keyboard_tab Cyber Resilience Act 2023/2841 HU
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 10. cikk Intézményközi Kiberbiztonsági Testület
- 5 12. cikk Megfelelés
- 1 13. cikk A CERT-EU küldetése és feladatai
I. FEJEZET
ÁLTALÁNOS RENDELKEZÉSEK
II. FEJEZET
A KIBERBIZTONSÁG EGYSÉGESEN MAGAS SZINTJÉRE IRÁNYULÓ INTÉZKEDÉSEK
III. FEJEZET
INTÉZMÉNYKÖZI KIBERBIZTONSÁGI TESTÜLET
IV. FEJEZET
CERT-EU
V. FEJEZET
EGYÜTTMŰKÖDÉSI ÉS JELENTÉSTÉTELI KÖTELEZETTSÉGEK
VI. FEJEZET
ZÁRÓ RENDELKEZÉSEK
- uniós szervezetek
- hálózati és információs rendszer
- hálózati és információs rendszerek biztonsága
- kiberbiztonság
- legmagasabb vezetői szint
- majdnem bekövetkezett (near miss) esemény
- biztonsági esemény
- súlyos biztonsági esemény
- nagyszabású kiberbiztonsági esemény
- biztonsági esemény kezelése
- kiberfenyegetés
- jelentős kiberfenyegetés
- sérülékenység
- kiberbiztonsági kockázat
- felhőszolgáltatás
- iicb 37
- uniós 25
- cert-eu 22
- európai 17
- vagy 17
- kiberbiztonsági 16
- uniós_szervezetek 16
- szervezet 15
- érintett 14
- az 13
- alapján 12
- hogy 12
- a 11
- által 10
- rendelet 10
- cikk 9
- információkat 8
- kell 8
- valamint 7
- összhangban 7
- említett 6
- belül 6
- esetben 6
- adott 6
- unió 6
- adhat 6
- biztonsági_események 6
- vonatkozó 5
- számára 5
- meghatározott 5
- első 5
- szervezetnek 5
- eljárási 5
- belső 5
- szolgáltatások 5
- arra 4
- egyéb 4
- között 4
- többek 4
- való 4
- érdekében 4
- amennyiben 4
- technikai 4
- nyomon 4
- intézkedések 4
- továbbiakban: 4
- annak 4
- beleértve 4
- bármely 4
- határidőn 4
10. cikk
Intézményközi Kiberbiztonsági Testület
(1) Létrejön az Intézményközi Kiberbiztonsági Testület (a továbbiakban: az IICB).
(2) Az IICB felelős az alábbiakért:
| a) | e rendelet uniós_szervezetek általi végrehajtásának nyomon követése és támogatása; |
| b) | az általános prioritások és célkitűzések CERT-EU általi végrehajtásának felügyelete és stratégiai irányítás biztosítása a CERT-EU számára. |
(3) Az IICB tagjai a következők:
| a) | az alábbiak mindegyike által kinevezett egy-egy képviselő:
|
| b) | három képviselő, akiket az uniós ügynökségek hálózata (a továbbiakban: az EUAN) jelöl ki IKT-tanácsadó bizottságának javaslata alapján az a) pontban említettektől eltérő, saját IKT-környezetüket működtető uniós szervek, hivatalok és ügynökségek érdekeinek képviseletére. |
Az IICB-ben képviselt uniós_szervezetek törekednek arra, hogy a kijelölt képviselők körében megvalósuljon a nemek közötti egyensúly.
(4) Az IICB tagjainak munkáját póttag segítheti. Az elnök meghívhatja a (3) bekezdésben említett uniós_szervezetek vagy más uniós_szervezetek egyéb képviselőit, hogy szavazati jog nélkül részt vegyenek az IICB ülésein.
(5) A CERT-EU vezetője, valamint az (EU) 2022/2555 irányelv 14., 15. és 16. cikke alapján létrehozott együttműködési csoport, a CSIRT-ek hálózata és az EU-CyCLONe elnökei vagy az őket helyettesítő póttagok megfigyelőként részt vehetnek az IICB ülésein. Kivételes esetekben és az IICB – belső eljárási szabályzatával összhangban – másként határozhat.
(6) Az IICB elfogadja saját belső eljárási szabályzatát.
(7) Az IICB – belső eljárási szabályzatával összhangban – a tagjai közül hároméves időtartamra elnököt jelöl ki. Az elnököt helyettesítő póttag ugyanezen időtartamra az IICB teljes jogú tagjává válik.
(8) Az IICB az elnök kezdeményezésére, illetve a CERT-EU-nak vagy bármely tagjának kérésére évente legalább háromszor ülésezik.
