keyboard_tab Cyber Resilience Act 2023/2841 FI
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 3 3 artikla Määritelmät
- 1 9 artikla Kyberturvallisuussuunnitelmat
- 1 13 artikla CERT-EU:n toimeksianto ja tehtävät
- 13 21 artikla Raportointivelvoitteet
I LUKU
YLEISET SÄÄNNÖKSET
II LUKU
TOIMENPITEET KYBERTURVALLISUUDEN YHTEISEN KORKEAN TASON VARMISTAMISEKSI
III LUKU
TOIMIELINTEN VÄLINEN KYBERTURVALLISUUSLAUTAKUNTA
IV LUKU
CERT-EU
V LUKU
YHTEISTYÖ- JA RAPORTOINTIVELVOITTEET
VI LUKU
LOPPUSÄÄNNÖKSET
- unionin 40
- eu / artiklan 15
- toimijoiden 15
- nojalla 15
- direktiivin 13
- toimijan 12
- määriteltyä 12
- alakohdassa 12
- mukaan 12
- cert-eu 12
- artiklan 11
- kanssa 10
- tietoja 9
- joka 9
- tapauksen 7
- niiden 7
- sekä 7
- asetuksen 7
- merkittävä 7
- verkko- 7
- kyberturvallisuuden 7
- toimijat 7
- ilman 6
- cert-eu 6
- poikkeaman 6
- tämän 6
- unionin 6
- viivytystä 6
- aiheetonta 6
- tvt-ympäristön 6
- cert-eu:n 6
- vaikutukset 6
- siitä 5
- euroopan 5
- poikkeamista 5
- merkittävästä 5
- tietojärjestelmien 5
- poikkeama 5
- poikkeamasta 5
- tiedot 5
- poikkeamien 4
- mukaisesti 4
- artikla 4
- pohjalta 4
- palvelut 4
- toimijoille 4
- tehtäviä 4
- niitä 4
- kyberturvallisuussuunnitelman 4
- tapauksessa 4
3 artikla
Määritelmät
Tässä asetuksessa tarkoitetaan:
| 1) | ’unionin toimijoilla’ Euroopan unionista tehdyllä sopimuksella, Euroopan unionin toiminnasta tehdyllä sopimuksella tai Euroopan atomienergiayhteisön perustamissopimuksella taikka niiden nojalla perustettuja unionin toimielimiä, elimiä, toimistoja ja virastoja; |
| 2) | ’verkko- ja tietojärjestelmällä’ direktiivin (EU) 2022/2555 6 artiklan 1 alakohdassa määriteltyä verkko- ja tietojärjestelmää; |
| 3) | ’verkko- ja tietojärjestelmien turvallisuudella’ direktiivin (EU) 2022/2555 6 artiklan 2 alakohdassa määriteltyä verkko- ja tietojärjestelmien turvallisuutta; |
| 4) | ’kyberturvallisuudella’ asetuksen (EU) 2019/881 2 artiklan 1 alakohdassa määriteltyä kyberturvallisuutta; |
| 5) | ’ylimmällä johdolla’ unionin toimijan toiminnasta vastaavaa kaikkein ylimpään johtotasoon kuuluvaa johtajaa, hallintoelintä tai koordinointi- ja valvontaelintä, jolla on valtuudet tehdä tai valtuuttaa tekemään päätöksiä kyseisen unionin toimijan korkean tason hallintojärjestelyjen mukaisesti, sanotun kuitenkaan rajoittamatta muiden hallintotasojen muodollisten vastuiden soveltamista vaatimusten noudattamisen ja kyberturvallisuusriskien hallinnan osalta niiden omilla vastuualueilla; |
| 6) | ’läheltä piti -tilanteella’ direktiivin (EU) 2022/2555 6 artiklan 5 alakohdassa määriteltyä läheltä piti -tilannetta; |
| 7) | ’poikkeamalla’ direktiivin (EU) 2022/2555 6 artiklan 6 alakohdassa määriteltyä poikkeamaa; |
| 8) | ’laajavaikutteisella poikkeamalla’ mitä tahansa poikkeamaa, joka aiheuttaa niin laajan häiriön, ettei unionin toimijalla ja CERT-EU:lla ole valmiuksia hallita sitä, tai jolla on merkittävä vaikutus vähintään kahteen unionin toimijaan; |
