keyboard_tab Cyber Resilience Act 2023/2841 FI
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 11 artikla IICB:n tehtävät
- 2 12 artikla Vaatimusten noudattaminen
- 1 13 artikla CERT-EU:n toimeksianto ja tehtävät
- 1 15 artikla CERT-EU:n päällikkö
- 1 18 artikla CERT-EU:n yhteistyö muiden vastaavaa tehtävää hoitavien elinten kanssa
- 1 21 artikla Raportointivelvoitteet
I LUKU
YLEISET SÄÄNNÖKSET
II LUKU
TOIMENPITEET KYBERTURVALLISUUDEN YHTEISEN KORKEAN TASON VARMISTAMISEKSI
III LUKU
TOIMIELINTEN VÄLINEN KYBERTURVALLISUUSLAUTAKUNTA
IV LUKU
CERT-EU
V LUKU
YHTEISTYÖ- JA RAPORTOINTIVELVOITTEET
VI LUKU
LOPPUSÄÄNNÖKSET
- unionin 69
- cert-eu:n 34
- mukaan 25
- toimijoiden 24
- kanssa 21
- nojalla 18
- cert-eu 15
- toimijan 15
- artiklan 15
- antaa 14
- tämän 14
- tietoja 13
- asetuksen 13
- tehtävää 12
- cert-eu 12
- lukien 11
- hyväksyy 11
- että 11
- sekä 11
- tapauksen 11
- joka 10
- toimijat 10
- vastaavaa 10
- niiden 10
- päällikkö 9
- iicb 9
- kyberturvallisuuden 8
- tiedot 8
- yhteistyötä 8
- mukaisesti 8
- varten 8
- kuluessa 8
- päällikön 7
- muun 7
- alakohdan 7
- huomioon 7
- kuin 6
- ehdotuksesta 6
- artikla 6
- muiden 6
- merkittävä 6
- osalta 6
- tehdä 6
- poikkeamien 6
- tvt-ympäristön 6
- kohdassa 6
- ensimmäisen 6
- toimija 6
- toimijalle 6
- poikkeama 6
11 artikla
IICB:n tehtävät
Hoitaessaan tehtäviään IICB erityisesti
| a) | antaa CERT-EU:n päällikölle ohjausta; |
| b) | seuraa ja valvoo tehokkaasti tämän asetuksen täytäntöönpanoa ja tukee unionin toimijoita niiden kyberturvallisuuden vahvistamisessa, tapauksen mukaan myös pyytämällä tapauskohtaisia raportteja unionin toimijoilta ja CERT-EU:lta; |
| c) | hyväksyy strategisen keskustelun jälkeen monivuotisen strategian kyberturvallisuuden tason nostamisesta unionin toimijoissa, arvioi kyseistä strategiaa säännöllisesti ja joka tapauksessa viiden vuoden välein ja tarvittaessa muuttaa strategiaa; |
| d) | vahvistaa menetelmät ja organisatoriset näkökohdat unionin toimijoiden suorittamien vapaaehtoisten vertaisarviointien toteuttamiseksi, jotta voidaan oppia yhteisistä kokemuksista, lujittaa keskinäistä luottamusta ja saavuttaa kyberturvallisuuden yhteinen korkea taso sekä kehittää unionin toimijoiden kyberturvallisuusvalmiuksia, varmistaen, että tällaisia vertaisarviointeja suorittavat muun kuin arvioitavana olevan unionin toimijan nimeämät kyberturvallisuusasiantuntijat ja että menetelmät perustuvat direktiivin (EU) 2022/2555 19 artiklaan ja ne mukautetaan tapauksen mukaan unionin toimijoihin; |
| e) | hyväksyy CERT-EU:n päällikön ehdotuksesta CERT-EU:n vuotuisen työohjelman ja seuraa sen täytäntöönpanoa; |
| f) | hyväksyy CERT-EU:n päällikön ehdotuksesta CERT-EU:n palveluluettelon ja sen mahdolliset päivitykset; |
| g) | hyväksyy CERT-EU:n päällikön ehdotuksesta CERT-EU:n toimintaa koskevan vuotuisen rahoitussuunnitelman tuloista ja menoista, mukaan lukien henkilöstö; |
| h) | hyväksyy CERT-EU:n päällikön ehdotuksesta palvelutasosopimuksia koskevat järjestelyt; |
