keyboard_tab Cyber Resilience Act 2023/2841 HU
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 6. cikk Kiberbiztonsági kockázatkezelési, -irányítási és -ellenőrzési keretrendszer
- 1 8. cikk Kiberbiztonsági kockázatkezelési intézkedések
- 1 11. cikk Az IICB feladatai
- 1 14. cikk Iránymutatások, ajánlások és cselekvési felhívások
I. FEJEZET
ÁLTALÁNOS RENDELKEZÉSEK
II. FEJEZET
A KIBERBIZTONSÁG EGYSÉGESEN MAGAS SZINTJÉRE IRÁNYULÓ INTÉZKEDÉSEK
III. FEJEZET
INTÉZMÉNYKÖZI KIBERBIZTONSÁGI TESTÜLET
IV. FEJEZET
CERT-EU
V. FEJEZET
EGYÜTTMŰKÖDÉSI ÉS JELENTÉSTÉTELI KÖTELEZETTSÉGEK
VI. FEJEZET
ZÁRÓ RENDELKEZÉSEK
- uniós szervezetek
- hálózati és információs rendszer
- hálózati és információs rendszerek biztonsága
- kiberbiztonság
- legmagasabb vezetői szint
- majdnem bekövetkezett (near miss) esemény
- biztonsági esemény
- súlyos biztonsági esemény
- nagyszabású kiberbiztonsági esemény
- biztonsági esemény kezelése
- kiberfenyegetés
- jelentős kiberfenyegetés
- sérülékenység
- kiberbiztonsági kockázat
- felhőszolgáltatás
- kiberbiztonsági 48
- uniós 19
- vonatkozó 19
- cert-eu 17
- kell 17
- valamint 15
- uniós_szervezetek 15
- szervezet 15
- vagy 14
- rendelet 12
- beleértve 12
- alapján 11
- esetben 10
- egyes 10
- cikk 10
- adott 9
- hogy 9
- figyelembe 8
- által 8
- uniós_szervezeteknek 8
- jóváhagyja 8
- kockázatkezelési 8
- intézkedések 8
- helyi 7
- említett 7
- annak 6
- szintű 6
- kapcsolatos 6
- javaslata 6
- biztonsági_események 6
- az 5
- nélkül 5
- vezetőjének 5
- iicb 5
- rendszeresen 5
- nyomon 5
- biztonsági 5
- biztonságos 5
- érdekében 5
- vonatkozóan 5
- való 5
- véve 5
- érintett 5
- keretrendszer 5
- kockázatok 4
- számára 4
- követi 4
- cselekvési 4
- keretrendszernek 4
- közös 4
6. cikk
Kiberbiztonsági kockázatkezelési, -irányítási és -ellenőrzési keretrendszer
(1) 2025. április 8-ig minden uniós szervezet a kezdeti kiberbiztonsági felülvizsgálat, például audit elvégzését követően belső kiberbiztonsági kockázatkezelési, -irányítási és -ellenőrzési keretrendszert (a továbbiakban: a keretrendszer) hoz létre. A keretrendszer létrehozását az uniós szervezet legmagasabb_vezetői_szintje felügyeli és annak felelősségi körébe tartozik.
(2) A keretrendszernek ki kell terjednie az érintett uniós szervezet teljes nem minősített IKT-környezetére, beleértve a helyszíni IKT-környezetet, a helyszíni működő technológiai hálózatot (OT-rendszer), a felhőalapú számítástechnikai környezetben működő vagy harmadik felek által üzemeltetett, kiszervezett eszközöket és szolgáltatásokat, a mobil eszközöket, a vállalati hálózatokat, az internethez nem kapcsolódó üzleti hálózatokat és az e környezetekhez (a továbbiakban: az IKT-környezet) kapcsolódó eszközöket. A keretrendszernek minden veszélyre kiterjedő megközelítésen kell alapulnia.
(3) A keretrendszernek magas szintű kiberbiztonságot kell biztosítania. A keretrendszer meghatározza a hálózati_és_információs_rendszerek biztonságára vonatkozó belső kiberbiztonsági politikákat, beleértve a célkitűzéseket és prioritásokat, valamint az uniós szervezet e rendelet hatékony végrehajtásának biztosításával megbízott személyzetének szerepét és felelősségi körét. A keretrendszernek tartalmaznia kell a végrehajtás hatékonyságának mérésére szolgáló mechanizmusokat is.
