keyboard_tab Cyber Resilience Act 2023/2841 HU

(1)   2024. szeptember 8-ig a 10. cikk alapján létrehozott Intézményközi Kiberbiztonsági Testület az európai Uniós Kiberbiztonsági Ügynökséggel (ENISA) folytatott konzultációt és a CERT-EU iránymutatásának kézhezvételét követően iránymutatásokat ad ki az uniós_szervezeteknek a kezdeti kiberbiztonsági felülvizsgálat elvégzése és a 6. cikk szerinti belső kiberbiztonsági kockázatkezelési, -irányítási és -ellenőrzési keretrendszer létrehozása, a 7. cikk szerinti kiberbiztonsági érettségi értékelések elvégzése, a 8. cikk szerinti kiberbiztonsági kockázatkezelési intézkedések meghozatala, valamint a 9. cikk szerinti kiberbiztonsági terv elfogadása céljából.

(2)   A 6–9. cikk végrehajtása során az uniós_szervezeteknek figyelembe kell venniük az e cikk (1) bekezdésében említett iránymutatásokat, valamint a 11. és a 14. cikk alapján elfogadott vonatkozó iránymutatásokat és ajánlásokat.

(1)   Indokolatlan késedelem nélkül, de legkésőbb 2025. szeptember 8-ig az egyes uniós_szervezeteknek – a legmagasabb_vezetői_szintjük felügyelete mellett – meg kell hozniuk a keretrendszer keretében azonosított kiberbiztonsági kockázatok kezeléséhez, valamint a biztonsági_események megelőzéséhez vagy hatásuk minimálisra csökkentéséhez szükséges megfelelő és arányos technikai, működési és szervezeti intézkedéseket. Figyelembe véve a legkorszerűbb és adott esetben a vonatkozó európai és nemzetközi szabványokat, ezeknek az intézkedéseknek biztosítaniuk kell a hálózati_és_információs_rendszerek biztonságának a felmerülő kiberbiztonsági kockázatokkal arányos szintjét az IKT-környezet egészében. Az említett intézkedések arányosságának értékelésekor kellően figyelembe kell venni az uniós szervezet kiberbiztonsági kockázatoknak való kitettségének mértékét, a szervezet méretét, a biztonsági_események bekövetkeztének valószínűségét és azok súlyosságát, beleértve társadalmi, gazdasági és intézményközi hatásukat is.

(2)   Az uniós_szervezeteknek a kiberbiztonsági kockázatkezelési intézkedések végrehajtása során legalább a következő területekkel foglalkozniuk kell:

a)	kiberbiztonsági szakpolitika, beleértve a 6. cikkben és az e cikk (3) bekezdésében említett célok és prioritások eléréséhez szükséges intézkedéseket;

b)	kiberbiztonsági kockázatelemzési és az informatikai rendszerek biztonságára vonatkozó szakpolitikák;

c)	a felhőszolgáltatások használatára vonatkozó szakpolitikai célok;

d)	adott esetben kiberbiztonsági audit, amely magában foglalhatja a kiberbiztonsági kockázat, a sérülékenység és a kiberfenyegetések értékelését, valamint egy megbízható magánszolgáltató által rendszeresen végzett behatolási tesztelést;

e)	a d) pontban említett kiberbiztonsági auditokból eredő ajánlások végrehajtása kiberbiztonsági frissítések és a szakpolitikák frissítése révén;

f)	a kiberbiztonság megszervezése, beleértve a szerepek és feladatkörök meghatározását is;

g)	eszközkezelés, beleértve az IKT-eszközök leltárát és az IKT-hálózatok feltérképezését;

h)	az emberi erőforrások biztonsága és a hozzáférés ellenőrzése;

i)	üzembiztonság;

j)	kommunikációs biztonság;

k)	a rendszerek beszerzése, fejlesztése és karbantartása, beleértve a sérülékenységkezelésre és -feltárásra vonatkozó politikákat;

