keyboard_tab Cyber Resilience Act 2023/2841 ET

1.   Hiljemalt 8. aprilliks 2025 kehtestab iga liidu üksus pärast küberturvalisuse alast esialgset läbivaatamist, näiteks auditit, sisemise küberturvalisusriskide juhtimis-, haldamis- ja kontrollraamistiku (edaspidi „raamistik“). Raamistiku kehtestamise üle teeb järelevalvet ja selle eest vastutab liidu üksuse kõrgeim juhtimistasand.

2.   Raamistik peab hõlmama asjaomase liidu üksuse kogu salastamata IKT-keskkonda, sealhulgas ruumides kohapeal olev IKT-keskkond, käidutehnoloogia võrk, hanke korras sisse ostetavad varad ja teenused, mis asuvad pilvandmetöötluse keskkondades või mida majutavad kolmandad isikud, mobiilseadmed, ettevõttevõrgud, internetiga ühendamata koondisevõrgud ja mistahes seadmed, mis on ühendatud nende keskkondadega (edaspidi „IKT-keskkond“). Raamistik põhineb kõiki ohte hõlmaval lähenemisviisil.

3.   Raamistikuga tagatakse küberturvalisuse kõrge tase. Raamistikuga kehtestatakse võrgu- ja infosüsteemide turvalisusega seotud sisemised küberturvalisuse põhimõtted, sealhulgas eesmärgid ja prioriteedid, ning liidu üksuse nende töötajate roll ja kohustused, kelle ülesanne on tagada käesoleva määruse tulemuslik rakendamine. Raamistik sisaldab ka rakendamise tulemuslikkuse mõõtmise mehhanisme.

4.   Raamistik vaadatakse läbi korrapäraselt, ent vähemalt iga nelja aasta tagant, võttes arvesse küberturvalisusriskide muutumist. Asjakohasel juhul ja artikli 10 kohaselt loodud institutsioonidevahelise küberturvalisuse nõukoja taotlusel võib liidu üksuse raamistikku ajakohastada vastavalt CERT-EU juhistele, mis käsitlevad kindlaks tehtud intsidente või käesoleva määruse rakendamisel täheldatud võimalikke lünki.

5.   Iga liidu üksuse kõrgeim juhtimistasand vastutab käesoleva määruse rakendamise eest ja teeb järelevalvet selle üle, kuidas tema organisatsioon täidab raamistikuga seotud kohustusi.

6.   Asjakohasel juhul ja ilma et see piiraks liidu üksuse kõrgeima juhtimistasandi vastutust käesoleva määruse rakendamise eest, võib iga liidu üksuse kõrgeim juhtimistasand delegeerida käesolevast määrusest tulenevad teatavad kohustused asjaomase liidu üksuse kõrgematele ametnikele personalieeskirjade artikli 29 lõike 2 tähenduses või muudele samaväärse tasandi ametnikele. Olenemata delegeerimisest võib kõrgeimat juhtimistasandit pidada vastutavaks käesoleva määruse rikkumise eest asjaomases liidu üksuses.

7.   Igas liidu üksuses peavad olema toimivad mehhanismid, millega tagatakse, et küberturvalisusele kulutatakse piisav osa IKT eelarvest. Selle osa kindlaksmääramisel võetakse nõuetekohaselt arvesse raamistikku.

8.   Iga liidu üksus nimetab ametisse kohaliku küberturvalisuse ametniku või samaväärseid ülesandeid täitva töötaja, kes on ühtne kontaktpunkt kõigis küberturvalisuse aspektides. Kohalik küberturvalisuse ametnik hõlbustab käesoleva määruse rakendamist ja annab otse kõrgeimale juhtimistasandile rakendamise seisust korrapäraselt aru. Ilma et see piiraks kohaliku küberturvalisuse ametniku tegutsemist igas liidu üksuses ühtse kontaktpunktina, võib liidu üksus delegeerida kohaliku küberturvalisuse ametniku teatavad käesoleva määruse rakendamisega seotud ülesanded CERT-EU-le kõnealuse liidu üksuse ja CERT-EU vahel sõlmitud teenustaseme kokkuleppe alusel või võib need ülesanded jagada mitme liidu üksuse vahel. Kui need ülesanded delegeeritakse CERT-EU-le, otsustab artikli 10 alusel loodud institutsioonidevaheline küberturvalisuse nõukoda, kas seda teenust osutatakse CERT-EU põhiteenuste osana, võttes arvesse asjaomase liidu üksuse inim- ja rahalisi ressursse. Iga liidu üksus teavitab põhjendamatu viivituseta CERT-EUd kohaliku küberturvalisuse ametniku ametisse nimetamisest ja sellega seotud hilisematest muudatustest.