| i) | tarkastelee CERT-EU:n päällikön laatimaa vuosikertomusta, joka kattaa CERT-EU:n toiminnan ja varainhoidon, ja hyväksyy sen; |
| j) | hyväksyy CERT-EU:n päällikön ehdotuksesta vahvistetut CERT-EU:n keskeiset tulosindikaattorit ja seuraa niitä; |
| k) | hyväksyy yhteistyöjärjestelyt, palvelutasosopimukset tai sopimukset CERT-EU:n ja muiden toimijoiden välillä 18 artiklan nojalla; |
| l) | hyväksyy ohjeita ja suosituksia CERT-EU:n ehdotuksesta 14 artiklan mukaisesti ja ohjeistaa CERT-EU:ta antamaan ehdotuksen ohjeiksi tai suosituksiksi taikka toimintakehotuksen, peruuttamaan sen tai muuttamaan sitä; |
| m) | perustaa teknisiä neuvoa-antavia ryhmiä, joilla on erityistehtäviä, avustamaan IICB:tä sen työssä, hyväksyy niiden tehtävänmääritykset ja nimeää niiden puheenjohtajat; |
| n) | vastaanottaa ja arvioi unionin toimijoiden tämän asetuksen nojalla toimittamia asiakirjoja ja raportteja, kuten kyberturvallisuuden kehitystason arviointeja; |
| o) | helpottaa ENISAn tuella toimivan unionin toimijoiden paikallisten kyberturvallisuusvastaavien epävirallisen ryhmän perustamista tavoitteena vaihtaa parhaita käytäntöjä ja tietoja tämän asetuksen täytäntöönpanosta; |
| p) | seuraa CERT-EU:n antamat tunnistettuja kyberturvallisuusriskejä ja saatuja kokemuksia koskevat tiedot huomioon ottaen unionin toimijoiden TVT-ympäristöjen kesken tehtyjen yhteenliitäntäjärjestelyjen riittävyyttä ja antaa neuvoja mahdollisista parannuksista; |
| q) | laatii kyberkriisinhallintasuunnitelman, jotta voidaan tukea operatiivisella tasolla unionin toimijoihin vaikuttavien laajavaikutteisten poikkeamien koordinoitua hallintaa ja edistää asiaankuuluvien tietojen säännöllistä vaihtoa, erityisesti kun on kyse laajavaikutteisten poikkeamien vaikutuksista ja vakavuudesta sekä mahdollisista keinoista lieventää niiden vaikutuksia; |
| r) | koordinoi 9 artiklan 2 kohdassa tarkoitettujen yksittäisten unionin toimijoiden kyberkriisinhallintasuunnitelmien hyväksymistä; |
| s) | hyväksyy 8 artiklan 2 kohdan ensimmäisen alakohdan m alakohdassa tarkoitettuun toimitusketjun turvallisuuteen liittyviä suosituksia, ottaen huomioon direktiivin (EU) 2022/2555 22 artiklassa tarkoitettujen kriittisiä toimitusketjuja koskevien unionin tason koordinoitujen turvallisuusriskinarviointien tulokset, tukeakseen unionin toimijoita tehokkaiden ja oikeasuhteisten kyberturvallisuusriskien hallintatoimenpiteiden hyväksymisessä. |
12 artikla
Vaatimusten noudattaminen
1. IICB seuraa 10 artiklan 2 kohdan ja 11 artiklan nojalla tehokkaasti tämän asetuksen sekä hyväksyttyjen ohjeiden, suositusten ja toimintakehotusten täytäntöönpanoa unionin toimijoissa. IICB voi pyytää unionin toimijoilta tätä tarkoitusta varten tarvittavia tietoja tai asiakirjoja. Hyväksyttäessä vaatimusten noudattamista koskevia toimenpiteitä tämän artiklan nojalla asianomaisella unionin toimijalla ei ole äänioikeutta, jos kyseinen unionin toimija on suoraan edustettuna IICB:ssä.
