keyboard_tab Cyber Resilience Act 2023/2841 FI
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 4 8 artikla Kyberturvallisuusriskien hallintatoimenpiteet
- 2 14 artikla Ohjeet, suositukset ja toimintakehotukset
- 1 16 artikla Rahoitus- ja henkilöstöasiat
- 2 22 artikla Poikkeamanhallintaa koskeva koordinointi ja yhteistyö
I LUKU
YLEISET SÄÄNNÖKSET
II LUKU
TOIMENPITEET KYBERTURVALLISUUDEN YHTEISEN KORKEAN TASON VARMISTAMISEKSI
III LUKU
TOIMIELINTEN VÄLINEN KYBERTURVALLISUUSLAUTAKUNTA
IV LUKU
CERT-EU
V LUKU
YHTEISTYÖ- JA RAPORTOINTIVELVOITTEET
VI LUKU
LOPPUSÄÄNNÖKSET
- unionin 27
- mukaan 17
- lukien 12
- cert-eu:n 10
- sekä 9
- jotka 8
- kyberturvallisuuden 7
- kyberturvallisuusriskien 7
- toimijoiden 7
- niiden 6
- toimijan 5
- komission 5
- koskevat 5
- kanssa 5
- kohdassa 5
- artiklan 5
- tämän 5
- cert-eu 5
- toimijat 5
- toimijoille 5
- tapauksen 4
- tarvittaessa 4
- huomioon 4
- poikkeamien 4
- koskevien 4
- varten 4
- siitä 4
- käyttö 4
- poikkeamanhallintaa 4
- nojalla 4
- järjestelyjä 3
- cert-eu:lle 3
- osoitetaan 3
- tietojen 3
- artiklan 3
- kyberturvallisuutta 3
- alakohdan 3
- turvallisuuden 3
- käyttöä 3
- cert-eu 3
- kohdan 3
- avulla 3
- toimitusketjun 3
- toimet 3
- palvelujen 3
- asetuksen 3
- artikla 3
- ilman 3
- toimija 3
- aiheetonta 3
8 artikla
Kyberturvallisuusriskien hallintatoimenpiteet
1. Kukin unionin toimija toteuttaa ilman aiheetonta viivytystä ja joka tapauksessa viimeistään 8 päivänä syyskuuta 2025 ylimmän johtonsa valvonnassa asianmukaisia ja oikeasuhteisia teknisiä, operatiivisia ja organisatorisia toimenpiteitä kehyksessä eriteltyjen kyberturvallisuusriskien hallitsemiseksi ja poikkeamien ehkäisemiseksi tai niiden vaikutusten minimoimiseksi. Kun otetaan huomioon viimeisin kehitys ja tapauksen mukaan asiaan liittyvät eurooppalaiset ja kansainväliset standardit, näillä toimenpiteillä on varmistettava, että koko TVT-ympäristön verkko- ja tietojärjestelmien turvallisuuden taso on oikeassa suhteessa kyberturvallisuusriskeihin. Näiden toimenpiteiden oikeasuhteisuutta arvioitaessa on otettava asianmukaisesti huomioon se, missä määrin unionin toimija altistuu kyberturvallisuusriskeille, toimijan koko sekä poikkeamien esiintymisen todennäköisyys ja niiden vakavuus, mukaan lukien niiden yhteiskunnalliset, taloudelliset ja toimielinten väliset vaikutukset.