CERT-EU koostab ametisse nimetatud kohalike küberturvalisuse ametnike nimekirja ja ajakohastab seda.

9.   Iga liidu üksuse kõrgemad ametnikud personalieeskirjade artikli 29 lõike 2 tähenduses või muud samaväärse tasandi ametnikud ning kõik töötajad, kelle ülesanne on rakendada käesolevas määruses sätestatud küberturvalisuse riskijuhtimismeetmeid ja täita käesolevas määruses sätestatud kohustusi, osalevad korrapäraselt erikoolitustel, et omandada piisavad teadmised ja oskused küberturvalisuse riskide ja nende juhtimise tavade ning nende liidu üksuse tegevusele avalduva mõju mõistmiseks ja hindamiseks.

1.   Iga liidu üksus võtab põhjendamatu viivituseta ja igal juhul hiljemalt 8. septembriks 2025 oma kõrgeima juhtimistasandi järelevalve all asjakohased ja proportsionaalsed tehnilised, tegevuslikud ja korralduslikud meetmed, et juhtida raamistiku alusel kindlaks tehtud küberturvalisusriske ning hoida ära või minimeerida intsidentide mõju. Kõnealuste meetmetega tagatakse kogu IKT-keskkonnas võrgu- ja infosüsteemide turvalisuse tase, mis vastab asjakohastele küberturvalisusriskidele, võttes arvesse tehnika taset, ja kui see on kohaldatav, asjakohaseid Euroopa ja rahvusvahelisi standardeid. Kõnealuste meetmete proportsionaalsuse hindamisel võetakse igakülgselt arvesse liidu üksuse küberturvalisusriskidele avatuse määra, tema suurust ning intsidentide esinemise tõenäosust ja nende raskust, sealhulgas nende ühiskondlikku, majanduslikku ja institutsioonidevahelist mõju.

2.   Liidu üksused käsitlevad küberturvalisuse riskijuhtimismeetmete rakendamisel vähemalt järgmisi valdkondi:

a)	küberturvalisuse põhimõtted, sealhulgas artiklis 6 ja käesoleva artikli lõikes 3 osutatud eesmärkide ja prioriteetide saavutamiseks vajalikud meetmed;

b)	küberturvalisuse riskide analüüsi ja infosüsteemide turvalisuse põhimõtted;

c)	pilvandmetöötlusteenuste kasutamisega seotud põhimõtete eesmärgid;

d)	asjakohasel juhul küberturvalisuse audit, mis võib hõlmata küberturvalisuse riskide, nõrkuste ja küberohtude hindamist, ning läbistustestimine, mida teeb korrapäraselt usaldusväärne erasektori teenuseosutaja;

e)	punktis d osutatud küberturvalisuse audititest tulenevate soovituste rakendamine küberturvalisuse ja põhimõtete ajakohastamise kaudu;

f)	küberturvalisuse korraldamine, sealhulgas ülesannete ja kohustuste kindlaksmääramine;

g)	varade haldamine, sealhulgas IKT-varade inventeerimine ja IKT-võrgu kaardistamine;

h)	personali turvalisus ja juurdepääsu kontroll;

i)	tegevuse turvalisus;

j)	teabeedastuse turvalisus;

k)	süsteemide soetamine, arendamine ja hooldamine, sealhulgas nõrkuste käsitlemise ja avalikustamise põhimõtted;

l)	võimaluse korral lähtekoodi läbipaistvuse põhimõtted;

m)	tarneahela turvalisus, sealhulgas turvalisusega seotud aspektid iga liidu üksuse ja tema otseste tarnijate või teenuseosutajate vahelistes suhetes;

n)	intsidentide käsitlemine ja koostöö CERT-EUga, näiteks pidev turvalisuse seire ja logipidamine;

o)	talitluspidevuse juhtimine, näiteks varundushaldus ja avariitaaste, ning kriisiohje, ning

p)	küberturvalisuse alase õppe, oskuste, teadlikkuse suurendamise, õppuste ja koolitusega seotud programmide edendamine ja arendamine.

Esimese lõigu punkti m kohaldamisel võtavad liidu üksused arvesse igale otsesele tarnijale ja teenuseosutajale omaseid nõrkusi ning oma tarnijate ja teenuseosutajate toodete üldist kvaliteeti ja küberturvalisuse tavasid, sealhulgas nende turvalise arenduse korda.

