keyboard_tab Cyber Resilience Act 2023/2841 FI

1.   Kukin unionin toimija toteuttaa ilman aiheetonta viivytystä ja joka tapauksessa viimeistään 8 päivänä syyskuuta 2025 ylimmän johtonsa valvonnassa asianmukaisia ja oikeasuhteisia teknisiä, operatiivisia ja organisatorisia toimenpiteitä kehyksessä eriteltyjen kyberturvallisuusriskien hallitsemiseksi ja poikkeamien ehkäisemiseksi tai niiden vaikutusten minimoimiseksi. Kun otetaan huomioon viimeisin kehitys ja tapauksen mukaan asiaan liittyvät eurooppalaiset ja kansainväliset standardit, näillä toimenpiteillä on varmistettava, että koko TVT-ympäristön verkko- ja tietojärjestelmien turvallisuuden taso on oikeassa suhteessa kyberturvallisuusriskeihin. Näiden toimenpiteiden oikeasuhteisuutta arvioitaessa on otettava asianmukaisesti huomioon se, missä määrin unionin toimija altistuu kyberturvallisuusriskeille, toimijan koko sekä poikkeamien esiintymisen todennäköisyys ja niiden vakavuus, mukaan lukien niiden yhteiskunnalliset, taloudelliset ja toimielinten väliset vaikutukset.

2.   Unionin toimijat käsittelevät kyberturvallisuusriskien hallintatoimenpiteiden täytäntöönpanossa ainakin seuraavia osa-alueita:

a)	kyberturvallisuuspolitiikka, mukaan lukien 6 artiklassa ja tämän artiklan 3 kohdassa tarkoitettujen tavoitteiden ja painopisteiden saavuttamiseksi tarvittavat toimenpiteet;

b)	kyberturvallisuutta koskevia riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat;

c)	pilvipalvelujen käyttöä koskevat politiikkatavoitteet;

d)	tarvittaessa kyberturvallisuusauditointi, joka voi sisältää kyberturvallisuusriskien, haavoittuvuuksien ja kyberuhkien arvioinnin, sekä luotettavan yksityisen palveluntarjoajan säännöllisesti suorittama tunkeutumisenestotestaus;

e)	d alakohdassa tarkoitetuista kyberturvallisuusauditoinneista johtuvien suositusten täytäntöönpano kyberturvallisuuspäivitysten ja toimintaperiaatteiden päivitysten avulla;

f)	kyberturvallisuuden organisointi, mukaan lukien tehtävien ja vastuualueiden määrittäminen;

g)	resurssien hallinta, mukaan lukien TVT-resurssien inventointi ja TVT-verkkojen kartoitus;

h)	henkilöstöturvallisuus ja kulunvalvonta;

i)	operatiivinen turvallisuus;

j)	tietoliikenneturvallisuus;

k)	järjestelmien hankinta, kehittäminen ja ylläpito, mukaan lukien haavoittuvuuksien käsittelyä ja julkistamista koskevat toimintaperiaatteet;

l)	mahdollisuuksien mukaan lähdekoodin läpinäkyvyyttä koskevat toimintaperiaatteet;

m)	toimitusketjun turvallisuus, mukaan lukien kunkin unionin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat;

n)	poikkeamien käsittely ja yhteistyö CERT-EU:n kanssa, kuten turvallisuuden seurannan ja kirjaamisen ylläpito;

o)	toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta; ja

p)	kyberturvallisuuskoulutusta ja -taitoja, -tiedotusta ja -harjoituksia koskevien ohjelmien edistäminen ja kehittäminen.

Unionin toimijat ottavat ensimmäisen alakohdan m alakohdan tarkoituksia varten huomioon kullekin välittömälle toimittajalle ja palveluntarjoajalle ominaiset haavoittuvuudet, toimittajiensa ja palveluntarjoajiensa tuotteiden yleisen laadun sekä niiden kyberturvallisuuskäytännöt, mukaan lukien niiden tuotekehityksen suojausmenettelyt.

3.   Unionin toimijat toteuttavat ainakin seuraavat erityiset kyberturvallisuusriskien hallintatoimenpiteet:

a)	tekniset järjestelyt etätyön mahdollistamiseksi ja tukemiseksi;

b)	konkreettiset toimet nollaluottamuksen periaatteiden noudattamiseen siirtymiseksi;

c)	monivaiheisen tunnistuksen käyttö yleiskäytäntönä kaikissa verkko- ja tietojärjestelmissä;

d)	kryptografian ja salaustekniikoiden käyttö, mukaan lukien erityisesti päästä päähän -salaus, sekä suojattu digitaalinen allekirjoitus;

e)	tarvittaessa suojattu puhe-, video- ja tekstiviestintä sekä suojatut hätäviestintäjärjestelmät unionin toimijan toiminnassa;

