keyboard_tab Cyber Resilience Act 2023/2841 ET
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Artikkel 6 Küberturvalisusriskide juhtimis-, haldamis- ja kontrollraamistik
- 1 Artikkel 7 Küberturvalisuse küpsustaseme hindamine
- 1 Artikkel 11 IICB ülesanded
- 1 Artikkel 13
- 1 Artikkel 17
- 1 Artikkel 18
- 1 Artikkel 20 Küberturvalisuse alase teabe jagamise kord
- 1 Artikkel 21 Aruandekohustused
I PEATÜKK
ÜLDSÄTTED
II PEATÜKK
KÜBERTURVALISUSE ÜHTLASELT KÕRGE TASEME TAGAMISE MEETMED
III PEATÜKK
INSTITUTSIOONIDEVAHELINE KÜBERTURVALISUSE NÕUKODA
IV PEATÜKK
CERT-EU
V PEATÜKK
KOOSTÖÖ- JA ARUANDEKOHUSTUSED
VI PEATÜKK
LÕPPSÄTTED
- liidu 99
- või 52
- küberturvalisuse 51
- cert-eu 51
- üksuse 26
- võib 25
- ning 24
- euroopa 24
- üksuste 21
- juhul 20
- artikli 20
- teavet 18
- cert-eu 18
- selle 17
- kohta 16
- üksus 16
- käesoleva 15
- iicb 15
- el / 15
- intsidendi 14
- üksused 13
- määruse 13
- osutatud 13
- intsidentide 13
- kohaselt 12
- nende 12
- teabe 12
- seda 11
- mõjutatud 11
- nr / 11
- heaks 11
- parlamendi 11
- seotud 11
- määrus 11
- sealhulgas 10
- asjakohasel 10
- arvesse 9
- artikkel 9
- millega 9
- annab 9
- põhjendamatu 9
- mõju 9
- samalaadsete 9
- koostööd 9
- põhjal 9
- direktiivi 9
- viivituseta 9
- kiidab 9
- nõukogu 9
- lk 9
Artikkel 6
Küberturvalisusriskide juhtimis-, haldamis- ja kontrollraamistik
1. Hiljemalt 8. aprilliks 2025 kehtestab iga liidu üksus pärast küberturvalisuse alast esialgset läbivaatamist, näiteks auditit, sisemise küberturvalisusriskide juhtimis-, haldamis- ja kontrollraamistiku (edaspidi „raamistik“). Raamistiku kehtestamise üle teeb järelevalvet ja selle eest vastutab liidu üksuse kõrgeim juhtimistasand.
2. Raamistik peab hõlmama asjaomase liidu üksuse kogu salastamata IKT-keskkonda, sealhulgas ruumides kohapeal olev IKT-keskkond, käidutehnoloogia võrk, hanke korras sisse ostetavad varad ja teenused, mis asuvad pilvandmetöötluse keskkondades või mida majutavad kolmandad isikud, mobiilseadmed, ettevõttevõrgud, internetiga ühendamata koondisevõrgud ja mistahes seadmed, mis on ühendatud nende keskkondadega (edaspidi „IKT-keskkond“). Raamistik põhineb kõiki ohte hõlmaval lähenemisviisil.
3. Raamistikuga tagatakse küberturvalisuse kõrge tase. Raamistikuga kehtestatakse võrgu- ja infosüsteemide turvalisusega seotud sisemised küberturvalisuse põhimõtted, sealhulgas eesmärgid ja prioriteedid, ning liidu üksuse nende töötajate roll ja kohustused, kelle ülesanne on tagada käesoleva määruse tulemuslik rakendamine. Raamistik sisaldab ka rakendamise tulemuslikkuse mõõtmise mehhanisme.
4. Raamistik vaadatakse läbi korrapäraselt, ent vähemalt iga nelja aasta tagant, võttes arvesse küberturvalisusriskide muutumist. Asjakohasel juhul ja artikli 10 kohaselt loodud institutsioonidevahelise küberturvalisuse nõukoja taotlusel võib liidu üksuse raamistikku ajakohastada vastavalt CERT-EU juhistele, mis käsitlevad kindlaks tehtud intsidente või käesoleva määruse rakendamisel täheldatud võimalikke lünki.
5. Iga liidu üksuse kõrgeim juhtimistasand vastutab käesoleva määruse rakendamise eest ja teeb järelevalvet selle üle, kuidas tema organisatsioon täidab raamistikuga seotud kohustusi.
6. Asjakohasel juhul ja ilma et see piiraks liidu üksuse kõrgeima juhtimistasandi vastutust käesoleva määruse rakendamise eest, võib iga liidu üksuse kõrgeim juhtimistasand delegeerida käesolevast määrusest tulenevad teatavad kohustused asjaomase liidu üksuse kõrgematele ametnikele personalieeskirjade artikli 29 lõike 2 tähenduses või muudele samaväärse tasandi ametnikele. Olenemata delegeerimisest võib kõrgeimat juhtimistasandit pidada vastutavaks käesoleva määruse rikkumise eest asjaomases liidu üksuses.
