keyboard_tab Cyber Resilience Act 2023/2841 FI
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 6 artikla Kyberturvallisuusriskien hallinta- ja valvontakehys
- 1 8 artikla Kyberturvallisuusriskien hallintatoimenpiteet
- 1 9 artikla Kyberturvallisuussuunnitelmat
- 1 14 artikla Ohjeet, suositukset ja toimintakehotukset
- 2 17 artikla CERT-EU:n yhteistyö jäsenvaltioiden vastaavaa tehtävää hoitavien elinten kanssa
- 1 20 artikla Kyberturvallisuustietojen jakamisjärjestelyt
- 5 21 artikla Raportointivelvoitteet
- 1 22 artikla Poikkeamanhallintaa koskeva koordinointi ja yhteistyö
I LUKU
YLEISET SÄÄNNÖKSET
II LUKU
TOIMENPITEET KYBERTURVALLISUUDEN YHTEISEN KORKEAN TASON VARMISTAMISEKSI
III LUKU
TOIMIELINTEN VÄLINEN KYBERTURVALLISUUSLAUTAKUNTA
IV LUKU
CERT-EU
V LUKU
YHTEISTYÖ- JA RAPORTOINTIVELVOITTEET
VI LUKU
LOPPUSÄÄNNÖKSET
- unionin 68
- toimijan 28
- mukaan 26
- nojalla 19
- sekä 17
- cert-eu 16
- tietoja 16
- artiklan 16
- lukien 15
- kyberturvallisuuden 15
- toimija 15
- poikkeama 15
- kyberturvallisuusriskien 14
- kanssa 14
- toimijoiden 14
- cert-eu:n 14
- ilman 14
- aiheetonta 13
- viivytystä 13
- vaikuttaa 13
- toimijat 12
- tämän 12
- niiden 12
- että 11
- jotka 10
- siitä 10
- tapauksen 10
- unionin 10
- joka 10
- huomioon 9
- poikkeaman 9
- asetuksen 9
- johon 9
- koskevat 8
- cert-eu:lle 8
- poikkeamista 8
- tarvittaessa 8
- cert-eu 7
- artikla 7
- tiedot 7
- poikkeamien 7
- direktiivin 7
- vaikutukset 7
- antaa 7
- kyberuhkista 6
- haavoittuvuuksista 6
- varten 6
- alakohdan 6
- poikkeamasta 6
- joiden 6
6 artikla
Kyberturvallisuusriskien hallinta- ja valvontakehys
1. Kukin unionin toimija laatii 8 päivään huhtikuuta 2025 mennessä sisäisen kyberturvallisuusriskien hallinta- ja valvontakehyksen, jäljempänä ’kehys’, suoritettuaan kyberturvallisuuden alustavan arvioinnin, kuten auditoinnin. Kehyksen laatimista valvotaan unionin toimijan ylimmässä johdossa ja sen vastuulla.
2. Kehyksen on katettava asianomaisen unionin toimijan koko turvallisuusluokittelematon TVT-ympäristö, mukaan lukien sen tiloissa oleva TVT-ympäristö ja operatiivinen teknologiaverkko, pilvipalveluympäristöissä olevat tai kolmansien osapuolten ylläpitämät ulkoistetut resurssit ja palvelut, mobiililaitteet, yritysverkot, internetiin liittämättömät liiketoimintaverkot ja kaikki kyseisiin ympäristöihin liitetyt laitteet, jäljempänä ’TVT-ympäristö’. Kehyksen on perustuttava kaikki vaaratekijät huomioivaan toimintamalliin.
3. Kehyksellä on varmistettava kyberturvallisuuden korkea taso. Kehyksessä on vahvistettava verkko- ja tietojärjestelmien turvallisuutta koskevat sisäiset kyberturvallisuusperiaatteet, joihin sisältyy tavoitteita ja painopisteitä, sekä unionin toimijan tämän asetuksen tehokkaan täytäntöönpanon varmistamisesta vastaavan henkilöstön tehtävät ja vastuualueet. Kehykseen on sisällyttävä myös mekanismeja täytäntöönpanon tehokkuuden mittaamiseksi.
