keyboard_tab Cyber Resilience Act 2023/2841 HU
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 6. cikk Kiberbiztonsági kockázatkezelési, -irányítási és -ellenőrzési keretrendszer
- 1 7. cikk Kiberbiztonsági érettségi értékelések
- 1 11. cikk Az IICB feladatai
- 2 13. cikk A CERT-EU küldetése és feladatai
- 1 14. cikk Iránymutatások, ajánlások és cselekvési felhívások
- 1 17. cikk A CERT-EU és a tagállami partnerek közötti együttműködés
- 1 18. cikk A CERT-EU együttműködése más partnerekkel
- 1 23. cikk A súlyos biztonsági események kezelése
I. FEJEZET
ÁLTALÁNOS RENDELKEZÉSEK
II. FEJEZET
A KIBERBIZTONSÁG EGYSÉGESEN MAGAS SZINTJÉRE IRÁNYULÓ INTÉZKEDÉSEK
III. FEJEZET
INTÉZMÉNYKÖZI KIBERBIZTONSÁGI TESTÜLET
IV. FEJEZET
CERT-EU
V. FEJEZET
EGYÜTTMŰKÖDÉSI ÉS JELENTÉSTÉTELI KÖTELEZETTSÉGEK
VI. FEJEZET
ZÁRÓ RENDELKEZÉSEK
- uniós szervezetek
- hálózati és információs rendszer
- hálózati és információs rendszerek biztonsága
- kiberbiztonság
- legmagasabb vezetői szint
- majdnem bekövetkezett (near miss) esemény
- biztonsági esemény
- súlyos biztonsági esemény
- nagyszabású kiberbiztonsági esemény
- biztonsági esemény kezelése
- kiberfenyegetés
- jelentős kiberfenyegetés
- sérülékenység
- kiberbiztonsági kockázat
- felhőszolgáltatás
- kiberbiztonsági 56
- cert-eu 53
- uniós 36
- vagy 32
- uniós_szervezetek 31
- kell 27
- hogy 24
- a 23
- alapján 23
- szervezet 23
- vonatkozó 22
- érintett 21
- cikk 20
- biztonsági_események 17
- adott 16
- rendelet 15
- való 15
- esetben 14
- iicb 14
- súlyos 13
- valamint 13
- említett 12
- által 12
- információkat 11
- ilyen 10
- partnerekkel 10
- releváns 9
- annak 9
- nélkül 9
- érdekében 9
- szintű 9
- amelyek 9
- beleértve 8
- létrehozott 8
- technikai 8
- helyi 8
- jóváhagyja 8
- tekintetében 7
- szolgáltatási 7
- érettségi 7
- kapcsolatos 7
- eu / irányelv 7
- vezetőjének 7
- gyakorlatok 7
- egyes 7
- között 7
- információk 7
- céljából 7
- nyomon 6
- az 6
6. cikk
Kiberbiztonsági kockázatkezelési, -irányítási és -ellenőrzési keretrendszer
(1) 2025. április 8-ig minden uniós szervezet a kezdeti kiberbiztonsági felülvizsgálat, például audit elvégzését követően belső kiberbiztonsági kockázatkezelési, -irányítási és -ellenőrzési keretrendszert (a továbbiakban: a keretrendszer) hoz létre. A keretrendszer létrehozását az uniós szervezet legmagasabb_vezetői_szintje felügyeli és annak felelősségi körébe tartozik.
(2) A keretrendszernek ki kell terjednie az érintett uniós szervezet teljes nem minősített IKT-környezetére, beleértve a helyszíni IKT-környezetet, a helyszíni működő technológiai hálózatot (OT-rendszer), a felhőalapú számítástechnikai környezetben működő vagy harmadik felek által üzemeltetett, kiszervezett eszközöket és szolgáltatásokat, a mobil eszközöket, a vállalati hálózatokat, az internethez nem kapcsolódó üzleti hálózatokat és az e környezetekhez (a továbbiakban: az IKT-környezet) kapcsolódó eszközöket. A keretrendszernek minden veszélyre kiterjedő megközelítésen kell alapulnia.
(3) A keretrendszernek magas szintű kiberbiztonságot kell biztosítania. A keretrendszer meghatározza a hálózati_és_információs_rendszerek biztonságára vonatkozó belső kiberbiztonsági politikákat, beleértve a célkitűzéseket és prioritásokat, valamint az uniós szervezet e rendelet hatékony végrehajtásának biztosításával megbízott személyzetének szerepét és felelősségi körét. A keretrendszernek tartalmaznia kell a végrehajtás hatékonyságának mérésére szolgáló mechanizmusokat is.
