keyboard_tab Cyber Resilience Act 2023/2841 HU
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 8. cikk Kiberbiztonsági kockázatkezelési intézkedések
- 1 13. cikk A CERT-EU küldetése és feladatai
- 2 15. cikk A CERT-EU vezetője
- 1 22. cikk A biztonsági eseményekre való reagálás koordinálása és az azokkal kapcsolatos együttműködés
- 1 24. cikk Kezdeti költségvetési átcsoportosítás
I. FEJEZET
ÁLTALÁNOS RENDELKEZÉSEK
II. FEJEZET
A KIBERBIZTONSÁG EGYSÉGESEN MAGAS SZINTJÉRE IRÁNYULÓ INTÉZKEDÉSEK
III. FEJEZET
INTÉZMÉNYKÖZI KIBERBIZTONSÁGI TESTÜLET
IV. FEJEZET
CERT-EU
V. FEJEZET
EGYÜTTMŰKÖDÉSI ÉS JELENTÉSTÉTELI KÖTELEZETTSÉGEK
VI. FEJEZET
ZÁRÓ RENDELKEZÉSEK
- uniós szervezetek
- hálózati és információs rendszer
- hálózati és információs rendszerek biztonsága
- kiberbiztonság
- legmagasabb vezetői szint
- majdnem bekövetkezett (near miss) esemény
- biztonsági esemény
- súlyos biztonsági esemény
- nagyszabású kiberbiztonsági esemény
- biztonsági esemény kezelése
- kiberfenyegetés
- jelentős kiberfenyegetés
- sérülékenység
- kiberbiztonsági kockázat
- felhőszolgáltatás
- cert-eu 41
- kiberbiztonsági 25
- uniós_szervezetek 17
- a 17
- vonatkozó 16
- kell 16
- valamint 14
- való 13
- vagy 12
- beleértve 12
- iicb 11
- adott 11
- biztonsági_események 10
- esetben 10
- szolgáltatási 9
- uniós 9
- említett 9
- cikk 8
- kapcsolatos 8
- számára 7
- biztonsági_eseményekre 7
- hogy 7
- alapján 7
- intézkedések 7
- következő 6
- által 6
- szervezet 6
- információkat 6
- szolgáltatások 6
- európai 6
- rendelet 6
- technikai 6
- megfelelő 6
- biztonságos 5
- érdekében 5
- pénzügyi 5
- uniós_szervezeteknek 5
- enisa-val 5
- összhangban 5
- vezetője 5
- figyelembe 5
- között 4
- releváns 4
- erőforrások 4
- egyes 4
- révén 4
- reagálás 4
- többek 4
- operatív 4
- kiberfenyegetések 4
8. cikk
Kiberbiztonsági kockázatkezelési intézkedések
(1) Indokolatlan késedelem nélkül, de legkésőbb 2025. szeptember 8-ig az egyes uniós_szervezeteknek – a legmagasabb_vezetői_szintjük felügyelete mellett – meg kell hozniuk a keretrendszer keretében azonosított kiberbiztonsági kockázatok kezeléséhez, valamint a biztonsági_események megelőzéséhez vagy hatásuk minimálisra csökkentéséhez szükséges megfelelő és arányos technikai, működési és szervezeti intézkedéseket. Figyelembe véve a legkorszerűbb és adott esetben a vonatkozó európai és nemzetközi szabványokat, ezeknek az intézkedéseknek biztosítaniuk kell a hálózati_és_információs_rendszerek biztonságának a felmerülő kiberbiztonsági kockázatokkal arányos szintjét az IKT-környezet egészében. Az említett intézkedések arányosságának értékelésekor kellően figyelembe kell venni az uniós szervezet kiberbiztonsági kockázatoknak való kitettségének mértékét, a szervezet méretét, a biztonsági_események bekövetkeztének valószínűségét és azok súlyosságát, beleértve társadalmi, gazdasági és intézményközi hatásukat is.
