keyboard_tab Cyber Resilience Act 2023/2841 HU
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 8. cikk Kiberbiztonsági kockázatkezelési intézkedések
- 1 13. cikk A CERT-EU küldetése és feladatai
- 1 15. cikk A CERT-EU vezetője
- 1 18. cikk A CERT-EU együttműködése más partnerekkel
- 1 21. cikk Jelentéstételi kötelezettségek
- 1 25. cikk Felülvizsgálat
- 26. cikk Hatálybalépés
I. FEJEZET
ÁLTALÁNOS RENDELKEZÉSEK
II. FEJEZET
A KIBERBIZTONSÁG EGYSÉGESEN MAGAS SZINTJÉRE IRÁNYULÓ INTÉZKEDÉSEK
III. FEJEZET
INTÉZMÉNYKÖZI KIBERBIZTONSÁGI TESTÜLET
IV. FEJEZET
CERT-EU
V. FEJEZET
EGYÜTTMŰKÖDÉSI ÉS JELENTÉSTÉTELI KÖTELEZETTSÉGEK
VI. FEJEZET
ZÁRÓ RENDELKEZÉSEK
- uniós szervezetek
- hálózati és információs rendszer
- hálózati és információs rendszerek biztonsága
- kiberbiztonság
- legmagasabb vezetői szint
- majdnem bekövetkezett (near miss) esemény
- biztonsági esemény
- súlyos biztonsági esemény
- nagyszabású kiberbiztonsági esemény
- biztonsági esemény kezelése
- kiberfenyegetés
- jelentős kiberfenyegetés
- sérülékenység
- kiberbiztonsági kockázat
- felhőszolgáltatás
- cert-eu 60
- vagy 37
- kell 30
- kiberbiztonsági 30
- a 24
- uniós 24
- esetben 21
- való 21
- adott 19
- iicb 19
- valamint 18
- uniós_szervezetek 18
- vonatkozó 18
- cikk 17
- említett 17
- jelentős 16
- partnerekkel 16
- hogy 16
- érintett 14
- szervezet 13
- ilyen 13
- biztonsági_esemény 12
- információkat 12
- beleértve 12
- szervezetekkel 11
- jelentést 10
- rendelet 10
- biztonsági_események 10
- között 9
- titoktartási 9
- szolgáltatási 9
- előzetes 9
- intézkedések 9
- európai 9
- például 9
- érdekében 9
- többek 9
- az 8
- számára 8
- alapján 8
- nélkül 8
- belül 8
- által 8
- annak 8
- olyan 7
- figyelembe 7
- uniós_szervezeteknek 7
- szerinti 7
- megfelelő 7
- minden 6
18. cikk
A CERT-EU együttműködése más partnerekkel
(1) A CERT-EU együttműködhet az uniós kiberbiztonsági követelmények hatálya alá tartozó, a 17. cikkben említettektől eltérő uniós partnerekkel, többek között ágazatspecifikus partnerekkel az eszközök és módszerek – például a technikák, taktikák, eljárások és a legjobb gyakorlatok –, valamint a kiberfenyegetések és - sérülékenységek terén. Az ilyen partnerekkel való mindennemű együttműködéshez a CERT-EU-nak – eseti alapon – előzetes jóváhagyást kell kérnie az IICB-től. Amennyiben a CERT-EU ilyen partnerekkel alakít ki együttműködést, erről tájékoztatnia kell a partner székhelye szerinti tagállamban működő valamennyi, a 17. cikk (1) bekezdésében említett érintett tagállami partnert. Adott esetben az ilyen együttműködést és annak feltételeit – többek között a kiberbiztonság, az adatvédelem és az információkezelés tekintetében – egyedi titoktartási megállapodásokban, például szerződésekben vagy igazgatási megállapodásokban kell meghatározni. A titoktartási megállapodásokhoz nem kell kikérni az IICB előzetes jóváhagyását, de az IICB elnökét ezekről tájékoztatni kell. Abban az esetben, ha az uniós_szervezetek vagy egy másik fél érdekében sürgős és azonnali kiberbiztonsági információcserére van szükség, a CERT-EU ezt megteheti egy olyan szervezettel, amelynek különleges kompetenciája, kapacitása és szakértelme indokoltan szükséges ahhoz, hogy segítséget nyújtson egy ilyen sürgős és azonnali szükséglet kielégítéséhez, még akkor is, ha a CERT-EU nem kötött titoktartási megállapodást az adott szervezettel. Ilyen esetekben a CERT-EU haladéktalanul tájékoztatja az IICB elnökét, és rendszeres jelentések vagy ülések útján jelentést tesz az IICB-nek.
