Cyber Resilience Act 2023/2841 HU

1.	„ uniós_szervezetek”: az Európai Unióról szóló szerződés, az Európai Unió működéséről szóló szerződés (EUMSZ) vagy az Európai Atomenergia-közösséget létrehozó szerződés által vagy ezek szerint létrehozott uniós intézmények, szervek, hivatalok és ügynökségek;

2.	„ hálózati_és_információs_rendszer”: az (EU) 2022/2555 irányelv 6. cikkének 1. pontjában meghatározott hálózati_és_információs_rendszer;

3.	„ hálózati_és_információs_rendszerek biztonsága”: az (EU) 2022/2555 irányelv 6. cikkének 2. pontjában meghatározott hálózati_és_információs_rendszerek biztonsága;

4.	„ kiberbiztonság”: az (EU) 2019/881 rendelet 2. cikkének 1. pontjában meghatározott kiberbiztonság;

„ legmagasabb_vezetői_szint”: az uniós szervezet működéséért felelős vezető személy, vezető testület vagy koordináló és felügyeleti testület a legmagasabb igazgatási szinten, aki vagy amely az említett uniós szervezet magas szintű irányítására vonatkozó szabályoknak megfelelően felhatalmazással rendelkezik döntések meghozatalára vagy engedélyezésére, az egyéb vezetői szintek saját felelősségi körükbe tartozó megfelelési és kiberbiztonsági kockázatkezelési formális kötelezettségeinek sérelme nélkül;

6.	„ majdnem_bekövetkezett_(near_miss)_esemény”: az (EU) 2022/2555 irányelv 6. cikkének 5. pontjában meghatározott majdnem_bekövetkezett_(near_miss)_esemény;

7.	„ biztonsági_esemény”: az (EU) 2022/2555 irányelv 6. cikkének 6. pontjában meghatározott esemény;

8.	„súlyos biztonsági_esemény”: olyan biztonsági_esemény, amely olyan szintű zavart okoz, amely meghaladja az adott uniós szervezet és a CERT-EU reagálási képességeit, vagy amely legalább két uniós szervezetre jelentős hatást gyakorol;

9.	„nagyszabású kiberbiztonsági esemény”: az (EU) 2022/2555 irányelv 6. cikkének 7. pontjában meghatározott nagyszabású kiberbiztonsági esemény;

10.	„ biztonsági_esemény kezelése”: az (EU) 2022/2555 irányelv 6. cikkének 8. pontjában meghatározott eseménykezelés;

11.	„ kiberfenyegetés”: az (EU) 2019/881 rendelet 2. cikkének 8. pontjában meghatározott kiberfenyegetés;

12.	„jelentős kiberfenyegetés”: az (EU) 2022/2555 irányelv 6. cikkének 11. pontjában meghatározott jelentős kiberfenyegetés;

13.	„ sérülékenység”: az (EU) 2022/2555 irányelv 6. cikkének 15. pontjában meghatározott sérülékenység;

14.	„ kiberbiztonsági kockázat”: az (EU) 2022/2555 irányelv 6. cikkének 9. pontjában meghatározott kockázat;

15.	„ felhőszolgáltatás”: az (EU) 2022/2555 irányelv 6. cikkének 30. pontjában meghatározott felhőszolgáltatás;

5. cikk

Az intézkedések végrehajtása

(1) 2024. szeptember 8-ig a 10. cikk alapján létrehozott Intézményközi Kiberbiztonsági Testület az Európai Uniós Kiberbiztonsági Ügynökséggel (ENISA) folytatott konzultációt és a CERT-EU iránymutatásának kézhezvételét követően iránymutatásokat ad ki az uniós_szervezeteknek a kezdeti kiberbiztonsági felülvizsgálat elvégzése és a 6. cikk szerinti belső kiberbiztonsági kockázatkezelési, -irányítási és -ellenőrzési keretrendszer létrehozása, a 7. cikk szerinti kiberbiztonsági érettségi értékelések elvégzése, a 8. cikk szerinti kiberbiztonsági kockázatkezelési intézkedések meghozatala, valamint a 9. cikk szerinti kiberbiztonsági terv elfogadása céljából.

(2) A 6–9. cikk végrehajtása során az uniós_szervezeteknek figyelembe kell venniük az e cikk (1) bekezdésében említett iránymutatásokat, valamint a 11. és a 14. cikk alapján elfogadott vonatkozó iránymutatásokat és ajánlásokat.

6. cikk

Kiberbiztonsági kockázatkezelési, -irányítási és -ellenőrzési keretrendszer

(1) 2025. április 8-ig minden uniós szervezet a kezdeti kiberbiztonsági felülvizsgálat, például audit elvégzését követően belső kiberbiztonsági kockázatkezelési, -irányítási és -ellenőrzési keretrendszert (a továbbiakban: a keretrendszer) hoz létre. A keretrendszer létrehozását az uniós szervezet legmagasabb_vezetői_szintje felügyeli és annak felelősségi körébe tartozik.

(2) A keretrendszernek ki kell terjednie az érintett uniós szervezet teljes nem minősített IKT-környezetére, beleértve a helyszíni IKT-környezetet, a helyszíni működő technológiai hálózatot (OT-rendszer), a felhőalapú számítástechnikai környezetben működő vagy harmadik felek által üzemeltetett, kiszervezett eszközöket és szolgáltatásokat, a mobil eszközöket, a vállalati hálózatokat, az internethez nem kapcsolódó üzleti hálózatokat és az e környezetekhez (a továbbiakban: az IKT-környezet) kapcsolódó eszközöket. A keretrendszernek minden veszélyre kiterjedő megközelítésen kell alapulnia.

(3) A keretrendszernek magas szintű kiberbiztonságot kell biztosítania. A keretrendszer meghatározza a hálózati_és_információs_rendszerek biztonságára vonatkozó belső kiberbiztonsági politikákat, beleértve a célkitűzéseket és prioritásokat, valamint az uniós szervezet e rendelet hatékony végrehajtásának biztosításával megbízott személyzetének szerepét és felelősségi körét. A keretrendszernek tartalmaznia kell a végrehajtás hatékonyságának mérésére szolgáló mechanizmusokat is.

(4) A keretrendszert a változó kiberbiztonsági kockázatok fényében rendszeresen, de legalább négyévente felül kell vizsgálni. adott esetben és a 10. cikk alapján létrehozott Intézményközi Kiberbiztonsági Testület kérését követően az uniós szervezet keretrendszerét frissíteni lehet a CERT-EU-nak az e rendelet rendelkezéseinek végrehajtása során azonosított biztonsági_eseményekre vagy esetleges hiányosságokra vonatkozó iránymutatása alapján.

(5) Az egyes uniós_szervezetek legmagasabb_vezetői_szintje felel e rendelet végrehajtásáért, és felügyeli, hogy szervezete megfeleljen a keretrendszerrel kapcsolatos kötelezettségeknek.

(6) adott esetben és az e rendelet végrehajtásával kapcsolatos felelősségének sérelme nélkül, az egyes uniós_szervezetek legmagasabb_vezetői_szintje az e rendelet szerinti konkrét kötelezettségeket átruházhatja a személyzeti szabályzat 29. cikkének (2) bekezdése értelmében vett rangidős tisztviselőkre vagy az érintett uniós szervezeten belüli egyéb azonos szintű tisztviselőkre. Az ilyen átruházástól függetlenül a legmagasabb_vezetői_szint felelősségre vonható e rendeletnek az érintett uniós szervezet általi megsértéséért.

(7) Minden uniós szervezetnek hatékony mechanizmusokkal kell rendelkeznie annak biztosítására, hogy az IKT-költségvetés megfelelő százalékát a kiberbiztonságra fordítsák. Az említett százalékos arány meghatározásakor kellően figyelembe kell venni a keretrendszert.

