keyboard_tab Cyber Resilience Act 2023/2841 FI
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 3 artikla Määritelmät
- 1 8 artikla Kyberturvallisuusriskien hallintatoimenpiteet
- 3 11 artikla IICB:n tehtävät
- 3 14 artikla Ohjeet, suositukset ja toimintakehotukset
- 1 15 artikla CERT-EU:n päällikkö
- 1 16 artikla Rahoitus- ja henkilöstöasiat
- 5 18 artikla CERT-EU:n yhteistyö muiden vastaavaa tehtävää hoitavien elinten kanssa
- 1 20 artikla Kyberturvallisuustietojen jakamisjärjestelyt
- 1 21 artikla Raportointivelvoitteet
- 1 23 artikla Laajavaikutteisten poikkeamien hallinta
I LUKU
YLEISET SÄÄNNÖKSET
II LUKU
TOIMENPITEET KYBERTURVALLISUUDEN YHTEISEN KORKEAN TASON VARMISTAMISEKSI
III LUKU
TOIMIELINTEN VÄLINEN KYBERTURVALLISUUSLAUTAKUNTA
IV LUKU
CERT-EU
V LUKU
YHTEISTYÖ- JA RAPORTOINTIVELVOITTEET
VI LUKU
LOPPUSÄÄNNÖKSET
- unionin 70
- cert-eu:n 41
- mukaan 32
- toimijoiden 23
- kanssa 21
- euroopan 21
- lukien 20
- sekä 19
- artiklan 19
- niiden 18
- direktiivin 17
- toimijan 17
- tietoja 16
- eu / artiklan 15
- cert-eu 15
- nojalla 15
- toimijat 14
- asetuksen 13
- kyberturvallisuuden 13
- joka 13
- neuvoston 12
- parlamentin 12
- poikkeamien 12
- alakohdassa 12
- määriteltyä 12
- tehtävää 12
- vastaavaa 11
- tämän 11
- varten 11
- hyväksyy 11
- artikla 11
- tapauksen 11
- päällikkö 10
- unionin 10
- koskevat 10
- huomioon 10
- jotka 10
- n:o / 10
- kyberturvallisuusriskien 9
- viivytystä 8
- cert-eu:lle 8
- poikkeama 8
- cert-eu 8
- aiheetonta 8
- komission 8
- ilman 8
- laajavaikutteisten 8
- koskevien 8
- antaa 8
- siitä 8
3 artikla
Määritelmät
Tässä asetuksessa tarkoitetaan:
| 1) | ’unionin toimijoilla’ Euroopan unionista tehdyllä sopimuksella, Euroopan unionin toiminnasta tehdyllä sopimuksella tai Euroopan atomienergiayhteisön perustamissopimuksella taikka niiden nojalla perustettuja unionin toimielimiä, elimiä, toimistoja ja virastoja; |
| 2) | ’verkko- ja tietojärjestelmällä’ direktiivin (EU) 2022/2555 6 artiklan 1 alakohdassa määriteltyä verkko- ja tietojärjestelmää; |
| 3) | ’verkko- ja tietojärjestelmien turvallisuudella’ direktiivin (EU) 2022/2555 6 artiklan 2 alakohdassa määriteltyä verkko- ja tietojärjestelmien turvallisuutta; |
| 4) | ’kyberturvallisuudella’ asetuksen (EU) 2019/881 2 artiklan 1 alakohdassa määriteltyä kyberturvallisuutta; |
| 5) | ’ylimmällä johdolla’ unionin toimijan toiminnasta vastaavaa kaikkein ylimpään johtotasoon kuuluvaa johtajaa, hallintoelintä tai koordinointi- ja valvontaelintä, jolla on valtuudet tehdä tai valtuuttaa tekemään päätöksiä kyseisen unionin toimijan korkean tason hallintojärjestelyjen mukaisesti, sanotun kuitenkaan rajoittamatta muiden hallintotasojen muodollisten vastuiden soveltamista vaatimusten noudattamisen ja kyberturvallisuusriskien hallinnan osalta niiden omilla vastuualueilla; |
| 6) | ’läheltä piti -tilanteella’ direktiivin (EU) 2022/2555 6 artiklan 5 alakohdassa määriteltyä läheltä piti -tilannetta; |
| 7) | ’poikkeamalla’ direktiivin (EU) 2022/2555 6 artiklan 6 alakohdassa määriteltyä poikkeamaa; |
| 8) | ’laajavaikutteisella poikkeamalla’ mitä tahansa poikkeamaa, joka aiheuttaa niin laajan häiriön, ettei unionin toimijalla ja CERT-EU:lla ole valmiuksia hallita sitä, tai jolla on merkittävä vaikutus vähintään kahteen unionin toimijaan; |
| 9) | ’laajamittaisella kyberturvallisuuspoikkeamalla’ direktiivin (EU) 2022/2555 6 artiklan 7 alakohdassa määriteltyä laajamittaista kyberturvallisuuspoikkeamaa; |
| 10) | ’poikkeaman käsittelyllä’ direktiivin (EU) 2022/2555 6 artiklan 8 alakohdassa määriteltyä poikkeaman käsittelyä; |
| 11) | ’kyberuhkalla’ asetuksen (EU) 2019/881 2 artiklan 8 alakohdassa määriteltyä kyberuhkaa; |
| 12) | ’merkittävällä kyberuhkalla’ direktiivin (EU) 2022/2555 6 artiklan 11 alakohdassa määriteltyä merkittävää kyberuhkaa; |
| 13) | ’haavoittuvuudella’ direktiivin (EU) 2022/2555 6 artiklan 15 alakohdassa määriteltyä haavoittuvuutta; |
| 14) | ’kyberturvallisuusriskillä’ direktiivin (EU) 2022/2555 6 artiklan 9 alakohdassa määriteltyä riskiä; |
| 15) | ’pilvipalvelulla’ direktiivin (EU) 2022/2555 6 artiklan 30 alakohdassa määriteltyä pilvipalvelua. |
8 artikla
Kyberturvallisuusriskien hallintatoimenpiteet
1. Kukin unionin toimija toteuttaa ilman aiheetonta viivytystä ja joka tapauksessa viimeistään 8 päivänä syyskuuta 2025 ylimmän johtonsa valvonnassa asianmukaisia ja oikeasuhteisia teknisiä, operatiivisia ja organisatorisia toimenpiteitä kehyksessä eriteltyjen kyberturvallisuusriskien hallitsemiseksi ja poikkeamien ehkäisemiseksi tai niiden vaikutusten minimoimiseksi. Kun otetaan huomioon viimeisin kehitys ja tapauksen mukaan asiaan liittyvät eurooppalaiset ja kansainväliset standardit, näillä toimenpiteillä on varmistettava, että koko TVT-ympäristön verkko- ja tietojärjestelmien turvallisuuden taso on oikeassa suhteessa kyberturvallisuusriskeihin. Näiden toimenpiteiden oikeasuhteisuutta arvioitaessa on otettava asianmukaisesti huomioon se, missä määrin unionin toimija altistuu kyberturvallisuusriskeille, toimijan koko sekä poikkeamien esiintymisen todennäköisyys ja niiden vakavuus, mukaan lukien niiden yhteiskunnalliset, taloudelliset ja toimielinten väliset vaikutukset.
