keyboard_tab Cyber Resilience Act 2023/2841 FI
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 8 artikla Kyberturvallisuusriskien hallintatoimenpiteet
- 1 9 artikla Kyberturvallisuussuunnitelmat
- 1 14 artikla Ohjeet, suositukset ja toimintakehotukset
I LUKU
YLEISET SÄÄNNÖKSET
II LUKU
TOIMENPITEET KYBERTURVALLISUUDEN yhteisen KORKEAN TASON VARMISTAMISEKSI
III LUKU
TOIMIELINTEN VÄLINEN KYBERTURVALLISUUSLAUTAKUNTA
IV LUKU
CERT-EU
V LUKU
YHTEISTYÖ- JA RAPORTOINTIVELVOITTEET
VI LUKU
LOPPUSÄÄNNÖKSET
- unionin 27
- sekä 15
- artiklan 15
- euroopan 14
- mukaan 14
- kyberturvallisuuden 12
- asetuksen 10
- lukien 10
- kyberturvallisuusriskien 10
- n:o / 10
- parlamentin 9
- nojalla 9
- neuvoston 9
- eu / 7
- jotka 7
- asetus 7
- varten 7
- toimijan 7
- euroopan 7
- annettu 7
- toimielinten 7
- toimijoiden 6
- niiden 6
- toimijat 5
- euvl l 5
- mukaista 5
- yhteisen 5
- huomioon 5
- artikla 5
- tämän 5
- tietojen 4
- tarvittaessa 4
- koskevat 4
- poikkeamien 4
- kyberturvallisuussuunnitelman 4
- toimija 4
- koskevien 4
- tason 4
- korkean 4
- kumoamisesta 4
- yhteisöjen 3
- cert-eu:n 3
- unionin 3
- turvallisuuden 3
- näiden 3
- tietoja 3
- toimenpiteet 3
- hallintatoimenpiteet 3
- ilman 3
- aiheetonta 3
4 artikla
Henkilötietojen käsittely
1. CERT-EU:n, 10 artiklan nojalla perustetun toimielinten välisen kyberturvallisuuslautakunnan ja unionin toimijoiden tämän asetuksen nojalla suorittamassa henkilötietojen käsittelyssä noudatetaan asetusta (EU) 2018/1725.
2. Tämän asetuksen mukaisia tehtäviä suorittaessaan tai velvoitteita täyttäessään CERT-EU, 10 artiklan nojalla perustettu toimielinten välinen kyberturvallisuuslautakunta ja unionin toimijat käsittelevät ja vaihtavat henkilötietoja vain siinä määrin kuin on tarpeen ja yksinomaan kyseisten tehtävien suorittamista tai kyseisten velvoitteiden täyttämistä varten.
3. Asetuksen (EU) 2018/1725 10 artiklan 1 kohdassa tarkoitettujen erityisten henkilötietoryhmien käsittelyn katsotaan olevan tarpeen kyseisen asetuksen 10 artiklan 2 kohdan g alakohdan mukaisesta tärkeää yleistä etua koskevasta syystä. Tällaisia tietoja voidaan käsitellä ainoastaan siinä määrin kuin on tarpeen tämän asetuksen 6 ja 8 artiklassa tarkoitettujen kyberturvallisuusriskien hallintatoimenpiteiden toteuttamista, 13 artiklan mukaista CERT-EU:n palvelujen tarjoamista, 17 artiklan 3 kohdan ja 18 artiklan 3 kohdan mukaista poikkeamakohtaisten tietojen jakamista, 20 artiklan mukaista tietojen jakamista, 21 artiklan mukaisia raportointivelvoitteita, 22 artiklan mukaista poikkeamanhallintaa koskevaa koordinointia ja yhteistyötä sekä 23 artiklan mukaista laajavaikutteisten poikkeamien hallintaa varten. Toimiessaan rekisterinpitäjinä unionin toimijat ja CERT-EU toteuttavat teknisiä toimenpiteitä estääkseen erityisten henkilötietoryhmien käsittelyn muita tarkoituksia varten ja huolehtivat asianmukaisista ja erityisistä toimenpiteistä rekisteröityjen perusoikeuksien ja etujen suojaamiseksi.