l)	ahol lehetséges, a forráskód átláthatóságára vonatkozó politikák;

m)	az ellátási lánc biztonsága, beleértve az egyes uniós_szervezetek és közvetlen beszállítóik vagy szolgáltatóik közötti kapcsolatok biztonsági vonatkozásait is;

n)	biztonsági_események kezelése és együttműködés a CERT-EU-val, például a biztonsági nyomonkövetés és a naplózás fenntartása;

o)	az üzletmenet-folytonosság kezelése, például tartalékrendszerek kezelése, valamint katasztrófa utáni helyreállítás és válságkezelés; valamint

p)	a kiberbiztonsággal kapcsolatos oktatási, készségfejlesztő, tudatosságnövelő, gyakorlati és képzési programok előmozdítása és kidolgozása.

Az első albekezdés m) pontjának alkalmazásában az uniós_szervezeteknek figyelembe kell venniük az egyes közvetlen beszállítókra és szolgáltatókra jellemző sérülékenységeket, valamint a beszállítóik és szolgáltatóik termékeinek és kiberbiztonsági gyakorlatainak – többek között biztonságos fejlesztési eljárásaiknak – az általános minőségét.

(3)   Az uniós_szervezeteknek meg kell hozniuk legalább a következő konkrét kiberbiztonsági kockázatkezelési intézkedéseket:

a)	a távmunka lehetővé tételét és fenntartását szolgáló műszaki intézkedések;

b)	konkrét lépések a zéró bizalom alapelvei felé történő elmozdulás érdekében;

c)	a többtényezős hitelesítés mint norma használata a hálózati_és_információs_rendszerekben;

d)	kriptográfia és titkosítás, különösen végponttól végpontig terjedő titkosítás, valamint biztonságos digitális aláírás használata;

e)	adott esetben biztonságos hang-, video- és szöveges kommunikáció, valamint biztonságos vészhelyzeti kommunikációs rendszerek használata az uniós szervezeten belül;

f)	a rosszindulatú szoftverek és kémszoftverek felderítésére és eltávolítására irányuló proaktív intézkedések;

g)	a szoftverellátási lánc biztonságának megteremtése a biztonságos szoftverfejlesztésre és -értékelésre vonatkozó kritériumok révén;

h)	az uniós szervezet legmagasabb_vezetői_szintje és az e rendelet hatékony végrehajtásának biztosításával megbízott személyzete tagjai számára a számukra előírt feladatoknak és a tőlük elvárt képességeknek megfelelő kiberbiztonsági képzési tantervek kidolgozása és elfogadása;

i)	a személyzet tagjainak rendszeres kiberbiztonsági képzése;

j)	adott esetben részvétel az uniós_szervezetek összekapcsoltságával összefüggő kockázatok elemzésében;

k)

a közbeszerzési szabályok javítása a kiberbiztonság egységesen magas szintjének elősegítése érdekében a következők révén: i. az informatikai szolgáltatók biztonsági_eseményekkel, sérülékenységekkel és kiberfenyegetésekkel kapcsolatos információinak a CERT-EU-val való megosztását korlátozó szerződéses akadályok felszámolása; ii. a biztonsági_események, sérülékenységek és kiberfenyegetések bejelentésére, valamint a biztonsági_eseményekre való reagálási és nyomon követési mechanizmusok bevezetésére vonatkozó szerződéses kötelezettségek.

(1)   Létrejön az Intézményközi Kiberbiztonsági Testület (a továbbiakban: az IICB).

(2)   Az IICB felelős az alábbiakért:

a)	e rendelet uniós_szervezetek általi végrehajtásának nyomon követése és támogatása;

b)	az általános prioritások és célkitűzések CERT-EU általi végrehajtásának felügyelete és stratégiai irányítás biztosítása a CERT-EU számára.