3.   Liidu üksused võtavad vähemalt järgmisi küberturvalisuse riskijuhtimiserimeetmeid:

a)	kaugtöö võimaldamise ja jätkamise tehniline kord;

b)	konkreetsed sammud usaldamatuse põhimõtete järgimiseks;

c)	võrgu- ja infosüsteemides mitmikautentimise kohustuslik kasutamine;

d)	krüptograafia ja krüpteerimise, eelkõige otspunktkrüpteerimise ja turvalise digiallkirjastamise kasutamine;

e)	asjakohasel juhul turvalise hääl-, video- ja tekstiside ning turvaliste hädaolukorra sidesüsteemide kasutamine liidu üksuses;

f)	ennetavad meetmed paha- ja nuhkvara tuvastamiseks ja kõrvaldamiseks;

g)	tarkvara tarneahela turvalisuse tagamine tarkvara arendamise ja hindamise turvalisuse kriteeriumide abil;

h)	selliste küberturvalisuse alaste koolitusprogrammide koostamine ja vastuvõtmine, mis on vastavuses ülesannetega, mis on antud käesoleva määruse tulemusliku rakendamise tagamise eest vastutavale liidu üksuse kõrgeimale juhtimistasandile ja töötajatele, ja neilt eeldatava suutlikkusega;

i)	töötajate korrapärane koolitamine küberturvalisuse teemal;

j)	liidu üksuste omavahelise ühendatuse riskianalüüsides osalemine, kui see on asjakohane;

k)

hankereeglite tõhustamine, et toetada küberturvalisuse ühtlaselt kõrget taset järgmiste vahenditega: i) selliste lepinguliste tõkete kõrvaldamine, mis piiravad IKT-teenuste osutajate võimalust jagada CERT-EUga teavet intsidentide, nõrkuste ja küberohtude kohta; ii) lepingulised kohustused teatada intsidentidest, nõrkustest ja küberohtudest ning luua asjakohased intsidentidele reageerimise ja nende seire mehhanismid.

1.   CERT-EU missioon on aidata kaasa kõigi liidu üksuste salastamata IKT-keskkonna turvalisusele, andes neile küberturvalisuse alast nõu, aidates neil intsidente ära hoida, tuvastada, neid käsitleda ja leevendada, intsidentidele reageerida ja neist taastuda ning tegutsedes nende küberturvalisuse alase teabevahetuse ja intsidentidele reageerimise koordineerimise keskusena.

2.   CERT-EU kogub, haldab, analüüsib ja jagab liidu üksustega teavet, mis käsitleb salastamata IKT-taristu küberohte, nõrkusi ja sellega seotud intsidente. CERT-EU koordineerib intsidentidele reageerimist institutsioonidevahelisel ja liidu üksuste tasandil, andes muu hulgas operatiivset eriabi või koordineerides seda.

3.   CERT-EU täidab liidu üksuste jaoks järgmisi ülesandeid:

a)	toetab neid käesoleva määruse rakendamisel ja aitab seda koordineerida artikli 14 lõikes 1 loetletud meetmetega või IICB nõutud ad hoc aruannetega;

b)	pakub kõigile liidu üksustele standardseid CSIRT-teenuseid teenustekataloogis kirjeldatud küberturvalisuse teenuste paketiga (edaspidi „baasteenused“);

c)	hoiab alal samalaadsete organisatsioonide ja partnerite võrgustikku, et toetada teenuseid, nagu on kirjeldatud artiklites 17 ja 18;

d)	juhib IICB tähelepanu probleemidele, mis on seotud käesoleva määruse rakendamisega ning suuniste, soovituste ja üleskutsete rakendamisega;

e)	aitab lõikes 2 osutatud teabe põhjal ja tihedas koostöös ENISAga suurendada liidu küberolukorrateadlikkust;

f)	koordineerib tõsiste intsidentide haldamist;

g)	tegutseb liidu üksuste nimel samaväärsena koordinaatoriga, kes on määratud nõrkuste koordineeritud avalikustamise koordinaatoriks vastavalt direktiivi (EL) 2022/2555 artikli 12 lõikele 1;

h)	tagab liidu üksuse taotlusel kõnealuse liidu üksuse üldkasutatavate võrgu- ja infosüsteemide ennetava välise kontrollimise.