4. Kehystä on tarkasteltava uudelleen säännöllisesti muuttuvien kyberturvallisuusriskien valossa ja vähintään neljän vuoden välein. Unionin toimijan kehystä voidaan päivittää tarvittaessa ja 10 artiklan nojalla perustetun toimielinten välisen kyberturvallisuuslautakunnan pyynnöstä todettujen poikkeamien tai tämän asetuksen täytäntöönpanossa havaittujen mahdollisten puutteiden johdosta annetun CERT EU:n ohjeistuksen perusteella
5. Kunkin unionin toimijan ylin johto on vastuussa tämän asetuksen täytäntöönpanosta ja valvoo, että sen organisaatiossa noudatetaan kehykseen liittyviä velvoitteita.
6. Kunkin unionin toimijan ylin johto voi tarvittaessa siirtää kyseisen unionin toimijan henkilöstösääntöjen 29 artiklan 2 kohdassa tarkoitetuille johtaville virkamiehille tai muille vastaavantasoisille virkamiehille tämän asetuksen mukaisia erityisiä velvoitteita, sanotun kuitenkaan rajoittamatta sen vastuuta tämän asetuksen täytäntöönpanosta. Ylimmän johdon voidaan erityisen velvoitteen mahdollisesta siirtämisestä riippumatta katsoa olevan vastuussa siitä, että asianomainen unionin toimija rikkoo tätä asetusta.
7. Kullakin unionin toimijalla on oltava käytössä tehokkaat mekanismit sen varmistamiseksi, että riittävä prosenttiosuus TVT-menoista käytetään kyberturvallisuuteen. Kehys on otettava asianmukaisesti huomioon kyseistä prosenttiosuutta vahvistettaessa.
8. Kukin unionin toimija nimittää paikallisen kyberturvallisuusvastaavan tai vastaavan vastuuhenkilön, joka toimii sen keskitettynä yhteyspisteenä kyberturvallisuuden kaikissa näkökohdissa. Paikallinen kyberturvallisuusvastaava helpottaa tämän asetuksen täytäntöönpanoa ja raportoi säännöllisesti suoraan ylimmälle johdolle täytäntöönpanon tilanteesta. Unionin toimija voi siirtää tiettyjä tämän asetuksen täytäntöönpanoon liittyviä paikallisen kyberturvallisuusvastaavan tehtäviä CERT-EU:lle kyseisen unionin toimijan ja CERT-EU:n välisen palvelutasosopimuksen perusteella tai kyseiset tehtävät voidaan jakaa usean unionin toimijan kesken, sanotun kuitenkaan rajoittamatta paikallisen kyberturvallisuusvastaavan toimimista kunkin unionin toimijan keskitettynä yhteyspisteenä. Jos kyseisiä tehtäviä siirretään CERT-EU:lle, 10 artiklan nojalla perustettu toimielinten välinen kyberturvallisuuslautakunta päättää, onko kyseisen palvelun tarjoaminen osa CERT-EU:n perustason palveluja, ottaen huomioon asianomaisen unionin toimijan henkilöstö- ja rahoitusresurssit. Kukin unionin toimija ilmoittaa nimitetyt paikalliset kyberturvallisuusvastaavat ja heitä koskevat myöhemmin tehtävät muutokset CERT-EU:lle ilman aiheetonta viivytystä.
CERT-EU laatii luettelon nimitetyistä paikallisista kyberturvallisuusvastaavista ja pitää sen ajan tasalla.
9. Kunkin unionin toimijan henkilöstösääntöjen 29 artiklan 2 kohdassa tarkoitetut johtavat virkamiehet tai muut vastaavantasoiset virkamiehet sekä kaikki asianomaiset henkilöstön jäsenet, joiden tehtävänä on tässä asetuksessa säädettyjen kyberturvallisuusriskien hallintaa koskevien toimenpiteiden ja velvoitteiden täyttäminen, osallistuvat säännöllisesti erityiskoulutukseen riittävien tietojen ja taitojen hankkimiseksi, jotta he voivat ymmärtää ja arvioida kyberturvallisuusriskejä ja kyberturvallisuusriskien hallintakäytäntöjä sekä niiden vaikutusta unionin toimijan toimintoihin.