(3)   Az IICB tagjai a következők:

a)

az alábbiak mindegyike által kinevezett egy-egy képviselő: i. az európai Parlament; ii. az európai Tanács; iii. az európai Unió Tanácsa; iv. a Bizottság; v. az európai Unió Bírósága; vi. az európai Központi Bank; vii. a Számvevőszék; viii. az európai Külügyi Szolgálat; ix. az európai Gazdasági és Szociális Bizottság; x. a Régiók európai Bizottsága; xi. az európai Beruházási Bank; xii. az európai Kiberbiztonsági Ipari, Technológiai és Kutatási Kompetenciaközpont; xiii. az ENISA; xiv. az európai adatvédelmi biztos; xv. az európai Unió Űrprogramügynöksége;

b)	három képviselő, akiket az uniós ügynökségek hálózata (a továbbiakban: az EUAN) jelöl ki IKT-tanácsadó bizottságának javaslata alapján az a) pontban említettektől eltérő, saját IKT-környezetüket működtető uniós szervek, hivatalok és ügynökségek érdekeinek képviseletére.

Az IICB-ben képviselt uniós_szervezetek törekednek arra, hogy a kijelölt képviselők körében megvalósuljon a nemek közötti egyensúly.

(4)   Az IICB tagjainak munkáját póttag segítheti. Az elnök meghívhatja a (3) bekezdésben említett uniós_szervezetek vagy más uniós_szervezetek egyéb képviselőit, hogy szavazati jog nélkül részt vegyenek az IICB ülésein.

(5)   A CERT-EU vezetője, valamint az (EU) 2022/2555 irányelv 14., 15. és 16. cikke alapján létrehozott együttműködési csoport, a CSIRT-ek hálózata és az EU-CyCLONe elnökei vagy az őket helyettesítő póttagok megfigyelőként részt vehetnek az IICB ülésein. Kivételes esetekben és az IICB – belső eljárási szabályzatával összhangban – másként határozhat.

(6)   Az IICB elfogadja saját belső eljárási szabályzatát.

(7)   Az IICB – belső eljárási szabályzatával összhangban – a tagjai közül hároméves időtartamra elnököt jelöl ki. Az elnököt helyettesítő póttag ugyanezen időtartamra az IICB teljes jogú tagjává válik.

(8)   Az IICB az elnök kezdeményezésére, illetve a CERT-EU-nak vagy bármely tagjának kérésére évente legalább háromszor ülésezik.

(9)   Az IICB minden tagja egy szavazattal rendelkezik. Amennyiben e rendelet másként nem rendelkezik, az IICB határozatait egyszerű többséggel hozza meg. Az IICB elnöke csak szavazategyenlőség esetén szavazhat, amelynek során az elnök döntő szavazatot adhat le.

(10)   Az IICB a belső eljárási szabályzatával összhangban kezdeményezett egyszerűsített írásbeli eljárás keretében járhat el. Ezen eljárás szerint a vonatkozó határozatot az elnök által meghatározott határidőn belül elfogadottnak kell tekinteni, kivéve, ha valamely tag kifogást emel ellene.

(11)   Az IICB titkárságát a Bizottság biztosítja, és az az IICB elnökének tartozik felelősséggel.

(12)   Az EUAN által kijelölt képviselők továbbítják az IICB határozatait az EUAN tagjainak. Az EUAN bármely tagja jogosult az említett képviselők vagy az IICB elnöke elé terjeszteni minden olyan ügyet, amelyet megítélése szerint az IICB tudomására kell hozni.

(13)   Az IICB létrehozhat egy végrehajtó bizottságot, amely segíti munkáját, és bizonyos feladatait és hatásköreit átruházhatja rá. Az IICB megállapítja a végrehajtó bizottság eljárási szabályzatát, beleértve annak feladatait és hatásköreit, valamint tagjainak hivatali idejét.

