keyboard_tab Cyber Resilience Act 2023/2841 ET
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Artikkel 6 Küberturvalisusriskide juhtimis-, haldamis- ja kontrollraamistik
- 1 Artikkel 10 Institutsioonidevaheline küberturvalisuse nõukoda
- 2 Artikkel 12 Nõuete järgimine
- 1 Artikkel 20 Küberturvalisuse alase teabe jagamise kord
- 1 Artikkel 21 Aruandekohustused
I PEATÜKK
ÜLDSÄTTED
II PEATÜKK
KÜBERTURVALISUSE ÜHTLASELT KÕRGE TASEME TAGAMISE MEETMED
III PEATÜKK
INSTITUTSIOONIDEVAHELINE KÜBERTURVALISUSE NÕUKODA
IV PEATÜKK
CERT-EU
V PEATÜKK
KOOSTÖÖ- JA ARUANDEKOHUSTUSED
VI PEATÜKK
LÕPPSÄTTED
- liidu 64
- või 38
- küberturvalisuse 26
- iicb 24
- üksuse 22
- võib 21
- cert-eu 18
- üksus 16
- euroopa 16
- artikli 16
- käesoleva 15
- ning 14
- kohaselt 13
- selle 12
- üksused 12
- määruse 11
- iicb 11
- juhul 11
- jooksul 9
- üksusele 8
- pärast 8
- sealhulgas 8
- viivituseta 7
- arvesse 7
- asjaomase 7
- teavet 7
- juhataja 7
- teabe 7
- nende 7
- intsidendi 7
- mõju 7
- sätestatud 7
- põhjendamatu 7
- anda 6
- cert-eu-le 6
- liidu 6
- asjaomasele 6
- kui 6
- kohta 6
- olulisest 5
- milles 5
- seotud 5
- rakendamise 5
- asjakohasel 5
- loodud 5
- ilma 5
- piiraks 5
- igal 5
- esitab 5
- lõike 5
Artikkel 6
Küberturvalisusriskide juhtimis-, haldamis- ja kontrollraamistik
1. Hiljemalt 8. aprilliks 2025 kehtestab iga liidu üksus pärast küberturvalisuse alast esialgset läbivaatamist, näiteks auditit, sisemise küberturvalisusriskide juhtimis-, haldamis- ja kontrollraamistiku (edaspidi „raamistik“). Raamistiku kehtestamise üle teeb järelevalvet ja selle eest vastutab liidu üksuse kõrgeim juhtimistasand.
2. Raamistik peab hõlmama asjaomase liidu üksuse kogu salastamata IKT-keskkonda, sealhulgas ruumides kohapeal olev IKT-keskkond, käidutehnoloogia võrk, hanke korras sisse ostetavad varad ja teenused, mis asuvad pilvandmetöötluse keskkondades või mida majutavad kolmandad isikud, mobiilseadmed, ettevõttevõrgud, internetiga ühendamata koondisevõrgud ja mistahes seadmed, mis on ühendatud nende keskkondadega (edaspidi „IKT-keskkond“). Raamistik põhineb kõiki ohte hõlmaval lähenemisviisil.
3. Raamistikuga tagatakse küberturvalisuse kõrge tase. Raamistikuga kehtestatakse võrgu- ja infosüsteemide turvalisusega seotud sisemised küberturvalisuse põhimõtted, sealhulgas eesmärgid ja prioriteedid, ning liidu üksuse nende töötajate roll ja kohustused, kelle ülesanne on tagada käesoleva määruse tulemuslik rakendamine. Raamistik sisaldab ka rakendamise tulemuslikkuse mõõtmise mehhanisme.
4. Raamistik vaadatakse läbi korrapäraselt, ent vähemalt iga nelja aasta tagant, võttes arvesse küberturvalisusriskide muutumist. Asjakohasel juhul ja artikli 10 kohaselt loodud institutsioonidevahelise küberturvalisuse nõukoja taotlusel võib liidu üksuse raamistikku ajakohastada vastavalt CERT-EU juhistele, mis käsitlevad kindlaks tehtud intsidente või käesoleva määruse rakendamisel täheldatud võimalikke lünki.