(9) Az IICB minden tagja egy szavazattal rendelkezik. Amennyiben e rendelet másként nem rendelkezik, az IICB határozatait egyszerű többséggel hozza meg. Az IICB elnöke csak szavazategyenlőség esetén szavazhat, amelynek során az elnök döntő szavazatot adhat le.
(10) Az IICB a belső eljárási szabályzatával összhangban kezdeményezett egyszerűsített írásbeli eljárás keretében járhat el. Ezen eljárás szerint a vonatkozó határozatot az elnök által meghatározott határidőn belül elfogadottnak kell tekinteni, kivéve, ha valamely tag kifogást emel ellene.
(11) Az IICB titkárságát a Bizottság biztosítja, és az az IICB elnökének tartozik felelősséggel.
(12) Az EUAN által kijelölt képviselők továbbítják az IICB határozatait az EUAN tagjainak. Az EUAN bármely tagja jogosult az említett képviselők vagy az IICB elnöke elé terjeszteni minden olyan ügyet, amelyet megítélése szerint az IICB tudomására kell hozni.
(13) Az IICB létrehozhat egy végrehajtó bizottságot, amely segíti munkáját, és bizonyos feladatait és hatásköreit átruházhatja rá. Az IICB megállapítja a végrehajtó bizottság eljárási szabályzatát, beleértve annak feladatait és hatásköreit, valamint tagjainak hivatali idejét.
(14) Az IICB 2025. január 8-ig, majd azt követően évente jelentést nyújt be az Európai Parlamentnek és a Tanácsnak, amelyben részletezi az e rendelet végrehajtása terén elért eredményeket, és különösen a CERT-EU és az egyes tagállamokban található tagállami partnerei közötti együttműködés mértékét. A jelentés hozzájárul az uniós kiberbiztonsági helyzetről az (EU) 2022/2555 irányelv 18. cikke alapján elfogadott, kétévente kiadandó jelentéshez.
12. cikk
Megfelelés
(1) Az IICB a 10. cikk (2) bekezdése és a 11. cikk alapján hatékonyan nyomon követi e rendelet, valamint az elfogadott iránymutatások, ajánlások és cselekvési felhívások uniós_szervezetek általi végrehajtását. Az IICB az e célból szükséges információkat vagy dokumentumokat kérhet az uniós_szervezetektől. Az e cikk szerinti megfelelési intézkedések elfogadása céljából, ha az érintett uniós szervezet közvetlenül képviselteti magát az IICB-ben, az említett uniós szervezet nem rendelkezik szavazati joggal.
(2) Amennyiben az IICB megállapítja, hogy egy uniós szervezet nem alkalmazta hatékonyan ezt a rendeletet vagy az annak alapján kiadott iránymutatásokat, ajánlásokat vagy cselekvési felhívásokat, az érintett uniós szervezet belső eljárásainak sérelme nélkül, és miután lehetőséget biztosított az érintett uniós szervezet számára észrevételei megtételére:
| a) | indokolással ellátott véleményt küldhet az e rendelet végrehajtásában észlelt hiányosságok által érintett uniós szervezetnek; |
| b) | a CERT-EU-val folytatott konzultációt követően iránymutatásokat nyújthat az érintett uniós szervezet számára annak biztosítása érdekében, hogy annak keretrendszere, kiberbiztonsági kockázatkezelési intézkedései, kiberbiztonsági terve és jelentéstétele meghatározott időn belül megfeleljen e rendeletnek; |
| c) | figyelmeztetést adhat ki a feltárt hiányosságok meghatározott határidőn belüli kezelésére, így többek között ajánlásokat adhat ki az érintett uniós szervezet által e rendelet alapján elfogadott intézkedések módosítására vonatkozóan; |
| d) | indokolással ellátott értesítést adhat ki az érintett uniós szervezetnek abban az esetben, ha a c) pont szerint kiadott figyelmeztetésben feltárt hiányosságokat a meghatározott határidőn belül nem orvosolják megfelelően; |
| e) | kiadhatja az alábbiakat:
|
| f) | adott esetben a hatáskörén belül tájékoztathatja a Számvevőszéket a feltételezett meg nem felelésről; |
| g) | ajánlást adhat ki arra vonatkozóan, hogy valamennyi tagállam és uniós szervezet ideiglenesen függessze fel az adott uniós szervezet felé irányuló adatáramlást. |
Az első albekezdés c) pontjának alkalmazásában a figyelmeztetés célközönségét megfelelően korlátozni kell, amennyiben ez a kiberbiztonsági kockázat miatt szükséges.
Az első albekezdés alapján kiadott valamennyi figyelmeztetést és ajánlást az érintett uniós szervezet legmagasabb_vezetői_szintjének kell címezni.
