keyboard_tab Cyber Resilience Act 2023/2841 FI
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 3 artikla Määritelmät
- 1 4 artikla Henkilötietojen käsittely
- 3 11 artikla IICB:n tehtävät
- 7 13 artikla CERT-EU:n toimeksianto ja tehtävät
- 1 14 artikla Ohjeet, suositukset ja toimintakehotukset
- 1 17 artikla CERT-EU:n yhteistyö jäsenvaltioiden vastaavaa tehtävää hoitavien elinten kanssa
- 5 22 artikla Poikkeamanhallintaa koskeva koordinointi ja yhteistyö
- 4 23 artikla Laajavaikutteisten poikkeamien hallinta
I LUKU
YLEISET SÄÄNNÖKSET
II LUKU
TOIMENPITEET KYBERTURVALLISUUDEN YHTEISEN KORKEAN TASON VARMISTAMISEKSI
III LUKU
TOIMIELINTEN VÄLINEN KYBERTURVALLISUUSLAUTAKUNTA
IV LUKU
CERT-EU
V LUKU
YHTEISTYÖ- JA RAPORTOINTIVELVOITTEET
VI LUKU
LOPPUSÄÄNNÖKSET
- unionin 83
- toimijoiden 30
- cert-eu:n 26
- artiklan 22
- direktiivin 21
- asetuksen 19
- eu / artiklan 19
- euroopan 19
- nojalla 18
- kanssa 18
- cert-eu 17
- mukaan 16
- poikkeamien 15
- sekä 14
- hyväksyy 13
- kyberturvallisuuden 13
- cert-eu 12
- tietojen 12
- määriteltyä 12
- alakohdassa 12
- tämän 11
- laajavaikutteisten 10
- niiden 10
- n:o / 10
- tietoja 10
- päällikön 9
- neuvoston 9
- tapauksen 9
- eu / 9
- parlamentin 9
- mukaisesti 8
- joilla 8
- ehdotuksesta 8
- toimijan 8
- tason 8
- artikla 8
- poikkeama 8
- varten 8
- alakohdan 8
- kuin 7
- vaikuttaa 7
- annettu 7
- poikkeamia 7
- hallintaa 7
- tarkoitettujen 7
- jotka 7
- enisan 7
- johon 7
- toimijoille 7
- euroopan 7
3 artikla
Määritelmät
Tässä asetuksessa tarkoitetaan:
| 1) | ’unionin toimijoilla’ Euroopan unionista tehdyllä sopimuksella, Euroopan unionin toiminnasta tehdyllä sopimuksella tai Euroopan atomienergiayhteisön perustamissopimuksella taikka niiden nojalla perustettuja unionin toimielimiä, elimiä, toimistoja ja virastoja; |
| 2) | ’verkko- ja tietojärjestelmällä’ direktiivin (EU) 2022/2555 6 artiklan 1 alakohdassa määriteltyä verkko- ja tietojärjestelmää; |
| 3) | ’verkko- ja tietojärjestelmien turvallisuudella’ direktiivin (EU) 2022/2555 6 artiklan 2 alakohdassa määriteltyä verkko- ja tietojärjestelmien turvallisuutta; |
| 4) | ’kyberturvallisuudella’ asetuksen (EU) 2019/881 2 artiklan 1 alakohdassa määriteltyä kyberturvallisuutta; |
| 5) | ’ylimmällä johdolla’ unionin toimijan toiminnasta vastaavaa kaikkein ylimpään johtotasoon kuuluvaa johtajaa, hallintoelintä tai koordinointi- ja valvontaelintä, jolla on valtuudet tehdä tai valtuuttaa tekemään päätöksiä kyseisen unionin toimijan korkean tason hallintojärjestelyjen mukaisesti, sanotun kuitenkaan rajoittamatta muiden hallintotasojen muodollisten vastuiden soveltamista vaatimusten noudattamisen ja kyberturvallisuusriskien hallinnan osalta niiden omilla vastuualueilla; |
| 6) | ’läheltä piti -tilanteella’ direktiivin (EU) 2022/2555 6 artiklan 5 alakohdassa määriteltyä läheltä piti -tilannetta; |
| 7) | ’poikkeamalla’ direktiivin (EU) 2022/2555 6 artiklan 6 alakohdassa määriteltyä poikkeamaa; |
| 8) | ’laajavaikutteisella poikkeamalla’ mitä tahansa poikkeamaa, joka aiheuttaa niin laajan häiriön, ettei unionin toimijalla ja CERT-EU:lla ole valmiuksia hallita sitä, tai jolla on merkittävä vaikutus vähintään kahteen unionin toimijaan; |
| 9) | ’laajamittaisella kyberturvallisuuspoikkeamalla’ direktiivin (EU) 2022/2555 6 artiklan 7 alakohdassa määriteltyä laajamittaista kyberturvallisuuspoikkeamaa; |
| 10) | ’poikkeaman käsittelyllä’ direktiivin (EU) 2022/2555 6 artiklan 8 alakohdassa määriteltyä poikkeaman käsittelyä; |
| 11) | ’kyberuhkalla’ asetuksen (EU) 2019/881 2 artiklan 8 alakohdassa määriteltyä kyberuhkaa; |
| 12) | ’merkittävällä kyberuhkalla’ direktiivin (EU) 2022/2555 6 artiklan 11 alakohdassa määriteltyä merkittävää kyberuhkaa; |
| 13) | ’haavoittuvuudella’ direktiivin (EU) 2022/2555 6 artiklan 15 alakohdassa määriteltyä haavoittuvuutta; |
| 14) | ’kyberturvallisuusriskillä’ direktiivin (EU) 2022/2555 6 artiklan 9 alakohdassa määriteltyä riskiä; |
| 15) | ’pilvipalvelulla’ direktiivin (EU) 2022/2555 6 artiklan 30 alakohdassa määriteltyä pilvipalvelua. |
4 artikla
Henkilötietojen käsittely
1. CERT-EU:n, 10 artiklan nojalla perustetun toimielinten välisen kyberturvallisuuslautakunnan ja unionin toimijoiden tämän asetuksen nojalla suorittamassa henkilötietojen käsittelyssä noudatetaan asetusta (EU) 2018/1725.