f)	ennakoivat toimenpiteet haitta- ja vakoiluohjelmien havaitsemiseksi ja poistamiseksi;

g)	ohjelmistojen toimitusketjun turvallisuuden varmistaminen ohjelmistokehityksessä ja ohjelmistojen arvioinnissa sovellettavien turvallisuuskriteerien avulla;

h)

sellaisten kyberturvallisuutta koskevien koulutusohjelmien laatiminen ja käyttöönotto, jotka ovat oikeassa suhteessa unionin toimijan ylimmälle johdolle ja tämän asetuksen tehokkaan täytäntöönpanon varmistamisesta vastaaville henkilöstön jäsenille asetettuihin tehtäviin ja näiltä odotettuihin valmiuksiin;

i)	henkilöstön säännöllinen kyberturvallisuuskoulutus;

j)	tarvittaessa osallistuminen unionin toimijoiden välisten yhteyksien riskianalyyseihin;

k)

julkisia hankintoja koskevien sääntöjen parantaminen kyberturvallisuuden yhteisen korkean tason edistämiseksi seuraavien avulla: i) sellaisten sopimuksista johtuvien esteiden poistaminen, jotka rajoittavat TVT-palvelujen tarjoajien mahdollisuuksia jakaa tietoja poikkeamista, haavoittuvuuksista ja kyberuhkista CERT-EU:n kanssa; ii) sopimusehdot, jotka velvoittavat raportoimaan poikkeamista, haavoittuvuuksista ja kyberuhkista sekä huolehtimaan siitä, että käytössä ovat asianmukaiset mekanismit poikkeamanhallintaa ja seurantaa varten.

1.   IICB seuraa 10 artiklan 2 kohdan ja 11 artiklan nojalla tehokkaasti tämän asetuksen sekä hyväksyttyjen ohjeiden, suositusten ja toimintakehotusten täytäntöönpanoa unionin toimijoissa. IICB voi pyytää unionin toimijoilta tätä tarkoitusta varten tarvittavia tietoja tai asiakirjoja. Hyväksyttäessä vaatimusten noudattamista koskevia toimenpiteitä tämän artiklan nojalla asianomaisella unionin toimijalla ei ole äänioikeutta, jos kyseinen unionin toimija on suoraan edustettuna IICB:ssä.

2.   Jos IICB toteaa, että unionin toimija ei ole tehokkaasti pannut täytäntöön tätä asetusta tai sen nojalla annettuja ohjeita, suosituksia tai toimintakehotuksia, se voi, rajoittamatta asianomaisen unionin toimijan sisäisiä menettelyjä ja annettuaan asianomaiselle unionin toimijalle tilaisuuden esittää huomautuksensa,

a)	toimittaa asianomaiselle unionin toimijalle perustellun lausunnon, jossa esitetään tämän asetuksen täytäntöönpanossa havaitut puutteet;

b)	antaa CERT-EU:ta kuultuaan asianomaiselle unionin toimijalle ohjeita sen varmistamiseksi, että sen kehys, kyberturvallisuusriskien hallintatoimenpiteet, kyberturvallisuussuunnitelma ja raportointi ovat tämän asetuksen mukaisia tietyn määräajan kuluessa;

c)	antaa varoituksen, jonka mukaan yksilöityihin puutteisiin on puututtava tietyn määräajan kuluessa, mukaan lukien suositukset asianomaisen unionin toimijan tämän asetuksen nojalla hyväksymien toimenpiteiden muuttamiseksi;

d)	antaa asianomaiselle unionin toimijalle perustellun ilmoituksen siinä tapauksessa, että c alakohdan nojalla annetussa varoituksessa yksilöityihin puutteisiin ei ole riittävästi puututtu tietyn määräajan kuluessa;

e)	antaa i) suosituksen tarkastuksen toteuttamiseksi; tai ii) pyynnön, että jokin ulkopuolinen tarkastuspalvelu suorittaa tarkastuksen;

f)	ilmoittaa tapauksen mukaan tilintarkastustuomioistuimelle sen toimeksiannon piiriin kuuluvasta väitetystä vaatimusten noudattamatta jättämisestä;

g)	antaa suosituksen, että kaikki jäsenvaltiot ja unionin toimijat panevat täytäntöön asianomaiselle unionin toimijalle toimitettavien tietovirtojen väliaikaisen keskeyttämisen.

Sovellettaessa ensimmäisen alakohdan c alakohtaa varoituksen yleisö on rajattava asianmukaisesti, tarpeen mukaan pakottavaa kyberturvallisuusriskiä silmällä pitäen.

Ensimmäisen alakohdan nojalla annetut varoitukset ja suositukset on osoitettava asianomaisen unionin toimijan ylimmälle johdolle.