(2) A CERT-EU együttműködhet más partnerekkel, például kereskedelmi szervezetekkel, köztük ágazatspecifikus ipari szervezetekkel, nemzetközi szervezetekkel, nem uniós nemzeti szervezetekkel vagy egyéni szakértőkkel annak érdekében, hogy információkat gyűjtsön az általános és konkrét kiberfenyegetésekről, a majdnem_bekövetkezett_(near_miss)_eseményekről, a sérülékenységekről és a lehetséges ellenintézkedésekről. Az ilyen partnerekkel való szélesebb körű együttműködéshez a CERT-EU-nak eseti alapon előzetes jóváhagyást kell kérnie az IICB-től.
(3) A CERT-EU – a biztonsági_esemény által érintett uniós szervezet beleegyezésével, és feltéve, hogy az érintett partnerrel titoktartási megállapodás vagy szerződés van érvényben – az (1) és a (2) bekezdésben említett partnerek rendelkezésére bocsáthatja az adott biztonsági_eseményre vonatkozó információkat, kizárólag az elemzéséhez való hozzájárulás céljából.
V. FEJEZET
EGYÜTTMŰKÖDÉSI ÉS JELENTÉSTÉTELI KÖTELEZETTSÉGEK
8. cikk
Kiberbiztonsági kockázatkezelési intézkedések
(1) Indokolatlan késedelem nélkül, de legkésőbb 2025. szeptember 8-ig az egyes uniós_szervezeteknek – a legmagasabb_vezetői_szintjük felügyelete mellett – meg kell hozniuk a keretrendszer keretében azonosított kiberbiztonsági kockázatok kezeléséhez, valamint a biztonsági_események megelőzéséhez vagy hatásuk minimálisra csökkentéséhez szükséges megfelelő és arányos technikai, működési és szervezeti intézkedéseket. Figyelembe véve a legkorszerűbb és adott esetben a vonatkozó európai és nemzetközi szabványokat, ezeknek az intézkedéseknek biztosítaniuk kell a hálózati_és_információs_rendszerek biztonságának a felmerülő kiberbiztonsági kockázatokkal arányos szintjét az IKT-környezet egészében. Az említett intézkedések arányosságának értékelésekor kellően figyelembe kell venni az uniós szervezet kiberbiztonsági kockázatoknak való kitettségének mértékét, a szervezet méretét, a biztonsági_események bekövetkeztének valószínűségét és azok súlyosságát, beleértve társadalmi, gazdasági és intézményközi hatásukat is.