7. Igas liidu üksuses peavad olema toimivad mehhanismid, millega tagatakse, et küberturvalisusele kulutatakse piisav osa IKT eelarvest. Selle osa kindlaksmääramisel võetakse nõuetekohaselt arvesse raamistikku.
8. Iga liidu üksus nimetab ametisse kohaliku küberturvalisuse ametniku või samaväärseid ülesandeid täitva töötaja, kes on ühtne kontaktpunkt kõigis küberturvalisuse aspektides. Kohalik küberturvalisuse ametnik hõlbustab käesoleva määruse rakendamist ja annab otse kõrgeimale juhtimistasandile rakendamise seisust korrapäraselt aru. Ilma et see piiraks kohaliku küberturvalisuse ametniku tegutsemist igas liidu üksuses ühtse kontaktpunktina, võib liidu üksus delegeerida kohaliku küberturvalisuse ametniku teatavad käesoleva määruse rakendamisega seotud ülesanded CERT-EU-le kõnealuse liidu üksuse ja CERT-EU vahel sõlmitud teenustaseme kokkuleppe alusel või võib need ülesanded jagada mitme liidu üksuse vahel. Kui need ülesanded delegeeritakse CERT-EU-le, otsustab artikli 10 alusel loodud institutsioonidevaheline küberturvalisuse nõukoda, kas seda teenust osutatakse CERT-EU põhiteenuste osana, võttes arvesse asjaomase liidu üksuse inim- ja rahalisi ressursse. Iga liidu üksus teavitab põhjendamatu viivituseta CERT-EUd kohaliku küberturvalisuse ametniku ametisse nimetamisest ja sellega seotud hilisematest muudatustest.
CERT-EU koostab ametisse nimetatud kohalike küberturvalisuse ametnike nimekirja ja ajakohastab seda.
9. Iga liidu üksuse kõrgemad ametnikud personalieeskirjade artikli 29 lõike 2 tähenduses või muud samaväärse tasandi ametnikud ning kõik töötajad, kelle ülesanne on rakendada käesolevas määruses sätestatud küberturvalisuse riskijuhtimismeetmeid ja täita käesolevas määruses sätestatud kohustusi, osalevad korrapäraselt erikoolitustel, et omandada piisavad teadmised ja oskused küberturvalisuse riskide ja nende juhtimise tavade ning nende liidu üksuse tegevusele avalduva mõju mõistmiseks ja hindamiseks.
Artikkel 7
Küberturvalisuse küpsustaseme hindamine
1. Hiljemalt 8. juuliks 2025 ja seejärel vähemalt iga kahe aasta tagant viib iga liidu üksus läbi küberturvalisuse küpsustaseme hindamise, mis hõlmab kõiki tema IKT-keskkonna elemente.
2. Küberturvalisuse küpsustaseme hindamine viiakse asjakohasel juhul läbi valdkonnale spetsialiseerunud kolmanda isiku abiga.
3. Sarnase struktuuriga liidu üksused võivad oma asjaomaste üksuste küberturvalisuse küpsustaseme hindamisel teha koostööd.
4. Artikli 10 kohaselt loodud institutsioonidevahelise küberturvalisuse nõukoja taotlusel ja asjaomase liidu üksuse sõnaselgel nõusolekul võib küberturvalisuse küpsustaseme hindamise tulemusi arutada nimetatud nõukojas või kohalike küberturvalisuse ametnike mitteametlikus rühmas, et õppida kogemustest ja jagada parimaid tavasid.