3.   Jos IICB on hyväksynyt toimenpiteitä 2 kohdan ensimmäisen alakohdan a–g alakohdan nojalla, asianomainen unionin toimija antaa yksityiskohtaiset tiedot IICB:n yksilöimien väitettyjen puutteiden korjaamiseksi toteutetuista toimenpiteistä ja toimista. Unionin toimija toimittaa nämä yksityiskohtaiset tiedot IICB:n kanssa sovittavan kohtuullisen määräajan kuluessa.

4.   Jos IICB katsoo, että unionin toimija rikkoo jatkuvasti tätä asetusta unionin virkamiehen tai muun henkilöstön jäsenen, myös ylimpään johtoon kuuluvan, toimien tai laiminlyöntien välittömänä seurauksena, IICB pyytää asianomaista unionin toimijaa toteuttamaan asianmukaisia toimia, muun muassa harkitsemaan kurinpitotoimien toteuttamista, henkilöstösäännöissä vahvistettujen sääntöjen ja menettelyjen sekä muiden sovellettavien sääntöjen ja menettelyjen mukaisesti. Tätä varten IICB välittää tarvittavat tiedot asianomaiselle unionin toimijalle.

5.   Jos unionin toimijat ilmoittavat, etteivät ne pysty noudattamaan 6 artiklan 1 kohdassa ja 8 artiklan 1 kohdassa säädettyjä määräaikoja, IICB voi asianmukaisesti perustelluissa tapauksissa toimijan koon huomioon ottaen antaa luvan kyseisten määräaikojen pidentämiseen.

1.   CERT-EU:n toimeksiantona on edistää unionin toimijoiden turvallisuusluokittelemattoman TVT-ympäristön turvallisuutta neuvomalla niitä kyberturvallisuusasioissa, auttamalla niitä ehkäisemään, havaitsemaan, käsittelemään ja lieventämään poikkeamia, reagoimaan niihin ja palautumaan niistä sekä toimimalla niiden kyberturvallisuutta koskevan tietojenvaihdon ja poikkeamanhallinnan koordinointikeskuksena.

2.   CERT-EU kerää, hallinnoi, analysoi ja jakaa unionin toimijoiden kanssa tietoja kyberuhkista, haavoittuvuuksista ja poikkeamista turvallisuusluokittelemattomassa TVT-infrastruktuurissa. Se koordinoi poikkeamiin liittyviä hallintatoimia toimielinten välisellä ja unionin toimijoiden tasolla, muun muassa tarjoamalla erikoistunutta operatiivista apua tai koordinoimalla sen tarjoamista.

3.   CERT-EU hoitaa seuraavia tehtäviä unionin toimijoiden avustamiseksi:

a)	se tukee niitä tämän asetuksen täytäntöönpanossa ja edistää tämän asetuksen täytäntöönpanon koordinointia 14 artiklan 1 kohdassa lueteltujen toimenpiteiden tai IICB:n pyytämien tapauskohtaisten raporttien kautta;

b)	se tarjoaa unionin toimijoille vakioituja CSIRT-palveluja palveluluettelossaan kuvattujen kyberturvallisuuspalvelujen paketin avulla (perustason palvelut);

c)	se ylläpitää vertais- ja kumppaniverkostoa 17 ja 18 artiklassa esitettyjen palvelujen tukemiseksi;

d)	se tuo IICB:n tietoon tämän asetuksen täytäntöönpanoon sekä ohjeiden, suositusten ja toimintakehotusten täytäntöönpanoon liittyviä ongelmia;

e)	se edistää 2 kohdassa tarkoitettujen tietojen pohjalta unionin kyberturvallisuuden tilannekuvan muodostamista tiiviissä yhteistyössä ENISAn kanssa;

f)	se koordinoi laajavaikutteisten poikkeamien hallintaa;

g)	se toimii unionin toimijoiden puolesta direktiivin (EU) 2022/2555 12 artiklan 1 kohdan nojalla koordinoitua haavoittuvuuksien julkistamista varten nimettyä koordinaattoria vastaavana tahona;

h)	se tarjoaa unionin toimijan pyynnöstä kyseisen unionin toimijan yleisesti saatavilla olevien verkko- ja tietojärjestelmien ennakoivaa, ei-intrusiivista skannausta.

Ensimmäisen alakohdan e alakohdassa tarkoitetut tiedot on soveltuvin osin ja tapauksen mukaan, jollei asianmukaisista salassapitoehdoista muuta johdu, jaettava IICB:n, CSIRT-verkoston ja Euroopan unionin tiedusteluanalyysikeskuksen (EU INTCEN) kanssa.