2. Unionin toimijat käsittelevät kyberturvallisuusriskien hallintatoimenpiteiden täytäntöönpanossa ainakin seuraavia osa-alueita:
| a) | kyberturvallisuuspolitiikka, mukaan lukien 6 artiklassa ja tämän artiklan 3 kohdassa tarkoitettujen tavoitteiden ja painopisteiden saavuttamiseksi tarvittavat toimenpiteet; |
| b) | kyberturvallisuutta koskevia riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat; |
| c) | pilvipalvelujen käyttöä koskevat politiikkatavoitteet; |
| d) | tarvittaessa kyberturvallisuusauditointi, joka voi sisältää kyberturvallisuusriskien, haavoittuvuuksien ja kyberuhkien arvioinnin, sekä luotettavan yksityisen palveluntarjoajan säännöllisesti suorittama tunkeutumisenestotestaus; |
| e) | d alakohdassa tarkoitetuista kyberturvallisuusauditoinneista johtuvien suositusten täytäntöönpano kyberturvallisuuspäivitysten ja toimintaperiaatteiden päivitysten avulla; |
| f) | kyberturvallisuuden organisointi, mukaan lukien tehtävien ja vastuualueiden määrittäminen; |
| g) | resurssien hallinta, mukaan lukien TVT-resurssien inventointi ja TVT-verkkojen kartoitus; |
| h) | henkilöstöturvallisuus ja kulunvalvonta; |
| i) | operatiivinen turvallisuus; |
| j) | tietoliikenneturvallisuus; |
| k) | järjestelmien hankinta, kehittäminen ja ylläpito, mukaan lukien haavoittuvuuksien käsittelyä ja julkistamista koskevat toimintaperiaatteet; |
| l) | mahdollisuuksien mukaan lähdekoodin läpinäkyvyyttä koskevat toimintaperiaatteet; |
| m) | toimitusketjun turvallisuus, mukaan lukien kunkin unionin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat; |
| n) | poikkeamien käsittely ja yhteistyö CERT-EU:n kanssa, kuten turvallisuuden seurannan ja kirjaamisen ylläpito; |
| o) | toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta; ja |
| p) | kyberturvallisuuskoulutusta ja -taitoja, -tiedotusta ja -harjoituksia koskevien ohjelmien edistäminen ja kehittäminen. |
Unionin toimijat ottavat ensimmäisen alakohdan m alakohdan tarkoituksia varten huomioon kullekin välittömälle toimittajalle ja palveluntarjoajalle ominaiset haavoittuvuudet, toimittajiensa ja palveluntarjoajiensa tuotteiden yleisen laadun sekä niiden kyberturvallisuuskäytännöt, mukaan lukien niiden tuotekehityksen suojausmenettelyt.
