keyboard_tab Cyber Resilience Act 2023/2841 ET
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artikkel 6 Küberturvalisusriskide juhtimis-, haldamis- ja kontrollraamistik
- 1 Artikkel 7 Küberturvalisuse küpsustaseme hindamine
- 2 Artikkel 10 Institutsioonidevaheline küberturvalisuse nõukoda
- 1 Artikkel 16 Personali- ja finantsküsimused
- 1 Artikkel 19 Teabe käitlemine
I PEATÜKK
ÜLDSÄTTED
II PEATÜKK
KÜBERTURVALISUSE ÜHTLASELT KÕRGE TASEME TAGAMISE MEETMED
III PEATÜKK
INSTITUTSIOONIDEVAHELINE KÜBERTURVALISUSE NÕUKODA
IV PEATÜKK
CERT-EU
V PEATÜKK
KOOSTÖÖ- JA ARUANDEKOHUSTUSED
VI PEATÜKK
LÕPPSÄTTED
- liidu 38
- küberturvalisuse 24
- iicb 16
- cert-eu 16
- euroopa 15
- üksuse 14
- või 13
- artikli 12
- võib 11
- ning 10
- käesoleva 10
- määruse 10
- iicb 9
- kohaselt 8
- juhataja 7
- nende 7
- selle 7
- üksused 7
- nimetatud 6
- loodud 6
- üksus 6
- seotud 6
- juhul 5
- küpsustaseme 5
- rakendamise 5
- komisjoni 5
- cert-eu-le 5
- artikkel 5
- eest 5
- asutuste 5
- osutatud 5
- korrapäraselt 4
- võrgustiku 4
- üksuste 4
- igal 4
- arvesse 4
- arvatud 4
- läbi 4
- kooskõlas 4
- kohaliku 4
- cert-eu 4
- ametniku 4
- tema 4
- ülesanded 4
- lõike 4
- kelle 4
- komisjon 4
- asjaomase 4
- tagant 3
- institutsioonidevaheline 3
Artikkel 6
Küberturvalisusriskide juhtimis-, haldamis- ja kontrollraamistik
1. Hiljemalt 8. aprilliks 2025 kehtestab iga liidu üksus pärast küberturvalisuse alast esialgset läbivaatamist, näiteks auditit, sisemise küberturvalisusriskide juhtimis-, haldamis- ja kontrollraamistiku (edaspidi „raamistik“). Raamistiku kehtestamise üle teeb järelevalvet ja selle eest vastutab liidu üksuse kõrgeim juhtimistasand.
2. Raamistik peab hõlmama asjaomase liidu üksuse kogu salastamata IKT-keskkonda, sealhulgas ruumides kohapeal olev IKT-keskkond, käidutehnoloogia võrk, hanke korras sisse ostetavad varad ja teenused, mis asuvad pilvandmetöötluse keskkondades või mida majutavad kolmandad isikud, mobiilseadmed, ettevõttevõrgud, internetiga ühendamata koondisevõrgud ja mistahes seadmed, mis on ühendatud nende keskkondadega (edaspidi „IKT-keskkond“). Raamistik põhineb kõiki ohte hõlmaval lähenemisviisil.
3. Raamistikuga tagatakse küberturvalisuse kõrge tase. Raamistikuga kehtestatakse võrgu- ja infosüsteemide turvalisusega seotud sisemised küberturvalisuse põhimõtted, sealhulgas eesmärgid ja prioriteedid, ning liidu üksuse nende töötajate roll ja kohustused, kelle ülesanne on tagada käesoleva määruse tulemuslik rakendamine. Raamistik sisaldab ka rakendamise tulemuslikkuse mõõtmise mehhanisme.
4. Raamistik vaadatakse läbi korrapäraselt, ent vähemalt iga nelja aasta tagant, võttes arvesse küberturvalisusriskide muutumist. Asjakohasel juhul ja artikli 10 kohaselt loodud institutsioonidevahelise küberturvalisuse nõukoja taotlusel võib liidu üksuse raamistikku ajakohastada vastavalt CERT-EU juhistele, mis käsitlevad kindlaks tehtud intsidente või käesoleva määruse rakendamisel täheldatud võimalikke lünki.