Kui see on kohaldatav ja asjakohane, jagatakse esimese lõigu punktis e osutatud teavet IICB, CSIRTide võrgustiku ning Euroopa Liidu luure- ja situatsioonikeskusega (EU INTCEN), järgides seejuures asjakohaseid konfidentsiaalsusnõudeid.

4.   CERT-EU võib asjakohasel juhul teha liidus ja selle liikmesriikides koostööd asjaomaste küberturvalisuse kogukondadega vastavalt artiklile 17 või 18, muuhulgas järgmistes valdkondades:

a)	valmisolek, intsidentide koordineerimine, teabevahetus ja kriisidele reageerimine tehnilisel tasandil liidu üksustega seotud juhtumite puhul;

b)	operatiivkoostöö seoses CSIRTide võrgustikuga, k.a vastastikuse abi valdkonnas;

c)	küberohuteadmus, sh olukorrateadlikkus;

d)	kõik teemad, milleks on vaja CERT-EU tehnilist küberturvalisuse alast oskusteavet.

5.   CERT-EU teeb enda pädevusse kuuluvates küsimustes struktureeritud koostööd ENISAga suutlikkuse suurendamise, operatiivkoostöö ja küberohtude pikaajalise strateegilise analüüsi vallas kooskõlas määrusega (EL) 2019/881. CERT-EU võib teha koostööd ja vahetada teavet Europoli küberkuritegevuse vastase võitluse Euroopa keskusega.

6.   CERT-EU võib pakkuda järgmisi teenuseid, mida ei ole kirjeldatud tema teenuste kataloogis (edaspidi „tasulised teenused“):

a)	muud kui lõikes 3 osutatud teenused, mis toetavad liidu üksuste IKT-keskkonna küberturvalisust, teenustaseme kokkulepete põhjal ja vastavalt olemasolevatele ressurssidele, eelkõige ulatuslik võrkude seire, sealhulgas tõsiste küberohtude esmatasandi pidev seire;

b)	teenused, mis toetavad liidu üksuste küberturvalisuse toiminguid või projekte, välja arvatud nende IKT-keskkonna kaitsmiseks mõeldud teenused, kirjaliku lepingu põhjal ja IICB eelneval heakskiidul;

c)	taotluse korral asjaomase liidu üksuse võrgu- ja infosüsteemide ennetav kontrollimine, et tuvastada võimalikke olulise mõjuga nõrkusi;

d)	teenused, mis toetavad selliste organisatsioonide IKT-keskkonna turvalisust, mis ei ole liidu üksused, kuid teevad liidu üksustega tihedat koostööd, näiteks kui neile on liidu õiguse alusel määratud ülesandeid või kohustusi, kirjaliku lepingu põhjal ja IICB eelneval heakskiidul.

Võttes arvesse esimese lõigu punkti d, võib CERT-EU erandkorras sõlmida teenustaseme kokkuleppeid muude üksustega kui liidu üksused, kui IICB on selle eelnevalt heaks kiitnud.

7.   CERT-EU korraldab küberturvalisuse õppusi ja võib neil osaleda või soovitada osaleda olemasolevatel õppustel, tehes seda tihedas koostöös ENISAga alati, kui see on asjakohane, et kontrollida liidu üksuste küberturvalisuse taset.

8.   CERT-EU võib pakkuda liidu üksustele abi ELi salastatud teavet käitlevate võrgu- ja infosüsteemide intsidentide puhul, kui asjaomased liidu üksused seda temalt oma vastavate menetluste kohaselt sõnaselgelt taotlevad. CERT-EU poolt käesoleva lõike alusel abi osutamine ei piira salastatud teabe kaitseks kehtestatud reeglite järgimist.

9.   CERT-EU teavitab liidu üksusi oma intsidendi käsitlemise menetlustest ja protsessidest.

10.   CERT-EU edastab asjakohaste koostöömehhanismide ja aruandlusahelate kaudu olulise ja anonüümitud teabe tõsiste intsidentide ja nende käsitlemisviisi kohta, tagades seejuures konfidentsiaalsuse ja usaldusväärsuse kõrge taseme. See teave lisatakse artikli 10 lõikes 14 osutatud aruandesse.

11.   CERT-EU toetab koostöös Euroopa Andmekaitseinspektoriga liidu üksusi selliste intsidentide käsitlemisel, millega kaasneb isikuandmetega seotud rikkumine, ilma et see piiraks Euroopa Andmekaitseinspektori kui järelevalveasutuse ülesandeid ja pädevust määruse (EL) 2018/1725 alusel.

