keyboard_tab Cyber Resilience Act 2023/2841 ET
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
I PEATÜKK
ÜLDSÄTTED
II PEATÜKK
KÜBERTURVALISUSE ÜHTLASELT KÕRGE TASEME TAGAMISE MEETMED
III PEATÜKK
INSTITUTSIOONIDEVAHELINE KÜBERTURVALISUSE NÕUKODA
IV PEATÜKK
CERT-EU
V PEATÜKK
KOOSTÖÖ- JA ARUANDEKOHUSTUSED
VI PEATÜKK
LÕPPSÄTTED
- või 31
- cert-eu 24
- liidu 16
- iicb 13
- küberturvalisuse 13
- kohta 11
- ning 10
- juhul 10
- võib 9
- cert-eu 9
- sealhulgas 8
- selle 8
- juht 8
- osutatud 7
- artikli 7
- üksused 7
- intsidendi 7
- teenuste 6
- pärast 6
- üksuse 6
- viivituseta 6
- põhjendamatu 6
- arvesse 6
- mõju 6
- igal 6
- üksuste 6
- iicb-le 6
- jooksul 6
- annab 6
- samalaadsete 5
- intsidendist 5
- teavet 5
- mida 5
- olulisest 5
- ettepanekud 4
- oluline 4
- kataloogi 4
- selliste 4
- välja 4
- milles 4
- asjakohasel 4
- artikkel 4
- ametisse 4
- asutustega 4
- üksikasju 4
- asjakohane 4
- teha 4
- teabe 4
- liidu 4
- koostööd 3
Artikkel 14
Suunised, soovitused ja üleskutsed
1. CERT-EU toetab käesoleva määruse rakendamist sellega, et annab välja järgmisi dokumente:
| a) | üleskutsed, milles kirjeldatakse kiireloomulisi turbemeetmeid, mida liidu üksused peaksid võtma kindlaksmääratud aja jooksul; |
| b) | ettepanekud iicb-le suuniste kohta, mis on adresseeritud kõigile liidu üksustele või mõnedele nende hulgast; |
| c) | ettepanekud iicb-le soovituste kohta, mis on adresseeritud konkreetsetele liidu üksustele. |
Võttes arvesse esimese lõigu punkti a, annab asjaomane liidu üksus põhjendamatu viivituseta pärast üleskutse saamist CERT-EU-le teada, kuidas kiireloomulisi turbemeetmeid rakendati.
2. Suunised ja soovitused võivad sisaldada:
| a) | ühtset metoodikat ja mudelit liidu üksuste küberturvalisuse küpsustaseme hindamiseks, sealhulgas vastavaid skaalasid või peamisi tulemusnäitajaid, mida kasutatakse võrdlusalusena küberturvalisuse pideva suurendamise toetamisel kõigis liidu üksustes ning küberturvalisuse valdkondade ja meetmete prioriseerimise hõlbustamisel, võttes arvesse üksuste turvaoleku taset kübervaldkonnas; |
| b) | küberturvalisuse riskijuhtimise ja küberturvalisuse riskijuhtimismeetmete üksikasju või parendusi; |
| c) | küberturvalisuse küpsustaseme hindamise ja küberturvalisuse kavade üksikasju; |
| d) | kui see on asjakohane, ühise tehnoloogia, arhitektuuri, avatud lähtekoodi ja nendega seotud heade tavade kasutamist, et saavutada koostalitlusvõime ja ühised standardid, sealhulgas koordineeritud lähenemisviis tarneahela turvalisusele; |
| e) | kui see on asjakohane, teavet, mis hõlbustaks ühishankevahendite kasutamist asjaomaste küberturvalisuse teenuste ja toodete ostmiseks kolmandast isikust tarnijatelt; |
| f) | artikli 20 kohast teabevahetuskorda. |
Artikkel 15
1. Pärast kahe kolmandiku IICB liikmete heakskiidu saamist nimetab komisjon ametisse CERT-EU juhi. IICBga konsulteeritakse kõigis ametisse nimetamise menetluse etappides, eeskätt vaba ametikoha teadete koostamise, avalduste läbivaatamise ja selle ametikohaga seotud valikukomisjonide ametisse nimetamise käigus. Kogu valikumenetluse jooksul, sealhulgas lõpliku nimekirja koostamisel kandidaatidest, kelle hulgast CERT-EU juht ametisse nimetatakse, tagatakse esitatud taotlusi arvesse võttes sugude õiglane esindatus.
2. CERT-EU juht vastutab CERT-EU sujuva toimimise eest, tegutsedes oma pädevusvaldkonna piires ja IICB juhtimisel. CERT-EU juht annab korrapäraselt aru IICB juhatajale ja esitab iicb-le ad hoc aruandeid, kui IICB on seda taotlenud.
3. CERT-EU juht aitab vastutaval volitatud eelarvevahendite käsutajal koostada iga-aastast tegevusaruannet, mis sisaldab finants- ja haldusteavet, sh kontrollide tulemusi, ning mis koostatakse vastavalt Euroopa Parlamendi ja nõukogu määruse (EL, Euratom) 2018/1046 (9) artikli 74 lõikele 9, ning ta annab volitatud eelarvevahendite käsutajale korrapäraselt aru nende meetmete rakendamisest, millega seoses volitused CERT-EU juhile delegeeriti.