Artikkel 11
IICB ülesanded
Oma kohustuste täitmisel teeb IICB eeskätt järgmist:
| a) | annab CERT-EU juhile juhiseid; |
| b) | seirab tõhusalt käesoleva määruse rakendamist ja teeb selle üle järelevalvet ning toetab liidu üksusi nende küberturvalisuse parandamisel, sealhulgas nõuab asjakohasel juhul liidu üksustelt ja CERT-EU-lt ad hoc aruandeid; |
| c) | võtab pärast strateegilist arutelu vastu mitmeaastase strateegia liidu üksustes küberturvalisuse taseme tõstmiseks, hindab seda strateegiat korrapäraselt, ent vähemalt iga viie aasta tagant, ning muudab seda vajaduse korral; |
| d) | töötab välja metoodika ja korralduslikud aspektid liidu üksuste vabatahtlike vastastikuste hindamiste tegemiseks, et õppida jagatud kogemustest, tugevdada vastastikust usaldust, saavutada küberturvalisuse ühtlaselt kõrge tase ja suurendada liidu üksuste küberturvalisuse alast suutlikkust, tagades, et selliseid vastastikuseid hindamisi teevad küberturvalisuse valdkonna eksperdid, kelle on määranud liidu üksus, mis ei ole hinnatav liidu üksus, ning et metoodika põhineb direktiivi (EL) 2022/2555 artiklil 19 ja on asjakohasel juhul kohandatud liidu üksustele; |
| e) | kiidab CERT-EU juhi ettepaneku põhjal heaks CERT-EU iga-aastase tööprogrammi ja seirab selle rakendamist; |
| f) | kiidab CERT-EU juhi ettepaneku põhjal heaks CERT-EU teenuste kataloogi ja kõik selle ajakohastused; |
| g) | kiidab CERT-EU juhi ettepaneku põhjal heaks CERT-EU tegevuse iga-aastase tulude ja kulude finantskalkulatsiooni, sealhulgas seoses personaliga; |
| h) | kiidab CERT-EU juhi ettepaneku põhjal heaks CERT-EU teenustaseme kokkulepete korra; |
| i) | vaatab läbi ja kiidab heaks CERT-EU juhi koostatud aastaaruande, milles käsitletakse CERT-EU tegevust ja rahaliste vahendite haldamist; |
| j) | kiidab heaks CERT-EU juhi ettepaneku põhjal kehtestatud CERT-EU põhilised tulemusnäitajad ja seirab neid; |
| k) | kiidab heaks CERT-EU ja muude üksuste vahelised artikli 18 kohaselt sõlmitud koostöökokkulepped, teenustaseme kokkulepped ja lepingud; |
| l) | võtab CERT-EU artikli 14 kohase ettepaneku alusel vastu suuniseid ja soovitusi ning annab CERT-EU-le korralduse esitada suuniste või soovituste ettepanek või üleskutse, see tagasi võtta või seda muuta; |
| m) | loob spetsiifilisi ülesandeid täitvaid tehnilisi nõuanderühmi, et abistada IICBd tema töös, kiidab heaks nende pädevuse ja määrab nende juhatajad; |
| n) | võtab vastu ja hindab liidu üksuste poolt käesoleva määruse alusel esitatud dokumente ja aruandeid, näiteks küberturvalisuse küpsustaseme hinnanguid; |
| o) | hõlbustab ENISA toetatava, liidu üksuste kohalike küberturvalisuse ametnike mitteametliku rühma loomist, et vahetada käesoleva määruse rakendamisega seotud parimaid tavasid ja teavet; |
| p) | seirab liidu üksuste IKT-keskkondade omavahelise ühendatuse korra asjakohasust ja annab nõuandeid võimalike paranduste tegemiseks, võttes arvesse CERT-EU esitatud teavet kindlaks tehtud küberturvalisusriskide ja saadud kogemuste kohta; |
| q) | töötab välja küberkriiside haldamise kava, et toetada tegevuse tasandil liidu üksusi mõjutavate tõsiste intsidentide koordineeritud haldamist ja aidata kaasa asjakohase teabe korrapärasele vahetamisele, eelkõige seoses tõsiste intsidentide mõju ja raskusega ning nende mõju vähendamise võimalike viisidega; |
| r) | koordineerib liidu eri üksuste artikli 9 lõikes 2 osutatud küberkriiside haldamise kavade vastuvõtmist; |
| s) | võtab vastu artikli 8 lõike 2 esimese lõigu punkti m kohase tarneahela turvalisusega seotud soovitused, võttes arvesse direktiivi (EL) 2022/2555 artiklis 22 osutatud liidu tasandil kriitilise tähtsusega tarneahelate koordineeritud turberiski hindamise tulemusi, et toetada liidu üksusi tulemuslike ja proportsionaalsete küberturvalisuse riskijuhtimismeetmete vastuvõtmisel. |
Artikkel 13
1. CERT-EU missioon on aidata kaasa kõigi liidu üksuste salastamata IKT-keskkonna turvalisusele, andes neile küberturvalisuse alast nõu, aidates neil intsidente ära hoida, tuvastada, neid käsitleda ja leevendada, intsidentidele reageerida ja neist taastuda ning tegutsedes nende küberturvalisuse alase teabevahetuse ja intsidentidele reageerimise koordineerimise keskusena.
2. CERT-EU kogub, haldab, analüüsib ja jagab liidu üksustega teavet, mis käsitleb salastamata IKT-taristu küberohte, nõrkusi ja sellega seotud intsidente. CERT-EU koordineerib intsidentidele reageerimist institutsioonidevahelisel ja liidu üksuste tasandil, andes muu hulgas operatiivset eriabi või koordineerides seda.