2. Tämän asetuksen mukaisia tehtäviä suorittaessaan tai velvoitteita täyttäessään CERT-EU, 10 artiklan nojalla perustettu toimielinten välinen kyberturvallisuuslautakunta ja unionin toimijat käsittelevät ja vaihtavat henkilötietoja vain siinä määrin kuin on tarpeen ja yksinomaan kyseisten tehtävien suorittamista tai kyseisten velvoitteiden täyttämistä varten.
3. Asetuksen (EU) 2018/1725 10 artiklan 1 kohdassa tarkoitettujen erityisten henkilötietoryhmien käsittelyn katsotaan olevan tarpeen kyseisen asetuksen 10 artiklan 2 kohdan g alakohdan mukaisesta tärkeää yleistä etua koskevasta syystä. Tällaisia tietoja voidaan käsitellä ainoastaan siinä määrin kuin on tarpeen tämän asetuksen 6 ja 8 artiklassa tarkoitettujen kyberturvallisuusriskien hallintatoimenpiteiden toteuttamista, 13 artiklan mukaista CERT-EU:n palvelujen tarjoamista, 17 artiklan 3 kohdan ja 18 artiklan 3 kohdan mukaista poikkeamakohtaisten tietojen jakamista, 20 artiklan mukaista tietojen jakamista, 21 artiklan mukaisia raportointivelvoitteita, 22 artiklan mukaista poikkeamanhallintaa koskevaa koordinointia ja yhteistyötä sekä 23 artiklan mukaista laajavaikutteisten poikkeamien hallintaa varten. Toimiessaan rekisterinpitäjinä unionin toimijat ja CERT-EU toteuttavat teknisiä toimenpiteitä estääkseen erityisten henkilötietoryhmien käsittelyn muita tarkoituksia varten ja huolehtivat asianmukaisista ja erityisistä toimenpiteistä rekisteröityjen perusoikeuksien ja etujen suojaamiseksi.