4. CERT-EU juht töötab igal aastal välja oma tegevuse haldustulude ja -kulude finantskalkulatsiooni, iga-aastase tööprogrammi ettepaneku, CERT-EU teenuste kataloogi ettepaneku, CERT-EU teenuste kataloogi muudatuste ettepanekud, teenustaseme kokkulepete korra ettepanekud ning CERT-EU peamiste tulemusnäitajate ettepaneku, mille peab heaks kiitma IICB kooskõlas artikliga 11. CERT-EU teenuste kataloogi teenuste loendi läbivaatamisel võtab CERT-EU juht arvesse CERT-EU-le eraldatud vahendeid.
5. CERT-EU juht esitab vähemalt kord aastas iicb-le ja IICB juhatajale aruanded CERT-EU tulemuslikkuse ja tegevuse kohta aruandeperioodil, sealhulgas eelarve täitmise, teenustaseme kokkulepete ja sõlmitud kirjalike lepingute, samalaadsete asutuste ja partneritega tehtava koostöö ning töötajate lähetuste kohta, sh artiklis 11 osutatud aruanded. Need aruanded sisaldavad järgmise perioodi tööprogrammi, tulude ja kulude finantskalkulatsiooni, sh seoses personaliga, CERT-EU teenuste kataloogi kavandatud ajakohastamisi ning hinnangut selle kohta, kuidas sellised ajakohastamised võivad eeldatavalt mõjutada rahalisi ja inimressursse.
Artikkel 18
1. CERT-EU võib teha töövahendite ja meetodite, nt tehnika, taktika, menetluste ja heade tavade, ning küberohtude ja nõrkuste alast koostööd liidus asuvate teiste samalaadsete asutustega, v.a artiklis 17 osutatud asutused, kelle suhtes kehtivad liidu küberturvalisuse nõuded, sh sektoripõhiste samalaadsete asutustega. Igasuguseks koostööks selliste samalaadsete asutustega taotleb CERT-EU igal üksikjuhul eraldi eelnevat IICB heakskiitu. Kui CERT-EU alustab sellise samalaadse asutusega koostööd, teavitab ta sellest kõiki asjaomaseid artikli 17 lõikes 1 osutatud samalaadseid asutusi liikmesriigis, kus kõnealune samalaadne asutus asub. Kui see on kohaldatav ja asjakohane, reguleeritakse selline koostöö ja selle tingimused, sealhulgas seoses küberturvalisuse, andmekaitse ja teabe käitlemisega, konkreetsete konfidentsiaalsuskokkulepetega, näiteks lepingute või halduskokkulepetega. Konfidentsiaalsuskokkuleppeid ei pea IICB eelnevalt heaks kiitma, kuid neist tuleb IICB juhatajale teada anda. Kui tekib kiireloomuline ja otsene vajadus vahetada küberturvalisuse alast teavet liidu üksuste või mõne muu poole huvides, võib CERT-EU seda teha sellise üksuse kaasabil, kelle spetsiifiline pädevus, suutlikkus ja eksperditeadmised on põhjendatult vajalikud niisuguse kiireloomulise ja otsese vajaduse korral isegi juhul, kui CERT-EU-l ei ole selle üksusega konfidentsiaalsuskokkulepet. Sellisel juhul teavitab CERT-EU viivitamata IICB juhatajat ja annab iicb-le aru korrapäraste aruannete või kohtumiste kaudu.
2. CERT-EU võib teha koostööd muude partneritega, näiteks äriettevõtjate, sealhulgas sektoripõhiste üksuste, rahvusvaheliste organisatsioonide, Euroopa Liidu väliste riiklike üksuste või üksikekspertidega, et koguda teavet üldiste või konkreetsete küberohtude, ohuolukordade, nõrkuste ja võimalike vastumeetmete kohta. Ulatuslikumaks koostööks selliste partneritega taotleb CERT-EU igal üksikjuhul eraldi IICB eelnevat heakskiitu.
3. CERT-EU võib intsidendist mõjutatud liidu üksuse nõusolekul ja tingimusel, et asjaomase samalaadse asutuse või partneriga on sõlmitud mitteavalikustamise kokkulepe või leping, esitada lõigetes 1 ja 2 osutatud samalaadsetele asutustele või partneritele konkreetse intsidendi kohta käivat teavet üksnes selle analüüsimisse panustamise eesmärgil.
