keyboard_tab Cyber Resilience Act 2023/2841 ET

1.   Iga liidu üksus võtab põhjendamatu viivituseta ja igal juhul hiljemalt 8. septembriks 2025 oma kõrgeima juhtimistasandi järelevalve all asjakohased ja proportsionaalsed tehnilised, tegevuslikud ja korralduslikud meetmed, et juhtida raamistiku alusel kindlaks tehtud küberturvalisusriske ning hoida ära või minimeerida intsidentide mõju. Kõnealuste meetmetega tagatakse kogu IKT-keskkonnas võrgu- ja infosüsteemide turvalisuse tase, mis vastab asjakohastele küberturvalisusriskidele, võttes arvesse tehnika taset, ja kui see on kohaldatav, asjakohaseid Euroopa ja rahvusvahelisi standardeid. Kõnealuste meetmete proportsionaalsuse hindamisel võetakse igakülgselt arvesse liidu üksuse küberturvalisusriskidele avatuse määra, tema suurust ning intsidentide esinemise tõenäosust ja nende raskust, sealhulgas nende ühiskondlikku, majanduslikku ja institutsioonidevahelist mõju.

2.   Liidu üksused käsitlevad küberturvalisuse riskijuhtimismeetmete rakendamisel vähemalt järgmisi valdkondi:

a)	küberturvalisuse põhimõtted, sealhulgas artiklis 6 ja käesoleva artikli lõikes 3 osutatud eesmärkide ja prioriteetide saavutamiseks vajalikud meetmed;

b)	küberturvalisuse riskide analüüsi ja infosüsteemide turvalisuse põhimõtted;

c)	pilvandmetöötlusteenuste kasutamisega seotud põhimõtete eesmärgid;

d)	asjakohasel juhul küberturvalisuse audit, mis võib hõlmata küberturvalisuse riskide, nõrkuste ja küberohtude hindamist, ning läbistustestimine, mida teeb korrapäraselt usaldusväärne erasektori teenuseosutaja;

e)	punktis d osutatud küberturvalisuse audititest tulenevate soovituste rakendamine küberturvalisuse ja põhimõtete ajakohastamise kaudu;

f)	küberturvalisuse korraldamine, sealhulgas ülesannete ja kohustuste kindlaksmääramine;

g)	varade haldamine, sealhulgas IKT-varade inventeerimine ja IKT-võrgu kaardistamine;

h)	personali turvalisus ja juurdepääsu kontroll;

i)	tegevuse turvalisus;

j)	teabeedastuse turvalisus;

k)	süsteemide soetamine, arendamine ja hooldamine, sealhulgas nõrkuste käsitlemise ja avalikustamise põhimõtted;

l)	võimaluse korral lähtekoodi läbipaistvuse põhimõtted;

m)	tarneahela turvalisus, sealhulgas turvalisusega seotud aspektid iga liidu üksuse ja tema otseste tarnijate või teenuseosutajate vahelistes suhetes;

n)	intsidentide käsitlemine ja koostöö CERT-EUga, näiteks pidev turvalisuse seire ja logipidamine;

o)	talitluspidevuse juhtimine, näiteks varundushaldus ja avariitaaste, ning kriisiohje, ning

p)	küberturvalisuse alase õppe, oskuste, teadlikkuse suurendamise, õppuste ja koolitusega seotud programmide edendamine ja arendamine.

Esimese lõigu punkti m kohaldamisel võtavad liidu üksused arvesse igale otsesele tarnijale ja teenuseosutajale omaseid nõrkusi ning oma tarnijate ja teenuseosutajate toodete üldist kvaliteeti ja küberturvalisuse tavasid, sealhulgas nende turvalise arenduse korda.

3.   Liidu üksused võtavad vähemalt järgmisi küberturvalisuse riskijuhtimiserimeetmeid:

a)	kaugtöö võimaldamise ja jätkamise tehniline kord;

b)	konkreetsed sammud usaldamatuse põhimõtete järgimiseks;

c)	võrgu- ja infosüsteemides mitmikautentimise kohustuslik kasutamine;

d)	krüptograafia ja krüpteerimise, eelkõige otspunktkrüpteerimise ja turvalise digiallkirjastamise kasutamine;

e)	asjakohasel juhul turvalise hääl-, video- ja tekstiside ning turvaliste hädaolukorra sidesüsteemide kasutamine liidu üksuses;

f)	ennetavad meetmed paha- ja nuhkvara tuvastamiseks ja kõrvaldamiseks;

g)	tarkvara tarneahela turvalisuse tagamine tarkvara arendamise ja hindamise turvalisuse kriteeriumide abil;