3. Unionin toimijat toteuttavat ainakin seuraavat erityiset kyberturvallisuusriskien hallintatoimenpiteet:
| a) | tekniset järjestelyt etätyön mahdollistamiseksi ja tukemiseksi; |
| b) | konkreettiset toimet nollaluottamuksen periaatteiden noudattamiseen siirtymiseksi; |
| c) | monivaiheisen tunnistuksen käyttö yleiskäytäntönä kaikissa verkko- ja tietojärjestelmissä; |
| d) | kryptografian ja salaustekniikoiden käyttö, mukaan lukien erityisesti päästä päähän -salaus, sekä suojattu digitaalinen allekirjoitus; |
| e) | tarvittaessa suojattu puhe-, video- ja tekstiviestintä sekä suojatut hätäviestintäjärjestelmät unionin toimijan toiminnassa; |
| f) | ennakoivat toimenpiteet haitta- ja vakoiluohjelmien havaitsemiseksi ja poistamiseksi; |
| g) | ohjelmistojen toimitusketjun turvallisuuden varmistaminen ohjelmistokehityksessä ja ohjelmistojen arvioinnissa sovellettavien turvallisuuskriteerien avulla; |
| h) | sellaisten kyberturvallisuutta koskevien koulutusohjelmien laatiminen ja käyttöönotto, jotka ovat oikeassa suhteessa unionin toimijan ylimmälle johdolle ja tämän asetuksen tehokkaan täytäntöönpanon varmistamisesta vastaaville henkilöstön jäsenille asetettuihin tehtäviin ja näiltä odotettuihin valmiuksiin; |
| i) | henkilöstön säännöllinen kyberturvallisuuskoulutus; |
| j) | tarvittaessa osallistuminen unionin toimijoiden välisten yhteyksien riskianalyyseihin; |
| k) | julkisia hankintoja koskevien sääntöjen parantaminen kyberturvallisuuden yhteisen korkean tason edistämiseksi seuraavien avulla:
|
11 artikla
IICB:n tehtävät
Hoitaessaan tehtäviään IICB erityisesti
| a) | antaa CERT-EU:n päällikölle ohjausta; |
| b) | seuraa ja valvoo tehokkaasti tämän asetuksen täytäntöönpanoa ja tukee unionin toimijoita niiden kyberturvallisuuden vahvistamisessa, tapauksen mukaan myös pyytämällä tapauskohtaisia raportteja unionin toimijoilta ja CERT-EU:lta; |
| c) | hyväksyy strategisen keskustelun jälkeen monivuotisen strategian kyberturvallisuuden tason nostamisesta unionin toimijoissa, arvioi kyseistä strategiaa säännöllisesti ja joka tapauksessa viiden vuoden välein ja tarvittaessa muuttaa strategiaa; |
| d) | vahvistaa menetelmät ja organisatoriset näkökohdat unionin toimijoiden suorittamien vapaaehtoisten vertaisarviointien toteuttamiseksi, jotta voidaan oppia yhteisistä kokemuksista, lujittaa keskinäistä luottamusta ja saavuttaa kyberturvallisuuden yhteinen korkea taso sekä kehittää unionin toimijoiden kyberturvallisuusvalmiuksia, varmistaen, että tällaisia vertaisarviointeja suorittavat muun kuin arvioitavana olevan unionin toimijan nimeämät kyberturvallisuusasiantuntijat ja että menetelmät perustuvat direktiivin (EU) 2022/2555 19 artiklaan ja ne mukautetaan tapauksen mukaan unionin toimijoihin; |
| e) | hyväksyy CERT-EU:n päällikön ehdotuksesta CERT-EU:n vuotuisen työohjelman ja seuraa sen täytäntöönpanoa; |
| f) | hyväksyy CERT-EU:n päällikön ehdotuksesta CERT-EU:n palveluluettelon ja sen mahdolliset päivitykset; |
| g) | hyväksyy CERT-EU:n päällikön ehdotuksesta CERT-EU:n toimintaa koskevan vuotuisen rahoitussuunnitelman tuloista ja menoista, mukaan lukien henkilöstö; |
| h) | hyväksyy CERT-EU:n päällikön ehdotuksesta palvelutasosopimuksia koskevat järjestelyt; |
| i) | tarkastelee CERT-EU:n päällikön laatimaa vuosikertomusta, joka kattaa CERT-EU:n toiminnan ja varainhoidon, ja hyväksyy sen; |
| j) | hyväksyy CERT-EU:n päällikön ehdotuksesta vahvistetut CERT-EU:n keskeiset tulosindikaattorit ja seuraa niitä; |
| k) | hyväksyy yhteistyöjärjestelyt, palvelutasosopimukset tai sopimukset CERT-EU:n ja muiden toimijoiden välillä 18 artiklan nojalla; |
| l) | hyväksyy ohjeita ja suosituksia CERT-EU:n ehdotuksesta 14 artiklan mukaisesti ja ohjeistaa CERT-EU:ta antamaan ehdotuksen ohjeiksi tai suosituksiksi taikka toimintakehotuksen, peruuttamaan sen tai muuttamaan sitä; |
| m) | perustaa teknisiä neuvoa-antavia ryhmiä, joilla on erityistehtäviä, avustamaan IICB:tä sen työssä, hyväksyy niiden tehtävänmääritykset ja nimeää niiden puheenjohtajat; |
| n) | vastaanottaa ja arvioi unionin toimijoiden tämän asetuksen nojalla toimittamia asiakirjoja ja raportteja, kuten kyberturvallisuuden kehitystason arviointeja; |
| o) | helpottaa ENISAn tuella toimivan unionin toimijoiden paikallisten kyberturvallisuusvastaavien epävirallisen ryhmän perustamista tavoitteena vaihtaa parhaita käytäntöjä ja tietoja tämän asetuksen täytäntöönpanosta; |
| p) | seuraa CERT-EU:n antamat tunnistettuja kyberturvallisuusriskejä ja saatuja kokemuksia koskevat tiedot huomioon ottaen unionin toimijoiden TVT-ympäristöjen kesken tehtyjen yhteenliitäntäjärjestelyjen riittävyyttä ja antaa neuvoja mahdollisista parannuksista; |
| q) | laatii kyberkriisinhallintasuunnitelman, jotta voidaan tukea operatiivisella tasolla unionin toimijoihin vaikuttavien laajavaikutteisten poikkeamien koordinoitua hallintaa ja edistää asiaankuuluvien tietojen säännöllistä vaihtoa, erityisesti kun on kyse laajavaikutteisten poikkeamien vaikutuksista ja vakavuudesta sekä mahdollisista keinoista lieventää niiden vaikutuksia; |
| r) | koordinoi 9 artiklan 2 kohdassa tarkoitettujen yksittäisten unionin toimijoiden kyberkriisinhallintasuunnitelmien hyväksymistä; |
| s) | hyväksyy 8 artiklan 2 kohdan ensimmäisen alakohdan m alakohdassa tarkoitettuun toimitusketjun turvallisuuteen liittyviä suosituksia, ottaen huomioon direktiivin (EU) 2022/2555 22 artiklassa tarkoitettujen kriittisiä toimitusketjuja koskevien unionin tason koordinoitujen turvallisuusriskinarviointien tulokset, tukeakseen unionin toimijoita tehokkaiden ja oikeasuhteisten kyberturvallisuusriskien hallintatoimenpiteiden hyväksymisessä. |
14 artikla
Ohjeet, suositukset ja toimintakehotukset
1. CERT-EU tukee tämän asetuksen täytäntöönpanoa antamalla
| a) | toimintakehotuksia, joissa kuvaillaan kiireellisiä turvallisuustoimenpiteitä, jotka unionin toimijoita kehotetaan toteuttamaan asetetussa määräajassa; |
| b) | IICB:lle ehdotuksia ohjeiksi, jotka osoitetaan kaikille unionin toimijoille tai niiden alaryhmälle; |
| c) | IICB:lle ehdotuksia suosituksiksi, jotka osoitetaan yksittäisille unionin toimijoille. |
Sovellettaessa ensimmäisen alakohdan a alakohtaa asianomainen unionin toimija ilmoittaa CERT-EU:lle ilman aiheetonta viivytystä toimintakehotuksen vastaanotettuaan siitä, miten kiireellisiä turvallisuustoimenpiteitä on sovellettu.
