidentide haldamist liidu üksuste vahel. CERT-EU peab loendit olemasolevatest tehnilistest eksperditeadmistest, mida oleks vaja tõsiste intsidentide korral intsidentidele reageerimiseks, ning aitab IICB-l koordineerida artikli 9 lõikes 2 osutatud liidu üksuste küberkriiside haldamise kavasid tõsiste intsidentide käsitlemiseks.

4.   Liidu üksused annavad oma panuse tehniliste eksperditeadmiste loendisse ning esitavad igal aastal ajakohastatava nimekirja oma vastavates organisatsioonides tegutsevatest ekspertidest, märkides ära nende konkreetsed tehnilised oskused.