keyboard_tab Cyber Resilience Act 2023/2841 FI
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 6 artikla Kyberturvallisuusriskien hallinta- ja valvontakehys
- 1 10 artikla Toimielinten välinen kyberturvallisuuslautakunta
- 1 12 artikla Vaatimusten noudattaminen
- 1 14 artikla Ohjeet, suositukset ja toimintakehotukset
I LUKU
YLEISET SÄÄNNÖKSET
II LUKU
TOIMENPITEET KYBERTURVALLISUUDEN YHTEISEN KORKEAN TASON VARMISTAMISEKSI
III LUKU
TOIMIELINTEN VÄLINEN KYBERTURVALLISUUSLAUTAKUNTA
IV LUKU
CERT-EU
V LUKU
YHTEISTYÖ- JA RAPORTOINTIVELVOITTEET
VI LUKU
LOPPUSÄÄNNÖKSET
- unionin 61
- toimijan 18
- tämän 17
- nojalla 17
- asetuksen 15
- euroopan 13
- mukaan 11
- toimija 11
- artiklan 11
- cert-eu:n 10
- kyberturvallisuuden 9
- iicb 9
- että 9
- antaa 8
- kyberturvallisuusriskien 8
- iicb 8
- sekä 8
- cert-eu:lle 7
- asianomaiselle 6
- kohdassa 6
- toimijalle 6
- lukien 6
- toimielinten 5
- komission 5
- tätä 5
- huomioon 5
- puheenjohtajan 5
- tehtävät 5
- täytäntöönpanoa 5
- artikla 5
- asianomaisen 5
- toimijoiden 5
- asianomainen 4
- alakohdan 4
- varten 4
- perustetun 4
- kaikki 4
- toimijoille 4
- jotka 4
- jos 4
- ja artiklan 4
- kohdan 4
- toimijat 4
- kuluessa 4
- määräajan 4
- mukaisesti 4
- työjärjestyksensä 4
- ensimmäisen 4
- joka 4
- säännöllisesti 4
6 artikla
Kyberturvallisuusriskien hallinta- ja valvontakehys
1. Kukin unionin toimija laatii 8 päivään huhtikuuta 2025 mennessä sisäisen kyberturvallisuusriskien hallinta- ja valvontakehyksen, jäljempänä ’kehys’, suoritettuaan kyberturvallisuuden alustavan arvioinnin, kuten auditoinnin. Kehyksen laatimista valvotaan unionin toimijan ylimmässä johdossa ja sen vastuulla.
2. Kehyksen on katettava asianomaisen unionin toimijan koko turvallisuusluokittelematon TVT-ympäristö, mukaan lukien sen tiloissa oleva TVT-ympäristö ja operatiivinen teknologiaverkko, pilvipalveluympäristöissä olevat tai kolmansien osapuolten ylläpitämät ulkoistetut resurssit ja palvelut, mobiililaitteet, yritysverkot, internetiin liittämättömät liiketoimintaverkot ja kaikki kyseisiin ympäristöihin liitetyt laitteet, jäljempänä ’TVT-ympäristö’. Kehyksen on perustuttava kaikki vaaratekijät huomioivaan toimintamalliin.
3. Kehyksellä on varmistettava kyberturvallisuuden korkea taso. Kehyksessä on vahvistettava verkko- ja tietojärjestelmien turvallisuutta koskevat sisäiset kyberturvallisuusperiaatteet, joihin sisältyy tavoitteita ja painopisteitä, sekä unionin toimijan tämän asetuksen tehokkaan täytäntöönpanon varmistamisesta vastaavan henkilöstön tehtävät ja vastuualueet. Kehykseen on sisällyttävä myös mekanismeja täytäntöönpanon tehokkuuden mittaamiseksi.
4. Kehystä on tarkasteltava uudelleen säännöllisesti muuttuvien kyberturvallisuusriskien valossa ja vähintään neljän vuoden välein. Unionin toimijan kehystä voidaan päivittää tarvittaessa ja 10 artiklan nojalla perustetun toimielinten välisen kyberturvallisuuslautakunnan pyynnöstä todettujen poikkeamien tai tämän asetuksen täytäntöönpanossa havaittujen mahdollisten puutteiden johdosta annetun CERT EU:n ohjeistuksen perusteella
5. Kunkin unionin toimijan ylin johto on vastuussa tämän asetuksen täytäntöönpanosta ja valvoo, että sen organisaatiossa noudatetaan kehykseen liittyviä velvoitteita.