(8) Minden uniós szervezet helyi kiberbiztonsági tisztviselőt vagy azzal egyenértékű funkciót nevez ki, aki a kiberbiztonság valamennyi vonatkozása tekintetében egyedüli kapcsolattartó pontjaként jár el. A helyi kiberbiztonsági tisztviselő elősegíti e rendelet végrehajtását, és rendszeresen beszámol közvetlenül a legmagasabb_vezetői_szintnek a végrehajtás állásáról. Annak sérelme nélkül, hogy a helyi kiberbiztonsági tisztviselő az egyes uniós_szervezeteken belül az egyedüli kapcsolattartó pont, az uniós_szervezetek a köztük és a CERT-EU között létrejött, szolgáltatási szintre vonatkozó megállapodás alapján átruházhatják a CERT-EU-ra a helyi kiberbiztonsági tisztviselő e rendelet végrehajtásával kapcsolatos bizonyos feladatait, vagy ezeket a feladatokat több uniós szervezet megoszthatja. Amennyiben ezeket a feladatokat a CERT-EU-ra ruházzák, a 10. cikk alapján létrehozott Intézményközi Kiberbiztonsági Testületnek kell döntenie arról, hogy e szolgáltatás nyújtása részét képezi-e a CERT-EU alapszolgáltatásainak, figyelembe véve az érintett uniós szervezet emberi és pénzügyi erőforrásait. Az egyes uniós_szervezeteknek indokolatlan késedelem nélkül értesíteniük kell a CERT-EU-t a kinevezett helyi kiberbiztonsági tisztviselőkről és a személyükben történő minden későbbi változásról.

A CERT-EU-nak létre kell hoznia és naprakészen kell tartania a kinevezett helyi kiberbiztonsági tisztviselők jegyzékét.

(9) Az egyes uniós_szervezeteknek a személyzeti szabályzat 29. cikkének (2) bekezdése értelmében vett rangidős tisztviselői vagy egyéb azonos szintű tisztviselői, valamint a személyzetnek az e rendeletben meghatározott kiberbiztonsági kockázatkezelési intézkedések végrehajtásával és kötelezettségek betartásával megbízott tagjai rendszeresen külön képzéseken vesznek részt azon ismeretek és készségek elsajátítása érdekében, amelyek a kiberbiztonsági kockázatok és irányítási gyakorlatok, valamint az azok által az uniós szervezet működésére gyakorolt hatások megismeréséhez és értékeléséhez szükségesek.

7. cikk

Kiberbiztonsági érettségi értékelések

(1) 2025. július 8-ig és azt követően legalább kétévente minden uniós szervezet kiberbiztonsági érettségi értékelést végez, amelynek ki kell terjednie IKT-környezetének valamennyi elemére.

(2) A kiberbiztonsági érettségi értékeléseket adott esetben szakosodott harmadik fél segítségével kell elvégezni.

(3) A hasonló struktúrákkal rendelkező uniós_szervezetek együttműködhetnek saját szervezeteik kiberbiztonsági érettségi értékelésének elvégzésében.

(4) A 10. cikk alapján létrehozott Intézményközi Kiberbiztonsági Testület kérésére és az érintett uniós szervezet kifejezett beleegyezésével a kiberbiztonsági érettségi értékelés eredményei megvitathatók az említett Testületen belül vagy a helyi kiberbiztonsági tisztviselők nem hivatalos csoportjában a tapasztalatokból való tanulás, valamint a bevált gyakorlatok megosztása céljából.

8. cikk

Kiberbiztonsági kockázatkezelési intézkedések

(1) Indokolatlan késedelem nélkül, de legkésőbb 2025. szeptember 8-ig az egyes uniós_szervezeteknek – a legmagasabb_vezetői_szintjük felügyelete mellett – meg kell hozniuk a keretrendszer keretében azonosított kiberbiztonsági kockázatok kezeléséhez, valamint a biztonsági_események megelőzéséhez vagy hatásuk minimálisra csökkentéséhez szükséges megfelelő és arányos technikai, működési és szervezeti intézkedéseket. Figyelembe véve a legkorszerűbb és adott esetben a vonatkozó európai és nemzetközi szabványokat, ezeknek az intézkedéseknek biztosítaniuk kell a hálózati_és_információs_rendszerek biztonságának a felmerülő kiberbiztonsági kockázatokkal arányos szintjét az IKT-környezet egészében. Az említett intézkedések arányosságának értékelésekor kellően figyelembe kell venni az uniós szervezet kiberbiztonsági kockázatoknak való kitettségének mértékét, a szervezet méretét, a biztonsági_események bekövetkeztének valószínűségét és azok súlyosságát, beleértve társadalmi, gazdasági és intézményközi hatásukat is.

(2) Az uniós_szervezeteknek a kiberbiztonsági kockázatkezelési intézkedések végrehajtása során legalább a következő területekkel foglalkozniuk kell:

a)	kiberbiztonsági szakpolitika, beleértve a 6. cikkben és az e cikk (3) bekezdésében említett célok és prioritások eléréséhez szükséges intézkedéseket;

b)	kiberbiztonsági kockázatelemzési és az informatikai rendszerek biztonságára vonatkozó szakpolitikák;

c)	a felhőszolgáltatások használatára vonatkozó szakpolitikai célok;

d)	adott esetben kiberbiztonsági audit, amely magában foglalhatja a kiberbiztonsági kockázat, a sérülékenység és a kiberfenyegetések értékelését, valamint egy megbízható magánszolgáltató által rendszeresen végzett behatolási tesztelést;

e)	a d) pontban említett kiberbiztonsági auditokból eredő ajánlások végrehajtása kiberbiztonsági frissítések és a szakpolitikák frissítése révén;

f)	a kiberbiztonság megszervezése, beleértve a szerepek és feladatkörök meghatározását is;

g)	eszközkezelés, beleértve az IKT-eszközök leltárát és az IKT-hálózatok feltérképezését;

h)	az emberi erőforrások biztonsága és a hozzáférés ellenőrzése;

i)	üzembiztonság;

j)	kommunikációs biztonság;

k)	a rendszerek beszerzése, fejlesztése és karbantartása, beleértve a sérülékenységkezelésre és -feltárásra vonatkozó politikákat;

l)	ahol lehetséges, a forráskód átláthatóságára vonatkozó politikák;

m)	az ellátási lánc biztonsága, beleértve az egyes uniós_szervezetek és közvetlen beszállítóik vagy szolgáltatóik közötti kapcsolatok biztonsági vonatkozásait is;

n)	biztonsági_események kezelése és együttműködés a CERT-EU-val, például a biztonsági nyomonkövetés és a naplózás fenntartása;

o)	az üzletmenet-folytonosság kezelése, például tartalékrendszerek kezelése, valamint katasztrófa utáni helyreállítás és válságkezelés; valamint

p)	a kiberbiztonsággal kapcsolatos oktatási, készségfejlesztő, tudatosságnövelő, gyakorlati és képzési programok előmozdítása és kidolgozása.

Az első albekezdés m) pontjának alkalmazásában az uniós_szervezeteknek figyelembe kell venniük az egyes közvetlen beszállítókra és szolgáltatókra jellemző sérülékenységeket, valamint a beszállítóik és szolgáltatóik termékeinek és kiberbiztonsági gyakorlatainak – többek között biztonságos fejlesztési eljárásaiknak – az általános minőségét.