5. Iga liidu üksuse kõrgeim juhtimistasand vastutab käesoleva määruse rakendamise eest ja teeb järelevalvet selle üle, kuidas tema organisatsioon täidab raamistikuga seotud kohustusi.
6. Asjakohasel juhul ja ilma et see piiraks liidu üksuse kõrgeima juhtimistasandi vastutust käesoleva määruse rakendamise eest, võib iga liidu üksuse kõrgeim juhtimistasand delegeerida käesolevast määrusest tulenevad teatavad kohustused asjaomase liidu üksuse kõrgematele ametnikele personalieeskirjade artikli 29 lõike 2 tähenduses või muudele samaväärse tasandi ametnikele. Olenemata delegeerimisest võib kõrgeimat juhtimistasandit pidada vastutavaks käesoleva määruse rikkumise eest asjaomases liidu üksuses.
7. Igas liidu üksuses peavad olema toimivad mehhanismid, millega tagatakse, et küberturvalisusele kulutatakse piisav osa IKT eelarvest. Selle osa kindlaksmääramisel võetakse nõuetekohaselt arvesse raamistikku.
8. Iga liidu üksus nimetab ametisse kohaliku küberturvalisuse ametniku või samaväärseid ülesandeid täitva töötaja, kes on ühtne kontaktpunkt kõigis küberturvalisuse aspektides. Kohalik küberturvalisuse ametnik hõlbustab käesoleva määruse rakendamist ja annab otse kõrgeimale juhtimistasandile rakendamise seisust korrapäraselt aru. Ilma et see piiraks kohaliku küberturvalisuse ametniku tegutsemist igas liidu üksuses ühtse kontaktpunktina, võib liidu üksus delegeerida kohaliku küberturvalisuse ametniku teatavad käesoleva määruse rakendamisega seotud ülesanded CERT-EU-le kõnealuse liidu üksuse ja CERT-EU vahel sõlmitud teenustaseme kokkuleppe alusel või võib need ülesanded jagada mitme liidu üksuse vahel. Kui need ülesanded delegeeritakse CERT-EU-le, otsustab artikli 10 alusel loodud institutsioonidevaheline küberturvalisuse nõukoda, kas seda teenust osutatakse CERT-EU põhiteenuste osana, võttes arvesse asjaomase liidu üksuse inim- ja rahalisi ressursse. Iga liidu üksus teavitab põhjendamatu viivituseta CERT-EUd kohaliku küberturvalisuse ametniku ametisse nimetamisest ja sellega seotud hilisematest muudatustest.
CERT-EU koostab ametisse nimetatud kohalike küberturvalisuse ametnike nimekirja ja ajakohastab seda.
9. Iga liidu üksuse kõrgemad ametnikud personalieeskirjade artikli 29 lõike 2 tähenduses või muud samaväärse tasandi ametnikud ning kõik töötajad, kelle ülesanne on rakendada käesolevas määruses sätestatud küberturvalisuse riskijuhtimismeetmeid ja täita käesolevas määruses sätestatud kohustusi, osalevad korrapäraselt erikoolitustel, et omandada piisavad teadmised ja oskused küberturvalisuse riskide ja nende juhtimise tavade ning nende liidu üksuse tegevusele avalduva mõju mõistmiseks ja hindamiseks.
