keyboard_tab Cyber Resilience Act 2023/2841 HU
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1. cikk Tárgy
- 2. cikk Hatály
- 3. cikk Fogalommeghatározások
- 4. cikk A személyes adatok kezelése
- 5. cikk Az intézkedések végrehajtása
- 6. cikk Kiberbiztonsági kockázatkezelési, -irányítási és -ellenőrzési keretrendszer
- 7. cikk Kiberbiztonsági érettségi értékelések
- 8. cikk Kiberbiztonsági kockázatkezelési intézkedések
- 9. cikk Kiberbiztonsági tervek
- 10. cikk Intézményközi Kiberbiztonsági Testület
- 11. cikk Az IICB feladatai
- 12. cikk Megfelelés
- 13. cikk A CERT-EU küldetése és feladatai
- 14. cikk Iránymutatások, ajánlások és cselekvési felhívások
- 15. cikk A CERT-EU vezetője
- 16. cikk Pénzügyi és személyzeti kérdések
- 17. cikk A CERT-EU és a tagállami partnerek közötti együttműködés
- 18. cikk A CERT-EU együttműködése más partnerekkel
- 19. cikk Információkezelés
- 20. cikk Kiberbiztonsági információmegosztási megállapodások
- 21. cikk Jelentéstételi kötelezettségek
- 22. cikk A biztonsági eseményekre való reagálás koordinálása és az azokkal kapcsolatos együttműködés
- 23. cikk A súlyos biztonsági események kezelése
- 24. cikk Kezdeti költségvetési átcsoportosítás
- 25. cikk Felülvizsgálat
- 26. cikk Hatálybalépés
I. FEJEZET
ÁLTALÁNOS RENDELKEZÉSEK
II. FEJEZET
A KIBERBIZTONSÁG EGYSÉGESEN MAGAS SZINTJÉRE IRÁNYULÓ INTÉZKEDÉSEK
III. FEJEZET
INTÉZMÉNYKÖZI KIBERBIZTONSÁGI TESTÜLET
IV. FEJEZET
CERT-EU
V. FEJEZET
EGYÜTTMŰKÖDÉSI ÉS JELENTÉSTÉTELI KÖTELEZETTSÉGEK
VI. FEJEZET
ZÁRÓ RENDELKEZÉSEK
- uniós szervezetek
- hálózati és információs rendszer
- hálózati és információs rendszerek biztonsága
- kiberbiztonság
- legmagasabb vezetői szint
- majdnem bekövetkezett (near miss) esemény
- biztonsági esemény
- súlyos biztonsági esemény
- nagyszabású kiberbiztonsági esemény
- biztonsági esemény kezelése
- kiberfenyegetés
- jelentős kiberfenyegetés
- sérülékenység
- kiberbiztonsági kockázat
- felhőszolgáltatás
- kiberbiztonsági 15
- valamint 8
- vonatkozó 7
- beleértve 6
- kell 5
- intézkedések 5
- biztonságos 5
- biztonsági_események 4
- uniós_szervezeteknek 4
- adott 4
- esetben 4
- rendszerek 3
- említett 3
- figyelembe 3
- kezelése 3
- uniós 3
- egyes 3
- használata 3
- való 3
- szervezet 3
- kockázatkezelési 3
- kiberfenyegetések 2
- legalább 2
- végrehajtása 2
- következő 2
- célok 2
- az 2
- informatikai 2
- szakpolitikák 2
- cikk 2
- révén 2
- kapcsolatos 2
- szerződéses 2
- titkosítás 2
- érdekében 2
- konkrét 2
- kidolgozása 2
- képzési 2
- például 2
- kiberbiztonság 2
- cert-eu-val 2
- biztonsági 2
- szolgáltatóik 2
- beszállítóik 2
- lánc 2
- kommunikációs 2
- biztonsága 2
- közvetlen 2
- uniós_szervezetek 2
- szükséges 2
8. cikk
Kiberbiztonsági kockázatkezelési intézkedések
(1) Indokolatlan késedelem nélkül, de legkésőbb 2025. szeptember 8-ig az egyes uniós_szervezeteknek – a legmagasabb_vezetői_szintjük felügyelete mellett – meg kell hozniuk a keretrendszer keretében azonosított kiberbiztonsági kockázatok kezeléséhez, valamint a biztonsági_események megelőzéséhez vagy hatásuk minimálisra csökkentéséhez szükséges megfelelő és arányos technikai, működési és szervezeti intézkedéseket. Figyelembe véve a legkorszerűbb és adott esetben a vonatkozó európai és nemzetközi szabványokat, ezeknek az intézkedéseknek biztosítaniuk kell a hálózati_és_információs_rendszerek biztonságának a felmerülő kiberbiztonsági kockázatokkal arányos szintjét az IKT-környezet egészében. Az említett intézkedések arányosságának értékelésekor kellően figyelembe kell venni az uniós szervezet kiberbiztonsági kockázatoknak való kitettségének mértékét, a szervezet méretét, a biztonsági_események bekövetkeztének valószínűségét és azok súlyosságát, beleértve társadalmi, gazdasági és intézményközi hatásukat is.