II LUKU
TOIMENPITEET KYBERTURVALLISUUDEN YHTEISEN KORKEAN TASON VARMISTAMISEKSI
11 artikla
IICB:n tehtävät
Hoitaessaan tehtäviään IICB erityisesti
| a) | antaa CERT-EU:n päällikölle ohjausta; |
| b) | seuraa ja valvoo tehokkaasti tämän asetuksen täytäntöönpanoa ja tukee unionin toimijoita niiden kyberturvallisuuden vahvistamisessa, tapauksen mukaan myös pyytämällä tapauskohtaisia raportteja unionin toimijoilta ja CERT-EU:lta; |
| c) | hyväksyy strategisen keskustelun jälkeen monivuotisen strategian kyberturvallisuuden tason nostamisesta unionin toimijoissa, arvioi kyseistä strategiaa säännöllisesti ja joka tapauksessa viiden vuoden välein ja tarvittaessa muuttaa strategiaa; |
| d) | vahvistaa menetelmät ja organisatoriset näkökohdat unionin toimijoiden suorittamien vapaaehtoisten vertaisarviointien toteuttamiseksi, jotta voidaan oppia yhteisistä kokemuksista, lujittaa keskinäistä luottamusta ja saavuttaa kyberturvallisuuden yhteinen korkea taso sekä kehittää unionin toimijoiden kyberturvallisuusvalmiuksia, varmistaen, että tällaisia vertaisarviointeja suorittavat muun kuin arvioitavana olevan unionin toimijan nimeämät kyberturvallisuusasiantuntijat ja että menetelmät perustuvat direktiivin (EU) 2022/2555 19 artiklaan ja ne mukautetaan tapauksen mukaan unionin toimijoihin; |
| e) | hyväksyy CERT-EU:n päällikön ehdotuksesta CERT-EU:n vuotuisen työohjelman ja seuraa sen täytäntöönpanoa; |
| f) | hyväksyy CERT-EU:n päällikön ehdotuksesta CERT-EU:n palveluluettelon ja sen mahdolliset päivitykset; |
| g) | hyväksyy CERT-EU:n päällikön ehdotuksesta CERT-EU:n toimintaa koskevan vuotuisen rahoitussuunnitelman tuloista ja menoista, mukaan lukien henkilöstö; |
| h) | hyväksyy CERT-EU:n päällikön ehdotuksesta palvelutasosopimuksia koskevat järjestelyt; |
| i) | tarkastelee CERT-EU:n päällikön laatimaa vuosikertomusta, joka kattaa CERT-EU:n toiminnan ja varainhoidon, ja hyväksyy sen; |
| j) | hyväksyy CERT-EU:n päällikön ehdotuksesta vahvistetut CERT-EU:n keskeiset tulosindikaattorit ja seuraa niitä; |
| k) | hyväksyy yhteistyöjärjestelyt, palvelutasosopimukset tai sopimukset CERT-EU:n ja muiden toimijoiden välillä 18 artiklan nojalla; |
| l) | hyväksyy ohjeita ja suosituksia CERT-EU:n ehdotuksesta 14 artiklan mukaisesti ja ohjeistaa CERT-EU:ta antamaan ehdotuksen ohjeiksi tai suosituksiksi taikka toimintakehotuksen, peruuttamaan sen tai muuttamaan sitä; |
| m) | perustaa teknisiä neuvoa-antavia ryhmiä, joilla on erityistehtäviä, avustamaan IICB:tä sen työssä, hyväksyy niiden tehtävänmääritykset ja nimeää niiden puheenjohtajat; |
| n) | vastaanottaa ja arvioi unionin toimijoiden tämän asetuksen nojalla toimittamia asiakirjoja ja raportteja, kuten kyberturvallisuuden kehitystason arviointeja; |
| o) | helpottaa ENISAn tuella toimivan unionin toimijoiden paikallisten kyberturvallisuusvastaavien epävirallisen ryhmän perustamista tavoitteena vaihtaa parhaita käytäntöjä ja tietoja tämän asetuksen täytäntöönpanosta; |
| p) | seuraa CERT-EU:n antamat tunnistettuja kyberturvallisuusriskejä ja saatuja kokemuksia koskevat tiedot huomioon ottaen unionin toimijoiden TVT-ympäristöjen kesken tehtyjen yhteenliitäntäjärjestelyjen riittävyyttä ja antaa neuvoja mahdollisista parannuksista; |
| q) | laatii kyberkriisinhallintasuunnitelman, jotta voidaan tukea operatiivisella tasolla unionin toimijoihin vaikuttavien laajavaikutteisten poikkeamien koordinoitua hallintaa ja edistää asiaankuuluvien tietojen säännöllistä vaihtoa, erityisesti kun on kyse laajavaikutteisten poikkeamien vaikutuksista ja vakavuudesta sekä mahdollisista keinoista lieventää niiden vaikutuksia; |
| r) | koordinoi 9 artiklan 2 kohdassa tarkoitettujen yksittäisten unionin toimijoiden kyberkriisinhallintasuunnitelmien hyväksymistä; |
| s) | hyväksyy 8 artiklan 2 kohdan ensimmäisen alakohdan m alakohdassa tarkoitettuun toimitusketjun turvallisuuteen liittyviä suosituksia, ottaen huomioon direktiivin (EU) 2022/2555 22 artiklassa tarkoitettujen kriittisiä toimitusketjuja koskevien unionin tason koordinoitujen turvallisuusriskinarviointien tulokset, tukeakseen unionin toimijoita tehokkaiden ja oikeasuhteisten kyberturvallisuusriskien hallintatoimenpiteiden hyväksymisessä. |
13 artikla
CERT-EU:n toimeksianto ja tehtävät
1. CERT-EU:n toimeksiantona on edistää unionin toimijoiden turvallisuusluokittelemattoman TVT-ympäristön turvallisuutta neuvomalla niitä kyberturvallisuusasioissa, auttamalla niitä ehkäisemään, havaitsemaan, käsittelemään ja lieventämään poikkeamia, reagoimaan niihin ja palautumaan niistä sekä toimimalla niiden kyberturvallisuutta koskevan tietojenvaihdon ja poikkeamanhallinnan koordinointikeskuksena.