8 artikla
Kyberturvallisuusriskien hallintatoimenpiteet
1. Kukin unionin toimija toteuttaa ilman aiheetonta viivytystä ja joka tapauksessa viimeistään 8 päivänä syyskuuta 2025 ylimmän johtonsa valvonnassa asianmukaisia ja oikeasuhteisia teknisiä, operatiivisia ja organisatorisia toimenpiteitä kehyksessä eriteltyjen kyberturvallisuusriskien hallitsemiseksi ja poikkeamien ehkäisemiseksi tai niiden vaikutusten minimoimiseksi. Kun otetaan huomioon viimeisin kehitys ja tapauksen mukaan asiaan liittyvät eurooppalaiset ja kansainväliset standardit, näillä toimenpiteillä on varmistettava, että koko TVT-ympäristön verkko- ja tietojärjestelmien turvallisuuden taso on oikeassa suhteessa kyberturvallisuusriskeihin. Näiden toimenpiteiden oikeasuhteisuutta arvioitaessa on otettava asianmukaisesti huomioon se, missä määrin unionin toimija altistuu kyberturvallisuusriskeille, toimijan koko sekä poikkeamien esiintymisen todennäköisyys ja niiden vakavuus, mukaan lukien niiden yhteiskunnalliset, taloudelliset ja toimielinten väliset vaikutukset.
2. Unionin toimijat käsittelevät kyberturvallisuusriskien hallintatoimenpiteiden täytäntöönpanossa ainakin seuraavia osa-alueita:
| a) | kyberturvallisuuspolitiikka, mukaan lukien 6 artiklassa ja tämän artiklan 3 kohdassa tarkoitettujen tavoitteiden ja painopisteiden saavuttamiseksi tarvittavat toimenpiteet; |
| b) | kyberturvallisuutta koskevia riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat; |
| c) | pilvipalvelujen käyttöä koskevat politiikkatavoitteet; |
| d) | tarvittaessa kyberturvallisuusauditointi, joka voi sisältää kyberturvallisuusriskien, haavoittuvuuksien ja kyberuhkien arvioinnin, sekä luotettavan yksityisen palveluntarjoajan säännöllisesti suorittama tunkeutumisenestotestaus; |
| e) | d alakohdassa tarkoitetuista kyberturvallisuusauditoinneista johtuvien suositusten täytäntöönpano kyberturvallisuuspäivitysten ja toimintaperiaatteiden päivitysten avulla; |
| f) | kyberturvallisuuden organisointi, mukaan lukien tehtävien ja vastuualueiden määrittäminen; |
| g) | resurssien hallinta, mukaan lukien TVT-resurssien inventointi ja TVT-verkkojen kartoitus; |
| h) | henkilöstöturvallisuus ja kulunvalvonta; |
| i) | operatiivinen turvallisuus; |
| j) | tietoliikenneturvallisuus; |
| k) | järjestelmien hankinta, kehittäminen ja ylläpito, mukaan lukien haavoittuvuuksien käsittelyä ja julkistamista koskevat toimintaperiaatteet; |
| l) | mahdollisuuksien mukaan lähdekoodin läpinäkyvyyttä koskevat toimintaperiaatteet; |
| m) | toimitusketjun turvallisuus, mukaan lukien kunkin unionin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat; |
| n) | poikkeamien käsittely ja yhteistyö CERT-EU:n kanssa, kuten turvallisuuden seurannan ja kirjaamisen ylläpito; |
| o) | toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta; ja |
| p) | kyberturvallisuuskoulutusta ja -taitoja, -tiedotusta ja -harjoituksia koskevien ohjelmien edistäminen ja kehittäminen. |
Unionin toimijat ottavat ensimmäisen alakohdan m alakohdan tarkoituksia varten huomioon kullekin välittömälle toimittajalle ja palveluntarjoajalle ominaiset haavoittuvuudet, toimittajiensa ja palveluntarjoajiensa tuotteiden yleisen laadun sekä niiden kyberturvallisuuskäytännöt, mukaan lukien niiden tuotekehityksen suojausmenettelyt.