4.   CERT-EU voi tapauksen mukaan 17 tai 18 artiklan mukaisesti tehdä yhteistyötä asiaankuuluvien kyberturvallisuusyhteisöjen kanssa unionissa ja sen jäsenvaltioissa, myös seuraavilla aloilla:

a)	varautuminen, poikkeamien koordinointi, tietojenvaihto ja kriisinhallinta teknisellä tasolla unionin toimijoihin liittyvissä tapauksissa;

b)	CSIRT-verkostoa koskeva operatiivinen yhteistyö, myös keskinäisen avunannon osalta;

c)	kyberuhkatiedustelutieto, mukaan lukien tilannetietoisuus;

d)	mikä tahansa aihe, joka edellyttää CERT-EU:n teknistä kyberturvallisuusasiantuntemusta.

5.   CERT-EU tekee toimivaltansa puitteissa jäsenneltyä yhteistyötä ENISAn kanssa valmiuksien kehittämisen, operatiivisen yhteistyön ja kyberuhkista tehtävien pitkän aikavälin strategisten analyysien alalla asetuksen (EU) 2019/881 mukaisesti. CERT-EU voi tehdä yhteistyötä ja vaihtaa tietoja Europolin Euroopan kyberrikostorjuntakeskuksen kanssa.

6.   CERT-EU voi tarjota seuraavia, muita kuin sen palveluluettelossa kuvattuja palveluja (maksulliset palvelut):

a)

palvelut, joilla tuetaan unionin toimijoiden TVT-ympäristön kyberturvallisuutta, lukuun ottamatta 3 kohdassa tarkoitettuja palveluja, palvelutasosopimusten perusteella ja saatavilla olevien resurssien mukaan, erityisesti laaja-alainen verkkoseuranta, mukaan lukien erittäin vakavien kyberuhkien ensivaiheen ympärivuorokautinen seuranta;

b)	palvelut, joilla tuetaan unionin toimijoiden kyberturvallisuusoperaatioita tai -hankkeita, lukuun ottamatta operaatioita tai hankkeita niiden TVT-ympäristön suojaamiseksi, kirjallisten sopimusten perusteella ja IICB:n ennakkohyväksynnän pohjalta;

c)	asianomaisen unionin toimijan verkko- ja tietojärjestelmien ennakoiva skannaus pyynnöstä sellaisten haavoittuvuuksien havaitsemiseksi, joilla voi olla merkittävä vaikutus;

d)

palvelut, joilla tuetaan niiden TVT-ympäristön turvallisuutta, sellaisille muille organisaatioille kuin unionin toimijoille, jotka tekevät tiivistä yhteistyötä unionin toimijoiden kanssa esimerkiksi siksi, että niillä on unionin lainsäädännön nojalla siirrettyjä tehtäviä tai vastuita, kirjallisten sopimusten perusteella ja IICB:n ennakkohyväksynnän pohjalta.

Sovellettaessa ensimmäisen alakohdan d alakohtaa CERT-EU voi poikkeuksellisesti tehdä palvelutasosopimuksia muiden kuin unionin toimijoiden kanssa IICB:n ennakkohyväksynnän pohjalta.

7.   CERT-EU järjestää kyberturvallisuusharjoituksia ja voi osallistua niihin tai suosittelee osallistumista olemassa oleviin harjoituksiin, tapauksen mukaan tiiviissä yhteistyössä ENISAn kanssa, unionin toimijoiden kyberturvallisuuden tason testaamiseksi.

8.   CERT-EU voi tarjota unionin toimijoille apua sellaisissa verkko- ja tietojärjestelmissä esiintyvien poikkeamien osalta, joissa käsitellään EU:n turvallisuusluokiteltuja tietoja, jos asianomaiset unionin toimijat nimenomaisesti pyytävät sitä tekemään niin omien menettelyjensä mukaisesti. CERT-EU:n tämän kohdan nojalla tarjoaman avun tarjoaminen ei rajoita turvallisuusluokiteltujen tietojen suojaamista koskevien sovellettavien sääntöjen soveltamista.

9.   CERT-EU ilmoittaa unionin toimijoille poikkeamien käsittelyä koskevista menettelyistään ja prosesseistaan.

10.   CERT-EU tarjoaa asianmukaisten yhteistyömekanismien ja raportointisuhteiden kautta luottamuksellisuuden ja luotettavuuden korkean tason varmistaen asiaankuuluvia ja anonymisoituja tietoja laajavaikutteisista poikkeamista sekä tavasta, jolla ne on käsitelty. Nämä tiedot sisällytetään 10 artiklan 14 kohdassa tarkoitettuun raporttiin.

11.   CERT-EU tukee yhteistyössä EDPS:n kanssa asianomaisia unionin toimijoita puututtaessa henkilötietojen tietoturvaloukkauksiin johtaneisiin poikkeamiin, sanotun kuitenkaan rajoittamatta EDPS:n toimivaltaa ja tehtäviä valvontaviranomaisena asetuksen (EU) 2018/1725 nojalla.

