keyboard_tab Cyber Resilience Act 2023/2841 ET

1.   IICB teeb kooskõlas artikli 10 lõikega 2 ja artikliga 11 tulemuslikku seiret selle üle, kuidas liidu üksused rakendavad käesolevat määrust ning vastuvõetud suuniseid, soovitusi ja üleskutseid. IICB võib nõuda liidu üksustelt selleks vajalikku teavet või dokumente. Käesoleva artikli kohaste nõuete järgimise meetmete vastuvõtmisel ei ole liidu üksusel hääleõigust, kui asjaomane liidu üksus on otseselt esindatud IICBs.

2.   Kui IICB leiab, et liidu üksus ei ole käesolevat määrust või käesoleva määruse alusel esitatud suuniseid, soovitusi või üleskutseid tulemuslikult järginud, võib ta pärast asjaomasele liidu üksusele võimaluse andmist tähelepanekute esitamiseks ja ilma, et see piiraks asjaomase liidu üksuse sisemenetlusi, teha järgmist:

a)	edastada asjaomasele liidu üksusele põhjendatud arvamuse, milles juhitakse tähelepanu käesoleva määruse rakendamisel täheldatud puudustele;

b)	anda pärast CERT-EUga konsulteerimist asjaomasele liidu üksusele suuniseid, tagamaks et selle raamistik, küberturvalisuse riskijuhtimismeetmed, küberturvalisuse kava ja aruandlus oleksid kindlaksmääratud aja jooksul käesoleva määrusega kooskõlas;

c)	anda hoiatuse tuvastatud puuduste käsitlemiseks kindlaksmääratud aja jooksul, sealhulgas soovitused muuta asjaomase liidu üksuse poolt käesoleva määruse kohaselt vastu võetud meetmeid;

d)	esitada asjaomasele liidu üksusele põhjendatud teate, kui punkti c kohaselt antud hoiatuses tuvastatud puudusi ei ole kindlaksmääratud aja jooksul piisavalt käsitletud;

e)	esitada i) soovituse viia läbi audit või ii) nõude, et auditi teeks kolmandast isikust audiitor;

f)	teavitada oma volituste piires kontrollikoda väidetavast nõuetele mittevastavusest, kui see on asjakohane;

g)	esitada kõigile liikmesriikidele ja liidu üksustele soovituse peatada ajutiselt asjaomasele liidu üksusele suunatud andmevood.

Esimese lõigu punkti c kohaldamisel piiratakse hoiatuse sihtrühma asjakohaselt, kui see on vajalik küberturvalisusriski tõttu.

Esimese lõigu kohaselt esitatud hoiatused ja soovitused suunatakse asjaomase liidu üksuse kõrgeimale juhtimistasandile.

3.   Kui IICB on võtnud lõike 2 esimese lõigu punktide a–g kohaseid meetmeid, esitab asjaomane liidu üksus IICB tuvastatud väidetavate puuduste kõrvaldamiseks võetud meetmete üksikasjad. Liidu üksus esitab need üksikasjad IICBga kokku lepitud mõistliku aja jooksul.

4.   Kui IICB leiab, et liidu üksus rikub järjepidevalt käesolevat määrust, tingituna otseselt liidu ametniku või muu teenistuja tegevusest või tegevusetusest, sealhulgas kõrgeimal juhtimistasandil, nõuab IICB, et asjaomane liidu üksus võtaks asjakohased meetmed, sealhulgas nõuab, et üksus kaaluks distsiplinaarmeetmete võtmist kooskõlas personalieeskirjades sätestatud normide ja menetlustega ning muude kohaldatavate normide ja menetlustega. selleks edastab IICB asjaomasele liidu üksusele vajaliku teabe.

5.   Kui liidu üksus teatab, et ta ei suuda artikli 6 lõikes 1 ja artikli 8 lõikes 1 sätestatud tähtaegadest kinni pidada, võib IICB anda igakülgselt põhjendatud juhtudel ja liidu üksuse suurust arvesse võttes loa tähtaegu pikendada.

