keyboard_tab Cyber Resilience Act 2023/2841 FI
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 7 17 artikla CERT-EU:n yhteistyö jäsenvaltioiden vastaavaa tehtävää hoitavien elinten kanssa
- 1 18 artikla CERT-EU:n yhteistyö muiden vastaavaa tehtävää hoitavien elinten kanssa
- 2 20 artikla Kyberturvallisuustietojen jakamisjärjestelyt
I LUKU
YLEISET SÄÄNNÖKSET
II LUKU
TOIMENPITEET KYBERTURVALLISUUDEN YHTEISEN KORKEAN TASON VARMISTAMISEKSI
III LUKU
TOIMIELINTEN VÄLINEN KYBERTURVALLISUUSLAUTAKUNTA
IV LUKU
CERT-EU
V LUKU
YHTEISTYÖ- JA RAPORTOINTIVELVOITTEET
VI LUKU
LOPPUSÄÄNNÖKSET
- unionin 23
- kanssa 17
- tehtävää 15
- cert-eu 14
- vastaavaa 13
- poikkeama 11
- tietoja 11
- johon 10
- vaikuttaa 10
- hoitavien 7
- toimijan 7
- elinten 7
- että 6
- cert-eu:n 6
- nojalla 6
- mukaan 6
- toimijoiden 6
- vaihtaa 5
- kyberuhkista 5
- yhteistyötä 5
- toimija 5
- haavoittuvuuksista 5
- cert-eu 5
- läheltä 4
- antaa 4
- artiklan 4
- piti 4
- ilmoittaa 4
- tiedot 4
- direktiivin 4
- ilman 4
- jäsenvaltioiden 4
- -tilanteista 4
- poikkeaman 3
- poikkeamakohtaisia 3
- joista 3
- paljastuu 3
- mukaisesti 3
- asiasta 3
- artikla 3
- henkilöllisyys 3
- suostumuksensa 3
- mutta 3
- päällikön 3
- tietojen 3
- toimijalle 3
- kuin 3
- tehdä 3
- lukien 3
- kuten 3
17 artikla
CERT-EU:n yhteistyö jäsenvaltioiden vastaavaa tehtävää hoitavien elinten kanssa
1. CERT-EU tekee yhteistyötä ja vaihtaa tietoja ilman aiheetonta viivytystä jäsenvaltioiden vastaavaa tehtävää hoitavien elinten, erityisesti direktiivin (EU) 2022/2555 10 artiklan nojalla nimettyjen tai perustettujen CSIRT-yksiköiden tai tapauksen mukaan toimivaltaisten viranomaisten ja mainitun direktiivin 8 artiklan nojalla nimettyjen tai perustettujen keskitettyjen yhteyspisteiden, kanssa, kun on kyse poikkeamista, kyberuhkista, haavoittuvuuksista, läheltä piti -tilanteista, mahdollisista vastatoimista sekä parhaista käytännöistä ja kaikista asioista, joilla on merkitystä unionin toimijoiden TVT-ympäristöjen suojaamisen parantamisen kannalta, myös direktiivin (EU) 2022/2555 15 artiklan nojalla perustetun CSIRT-verkoston avulla. CERT-EU tukee komissiota direktiivin (EU) 2022/2555 16 artiklan nojalla perustetussa EU-CyCLONessa laajamittaisten kyberturvallisuuspoikkeamien ja -kriisien koordinoidussa hallinnassa.
2. Jos CERT-EU tulee tietoiseksi jäsenvaltion alueella esiintyvistä merkittävistä poikkeamista, se ilmoittaa asiasta 1 kohdan mukaisesti viipymättä mille tahansa asiaankuuluvalle kyseisen jäsenvaltion vastaavaa tehtävää hoitavalle elimelle.
