keyboard_tab Cyber Resilience Act 2023/2841 HU
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 4. cikk A személyes adatok kezelése
- 1 10. cikk Intézményközi Kiberbiztonsági Testület
- 1 17. cikk A CERT-EU és a tagállami partnerek közötti együttműködés
I. FEJEZET
ÁLTALÁNOS RENDELKEZÉSEK
II. FEJEZET
A KIBERBIZTONSÁG EGYSÉGESEN MAGAS SZINTJÉRE IRÁNYULÓ INTÉZKEDÉSEK
III. FEJEZET
INTÉZMÉNYKÖZI KIBERBIZTONSÁGI TESTÜLET
IV. FEJEZET
CERT-EU
V. FEJEZET
EGYÜTTMŰKÖDÉSI ÉS JELENTÉSTÉTELI KÖTELEZETTSÉGEK
VI. FEJEZET
ZÁRÓ RENDELKEZÉSEK
- uniós szervezetek
- hálózati és információs rendszer
- hálózati és információs rendszerek biztonsága
- kiberbiztonság
- legmagasabb vezetői szint
- majdnem bekövetkezett (near miss) esemény
- biztonsági esemény
- súlyos biztonsági esemény
- nagyszabású kiberbiztonsági esemény
- biztonsági esemény kezelése
- kiberfenyegetés
- jelentős kiberfenyegetés
- sérülékenység
- kiberbiztonsági kockázat
- felhőszolgáltatás
- iicb 23
- cert-eu 17
- vagy 13
- uniós 13
- európai 13
- az 12
- cikk 11
- hogy 10
- kell 10
- alapján 10
- érintett 9
- cikke 8
- kiberbiztonsági 8
- szerinti 7
- létrehozott 7
- uniós_szervezetek 7
- említett 7
- személyes 6
- összhangban 6
- eu / irányelv 5
- adatok 5
- eljárási 5
- szervezet 5
- a 5
- rendelet 5
- intézményközi 4
- biztonsági_események 4
- bizottság 4
- nélkül 4
- kijelölt 4
- szerint 4
- elnök 4
- euan 4
- által 4
- belső 4
- vonatkozó 4
- tagállami 4
- testület 4
- csak 4
- valamint 4
- képviselők 3
- biztonsági_esemény 3
- unió 3
- információkat 3
- szabályzatával 3
- általi 3
- közötti 3
- tagjainak 3
- rendelet 3
- érdekében 3
4. cikk
A személyes adatok kezelése
(1) A személyes adatok e rendelet szerinti, a CERT-EU, a 10. cikk alapján létrehozott Intézményközi Kiberbiztonsági Testület és az uniós_szervezetek általi kezelését az (EU) 2018/1725 rendelettel összhangban kell végezni.
(2) Amennyiben az e rendelet szerinti feladatokat látnak el vagy kötelezettségeket teljesítenek, a CERT-EU, a 10. cikk alapján létrehozott Intézményközi Kiberbiztonsági Testület és az uniós_szervezetek csak az említett feladatok ellátásához vagy kötelezettségek teljesítéséhez szükséges mértékben és kizárólag abból a célból kezelhetnek és cserélhetnek személyes adatokat.
(3) A személyes adatok különleges kategóriáinak az (EU) 2018/1725 rendelet 10. cikkének (1) bekezdésében említett kezelését az említett rendelet 10. cikke (2) bekezdésének g) pontja értelmében jelentős közérdek miatt szükségesnek kell tekinteni. Ezeket az adatokat csak a 6. és a 8. cikkben említett kiberbiztonsági kockázatkezelési intézkedések végrehajtásához, a CERT-EU által a 13. cikk alapján nyújtott szolgáltatásokhoz, a biztonsági_eseményekre vonatkozó információknak a 17. cikk (3) bekezdése és a 18. cikk (3) bekezdése szerinti megosztásához, a 20. cikk szerinti információmegosztáshoz, a 21. cikk szerinti jelentéstételi kötelezettségekhez, a biztonsági_eseményekre való reagálás 22. cikk szerinti koordinálásához és az ezzel kapcsolatos együttműködéshez, valamint a súlyos biztonsági_események e rendelet 23. cikke szerinti kezeléséhez szükséges mértékben lehet kezelni. Az uniós_szervezeteknek és a CERT-EU-nak, amikor adatkezelőként járnak el, technikai intézkedéseket kell alkalmazniuk a személyes adatok különleges kategóriái más célból történő kezelésének megelőzése érdekében, és megfelelő és konkrét intézkedésekről kell rendelkezniük az érintettek alapvető jogainak és érdekeinek védelme érdekében.