3. Unionin toimijat toteuttavat ainakin seuraavat erityiset kyberturvallisuusriskien hallintatoimenpiteet:
| a) | tekniset järjestelyt etätyön mahdollistamiseksi ja tukemiseksi; |
| b) | konkreettiset toimet nollaluottamuksen periaatteiden noudattamiseen siirtymiseksi; |
| c) | monivaiheisen tunnistuksen käyttö yleiskäytäntönä kaikissa verkko- ja tietojärjestelmissä; |
| d) | kryptografian ja salaustekniikoiden käyttö, mukaan lukien erityisesti päästä päähän -salaus, sekä suojattu digitaalinen allekirjoitus; |
| e) | tarvittaessa suojattu puhe-, video- ja tekstiviestintä sekä suojatut hätäviestintäjärjestelmät unionin toimijan toiminnassa; |
| f) | ennakoivat toimenpiteet haitta- ja vakoiluohjelmien havaitsemiseksi ja poistamiseksi; |
| g) | ohjelmistojen toimitusketjun turvallisuuden varmistaminen ohjelmistokehityksessä ja ohjelmistojen arvioinnissa sovellettavien turvallisuuskriteerien avulla; |
| h) | sellaisten kyberturvallisuutta koskevien koulutusohjelmien laatiminen ja käyttöönotto, jotka ovat oikeassa suhteessa unionin toimijan ylimmälle johdolle ja tämän asetuksen tehokkaan täytäntöönpanon varmistamisesta vastaaville henkilöstön jäsenille asetettuihin tehtäviin ja näiltä odotettuihin valmiuksiin; |
| i) | henkilöstön säännöllinen kyberturvallisuuskoulutus; |
| j) | tarvittaessa osallistuminen unionin toimijoiden välisten yhteyksien riskianalyyseihin; |
| k) | julkisia hankintoja koskevien sääntöjen parantaminen kyberturvallisuuden yhteisen korkean tason edistämiseksi seuraavien avulla:
|
9 artikla
Kyberturvallisuussuunnitelmat
1. Edellä olevan 7 artiklan nojalla tehdyn kyberturvallisuuden kehitystason arvioinnin päättymisen jälkeen ja ottaen huomioon kehyksessä eritellyt resurssit ja kyberturvallisuusriskit sekä 8 artiklan nojalla toteutetut kyberturvallisuusriskien hallintatoimenpiteet kunkin unionin toimijan ylin johto hyväksyy kyberturvallisuussuunnitelman ilman aiheetonta viivytystä ja joka tapauksessa viimeistään 8 päivänä tammikuuta 2026. Kyberturvallisuussuunnitelman tavoitteena on nostaa unionin toimijan yleistä kyberturvallisuuden tasoa ja edistää siten kyberturvallisuuden yhteisen korkean tason parantamista unionin toimijoiden toiminnassa. Kyberturvallisuussuunnitelman on sisällettävä vähintään 8 artiklan nojalla toteutetut kyberturvallisuusriskien hallintatoimenpiteet. Kyberturvallisuussuunnitelmaa on tarkistettava kahden vuoden välein tai tarvittaessa useammin 7 artiklan nojalla tehtyjen kyberturvallisuuden kehitystason arviointien tai kehyksen merkittävän uudelleentarkastelun perusteella.
2. Kyberturvallisuussuunnitelman on sisällettävä laajavaikutteisia poikkeamia koskeva unionin toimijan kyberkriisinhallintasuunnitelma.
3. Unionin toimija toimittaa valmiin kyberturvallisuussuunnitelman 10 artiklan nojalla perustetulle toimielinten väliselle kyberturvallisuuslautakunnalle.
III LUKU
TOIMIELINTEN VÄLINEN KYBERTURVALLISUUSLAUTAKUNTA
14 artikla
Ohjeet, suositukset ja toimintakehotukset
1. CERT-EU tukee tämän asetuksen täytäntöönpanoa antamalla
| a) | toimintakehotuksia, joissa kuvaillaan kiireellisiä turvallisuustoimenpiteitä, jotka unionin toimijoita kehotetaan toteuttamaan asetetussa määräajassa; |
| b) | IICB:lle ehdotuksia ohjeiksi, jotka osoitetaan kaikille unionin toimijoille tai niiden alaryhmälle; |
| c) | IICB:lle ehdotuksia suosituksiksi, jotka osoitetaan yksittäisille unionin toimijoille. |
Sovellettaessa ensimmäisen alakohdan a alakohtaa asianomainen unionin toimija ilmoittaa CERT-EU:lle ilman aiheetonta viivytystä toimintakehotuksen vastaanotettuaan siitä, miten kiireellisiä turvallisuustoimenpiteitä on sovellettu.
