keyboard_tab Cyber Resilience Act 2023/2841 ET
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Artikkel 13
- 2 Artikkel 17
I PEATÜKK
ÜLDSÄTTED
II PEATÜKK
KÜBERTURVALISUSE ÜHTLASELT KÕRGE TASEME TAGAMISE MEETMED
III PEATÜKK
INSTITUTSIOONIDEVAHELINE KÜBERTURVALISUSE NÕUKODA
IV PEATÜKK
CERT-EU
V PEATÜKK
KOOSTÖÖ- JA ARUANDEKOHUSTUSED
VI PEATÜKK
LÕPPSÄTTED
- liidu 35
- cert-eu 14
- cert-eu 14
- või 13
- üksuste 9
- küberturvalisuse 8
- mõjutatud 7
- võib 7
- teavet 7
- artikli 6
- el / 6
- intsidendi 6
- iicb 6
- intsidentide 6
- kohaselt 6
- seda 5
- osutatud 5
- üksus 5
- koostööd 5
- üksuse 5
- intsidente 5
- direktiivi 5
- samalaadsete 5
- vastavalt 5
- üksustega 4
- teenused 4
- juhul 4
- lõikes 4
- asutustega 4
- kohta 4
- teabe 4
- seotud 4
- põhjal 4
- ning 4
- ikt-keskkonna 4
- määratud 4
- euroopa 4
- konkreetse 3
- koostöös 3
- enisaga 3
- juht 3
- tõsiste 3
- käesoleva 3
- toetab 3
- määruse 3
- kirjeldatud 3
- infosüsteemide 3
- esimese 3
- lõigu 3
- csirtide 3
Artikkel 13
1. CERT-EU missioon on aidata kaasa kõigi liidu üksuste salastamata IKT-keskkonna turvalisusele, andes neile küberturvalisuse alast nõu, aidates neil intsidente ära hoida, tuvastada, neid käsitleda ja leevendada, intsidentidele reageerida ja neist taastuda ning tegutsedes nende küberturvalisuse alase teabevahetuse ja intsidentidele reageerimise koordineerimise keskusena.
2. CERT-EU kogub, haldab, analüüsib ja jagab liidu üksustega teavet, mis käsitleb salastamata IKT-taristu küberohte, nõrkusi ja sellega seotud intsidente. CERT-EU koordineerib intsidentidele reageerimist institutsioonidevahelisel ja liidu üksuste tasandil, andes muu hulgas operatiivset eriabi või koordineerides seda.
3. CERT-EU täidab liidu üksuste jaoks järgmisi ülesandeid:
| a) | toetab neid käesoleva määruse rakendamisel ja aitab seda koordineerida artikli 14 lõikes 1 loetletud meetmetega või IICB nõutud ad hoc aruannetega; |
| b) | pakub kõigile liidu üksustele standardseid CSIRT-teenuseid teenustekataloogis kirjeldatud küberturvalisuse teenuste paketiga (edaspidi „baasteenused“); |
| c) | hoiab alal samalaadsete organisatsioonide ja partnerite võrgustikku, et toetada teenuseid, nagu on kirjeldatud artiklites 17 ja 18; |
| d) | juhib IICB tähelepanu probleemidele, mis on seotud käesoleva määruse rakendamisega ning suuniste, soovituste ja üleskutsete rakendamisega; |
| e) | aitab lõikes 2 osutatud teabe põhjal ja tihedas koostöös ENISAga suurendada liidu küberolukorrateadlikkust; |
| f) | koordineerib tõsiste intsidentide haldamist; |
| g) | tegutseb liidu üksuste nimel samaväärsena koordinaatoriga, kes on määratud nõrkuste koordineeritud avalikustamise koordinaatoriks vastavalt direktiivi (EL) 2022/2555 artikli 12 lõikele 1; |
| h) | tagab liidu üksuse taotlusel kõnealuse liidu üksuse üldkasutatavate võrgu- ja infosüsteemide ennetava välise kontrollimise. |
Kui see on kohaldatav ja asjakohane, jagatakse esimese lõigu punktis e osutatud teavet IICB, CSIRTide võrgustiku ning Euroopa Liidu luure- ja situatsioonikeskusega (EU INTCEN), järgides seejuures asjakohaseid konfidentsiaalsusnõudeid.