2. Ohjeisiin ja suosituksiin voi sisältyä
| a) | yhteisiä menetelmiä sekä malli, joiden avulla arvioidaan unionin toimijoiden kyberturvallisuuden kehitystasoa, mukaan lukien vastaavat asteikot tai keskeiset tulosindikaattorit, ja jotka toimivat vertailukohtana kyberturvallisuuden jatkuvan parantamisen tukemiseksi unionin toimijoiden keskuudessa ja helpottavat kyberturvallisuusalojen ja -toimenpiteiden priorisointia toimijoiden kyberturvallisuuden taso huomioon ottaen; |
| b) | järjestelyjä kyberturvallisuusriskien hallintaa ja kyberturvallisuusriskien hallintatoimenpiteitä varten tai parannuksia niihin; |
| c) | järjestelyjä kyberturvallisuuden kehitystason arviointeja ja kyberturvallisuussuunnitelmia varten; |
| d) | tapauksen mukaan yhteisen teknologian, arkkitehtuurin, avoimen lähdekoodin ja niihin liittyvien parhaiden käytäntöjen käyttö tavoitteena saavuttaa yhteentoimivuus ja yhteiset standardit, mukaan lukien toimitusketjun turvallisuutta koskeva koordinoitu toimintatapa; |
| e) | tapauksen mukaan tietoja, joilla helpotetaan yhteishankintavälineiden käyttöä asiaankuuluvien kyberturvallisuuspalvelujen ja -tuotteiden ostamiseksi ulkopuolisilta toimittajilta; |
| f) | tietojen jakamisjärjestelyjä 20 artiklan nojalla. |
15 artikla
CERT-EU:n päällikkö
1. Komissio nimittää CERT-EU:n päällikön saatuaan IICB:n jäsenten kahden kolmasosan enemmistön hyväksynnän. IICB:tä kuullaan nimitysmenettelyn kaikissa vaiheissa, erityisesti tähän tehtävään liittyvien avoinna olevaa tointa koskevien ilmoitusten laatimisen, hakemusten tutkimisen ja valintalautakuntien nimittämisen osalta. Valintamenettelyssä, mukaan lukien lopullinen esivalintaluettelo ehdokkaista, joiden joukosta CERT-EU:n päällikkö on nimitettävä, on varmistettava kummankin sukupuolen tasapuolinen edustus ottaen huomioon jätetyt hakemukset.
2. CERT-EU:n päällikkö vastaa CERT-EU:n asianmukaisesta toiminnasta ja toimii roolinsa puitteissa ja IICB:n ohjauksessa. CERT-EU:n päällikkö raportoi säännöllisesti IICB:n puheenjohtajalle ja toimittaa IICB:lle tapauskohtaisia raportteja sen pyynnöstä.
3. CERT-EU:n päällikkö avustaa toimivaltaista valtuutettua tulojen ja menojen hyväksyjää laadittaessa Euroopan parlamentin ja neuvoston asetuksen (EU, Euratom) 2018/1046 (9) 74 artiklan 9 kohdan mukaisesti vuosittain toimintakertomus, joka sisältää taloutta ja hallinnointia koskevat tiedot, myös valvonnan tulokset, ja raportoi valtuutetulle tulojen ja menojen hyväksyjälle säännöllisesti niiden toimenpiteiden täytäntöönpanosta, joiden osalta CERT-EU:n päällikkö on saanut edelleenvaltuutuksen.
4. CERT-EU:n päällikkö laatii vuosittain sen toimintaa koskevan rahoitussuunnitelman hallinnollista tuloista ja menoista, ehdotetun vuotuisen työohjelman, CERT-EU:n ehdotetun palveluluettelon, ehdotetut palveluluettelon tarkistukset, ehdotetut palvelutasosopimuksia koskevat järjestelyt ja CERT-EU:n ehdotetut keskeiset tulosindikaattorit IICB:n hyväksyttäväksi 11 artiklan mukaisesti. Tarkistettaessa CERT-EU:n palveluluettelon palveluvalikoimaa CERT-EU:n päällikkö ottaa huomioon CERT-EU:lle osoitetut resurssit.
5. CERT-EU:n päällikkö toimittaa IICB:lle ja IICB:n puheenjohtajalle vähintään vuosittain raportteja CERT-EU:n toimista ja tuloksista viiteajanjakson aikana, muun muassa talousarvion toteuttamisesta, tehdyistä palvelutasosopimuksista ja kirjallisista sopimuksista, yhteistyöstä vastaavaa tehtävää hoitavien elinten ja kumppanien kanssa sekä henkilöstön tekemistä työmatkoista, mukaan lukien 11 artiklassa tarkoitetut raportit. Näihin raportteihin on sisällyttävä työohjelma seuraavaksi kaudeksi, rahoitussuunnitelma tuloista ja menoista, mukaan lukien henkilöstö, CERT-EU:n palveluluettelon suunnitellut päivitykset ja arvio odotetuista vaikutuksista, joita tällaisilla päivityksillä saattaa taloudellisten ja henkilöresurssien osalta olla.
