keyboard_tab Cyber Resilience Act 2023/2841 HU
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 9. cikk Kiberbiztonsági tervek
- 2 11. cikk Az IICB feladatai
- 1 23. cikk A súlyos biztonsági események kezelése
I. FEJEZET
ÁLTALÁNOS RENDELKEZÉSEK
II. FEJEZET
A KIBERBIZTONSÁG EGYSÉGESEN MAGAS SZINTJÉRE IRÁNYULÓ INTÉZKEDÉSEK
III. FEJEZET
INTÉZMÉNYKÖZI KIBERBIZTONSÁGI TESTÜLET
IV. FEJEZET
CERT-EU
V. FEJEZET
EGYÜTTMŰKÖDÉSI ÉS JELENTÉSTÉTELI KÖTELEZETTSÉGEK
VI. FEJEZET
ZÁRÓ RENDELKEZÉSEK
- uniós szervezetek
- hálózati és információs rendszer
- hálózati és információs rendszerek biztonsága
- kiberbiztonság
- legmagasabb vezetői szint
- majdnem bekövetkezett (near miss) esemény
- biztonsági esemény
- súlyos biztonsági esemény
- nagyszabású kiberbiztonsági esemény
- biztonsági esemény kezelése
- kiberfenyegetés
- jelentős kiberfenyegetés
- sérülékenység
- kiberbiztonsági kockázat
- felhőszolgáltatás
- kiberbiztonsági 36
- cert-eu 29
- uniós_szervezetek 20
- alapján 19
- cikk 17
- vonatkozó 17
- jóváhagyja 16
- súlyos 13
- javaslata 12
- biztonsági_események 10
- által 10
- vezetőjének 10
- hogy 9
- szintű 9
- valamint 9
- uniós 9
- válságkezelési 9
- követi 8
- nyomon 8
- vagy 8
- való 8
- említett 7
- uniós_szervezeteket 7
- iicb 7
- kell 7
- tervet 7
- vonatkozóan 6
- közötti 6
- éves 6
- szolgáltatási 6
- annak 6
- rendelet 6
- fogad 6
- eu / irányelv 5
- létre 5
- véve 5
- technikai 5
- figyelembe 5
- értékeléseket 5
- érdekében 5
- ajánlásokat 4
- megállapodásokat 4
- álló 4
- szintre 4
- azok 4
- érettségi 4
- információk 4
- tervnek 4
- az 4
- céljából 4
11. cikk
Az IICB feladatai
Feladatainak ellátása során az IICB különösen:
a) | iránymutatást nyújt a CERT-EU vezetője számára; |
b) | hatékonyan nyomon követi és felügyeli e rendelet végrehajtását, valamint támogatja az uniós_szervezeteket kiberbiztonságuk megerősítésében, beleértve adott esetben eseti jelentések kérését az uniós_szervezetektől és a CERT-EU-tól; |
c) | stratégiai megbeszélést követően többéves stratégiát fogad el az uniós_szervezetek kiberbiztonsági szintjének növelésére, és azt rendszeresen, de legalább ötévente értékeli és szükség esetén módosítja; |
d) | meghatározza az uniós_szervezetek által végzett önkéntes szakértői értékelések módszertanát és szervezeti vonatkozásait a közös tapasztalatokból való tanulás, a kölcsönös bizalom megerősítése, az egységesen magas szintű kiberbiztonság elérése, valamint az uniós_szervezetek kiberbiztonsági képességeinek javítása érdekében, biztosítva, hogy az ilyen szakértői értékeléseket a felülvizsgálat tárgyát képező uniós szervezettől eltérő uniós szervezet által kijelölt kiberbiztonsági szakértők végezzék, és hogy a módszertan az (EU) 2022/2555 irányelv 19. cikkén alapuljon, és adott esetben igazodjon az uniós_szervezetekhez; |
e) | a CERT-EU vezetőjének javaslata alapján jóváhagyja a CERT-EU éves munkaprogramját és nyomon követi annak végrehajtását; |
f) | a CERT-EU vezetőjének javaslata alapján jóváhagyja a CERT-EU szolgáltatási katalógusát és annak frissítéseit; |
g) | a CERT-EU vezetőjének javaslata alapján jóváhagyja a CERT-EU tevékenységeinek bevételeire és kiadásaira vonatkozó éves pénzügyi tervet, beleértve a személyzetre vonatkozót is; |
h) | a CERT-EU vezetőjének javaslata alapján jóváhagyja a szolgáltatási szintre vonatkozó megállapodásokra vonatkozó szabályokat; |
i) | megvizsgálja és jóváhagyja a CERT-EU vezetője által készített, a CERT-EU tevékenységeiről és pénzeszközeinek kezeléséről szóló éves jelentést; |