4. CERT-EU võib asjakohasel juhul teha liidus ja selle liikmesriikides koostööd asjaomaste küberturvalisuse kogukondadega vastavalt artiklile 17 või 18, muuhulgas järgmistes valdkondades:
| a) | valmisolek, intsidentide koordineerimine, teabevahetus ja kriisidele reageerimine tehnilisel tasandil liidu üksustega seotud juhtumite puhul; |
| b) | operatiivkoostöö seoses CSIRTide võrgustikuga, k.a vastastikuse abi valdkonnas; |
| c) | küberohuteadmus, sh olukorrateadlikkus; |
| d) | kõik teemad, milleks on vaja CERT-EU tehnilist küberturvalisuse alast oskusteavet. |
5. CERT-EU teeb enda pädevusse kuuluvates küsimustes struktureeritud koostööd ENISAga suutlikkuse suurendamise, operatiivkoostöö ja küberohtude pikaajalise strateegilise analüüsi vallas kooskõlas määrusega (EL) 2019/881. CERT-EU võib teha koostööd ja vahetada teavet Europoli küberkuritegevuse vastase võitluse Euroopa keskusega.
6. CERT-EU võib pakkuda järgmisi teenuseid, mida ei ole kirjeldatud tema teenuste kataloogis (edaspidi „tasulised teenused“):
| a) | muud kui lõikes 3 osutatud teenused, mis toetavad liidu üksuste IKT-keskkonna küberturvalisust, teenustaseme kokkulepete põhjal ja vastavalt olemasolevatele ressurssidele, eelkõige ulatuslik võrkude seire, sealhulgas tõsiste küberohtude esmatasandi pidev seire; |
| b) | teenused, mis toetavad liidu üksuste küberturvalisuse toiminguid või projekte, välja arvatud nende IKT-keskkonna kaitsmiseks mõeldud teenused, kirjaliku lepingu põhjal ja IICB eelneval heakskiidul; |
| c) | taotluse korral asjaomase liidu üksuse võrgu- ja infosüsteemide ennetav kontrollimine, et tuvastada võimalikke olulise mõjuga nõrkusi; |
| d) | teenused, mis toetavad selliste organisatsioonide IKT-keskkonna turvalisust, mis ei ole liidu üksused, kuid teevad liidu üksustega tihedat koostööd, näiteks kui neile on liidu õiguse alusel määratud ülesandeid või kohustusi, kirjaliku lepingu põhjal ja IICB eelneval heakskiidul. |
Võttes arvesse esimese lõigu punkti d, võib CERT-EU erandkorras sõlmida teenustaseme kokkuleppeid muude üksustega kui liidu üksused, kui IICB on selle eelnevalt heaks kiitnud.
7. CERT-EU korraldab küberturvalisuse õppusi ja võib neil osaleda või soovitada osaleda olemasolevatel õppustel, tehes seda tihedas koostöös ENISAga alati, kui see on asjakohane, et kontrollida liidu üksuste küberturvalisuse taset.
8. CERT-EU võib pakkuda liidu üksustele abi ELi salastatud teavet käitlevate võrgu- ja infosüsteemide intsidentide puhul, kui asjaomased liidu üksused seda temalt oma vastavate menetluste kohaselt sõnaselgelt taotlevad. CERT-EU poolt käesoleva lõike alusel abi osutamine ei piira salastatud teabe kaitseks kehtestatud reeglite järgimist.
9. CERT-EU teavitab liidu üksusi oma intsidendi käsitlemise menetlustest ja protsessidest.
10. CERT-EU edastab asjakohaste koostöömehhanismide ja aruandlusahelate kaudu olulise ja anonüümitud teabe tõsiste intsidentide ja nende käsitlemisviisi kohta, tagades seejuures konfidentsiaalsuse ja usaldusväärsuse kõrge taseme. See teave lisatakse artikli 10 lõikes 14 osutatud aruandesse.