II LUKU
TOIMENPITEET KYBERTURVALLISUUDEN yhteisen KORKEAN TASON VARMISTAMISEKSI
8 artikla
Kyberturvallisuusriskien hallintatoimenpiteet
1. Kukin unionin toimija toteuttaa ilman aiheetonta viivytystä ja joka tapauksessa viimeistään 8 päivänä syyskuuta 2025 ylimmän johtonsa valvonnassa asianmukaisia ja oikeasuhteisia teknisiä, operatiivisia ja organisatorisia toimenpiteitä kehyksessä eriteltyjen kyberturvallisuusriskien hallitsemiseksi ja poikkeamien ehkäisemiseksi tai niiden vaikutusten minimoimiseksi. Kun otetaan huomioon viimeisin kehitys ja tapauksen mukaan asiaan liittyvät eurooppalaiset ja kansainväliset standardit, näillä toimenpiteillä on varmistettava, että koko TVT-ympäristön verkko- ja tietojärjestelmien turvallisuuden taso on oikeassa suhteessa kyberturvallisuusriskeihin. Näiden toimenpiteiden oikeasuhteisuutta arvioitaessa on otettava asianmukaisesti huomioon se, missä määrin unionin toimija altistuu kyberturvallisuusriskeille, toimijan koko sekä poikkeamien esiintymisen todennäköisyys ja niiden vakavuus, mukaan lukien niiden yhteiskunnalliset, taloudelliset ja toimielinten väliset vaikutukset.
2. Unionin toimijat käsittelevät kyberturvallisuusriskien hallintatoimenpiteiden täytäntöönpanossa ainakin seuraavia osa-alueita:
| a) | kyberturvallisuuspolitiikka, mukaan lukien 6 artiklassa ja tämän artiklan 3 kohdassa tarkoitettujen tavoitteiden ja painopisteiden saavuttamiseksi tarvittavat toimenpiteet; |
| b) | kyberturvallisuutta koskevia riskianalyysejä ja tietojärjestelmien turvallisuutta koskevat politiikat; |
| c) | pilvipalvelujen käyttöä koskevat politiikkatavoitteet; |
| d) | tarvittaessa kyberturvallisuusauditointi, joka voi sisältää kyberturvallisuusriskien, haavoittuvuuksien ja kyberuhkien arvioinnin, sekä luotettavan yksityisen palveluntarjoajan säännöllisesti suorittama tunkeutumisenestotestaus; |
| e) | d alakohdassa tarkoitetuista kyberturvallisuusauditoinneista johtuvien suositusten täytäntöönpano kyberturvallisuuspäivitysten ja toimintaperiaatteiden päivitysten avulla; |
| f) | kyberturvallisuuden organisointi, mukaan lukien tehtävien ja vastuualueiden määrittäminen; |
| g) | resurssien hallinta, mukaan lukien TVT-resurssien inventointi ja TVT-verkkojen kartoitus; |
| h) | henkilöstöturvallisuus ja kulunvalvonta; |
| i) | operatiivinen turvallisuus; |
| j) | tietoliikenneturvallisuus; |
| k) | järjestelmien hankinta, kehittäminen ja ylläpito, mukaan lukien haavoittuvuuksien käsittelyä ja julkistamista koskevat toimintaperiaatteet; |
| l) | mahdollisuuksien mukaan lähdekoodin läpinäkyvyyttä koskevat toimintaperiaatteet; |
| m) | toimitusketjun turvallisuus, mukaan lukien kunkin unionin toimijan ja sen välittömien toimittajien tai palveluntarjoajien välisten suhteiden turvallisuusnäkökohdat; |
| n) | poikkeamien käsittely ja yhteistyö CERT-EU:n kanssa, kuten turvallisuuden seurannan ja kirjaamisen ylläpito; |
| o) | toiminnan jatkuvuuden hallinta, esimerkiksi varmuuskopiointi ja palautumissuunnittelu, sekä kriisinhallinta; ja |
| p) | kyberturvallisuuskoulutusta ja -taitoja, -tiedotusta ja -harjoituksia koskevien ohjelmien edistäminen ja kehittäminen. |
Unionin toimijat ottavat ensimmäisen alakohdan m alakohdan tarkoituksia varten huomioon kullekin välittömälle toimittajalle ja palveluntarjoajalle ominaiset haavoittuvuudet, toimittajiensa ja palveluntarjoajiensa tuotteiden yleisen laadun sekä niiden kyberturvallisuuskäytännöt, mukaan lukien niiden tuotekehityksen suojausmenettelyt.