2. Jos IICB toteaa, että unionin toimija ei ole tehokkaasti pannut täytäntöön tätä asetusta tai sen nojalla annettuja ohjeita, suosituksia tai toimintakehotuksia, se voi, rajoittamatta asianomaisen unionin toimijan sisäisiä menettelyjä ja annettuaan asianomaiselle unionin toimijalle tilaisuuden esittää huomautuksensa,
| a) | toimittaa asianomaiselle unionin toimijalle perustellun lausunnon, jossa esitetään tämän asetuksen täytäntöönpanossa havaitut puutteet; |
| b) | antaa CERT-EU:ta kuultuaan asianomaiselle unionin toimijalle ohjeita sen varmistamiseksi, että sen kehys, kyberturvallisuusriskien hallintatoimenpiteet, kyberturvallisuussuunnitelma ja raportointi ovat tämän asetuksen mukaisia tietyn määräajan kuluessa; |
| c) | antaa varoituksen, jonka mukaan yksilöityihin puutteisiin on puututtava tietyn määräajan kuluessa, mukaan lukien suositukset asianomaisen unionin toimijan tämän asetuksen nojalla hyväksymien toimenpiteiden muuttamiseksi; |
| d) | antaa asianomaiselle unionin toimijalle perustellun ilmoituksen siinä tapauksessa, että c alakohdan nojalla annetussa varoituksessa yksilöityihin puutteisiin ei ole riittävästi puututtu tietyn määräajan kuluessa; |
| e) | antaa
|
| f) | ilmoittaa tapauksen mukaan tilintarkastustuomioistuimelle sen toimeksiannon piiriin kuuluvasta väitetystä vaatimusten noudattamatta jättämisestä; |
| g) | antaa suosituksen, että kaikki jäsenvaltiot ja unionin toimijat panevat täytäntöön asianomaiselle unionin toimijalle toimitettavien tietovirtojen väliaikaisen keskeyttämisen. |
Sovellettaessa ensimmäisen alakohdan c alakohtaa varoituksen yleisö on rajattava asianmukaisesti, tarpeen mukaan pakottavaa kyberturvallisuusriskiä silmällä pitäen.
Ensimmäisen alakohdan nojalla annetut varoitukset ja suositukset on osoitettava asianomaisen unionin toimijan ylimmälle johdolle.
3. Jos IICB on hyväksynyt toimenpiteitä 2 kohdan ensimmäisen alakohdan a–g alakohdan nojalla, asianomainen unionin toimija antaa yksityiskohtaiset tiedot IICB:n yksilöimien väitettyjen puutteiden korjaamiseksi toteutetuista toimenpiteistä ja toimista. Unionin toimija toimittaa nämä yksityiskohtaiset tiedot IICB:n kanssa sovittavan kohtuullisen määräajan kuluessa.
4. Jos IICB katsoo, että unionin toimija rikkoo jatkuvasti tätä asetusta unionin virkamiehen tai muun henkilöstön jäsenen, myös ylimpään johtoon kuuluvan, toimien tai laiminlyöntien välittömänä seurauksena, IICB pyytää asianomaista unionin toimijaa toteuttamaan asianmukaisia toimia, muun muassa harkitsemaan kurinpitotoimien toteuttamista, henkilöstösäännöissä vahvistettujen sääntöjen ja menettelyjen sekä muiden sovellettavien sääntöjen ja menettelyjen mukaisesti. Tätä varten IICB välittää tarvittavat tiedot asianomaiselle unionin toimijalle.
5. Jos unionin toimijat ilmoittavat, etteivät ne pysty noudattamaan 6 artiklan 1 kohdassa ja 8 artiklan 1 kohdassa säädettyjä määräaikoja, IICB voi asianmukaisesti perustelluissa tapauksissa toimijan koon huomioon ottaen antaa luvan kyseisten määräaikojen pidentämiseen.
IV LUKU
CERT-EU
13 artikla
CERT-EU:n toimeksianto ja tehtävät
1. CERT-EU:n toimeksiantona on edistää unionin toimijoiden turvallisuusluokittelemattoman TVT-ympäristön turvallisuutta neuvomalla niitä kyberturvallisuusasioissa, auttamalla niitä ehkäisemään, havaitsemaan, käsittelemään ja lieventämään poikkeamia, reagoimaan niihin ja palautumaan niistä sekä toimimalla niiden kyberturvallisuutta koskevan tietojenvaihdon ja poikkeamanhallinnan koordinointikeskuksena.