6. Kunkin unionin toimijan ylin johto voi tarvittaessa siirtää kyseisen unionin toimijan henkilöstösääntöjen 29 artiklan 2 kohdassa tarkoitetuille johtaville virkamiehille tai muille vastaavantasoisille virkamiehille tämän asetuksen mukaisia erityisiä velvoitteita, sanotun kuitenkaan rajoittamatta sen vastuuta tämän asetuksen täytäntöönpanosta. Ylimmän johdon voidaan erityisen velvoitteen mahdollisesta siirtämisestä riippumatta katsoa olevan vastuussa siitä, että asianomainen unionin toimija rikkoo tätä asetusta.
7. Kullakin unionin toimijalla on oltava käytössä tehokkaat mekanismit sen varmistamiseksi, että riittävä prosenttiosuus TVT-menoista käytetään kyberturvallisuuteen. Kehys on otettava asianmukaisesti huomioon kyseistä prosenttiosuutta vahvistettaessa.
8. Kukin unionin toimija nimittää paikallisen kyberturvallisuusvastaavan tai vastaavan vastuuhenkilön, joka toimii sen keskitettynä yhteyspisteenä kyberturvallisuuden kaikissa näkökohdissa. Paikallinen kyberturvallisuusvastaava helpottaa tämän asetuksen täytäntöönpanoa ja raportoi säännöllisesti suoraan ylimmälle johdolle täytäntöönpanon tilanteesta. Unionin toimija voi siirtää tiettyjä tämän asetuksen täytäntöönpanoon liittyviä paikallisen kyberturvallisuusvastaavan tehtäviä CERT-EU:lle kyseisen unionin toimijan ja CERT-EU:n välisen palvelutasosopimuksen perusteella tai kyseiset tehtävät voidaan jakaa usean unionin toimijan kesken, sanotun kuitenkaan rajoittamatta paikallisen kyberturvallisuusvastaavan toimimista kunkin unionin toimijan keskitettynä yhteyspisteenä. Jos kyseisiä tehtäviä siirretään CERT-EU:lle, 10 artiklan nojalla perustettu toimielinten välinen kyberturvallisuuslautakunta päättää, onko kyseisen palvelun tarjoaminen osa CERT-EU:n perustason palveluja, ottaen huomioon asianomaisen unionin toimijan henkilöstö- ja rahoitusresurssit. Kukin unionin toimija ilmoittaa nimitetyt paikalliset kyberturvallisuusvastaavat ja heitä koskevat myöhemmin tehtävät muutokset CERT-EU:lle ilman aiheetonta viivytystä.
CERT-EU laatii luettelon nimitetyistä paikallisista kyberturvallisuusvastaavista ja pitää sen ajan tasalla.
9. Kunkin unionin toimijan henkilöstösääntöjen 29 artiklan 2 kohdassa tarkoitetut johtavat virkamiehet tai muut vastaavantasoiset virkamiehet sekä kaikki asianomaiset henkilöstön jäsenet, joiden tehtävänä on tässä asetuksessa säädettyjen kyberturvallisuusriskien hallintaa koskevien toimenpiteiden ja velvoitteiden täyttäminen, osallistuvat säännöllisesti erityiskoulutukseen riittävien tietojen ja taitojen hankkimiseksi, jotta he voivat ymmärtää ja arvioida kyberturvallisuusriskejä ja kyberturvallisuusriskien hallintakäytäntöjä sekä niiden vaikutusta unionin toimijan toimintoihin.
10 artikla
Toimielinten välinen kyberturvallisuuslautakunta
1. Perustetaan toimielinten välinen kyberturvallisuuslautakunta, jäljempänä ’IICB’.
2. IICB:n tehtävänä on
| a) | seurata ja tukea tämän asetuksen täytäntöönpanoa unionin toimijoissa; |
| b) | valvoa yleisten painopisteiden ja tavoitteiden täytäntöönpanoa CERT-EU:ssa ja antaa CERT-EU:lle strategista ohjausta. |
3. IICB koostuu seuraavista:
| a) | yksi edustaja, jonka kukin seuraavista on nimennyt:
|
| b) | kolme edustajaa, jotka EU:n virastojen verkosto (EUAN) on nimennyt TVT-alan neuvoa-antavan komiteansa ehdotuksesta edustamaan omaa TVT-ympäristöään käyttävien, muiden kuin a alakohdassa tarkoitettujen unionin elinten, toimistojen ja virastojen etuja. |
IICB:ssä edustettuina olevat unionin toimijat pyrkivät saavuttamaan sukupuolten tasapuolisen edustuksen nimettyjen edustajiensa keskuudessa.