(4) A keretrendszert a változó kiberbiztonsági kockázatok fényében rendszeresen, de legalább négyévente felül kell vizsgálni. Adott esetben és a 10. cikk alapján létrehozott Intézményközi Kiberbiztonsági Testület kérését követően az uniós szervezet keretrendszerét frissíteni lehet a CERT-EU-nak az e rendelet rendelkezéseinek végrehajtása során azonosított biztonsági_eseményekre vagy esetleges hiányosságokra vonatkozó iránymutatása alapján.
(5) Az egyes uniós_szervezetek legmagasabb_vezetői_szintje felel e rendelet végrehajtásáért, és felügyeli, hogy szervezete megfeleljen a keretrendszerrel kapcsolatos kötelezettségeknek.
(6) Adott esetben és az e rendelet végrehajtásával kapcsolatos felelősségének sérelme nélkül, az egyes uniós_szervezetek legmagasabb_vezetői_szintje az e rendelet szerinti konkrét kötelezettségeket átruházhatja a személyzeti szabályzat 29. cikkének (2) bekezdése értelmében vett rangidős tisztviselőkre vagy az érintett uniós szervezeten belüli egyéb azonos szintű tisztviselőkre. Az ilyen átruházástól függetlenül a legmagasabb_vezetői_szint felelősségre vonható e rendeletnek az érintett uniós szervezet általi megsértéséért.
(7) Minden uniós szervezetnek hatékony mechanizmusokkal kell rendelkeznie annak biztosítására, hogy az IKT-költségvetés megfelelő százalékát a kiberbiztonságra fordítsák. Az említett százalékos arány meghatározásakor kellően figyelembe kell venni a keretrendszert.
(8) Minden uniós szervezet helyi kiberbiztonsági tisztviselőt vagy azzal egyenértékű funkciót nevez ki, aki a kiberbiztonság valamennyi vonatkozása tekintetében egyedüli kapcsolattartó pontjaként jár el. A helyi kiberbiztonsági tisztviselő elősegíti e rendelet végrehajtását, és rendszeresen beszámol közvetlenül a legmagasabb_vezetői_szintnek a végrehajtás állásáról. Annak sérelme nélkül, hogy a helyi kiberbiztonsági tisztviselő az egyes uniós_szervezeteken belül az egyedüli kapcsolattartó pont, az uniós_szervezetek a köztük és a CERT-EU között létrejött, szolgáltatási szintre vonatkozó megállapodás alapján átruházhatják a CERT-EU-ra a helyi kiberbiztonsági tisztviselő e rendelet végrehajtásával kapcsolatos bizonyos feladatait, vagy ezeket a feladatokat több uniós szervezet megoszthatja. Amennyiben ezeket a feladatokat a CERT-EU-ra ruházzák, a 10. cikk alapján létrehozott Intézményközi Kiberbiztonsági Testületnek kell döntenie arról, hogy e szolgáltatás nyújtása részét képezi-e a CERT-EU alapszolgáltatásainak, figyelembe véve az érintett uniós szervezet emberi és pénzügyi erőforrásait. Az egyes uniós_szervezeteknek indokolatlan késedelem nélkül értesíteniük kell a CERT-EU-t a kinevezett helyi kiberbiztonsági tisztviselőkről és a személyükben történő minden későbbi változásról.
A CERT-EU-nak létre kell hoznia és naprakészen kell tartania a kinevezett helyi kiberbiztonsági tisztviselők jegyzékét.
(9) Az egyes uniós_szervezeteknek a személyzeti szabályzat 29. cikkének (2) bekezdése értelmében vett rangidős tisztviselői vagy egyéb azonos szintű tisztviselői, valamint a személyzetnek az e rendeletben meghatározott kiberbiztonsági kockázatkezelési intézkedések végrehajtásával és kötelezettségek betartásával megbízott tagjai rendszeresen külön képzéseken vesznek részt azon ismeretek és készségek elsajátítása érdekében, amelyek a kiberbiztonsági kockázatok és irányítási gyakorlatok, valamint az azok által az uniós szervezet működésére gyakorolt hatások megismeréséhez és értékeléséhez szükségesek.
