keyboard_tab Cyber Resilience Act 2023/2841 FI
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 1 artikla Kohde
- 1 4 artikla Henkilötietojen käsittely
- 1 6 artikla Kyberturvallisuusriskien hallinta- ja valvontakehys
- 1 7 artikla Kyberturvallisuuden kehitystason arvioinnit
- 3 10 artikla Toimielinten välinen kyberturvallisuuslautakunta
- 1 17 artikla CERT-EU:n yhteistyö jäsenvaltioiden vastaavaa tehtävää hoitavien elinten kanssa
I LUKU
YLEISET SÄÄNNÖKSET
II LUKU
TOIMENPITEET KYBERTURVALLISUUDEN YHTEISEN KORKEAN TASON VARMISTAMISEKSI
III LUKU
TOIMIELINTEN VÄLINEN KYBERTURVALLISUUSLAUTAKUNTA
IV LUKU
CERT-EU
V LUKU
YHTEISTYÖ- JA RAPORTOINTIVELVOITTEET
VI LUKU
LOPPUSÄÄNNÖKSET
- unionin 46
- artiklan 18
- nojalla 17
- toimijan 17
- asetuksen 14
- euroopan 12
- tämän 12
- kyberturvallisuuden 11
- cert-eu:n 9
- toimielinten 9
- toimija 9
- cert-eu 9
- sekä 8
- perustetun 8
- poikkeama 8
- kyberturvallisuusriskien 8
- että 7
- johon 7
- vaikuttaa 7
- iicb 7
- elinten 6
- voidaan 6
- artikla 6
- eu / artiklan 6
- direktiivin 6
- kanssa 5
- vastaavaa 5
- tehtävät 5
- puheenjohtajan 5
- kehitystason 5
- mukaisesti 5
- tehtävää 5
- kuin 5
- mukaista 5
- välisen 5
- kyseisen 5
- ilman 5
- tietojen 5
- kyberturvallisuuslautakunta 4
- toimijat 4
- kaikki 4
- työjärjestyksensä 4
- cert-eu:lle 4
- joilla 4
- toimijoiden 4
- pyynnöstä 4
- kyberturvallisuuslautakunnan 4
- välinen 4
- täytäntöönpanon 4
- hoitavien 4
1 artikla
Kohde
Tässä asetuksessa vahvistetaan toimenpiteet, joilla pyritään saavuttamaan kyberturvallisuuden yhteinen korkea taso unionin toimijoissa siltä osin kuin on kyse
| a) | kunkin unionin toimijan laatimasta sisäisestä kyberturvallisuusriskien hallinta- ja valvontakehyksestä, 6 artiklan nojalla; |
| b) | kyberturvallisuusriskien hallinnasta, raportoinnista ja tietojen jakamisesta; |
| c) | 10 artiklan nojalla perustetun toimielinten välisen kyberturvallisuuslautakunnan organisaatiosta ja toiminnasta sekä unionin toimielinten, elinten, toimistojen ja virastojen kyberturvallisuuspalvelun (CERT-EU) organisaatiosta ja toiminnasta; |
| d) | tämän asetuksen täytäntöönpanon valvonnasta. |
4 artikla
Henkilötietojen käsittely
1. CERT-EU:n, 10 artiklan nojalla perustetun toimielinten välisen kyberturvallisuuslautakunnan ja unionin toimijoiden tämän asetuksen nojalla suorittamassa henkilötietojen käsittelyssä noudatetaan asetusta (EU) 2018/1725.
2. Tämän asetuksen mukaisia tehtäviä suorittaessaan tai velvoitteita täyttäessään CERT-EU, 10 artiklan nojalla perustettu toimielinten välinen kyberturvallisuuslautakunta ja unionin toimijat käsittelevät ja vaihtavat henkilötietoja vain siinä määrin kuin on tarpeen ja yksinomaan kyseisten tehtävien suorittamista tai kyseisten velvoitteiden täyttämistä varten.
