keyboard_tab Cyber Resilience Act 2023/2841 HU
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 11. cikk Az IICB feladatai
- 1 13. cikk A CERT-EU küldetése és feladatai
- 1 15. cikk A CERT-EU vezetője
I. FEJEZET
ÁLTALÁNOS RENDELKEZÉSEK
II. FEJEZET
A KIBERBIZTONSÁG EGYSÉGESEN MAGAS SZINTJÉRE IRÁNYULÓ INTÉZKEDÉSEK
III. FEJEZET
INTÉZMÉNYKÖZI KIBERBIZTONSÁGI TESTÜLET
IV. FEJEZET
CERT-EU
V. FEJEZET
EGYÜTTMŰKÖDÉSI ÉS JELENTÉSTÉTELI KÖTELEZETTSÉGEK
VI. FEJEZET
ZÁRÓ RENDELKEZÉSEK
- uniós szervezetek
- hálózati és információs rendszer
- hálózati és információs rendszerek biztonsága
- kiberbiztonság
- legmagasabb vezetői szint
- majdnem bekövetkezett (near miss) esemény
- biztonsági esemény
- súlyos biztonsági esemény
- nagyszabású kiberbiztonsági esemény
- biztonsági esemény kezelése
- kiberfenyegetés
- jelentős kiberfenyegetés
- sérülékenység
- kiberbiztonsági kockázat
- felhőszolgáltatás
- cert-eu 48
- kiberbiztonsági 18
- uniós_szervezetek 17
- a 15
- vonatkozó 14
- iicb 13
- alapján 13
- szolgáltatási 12
- által 10
- vagy 10
- valamint 9
- hogy 9
- jóváhagyja 8
- biztonsági_események 8
- kell 8
- említett 7
- beleértve 7
- vezetőjének 7
- információkat 7
- rendelet 7
- vezetője 7
- uniós 7
- szolgáltatások 6
- szintre 6
- nyomon 6
- való 6
- adott 6
- esetben 6
- javaslata 6
- számára 6
- cikk 6
- súlyos 5
- összhangban 5
- éves 5
- uniós_szervezeteket 5
- megállapodások 5
- technikai 5
- európai 5
- pénzügyi 5
- annak 4
- szervezet 4
- következő 4
- szintű 4
- érdekében 4
- követi 4
- figyelembe 4
- jelentést 4
- vonatkozóan 4
- kapcsolatos 4
- releváns 4
11. cikk
Az IICB feladatai
Feladatainak ellátása során az IICB különösen:
a) | iránymutatást nyújt a CERT-EU vezetője számára; |
b) | hatékonyan nyomon követi és felügyeli e rendelet végrehajtását, valamint támogatja az uniós_szervezeteket kiberbiztonságuk megerősítésében, beleértve adott esetben eseti jelentések kérését az uniós_szervezetektől és a CERT-EU-tól; |
c) | stratégiai megbeszélést követően többéves stratégiát fogad el az uniós_szervezetek kiberbiztonsági szintjének növelésére, és azt rendszeresen, de legalább ötévente értékeli és szükség esetén módosítja; |
d) | meghatározza az uniós_szervezetek által végzett önkéntes szakértői értékelések módszertanát és szervezeti vonatkozásait a közös tapasztalatokból való tanulás, a kölcsönös bizalom megerősítése, az egységesen magas szintű kiberbiztonság elérése, valamint az uniós_szervezetek kiberbiztonsági képességeinek javítása érdekében, biztosítva, hogy az ilyen szakértői értékeléseket a felülvizsgálat tárgyát képező uniós szervezettől eltérő uniós szervezet által kijelölt kiberbiztonsági szakértők végezzék, és hogy a módszertan az (EU) 2022/2555 irányelv 19. cikkén alapuljon, és adott esetben igazodjon az uniós_szervezetekhez; |
e) | a CERT-EU vezetőjének javaslata alapján jóváhagyja a CERT-EU éves munkaprogramját és nyomon követi annak végrehajtását; |
f) | a CERT-EU vezetőjének javaslata alapján jóváhagyja a CERT-EU szolgáltatási katalógusát és annak frissítéseit; |
g) | a CERT-EU vezetőjének javaslata alapján jóváhagyja a CERT-EU tevékenységeinek bevételeire és kiadásaira vonatkozó éves pénzügyi tervet, beleértve a személyzetre vonatkozót is; |
h) | a CERT-EU vezetőjének javaslata alapján jóváhagyja a szolgáltatási szintre vonatkozó megállapodásokra vonatkozó szabályokat; |