(2) Az uniós_szervezeteknek a kiberbiztonsági kockázatkezelési intézkedések végrehajtása során legalább a következő területekkel foglalkozniuk kell:
a) | kiberbiztonsági szakpolitika, beleértve a 6. cikkben és az e cikk (3) bekezdésében említett célok és prioritások eléréséhez szükséges intézkedéseket; |
b) | kiberbiztonsági kockázatelemzési és az informatikai rendszerek biztonságára vonatkozó szakpolitikák; |
c) | a felhőszolgáltatások használatára vonatkozó szakpolitikai célok; |
d) | adott esetben kiberbiztonsági audit, amely magában foglalhatja a kiberbiztonsági kockázat, a sérülékenység és a kiberfenyegetések értékelését, valamint egy megbízható magánszolgáltató által rendszeresen végzett behatolási tesztelést; |
e) | a d) pontban említett kiberbiztonsági auditokból eredő ajánlások végrehajtása kiberbiztonsági frissítések és a szakpolitikák frissítése révén; |
f) | a kiberbiztonság megszervezése, beleértve a szerepek és feladatkörök meghatározását is; |
g) | eszközkezelés, beleértve az IKT-eszközök leltárát és az IKT-hálózatok feltérképezését; |
h) | az emberi erőforrások biztonsága és a hozzáférés ellenőrzése; |
i) | üzembiztonság; |
j) | kommunikációs biztonság; |
k) | a rendszerek beszerzése, fejlesztése és karbantartása, beleértve a sérülékenységkezelésre és -feltárásra vonatkozó politikákat; |
l) | ahol lehetséges, a forráskód átláthatóságára vonatkozó politikák; |
m) | az ellátási lánc biztonsága, beleértve az egyes uniós_szervezetek és közvetlen beszállítóik vagy szolgáltatóik közötti kapcsolatok biztonsági vonatkozásait is; |
n) | biztonsági_események kezelése és együttműködés a CERT-EU-val, például a biztonsági nyomonkövetés és a naplózás fenntartása; |
o) | az üzletmenet-folytonosság kezelése, például tartalékrendszerek kezelése, valamint katasztrófa utáni helyreállítás és válságkezelés; valamint |
p) | a kiberbiztonsággal kapcsolatos oktatási, készségfejlesztő, tudatosságnövelő, gyakorlati és képzési programok előmozdítása és kidolgozása. |
Az első albekezdés m) pontjának alkalmazásában az uniós_szervezeteknek figyelembe kell venniük az egyes közvetlen beszállítókra és szolgáltatókra jellemző sérülékenységeket, valamint a beszállítóik és szolgáltatóik termékeinek és kiberbiztonsági gyakorlatainak – többek között biztonságos fejlesztési eljárásaiknak – az általános minőségét.
(3) Az uniós_szervezeteknek meg kell hozniuk legalább a következő konkrét kiberbiztonsági kockázatkezelési intézkedéseket:
a) | a távmunka lehetővé tételét és fenntartását szolgáló műszaki intézkedések; |
b) | konkrét lépések a zéró bizalom alapelvei felé történő elmozdulás érdekében; |
c) | a többtényezős hitelesítés mint norma használata a hálózati_és_információs_rendszerekben; |
d) | kriptográfia és titkosítás, különösen végponttól végpontig terjedő titkosítás, valamint biztonságos digitális aláírás használata; |
e) | adott esetben biztonságos hang-, video- és szöveges kommunikáció, valamint biztonságos vészhelyzeti kommunikációs rendszerek használata az uniós szervezeten belül; |
f) | a rosszindulatú szoftverek és kémszoftverek felderítésére és eltávolítására irányuló proaktív intézkedések; |
g) | a szoftverellátási lánc biztonságának megteremtése a biztonságos szoftverfejlesztésre és -értékelésre vonatkozó kritériumok révén; |
h) | az uniós szervezet legmagasabb_vezetői_szintje és az e rendelet hatékony végrehajtásának biztosításával megbízott személyzete tagjai számára a számukra előírt feladatoknak és a tőlük elvárt képességeknek megfelelő kiberbiztonsági képzési tantervek kidolgozása és elfogadása; |
i) | a személyzet tagjainak rendszeres kiberbiztonsági képzése; |
j) | adott esetben részvétel az uniós_szervezetek összekapcsoltságával összefüggő kockázatok elemzésében; |
k) | a közbeszerzési szabályok javítása a kiberbiztonság egységesen magas szintjének elősegítése érdekében a következők révén:
|
13. cikk
A CERT-EU küldetése és feladatai
(1) A CERT-EU küldetése, hogy hozzájáruljon az uniós_szervezetek nem minősített IKT-környezetének biztonságához azáltal, hogy kiberbiztonsági tanácsadást nyújt számukra, segíti a biztonsági_események megelőzését, észlelését, kezelését, mérséklését, az azokra való reagálást és az azokat követő helyreállítást, valamint azáltal, hogy a kiberbiztonsági információcsere és a biztonsági_eseményekre való reagálás koordinációs központjaként működik.
(2) A CERT-EU információkat gyűjt a nem minősített IKT-infrastruktúrát érintő kiberfenyegetésekről, sérülékenységekről és biztonsági_eseményekről, ezeket az információkat kezeli és elemzi, valamint megosztja az uniós_szervezetekkel. Intézményközi szinten és az uniós_szervezetek szintjén koordinálja a biztonsági_eseményekre való reagálást, ideértve konkrét operatív segítségnyújtás biztosítását vagy koordinálását is.