3. Asetuksen (EU) 2018/1725 10 artiklan 1 kohdassa tarkoitettujen erityisten henkilötietoryhmien käsittelyn katsotaan olevan tarpeen kyseisen asetuksen 10 artiklan 2 kohdan g alakohdan mukaisesta tärkeää yleistä etua koskevasta syystä. Tällaisia tietoja voidaan käsitellä ainoastaan siinä määrin kuin on tarpeen tämän asetuksen 6 ja 8 artiklassa tarkoitettujen kyberturvallisuusriskien hallintatoimenpiteiden toteuttamista, 13 artiklan mukaista CERT-EU:n palvelujen tarjoamista, 17 artiklan 3 kohdan ja 18 artiklan 3 kohdan mukaista poikkeamakohtaisten tietojen jakamista, 20 artiklan mukaista tietojen jakamista, 21 artiklan mukaisia raportointivelvoitteita, 22 artiklan mukaista poikkeamanhallintaa koskevaa koordinointia ja yhteistyötä sekä 23 artiklan mukaista laajavaikutteisten poikkeamien hallintaa varten. Toimiessaan rekisterinpitäjinä unionin toimijat ja CERT-EU toteuttavat teknisiä toimenpiteitä estääkseen erityisten henkilötietoryhmien käsittelyn muita tarkoituksia varten ja huolehtivat asianmukaisista ja erityisistä toimenpiteistä rekisteröityjen perusoikeuksien ja etujen suojaamiseksi.
II LUKU
TOIMENPITEET KYBERTURVALLISUUDEN YHTEISEN KORKEAN TASON VARMISTAMISEKSI
6 artikla
Kyberturvallisuusriskien hallinta- ja valvontakehys
1. Kukin unionin toimija laatii 8 päivään huhtikuuta 2025 mennessä sisäisen kyberturvallisuusriskien hallinta- ja valvontakehyksen, jäljempänä ’kehys’, suoritettuaan kyberturvallisuuden alustavan arvioinnin, kuten auditoinnin. Kehyksen laatimista valvotaan unionin toimijan ylimmässä johdossa ja sen vastuulla.
2. Kehyksen on katettava asianomaisen unionin toimijan koko turvallisuusluokittelematon TVT-ympäristö, mukaan lukien sen tiloissa oleva TVT-ympäristö ja operatiivinen teknologiaverkko, pilvipalveluympäristöissä olevat tai kolmansien osapuolten ylläpitämät ulkoistetut resurssit ja palvelut, mobiililaitteet, yritysverkot, internetiin liittämättömät liiketoimintaverkot ja kaikki kyseisiin ympäristöihin liitetyt laitteet, jäljempänä ’TVT-ympäristö’. Kehyksen on perustuttava kaikki vaaratekijät huomioivaan toimintamalliin.
3. Kehyksellä on varmistettava kyberturvallisuuden korkea taso. Kehyksessä on vahvistettava verkko- ja tietojärjestelmien turvallisuutta koskevat sisäiset kyberturvallisuusperiaatteet, joihin sisältyy tavoitteita ja painopisteitä, sekä unionin toimijan tämän asetuksen tehokkaan täytäntöönpanon varmistamisesta vastaavan henkilöstön tehtävät ja vastuualueet. Kehykseen on sisällyttävä myös mekanismeja täytäntöönpanon tehokkuuden mittaamiseksi.
4. Kehystä on tarkasteltava uudelleen säännöllisesti muuttuvien kyberturvallisuusriskien valossa ja vähintään neljän vuoden välein. Unionin toimijan kehystä voidaan päivittää tarvittaessa ja 10 artiklan nojalla perustetun toimielinten välisen kyberturvallisuuslautakunnan pyynnöstä todettujen poikkeamien tai tämän asetuksen täytäntöönpanossa havaittujen mahdollisten puutteiden johdosta annetun CERT EU:n ohjeistuksen perusteella
5. Kunkin unionin toimijan ylin johto on vastuussa tämän asetuksen täytäntöönpanosta ja valvoo, että sen organisaatiossa noudatetaan kehykseen liittyviä velvoitteita.
6. Kunkin unionin toimijan ylin johto voi tarvittaessa siirtää kyseisen unionin toimijan henkilöstösääntöjen 29 artiklan 2 kohdassa tarkoitetuille johtaville virkamiehille tai muille vastaavantasoisille virkamiehille tämän asetuksen mukaisia erityisiä velvoitteita, sanotun kuitenkaan rajoittamatta sen vastuuta tämän asetuksen täytäntöönpanosta. Ylimmän johdon voidaan erityisen velvoitteen mahdollisesta siirtämisestä riippumatta katsoa olevan vastuussa siitä, että asianomainen unionin toimija rikkoo tätä asetusta.
