keyboard_tab Cyber Resilience Act 2023/2841 FI

1.   Kukin unionin toimija laatii 8 päivään huhtikuuta 2025 mennessä sisäisen kyberturvallisuusriskien hallinta- ja valvontakehyksen, jäljempänä ’kehys’, suoritettuaan kyberturvallisuuden alustavan arvioinnin, kuten auditoinnin. Kehyksen laatimista valvotaan unionin toimijan ylimmässä johdossa ja sen vastuulla.

2.   Kehyksen on katettava asianomaisen unionin toimijan koko turvallisuusluokittelematon TVT-ympäristö, mukaan lukien sen tiloissa oleva TVT-ympäristö ja operatiivinen teknologiaverkko, pilvipalveluympäristöissä olevat tai kolmansien osapuolten ylläpitämät ulkoistetut resurssit ja palvelut, mobiililaitteet, yritysverkot, internetiin liittämättömät liiketoimintaverkot ja kaikki kyseisiin ympäristöihin liitetyt laitteet, jäljempänä ’TVT-ympäristö’. Kehyksen on perustuttava kaikki vaaratekijät huomioivaan toimintamalliin.

3.   Kehyksellä on varmistettava kyberturvallisuuden korkea taso. Kehyksessä on vahvistettava verkko- ja tietojärjestelmien turvallisuutta koskevat sisäiset kyberturvallisuusperiaatteet, joihin sisältyy tavoitteita ja painopisteitä, sekä unionin toimijan tämän asetuksen tehokkaan täytäntöönpanon varmistamisesta vastaavan henkilöstön tehtävät ja vastuualueet. Kehykseen on sisällyttävä myös mekanismeja täytäntöönpanon tehokkuuden mittaamiseksi.

4.   Kehystä on tarkasteltava uudelleen säännöllisesti muuttuvien kyberturvallisuusriskien valossa ja vähintään neljän vuoden välein. Unionin toimijan kehystä voidaan päivittää tarvittaessa ja 10 artiklan nojalla perustetun toimielinten välisen kyberturvallisuuslautakunnan pyynnöstä todettujen poikkeamien tai tämän asetuksen täytäntöönpanossa havaittujen mahdollisten puutteiden johdosta annetun CERT EU:n ohjeistuksen perusteella

5.   Kunkin unionin toimijan ylin johto on vastuussa tämän asetuksen täytäntöönpanosta ja valvoo, että sen organisaatiossa noudatetaan kehykseen liittyviä velvoitteita.

6.   Kunkin unionin toimijan ylin johto voi tarvittaessa siirtää kyseisen unionin toimijan henkilöstösääntöjen 29 artiklan 2 kohdassa tarkoitetuille johtaville virkamiehille tai muille vastaavantasoisille virkamiehille tämän asetuksen mukaisia erityisiä velvoitteita, sanotun kuitenkaan rajoittamatta sen vastuuta tämän asetuksen täytäntöönpanosta. Ylimmän johdon voidaan erityisen velvoitteen mahdollisesta siirtämisestä riippumatta katsoa olevan vastuussa siitä, että asianomainen unionin toimija rikkoo tätä asetusta.

7.   Kullakin unionin toimijalla on oltava käytössä tehokkaat mekanismit sen varmistamiseksi, että riittävä prosenttiosuus TVT-menoista käytetään kyberturvallisuuteen. Kehys on otettava asianmukaisesti huomioon kyseistä prosenttiosuutta vahvistettaessa.