(3) A CERT-EU a következő feladatokat látja el az uniós_szervezetek támogatása érdekében:
a) | támogatja őket e rendelet végrehajtásában, és a 14. cikk (1) bekezdésében felsorolt intézkedések vagy az IICB által kért eseti jelentések révén hozzájárul e rendelet végrehajtásának koordinálásához; |
b) | az uniós_szervezetek számára szabványos CSIRT-szolgáltatásokat kínál a szolgáltatási katalógusában ismertetett kiberbiztonsági szolgáltatáscsomag eszközei által (a továbbiakban: alapszolgáltatások); |
c) | hálózatot tart fenn a hasonló szervezetekkel és partnerekkel a 17. és 18. cikkben vázolt szolgáltatások támogatása érdekében; |
d) | felhívja az IICB figyelmét az e rendelet végrehajtásával, valamint az iránymutatások, ajánlások és cselekvési felhívások végrehajtásával kapcsolatos bármely problémára; |
e) | a (2) bekezdésben említett információk alapján az ENISA-val szorosan együttműködve hozzájárul az Unió kiberbiztonsági helyzetismeretéhez; |
f) | koordinálja a súlyos biztonsági_események kezelését; |
g) | az (EU) 2022/2555 irányelv 12. cikkének (1) bekezdése szerint a sérülékenységek összehangolt közzététele céljából kijelölt koordinátorral egyenértékűként eljár az uniós_szervezetek részéről; |
h) | valamely uniós szervezet kérésére proaktív, behatolásmentes átvilágítást végez az adott uniós szervezet nyilvánosan hozzáférhető hálózati_és_információs_rendszerein. |
Az első albekezdés e) pontjában említett információkat adott esetben, megfelelő titoktartási feltételek mellett kell megosztani az IICB-vel, a CSIRT-ek hálózatával és az Európai Unió Helyzetelemző Központjával (EU INTCEN).
(4) A CERT-EU a 17. vagy adott esetben a 18. cikkel összhangban együttműködhet az Unión és tagállamain belüli releváns kiberbiztonsági közösségekkel, többek között a következő területeken:
a) | felkészültség, biztonsági_események koordinálása, információcsere és válságreagálás technikai szinten az uniós_szervezetekkel kapcsolatos ügyekben; |
b) | operatív együttműködés a CSIRT-ek hálózatával, többek között a kölcsönös segítségnyújtással kapcsolatban; |
c) | kiberfenyegetettségi információk, beleértve a helyzetismeretet; |
d) | a CERT-EU technikai kiberbiztonsági szakértelmét igénylő bármely téma. |
(5) Hatáskörén belül a CERT-EU az (EU) 2019/881 rendelettel összhangban strukturált együttműködést folytat az ENISA-val a kapacitásépítés, az operatív együttműködés és a kiberfenyegetések hosszú távú stratégiai elemzése terén. A CERT-EU együttműködhet és információt cserélhet az Europol Kiberbűnözés Elleni Európai Központjával.
(6) A CERT-EU a szolgáltatáskatalógusában nem szereplő következő szolgáltatásokat (a továbbiakban: díjköteles szolgáltatások) nyújthatja:
a) | a (3) bekezdésben említettektől eltérő, az uniós_szervezetek IKT-környezetének kiberbiztonságát támogató szolgáltatások, a szolgáltatási szintre vonatkozó megállapodások alapján és a rendelkezésre álló erőforrások függvényében, különösen a hálózatok széles spektrumú nyomon követése, beleértve a súlyos kiberfenyegetések a hét minden napján, napi 24 órában történő közvetlen nyomon követését is; |
b) | olyan szolgáltatások, amelyek írásbeli megállapodások alapján és az IICB előzetes jóváhagyásával támogatják az uniós_szervezetek kiberbiztonsági műveleteit vagy projektjeit, kivéve azokat, amelyek IKT-környezetük védelmét szolgálják; |
c) | kérésre az érintett uniós szervezet hálózati_és_információs_rendszereinek proaktív átvilágítása a potenciálisan jelentős hatással bíró sérülékenységek felderítése érdekében; |
d) | írásbeli megállapodások alapján és az IICB előzetes jóváhagyásával az uniós_szervezetektől eltérő olyan szervezetek számára nyújtott, IKT-környezetük biztonságát támogató szolgáltatások, amelyek szorosan együttműködnek az uniós_szervezetekkel, például az uniós jog által rájuk ruházott feladatok vagy felelősségi körök teljesítése révén. |
Az első albekezdés d) pontja tekintetében a CERT-EU kivételes esetben, az IICB előzetes jóváhagyásával az uniós_szervezeteken kívüli egyéb szervezetekkel is köthet szolgáltatási szintre vonatkozó megállapodásokat.
