keyboard_tab Cyber Resilience Act 2023/2841 HU
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 17. cikk A CERT-EU és a tagállami partnerek közötti együttműködés
- 1 20. cikk Kiberbiztonsági információmegosztási megállapodások
I. FEJEZET
ÁLTALÁNOS RENDELKEZÉSEK
II. FEJEZET
A KIBERBIZTONSÁG EGYSÉGESEN MAGAS SZINTJÉRE IRÁNYULÓ INTÉZKEDÉSEK
III. FEJEZET
INTÉZMÉNYKÖZI KIBERBIZTONSÁGI TESTÜLET
IV. FEJEZET
CERT-EU
V. FEJEZET
EGYÜTTMŰKÖDÉSI ÉS JELENTÉSTÉTELI KÖTELEZETTSÉGEK
VI. FEJEZET
ZÁRÓ RENDELKEZÉSEK
- uniós szervezetek
- hálózati és információs rendszer
- hálózati és információs rendszerek biztonsága
- kiberbiztonság
- legmagasabb vezetői szint
- majdnem bekövetkezett (near miss) esemény
- biztonsági esemény
- súlyos biztonsági esemény
- nagyszabású kiberbiztonsági esemény
- biztonsági esemény kezelése
- kiberfenyegetés
- jelentős kiberfenyegetés
- sérülékenység
- kiberbiztonsági kockázat
- felhőszolgáltatás
- uniós 20
- cert-eu 17
- meghatározott 14
- vagy 14
- eu / irányelv 13
- szervezet 13
- érintett 11
- hogy 11
- pontjában 11
- kiberbiztonsági 9
- információkat 8
- cikkének 8
- nélkül 6
- kell 6
- vonatkozó 6
- olyan 6
- létrehozott 5
- adott 5
- amelyek 5
- biztonsági_esemény 5
- európai 5
- cikk 4
- alapján 4
- cikke 4
- amely 4
- biztonsági_események 4
- az 4
- indokolatlan 3
- információk 3
- számára 3
- önkéntes 3
- szervezetet 3
- cikkének 3
- való 3
- beleegyezését 3
- a 3
- biztonságiesemény-specifikus 3
- jelentős 3
- tagállami 3
- késedelem 3
- szintű 3
- érdekében 3
- szóló 3
- szerint 3
- szerződés 3
- vezetőjének 2
- összhangban 2
- esemény 2
- eu / 2
- kifejezetten 2
3. cikk
Fogalommeghatározások
E rendelet alkalmazásában:
| 1. | „ uniós_szervezetek”: az Európai Unióról szóló szerződés, az Európai Unió működéséről szóló szerződés (EUMSZ) vagy az Európai Atomenergia-közösséget létrehozó szerződés által vagy ezek szerint létrehozott uniós intézmények, szervek, hivatalok és ügynökségek; |
| 2. | „ hálózati_és_információs_rendszer”: az (EU) 2022/2555 irányelv 6. cikkének 1. pontjában meghatározott hálózati_és_információs_rendszer; |
| 3. | „ hálózati_és_információs_rendszerek biztonsága”: az (EU) 2022/2555 irányelv 6. cikkének 2. pontjában meghatározott hálózati_és_információs_rendszerek biztonsága; |
| 4. | „ kiberbiztonság”: az (EU) 2019/881 rendelet 2. cikkének 1. pontjában meghatározott kiberbiztonság; |
| 5. | „ legmagasabb_vezetői_szint”: az uniós szervezet működéséért felelős vezető személy, vezető testület vagy koordináló és felügyeleti testület a legmagasabb igazgatási szinten, aki vagy amely az említett uniós szervezet magas szintű irányítására vonatkozó szabályoknak megfelelően felhatalmazással rendelkezik döntések meghozatalára vagy engedélyezésére, az egyéb vezetői szintek saját felelősségi körükbe tartozó megfelelési és kiberbiztonsági kockázatkezelési formális kötelezettségeinek sérelme nélkül; |