(14)   Az IICB 2025. január 8-ig, majd azt követően évente jelentést nyújt be az európai Parlamentnek és a Tanácsnak, amelyben részletezi az e rendelet végrehajtása terén elért eredményeket, és különösen a CERT-EU és az egyes tagállamokban található tagállami partnerei közötti együttműködés mértékét. A jelentés hozzájárul az uniós kiberbiztonsági helyzetről az (EU) 2022/2555 irányelv 18. cikke alapján elfogadott, kétévente kiadandó jelentéshez.

(1)   A CERT-EU küldetése, hogy hozzájáruljon az uniós_szervezetek nem minősített IKT-környezetének biztonságához azáltal, hogy kiberbiztonsági tanácsadást nyújt számukra, segíti a biztonsági_események megelőzését, észlelését, kezelését, mérséklését, az azokra való reagálást és az azokat követő helyreállítást, valamint azáltal, hogy a kiberbiztonsági információcsere és a biztonsági_eseményekre való reagálás koordinációs központjaként működik.

(2)   A CERT-EU információkat gyűjt a nem minősített IKT-infrastruktúrát érintő kiberfenyegetésekről, sérülékenységekről és biztonsági_eseményekről, ezeket az információkat kezeli és elemzi, valamint megosztja az uniós_szervezetekkel. Intézményközi szinten és az uniós_szervezetek szintjén koordinálja a biztonsági_eseményekre való reagálást, ideértve konkrét operatív segítségnyújtás biztosítását vagy koordinálását is.

(3)   A CERT-EU a következő feladatokat látja el az uniós_szervezetek támogatása érdekében:

a)	támogatja őket e rendelet végrehajtásában, és a 14. cikk (1) bekezdésében felsorolt intézkedések vagy az IICB által kért eseti jelentések révén hozzájárul e rendelet végrehajtásának koordinálásához;

b)	az uniós_szervezetek számára szabványos CSIRT-szolgáltatásokat kínál a szolgáltatási katalógusában ismertetett kiberbiztonsági szolgáltatáscsomag eszközei által (a továbbiakban: alapszolgáltatások);

c)	hálózatot tart fenn a hasonló szervezetekkel és partnerekkel a 17. és 18. cikkben vázolt szolgáltatások támogatása érdekében;

d)	felhívja az IICB figyelmét az e rendelet végrehajtásával, valamint az iránymutatások, ajánlások és cselekvési felhívások végrehajtásával kapcsolatos bármely problémára;

e)	a (2) bekezdésben említett információk alapján az ENISA-val szorosan együttműködve hozzájárul az Unió kiberbiztonsági helyzetismeretéhez;

f)	koordinálja a súlyos biztonsági_események kezelését;

g)	az (EU) 2022/2555 irányelv 12. cikkének (1) bekezdése szerint a sérülékenységek összehangolt közzététele céljából kijelölt koordinátorral egyenértékűként eljár az uniós_szervezetek részéről;

h)	valamely uniós szervezet kérésére proaktív, behatolásmentes átvilágítást végez az adott uniós szervezet nyilvánosan hozzáférhető hálózati_és_információs_rendszerein.

Az első albekezdés e) pontjában említett információkat adott esetben, megfelelő titoktartási feltételek mellett kell megosztani az IICB-vel, a CSIRT-ek hálózatával és az európai Unió Helyzetelemző Központjával (EU INTCEN).

(4)   A CERT-EU a 17. vagy adott esetben a 18. cikkel összhangban együttműködhet az Unión és tagállamain belüli releváns kiberbiztonsági közösségekkel, többek között a következő területeken:

a)	felkészültség, biztonsági_események koordinálása, információcsere és válságreagálás technikai szinten az uniós_szervezetekkel kapcsolatos ügyekben;

b)	operatív együttműködés a CSIRT-ek hálózatával, többek között a kölcsönös segítségnyújtással kapcsolatban;

c)	kiberfenyegetettségi információk, beleértve a helyzetismeretet;

d)	a CERT-EU technikai kiberbiztonsági szakértelmét igénylő bármely téma.