(3) Az uniós_szervezeteknek meg kell hozniuk legalább a következő konkrét kiberbiztonsági kockázatkezelési intézkedéseket:

a)	a távmunka lehetővé tételét és fenntartását szolgáló műszaki intézkedések;

b)	konkrét lépések a zéró bizalom alapelvei felé történő elmozdulás érdekében;

c)	a többtényezős hitelesítés mint norma használata a hálózati_és_információs_rendszerekben;

d)	kriptográfia és titkosítás, különösen végponttól végpontig terjedő titkosítás, valamint biztonságos digitális aláírás használata;

e)	adott esetben biztonságos hang-, video- és szöveges kommunikáció, valamint biztonságos vészhelyzeti kommunikációs rendszerek használata az uniós szervezeten belül;

f)	a rosszindulatú szoftverek és kémszoftverek felderítésére és eltávolítására irányuló proaktív intézkedések;

g)	a szoftverellátási lánc biztonságának megteremtése a biztonságos szoftverfejlesztésre és -értékelésre vonatkozó kritériumok révén;

h)	az uniós szervezet legmagasabb_vezetői_szintje és az e rendelet hatékony végrehajtásának biztosításával megbízott személyzete tagjai számára a számukra előírt feladatoknak és a tőlük elvárt képességeknek megfelelő kiberbiztonsági képzési tantervek kidolgozása és elfogadása;

i)	a személyzet tagjainak rendszeres kiberbiztonsági képzése;

j)	adott esetben részvétel az uniós_szervezetek összekapcsoltságával összefüggő kockázatok elemzésében;

a közbeszerzési szabályok javítása a kiberbiztonság egységesen magas szintjének elősegítése érdekében a következők révén:

i.	az informatikai szolgáltatók biztonsági_eseményekkel, sérülékenységekkel és kiberfenyegetésekkel kapcsolatos információinak a CERT-EU-val való megosztását korlátozó szerződéses akadályok felszámolása;

ii.	a biztonsági_események, sérülékenységek és kiberfenyegetések bejelentésére, valamint a biztonsági_eseményekre való reagálási és nyomon követési mechanizmusok bevezetésére vonatkozó szerződéses kötelezettségek.

10. cikk

Intézményközi Kiberbiztonsági Testület

(1) Létrejön az Intézményközi Kiberbiztonsági Testület (a továbbiakban: az IICB).

(2) Az IICB felelős az alábbiakért:

a)	e rendelet uniós_szervezetek általi végrehajtásának nyomon követése és támogatása;

b)	az általános prioritások és célkitűzések CERT-EU általi végrehajtásának felügyelete és stratégiai irányítás biztosítása a CERT-EU számára.

(3) Az IICB tagjai a következők:

az alábbiak mindegyike által kinevezett egy-egy képviselő:

i.	az Európai Parlament;

ii.	az Európai Tanács;

iii.	az Európai Unió Tanácsa;

iv.	a Bizottság;

v.	az Európai Unió Bírósága;

vi.	az Európai Központi Bank;

vii.	a Számvevőszék;

viii.

az Európai Külügyi Szolgálat;

ix.	az Európai Gazdasági és Szociális Bizottság;

x.	a Régiók Európai Bizottsága;

xi.	az Európai Beruházási Bank;

xii.	az Európai Kiberbiztonsági Ipari, Technológiai és Kutatási Kompetenciaközpont;

xiii.

az ENISA;

xiv.	az európai adatvédelmi biztos;

xv.	az Európai Unió Űrprogramügynöksége;

b)	három képviselő, akiket az uniós ügynökségek hálózata (a továbbiakban: az EUAN) jelöl ki IKT-tanácsadó bizottságának javaslata alapján az a) pontban említettektől eltérő, saját IKT-környezetüket működtető uniós szervek, hivatalok és ügynökségek érdekeinek képviseletére.

Az IICB-ben képviselt uniós_szervezetek törekednek arra, hogy a kijelölt képviselők körében megvalósuljon a nemek közötti egyensúly.

(4) Az IICB tagjainak munkáját póttag segítheti. Az elnök meghívhatja a (3) bekezdésben említett uniós_szervezetek vagy más uniós_szervezetek egyéb képviselőit, hogy szavazati jog nélkül részt vegyenek az IICB ülésein.

(5) A CERT-EU vezetője, valamint az (EU) 2022/2555 irányelv 14., 15. és 16. cikke alapján létrehozott együttműködési csoport, a CSIRT-ek hálózata és az EU-CyCLONe elnökei vagy az őket helyettesítő póttagok megfigyelőként részt vehetnek az IICB ülésein. Kivételes esetekben és az IICB – belső eljárási szabályzatával összhangban – másként határozhat.

(6) Az IICB elfogadja saját belső eljárási szabályzatát.

(7) Az IICB – belső eljárási szabályzatával összhangban – a tagjai közül hároméves időtartamra elnököt jelöl ki. Az elnököt helyettesítő póttag ugyanezen időtartamra az IICB teljes jogú tagjává válik.

(8) Az IICB az elnök kezdeményezésére, illetve a CERT-EU-nak vagy bármely tagjának kérésére évente legalább háromszor ülésezik.

(9) Az IICB minden tagja egy szavazattal rendelkezik. Amennyiben e rendelet másként nem rendelkezik, az IICB határozatait egyszerű többséggel hozza meg. Az IICB elnöke csak szavazategyenlőség esetén szavazhat, amelynek során az elnök döntő szavazatot adhat le.

(10) Az IICB a belső eljárási szabályzatával összhangban kezdeményezett egyszerűsített írásbeli eljárás keretében járhat el. Ezen eljárás szerint a vonatkozó határozatot az elnök által meghatározott határidőn belül elfogadottnak kell tekinteni, kivéve, ha valamely tag kifogást emel ellene.

(11) Az IICB titkárságát a Bizottság biztosítja, és az az IICB elnökének tartozik felelősséggel.

(12) Az EUAN által kijelölt képviselők továbbítják az IICB határozatait az EUAN tagjainak. Az EUAN bármely tagja jogosult az említett képviselők vagy az IICB elnöke elé terjeszteni minden olyan ügyet, amelyet megítélése szerint az IICB tudomására kell hozni.

(13) Az IICB létrehozhat egy végrehajtó bizottságot, amely segíti munkáját, és bizonyos feladatait és hatásköreit átruházhatja rá. Az IICB megállapítja a végrehajtó bizottság eljárási szabályzatát, beleértve annak feladatait és hatásköreit, valamint tagjainak hivatali idejét.

(14) Az IICB 2025. január 8-ig, majd azt követően évente jelentést nyújt be az Európai Parlamentnek és a Tanácsnak, amelyben részletezi az e rendelet végrehajtása terén elért eredményeket, és különösen a CERT-EU és az egyes tagállamokban található tagállami partnerei közötti együttműködés mértékét. A jelentés hozzájárul az uniós kiberbiztonsági helyzetről az (EU) 2022/2555 irányelv 18. cikke alapján elfogadott, kétévente kiadandó jelentéshez.

11. cikk

Az IICB feladatai

Feladatainak ellátása során az IICB különösen:

a)	iránymutatást nyújt a CERT-EU vezetője számára;

b)	hatékonyan nyomon követi és felügyeli e rendelet végrehajtását, valamint támogatja az uniós_szervezeteket kiberbiztonságuk megerősítésében, beleértve adott esetben eseti jelentések kérését az uniós_szervezetektől és a CERT-EU-tól;

c)	stratégiai megbeszélést követően többéves stratégiát fogad el az uniós_szervezetek kiberbiztonsági szintjének növelésére, és azt rendszeresen, de legalább ötévente értékeli és szükség esetén módosítja;

meghatározza az uniós_szervezetek által végzett önkéntes szakértői értékelések módszertanát és szervezeti vonatkozásait a közös tapasztalatokból való tanulás, a kölcsönös bizalom megerősítése, az egységesen magas szintű kiberbiztonság elérése, valamint az uniós_szervezetek kiberbiztonsági képességeinek javítása érdekében, biztosítva, hogy az ilyen szakértői értékeléseket a felülvizsgálat tárgyát képező uniós szervezettől eltérő uniós szervezet által kijelölt kiberbiztonsági szakértők végezzék, és hogy a módszertan az (EU) 2022/2555 irányelv 19. cikkén alapuljon, és adott esetben igazodjon az uniós_szervezetekhez;

e)	a CERT-EU vezetőjének javaslata alapján jóváhagyja a CERT-EU éves munkaprogramját és nyomon követi annak végrehajtását;

f)	a CERT-EU vezetőjének javaslata alapján jóváhagyja a CERT-EU szolgáltatási katalógusát és annak frissítéseit;

g)	a CERT-EU vezetőjének javaslata alapján jóváhagyja a CERT-EU tevékenységeinek bevételeire és kiadásaira vonatkozó éves pénzügyi tervet, beleértve a személyzetre vonatkozót is;

h)	a CERT-EU vezetőjének javaslata alapján jóváhagyja a szolgáltatási szintre vonatkozó megállapodásokra vonatkozó szabályokat;