h)	selliste küberturvalisuse alaste koolitusprogrammide koostamine ja vastuvõtmine, mis on vastavuses ülesannetega, mis on antud käesoleva määruse tulemusliku rakendamise tagamise eest vastutavale liidu üksuse kõrgeimale juhtimistasandile ja töötajatele, ja neilt eeldatava suutlikkusega;

i)	töötajate korrapärane koolitamine küberturvalisuse teemal;

j)	liidu üksuste omavahelise ühendatuse riskianalüüsides osalemine, kui see on asjakohane;

k)

hankereeglite tõhustamine, et toetada küberturvalisuse ühtlaselt kõrget taset järgmiste vahenditega: i) selliste lepinguliste tõkete kõrvaldamine, mis piiravad IKT-teenuste osutajate võimalust jagada CERT-EUga teavet intsidentide, nõrkuste ja küberohtude kohta; ii) lepingulised kohustused teatada intsidentidest, nõrkustest ja küberohtudest ning luua asjakohased intsidentidele reageerimise ja nende seire mehhanismid.

1.   CERT-EU toetab käesoleva määruse rakendamist sellega, et annab välja järgmisi dokumente:

a)	üleskutsed, milles kirjeldatakse kiireloomulisi turbemeetmeid, mida liidu üksused peaksid võtma kindlaksmääratud aja jooksul;

b)	ettepanekud IICB-le suuniste kohta, mis on adresseeritud kõigile liidu üksustele või mõnedele nende hulgast;

c)	ettepanekud IICB-le soovituste kohta, mis on adresseeritud konkreetsetele liidu üksustele.

Võttes arvesse esimese lõigu punkti a, annab asjaomane liidu üksus põhjendamatu viivituseta pärast üleskutse saamist CERT-EU-le teada, kuidas kiireloomulisi turbemeetmeid rakendati.

2.   Suunised ja soovitused võivad sisaldada:

a)

ühtset metoodikat ja mudelit liidu üksuste küberturvalisuse küpsustaseme hindamiseks, sealhulgas vastavaid skaalasid või peamisi tulemusnäitajaid, mida kasutatakse võrdlusalusena küberturvalisuse pideva suurendamise toetamisel kõigis liidu üksustes ning küberturvalisuse valdkondade ja meetmete prioriseerimise hõlbustamisel, võttes arvesse üksuste turvaoleku taset kübervaldkonnas;

b)	küberturvalisuse riskijuhtimise ja küberturvalisuse riskijuhtimismeetmete üksikasju või parendusi;

c)	küberturvalisuse küpsustaseme hindamise ja küberturvalisuse kavade üksikasju;

d)	kui see on asjakohane, ühise tehnoloogia, arhitektuuri, avatud lähtekoodi ja nendega seotud heade tavade kasutamist, et saavutada koostalitlusvõime ja ühised standardid, sealhulgas koordineeritud lähenemisviis tarneahela turvalisusele;

e)	kui see on asjakohane, teavet, mis hõlbustaks ühishankevahendite kasutamist asjaomaste küberturvalisuse teenuste ja toodete ostmiseks kolmandast isikust tarnijatelt;

f)	artikli 20 kohast teabevahetuskorda.

1.   CERT-EU teeb liikmesriikide samalaadsete asutustega, sh direktiivi (EL) 2022/2555 artikli 10 kohaselt määratud või asutatud CSIRTidega või asjakohasel juhul pädevate asutustega ja sama direktiivi artikli 8 kohaselt määratud või asutatud ühtsete kontaktpunktidega põhjendamatu viivituseta koostööd ja vahetab nendega teavet küsimustes, mis puudutavad intsidente, küberohte, nõrkusi, ohuolukordi, võimalikke vastumeetmeid ja häid tavasid, ning kõigis küsimustes, mis on asjakohased liidu üksuste IKT-keskkondade kaitse parandamiseks, sh direktiivi (EL) 2022/2555 artiklis 15 osutatud CSIRTide võrgustiku kaudu. CERT-EU toetab komisjoni direktiivi (EL) 2022/2555 artikli 16 kohaselt loodud EU-CyCLONe töös ulatuslike küberturbeintsidentide ja kriiside koordineeritud haldamisel.

2.   Kui CERT-EU saab teada liikmesriigi territooriumil aset leidnud olulisest intsidendist. teavitab ta vastavalt lõikele 1 viivitamata kõiki kõnealuse liikmesriigi asjaomaseid samalaadseid asutusi.