Artikkel 10
Institutsioonidevaheline küberturvalisuse nõukoda
1. Luuakse institutsioonidevaheline küberturvalisuse nõukoda (IICB).
2. IICB kohustused on järgmised:
| a) | seirata, kuidas liidu üksused käesolevat määrust rakendavad, ja toetada seda; |
| b) | teha järelevalvet CERT-EU üldiste prioriteetide ja eesmärkide rakendamise üle ning anda CERT-EU-le strateegilisi suuniseid. |
3. IICB-sse kuuluvad järgmised isikud:
| a) | üks esindaja, kelle määrab iga järgnevalt nimetatud üksus:
|
| b) | kolm esindajat, kelle määrab ELi asutuste võrgustik (EUAN) oma IKT nõuandekomitee ettepanekul ja kes esindavad oma IKT-keskkonda haldavate liidu organite ja asutuste huve, välja arvatud punktis a osutatud esindajad. |
IICBs esindatud liidu üksused püüavad saavutada määratud esindajate seas soolise tasakaalu.
4. IICB liikmeid võivad abistada asendusliikmed. Juhataja võib IICB koosolekule osalema kutsuda lõikes 3 osutatud liidu üksuste või muude liidu üksuste muid esindajaid, kuid neil ei ole hääleõigust.
5. CERT-EU juht ja direktiivi (EL) 2022/2555 artikli 14 kohaselt loodud koostöörühma, artikli 15 kohaselt loodud CSIRTide võrgustiku ja artikli 16 kohaselt loodud EU-CyCLONe juhatajad või nende asendusliikmed võivad IICB koosolekul osaleda vaatlejana. Erandjuhtudel ja kooskõlas IICB kodukorraga võib IICB otsustada teisiti.
6. IICB võtab vastu oma kodukorra.
7. IICB määrab kooskõlas kodukorraga oma liikmete hulgast juhataja kolmeks aastaks. Juhataja asendusliikmest saab samaks ajavahemikuks IICB täisliige.
8. IICB kohtub vähemalt kolm korda aastas juhataja algatusel või CERT-EU või mõne oma liikme taotlusel.
9. Igal IICB liikmel on üks hääl. IICB otsused tehakse lihthäälteenamusega, kui käesolevas määruses ei ole sätestatud teisiti. IICB juhatajal ei ole hääleõigust, välja arvatud häälte võrdse jagunemise korral, kui ta võib anda otsustava hääle.
10. IICB võib tegutseda oma kodukorra kohaselt algatatud lihtsustatud kirjaliku menetluse teel. Kõnealuse menetluse kohaselt loetakse asjaomane otsus juhataja määratud aja jooksul heakskiidetuks, kui mõni liige ei esita vastuväidet.
11. IICB sekretariaaditeenuseid osutab komisjon ja sekretariaat on vastutav IICB juhataja ees.
12. ELi asutuste võrgustiku poolt nimetatud esindajad edastavad IICB otsused ELi asutuste võrgustiku liikmetele. Igal ELi asutuste võrgustiku liikmel on õigus juhtida nende esindajate või IICB juhataja tähelepanu teemale, mis tema arvates peaks pälvima IICB tähelepanu.
13. IICB võib luua täitevkomitee, mis aitaks teda tema töös, ning delegeerida sellele osa oma ülesandeid ja volitusi. IICB kehtestab täitevkomitee kodukorra, kaasa arvatud selle ülesanded ja volitused, ning selle liikmete ametiaja kestuse.
14. IICB esitab hiljemalt 8. jaanuariks 2025 ja seejärel igal aastal Euroopa Parlamendile ja nõukogule aruande, milles kirjeldatakse üksikasjalikult käesoleva määruse rakendamisel tehtud edusamme ning täpsustatakse eelkõige, mil määral teeb CERT-EU koostööd iga liikmesriigi samalaadsete asutustega. Aruannet võetakse arvesse direktiivi (EL) 2022/2555 artikli 18 kohaselt iga kahe aasta tagant vastu võetavas aruandes, mis käsitleb küberturvalisuse olukorda liidus.