1.   CERT-EU teeb liikmesriikide samalaadsete asutustega, sh direktiivi (EL) 2022/2555 artikli 10 kohaselt määratud või asutatud CSIRTidega või asjakohasel juhul pädevate asutustega ja sama direktiivi artikli 8 kohaselt määratud või asutatud ühtsete kontaktpunktidega põhjendamatu viivituseta koostööd ja vahetab nendega teavet küsimustes, mis puudutavad intsidente, küberohte, nõrkusi, ohuolukordi, võimalikke vastumeetmeid ja häid tavasid, ning kõigis küsimustes, mis on asjakohased liidu üksuste IKT-keskkondade kaitse parandamiseks, sh direktiivi (EL) 2022/2555 artiklis 15 osutatud CSIRTide võrgustiku kaudu. CERT-EU toetab komisjoni direktiivi (EL) 2022/2555 artikli 16 kohaselt loodud EU-CyCLONe töös ulatuslike küberturbeintsidentide ja kriiside koordineeritud haldamisel.

2.   Kui CERT-EU saab teada liikmesriigi territooriumil aset leidnud olulisest intsidendist. teavitab ta vastavalt lõikele 1 viivitamata kõiki kõnealuse liikmesriigi asjaomaseid samalaadseid asutusi.

3.   CERT-EU vahetab põhjendamatu viivituseta ja tingimusel, et isikuandmeid kaitstakse kohaldatava liidu andmekaitsealase õiguse kohaselt, liikmesriikide samalaadsete asutustega asjakohast teavet konkreetse intsidendi kohta, et hõlbustada samalaadsete küberohtude või intsidentide avastamist või aidata intsidenti analüüsida, ilma mõjutatud liidu üksuse loata. CERT-EU vahetab konkreetse intsidendi kohta sellist teavet, millest ilmneb intsidendi sihtmärgi identiteet, üksnes juhul, kui:

a)	mõjutatud liidu üksus annab selleks oma nõusoleku;

b)	mõjutatud liidu üksus ei ole punktis a sätestatu kohaselt oma nõusolekut andnud, kuid mõjutatud liidu üksuse identiteedi avaldamine suurendaks tõenäosust, et seeläbi välditakse või leevendatakse intsidente mujal;

c)	mõjutatud liidu üksus on juba avalikustanud, et see intsident on teda mõjutanud.

Otsused konkreetse intsidendi kohta sellise teabe vahetamiseks, millest ilmneb intsidendi sihtmärgi identiteet vastavalt esimese lõigu punktile b, kiidab heaks CERT-EU juht. Enne sellise otsuse tegemist võtab CERT-EU mõjutatud liidu üksusega kirjalikult ühendust ja selgitab, kuidas tema identiteedi avalikustamine aitaks vältida või leevendada intsidente mujal. CERT-EU juht esitab omapoolse selgituse ja palub sõnaselgelt, et liidu üksus teataks, kas ta annab oma nõusoleku kindlaksmääratud ajavahemiku jooksul. CERT-EU juht teavitab liidu üksust ka sellest, et esitatud selgitust arvesse võttes jätab ta endale õiguse avaldada teave isegi juhul, kui üksus selleks oma nõusolekut ei anna. Enne kui teave avalikustatakse, teavitatakse sellest mõjutatud liidu üksust.

1.   Liidu üksused võivad vabatahtlikult teatada CERT-EU-le neid mõjutavatest intsidentidest, küberohtudest, ohuolukordadest ja nõrkustest ning anda sellekohast teavet. CERT-EU tagab selliste tõhusate sidevahendite olemasolu, mis kindlustavad kõrgel tasemel jälgitavuse, konfidentsiaalsuse ja usaldusväärsuse, et hõlbustada liidu üksustega teabe jagamist. Teadete töötlemisel võib CERT-EU seada kohustuslike teadete menetlemise vabatahtlike teadete menetlemisest tähtsamale kohale. Ilma et see piiraks artikli 12 kohaldamist, ei too vabatahtlik teatamine teadet esitavale liidu üksusele kaasa lisakohustusi, mida tal ei oleks olnud, kui ta ei oleks teadet esitanud.