8.   Kukin unionin toimija nimittää paikallisen kyberturvallisuusvastaavan tai vastaavan vastuuhenkilön, joka toimii sen keskitettynä yhteyspisteenä kyberturvallisuuden kaikissa näkökohdissa. Paikallinen kyberturvallisuusvastaava helpottaa tämän asetuksen täytäntöönpanoa ja raportoi säännöllisesti suoraan ylimmälle johdolle täytäntöönpanon tilanteesta. Unionin toimija voi siirtää tiettyjä tämän asetuksen täytäntöönpanoon liittyviä paikallisen kyberturvallisuusvastaavan tehtäviä CERT-EU:lle kyseisen unionin toimijan ja CERT-EU:n välisen palvelutasosopimuksen perusteella tai kyseiset tehtävät voidaan jakaa usean unionin toimijan kesken, sanotun kuitenkaan rajoittamatta paikallisen kyberturvallisuusvastaavan toimimista kunkin unionin toimijan keskitettynä yhteyspisteenä. Jos kyseisiä tehtäviä siirretään CERT-EU:lle, 10 artiklan nojalla perustettu toimielinten välinen kyberturvallisuuslautakunta päättää, onko kyseisen palvelun tarjoaminen osa CERT-EU:n perustason palveluja, ottaen huomioon asianomaisen unionin toimijan henkilöstö- ja rahoitusresurssit. Kukin unionin toimija ilmoittaa nimitetyt paikalliset kyberturvallisuusvastaavat ja heitä koskevat myöhemmin tehtävät muutokset CERT-EU:lle ilman aiheetonta viivytystä.

CERT-EU laatii luettelon nimitetyistä paikallisista kyberturvallisuusvastaavista ja pitää sen ajan tasalla.

9.   Kunkin unionin toimijan henkilöstösääntöjen 29 artiklan 2 kohdassa tarkoitetut johtavat virkamiehet tai muut vastaavantasoiset virkamiehet sekä kaikki asianomaiset henkilöstön jäsenet, joiden tehtävänä on tässä asetuksessa säädettyjen kyberturvallisuusriskien hallintaa koskevien toimenpiteiden ja velvoitteiden täyttäminen, osallistuvat säännöllisesti erityiskoulutukseen riittävien tietojen ja taitojen hankkimiseksi, jotta he voivat ymmärtää ja arvioida kyberturvallisuusriskejä ja kyberturvallisuusriskien hallintakäytäntöjä sekä niiden vaikutusta unionin toimijan toimintoihin.

1.   Kukin unionin toimija toteuttaa ilman aiheetonta viivytystä ja joka tapauksessa viimeistään 8 päivänä syyskuuta 2025 ylimmän johtonsa valvonnassa asianmukaisia ja oikeasuhteisia teknisiä, operatiivisia ja organisatorisia toimenpiteitä kehyksessä eriteltyjen kyberturvallisuusriskien hallitsemiseksi ja poikkeamien ehkäisemiseksi tai niiden vaikutusten minimoimiseksi. Kun otetaan huomioon viimeisin kehitys ja tapauksen mukaan asiaan liittyvät eurooppalaiset ja kansainväliset standardit, näillä toimenpiteillä on varmistettava, että koko TVT-ympäristön verkko- ja tietojärjestelmien turvallisuuden taso on oikeassa suhteessa kyberturvallisuusriskeihin. Näiden toimenpiteiden oikeasuhteisuutta arvioitaessa on otettava asianmukaisesti huomioon se, missä määrin unionin toimija altistuu kyberturvallisuusriskeille, toimijan koko sekä poikkeamien esiintymisen todennäköisyys ja niiden vakavuus, mukaan lukien niiden yhteiskunnalliset, taloudelliset ja toimielinten väliset vaikutukset.

2.   Unionin toimijat käsittelevät kyberturvallisuusriskien hallintatoimenpiteiden täytäntöönpanossa ainakin seuraavia osa-alueita:

a)	kyberturvallisuuspolitiikka, mukaan lukien 6 artiklassa ja tämän artiklan 3 kohdassa tarkoitettujen tavoitteiden ja painopisteiden saavuttamiseksi tarvittavat toimenpiteet;

b)	kyberturvallisuutta koskevia riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat;

c)	pilvipalvelujen käyttöä koskevat politiikkatavoitteet;

d)	tarvittaessa kyberturvallisuusauditointi, joka voi sisältää kyberturvallisuusriskien, haavoittuvuuksien ja kyberuhkien arvioinnin, sekä luotettavan yksityisen palveluntarjoajan säännöllisesti suorittama tunkeutumisenestotestaus;

e)	d alakohdassa tarkoitetuista kyberturvallisuusauditoinneista johtuvien suositusten täytäntöönpano kyberturvallisuuspäivitysten ja toimintaperiaatteiden päivitysten avulla;