II. FEJEZET
A KIBERBIZTONSÁG EGYSÉGESEN MAGAS SZINTJÉRE IRÁNYULÓ INTÉZKEDÉSEK
10. cikk
Intézményközi Kiberbiztonsági Testület
(1) Létrejön az Intézményközi Kiberbiztonsági Testület (a továbbiakban: az IICB).
(2) Az IICB felelős az alábbiakért:
| a) | e rendelet uniós_szervezetek általi végrehajtásának nyomon követése és támogatása; |
| b) | az általános prioritások és célkitűzések CERT-EU általi végrehajtásának felügyelete és stratégiai irányítás biztosítása a CERT-EU számára. |
(3) Az IICB tagjai a következők:
| a) | az alábbiak mindegyike által kinevezett egy-egy képviselő:
|
| b) | három képviselő, akiket az uniós ügynökségek hálózata (a továbbiakban: az EUAN) jelöl ki IKT-tanácsadó bizottságának javaslata alapján az a) pontban említettektől eltérő, saját IKT-környezetüket működtető uniós szervek, hivatalok és ügynökségek érdekeinek képviseletére. |
Az IICB-ben képviselt uniós_szervezetek törekednek arra, hogy a kijelölt képviselők körében megvalósuljon a nemek közötti egyensúly.
(4) Az IICB tagjainak munkáját póttag segítheti. Az elnök meghívhatja a (3) bekezdésben említett uniós_szervezetek vagy más uniós_szervezetek egyéb képviselőit, hogy szavazati jog nélkül részt vegyenek az IICB ülésein.
(5) A CERT-EU vezetője, valamint az (EU) 2022/2555 irányelv 14., 15. és 16. cikke alapján létrehozott együttműködési csoport, a CSIRT-ek hálózata és az EU-CyCLONe elnökei vagy az őket helyettesítő póttagok megfigyelőként részt vehetnek az IICB ülésein. Kivételes esetekben és az IICB – belső eljárási szabályzatával összhangban – másként határozhat.
(6) Az IICB elfogadja saját belső eljárási szabályzatát.
(7) Az IICB – belső eljárási szabályzatával összhangban – a tagjai közül hároméves időtartamra elnököt jelöl ki. Az elnököt helyettesítő póttag ugyanezen időtartamra az IICB teljes jogú tagjává válik.
(8) Az IICB az elnök kezdeményezésére, illetve a CERT-EU-nak vagy bármely tagjának kérésére évente legalább háromszor ülésezik.
(9) Az IICB minden tagja egy szavazattal rendelkezik. Amennyiben e rendelet másként nem rendelkezik, az IICB határozatait egyszerű többséggel hozza meg. Az IICB elnöke csak szavazategyenlőség esetén szavazhat, amelynek során az elnök döntő szavazatot adhat le.
(10) Az IICB a belső eljárási szabályzatával összhangban kezdeményezett egyszerűsített írásbeli eljárás keretében járhat el. Ezen eljárás szerint a vonatkozó határozatot az elnök által meghatározott határidőn belül elfogadottnak kell tekinteni, kivéve, ha valamely tag kifogást emel ellene.
(11) Az IICB titkárságát a Bizottság biztosítja, és az az IICB elnökének tartozik felelősséggel.
(12) Az EUAN által kijelölt képviselők továbbítják az IICB határozatait az EUAN tagjainak. Az EUAN bármely tagja jogosult az említett képviselők vagy az IICB elnöke elé terjeszteni minden olyan ügyet, amelyet megítélése szerint az IICB tudomására kell hozni.
(13) Az IICB létrehozhat egy végrehajtó bizottságot, amely segíti munkáját, és bizonyos feladatait és hatásköreit átruházhatja rá. Az IICB megállapítja a végrehajtó bizottság eljárási szabályzatát, beleértve annak feladatait és hatásköreit, valamint tagjainak hivatali idejét.