7. Kullakin unionin toimijalla on oltava käytössä tehokkaat mekanismit sen varmistamiseksi, että riittävä prosenttiosuus TVT-menoista käytetään kyberturvallisuuteen. Kehys on otettava asianmukaisesti huomioon kyseistä prosenttiosuutta vahvistettaessa.
8. Kukin unionin toimija nimittää paikallisen kyberturvallisuusvastaavan tai vastaavan vastuuhenkilön, joka toimii sen keskitettynä yhteyspisteenä kyberturvallisuuden kaikissa näkökohdissa. Paikallinen kyberturvallisuusvastaava helpottaa tämän asetuksen täytäntöönpanoa ja raportoi säännöllisesti suoraan ylimmälle johdolle täytäntöönpanon tilanteesta. Unionin toimija voi siirtää tiettyjä tämän asetuksen täytäntöönpanoon liittyviä paikallisen kyberturvallisuusvastaavan tehtäviä CERT-EU:lle kyseisen unionin toimijan ja CERT-EU:n välisen palvelutasosopimuksen perusteella tai kyseiset tehtävät voidaan jakaa usean unionin toimijan kesken, sanotun kuitenkaan rajoittamatta paikallisen kyberturvallisuusvastaavan toimimista kunkin unionin toimijan keskitettynä yhteyspisteenä. Jos kyseisiä tehtäviä siirretään CERT-EU:lle, 10 artiklan nojalla perustettu toimielinten välinen kyberturvallisuuslautakunta päättää, onko kyseisen palvelun tarjoaminen osa CERT-EU:n perustason palveluja, ottaen huomioon asianomaisen unionin toimijan henkilöstö- ja rahoitusresurssit. Kukin unionin toimija ilmoittaa nimitetyt paikalliset kyberturvallisuusvastaavat ja heitä koskevat myöhemmin tehtävät muutokset CERT-EU:lle ilman aiheetonta viivytystä.
CERT-EU laatii luettelon nimitetyistä paikallisista kyberturvallisuusvastaavista ja pitää sen ajan tasalla.
9. Kunkin unionin toimijan henkilöstösääntöjen 29 artiklan 2 kohdassa tarkoitetut johtavat virkamiehet tai muut vastaavantasoiset virkamiehet sekä kaikki asianomaiset henkilöstön jäsenet, joiden tehtävänä on tässä asetuksessa säädettyjen kyberturvallisuusriskien hallintaa koskevien toimenpiteiden ja velvoitteiden täyttäminen, osallistuvat säännöllisesti erityiskoulutukseen riittävien tietojen ja taitojen hankkimiseksi, jotta he voivat ymmärtää ja arvioida kyberturvallisuusriskejä ja kyberturvallisuusriskien hallintakäytäntöjä sekä niiden vaikutusta unionin toimijan toimintoihin.
7 artikla
Kyberturvallisuuden kehitystason arvioinnit
1. Kukin unionin toimija suorittaa viimeistään 8 päivänä heinäkuuta 2025 ja sen jälkeen vähintään kahden vuoden välein kyberturvallisuuden kehitystason arvioinnin ja sisällyttää siihen kaikki TVT-ympäristönsä osatekijät.
2. Kyberturvallisuuden kehitystason arvioinnit on tarvittaessa suoritettava erikoistuneen kolmannen osapuolen avustamana.
3. Unionin toimijat, joilla on samankaltaisia rakenteita, voivat tehdä yhteistyötä kutakin toimijaa koskevien kyberturvallisuuden kehitystason arviointien suorittamiseksi.
4. Jäljempänä olevan 10 artiklan nojalla perustetun toimielinten välisen kyberturvallisuuslautakunnan pyynnöstä ja asianomaisen unionin toimijan nimenomaisella suostumuksella kyberturvallisuuden kehitystason arvioinnin tuloksista voidaan keskustella kyseisessä kyberturvallisuuslautakunnassa tai paikallisten kyberturvallisuusvastaavien epävirallisessa ryhmässä, jotta voidaan ottaa oppia saaduista kokemuksista ja jakaa parhaita käytäntöjä.