2. Unionin toimijat käsittelevät kyberturvallisuusriskien hallintatoimenpiteiden täytäntöönpanossa ainakin seuraavia osa-alueita:
| a) | kyberturvallisuuspolitiikka, mukaan lukien 6 artiklassa ja tämän artiklan 3 kohdassa tarkoitettujen tavoitteiden ja painopisteiden saavuttamiseksi tarvittavat toimenpiteet; |
| b) | kyberturvallisuutta koskevia riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat; |
| c) | pilvipalvelujen käyttöä koskevat politiikkatavoitteet; |
| d) | tarvittaessa kyberturvallisuusauditointi, joka voi sisältää kyberturvallisuusriskien, haavoittuvuuksien ja kyberuhkien arvioinnin, sekä luotettavan yksityisen palveluntarjoajan säännöllisesti suorittama tunkeutumisenestotestaus; |
| e) | d alakohdassa tarkoitetuista kyberturvallisuusauditoinneista johtuvien suositusten täytäntöönpano kyberturvallisuuspäivitysten ja toimintaperiaatteiden päivitysten avulla; |
| f) | kyberturvallisuuden organisointi, mukaan lukien tehtävien ja vastuualueiden määrittäminen; |
| g) | resurssien hallinta, mukaan lukien TVT-resurssien inventointi ja TVT-verkkojen kartoitus; |
| h) | henkilöstöturvallisuus ja kulunvalvonta; |
| i) | operatiivinen turvallisuus; |
| j) | tietoliikenneturvallisuus; |
| k) | järjestelmien hankinta, kehittäminen ja ylläpito, mukaan lukien haavoittuvuuksien käsittelyä ja julkistamista koskevat toimintaperiaatteet; |
| l) | mahdollisuuksien mukaan lähdekoodin läpinäkyvyyttä koskevat toimintaperiaatteet; |
| m) | toimitusketjun turvallisuus, mukaan lukien kunkin unionin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat; |
| n) | poikkeamien käsittely ja yhteistyö CERT-EU:n kanssa, kuten turvallisuuden seurannan ja kirjaamisen ylläpito; |
| o) | toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta; ja |
| p) | kyberturvallisuuskoulutusta ja -taitoja, -tiedotusta ja -harjoituksia koskevien ohjelmien edistäminen ja kehittäminen. |
Unionin toimijat ottavat ensimmäisen alakohdan m alakohdan tarkoituksia varten huomioon kullekin välittömälle toimittajalle ja palveluntarjoajalle ominaiset haavoittuvuudet, toimittajiensa ja palveluntarjoajiensa tuotteiden yleisen laadun sekä niiden kyberturvallisuuskäytännöt, mukaan lukien niiden tuotekehityksen suojausmenettelyt.
3. Unionin toimijat toteuttavat ainakin seuraavat erityiset kyberturvallisuusriskien hallintatoimenpiteet:
| a) | tekniset järjestelyt etätyön mahdollistamiseksi ja tukemiseksi; |
| b) | konkreettiset toimet nollaluottamuksen periaatteiden noudattamiseen siirtymiseksi; |
| c) | monivaiheisen tunnistuksen käyttö yleiskäytäntönä kaikissa verkko- ja tietojärjestelmissä; |
| d) | kryptografian ja salaustekniikoiden käyttö, mukaan lukien erityisesti päästä päähän -salaus, sekä suojattu digitaalinen allekirjoitus; |
| e) | tarvittaessa suojattu puhe-, video- ja tekstiviestintä sekä suojatut hätäviestintäjärjestelmät unionin toimijan toiminnassa; |
| f) | ennakoivat toimenpiteet haitta- ja vakoiluohjelmien havaitsemiseksi ja poistamiseksi; |
| g) | ohjelmistojen toimitusketjun turvallisuuden varmistaminen ohjelmistokehityksessä ja ohjelmistojen arvioinnissa sovellettavien turvallisuuskriteerien avulla; |
| h) | sellaisten kyberturvallisuutta koskevien koulutusohjelmien laatiminen ja käyttöönotto, jotka ovat oikeassa suhteessa unionin toimijan ylimmälle johdolle ja tämän asetuksen tehokkaan täytäntöönpanon varmistamisesta vastaaville henkilöstön jäsenille asetettuihin tehtäviin ja näiltä odotettuihin valmiuksiin; |
| i) | henkilöstön säännöllinen kyberturvallisuuskoulutus; |
| j) | tarvittaessa osallistuminen unionin toimijoiden välisten yhteyksien riskianalyyseihin; |
| k) | julkisia hankintoja koskevien sääntöjen parantaminen kyberturvallisuuden yhteisen korkean tason edistämiseksi seuraavien avulla:
|
14 artikla
Ohjeet, suositukset ja toimintakehotukset
1. CERT-EU tukee tämän asetuksen täytäntöönpanoa antamalla
| a) | toimintakehotuksia, joissa kuvaillaan kiireellisiä turvallisuustoimenpiteitä, jotka unionin toimijoita kehotetaan toteuttamaan asetetussa määräajassa; |
| b) | IICB:lle ehdotuksia ohjeiksi, jotka osoitetaan kaikille unionin toimijoille tai niiden alaryhmälle; |
| c) | IICB:lle ehdotuksia suosituksiksi, jotka osoitetaan yksittäisille unionin toimijoille. |
Sovellettaessa ensimmäisen alakohdan a alakohtaa asianomainen unionin toimija ilmoittaa CERT-EU:lle ilman aiheetonta viivytystä toimintakehotuksen vastaanotettuaan siitä, miten kiireellisiä turvallisuustoimenpiteitä on sovellettu.