f)	kyberturvallisuuden organisointi, mukaan lukien tehtävien ja vastuualueiden määrittäminen;

g)	resurssien hallinta, mukaan lukien TVT-resurssien inventointi ja TVT-verkkojen kartoitus;

h)	henkilöstöturvallisuus ja kulunvalvonta;

i)	operatiivinen turvallisuus;

j)	tietoliikenneturvallisuus;

k)	järjestelmien hankinta, kehittäminen ja ylläpito, mukaan lukien haavoittuvuuksien käsittelyä ja julkistamista koskevat toimintaperiaatteet;

l)	mahdollisuuksien mukaan lähdekoodin läpinäkyvyyttä koskevat toimintaperiaatteet;

m)	toimitusketjun turvallisuus, mukaan lukien kunkin unionin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat;

n)	poikkeamien käsittely ja yhteistyö CERT-EU:n kanssa, kuten turvallisuuden seurannan ja kirjaamisen ylläpito;

o)	toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta; ja

p)	kyberturvallisuuskoulutusta ja -taitoja, -tiedotusta ja -harjoituksia koskevien ohjelmien edistäminen ja kehittäminen.

Unionin toimijat ottavat ensimmäisen alakohdan m alakohdan tarkoituksia varten huomioon kullekin välittömälle toimittajalle ja palveluntarjoajalle ominaiset haavoittuvuudet, toimittajiensa ja palveluntarjoajiensa tuotteiden yleisen laadun sekä niiden kyberturvallisuuskäytännöt, mukaan lukien niiden tuotekehityksen suojausmenettelyt.

3.   Unionin toimijat toteuttavat ainakin seuraavat erityiset kyberturvallisuusriskien hallintatoimenpiteet:

a)	tekniset järjestelyt etätyön mahdollistamiseksi ja tukemiseksi;

b)	konkreettiset toimet nollaluottamuksen periaatteiden noudattamiseen siirtymiseksi;

c)	monivaiheisen tunnistuksen käyttö yleiskäytäntönä kaikissa verkko- ja tietojärjestelmissä;

d)	kryptografian ja salaustekniikoiden käyttö, mukaan lukien erityisesti päästä päähän -salaus, sekä suojattu digitaalinen allekirjoitus;

e)	tarvittaessa suojattu puhe-, video- ja tekstiviestintä sekä suojatut hätäviestintäjärjestelmät unionin toimijan toiminnassa;

f)	ennakoivat toimenpiteet haitta- ja vakoiluohjelmien havaitsemiseksi ja poistamiseksi;

g)	ohjelmistojen toimitusketjun turvallisuuden varmistaminen ohjelmistokehityksessä ja ohjelmistojen arvioinnissa sovellettavien turvallisuuskriteerien avulla;

h)

sellaisten kyberturvallisuutta koskevien koulutusohjelmien laatiminen ja käyttöönotto, jotka ovat oikeassa suhteessa unionin toimijan ylimmälle johdolle ja tämän asetuksen tehokkaan täytäntöönpanon varmistamisesta vastaaville henkilöstön jäsenille asetettuihin tehtäviin ja näiltä odotettuihin valmiuksiin;

i)	henkilöstön säännöllinen kyberturvallisuuskoulutus;

j)	tarvittaessa osallistuminen unionin toimijoiden välisten yhteyksien riskianalyyseihin;

k)

julkisia hankintoja koskevien sääntöjen parantaminen kyberturvallisuuden yhteisen korkean tason edistämiseksi seuraavien avulla: i) sellaisten sopimuksista johtuvien esteiden poistaminen, jotka rajoittavat TVT-palvelujen tarjoajien mahdollisuuksia jakaa tietoja poikkeamista, haavoittuvuuksista ja kyberuhkista CERT-EU:n kanssa; ii) sopimusehdot, jotka velvoittavat raportoimaan poikkeamista, haavoittuvuuksista ja kyberuhkista sekä huolehtimaan siitä, että käytössä ovat asianmukaiset mekanismit poikkeamanhallintaa ja seurantaa varten.