2. CERT-EU kerää, hallinnoi, analysoi ja jakaa unionin toimijoiden kanssa tietoja kyberuhkista, haavoittuvuuksista ja poikkeamista turvallisuusluokittelemattomassa TVT-infrastruktuurissa. Se koordinoi poikkeamiin liittyviä hallintatoimia toimielinten välisellä ja unionin toimijoiden tasolla, muun muassa tarjoamalla erikoistunutta operatiivista apua tai koordinoimalla sen tarjoamista.
3. CERT-EU hoitaa seuraavia tehtäviä unionin toimijoiden avustamiseksi:
| a) | se tukee niitä tämän asetuksen täytäntöönpanossa ja edistää tämän asetuksen täytäntöönpanon koordinointia 14 artiklan 1 kohdassa lueteltujen toimenpiteiden tai IICB:n pyytämien tapauskohtaisten raporttien kautta; |
| b) | se tarjoaa unionin toimijoille vakioituja CSIRT-palveluja palveluluettelossaan kuvattujen kyberturvallisuuspalvelujen paketin avulla (perustason palvelut); |
| c) | se ylläpitää vertais- ja kumppaniverkostoa 17 ja 18 artiklassa esitettyjen palvelujen tukemiseksi; |
| d) | se tuo IICB:n tietoon tämän asetuksen täytäntöönpanoon sekä ohjeiden, suositusten ja toimintakehotusten täytäntöönpanoon liittyviä ongelmia; |
| e) | se edistää 2 kohdassa tarkoitettujen tietojen pohjalta unionin kyberturvallisuuden tilannekuvan muodostamista tiiviissä yhteistyössä ENISAn kanssa; |
| f) | se koordinoi laajavaikutteisten poikkeamien hallintaa; |
| g) | se toimii unionin toimijoiden puolesta direktiivin (EU) 2022/2555 12 artiklan 1 kohdan nojalla koordinoitua haavoittuvuuksien julkistamista varten nimettyä koordinaattoria vastaavana tahona; |
| h) | se tarjoaa unionin toimijan pyynnöstä kyseisen unionin toimijan yleisesti saatavilla olevien verkko- ja tietojärjestelmien ennakoivaa, ei-intrusiivista skannausta. |
Ensimmäisen alakohdan e alakohdassa tarkoitetut tiedot on soveltuvin osin ja tapauksen mukaan, jollei asianmukaisista salassapitoehdoista muuta johdu, jaettava IICB:n, CSIRT-verkoston ja Euroopan unionin tiedusteluanalyysikeskuksen (EU INTCEN) kanssa.
4. CERT-EU voi tapauksen mukaan 17 tai 18 artiklan mukaisesti tehdä yhteistyötä asiaankuuluvien kyberturvallisuusyhteisöjen kanssa unionissa ja sen jäsenvaltioissa, myös seuraavilla aloilla:
| a) | varautuminen, poikkeamien koordinointi, tietojenvaihto ja kriisinhallinta teknisellä tasolla unionin toimijoihin liittyvissä tapauksissa; |
| b) | CSIRT-verkostoa koskeva operatiivinen yhteistyö, myös keskinäisen avunannon osalta; |
| c) | kyberuhkatiedustelutieto, mukaan lukien tilannetietoisuus; |
| d) | mikä tahansa aihe, joka edellyttää CERT-EU:n teknistä kyberturvallisuusasiantuntemusta. |
5. CERT-EU tekee toimivaltansa puitteissa jäsenneltyä yhteistyötä ENISAn kanssa valmiuksien kehittämisen, operatiivisen yhteistyön ja kyberuhkista tehtävien pitkän aikavälin strategisten analyysien alalla asetuksen (EU) 2019/881 mukaisesti. CERT-EU voi tehdä yhteistyötä ja vaihtaa tietoja Europolin Euroopan kyberrikostorjuntakeskuksen kanssa.