(7) A CERT-EU – adott esetben az ENISA-val szoros együttműködésben – kiberbiztonsági gyakorlatokat szervez, és részt vehet azokban, vagy ajánlhatja a meglévő gyakorlatokban való részvételt az uniós_szervezetek kiberbiztonsági szintjének tesztelése céljából.
(8) A CERT-EU segítséget nyújthat az uniós_szervezeteknek az EU-minősített adatokat kezelő hálózati_és_információs_rendszerekben előforduló biztonsági_események tekintetében, amennyiben az érintett uniós_szervezetek erre saját eljárásaikkal összhangban kifejezetten felkérik. A CERT-EU által e bekezdés alapján nyújtott segítség nem érinti a minősített adatok védelmére vonatkozó alkalmazandó szabályokat.
(9) A CERT-EU tájékoztatja az uniós_szervezeteket a biztonsági_események kezelésére szolgáló eljárásairól és folyamatairól.
(10) A CERT-EU a megfelelő együttműködési mechanizmusokon és jelentési útvonalakon keresztül magas szintű titoktartás és megbízhatóság mellett szolgáltat releváns és anonimizált információkat a súlyos biztonsági_eseményekről és azok kezelésének módjáról. Ezeket az információkat bele kell foglalni a 10. cikk (14) bekezdésében említett jelentésbe.
(11) A CERT-EU az európai adatvédelmi biztossal együttműködve támogatja az érintett uniós_szervezeteket a személyes adatok megsértéséhez vezető biztonsági_események kezelésében, az európai adatvédelmi biztosnak az (EU) 2018/1725 rendelet szerinti felügyeleti hatóságként fennálló hatáskörének és feladatainak sérelme nélkül.
(12) Ha az uniós_szervezetek szakpolitikai részlegei azt kifejezetten kérik, a CERT-EU technikai tanácsot adhat vagy technikai véleményt nyilváníthat releváns szakpolitikai kérdésekben.
15. cikk
A CERT-EU vezetője
(1) A Bizottság az IICB tagjai kétharmados többségének jóváhagyását követően kinevezi a CERT-EU vezetőjét. A kinevezési eljárás minden szakaszában konzultálni kell az IICB-vel, különösen az állással kapcsolatos álláshirdetések megszövegezése, a pályázatok vizsgálata és a felvételi bizottságok kinevezése során. A kiválasztási eljárásnak – beleértve azon előválogatott jelöltek végleges listáját is, akik közül a CERT-EU vezetőjét ki kell nevezni – biztosítania kell az egyes nemek méltányos képviseletét, figyelembe véve a benyújtott pályázatokat.
(2) A CERT-EU vezetője – hatáskörén belül, az IICB irányítása alapján eljárva – felelős a CERT-EU megfelelő működéséért. A CERT-EU vezetője rendszeresen jelentést tesz a IICB elnökének és kérésre ad hoc jelentéseket nyújt be az IICB-nek.
(3) A CERT-EU vezetőjének segítenie kell a megbízott, engedélyezésre jogosult felelős tisztviselőt abban, hogy az (EU, Euratom) 2018/1046 európai parlamenti és tanácsi rendelet (9) 74. cikke (9) bekezdésének megfelelően elkészítse a kontrollok eredményeit is magukban foglaló pénzügyi és igazgatási információkat tartalmazó éves tevékenységi jelentést, és rendszeresen be kell számolnia a megbízott, engedélyezésre jogosult tisztviselő számára azon intézkedések végrehajtásáról, amelyekre vonatkozóan hatásköröket ruháztak tovább a CERT-EU vezetőjére.