j) | jóváhagyja és nyomon követi a CERT-EU vezetőjének javaslata alapján a CERT-EU-ra vonatkozóan meghatározott fő teljesítménymutatókat (KPI-k); |
k) | jóváhagyja a CERT-EU és más szervezetek közötti, a 18. cikk szerinti együttműködési megállapodásokat, szolgáltatási szintre vonatkozó megállapodásokat vagy szerződéseket; |
l) | a CERT-EU javaslata alapján a 14. cikkel összhangban iránymutatásokat és ajánlásokat fogad el, és utasítja a CERT-EU-t, hogy adjon ki, vonjon vissza vagy módosítson valamely, iránymutatásokra vagy ajánlásokra irányuló javaslatot, illetve cselekvési felhívást; |
m) | az IICB munkájának támogatásához technikai tanácsadó csoportokat hoz létre konkrét feladatokkal, jóváhagyja azok megbízatását, és kinevezi azok elnökeit; |
n) | fogadja és értékeli az uniós_szervezetek által e rendelet alapján benyújtott dokumentumokat és jelentéseket, például a kiberbiztonsági érettségi értékeléseket; |
o) | az e rendelet végrehajtásával kapcsolatos bevált gyakorlatok és információk cseréje céljából az ENISA támogatásával elősegíti az uniós_szervezetek helyi kiberbiztonsági tisztviselőiből álló informális csoport létrehozását; |
p) | figyelembe véve a CERT-EU által az azonosított kiberbiztonsági kockázatokra és levont tanulságokra vonatkozóan szolgáltatott információkat, nyomon követi az uniós_szervezetek IKT-környezete közötti összekapcsolhatósági megállapodások megfelelőségét, és tanácsot ad a lehetséges fejlesztésekre vonatkozóan; |
q) | kiberbiztonsági válságkezelési tervet hoz létre az uniós_szervezeteket érintő súlyos biztonsági_események koordinált kezelésének operatív szintű támogatása, valamint a releváns információk rendszeres cseréjéhez való hozzájárulás céljából, különös tekintettel a súlyos biztonsági_események hatásaira és súlyosságára, valamint hatásai mérséklésének lehetséges módjaira; |
r) | koordinálja az egyes uniós_szervezetek 9. cikk (2) bekezdésében említett kiberbiztonsági válságkezelési terveinek elfogadását; |
s) | az (EU) 2022/2555 irányelv 22. cikkében említett, a kritikus ellátási láncokra vonatkozó összehangolt uniós szintű biztonsági kockázatértékelések eredményeit figyelembe véve a 8. cikk (2) bekezdése első albekezdésének m) pontjában említett, az ellátási lánc biztonságára vonatkozó ajánlásokat fogad el annak érdekében, hogy támogassa az uniós_szervezeteket a hatékony és arányos kiberbiztonsági kockázatkezelési intézkedések elfogadásában. |
9. cikk
Kiberbiztonsági tervek
(1) A 7. cikk szerint elvégzett kiberbiztonsági érettségi értékelésből levont következtetések nyomán, valamint figyelembe véve a keretrendszerben azonosított eszközöket és kiberbiztonsági kockázatokat, továbbá a 8. cikk alapján hozott kiberbiztonsági kockázatkezelési intézkedéseket, az egyes uniós_szervezetek legfelsőbb vezetői szintjének indokolatlan késedelem nélkül, de legkésőbb 2026. január 8-ig jóvá kell hagynia a kiberbiztonsági tervet. A kiberbiztonsági tervnek az uniós szervezet általános kiberbiztonságának növelésére kell irányulnia, és ezáltal hozzá kell járulnia az uniós_szervezeteken belüli egységesen magas szintű kiberbiztonság javításához. A kiberbiztonsági tervnek tartalmaznia kell legalább a 8. cikk alapján hozott kiberbiztonsági kockázatkezelési intézkedéseket. A kiberbiztonsági tervet kétévente, vagy szükség esetén gyakrabban, a 7. cikk szerint elvégzett kiberbiztonsági érettségi értékeléseket vagy a keretrendszer bármely jelentős felülvizsgálatát követően felül kell vizsgálni.