6. CERT-EU voi tarjota seuraavia, muita kuin sen palveluluettelossa kuvattuja palveluja (maksulliset palvelut):
| a) | palvelut, joilla tuetaan unionin toimijoiden TVT-ympäristön kyberturvallisuutta, lukuun ottamatta 3 kohdassa tarkoitettuja palveluja, palvelutasosopimusten perusteella ja saatavilla olevien resurssien mukaan, erityisesti laaja-alainen verkkoseuranta, mukaan lukien erittäin vakavien kyberuhkien ensivaiheen ympärivuorokautinen seuranta; |
| b) | palvelut, joilla tuetaan unionin toimijoiden kyberturvallisuusoperaatioita tai -hankkeita, lukuun ottamatta operaatioita tai hankkeita niiden TVT-ympäristön suojaamiseksi, kirjallisten sopimusten perusteella ja IICB:n ennakkohyväksynnän pohjalta; |
| c) | asianomaisen unionin toimijan verkko- ja tietojärjestelmien ennakoiva skannaus pyynnöstä sellaisten haavoittuvuuksien havaitsemiseksi, joilla voi olla merkittävä vaikutus; |
| d) | palvelut, joilla tuetaan niiden TVT-ympäristön turvallisuutta, sellaisille muille organisaatioille kuin unionin toimijoille, jotka tekevät tiivistä yhteistyötä unionin toimijoiden kanssa esimerkiksi siksi, että niillä on unionin lainsäädännön nojalla siirrettyjä tehtäviä tai vastuita, kirjallisten sopimusten perusteella ja IICB:n ennakkohyväksynnän pohjalta. |
Sovellettaessa ensimmäisen alakohdan d alakohtaa CERT-EU voi poikkeuksellisesti tehdä palvelutasosopimuksia muiden kuin unionin toimijoiden kanssa IICB:n ennakkohyväksynnän pohjalta.
7. CERT-EU järjestää kyberturvallisuusharjoituksia ja voi osallistua niihin tai suosittelee osallistumista olemassa oleviin harjoituksiin, tapauksen mukaan tiiviissä yhteistyössä ENISAn kanssa, unionin toimijoiden kyberturvallisuuden tason testaamiseksi.
8. CERT-EU voi tarjota unionin toimijoille apua sellaisissa verkko- ja tietojärjestelmissä esiintyvien poikkeamien osalta, joissa käsitellään EU:n turvallisuusluokiteltuja tietoja, jos asianomaiset unionin toimijat nimenomaisesti pyytävät sitä tekemään niin omien menettelyjensä mukaisesti. CERT-EU:n tämän kohdan nojalla tarjoaman avun tarjoaminen ei rajoita turvallisuusluokiteltujen tietojen suojaamista koskevien sovellettavien sääntöjen soveltamista.
9. CERT-EU ilmoittaa unionin toimijoille poikkeamien käsittelyä koskevista menettelyistään ja prosesseistaan.
10. CERT-EU tarjoaa asianmukaisten yhteistyömekanismien ja raportointisuhteiden kautta luottamuksellisuuden ja luotettavuuden korkean tason varmistaen asiaankuuluvia ja anonymisoituja tietoja laajavaikutteisista poikkeamista sekä tavasta, jolla ne on käsitelty. Nämä tiedot sisällytetään 10 artiklan 14 kohdassa tarkoitettuun raporttiin.
11. CERT-EU tukee yhteistyössä EDPS:n kanssa asianomaisia unionin toimijoita puututtaessa henkilötietojen tietoturvaloukkauksiin johtaneisiin poikkeamiin, sanotun kuitenkaan rajoittamatta EDPS:n toimivaltaa ja tehtäviä valvontaviranomaisena asetuksen (EU) 2018/1725 nojalla.
12. CERT-EU voi antaa teknistä neuvontaa tai lausuntoja asiaankuuluvista toimintapoliittisista kysymyksistä, jos unionin toimijoiden toimintapoliittiset osastot sitä nimenomaisesti pyytävät.
15 artikla
CERT-EU:n päällikkö
1. Komissio nimittää CERT-EU:n päällikön saatuaan IICB:n jäsenten kahden kolmasosan enemmistön hyväksynnän. IICB:tä kuullaan nimitysmenettelyn kaikissa vaiheissa, erityisesti tähän tehtävään liittyvien avoinna olevaa tointa koskevien ilmoitusten laatimisen, hakemusten tutkimisen ja valintalautakuntien nimittämisen osalta. Valintamenettelyssä, mukaan lukien lopullinen esivalintaluettelo ehdokkaista, joiden joukosta CERT-EU:n päällikkö on nimitettävä, on varmistettava kummankin sukupuolen tasapuolinen edustus ottaen huomioon jätetyt hakemukset.