(4) A CERT-EU vezetője évente elkészíti a tevékenységeihez kapcsolódó igazgatási bevételek és kiadások pénzügyi tervezését, a javasolt éves munkaprogramot, a CERT-EU számára javasolt szolgáltatási katalógust, a szolgáltatási katalógus javasolt felülvizsgálatát, a szolgáltatási szintre vonatkozó megállapodások szabályaira vonatkozó javaslatot és a CERT-EU fő teljesítménymutatóira vonatkozó javaslatát, amelyeket a IICB a 11. cikkel összhangban hagy jóvá. A CERT-EU szolgáltatási katalógusában szereplő szolgáltatások jegyzékének felülvizsgálatakor a CERT-EU vezetőjének figyelembe kell vennie a CERT-EU számára allokált erőforrásokat.
(5) A CERT-EU vezetője legalább évente jelentést nyújt be az IICB-nek és az IICB elnökének a CERT-EU referencia-időszak alatti tevékenységeiről és teljesítményéről, többek között a költségvetés végrehajtásáról, a szolgáltatási szintre vonatkozó megállapodásokról és a megkötött írásbeli megállapodásokról, a hasonló szervezetekkel és partnerekkel folytatott együttműködésről, valamint a személyzet által végzett küldetésekről, beleértve a 11. cikkben említett jelentéseket is. E jelentések tartalmazzák a következő időszakra vonatkozó munkaprogramot, a bevételek és kiadások pénzügyi tervezését, beleértve a személyi állományt, a CERT-EU szolgáltatási katalógusának tervezett frissítéseit, valamint annak értékelését, hogy ezek a frissítések milyen várható hatást gyakorolhatnak a pénzügyi és emberi erőforrásokra.
18. cikk
A CERT-EU együttműködése más partnerekkel
(1) A CERT-EU együttműködhet az uniós kiberbiztonsági követelmények hatálya alá tartozó, a 17. cikkben említettektől eltérő uniós partnerekkel, többek között ágazatspecifikus partnerekkel az eszközök és módszerek – például a technikák, taktikák, eljárások és a legjobb gyakorlatok –, valamint a kiberfenyegetések és - sérülékenységek terén. Az ilyen partnerekkel való mindennemű együttműködéshez a CERT-EU-nak – eseti alapon – előzetes jóváhagyást kell kérnie az IICB-től. Amennyiben a CERT-EU ilyen partnerekkel alakít ki együttműködést, erről tájékoztatnia kell a partner székhelye szerinti tagállamban működő valamennyi, a 17. cikk (1) bekezdésében említett érintett tagállami partnert. Adott esetben az ilyen együttműködést és annak feltételeit – többek között a kiberbiztonság, az adatvédelem és az információkezelés tekintetében – egyedi titoktartási megállapodásokban, például szerződésekben vagy igazgatási megállapodásokban kell meghatározni. A titoktartási megállapodásokhoz nem kell kikérni az IICB előzetes jóváhagyását, de az IICB elnökét ezekről tájékoztatni kell. Abban az esetben, ha az uniós_szervezetek vagy egy másik fél érdekében sürgős és azonnali kiberbiztonsági információcserére van szükség, a CERT-EU ezt megteheti egy olyan szervezettel, amelynek különleges kompetenciája, kapacitása és szakértelme indokoltan szükséges ahhoz, hogy segítséget nyújtson egy ilyen sürgős és azonnali szükséglet kielégítéséhez, még akkor is, ha a CERT-EU nem kötött titoktartási megállapodást az adott szervezettel. Ilyen esetekben a CERT-EU haladéktalanul tájékoztatja az IICB elnökét, és rendszeres jelentések vagy ülések útján jelentést tesz az IICB-nek.
(2) A CERT-EU együttműködhet más partnerekkel, például kereskedelmi szervezetekkel, köztük ágazatspecifikus ipari szervezetekkel, nemzetközi szervezetekkel, nem uniós nemzeti szervezetekkel vagy egyéni szakértőkkel annak érdekében, hogy információkat gyűjtsön az általános és konkrét kiberfenyegetésekről, a majdnem_bekövetkezett_(near_miss)_eseményekről, a sérülékenységekről és a lehetséges ellenintézkedésekről. Az ilyen partnerekkel való szélesebb körű együttműködéshez a CERT-EU-nak eseti alapon előzetes jóváhagyást kell kérnie az IICB-től.