16 artikla
Rahoitus- ja henkilöstöasiat
1. CERT-EU integroidaan komission jonkin pääosaston hallintorakenteeseen, jotta se voi hyötyä komission hallinnollisista, varainhoidon ja kirjanpidon tukirakenteista säilyttäen samalla asemansa itsenäisenä toimielinten välisenä palveluntarjoajana kaikille unionin toimijoille. Komissio ilmoittaa IICB:lle CERT-EU:n hallinnollisesta sijainnista ja sen mahdollisista muutoksista. Komissio tarkastelee uudelleen CERT-EU:hun liittyviä hallinnollisia järjestelyjä säännöllisesti ja joka tapauksessa ennen monivuotisen rahoituskehyksen vahvistamista Euroopan unionin toiminnasta tehdyn sopimuksen 312 artiklan nojalla, jotta on mahdollista toteuttaa asianmukaisia toimia. Uudelleentarkasteluun sisältyy mahdollisuus perustaa CERT-EU unionin toimistoksi.
2. Hallinto- ja rahoitusmenettelyjen soveltamiseksi CERT-EU:n päällikkö toimii komission alaisuudessa ja IICB:n valvonnassa.
3. CERT-EU:n tehtävät ja toimet, mukaan lukien CERT-EU:n 13 artiklan 3, 4, 5 ja 7 kohdan ja 14 artiklan 1 kohdan nojalla tarjoamat palvelut EU:n yleiseen hallintoon tarkoitetusta monivuotisen rahoituskehyksen otsakkeesta rahoitetuille unionin toimijoille, rahoitetaan komission talousarvion erillisestä budjettikohdasta. CERT-EU:lle varatut toimet esitetään komission henkilöstötaulukon alaviitteessä.
4. Muut kuin tämän artiklan 3 kohdassa tarkoitetut unionin toimijat suorittavat CERT-EU:lle vuotuisen rahoitusosuuden CERT-EU:n mainitun kohdan nojalla tarjoamien palvelujen kattamiseen. Asianomainen rahoitusosuus perustuu IICB:n esittämiin linjauksiin, ja siitä sovitaan kunkin unionin toimijan ja CERT-EU:n välillä palvelutasosopimuksissa. Rahoitusosuuksien on vastattava kohtuullista ja oikeasuhteista osuutta suoritettujen palvelujen kokonaiskustannuksista. Ne osoitetaan tämän artiklan 3 kohdassa tarkoitettuun erilliseen budjettikohtaan asetuksen (EU, Euratom) 2018/1046 21 artiklan 3 kohdan c alakohdassa tarkoitettuina sisäisinä käyttötarkoitukseensa sidottuina tuloina.
5. Edellä 13 artiklan 6 kohdassa säädettyjen palvelujen kustannukset peritään CERT-EU:n palveluja vastaanottavilta unionin toimijoilta. Tulot kohdennetaan kustannuksia tukeviin budjettikohtiin.
18 artikla
CERT-EU:n yhteistyö muiden vastaavaa tehtävää hoitavien elinten kanssa
1. CERT-EU voi tehdä yhteistyötä sellaisten muiden kuin 17 artiklassa tarkoitettujen vastaavaa tehtävää unionissa hoitavien elinten kanssa, joihin sovelletaan unionin kyberturvallisuusvaatimuksia, mukaan lukien toimialakohtaiset vastaavaa tehtävää hoitavat elimet, siltä osin kuin on kyse välineistä ja menetelmistä, kuten tekniikoista, taktiikoista, menettelyistä ja parhaista käytännöistä, tai kyberuhkista ja haavoittuvuuksista. Kaikkea tällaisten vastaavaa tehtävää hoitavien elinten kanssa tehtävää yhteistyötä varten CERT-EU pyytää IICB:ltä ennakkohyväksynnän tapauskohtaisesti. Jos CERT-EU aloittaa yhteistyön tällaisten vastaavaa tehtävää hoitavien elinten kanssa, se ilmoittaa asiasta 17 artiklan 1 kohdassa tarkoitetuille asiaankuuluville jäsenvaltioiden vastaavaa tehtävää hoitaville elimille siinä jäsenvaltiossa, jossa vastaavaa tehtävää hoitava elin sijaitsee. Tällainen yhteistyö ja sen ehdot, myös kyberturvallisuuden, tietosuojan ja tietojen käsittelyn osalta, on soveltuvin osin ja tapauksen mukaan vahvistettava erityisissä salassapitojärjestelyissä, kuten sopimuksissa tai hallinnollisissa järjestelyissä. Salassapitojärjestelyt eivät edellytä IICB:n ennakkohyväksyntää, mutta niistä on ilmoitettava IICB:n puheenjohtajalle. Jos on kiireellinen ja välitön tarve vaihtaa kyberturvallisuustietoja unionin toimijoiden tai muun osapuolen etujen mukaisesti, CERT-EU voi tehdä näin jonkin sellaisen toimijan kanssa, jonka erityistä pätevyyttä, kykyä ja asiantuntemusta perustellusti vaaditaan tällaisessa kiireellisessä ja välittömässä tarpeessa avustamista varten, silloinkin, kun CERT-EU:lla ei ole käytössä salassapitojärjestelyä kyseisen toimijan kanssa. Tällaisissa tapauksissa CERT-EU ilmoittaa asiasta välittömästi IICB:n puheenjohtajalle ja raportoi IICB:lle säännöllisten raporttien tai kokousten avulla.