12.   CERT-EU voi antaa teknistä neuvontaa tai lausuntoja asiaankuuluvista toimintapoliittisista kysymyksistä, jos unionin toimijoiden toimintapoliittiset osastot sitä nimenomaisesti pyytävät.

1.   CERT-EU tukee tämän asetuksen täytäntöönpanoa antamalla

a)	toimintakehotuksia, joissa kuvaillaan kiireellisiä turvallisuustoimenpiteitä, jotka unionin toimijoita kehotetaan toteuttamaan asetetussa määräajassa;

b)	IICB:lle ehdotuksia ohjeiksi, jotka osoitetaan kaikille unionin toimijoille tai niiden alaryhmälle;

c)	IICB:lle ehdotuksia suosituksiksi, jotka osoitetaan yksittäisille unionin toimijoille.

Sovellettaessa ensimmäisen alakohdan a alakohtaa asianomainen unionin toimija ilmoittaa CERT-EU:lle ilman aiheetonta viivytystä toimintakehotuksen vastaanotettuaan siitä, miten kiireellisiä turvallisuustoimenpiteitä on sovellettu.

2.   Ohjeisiin ja suosituksiin voi sisältyä

a)

yhteisiä menetelmiä sekä malli, joiden avulla arvioidaan unionin toimijoiden kyberturvallisuuden kehitystasoa, mukaan lukien vastaavat asteikot tai keskeiset tulosindikaattorit, ja jotka toimivat vertailukohtana kyberturvallisuuden jatkuvan parantamisen tukemiseksi unionin toimijoiden keskuudessa ja helpottavat kyberturvallisuusalojen ja -toimenpiteiden priorisointia toimijoiden kyberturvallisuuden taso huomioon ottaen;

b)	järjestelyjä kyberturvallisuusriskien hallintaa ja kyberturvallisuusriskien hallintatoimenpiteitä varten tai parannuksia niihin;

c)	järjestelyjä kyberturvallisuuden kehitystason arviointeja ja kyberturvallisuussuunnitelmia varten;

d)	tapauksen mukaan yhteisen teknologian, arkkitehtuurin, avoimen lähdekoodin ja niihin liittyvien parhaiden käytäntöjen käyttö tavoitteena saavuttaa yhteentoimivuus ja yhteiset standardit, mukaan lukien toimitusketjun turvallisuutta koskeva koordinoitu toimintatapa;

e)	tapauksen mukaan tietoja, joilla helpotetaan yhteishankintavälineiden käyttöä asiaankuuluvien kyberturvallisuuspalvelujen ja -tuotteiden ostamiseksi ulkopuolisilta toimittajilta;

f)	tietojen jakamisjärjestelyjä 20 artiklan nojalla.

1.   CERT-EU tekee yhteistyötä ja vaihtaa tietoja ilman aiheetonta viivytystä jäsenvaltioiden vastaavaa tehtävää hoitavien elinten, erityisesti direktiivin (EU) 2022/2555 10 artiklan nojalla nimettyjen tai perustettujen CSIRT-yksiköiden tai tapauksen mukaan toimivaltaisten viranomaisten ja mainitun direktiivin 8 artiklan nojalla nimettyjen tai perustettujen keskitettyjen yhteyspisteiden, kanssa, kun on kyse poikkeamista, kyberuhkista, haavoittuvuuksista, läheltä piti -tilanteista, mahdollisista vastatoimista sekä parhaista käytännöistä ja kaikista asioista, joilla on merkitystä unionin toimijoiden TVT-ympäristöjen suojaamisen parantamisen kannalta, myös direktiivin (EU) 2022/2555 15 artiklan nojalla perustetun CSIRT-verkoston avulla. CERT-EU tukee komissiota direktiivin (EU) 2022/2555 16 artiklan nojalla perustetussa EU-CyCLONessa laajamittaisten kyberturvallisuuspoikkeamien ja -kriisien koordinoidussa hallinnassa.

2.   Jos CERT-EU tulee tietoiseksi jäsenvaltion alueella esiintyvistä merkittävistä poikkeamista, se ilmoittaa asiasta 1 kohdan mukaisesti viipymättä mille tahansa asiaankuuluvalle kyseisen jäsenvaltion vastaavaa tehtävää hoitavalle elimelle.

