keyboard_tab Cyber Resilience Act 2023/2841 HU
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 6. cikk Kiberbiztonsági kockázatkezelési, -irányítási és -ellenőrzési keretrendszer
- 1 13. cikk A CERT-EU küldetése és feladatai
- 1 19. cikk Információkezelés
I. FEJEZET
ÁLTALÁNOS RENDELKEZÉSEK
II. FEJEZET
A KIBERBIZTONSÁG EGYSÉGESEN MAGAS SZINTJÉRE IRÁNYULÓ INTÉZKEDÉSEK
III. FEJEZET
INTÉZMÉNYKÖZI KIBERBIZTONSÁGI TESTÜLET
IV. FEJEZET
CERT-EU
V. FEJEZET
EGYÜTTMŰKÖDÉSI ÉS JELENTÉSTÉTELI KÖTELEZETTSÉGEK
VI. FEJEZET
ZÁRÓ RENDELKEZÉSEK
- uniós szervezetek
- hálózati és információs rendszer
- hálózati és információs rendszerek biztonsága
- kiberbiztonság
- legmagasabb vezetői szint
- majdnem bekövetkezett (near miss) esemény
- biztonsági esemény
- súlyos biztonsági esemény
- nagyszabású kiberbiztonsági esemény
- biztonsági esemény kezelése
- kiberfenyegetés
- jelentős kiberfenyegetés
- sérülékenység
- kiberbiztonsági kockázat
- felhőszolgáltatás
- kiberbiztonsági 24
- cert-eu 21
- uniós 16
- kell 16
- vagy 15
- uniós_szervezetek 14
- szervezet 13
- a 13
- rendelet 12
- alapján 9
- hogy 8
- esetben 8
- érintett 7
- cikk 6
- vonatkozó 6
- biztonsági_események 6
- adott 6
- helyi 6
- által 6
- valamint 6
- beleértve 5
- szolgáltatások 5
- végrehajtásával 5
- európai 5
- információkat 5
- említett 5
- kapcsolatos 5
- való 5
- iicb 5
- egyes 5
- minden 5
- keretrendszernek 4
- szintű 4
- uniós_szervezeteknek 4
- ezeket 4
- szolgáltatási 4
- amelyek 4
- tekintetében 4
- keretrendszer 4
- nélkül 4
- alkalmazandó 4
- az 4
- technikai 4
- uniós_szervezetekkel 4
- továbbiakban: 4
- szerinti 4
- minősített 4
- azok 3
- érdekében 3
- szintre 3
6. cikk
Kiberbiztonsági kockázatkezelési, -irányítási és -ellenőrzési keretrendszer
(1) 2025. április 8-ig minden uniós szervezet a kezdeti kiberbiztonsági felülvizsgálat, például audit elvégzését követően belső kiberbiztonsági kockázatkezelési, -irányítási és -ellenőrzési keretrendszert (a továbbiakban: a keretrendszer) hoz létre. A keretrendszer létrehozását az uniós szervezet legmagasabb_vezetői_szintje felügyeli és annak felelősségi körébe tartozik.
(2) A keretrendszernek ki kell terjednie az érintett uniós szervezet teljes nem minősített IKT-környezetére, beleértve a helyszíni IKT-környezetet, a helyszíni működő technológiai hálózatot (OT-rendszer), a felhőalapú számítástechnikai környezetben működő vagy harmadik felek által üzemeltetett, kiszervezett eszközöket és szolgáltatásokat, a mobil eszközöket, a vállalati hálózatokat, az internethez nem kapcsolódó üzleti hálózatokat és az e környezetekhez (a továbbiakban: az IKT-környezet) kapcsolódó eszközöket. A keretrendszernek minden veszélyre kiterjedő megközelítésen kell alapulnia.
(3) A keretrendszernek magas szintű kiberbiztonságot kell biztosítania. A keretrendszer meghatározza a hálózati_és_információs_rendszerek biztonságára vonatkozó belső kiberbiztonsági politikákat, beleértve a célkitűzéseket és prioritásokat, valamint az uniós szervezet e rendelet hatékony végrehajtásának biztosításával megbízott személyzetének szerepét és felelősségi körét. A keretrendszernek tartalmaznia kell a végrehajtás hatékonyságának mérésére szolgáló mechanizmusokat is.