3. CERT-EU täidab liidu üksuste jaoks järgmisi ülesandeid:
| a) | toetab neid käesoleva määruse rakendamisel ja aitab seda koordineerida artikli 14 lõikes 1 loetletud meetmetega või IICB nõutud ad hoc aruannetega; |
| b) | pakub kõigile liidu üksustele standardseid CSIRT-teenuseid teenustekataloogis kirjeldatud küberturvalisuse teenuste paketiga (edaspidi „baasteenused“); |
| c) | hoiab alal samalaadsete organisatsioonide ja partnerite võrgustikku, et toetada teenuseid, nagu on kirjeldatud artiklites 17 ja 18; |
| d) | juhib IICB tähelepanu probleemidele, mis on seotud käesoleva määruse rakendamisega ning suuniste, soovituste ja üleskutsete rakendamisega; |
| e) | aitab lõikes 2 osutatud teabe põhjal ja tihedas koostöös ENISAga suurendada liidu küberolukorrateadlikkust; |
| f) | koordineerib tõsiste intsidentide haldamist; |
| g) | tegutseb liidu üksuste nimel samaväärsena koordinaatoriga, kes on määratud nõrkuste koordineeritud avalikustamise koordinaatoriks vastavalt direktiivi (EL) 2022/2555 artikli 12 lõikele 1; |
| h) | tagab liidu üksuse taotlusel kõnealuse liidu üksuse üldkasutatavate võrgu- ja infosüsteemide ennetava välise kontrollimise. |
Kui see on kohaldatav ja asjakohane, jagatakse esimese lõigu punktis e osutatud teavet IICB, CSIRTide võrgustiku ning Euroopa Liidu luure- ja situatsioonikeskusega (EU INTCEN), järgides seejuures asjakohaseid konfidentsiaalsusnõudeid.
4. CERT-EU võib asjakohasel juhul teha liidus ja selle liikmesriikides koostööd asjaomaste küberturvalisuse kogukondadega vastavalt artiklile 17 või 18, muuhulgas järgmistes valdkondades:
| a) | valmisolek, intsidentide koordineerimine, teabevahetus ja kriisidele reageerimine tehnilisel tasandil liidu üksustega seotud juhtumite puhul; |
| b) | operatiivkoostöö seoses CSIRTide võrgustikuga, k.a vastastikuse abi valdkonnas; |
| c) | küberohuteadmus, sh olukorrateadlikkus; |
| d) | kõik teemad, milleks on vaja CERT-EU tehnilist küberturvalisuse alast oskusteavet. |
5. CERT-EU teeb enda pädevusse kuuluvates küsimustes struktureeritud koostööd ENISAga suutlikkuse suurendamise, operatiivkoostöö ja küberohtude pikaajalise strateegilise analüüsi vallas kooskõlas määrusega (EL) 2019/881. CERT-EU võib teha koostööd ja vahetada teavet Europoli küberkuritegevuse vastase võitluse Euroopa keskusega.
6. CERT-EU võib pakkuda järgmisi teenuseid, mida ei ole kirjeldatud tema teenuste kataloogis (edaspidi „tasulised teenused“):
| a) | muud kui lõikes 3 osutatud teenused, mis toetavad liidu üksuste IKT-keskkonna küberturvalisust, teenustaseme kokkulepete põhjal ja vastavalt olemasolevatele ressurssidele, eelkõige ulatuslik võrkude seire, sealhulgas tõsiste küberohtude esmatasandi pidev seire; |
| b) | teenused, mis toetavad liidu üksuste küberturvalisuse toiminguid või projekte, välja arvatud nende IKT-keskkonna kaitsmiseks mõeldud teenused, kirjaliku lepingu põhjal ja IICB eelneval heakskiidul; |
| c) | taotluse korral asjaomase liidu üksuse võrgu- ja infosüsteemide ennetav kontrollimine, et tuvastada võimalikke olulise mõjuga nõrkusi; |
| d) | teenused, mis toetavad selliste organisatsioonide IKT-keskkonna turvalisust, mis ei ole liidu üksused, kuid teevad liidu üksustega tihedat koostööd, näiteks kui neile on liidu õiguse alusel määratud ülesandeid või kohustusi, kirjaliku lepingu põhjal ja IICB eelneval heakskiidul. |
Võttes arvesse esimese lõigu punkti d, võib CERT-EU erandkorras sõlmida teenustaseme kokkuleppeid muude üksustega kui liidu üksused, kui IICB on selle eelnevalt heaks kiitnud.
7. CERT-EU korraldab küberturvalisuse õppusi ja võib neil osaleda või soovitada osaleda olemasolevatel õppustel, tehes seda tihedas koostöös ENISAga alati, kui see on asjakohane, et kontrollida liidu üksuste küberturvalisuse taset.
8. CERT-EU võib pakkuda liidu üksustele abi ELi salastatud teavet käitlevate võrgu- ja infosüsteemide intsidentide puhul, kui asjaomased liidu üksused seda temalt oma vastavate menetluste kohaselt sõnaselgelt taotlevad. CERT-EU poolt käesoleva lõike alusel abi osutamine ei piira salastatud teabe kaitseks kehtestatud reeglite järgimist.