(2) Az uniós_szervezeteknek a kiberbiztonsági kockázatkezelési intézkedések végrehajtása során legalább a következő területekkel foglalkozniuk kell:
| a) | kiberbiztonsági szakpolitika, beleértve a 6. cikkben és az e cikk (3) bekezdésében említett célok és prioritások eléréséhez szükséges intézkedéseket; |
| b) | kiberbiztonsági kockázatelemzési és az informatikai rendszerek biztonságára vonatkozó szakpolitikák; |
| c) | a felhőszolgáltatások használatára vonatkozó szakpolitikai célok; |
| d) | adott esetben kiberbiztonsági audit, amely magában foglalhatja a kiberbiztonsági kockázat, a sérülékenység és a kiberfenyegetések értékelését, valamint egy megbízható magánszolgáltató által rendszeresen végzett behatolási tesztelést; |
| e) | a d) pontban említett kiberbiztonsági auditokból eredő ajánlások végrehajtása kiberbiztonsági frissítések és a szakpolitikák frissítése révén; |
| f) | a kiberbiztonság megszervezése, beleértve a szerepek és feladatkörök meghatározását is; |
| g) | eszközkezelés, beleértve az IKT-eszközök leltárát és az IKT-hálózatok feltérképezését; |
| h) | az emberi erőforrások biztonsága és a hozzáférés ellenőrzése; |
| i) | üzembiztonság; |
| j) | kommunikációs biztonság; |
| k) | a rendszerek beszerzése, fejlesztése és karbantartása, beleértve a sérülékenységkezelésre és -feltárásra vonatkozó politikákat; |
| l) | ahol lehetséges, a forráskód átláthatóságára vonatkozó politikák; |
| m) | az ellátási lánc biztonsága, beleértve az egyes uniós_szervezetek és közvetlen beszállítóik vagy szolgáltatóik közötti kapcsolatok biztonsági vonatkozásait is; |
| n) | biztonsági_események kezelése és együttműködés a CERT-EU-val, például a biztonsági nyomonkövetés és a naplózás fenntartása; |
| o) | az üzletmenet-folytonosság kezelése, például tartalékrendszerek kezelése, valamint katasztrófa utáni helyreállítás és válságkezelés; valamint |
| p) | a kiberbiztonsággal kapcsolatos oktatási, készségfejlesztő, tudatosságnövelő, gyakorlati és képzési programok előmozdítása és kidolgozása. |
Az első albekezdés m) pontjának alkalmazásában az uniós_szervezeteknek figyelembe kell venniük az egyes közvetlen beszállítókra és szolgáltatókra jellemző sérülékenységeket, valamint a beszállítóik és szolgáltatóik termékeinek és kiberbiztonsági gyakorlatainak – többek között biztonságos fejlesztési eljárásaiknak – az általános minőségét.
(3) Az uniós_szervezeteknek meg kell hozniuk legalább a következő konkrét kiberbiztonsági kockázatkezelési intézkedéseket:
| a) | a távmunka lehetővé tételét és fenntartását szolgáló műszaki intézkedések; |
| b) | konkrét lépések a zéró bizalom alapelvei felé történő elmozdulás érdekében; |
| c) | a többtényezős hitelesítés mint norma használata a hálózati_és_információs_rendszerekben; |
| d) | kriptográfia és titkosítás, különösen végponttól végpontig terjedő titkosítás, valamint biztonságos digitális aláírás használata; |
| e) | adott esetben biztonságos hang-, video- és szöveges kommunikáció, valamint biztonságos vészhelyzeti kommunikációs rendszerek használata az uniós szervezeten belül; |
| f) | a rosszindulatú szoftverek és kémszoftverek felderítésére és eltávolítására irányuló proaktív intézkedések; |
| g) | a szoftverellátási lánc biztonságának megteremtése a biztonságos szoftverfejlesztésre és -értékelésre vonatkozó kritériumok révén; |
| h) | az uniós szervezet legmagasabb_vezetői_szintje és az e rendelet hatékony végrehajtásának biztosításával megbízott személyzete tagjai számára a számukra előírt feladatoknak és a tőlük elvárt képességeknek megfelelő kiberbiztonsági képzési tantervek kidolgozása és elfogadása; |
| i) | a személyzet tagjainak rendszeres kiberbiztonsági képzése; |
| j) | adott esetben részvétel az uniós_szervezetek összekapcsoltságával összefüggő kockázatok elemzésében; |
| k) | a közbeszerzési szabályok javítása a kiberbiztonság egységesen magas szintjének elősegítése érdekében a következők révén:
|
13. cikk
A CERT-EU küldetése és feladatai
(1) A CERT-EU küldetése, hogy hozzájáruljon az uniós_szervezetek nem minősített IKT-környezetének biztonságához azáltal, hogy kiberbiztonsági tanácsadást nyújt számukra, segíti a biztonsági_események megelőzését, észlelését, kezelését, mérséklését, az azokra való reagálást és az azokat követő helyreállítást, valamint azáltal, hogy a kiberbiztonsági információcsere és a biztonsági_eseményekre való reagálás koordinációs központjaként működik.