2. Ohjeisiin ja suosituksiin voi sisältyä
| a) | yhteisiä menetelmiä sekä malli, joiden avulla arvioidaan unionin toimijoiden kyberturvallisuuden kehitystasoa, mukaan lukien vastaavat asteikot tai keskeiset tulosindikaattorit, ja jotka toimivat vertailukohtana kyberturvallisuuden jatkuvan parantamisen tukemiseksi unionin toimijoiden keskuudessa ja helpottavat kyberturvallisuusalojen ja -toimenpiteiden priorisointia toimijoiden kyberturvallisuuden taso huomioon ottaen; |
| b) | järjestelyjä kyberturvallisuusriskien hallintaa ja kyberturvallisuusriskien hallintatoimenpiteitä varten tai parannuksia niihin; |
| c) | järjestelyjä kyberturvallisuuden kehitystason arviointeja ja kyberturvallisuussuunnitelmia varten; |
| d) | tapauksen mukaan yhteisen teknologian, arkkitehtuurin, avoimen lähdekoodin ja niihin liittyvien parhaiden käytäntöjen käyttö tavoitteena saavuttaa yhteentoimivuus ja yhteiset standardit, mukaan lukien toimitusketjun turvallisuutta koskeva koordinoitu toimintatapa; |
| e) | tapauksen mukaan tietoja, joilla helpotetaan yhteishankintavälineiden käyttöä asiaankuuluvien kyberturvallisuuspalvelujen ja -tuotteiden ostamiseksi ulkopuolisilta toimittajilta; |
| f) | tietojen jakamisjärjestelyjä 20 artiklan nojalla. |
16 artikla
Rahoitus- ja henkilöstöasiat
1. CERT-EU integroidaan komission jonkin pääosaston hallintorakenteeseen, jotta se voi hyötyä komission hallinnollisista, varainhoidon ja kirjanpidon tukirakenteista säilyttäen samalla asemansa itsenäisenä toimielinten välisenä palveluntarjoajana kaikille unionin toimijoille. Komissio ilmoittaa IICB:lle CERT-EU:n hallinnollisesta sijainnista ja sen mahdollisista muutoksista. Komissio tarkastelee uudelleen CERT-EU:hun liittyviä hallinnollisia järjestelyjä säännöllisesti ja joka tapauksessa ennen monivuotisen rahoituskehyksen vahvistamista Euroopan unionin toiminnasta tehdyn sopimuksen 312 artiklan nojalla, jotta on mahdollista toteuttaa asianmukaisia toimia. Uudelleentarkasteluun sisältyy mahdollisuus perustaa CERT-EU unionin toimistoksi.
2. Hallinto- ja rahoitusmenettelyjen soveltamiseksi CERT-EU:n päällikkö toimii komission alaisuudessa ja IICB:n valvonnassa.
3. CERT-EU:n tehtävät ja toimet, mukaan lukien CERT-EU:n 13 artiklan 3, 4, 5 ja 7 kohdan ja 14 artiklan 1 kohdan nojalla tarjoamat palvelut EU:n yleiseen hallintoon tarkoitetusta monivuotisen rahoituskehyksen otsakkeesta rahoitetuille unionin toimijoille, rahoitetaan komission talousarvion erillisestä budjettikohdasta. CERT-EU:lle varatut toimet esitetään komission henkilöstötaulukon alaviitteessä.
