keyboard_tab Cyber Resilience Act 2023/2841 ET

1.   Iga liidu üksus võtab põhjendamatu viivituseta ja igal juhul hiljemalt 8. septembriks 2025 oma kõrgeima juhtimistasandi järelevalve all asjakohased ja proportsionaalsed tehnilised, tegevuslikud ja korralduslikud meetmed, et juhtida raamistiku alusel kindlaks tehtud küberturvalisusriske ning hoida ära või minimeerida intsidentide mõju. Kõnealuste meetmetega tagatakse kogu IKT-keskkonnas võrgu- ja infosüsteemide turvalisuse tase, mis vastab asjakohastele küberturvalisusriskidele, võttes arvesse tehnika taset, ja kui see on kohaldatav, asjakohaseid Euroopa ja rahvusvahelisi standardeid. Kõnealuste meetmete proportsionaalsuse hindamisel võetakse igakülgselt arvesse liidu üksuse küberturvalisusriskidele avatuse määra, tema suurust ning intsidentide esinemise tõenäosust ja nende raskust, sealhulgas nende ühiskondlikku, majanduslikku ja institutsioonidevahelist mõju.

2.   Liidu üksused käsitlevad küberturvalisuse riskijuhtimismeetmete rakendamisel vähemalt järgmisi valdkondi:

a)	küberturvalisuse põhimõtted, sealhulgas artiklis 6 ja käesoleva artikli lõikes 3 osutatud eesmärkide ja prioriteetide saavutamiseks vajalikud meetmed;

b)	küberturvalisuse riskide analüüsi ja infosüsteemide turvalisuse põhimõtted;

c)	pilvandmetöötlusteenuste kasutamisega seotud põhimõtete eesmärgid;

d)	asjakohasel juhul küberturvalisuse audit, mis võib hõlmata küberturvalisuse riskide, nõrkuste ja küberohtude hindamist, ning läbistustestimine, mida teeb korrapäraselt usaldusväärne erasektori teenuseosutaja;

e)	punktis d osutatud küberturvalisuse audititest tulenevate soovituste rakendamine küberturvalisuse ja põhimõtete ajakohastamise kaudu;

f)	küberturvalisuse korraldamine, sealhulgas ülesannete ja kohustuste kindlaksmääramine;

g)	varade haldamine, sealhulgas IKT-varade inventeerimine ja IKT-võrgu kaardistamine;

h)	personali turvalisus ja juurdepääsu kontroll;

i)	tegevuse turvalisus;

j)	teabeedastuse turvalisus;

k)	süsteemide soetamine, arendamine ja hooldamine, sealhulgas nõrkuste käsitlemise ja avalikustamise põhimõtted;

l)	võimaluse korral lähtekoodi läbipaistvuse põhimõtted;

m)	tarneahela turvalisus, sealhulgas turvalisusega seotud aspektid iga liidu üksuse ja tema otseste tarnijate või teenuseosutajate vahelistes suhetes;

n)	intsidentide käsitlemine ja koostöö CERT-EUga, näiteks pidev turvalisuse seire ja logipidamine;

o)	talitluspidevuse juhtimine, näiteks varundushaldus ja avariitaaste, ning kriisiohje, ning

p)	küberturvalisuse alase õppe, oskuste, teadlikkuse suurendamise, õppuste ja koolitusega seotud programmide edendamine ja arendamine.

Esimese lõigu punkti m kohaldamisel võtavad liidu üksused arvesse igale otsesele tarnijale ja teenuseosutajale omaseid nõrkusi ning oma tarnijate ja teenuseosutajate toodete üldist kvaliteeti ja küberturvalisuse tavasid, sealhulgas nende turvalise arenduse korda.

3.   Liidu üksused võtavad vähemalt järgmisi küberturvalisuse riskijuhtimiserimeetmeid:

a)	kaugtöö võimaldamise ja jätkamise tehniline kord;

b)	konkreetsed sammud usaldamatuse põhimõtete järgimiseks;

c)	võrgu- ja infosüsteemides mitmikautentimise kohustuslik kasutamine;

d)	krüptograafia ja krüpteerimise, eelkõige otspunktkrüpteerimise ja turvalise digiallkirjastamise kasutamine;

e)	asjakohasel juhul turvalise hääl-, video- ja tekstiside ning turvaliste hädaolukorra sidesüsteemide kasutamine liidu üksuses;