2. Ohjeisiin ja suosituksiin voi sisältyä
| a) | yhteisiä menetelmiä sekä malli, joiden avulla arvioidaan unionin toimijoiden kyberturvallisuuden kehitystasoa, mukaan lukien vastaavat asteikot tai keskeiset tulosindikaattorit, ja jotka toimivat vertailukohtana kyberturvallisuuden jatkuvan parantamisen tukemiseksi unionin toimijoiden keskuudessa ja helpottavat kyberturvallisuusalojen ja -toimenpiteiden priorisointia toimijoiden kyberturvallisuuden taso huomioon ottaen; |
| b) | järjestelyjä kyberturvallisuusriskien hallintaa ja kyberturvallisuusriskien hallintatoimenpiteitä varten tai parannuksia niihin; |
| c) | järjestelyjä kyberturvallisuuden kehitystason arviointeja ja kyberturvallisuussuunnitelmia varten; |
| d) | tapauksen mukaan yhteisen teknologian, arkkitehtuurin, avoimen lähdekoodin ja niihin liittyvien parhaiden käytäntöjen käyttö tavoitteena saavuttaa yhteentoimivuus ja yhteiset standardit, mukaan lukien toimitusketjun turvallisuutta koskeva koordinoitu toimintatapa; |
| e) | tapauksen mukaan tietoja, joilla helpotetaan yhteishankintavälineiden käyttöä asiaankuuluvien kyberturvallisuuspalvelujen ja -tuotteiden ostamiseksi ulkopuolisilta toimittajilta; |
| f) | tietojen jakamisjärjestelyjä 20 artiklan nojalla. |
17 artikla
CERT-EU:n yhteistyö jäsenvaltioiden vastaavaa tehtävää hoitavien elinten kanssa
1. CERT-EU tekee yhteistyötä ja vaihtaa tietoja ilman aiheetonta viivytystä jäsenvaltioiden vastaavaa tehtävää hoitavien elinten, erityisesti direktiivin (EU) 2022/2555 10 artiklan nojalla nimettyjen tai perustettujen CSIRT-yksiköiden tai tapauksen mukaan toimivaltaisten viranomaisten ja mainitun direktiivin 8 artiklan nojalla nimettyjen tai perustettujen keskitettyjen yhteyspisteiden, kanssa, kun on kyse poikkeamista, kyberuhkista, haavoittuvuuksista, läheltä piti -tilanteista, mahdollisista vastatoimista sekä parhaista käytännöistä ja kaikista asioista, joilla on merkitystä unionin toimijoiden TVT-ympäristöjen suojaamisen parantamisen kannalta, myös direktiivin (EU) 2022/2555 15 artiklan nojalla perustetun CSIRT-verkoston avulla. CERT-EU tukee komissiota direktiivin (EU) 2022/2555 16 artiklan nojalla perustetussa EU-CyCLONessa laajamittaisten kyberturvallisuuspoikkeamien ja -kriisien koordinoidussa hallinnassa.
2. Jos CERT-EU tulee tietoiseksi jäsenvaltion alueella esiintyvistä merkittävistä poikkeamista, se ilmoittaa asiasta 1 kohdan mukaisesti viipymättä mille tahansa asiaankuuluvalle kyseisen jäsenvaltion vastaavaa tehtävää hoitavalle elimelle.
3. Edellyttäen, että henkilötietoja suojataan sovellettavan unionin tietosuojalainsäädännön mukaisesti, CERT-EU vaihtaa ilman aiheetonta viivytystä jäsenvaltioiden vastaavaa tehtävää hoitavien elinten kanssa poikkeamakohtaisia tietoja, joilla on merkitystä vastaavien kyberuhkien tai poikkeamien havaitsemisen helpottamiseksi tai jonkin poikkeaman analysoinnissa auttamiseksi, ilman sen unionin toimijan lupaa, johon poikkeama vaikuttaa. CERT-EU vaihtaa poikkeamakohtaisia tietoja, joista paljastuu poikkeaman kohteen henkilöllisyys, vain jos jokin seuraavista tapahtuu:
| a) | unionin toimija, johon poikkeama vaikuttaa, antaa suostumuksensa; |
| b) | unionin toimija, johon poikkeama vaikuttaa, ei anna suostumustaan a alakohdassa säädetyllä tavalla mutta sen unionin toimijan henkilöllisyyden julkistaminen, johon poikkeama vaikuttaa, lisäisi todennäköisyyttä siitä, että poikkeamia vältettäisiin tai lievennettäisiin muualla; |
| c) | unionin toimija, johon poikkeama vaikuttaa, on jo ilmoittanut julkisesti, että poikkeama on vaikuttanut siihen. |
CERT-EU:n päällikön on hyväksyttävä ensimmäisen alakohdan b alakohdan nojalla tehtävät päätökset sellaisten poikkeamakohtaisten tietojen vaihtamisesta, joista paljastuu poikkeaman kohteen henkilöllisyys. Ennen tällaisen päätöksen antamista CERT-EU ottaa kirjallisesti yhteyttä unionin toimijaan, johon poikkeama vaikuttaa, ja selittää selkeästi, miten sen henkilöllisyyden julkistaminen auttaisi välttämään tai lieventämään poikkeamia muualla. CERT-EU:n päällikön on annettava selitys ja nimenomaisesti pyydettävä unionin toimijaa ilmoittamaan asetetussa määräajassa, antaako se suostumuksensa. CERT-EU:n päällikön on myös ilmoitettava unionin toimijalle, että annetun selityksen valossa hän pidättää oikeuden julkistaa tiedot suostumuksen puuttuessakin. Unionin toimijalle, johon poikkeama vaikuttaa, on ilmoitettava, ennen kuin tiedot julkistetaan.