i) | megvizsgálja és jóváhagyja a CERT-EU vezetője által készített, a CERT-EU tevékenységeiről és pénzeszközeinek kezeléséről szóló éves jelentést; |
j) | jóváhagyja és nyomon követi a CERT-EU vezetőjének javaslata alapján a CERT-EU-ra vonatkozóan meghatározott fő teljesítménymutatókat (KPI-k); |
k) | jóváhagyja a CERT-EU és más szervezetek közötti, a 18. cikk szerinti együttműködési megállapodásokat, szolgáltatási szintre vonatkozó megállapodásokat vagy szerződéseket; |
l) | a CERT-EU javaslata alapján a 14. cikkel összhangban iránymutatásokat és ajánlásokat fogad el, és utasítja a CERT-EU-t, hogy adjon ki, vonjon vissza vagy módosítson valamely, iránymutatásokra vagy ajánlásokra irányuló javaslatot, illetve cselekvési felhívást; |
m) | az IICB munkájának támogatásához technikai tanácsadó csoportokat hoz létre konkrét feladatokkal, jóváhagyja azok megbízatását, és kinevezi azok elnökeit; |
n) | fogadja és értékeli az uniós_szervezetek által e rendelet alapján benyújtott dokumentumokat és jelentéseket, például a kiberbiztonsági érettségi értékeléseket; |
o) | az e rendelet végrehajtásával kapcsolatos bevált gyakorlatok és információk cseréje céljából az ENISA támogatásával elősegíti az uniós_szervezetek helyi kiberbiztonsági tisztviselőiből álló informális csoport létrehozását; |
p) | figyelembe véve a CERT-EU által az azonosított kiberbiztonsági kockázatokra és levont tanulságokra vonatkozóan szolgáltatott információkat, nyomon követi az uniós_szervezetek IKT-környezete közötti összekapcsolhatósági megállapodások megfelelőségét, és tanácsot ad a lehetséges fejlesztésekre vonatkozóan; |
q) | kiberbiztonsági válságkezelési tervet hoz létre az uniós_szervezeteket érintő súlyos biztonsági_események koordinált kezelésének operatív szintű támogatása, valamint a releváns információk rendszeres cseréjéhez való hozzájárulás céljából, különös tekintettel a súlyos biztonsági_események hatásaira és súlyosságára, valamint hatásai mérséklésének lehetséges módjaira; |
r) | koordinálja az egyes uniós_szervezetek 9. cikk (2) bekezdésében említett kiberbiztonsági válságkezelési terveinek elfogadását; |
s) | az (EU) 2022/2555 irányelv 22. cikkében említett, a kritikus ellátási láncokra vonatkozó összehangolt uniós szintű biztonsági kockázatértékelések eredményeit figyelembe véve a 8. cikk (2) bekezdése első albekezdésének m) pontjában említett, az ellátási lánc biztonságára vonatkozó ajánlásokat fogad el annak érdekében, hogy támogassa az uniós_szervezeteket a hatékony és arányos kiberbiztonsági kockázatkezelési intézkedések elfogadásában. |
13. cikk
A CERT-EU küldetése és feladatai
(1) A CERT-EU küldetése, hogy hozzájáruljon az uniós_szervezetek nem minősített IKT-környezetének biztonságához azáltal, hogy kiberbiztonsági tanácsadást nyújt számukra, segíti a biztonsági_események megelőzését, észlelését, kezelését, mérséklését, az azokra való reagálást és az azokat követő helyreállítást, valamint azáltal, hogy a kiberbiztonsági információcsere és a biztonsági_eseményekre való reagálás koordinációs központjaként működik.
(2) A CERT-EU információkat gyűjt a nem minősített IKT-infrastruktúrát érintő kiberfenyegetésekről, sérülékenységekről és biztonsági_eseményekről, ezeket az információkat kezeli és elemzi, valamint megosztja az uniós_szervezetekkel. Intézményközi szinten és az uniós_szervezetek szintjén koordinálja a biztonsági_eseményekre való reagálást, ideértve konkrét operatív segítségnyújtás biztosítását vagy koordinálását is.