| 9) | ’laajamittaisella kyberturvallisuuspoikkeamalla’ direktiivin (EU) 2022/2555 6 artiklan 7 alakohdassa määriteltyä laajamittaista kyberturvallisuuspoikkeamaa; |
| 10) | ’poikkeaman käsittelyllä’ direktiivin (EU) 2022/2555 6 artiklan 8 alakohdassa määriteltyä poikkeaman käsittelyä; |
| 11) | ’kyberuhkalla’ asetuksen (EU) 2019/881 2 artiklan 8 alakohdassa määriteltyä kyberuhkaa; |
| 12) | ’merkittävällä kyberuhkalla’ direktiivin (EU) 2022/2555 6 artiklan 11 alakohdassa määriteltyä merkittävää kyberuhkaa; |
| 13) | ’haavoittuvuudella’ direktiivin (EU) 2022/2555 6 artiklan 15 alakohdassa määriteltyä haavoittuvuutta; |
| 14) | ’kyberturvallisuusriskillä’ direktiivin (EU) 2022/2555 6 artiklan 9 alakohdassa määriteltyä riskiä; |
| 15) | ’pilvipalvelulla’ direktiivin (EU) 2022/2555 6 artiklan 30 alakohdassa määriteltyä pilvipalvelua. |
9 artikla
Kyberturvallisuussuunnitelmat
1. Edellä olevan 7 artiklan nojalla tehdyn kyberturvallisuuden kehitystason arvioinnin päättymisen jälkeen ja ottaen huomioon kehyksessä eritellyt resurssit ja kyberturvallisuusriskit sekä 8 artiklan nojalla toteutetut kyberturvallisuusriskien hallintatoimenpiteet kunkin unionin toimijan ylin johto hyväksyy kyberturvallisuussuunnitelman ilman aiheetonta viivytystä ja joka tapauksessa viimeistään 8 päivänä tammikuuta 2026. Kyberturvallisuussuunnitelman tavoitteena on nostaa unionin toimijan yleistä kyberturvallisuuden tasoa ja edistää siten kyberturvallisuuden yhteisen korkean tason parantamista unionin toimijoiden toiminnassa. Kyberturvallisuussuunnitelman on sisällettävä vähintään 8 artiklan nojalla toteutetut kyberturvallisuusriskien hallintatoimenpiteet. Kyberturvallisuussuunnitelmaa on tarkistettava kahden vuoden välein tai tarvittaessa useammin 7 artiklan nojalla tehtyjen kyberturvallisuuden kehitystason arviointien tai kehyksen merkittävän uudelleentarkastelun perusteella.
2. Kyberturvallisuussuunnitelman on sisällettävä laajavaikutteisia poikkeamia koskeva unionin toimijan kyberkriisinhallintasuunnitelma.
3. Unionin toimija toimittaa valmiin kyberturvallisuussuunnitelman 10 artiklan nojalla perustetulle toimielinten väliselle kyberturvallisuuslautakunnalle.
III LUKU
TOIMIELINTEN VÄLINEN KYBERTURVALLISUUSLAUTAKUNTA
13 artikla
CERT-EU:n toimeksianto ja tehtävät
1. CERT-EU:n toimeksiantona on edistää unionin toimijoiden turvallisuusluokittelemattoman TVT-ympäristön turvallisuutta neuvomalla niitä kyberturvallisuusasioissa, auttamalla niitä ehkäisemään, havaitsemaan, käsittelemään ja lieventämään poikkeamia, reagoimaan niihin ja palautumaan niistä sekä toimimalla niiden kyberturvallisuutta koskevan tietojenvaihdon ja poikkeamanhallinnan koordinointikeskuksena.
2. CERT-EU kerää, hallinnoi, analysoi ja jakaa unionin toimijoiden kanssa tietoja kyberuhkista, haavoittuvuuksista ja poikkeamista turvallisuusluokittelemattomassa TVT-infrastruktuurissa. Se koordinoi poikkeamiin liittyviä hallintatoimia toimielinten välisellä ja unionin toimijoiden tasolla, muun muassa tarjoamalla erikoistunutta operatiivista apua tai koordinoimalla sen tarjoamista.