Artikkel 12
Nõuete järgimine
1. IICB teeb kooskõlas artikli 10 lõikega 2 ja artikliga 11 tulemuslikku seiret selle üle, kuidas liidu üksused rakendavad käesolevat määrust ning vastuvõetud suuniseid, soovitusi ja üleskutseid. IICB võib nõuda liidu üksustelt selleks vajalikku teavet või dokumente. Käesoleva artikli kohaste nõuete järgimise meetmete vastuvõtmisel ei ole liidu üksusel hääleõigust, kui asjaomane liidu üksus on otseselt esindatud IICBs.
2. Kui IICB leiab, et liidu üksus ei ole käesolevat määrust või käesoleva määruse alusel esitatud suuniseid, soovitusi või üleskutseid tulemuslikult järginud, võib ta pärast asjaomasele liidu üksusele võimaluse andmist tähelepanekute esitamiseks ja ilma, et see piiraks asjaomase liidu üksuse sisemenetlusi, teha järgmist:
| a) | edastada asjaomasele liidu üksusele põhjendatud arvamuse, milles juhitakse tähelepanu käesoleva määruse rakendamisel täheldatud puudustele; |
| b) | anda pärast CERT-EUga konsulteerimist asjaomasele liidu üksusele suuniseid, tagamaks et selle raamistik, küberturvalisuse riskijuhtimismeetmed, küberturvalisuse kava ja aruandlus oleksid kindlaksmääratud aja jooksul käesoleva määrusega kooskõlas; |
| c) | anda hoiatuse tuvastatud puuduste käsitlemiseks kindlaksmääratud aja jooksul, sealhulgas soovitused muuta asjaomase liidu üksuse poolt käesoleva määruse kohaselt vastu võetud meetmeid; |
| d) | esitada asjaomasele liidu üksusele põhjendatud teate, kui punkti c kohaselt antud hoiatuses tuvastatud puudusi ei ole kindlaksmääratud aja jooksul piisavalt käsitletud; |
| e) | esitada
|
| f) | teavitada oma volituste piires kontrollikoda väidetavast nõuetele mittevastavusest, kui see on asjakohane; |
| g) | esitada kõigile liikmesriikidele ja liidu üksustele soovituse peatada ajutiselt asjaomasele liidu üksusele suunatud andmevood. |
Esimese lõigu punkti c kohaldamisel piiratakse hoiatuse sihtrühma asjakohaselt, kui see on vajalik küberturvalisusriski tõttu.
Esimese lõigu kohaselt esitatud hoiatused ja soovitused suunatakse asjaomase liidu üksuse kõrgeimale juhtimistasandile.
3. Kui IICB on võtnud lõike 2 esimese lõigu punktide a–g kohaseid meetmeid, esitab asjaomane liidu üksus IICB tuvastatud väidetavate puuduste kõrvaldamiseks võetud meetmete üksikasjad. Liidu üksus esitab need üksikasjad IICBga kokku lepitud mõistliku aja jooksul.
4. Kui IICB leiab, et liidu üksus rikub järjepidevalt käesolevat määrust, tingituna otseselt liidu ametniku või muu teenistuja tegevusest või tegevusetusest, sealhulgas kõrgeimal juhtimistasandil, nõuab IICB, et asjaomane liidu üksus võtaks asjakohased meetmed, sealhulgas nõuab, et üksus kaaluks distsiplinaarmeetmete võtmist kooskõlas personalieeskirjades sätestatud normide ja menetlustega ning muude kohaldatavate normide ja menetlustega. Selleks edastab IICB asjaomasele liidu üksusele vajaliku teabe.
5. Kui liidu üksus teatab, et ta ei suuda artikli 6 lõikes 1 ja artikli 8 lõikes 1 sätestatud tähtaegadest kinni pidada, võib IICB anda igakülgselt põhjendatud juhtudel ja liidu üksuse suurust arvesse võttes loa tähtaegu pikendada.