3.   CERT-EU vahetab põhjendamatu viivituseta ja tingimusel, et isikuandmeid kaitstakse kohaldatava liidu andmekaitsealase õiguse kohaselt, liikmesriikide samalaadsete asutustega asjakohast teavet konkreetse intsidendi kohta, et hõlbustada samalaadsete küberohtude või intsidentide avastamist või aidata intsidenti analüüsida, ilma mõjutatud liidu üksuse loata. CERT-EU vahetab konkreetse intsidendi kohta sellist teavet, millest ilmneb intsidendi sihtmärgi identiteet, üksnes juhul, kui:

a)	mõjutatud liidu üksus annab selleks oma nõusoleku;

b)	mõjutatud liidu üksus ei ole punktis a sätestatu kohaselt oma nõusolekut andnud, kuid mõjutatud liidu üksuse identiteedi avaldamine suurendaks tõenäosust, et seeläbi välditakse või leevendatakse intsidente mujal;

c)	mõjutatud liidu üksus on juba avalikustanud, et see intsident on teda mõjutanud.

Otsused konkreetse intsidendi kohta sellise teabe vahetamiseks, millest ilmneb intsidendi sihtmärgi identiteet vastavalt esimese lõigu punktile b, kiidab heaks CERT-EU juht. Enne sellise otsuse tegemist võtab CERT-EU mõjutatud liidu üksusega kirjalikult ühendust ja selgitab, kuidas tema identiteedi avalikustamine aitaks vältida või leevendada intsidente mujal. CERT-EU juht esitab omapoolse selgituse ja palub sõnaselgelt, et liidu üksus teataks, kas ta annab oma nõusoleku kindlaksmääratud ajavahemiku jooksul. CERT-EU juht teavitab liidu üksust ka sellest, et esitatud selgitust arvesse võttes jätab ta endale õiguse avaldada teave isegi juhul, kui üksus selleks oma nõusolekut ei anna. Enne kui teave avalikustatakse, teavitatakse sellest mõjutatud liidu üksust.

1.   CERT-EU võib teha töövahendite ja meetodite, nt tehnika, taktika, menetluste ja heade tavade, ning küberohtude ja nõrkuste alast koostööd liidus asuvate teiste samalaadsete asutustega, v.a artiklis 17 osutatud asutused, kelle suhtes kehtivad liidu küberturvalisuse nõuded, sh sektoripõhiste samalaadsete asutustega. Igasuguseks koostööks selliste samalaadsete asutustega taotleb CERT-EU igal üksikjuhul eraldi eelnevat IICB heakskiitu. Kui CERT-EU alustab sellise samalaadse asutusega koostööd, teavitab ta sellest kõiki asjaomaseid artikli 17 lõikes 1 osutatud samalaadseid asutusi liikmesriigis, kus kõnealune samalaadne asutus asub. Kui see on kohaldatav ja asjakohane, reguleeritakse selline koostöö ja selle tingimused, sealhulgas seoses küberturvalisuse, andmekaitse ja teabe käitlemisega, konkreetsete konfidentsiaalsuskokkulepetega, näiteks lepingute või halduskokkulepetega. Konfidentsiaalsuskokkuleppeid ei pea IICB eelnevalt heaks kiitma, kuid neist tuleb IICB juhatajale teada anda. Kui tekib kiireloomuline ja otsene vajadus vahetada küberturvalisuse alast teavet liidu üksuste või mõne muu poole huvides, võib CERT-EU seda teha sellise üksuse kaasabil, kelle spetsiifiline pädevus, suutlikkus ja eksperditeadmised on põhjendatult vajalikud niisuguse kiireloomulise ja otsese vajaduse korral isegi juhul, kui CERT-EU-l ei ole selle üksusega konfidentsiaalsuskokkulepet. Sellisel juhul teavitab CERT-EU viivitamata IICB juhatajat ja annab IICB-le aru korrapäraste aruannete või kohtumiste kaudu.

2.   CERT-EU võib teha koostööd muude partneritega, näiteks äriettevõtjate, sealhulgas sektoripõhiste üksuste, rahvusvaheliste organisatsioonide, Euroopa Liidu väliste riiklike üksuste või üksikekspertidega, et koguda teavet üldiste või konkreetsete küberohtude, ohuolukordade, nõrkuste ja võimalike vastumeetmete kohta. Ulatuslikumaks koostööks selliste partneritega taotleb CERT-EU igal üksikjuhul eraldi IICB eelnevat heakskiitu.

3.   CERT-EU võib intsidendist mõjutatud liidu üksuse nõusolekul ja tingimusel, et asjaomase samalaadse asutuse või partneriga on sõlmitud mitteavalikustamise kokkulepe või leping, esitada lõigetes 1 ja 2 osutatud samalaadsetele asutustele või partneritele konkreetse intsidendi kohta käivat teavet üksnes selle analüüsimisse panustamise eesmärgil.