2. CERT-EU kerää, hallinnoi, analysoi ja jakaa unionin toimijoiden kanssa tietoja kyberuhkista, haavoittuvuuksista ja poikkeamista turvallisuusluokittelemattomassa TVT-infrastruktuurissa. Se koordinoi poikkeamiin liittyviä hallintatoimia toimielinten välisellä ja unionin toimijoiden tasolla, muun muassa tarjoamalla erikoistunutta operatiivista apua tai koordinoimalla sen tarjoamista.
3. CERT-EU hoitaa seuraavia tehtäviä unionin toimijoiden avustamiseksi:
| a) | se tukee niitä tämän asetuksen täytäntöönpanossa ja edistää tämän asetuksen täytäntöönpanon koordinointia 14 artiklan 1 kohdassa lueteltujen toimenpiteiden tai IICB:n pyytämien tapauskohtaisten raporttien kautta; |
| b) | se tarjoaa unionin toimijoille vakioituja CSIRT-palveluja palveluluettelossaan kuvattujen kyberturvallisuuspalvelujen paketin avulla (perustason palvelut); |
| c) | se ylläpitää vertais- ja kumppaniverkostoa 17 ja 18 artiklassa esitettyjen palvelujen tukemiseksi; |
| d) | se tuo IICB:n tietoon tämän asetuksen täytäntöönpanoon sekä ohjeiden, suositusten ja toimintakehotusten täytäntöönpanoon liittyviä ongelmia; |
| e) | se edistää 2 kohdassa tarkoitettujen tietojen pohjalta unionin kyberturvallisuuden tilannekuvan muodostamista tiiviissä yhteistyössä ENISAn kanssa; |
| f) | se koordinoi laajavaikutteisten poikkeamien hallintaa; |
| g) | se toimii unionin toimijoiden puolesta direktiivin (EU) 2022/2555 12 artiklan 1 kohdan nojalla koordinoitua haavoittuvuuksien julkistamista varten nimettyä koordinaattoria vastaavana tahona; |
| h) | se tarjoaa unionin toimijan pyynnöstä kyseisen unionin toimijan yleisesti saatavilla olevien verkko- ja tietojärjestelmien ennakoivaa, ei-intrusiivista skannausta. |
Ensimmäisen alakohdan e alakohdassa tarkoitetut tiedot on soveltuvin osin ja tapauksen mukaan, jollei asianmukaisista salassapitoehdoista muuta johdu, jaettava IICB:n, CSIRT-verkoston ja Euroopan unionin tiedusteluanalyysikeskuksen (EU INTCEN) kanssa.
4. CERT-EU voi tapauksen mukaan 17 tai 18 artiklan mukaisesti tehdä yhteistyötä asiaankuuluvien kyberturvallisuusyhteisöjen kanssa unionissa ja sen jäsenvaltioissa, myös seuraavilla aloilla:
| a) | varautuminen, poikkeamien koordinointi, tietojenvaihto ja kriisinhallinta teknisellä tasolla unionin toimijoihin liittyvissä tapauksissa; |
| b) | CSIRT-verkostoa koskeva operatiivinen yhteistyö, myös keskinäisen avunannon osalta; |
| c) | kyberuhkatiedustelutieto, mukaan lukien tilannetietoisuus; |
| d) | mikä tahansa aihe, joka edellyttää CERT-EU:n teknistä kyberturvallisuusasiantuntemusta. |
5. CERT-EU tekee toimivaltansa puitteissa jäsenneltyä yhteistyötä ENISAn kanssa valmiuksien kehittämisen, operatiivisen yhteistyön ja kyberuhkista tehtävien pitkän aikavälin strategisten analyysien alalla asetuksen (EU) 2019/881 mukaisesti. CERT-EU voi tehdä yhteistyötä ja vaihtaa tietoja Europolin Euroopan kyberrikostorjuntakeskuksen kanssa.
