keyboard_tab Cyber Resilience Act 2023/2841 ET

1.   Käesolevat määrust kohaldatakse liidu üksuste, artikli 10 kohaselt loodud institutsioonidevahelise küberturvalisuse nõukoja ning CERT-EU suhtes.

2.   Käesoleva määruse kohaldamine ei piira aluslepingute kohast institutsioonilist autonoomiat.

3.   Käesolevat määrust, välja arvatud artikli 13 lõige 8, ei kohaldata ELi salastatud teavet käitlevate võrgu- ja infosüsteemide suhtes.

1.   Hiljemalt 8. aprilliks 2025 kehtestab iga liidu üksus pärast küberturvalisuse alast esialgset läbivaatamist, näiteks auditit, sisemise küberturvalisusriskide juhtimis-, haldamis- ja kontrollraamistiku (edaspidi „raamistik“). Raamistiku kehtestamise üle teeb järelevalvet ja selle eest vastutab liidu üksuse kõrgeim juhtimistasand.

2.   Raamistik peab hõlmama asjaomase liidu üksuse kogu salastamata IKT-keskkonda, sealhulgas ruumides kohapeal olev IKT-keskkond, käidutehnoloogia võrk, hanke korras sisse ostetavad varad ja teenused, mis asuvad pilvandmetöötluse keskkondades või mida majutavad kolmandad isikud, mobiilseadmed, ettevõttevõrgud, internetiga ühendamata koondisevõrgud ja mistahes seadmed, mis on ühendatud nende keskkondadega (edaspidi „IKT-keskkond“). Raamistik põhineb kõiki ohte hõlmaval lähenemisviisil.

3.   Raamistikuga tagatakse küberturvalisuse kõrge tase. Raamistikuga kehtestatakse võrgu- ja infosüsteemide turvalisusega seotud sisemised küberturvalisuse põhimõtted, sealhulgas eesmärgid ja prioriteedid, ning liidu üksuse nende töötajate roll ja kohustused, kelle ülesanne on tagada käesoleva määruse tulemuslik rakendamine. Raamistik sisaldab ka rakendamise tulemuslikkuse mõõtmise mehhanisme.

4.   Raamistik vaadatakse läbi korrapäraselt, ent vähemalt iga nelja aasta tagant, võttes arvesse küberturvalisusriskide muutumist. Asjakohasel juhul ja artikli 10 kohaselt loodud institutsioonidevahelise küberturvalisuse nõukoja taotlusel võib liidu üksuse raamistikku ajakohastada vastavalt CERT-EU juhistele, mis käsitlevad kindlaks tehtud intsidente või käesoleva määruse rakendamisel täheldatud võimalikke lünki.

5.   Iga liidu üksuse kõrgeim juhtimistasand vastutab käesoleva määruse rakendamise eest ja teeb järelevalvet selle üle, kuidas tema organisatsioon täidab raamistikuga seotud kohustusi.

6.   Asjakohasel juhul ja ilma et see piiraks liidu üksuse kõrgeima juhtimistasandi vastutust käesoleva määruse rakendamise eest, võib iga liidu üksuse kõrgeim juhtimistasand delegeerida käesolevast määrusest tulenevad teatavad kohustused asjaomase liidu üksuse kõrgematele ametnikele personalieeskirjade artikli 29 lõike 2 tähenduses või muudele samaväärse tasandi ametnikele. Olenemata delegeerimisest võib kõrgeimat juhtimistasandit pidada vastutavaks käesoleva määruse rikkumise eest asjaomases liidu üksuses.

7.   Igas liidu üksuses peavad olema toimivad mehhanismid, millega tagatakse, et küberturvalisusele kulutatakse piisav osa IKT eelarvest. Selle osa kindlaksmääramisel võetakse nõuetekohaselt arvesse raamistikku.