(5)   Hatáskörén belül a CERT-EU az (EU) 2019/881 rendelettel összhangban strukturált együttműködést folytat az ENISA-val a kapacitásépítés, az operatív együttműködés és a kiberfenyegetések hosszú távú stratégiai elemzése terén. A CERT-EU együttműködhet és információt cserélhet az Europol Kiberbűnözés Elleni európai Központjával.

(6)   A CERT-EU a szolgáltatáskatalógusában nem szereplő következő szolgáltatásokat (a továbbiakban: díjköteles szolgáltatások) nyújthatja:

a)

a (3) bekezdésben említettektől eltérő, az uniós_szervezetek IKT-környezetének kiberbiztonságát támogató szolgáltatások, a szolgáltatási szintre vonatkozó megállapodások alapján és a rendelkezésre álló erőforrások függvényében, különösen a hálózatok széles spektrumú nyomon követése, beleértve a súlyos kiberfenyegetések a hét minden napján, napi 24 órában történő közvetlen nyomon követését is;

b)	olyan szolgáltatások, amelyek írásbeli megállapodások alapján és az IICB előzetes jóváhagyásával támogatják az uniós_szervezetek kiberbiztonsági műveleteit vagy projektjeit, kivéve azokat, amelyek IKT-környezetük védelmét szolgálják;

c)	kérésre az érintett uniós szervezet hálózati_és_információs_rendszereinek proaktív átvilágítása a potenciálisan jelentős hatással bíró sérülékenységek felderítése érdekében;

d)

írásbeli megállapodások alapján és az IICB előzetes jóváhagyásával az uniós_szervezetektől eltérő olyan szervezetek számára nyújtott, IKT-környezetük biztonságát támogató szolgáltatások, amelyek szorosan együttműködnek az uniós_szervezetekkel, például az uniós jog által rájuk ruházott feladatok vagy felelősségi körök teljesítése révén.

Az első albekezdés d) pontja tekintetében a CERT-EU kivételes esetben, az IICB előzetes jóváhagyásával az uniós_szervezeteken kívüli egyéb szervezetekkel is köthet szolgáltatási szintre vonatkozó megállapodásokat.

(7)   A CERT-EU – adott esetben az ENISA-val szoros együttműködésben – kiberbiztonsági gyakorlatokat szervez, és részt vehet azokban, vagy ajánlhatja a meglévő gyakorlatokban való részvételt az uniós_szervezetek kiberbiztonsági szintjének tesztelése céljából.

(8)   A CERT-EU segítséget nyújthat az uniós_szervezeteknek az EU-minősített adatokat kezelő hálózati_és_információs_rendszerekben előforduló biztonsági_események tekintetében, amennyiben az érintett uniós_szervezetek erre saját eljárásaikkal összhangban kifejezetten felkérik. A CERT-EU által e bekezdés alapján nyújtott segítség nem érinti a minősített adatok védelmére vonatkozó alkalmazandó szabályokat.

(9)   A CERT-EU tájékoztatja az uniós_szervezeteket a biztonsági_események kezelésére szolgáló eljárásairól és folyamatairól.

(10)   A CERT-EU a megfelelő együttműködési mechanizmusokon és jelentési útvonalakon keresztül magas szintű titoktartás és megbízhatóság mellett szolgáltat releváns és anonimizált információkat a súlyos biztonsági_eseményekről és azok kezelésének módjáról. Ezeket az információkat bele kell foglalni a 10. cikk (14) bekezdésében említett jelentésbe.

(11)   A CERT-EU az európai adatvédelmi biztossal együttműködve támogatja az érintett uniós_szervezeteket a személyes adatok megsértéséhez vezető biztonsági_események kezelésében, az európai adatvédelmi biztosnak az (EU) 2018/1725 rendelet szerinti felügyeleti hatóságként fennálló hatáskörének és feladatainak sérelme nélkül.