8. cikk
Kiberbiztonsági kockázatkezelési intézkedések
(1) Indokolatlan késedelem nélkül, de legkésőbb 2025. szeptember 8-ig az egyes uniós_szervezeteknek – a legmagasabb_vezetői_szintjük felügyelete mellett – meg kell hozniuk a keretrendszer keretében azonosított kiberbiztonsági kockázatok kezeléséhez, valamint a biztonsági_események megelőzéséhez vagy hatásuk minimálisra csökkentéséhez szükséges megfelelő és arányos technikai, működési és szervezeti intézkedéseket. Figyelembe véve a legkorszerűbb és adott esetben a vonatkozó európai és nemzetközi szabványokat, ezeknek az intézkedéseknek biztosítaniuk kell a hálózati_és_információs_rendszerek biztonságának a felmerülő kiberbiztonsági kockázatokkal arányos szintjét az IKT-környezet egészében. Az említett intézkedések arányosságának értékelésekor kellően figyelembe kell venni az uniós szervezet kiberbiztonsági kockázatoknak való kitettségének mértékét, a szervezet méretét, a biztonsági_események bekövetkeztének valószínűségét és azok súlyosságát, beleértve társadalmi, gazdasági és intézményközi hatásukat is.
(2) Az uniós_szervezeteknek a kiberbiztonsági kockázatkezelési intézkedések végrehajtása során legalább a következő területekkel foglalkozniuk kell:
| a) | kiberbiztonsági szakpolitika, beleértve a 6. cikkben és az e cikk (3) bekezdésében említett célok és prioritások eléréséhez szükséges intézkedéseket; |
| b) | kiberbiztonsági kockázatelemzési és az informatikai rendszerek biztonságára vonatkozó szakpolitikák; |
| c) | a felhőszolgáltatások használatára vonatkozó szakpolitikai célok; |
| d) | adott esetben kiberbiztonsági audit, amely magában foglalhatja a kiberbiztonsági kockázat, a sérülékenység és a kiberfenyegetések értékelését, valamint egy megbízható magánszolgáltató által rendszeresen végzett behatolási tesztelést; |
| e) | a d) pontban említett kiberbiztonsági auditokból eredő ajánlások végrehajtása kiberbiztonsági frissítések és a szakpolitikák frissítése révén; |
| f) | a kiberbiztonság megszervezése, beleértve a szerepek és feladatkörök meghatározását is; |
| g) | eszközkezelés, beleértve az IKT-eszközök leltárát és az IKT-hálózatok feltérképezését; |
| h) | az emberi erőforrások biztonsága és a hozzáférés ellenőrzése; |
| i) | üzembiztonság; |
| j) | kommunikációs biztonság; |
| k) | a rendszerek beszerzése, fejlesztése és karbantartása, beleértve a sérülékenységkezelésre és -feltárásra vonatkozó politikákat; |
| l) | ahol lehetséges, a forráskód átláthatóságára vonatkozó politikák; |
| m) | az ellátási lánc biztonsága, beleértve az egyes uniós_szervezetek és közvetlen beszállítóik vagy szolgáltatóik közötti kapcsolatok biztonsági vonatkozásait is; |
| n) | biztonsági_események kezelése és együttműködés a CERT-EU-val, például a biztonsági nyomonkövetés és a naplózás fenntartása; |
| o) | az üzletmenet-folytonosság kezelése, például tartalékrendszerek kezelése, valamint katasztrófa utáni helyreállítás és válságkezelés; valamint |
| p) | a kiberbiztonsággal kapcsolatos oktatási, készségfejlesztő, tudatosságnövelő, gyakorlati és képzési programok előmozdítása és kidolgozása. |
Az első albekezdés m) pontjának alkalmazásában az uniós_szervezeteknek figyelembe kell venniük az egyes közvetlen beszállítókra és szolgáltatókra jellemző sérülékenységeket, valamint a beszállítóik és szolgáltatóik termékeinek és kiberbiztonsági gyakorlatainak – többek között biztonságos fejlesztési eljárásaiknak – az általános minőségét.