8.   Iga liidu üksus nimetab ametisse kohaliku küberturvalisuse ametniku või samaväärseid ülesandeid täitva töötaja, kes on ühtne kontaktpunkt kõigis küberturvalisuse aspektides. Kohalik küberturvalisuse ametnik hõlbustab käesoleva määruse rakendamist ja annab otse kõrgeimale juhtimistasandile rakendamise seisust korrapäraselt aru. Ilma et see piiraks kohaliku küberturvalisuse ametniku tegutsemist igas liidu üksuses ühtse kontaktpunktina, võib liidu üksus delegeerida kohaliku küberturvalisuse ametniku teatavad käesoleva määruse rakendamisega seotud ülesanded CERT-EU-le kõnealuse liidu üksuse ja CERT-EU vahel sõlmitud teenustaseme kokkuleppe alusel või võib need ülesanded jagada mitme liidu üksuse vahel. Kui need ülesanded delegeeritakse CERT-EU-le, otsustab artikli 10 alusel loodud institutsioonidevaheline küberturvalisuse nõukoda, kas seda teenust osutatakse CERT-EU põhiteenuste osana, võttes arvesse asjaomase liidu üksuse inim- ja rahalisi ressursse. Iga liidu üksus teavitab põhjendamatu viivituseta CERT-EUd kohaliku küberturvalisuse ametniku ametisse nimetamisest ja sellega seotud hilisematest muudatustest.

CERT-EU koostab ametisse nimetatud kohalike küberturvalisuse ametnike nimekirja ja ajakohastab seda.

9.   Iga liidu üksuse kõrgemad ametnikud personalieeskirjade artikli 29 lõike 2 tähenduses või muud samaväärse tasandi ametnikud ning kõik töötajad, kelle ülesanne on rakendada käesolevas määruses sätestatud küberturvalisuse riskijuhtimismeetmeid ja täita käesolevas määruses sätestatud kohustusi, osalevad korrapäraselt erikoolitustel, et omandada piisavad teadmised ja oskused küberturvalisuse riskide ja nende juhtimise tavade ning nende liidu üksuse tegevusele avalduva mõju mõistmiseks ja hindamiseks.

1.   Hiljemalt 8. juuliks 2025 ja seejärel vähemalt iga kahe aasta tagant viib iga liidu üksus läbi küberturvalisuse küpsustaseme hindamise, mis hõlmab kõiki tema IKT-keskkonna elemente.

2.   Küberturvalisuse küpsustaseme hindamine viiakse asjakohasel juhul läbi valdkonnale spetsialiseerunud kolmanda isiku abiga.

3.   Sarnase struktuuriga liidu üksused võivad oma asjaomaste üksuste küberturvalisuse küpsustaseme hindamisel teha koostööd.

4.   Artikli 10 kohaselt loodud institutsioonidevahelise küberturvalisuse nõukoja taotlusel ja asjaomase liidu üksuse sõnaselgel nõusolekul võib küberturvalisuse küpsustaseme hindamise tulemusi arutada nimetatud nõukojas või kohalike küberturvalisuse ametnike mitteametlikus rühmas, et õppida kogemustest ja jagada parimaid tavasid.

1.   Lähtudes artikli 7 kohaselt tehtud küberturvalisuse küpsustaseme hindamise põhjal tehtud järeldustest ning võttes arvesse raamistikus kindlaks tehtud varasid ja küberturvalisusriske ning artikli 8 kohaselt võetud küberturvalisuse riskijuhtimismeetmeid, kiidab iga liidu üksuse kõrgeim juhtimistasand küberturvalisuse kava heaks ilma põhjendamatu viivituseta, ent igal juhul hiljemalt 8. jaanuariks 2026. Küberturvalisuse kava eesmärk on suurendada asjaomase liidu üksuse üldist küberturvalisust ja aidata seeläbi tõsta küberturvalisuse ühtlaselt kõrget taset liidu üksustes. Küberturvalisuse kava hõlmab vähemalt artikli 8 kohaselt võetud küberturvalisuse riskijuhtimismeetmeid. Küberturvalisuse kava vaadatakse läbi iga kahe aasta tagant või vajaduse korral tihemini pärast artikli 7 kohaselt tehtud küberturvalisuse küpsustaseme hindamist või raamistiku põhjalikku läbivaatamist.

2.   Küberturvalisuse kava hõlmab liidu üksuse küberkriiside haldamise kava tõsiste intsidentide käsitlemiseks.

3.   Liidu üksus esitab oma küberturvalisuse tervikkava artikli 10 kohaselt loodud institutsioonidevahelisele küberturvalisuse nõukojale.