(2) A CERT-EU információkat gyűjt a nem minősített IKT-infrastruktúrát érintő kiberfenyegetésekről, sérülékenységekről és biztonsági_eseményekről, ezeket az információkat kezeli és elemzi, valamint megosztja az uniós_szervezetekkel. Intézményközi szinten és az uniós_szervezetek szintjén koordinálja a biztonsági_eseményekre való reagálást, ideértve konkrét operatív segítségnyújtás biztosítását vagy koordinálását is.
(3) A CERT-EU a következő feladatokat látja el az uniós_szervezetek támogatása érdekében:
| a) | támogatja őket e rendelet végrehajtásában, és a 14. cikk (1) bekezdésében felsorolt intézkedések vagy az IICB által kért eseti jelentések révén hozzájárul e rendelet végrehajtásának koordinálásához; |
| b) | az uniós_szervezetek számára szabványos CSIRT-szolgáltatásokat kínál a szolgáltatási katalógusában ismertetett kiberbiztonsági szolgáltatáscsomag eszközei által (a továbbiakban: alapszolgáltatások); |
| c) | hálózatot tart fenn a hasonló szervezetekkel és partnerekkel a 17. és 18. cikkben vázolt szolgáltatások támogatása érdekében; |
| d) | felhívja az IICB figyelmét az e rendelet végrehajtásával, valamint az iránymutatások, ajánlások és cselekvési felhívások végrehajtásával kapcsolatos bármely problémára; |
| e) | a (2) bekezdésben említett információk alapján az ENISA-val szorosan együttműködve hozzájárul az Unió kiberbiztonsági helyzetismeretéhez; |
| f) | koordinálja a súlyos biztonsági_események kezelését; |
| g) | az (EU) 2022/2555 irányelv 12. cikkének (1) bekezdése szerint a sérülékenységek összehangolt közzététele céljából kijelölt koordinátorral egyenértékűként eljár az uniós_szervezetek részéről; |
| h) | valamely uniós szervezet kérésére proaktív, behatolásmentes átvilágítást végez az adott uniós szervezet nyilvánosan hozzáférhető hálózati_és_információs_rendszerein. |
Az első albekezdés e) pontjában említett információkat adott esetben, megfelelő titoktartási feltételek mellett kell megosztani az IICB-vel, a CSIRT-ek hálózatával és az Európai Unió Helyzetelemző Központjával (EU INTCEN).
(4) A CERT-EU a 17. vagy adott esetben a 18. cikkel összhangban együttműködhet az Unión és tagállamain belüli releváns kiberbiztonsági közösségekkel, többek között a következő területeken:
| a) | felkészültség, biztonsági_események koordinálása, információcsere és válságreagálás technikai szinten az uniós_szervezetekkel kapcsolatos ügyekben; |
| b) | operatív együttműködés a CSIRT-ek hálózatával, többek között a kölcsönös segítségnyújtással kapcsolatban; |
| c) | kiberfenyegetettségi információk, beleértve a helyzetismeretet; |
| d) | a CERT-EU technikai kiberbiztonsági szakértelmét igénylő bármely téma. |
(5) Hatáskörén belül a CERT-EU az (EU) 2019/881 rendelettel összhangban strukturált együttműködést folytat az ENISA-val a kapacitásépítés, az operatív együttműködés és a kiberfenyegetések hosszú távú stratégiai elemzése terén. A CERT-EU együttműködhet és információt cserélhet az Europol Kiberbűnözés Elleni Európai Központjával.
(6) A CERT-EU a szolgáltatáskatalógusában nem szereplő következő szolgáltatásokat (a továbbiakban: díjköteles szolgáltatások) nyújthatja:
| a) | a (3) bekezdésben említettektől eltérő, az uniós_szervezetek IKT-környezetének kiberbiztonságát támogató szolgáltatások, a szolgáltatási szintre vonatkozó megállapodások alapján és a rendelkezésre álló erőforrások függvényében, különösen a hálózatok széles spektrumú nyomon követése, beleértve a súlyos kiberfenyegetések a hét minden napján, napi 24 órában történő közvetlen nyomon követését is; |
| b) | olyan szolgáltatások, amelyek írásbeli megállapodások alapján és az IICB előzetes jóváhagyásával támogatják az uniós_szervezetek kiberbiztonsági műveleteit vagy projektjeit, kivéve azokat, amelyek IKT-környezetük védelmét szolgálják; |
| c) | kérésre az érintett uniós szervezet hálózati_és_információs_rendszereinek proaktív átvilágítása a potenciálisan jelentős hatással bíró sérülékenységek felderítése érdekében; |
| d) | írásbeli megállapodások alapján és az IICB előzetes jóváhagyásával az uniós_szervezetektől eltérő olyan szervezetek számára nyújtott, IKT-környezetük biztonságát támogató szolgáltatások, amelyek szorosan együttműködnek az uniós_szervezetekkel, például az uniós jog által rájuk ruházott feladatok vagy felelősségi körök teljesítése révén. |
Az első albekezdés d) pontja tekintetében a CERT-EU kivételes esetben, az IICB előzetes jóváhagyásával az uniós_szervezeteken kívüli egyéb szervezetekkel is köthet szolgáltatási szintre vonatkozó megállapodásokat.