3.   Edellyttäen, että henkilötietoja suojataan sovellettavan unionin tietosuojalainsäädännön mukaisesti, CERT-EU vaihtaa ilman aiheetonta viivytystä jäsenvaltioiden vastaavaa tehtävää hoitavien elinten kanssa poikkeamakohtaisia tietoja, joilla on merkitystä vastaavien kyberuhkien tai poikkeamien havaitsemisen helpottamiseksi tai jonkin poikkeaman analysoinnissa auttamiseksi, ilman sen unionin toimijan lupaa, johon poikkeama vaikuttaa. CERT-EU vaihtaa poikkeamakohtaisia tietoja, joista paljastuu poikkeaman kohteen henkilöllisyys, vain jos jokin seuraavista tapahtuu:

a)	unionin toimija, johon poikkeama vaikuttaa, antaa suostumuksensa;

b)	unionin toimija, johon poikkeama vaikuttaa, ei anna suostumustaan a alakohdassa säädetyllä tavalla mutta sen unionin toimijan henkilöllisyyden julkistaminen, johon poikkeama vaikuttaa, lisäisi todennäköisyyttä siitä, että poikkeamia vältettäisiin tai lievennettäisiin muualla;

c)	unionin toimija, johon poikkeama vaikuttaa, on jo ilmoittanut julkisesti, että poikkeama on vaikuttanut siihen.

CERT-EU:n päällikön on hyväksyttävä ensimmäisen alakohdan b alakohdan nojalla tehtävät päätökset sellaisten poikkeamakohtaisten tietojen vaihtamisesta, joista paljastuu poikkeaman kohteen henkilöllisyys. Ennen tällaisen päätöksen antamista CERT-EU ottaa kirjallisesti yhteyttä unionin toimijaan, johon poikkeama vaikuttaa, ja selittää selkeästi, miten sen henkilöllisyyden julkistaminen auttaisi välttämään tai lieventämään poikkeamia muualla. CERT-EU:n päällikön on annettava selitys ja nimenomaisesti pyydettävä unionin toimijaa ilmoittamaan asetetussa määräajassa, antaako se suostumuksensa. CERT-EU:n päällikön on myös ilmoitettava unionin toimijalle, että annetun selityksen valossa hän pidättää oikeuden julkistaa tiedot suostumuksen puuttuessakin. Unionin toimijalle, johon poikkeama vaikuttaa, on ilmoitettava, ennen kuin tiedot julkistetaan.

1.   Poikkeama katsotaan merkittäväksi, jos

a)	se on aiheuttanut tai voi aiheuttaa asianomaisen unionin toimijan toiminnalle vakavan toimintahäiriön tai sille suuria taloudellisia tappioita;

b)	se on vaikuttanut tai voi vaikuttaa muihin luonnollisiin henkilöihin tai oikeushenkilöihin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa.

2.   Unionin toimijat toimittavat CERT-EU:lle

a)

ilman aiheetonta viivytystä ja joka tapauksessa 24 tunnin kuluessa siitä, kun ne ovat tulleet tietoisiksi merkittävästä poikkeamasta, ennakkovaroituksen, jossa on tapauksen mukaan ilmoitettava, epäilläänkö merkittävän poikkeaman johtuvan lainvastaisista tai vihamielisistä teoista tai voiko sillä olla toimijoiden välisiä tai rajatylittäviä vaikutuksia;

b)

ilman aiheetonta viivytystä ja joka tapauksessa 72 tunnin kuluessa siitä, kun ne ovat tulleet tietoisiksi merkittävästä poikkeamasta, poikkeamailmoituksen, jossa on tapauksen mukaan ajantasaistettava a alakohdassa tarkoitetut tiedot ja esitettävä ensimmäinen arvio merkittävästä poikkeamasta, sen vakavuus ja vaikutukset mukaan lukien, sekä vaarantumisindikaattorit, jos sellaisia on saatavilla;

c)	CERT-EU:n pyynnöstä väliraportin asiaan liittyvistä tilannepäivityksistä;

d)

viimeistään kuukauden kuluttua b alakohdan mukaisen poikkeamailmoituksen toimittamisesta lopullisen raportin, joka sisältää seuraavat tiedot: i) yksityiskohtainen kuvaus poikkeamasta, sen vakavuus ja vaikutukset mukaan lukien; ii) poikkeaman todennäköisesti aiheuttaneen uhkan tai juurisyyn tyyppi; iii) toteutetut ja meneillään olevat toimenpiteet vaikutusten lieventämiseksi; iv) tapauksen mukaan poikkeaman rajatylittävät tai toimijoiden väliset vaikutukset;

e)	jos poikkeama on edelleen meneillään silloin, kun d alakohdassa tarkoitettu lopullinen raportti pitäisi toimittaa, edistymisraportti tuolloin ja lopullinen raportti kuukauden kuluessa siitä, kun ne ovat käsitelleet poikkeaman.