4. IICB:n jäseniä voi avustaa sijainen. Puheenjohtaja voi kutsua muita 3 kohdassa tarkoitettujen unionin toimijoiden tai muiden unionin toimijoiden edustajia osallistumaan IICB:n kokouksiin ilman äänioikeutta.
5. CERT-EU:n päällikkö sekä direktiivin (EU) 2022/2555 14 artiklan nojalla perustetun yhteistyöryhmän, sen 15 artiklan nojalla perustetun CSIRT-verkoston ja sen 16 artiklan nojalla perustetun EU-CyCLONen puheenjohtajat tai heidän sijaisensa voivat osallistua IICB:n kokouksiin tarkkailijoina. IICB voi poikkeustapauksissa työjärjestyksensä mukaisesti päättää toisin.
6. IICB vahvistaa työjärjestyksensä.
7. IICB nimeää työjärjestyksensä mukaisesti jäsentensä keskuudesta puheenjohtajan kolmen vuoden ajaksi. Puheenjohtajan sijaisesta tulee IICB:n täysjäsen samaksi ajaksi.
8. IICB kokoontuu vähintään kolme kertaa vuodessa puheenjohtajansa aloitteesta, CERT-EU:n pyynnöstä tai minkä tahansa jäsenensä pyynnöstä.
9. Kullakin IICB:n jäsenellä on yksi ääni. IICB:n päätökset tehdään yksinkertaisella enemmistöllä, jollei tässä asetuksessa toisin säädetä. IICB:n puheenjohtajalla ei ole äänivaltaa, paitsi äänten mennessä tasan, jolloin puheenjohtajan ääni ratkaisee.
10. IICB voi toimia työjärjestyksensä mukaisesti käynnistettyä yksinkertaistettua kirjallista menettelyä noudattaen. Kyseisessä menettelyssä asianomainen päätös katsotaan hyväksytyksi puheenjohtajan asettamassa määräajassa, jollei joku jäsen esitä vastalausetta.
11. Komissio huolehtii IICB:n sihteeristön tehtävistä, ja sihteeristö on vastuuvelvollinen IICB:n puheenjohtajalle.
12. EUAN:n nimittämät edustajat välittävät IICB:n päätökset EUAN:n jäsenille. Millä tahansa EUAN:n jäsenellä on oikeus ottaa näiden edustajien tai IICB:n puheenjohtajan kanssa esille mikä tahansa asia, joka sen mielestä olisi saatettava IICB:n tietoon.
13. IICB voi perustaa toimeenpanevan komitean avustamaan sitä sen työssä ja siirtää komitealle joitakin tehtävistään ja valtuuksistaan. IICB vahvistaa toimeenpanevan komitean työjärjestyksen, mukaan lukien sen tehtävät ja valtuudet, sekä sen jäsenten toimikauden.
14. IICB toimittaa 8 päivään tammikuuta 2025 mennessä ja sen jälkeen vuosittain Euroopan parlamentille ja neuvostolle raportin, jossa kuvataan yksityiskohtaisesti tämän asetuksen täytäntöönpanossa tapahtunutta edistymistä ja täsmennetään erityisesti CERT-EU:n jäsenvaltioiden vastaavaa tehtävää hoitavien elinten kanssa kussakin jäsenvaltiossa tekemän yhteistyön laajuutta. Raportti otetaan huomioon direktiivin (EU) 2022/2555 18 artiklan nojalla joka toinen vuosi annettavassa kyberturvallisuuden tilaa unionissa käsittelevässä kertomuksessa.
12 artikla
Vaatimusten noudattaminen
1. IICB seuraa 10 artiklan 2 kohdan ja 11 artiklan nojalla tehokkaasti tämän asetuksen sekä hyväksyttyjen ohjeiden, suositusten ja toimintakehotusten täytäntöönpanoa unionin toimijoissa. IICB voi pyytää unionin toimijoilta tätä tarkoitusta varten tarvittavia tietoja tai asiakirjoja. Hyväksyttäessä vaatimusten noudattamista koskevia toimenpiteitä tämän artiklan nojalla asianomaisella unionin toimijalla ei ole äänioikeutta, jos kyseinen unionin toimija on suoraan edustettuna IICB:ssä.