5. Iga liidu üksuse kõrgeim juhtimistasand vastutab käesoleva määruse rakendamise eest ja teeb järelevalvet selle üle, kuidas tema organisatsioon täidab raamistikuga seotud kohustusi.
6. Asjakohasel juhul ja ilma et see piiraks liidu üksuse kõrgeima juhtimistasandi vastutust käesoleva määruse rakendamise eest, võib iga liidu üksuse kõrgeim juhtimistasand delegeerida käesolevast määrusest tulenevad teatavad kohustused asjaomase liidu üksuse kõrgematele ametnikele personalieeskirjade artikli 29 lõike 2 tähenduses või muudele samaväärse tasandi ametnikele. Olenemata delegeerimisest võib kõrgeimat juhtimistasandit pidada vastutavaks käesoleva määruse rikkumise eest asjaomases liidu üksuses.
7. Igas liidu üksuses peavad olema toimivad mehhanismid, millega tagatakse, et küberturvalisusele kulutatakse piisav osa IKT eelarvest. Selle osa kindlaksmääramisel võetakse nõuetekohaselt arvesse raamistikku.
8. Iga liidu üksus nimetab ametisse kohaliku küberturvalisuse ametniku või samaväärseid ülesandeid täitva töötaja, kes on ühtne kontaktpunkt kõigis küberturvalisuse aspektides. Kohalik küberturvalisuse ametnik hõlbustab käesoleva määruse rakendamist ja annab otse kõrgeimale juhtimistasandile rakendamise seisust korrapäraselt aru. Ilma et see piiraks kohaliku küberturvalisuse ametniku tegutsemist igas liidu üksuses ühtse kontaktpunktina, võib liidu üksus delegeerida kohaliku küberturvalisuse ametniku teatavad käesoleva määruse rakendamisega seotud ülesanded CERT-EU-le kõnealuse liidu üksuse ja CERT-EU vahel sõlmitud teenustaseme kokkuleppe alusel või võib need ülesanded jagada mitme liidu üksuse vahel. Kui need ülesanded delegeeritakse CERT-EU-le, otsustab artikli 10 alusel loodud institutsioonidevaheline küberturvalisuse nõukoda, kas seda teenust osutatakse CERT-EU põhiteenuste osana, võttes arvesse asjaomase liidu üksuse inim- ja rahalisi ressursse. Iga liidu üksus teavitab põhjendamatu viivituseta CERT-EUd kohaliku küberturvalisuse ametniku ametisse nimetamisest ja sellega seotud hilisematest muudatustest.
CERT-EU koostab ametisse nimetatud kohalike küberturvalisuse ametnike nimekirja ja ajakohastab seda.
9. Iga liidu üksuse kõrgemad ametnikud personalieeskirjade artikli 29 lõike 2 tähenduses või muud samaväärse tasandi ametnikud ning kõik töötajad, kelle ülesanne on rakendada käesolevas määruses sätestatud küberturvalisuse riskijuhtimismeetmeid ja täita käesolevas määruses sätestatud kohustusi, osalevad korrapäraselt erikoolitustel, et omandada piisavad teadmised ja oskused küberturvalisuse riskide ja nende juhtimise tavade ning nende liidu üksuse tegevusele avalduva mõju mõistmiseks ja hindamiseks.
Artikkel 7
Küberturvalisuse küpsustaseme hindamine
1. Hiljemalt 8. juuliks 2025 ja seejärel vähemalt iga kahe aasta tagant viib iga liidu üksus läbi küberturvalisuse küpsustaseme hindamise, mis hõlmab kõiki tema IKT-keskkonna elemente.
2. Küberturvalisuse küpsustaseme hindamine viiakse asjakohasel juhul läbi valdkonnale spetsialiseerunud kolmanda isiku abiga.