(3) A CERT-EU – a biztonsági_esemény által érintett uniós szervezet beleegyezésével, és feltéve, hogy az érintett partnerrel titoktartási megállapodás vagy szerződés van érvényben – az (1) és a (2) bekezdésben említett partnerek rendelkezésére bocsáthatja az adott biztonsági_eseményre vonatkozó információkat, kizárólag az elemzéséhez való hozzájárulás céljából.
V. FEJEZET
EGYÜTTMŰKÖDÉSI ÉS JELENTÉSTÉTELI KÖTELEZETTSÉGEK
21. cikk
Jelentéstételi kötelezettségek
(1) Egy biztonsági_esemény akkor tekintendő jelentősnek, ha:
a) | súlyos működési zavart eredményezett, illetve eredményezhet az uniós szervezet működésében, vagy pénzügyi veszteséggel járt, illetve járhat az érintett uniós szervezet számára; |
b) | a biztonsági_esemény jelentős vagyoni vagy nem vagyoni kár okozásával más természetes vagy jogi személyeket érintett vagy érinthet. |
(2) Az uniós_szervezeteknek be kell nyújtaniuk a CERT-EU-nak a következőket:
a) | indokolatlan késedelem nélkül, de minden esetben a jelentős biztonsági_eseményről való tudomásszerzéstől számított 24 órán belül egy első figyelmeztetést, amelyben adott esetben fel kell tüntetni, hogy a jelentős biztonsági_eseményt gyaníthatóan jogellenes vagy rosszindulatú cselekmény okozta-e és hogy lehet-e több szervezetre kiterjedő vagy határokon átnyúló hatása; |
b) | indokolatlan késedelem nélkül, de minden esetben a jelentős biztonsági_eseményről való tudomásszerzéstől számított 72 órán belül a biztonsági_eseményről szóló értesítést, amely adott esetben aktualizálja az a) pontban említett információkat, és tartalmazza a jelentős biztonsági_esemény, illetve annak súlyossága és hatása kezdeti értékelését, valamint – amennyiben rendelkezésre állnak – a fertőzöttségi mutatókat; |
c) | a CERT-EU kérésére a releváns állapotfrissítésekről szóló időközi jelentést. |
d) | zárójelentést, legkésőbb a b) pont szerinti, a biztonsági_eseményről való értesítés benyújtását követő egy hónapon belül, amely tartalmazza a következőket:
|
e) | a d) pontban említett zárójelentés benyújtásának időpontjában folyamatban lévő biztonsági_esemény esetén az említett időpontban eredményjelentés, a biztonsági_esemény kezelését követő egy hónapon belül pedig zárójelentés. |
(3) Az uniós szervezet indokolatlan késedelem nélkül, de minden esetben a jelentős biztonsági_eseményről való tudomásszerzéstől számított 24 órán belül tájékoztatja a 17. cikk (1) bekezdésében említett, a székhelye szerinti tagállamban működő érintett tagállami partnereket a jelentős biztonsági_esemény bekövetkezéséről.
(4) Az uniós_szervezeteknek be kell jelenteniük többek között minden olyan információt, amely lehetővé teszi a CERT-EU számára, hogy a jelentős biztonsági_eseményt követően azonosítsa a szervezetek közötti, a fogadó tagállamra gyakorolt vagy határokon átnyúló hatást. A 12. cikk sérelme nélkül, pusztán az értesítés következtében az uniós szervezetet többletfelelősség nem terhelheti.
(5) Adott esetben az uniós_szervezetek indokolatlan késedelem nélkül tájékoztatják az érintett hálózati_és_információs_rendszerek vagy az IKT-környezet más elemei azon felhasználóit, akiket jelentős biztonsági_esemény vagy jelentős kiberfenyegetés érinthet, és adott esetben tájékoztatják őket a biztonsági_eseményre vagy fenyegetésre válaszul általuk hozható mérséklő intézkedésekről, egyéb intézkedésekről vagy korrekciós intézkedésekről is. Adott esetben az uniós_szervezetek tájékoztatják a felhasználókat magáról a jelentős kiberfenyegetésről.