2. Jos IICB toteaa, että unionin toimija ei ole tehokkaasti pannut täytäntöön tätä asetusta tai sen nojalla annettuja ohjeita, suosituksia tai toimintakehotuksia, se voi, rajoittamatta asianomaisen unionin toimijan sisäisiä menettelyjä ja annettuaan asianomaiselle unionin toimijalle tilaisuuden esittää huomautuksensa,
| a) | toimittaa asianomaiselle unionin toimijalle perustellun lausunnon, jossa esitetään tämän asetuksen täytäntöönpanossa havaitut puutteet; |
| b) | antaa CERT-EU:ta kuultuaan asianomaiselle unionin toimijalle ohjeita sen varmistamiseksi, että sen kehys, kyberturvallisuusriskien hallintatoimenpiteet, kyberturvallisuussuunnitelma ja raportointi ovat tämän asetuksen mukaisia tietyn määräajan kuluessa; |
| c) | antaa varoituksen, jonka mukaan yksilöityihin puutteisiin on puututtava tietyn määräajan kuluessa, mukaan lukien suositukset asianomaisen unionin toimijan tämän asetuksen nojalla hyväksymien toimenpiteiden muuttamiseksi; |
| d) | antaa asianomaiselle unionin toimijalle perustellun ilmoituksen siinä tapauksessa, että c alakohdan nojalla annetussa varoituksessa yksilöityihin puutteisiin ei ole riittävästi puututtu tietyn määräajan kuluessa; |
| e) | antaa
|
| f) | ilmoittaa tapauksen mukaan tilintarkastustuomioistuimelle sen toimeksiannon piiriin kuuluvasta väitetystä vaatimusten noudattamatta jättämisestä; |
| g) | antaa suosituksen, että kaikki jäsenvaltiot ja unionin toimijat panevat täytäntöön asianomaiselle unionin toimijalle toimitettavien tietovirtojen väliaikaisen keskeyttämisen. |
Sovellettaessa ensimmäisen alakohdan c alakohtaa varoituksen yleisö on rajattava asianmukaisesti, tarpeen mukaan pakottavaa kyberturvallisuusriskiä silmällä pitäen.
Ensimmäisen alakohdan nojalla annetut varoitukset ja suositukset on osoitettava asianomaisen unionin toimijan ylimmälle johdolle.
3. Jos IICB on hyväksynyt toimenpiteitä 2 kohdan ensimmäisen alakohdan a–g alakohdan nojalla, asianomainen unionin toimija antaa yksityiskohtaiset tiedot IICB:n yksilöimien väitettyjen puutteiden korjaamiseksi toteutetuista toimenpiteistä ja toimista. Unionin toimija toimittaa nämä yksityiskohtaiset tiedot IICB:n kanssa sovittavan kohtuullisen määräajan kuluessa.
4. Jos IICB katsoo, että unionin toimija rikkoo jatkuvasti tätä asetusta unionin virkamiehen tai muun henkilöstön jäsenen, myös ylimpään johtoon kuuluvan, toimien tai laiminlyöntien välittömänä seurauksena, IICB pyytää asianomaista unionin toimijaa toteuttamaan asianmukaisia toimia, muun muassa harkitsemaan kurinpitotoimien toteuttamista, henkilöstösäännöissä vahvistettujen sääntöjen ja menettelyjen sekä muiden sovellettavien sääntöjen ja menettelyjen mukaisesti. Tätä varten IICB välittää tarvittavat tiedot asianomaiselle unionin toimijalle.
5. Jos unionin toimijat ilmoittavat, etteivät ne pysty noudattamaan 6 artiklan 1 kohdassa ja 8 artiklan 1 kohdassa säädettyjä määräaikoja, IICB voi asianmukaisesti perustelluissa tapauksissa toimijan koon huomioon ottaen antaa luvan kyseisten määräaikojen pidentämiseen.
IV LUKU
CERT-EU
14 artikla
Ohjeet, suositukset ja toimintakehotukset
1. CERT-EU tukee tämän asetuksen täytäntöönpanoa antamalla
| a) | toimintakehotuksia, joissa kuvaillaan kiireellisiä turvallisuustoimenpiteitä, jotka unionin toimijoita kehotetaan toteuttamaan asetetussa määräajassa; |
| b) | IICB:lle ehdotuksia ohjeiksi, jotka osoitetaan kaikille unionin toimijoille tai niiden alaryhmälle; |
| c) | IICB:lle ehdotuksia suosituksiksi, jotka osoitetaan yksittäisille unionin toimijoille. |
Sovellettaessa ensimmäisen alakohdan a alakohtaa asianomainen unionin toimija ilmoittaa CERT-EU:lle ilman aiheetonta viivytystä toimintakehotuksen vastaanotettuaan siitä, miten kiireellisiä turvallisuustoimenpiteitä on sovellettu.