1.   CERT-EU:n toimeksiantona on edistää unionin toimijoiden turvallisuusluokittelemattoman TVT-ympäristön turvallisuutta neuvomalla niitä kyberturvallisuusasioissa, auttamalla niitä ehkäisemään, havaitsemaan, käsittelemään ja lieventämään poikkeamia, reagoimaan niihin ja palautumaan niistä sekä toimimalla niiden kyberturvallisuutta koskevan tietojenvaihdon ja poikkeamanhallinnan koordinointikeskuksena.

2.   CERT-EU kerää, hallinnoi, analysoi ja jakaa unionin toimijoiden kanssa tietoja kyberuhkista, haavoittuvuuksista ja poikkeamista turvallisuusluokittelemattomassa TVT-infrastruktuurissa. Se koordinoi poikkeamiin liittyviä hallintatoimia toimielinten välisellä ja unionin toimijoiden tasolla, muun muassa tarjoamalla erikoistunutta operatiivista apua tai koordinoimalla sen tarjoamista.

3.   CERT-EU hoitaa seuraavia tehtäviä unionin toimijoiden avustamiseksi:

a)	se tukee niitä tämän asetuksen täytäntöönpanossa ja edistää tämän asetuksen täytäntöönpanon koordinointia 14 artiklan 1 kohdassa lueteltujen toimenpiteiden tai IICB:n pyytämien tapauskohtaisten raporttien kautta;

b)	se tarjoaa unionin toimijoille vakioituja CSIRT-palveluja palveluluettelossaan kuvattujen kyberturvallisuuspalvelujen paketin avulla (perustason palvelut);

c)	se ylläpitää vertais- ja kumppaniverkostoa 17 ja 18 artiklassa esitettyjen palvelujen tukemiseksi;

d)	se tuo IICB:n tietoon tämän asetuksen täytäntöönpanoon sekä ohjeiden, suositusten ja toimintakehotusten täytäntöönpanoon liittyviä ongelmia;

e)	se edistää 2 kohdassa tarkoitettujen tietojen pohjalta unionin kyberturvallisuuden tilannekuvan muodostamista tiiviissä yhteistyössä ENISAn kanssa;

f)	se koordinoi laajavaikutteisten poikkeamien hallintaa;

g)	se toimii unionin toimijoiden puolesta direktiivin (EU) 2022/2555 12 artiklan 1 kohdan nojalla koordinoitua haavoittuvuuksien julkistamista varten nimettyä koordinaattoria vastaavana tahona;

h)	se tarjoaa unionin toimijan pyynnöstä kyseisen unionin toimijan yleisesti saatavilla olevien verkko- ja tietojärjestelmien ennakoivaa, ei-intrusiivista skannausta.

Ensimmäisen alakohdan e alakohdassa tarkoitetut tiedot on soveltuvin osin ja tapauksen mukaan, jollei asianmukaisista salassapitoehdoista muuta johdu, jaettava IICB:n, CSIRT-verkoston ja Euroopan unionin tiedusteluanalyysikeskuksen (EU INTCEN) kanssa.

4.   CERT-EU voi tapauksen mukaan 17 tai 18 artiklan mukaisesti tehdä yhteistyötä asiaankuuluvien kyberturvallisuusyhteisöjen kanssa unionissa ja sen jäsenvaltioissa, myös seuraavilla aloilla:

a)	varautuminen, poikkeamien koordinointi, tietojenvaihto ja kriisinhallinta teknisellä tasolla unionin toimijoihin liittyvissä tapauksissa;

b)	CSIRT-verkostoa koskeva operatiivinen yhteistyö, myös keskinäisen avunannon osalta;

c)	kyberuhkatiedustelutieto, mukaan lukien tilannetietoisuus;

d)	mikä tahansa aihe, joka edellyttää CERT-EU:n teknistä kyberturvallisuusasiantuntemusta.

5.   CERT-EU tekee toimivaltansa puitteissa jäsenneltyä yhteistyötä ENISAn kanssa valmiuksien kehittämisen, operatiivisen yhteistyön ja kyberuhkista tehtävien pitkän aikavälin strategisten analyysien alalla asetuksen (EU) 2019/881 mukaisesti. CERT-EU voi tehdä yhteistyötä ja vaihtaa tietoja Europolin Euroopan kyberrikostorjuntakeskuksen kanssa.