10 artikla
Toimielinten välinen kyberturvallisuuslautakunta
1. Perustetaan toimielinten välinen kyberturvallisuuslautakunta, jäljempänä ’IICB’.
2. IICB:n tehtävänä on
| a) | seurata ja tukea tämän asetuksen täytäntöönpanoa unionin toimijoissa; |
| b) | valvoa yleisten painopisteiden ja tavoitteiden täytäntöönpanoa CERT-EU:ssa ja antaa CERT-EU:lle strategista ohjausta. |
3. IICB koostuu seuraavista:
| a) | yksi edustaja, jonka kukin seuraavista on nimennyt:
|
| b) | kolme edustajaa, jotka EU:n virastojen verkosto (EUAN) on nimennyt TVT-alan neuvoa-antavan komiteansa ehdotuksesta edustamaan omaa TVT-ympäristöään käyttävien, muiden kuin a alakohdassa tarkoitettujen unionin elinten, toimistojen ja virastojen etuja. |
IICB:ssä edustettuina olevat unionin toimijat pyrkivät saavuttamaan sukupuolten tasapuolisen edustuksen nimettyjen edustajiensa keskuudessa.
4. IICB:n jäseniä voi avustaa sijainen. Puheenjohtaja voi kutsua muita 3 kohdassa tarkoitettujen unionin toimijoiden tai muiden unionin toimijoiden edustajia osallistumaan IICB:n kokouksiin ilman äänioikeutta.
5. CERT-EU:n päällikkö sekä direktiivin (EU) 2022/2555 14 artiklan nojalla perustetun yhteistyöryhmän, sen 15 artiklan nojalla perustetun CSIRT-verkoston ja sen 16 artiklan nojalla perustetun EU-CyCLONen puheenjohtajat tai heidän sijaisensa voivat osallistua IICB:n kokouksiin tarkkailijoina. IICB voi poikkeustapauksissa työjärjestyksensä mukaisesti päättää toisin.
6. IICB vahvistaa työjärjestyksensä.
7. IICB nimeää työjärjestyksensä mukaisesti jäsentensä keskuudesta puheenjohtajan kolmen vuoden ajaksi. Puheenjohtajan sijaisesta tulee IICB:n täysjäsen samaksi ajaksi.
8. IICB kokoontuu vähintään kolme kertaa vuodessa puheenjohtajansa aloitteesta, CERT-EU:n pyynnöstä tai minkä tahansa jäsenensä pyynnöstä.
9. Kullakin IICB:n jäsenellä on yksi ääni. IICB:n päätökset tehdään yksinkertaisella enemmistöllä, jollei tässä asetuksessa toisin säädetä. IICB:n puheenjohtajalla ei ole äänivaltaa, paitsi äänten mennessä tasan, jolloin puheenjohtajan ääni ratkaisee.
10. IICB voi toimia työjärjestyksensä mukaisesti käynnistettyä yksinkertaistettua kirjallista menettelyä noudattaen. Kyseisessä menettelyssä asianomainen päätös katsotaan hyväksytyksi puheenjohtajan asettamassa määräajassa, jollei joku jäsen esitä vastalausetta.
11. Komissio huolehtii IICB:n sihteeristön tehtävistä, ja sihteeristö on vastuuvelvollinen IICB:n puheenjohtajalle.
12. EUAN:n nimittämät edustajat välittävät IICB:n päätökset EUAN:n jäsenille. Millä tahansa EUAN:n jäsenellä on oikeus ottaa näiden edustajien tai IICB:n puheenjohtajan kanssa esille mikä tahansa asia, joka sen mielestä olisi saatettava IICB:n tietoon.
13. IICB voi perustaa toimeenpanevan komitean avustamaan sitä sen työssä ja siirtää komitealle joitakin tehtävistään ja valtuuksistaan. IICB vahvistaa toimeenpanevan komitean työjärjestyksen, mukaan lukien sen tehtävät ja valtuudet, sekä sen jäsenten toimikauden.
14. IICB toimittaa 8 päivään tammikuuta 2025 mennessä ja sen jälkeen vuosittain Euroopan parlamentille ja neuvostolle raportin, jossa kuvataan yksityiskohtaisesti tämän asetuksen täytäntöönpanossa tapahtunutta edistymistä ja täsmennetään erityisesti CERT-EU:n jäsenvaltioiden vastaavaa tehtävää hoitavien elinten kanssa kussakin jäsenvaltiossa tekemän yhteistyön laajuutta. Raportti otetaan huomioon direktiivin (EU) 2022/2555 18 artiklan nojalla joka toinen vuosi annettavassa kyberturvallisuuden tilaa unionissa käsittelevässä kertomuksessa.