12.   CERT-EU võib asjakohastes poliitikaküsimustes anda tehnilist nõu või sisendit, kui liidu üksuste poliitikaosakonnad on seda sõnaselgelt taotlenud.

1.   CERT-EU toetab käesoleva määruse rakendamist sellega, et annab välja järgmisi dokumente:

a)	üleskutsed, milles kirjeldatakse kiireloomulisi turbemeetmeid, mida liidu üksused peaksid võtma kindlaksmääratud aja jooksul;

b)	ettepanekud IICB-le suuniste kohta, mis on adresseeritud kõigile liidu üksustele või mõnedele nende hulgast;

c)	ettepanekud IICB-le soovituste kohta, mis on adresseeritud konkreetsetele liidu üksustele.

Võttes arvesse esimese lõigu punkti a, annab asjaomane liidu üksus põhjendamatu viivituseta pärast üleskutse saamist CERT-EU-le teada, kuidas kiireloomulisi turbemeetmeid rakendati.

2.   Suunised ja soovitused võivad sisaldada:

a)

ühtset metoodikat ja mudelit liidu üksuste küberturvalisuse küpsustaseme hindamiseks, sealhulgas vastavaid skaalasid või peamisi tulemusnäitajaid, mida kasutatakse võrdlusalusena küberturvalisuse pideva suurendamise toetamisel kõigis liidu üksustes ning küberturvalisuse valdkondade ja meetmete prioriseerimise hõlbustamisel, võttes arvesse üksuste turvaoleku taset kübervaldkonnas;

b)	küberturvalisuse riskijuhtimise ja küberturvalisuse riskijuhtimismeetmete üksikasju või parendusi;

c)	küberturvalisuse küpsustaseme hindamise ja küberturvalisuse kavade üksikasju;

d)	kui see on asjakohane, ühise tehnoloogia, arhitektuuri, avatud lähtekoodi ja nendega seotud heade tavade kasutamist, et saavutada koostalitlusvõime ja ühised standardid, sealhulgas koordineeritud lähenemisviis tarneahela turvalisusele;

e)	kui see on asjakohane, teavet, mis hõlbustaks ühishankevahendite kasutamist asjaomaste küberturvalisuse teenuste ja toodete ostmiseks kolmandast isikust tarnijatelt;

f)	artikli 20 kohast teabevahetuskorda.

1.   Pärast kahe kolmandiku IICB liikmete heakskiidu saamist nimetab komisjon ametisse CERT-EU juhi. IICBga konsulteeritakse kõigis ametisse nimetamise menetluse etappides, eeskätt vaba ametikoha teadete koostamise, avalduste läbivaatamise ja selle ametikohaga seotud valikukomisjonide ametisse nimetamise käigus. Kogu valikumenetluse jooksul, sealhulgas lõpliku nimekirja koostamisel kandidaatidest, kelle hulgast CERT-EU juht ametisse nimetatakse, tagatakse esitatud taotlusi arvesse võttes sugude õiglane esindatus.

2.   CERT-EU juht vastutab CERT-EU sujuva toimimise eest, tegutsedes oma pädevusvaldkonna piires ja IICB juhtimisel. CERT-EU juht annab korrapäraselt aru IICB juhatajale ja esitab IICB-le ad hoc aruandeid, kui IICB on seda taotlenud.

3.   CERT-EU juht aitab vastutaval volitatud eelarvevahendite käsutajal koostada iga-aastast tegevusaruannet, mis sisaldab finants- ja haldusteavet, sh kontrollide tulemusi, ning mis koostatakse vastavalt Euroopa Parlamendi ja nõukogu määruse (EL, Euratom) 2018/1046 (9) artikli 74 lõikele 9, ning ta annab volitatud eelarvevahendite käsutajale korrapäraselt aru nende meetmete rakendamisest, millega seoses volitused CERT-EU juhile delegeeriti.

4.   CERT-EU juht töötab igal aastal välja oma tegevuse haldustulude ja -kulude finantskalkulatsiooni, iga-aastase tööprogrammi ettepaneku, CERT-EU teenuste kataloogi ettepaneku, CERT-EU teenuste kataloogi muudatuste ettepanekud, teenustaseme kokkulepete korra ettepanekud ning CERT-EU peamiste tulemusnäitajate ettepaneku, mille peab heaks kiitma IICB kooskõlas artikliga 11. CERT-EU teenuste kataloogi teenuste loendi läbivaatamisel võtab CERT-EU juht arvesse CERT-EU-le eraldatud vahendeid.