6. CERT-EU voi tarjota seuraavia, muita kuin sen palveluluettelossa kuvattuja palveluja (maksulliset palvelut):
| a) | palvelut, joilla tuetaan unionin toimijoiden TVT-ympäristön kyberturvallisuutta, lukuun ottamatta 3 kohdassa tarkoitettuja palveluja, palvelutasosopimusten perusteella ja saatavilla olevien resurssien mukaan, erityisesti laaja-alainen verkkoseuranta, mukaan lukien erittäin vakavien kyberuhkien ensivaiheen ympärivuorokautinen seuranta; |
| b) | palvelut, joilla tuetaan unionin toimijoiden kyberturvallisuusoperaatioita tai -hankkeita, lukuun ottamatta operaatioita tai hankkeita niiden TVT-ympäristön suojaamiseksi, kirjallisten sopimusten perusteella ja IICB:n ennakkohyväksynnän pohjalta; |
| c) | asianomaisen unionin toimijan verkko- ja tietojärjestelmien ennakoiva skannaus pyynnöstä sellaisten haavoittuvuuksien havaitsemiseksi, joilla voi olla merkittävä vaikutus; |
| d) | palvelut, joilla tuetaan niiden TVT-ympäristön turvallisuutta, sellaisille muille organisaatioille kuin unionin toimijoille, jotka tekevät tiivistä yhteistyötä unionin toimijoiden kanssa esimerkiksi siksi, että niillä on unionin lainsäädännön nojalla siirrettyjä tehtäviä tai vastuita, kirjallisten sopimusten perusteella ja IICB:n ennakkohyväksynnän pohjalta. |
Sovellettaessa ensimmäisen alakohdan d alakohtaa CERT-EU voi poikkeuksellisesti tehdä palvelutasosopimuksia muiden kuin unionin toimijoiden kanssa IICB:n ennakkohyväksynnän pohjalta.
7. CERT-EU järjestää kyberturvallisuusharjoituksia ja voi osallistua niihin tai suosittelee osallistumista olemassa oleviin harjoituksiin, tapauksen mukaan tiiviissä yhteistyössä ENISAn kanssa, unionin toimijoiden kyberturvallisuuden tason testaamiseksi.
8. CERT-EU voi tarjota unionin toimijoille apua sellaisissa verkko- ja tietojärjestelmissä esiintyvien poikkeamien osalta, joissa käsitellään EU:n turvallisuusluokiteltuja tietoja, jos asianomaiset unionin toimijat nimenomaisesti pyytävät sitä tekemään niin omien menettelyjensä mukaisesti. CERT-EU:n tämän kohdan nojalla tarjoaman avun tarjoaminen ei rajoita turvallisuusluokiteltujen tietojen suojaamista koskevien sovellettavien sääntöjen soveltamista.
9. CERT-EU ilmoittaa unionin toimijoille poikkeamien käsittelyä koskevista menettelyistään ja prosesseistaan.
10. CERT-EU tarjoaa asianmukaisten yhteistyömekanismien ja raportointisuhteiden kautta luottamuksellisuuden ja luotettavuuden korkean tason varmistaen asiaankuuluvia ja anonymisoituja tietoja laajavaikutteisista poikkeamista sekä tavasta, jolla ne on käsitelty. Nämä tiedot sisällytetään 10 artiklan 14 kohdassa tarkoitettuun raporttiin.
11. CERT-EU tukee yhteistyössä EDPS:n kanssa asianomaisia unionin toimijoita puututtaessa henkilötietojen tietoturvaloukkauksiin johtaneisiin poikkeamiin, sanotun kuitenkaan rajoittamatta EDPS:n toimivaltaa ja tehtäviä valvontaviranomaisena asetuksen (EU) 2018/1725 nojalla.
12. CERT-EU voi antaa teknistä neuvontaa tai lausuntoja asiaankuuluvista toimintapoliittisista kysymyksistä, jos unionin toimijoiden toimintapoliittiset osastot sitä nimenomaisesti pyytävät.
14 artikla
Ohjeet, suositukset ja toimintakehotukset
1. CERT-EU tukee tämän asetuksen täytäntöönpanoa antamalla
| a) | toimintakehotuksia, joissa kuvaillaan kiireellisiä turvallisuustoimenpiteitä, jotka unionin toimijoita kehotetaan toteuttamaan asetetussa määräajassa; |
| b) | IICB:lle ehdotuksia ohjeiksi, jotka osoitetaan kaikille unionin toimijoille tai niiden alaryhmälle; |
| c) | IICB:lle ehdotuksia suosituksiksi, jotka osoitetaan yksittäisille unionin toimijoille. |
Sovellettaessa ensimmäisen alakohdan a alakohtaa asianomainen unionin toimija ilmoittaa CERT-EU:lle ilman aiheetonta viivytystä toimintakehotuksen vastaanotettuaan siitä, miten kiireellisiä turvallisuustoimenpiteitä on sovellettu.