2. Ohjeisiin ja suosituksiin voi sisältyä
| a) | yhteisiä menetelmiä sekä malli, joiden avulla arvioidaan unionin toimijoiden kyberturvallisuuden kehitystasoa, mukaan lukien vastaavat asteikot tai keskeiset tulosindikaattorit, ja jotka toimivat vertailukohtana kyberturvallisuuden jatkuvan parantamisen tukemiseksi unionin toimijoiden keskuudessa ja helpottavat kyberturvallisuusalojen ja -toimenpiteiden priorisointia toimijoiden kyberturvallisuuden taso huomioon ottaen; |
| b) | järjestelyjä kyberturvallisuusriskien hallintaa ja kyberturvallisuusriskien hallintatoimenpiteitä varten tai parannuksia niihin; |
| c) | järjestelyjä kyberturvallisuuden kehitystason arviointeja ja kyberturvallisuussuunnitelmia varten; |
| d) | tapauksen mukaan yhteisen teknologian, arkkitehtuurin, avoimen lähdekoodin ja niihin liittyvien parhaiden käytäntöjen käyttö tavoitteena saavuttaa yhteentoimivuus ja yhteiset standardit, mukaan lukien toimitusketjun turvallisuutta koskeva koordinoitu toimintatapa; |
| e) | tapauksen mukaan tietoja, joilla helpotetaan yhteishankintavälineiden käyttöä asiaankuuluvien kyberturvallisuuspalvelujen ja -tuotteiden ostamiseksi ulkopuolisilta toimittajilta; |
| f) | tietojen jakamisjärjestelyjä 20 artiklan nojalla. |
16 artikla
Rahoitus- ja henkilöstöasiat
1. CERT-EU integroidaan komission jonkin pääosaston hallintorakenteeseen, jotta se voi hyötyä komission hallinnollisista, varainhoidon ja kirjanpidon tukirakenteista säilyttäen samalla asemansa itsenäisenä toimielinten välisenä palveluntarjoajana kaikille unionin toimijoille. Komissio ilmoittaa IICB:lle CERT-EU:n hallinnollisesta sijainnista ja sen mahdollisista muutoksista. Komissio tarkastelee uudelleen CERT-EU:hun liittyviä hallinnollisia järjestelyjä säännöllisesti ja joka tapauksessa ennen monivuotisen rahoituskehyksen vahvistamista Euroopan unionin toiminnasta tehdyn sopimuksen 312 artiklan nojalla, jotta on mahdollista toteuttaa asianmukaisia toimia. Uudelleentarkasteluun sisältyy mahdollisuus perustaa CERT-EU unionin toimistoksi.
2. Hallinto- ja rahoitusmenettelyjen soveltamiseksi CERT-EU:n päällikkö toimii komission alaisuudessa ja IICB:n valvonnassa.
3. CERT-EU:n tehtävät ja toimet, mukaan lukien CERT-EU:n 13 artiklan 3, 4, 5 ja 7 kohdan ja 14 artiklan 1 kohdan nojalla tarjoamat palvelut EU:n yleiseen hallintoon tarkoitetusta monivuotisen rahoituskehyksen otsakkeesta rahoitetuille unionin toimijoille, rahoitetaan komission talousarvion erillisestä budjettikohdasta. CERT-EU:lle varatut toimet esitetään komission henkilöstötaulukon alaviitteessä.
4. Muut kuin tämän artiklan 3 kohdassa tarkoitetut unionin toimijat suorittavat CERT-EU:lle vuotuisen rahoitusosuuden CERT-EU:n mainitun kohdan nojalla tarjoamien palvelujen kattamiseen. asianomainen rahoitusosuus perustuu IICB:n esittämiin linjauksiin, ja siitä sovitaan kunkin unionin toimijan ja CERT-EU:n välillä palvelutasosopimuksissa. Rahoitusosuuksien on vastattava kohtuullista ja oikeasuhteista osuutta suoritettujen palvelujen kokonaiskustannuksista. Ne osoitetaan tämän artiklan 3 kohdassa tarkoitettuun erilliseen budjettikohtaan asetuksen (EU, Euratom) 2018/1046 21 artiklan 3 kohdan c alakohdassa tarkoitettuina sisäisinä käyttötarkoitukseensa sidottuina tuloina.
5. Edellä 13 artiklan 6 kohdassa säädettyjen palvelujen kustannukset peritään CERT-EU:n palveluja vastaanottavilta unionin toimijoilta. Tulot kohdennetaan kustannuksia tukeviin budjettikohtiin.
whereas