(4) A keretrendszert a változó kiberbiztonsági kockázatok fényében rendszeresen, de legalább négyévente felül kell vizsgálni. Adott esetben és a 10. cikk alapján létrehozott Intézményközi Kiberbiztonsági Testület kérését követően az uniós szervezet keretrendszerét frissíteni lehet a CERT-EU-nak az e rendelet rendelkezéseinek végrehajtása során azonosított biztonsági_eseményekre vagy esetleges hiányosságokra vonatkozó iránymutatása alapján.
(5) Az egyes uniós_szervezetek legmagasabb_vezetői_szintje felel e rendelet végrehajtásáért, és felügyeli, hogy szervezete megfeleljen a keretrendszerrel kapcsolatos kötelezettségeknek.
(6) Adott esetben és az e rendelet végrehajtásával kapcsolatos felelősségének sérelme nélkül, az egyes uniós_szervezetek legmagasabb_vezetői_szintje az e rendelet szerinti konkrét kötelezettségeket átruházhatja a személyzeti szabályzat 29. cikkének (2) bekezdése értelmében vett rangidős tisztviselőkre vagy az érintett uniós szervezeten belüli egyéb azonos szintű tisztviselőkre. Az ilyen átruházástól függetlenül a legmagasabb_vezetői_szint felelősségre vonható e rendeletnek az érintett uniós szervezet általi megsértéséért.
(7) Minden uniós szervezetnek hatékony mechanizmusokkal kell rendelkeznie annak biztosítására, hogy az IKT-költségvetés megfelelő százalékát a kiberbiztonságra fordítsák. Az említett százalékos arány meghatározásakor kellően figyelembe kell venni a keretrendszert.
(8) Minden uniós szervezet helyi kiberbiztonsági tisztviselőt vagy azzal egyenértékű funkciót nevez ki, aki a kiberbiztonság valamennyi vonatkozása tekintetében egyedüli kapcsolattartó pontjaként jár el. A helyi kiberbiztonsági tisztviselő elősegíti e rendelet végrehajtását, és rendszeresen beszámol közvetlenül a legmagasabb_vezetői_szintnek a végrehajtás állásáról. Annak sérelme nélkül, hogy a helyi kiberbiztonsági tisztviselő az egyes uniós_szervezeteken belül az egyedüli kapcsolattartó pont, az uniós_szervezetek a köztük és a CERT-EU között létrejött, szolgáltatási szintre vonatkozó megállapodás alapján átruházhatják a CERT-EU-ra a helyi kiberbiztonsági tisztviselő e rendelet végrehajtásával kapcsolatos bizonyos feladatait, vagy ezeket a feladatokat több uniós szervezet megoszthatja. Amennyiben ezeket a feladatokat a CERT-EU-ra ruházzák, a 10. cikk alapján létrehozott Intézményközi Kiberbiztonsági Testületnek kell döntenie arról, hogy e szolgáltatás nyújtása részét képezi-e a CERT-EU alapszolgáltatásainak, figyelembe véve az érintett uniós szervezet emberi és pénzügyi erőforrásait. Az egyes uniós_szervezeteknek indokolatlan késedelem nélkül értesíteniük kell a CERT-EU-t a kinevezett helyi kiberbiztonsági tisztviselőkről és a személyükben történő minden későbbi változásról.
A CERT-EU-nak létre kell hoznia és naprakészen kell tartania a kinevezett helyi kiberbiztonsági tisztviselők jegyzékét.
(9) Az egyes uniós_szervezeteknek a személyzeti szabályzat 29. cikkének (2) bekezdése értelmében vett rangidős tisztviselői vagy egyéb azonos szintű tisztviselői, valamint a személyzetnek az e rendeletben meghatározott kiberbiztonsági kockázatkezelési intézkedések végrehajtásával és kötelezettségek betartásával megbízott tagjai rendszeresen külön képzéseken vesznek részt azon ismeretek és készségek elsajátítása érdekében, amelyek a kiberbiztonsági kockázatok és irányítási gyakorlatok, valamint az azok által az uniós szervezet működésére gyakorolt hatások megismeréséhez és értékeléséhez szükségesek.