3. Edellyttäen, että henkilötietoja suojataan sovellettavan unionin tietosuojalainsäädännön mukaisesti, CERT-EU vaihtaa ilman aiheetonta viivytystä jäsenvaltioiden vastaavaa tehtävää hoitavien elinten kanssa poikkeamakohtaisia tietoja, joilla on merkitystä vastaavien kyberuhkien tai poikkeamien havaitsemisen helpottamiseksi tai jonkin poikkeaman analysoinnissa auttamiseksi, ilman sen unionin toimijan lupaa, johon poikkeama vaikuttaa. CERT-EU vaihtaa poikkeamakohtaisia tietoja, joista paljastuu poikkeaman kohteen henkilöllisyys, vain jos jokin seuraavista tapahtuu:
| a) | unionin toimija, johon poikkeama vaikuttaa, antaa suostumuksensa; |
| b) | unionin toimija, johon poikkeama vaikuttaa, ei anna suostumustaan a alakohdassa säädetyllä tavalla mutta sen unionin toimijan henkilöllisyyden julkistaminen, johon poikkeama vaikuttaa, lisäisi todennäköisyyttä siitä, että poikkeamia vältettäisiin tai lievennettäisiin muualla; |
| c) | unionin toimija, johon poikkeama vaikuttaa, on jo ilmoittanut julkisesti, että poikkeama on vaikuttanut siihen. |
CERT-EU:n päällikön on hyväksyttävä ensimmäisen alakohdan b alakohdan nojalla tehtävät päätökset sellaisten poikkeamakohtaisten tietojen vaihtamisesta, joista paljastuu poikkeaman kohteen henkilöllisyys. Ennen tällaisen päätöksen antamista CERT-EU ottaa kirjallisesti yhteyttä unionin toimijaan, johon poikkeama vaikuttaa, ja selittää selkeästi, miten sen henkilöllisyyden julkistaminen auttaisi välttämään tai lieventämään poikkeamia muualla. CERT-EU:n päällikön on annettava selitys ja nimenomaisesti pyydettävä unionin toimijaa ilmoittamaan asetetussa määräajassa, antaako se suostumuksensa. CERT-EU:n päällikön on myös ilmoitettava unionin toimijalle, että annetun selityksen valossa hän pidättää oikeuden julkistaa tiedot suostumuksen puuttuessakin. Unionin toimijalle, johon poikkeama vaikuttaa, on ilmoitettava, ennen kuin tiedot julkistetaan.
18 artikla
CERT-EU:n yhteistyö muiden vastaavaa tehtävää hoitavien elinten kanssa
1. CERT-EU voi tehdä yhteistyötä sellaisten muiden kuin 17 artiklassa tarkoitettujen vastaavaa tehtävää unionissa hoitavien elinten kanssa, joihin sovelletaan unionin kyberturvallisuusvaatimuksia, mukaan lukien toimialakohtaiset vastaavaa tehtävää hoitavat elimet, siltä osin kuin on kyse välineistä ja menetelmistä, kuten tekniikoista, taktiikoista, menettelyistä ja parhaista käytännöistä, tai kyberuhkista ja haavoittuvuuksista. Kaikkea tällaisten vastaavaa tehtävää hoitavien elinten kanssa tehtävää yhteistyötä varten CERT-EU pyytää IICB:ltä ennakkohyväksynnän tapauskohtaisesti. Jos CERT-EU aloittaa yhteistyön tällaisten vastaavaa tehtävää hoitavien elinten kanssa, se ilmoittaa asiasta 17 artiklan 1 kohdassa tarkoitetuille asiaankuuluville jäsenvaltioiden vastaavaa tehtävää hoitaville elimille siinä jäsenvaltiossa, jossa vastaavaa tehtävää hoitava elin sijaitsee. Tällainen yhteistyö ja sen ehdot, myös kyberturvallisuuden, tietosuojan ja tietojen käsittelyn osalta, on soveltuvin osin ja tapauksen mukaan vahvistettava erityisissä salassapitojärjestelyissä, kuten sopimuksissa tai hallinnollisissa järjestelyissä. Salassapitojärjestelyt eivät edellytä IICB:n ennakkohyväksyntää, mutta niistä on ilmoitettava IICB:n puheenjohtajalle. Jos on kiireellinen ja välitön tarve vaihtaa kyberturvallisuustietoja unionin toimijoiden tai muun osapuolen etujen mukaisesti, CERT-EU voi tehdä näin jonkin sellaisen toimijan kanssa, jonka erityistä pätevyyttä, kykyä ja asiantuntemusta perustellusti vaaditaan tällaisessa kiireellisessä ja välittömässä tarpeessa avustamista varten, silloinkin, kun CERT-EU:lla ei ole käytössä salassapitojärjestelyä kyseisen toimijan kanssa. Tällaisissa tapauksissa CERT-EU ilmoittaa asiasta välittömästi IICB:n puheenjohtajalle ja raportoi IICB:lle säännöllisten raporttien tai kokousten avulla.