(4) A keretrendszert a változó kiberbiztonsági kockázatok fényében rendszeresen, de legalább négyévente felül kell vizsgálni. Adott esetben és a 10. cikk alapján létrehozott Intézményközi Kiberbiztonsági Testület kérését követően az uniós szervezet keretrendszerét frissíteni lehet a CERT-EU-nak az e rendelet rendelkezéseinek végrehajtása során azonosított biztonsági_eseményekre vagy esetleges hiányosságokra vonatkozó iránymutatása alapján.
(5) Az egyes uniós_szervezetek legmagasabb_vezetői_szintje felel e rendelet végrehajtásáért, és felügyeli, hogy szervezete megfeleljen a keretrendszerrel kapcsolatos kötelezettségeknek.
(6) Adott esetben és az e rendelet végrehajtásával kapcsolatos felelősségének sérelme nélkül, az egyes uniós_szervezetek legmagasabb_vezetői_szintje az e rendelet szerinti konkrét kötelezettségeket átruházhatja a személyzeti szabályzat 29. cikkének (2) bekezdése értelmében vett rangidős tisztviselőkre vagy az érintett uniós szervezeten belüli egyéb azonos szintű tisztviselőkre. Az ilyen átruházástól függetlenül a legmagasabb_vezetői_szint felelősségre vonható e rendeletnek az érintett uniós szervezet általi megsértéséért.
(7) Minden uniós szervezetnek hatékony mechanizmusokkal kell rendelkeznie annak biztosítására, hogy az IKT-költségvetés megfelelő százalékát a kiberbiztonságra fordítsák. Az említett százalékos arány meghatározásakor kellően figyelembe kell venni a keretrendszert.
(8) Minden uniós szervezet helyi kiberbiztonsági tisztviselőt vagy azzal egyenértékű funkciót nevez ki, aki a kiberbiztonság valamennyi vonatkozása tekintetében egyedüli kapcsolattartó pontjaként jár el. A helyi kiberbiztonsági tisztviselő elősegíti e rendelet végrehajtását, és rendszeresen beszámol közvetlenül a legmagasabb_vezetői_szintnek a végrehajtás állásáról. Annak sérelme nélkül, hogy a helyi kiberbiztonsági tisztviselő az egyes uniós_szervezeteken belül az egyedüli kapcsolattartó pont, az uniós_szervezetek a köztük és a CERT-EU között létrejött, szolgáltatási szintre vonatkozó megállapodás alapján átruházhatják a CERT-EU-ra a helyi kiberbiztonsági tisztviselő e rendelet végrehajtásával kapcsolatos bizonyos feladatait, vagy ezeket a feladatokat több uniós szervezet megoszthatja. Amennyiben ezeket a feladatokat a CERT-EU-ra ruházzák, a 10. cikk alapján létrehozott Intézményközi Kiberbiztonsági Testületnek kell döntenie arról, hogy e szolgáltatás nyújtása részét képezi-e a CERT-EU alapszolgáltatásainak, figyelembe véve az érintett uniós szervezet emberi és pénzügyi erőforrásait. Az egyes uniós_szervezeteknek indokolatlan késedelem nélkül értesíteniük kell a CERT-EU-t a kinevezett helyi kiberbiztonsági tisztviselőkről és a személyükben történő minden későbbi változásról.
A CERT-EU-nak létre kell hoznia és naprakészen kell tartania a kinevezett helyi kiberbiztonsági tisztviselők jegyzékét.
(9) Az egyes uniós_szervezeteknek a személyzeti szabályzat 29. cikkének (2) bekezdése értelmében vett rangidős tisztviselői vagy egyéb azonos szintű tisztviselői, valamint a személyzetnek az e rendeletben meghatározott kiberbiztonsági kockázatkezelési intézkedések végrehajtásával és kötelezettségek betartásával megbízott tagjai rendszeresen külön képzéseken vesznek részt azon ismeretek és készségek elsajátítása érdekében, amelyek a kiberbiztonsági kockázatok és irányítási gyakorlatok, valamint az azok által az uniós szervezet működésére gyakorolt hatások megismeréséhez és értékeléséhez szükségesek.