(7) A CERT-EU – adott esetben az ENISA-val szoros együttműködésben – kiberbiztonsági gyakorlatokat szervez, és részt vehet azokban, vagy ajánlhatja a meglévő gyakorlatokban való részvételt az uniós_szervezetek kiberbiztonsági szintjének tesztelése céljából.
(8) A CERT-EU segítséget nyújthat az uniós_szervezeteknek az EU-minősített adatokat kezelő hálózati_és_információs_rendszerekben előforduló biztonsági_események tekintetében, amennyiben az érintett uniós_szervezetek erre saját eljárásaikkal összhangban kifejezetten felkérik. A CERT-EU által e bekezdés alapján nyújtott segítség nem érinti a minősített adatok védelmére vonatkozó alkalmazandó szabályokat.
(9) A CERT-EU tájékoztatja az uniós_szervezeteket a biztonsági_események kezelésére szolgáló eljárásairól és folyamatairól.
(10) A CERT-EU a megfelelő együttműködési mechanizmusokon és jelentési útvonalakon keresztül magas szintű titoktartás és megbízhatóság mellett szolgáltat releváns és anonimizált információkat a súlyos biztonsági_eseményekről és azok kezelésének módjáról. Ezeket az információkat bele kell foglalni a 10. cikk (14) bekezdésében említett jelentésbe.
(11) A CERT-EU az európai adatvédelmi biztossal együttműködve támogatja az érintett uniós_szervezeteket a személyes adatok megsértéséhez vezető biztonsági_események kezelésében, az európai adatvédelmi biztosnak az (EU) 2018/1725 rendelet szerinti felügyeleti hatóságként fennálló hatáskörének és feladatainak sérelme nélkül.
(12) Ha az uniós_szervezetek szakpolitikai részlegei azt kifejezetten kérik, a CERT-EU technikai tanácsot adhat vagy technikai véleményt nyilváníthat releváns szakpolitikai kérdésekben.
15. cikk
A CERT-EU vezetője
(1) A Bizottság az IICB tagjai kétharmados többségének jóváhagyását követően kinevezi a CERT-EU vezetőjét. A kinevezési eljárás minden szakaszában konzultálni kell az IICB-vel, különösen az állással kapcsolatos álláshirdetések megszövegezése, a pályázatok vizsgálata és a felvételi bizottságok kinevezése során. A kiválasztási eljárásnak – beleértve azon előválogatott jelöltek végleges listáját is, akik közül a CERT-EU vezetőjét ki kell nevezni – biztosítania kell az egyes nemek méltányos képviseletét, figyelembe véve a benyújtott pályázatokat.
(2) A CERT-EU vezetője – hatáskörén belül, az IICB irányítása alapján eljárva – felelős a CERT-EU megfelelő működéséért. A CERT-EU vezetője rendszeresen jelentést tesz a IICB elnökének és kérésre ad hoc jelentéseket nyújt be az IICB-nek.
(3) A CERT-EU vezetőjének segítenie kell a megbízott, engedélyezésre jogosult felelős tisztviselőt abban, hogy az (EU, Euratom) 2018/1046 európai parlamenti és tanácsi rendelet (9) 74. cikke (9) bekezdésének megfelelően elkészítse a kontrollok eredményeit is magukban foglaló pénzügyi és igazgatási információkat tartalmazó éves tevékenységi jelentést, és rendszeresen be kell számolnia a megbízott, engedélyezésre jogosult tisztviselő számára azon intézkedések végrehajtásáról, amelyekre vonatkozóan hatásköröket ruháztak tovább a CERT-EU vezetőjére.
(4) A CERT-EU vezetője évente elkészíti a tevékenységeihez kapcsolódó igazgatási bevételek és kiadások pénzügyi tervezését, a javasolt éves munkaprogramot, a CERT-EU számára javasolt szolgáltatási katalógust, a szolgáltatási katalógus javasolt felülvizsgálatát, a szolgáltatási szintre vonatkozó megállapodások szabályaira vonatkozó javaslatot és a CERT-EU fő teljesítménymutatóira vonatkozó javaslatát, amelyeket a IICB a 11. cikkel összhangban hagy jóvá. A CERT-EU szolgáltatási katalógusában szereplő szolgáltatások jegyzékének felülvizsgálatakor a CERT-EU vezetőjének figyelembe kell vennie a CERT-EU számára allokált erőforrásokat.