9. CERT-EU teavitab liidu üksusi oma intsidendi käsitlemise menetlustest ja protsessidest.
10. CERT-EU edastab asjakohaste koostöömehhanismide ja aruandlusahelate kaudu olulise ja anonüümitud teabe tõsiste intsidentide ja nende käsitlemisviisi kohta, tagades seejuures konfidentsiaalsuse ja usaldusväärsuse kõrge taseme. See teave lisatakse artikli 10 lõikes 14 osutatud aruandesse.
11. CERT-EU toetab koostöös Euroopa Andmekaitseinspektoriga liidu üksusi selliste intsidentide käsitlemisel, millega kaasneb isikuandmetega seotud rikkumine, ilma et see piiraks Euroopa Andmekaitseinspektori kui järelevalveasutuse ülesandeid ja pädevust määruse (EL) 2018/1725 alusel.
12. CERT-EU võib asjakohastes poliitikaküsimustes anda tehnilist nõu või sisendit, kui liidu üksuste poliitikaosakonnad on seda sõnaselgelt taotlenud.
Artikkel 17
1. CERT-EU teeb liikmesriikide samalaadsete asutustega, sh direktiivi (EL) 2022/2555 artikli 10 kohaselt määratud või asutatud CSIRTidega või asjakohasel juhul pädevate asutustega ja sama direktiivi artikli 8 kohaselt määratud või asutatud ühtsete kontaktpunktidega põhjendamatu viivituseta koostööd ja vahetab nendega teavet küsimustes, mis puudutavad intsidente, küberohte, nõrkusi, ohuolukordi, võimalikke vastumeetmeid ja häid tavasid, ning kõigis küsimustes, mis on asjakohased liidu üksuste IKT-keskkondade kaitse parandamiseks, sh direktiivi (EL) 2022/2555 artiklis 15 osutatud CSIRTide võrgustiku kaudu. CERT-EU toetab komisjoni direktiivi (EL) 2022/2555 artikli 16 kohaselt loodud EU-CyCLONe töös ulatuslike küberturbeintsidentide ja kriiside koordineeritud haldamisel.
2. Kui CERT-EU saab teada liikmesriigi territooriumil aset leidnud olulisest intsidendist. teavitab ta vastavalt lõikele 1 viivitamata kõiki kõnealuse liikmesriigi asjaomaseid samalaadseid asutusi.
3. CERT-EU vahetab põhjendamatu viivituseta ja tingimusel, et isikuandmeid kaitstakse kohaldatava liidu andmekaitsealase õiguse kohaselt, liikmesriikide samalaadsete asutustega asjakohast teavet konkreetse intsidendi kohta, et hõlbustada samalaadsete küberohtude või intsidentide avastamist või aidata intsidenti analüüsida, ilma mõjutatud liidu üksuse loata. CERT-EU vahetab konkreetse intsidendi kohta sellist teavet, millest ilmneb intsidendi sihtmärgi identiteet, üksnes juhul, kui:
| a) | mõjutatud liidu üksus annab selleks oma nõusoleku; |
| b) | mõjutatud liidu üksus ei ole punktis a sätestatu kohaselt oma nõusolekut andnud, kuid mõjutatud liidu üksuse identiteedi avaldamine suurendaks tõenäosust, et seeläbi välditakse või leevendatakse intsidente mujal; |
| c) | mõjutatud liidu üksus on juba avalikustanud, et see intsident on teda mõjutanud. |
Otsused konkreetse intsidendi kohta sellise teabe vahetamiseks, millest ilmneb intsidendi sihtmärgi identiteet vastavalt esimese lõigu punktile b, kiidab heaks CERT-EU juht. Enne sellise otsuse tegemist võtab CERT-EU mõjutatud liidu üksusega kirjalikult ühendust ja selgitab, kuidas tema identiteedi avalikustamine aitaks vältida või leevendada intsidente mujal. CERT-EU juht esitab omapoolse selgituse ja palub sõnaselgelt, et liidu üksus teataks, kas ta annab oma nõusoleku kindlaksmääratud ajavahemiku jooksul. CERT-EU juht teavitab liidu üksust ka sellest, et esitatud selgitust arvesse võttes jätab ta endale õiguse avaldada teave isegi juhul, kui üksus selleks oma nõusolekut ei anna. Enne kui teave avalikustatakse, teavitatakse sellest mõjutatud liidu üksust.