2. CERT-EU voi tehdä yhteistyötä kumppanien, kuten kaupallisten toimijoiden, mukaan lukien toimialakohtaiset toimijat, kansainvälisten järjestöjen, unionin ulkopuolisten kansallisten toimijoiden tai yksittäisten asiantuntijoiden, kanssa kerätäkseen tietoja yleisistä ja erityisistä kyberuhkista, läheltä piti -tilanteista, haavoittuvuuksista ja mahdollisista vastatoimista. Tällaisten kumppanien kanssa tehtävää laajempaa yhteistyötä varten CERT-EU pyytää IICB:ltä ennakkohyväksynnän tapauskohtaisesti.
3. CERT-EU voi sen unionin toimijan suostumuksella, johon poikkeama vaikuttaa, ja edellyttäen, että asiaankuuluvan vastaavaa tehtävää hoitavan elimen tai kumppanin kanssa on käytössä salassapitojärjestely tai -sopimus, antaa kyseiseen poikkeamaan liittyviä tietoja 1 ja 2 kohdassa tarkoitetuille vastaavaa tehtävää hoitaville elimille tai kumppaneille yksinomaan sen analysoinnissa auttamiseksi.
V LUKU
YHTEISTYÖ- JA RAPORTOINTIVELVOITTEET
20 artikla
Kyberturvallisuustietojen jakamisjärjestelyt
1. Unionin toimijat voivat vapaaehtoisesti ilmoittaa CERT-EU:lle ja antaa sille tietoja poikkeamista, kyberuhkista, läheltä piti -tilanteista ja haavoittuvuuksista, jotka vaikuttavat niihin. CERT-EU varmistaa, että saatavilla on tehokkaita viestintävälineitä, joissa varmistetaan jäljitettävyyden, luottamuksellisuuden ja luotettavuuden korkea taso, unionin toimijoiden kanssa toteutettavan tietojen jakamisen helpottamiseksi. Ilmoituksia käsitellessään CERT-EU voi asettaa etusijalle pakollisten ilmoitusten käsittelyn vapaaehtoisten ilmoitusten käsittelyyn nähden. Vapaaehtoinen ilmoittaminen ei saa johtaa sellaisten lisävelvoitteiden asettamiseen raportoivalle unionin toimijalle, joita siihen ei olisi sovellettu, jos se ei olisi antanut ilmoitusta, sanotun kuitenkaan rajoittamatta 12 artiklan soveltamista.
2. Suorittaakseen toimeksiantonsa ja tehtävänsä 13 artiklan nojalla CERT-EU voi pyytää unionin toimijoita antamaan sille tietoja niiden TVT-järjestelmien inventaareista, mukaan lukien tiedot kyberuhkista, läheltä piti -tilanteista, haavoittuvuuksista, vaarantumisindikaattoreista, kyberturvallisuushälytyksistä ja suosituksista, jotka koskevat poikkeamien havaitsemiseen käytettävien kyberturvallisuusvälineiden konfigurointia. Pyynnön kohteena oleva unionin toimija toimittaa pyydetyt tiedot ja niiden myöhemmät päivitykset ilman aiheetonta viivytystä.
3. CERT-EU voi vaihtaa unionin toimijoiden kanssa poikkeamakohtaisia tietoja, joista paljastuu sen unionin toimijan henkilöllisyys, johon poikkeama vaikuttaa, mutta ainoastaan unionin toimijan, johon poikkeama vaikuttaa, suostumuksella. Jos unionin toimija epää suostumuksensa, se antaa CERT-EU:lle perustelut tälle päätökselle.
4. Unionin toimijat jakavat pyynnöstä tietoja Euroopan parlamentin ja neuvoston kanssa kyberturvallisuussuunnitelmien valmistumisesta.
5. IICB tai tapauksen mukaan CERT-EU jakaa pyynnöstä ohjeita, suosituksia ja toimintakehotuksia Euroopan parlamentin ja neuvoston kanssa.
6. Tässä artiklassa säädetyt jakamisvelvoitteet eivät koske
| a) | EU:n turvallisuusluokiteltuja tietoja; |
| b) | tietoja, joiden edelleenjakelu on suljettu pois näkyvällä merkinnällä, paitsi jos niiden jakaminen CERT-EU:n kanssa on nimenomaisesti sallittu. |
21 artikla
Raportointivelvoitteet
1. Poikkeama katsotaan merkittäväksi, jos
| a) | se on aiheuttanut tai voi aiheuttaa asianomaisen unionin toimijan toiminnalle vakavan toimintahäiriön tai sille suuria taloudellisia tappioita; |
| b) | se on vaikuttanut tai voi vaikuttaa muihin luonnollisiin henkilöihin tai oikeushenkilöihin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa. |
2. Unionin toimijat toimittavat CERT-EU:lle
| a) | ilman aiheetonta viivytystä ja joka tapauksessa 24 tunnin kuluessa siitä, kun ne ovat tulleet tietoisiksi merkittävästä poikkeamasta, ennakkovaroituksen, jossa on tapauksen mukaan ilmoitettava, epäilläänkö merkittävän poikkeaman johtuvan lainvastaisista tai vihamielisistä teoista tai voiko sillä olla toimijoiden välisiä tai rajatylittäviä vaikutuksia; |
| b) | ilman aiheetonta viivytystä ja joka tapauksessa 72 tunnin kuluessa siitä, kun ne ovat tulleet tietoisiksi merkittävästä poikkeamasta, poikkeamailmoituksen, jossa on tapauksen mukaan ajantasaistettava a alakohdassa tarkoitetut tiedot ja esitettävä ensimmäinen arvio merkittävästä poikkeamasta, sen vakavuus ja vaikutukset mukaan lukien, sekä vaarantumisindikaattorit, jos sellaisia on saatavilla; |
| c) | CERT-EU:n pyynnöstä väliraportin asiaan liittyvistä tilannepäivityksistä; |
| d) | viimeistään kuukauden kuluttua b alakohdan mukaisen poikkeamailmoituksen toimittamisesta lopullisen raportin, joka sisältää seuraavat tiedot:
|
| e) | jos poikkeama on edelleen meneillään silloin, kun d alakohdassa tarkoitettu lopullinen raportti pitäisi toimittaa, edistymisraportti tuolloin ja lopullinen raportti kuukauden kuluessa siitä, kun ne ovat käsitelleet poikkeaman. |
3. Unionin toimija ilmoittaa ilman aiheetonta viivytystä ja joka tapauksessa 24 tunnin kuluessa siitä, kun se on tullut tietoiseksi merkittävästä poikkeamasta, asiaankuuluville 17 artiklan 1 kohdassa tarkoitetuille jäsenvaltioiden vastaavia tehtäviä hoitaville elimille siinä jäsenvaltiossa, jossa se sijaitsee, että on esiintynyt merkittävä poikkeama.