20 artikla
Kyberturvallisuustietojen jakamisjärjestelyt
1. Unionin toimijat voivat vapaaehtoisesti ilmoittaa CERT-EU:lle ja antaa sille tietoja poikkeamista, kyberuhkista, läheltä piti -tilanteista ja haavoittuvuuksista, jotka vaikuttavat niihin. CERT-EU varmistaa, että saatavilla on tehokkaita viestintävälineitä, joissa varmistetaan jäljitettävyyden, luottamuksellisuuden ja luotettavuuden korkea taso, unionin toimijoiden kanssa toteutettavan tietojen jakamisen helpottamiseksi. Ilmoituksia käsitellessään CERT-EU voi asettaa etusijalle pakollisten ilmoitusten käsittelyn vapaaehtoisten ilmoitusten käsittelyyn nähden. Vapaaehtoinen ilmoittaminen ei saa johtaa sellaisten lisävelvoitteiden asettamiseen raportoivalle unionin toimijalle, joita siihen ei olisi sovellettu, jos se ei olisi antanut ilmoitusta, sanotun kuitenkaan rajoittamatta 12 artiklan soveltamista.
2. Suorittaakseen toimeksiantonsa ja tehtävänsä 13 artiklan nojalla CERT-EU voi pyytää unionin toimijoita antamaan sille tietoja niiden TVT-järjestelmien inventaareista, mukaan lukien tiedot kyberuhkista, läheltä piti -tilanteista, haavoittuvuuksista, vaarantumisindikaattoreista, kyberturvallisuushälytyksistä ja suosituksista, jotka koskevat poikkeamien havaitsemiseen käytettävien kyberturvallisuusvälineiden konfigurointia. Pyynnön kohteena oleva unionin toimija toimittaa pyydetyt tiedot ja niiden myöhemmät päivitykset ilman aiheetonta viivytystä.
3. CERT-EU voi vaihtaa unionin toimijoiden kanssa poikkeamakohtaisia tietoja, joista paljastuu sen unionin toimijan henkilöllisyys, johon poikkeama vaikuttaa, mutta ainoastaan unionin toimijan, johon poikkeama vaikuttaa, suostumuksella. Jos unionin toimija epää suostumuksensa, se antaa CERT-EU:lle perustelut tälle päätökselle.
4. Unionin toimijat jakavat pyynnöstä tietoja Euroopan parlamentin ja neuvoston kanssa kyberturvallisuussuunnitelmien valmistumisesta.
5. IICB tai tapauksen mukaan CERT-EU jakaa pyynnöstä ohjeita, suosituksia ja toimintakehotuksia Euroopan parlamentin ja neuvoston kanssa.