IV PEATÜKK
CERT-EU
Artikkel 20
Küberturvalisuse alase teabe jagamise kord
1. Liidu üksused võivad vabatahtlikult teatada CERT-EU-le neid mõjutavatest intsidentidest, küberohtudest, ohuolukordadest ja nõrkustest ning anda sellekohast teavet. CERT-EU tagab selliste tõhusate sidevahendite olemasolu, mis kindlustavad kõrgel tasemel jälgitavuse, konfidentsiaalsuse ja usaldusväärsuse, et hõlbustada liidu üksustega teabe jagamist. Teadete töötlemisel võib CERT-EU seada kohustuslike teadete menetlemise vabatahtlike teadete menetlemisest tähtsamale kohale. Ilma et see piiraks artikli 12 kohaldamist, ei too vabatahtlik teatamine teadet esitavale liidu üksusele kaasa lisakohustusi, mida tal ei oleks olnud, kui ta ei oleks teadet esitanud.
2. Selleks et täita oma artiklist 13 tulenevat missiooni ja ülesandeid, võib CERT-EU taotleda, et liidu üksused esitaksid talle oma IKT-süsteemide varade loendist teavet, sealhulgas teavet, mis käsitleb küberohtusid, ohuolukordi, nõrkusi, rikkeindikaatoreid, küberturvalisuse hoiatusi ning soovitusi seoses intsidentide tuvastamiseks vajalike küberturvalisuse vahendite konfiguratsiooniga. Taotluse saanud liidu üksus edastab taotletud teabe ja kõik selle hilisemad ajakohastused põhjendamatu viivituseta.
3. Sellist teavet, millest ilmneb intsidendist mõjutatud liidu üksuse identiteet, võib CERT-EU intsidendi kohta vahetada liidu üksustega tingimusel, et mõjutatud liidu üksus annab selleks nõusoleku. Nõusoleku andmisest keeldumise korral esitab liidu üksus CERT-EU-le oma otsuse põhjendused.
4. Liidu üksused jagavad taotluse korral Euroopa Parlamendi ja nõukoguga teavet küberturvalisuse kavade lõpuleviimise kohta.
5. IICB või CERT-EU, nagu on asjakohane, jagab taotluse korral suuniseid, soovitusi ja üleskutseid Euroopa Parlamendi ja nõukoguga.
6. Käesolevas artiklis sätestatud jagamiskohustused ei laiene
| a) | ELi salastatud teabele; |
| b) | teabele, mille edasine levitamine on nähtava märgistuse abil välistatud, välja arvatud juhul, kui selle jagamiseks CERT-EUga on antud sõnaselge luba. |
Artikkel 21
Aruandekohustused
1. Intsidenti käsitatakse olulisena, kui:
| a) | see on põhjustanud või võib põhjustada tõsiseid häireid asjaomase liidu üksuse toimimises või rahalist kahju sellele üksusele; |
| b) | see on mõjutanud või võib mõjutada teisi füüsilisi või juriidilisi isikuid, põhjustades märkimisväärset materiaalset või mittemateriaalset kahju. |
2. Liidu üksused esitavad CERT-EU-le:
| a) | põhjendamatu viivituseta, ent igal juhul 24 tunni jooksul pärast olulisest intsidendist teadasaamist varajase hoiatuse, milles asjakohasel juhul märgitakse, et olulise intsidendi põhjuseks on eeldatavasti ebaseaduslik või pahatahtlik tegevus või et sellel võib olla üksuseülene või piiriülene mõju; |
| b) | põhjendamatu viivituseta, ent igal juhul 72 tunni jooksul pärast olulisest intsidendist teadasaamist intsidenditeate, millega asjakohasel juhul ajakohastatakse punktis a osutatud teavet ning antakse esialgne hinnang olulisele intsidendile, sealhulgas selle raskusastmele ja mõjule ning võimaluse korral ka rikkeindikaatoritele; |
| c) | CERT-EU taotlusel vahearuande vaatlusaluste asjade seisu kohta; |
| d) | hiljemalt üks kuu pärast punkti b kohase intsidenditeate edastamist lõpparuande, mis sisaldab järgmist:
|
| e) | kui intsident punktis d osutatud lõpparuande esitamise ajal veel kestab, hetkeseisu kajastava eduaruande ja ühe kuu jooksul pärast intsidendi käsitlemist üksuste poolt lõpparuande. |
3. Liidu üksus teavitab põhjendamatu viivituseta, ent igal juhul 24 tunni jooksul pärast olulisest intsidendist teadasaamist artikli 17 lõikes 1 osutatud liikmesriikide samalaadseid asutusi liikmesriigis, kus ta asub, olulise intsidendi ilmnemisest.