3. CERT-EU hoitaa seuraavia tehtäviä unionin toimijoiden avustamiseksi:
| a) | se tukee niitä tämän asetuksen täytäntöönpanossa ja edistää tämän asetuksen täytäntöönpanon koordinointia 14 artiklan 1 kohdassa lueteltujen toimenpiteiden tai IICB:n pyytämien tapauskohtaisten raporttien kautta; |
| b) | se tarjoaa unionin toimijoille vakioituja CSIRT-palveluja palveluluettelossaan kuvattujen kyberturvallisuuspalvelujen paketin avulla (perustason palvelut); |
| c) | se ylläpitää vertais- ja kumppaniverkostoa 17 ja 18 artiklassa esitettyjen palvelujen tukemiseksi; |
| d) | se tuo IICB:n tietoon tämän asetuksen täytäntöönpanoon sekä ohjeiden, suositusten ja toimintakehotusten täytäntöönpanoon liittyviä ongelmia; |
| e) | se edistää 2 kohdassa tarkoitettujen tietojen pohjalta unionin kyberturvallisuuden tilannekuvan muodostamista tiiviissä yhteistyössä ENISAn kanssa; |
| f) | se koordinoi laajavaikutteisten poikkeamien hallintaa; |
| g) | se toimii unionin toimijoiden puolesta direktiivin (EU) 2022/2555 12 artiklan 1 kohdan nojalla koordinoitua haavoittuvuuksien julkistamista varten nimettyä koordinaattoria vastaavana tahona; |
| h) | se tarjoaa unionin toimijan pyynnöstä kyseisen unionin toimijan yleisesti saatavilla olevien verkko- ja tietojärjestelmien ennakoivaa, ei-intrusiivista skannausta. |
Ensimmäisen alakohdan e alakohdassa tarkoitetut tiedot on soveltuvin osin ja tapauksen mukaan, jollei asianmukaisista salassapitoehdoista muuta johdu, jaettava IICB:n, CSIRT-verkoston ja Euroopan unionin tiedusteluanalyysikeskuksen (EU INTCEN) kanssa.
4. CERT-EU voi tapauksen mukaan 17 tai 18 artiklan mukaisesti tehdä yhteistyötä asiaankuuluvien kyberturvallisuusyhteisöjen kanssa unionissa ja sen jäsenvaltioissa, myös seuraavilla aloilla:
| a) | varautuminen, poikkeamien koordinointi, tietojenvaihto ja kriisinhallinta teknisellä tasolla unionin toimijoihin liittyvissä tapauksissa; |
| b) | CSIRT-verkostoa koskeva operatiivinen yhteistyö, myös keskinäisen avunannon osalta; |
| c) | kyberuhkatiedustelutieto, mukaan lukien tilannetietoisuus; |
| d) | mikä tahansa aihe, joka edellyttää CERT-EU:n teknistä kyberturvallisuusasiantuntemusta. |
5. CERT-EU tekee toimivaltansa puitteissa jäsenneltyä yhteistyötä ENISAn kanssa valmiuksien kehittämisen, operatiivisen yhteistyön ja kyberuhkista tehtävien pitkän aikavälin strategisten analyysien alalla asetuksen (EU) 2019/881 mukaisesti. CERT-EU voi tehdä yhteistyötä ja vaihtaa tietoja Europolin Euroopan kyberrikostorjuntakeskuksen kanssa.
6. CERT-EU voi tarjota seuraavia, muita kuin sen palveluluettelossa kuvattuja palveluja (maksulliset palvelut):
| a) | palvelut, joilla tuetaan unionin toimijoiden TVT-ympäristön kyberturvallisuutta, lukuun ottamatta 3 kohdassa tarkoitettuja palveluja, palvelutasosopimusten perusteella ja saatavilla olevien resurssien mukaan, erityisesti laaja-alainen verkkoseuranta, mukaan lukien erittäin vakavien kyberuhkien ensivaiheen ympärivuorokautinen seuranta; |
| b) | palvelut, joilla tuetaan unionin toimijoiden kyberturvallisuusoperaatioita tai -hankkeita, lukuun ottamatta operaatioita tai hankkeita niiden TVT-ympäristön suojaamiseksi, kirjallisten sopimusten perusteella ja IICB:n ennakkohyväksynnän pohjalta; |
| c) | asianomaisen unionin toimijan verkko- ja tietojärjestelmien ennakoiva skannaus pyynnöstä sellaisten haavoittuvuuksien havaitsemiseksi, joilla voi olla merkittävä vaikutus; |
| d) | palvelut, joilla tuetaan niiden TVT-ympäristön turvallisuutta, sellaisille muille organisaatioille kuin unionin toimijoille, jotka tekevät tiivistä yhteistyötä unionin toimijoiden kanssa esimerkiksi siksi, että niillä on unionin lainsäädännön nojalla siirrettyjä tehtäviä tai vastuita, kirjallisten sopimusten perusteella ja IICB:n ennakkohyväksynnän pohjalta. |
Sovellettaessa ensimmäisen alakohdan d alakohtaa CERT-EU voi poikkeuksellisesti tehdä palvelutasosopimuksia muiden kuin unionin toimijoiden kanssa IICB:n ennakkohyväksynnän pohjalta.