(3) A CERT-EU a következő feladatokat látja el az uniós_szervezetek támogatása érdekében:
a) | támogatja őket e rendelet végrehajtásában, és a 14. cikk (1) bekezdésében felsorolt intézkedések vagy az IICB által kért eseti jelentések révén hozzájárul e rendelet végrehajtásának koordinálásához; |
b) | az uniós_szervezetek számára szabványos CSIRT-szolgáltatásokat kínál a szolgáltatási katalógusában ismertetett kiberbiztonsági szolgáltatáscsomag eszközei által (a továbbiakban: alapszolgáltatások); |
c) | hálózatot tart fenn a hasonló szervezetekkel és partnerekkel a 17. és 18. cikkben vázolt szolgáltatások támogatása érdekében; |
d) | felhívja az IICB figyelmét az e rendelet végrehajtásával, valamint az iránymutatások, ajánlások és cselekvési felhívások végrehajtásával kapcsolatos bármely problémára; |
e) | a (2) bekezdésben említett információk alapján az ENISA-val szorosan együttműködve hozzájárul az Unió kiberbiztonsági helyzetismeretéhez; |
f) | koordinálja a súlyos biztonsági_események kezelését; |
g) | az (EU) 2022/2555 irányelv 12. cikkének (1) bekezdése szerint a sérülékenységek összehangolt közzététele céljából kijelölt koordinátorral egyenértékűként eljár az uniós_szervezetek részéről; |
h) | valamely uniós szervezet kérésére proaktív, behatolásmentes átvilágítást végez az adott uniós szervezet nyilvánosan hozzáférhető hálózati_és_információs_rendszerein. |
Az első albekezdés e) pontjában említett információkat adott esetben, megfelelő titoktartási feltételek mellett kell megosztani az IICB-vel, a CSIRT-ek hálózatával és az Európai Unió Helyzetelemző Központjával (EU INTCEN).
(4) A CERT-EU a 17. vagy adott esetben a 18. cikkel összhangban együttműködhet az Unión és tagállamain belüli releváns kiberbiztonsági közösségekkel, többek között a következő területeken:
a) | felkészültség, biztonsági_események koordinálása, információcsere és válságreagálás technikai szinten az uniós_szervezetekkel kapcsolatos ügyekben; |
b) | operatív együttműködés a CSIRT-ek hálózatával, többek között a kölcsönös segítségnyújtással kapcsolatban; |
c) | kiberfenyegetettségi információk, beleértve a helyzetismeretet; |
d) | a CERT-EU technikai kiberbiztonsági szakértelmét igénylő bármely téma. |
(5) Hatáskörén belül a CERT-EU az (EU) 2019/881 rendelettel összhangban strukturált együttműködést folytat az ENISA-val a kapacitásépítés, az operatív együttműködés és a kiberfenyegetések hosszú távú stratégiai elemzése terén. A CERT-EU együttműködhet és információt cserélhet az Europol Kiberbűnözés Elleni Európai Központjával.
(6) A CERT-EU a szolgáltatáskatalógusában nem szereplő következő szolgáltatásokat (a továbbiakban: díjköteles szolgáltatások) nyújthatja:
a) | a (3) bekezdésben említettektől eltérő, az uniós_szervezetek IKT-környezetének kiberbiztonságát támogató szolgáltatások, a szolgáltatási szintre vonatkozó megállapodások alapján és a rendelkezésre álló erőforrások függvényében, különösen a hálózatok széles spektrumú nyomon követése, beleértve a súlyos kiberfenyegetések a hét minden napján, napi 24 órában történő közvetlen nyomon követését is; |
b) | olyan szolgáltatások, amelyek írásbeli megállapodások alapján és az IICB előzetes jóváhagyásával támogatják az uniós_szervezetek kiberbiztonsági műveleteit vagy projektjeit, kivéve azokat, amelyek IKT-környezetük védelmét szolgálják; |
c) | kérésre az érintett uniós szervezet hálózati_és_információs_rendszereinek proaktív átvilágítása a potenciálisan jelentős hatással bíró sérülékenységek felderítése érdekében; |
d) | írásbeli megállapodások alapján és az IICB előzetes jóváhagyásával az uniós_szervezetektől eltérő olyan szervezetek számára nyújtott, IKT-környezetük biztonságát támogató szolgáltatások, amelyek szorosan együttműködnek az uniós_szervezetekkel, például az uniós jog által rájuk ruházott feladatok vagy felelősségi körök teljesítése révén. |
Az első albekezdés d) pontja tekintetében a CERT-EU kivételes esetben, az IICB előzetes jóváhagyásával az uniós_szervezeteken kívüli egyéb szervezetekkel is köthet szolgáltatási szintre vonatkozó megállapodásokat.
(7) A CERT-EU – adott esetben az ENISA-val szoros együttműködésben – kiberbiztonsági gyakorlatokat szervez, és részt vehet azokban, vagy ajánlhatja a meglévő gyakorlatokban való részvételt az uniós_szervezetek kiberbiztonsági szintjének tesztelése céljából.
(8) A CERT-EU segítséget nyújthat az uniós_szervezeteknek az EU-minősített adatokat kezelő hálózati_és_információs_rendszerekben előforduló biztonsági_események tekintetében, amennyiben az érintett uniós_szervezetek erre saját eljárásaikkal összhangban kifejezetten felkérik. A CERT-EU által e bekezdés alapján nyújtott segítség nem érinti a minősített adatok védelmére vonatkozó alkalmazandó szabályokat.