(14) Az IICB 2025. január 8-ig, majd azt követően évente jelentést nyújt be az Európai Parlamentnek és a Tanácsnak, amelyben részletezi az e rendelet végrehajtása terén elért eredményeket, és különösen a CERT-EU és az egyes tagállamokban található tagállami partnerei közötti együttműködés mértékét. A jelentés hozzájárul az uniós kiberbiztonsági helyzetről az (EU) 2022/2555 irányelv 18. cikke alapján elfogadott, kétévente kiadandó jelentéshez.
17. cikk
A CERT-EU és a tagállami partnerek közötti együttműködés
(1) A CERT-EU indokolatlan késedelem nélkül együttműködik és információcserét folytat a tagállami partnerekkel, különösen az (EU) 2022/2555 irányelv 10. cikke alapján kijelölt vagy létrehozott CSIRT-ekkel, vagy adott esetben az említett irányelv 8. cikke szerint kijelölt vagy létrehozott illetékes hatóságokkal és egyedüli kapcsolattartó pontokkal a biztonsági_események, a kiberfenyegetések, a sérülékenységek, a majdnem_bekövetkezett_(near_miss)_események, a lehetséges ellenintézkedések és a bevált gyakorlatok, valamint az uniós_szervezetek IKT-környezetei védelmének javítása szempontjából releváns valamennyi kérdés tekintetében, többek között az (EU) 2022/2555 irányelv 15. cikke alapján létrehozott CSIRT-hálózaton keresztül. A CERT-EU támogatja a Bizottságot a nagyszabású kiberbiztonsági események és válsághelyzetek összehangolt kezeléséről szóló (EU) 2022/2555 irányelv 16. cikke alapján létrehozott EU-CyCLONe-ban.
(2) Amennyiben a CERT-EU valamely tagállam területén bekövetkező jelentős biztonsági_eseményről szerez tudomást, az (1) bekezdéssel összhangban haladéktalanul értesíti az érintett partnert az adott tagállamban.
(3) A CERT-EU – feltéve, hogy a személyes adatok az alkalmazandó uniós adatvédelmi joggal összhangban védelemben részesülnek – indokolatlan késedelem nélkül, az érintett uniós szervezet beleegyezése nélkül megosztja a releváns biztonságiesemény-specifikus információkat a hasonló kiberfenyegetések vagy biztonsági_események felderítésének megkönnyítése vagy a biztonsági_esemény elemzéséhez való hozzájárulás érdekében a tagállami partnerekkel. A CERT-EU az olyan biztonságiesemény-specifikus információkat, amelyek feltárják a biztonsági_esemény célpontját csak az alábbiak egyikének fennállása esetén oszthatja meg:
| a) | az érintett uniós szervezet beleegyezését adja; |
| b) | az érintett uniós szervezet nem adja beleegyezését az a) pontban előírtak szerint, de az érintett uniós szervezet kilétének közzététele növelné annak valószínűségét, hogy a máshol bekövetkező biztonsági_eseményeket elkerülnék vagy mérsékelnék; |
| c) | az érintett uniós szervezet már nyilvánosságra hozta, hogy érintett volt. |
A biztonsági_eseményre vonatkozó azon információk cseréjére vonatkozó határozatokat, amelyek az első albekezdés b) pontja alapján feltárják a biztonsági_esemény célpontjának kilétét, a CERT-EU vezetőjének jóvá kell hagynia. Az ilyen határozat kibocsátása előtt a CERT-EU írásban felveszi a kapcsolatot az érintett uniós szervezettel, egyértelműen kifejtve, hogy kilétének nyilvánosságra hozatala hogyan segítené elő máshol a biztonsági_események elkerülését vagy mérséklését. A CERT-EU vezetőjének magyarázatot kell adnia, és kifejezetten fel kell kérnie az uniós szervezetet, hogy meghatározott határidőn belül nyilatkozzon arról, hogy beleegyezik-e ebbe. A CERT-EU vezetője arról is tájékoztatja az uniós szervezetet, hogy az adott magyarázat fényében fenntartja magának a jogot arra, hogy még beleegyezés hiányában is közzétegye az információkat. Az érintett uniós szervezetet az információk közzététele előtt tájékoztatni kell.
whereas