6. Tässä artiklassa säädetyt jakamisvelvoitteet eivät koske
| a) | EU:n turvallisuusluokiteltuja tietoja; |
| b) | tietoja, joiden edelleenjakelu on suljettu pois näkyvällä merkinnällä, paitsi jos niiden jakaminen CERT-EU:n kanssa on nimenomaisesti sallittu. |
21 artikla
Raportointivelvoitteet
1. Poikkeama katsotaan merkittäväksi, jos
| a) | se on aiheuttanut tai voi aiheuttaa asianomaisen unionin toimijan toiminnalle vakavan toimintahäiriön tai sille suuria taloudellisia tappioita; |
| b) | se on vaikuttanut tai voi vaikuttaa muihin luonnollisiin henkilöihin tai oikeushenkilöihin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa. |
2. Unionin toimijat toimittavat CERT-EU:lle
| a) | ilman aiheetonta viivytystä ja joka tapauksessa 24 tunnin kuluessa siitä, kun ne ovat tulleet tietoisiksi merkittävästä poikkeamasta, ennakkovaroituksen, jossa on tapauksen mukaan ilmoitettava, epäilläänkö merkittävän poikkeaman johtuvan lainvastaisista tai vihamielisistä teoista tai voiko sillä olla toimijoiden välisiä tai rajatylittäviä vaikutuksia; |
| b) | ilman aiheetonta viivytystä ja joka tapauksessa 72 tunnin kuluessa siitä, kun ne ovat tulleet tietoisiksi merkittävästä poikkeamasta, poikkeamailmoituksen, jossa on tapauksen mukaan ajantasaistettava a alakohdassa tarkoitetut tiedot ja esitettävä ensimmäinen arvio merkittävästä poikkeamasta, sen vakavuus ja vaikutukset mukaan lukien, sekä vaarantumisindikaattorit, jos sellaisia on saatavilla; |
| c) | CERT-EU:n pyynnöstä väliraportin asiaan liittyvistä tilannepäivityksistä; |
| d) | viimeistään kuukauden kuluttua b alakohdan mukaisen poikkeamailmoituksen toimittamisesta lopullisen raportin, joka sisältää seuraavat tiedot:
|
| e) | jos poikkeama on edelleen meneillään silloin, kun d alakohdassa tarkoitettu lopullinen raportti pitäisi toimittaa, edistymisraportti tuolloin ja lopullinen raportti kuukauden kuluessa siitä, kun ne ovat käsitelleet poikkeaman. |
3. Unionin toimija ilmoittaa ilman aiheetonta viivytystä ja joka tapauksessa 24 tunnin kuluessa siitä, kun se on tullut tietoiseksi merkittävästä poikkeamasta, asiaankuuluville 17 artiklan 1 kohdassa tarkoitetuille jäsenvaltioiden vastaavia tehtäviä hoitaville elimille siinä jäsenvaltiossa, jossa se sijaitsee, että on esiintynyt merkittävä poikkeama.
4. Unionin toimijat ilmoittavat muun muassa kaikki tiedot, joiden avulla CERT-EU voi määrittää mahdolliset toimijoiden väliset vaikutukset, vaikutukset isäntäjäsenvaltioon tai rajatylittävät vaikutukset merkittävän poikkeaman jälkeen. Ilmoittaminen ei itsessään lisää unionin toimijan vastuuta, sanotun kuitenkaan rajoittamatta 12 artiklan soveltamista.
5. Unionin toimijat tiedottavat soveltuvin osin ilman aiheetonta viivytystä niiden verkko- ja tietojärjestelmien, joihin merkittävä poikkeama tai merkittävä kyberuhka vaikuttaa, tai TVT-ympäristön muiden komponenttien käyttäjille, joihin poikkeama tai uhka saattaa vaikuttaa ja joiden on tapauksen mukaan tarpeen toteuttaa lieventäviä toimenpiteitä, kaikista toimenpiteistä tai korjaavista toimista, joita nämä voivat poikkeamaan tai kyseiseen uhkaan reagoimiseksi toteuttaa. Unionin toimijat tiedottavat tarvittaessa kyseisille käyttäjille merkittävästä kyberuhkasta itsestään.
6. Jos merkittävä poikkeama tai merkittävä kyberuhka vaikuttaa sellaiseen verkko- ja tietojärjestelmään tai unionin toimijan TVT-ympäristön sellaiseen komponenttiin, jonka tiedetään olevan yhteydessä toisen unionin toimijan TVT-ympäristöön, CERT-EU antaa asiaankuuluvan kyberturvallisuushälytyksen.
7. Unionin toimijat antavat CERT-EU:n pyynnöstä ilman aiheetonta viivytystä CERT-EU:lle niitä koskevissa poikkeamissa osallisina olleiden elektronisten laitteiden käytöllä luotuja digitaalisia tietoja. CERT-EU voi antaa yksityiskohtaisempia tietoja siitä, minkä tyyppisiä tietoja se tarvitsee tilannekuvan muodostamista ja poikkeamanhallintaa varten.