4. Unionin toimijat ilmoittavat muun muassa kaikki tiedot, joiden avulla CERT-EU voi määrittää mahdolliset toimijoiden väliset vaikutukset, vaikutukset isäntäjäsenvaltioon tai rajatylittävät vaikutukset merkittävän poikkeaman jälkeen. Ilmoittaminen ei itsessään lisää unionin toimijan vastuuta, sanotun kuitenkaan rajoittamatta 12 artiklan soveltamista.
5. Unionin toimijat tiedottavat soveltuvin osin ilman aiheetonta viivytystä niiden verkko- ja tietojärjestelmien, joihin merkittävä poikkeama tai merkittävä kyberuhka vaikuttaa, tai TVT-ympäristön muiden komponenttien käyttäjille, joihin poikkeama tai uhka saattaa vaikuttaa ja joiden on tapauksen mukaan tarpeen toteuttaa lieventäviä toimenpiteitä, kaikista toimenpiteistä tai korjaavista toimista, joita nämä voivat poikkeamaan tai kyseiseen uhkaan reagoimiseksi toteuttaa. Unionin toimijat tiedottavat tarvittaessa kyseisille käyttäjille merkittävästä kyberuhkasta itsestään.
6. Jos merkittävä poikkeama tai merkittävä kyberuhka vaikuttaa sellaiseen verkko- ja tietojärjestelmään tai unionin toimijan TVT-ympäristön sellaiseen komponenttiin, jonka tiedetään olevan yhteydessä toisen unionin toimijan TVT-ympäristöön, CERT-EU antaa asiaankuuluvan kyberturvallisuushälytyksen.
7. Unionin toimijat antavat CERT-EU:n pyynnöstä ilman aiheetonta viivytystä CERT-EU:lle niitä koskevissa poikkeamissa osallisina olleiden elektronisten laitteiden käytöllä luotuja digitaalisia tietoja. CERT-EU voi antaa yksityiskohtaisempia tietoja siitä, minkä tyyppisiä tietoja se tarvitsee tilannekuvan muodostamista ja poikkeamanhallintaa varten.
8. CERT-EU toimittaa IICB:lle, ENISAlle, EU INTCENille ja CSIRT-verkostolle kolmen kuukauden välein yhteenvetoraportin, joka sisältää anonymisoidut koontitiedot merkittävistä poikkeamista, poikkeamista, kyberuhkista, läheltä piti -tilanteista ja haavoittuvuuksista 20 artiklan nojalla sekä merkittävistä poikkeamista, joista on ilmoitettu tämän artiklan 2 kohdan nojalla. Yhteenvetoraportti otetaan huomioon direktiivin (EU) 2022/2555 18 artiklan nojalla joka toinen vuosi annettavassa kyberturvallisuuden tilaa unionissa käsittelevässä kertomuksessa.
9. IICB antaa 8 päivään heinäkuuta 2024 mennessä ohjeita tai suosituksia, joissa täsmennetään järjestelyt tämän artiklan nojalla tapahtuvaa raportointia varten sekä sen muoto ja sisältö. IICB ottaa tällaisia ohjeita tai suosituksia laatiessaan huomioon direktiivin (EU) 2022/2555 23 artiklan 11 kohdan nojalla hyväksytyt täytäntöönpanosäädökset, joissa täsmennetään tiedonannon tietosisältö, muoto ja ilmoitusmenettely. CERT-EU levittää asianmukaiset tekniset tiedot, jotta unionin toimijat voivat ennakoivasti havaita ongelmia, reagoida poikkeamiin tai toteuttaa lieventäviä toimenpiteitä.
10. Tässä artiklassa säädetyt raportointivelvoitteet eivät koske
| a) | EU:n turvallisuusluokiteltuja tietoja; |
| b) | tietoja, joiden edelleenjakelu on suljettu pois näkyvällä merkinnällä, paitsi jos niiden jakaminen CERT-EU:n kanssa on nimenomaisesti sallittu. |
23 artikla
Laajavaikutteisten poikkeamien hallinta
1. Tukeakseen operatiivisella tasolla unionin toimijoihin vaikuttavien laajavaikutteisten poikkeamien koordinoitua hallintaa ja edistääkseen asiaankuuluvien tietojen säännöllistä vaihtoa unionin toimijoiden kesken ja jäsenvaltioiden kanssa IICB laatii 11 artiklan q alakohdan nojalla kyberkriisinhallintasuunnitelman 22 artiklan 2 kohdassa tarkoitettujen toimien perusteella tiiviissä yhteistyössä CERT-EU:n ja ENISAn kanssa. Kyberkriisinhallintasuunnitelma sisältää vähintään seuraavat osatekijät:
| a) | järjestelyt, jotka koskevat koordinointia ja tiedonkulkua unionin toimijoiden kesken laajavaikutteisten poikkeamien hallintaa varten operatiivisella tasolla; |
| b) | yhteiset vakiotoimintamenettelyt; |
| c) | yhteinen luokitus laajavaikutteisten poikkeamien vakavuutta ja kriisitilanteen kynnyspisteitä varten; |
| d) | säännölliset harjoitukset; |
| e) | suojatut viestintäkanavat, joita on tarkoitus käyttää. |
2. Jollei tämän artiklan 1 kohdan nojalla laaditusta kyberkriisinhallintasuunnitelmasta muuta johdu, komission edustaja IICB:ssä on yhteyspiste laajavaikutteisia poikkeamia koskevien asiaankuuluvien tietojen jakamiseksi EU-CyCLONen kanssa, sanotun kuitenkaan rajoittamatta direktiivin (EU) 2022/2555 16 artiklan 2 kohdan ensimmäisen alakohdan soveltamista.