(12)   Ha az uniós_szervezetek szakpolitikai részlegei azt kifejezetten kérik, a CERT-EU technikai tanácsot adhat vagy technikai véleményt nyilváníthat releváns szakpolitikai kérdésekben.

(1)   A Bizottság az IICB tagjai kétharmados többségének jóváhagyását követően kinevezi a CERT-EU vezetőjét. A kinevezési eljárás minden szakaszában konzultálni kell az IICB-vel, különösen az állással kapcsolatos álláshirdetések megszövegezése, a pályázatok vizsgálata és a felvételi bizottságok kinevezése során. A kiválasztási eljárásnak – beleértve azon előválogatott jelöltek végleges listáját is, akik közül a CERT-EU vezetőjét ki kell nevezni – biztosítania kell az egyes nemek méltányos képviseletét, figyelembe véve a benyújtott pályázatokat.

(2)   A CERT-EU vezetője – hatáskörén belül, az IICB irányítása alapján eljárva – felelős a CERT-EU megfelelő működéséért. A CERT-EU vezetője rendszeresen jelentést tesz a IICB elnökének és kérésre ad hoc jelentéseket nyújt be az IICB-nek.

(3)   A CERT-EU vezetőjének segítenie kell a megbízott, engedélyezésre jogosult felelős tisztviselőt abban, hogy az (EU, Euratom) 2018/1046 európai parlamenti és tanácsi rendelet (9) 74. cikke (9) bekezdésének megfelelően elkészítse a kontrollok eredményeit is magukban foglaló pénzügyi és igazgatási információkat tartalmazó éves tevékenységi jelentést, és rendszeresen be kell számolnia a megbízott, engedélyezésre jogosult tisztviselő számára azon intézkedések végrehajtásáról, amelyekre vonatkozóan hatásköröket ruháztak tovább a CERT-EU vezetőjére.

(4)   A CERT-EU vezetője évente elkészíti a tevékenységeihez kapcsolódó igazgatási bevételek és kiadások pénzügyi tervezését, a javasolt éves munkaprogramot, a CERT-EU számára javasolt szolgáltatási katalógust, a szolgáltatási katalógus javasolt felülvizsgálatát, a szolgáltatási szintre vonatkozó megállapodások szabályaira vonatkozó javaslatot és a CERT-EU fő teljesítménymutatóira vonatkozó javaslatát, amelyeket a IICB a 11. cikkel összhangban hagy jóvá. A CERT-EU szolgáltatási katalógusában szereplő szolgáltatások jegyzékének felülvizsgálatakor a CERT-EU vezetőjének figyelembe kell vennie a CERT-EU számára allokált erőforrásokat.

(5)   A CERT-EU vezetője legalább évente jelentést nyújt be az IICB-nek és az IICB elnökének a CERT-EU referencia-időszak alatti tevékenységeiről és teljesítményéről, többek között a költségvetés végrehajtásáról, a szolgáltatási szintre vonatkozó megállapodásokról és a megkötött írásbeli megállapodásokról, a hasonló szervezetekkel és partnerekkel folytatott együttműködésről, valamint a személyzet által végzett küldetésekről, beleértve a 11. cikkben említett jelentéseket is. E jelentések tartalmazzák a következő időszakra vonatkozó munkaprogramot, a bevételek és kiadások pénzügyi tervezését, beleértve a személyi állományt, a CERT-EU szolgáltatási katalógusának tervezett frissítéseit, valamint annak értékelését, hogy ezek a frissítések milyen várható hatást gyakorolhatnak a pénzügyi és emberi erőforrásokra.