i)	megvizsgálja és jóváhagyja a CERT-EU vezetője által készített, a CERT-EU tevékenységeiről és pénzeszközeinek kezeléséről szóló éves jelentést;

j)	jóváhagyja és nyomon követi a CERT-EU vezetőjének javaslata alapján a CERT-EU-ra vonatkozóan meghatározott fő teljesítménymutatókat (KPI-k);

k)	jóváhagyja a CERT-EU és más szervezetek közötti, a 18. cikk szerinti együttműködési megállapodásokat, szolgáltatási szintre vonatkozó megállapodásokat vagy szerződéseket;

l)	a CERT-EU javaslata alapján a 14. cikkel összhangban iránymutatásokat és ajánlásokat fogad el, és utasítja a CERT-EU-t, hogy adjon ki, vonjon vissza vagy módosítson valamely, iránymutatásokra vagy ajánlásokra irányuló javaslatot, illetve cselekvési felhívást;

m)	az IICB munkájának támogatásához technikai tanácsadó csoportokat hoz létre konkrét feladatokkal, jóváhagyja azok megbízatását, és kinevezi azok elnökeit;

n)	fogadja és értékeli az uniós_szervezetek által e rendelet alapján benyújtott dokumentumokat és jelentéseket, például a kiberbiztonsági érettségi értékeléseket;

o)	az e rendelet végrehajtásával kapcsolatos bevált gyakorlatok és információk cseréje céljából az ENISA támogatásával elősegíti az uniós_szervezetek helyi kiberbiztonsági tisztviselőiből álló informális csoport létrehozását;

figyelembe véve a CERT-EU által az azonosított kiberbiztonsági kockázatokra és levont tanulságokra vonatkozóan szolgáltatott információkat, nyomon követi az uniós_szervezetek IKT-környezete közötti összekapcsolhatósági megállapodások megfelelőségét, és tanácsot ad a lehetséges fejlesztésekre vonatkozóan;

kiberbiztonsági válságkezelési tervet hoz létre az uniós_szervezeteket érintő súlyos biztonsági_események koordinált kezelésének operatív szintű támogatása, valamint a releváns információk rendszeres cseréjéhez való hozzájárulás céljából, különös tekintettel a súlyos biztonsági_események hatásaira és súlyosságára, valamint hatásai mérséklésének lehetséges módjaira;

r)	koordinálja az egyes uniós_szervezetek 9. cikk (2) bekezdésében említett kiberbiztonsági válságkezelési terveinek elfogadását;

az (EU) 2022/2555 irányelv 22. cikkében említett, a kritikus ellátási láncokra vonatkozó összehangolt uniós szintű biztonsági kockázatértékelések eredményeit figyelembe véve a 8. cikk (2) bekezdése első albekezdésének m) pontjában említett, az ellátási lánc biztonságára vonatkozó ajánlásokat fogad el annak érdekében, hogy támogassa az uniós_szervezeteket a hatékony és arányos kiberbiztonsági kockázatkezelési intézkedések elfogadásában.

12. cikk

Megfelelés

(1) Az IICB a 10. cikk (2) bekezdése és a 11. cikk alapján hatékonyan nyomon követi e rendelet, valamint az elfogadott iránymutatások, ajánlások és cselekvési felhívások uniós_szervezetek általi végrehajtását. Az IICB az e célból szükséges információkat vagy dokumentumokat kérhet az uniós_szervezetektől. Az e cikk szerinti megfelelési intézkedések elfogadása céljából, ha az érintett uniós szervezet közvetlenül képviselteti magát az IICB-ben, az említett uniós szervezet nem rendelkezik szavazati joggal.

(2) Amennyiben az IICB megállapítja, hogy egy uniós szervezet nem alkalmazta hatékonyan ezt a rendeletet vagy az annak alapján kiadott iránymutatásokat, ajánlásokat vagy cselekvési felhívásokat, az érintett uniós szervezet belső eljárásainak sérelme nélkül, és miután lehetőséget biztosított az érintett uniós szervezet számára észrevételei megtételére:

a)	indokolással ellátott véleményt küldhet az e rendelet végrehajtásában észlelt hiányosságok által érintett uniós szervezetnek;

a CERT-EU-val folytatott konzultációt követően iránymutatásokat nyújthat az érintett uniós szervezet számára annak biztosítása érdekében, hogy annak keretrendszere, kiberbiztonsági kockázatkezelési intézkedései, kiberbiztonsági terve és jelentéstétele meghatározott időn belül megfeleljen e rendeletnek;

c)	figyelmeztetést adhat ki a feltárt hiányosságok meghatározott határidőn belüli kezelésére, így többek között ajánlásokat adhat ki az érintett uniós szervezet által e rendelet alapján elfogadott intézkedések módosítására vonatkozóan;

d)	indokolással ellátott értesítést adhat ki az érintett uniós szervezetnek abban az esetben, ha a c) pont szerint kiadott figyelmeztetésben feltárt hiányosságokat a meghatározott határidőn belül nem orvosolják megfelelően;

kiadhatja az alábbiakat:

i.	audit elvégzésére vonatkozó ajánlást; vagy

ii.	arra irányuló kérelmet, hogy az auditot harmadik fél ellenőrzési szolgálata végezze el;

f)	adott esetben a hatáskörén belül tájékoztathatja a Számvevőszéket a feltételezett meg nem felelésről;

g)	ajánlást adhat ki arra vonatkozóan, hogy valamennyi tagállam és uniós szervezet ideiglenesen függessze fel az adott uniós szervezet felé irányuló adatáramlást.

Az első albekezdés c) pontjának alkalmazásában a figyelmeztetés célközönségét megfelelően korlátozni kell, amennyiben ez a kiberbiztonsági kockázat miatt szükséges.

Az első albekezdés alapján kiadott valamennyi figyelmeztetést és ajánlást az érintett uniós szervezet legmagasabb_vezetői_szintjének kell címezni.

(3) Amennyiben az IICB a (2) bekezdés első albekezdésének a)–g) pontja szerinti intézkedéseket fogadott el, az érintett uniós szervezetnek részletesen be kell számolnia az IICB által feltárt állítólagos hiányosságok kezelése érdekében hozott intézkedésekről és lépésekről. Az uniós szervezetnek ezeket az információkat az IICB-vel egyeztetett észszerű határidőn belül kell benyújtania.

(4) Amennyiben az IICB úgy ítéli meg, hogy egy uniós szervezet közvetlenül az Unió valamely tisztviselőjének vagy egyéb alkalmazottjának – beleértve a legmagasabb_vezetői_szintet is – intézkedéseiből vagy mulasztásaiból eredően tartósan megsérti e rendeletet, az IICB felkéri az érintett uniós szervezetet a megfelelő intézkedések megtételére, többek között arra, hogy a személyzeti szabályzatban megállapított szabályokkal és eljárásokkal, valamint az egyéb alkalmazandó szabályokkal és eljárásokkal összhangban fontolja meg fegyelmi intézkedés meghozatalát. E célból az IICB átadja a szükséges információkat az érintett uniós szervezetnek.

(5) Amennyiben az uniós_szervezetek bejelentik, hogy nem tudják betartani a 6. cikk (1) bekezdésében és a 8. cikk (1) bekezdésében meghatározott határidőket, az IICB kellően indokolt esetekben, figyelembe véve az uniós szervezet méretét, engedélyezheti e határidők meghosszabbítását.

IV. FEJEZET

CERT-EU

13. cikk

A CERT-EU küldetése és feladatai

(1) A CERT-EU küldetése, hogy hozzájáruljon az uniós_szervezetek nem minősített IKT-környezetének biztonságához azáltal, hogy kiberbiztonsági tanácsadást nyújt számukra, segíti a biztonsági_események megelőzését, észlelését, kezelését, mérséklését, az azokra való reagálást és az azokat követő helyreállítást, valamint azáltal, hogy a kiberbiztonsági információcsere és a biztonsági_eseményekre való reagálás koordinációs központjaként működik.