3. Sarnase struktuuriga liidu üksused võivad oma asjaomaste üksuste küberturvalisuse küpsustaseme hindamisel teha koostööd.
4. Artikli 10 kohaselt loodud institutsioonidevahelise küberturvalisuse nõukoja taotlusel ja asjaomase liidu üksuse sõnaselgel nõusolekul võib küberturvalisuse küpsustaseme hindamise tulemusi arutada nimetatud nõukojas või kohalike küberturvalisuse ametnike mitteametlikus rühmas, et õppida kogemustest ja jagada parimaid tavasid.
Artikkel 10
Institutsioonidevaheline küberturvalisuse nõukoda
1. Luuakse institutsioonidevaheline küberturvalisuse nõukoda (IICB).
2. IICB kohustused on järgmised:
| a) | seirata, kuidas liidu üksused käesolevat määrust rakendavad, ja toetada seda; |
| b) | teha järelevalvet CERT-EU üldiste prioriteetide ja eesmärkide rakendamise üle ning anda CERT-EU-le strateegilisi suuniseid. |
3. IICB-sse kuuluvad järgmised isikud:
| a) | üks esindaja, kelle määrab iga järgnevalt nimetatud üksus:
|
| b) | kolm esindajat, kelle määrab ELi asutuste võrgustik (EUAN) oma IKT nõuandekomitee ettepanekul ja kes esindavad oma IKT-keskkonda haldavate liidu organite ja asutuste huve, välja arvatud punktis a osutatud esindajad. |
IICBs esindatud liidu üksused püüavad saavutada määratud esindajate seas soolise tasakaalu.
4. IICB liikmeid võivad abistada asendusliikmed. Juhataja võib IICB koosolekule osalema kutsuda lõikes 3 osutatud liidu üksuste või muude liidu üksuste muid esindajaid, kuid neil ei ole hääleõigust.
5. CERT-EU juht ja direktiivi (EL) 2022/2555 artikli 14 kohaselt loodud koostöörühma, artikli 15 kohaselt loodud CSIRTide võrgustiku ja artikli 16 kohaselt loodud EU-CyCLONe juhatajad või nende asendusliikmed võivad IICB koosolekul osaleda vaatlejana. Erandjuhtudel ja kooskõlas IICB kodukorraga võib IICB otsustada teisiti.
6. IICB võtab vastu oma kodukorra.
7. IICB määrab kooskõlas kodukorraga oma liikmete hulgast juhataja kolmeks aastaks. Juhataja asendusliikmest saab samaks ajavahemikuks IICB täisliige.
8. IICB kohtub vähemalt kolm korda aastas juhataja algatusel või CERT-EU või mõne oma liikme taotlusel.
9. Igal IICB liikmel on üks hääl. IICB otsused tehakse lihthäälteenamusega, kui käesolevas määruses ei ole sätestatud teisiti. IICB juhatajal ei ole hääleõigust, välja arvatud häälte võrdse jagunemise korral, kui ta võib anda otsustava hääle.
10. IICB võib tegutseda oma kodukorra kohaselt algatatud lihtsustatud kirjaliku menetluse teel. Kõnealuse menetluse kohaselt loetakse asjaomane otsus juhataja määratud aja jooksul heakskiidetuks, kui mõni liige ei esita vastuväidet.
11. IICB sekretariaaditeenuseid osutab komisjon ja sekretariaat on vastutav IICB juhataja ees.
12. ELi asutuste võrgustiku poolt nimetatud esindajad edastavad IICB otsused ELi asutuste võrgustiku liikmetele. Igal ELi asutuste võrgustiku liikmel on õigus juhtida nende esindajate või IICB juhataja tähelepanu teemale, mis tema arvates peaks pälvima IICB tähelepanu.
13. IICB võib luua täitevkomitee, mis aitaks teda tema töös, ning delegeerida sellele osa oma ülesandeid ja volitusi. IICB kehtestab täitevkomitee kodukorra, kaasa arvatud selle ülesanded ja volitused, ning selle liikmete ametiaja kestuse.