(1)   A CERT-EU-t integrálni kell a Bizottság valamely főigazgatóságának igazgatási struktúrájába annak érdekében, hogy igénybe vehesse a Bizottság igazgatási, pénzgazdálkodási és számviteli támogatási struktúráit, megőrizve ugyanakkor önálló intézményközi szolgáltatói státuszát valamennyi uniós szervezet számára. A Bizottság tájékoztatja az IICB-t a CERT-EU adminisztratív helyszínéről és annak bármely változásáról. A Bizottság a megfelelő intézkedések meghozatala érdekében rendszeresen, de minden esetben az EUMSZ 312. cikke szerinti többéves pénzügyi keret létrehozása előtt felülvizsgálja a CERT-EU-val kapcsolatos igazgatási megállapodásokat. A felülvizsgálatnak ki kell terjednie a CERT-EU uniós hivatalként történő létrehozásának lehetőségére is.

(2)   Az adminisztratív és pénzügyi eljárások tekintetében a CERT-EU vezetője a Bizottság felügyelete és az IICB ellenőrzése alatt jár el.

(3)   A CERT-EU feladatait és tevékenységeit, beleértve a CERT-EU által a 13. cikk (3), (4), (5) és (7) bekezdése, valamint a 14. cikk (1) bekezdése alapján az uniós_szervezeteknek nyújtott, a többéves pénzügyi keret európai közigazgatásra vonatkozó fejezetéből finanszírozott szolgáltatásokat a Bizottság költségvetésének külön költségvetési sorából kell finanszírozni. A CERT-EU számára elkülönített álláshelyeket a Bizottság létszámtervéhez fűzött lábjegyzetben kell részletezni.

(4)   Az e cikk (3) bekezdésében említettektől eltérő uniós_szervezetek éves pénzügyi hozzájárulást nyújtanak a CERT-EU-nak a CERT-EU által az említett bekezdés értelmében nyújtott szolgáltatások fedezésére. A hozzájárulások az IICB által adott iránymutatásokon alapulnak, amelyekről az egyes uniós_szervezetek és a CERT-EU szolgáltatási szintre vonatkozó megállapodásokban állapodnak meg. A hozzájárulások méltányos és arányos részt képviselnek a nyújtott szolgáltatások teljes költségéből. Az összegeket az (EU, Euratom) 2018/1046 rendelet 21. cikke (3) bekezdésének c) pontja szerinti belső címzett bevételként az e cikk (3) bekezdésében említett külön költségvetési sorba kell beszedni.

(5)   A 13. cikk (6) bekezdésében meghatározott szolgáltatások költségeit a CERT-EU szolgáltatásait igénybe vevő uniós_szervezetektől kell beszedni. A bevételeket a költségeket támogató költségvetési sorokhoz kell rendelni.

(1)   Az uniós_szervezeteknek és a CERT-EU-nak tiszteletben kell tartaniuk az EUMSZ 339. cikke vagy az azzal egyenértékű alkalmazandó keretrendszerek szerinti szakmai titoktartási kötelezettséget.

(2)   Az 1049/2001/EK európai parlamenti és tanácsi rendelet (10) alkalmazandó a CERT-EU birtokában lévő dokumentumokhoz való nyilvános hozzáférés iránti kérelmekre, beleértve az említett rendelet szerinti azon kötelezettséget is, hogy minden olyan esetben, amikor a kérelem azok dokumentumaira vonatkozik, konzultálni kell más uniós_szervezetekkel vagy adott esetben a tagállamokkal.

(3)   Az uniós_szervezetek és a CERT-EU általi információkezelésnek meg kell felelnie az információbiztonság tekintetében alkalmazandó szabályoknak.