(3) Amennyiben az IICB a (2) bekezdés első albekezdésének a)–g) pontja szerinti intézkedéseket fogadott el, az érintett uniós szervezetnek részletesen be kell számolnia az IICB által feltárt állítólagos hiányosságok kezelése érdekében hozott intézkedésekről és lépésekről. Az uniós szervezetnek ezeket az információkat az IICB-vel egyeztetett észszerű határidőn belül kell benyújtania.
(4) Amennyiben az IICB úgy ítéli meg, hogy egy uniós szervezet közvetlenül az Unió valamely tisztviselőjének vagy egyéb alkalmazottjának – beleértve a legmagasabb_vezetői_szintet is – intézkedéseiből vagy mulasztásaiból eredően tartósan megsérti e rendeletet, az IICB felkéri az érintett uniós szervezetet a megfelelő intézkedések megtételére, többek között arra, hogy a személyzeti szabályzatban megállapított szabályokkal és eljárásokkal, valamint az egyéb alkalmazandó szabályokkal és eljárásokkal összhangban fontolja meg fegyelmi intézkedés meghozatalát. E célból az IICB átadja a szükséges információkat az érintett uniós szervezetnek.
(5) Amennyiben az uniós_szervezetek bejelentik, hogy nem tudják betartani a 6. cikk (1) bekezdésében és a 8. cikk (1) bekezdésében meghatározott határidőket, az IICB kellően indokolt esetekben, figyelembe véve az uniós szervezet méretét, engedélyezheti e határidők meghosszabbítását.
IV. FEJEZET
CERT-EU
13. cikk
A CERT-EU küldetése és feladatai
(1) A CERT-EU küldetése, hogy hozzájáruljon az uniós_szervezetek nem minősített IKT-környezetének biztonságához azáltal, hogy kiberbiztonsági tanácsadást nyújt számukra, segíti a biztonsági_események megelőzését, észlelését, kezelését, mérséklését, az azokra való reagálást és az azokat követő helyreállítást, valamint azáltal, hogy a kiberbiztonsági információcsere és a biztonsági_eseményekre való reagálás koordinációs központjaként működik.
(2) A CERT-EU információkat gyűjt a nem minősített IKT-infrastruktúrát érintő kiberfenyegetésekről, sérülékenységekről és biztonsági_eseményekről, ezeket az információkat kezeli és elemzi, valamint megosztja az uniós_szervezetekkel. Intézményközi szinten és az uniós_szervezetek szintjén koordinálja a biztonsági_eseményekre való reagálást, ideértve konkrét operatív segítségnyújtás biztosítását vagy koordinálását is.
(3) A CERT-EU a következő feladatokat látja el az uniós_szervezetek támogatása érdekében:
| a) | támogatja őket e rendelet végrehajtásában, és a 14. cikk (1) bekezdésében felsorolt intézkedések vagy az IICB által kért eseti jelentések révén hozzájárul e rendelet végrehajtásának koordinálásához; |
| b) | az uniós_szervezetek számára szabványos CSIRT-szolgáltatásokat kínál a szolgáltatási katalógusában ismertetett kiberbiztonsági szolgáltatáscsomag eszközei által (a továbbiakban: alapszolgáltatások); |
| c) | hálózatot tart fenn a hasonló szervezetekkel és partnerekkel a 17. és 18. cikkben vázolt szolgáltatások támogatása érdekében; |
| d) | felhívja az IICB figyelmét az e rendelet végrehajtásával, valamint az iránymutatások, ajánlások és cselekvési felhívások végrehajtásával kapcsolatos bármely problémára; |
| e) | a (2) bekezdésben említett információk alapján az ENISA-val szorosan együttműködve hozzájárul az Unió kiberbiztonsági helyzetismeretéhez; |
| f) | koordinálja a súlyos biztonsági_események kezelését; |
| g) | az (EU) 2022/2555 irányelv 12. cikkének (1) bekezdése szerint a sérülékenységek összehangolt közzététele céljából kijelölt koordinátorral egyenértékűként eljár az uniós_szervezetek részéről; |
| h) | valamely uniós szervezet kérésére proaktív, behatolásmentes átvilágítást végez az adott uniós szervezet nyilvánosan hozzáférhető hálózati_és_információs_rendszerein. |
Az első albekezdés e) pontjában említett információkat adott esetben, megfelelő titoktartási feltételek mellett kell megosztani az IICB-vel, a CSIRT-ek hálózatával és az Európai Unió Helyzetelemző Központjával (EU INTCEN).