3. Unionin toimijat toteuttavat ainakin seuraavat erityiset kyberturvallisuusriskien hallintatoimenpiteet:
| a) | tekniset järjestelyt etätyön mahdollistamiseksi ja tukemiseksi; |
| b) | konkreettiset toimet nollaluottamuksen periaatteiden noudattamiseen siirtymiseksi; |
| c) | monivaiheisen tunnistuksen käyttö yleiskäytäntönä kaikissa verkko- ja tietojärjestelmissä; |
| d) | kryptografian ja salaustekniikoiden käyttö, mukaan lukien erityisesti päästä päähän -salaus, sekä suojattu digitaalinen allekirjoitus; |
| e) | tarvittaessa suojattu puhe-, video- ja tekstiviestintä sekä suojatut hätäviestintäjärjestelmät unionin toimijan toiminnassa; |
| f) | ennakoivat toimenpiteet haitta- ja vakoiluohjelmien havaitsemiseksi ja poistamiseksi; |
| g) | ohjelmistojen toimitusketjun turvallisuuden varmistaminen ohjelmistokehityksessä ja ohjelmistojen arvioinnissa sovellettavien turvallisuuskriteerien avulla; |
| h) | sellaisten kyberturvallisuutta koskevien koulutusohjelmien laatiminen ja käyttöönotto, jotka ovat oikeassa suhteessa unionin toimijan ylimmälle johdolle ja tämän asetuksen tehokkaan täytäntöönpanon varmistamisesta vastaaville henkilöstön jäsenille asetettuihin tehtäviin ja näiltä odotettuihin valmiuksiin; |
| i) | henkilöstön säännöllinen kyberturvallisuuskoulutus; |
| j) | tarvittaessa osallistuminen unionin toimijoiden välisten yhteyksien riskianalyyseihin; |
| k) | julkisia hankintoja koskevien sääntöjen parantaminen kyberturvallisuuden yhteisen korkean tason edistämiseksi seuraavien avulla:
|
9 artikla
Kyberturvallisuussuunnitelmat
1. Edellä olevan 7 artiklan nojalla tehdyn kyberturvallisuuden kehitystason arvioinnin päättymisen jälkeen ja ottaen huomioon kehyksessä eritellyt resurssit ja kyberturvallisuusriskit sekä 8 artiklan nojalla toteutetut kyberturvallisuusriskien hallintatoimenpiteet kunkin unionin toimijan ylin johto hyväksyy kyberturvallisuussuunnitelman ilman aiheetonta viivytystä ja joka tapauksessa viimeistään 8 päivänä tammikuuta 2026. Kyberturvallisuussuunnitelman tavoitteena on nostaa unionin toimijan yleistä kyberturvallisuuden tasoa ja edistää siten kyberturvallisuuden yhteisen korkean tason parantamista unionin toimijoiden toiminnassa. Kyberturvallisuussuunnitelman on sisällettävä vähintään 8 artiklan nojalla toteutetut kyberturvallisuusriskien hallintatoimenpiteet. Kyberturvallisuussuunnitelmaa on tarkistettava kahden vuoden välein tai tarvittaessa useammin 7 artiklan nojalla tehtyjen kyberturvallisuuden kehitystason arviointien tai kehyksen merkittävän uudelleentarkastelun perusteella.
2. Kyberturvallisuussuunnitelman on sisällettävä laajavaikutteisia poikkeamia koskeva unionin toimijan kyberkriisinhallintasuunnitelma.
3. Unionin toimija toimittaa valmiin kyberturvallisuussuunnitelman 10 artiklan nojalla perustetulle toimielinten väliselle kyberturvallisuuslautakunnalle.
III LUKU
TOIMIELINTEN VÄLINEN KYBERTURVALLISUUSLAUTAKUNTA
14 artikla
Ohjeet, suositukset ja toimintakehotukset
1. CERT-EU tukee tämän asetuksen täytäntöönpanoa antamalla
| a) | toimintakehotuksia, joissa kuvaillaan kiireellisiä turvallisuustoimenpiteitä, jotka unionin toimijoita kehotetaan toteuttamaan asetetussa määräajassa; |
| b) | IICB:lle ehdotuksia ohjeiksi, jotka osoitetaan kaikille unionin toimijoille tai niiden alaryhmälle; |
| c) | IICB:lle ehdotuksia suosituksiksi, jotka osoitetaan yksittäisille unionin toimijoille. |
Sovellettaessa ensimmäisen alakohdan a alakohtaa asianomainen unionin toimija ilmoittaa CERT-EU:lle ilman aiheetonta viivytystä toimintakehotuksen vastaanotettuaan siitä, miten kiireellisiä turvallisuustoimenpiteitä on sovellettu.
2. Ohjeisiin ja suosituksiin voi sisältyä
| a) | yhteisiä menetelmiä sekä malli, joiden avulla arvioidaan unionin toimijoiden kyberturvallisuuden kehitystasoa, mukaan lukien vastaavat asteikot tai keskeiset tulosindikaattorit, ja jotka toimivat vertailukohtana kyberturvallisuuden jatkuvan parantamisen tukemiseksi unionin toimijoiden keskuudessa ja helpottavat kyberturvallisuusalojen ja -toimenpiteiden priorisointia toimijoiden kyberturvallisuuden taso huomioon ottaen; |
| b) | järjestelyjä kyberturvallisuusriskien hallintaa ja kyberturvallisuusriskien hallintatoimenpiteitä varten tai parannuksia niihin; |
| c) | järjestelyjä kyberturvallisuuden kehitystason arviointeja ja kyberturvallisuussuunnitelmia varten; |
| d) | tapauksen mukaan yhteisen teknologian, arkkitehtuurin, avoimen lähdekoodin ja niihin liittyvien parhaiden käytäntöjen käyttö tavoitteena saavuttaa yhteentoimivuus ja yhteiset standardit, mukaan lukien toimitusketjun turvallisuutta koskeva koordinoitu toimintatapa; |
| e) | tapauksen mukaan tietoja, joilla helpotetaan yhteishankintavälineiden käyttöä asiaankuuluvien kyberturvallisuuspalvelujen ja -tuotteiden ostamiseksi ulkopuolisilta toimittajilta; |
| f) | tietojen jakamisjärjestelyjä 20 artiklan nojalla. |
26 artikla
Voimaantulo
Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.
Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.
Tehty Strasbourgissa 13 päivänä joulukuuta 2023.
Euroopan parlamentin puolesta
Puhemies
R. METSOLA
Neuvoston puolesta
Puheenjohtaja
P. NAVARRO RÍOS
(1) Euroopan parlamentin kanta, vahvistettu 21. marraskuuta 2023 (ei vielä julkaistu virallisessa lehdessä), ja neuvoston päätös, tehty 8. joulukuuta 2023.
(2) Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2555, annettu 14 päivänä joulukuuta 2022, toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa, asetuksen (EU) N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 kumoamisesta (NIS 2 -direktiivi) (EUVL L 333, 27.12.2022, s. 80).
(3) Euroopan parlamentin ja neuvoston asetus (EU) 2019/881, annettu 17 päivänä huhtikuuta 2019, Euroopan unionin kyberturvallisuusvirasto ENISAsta ja tieto- ja viestintätekniikan kyberturvallisuussertifioinnista sekä asetuksen (EU) N:o 526/2013 kumoamisesta (kyberturvallisuusasetus) (EUVL L 151, 7.6.2019, s. 15).
(4) Euroopan parlamentin, Eurooppa-neuvoston, Euroopan unionin neuvoston, Euroopan komission, Euroopan unionin tuomioistuimen, Euroopan keskuspankin, Euroopan tilintarkastustuomioistuimen, Euroopan ulkosuhdehallinnon, Euroopan talous- ja sosiaalikomitean, Euroopan alueiden komitean ja Euroopan investointipankin välinen järjestely unionin toimielinten, elinten ja virastojen tietotekniikan kriisiryhmän (CERT-EU) organisaatiosta ja toiminnasta (EUVL C 12, 13.1.2018, s. 1).
(5) Neuvoston asetus (ETY, Euratom, EHTY) N:o 259/68, annettu 29 päivänä helmikuuta 1968, Euroopan yhteisöjen virkamiehiin sovellettavien henkilöstösääntöjen ja näiden yhteisöjen muuta henkilöstöä koskevien palvelussuhteen ehtojen vahvistamisesta sekä yhteisöjen virkamiehiin tilapäisesti sovellettavien erityisten toimenpiteiden laatimisesta (EYVL L 56, 4.3.1968, s. 1).
(6) Komission suositus (EU) 2017/1584, annettu 13 päivänä syyskuuta 2017, koordinoidusta reagoinnista laajamittaisiin kyberturvallisuuspoikkeamiin ja -kriiseihin (EUVL L 239, 19.9.2017, s. 36).
(7) Euroopan parlamentin ja neuvoston asetus (EU) 2018/1725, annettu 23 päivänä lokakuuta 2018, luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta (EUVL L 295, 21.11.2018, s. 39).
(8) EUVL C 258, 5.7.2022, s. 10.
(9) Euroopan parlamentin ja neuvoston asetus (EU, Euratom) 2018/1046, annettu 18 päivänä heinäkuuta 2018, unionin yleiseen talousarvioon sovellettavista varainhoitosäännöistä, asetusten (EU) N:o 1296/2013, (EU) N:o 1301/2013, (EU) N:o 1303/2013, (EU) N:o 1304/2013, (EU) N:o 1309/2013, (EU) N:o 1316/2013, (EU) N:o 223/2014, (EU) N:o 283/2014 ja päätöksen N:o 541/2014/EU muuttamisesta sekä asetuksen (EU, Euratom) N:o 966/2012 kumoamisesta (EUVL L 193, 30.7.2018, s. 1).
(10) Euroopan parlamentin ja neuvoston asetus (EY) N:o 1049/2001, annettu 30 päivänä toukokuuta 2001, Euroopan parlamentin, neuvoston ja komission asiakirjojen saamisesta yleisön tutustuttavaksi (EYVL L 145, 31.5.2001, s. 43).
ELI: http://data.europa.eu/eli/reg/2023/2841/oj
ISSN 1977-0812 (electronic edition)