4. Muut kuin tämän artiklan 3 kohdassa tarkoitetut unionin toimijat suorittavat CERT-EU:lle vuotuisen rahoitusosuuden CERT-EU:n mainitun kohdan nojalla tarjoamien palvelujen kattamiseen. Asianomainen rahoitusosuus perustuu IICB:n esittämiin linjauksiin, ja siitä sovitaan kunkin unionin toimijan ja CERT-EU:n välillä palvelutasosopimuksissa. Rahoitusosuuksien on vastattava kohtuullista ja oikeasuhteista osuutta suoritettujen palvelujen kokonaiskustannuksista. Ne osoitetaan tämän artiklan 3 kohdassa tarkoitettuun erilliseen budjettikohtaan asetuksen (EU, Euratom) 2018/1046 21 artiklan 3 kohdan c alakohdassa tarkoitettuina sisäisinä käyttötarkoitukseensa sidottuina tuloina.
5. Edellä 13 artiklan 6 kohdassa säädettyjen palvelujen kustannukset peritään CERT-EU:n palveluja vastaanottavilta unionin toimijoilta. Tulot kohdennetaan kustannuksia tukeviin budjettikohtiin.
22 artikla
Poikkeamanhallintaa koskeva koordinointi ja yhteistyö
1. Toimiessaan kyberturvallisuutta koskevan tietojenvaihdon ja poikkeamanhallinnan koordinointikeskuksena CERT-EU helpottaa poikkeamia, kyberuhkia, haavoittuvuuksia ja läheltä piti -tilanteita koskevaa tietojenvaihtoa seuraavien kesken:
| a) | unionin toimijat; |
| b) | 17 ja 18 artiklassa tarkoitetut vastaavaa tehtävää hoitavat elimet. |
2. CERT-EU helpottaa tarvittaessa tiiviissä yhteistyössä ENISAn kanssa poikkeamanhallintaa koskevaa koordinointia unionin toimijoiden kesken, mukaan lukien
| a) | osallistuminen johdonmukaiseen ulkoiseen viestintään; |
| b) | keskinäinen tuki, kuten unionin toimijoille merkityksellisten tietojen jakaminen tai avun antaminen, tapauksen mukaan suoraan paikan päällä |
| c) | operatiivisten resurssien optimaalinen käyttö; |
| d) | koordinointi muiden unionin tason kriisinhallintamekanismien kanssa. |
3. CERT-EU tukee tiiviissä yhteistyössä ENISAn kanssa unionin toimijoita poikkeamia, kyberuhkia, haavoittuvuuksia ja läheltä piti -tilanteita koskevan tilannetietoisuuden sekä kyberturvallisuuden alan merkityksellistä kehitystä koskevien tietojen jakamisen osalta.
4. IICB hyväksyy 8 päivään tammikuuta 2025 mennessä CERT-EU:n ehdotuksesta ohjeita tai suosituksia poikkeamanhallintaa koskevasta koordinoinnista ja yhteistyöstä merkittävien poikkeamien yhteydessä. Jos poikkeamaa epäillään rikokseksi, CERT-EU antaa ilman aiheetonta viivytystä neuvoja siitä, miten poikkeamasta ilmoitetaan lainvalvontaviranomaisille.
5. CERT-EU voi jäsenvaltion nimenomaisen pyynnön perusteella ja asianomaisten unionin toimijoiden hyväksynnän saatuaan pyytää asiantuntijoita 23 artiklan 4 kohdassa tarkoitetusta luettelosta osallistumaan sellaisen laajavaikutteisen poikkeaman hallintaan, jolla on vaikutusta tuossa jäsenvaltiossa, tai laajamittaisen kyberturvallisuuspoikkeaman hallintaan direktiivin (EU) 2022/2555 15 artiklan 3 kohdan g alakohdan mukaisesti. IICB hyväksyy CERT-EU:n ehdotuksesta erityissääntöjä, jotka koskevat unionin toimijoiden teknisten asiantuntijoiden saatavuutta ja käyttöä.
whereas