2. CERT-EU:n päällikkö vastaa CERT-EU:n asianmukaisesta toiminnasta ja toimii roolinsa puitteissa ja IICB:n ohjauksessa. CERT-EU:n päällikkö raportoi säännöllisesti IICB:n puheenjohtajalle ja toimittaa IICB:lle tapauskohtaisia raportteja sen pyynnöstä.
3. CERT-EU:n päällikkö avustaa toimivaltaista valtuutettua tulojen ja menojen hyväksyjää laadittaessa Euroopan parlamentin ja neuvoston asetuksen (EU, Euratom) 2018/1046 (9) 74 artiklan 9 kohdan mukaisesti vuosittain toimintakertomus, joka sisältää taloutta ja hallinnointia koskevat tiedot, myös valvonnan tulokset, ja raportoi valtuutetulle tulojen ja menojen hyväksyjälle säännöllisesti niiden toimenpiteiden täytäntöönpanosta, joiden osalta CERT-EU:n päällikkö on saanut edelleenvaltuutuksen.
4. CERT-EU:n päällikkö laatii vuosittain sen toimintaa koskevan rahoitussuunnitelman hallinnollista tuloista ja menoista, ehdotetun vuotuisen työohjelman, CERT-EU:n ehdotetun palveluluettelon, ehdotetut palveluluettelon tarkistukset, ehdotetut palvelutasosopimuksia koskevat järjestelyt ja CERT-EU:n ehdotetut keskeiset tulosindikaattorit IICB:n hyväksyttäväksi 11 artiklan mukaisesti. Tarkistettaessa CERT-EU:n palveluluettelon palveluvalikoimaa CERT-EU:n päällikkö ottaa huomioon CERT-EU:lle osoitetut resurssit.
5. CERT-EU:n päällikkö toimittaa IICB:lle ja IICB:n puheenjohtajalle vähintään vuosittain raportteja CERT-EU:n toimista ja tuloksista viiteajanjakson aikana, muun muassa talousarvion toteuttamisesta, tehdyistä palvelutasosopimuksista ja kirjallisista sopimuksista, yhteistyöstä vastaavaa tehtävää hoitavien elinten ja kumppanien kanssa sekä henkilöstön tekemistä työmatkoista, mukaan lukien 11 artiklassa tarkoitetut raportit. Näihin raportteihin on sisällyttävä työohjelma seuraavaksi kaudeksi, rahoitussuunnitelma tuloista ja menoista, mukaan lukien henkilöstö, CERT-EU:n palveluluettelon suunnitellut päivitykset ja arvio odotetuista vaikutuksista, joita tällaisilla päivityksillä saattaa taloudellisten ja henkilöresurssien osalta olla.
18 artikla
CERT-EU:n yhteistyö muiden vastaavaa tehtävää hoitavien elinten kanssa
1. CERT-EU voi tehdä yhteistyötä sellaisten muiden kuin 17 artiklassa tarkoitettujen vastaavaa tehtävää unionissa hoitavien elinten kanssa, joihin sovelletaan unionin kyberturvallisuusvaatimuksia, mukaan lukien toimialakohtaiset vastaavaa tehtävää hoitavat elimet, siltä osin kuin on kyse välineistä ja menetelmistä, kuten tekniikoista, taktiikoista, menettelyistä ja parhaista käytännöistä, tai kyberuhkista ja haavoittuvuuksista. Kaikkea tällaisten vastaavaa tehtävää hoitavien elinten kanssa tehtävää yhteistyötä varten CERT-EU pyytää IICB:ltä ennakkohyväksynnän tapauskohtaisesti. Jos CERT-EU aloittaa yhteistyön tällaisten vastaavaa tehtävää hoitavien elinten kanssa, se ilmoittaa asiasta 17 artiklan 1 kohdassa tarkoitetuille asiaankuuluville jäsenvaltioiden vastaavaa tehtävää hoitaville elimille siinä jäsenvaltiossa, jossa vastaavaa tehtävää hoitava elin sijaitsee. Tällainen yhteistyö ja sen ehdot, myös kyberturvallisuuden, tietosuojan ja tietojen käsittelyn osalta, on soveltuvin osin ja tapauksen mukaan vahvistettava erityisissä salassapitojärjestelyissä, kuten sopimuksissa tai hallinnollisissa järjestelyissä. Salassapitojärjestelyt eivät edellytä IICB:n ennakkohyväksyntää, mutta niistä on ilmoitettava IICB:n puheenjohtajalle. Jos on kiireellinen ja välitön tarve vaihtaa kyberturvallisuustietoja unionin toimijoiden tai muun osapuolen etujen mukaisesti, CERT-EU voi tehdä näin jonkin sellaisen toimijan kanssa, jonka erityistä pätevyyttä, kykyä ja asiantuntemusta perustellusti vaaditaan tällaisessa kiireellisessä ja välittömässä tarpeessa avustamista varten, silloinkin, kun CERT-EU:lla ei ole käytössä salassapitojärjestelyä kyseisen toimijan kanssa. Tällaisissa tapauksissa CERT-EU ilmoittaa asiasta välittömästi IICB:n puheenjohtajalle ja raportoi IICB:lle säännöllisten raporttien tai kokousten avulla.