5.   CERT-EU juht esitab vähemalt kord aastas IICB-le ja IICB juhatajale aruanded CERT-EU tulemuslikkuse ja tegevuse kohta aruandeperioodil, sealhulgas eelarve täitmise, teenustaseme kokkulepete ja sõlmitud kirjalike lepingute, samalaadsete asutuste ja partneritega tehtava koostöö ning töötajate lähetuste kohta, sh artiklis 11 osutatud aruanded. Need aruanded sisaldavad järgmise perioodi tööprogrammi, tulude ja kulude finantskalkulatsiooni, sh seoses personaliga, CERT-EU teenuste kataloogi kavandatud ajakohastamisi ning hinnangut selle kohta, kuidas sellised ajakohastamised võivad eeldatavalt mõjutada rahalisi ja inimressursse.

1.   CERT-EU integreeritakse komisjoni ühe peadirektoraadi haldusstruktuuri, et kasutada ära komisjoni haldus- ja finantsjuhtimis- ning raamatupidamisalaste tugistruktuuride eeliseid, kuid samal ajal säilitatakse selle staatus autonoomse institutsioonidevahelise teenuseosutajana kõigile liidu üksustele. Komisjon teavitab IICBd CERT-EU halduslikust asukohast ja selle mis tahes muudatustest. Komisjon vaatab CERT-EUga seotud halduskokkulepped korrapäraselt ja igal juhul enne ELi toimimise lepingu artikli 312 kohase mitmeaastase finantsraamistiku kehtestamist läbi, et võimaldada asjakohaste meetmete võtmist. Läbivaatamine käsitleb ka võimalust muuta CERT-EU liidu ametiks.

2.   Haldus- ja finantsmenetluste kohaldamisel tegutseb CERT-EU juht komisjoni alluvuses ja IICB järelevalve all.

3.   CERT-EU ülesandeid ja tegevusi, sh teenuseid, mida CERT-EU osutab artikli 13 lõigete 3, 4, 5 ja 7 ning artikli 14 lõike 1 alusel liidu üksustele, mille tegevust rahastatakse mitmeaastase finantsraamistiku rubriigist „Euroopa avalik haldus“, rahastatakse komisjoni eelarve eraldi eelarverealt. CERT-EU-le ettenähtud ametikohti täpsustatakse komisjoni ametikohtade loetelu joonealuses märkuses.

4.   Muud kui käesoleva artikli lõikes 3 osutatud liidu üksused teevad CERT-EU-le igal aastal rahalise eraldise teenuste eest, mida CERT-EU osutab vastavalt nimetatud lõikele. Eraldised põhinevad orientiiridel, mille on andnud IICB ja milles iga liidu üksus ja CERT-EU on kokku leppinud teenustaseme kokkulepetes. Eraldised peavad moodustama õiglase ja proportsionaalse osa osutatud teenuste kogukuludest. Need kantakse käesoleva artikli lõikes 3 osutatud eraldi eelarvereale sihtotstarbelise sisetuluna vastavalt määruse (EL, Euratom) 2018/1046 artikli 21 lõike 3 punktile c.

5.   Artikli 13 lõikes 6 määratletud teenustega seotud kulud katavad liidu üksused, kes CERT-EU teenuseid tarbivad. Tulu kantakse eelarvereale, millelt kulusid kaetakse.

1.   Intsidenti käsitatakse olulisena, kui:

a)	see on põhjustanud või võib põhjustada tõsiseid häireid asjaomase liidu üksuse toimimises või rahalist kahju sellele üksusele;

b)	see on mõjutanud või võib mõjutada teisi füüsilisi või juriidilisi isikuid, põhjustades märkimisväärset materiaalset või mittemateriaalset kahju.

2.   Liidu üksused esitavad CERT-EU-le:

a)	põhjendamatu viivituseta, ent igal juhul 24 tunni jooksul pärast olulisest intsidendist teadasaamist varajase hoiatuse, milles asjakohasel juhul märgitakse, et olulise intsidendi põhjuseks on eeldatavasti ebaseaduslik või pahatahtlik tegevus või et sellel võib olla üksuseülene või piiriülene mõju;

b)

põhjendamatu viivituseta, ent igal juhul 72 tunni jooksul pärast olulisest intsidendist teadasaamist intsidenditeate, millega asjakohasel juhul ajakohastatakse punktis a osutatud teavet ning antakse esialgne hinnang olulisele intsidendile, sealhulgas selle raskusastmele ja mõjule ning võimaluse korral ka rikkeindikaatoritele;