(3) Az uniós_szervezeteknek meg kell hozniuk legalább a következő konkrét kiberbiztonsági kockázatkezelési intézkedéseket:
| a) | a távmunka lehetővé tételét és fenntartását szolgáló műszaki intézkedések; |
| b) | konkrét lépések a zéró bizalom alapelvei felé történő elmozdulás érdekében; |
| c) | a többtényezős hitelesítés mint norma használata a hálózati_és_információs_rendszerekben; |
| d) | kriptográfia és titkosítás, különösen végponttól végpontig terjedő titkosítás, valamint biztonságos digitális aláírás használata; |
| e) | adott esetben biztonságos hang-, video- és szöveges kommunikáció, valamint biztonságos vészhelyzeti kommunikációs rendszerek használata az uniós szervezeten belül; |
| f) | a rosszindulatú szoftverek és kémszoftverek felderítésére és eltávolítására irányuló proaktív intézkedések; |
| g) | a szoftverellátási lánc biztonságának megteremtése a biztonságos szoftverfejlesztésre és -értékelésre vonatkozó kritériumok révén; |
| h) | az uniós szervezet legmagasabb_vezetői_szintje és az e rendelet hatékony végrehajtásának biztosításával megbízott személyzete tagjai számára a számukra előírt feladatoknak és a tőlük elvárt képességeknek megfelelő kiberbiztonsági képzési tantervek kidolgozása és elfogadása; |
| i) | a személyzet tagjainak rendszeres kiberbiztonsági képzése; |
| j) | adott esetben részvétel az uniós_szervezetek összekapcsoltságával összefüggő kockázatok elemzésében; |
| k) | a közbeszerzési szabályok javítása a kiberbiztonság egységesen magas szintjének elősegítése érdekében a következők révén:
|
11. cikk
Az IICB feladatai
Feladatainak ellátása során az IICB különösen:
| a) | iránymutatást nyújt a CERT-EU vezetője számára; |
| b) | hatékonyan nyomon követi és felügyeli e rendelet végrehajtását, valamint támogatja az uniós_szervezeteket kiberbiztonságuk megerősítésében, beleértve adott esetben eseti jelentések kérését az uniós_szervezetektől és a CERT-EU-tól; |
| c) | stratégiai megbeszélést követően többéves stratégiát fogad el az uniós_szervezetek kiberbiztonsági szintjének növelésére, és azt rendszeresen, de legalább ötévente értékeli és szükség esetén módosítja; |
| d) | meghatározza az uniós_szervezetek által végzett önkéntes szakértői értékelések módszertanát és szervezeti vonatkozásait a közös tapasztalatokból való tanulás, a kölcsönös bizalom megerősítése, az egységesen magas szintű kiberbiztonság elérése, valamint az uniós_szervezetek kiberbiztonsági képességeinek javítása érdekében, biztosítva, hogy az ilyen szakértői értékeléseket a felülvizsgálat tárgyát képező uniós szervezettől eltérő uniós szervezet által kijelölt kiberbiztonsági szakértők végezzék, és hogy a módszertan az (EU) 2022/2555 irányelv 19. cikkén alapuljon, és adott esetben igazodjon az uniós_szervezetekhez; |
| e) | a CERT-EU vezetőjének javaslata alapján jóváhagyja a CERT-EU éves munkaprogramját és nyomon követi annak végrehajtását; |
| f) | a CERT-EU vezetőjének javaslata alapján jóváhagyja a CERT-EU szolgáltatási katalógusát és annak frissítéseit; |
| g) | a CERT-EU vezetőjének javaslata alapján jóváhagyja a CERT-EU tevékenységeinek bevételeire és kiadásaira vonatkozó éves pénzügyi tervet, beleértve a személyzetre vonatkozót is; |
| h) | a CERT-EU vezetőjének javaslata alapján jóváhagyja a szolgáltatási szintre vonatkozó megállapodásokra vonatkozó szabályokat; |
| i) | megvizsgálja és jóváhagyja a CERT-EU vezetője által készített, a CERT-EU tevékenységeiről és pénzeszközeinek kezeléséről szóló éves jelentést; |
| j) | jóváhagyja és nyomon követi a CERT-EU vezetőjének javaslata alapján a CERT-EU-ra vonatkozóan meghatározott fő teljesítménymutatókat (KPI-k); |
| k) | jóváhagyja a CERT-EU és más szervezetek közötti, a 18. cikk szerinti együttműködési megállapodásokat, szolgáltatási szintre vonatkozó megállapodásokat vagy szerződéseket; |
| l) | a CERT-EU javaslata alapján a 14. cikkel összhangban iránymutatásokat és ajánlásokat fogad el, és utasítja a CERT-EU-t, hogy adjon ki, vonjon vissza vagy módosítson valamely, iránymutatásokra vagy ajánlásokra irányuló javaslatot, illetve cselekvési felhívást; |