7. CERT-EU järjestää kyberturvallisuusharjoituksia ja voi osallistua niihin tai suosittelee osallistumista olemassa oleviin harjoituksiin, tapauksen mukaan tiiviissä yhteistyössä ENISAn kanssa, unionin toimijoiden kyberturvallisuuden tason testaamiseksi.
8. CERT-EU voi tarjota unionin toimijoille apua sellaisissa verkko- ja tietojärjestelmissä esiintyvien poikkeamien osalta, joissa käsitellään EU:n turvallisuusluokiteltuja tietoja, jos asianomaiset unionin toimijat nimenomaisesti pyytävät sitä tekemään niin omien menettelyjensä mukaisesti. CERT-EU:n tämän kohdan nojalla tarjoaman avun tarjoaminen ei rajoita turvallisuusluokiteltujen tietojen suojaamista koskevien sovellettavien sääntöjen soveltamista.
9. CERT-EU ilmoittaa unionin toimijoille poikkeamien käsittelyä koskevista menettelyistään ja prosesseistaan.
10. CERT-EU tarjoaa asianmukaisten yhteistyömekanismien ja raportointisuhteiden kautta luottamuksellisuuden ja luotettavuuden korkean tason varmistaen asiaankuuluvia ja anonymisoituja tietoja laajavaikutteisista poikkeamista sekä tavasta, jolla ne on käsitelty. Nämä tiedot sisällytetään 10 artiklan 14 kohdassa tarkoitettuun raporttiin.
11. CERT-EU tukee yhteistyössä EDPS:n kanssa asianomaisia unionin toimijoita puututtaessa henkilötietojen tietoturvaloukkauksiin johtaneisiin poikkeamiin, sanotun kuitenkaan rajoittamatta EDPS:n toimivaltaa ja tehtäviä valvontaviranomaisena asetuksen (EU) 2018/1725 nojalla.
12. CERT-EU voi antaa teknistä neuvontaa tai lausuntoja asiaankuuluvista toimintapoliittisista kysymyksistä, jos unionin toimijoiden toimintapoliittiset osastot sitä nimenomaisesti pyytävät.
21 artikla
Raportointivelvoitteet
1. Poikkeama katsotaan merkittäväksi, jos
| a) | se on aiheuttanut tai voi aiheuttaa asianomaisen unionin toimijan toiminnalle vakavan toimintahäiriön tai sille suuria taloudellisia tappioita; |
| b) | se on vaikuttanut tai voi vaikuttaa muihin luonnollisiin henkilöihin tai oikeushenkilöihin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa. |
2. Unionin toimijat toimittavat CERT-EU:lle
| a) | ilman aiheetonta viivytystä ja joka tapauksessa 24 tunnin kuluessa siitä, kun ne ovat tulleet tietoisiksi merkittävästä poikkeamasta, ennakkovaroituksen, jossa on tapauksen mukaan ilmoitettava, epäilläänkö merkittävän poikkeaman johtuvan lainvastaisista tai vihamielisistä teoista tai voiko sillä olla toimijoiden välisiä tai rajatylittäviä vaikutuksia; |
| b) | ilman aiheetonta viivytystä ja joka tapauksessa 72 tunnin kuluessa siitä, kun ne ovat tulleet tietoisiksi merkittävästä poikkeamasta, poikkeamailmoituksen, jossa on tapauksen mukaan ajantasaistettava a alakohdassa tarkoitetut tiedot ja esitettävä ensimmäinen arvio merkittävästä poikkeamasta, sen vakavuus ja vaikutukset mukaan lukien, sekä vaarantumisindikaattorit, jos sellaisia on saatavilla; |
| c) | CERT-EU:n pyynnöstä väliraportin asiaan liittyvistä tilannepäivityksistä; |
| d) | viimeistään kuukauden kuluttua b alakohdan mukaisen poikkeamailmoituksen toimittamisesta lopullisen raportin, joka sisältää seuraavat tiedot:
|
| e) | jos poikkeama on edelleen meneillään silloin, kun d alakohdassa tarkoitettu lopullinen raportti pitäisi toimittaa, edistymisraportti tuolloin ja lopullinen raportti kuukauden kuluessa siitä, kun ne ovat käsitelleet poikkeaman. |
3. Unionin toimija ilmoittaa ilman aiheetonta viivytystä ja joka tapauksessa 24 tunnin kuluessa siitä, kun se on tullut tietoiseksi merkittävästä poikkeamasta, asiaankuuluville 17 artiklan 1 kohdassa tarkoitetuille jäsenvaltioiden vastaavia tehtäviä hoitaville elimille siinä jäsenvaltiossa, jossa se sijaitsee, että on esiintynyt merkittävä poikkeama.