2.   selleks et täita oma artiklist 13 tulenevat missiooni ja ülesandeid, võib CERT-EU taotleda, et liidu üksused esitaksid talle oma IKT-süsteemide varade loendist teavet, sealhulgas teavet, mis käsitleb küberohtusid, ohuolukordi, nõrkusi, rikkeindikaatoreid, küberturvalisuse hoiatusi ning soovitusi seoses intsidentide tuvastamiseks vajalike küberturvalisuse vahendite konfiguratsiooniga. Taotluse saanud liidu üksus edastab taotletud teabe ja kõik selle hilisemad ajakohastused põhjendamatu viivituseta.

3.   Sellist teavet, millest ilmneb intsidendist mõjutatud liidu üksuse identiteet, võib CERT-EU intsidendi kohta vahetada liidu üksustega tingimusel, et mõjutatud liidu üksus annab selleks nõusoleku. Nõusoleku andmisest keeldumise korral esitab liidu üksus CERT-EU-le oma otsuse põhjendused.

4.   Liidu üksused jagavad taotluse korral Euroopa Parlamendi ja nõukoguga teavet küberturvalisuse kavade lõpuleviimise kohta.

5.   IICB või CERT-EU, nagu on asjakohane, jagab taotluse korral suuniseid, soovitusi ja üleskutseid Euroopa Parlamendi ja nõukoguga.

6.   Käesolevas artiklis sätestatud jagamiskohustused ei laiene

a)	ELi salastatud teabele;

b)	teabele, mille edasine levitamine on nähtava märgistuse abil välistatud, välja arvatud juhul, kui selle jagamiseks CERT-EUga on antud sõnaselge luba.

1.   selleks et toetada liidu üksusi mõjutavate tõsiste intsidentide koordineeritud haldamist operatiivtasandil ning aidata kaasa asjakohase teabe korrapärasele vahetamisele liidu üksuste vahel ja liikmesriikidega, töötab IICB vastavalt artikli 11 punktile q ning tihedas koostöös CERT-EU ja ENISAga välja artikli 22 lõikes 2 osutatud tegevustel põhineva küberkriiside haldamise kava. Küberkriiside haldamise kava sisaldab vähemalt järgmist:

a)	liidu üksuste vahelise koordineerimise ja teabevoo kord tõsiste intsidentide haldamiseks operatiivtasandil;

b)	ühtne standardne töökord;

c)	tõsiste intsidentide raskusastme ja kriisi käivitavate tegurite ühtne taksonoomia;

d)	korrapärased õppused;

e)	kasutatavad turvalised sidekanalid.

2.   Käesoleva artikli lõike 1 alusel välja töötatud küberkriiside haldamise kava kohaldamisel ja ilma et see piiraks direktiivi (EL) 2022/2555 artikli 16 lõike 2 esimese lõigu kohaldamist, toimib IICB tegevuses osalev komisjoni esindaja kontaktpunktina tõsiste intsidentidega seotud asjakohase teabe jagamisel EU-CyCLONega.

3.   CERT-EU koordineerib tõsiste intsidentide haldamist liidu üksuste vahel. CERT-EU peab loendit olemasolevatest tehnilistest eksperditeadmistest, mida oleks vaja tõsiste intsidentide korral intsidentidele reageerimiseks, ning aitab IICB-l koordineerida artikli 9 lõikes 2 osutatud liidu üksuste küberkriiside haldamise kavasid tõsiste intsidentide käsitlemiseks.

4.   Liidu üksused annavad oma panuse tehniliste eksperditeadmiste loendisse ning esitavad igal aastal ajakohastatava nimekirja oma vastavates organisatsioonides tegutsevatest ekspertidest, märkides ära nende konkreetsed tehnilised oskused.