(5) A CERT-EU vezetője legalább évente jelentést nyújt be az IICB-nek és az IICB elnökének a CERT-EU referencia-időszak alatti tevékenységeiről és teljesítményéről, többek között a költségvetés végrehajtásáról, a szolgáltatási szintre vonatkozó megállapodásokról és a megkötött írásbeli megállapodásokról, a hasonló szervezetekkel és partnerekkel folytatott együttműködésről, valamint a személyzet által végzett küldetésekről, beleértve a 11. cikkben említett jelentéseket is. E jelentések tartalmazzák a következő időszakra vonatkozó munkaprogramot, a bevételek és kiadások pénzügyi tervezését, beleértve a személyi állományt, a CERT-EU szolgáltatási katalógusának tervezett frissítéseit, valamint annak értékelését, hogy ezek a frissítések milyen várható hatást gyakorolhatnak a pénzügyi és emberi erőforrásokra.
22. cikk
A biztonsági_eseményekre való reagálás koordinálása és az azokkal kapcsolatos együttműködés
(1) Kiberbiztonsági információcsere- és eseményreagálási koordinációs központként eljárva a CERT-EU elősegíti a biztonsági_eseményekre, kiberfenyegetésekre, sérülékenységekre és majdnem_bekövetkezett_(near_miss)_eseményekre vonatkozó információcserét az alábbiak között:
| a) | az uniós_szervezetek; |
| b) | a 17. és a 18. cikkben említett partnerek. |
(2) A CERT-EU-nak – adott esetben az ENISA-val szorosan együttműködve – elő kell segítenie az uniós_szervezetek közötti koordinációt a biztonsági_eseményekre való reagálás terén, beleértve a következőket:
| a) | hozzájárulás az egységes külső kommunikációhoz; |
| b) | kölcsönös támogatás, például az uniós_szervezetek számára releváns információk megosztása vagy adott esetben közvetlen helyszíni segítségnyújtás; |
| c) | az operatív erőforrások optimális felhasználása; |
| d) | koordináció más uniós szintű válságreagálási mechanizmusokkal. |
(3) A CERT-EU az ENISA-val szorosan együttműködve támogatja az uniós_szervezeteket a biztonsági_eseményekkel, kiberfenyegetésekkel, sérülékenységekkel és majdnem_bekövetkezett_(near_miss)_eseményekkel kapcsolatos helyzetismeret kialakításában, valamint a kiberbiztonság területén bekövetkezett fontos fejlemények megosztásában.
(4) Az IICB-nek 2025. január 8-ig, a CERT-EU ajánlása alapján iránymutatásokat vagy ajánlásokat kell elfogadnia a jelentős biztonsági_eseményekre való reagálás koordinálásáról és az azokkal kapcsolatos együttműködésről. Amennyiben egy biztonsági_esemény büntetőjogi jellege gyanítható, a CERT-EU tanácsot ad arra vonatkozóan, hogy miként kell indokolatlan késedelem nélkül bejelenteni a biztonsági_eseményt a bűnüldöző hatóságoknak.
(5) Valamely tagállam egyedi kérésére és az érintett uniós_szervezetek jóváhagyásával a CERT-EU az (EU) 2022/2555 irányelv 15. cikke (3) bekezdésének g) pontjával összhangban felkérheti a 23. cikk (4) bekezdésében említett jegyzékben szereplő szakértőket, hogy járuljanak hozzá az adott tagállamban hatást gyakorló súlyos biztonsági_eseményre vagy egy nagyszabású kiberbiztonsági eseményre való reagáláshoz. Az IICB a CERT EU javaslatára egyedi szabályokat hagy jóvá az uniós_szervezetek technikai szakértőihez való hozzáférésre és azok igénybevételére vonatkozóan.
24. cikk
Kezdeti költségvetési átcsoportosítás
A CERT-EU megfelelő és stabil működésének biztosítása érdekében a Bizottság javasolhatja a személyzeti és pénzügyi erőforrások átcsoportosítását a Bizottság költségvetésébe a CERT-EU műveleteiben való felhasználás céljából. Az átcsoportosítás az e rendelet hatálybalépését követően elfogadott első uniós éves költségvetéssel egy időben lép hatályba.
whereas