| 6. | „ majdnem_bekövetkezett_(near_miss)_esemény”: az (EU) 2022/2555 irányelv 6. cikkének 5. pontjában meghatározott majdnem_bekövetkezett_(near_miss)_esemény; |
| 7. | „ biztonsági_esemény”: az (EU) 2022/2555 irányelv 6. cikkének 6. pontjában meghatározott esemény; |
| 8. | „súlyos biztonsági_esemény”: olyan biztonsági_esemény, amely olyan szintű zavart okoz, amely meghaladja az adott uniós szervezet és a CERT-EU reagálási képességeit, vagy amely legalább két uniós szervezetre jelentős hatást gyakorol; |
| 9. | „nagyszabású kiberbiztonsági esemény”: az (EU) 2022/2555 irányelv 6. cikkének 7. pontjában meghatározott nagyszabású kiberbiztonsági esemény; |
| 10. | „ biztonsági_esemény kezelése”: az (EU) 2022/2555 irányelv 6. cikkének 8. pontjában meghatározott eseménykezelés; |
| 11. | „ kiberfenyegetés”: az (EU) 2019/881 rendelet 2. cikkének 8. pontjában meghatározott kiberfenyegetés; |
| 12. | „jelentős kiberfenyegetés”: az (EU) 2022/2555 irányelv 6. cikkének 11. pontjában meghatározott jelentős kiberfenyegetés; |
| 13. | „ sérülékenység”: az (EU) 2022/2555 irányelv 6. cikkének 15. pontjában meghatározott sérülékenység; |
| 14. | „ kiberbiztonsági kockázat”: az (EU) 2022/2555 irányelv 6. cikkének 9. pontjában meghatározott kockázat; |
| 15. | „ felhőszolgáltatás”: az (EU) 2022/2555 irányelv 6. cikkének 30. pontjában meghatározott felhőszolgáltatás; |
17. cikk
A CERT-EU és a tagállami partnerek közötti együttműködés
(1) A CERT-EU indokolatlan késedelem nélkül együttműködik és információcserét folytat a tagállami partnerekkel, különösen az (EU) 2022/2555 irányelv 10. cikke alapján kijelölt vagy létrehozott CSIRT-ekkel, vagy adott esetben az említett irányelv 8. cikke szerint kijelölt vagy létrehozott illetékes hatóságokkal és egyedüli kapcsolattartó pontokkal a biztonsági_események, a kiberfenyegetések, a sérülékenységek, a majdnem_bekövetkezett_(near_miss)_események, a lehetséges ellenintézkedések és a bevált gyakorlatok, valamint az uniós_szervezetek IKT-környezetei védelmének javítása szempontjából releváns valamennyi kérdés tekintetében, többek között az (EU) 2022/2555 irányelv 15. cikke alapján létrehozott CSIRT-hálózaton keresztül. A CERT-EU támogatja a Bizottságot a nagyszabású kiberbiztonsági események és válsághelyzetek összehangolt kezeléséről szóló (EU) 2022/2555 irányelv 16. cikke alapján létrehozott EU-CyCLONe-ban.
(2) Amennyiben a CERT-EU valamely tagállam területén bekövetkező jelentős biztonsági_eseményről szerez tudomást, az (1) bekezdéssel összhangban haladéktalanul értesíti az érintett partnert az adott tagállamban.