(2) A CERT-EU információkat gyűjt a nem minősített IKT-infrastruktúrát érintő kiberfenyegetésekről, sérülékenységekről és biztonsági_eseményekről, ezeket az információkat kezeli és elemzi, valamint megosztja az uniós_szervezetekkel. Intézményközi szinten és az uniós_szervezetek szintjén koordinálja a biztonsági_eseményekre való reagálást, ideértve konkrét operatív segítségnyújtás biztosítását vagy koordinálását is.

(3) A CERT-EU a következő feladatokat látja el az uniós_szervezetek támogatása érdekében:

a)	támogatja őket e rendelet végrehajtásában, és a 14. cikk (1) bekezdésében felsorolt intézkedések vagy az IICB által kért eseti jelentések révén hozzájárul e rendelet végrehajtásának koordinálásához;

b)	az uniós_szervezetek számára szabványos CSIRT-szolgáltatásokat kínál a szolgáltatási katalógusában ismertetett kiberbiztonsági szolgáltatáscsomag eszközei által (a továbbiakban: alapszolgáltatások);

c)	hálózatot tart fenn a hasonló szervezetekkel és partnerekkel a 17. és 18. cikkben vázolt szolgáltatások támogatása érdekében;

d)	felhívja az IICB figyelmét az e rendelet végrehajtásával, valamint az iránymutatások, ajánlások és cselekvési felhívások végrehajtásával kapcsolatos bármely problémára;

e)	a (2) bekezdésben említett információk alapján az ENISA-val szorosan együttműködve hozzájárul az Unió kiberbiztonsági helyzetismeretéhez;

f)	koordinálja a súlyos biztonsági_események kezelését;

g)	az (EU) 2022/2555 irányelv 12. cikkének (1) bekezdése szerint a sérülékenységek összehangolt közzététele céljából kijelölt koordinátorral egyenértékűként eljár az uniós_szervezetek részéről;

h)	valamely uniós szervezet kérésére proaktív, behatolásmentes átvilágítást végez az adott uniós szervezet nyilvánosan hozzáférhető hálózati_és_információs_rendszerein.

Az első albekezdés e) pontjában említett információkat adott esetben, megfelelő titoktartási feltételek mellett kell megosztani az IICB-vel, a CSIRT-ek hálózatával és az Európai Unió Helyzetelemző Központjával (EU INTCEN).

(4) A CERT-EU a 17. vagy adott esetben a 18. cikkel összhangban együttműködhet az Unión és tagállamain belüli releváns kiberbiztonsági közösségekkel, többek között a következő területeken:

a)	felkészültség, biztonsági_események koordinálása, információcsere és válságreagálás technikai szinten az uniós_szervezetekkel kapcsolatos ügyekben;

b)	operatív együttműködés a CSIRT-ek hálózatával, többek között a kölcsönös segítségnyújtással kapcsolatban;

c)	kiberfenyegetettségi információk, beleértve a helyzetismeretet;

d)	a CERT-EU technikai kiberbiztonsági szakértelmét igénylő bármely téma.

(5) Hatáskörén belül a CERT-EU az (EU) 2019/881 rendelettel összhangban strukturált együttműködést folytat az ENISA-val a kapacitásépítés, az operatív együttműködés és a kiberfenyegetések hosszú távú stratégiai elemzése terén. A CERT-EU együttműködhet és információt cserélhet az Europol Kiberbűnözés Elleni Európai Központjával.

(6) A CERT-EU a szolgáltatáskatalógusában nem szereplő következő szolgáltatásokat (a továbbiakban: díjköteles szolgáltatások) nyújthatja:

a (3) bekezdésben említettektől eltérő, az uniós_szervezetek IKT-környezetének kiberbiztonságát támogató szolgáltatások, a szolgáltatási szintre vonatkozó megállapodások alapján és a rendelkezésre álló erőforrások függvényében, különösen a hálózatok széles spektrumú nyomon követése, beleértve a súlyos kiberfenyegetések a hét minden napján, napi 24 órában történő közvetlen nyomon követését is;

b)	olyan szolgáltatások, amelyek írásbeli megállapodások alapján és az IICB előzetes jóváhagyásával támogatják az uniós_szervezetek kiberbiztonsági műveleteit vagy projektjeit, kivéve azokat, amelyek IKT-környezetük védelmét szolgálják;

c)	kérésre az érintett uniós szervezet hálózati_és_információs_rendszereinek proaktív átvilágítása a potenciálisan jelentős hatással bíró sérülékenységek felderítése érdekében;

írásbeli megállapodások alapján és az IICB előzetes jóváhagyásával az uniós_szervezetektől eltérő olyan szervezetek számára nyújtott, IKT-környezetük biztonságát támogató szolgáltatások, amelyek szorosan együttműködnek az uniós_szervezetekkel, például az uniós jog által rájuk ruházott feladatok vagy felelősségi körök teljesítése révén.

Az első albekezdés d) pontja tekintetében a CERT-EU kivételes esetben, az IICB előzetes jóváhagyásával az uniós_szervezeteken kívüli egyéb szervezetekkel is köthet szolgáltatási szintre vonatkozó megállapodásokat.

(7) A CERT-EU – adott esetben az ENISA-val szoros együttműködésben – kiberbiztonsági gyakorlatokat szervez, és részt vehet azokban, vagy ajánlhatja a meglévő gyakorlatokban való részvételt az uniós_szervezetek kiberbiztonsági szintjének tesztelése céljából.

(8) A CERT-EU segítséget nyújthat az uniós_szervezeteknek az EU-minősített adatokat kezelő hálózati_és_információs_rendszerekben előforduló biztonsági_események tekintetében, amennyiben az érintett uniós_szervezetek erre saját eljárásaikkal összhangban kifejezetten felkérik. A CERT-EU által e bekezdés alapján nyújtott segítség nem érinti a minősített adatok védelmére vonatkozó alkalmazandó szabályokat.

(9) A CERT-EU tájékoztatja az uniós_szervezeteket a biztonsági_események kezelésére szolgáló eljárásairól és folyamatairól.

(10) A CERT-EU a megfelelő együttműködési mechanizmusokon és jelentési útvonalakon keresztül magas szintű titoktartás és megbízhatóság mellett szolgáltat releváns és anonimizált információkat a súlyos biztonsági_eseményekről és azok kezelésének módjáról. Ezeket az információkat bele kell foglalni a 10. cikk (14) bekezdésében említett jelentésbe.

(11) A CERT-EU az európai adatvédelmi biztossal együttműködve támogatja az érintett uniós_szervezeteket a személyes adatok megsértéséhez vezető biztonsági_események kezelésében, az európai adatvédelmi biztosnak az (EU) 2018/1725 rendelet szerinti felügyeleti hatóságként fennálló hatáskörének és feladatainak sérelme nélkül.

(12) Ha az uniós_szervezetek szakpolitikai részlegei azt kifejezetten kérik, a CERT-EU technikai tanácsot adhat vagy technikai véleményt nyilváníthat releváns szakpolitikai kérdésekben.

14. cikk

Iránymutatások, ajánlások és cselekvési felhívások

(1) A CERT-EU e rendelet végrehajtását a következők kibocsátásával támogatja:

a)	cselekvési felhívások, amelyek ismertetik azokat a sürgős biztonsági intézkedéseket, amelyeket az uniós_szervezeteknek meghatározott időn belül meg kell hozniuk;

b)	javaslatok az IICB számára az uniós_szervezetek összességének vagy egy részhalmazának szóló iránymutatásokra vonatkozóan;

c)	javaslatok az IICB számára az egyes uniós_szervezeteknek címzett ajánlásokra vonatkozóan.

Az első albekezdés a) pontja tekintetében az érintett uniós szervezet a cselekvési felhívás kézhezvételét követően indokolatlan késedelem nélkül tájékoztatja a CERT-EU-t arról, hogy hogyan alkalmazta a sürgős biztonsági intézkedéseket.