(2) A kiberbiztonsági tervnek tartalmaznia kell az uniós szervezetnek a súlyos biztonsági_eseményekre vonatkozó kiberbiztonsági válságkezelési tervét.
(3) Az uniós szervezet benyújtja elkészített kiberbiztonsági tervét a 10. cikk alapján létrehozott Intézményközi Kiberbiztonsági Testületnek.
III. FEJEZET
INTÉZMÉNYKÖZI KIBERBIZTONSÁGI TESTÜLET
11. cikk
Az IICB feladatai
Feladatainak ellátása során az IICB különösen:
a) | iránymutatást nyújt a CERT-EU vezetője számára; |
b) | hatékonyan nyomon követi és felügyeli e rendelet végrehajtását, valamint támogatja az uniós_szervezeteket kiberbiztonságuk megerősítésében, beleértve adott esetben eseti jelentések kérését az uniós_szervezetektől és a CERT-EU-tól; |
c) | stratégiai megbeszélést követően többéves stratégiát fogad el az uniós_szervezetek kiberbiztonsági szintjének növelésére, és azt rendszeresen, de legalább ötévente értékeli és szükség esetén módosítja; |
d) | meghatározza az uniós_szervezetek által végzett önkéntes szakértői értékelések módszertanát és szervezeti vonatkozásait a közös tapasztalatokból való tanulás, a kölcsönös bizalom megerősítése, az egységesen magas szintű kiberbiztonság elérése, valamint az uniós_szervezetek kiberbiztonsági képességeinek javítása érdekében, biztosítva, hogy az ilyen szakértői értékeléseket a felülvizsgálat tárgyát képező uniós szervezettől eltérő uniós szervezet által kijelölt kiberbiztonsági szakértők végezzék, és hogy a módszertan az (EU) 2022/2555 irányelv 19. cikkén alapuljon, és adott esetben igazodjon az uniós_szervezetekhez; |
e) | a CERT-EU vezetőjének javaslata alapján jóváhagyja a CERT-EU éves munkaprogramját és nyomon követi annak végrehajtását; |
f) | a CERT-EU vezetőjének javaslata alapján jóváhagyja a CERT-EU szolgáltatási katalógusát és annak frissítéseit; |
g) | a CERT-EU vezetőjének javaslata alapján jóváhagyja a CERT-EU tevékenységeinek bevételeire és kiadásaira vonatkozó éves pénzügyi tervet, beleértve a személyzetre vonatkozót is; |
h) | a CERT-EU vezetőjének javaslata alapján jóváhagyja a szolgáltatási szintre vonatkozó megállapodásokra vonatkozó szabályokat; |
i) | megvizsgálja és jóváhagyja a CERT-EU vezetője által készített, a CERT-EU tevékenységeiről és pénzeszközeinek kezeléséről szóló éves jelentést; |
j) | jóváhagyja és nyomon követi a CERT-EU vezetőjének javaslata alapján a CERT-EU-ra vonatkozóan meghatározott fő teljesítménymutatókat (KPI-k); |
k) | jóváhagyja a CERT-EU és más szervezetek közötti, a 18. cikk szerinti együttműködési megállapodásokat, szolgáltatási szintre vonatkozó megállapodásokat vagy szerződéseket; |
l) | a CERT-EU javaslata alapján a 14. cikkel összhangban iránymutatásokat és ajánlásokat fogad el, és utasítja a CERT-EU-t, hogy adjon ki, vonjon vissza vagy módosítson valamely, iránymutatásokra vagy ajánlásokra irányuló javaslatot, illetve cselekvési felhívást; |
m) | az IICB munkájának támogatásához technikai tanácsadó csoportokat hoz létre konkrét feladatokkal, jóváhagyja azok megbízatását, és kinevezi azok elnökeit; |
n) | fogadja és értékeli az uniós_szervezetek által e rendelet alapján benyújtott dokumentumokat és jelentéseket, például a kiberbiztonsági érettségi értékeléseket; |
o) | az e rendelet végrehajtásával kapcsolatos bevált gyakorlatok és információk cseréje céljából az ENISA támogatásával elősegíti az uniós_szervezetek helyi kiberbiztonsági tisztviselőiből álló informális csoport létrehozását; |