c)	CERT-EU taotlusel vahearuande vaatlusaluste asjade seisu kohta;

d)

hiljemalt üks kuu pärast punkti b kohase intsidenditeate edastamist lõpparuande, mis sisaldab järgmist: i) intsidendi, sealhulgas selle raskusastme ja mõju üksikasjalik kirjeldus; ii) intsidendi tõenäoliselt põhjustanud ohu liik või algpõhjus; iii) kohaldatud ja kohaldamisel olevad leevendusmeetmed; iv) asjakohasel juhul intsidendi piiriülene või üksuseülene mõju;

e)	kui intsident punktis d osutatud lõpparuande esitamise ajal veel kestab, hetkeseisu kajastava eduaruande ja ühe kuu jooksul pärast intsidendi käsitlemist üksuste poolt lõpparuande.

3.   Liidu üksus teavitab põhjendamatu viivituseta, ent igal juhul 24 tunni jooksul pärast olulisest intsidendist teadasaamist artikli 17 lõikes 1 osutatud liikmesriikide samalaadseid asutusi liikmesriigis, kus ta asub, olulise intsidendi ilmnemisest.

4.   Liidu üksused esitavad muu hulgas mis tahes teabe, mis võimaldab CERT-EU-l teha kindlaks sellest olulisest intsidendist lähtuva üksuseülese mõju, vastuvõtvale liikmesriigile avalduva mõju või piiriülese mõju. Ilma et see piiraks artikli 12 kohaldamist, ei suurene teavitava üksuse vastutus üksnes teavitamise tõttu.

5.   Kui see on kohaldatav, teavitavad liidu üksused mõjutatud võrgu- ja infosüsteemide või muude selliste IKT-keskkonna komponentide kasutajaid, mida oluline intsident või oluline küberoht võib mõjutada, ja kes peavad asjakohasel juhul võtma leevendusmeetmeid, põhjendamatu viivituseta meetmetest või parandusmeetmetest, mida nad saavad sellele intsidendile või ohule reageerimiseks võtta. Kui see on asjakohane, teavitavad liidu üksused kõnealuseid kasutajaid ka olulisest küberohust endast.

6.   Kui oluline intsident või oluline küberoht mõjutab võrgu- ja infosüsteemi või liidu üksuse IKT-keskkonna sellist komponenti, mis on teadlikult ühendatud mõne teise liidu üksuse IKT-keskkonnaga, väljastab CERT-EU asjakohase küberturvalisuse hoiatuse.

7.   Liidu üksused esitavad CERT-EU taotlusel CERT-EU-le põhjendamatu viivituseta digitaalse teabe, mis on tekkinud nende vastavate intsidentidega seotud elektrooniliste seadmete kasutamisel. CERT-EU võib esitada täiendavaid üksikasju sellise teabe liigi kohta, mida ta vajab olukorrateadlikkuse ja intsidentidele reageerimise jaoks.

8.   CERT-EU esitab IICB-le, ENISA-le, EU INTCENile ja CSIRTide võrgustikule iga kolme kuu tagant koondaruande, mis sisaldab anonüümitud ja koondatud andmeid oluliste intsidentide, intsidentide, küberohtude, ohuolukordade ja nõrkuste kohta vastavalt artiklile 20 ning käesoleva artikli lõike 2 kohaselt teatatud oluliste intsidentide kohta. Koondaruannet võetakse arvesse direktiivi (EL) 2022/2555 artikli 18 kohaselt iga kahe aasta järel vastu võetavas aruandes, mis käsitleb küberturvalisuse olukorda liidus.

9.   Hiljemalt 8. juuliks 2024 annab IICB välja suunised või soovitused, milles täpsustatakse käesoleva artikli alusel aruandmise täiendavad üksikasjad, vorming ja sisu. Selliste suuniste või soovituste koostamisel võtab IICB arvesse kõiki direktiivi (EL) 2022/2555 artikli 23 lõike 11 kohaselt vastu võetud rakendusakte, milles täpsustatakse teavituse teabeliik, vorming ja esitamise kord. CERT-EU levitab asjakohaseid tehnilisi üksikasju, et liidu üksused saaksid tegeleda ennetava tuvastamise, intsidentidele reageerimise või leevendusmeetmetega.

10.   Käesolevas artiklis sätestatud aruandekohustused ei laiene

a)	ELi salastatud teabele;

b)	teabele, mille edasine levitamine on nähtava märgistuse abil välistatud, välja arvatud juhul, kui selle jagamiseks CERT-EUga on antud sõnaselge luba.