13. cikk
A CERT-EU küldetése és feladatai
(1) A CERT-EU küldetése, hogy hozzájáruljon az uniós_szervezetek nem minősített IKT-környezetének biztonságához azáltal, hogy kiberbiztonsági tanácsadást nyújt számukra, segíti a biztonsági_események megelőzését, észlelését, kezelését, mérséklését, az azokra való reagálást és az azokat követő helyreállítást, valamint azáltal, hogy a kiberbiztonsági információcsere és a biztonsági_eseményekre való reagálás koordinációs központjaként működik.
(2) A CERT-EU információkat gyűjt a nem minősített IKT-infrastruktúrát érintő kiberfenyegetésekről, sérülékenységekről és biztonsági_eseményekről, ezeket az információkat kezeli és elemzi, valamint megosztja az uniós_szervezetekkel. Intézményközi szinten és az uniós_szervezetek szintjén koordinálja a biztonsági_eseményekre való reagálást, ideértve konkrét operatív segítségnyújtás biztosítását vagy koordinálását is.
(3) A CERT-EU a következő feladatokat látja el az uniós_szervezetek támogatása érdekében:
a) | támogatja őket e rendelet végrehajtásában, és a 14. cikk (1) bekezdésében felsorolt intézkedések vagy az IICB által kért eseti jelentések révén hozzájárul e rendelet végrehajtásának koordinálásához; |
b) | az uniós_szervezetek számára szabványos CSIRT-szolgáltatásokat kínál a szolgáltatási katalógusában ismertetett kiberbiztonsági szolgáltatáscsomag eszközei által (a továbbiakban: alapszolgáltatások); |
c) | hálózatot tart fenn a hasonló szervezetekkel és partnerekkel a 17. és 18. cikkben vázolt szolgáltatások támogatása érdekében; |
d) | felhívja az IICB figyelmét az e rendelet végrehajtásával, valamint az iránymutatások, ajánlások és cselekvési felhívások végrehajtásával kapcsolatos bármely problémára; |
e) | a (2) bekezdésben említett információk alapján az ENISA-val szorosan együttműködve hozzájárul az Unió kiberbiztonsági helyzetismeretéhez; |
f) | koordinálja a súlyos biztonsági_események kezelését; |
g) | az (EU) 2022/2555 irányelv 12. cikkének (1) bekezdése szerint a sérülékenységek összehangolt közzététele céljából kijelölt koordinátorral egyenértékűként eljár az uniós_szervezetek részéről; |
h) | valamely uniós szervezet kérésére proaktív, behatolásmentes átvilágítást végez az adott uniós szervezet nyilvánosan hozzáférhető hálózati_és_információs_rendszerein. |
Az első albekezdés e) pontjában említett információkat adott esetben, megfelelő titoktartási feltételek mellett kell megosztani az IICB-vel, a CSIRT-ek hálózatával és az Európai Unió Helyzetelemző Központjával (EU INTCEN).
(4) A CERT-EU a 17. vagy adott esetben a 18. cikkel összhangban együttműködhet az Unión és tagállamain belüli releváns kiberbiztonsági közösségekkel, többek között a következő területeken:
a) | felkészültség, biztonsági_események koordinálása, információcsere és válságreagálás technikai szinten az uniós_szervezetekkel kapcsolatos ügyekben; |
b) | operatív együttműködés a CSIRT-ek hálózatával, többek között a kölcsönös segítségnyújtással kapcsolatban; |
c) | kiberfenyegetettségi információk, beleértve a helyzetismeretet; |
d) | a CERT-EU technikai kiberbiztonsági szakértelmét igénylő bármely téma. |
(5) Hatáskörén belül a CERT-EU az (EU) 2019/881 rendelettel összhangban strukturált együttműködést folytat az ENISA-val a kapacitásépítés, az operatív együttműködés és a kiberfenyegetések hosszú távú stratégiai elemzése terén. A CERT-EU együttműködhet és információt cserélhet az Europol Kiberbűnözés Elleni Európai Központjával.