2. Ohjeisiin ja suosituksiin voi sisältyä
| a) | yhteisiä menetelmiä sekä malli, joiden avulla arvioidaan unionin toimijoiden kyberturvallisuuden kehitystasoa, mukaan lukien vastaavat asteikot tai keskeiset tulosindikaattorit, ja jotka toimivat vertailukohtana kyberturvallisuuden jatkuvan parantamisen tukemiseksi unionin toimijoiden keskuudessa ja helpottavat kyberturvallisuusalojen ja -toimenpiteiden priorisointia toimijoiden kyberturvallisuuden taso huomioon ottaen; |
| b) | järjestelyjä kyberturvallisuusriskien hallintaa ja kyberturvallisuusriskien hallintatoimenpiteitä varten tai parannuksia niihin; |
| c) | järjestelyjä kyberturvallisuuden kehitystason arviointeja ja kyberturvallisuussuunnitelmia varten; |
| d) | tapauksen mukaan yhteisen teknologian, arkkitehtuurin, avoimen lähdekoodin ja niihin liittyvien parhaiden käytäntöjen käyttö tavoitteena saavuttaa yhteentoimivuus ja yhteiset standardit, mukaan lukien toimitusketjun turvallisuutta koskeva koordinoitu toimintatapa; |
| e) | tapauksen mukaan tietoja, joilla helpotetaan yhteishankintavälineiden käyttöä asiaankuuluvien kyberturvallisuuspalvelujen ja -tuotteiden ostamiseksi ulkopuolisilta toimittajilta; |
| f) | tietojen jakamisjärjestelyjä 20 artiklan nojalla. |
17 artikla
CERT-EU:n yhteistyö jäsenvaltioiden vastaavaa tehtävää hoitavien elinten kanssa
1. CERT-EU tekee yhteistyötä ja vaihtaa tietoja ilman aiheetonta viivytystä jäsenvaltioiden vastaavaa tehtävää hoitavien elinten, erityisesti direktiivin (EU) 2022/2555 10 artiklan nojalla nimettyjen tai perustettujen CSIRT-yksiköiden tai tapauksen mukaan toimivaltaisten viranomaisten ja mainitun direktiivin 8 artiklan nojalla nimettyjen tai perustettujen keskitettyjen yhteyspisteiden, kanssa, kun on kyse poikkeamista, kyberuhkista, haavoittuvuuksista, läheltä piti -tilanteista, mahdollisista vastatoimista sekä parhaista käytännöistä ja kaikista asioista, joilla on merkitystä unionin toimijoiden TVT-ympäristöjen suojaamisen parantamisen kannalta, myös direktiivin (EU) 2022/2555 15 artiklan nojalla perustetun CSIRT-verkoston avulla. CERT-EU tukee komissiota direktiivin (EU) 2022/2555 16 artiklan nojalla perustetussa EU-CyCLONessa laajamittaisten kyberturvallisuuspoikkeamien ja -kriisien koordinoidussa hallinnassa.
2. Jos CERT-EU tulee tietoiseksi jäsenvaltion alueella esiintyvistä merkittävistä poikkeamista, se ilmoittaa asiasta 1 kohdan mukaisesti viipymättä mille tahansa asiaankuuluvalle kyseisen jäsenvaltion vastaavaa tehtävää hoitavalle elimelle.
3. Edellyttäen, että henkilötietoja suojataan sovellettavan unionin tietosuojalainsäädännön mukaisesti, CERT-EU vaihtaa ilman aiheetonta viivytystä jäsenvaltioiden vastaavaa tehtävää hoitavien elinten kanssa poikkeamakohtaisia tietoja, joilla on merkitystä vastaavien kyberuhkien tai poikkeamien havaitsemisen helpottamiseksi tai jonkin poikkeaman analysoinnissa auttamiseksi, ilman sen unionin toimijan lupaa, johon poikkeama vaikuttaa. CERT-EU vaihtaa poikkeamakohtaisia tietoja, joista paljastuu poikkeaman kohteen henkilöllisyys, vain jos jokin seuraavista tapahtuu:
| a) | unionin toimija, johon poikkeama vaikuttaa, antaa suostumuksensa; |
| b) | unionin toimija, johon poikkeama vaikuttaa, ei anna suostumustaan a alakohdassa säädetyllä tavalla mutta sen unionin toimijan henkilöllisyyden julkistaminen, johon poikkeama vaikuttaa, lisäisi todennäköisyyttä siitä, että poikkeamia vältettäisiin tai lievennettäisiin muualla; |
| c) | unionin toimija, johon poikkeama vaikuttaa, on jo ilmoittanut julkisesti, että poikkeama on vaikuttanut siihen. |
CERT-EU:n päällikön on hyväksyttävä ensimmäisen alakohdan b alakohdan nojalla tehtävät päätökset sellaisten poikkeamakohtaisten tietojen vaihtamisesta, joista paljastuu poikkeaman kohteen henkilöllisyys. Ennen tällaisen päätöksen antamista CERT-EU ottaa kirjallisesti yhteyttä unionin toimijaan, johon poikkeama vaikuttaa, ja selittää selkeästi, miten sen henkilöllisyyden julkistaminen auttaisi välttämään tai lieventämään poikkeamia muualla. CERT-EU:n päällikön on annettava selitys ja nimenomaisesti pyydettävä unionin toimijaa ilmoittamaan asetetussa määräajassa, antaako se suostumuksensa. CERT-EU:n päällikön on myös ilmoitettava unionin toimijalle, että annetun selityksen valossa hän pidättää oikeuden julkistaa tiedot suostumuksen puuttuessakin. Unionin toimijalle, johon poikkeama vaikuttaa, on ilmoitettava, ennen kuin tiedot julkistetaan.