2. CERT-EU voi tehdä yhteistyötä kumppanien, kuten kaupallisten toimijoiden, mukaan lukien toimialakohtaiset toimijat, kansainvälisten järjestöjen, unionin ulkopuolisten kansallisten toimijoiden tai yksittäisten asiantuntijoiden, kanssa kerätäkseen tietoja yleisistä ja erityisistä kyberuhkista, läheltä piti -tilanteista, haavoittuvuuksista ja mahdollisista vastatoimista. Tällaisten kumppanien kanssa tehtävää laajempaa yhteistyötä varten CERT-EU pyytää IICB:ltä ennakkohyväksynnän tapauskohtaisesti.
3. CERT-EU voi sen unionin toimijan suostumuksella, johon poikkeama vaikuttaa, ja edellyttäen, että asiaankuuluvan vastaavaa tehtävää hoitavan elimen tai kumppanin kanssa on käytössä salassapitojärjestely tai -sopimus, antaa kyseiseen poikkeamaan liittyviä tietoja 1 ja 2 kohdassa tarkoitetuille vastaavaa tehtävää hoitaville elimille tai kumppaneille yksinomaan sen analysoinnissa auttamiseksi.
V LUKU
YHTEISTYÖ- JA RAPORTOINTIVELVOITTEET
20 artikla
Kyberturvallisuustietojen jakamisjärjestelyt
1. Unionin toimijat voivat vapaaehtoisesti ilmoittaa CERT-EU:lle ja antaa sille tietoja poikkeamista, kyberuhkista, läheltä piti -tilanteista ja haavoittuvuuksista, jotka vaikuttavat niihin. CERT-EU varmistaa, että saatavilla on tehokkaita viestintävälineitä, joissa varmistetaan jäljitettävyyden, luottamuksellisuuden ja luotettavuuden korkea taso, unionin toimijoiden kanssa toteutettavan tietojen jakamisen helpottamiseksi. Ilmoituksia käsitellessään CERT-EU voi asettaa etusijalle pakollisten ilmoitusten käsittelyn vapaaehtoisten ilmoitusten käsittelyyn nähden. Vapaaehtoinen ilmoittaminen ei saa johtaa sellaisten lisävelvoitteiden asettamiseen raportoivalle unionin toimijalle, joita siihen ei olisi sovellettu, jos se ei olisi antanut ilmoitusta, sanotun kuitenkaan rajoittamatta 12 artiklan soveltamista.
2. Suorittaakseen toimeksiantonsa ja tehtävänsä 13 artiklan nojalla CERT-EU voi pyytää unionin toimijoita antamaan sille tietoja niiden TVT-järjestelmien inventaareista, mukaan lukien tiedot kyberuhkista, läheltä piti -tilanteista, haavoittuvuuksista, vaarantumisindikaattoreista, kyberturvallisuushälytyksistä ja suosituksista, jotka koskevat poikkeamien havaitsemiseen käytettävien kyberturvallisuusvälineiden konfigurointia. Pyynnön kohteena oleva unionin toimija toimittaa pyydetyt tiedot ja niiden myöhemmät päivitykset ilman aiheetonta viivytystä.
3. CERT-EU voi vaihtaa unionin toimijoiden kanssa poikkeamakohtaisia tietoja, joista paljastuu sen unionin toimijan henkilöllisyys, johon poikkeama vaikuttaa, mutta ainoastaan unionin toimijan, johon poikkeama vaikuttaa, suostumuksella. Jos unionin toimija epää suostumuksensa, se antaa CERT-EU:lle perustelut tälle päätökselle.
4. Unionin toimijat jakavat pyynnöstä tietoja Euroopan parlamentin ja neuvoston kanssa kyberturvallisuussuunnitelmien valmistumisesta.
5. IICB tai tapauksen mukaan CERT-EU jakaa pyynnöstä ohjeita, suosituksia ja toimintakehotuksia Euroopan parlamentin ja neuvoston kanssa.
6. Tässä artiklassa säädetyt jakamisvelvoitteet eivät koske
| a) | EU:n turvallisuusluokiteltuja tietoja; |
| b) | tietoja, joiden edelleenjakelu on suljettu pois näkyvällä merkinnällä, paitsi jos niiden jakaminen CERT-EU:n kanssa on nimenomaisesti sallittu. |
whereas