(1)   Az uniós_szervezetek önkéntes alapon értesíthetik a CERT-EU-t az őket érintő biztonsági_eseményekről, kiberfenyegetésekről, majdnem_bekövetkezett_(near_miss)_eseményekről és sérülékenységekről, és azokról információkat szolgáltathatnak számára. A CERT-EU biztosítja, hogy az uniós_szervezetekkel való információmegosztás megkönnyítése érdekében hatékony, magas szintű nyomon követhetőséget, titkosságot és megbízhatóságot biztosító kommunikációs eszközök álljanak rendelkezésre. Az értesítések feldolgozásakor a CERT-EU előnyben részesítheti a kötelező értesítések feldolgozását az önkéntes értesítésekkel szemben. A 12. cikk sérelme nélkül, az önkéntes értesítés nem eredményezhet olyan további kötelezettségeket az adatszolgáltató uniós szervezet számára, amelyek nem terhelték volna, ha nem nyújtotta volna be az értesítést.

(2)   Annak érdekében, hogy teljesítse a 13. cikkben ráruházott küldetését és feladatait, a CERT-EU felkérheti az uniós_szervezeteket, hogy információkat szolgáltassanak számára IKT rendszereik nyilvántartásaiból, ideértve a kiberfenyegetésekre, a majdnem_bekövetkezett_(near_miss)_eseményekre, a sérülékenységekre, a fertőzöttségi mutatókra (IoC), a kiberbiztonsági figyelmeztetésekre és a biztonsági_események észlelésére szolgáló kiberbiztonsági eszközök konfigurációjára vonatkozó ajánlásokra vonatkozó információkat is. A megkeresett uniós szervezet indokolatlan késedelem nélkül továbbítja a kért információt és annak minden későbbi frissítését is.

(3)   A CERT-EU akkor cserélhet az uniós_szervezetekkel olyan biztonságiesemény-specifikus információkat, amelyek felfedik a biztonsági eseménnyel érintett uniós szervezet kilétét, ha az érintett uniós szervezet abba beleegyezik. Amennyiben egy uniós szervezet megtagadja a beleegyezését, a CERT-EU rendelkezésére kell bocsátania a döntését alátámasztó indokokat.

(4)   Az uniós_szervezeteknek kérésre meg kell osztaniuk az európai Parlamenttel és a Tanáccsal a kiberbiztonsági tervek teljesítésére vonatkozó információkat.

(5)   Az IICB vagy adott esetben a CERT-EU kérésre iránymutatásokat, ajánlásokat és cselekvési felhívásokat oszt meg az európai Parlamenttel és a Tanáccsal.

(6)   Az e cikkben meghatározott megosztási kötelezettségek nem terjednek ki a következőkre:

a)	EU-minősített adatok;

b)	olyan információk, amelyek további terjesztését egy látható jelöléssel kizárták, kivéve, ha kifejezetten engedélyezték azok CERT-EU-val való megosztását.

(1)   2025. január 8-ig, majd azt követően évente az IICB a CERT-EU segítségével jelentést tesz a Bizottságnak e rendelet végrehajtásáról. Az IICB ajánlásokat tehet a Bizottságnak e rendelet felülvizsgálatára.

(2)   A Bizottság 2027. január 8-ig és azt követően kétévente értékeli e rendelet végrehajtását, valamint a stratégiai és operatív szinten szerzett tapasztalatokat, és jelentést nyújt be az európai Parlamentnek és a Tanácsnak.

Az e bekezdés első albekezdésében említett jelentés tartalmazza a 16. cikk (1) bekezdésében említett felülvizsgálatot a CERT-EU uniós hivatalként való létrehozásának lehetőségéről.

(3)   A Bizottság 2029. január 8-ig értékeli e rendelet működését, és jelentést nyújt be az európai Parlamentnek, a Tanácsnak, az európai Gazdasági és Szociális Bizottságnak és a Régiók Bizottságának. A Bizottság azt is értékeli, hogy helyénvaló-e e rendelet hatálya alá vonni az EU-minősített adatokat kezelő hálózati_és_információs_rendszereket, figyelembe véve az e rendszerekre alkalmazandó egyéb uniós jogalkotási aktusokat is. A jelentéshez szükség esetén jogalkotási javaslatot kell csatolni.