(6) A CERT-EU a szolgáltatáskatalógusában nem szereplő következő szolgáltatásokat (a továbbiakban: díjköteles szolgáltatások) nyújthatja:
a) | a (3) bekezdésben említettektől eltérő, az uniós_szervezetek IKT-környezetének kiberbiztonságát támogató szolgáltatások, a szolgáltatási szintre vonatkozó megállapodások alapján és a rendelkezésre álló erőforrások függvényében, különösen a hálózatok széles spektrumú nyomon követése, beleértve a súlyos kiberfenyegetések a hét minden napján, napi 24 órában történő közvetlen nyomon követését is; |
b) | olyan szolgáltatások, amelyek írásbeli megállapodások alapján és az IICB előzetes jóváhagyásával támogatják az uniós_szervezetek kiberbiztonsági műveleteit vagy projektjeit, kivéve azokat, amelyek IKT-környezetük védelmét szolgálják; |
c) | kérésre az érintett uniós szervezet hálózati_és_információs_rendszereinek proaktív átvilágítása a potenciálisan jelentős hatással bíró sérülékenységek felderítése érdekében; |
d) | írásbeli megállapodások alapján és az IICB előzetes jóváhagyásával az uniós_szervezetektől eltérő olyan szervezetek számára nyújtott, IKT-környezetük biztonságát támogató szolgáltatások, amelyek szorosan együttműködnek az uniós_szervezetekkel, például az uniós jog által rájuk ruházott feladatok vagy felelősségi körök teljesítése révén. |
Az első albekezdés d) pontja tekintetében a CERT-EU kivételes esetben, az IICB előzetes jóváhagyásával az uniós_szervezeteken kívüli egyéb szervezetekkel is köthet szolgáltatási szintre vonatkozó megállapodásokat.
(7) A CERT-EU – adott esetben az ENISA-val szoros együttműködésben – kiberbiztonsági gyakorlatokat szervez, és részt vehet azokban, vagy ajánlhatja a meglévő gyakorlatokban való részvételt az uniós_szervezetek kiberbiztonsági szintjének tesztelése céljából.
(8) A CERT-EU segítséget nyújthat az uniós_szervezeteknek az EU-minősített adatokat kezelő hálózati_és_információs_rendszerekben előforduló biztonsági_események tekintetében, amennyiben az érintett uniós_szervezetek erre saját eljárásaikkal összhangban kifejezetten felkérik. A CERT-EU által e bekezdés alapján nyújtott segítség nem érinti a minősített adatok védelmére vonatkozó alkalmazandó szabályokat.
(9) A CERT-EU tájékoztatja az uniós_szervezeteket a biztonsági_események kezelésére szolgáló eljárásairól és folyamatairól.
(10) A CERT-EU a megfelelő együttműködési mechanizmusokon és jelentési útvonalakon keresztül magas szintű titoktartás és megbízhatóság mellett szolgáltat releváns és anonimizált információkat a súlyos biztonsági_eseményekről és azok kezelésének módjáról. Ezeket az információkat bele kell foglalni a 10. cikk (14) bekezdésében említett jelentésbe.
(11) A CERT-EU az európai adatvédelmi biztossal együttműködve támogatja az érintett uniós_szervezeteket a személyes adatok megsértéséhez vezető biztonsági_események kezelésében, az európai adatvédelmi biztosnak az (EU) 2018/1725 rendelet szerinti felügyeleti hatóságként fennálló hatáskörének és feladatainak sérelme nélkül.
(12) Ha az uniós_szervezetek szakpolitikai részlegei azt kifejezetten kérik, a CERT-EU technikai tanácsot adhat vagy technikai véleményt nyilváníthat releváns szakpolitikai kérdésekben.
19. cikk
Információkezelés
(1) Az uniós_szervezeteknek és a CERT-EU-nak tiszteletben kell tartaniuk az EUMSZ 339. cikke vagy az azzal egyenértékű alkalmazandó keretrendszerek szerinti szakmai titoktartási kötelezettséget.
(2) Az 1049/2001/EK európai parlamenti és tanácsi rendelet (10) alkalmazandó a CERT-EU birtokában lévő dokumentumokhoz való nyilvános hozzáférés iránti kérelmekre, beleértve az említett rendelet szerinti azon kötelezettséget is, hogy minden olyan esetben, amikor a kérelem azok dokumentumaira vonatkozik, konzultálni kell más uniós_szervezetekkel vagy adott esetben a tagállamokkal.
(3) Az uniós_szervezetek és a CERT-EU általi információkezelésnek meg kell felelnie az információbiztonság tekintetében alkalmazandó szabályoknak.
whereas