17 artikla
CERT-EU:n yhteistyö jäsenvaltioiden vastaavaa tehtävää hoitavien elinten kanssa
1. CERT-EU tekee yhteistyötä ja vaihtaa tietoja ilman aiheetonta viivytystä jäsenvaltioiden vastaavaa tehtävää hoitavien elinten, erityisesti direktiivin (EU) 2022/2555 10 artiklan nojalla nimettyjen tai perustettujen CSIRT-yksiköiden tai tapauksen mukaan toimivaltaisten viranomaisten ja mainitun direktiivin 8 artiklan nojalla nimettyjen tai perustettujen keskitettyjen yhteyspisteiden, kanssa, kun on kyse poikkeamista, kyberuhkista, haavoittuvuuksista, läheltä piti -tilanteista, mahdollisista vastatoimista sekä parhaista käytännöistä ja kaikista asioista, joilla on merkitystä unionin toimijoiden TVT-ympäristöjen suojaamisen parantamisen kannalta, myös direktiivin (EU) 2022/2555 15 artiklan nojalla perustetun CSIRT-verkoston avulla. CERT-EU tukee komissiota direktiivin (EU) 2022/2555 16 artiklan nojalla perustetussa EU-CyCLONessa laajamittaisten kyberturvallisuuspoikkeamien ja -kriisien koordinoidussa hallinnassa.
2. Jos CERT-EU tulee tietoiseksi jäsenvaltion alueella esiintyvistä merkittävistä poikkeamista, se ilmoittaa asiasta 1 kohdan mukaisesti viipymättä mille tahansa asiaankuuluvalle kyseisen jäsenvaltion vastaavaa tehtävää hoitavalle elimelle.
3. Edellyttäen, että henkilötietoja suojataan sovellettavan unionin tietosuojalainsäädännön mukaisesti, CERT-EU vaihtaa ilman aiheetonta viivytystä jäsenvaltioiden vastaavaa tehtävää hoitavien elinten kanssa poikkeamakohtaisia tietoja, joilla on merkitystä vastaavien kyberuhkien tai poikkeamien havaitsemisen helpottamiseksi tai jonkin poikkeaman analysoinnissa auttamiseksi, ilman sen unionin toimijan lupaa, johon poikkeama vaikuttaa. CERT-EU vaihtaa poikkeamakohtaisia tietoja, joista paljastuu poikkeaman kohteen henkilöllisyys, vain jos jokin seuraavista tapahtuu:
| a) | unionin toimija, johon poikkeama vaikuttaa, antaa suostumuksensa; |
| b) | unionin toimija, johon poikkeama vaikuttaa, ei anna suostumustaan a alakohdassa säädetyllä tavalla mutta sen unionin toimijan henkilöllisyyden julkistaminen, johon poikkeama vaikuttaa, lisäisi todennäköisyyttä siitä, että poikkeamia vältettäisiin tai lievennettäisiin muualla; |
| c) | unionin toimija, johon poikkeama vaikuttaa, on jo ilmoittanut julkisesti, että poikkeama on vaikuttanut siihen. |
CERT-EU:n päällikön on hyväksyttävä ensimmäisen alakohdan b alakohdan nojalla tehtävät päätökset sellaisten poikkeamakohtaisten tietojen vaihtamisesta, joista paljastuu poikkeaman kohteen henkilöllisyys. Ennen tällaisen päätöksen antamista CERT-EU ottaa kirjallisesti yhteyttä unionin toimijaan, johon poikkeama vaikuttaa, ja selittää selkeästi, miten sen henkilöllisyyden julkistaminen auttaisi välttämään tai lieventämään poikkeamia muualla. CERT-EU:n päällikön on annettava selitys ja nimenomaisesti pyydettävä unionin toimijaa ilmoittamaan asetetussa määräajassa, antaako se suostumuksensa. CERT-EU:n päällikön on myös ilmoitettava unionin toimijalle, että annetun selityksen valossa hän pidättää oikeuden julkistaa tiedot suostumuksen puuttuessakin. Unionin toimijalle, johon poikkeama vaikuttaa, on ilmoitettava, ennen kuin tiedot julkistetaan.
whereas