(2) Az iránymutatások és ajánlások a következőket foglalhatják magukban:

az uniós_szervezetek kiberbiztonsági érettségének értékelésére szolgáló közös módszertanok és modell, beleértve a megfelelő léptékeket vagy fő teljesítménymutatókat is, amelyek referenciaként szolgálnak az uniós_szervezetek folyamatos kiberbiztonsági fejlődésének támogatásához, és megkönnyítik a kiberbiztonsági területek és intézkedések rangsorolását, figyelembe véve a szervezetek kiberbiztonsági helyzetét;

b)	a kiberbiztonsági kockázatkezelésre és a kiberbiztonsági kockázatkezelési intézkedésekre vonatkozó szabályok vagy javítások;

c)	a kiberbiztonsági érettségi értékelésekre és kiberbiztonsági tervekre vonatkozó szabályok;

d)	adott esetben a közös technológia, az architektúra, a nyílt forráskód és a kapcsolódó legjobb gyakorlatok alkalmazása az interoperabilitás és az egységes szabványok megvalósítása céljából, beleértve az ellátási lánc biztonságára vonatkozó koordinált megközelítést;

e)	adott esetben olyan információk, amelyek megkönnyítik a releváns kiberbiztonsági szolgáltatások és termékek harmadik fél beszállítóktól történő beszerzésére szolgáló közös közbeszerzési eszközök használatát;

f)	a 20. cikk szerinti információmegosztási megállapodások.

16. cikk

Pénzügyi és személyzeti kérdések

(1) A CERT-EU-t integrálni kell a Bizottság valamely főigazgatóságának igazgatási struktúrájába annak érdekében, hogy igénybe vehesse a Bizottság igazgatási, pénzgazdálkodási és számviteli támogatási struktúráit, megőrizve ugyanakkor önálló intézményközi szolgáltatói státuszát valamennyi uniós szervezet számára. A Bizottság tájékoztatja az IICB-t a CERT-EU adminisztratív helyszínéről és annak bármely változásáról. A Bizottság a megfelelő intézkedések meghozatala érdekében rendszeresen, de minden esetben az EUMSZ 312. cikke szerinti többéves pénzügyi keret létrehozása előtt felülvizsgálja a CERT-EU-val kapcsolatos igazgatási megállapodásokat. A felülvizsgálatnak ki kell terjednie a CERT-EU uniós hivatalként történő létrehozásának lehetőségére is.

(2) Az adminisztratív és pénzügyi eljárások tekintetében a CERT-EU vezetője a Bizottság felügyelete és az IICB ellenőrzése alatt jár el.

(3) A CERT-EU feladatait és tevékenységeit, beleértve a CERT-EU által a 13. cikk (3), (4), (5) és (7) bekezdése, valamint a 14. cikk (1) bekezdése alapján az uniós_szervezeteknek nyújtott, a többéves pénzügyi keret európai közigazgatásra vonatkozó fejezetéből finanszírozott szolgáltatásokat a Bizottság költségvetésének külön költségvetési sorából kell finanszírozni. A CERT-EU számára elkülönített álláshelyeket a Bizottság létszámtervéhez fűzött lábjegyzetben kell részletezni.

(4) Az e cikk (3) bekezdésében említettektől eltérő uniós_szervezetek éves pénzügyi hozzájárulást nyújtanak a CERT-EU-nak a CERT-EU által az említett bekezdés értelmében nyújtott szolgáltatások fedezésére. A hozzájárulások az IICB által adott iránymutatásokon alapulnak, amelyekről az egyes uniós_szervezetek és a CERT-EU szolgáltatási szintre vonatkozó megállapodásokban állapodnak meg. A hozzájárulások méltányos és arányos részt képviselnek a nyújtott szolgáltatások teljes költségéből. Az összegeket az (EU, Euratom) 2018/1046 rendelet 21. cikke (3) bekezdésének c) pontja szerinti belső címzett bevételként az e cikk (3) bekezdésében említett külön költségvetési sorba kell beszedni.

(5) A 13. cikk (6) bekezdésében meghatározott szolgáltatások költségeit a CERT-EU szolgáltatásait igénybe vevő uniós_szervezetektől kell beszedni. A bevételeket a költségeket támogató költségvetési sorokhoz kell rendelni.

17. cikk

A CERT-EU és a tagállami partnerek közötti együttműködés

(1) A CERT-EU indokolatlan késedelem nélkül együttműködik és információcserét folytat a tagállami partnerekkel, különösen az (EU) 2022/2555 irányelv 10. cikke alapján kijelölt vagy létrehozott CSIRT-ekkel, vagy adott esetben az említett irányelv 8. cikke szerint kijelölt vagy létrehozott illetékes hatóságokkal és egyedüli kapcsolattartó pontokkal a biztonsági_események, a kiberfenyegetések, a sérülékenységek, a majdnem_bekövetkezett_(near_miss)_események, a lehetséges ellenintézkedések és a bevált gyakorlatok, valamint az uniós_szervezetek IKT-környezetei védelmének javítása szempontjából releváns valamennyi kérdés tekintetében, többek között az (EU) 2022/2555 irányelv 15. cikke alapján létrehozott CSIRT-hálózaton keresztül. A CERT-EU támogatja a Bizottságot a nagyszabású kiberbiztonsági események és válsághelyzetek összehangolt kezeléséről szóló (EU) 2022/2555 irányelv 16. cikke alapján létrehozott EU-CyCLONe-ban.

(2) Amennyiben a CERT-EU valamely tagállam területén bekövetkező jelentős biztonsági_eseményről szerez tudomást, az (1) bekezdéssel összhangban haladéktalanul értesíti az érintett partnert az adott tagállamban.

(3) A CERT-EU – feltéve, hogy a személyes adatok az alkalmazandó uniós adatvédelmi joggal összhangban védelemben részesülnek – indokolatlan késedelem nélkül, az érintett uniós szervezet beleegyezése nélkül megosztja a releváns biztonságiesemény-specifikus információkat a hasonló kiberfenyegetések vagy biztonsági_események felderítésének megkönnyítése vagy a biztonsági_esemény elemzéséhez való hozzájárulás érdekében a tagállami partnerekkel. A CERT-EU az olyan biztonságiesemény-specifikus információkat, amelyek feltárják a biztonsági_esemény célpontját csak az alábbiak egyikének fennállása esetén oszthatja meg:

a)	az érintett uniós szervezet beleegyezését adja;

b)	az érintett uniós szervezet nem adja beleegyezését az a) pontban előírtak szerint, de az érintett uniós szervezet kilétének közzététele növelné annak valószínűségét, hogy a máshol bekövetkező biztonsági_eseményeket elkerülnék vagy mérsékelnék;

c)	az érintett uniós szervezet már nyilvánosságra hozta, hogy érintett volt.

A biztonsági_eseményre vonatkozó azon információk cseréjére vonatkozó határozatokat, amelyek az első albekezdés b) pontja alapján feltárják a biztonsági_esemény célpontjának kilétét, a CERT-EU vezetőjének jóvá kell hagynia. Az ilyen határozat kibocsátása előtt a CERT-EU írásban felveszi a kapcsolatot az érintett uniós szervezettel, egyértelműen kifejtve, hogy kilétének nyilvánosságra hozatala hogyan segítené elő máshol a biztonsági_események elkerülését vagy mérséklését. A CERT-EU vezetőjének magyarázatot kell adnia, és kifejezetten fel kell kérnie az uniós szervezetet, hogy meghatározott határidőn belül nyilatkozzon arról, hogy beleegyezik-e ebbe. A CERT-EU vezetője arról is tájékoztatja az uniós szervezetet, hogy az adott magyarázat fényében fenntartja magának a jogot arra, hogy még beleegyezés hiányában is közzétegye az információkat. Az érintett uniós szervezetet az információk közzététele előtt tájékoztatni kell.