4. Liidu üksused esitavad muu hulgas mis tahes teabe, mis võimaldab CERT-EU-l teha kindlaks sellest olulisest intsidendist lähtuva üksuseülese mõju, vastuvõtvale liikmesriigile avalduva mõju või piiriülese mõju. Ilma et see piiraks artikli 12 kohaldamist, ei suurene teavitava üksuse vastutus üksnes teavitamise tõttu.
5. Kui see on kohaldatav, teavitavad liidu üksused mõjutatud võrgu- ja infosüsteemide või muude selliste IKT-keskkonna komponentide kasutajaid, mida oluline intsident või oluline küberoht võib mõjutada, ja kes peavad asjakohasel juhul võtma leevendusmeetmeid, põhjendamatu viivituseta meetmetest või parandusmeetmetest, mida nad saavad sellele intsidendile või ohule reageerimiseks võtta. Kui see on asjakohane, teavitavad liidu üksused kõnealuseid kasutajaid ka olulisest küberohust endast.
6. Kui oluline intsident või oluline küberoht mõjutab võrgu- ja infosüsteemi või liidu üksuse IKT-keskkonna sellist komponenti, mis on teadlikult ühendatud mõne teise liidu üksuse IKT-keskkonnaga, väljastab CERT-EU asjakohase küberturvalisuse hoiatuse.
7. Liidu üksused esitavad CERT-EU taotlusel CERT-EU-le põhjendamatu viivituseta digitaalse teabe, mis on tekkinud nende vastavate intsidentidega seotud elektrooniliste seadmete kasutamisel. CERT-EU võib esitada täiendavaid üksikasju sellise teabe liigi kohta, mida ta vajab olukorrateadlikkuse ja intsidentidele reageerimise jaoks.
8. CERT-EU esitab IICB-le, ENISA-le, EU INTCENile ja CSIRTide võrgustikule iga kolme kuu tagant koondaruande, mis sisaldab anonüümitud ja koondatud andmeid oluliste intsidentide, intsidentide, küberohtude, ohuolukordade ja nõrkuste kohta vastavalt artiklile 20 ning käesoleva artikli lõike 2 kohaselt teatatud oluliste intsidentide kohta. Koondaruannet võetakse arvesse direktiivi (EL) 2022/2555 artikli 18 kohaselt iga kahe aasta järel vastu võetavas aruandes, mis käsitleb küberturvalisuse olukorda liidus.
9. Hiljemalt 8. juuliks 2024 annab IICB välja suunised või soovitused, milles täpsustatakse käesoleva artikli alusel aruandmise täiendavad üksikasjad, vorming ja sisu. Selliste suuniste või soovituste koostamisel võtab IICB arvesse kõiki direktiivi (EL) 2022/2555 artikli 23 lõike 11 kohaselt vastu võetud rakendusakte, milles täpsustatakse teavituse teabeliik, vorming ja esitamise kord. CERT-EU levitab asjakohaseid tehnilisi üksikasju, et liidu üksused saaksid tegeleda ennetava tuvastamise, intsidentidele reageerimise või leevendusmeetmetega.
10. Käesolevas artiklis sätestatud aruandekohustused ei laiene
| a) | ELi salastatud teabele; |
| b) | teabele, mille edasine levitamine on nähtava märgistuse abil välistatud, välja arvatud juhul, kui selle jagamiseks CERT-EUga on antud sõnaselge luba. |
whereas