2. CERT-EU voi tehdä yhteistyötä kumppanien, kuten kaupallisten toimijoiden, mukaan lukien toimialakohtaiset toimijat, kansainvälisten järjestöjen, unionin ulkopuolisten kansallisten toimijoiden tai yksittäisten asiantuntijoiden, kanssa kerätäkseen tietoja yleisistä ja erityisistä kyberuhkista, läheltä piti -tilanteista, haavoittuvuuksista ja mahdollisista vastatoimista. Tällaisten kumppanien kanssa tehtävää laajempaa yhteistyötä varten CERT-EU pyytää IICB:ltä ennakkohyväksynnän tapauskohtaisesti.
3. CERT-EU voi sen unionin toimijan suostumuksella, johon poikkeama vaikuttaa, ja edellyttäen, että asiaankuuluvan vastaavaa tehtävää hoitavan elimen tai kumppanin kanssa on käytössä salassapitojärjestely tai -sopimus, antaa kyseiseen poikkeamaan liittyviä tietoja 1 ja 2 kohdassa tarkoitetuille vastaavaa tehtävää hoitaville elimille tai kumppaneille yksinomaan sen analysoinnissa auttamiseksi.
V LUKU
YHTEISTYÖ- JA RAPORTOINTIVELVOITTEET
21 artikla
Raportointivelvoitteet
1. Poikkeama katsotaan merkittäväksi, jos
| a) | se on aiheuttanut tai voi aiheuttaa asianomaisen unionin toimijan toiminnalle vakavan toimintahäiriön tai sille suuria taloudellisia tappioita; |
| b) | se on vaikuttanut tai voi vaikuttaa muihin luonnollisiin henkilöihin tai oikeushenkilöihin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa. |
2. Unionin toimijat toimittavat CERT-EU:lle
| a) | ilman aiheetonta viivytystä ja joka tapauksessa 24 tunnin kuluessa siitä, kun ne ovat tulleet tietoisiksi merkittävästä poikkeamasta, ennakkovaroituksen, jossa on tapauksen mukaan ilmoitettava, epäilläänkö merkittävän poikkeaman johtuvan lainvastaisista tai vihamielisistä teoista tai voiko sillä olla toimijoiden välisiä tai rajatylittäviä vaikutuksia; |
| b) | ilman aiheetonta viivytystä ja joka tapauksessa 72 tunnin kuluessa siitä, kun ne ovat tulleet tietoisiksi merkittävästä poikkeamasta, poikkeamailmoituksen, jossa on tapauksen mukaan ajantasaistettava a alakohdassa tarkoitetut tiedot ja esitettävä ensimmäinen arvio merkittävästä poikkeamasta, sen vakavuus ja vaikutukset mukaan lukien, sekä vaarantumisindikaattorit, jos sellaisia on saatavilla; |
| c) | CERT-EU:n pyynnöstä väliraportin asiaan liittyvistä tilannepäivityksistä; |
| d) | viimeistään kuukauden kuluttua b alakohdan mukaisen poikkeamailmoituksen toimittamisesta lopullisen raportin, joka sisältää seuraavat tiedot:
|
| e) | jos poikkeama on edelleen meneillään silloin, kun d alakohdassa tarkoitettu lopullinen raportti pitäisi toimittaa, edistymisraportti tuolloin ja lopullinen raportti kuukauden kuluessa siitä, kun ne ovat käsitelleet poikkeaman. |
3. Unionin toimija ilmoittaa ilman aiheetonta viivytystä ja joka tapauksessa 24 tunnin kuluessa siitä, kun se on tullut tietoiseksi merkittävästä poikkeamasta, asiaankuuluville 17 artiklan 1 kohdassa tarkoitetuille jäsenvaltioiden vastaavia tehtäviä hoitaville elimille siinä jäsenvaltiossa, jossa se sijaitsee, että on esiintynyt merkittävä poikkeama.