f)	ennetavad meetmed paha- ja nuhkvara tuvastamiseks ja kõrvaldamiseks;

g)	tarkvara tarneahela turvalisuse tagamine tarkvara arendamise ja hindamise turvalisuse kriteeriumide abil;

h)	selliste küberturvalisuse alaste koolitusprogrammide koostamine ja vastuvõtmine, mis on vastavuses ülesannetega, mis on antud käesoleva määruse tulemusliku rakendamise tagamise eest vastutavale liidu üksuse kõrgeimale juhtimistasandile ja töötajatele, ja neilt eeldatava suutlikkusega;

i)	töötajate korrapärane koolitamine küberturvalisuse teemal;

j)	liidu üksuste omavahelise ühendatuse riskianalüüsides osalemine, kui see on asjakohane;

k)

hankereeglite tõhustamine, et toetada küberturvalisuse ühtlaselt kõrget taset järgmiste vahenditega: i) selliste lepinguliste tõkete kõrvaldamine, mis piiravad IKT-teenuste osutajate võimalust jagada CERT-EUga teavet intsidentide, nõrkuste ja küberohtude kohta; ii) lepingulised kohustused teatada intsidentidest, nõrkustest ja küberohtudest ning luua asjakohased intsidentidele reageerimise ja nende seire mehhanismid.

1.   Luuakse institutsioonidevaheline küberturvalisuse nõukoda (IICB).

2.   IICB kohustused on järgmised:

a)	seirata, kuidas liidu üksused käesolevat määrust rakendavad, ja toetada seda;

b)	teha järelevalvet CERT-EU üldiste prioriteetide ja eesmärkide rakendamise üle ning anda CERT-EU-le strateegilisi suuniseid.

3.   IICB-sse kuuluvad järgmised isikud:

a)

üks esindaja, kelle määrab iga järgnevalt nimetatud üksus: i) Euroopa Parlament; ii) Euroopa Ülemkogu; iii) Euroopa Liidu Nõukogu; iv) komisjon; v) Euroopa Liidu Kohus; vi) Euroopa Keskpank; vii) Euroopa Kontrollikoda; viii) Euroopa välisteenistus; ix) Euroopa Majandus- ja Sotsiaalkomitee; x) Euroopa Regioonide Komitee; xi) Euroopa Investeerimispank; xii) küberturvalisuse valdkonna tööstuse, tehnoloogia ja teadusuuringute Euroopa pädevuskeskus; xiii) ENISA; xiv) Euroopa Andmekaitseinspektor; xv) Euroopa Liidu Kosmoseprogrammi Amet;

b)	kolm esindajat, kelle määrab ELi asutuste võrgustik (EUAN) oma IKT nõuandekomitee ettepanekul ja kes esindavad oma IKT-keskkonda haldavate liidu organite ja asutuste huve, välja arvatud punktis a osutatud esindajad.

IICBs esindatud liidu üksused püüavad saavutada määratud esindajate seas soolise tasakaalu.

4.   IICB liikmeid võivad abistada asendusliikmed. Juhataja võib IICB koosolekule osalema kutsuda lõikes 3 osutatud liidu üksuste või muude liidu üksuste muid esindajaid, kuid neil ei ole hääleõigust.

5.   CERT-EU juht ja direktiivi (EL) 2022/2555 artikli 14 kohaselt loodud koostöörühma, artikli 15 kohaselt loodud CSIRTide võrgustiku ja artikli 16 kohaselt loodud EU-CyCLONe juhatajad või nende asendusliikmed võivad IICB koosolekul osaleda vaatlejana. Erandjuhtudel ja kooskõlas IICB kodukorraga võib IICB otsustada teisiti.

6.   IICB võtab vastu oma kodukorra.

7.   IICB määrab kooskõlas kodukorraga oma liikmete hulgast juhataja kolmeks aastaks. Juhataja asendusliikmest saab samaks ajavahemikuks IICB täisliige.

8.   IICB kohtub vähemalt kolm korda aastas juhataja algatusel või CERT-EU või mõne oma liikme taotlusel.

9.   Igal IICB liikmel on üks hääl. IICB otsused tehakse lihthäälteenamusega, kui käesolevas määruses ei ole sätestatud teisiti. IICB juhatajal ei ole hääleõigust, välja arvatud häälte võrdse jagunemise korral, kui ta võib anda otsustava hääle.