3. CERT-EU koordinoi laajavaikutteisten poikkeamien hallintaa unionin toimijoiden kesken. Se ylläpitää inventaaria saatavilla olevasta teknisestä asiantuntemuksesta, jota tarvittaisiin poikkeamanhallintaan laajavaikutteisten poikkeamien sattuessa, ja avustaa IICB:tä 9 artiklan 2 kohdassa tarkoitettujen, unionin toimijoiden laajavaikutteisia poikkeamia koskevien kyberkriisinhallintasuunnitelmien koordinoinnissa.
4. Unionin toimijat osallistuvat teknisen asiantuntemuksen inventaariin toimittamalla vuosittain päivitetyn luettelon organisaatiossaan käytettävissä olevista asiantuntijoista ja heidän teknisestä erityisosaamisestaan.
VI LUKU
LOPPUSÄÄNNÖKSET
26 artikla
Voimaantulo
Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.
Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.
Tehty Strasbourgissa 13 päivänä joulukuuta 2023.
Euroopan parlamentin puolesta
Puhemies
R. METSOLA
Neuvoston puolesta
Puheenjohtaja
P. NAVARRO RÍOS
(1) Euroopan parlamentin kanta, vahvistettu 21. marraskuuta 2023 (ei vielä julkaistu virallisessa lehdessä), ja neuvoston päätös, tehty 8. joulukuuta 2023.
(2) Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2555, annettu 14 päivänä joulukuuta 2022, toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa, asetuksen (EU) N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 kumoamisesta (NIS 2 -direktiivi) (EUVL L 333, 27.12.2022, s. 80).
(3) Euroopan parlamentin ja neuvoston asetus (EU) 2019/881, annettu 17 päivänä huhtikuuta 2019, Euroopan unionin kyberturvallisuusvirasto ENISAsta ja tieto- ja viestintätekniikan kyberturvallisuussertifioinnista sekä asetuksen (EU) N:o 526/2013 kumoamisesta (kyberturvallisuusasetus) (EUVL L 151, 7.6.2019, s. 15).
(4) Euroopan parlamentin, Eurooppa-neuvoston, Euroopan unionin neuvoston, Euroopan komission, Euroopan unionin tuomioistuimen, Euroopan keskuspankin, Euroopan tilintarkastustuomioistuimen, Euroopan ulkosuhdehallinnon, Euroopan talous- ja sosiaalikomitean, Euroopan alueiden komitean ja Euroopan investointipankin välinen järjestely unionin toimielinten, elinten ja virastojen tietotekniikan kriisiryhmän (CERT-EU) organisaatiosta ja toiminnasta (EUVL C 12, 13.1.2018, s. 1).
(5) Neuvoston asetus (ETY, Euratom, EHTY) N:o 259/68, annettu 29 päivänä helmikuuta 1968, Euroopan yhteisöjen virkamiehiin sovellettavien henkilöstösääntöjen ja näiden yhteisöjen muuta henkilöstöä koskevien palvelussuhteen ehtojen vahvistamisesta sekä yhteisöjen virkamiehiin tilapäisesti sovellettavien erityisten toimenpiteiden laatimisesta (EYVL L 56, 4.3.1968, s. 1).
(6) Komission suositus (EU) 2017/1584, annettu 13 päivänä syyskuuta 2017, koordinoidusta reagoinnista laajamittaisiin kyberturvallisuuspoikkeamiin ja -kriiseihin (EUVL L 239, 19.9.2017, s. 36).
(7) Euroopan parlamentin ja neuvoston asetus (EU) 2018/1725, annettu 23 päivänä lokakuuta 2018, luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta (EUVL L 295, 21.11.2018, s. 39).
(8) EUVL C 258, 5.7.2022, s. 10.
(9) Euroopan parlamentin ja neuvoston asetus (EU, Euratom) 2018/1046, annettu 18 päivänä heinäkuuta 2018, unionin yleiseen talousarvioon sovellettavista varainhoitosäännöistä, asetusten (EU) N:o 1296/2013, (EU) N:o 1301/2013, (EU) N:o 1303/2013, (EU) N:o 1304/2013, (EU) N:o 1309/2013, (EU) N:o 1316/2013, (EU) N:o 223/2014, (EU) N:o 283/2014 ja päätöksen N:o 541/2014/EU muuttamisesta sekä asetuksen (EU, Euratom) N:o 966/2012 kumoamisesta (EUVL L 193, 30.7.2018, s. 1).
(10) Euroopan parlamentin ja neuvoston asetus (EY) N:o 1049/2001, annettu 30 päivänä toukokuuta 2001, Euroopan parlamentin, neuvoston ja komission asiakirjojen saamisesta yleisön tutustuttavaksi (EYVL L 145, 31.5.2001, s. 43).
ELI: http://data.europa.eu/eli/reg/2023/2841/oj
ISSN 1977-0812 (electronic edition)