V PEATÜKK
KOOSTÖÖ- JA ARUANDEKOHUSTUSED
Artikkel 21
Aruandekohustused
1. Intsidenti käsitatakse olulisena, kui:
| a) | see on põhjustanud või võib põhjustada tõsiseid häireid asjaomase liidu üksuse toimimises või rahalist kahju sellele üksusele; |
| b) | see on mõjutanud või võib mõjutada teisi füüsilisi või juriidilisi isikuid, põhjustades märkimisväärset materiaalset või mittemateriaalset kahju. |
2. Liidu üksused esitavad CERT-EU-le:
| a) | põhjendamatu viivituseta, ent igal juhul 24 tunni jooksul pärast olulisest intsidendist teadasaamist varajase hoiatuse, milles asjakohasel juhul märgitakse, et olulise intsidendi põhjuseks on eeldatavasti ebaseaduslik või pahatahtlik tegevus või et sellel võib olla üksuseülene või piiriülene mõju; |
| b) | põhjendamatu viivituseta, ent igal juhul 72 tunni jooksul pärast olulisest intsidendist teadasaamist intsidenditeate, millega asjakohasel juhul ajakohastatakse punktis a osutatud teavet ning antakse esialgne hinnang olulisele intsidendile, sealhulgas selle raskusastmele ja mõjule ning võimaluse korral ka rikkeindikaatoritele; |
| c) | CERT-EU taotlusel vahearuande vaatlusaluste asjade seisu kohta; |
| d) | hiljemalt üks kuu pärast punkti b kohase intsidenditeate edastamist lõpparuande, mis sisaldab järgmist:
|
| e) | kui intsident punktis d osutatud lõpparuande esitamise ajal veel kestab, hetkeseisu kajastava eduaruande ja ühe kuu jooksul pärast intsidendi käsitlemist üksuste poolt lõpparuande. |
3. Liidu üksus teavitab põhjendamatu viivituseta, ent igal juhul 24 tunni jooksul pärast olulisest intsidendist teadasaamist artikli 17 lõikes 1 osutatud liikmesriikide samalaadseid asutusi liikmesriigis, kus ta asub, olulise intsidendi ilmnemisest.
4. Liidu üksused esitavad muu hulgas mis tahes teabe, mis võimaldab CERT-EU-l teha kindlaks sellest olulisest intsidendist lähtuva üksuseülese mõju, vastuvõtvale liikmesriigile avalduva mõju või piiriülese mõju. Ilma et see piiraks artikli 12 kohaldamist, ei suurene teavitava üksuse vastutus üksnes teavitamise tõttu.
5. Kui see on kohaldatav, teavitavad liidu üksused mõjutatud võrgu- ja infosüsteemide või muude selliste IKT-keskkonna komponentide kasutajaid, mida oluline intsident või oluline küberoht võib mõjutada, ja kes peavad asjakohasel juhul võtma leevendusmeetmeid, põhjendamatu viivituseta meetmetest või parandusmeetmetest, mida nad saavad sellele intsidendile või ohule reageerimiseks võtta. Kui see on asjakohane, teavitavad liidu üksused kõnealuseid kasutajaid ka olulisest küberohust endast.
6. Kui oluline intsident või oluline küberoht mõjutab võrgu- ja infosüsteemi või liidu üksuse IKT-keskkonna sellist komponenti, mis on teadlikult ühendatud mõne teise liidu üksuse IKT-keskkonnaga, väljastab CERT-EU asjakohase küberturvalisuse hoiatuse.
7. Liidu üksused esitavad CERT-EU taotlusel CERT-EU-le põhjendamatu viivituseta digitaalse teabe, mis on tekkinud nende vastavate intsidentidega seotud elektrooniliste seadmete kasutamisel. CERT-EU võib esitada täiendavaid üksikasju sellise teabe liigi kohta, mida ta vajab olukorrateadlikkuse ja intsidentidele reageerimise jaoks.
8. CERT-EU esitab iicb-le, ENISA-le, EU INTCENile ja CSIRTide võrgustikule iga kolme kuu tagant koondaruande, mis sisaldab anonüümitud ja koondatud andmeid oluliste intsidentide, intsidentide, küberohtude, ohuolukordade ja nõrkuste kohta vastavalt artiklile 20 ning käesoleva artikli lõike 2 kohaselt teatatud oluliste intsidentide kohta. Koondaruannet võetakse arvesse direktiivi (EL) 2022/2555 artikli 18 kohaselt iga kahe aasta järel vastu võetavas aruandes, mis käsitleb küberturvalisuse olukorda liidus.
9. Hiljemalt 8. juuliks 2024 annab IICB välja suunised või soovitused, milles täpsustatakse käesoleva artikli alusel aruandmise täiendavad üksikasjad, vorming ja sisu. Selliste suuniste või soovituste koostamisel võtab IICB arvesse kõiki direktiivi (EL) 2022/2555 artikli 23 lõike 11 kohaselt vastu võetud rakendusakte, milles täpsustatakse teavituse teabeliik, vorming ja esitamise kord. CERT-EU levitab asjakohaseid tehnilisi üksikasju, et liidu üksused saaksid tegeleda ennetava tuvastamise, intsidentidele reageerimise või leevendusmeetmetega.
10. Käesolevas artiklis sätestatud aruandekohustused ei laiene
| a) | ELi salastatud teabele; |
| b) | teabele, mille edasine levitamine on nähtava märgistuse abil välistatud, välja arvatud juhul, kui selle jagamiseks CERT-EUga on antud sõnaselge luba. |
whereas