Artikkel 18
1. CERT-EU võib teha töövahendite ja meetodite, nt tehnika, taktika, menetluste ja heade tavade, ning küberohtude ja nõrkuste alast koostööd liidus asuvate teiste samalaadsete asutustega, v.a artiklis 17 osutatud asutused, kelle suhtes kehtivad liidu küberturvalisuse nõuded, sh sektoripõhiste samalaadsete asutustega. Igasuguseks koostööks selliste samalaadsete asutustega taotleb CERT-EU igal üksikjuhul eraldi eelnevat IICB heakskiitu. Kui CERT-EU alustab sellise samalaadse asutusega koostööd, teavitab ta sellest kõiki asjaomaseid artikli 17 lõikes 1 osutatud samalaadseid asutusi liikmesriigis, kus kõnealune samalaadne asutus asub. Kui see on kohaldatav ja asjakohane, reguleeritakse selline koostöö ja selle tingimused, sealhulgas seoses küberturvalisuse, andmekaitse ja teabe käitlemisega, konkreetsete konfidentsiaalsuskokkulepetega, näiteks lepingute või halduskokkulepetega. Konfidentsiaalsuskokkuleppeid ei pea IICB eelnevalt heaks kiitma, kuid neist tuleb IICB juhatajale teada anda. Kui tekib kiireloomuline ja otsene vajadus vahetada küberturvalisuse alast teavet liidu üksuste või mõne muu poole huvides, võib CERT-EU seda teha sellise üksuse kaasabil, kelle spetsiifiline pädevus, suutlikkus ja eksperditeadmised on põhjendatult vajalikud niisuguse kiireloomulise ja otsese vajaduse korral isegi juhul, kui CERT-EU-l ei ole selle üksusega konfidentsiaalsuskokkulepet. Sellisel juhul teavitab CERT-EU viivitamata IICB juhatajat ja annab IICB-le aru korrapäraste aruannete või kohtumiste kaudu.
2. CERT-EU võib teha koostööd muude partneritega, näiteks äriettevõtjate, sealhulgas sektoripõhiste üksuste, rahvusvaheliste organisatsioonide, Euroopa Liidu väliste riiklike üksuste või üksikekspertidega, et koguda teavet üldiste või konkreetsete küberohtude, ohuolukordade, nõrkuste ja võimalike vastumeetmete kohta. Ulatuslikumaks koostööks selliste partneritega taotleb CERT-EU igal üksikjuhul eraldi IICB eelnevat heakskiitu.
3. CERT-EU võib intsidendist mõjutatud liidu üksuse nõusolekul ja tingimusel, et asjaomase samalaadse asutuse või partneriga on sõlmitud mitteavalikustamise kokkulepe või leping, esitada lõigetes 1 ja 2 osutatud samalaadsetele asutustele või partneritele konkreetse intsidendi kohta käivat teavet üksnes selle analüüsimisse panustamise eesmärgil.
V PEATÜKK
KOOSTÖÖ- JA ARUANDEKOHUSTUSED
Artikkel 20
Küberturvalisuse alase teabe jagamise kord
1. Liidu üksused võivad vabatahtlikult teatada CERT-EU-le neid mõjutavatest intsidentidest, küberohtudest, ohuolukordadest ja nõrkustest ning anda sellekohast teavet. CERT-EU tagab selliste tõhusate sidevahendite olemasolu, mis kindlustavad kõrgel tasemel jälgitavuse, konfidentsiaalsuse ja usaldusväärsuse, et hõlbustada liidu üksustega teabe jagamist. Teadete töötlemisel võib CERT-EU seada kohustuslike teadete menetlemise vabatahtlike teadete menetlemisest tähtsamale kohale. Ilma et see piiraks artikli 12 kohaldamist, ei too vabatahtlik teatamine teadet esitavale liidu üksusele kaasa lisakohustusi, mida tal ei oleks olnud, kui ta ei oleks teadet esitanud.
2. Selleks et täita oma artiklist 13 tulenevat missiooni ja ülesandeid, võib CERT-EU taotleda, et liidu üksused esitaksid talle oma IKT-süsteemide varade loendist teavet, sealhulgas teavet, mis käsitleb küberohtusid, ohuolukordi, nõrkusi, rikkeindikaatoreid, küberturvalisuse hoiatusi ning soovitusi seoses intsidentide tuvastamiseks vajalike küberturvalisuse vahendite konfiguratsiooniga. Taotluse saanud liidu üksus edastab taotletud teabe ja kõik selle hilisemad ajakohastused põhjendamatu viivituseta.
3. Sellist teavet, millest ilmneb intsidendist mõjutatud liidu üksuse identiteet, võib CERT-EU intsidendi kohta vahetada liidu üksustega tingimusel, et mõjutatud liidu üksus annab selleks nõusoleku. Nõusoleku andmisest keeldumise korral esitab liidu üksus CERT-EU-le oma otsuse põhjendused.
4. Liidu üksused jagavad taotluse korral Euroopa Parlamendi ja nõukoguga teavet küberturvalisuse kavade lõpuleviimise kohta.
5. IICB või CERT-EU, nagu on asjakohane, jagab taotluse korral suuniseid, soovitusi ja üleskutseid Euroopa Parlamendi ja nõukoguga.