1.   Küberturvalisuse alase teabevahetuse ja intsidentidele reageerimise koordineerimise keskusena hõlbustab CERT-EU intsidentide, küberohtude, nõrkuste ja ohuolukordadega seotud teabevahetust järgnevalt nimetatute vahel:

a)	liidu üksused;

b)	artiklites 17 ja 18 osutatud samalaadsed asutused.

2.   CERT-EU hõlbustab asjakohasel juhul ja tihedas koostöös ENISAga intsidentidele reageerimise alast koordineerimist liidu üksuste vahel, sealhulgas:

a)	panustamist järjepidevasse välissuhtlusesse;

b)	vastastikust toetust, nagu liidu üksustele olulise teabe jagamine või abistamine vahetult kohapeal, kui see on asjakohane;

c)	operatiivressursside optimaalset kasutamist;

d)	koordineerimist muude kriisidele reageerimise mehhanismidega liidu tasandil.

3.   CERT-EU toetab tihedas koostöös ENISAga liidu üksusi intsidentide, küberohtude, nõrkuste ja ohuolukordade alase olukorrateadlikkuse vallas, samuti küberturvalisuse valdkonna asjakohaste arengusuundumuste alase teabe jagamise vallas.

4.   Hiljemalt 8. jaanuariks 2025 võtab IICB CERT-EU ettepaneku alusel vastu suunised või soovitused intsidentidele reageerimise koordineerimise ja koostöö kohta oluliste intsidentide korral. Kui kahtlustatakse, et intsident on kuritegelik, annab CERT-EU nõu selle kohta, kuidas teatada intsidendist põhjendamatu viivituseta õiguskaitseasutustele.

5.   Liikmesriigi konkreetse taotluse alusel ja asjaomaste liidu üksuste nõusolekul võib CERT-EU kutsuda artikli 23 lõikes 4 osutatud nimekirjast eksperte, et aidata reageerida kõnealust liikmesriiki mõjutavale tõsisele intsidendile või ulatuslikule küberturbeintsidendile kooskõlas direktiivi (EL) 2022/2555 artikli 15 lõike 3 punktiga g. Konkreetsed reeglid, mille alusel saab liidu üksustest tehnilisi eksperte kutsuda ja nende teadmisi kasutada, kiidab CERT-EU ettepaneku alusel heaks IICB.

1.   Selleks et toetada liidu üksusi mõjutavate tõsiste intsidentide koordineeritud haldamist operatiivtasandil ning aidata kaasa asjakohase teabe korrapärasele vahetamisele liidu üksuste vahel ja liikmesriikidega, töötab IICB vastavalt artikli 11 punktile q ning tihedas koostöös CERT-EU ja ENISAga välja artikli 22 lõikes 2 osutatud tegevustel põhineva küberkriiside haldamise kava. Küberkriiside haldamise kava sisaldab vähemalt järgmist:

a)	liidu üksuste vahelise koordineerimise ja teabevoo kord tõsiste intsidentide haldamiseks operatiivtasandil;

b)	ühtne standardne töökord;

c)	tõsiste intsidentide raskusastme ja kriisi käivitavate tegurite ühtne taksonoomia;

d)	korrapärased õppused;

e)	kasutatavad turvalised sidekanalid.

2.   Käesoleva artikli lõike 1 alusel välja töötatud küberkriiside haldamise kava kohaldamisel ja ilma et see piiraks direktiivi (EL) 2022/2555 artikli 16 lõike 2 esimese lõigu kohaldamist, toimib IICB tegevuses osalev komisjoni esindaja kontaktpunktina tõsiste intsidentidega seotud asjakohase teabe jagamisel EU-CyCLONega.

3.   CERT-EU koordineerib tõsiste intsidentide haldamist liidu üksuste vahel. CERT-EU peab loendit olemasolevatest tehnilistest eksperditeadmistest, mida oleks vaja tõsiste intsidentide korral intsidentidele reageerimiseks, ning aitab IICB-l koordineerida artikli 9 lõikes 2 osutatud liidu üksuste küberkriiside haldamise kavasid tõsiste intsidentide käsitlemiseks.

4.   Liidu üksused annavad oma panuse tehniliste eksperditeadmiste loendisse ning esitavad igal aastal ajakohastatava nimekirja oma vastavates organisatsioonides tegutsevatest ekspertidest, märkides ära nende konkreetsed tehnilised oskused.