(4) A CERT-EU a 17. vagy adott esetben a 18. cikkel összhangban együttműködhet az Unión és tagállamain belüli releváns kiberbiztonsági közösségekkel, többek között a következő területeken:
| a) | felkészültség, biztonsági_események koordinálása, információcsere és válságreagálás technikai szinten az uniós_szervezetekkel kapcsolatos ügyekben; |
| b) | operatív együttműködés a CSIRT-ek hálózatával, többek között a kölcsönös segítségnyújtással kapcsolatban; |
| c) | kiberfenyegetettségi információk, beleértve a helyzetismeretet; |
| d) | a CERT-EU technikai kiberbiztonsági szakértelmét igénylő bármely téma. |
(5) Hatáskörén belül a CERT-EU az (EU) 2019/881 rendelettel összhangban strukturált együttműködést folytat az ENISA-val a kapacitásépítés, az operatív együttműködés és a kiberfenyegetések hosszú távú stratégiai elemzése terén. A CERT-EU együttműködhet és információt cserélhet az Europol Kiberbűnözés Elleni Európai Központjával.
(6) A CERT-EU a szolgáltatáskatalógusában nem szereplő következő szolgáltatásokat (a továbbiakban: díjköteles szolgáltatások) nyújthatja:
| a) | a (3) bekezdésben említettektől eltérő, az uniós_szervezetek IKT-környezetének kiberbiztonságát támogató szolgáltatások, a szolgáltatási szintre vonatkozó megállapodások alapján és a rendelkezésre álló erőforrások függvényében, különösen a hálózatok széles spektrumú nyomon követése, beleértve a súlyos kiberfenyegetések a hét minden napján, napi 24 órában történő közvetlen nyomon követését is; |
| b) | olyan szolgáltatások, amelyek írásbeli megállapodások alapján és az IICB előzetes jóváhagyásával támogatják az uniós_szervezetek kiberbiztonsági műveleteit vagy projektjeit, kivéve azokat, amelyek IKT-környezetük védelmét szolgálják; |
| c) | kérésre az érintett uniós szervezet hálózati_és_információs_rendszereinek proaktív átvilágítása a potenciálisan jelentős hatással bíró sérülékenységek felderítése érdekében; |
| d) | írásbeli megállapodások alapján és az IICB előzetes jóváhagyásával az uniós_szervezetektől eltérő olyan szervezetek számára nyújtott, IKT-környezetük biztonságát támogató szolgáltatások, amelyek szorosan együttműködnek az uniós_szervezetekkel, például az uniós jog által rájuk ruházott feladatok vagy felelősségi körök teljesítése révén. |
Az első albekezdés d) pontja tekintetében a CERT-EU kivételes esetben, az IICB előzetes jóváhagyásával az uniós_szervezeteken kívüli egyéb szervezetekkel is köthet szolgáltatási szintre vonatkozó megállapodásokat.
(7) A CERT-EU – adott esetben az ENISA-val szoros együttműködésben – kiberbiztonsági gyakorlatokat szervez, és részt vehet azokban, vagy ajánlhatja a meglévő gyakorlatokban való részvételt az uniós_szervezetek kiberbiztonsági szintjének tesztelése céljából.
(8) A CERT-EU segítséget nyújthat az uniós_szervezeteknek az EU-minősített adatokat kezelő hálózati_és_információs_rendszerekben előforduló biztonsági_események tekintetében, amennyiben az érintett uniós_szervezetek erre saját eljárásaikkal összhangban kifejezetten felkérik. A CERT-EU által e bekezdés alapján nyújtott segítség nem érinti a minősített adatok védelmére vonatkozó alkalmazandó szabályokat.
(9) A CERT-EU tájékoztatja az uniós_szervezeteket a biztonsági_események kezelésére szolgáló eljárásairól és folyamatairól.
(10) A CERT-EU a megfelelő együttműködési mechanizmusokon és jelentési útvonalakon keresztül magas szintű titoktartás és megbízhatóság mellett szolgáltat releváns és anonimizált információkat a súlyos biztonsági_eseményekről és azok kezelésének módjáról. Ezeket az információkat bele kell foglalni a 10. cikk (14) bekezdésében említett jelentésbe.
(11) A CERT-EU az európai adatvédelmi biztossal együttműködve támogatja az érintett uniós_szervezeteket a személyes adatok megsértéséhez vezető biztonsági_események kezelésében, az európai adatvédelmi biztosnak az (EU) 2018/1725 rendelet szerinti felügyeleti hatóságként fennálló hatáskörének és feladatainak sérelme nélkül.
(12) Ha az uniós_szervezetek szakpolitikai részlegei azt kifejezetten kérik, a CERT-EU technikai tanácsot adhat vagy technikai véleményt nyilváníthat releváns szakpolitikai kérdésekben.
whereas