(9) A CERT-EU tájékoztatja az uniós_szervezeteket a biztonsági_események kezelésére szolgáló eljárásairól és folyamatairól.
(10) A CERT-EU a megfelelő együttműködési mechanizmusokon és jelentési útvonalakon keresztül magas szintű titoktartás és megbízhatóság mellett szolgáltat releváns és anonimizált információkat a súlyos biztonsági_eseményekről és azok kezelésének módjáról. Ezeket az információkat bele kell foglalni a 10. cikk (14) bekezdésében említett jelentésbe.
(11) A CERT-EU az európai adatvédelmi biztossal együttműködve támogatja az érintett uniós_szervezeteket a személyes adatok megsértéséhez vezető biztonsági_események kezelésében, az európai adatvédelmi biztosnak az (EU) 2018/1725 rendelet szerinti felügyeleti hatóságként fennálló hatáskörének és feladatainak sérelme nélkül.
(12) Ha az uniós_szervezetek szakpolitikai részlegei azt kifejezetten kérik, a CERT-EU technikai tanácsot adhat vagy technikai véleményt nyilváníthat releváns szakpolitikai kérdésekben.
15. cikk
A CERT-EU vezetője
(1) A Bizottság az IICB tagjai kétharmados többségének jóváhagyását követően kinevezi a CERT-EU vezetőjét. A kinevezési eljárás minden szakaszában konzultálni kell az IICB-vel, különösen az állással kapcsolatos álláshirdetések megszövegezése, a pályázatok vizsgálata és a felvételi bizottságok kinevezése során. A kiválasztási eljárásnak – beleértve azon előválogatott jelöltek végleges listáját is, akik közül a CERT-EU vezetőjét ki kell nevezni – biztosítania kell az egyes nemek méltányos képviseletét, figyelembe véve a benyújtott pályázatokat.
(2) A CERT-EU vezetője – hatáskörén belül, az IICB irányítása alapján eljárva – felelős a CERT-EU megfelelő működéséért. A CERT-EU vezetője rendszeresen jelentést tesz a IICB elnökének és kérésre ad hoc jelentéseket nyújt be az IICB-nek.
(3) A CERT-EU vezetőjének segítenie kell a megbízott, engedélyezésre jogosult felelős tisztviselőt abban, hogy az (EU, Euratom) 2018/1046 európai parlamenti és tanácsi rendelet (9) 74. cikke (9) bekezdésének megfelelően elkészítse a kontrollok eredményeit is magukban foglaló pénzügyi és igazgatási információkat tartalmazó éves tevékenységi jelentést, és rendszeresen be kell számolnia a megbízott, engedélyezésre jogosult tisztviselő számára azon intézkedések végrehajtásáról, amelyekre vonatkozóan hatásköröket ruháztak tovább a CERT-EU vezetőjére.
(4) A CERT-EU vezetője évente elkészíti a tevékenységeihez kapcsolódó igazgatási bevételek és kiadások pénzügyi tervezését, a javasolt éves munkaprogramot, a CERT-EU számára javasolt szolgáltatási katalógust, a szolgáltatási katalógus javasolt felülvizsgálatát, a szolgáltatási szintre vonatkozó megállapodások szabályaira vonatkozó javaslatot és a CERT-EU fő teljesítménymutatóira vonatkozó javaslatát, amelyeket a IICB a 11. cikkel összhangban hagy jóvá. A CERT-EU szolgáltatási katalógusában szereplő szolgáltatások jegyzékének felülvizsgálatakor a CERT-EU vezetőjének figyelembe kell vennie a CERT-EU számára allokált erőforrásokat.
(5) A CERT-EU vezetője legalább évente jelentést nyújt be az IICB-nek és az IICB elnökének a CERT-EU referencia-időszak alatti tevékenységeiről és teljesítményéről, többek között a költségvetés végrehajtásáról, a szolgáltatási szintre vonatkozó megállapodásokról és a megkötött írásbeli megállapodásokról, a hasonló szervezetekkel és partnerekkel folytatott együttműködésről, valamint a személyzet által végzett küldetésekről, beleértve a 11. cikkben említett jelentéseket is. E jelentések tartalmazzák a következő időszakra vonatkozó munkaprogramot, a bevételek és kiadások pénzügyi tervezését, beleértve a személyi állományt, a CERT-EU szolgáltatási katalógusának tervezett frissítéseit, valamint annak értékelését, hogy ezek a frissítések milyen várható hatást gyakorolhatnak a pénzügyi és emberi erőforrásokra.
whereas