7. cikk
Kiberbiztonsági érettségi értékelések
(1) 2025. július 8-ig és azt követően legalább kétévente minden uniós szervezet kiberbiztonsági érettségi értékelést végez, amelynek ki kell terjednie IKT-környezetének valamennyi elemére.
(2) A kiberbiztonsági érettségi értékeléseket adott esetben szakosodott harmadik fél segítségével kell elvégezni.
(3) A hasonló struktúrákkal rendelkező uniós_szervezetek együttműködhetnek saját szervezeteik kiberbiztonsági érettségi értékelésének elvégzésében.
(4) A 10. cikk alapján létrehozott Intézményközi Kiberbiztonsági Testület kérésére és az érintett uniós szervezet kifejezett beleegyezésével a kiberbiztonsági érettségi értékelés eredményei megvitathatók az említett Testületen belül vagy a helyi kiberbiztonsági tisztviselők nem hivatalos csoportjában a tapasztalatokból való tanulás, valamint a bevált gyakorlatok megosztása céljából.
11. cikk
Az IICB feladatai
Feladatainak ellátása során az IICB különösen:
a) | iránymutatást nyújt a CERT-EU vezetője számára; |
b) | hatékonyan nyomon követi és felügyeli e rendelet végrehajtását, valamint támogatja az uniós_szervezeteket kiberbiztonságuk megerősítésében, beleértve adott esetben eseti jelentések kérését az uniós_szervezetektől és a CERT-EU-tól; |
c) | stratégiai megbeszélést követően többéves stratégiát fogad el az uniós_szervezetek kiberbiztonsági szintjének növelésére, és azt rendszeresen, de legalább ötévente értékeli és szükség esetén módosítja; |
d) | meghatározza az uniós_szervezetek által végzett önkéntes szakértői értékelések módszertanát és szervezeti vonatkozásait a közös tapasztalatokból való tanulás, a kölcsönös bizalom megerősítése, az egységesen magas szintű kiberbiztonság elérése, valamint az uniós_szervezetek kiberbiztonsági képességeinek javítása érdekében, biztosítva, hogy az ilyen szakértői értékeléseket a felülvizsgálat tárgyát képező uniós szervezettől eltérő uniós szervezet által kijelölt kiberbiztonsági szakértők végezzék, és hogy a módszertan az (EU) 2022/2555 irányelv 19. cikkén alapuljon, és adott esetben igazodjon az uniós_szervezetekhez; |
e) | a CERT-EU vezetőjének javaslata alapján jóváhagyja a CERT-EU éves munkaprogramját és nyomon követi annak végrehajtását; |
f) | a CERT-EU vezetőjének javaslata alapján jóváhagyja a CERT-EU szolgáltatási katalógusát és annak frissítéseit; |
g) | a CERT-EU vezetőjének javaslata alapján jóváhagyja a CERT-EU tevékenységeinek bevételeire és kiadásaira vonatkozó éves pénzügyi tervet, beleértve a személyzetre vonatkozót is; |
h) | a CERT-EU vezetőjének javaslata alapján jóváhagyja a szolgáltatási szintre vonatkozó megállapodásokra vonatkozó szabályokat; |
i) | megvizsgálja és jóváhagyja a CERT-EU vezetője által készített, a CERT-EU tevékenységeiről és pénzeszközeinek kezeléséről szóló éves jelentést; |
j) | jóváhagyja és nyomon követi a CERT-EU vezetőjének javaslata alapján a CERT-EU-ra vonatkozóan meghatározott fő teljesítménymutatókat (KPI-k); |
k) | jóváhagyja a CERT-EU és más szervezetek közötti, a 18. cikk szerinti együttműködési megállapodásokat, szolgáltatási szintre vonatkozó megállapodásokat vagy szerződéseket; |
l) | a CERT-EU javaslata alapján a 14. cikkel összhangban iránymutatásokat és ajánlásokat fogad el, és utasítja a CERT-EU-t, hogy adjon ki, vonjon vissza vagy módosítson valamely, iránymutatásokra vagy ajánlásokra irányuló javaslatot, illetve cselekvési felhívást; |
m) | az IICB munkájának támogatásához technikai tanácsadó csoportokat hoz létre konkrét feladatokkal, jóváhagyja azok megbízatását, és kinevezi azok elnökeit; |
n) | fogadja és értékeli az uniós_szervezetek által e rendelet alapján benyújtott dokumentumokat és jelentéseket, például a kiberbiztonsági érettségi értékeléseket; |