14. IICB esitab hiljemalt 8. jaanuariks 2025 ja seejärel igal aastal Euroopa Parlamendile ja nõukogule aruande, milles kirjeldatakse üksikasjalikult käesoleva määruse rakendamisel tehtud edusamme ning täpsustatakse eelkõige, mil määral teeb CERT-EU koostööd iga liikmesriigi samalaadsete asutustega. Aruannet võetakse arvesse direktiivi (EL) 2022/2555 artikli 18 kohaselt iga kahe aasta tagant vastu võetavas aruandes, mis käsitleb küberturvalisuse olukorda liidus.
Artikkel 16
Personali- ja finantsküsimused
1. CERT-EU integreeritakse komisjoni ühe peadirektoraadi haldusstruktuuri, et kasutada ära komisjoni haldus- ja finantsjuhtimis- ning raamatupidamisalaste tugistruktuuride eeliseid, kuid samal ajal säilitatakse selle staatus autonoomse institutsioonidevahelise teenuseosutajana kõigile liidu üksustele. Komisjon teavitab IICBd CERT-EU halduslikust asukohast ja selle mis tahes muudatustest. Komisjon vaatab CERT-EUga seotud halduskokkulepped korrapäraselt ja igal juhul enne ELi toimimise lepingu artikli 312 kohase mitmeaastase finantsraamistiku kehtestamist läbi, et võimaldada asjakohaste meetmete võtmist. Läbivaatamine käsitleb ka võimalust muuta CERT-EU liidu ametiks.
2. Haldus- ja finantsmenetluste kohaldamisel tegutseb CERT-EU juht komisjoni alluvuses ja IICB järelevalve all.
3. CERT-EU ülesandeid ja tegevusi, sh teenuseid, mida CERT-EU osutab artikli 13 lõigete 3, 4, 5 ja 7 ning artikli 14 lõike 1 alusel liidu üksustele, mille tegevust rahastatakse mitmeaastase finantsraamistiku rubriigist „Euroopa avalik haldus“, rahastatakse komisjoni eelarve eraldi eelarverealt. CERT-EU-le ettenähtud ametikohti täpsustatakse komisjoni ametikohtade loetelu joonealuses märkuses.
4. Muud kui käesoleva artikli lõikes 3 osutatud liidu üksused teevad CERT-EU-le igal aastal rahalise eraldise teenuste eest, mida CERT-EU osutab vastavalt nimetatud lõikele. Eraldised põhinevad orientiiridel, mille on andnud IICB ja milles iga liidu üksus ja CERT-EU on kokku leppinud teenustaseme kokkulepetes. Eraldised peavad moodustama õiglase ja proportsionaalse osa osutatud teenuste kogukuludest. Need kantakse käesoleva artikli lõikes 3 osutatud eraldi eelarvereale sihtotstarbelise sisetuluna vastavalt määruse (EL, Euratom) 2018/1046 artikli 21 lõike 3 punktile c.
5. Artikli 13 lõikes 6 määratletud teenustega seotud kulud katavad liidu üksused, kes CERT-EU teenuseid tarbivad. Tulu kantakse eelarvereale, millelt kulusid kaetakse.
Artikkel 19
Teabe käitlemine
1. Liidu üksused ja CERT-EU järgivad ametisaladuse hoidmise kohustust kooskõlas ELi toimimise lepingu artikliga 339 või samaväärsete kohaldatavate raamistikega.
2. CERT-EU valduses olevatele dokumentidele üldsuse juurdepääsu taotluste suhtes kohaldatakse Euroopa Parlamendi ja nõukogu määrust (EÜ) nr 1049/2001 (10), kaasa arvatud nimetatud määruse kohast kohustust konsulteerida teiste liidu üksuste ning asjakohasel juhul liikmesriikidega alati, kui taotlus puudutab nende dokumente.
3. Liidu üksused ja CERT-EU käitlevad teavet kooskõlas kohaldatavate infoturvet käsitlevate õigusnormidega.
whereas