p) | figyelembe véve a CERT-EU által az azonosított kiberbiztonsági kockázatokra és levont tanulságokra vonatkozóan szolgáltatott információkat, nyomon követi az uniós_szervezetek IKT-környezete közötti összekapcsolhatósági megállapodások megfelelőségét, és tanácsot ad a lehetséges fejlesztésekre vonatkozóan; |
q) | kiberbiztonsági válságkezelési tervet hoz létre az uniós_szervezeteket érintő súlyos biztonsági_események koordinált kezelésének operatív szintű támogatása, valamint a releváns információk rendszeres cseréjéhez való hozzájárulás céljából, különös tekintettel a súlyos biztonsági_események hatásaira és súlyosságára, valamint hatásai mérséklésének lehetséges módjaira; |
r) | koordinálja az egyes uniós_szervezetek 9. cikk (2) bekezdésében említett kiberbiztonsági válságkezelési terveinek elfogadását; |
s) | az (EU) 2022/2555 irányelv 22. cikkében említett, a kritikus ellátási láncokra vonatkozó összehangolt uniós szintű biztonsági kockázatértékelések eredményeit figyelembe véve a 8. cikk (2) bekezdése első albekezdésének m) pontjában említett, az ellátási lánc biztonságára vonatkozó ajánlásokat fogad el annak érdekében, hogy támogassa az uniós_szervezeteket a hatékony és arányos kiberbiztonsági kockázatkezelési intézkedések elfogadásában. |
23. cikk
A súlyos biztonsági_események kezelése
(1) Az uniós_szervezeteket érintő súlyos biztonsági_események koordinált operatív szintű kezelésének támogatása, továbbá a releváns információknak az uniós_szervezetek közötti és a tagállamokkal való rendszeres cseréjéhez való hozzájárulás érdekében az IICB a 11. cikk q) pontja értelmében a 22. cikk (2) bekezdésében részletezett tevékenységek alapján, a CERT-EU-val és az ENISA-val szoros együttműködésben kiberbiztonsági válságkezelési tervet hoz létre. A kiberbiztonsági válságkezelési tervnek legalább a következő elemeket kell tartalmaznia:
a) | az uniós_szervezetek közötti, a súlyos biztonsági_események operatív szintű kezelésére vonatkozó koordinációra és információáramlásra vonatkozó szabályok; |
b) | közös eljárási standardok; |
c) | a súlyos biztonsági_események súlyossági fokaira és a válságot kiváltó tényezőkre vonatkozó egységes taxonómia; |
d) | rendszeres gyakorlatok; |
e) | az igénybe veendő biztonságos kommunikációs csatornák. |
(2) Az e cikk (1) bekezdése alapján létrehozott kiberbiztonsági válságkezelési tervre figyelemmel és az (EU) 2022/2555 irányelv 16. cikke (2) bekezdése első albekezdésének sérelme nélkül a Bizottságnak az IICB-ben részt vevő képviselője a kapcsolattartó pont a súlyos biztonsági_eseményekkel kapcsolatos releváns információknak az EU-CyCLONe-val való megosztása tekintetében.
(3) A CERT-EU koordinálja az uniós_szervezetek között a súlyos biztonsági_események kezelését. Nyilvántartást vezet arról a rendelkezésre álló technikai szakértelemről, amelyre ilyen súlyos biztonsági_események esetén az eseményekre való reagáláshoz szükség lehet, és segíti az IICB-t az uniós_szervezetek 9. cikk (2) bekezdésében említett súlyos biztonsági_eseményekre vonatkozó kiberbiztonsági válságkezelési terveinek koordinálásában.
(4) Az uniós_szervezetek hozzájárulnak a technikai szakértelem nyilvántartásához azáltal, hogy a szervezetükön belül rendelkezésre álló szakértőkről évente frissített jegyzéket állítanak össze, amely részletezi sajátos technikai készségeiket.
VI. FEJEZET
ZÁRÓ RENDELKEZÉSEK
whereas