6.   CERT-EU voi tarjota seuraavia, muita kuin sen palveluluettelossa kuvattuja palveluja (maksulliset palvelut):

a)

palvelut, joilla tuetaan unionin toimijoiden TVT-ympäristön kyberturvallisuutta, lukuun ottamatta 3 kohdassa tarkoitettuja palveluja, palvelutasosopimusten perusteella ja saatavilla olevien resurssien mukaan, erityisesti laaja-alainen verkkoseuranta, mukaan lukien erittäin vakavien kyberuhkien ensivaiheen ympärivuorokautinen seuranta;

b)	palvelut, joilla tuetaan unionin toimijoiden kyberturvallisuusoperaatioita tai -hankkeita, lukuun ottamatta operaatioita tai hankkeita niiden TVT-ympäristön suojaamiseksi, kirjallisten sopimusten perusteella ja IICB:n ennakkohyväksynnän pohjalta;

c)	asianomaisen unionin toimijan verkko- ja tietojärjestelmien ennakoiva skannaus pyynnöstä sellaisten haavoittuvuuksien havaitsemiseksi, joilla voi olla merkittävä vaikutus;

d)

palvelut, joilla tuetaan niiden TVT-ympäristön turvallisuutta, sellaisille muille organisaatioille kuin unionin toimijoille, jotka tekevät tiivistä yhteistyötä unionin toimijoiden kanssa esimerkiksi siksi, että niillä on unionin lainsäädännön nojalla siirrettyjä tehtäviä tai vastuita, kirjallisten sopimusten perusteella ja IICB:n ennakkohyväksynnän pohjalta.

Sovellettaessa ensimmäisen alakohdan d alakohtaa CERT-EU voi poikkeuksellisesti tehdä palvelutasosopimuksia muiden kuin unionin toimijoiden kanssa IICB:n ennakkohyväksynnän pohjalta.

7.   CERT-EU järjestää kyberturvallisuusharjoituksia ja voi osallistua niihin tai suosittelee osallistumista olemassa oleviin harjoituksiin, tapauksen mukaan tiiviissä yhteistyössä ENISAn kanssa, unionin toimijoiden kyberturvallisuuden tason testaamiseksi.

8.   CERT-EU voi tarjota unionin toimijoille apua sellaisissa verkko- ja tietojärjestelmissä esiintyvien poikkeamien osalta, joissa käsitellään EU:n turvallisuusluokiteltuja tietoja, jos asianomaiset unionin toimijat nimenomaisesti pyytävät sitä tekemään niin omien menettelyjensä mukaisesti. CERT-EU:n tämän kohdan nojalla tarjoaman avun tarjoaminen ei rajoita turvallisuusluokiteltujen tietojen suojaamista koskevien sovellettavien sääntöjen soveltamista.

9.   CERT-EU ilmoittaa unionin toimijoille poikkeamien käsittelyä koskevista menettelyistään ja prosesseistaan.

10.   CERT-EU tarjoaa asianmukaisten yhteistyömekanismien ja raportointisuhteiden kautta luottamuksellisuuden ja luotettavuuden korkean tason varmistaen asiaankuuluvia ja anonymisoituja tietoja laajavaikutteisista poikkeamista sekä tavasta, jolla ne on käsitelty. Nämä tiedot sisällytetään 10 artiklan 14 kohdassa tarkoitettuun raporttiin.

11.   CERT-EU tukee yhteistyössä EDPS:n kanssa asianomaisia unionin toimijoita puututtaessa henkilötietojen tietoturvaloukkauksiin johtaneisiin poikkeamiin, sanotun kuitenkaan rajoittamatta EDPS:n toimivaltaa ja tehtäviä valvontaviranomaisena asetuksen (EU) 2018/1725 nojalla.

12.   CERT-EU voi antaa teknistä neuvontaa tai lausuntoja asiaankuuluvista toimintapoliittisista kysymyksistä, jos unionin toimijoiden toimintapoliittiset osastot sitä nimenomaisesti pyytävät.