11. CERT-EU toetab koostöös Euroopa Andmekaitseinspektoriga liidu üksusi selliste intsidentide käsitlemisel, millega kaasneb isikuandmetega seotud rikkumine, ilma et see piiraks Euroopa Andmekaitseinspektori kui järelevalveasutuse ülesandeid ja pädevust määruse (EL) 2018/1725 alusel.
12. CERT-EU võib asjakohastes poliitikaküsimustes anda tehnilist nõu või sisendit, kui liidu üksuste poliitikaosakonnad on seda sõnaselgelt taotlenud.
Artikkel 17
1. CERT-EU teeb liikmesriikide samalaadsete asutustega, sh direktiivi (EL) 2022/2555 artikli 10 kohaselt määratud või asutatud CSIRTidega või asjakohasel juhul pädevate asutustega ja sama direktiivi artikli 8 kohaselt määratud või asutatud ühtsete kontaktpunktidega põhjendamatu viivituseta koostööd ja vahetab nendega teavet küsimustes, mis puudutavad intsidente, küberohte, nõrkusi, ohuolukordi, võimalikke vastumeetmeid ja häid tavasid, ning kõigis küsimustes, mis on asjakohased liidu üksuste IKT-keskkondade kaitse parandamiseks, sh direktiivi (EL) 2022/2555 artiklis 15 osutatud CSIRTide võrgustiku kaudu. CERT-EU toetab komisjoni direktiivi (EL) 2022/2555 artikli 16 kohaselt loodud EU-CyCLONe töös ulatuslike küberturbeintsidentide ja kriiside koordineeritud haldamisel.
2. Kui CERT-EU saab teada liikmesriigi territooriumil aset leidnud olulisest intsidendist. teavitab ta vastavalt lõikele 1 viivitamata kõiki kõnealuse liikmesriigi asjaomaseid samalaadseid asutusi.
3. CERT-EU vahetab põhjendamatu viivituseta ja tingimusel, et isikuandmeid kaitstakse kohaldatava liidu andmekaitsealase õiguse kohaselt, liikmesriikide samalaadsete asutustega asjakohast teavet konkreetse intsidendi kohta, et hõlbustada samalaadsete küberohtude või intsidentide avastamist või aidata intsidenti analüüsida, ilma mõjutatud liidu üksuse loata. CERT-EU vahetab konkreetse intsidendi kohta sellist teavet, millest ilmneb intsidendi sihtmärgi identiteet, üksnes juhul, kui:
| a) | mõjutatud liidu üksus annab selleks oma nõusoleku; |
| b) | mõjutatud liidu üksus ei ole punktis a sätestatu kohaselt oma nõusolekut andnud, kuid mõjutatud liidu üksuse identiteedi avaldamine suurendaks tõenäosust, et seeläbi välditakse või leevendatakse intsidente mujal; |
| c) | mõjutatud liidu üksus on juba avalikustanud, et see intsident on teda mõjutanud. |
Otsused konkreetse intsidendi kohta sellise teabe vahetamiseks, millest ilmneb intsidendi sihtmärgi identiteet vastavalt esimese lõigu punktile b, kiidab heaks CERT-EU juht. Enne sellise otsuse tegemist võtab CERT-EU mõjutatud liidu üksusega kirjalikult ühendust ja selgitab, kuidas tema identiteedi avalikustamine aitaks vältida või leevendada intsidente mujal. CERT-EU juht esitab omapoolse selgituse ja palub sõnaselgelt, et liidu üksus teataks, kas ta annab oma nõusoleku kindlaksmääratud ajavahemiku jooksul. CERT-EU juht teavitab liidu üksust ka sellest, et esitatud selgitust arvesse võttes jätab ta endale õiguse avaldada teave isegi juhul, kui üksus selleks oma nõusolekut ei anna. Enne kui teave avalikustatakse, teavitatakse sellest mõjutatud liidu üksust.
whereas