10.   IICB võib tegutseda oma kodukorra kohaselt algatatud lihtsustatud kirjaliku menetluse teel. Kõnealuse menetluse kohaselt loetakse asjaomane otsus juhataja määratud aja jooksul heakskiidetuks, kui mõni liige ei esita vastuväidet.

11.   IICB sekretariaaditeenuseid osutab komisjon ja sekretariaat on vastutav IICB juhataja ees.

12.   ELi asutuste võrgustiku poolt nimetatud esindajad edastavad IICB otsused ELi asutuste võrgustiku liikmetele. Igal ELi asutuste võrgustiku liikmel on õigus juhtida nende esindajate või IICB juhataja tähelepanu teemale, mis tema arvates peaks pälvima IICB tähelepanu.

13.   IICB võib luua täitevkomitee, mis aitaks teda tema töös, ning delegeerida sellele osa oma ülesandeid ja volitusi. IICB kehtestab täitevkomitee kodukorra, kaasa arvatud selle ülesanded ja volitused, ning selle liikmete ametiaja kestuse.

14.   IICB esitab hiljemalt 8. jaanuariks 2025 ja seejärel igal aastal Euroopa Parlamendile ja nõukogule aruande, milles kirjeldatakse üksikasjalikult käesoleva määruse rakendamisel tehtud edusamme ning täpsustatakse eelkõige, mil määral teeb CERT-EU koostööd iga liikmesriigi samalaadsete asutustega. Aruannet võetakse arvesse direktiivi (EL) 2022/2555 artikli 18 kohaselt iga kahe aasta tagant vastu võetavas aruandes, mis käsitleb küberturvalisuse olukorda liidus.

1.   CERT-EU võib teha töövahendite ja meetodite, nt tehnika, taktika, menetluste ja heade tavade, ning küberohtude ja nõrkuste alast koostööd liidus asuvate teiste samalaadsete asutustega, v.a artiklis 17 osutatud asutused, kelle suhtes kehtivad liidu küberturvalisuse nõuded, sh sektoripõhiste samalaadsete asutustega. Igasuguseks koostööks selliste samalaadsete asutustega taotleb CERT-EU igal üksikjuhul eraldi eelnevat IICB heakskiitu. Kui CERT-EU alustab sellise samalaadse asutusega koostööd, teavitab ta sellest kõiki asjaomaseid artikli 17 lõikes 1 osutatud samalaadseid asutusi liikmesriigis, kus kõnealune samalaadne asutus asub. Kui see on kohaldatav ja asjakohane, reguleeritakse selline koostöö ja selle tingimused, sealhulgas seoses küberturvalisuse, andmekaitse ja teabe käitlemisega, konkreetsete konfidentsiaalsuskokkulepetega, näiteks lepingute või halduskokkulepetega. Konfidentsiaalsuskokkuleppeid ei pea IICB eelnevalt heaks kiitma, kuid neist tuleb IICB juhatajale teada anda. Kui tekib kiireloomuline ja otsene vajadus vahetada küberturvalisuse alast teavet liidu üksuste või mõne muu poole huvides, võib CERT-EU seda teha sellise üksuse kaasabil, kelle spetsiifiline pädevus, suutlikkus ja eksperditeadmised on põhjendatult vajalikud niisuguse kiireloomulise ja otsese vajaduse korral isegi juhul, kui CERT-EU-l ei ole selle üksusega konfidentsiaalsuskokkulepet. Sellisel juhul teavitab CERT-EU viivitamata IICB juhatajat ja annab IICB-le aru korrapäraste aruannete või kohtumiste kaudu.

2.   CERT-EU võib teha koostööd muude partneritega, näiteks äriettevõtjate, sealhulgas sektoripõhiste üksuste, rahvusvaheliste organisatsioonide, Euroopa Liidu väliste riiklike üksuste või üksikekspertidega, et koguda teavet üldiste või konkreetsete küberohtude, ohuolukordade, nõrkuste ja võimalike vastumeetmete kohta. Ulatuslikumaks koostööks selliste partneritega taotleb CERT-EU igal üksikjuhul eraldi IICB eelnevat heakskiitu.

3.   CERT-EU võib intsidendist mõjutatud liidu üksuse nõusolekul ja tingimusel, et asjaomase samalaadse asutuse või partneriga on sõlmitud mitteavalikustamise kokkulepe või leping, esitada lõigetes 1 ja 2 osutatud samalaadsetele asutustele või partneritele konkreetse intsidendi kohta käivat teavet üksnes selle analüüsimisse panustamise eesmärgil.