4. Unionin toimijat ilmoittavat muun muassa kaikki tiedot, joiden avulla CERT-EU voi määrittää mahdolliset toimijoiden väliset vaikutukset, vaikutukset isäntäjäsenvaltioon tai rajatylittävät vaikutukset merkittävän poikkeaman jälkeen. Ilmoittaminen ei itsessään lisää unionin toimijan vastuuta, sanotun kuitenkaan rajoittamatta 12 artiklan soveltamista.
5. Unionin toimijat tiedottavat soveltuvin osin ilman aiheetonta viivytystä niiden verkko- ja tietojärjestelmien, joihin merkittävä poikkeama tai merkittävä kyberuhka vaikuttaa, tai TVT-ympäristön muiden komponenttien käyttäjille, joihin poikkeama tai uhka saattaa vaikuttaa ja joiden on tapauksen mukaan tarpeen toteuttaa lieventäviä toimenpiteitä, kaikista toimenpiteistä tai korjaavista toimista, joita nämä voivat poikkeamaan tai kyseiseen uhkaan reagoimiseksi toteuttaa. Unionin toimijat tiedottavat tarvittaessa kyseisille käyttäjille merkittävästä kyberuhkasta itsestään.
6. Jos merkittävä poikkeama tai merkittävä kyberuhka vaikuttaa sellaiseen verkko- ja tietojärjestelmään tai unionin toimijan TVT-ympäristön sellaiseen komponenttiin, jonka tiedetään olevan yhteydessä toisen unionin toimijan TVT-ympäristöön, CERT-EU antaa asiaankuuluvan kyberturvallisuushälytyksen.
7. Unionin toimijat antavat CERT-EU:n pyynnöstä ilman aiheetonta viivytystä CERT-EU:lle niitä koskevissa poikkeamissa osallisina olleiden elektronisten laitteiden käytöllä luotuja digitaalisia tietoja. CERT-EU voi antaa yksityiskohtaisempia tietoja siitä, minkä tyyppisiä tietoja se tarvitsee tilannekuvan muodostamista ja poikkeamanhallintaa varten.
8. CERT-EU toimittaa IICB:lle, ENISAlle, EU INTCENille ja CSIRT-verkostolle kolmen kuukauden välein yhteenvetoraportin, joka sisältää anonymisoidut koontitiedot merkittävistä poikkeamista, poikkeamista, kyberuhkista, läheltä piti -tilanteista ja haavoittuvuuksista 20 artiklan nojalla sekä merkittävistä poikkeamista, joista on ilmoitettu tämän artiklan 2 kohdan nojalla. Yhteenvetoraportti otetaan huomioon direktiivin (EU) 2022/2555 18 artiklan nojalla joka toinen vuosi annettavassa kyberturvallisuuden tilaa unionissa käsittelevässä kertomuksessa.
9. IICB antaa 8 päivään heinäkuuta 2024 mennessä ohjeita tai suosituksia, joissa täsmennetään järjestelyt tämän artiklan nojalla tapahtuvaa raportointia varten sekä sen muoto ja sisältö. IICB ottaa tällaisia ohjeita tai suosituksia laatiessaan huomioon direktiivin (EU) 2022/2555 23 artiklan 11 kohdan nojalla hyväksytyt täytäntöönpanosäädökset, joissa täsmennetään tiedonannon tietosisältö, muoto ja ilmoitusmenettely. CERT-EU levittää asianmukaiset tekniset tiedot, jotta unionin toimijat voivat ennakoivasti havaita ongelmia, reagoida poikkeamiin tai toteuttaa lieventäviä toimenpiteitä.
10. Tässä artiklassa säädetyt raportointivelvoitteet eivät koske
| a) | EU:n turvallisuusluokiteltuja tietoja; |
| b) | tietoja, joiden edelleenjakelu on suljettu pois näkyvällä merkinnällä, paitsi jos niiden jakaminen CERT-EU:n kanssa on nimenomaisesti sallittu. |
whereas