3.   Unionin toimija ilmoittaa ilman aiheetonta viivytystä ja joka tapauksessa 24 tunnin kuluessa siitä, kun se on tullut tietoiseksi merkittävästä poikkeamasta, asiaankuuluville 17 artiklan 1 kohdassa tarkoitetuille jäsenvaltioiden vastaavia tehtäviä hoitaville elimille siinä jäsenvaltiossa, jossa se sijaitsee, että on esiintynyt merkittävä poikkeama.

4.   Unionin toimijat ilmoittavat muun muassa kaikki tiedot, joiden avulla CERT-EU voi määrittää mahdolliset toimijoiden väliset vaikutukset, vaikutukset isäntäjäsenvaltioon tai rajatylittävät vaikutukset merkittävän poikkeaman jälkeen. Ilmoittaminen ei itsessään lisää unionin toimijan vastuuta, sanotun kuitenkaan rajoittamatta 12 artiklan soveltamista.

5.   Unionin toimijat tiedottavat soveltuvin osin ilman aiheetonta viivytystä niiden verkko- ja tietojärjestelmien, joihin merkittävä poikkeama tai merkittävä kyberuhka vaikuttaa, tai TVT-ympäristön muiden komponenttien käyttäjille, joihin poikkeama tai uhka saattaa vaikuttaa ja joiden on tapauksen mukaan tarpeen toteuttaa lieventäviä toimenpiteitä, kaikista toimenpiteistä tai korjaavista toimista, joita nämä voivat poikkeamaan tai kyseiseen uhkaan reagoimiseksi toteuttaa. Unionin toimijat tiedottavat tarvittaessa kyseisille käyttäjille merkittävästä kyberuhkasta itsestään.

6.   Jos merkittävä poikkeama tai merkittävä kyberuhka vaikuttaa sellaiseen verkko- ja tietojärjestelmään tai unionin toimijan TVT-ympäristön sellaiseen komponenttiin, jonka tiedetään olevan yhteydessä toisen unionin toimijan TVT-ympäristöön, CERT-EU antaa asiaankuuluvan kyberturvallisuushälytyksen.

7.   Unionin toimijat antavat CERT-EU:n pyynnöstä ilman aiheetonta viivytystä CERT-EU:lle niitä koskevissa poikkeamissa osallisina olleiden elektronisten laitteiden käytöllä luotuja digitaalisia tietoja. CERT-EU voi antaa yksityiskohtaisempia tietoja siitä, minkä tyyppisiä tietoja se tarvitsee tilannekuvan muodostamista ja poikkeamanhallintaa varten.

8.   CERT-EU toimittaa IICB:lle, ENISAlle, EU INTCENille ja CSIRT-verkostolle kolmen kuukauden välein yhteenvetoraportin, joka sisältää anonymisoidut koontitiedot merkittävistä poikkeamista, poikkeamista, kyberuhkista, läheltä piti -tilanteista ja haavoittuvuuksista 20 artiklan nojalla sekä merkittävistä poikkeamista, joista on ilmoitettu tämän artiklan 2 kohdan nojalla. Yhteenvetoraportti otetaan huomioon direktiivin (EU) 2022/2555 18 artiklan nojalla joka toinen vuosi annettavassa kyberturvallisuuden tilaa unionissa käsittelevässä kertomuksessa.

9.   IICB antaa 8 päivään heinäkuuta 2024 mennessä ohjeita tai suosituksia, joissa täsmennetään järjestelyt tämän artiklan nojalla tapahtuvaa raportointia varten sekä sen muoto ja sisältö. IICB ottaa tällaisia ohjeita tai suosituksia laatiessaan huomioon direktiivin (EU) 2022/2555 23 artiklan 11 kohdan nojalla hyväksytyt täytäntöönpanosäädökset, joissa täsmennetään tiedonannon tietosisältö, muoto ja ilmoitusmenettely. CERT-EU levittää asianmukaiset tekniset tiedot, jotta unionin toimijat voivat ennakoivasti havaita ongelmia, reagoida poikkeamiin tai toteuttaa lieventäviä toimenpiteitä.

10.   Tässä artiklassa säädetyt raportointivelvoitteet eivät koske

a)	EU:n turvallisuusluokiteltuja tietoja;

b)	tietoja, joiden edelleenjakelu on suljettu pois näkyvällä merkinnällä, paitsi jos niiden jakaminen CERT-EU:n kanssa on nimenomaisesti sallittu.

1.   Toimiessaan kyberturvallisuutta koskevan tietojenvaihdon ja poikkeamanhallinnan koordinointikeskuksena CERT-EU helpottaa poikkeamia, kyberuhkia, haavoittuvuuksia ja läheltä piti -tilanteita koskevaa tietojenvaihtoa seuraavien kesken:

a)	unionin toimijat;

b)	17 ja 18 artiklassa tarkoitetut vastaavaa tehtävää hoitavat elimet.