(6) Amennyiben egy jelentős biztonsági_esemény vagy jelentős kiberfenyegetés egy hálózati_és_információs_rendszert, vagy egy uniós szervezet IKT-környezetének valamely olyan elemét érinti, amely köztudottan kapcsolódik egy másik uniós szervezet IKT-környezetéhez, a CERT-EU megfelelő kiberbiztonsági riasztást ad ki.
(7) Az uniós_szervezetek a CERT-EU kérésére indokolatlan késedelem nélkül átadják a CERT-EU részére a biztonsági_eseményekben érintett elektronikus eszközök használatával létrehozott digitális információkat. A CERT-EU további részletekkel szolgálhat a helyzetismerethez és a biztonsági_eseményre való reagáláshoz szükséges információtípusokról.
(8) A CERT-EU háromhavonta összefoglaló jelentést nyújt be az IICB-nek, az ENISA-nak, az EU INTCEN-nek és a CSIRT-hálózatnak, amely anonimizált és összesített adatokat tartalmaz a 20. cikk szerinti jelentős biztonsági_eseményekről, biztonsági_eseményekről, kiberfenyegetésekről, majdnem_bekövetkezett_(near_miss)_eseményekről és sérülékenységekről, valamint az e cikk (2) bekezdése szerint bejelentett jelentős biztonsági_eseményekről. Az összefoglaló jelentés hozzájárul az uniós kiberbiztonsági helyzetről az (EU) 2022/2555 irányelv 18. cikke alapján elfogadott, kétévente kiadandó jelentéshez.
(9) Az IICB-nek 2024. július 8-ig iránymutatásokat vagy ajánlásokat kell ki bocsátania, amelyekben tovább pontosítja az e cikk szerinti jelentéstétel szabályait, formátumát és tartalmát. Az ilyen iránymutatások vagy ajánlások kidolgozása során az IICB figyelembe veszi az (EU) 2022/2555 irányelv 23. cikkének (11) bekezdése alapján elfogadott, az információk típusát, formátumát és az értesítésekre vonatkozó eljárást meghatározó végrehajtási jogi aktusokat. A CERT-EU megosztja a megfelelő technikai részleteket annak érdekében, hogy lehetővé tegye az uniós_szervezetek általi proaktív felderítést, biztonsági_eseményekre való reagálást vagy a mérséklő intézkedések meghozatalát.
(10) Az e cikkben meghatározott jelentéstételi kötelezettségek nem terjednek ki a következőkre:
a) | EU-minősített adatok; |
b) | olyan információk, amelyek további terjesztését egy látható jelöléssel kizárták, kivéve, ha kifejezetten engedélyezték azok CERT-EU-val való megosztását. |
25. cikk
Felülvizsgálat
(1) 2025. január 8-ig, majd azt követően évente az IICB a CERT-EU segítségével jelentést tesz a Bizottságnak e rendelet végrehajtásáról. Az IICB ajánlásokat tehet a Bizottságnak e rendelet felülvizsgálatára.
(2) A Bizottság 2027. január 8-ig és azt követően kétévente értékeli e rendelet végrehajtását, valamint a stratégiai és operatív szinten szerzett tapasztalatokat, és jelentést nyújt be az Európai Parlamentnek és a Tanácsnak.
Az e bekezdés első albekezdésében említett jelentés tartalmazza a 16. cikk (1) bekezdésében említett felülvizsgálatot a CERT-EU uniós hivatalként való létrehozásának lehetőségéről.
(3) A Bizottság 2029. január 8-ig értékeli e rendelet működését, és jelentést nyújt be az Európai Parlamentnek, a Tanácsnak, az Európai Gazdasági és Szociális Bizottságnak és a Régiók Bizottságának. A Bizottság azt is értékeli, hogy helyénvaló-e e rendelet hatálya alá vonni az EU-minősített adatokat kezelő hálózati_és_információs_rendszereket, figyelembe véve az e rendszerekre alkalmazandó egyéb uniós jogalkotási aktusokat is. A jelentéshez szükség esetén jogalkotási javaslatot kell csatolni.
whereas