22 artikla
Poikkeamanhallintaa koskeva koordinointi ja yhteistyö
1. Toimiessaan kyberturvallisuutta koskevan tietojenvaihdon ja poikkeamanhallinnan koordinointikeskuksena CERT-EU helpottaa poikkeamia, kyberuhkia, haavoittuvuuksia ja läheltä piti -tilanteita koskevaa tietojenvaihtoa seuraavien kesken:
| a) | unionin toimijat; |
| b) | 17 ja 18 artiklassa tarkoitetut vastaavaa tehtävää hoitavat elimet. |
2. CERT-EU helpottaa tarvittaessa tiiviissä yhteistyössä ENISAn kanssa poikkeamanhallintaa koskevaa koordinointia unionin toimijoiden kesken, mukaan lukien
| a) | osallistuminen johdonmukaiseen ulkoiseen viestintään; |
| b) | keskinäinen tuki, kuten unionin toimijoille merkityksellisten tietojen jakaminen tai avun antaminen, tapauksen mukaan suoraan paikan päällä |
| c) | operatiivisten resurssien optimaalinen käyttö; |
| d) | koordinointi muiden unionin tason kriisinhallintamekanismien kanssa. |
3. CERT-EU tukee tiiviissä yhteistyössä ENISAn kanssa unionin toimijoita poikkeamia, kyberuhkia, haavoittuvuuksia ja läheltä piti -tilanteita koskevan tilannetietoisuuden sekä kyberturvallisuuden alan merkityksellistä kehitystä koskevien tietojen jakamisen osalta.
4. IICB hyväksyy 8 päivään tammikuuta 2025 mennessä CERT-EU:n ehdotuksesta ohjeita tai suosituksia poikkeamanhallintaa koskevasta koordinoinnista ja yhteistyöstä merkittävien poikkeamien yhteydessä. Jos poikkeamaa epäillään rikokseksi, CERT-EU antaa ilman aiheetonta viivytystä neuvoja siitä, miten poikkeamasta ilmoitetaan lainvalvontaviranomaisille.
5. CERT-EU voi jäsenvaltion nimenomaisen pyynnön perusteella ja asianomaisten unionin toimijoiden hyväksynnän saatuaan pyytää asiantuntijoita 23 artiklan 4 kohdassa tarkoitetusta luettelosta osallistumaan sellaisen laajavaikutteisen poikkeaman hallintaan, jolla on vaikutusta tuossa jäsenvaltiossa, tai laajamittaisen kyberturvallisuuspoikkeaman hallintaan direktiivin (EU) 2022/2555 15 artiklan 3 kohdan g alakohdan mukaisesti. IICB hyväksyy CERT-EU:n ehdotuksesta erityissääntöjä, jotka koskevat unionin toimijoiden teknisten asiantuntijoiden saatavuutta ja käyttöä.
23 artikla
Laajavaikutteisten poikkeamien hallinta
1. Tukeakseen operatiivisella tasolla unionin toimijoihin vaikuttavien laajavaikutteisten poikkeamien koordinoitua hallintaa ja edistääkseen asiaankuuluvien tietojen säännöllistä vaihtoa unionin toimijoiden kesken ja jäsenvaltioiden kanssa IICB laatii 11 artiklan q alakohdan nojalla kyberkriisinhallintasuunnitelman 22 artiklan 2 kohdassa tarkoitettujen toimien perusteella tiiviissä yhteistyössä CERT-EU:n ja ENISAn kanssa. Kyberkriisinhallintasuunnitelma sisältää vähintään seuraavat osatekijät:
| a) | järjestelyt, jotka koskevat koordinointia ja tiedonkulkua unionin toimijoiden kesken laajavaikutteisten poikkeamien hallintaa varten operatiivisella tasolla; |
| b) | yhteiset vakiotoimintamenettelyt; |
| c) | yhteinen luokitus laajavaikutteisten poikkeamien vakavuutta ja kriisitilanteen kynnyspisteitä varten; |
| d) | säännölliset harjoitukset; |
| e) | suojatut viestintäkanavat, joita on tarkoitus käyttää. |
2. Jollei tämän artiklan 1 kohdan nojalla laaditusta kyberkriisinhallintasuunnitelmasta muuta johdu, komission edustaja IICB:ssä on yhteyspiste laajavaikutteisia poikkeamia koskevien asiaankuuluvien tietojen jakamiseksi EU-CyCLONen kanssa, sanotun kuitenkaan rajoittamatta direktiivin (EU) 2022/2555 16 artiklan 2 kohdan ensimmäisen alakohdan soveltamista.