8. CERT-EU toimittaa IICB:lle, ENISAlle, EU INTCENille ja CSIRT-verkostolle kolmen kuukauden välein yhteenvetoraportin, joka sisältää anonymisoidut koontitiedot merkittävistä poikkeamista, poikkeamista, kyberuhkista, läheltä piti -tilanteista ja haavoittuvuuksista 20 artiklan nojalla sekä merkittävistä poikkeamista, joista on ilmoitettu tämän artiklan 2 kohdan nojalla. Yhteenvetoraportti otetaan huomioon direktiivin (EU) 2022/2555 18 artiklan nojalla joka toinen vuosi annettavassa kyberturvallisuuden tilaa unionissa käsittelevässä kertomuksessa.
9. IICB antaa 8 päivään heinäkuuta 2024 mennessä ohjeita tai suosituksia, joissa täsmennetään järjestelyt tämän artiklan nojalla tapahtuvaa raportointia varten sekä sen muoto ja sisältö. IICB ottaa tällaisia ohjeita tai suosituksia laatiessaan huomioon direktiivin (EU) 2022/2555 23 artiklan 11 kohdan nojalla hyväksytyt täytäntöönpanosäädökset, joissa täsmennetään tiedonannon tietosisältö, muoto ja ilmoitusmenettely. CERT-EU levittää asianmukaiset tekniset tiedot, jotta unionin toimijat voivat ennakoivasti havaita ongelmia, reagoida poikkeamiin tai toteuttaa lieventäviä toimenpiteitä.
10. Tässä artiklassa säädetyt raportointivelvoitteet eivät koske
| a) | EU:n turvallisuusluokiteltuja tietoja; |
| b) | tietoja, joiden edelleenjakelu on suljettu pois näkyvällä merkinnällä, paitsi jos niiden jakaminen CERT-EU:n kanssa on nimenomaisesti sallittu. |
22 artikla
Poikkeamanhallintaa koskeva koordinointi ja yhteistyö
1. Toimiessaan kyberturvallisuutta koskevan tietojenvaihdon ja poikkeamanhallinnan koordinointikeskuksena CERT-EU helpottaa poikkeamia, kyberuhkia, haavoittuvuuksia ja läheltä piti -tilanteita koskevaa tietojenvaihtoa seuraavien kesken:
| a) | unionin toimijat; |
| b) | 17 ja 18 artiklassa tarkoitetut vastaavaa tehtävää hoitavat elimet. |
2. CERT-EU helpottaa tarvittaessa tiiviissä yhteistyössä ENISAn kanssa poikkeamanhallintaa koskevaa koordinointia unionin toimijoiden kesken, mukaan lukien
| a) | osallistuminen johdonmukaiseen ulkoiseen viestintään; |
| b) | keskinäinen tuki, kuten unionin toimijoille merkityksellisten tietojen jakaminen tai avun antaminen, tapauksen mukaan suoraan paikan päällä |
| c) | operatiivisten resurssien optimaalinen käyttö; |
| d) | koordinointi muiden unionin tason kriisinhallintamekanismien kanssa. |
3. CERT-EU tukee tiiviissä yhteistyössä ENISAn kanssa unionin toimijoita poikkeamia, kyberuhkia, haavoittuvuuksia ja läheltä piti -tilanteita koskevan tilannetietoisuuden sekä kyberturvallisuuden alan merkityksellistä kehitystä koskevien tietojen jakamisen osalta.
4. IICB hyväksyy 8 päivään tammikuuta 2025 mennessä CERT-EU:n ehdotuksesta ohjeita tai suosituksia poikkeamanhallintaa koskevasta koordinoinnista ja yhteistyöstä merkittävien poikkeamien yhteydessä. Jos poikkeamaa epäillään rikokseksi, CERT-EU antaa ilman aiheetonta viivytystä neuvoja siitä, miten poikkeamasta ilmoitetaan lainvalvontaviranomaisille.
5. CERT-EU voi jäsenvaltion nimenomaisen pyynnön perusteella ja asianomaisten unionin toimijoiden hyväksynnän saatuaan pyytää asiantuntijoita 23 artiklan 4 kohdassa tarkoitetusta luettelosta osallistumaan sellaisen laajavaikutteisen poikkeaman hallintaan, jolla on vaikutusta tuossa jäsenvaltiossa, tai laajamittaisen kyberturvallisuuspoikkeaman hallintaan direktiivin (EU) 2022/2555 15 artiklan 3 kohdan g alakohdan mukaisesti. IICB hyväksyy CERT-EU:n ehdotuksesta erityissääntöjä, jotka koskevat unionin toimijoiden teknisten asiantuntijoiden saatavuutta ja käyttöä.
whereas