6. Käesolevas artiklis sätestatud jagamiskohustused ei laiene
| a) | ELi salastatud teabele; |
| b) | teabele, mille edasine levitamine on nähtava märgistuse abil välistatud, välja arvatud juhul, kui selle jagamiseks CERT-EUga on antud sõnaselge luba. |
Artikkel 21
Aruandekohustused
1. Intsidenti käsitatakse olulisena, kui:
| a) | see on põhjustanud või võib põhjustada tõsiseid häireid asjaomase liidu üksuse toimimises või rahalist kahju sellele üksusele; |
| b) | see on mõjutanud või võib mõjutada teisi füüsilisi või juriidilisi isikuid, põhjustades märkimisväärset materiaalset või mittemateriaalset kahju. |
2. Liidu üksused esitavad CERT-EU-le:
| a) | põhjendamatu viivituseta, ent igal juhul 24 tunni jooksul pärast olulisest intsidendist teadasaamist varajase hoiatuse, milles asjakohasel juhul märgitakse, et olulise intsidendi põhjuseks on eeldatavasti ebaseaduslik või pahatahtlik tegevus või et sellel võib olla üksuseülene või piiriülene mõju; |
| b) | põhjendamatu viivituseta, ent igal juhul 72 tunni jooksul pärast olulisest intsidendist teadasaamist intsidenditeate, millega asjakohasel juhul ajakohastatakse punktis a osutatud teavet ning antakse esialgne hinnang olulisele intsidendile, sealhulgas selle raskusastmele ja mõjule ning võimaluse korral ka rikkeindikaatoritele; |
| c) | CERT-EU taotlusel vahearuande vaatlusaluste asjade seisu kohta; |
| d) | hiljemalt üks kuu pärast punkti b kohase intsidenditeate edastamist lõpparuande, mis sisaldab järgmist:
|
| e) | kui intsident punktis d osutatud lõpparuande esitamise ajal veel kestab, hetkeseisu kajastava eduaruande ja ühe kuu jooksul pärast intsidendi käsitlemist üksuste poolt lõpparuande. |
3. Liidu üksus teavitab põhjendamatu viivituseta, ent igal juhul 24 tunni jooksul pärast olulisest intsidendist teadasaamist artikli 17 lõikes 1 osutatud liikmesriikide samalaadseid asutusi liikmesriigis, kus ta asub, olulise intsidendi ilmnemisest.
4. Liidu üksused esitavad muu hulgas mis tahes teabe, mis võimaldab CERT-EU-l teha kindlaks sellest olulisest intsidendist lähtuva üksuseülese mõju, vastuvõtvale liikmesriigile avalduva mõju või piiriülese mõju. Ilma et see piiraks artikli 12 kohaldamist, ei suurene teavitava üksuse vastutus üksnes teavitamise tõttu.
5. Kui see on kohaldatav, teavitavad liidu üksused mõjutatud võrgu- ja infosüsteemide või muude selliste IKT-keskkonna komponentide kasutajaid, mida oluline intsident või oluline küberoht võib mõjutada, ja kes peavad asjakohasel juhul võtma leevendusmeetmeid, põhjendamatu viivituseta meetmetest või parandusmeetmetest, mida nad saavad sellele intsidendile või ohule reageerimiseks võtta. Kui see on asjakohane, teavitavad liidu üksused kõnealuseid kasutajaid ka olulisest küberohust endast.
6. Kui oluline intsident või oluline küberoht mõjutab võrgu- ja infosüsteemi või liidu üksuse IKT-keskkonna sellist komponenti, mis on teadlikult ühendatud mõne teise liidu üksuse IKT-keskkonnaga, väljastab CERT-EU asjakohase küberturvalisuse hoiatuse.
7. Liidu üksused esitavad CERT-EU taotlusel CERT-EU-le põhjendamatu viivituseta digitaalse teabe, mis on tekkinud nende vastavate intsidentidega seotud elektrooniliste seadmete kasutamisel. CERT-EU võib esitada täiendavaid üksikasju sellise teabe liigi kohta, mida ta vajab olukorrateadlikkuse ja intsidentidele reageerimise jaoks.
8. CERT-EU esitab IICB-le, ENISA-le, EU INTCENile ja CSIRTide võrgustikule iga kolme kuu tagant koondaruande, mis sisaldab anonüümitud ja koondatud andmeid oluliste intsidentide, intsidentide, küberohtude, ohuolukordade ja nõrkuste kohta vastavalt artiklile 20 ning käesoleva artikli lõike 2 kohaselt teatatud oluliste intsidentide kohta. Koondaruannet võetakse arvesse direktiivi (EL) 2022/2555 artikli 18 kohaselt iga kahe aasta järel vastu võetavas aruandes, mis käsitleb küberturvalisuse olukorda liidus.