1.   Küberturvalisuse alase teabevahetuse ja intsidentidele reageerimise koordineerimise keskusena hõlbustab CERT-EU intsidentide, küberohtude, nõrkuste ja ohuolukordadega seotud teabevahetust järgnevalt nimetatute vahel:

a)	liidu üksused;

b)	artiklites 17 ja 18 osutatud samalaadsed asutused.

2.   CERT-EU hõlbustab asjakohasel juhul ja tihedas koostöös ENISAga intsidentidele reageerimise alast koordineerimist liidu üksuste vahel, sealhulgas:

a)	panustamist järjepidevasse välissuhtlusesse;

b)	vastastikust toetust, nagu liidu üksustele olulise teabe jagamine või abistamine vahetult kohapeal, kui see on asjakohane;

c)	operatiivressursside optimaalset kasutamist;

d)	koordineerimist muude kriisidele reageerimise mehhanismidega liidu tasandil.

3.   CERT-EU toetab tihedas koostöös ENISAga liidu üksusi intsidentide, küberohtude, nõrkuste ja ohuolukordade alase olukorrateadlikkuse vallas, samuti küberturvalisuse valdkonna asjakohaste arengusuundumuste alase teabe jagamise vallas.

4.   Hiljemalt 8. jaanuariks 2025 võtab IICB CERT-EU ettepaneku alusel vastu suunised või soovitused intsidentidele reageerimise koordineerimise ja koostöö kohta oluliste intsidentide korral. Kui kahtlustatakse, et intsident on kuritegelik, annab CERT-EU nõu selle kohta, kuidas teatada intsidendist põhjendamatu viivituseta õiguskaitseasutustele.

5.   Liikmesriigi konkreetse taotluse alusel ja asjaomaste liidu üksuste nõusolekul võib CERT-EU kutsuda artikli 23 lõikes 4 osutatud nimekirjast eksperte, et aidata reageerida kõnealust liikmesriiki mõjutavale tõsisele intsidendile või ulatuslikule küberturbeintsidendile kooskõlas direktiivi (EL) 2022/2555 artikli 15 lõike 3 punktiga g. konkreetsed reeglid, mille alusel saab liidu üksustest tehnilisi eksperte kutsuda ja nende teadmisi kasutada, kiidab CERT-EU ettepaneku alusel heaks IICB.

1.   Selleks et toetada liidu üksusi mõjutavate tõsiste intsidentide koordineeritud haldamist operatiivtasandil ning aidata kaasa asjakohase teabe korrapärasele vahetamisele liidu üksuste vahel ja liikmesriikidega, töötab IICB vastavalt artikli 11 punktile q ning tihedas koostöös CERT-EU ja ENISAga välja artikli 22 lõikes 2 osutatud tegevustel põhineva küberkriiside haldamise kava. Küberkriiside haldamise kava sisaldab vähemalt järgmist:

a)	liidu üksuste vahelise koordineerimise ja teabevoo kord tõsiste intsidentide haldamiseks operatiivtasandil;

b)	ühtne standardne töökord;

c)	tõsiste intsidentide raskusastme ja kriisi käivitavate tegurite ühtne taksonoomia;

d)	korrapärased õppused;

e)	kasutatavad turvalised sidekanalid.

2.   Käesoleva artikli lõike 1 alusel välja töötatud küberkriiside haldamise kava kohaldamisel ja ilma et see piiraks direktiivi (EL) 2022/2555 artikli 16 lõike 2 esimese lõigu kohaldamist, toimib IICB tegevuses osalev komisjoni esindaja kontaktpunktina tõsiste intsidentidega seotud asjakohase teabe jagamisel EU-CyCLONega.

3.   CERT-EU koordineerib tõsiste intsidentide haldamist liidu üksuste vahel. CERT-EU peab loendit olemasolevatest tehnilistest eksperditeadmistest, mida oleks vaja tõsiste intsidentide korral intsidentidele reageerimiseks, ning aitab IICB-l koordineerida artikli 9 lõikes 2 osutatud liidu üksuste küberkriiside haldamise kavasid tõsiste intsidentide käsitlemiseks.

4.   Liidu üksused annavad oma panuse tehniliste eksperditeadmiste loendisse ning esitavad igal aastal ajakohastatava nimekirja oma vastavates organisatsioonides tegutsevatest ekspertidest, märkides ära nende konkreetsed tehnilised oskused.