(3) A CERT-EU – feltéve, hogy a személyes adatok az alkalmazandó uniós adatvédelmi joggal összhangban védelemben részesülnek – indokolatlan késedelem nélkül, az érintett uniós szervezet beleegyezése nélkül megosztja a releváns biztonságiesemény-specifikus információkat a hasonló kiberfenyegetések vagy biztonsági_események felderítésének megkönnyítése vagy a biztonsági_esemény elemzéséhez való hozzájárulás érdekében a tagállami partnerekkel. A CERT-EU az olyan biztonságiesemény-specifikus információkat, amelyek feltárják a biztonsági_esemény célpontját csak az alábbiak egyikének fennállása esetén oszthatja meg:
| a) | az érintett uniós szervezet beleegyezését adja; |
| b) | az érintett uniós szervezet nem adja beleegyezését az a) pontban előírtak szerint, de az érintett uniós szervezet kilétének közzététele növelné annak valószínűségét, hogy a máshol bekövetkező biztonsági_eseményeket elkerülnék vagy mérsékelnék; |
| c) | az érintett uniós szervezet már nyilvánosságra hozta, hogy érintett volt. |
A biztonsági_eseményre vonatkozó azon információk cseréjére vonatkozó határozatokat, amelyek az első albekezdés b) pontja alapján feltárják a biztonsági_esemény célpontjának kilétét, a CERT-EU vezetőjének jóvá kell hagynia. Az ilyen határozat kibocsátása előtt a CERT-EU írásban felveszi a kapcsolatot az érintett uniós szervezettel, egyértelműen kifejtve, hogy kilétének nyilvánosságra hozatala hogyan segítené elő máshol a biztonsági_események elkerülését vagy mérséklését. A CERT-EU vezetőjének magyarázatot kell adnia, és kifejezetten fel kell kérnie az uniós szervezetet, hogy meghatározott határidőn belül nyilatkozzon arról, hogy beleegyezik-e ebbe. A CERT-EU vezetője arról is tájékoztatja az uniós szervezetet, hogy az adott magyarázat fényében fenntartja magának a jogot arra, hogy még beleegyezés hiányában is közzétegye az információkat. Az érintett uniós szervezetet az információk közzététele előtt tájékoztatni kell.
20. cikk
Kiberbiztonsági információmegosztási megállapodások
(1) Az uniós_szervezetek önkéntes alapon értesíthetik a CERT-EU-t az őket érintő biztonsági_eseményekről, kiberfenyegetésekről, majdnem_bekövetkezett_(near_miss)_eseményekről és sérülékenységekről, és azokról információkat szolgáltathatnak számára. A CERT-EU biztosítja, hogy az uniós_szervezetekkel való információmegosztás megkönnyítése érdekében hatékony, magas szintű nyomon követhetőséget, titkosságot és megbízhatóságot biztosító kommunikációs eszközök álljanak rendelkezésre. Az értesítések feldolgozásakor a CERT-EU előnyben részesítheti a kötelező értesítések feldolgozását az önkéntes értesítésekkel szemben. A 12. cikk sérelme nélkül, az önkéntes értesítés nem eredményezhet olyan további kötelezettségeket az adatszolgáltató uniós szervezet számára, amelyek nem terhelték volna, ha nem nyújtotta volna be az értesítést.
(2) Annak érdekében, hogy teljesítse a 13. cikkben ráruházott küldetését és feladatait, a CERT-EU felkérheti az uniós_szervezeteket, hogy információkat szolgáltassanak számára IKT rendszereik nyilvántartásaiból, ideértve a kiberfenyegetésekre, a majdnem_bekövetkezett_(near_miss)_eseményekre, a sérülékenységekre, a fertőzöttségi mutatókra (IoC), a kiberbiztonsági figyelmeztetésekre és a biztonsági_események észlelésére szolgáló kiberbiztonsági eszközök konfigurációjára vonatkozó ajánlásokra vonatkozó információkat is. A megkeresett uniós szervezet indokolatlan késedelem nélkül továbbítja a kért információt és annak minden későbbi frissítését is.
(3) A CERT-EU akkor cserélhet az uniós_szervezetekkel olyan biztonságiesemény-specifikus információkat, amelyek felfedik a biztonsági eseménnyel érintett uniós szervezet kilétét, ha az érintett uniós szervezet abba beleegyezik. Amennyiben egy uniós szervezet megtagadja a beleegyezését, a CERT-EU rendelkezésére kell bocsátania a döntését alátámasztó indokokat.
(4) Az uniós_szervezeteknek kérésre meg kell osztaniuk az Európai Parlamenttel és a Tanáccsal a kiberbiztonsági tervek teljesítésére vonatkozó információkat.
(5) Az IICB vagy adott esetben a CERT-EU kérésre iránymutatásokat, ajánlásokat és cselekvési felhívásokat oszt meg az Európai Parlamenttel és a Tanáccsal.
(6) Az e cikkben meghatározott megosztási kötelezettségek nem terjednek ki a következőkre:
| a) | EU-minősített adatok; |
| b) | olyan információk, amelyek további terjesztését egy látható jelöléssel kizárták, kivéve, ha kifejezetten engedélyezték azok CERT-EU-val való megosztását. |
whereas