9. Hiljemalt 8. juuliks 2024 annab IICB välja suunised või soovitused, milles täpsustatakse käesoleva artikli alusel aruandmise täiendavad üksikasjad, vorming ja sisu. Selliste suuniste või soovituste koostamisel võtab IICB arvesse kõiki direktiivi (EL) 2022/2555 artikli 23 lõike 11 kohaselt vastu võetud rakendusakte, milles täpsustatakse teavituse teabeliik, vorming ja esitamise kord. CERT-EU levitab asjakohaseid tehnilisi üksikasju, et liidu üksused saaksid tegeleda ennetava tuvastamise, intsidentidele reageerimise või leevendusmeetmetega.
10. Käesolevas artiklis sätestatud aruandekohustused ei laiene
| a) | ELi salastatud teabele; |
| b) | teabele, mille edasine levitamine on nähtava märgistuse abil välistatud, välja arvatud juhul, kui selle jagamiseks CERT-EUga on antud sõnaselge luba. |
Artikkel 26
Jõustumine
Käesolev määrus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.
Käesolev määrus on tervikuna siduv ja vahetult kohaldatav kõikides liikmesriikides.
Strasbourg, 13. detsember 2023
Euroopa Parlamendi nimel
president
R. METSOLA
Nõukogu nimel
eesistuja
P. NAVARRO RÍOS
(1) Euroopa Parlamendi 21. novembri 2023. aasta seisukoht (Euroopa Liidu Teatajas seni avaldamata) ja nõukogu 8. detsembri 2023. aasta otsus.
(2) Euroopa Parlamendi ja nõukogu 14. detsembri 2022. aasta direktiiv (EL) 2022/2555, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv) (ELT L 333, 27.12.2022, lk 80).
(3) Euroopa Parlamendi ja nõukogu 17. aprilli 2019. aasta määrus (EL) 2019/881, mis käsitleb ENISAt (Euroopa Liidu Küberturvalisuse Amet) ning info- ja kommunikatsioonitehnoloogia küberturvalisuse sertifitseerimist ja millega tunnistatakse kehtetuks määrus (EL) nr 526/2013 (küberturvalisuse määrus) (ELT L 151, 7.6.2019, lk 15).
(4) Kokkulepe Euroopa Parlamendi, Euroopa Ülemkogu, Euroopa Liidu Nõukogu, Euroopa Komisjoni, Euroopa Liidu Kohtu, Euroopa Keskpanga, Euroopa Kontrollikoja, Euroopa välisteenistuse, Euroopa Majandus- ja Sotsiaalkomitee, Euroopa Regioonide Komitee ja Euroopa Investeerimispanga vahel liidu institutsioonide, organite ja asutuste infoturbeintsidentidega tegeleva rühma (CERT-EU) töökorralduse ja toimimise kohta (ELT C 12, 13.1.2018, lk 1).
(5) Nõukogu 29. veebruari 1968. aasta määrus (EMÜ, Euratom, ESTÜ) nr 259/68, millega kehtestatakse Euroopa ühenduste ametnike personalieeskirjad ja muude teenistujate teenistustingimused ning komisjoni ametnike suhtes ajutiselt kohaldatavad erimeetmed (EÜT L 56, 4.3.1968, lk 1).
(6) Komisjoni 13. septembri 2017. aasta soovitus (EL) 2017/1584 koordineeritud reageerimise kohta ulatuslike küberturvalisuse intsidentide ja kriiside korral (ELT L 239, 19.9.2017, lk 36).
(7) Euroopa Parlamendi ja nõukogu 23. oktoobri 2018. aasta määrus (EL) 2018/1725, mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning isikuandmete vaba liikumist, ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus nr 1247/2002/EÜ (ELT L 295, 21.11.2018, lk 39).
(8) ELT C 258, 5.7.2022, lk 10.
(9) Euroopa Parlamendi ja nõukogu 18. juuli 2018. aasta määrus (EL, Euratom) 2018/1046, mis käsitleb liidu üldeelarve suhtes kohaldatavaid finantsreegleid ja millega muudetakse määrusi (EL) nr 1296/2013, (EL) nr 1301/2013, (EL) nr 1303/2013, (EL) nr 1304/2013, (EL) nr 1309/2013, (EL) nr 1316/2013, (EL) nr 223/2014, (EL) nr 283/2014 ja otsust nr 541/2014/EL ning tunnistatakse kehtetuks määrus (EL, Euratom) nr 966/2012 (ELT L 193, 30.7.2018, lk 1).
(10) Euroopa Parlamendi ja nõukogu 30. mai 2001. aasta määrus (EÜ) nr 1049/2001 üldsuse juurdepääsu kohta Euroopa Parlamendi, nõukogu ja komisjoni dokumentidele (EÜT L 145, 31.5.2001, lk 43).
ELI: http://data.europa.eu/eli/reg/2023/2841/oj
ISSN 1977-0650 (electronic edition)