18. cikk

A CERT-EU együttműködése más partnerekkel

(1) A CERT-EU együttműködhet az uniós kiberbiztonsági követelmények hatálya alá tartozó, a 17. cikkben említettektől eltérő uniós partnerekkel, többek között ágazatspecifikus partnerekkel az eszközök és módszerek – például a technikák, taktikák, eljárások és a legjobb gyakorlatok –, valamint a kiberfenyegetések és - sérülékenységek terén. Az ilyen partnerekkel való mindennemű együttműködéshez a CERT-EU-nak – eseti alapon – előzetes jóváhagyást kell kérnie az IICB-től. Amennyiben a CERT-EU ilyen partnerekkel alakít ki együttműködést, erről tájékoztatnia kell a partner székhelye szerinti tagállamban működő valamennyi, a 17. cikk (1) bekezdésében említett érintett tagállami partnert. adott esetben az ilyen együttműködést és annak feltételeit – többek között a kiberbiztonság, az adatvédelem és az információkezelés tekintetében – egyedi titoktartási megállapodásokban, például szerződésekben vagy igazgatási megállapodásokban kell meghatározni. A titoktartási megállapodásokhoz nem kell kikérni az IICB előzetes jóváhagyását, de az IICB elnökét ezekről tájékoztatni kell. Abban az esetben, ha az uniós_szervezetek vagy egy másik fél érdekében sürgős és azonnali kiberbiztonsági információcserére van szükség, a CERT-EU ezt megteheti egy olyan szervezettel, amelynek különleges kompetenciája, kapacitása és szakértelme indokoltan szükséges ahhoz, hogy segítséget nyújtson egy ilyen sürgős és azonnali szükséglet kielégítéséhez, még akkor is, ha a CERT-EU nem kötött titoktartási megállapodást az adott szervezettel. Ilyen esetekben a CERT-EU haladéktalanul tájékoztatja az IICB elnökét, és rendszeres jelentések vagy ülések útján jelentést tesz az IICB-nek.

(2) A CERT-EU együttműködhet más partnerekkel, például kereskedelmi szervezetekkel, köztük ágazatspecifikus ipari szervezetekkel, nemzetközi szervezetekkel, nem uniós nemzeti szervezetekkel vagy egyéni szakértőkkel annak érdekében, hogy információkat gyűjtsön az általános és konkrét kiberfenyegetésekről, a majdnem_bekövetkezett_(near_miss)_eseményekről, a sérülékenységekről és a lehetséges ellenintézkedésekről. Az ilyen partnerekkel való szélesebb körű együttműködéshez a CERT-EU-nak eseti alapon előzetes jóváhagyást kell kérnie az IICB-től.

(3) A CERT-EU – a biztonsági_esemény által érintett uniós szervezet beleegyezésével, és feltéve, hogy az érintett partnerrel titoktartási megállapodás vagy szerződés van érvényben – az (1) és a (2) bekezdésben említett partnerek rendelkezésére bocsáthatja az adott biztonsági_eseményre vonatkozó információkat, kizárólag az elemzéséhez való hozzájárulás céljából.

V. FEJEZET

EGYÜTTMŰKÖDÉSI ÉS JELENTÉSTÉTELI KÖTELEZETTSÉGEK

19. cikk

Információkezelés

(1) Az uniós_szervezeteknek és a CERT-EU-nak tiszteletben kell tartaniuk az EUMSZ 339. cikke vagy az azzal egyenértékű alkalmazandó keretrendszerek szerinti szakmai titoktartási kötelezettséget.

(2) Az 1049/2001/EK európai parlamenti és tanácsi rendelet (10) alkalmazandó a CERT-EU birtokában lévő dokumentumokhoz való nyilvános hozzáférés iránti kérelmekre, beleértve az említett rendelet szerinti azon kötelezettséget is, hogy minden olyan esetben, amikor a kérelem azok dokumentumaira vonatkozik, konzultálni kell más uniós_szervezetekkel vagy adott esetben a tagállamokkal.

(3) Az uniós_szervezetek és a CERT-EU általi információkezelésnek meg kell felelnie az információbiztonság tekintetében alkalmazandó szabályoknak.

20. cikk

Kiberbiztonsági információmegosztási megállapodások

(1) Az uniós_szervezetek önkéntes alapon értesíthetik a CERT-EU-t az őket érintő biztonsági_eseményekről, kiberfenyegetésekről, majdnem_bekövetkezett_(near_miss)_eseményekről és sérülékenységekről, és azokról információkat szolgáltathatnak számára. A CERT-EU biztosítja, hogy az uniós_szervezetekkel való információmegosztás megkönnyítése érdekében hatékony, magas szintű nyomon követhetőséget, titkosságot és megbízhatóságot biztosító kommunikációs eszközök álljanak rendelkezésre. Az értesítések feldolgozásakor a CERT-EU előnyben részesítheti a kötelező értesítések feldolgozását az önkéntes értesítésekkel szemben. A 12. cikk sérelme nélkül, az önkéntes értesítés nem eredményezhet olyan további kötelezettségeket az adatszolgáltató uniós szervezet számára, amelyek nem terhelték volna, ha nem nyújtotta volna be az értesítést.

(2) Annak érdekében, hogy teljesítse a 13. cikkben ráruházott küldetését és feladatait, a CERT-EU felkérheti az uniós_szervezeteket, hogy információkat szolgáltassanak számára IKT rendszereik nyilvántartásaiból, ideértve a kiberfenyegetésekre, a majdnem_bekövetkezett_(near_miss)_eseményekre, a sérülékenységekre, a fertőzöttségi mutatókra (IoC), a kiberbiztonsági figyelmeztetésekre és a biztonsági_események észlelésére szolgáló kiberbiztonsági eszközök konfigurációjára vonatkozó ajánlásokra vonatkozó információkat is. A megkeresett uniós szervezet indokolatlan késedelem nélkül továbbítja a kért információt és annak minden későbbi frissítését is.

(3) A CERT-EU akkor cserélhet az uniós_szervezetekkel olyan biztonságiesemény-specifikus információkat, amelyek felfedik a biztonsági eseménnyel érintett uniós szervezet kilétét, ha az érintett uniós szervezet abba beleegyezik. Amennyiben egy uniós szervezet megtagadja a beleegyezését, a CERT-EU rendelkezésére kell bocsátania a döntését alátámasztó indokokat.

(4) Az uniós_szervezeteknek kérésre meg kell osztaniuk az Európai Parlamenttel és a Tanáccsal a kiberbiztonsági tervek teljesítésére vonatkozó információkat.

(5) Az IICB vagy adott esetben a CERT-EU kérésre iránymutatásokat, ajánlásokat és cselekvési felhívásokat oszt meg az Európai Parlamenttel és a Tanáccsal.

(6) Az e cikkben meghatározott megosztási kötelezettségek nem terjednek ki a következőkre:

a)	EU-minősített adatok;

b)	olyan információk, amelyek további terjesztését egy látható jelöléssel kizárták, kivéve, ha kifejezetten engedélyezték azok CERT-EU-val való megosztását.

21. cikk

Jelentéstételi kötelezettségek

(1) Egy biztonsági_esemény akkor tekintendő jelentősnek, ha:

a)	súlyos működési zavart eredményezett, illetve eredményezhet az uniós szervezet működésében, vagy pénzügyi veszteséggel járt, illetve járhat az érintett uniós szervezet számára;

b)	a biztonsági_esemény jelentős vagyoni vagy nem vagyoni kár okozásával más természetes vagy jogi személyeket érintett vagy érinthet.

(2) Az uniós_szervezeteknek be kell nyújtaniuk a CERT-EU-nak a következőket:

indokolatlan késedelem nélkül, de minden esetben a jelentős biztonsági_eseményről való tudomásszerzéstől számított 24 órán belül egy első figyelmeztetést, amelyben adott esetben fel kell tüntetni, hogy a jelentős biztonsági_eseményt gyaníthatóan jogellenes vagy rosszindulatú cselekmény okozta-e és hogy lehet-e több szervezetre kiterjedő vagy határokon átnyúló hatása;

indokolatlan késedelem nélkül, de minden esetben a jelentős biztonsági_eseményről való tudomásszerzéstől számított 72 órán belül a biztonsági_eseményről szóló értesítést, amely adott esetben aktualizálja az a) pontban említett információkat, és tartalmazza a jelentős biztonsági_esemény, illetve annak súlyossága és hatása kezdeti értékelését, valamint – amennyiben rendelkezésre állnak – a fertőzöttségi mutatókat;

c)	a CERT-EU kérésére a releváns állapotfrissítésekről szóló időközi jelentést.

zárójelentést, legkésőbb a b) pont szerinti, a biztonsági_eseményről való értesítés benyújtását követő egy hónapon belül, amely tartalmazza a következőket:

i.	a biztonsági_esemény részletes leírása, beleértve annak súlyosságát és hatását;

ii.	a biztonsági_eseményt valószínűsíthetően előidéző fenyegetés vagy kiváltó ok típusa;

iii.	az alkalmazott és folyamatban lévő mérséklő intézkedések;

iv.	adott esetben a biztonsági_esemény határokon átnyúló vagy intézmények közötti hatása;

e)	a d) pontban említett zárójelentés benyújtásának időpontjában folyamatban lévő biztonsági_esemény esetén az említett időpontban eredményjelentés, a biztonsági_esemény kezelését követő egy hónapon belül pedig zárójelentés.