| m) | az IICB munkájának támogatásához technikai tanácsadó csoportokat hoz létre konkrét feladatokkal, jóváhagyja azok megbízatását, és kinevezi azok elnökeit; |
| n) | fogadja és értékeli az uniós_szervezetek által e rendelet alapján benyújtott dokumentumokat és jelentéseket, például a kiberbiztonsági érettségi értékeléseket; |
| o) | az e rendelet végrehajtásával kapcsolatos bevált gyakorlatok és információk cseréje céljából az ENISA támogatásával elősegíti az uniós_szervezetek helyi kiberbiztonsági tisztviselőiből álló informális csoport létrehozását; |
| p) | figyelembe véve a CERT-EU által az azonosított kiberbiztonsági kockázatokra és levont tanulságokra vonatkozóan szolgáltatott információkat, nyomon követi az uniós_szervezetek IKT-környezete közötti összekapcsolhatósági megállapodások megfelelőségét, és tanácsot ad a lehetséges fejlesztésekre vonatkozóan; |
| q) | kiberbiztonsági válságkezelési tervet hoz létre az uniós_szervezeteket érintő súlyos biztonsági_események koordinált kezelésének operatív szintű támogatása, valamint a releváns információk rendszeres cseréjéhez való hozzájárulás céljából, különös tekintettel a súlyos biztonsági_események hatásaira és súlyosságára, valamint hatásai mérséklésének lehetséges módjaira; |
| r) | koordinálja az egyes uniós_szervezetek 9. cikk (2) bekezdésében említett kiberbiztonsági válságkezelési terveinek elfogadását; |
| s) | az (EU) 2022/2555 irányelv 22. cikkében említett, a kritikus ellátási láncokra vonatkozó összehangolt uniós szintű biztonsági kockázatértékelések eredményeit figyelembe véve a 8. cikk (2) bekezdése első albekezdésének m) pontjában említett, az ellátási lánc biztonságára vonatkozó ajánlásokat fogad el annak érdekében, hogy támogassa az uniós_szervezeteket a hatékony és arányos kiberbiztonsági kockázatkezelési intézkedések elfogadásában. |
14. cikk
Iránymutatások, ajánlások és cselekvési felhívások
(1) A CERT-EU e rendelet végrehajtását a következők kibocsátásával támogatja:
| a) | cselekvési felhívások, amelyek ismertetik azokat a sürgős biztonsági intézkedéseket, amelyeket az uniós_szervezeteknek meghatározott időn belül meg kell hozniuk; |
| b) | javaslatok az IICB számára az uniós_szervezetek összességének vagy egy részhalmazának szóló iránymutatásokra vonatkozóan; |
| c) | javaslatok az IICB számára az egyes uniós_szervezeteknek címzett ajánlásokra vonatkozóan. |
Az első albekezdés a) pontja tekintetében az érintett uniós szervezet a cselekvési felhívás kézhezvételét követően indokolatlan késedelem nélkül tájékoztatja a CERT-EU-t arról, hogy hogyan alkalmazta a sürgős biztonsági intézkedéseket.
(2) Az iránymutatások és ajánlások a következőket foglalhatják magukban:
| a) | az uniós_szervezetek kiberbiztonsági érettségének értékelésére szolgáló közös módszertanok és modell, beleértve a megfelelő léptékeket vagy fő teljesítménymutatókat is, amelyek referenciaként szolgálnak az uniós_szervezetek folyamatos kiberbiztonsági fejlődésének támogatásához, és megkönnyítik a kiberbiztonsági területek és intézkedések rangsorolását, figyelembe véve a szervezetek kiberbiztonsági helyzetét; |
| b) | a kiberbiztonsági kockázatkezelésre és a kiberbiztonsági kockázatkezelési intézkedésekre vonatkozó szabályok vagy javítások; |
| c) | a kiberbiztonsági érettségi értékelésekre és kiberbiztonsági tervekre vonatkozó szabályok; |
| d) | adott esetben a közös technológia, az architektúra, a nyílt forráskód és a kapcsolódó legjobb gyakorlatok alkalmazása az interoperabilitás és az egységes szabványok megvalósítása céljából, beleértve az ellátási lánc biztonságára vonatkozó koordinált megközelítést; |
| e) | adott esetben olyan információk, amelyek megkönnyítik a releváns kiberbiztonsági szolgáltatások és termékek harmadik fél beszállítóktól történő beszerzésére szolgáló közös közbeszerzési eszközök használatát; |
| f) | a 20. cikk szerinti információmegosztási megállapodások. |
whereas