4. Unionin toimijat ilmoittavat muun muassa kaikki tiedot, joiden avulla CERT-EU voi määrittää mahdolliset toimijoiden väliset vaikutukset, vaikutukset isäntäjäsenvaltioon tai rajatylittävät vaikutukset merkittävän poikkeaman jälkeen. Ilmoittaminen ei itsessään lisää unionin toimijan vastuuta, sanotun kuitenkaan rajoittamatta 12 artiklan soveltamista.
5. Unionin toimijat tiedottavat soveltuvin osin ilman aiheetonta viivytystä niiden verkko- ja tietojärjestelmien, joihin merkittävä poikkeama tai merkittävä kyberuhka vaikuttaa, tai TVT-ympäristön muiden komponenttien käyttäjille, joihin poikkeama tai uhka saattaa vaikuttaa ja joiden on tapauksen mukaan tarpeen toteuttaa lieventäviä toimenpiteitä, kaikista toimenpiteistä tai korjaavista toimista, joita nämä voivat poikkeamaan tai kyseiseen uhkaan reagoimiseksi toteuttaa. Unionin toimijat tiedottavat tarvittaessa kyseisille käyttäjille merkittävästä kyberuhkasta itsestään.
6. Jos merkittävä poikkeama tai merkittävä kyberuhka vaikuttaa sellaiseen verkko- ja tietojärjestelmään tai unionin toimijan TVT-ympäristön sellaiseen komponenttiin, jonka tiedetään olevan yhteydessä toisen unionin toimijan TVT-ympäristöön, CERT-EU antaa asiaankuuluvan kyberturvallisuushälytyksen.
7. Unionin toimijat antavat CERT-EU:n pyynnöstä ilman aiheetonta viivytystä CERT-EU:lle niitä koskevissa poikkeamissa osallisina olleiden elektronisten laitteiden käytöllä luotuja digitaalisia tietoja. CERT-EU voi antaa yksityiskohtaisempia tietoja siitä, minkä tyyppisiä tietoja se tarvitsee tilannekuvan muodostamista ja poikkeamanhallintaa varten.
8. CERT-EU toimittaa IICB:lle, ENISAlle, EU INTCENille ja CSIRT-verkostolle kolmen kuukauden välein yhteenvetoraportin, joka sisältää anonymisoidut koontitiedot merkittävistä poikkeamista, poikkeamista, kyberuhkista, läheltä piti -tilanteista ja haavoittuvuuksista 20 artiklan nojalla sekä merkittävistä poikkeamista, joista on ilmoitettu tämän artiklan 2 kohdan nojalla. Yhteenvetoraportti otetaan huomioon direktiivin (EU) 2022/2555 18 artiklan nojalla joka toinen vuosi annettavassa kyberturvallisuuden tilaa unionissa käsittelevässä kertomuksessa.
9. IICB antaa 8 päivään heinäkuuta 2024 mennessä ohjeita tai suosituksia, joissa täsmennetään järjestelyt tämän artiklan nojalla tapahtuvaa raportointia varten sekä sen muoto ja sisältö. IICB ottaa tällaisia ohjeita tai suosituksia laatiessaan huomioon direktiivin (EU) 2022/2555 23 artiklan 11 kohdan nojalla hyväksytyt täytäntöönpanosäädökset, joissa täsmennetään tiedonannon tietosisältö, muoto ja ilmoitusmenettely. CERT-EU levittää asianmukaiset tekniset tiedot, jotta unionin toimijat voivat ennakoivasti havaita ongelmia, reagoida poikkeamiin tai toteuttaa lieventäviä toimenpiteitä.
10. Tässä artiklassa säädetyt raportointivelvoitteet eivät koske
| a) | EU:n turvallisuusluokiteltuja tietoja; |
| b) | tietoja, joiden edelleenjakelu on suljettu pois näkyvällä merkinnällä, paitsi jos niiden jakaminen CERT-EU:n kanssa on nimenomaisesti sallittu. |
whereas