2.   CERT-EU helpottaa tarvittaessa tiiviissä yhteistyössä ENISAn kanssa poikkeamanhallintaa koskevaa koordinointia unionin toimijoiden kesken, mukaan lukien

a)	osallistuminen johdonmukaiseen ulkoiseen viestintään;

b)	keskinäinen tuki, kuten unionin toimijoille merkityksellisten tietojen jakaminen tai avun antaminen, tapauksen mukaan suoraan paikan päällä

c)	operatiivisten resurssien optimaalinen käyttö;

d)	koordinointi muiden unionin tason kriisinhallintamekanismien kanssa.

3.   CERT-EU tukee tiiviissä yhteistyössä ENISAn kanssa unionin toimijoita poikkeamia, kyberuhkia, haavoittuvuuksia ja läheltä piti -tilanteita koskevan tilannetietoisuuden sekä kyberturvallisuuden alan merkityksellistä kehitystä koskevien tietojen jakamisen osalta.

4.   IICB hyväksyy 8 päivään tammikuuta 2025 mennessä CERT-EU:n ehdotuksesta ohjeita tai suosituksia poikkeamanhallintaa koskevasta koordinoinnista ja yhteistyöstä merkittävien poikkeamien yhteydessä. Jos poikkeamaa epäillään rikokseksi, CERT-EU antaa ilman aiheetonta viivytystä neuvoja siitä, miten poikkeamasta ilmoitetaan lainvalvontaviranomaisille.

5.   CERT-EU voi jäsenvaltion nimenomaisen pyynnön perusteella ja asianomaisten unionin toimijoiden hyväksynnän saatuaan pyytää asiantuntijoita 23 artiklan 4 kohdassa tarkoitetusta luettelosta osallistumaan sellaisen laajavaikutteisen poikkeaman hallintaan, jolla on vaikutusta tuossa jäsenvaltiossa, tai laajamittaisen kyberturvallisuuspoikkeaman hallintaan direktiivin (EU) 2022/2555 15 artiklan 3 kohdan g alakohdan mukaisesti. IICB hyväksyy CERT-EU:n ehdotuksesta erityissääntöjä, jotka koskevat unionin toimijoiden teknisten asiantuntijoiden saatavuutta ja käyttöä.

1.   Tukeakseen operatiivisella tasolla unionin toimijoihin vaikuttavien laajavaikutteisten poikkeamien koordinoitua hallintaa ja edistääkseen asiaankuuluvien tietojen säännöllistä vaihtoa unionin toimijoiden kesken ja jäsenvaltioiden kanssa IICB laatii 11 artiklan q alakohdan nojalla kyberkriisinhallintasuunnitelman 22 artiklan 2 kohdassa tarkoitettujen toimien perusteella tiiviissä yhteistyössä CERT-EU:n ja ENISAn kanssa. Kyberkriisinhallintasuunnitelma sisältää vähintään seuraavat osatekijät:

a)	järjestelyt, jotka koskevat koordinointia ja tiedonkulkua unionin toimijoiden kesken laajavaikutteisten poikkeamien hallintaa varten operatiivisella tasolla;

b)	yhteiset vakiotoimintamenettelyt;

c)	yhteinen luokitus laajavaikutteisten poikkeamien vakavuutta ja kriisitilanteen kynnyspisteitä varten;

d)	säännölliset harjoitukset;

e)	suojatut viestintäkanavat, joita on tarkoitus käyttää.

2.   Jollei tämän artiklan 1 kohdan nojalla laaditusta kyberkriisinhallintasuunnitelmasta muuta johdu, komission edustaja IICB:ssä on yhteyspiste laajavaikutteisia poikkeamia koskevien asiaankuuluvien tietojen jakamiseksi EU-CyCLONen kanssa, sanotun kuitenkaan rajoittamatta direktiivin (EU) 2022/2555 16 artiklan 2 kohdan ensimmäisen alakohdan soveltamista.

3.   CERT-EU koordinoi laajavaikutteisten poikkeamien hallintaa unionin toimijoiden kesken. Se ylläpitää inventaaria saatavilla olevasta teknisestä asiantuntemuksesta, jota tarvittaisiin poikkeamanhallintaan laajavaikutteisten poikkeamien sattuessa, ja avustaa IICB:tä 9 artiklan 2 kohdassa tarkoitettujen, unionin toimijoiden laajavaikutteisia poikkeamia koskevien kyberkriisinhallintasuunnitelmien koordinoinnissa.

4.   Unionin toimijat osallistuvat teknisen asiantuntemuksen inventaariin toimittamalla vuosittain päivitetyn luettelon organisaatiossaan käytettävissä olevista asiantuntijoista ja heidän teknisestä erityisosaamisestaan.