(3) Az uniós szervezet indokolatlan késedelem nélkül, de minden esetben a jelentős biztonsági_eseményről való tudomásszerzéstől számított 24 órán belül tájékoztatja a 17. cikk (1) bekezdésében említett, a székhelye szerinti tagállamban működő érintett tagállami partnereket a jelentős biztonsági_esemény bekövetkezéséről.

(4) Az uniós_szervezeteknek be kell jelenteniük többek között minden olyan információt, amely lehetővé teszi a CERT-EU számára, hogy a jelentős biztonsági_eseményt követően azonosítsa a szervezetek közötti, a fogadó tagállamra gyakorolt vagy határokon átnyúló hatást. A 12. cikk sérelme nélkül, pusztán az értesítés következtében az uniós szervezetet többletfelelősség nem terhelheti.

(5) adott esetben az uniós_szervezetek indokolatlan késedelem nélkül tájékoztatják az érintett hálózati_és_információs_rendszerek vagy az IKT-környezet más elemei azon felhasználóit, akiket jelentős biztonsági_esemény vagy jelentős kiberfenyegetés érinthet, és adott esetben tájékoztatják őket a biztonsági_eseményre vagy fenyegetésre válaszul általuk hozható mérséklő intézkedésekről, egyéb intézkedésekről vagy korrekciós intézkedésekről is. adott esetben az uniós_szervezetek tájékoztatják a felhasználókat magáról a jelentős kiberfenyegetésről.

(6) Amennyiben egy jelentős biztonsági_esemény vagy jelentős kiberfenyegetés egy hálózati_és_információs_rendszert, vagy egy uniós szervezet IKT-környezetének valamely olyan elemét érinti, amely köztudottan kapcsolódik egy másik uniós szervezet IKT-környezetéhez, a CERT-EU megfelelő kiberbiztonsági riasztást ad ki.

(7) Az uniós_szervezetek a CERT-EU kérésére indokolatlan késedelem nélkül átadják a CERT-EU részére a biztonsági_eseményekben érintett elektronikus eszközök használatával létrehozott digitális információkat. A CERT-EU további részletekkel szolgálhat a helyzetismerethez és a biztonsági_eseményre való reagáláshoz szükséges információtípusokról.

(8) A CERT-EU háromhavonta összefoglaló jelentést nyújt be az IICB-nek, az ENISA-nak, az EU INTCEN-nek és a CSIRT-hálózatnak, amely anonimizált és összesített adatokat tartalmaz a 20. cikk szerinti jelentős biztonsági_eseményekről, biztonsági_eseményekről, kiberfenyegetésekről, majdnem_bekövetkezett_(near_miss)_eseményekről és sérülékenységekről, valamint az e cikk (2) bekezdése szerint bejelentett jelentős biztonsági_eseményekről. Az összefoglaló jelentés hozzájárul az uniós kiberbiztonsági helyzetről az (EU) 2022/2555 irányelv 18. cikke alapján elfogadott, kétévente kiadandó jelentéshez.

(9) Az IICB-nek 2024. július 8-ig iránymutatásokat vagy ajánlásokat kell ki bocsátania, amelyekben tovább pontosítja az e cikk szerinti jelentéstétel szabályait, formátumát és tartalmát. Az ilyen iránymutatások vagy ajánlások kidolgozása során az IICB figyelembe veszi az (EU) 2022/2555 irányelv 23. cikkének (11) bekezdése alapján elfogadott, az információk típusát, formátumát és az értesítésekre vonatkozó eljárást meghatározó végrehajtási jogi aktusokat. A CERT-EU megosztja a megfelelő technikai részleteket annak érdekében, hogy lehetővé tegye az uniós_szervezetek általi proaktív felderítést, biztonsági_eseményekre való reagálást vagy a mérséklő intézkedések meghozatalát.

(10) Az e cikkben meghatározott jelentéstételi kötelezettségek nem terjednek ki a következőkre:

a)	EU-minősített adatok;

b)	olyan információk, amelyek további terjesztését egy látható jelöléssel kizárták, kivéve, ha kifejezetten engedélyezték azok CERT-EU-val való megosztását.

22. cikk

A biztonsági_eseményekre való reagálás koordinálása és az azokkal kapcsolatos együttműködés

(1) Kiberbiztonsági információcsere- és eseményreagálási koordinációs központként eljárva a CERT-EU elősegíti a biztonsági_eseményekre, kiberfenyegetésekre, sérülékenységekre és majdnem_bekövetkezett_(near_miss)_eseményekre vonatkozó információcserét az alábbiak között:

a)	az uniós_szervezetek;

b)	a 17. és a 18. cikkben említett partnerek.

(2) A CERT-EU-nak – adott esetben az ENISA-val szorosan együttműködve – elő kell segítenie az uniós_szervezetek közötti koordinációt a biztonsági_eseményekre való reagálás terén, beleértve a következőket:

a)	hozzájárulás az egységes külső kommunikációhoz;

b)	kölcsönös támogatás, például az uniós_szervezetek számára releváns információk megosztása vagy adott esetben közvetlen helyszíni segítségnyújtás;

c)	az operatív erőforrások optimális felhasználása;

d)	koordináció más uniós szintű válságreagálási mechanizmusokkal.

(3) A CERT-EU az ENISA-val szorosan együttműködve támogatja az uniós_szervezeteket a biztonsági_eseményekkel, kiberfenyegetésekkel, sérülékenységekkel és majdnem_bekövetkezett_(near_miss)_eseményekkel kapcsolatos helyzetismeret kialakításában, valamint a kiberbiztonság területén bekövetkezett fontos fejlemények megosztásában.

(4) Az IICB-nek 2025. január 8-ig, a CERT-EU ajánlása alapján iránymutatásokat vagy ajánlásokat kell elfogadnia a jelentős biztonsági_eseményekre való reagálás koordinálásáról és az azokkal kapcsolatos együttműködésről. Amennyiben egy biztonsági_esemény büntetőjogi jellege gyanítható, a CERT-EU tanácsot ad arra vonatkozóan, hogy miként kell indokolatlan késedelem nélkül bejelenteni a biztonsági_eseményt a bűnüldöző hatóságoknak.

(5) Valamely tagállam egyedi kérésére és az érintett uniós_szervezetek jóváhagyásával a CERT-EU az (EU) 2022/2555 irányelv 15. cikke (3) bekezdésének g) pontjával összhangban felkérheti a 23. cikk (4) bekezdésében említett jegyzékben szereplő szakértőket, hogy járuljanak hozzá az adott tagállamban hatást gyakorló súlyos biztonsági_eseményre vagy egy nagyszabású kiberbiztonsági eseményre való reagáláshoz. Az IICB a CERT EU javaslatára egyedi szabályokat hagy jóvá az uniós_szervezetek technikai szakértőihez való hozzáférésre és azok igénybevételére vonatkozóan.

24. cikk

Kezdeti költségvetési átcsoportosítás

A CERT-EU megfelelő és stabil működésének biztosítása érdekében a Bizottság javasolhatja a személyzeti és pénzügyi erőforrások átcsoportosítását a Bizottság költségvetésébe a CERT-EU műveleteiben való felhasználás céljából. Az átcsoportosítás az e rendelet hatálybalépését követően elfogadott első uniós éves költségvetéssel egy időben lép hatályba.

whereas

keyboard_tab Cyber Resilience Act 2023/2841 HU

Cyber Resilience Act 2023/2841 HU