3. CERT-EU koordinoi laajavaikutteisten poikkeamien hallintaa unionin toimijoiden kesken. Se ylläpitää inventaaria saatavilla olevasta teknisestä asiantuntemuksesta, jota tarvittaisiin poikkeamanhallintaan laajavaikutteisten poikkeamien sattuessa, ja avustaa IICB:tä 9 artiklan 2 kohdassa tarkoitettujen, unionin toimijoiden laajavaikutteisia poikkeamia koskevien kyberkriisinhallintasuunnitelmien koordinoinnissa.
4. Unionin toimijat osallistuvat teknisen asiantuntemuksen inventaariin toimittamalla vuosittain päivitetyn luettelon organisaatiossaan käytettävissä olevista asiantuntijoista ja heidän teknisestä erityisosaamisestaan.
VI LUKU
LOPPUSÄÄNNÖKSET
26 artikla
Voimaantulo
Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.
Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.
Tehty Strasbourgissa 13 päivänä joulukuuta 2023.
Euroopan parlamentin puolesta
Puhemies
R. METSOLA
Neuvoston puolesta
Puheenjohtaja
P. NAVARRO RÍOS
(1) Euroopan parlamentin kanta, vahvistettu 21. marraskuuta 2023 (ei vielä julkaistu virallisessa lehdessä), ja neuvoston päätös, tehty 8. joulukuuta 2023.
(2) Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2555, annettu 14 päivänä joulukuuta 2022, toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa, asetuksen (EU) N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 kumoamisesta (NIS 2 -direktiivi) (EUVL L 333, 27.12.2022, s. 80).
(3) Euroopan parlamentin ja neuvoston asetus (EU) 2019/881, annettu 17 päivänä huhtikuuta 2019, Euroopan unionin kyberturvallisuusvirasto ENISAsta ja tieto- ja viestintätekniikan kyberturvallisuussertifioinnista sekä asetuksen (EU) N:o 526/2013 kumoamisesta (kyberturvallisuusasetus) (EUVL L 151, 7.6.2019, s. 15).
(4) Euroopan parlamentin, Eurooppa-neuvoston, Euroopan unionin neuvoston, Euroopan komission, Euroopan unionin tuomioistuimen, Euroopan keskuspankin, Euroopan tilintarkastustuomioistuimen, Euroopan ulkosuhdehallinnon, Euroopan talous- ja sosiaalikomitean, Euroopan alueiden komitean ja Euroopan investointipankin välinen järjestely unionin toimielinten, elinten ja virastojen tietotekniikan kriisiryhmän (CERT-EU) organisaatiosta ja toiminnasta (EUVL C 12, 13.1.2018, s. 1).
(5) Neuvoston asetus (ETY, Euratom, EHTY) N:o 259/68, annettu 29 päivänä helmikuuta 1968, Euroopan yhteisöjen virkamiehiin sovellettavien henkilöstösääntöjen ja näiden yhteisöjen muuta henkilöstöä koskevien palvelussuhteen ehtojen vahvistamisesta sekä yhteisöjen virkamiehiin tilapäisesti sovellettavien erityisten toimenpiteiden laatimisesta (EYVL L 56, 4.3.1968, s. 1).
(6) Komission suositus (EU) 2017/1584, annettu 13 päivänä syyskuuta 2017, koordinoidusta reagoinnista laajamittaisiin kyberturvallisuuspoikkeamiin ja -kriiseihin (EUVL L 239, 19.9.2017, s. 36).
(7) Euroopan parlamentin ja neuvoston asetus (EU) 2018/1725, annettu 23 päivänä lokakuuta 2018, luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta (EUVL L 295, 21.11.2018, s. 39).
(8) EUVL C 258, 5.7.2022, s. 10.
(9) Euroopan parlamentin ja neuvoston asetus (EU, Euratom) 2018/1046, annettu 18 päivänä heinäkuuta 2018, unionin yleiseen talousarvioon sovellettavista varainhoitosäännöistä, asetusten (EU) N:o 1296/2013, (EU) N:o 1301/2013, (EU) N:o 1303/2013, (EU) N:o 1304/2013, (EU) N:o 1309/2013, (EU) N:o 1316/2013, (EU) N:o 223/2014, (EU) N:o 283/2014 ja päätöksen N:o 541/2014/EU muuttamisesta sekä asetuksen (EU, Euratom) N:o 966/2012 kumoamisesta (EUVL L 193, 30.7.2018, s. 1).
(10) Euroopan parlamentin ja neuvoston asetus (EY) N:o 1049/2001, annettu 30 päivänä toukokuuta 2001, Euroopan parlamentin, neuvoston ja komission asiakirjojen saamisesta yleisön tutustuttavaksi (EYVL L 145, 31.5.2001, s. 43).
ELI: http://data.europa.eu/eli/reg/2023/2841/oj
ISSN 1977-0812 (electronic edition)