(2) Az uniós_szervezeteknek a kiberbiztonsági kockázatkezelési intézkedések végrehajtása során legalább a következő területekkel foglalkozniuk kell:
| a) | kiberbiztonsági szakpolitika, beleértve a 6. cikkben és az e cikk (3) bekezdésében említett célok és prioritások eléréséhez szükséges intézkedéseket; |
| b) | kiberbiztonsági kockázatelemzési és az informatikai rendszerek biztonságára vonatkozó szakpolitikák; |
| c) | a felhőszolgáltatások használatára vonatkozó szakpolitikai célok; |
| d) | adott esetben kiberbiztonsági audit, amely magában foglalhatja a kiberbiztonsági kockázat, a sérülékenység és a kiberfenyegetések értékelését, valamint egy megbízható magánszolgáltató által rendszeresen végzett behatolási tesztelést; |
| e) | a d) pontban említett kiberbiztonsági auditokból eredő ajánlások végrehajtása kiberbiztonsági frissítések és a szakpolitikák frissítése révén; |
| f) | a kiberbiztonság megszervezése, beleértve a szerepek és feladatkörök meghatározását is; |
| g) | eszközkezelés, beleértve az IKT-eszközök leltárát és az IKT-hálózatok feltérképezését; |
| h) | az emberi erőforrások biztonsága és a hozzáférés ellenőrzése; |
| i) | üzembiztonság; |
| j) | kommunikációs biztonság; |
| k) | a rendszerek beszerzése, fejlesztése és karbantartása, beleértve a sérülékenységkezelésre és -feltárásra vonatkozó politikákat; |
| l) | ahol lehetséges, a forráskód átláthatóságára vonatkozó politikák; |
| m) | az ellátási lánc biztonsága, beleértve az egyes uniós_szervezetek és közvetlen beszállítóik vagy szolgáltatóik közötti kapcsolatok biztonsági vonatkozásait is; |
| n) | biztonsági_események kezelése és együttműködés a CERT-EU-val, például a biztonsági nyomonkövetés és a naplózás fenntartása; |
| o) | az üzletmenet-folytonosság kezelése, például tartalékrendszerek kezelése, valamint katasztrófa utáni helyreállítás és válságkezelés; valamint |
| p) | a kiberbiztonsággal kapcsolatos oktatási, készségfejlesztő, tudatosságnövelő, gyakorlati és képzési programok előmozdítása és kidolgozása. |
Az első albekezdés m) pontjának alkalmazásában az uniós_szervezeteknek figyelembe kell venniük az egyes közvetlen beszállítókra és szolgáltatókra jellemző sérülékenységeket, valamint a beszállítóik és szolgáltatóik termékeinek és kiberbiztonsági gyakorlatainak – többek között biztonságos fejlesztési eljárásaiknak – az általános minőségét.
(3) Az uniós_szervezeteknek meg kell hozniuk legalább a következő konkrét kiberbiztonsági kockázatkezelési intézkedéseket:
| a) | a távmunka lehetővé tételét és fenntartását szolgáló műszaki intézkedések; |
| b) | konkrét lépések a zéró bizalom alapelvei felé történő elmozdulás érdekében; |
| c) | a többtényezős hitelesítés mint norma használata a hálózati_és_információs_rendszerekben; |
| d) | kriptográfia és titkosítás, különösen végponttól végpontig terjedő titkosítás, valamint biztonságos digitális aláírás használata; |
| e) | adott esetben biztonságos hang-, video- és szöveges kommunikáció, valamint biztonságos vészhelyzeti kommunikációs rendszerek használata az uniós szervezeten belül; |
| f) | a rosszindulatú szoftverek és kémszoftverek felderítésére és eltávolítására irányuló proaktív intézkedések; |
| g) | a szoftverellátási lánc biztonságának megteremtése a biztonságos szoftverfejlesztésre és -értékelésre vonatkozó kritériumok révén; |
| h) | az uniós szervezet legmagasabb_vezetői_szintje és az e rendelet hatékony végrehajtásának biztosításával megbízott személyzete tagjai számára a számukra előírt feladatoknak és a tőlük elvárt képességeknek megfelelő kiberbiztonsági képzési tantervek kidolgozása és elfogadása; |
| i) | a személyzet tagjainak rendszeres kiberbiztonsági képzése; |
| j) | adott esetben részvétel az uniós_szervezetek összekapcsoltságával összefüggő kockázatok elemzésében; |
| k) | a közbeszerzési szabályok javítása a kiberbiztonság egységesen magas szintjének elősegítése érdekében a következők révén:
|
whereas