o) | az e rendelet végrehajtásával kapcsolatos bevált gyakorlatok és információk cseréje céljából az ENISA támogatásával elősegíti az uniós_szervezetek helyi kiberbiztonsági tisztviselőiből álló informális csoport létrehozását; |
p) | figyelembe véve a CERT-EU által az azonosított kiberbiztonsági kockázatokra és levont tanulságokra vonatkozóan szolgáltatott információkat, nyomon követi az uniós_szervezetek IKT-környezete közötti összekapcsolhatósági megállapodások megfelelőségét, és tanácsot ad a lehetséges fejlesztésekre vonatkozóan; |
q) | kiberbiztonsági válságkezelési tervet hoz létre az uniós_szervezeteket érintő súlyos biztonsági_események koordinált kezelésének operatív szintű támogatása, valamint a releváns információk rendszeres cseréjéhez való hozzájárulás céljából, különös tekintettel a súlyos biztonsági_események hatásaira és súlyosságára, valamint hatásai mérséklésének lehetséges módjaira; |
r) | koordinálja az egyes uniós_szervezetek 9. cikk (2) bekezdésében említett kiberbiztonsági válságkezelési terveinek elfogadását; |
s) | az (EU) 2022/2555 irányelv 22. cikkében említett, a kritikus ellátási láncokra vonatkozó összehangolt uniós szintű biztonsági kockázatértékelések eredményeit figyelembe véve a 8. cikk (2) bekezdése első albekezdésének m) pontjában említett, az ellátási lánc biztonságára vonatkozó ajánlásokat fogad el annak érdekében, hogy támogassa az uniós_szervezeteket a hatékony és arányos kiberbiztonsági kockázatkezelési intézkedések elfogadásában. |
13. cikk
A CERT-EU küldetése és feladatai
(1) A CERT-EU küldetése, hogy hozzájáruljon az uniós_szervezetek nem minősített IKT-környezetének biztonságához azáltal, hogy kiberbiztonsági tanácsadást nyújt számukra, segíti a biztonsági_események megelőzését, észlelését, kezelését, mérséklését, az azokra való reagálást és az azokat követő helyreállítást, valamint azáltal, hogy a kiberbiztonsági információcsere és a biztonsági_eseményekre való reagálás koordinációs központjaként működik.
(2) A CERT-EU információkat gyűjt a nem minősített IKT-infrastruktúrát érintő kiberfenyegetésekről, sérülékenységekről és biztonsági_eseményekről, ezeket az információkat kezeli és elemzi, valamint megosztja az uniós_szervezetekkel. Intézményközi szinten és az uniós_szervezetek szintjén koordinálja a biztonsági_eseményekre való reagálást, ideértve konkrét operatív segítségnyújtás biztosítását vagy koordinálását is.
(3) A CERT-EU a következő feladatokat látja el az uniós_szervezetek támogatása érdekében:
a) | támogatja őket e rendelet végrehajtásában, és a 14. cikk (1) bekezdésében felsorolt intézkedések vagy az IICB által kért eseti jelentések révén hozzájárul e rendelet végrehajtásának koordinálásához; |
b) | az uniós_szervezetek számára szabványos CSIRT-szolgáltatásokat kínál a szolgáltatási katalógusában ismertetett kiberbiztonsági szolgáltatáscsomag eszközei által (a továbbiakban: alapszolgáltatások); |
c) | hálózatot tart fenn a hasonló szervezetekkel és partnerekkel a 17. és 18. cikkben vázolt szolgáltatások támogatása érdekében; |
d) | felhívja az IICB figyelmét az e rendelet végrehajtásával, valamint az iránymutatások, ajánlások és cselekvési felhívások végrehajtásával kapcsolatos bármely problémára; |
e) | a (2) bekezdésben említett információk alapján az ENISA-val szorosan együttműködve hozzájárul az Unió kiberbiztonsági helyzetismeretéhez; |
f) | koordinálja a súlyos biztonsági_események kezelését; |
g) | az (EU) 2022/2555 irányelv 12. cikkének (1) bekezdése szerint a sérülékenységek összehangolt közzététele céljából kijelölt koordinátorral egyenértékűként eljár az uniós_szervezetek részéről; |
h) | valamely uniós szervezet kérésére proaktív, behatolásmentes átvilágítást végez az adott uniós szervezet nyilvánosan hozzáférhető hálózati_és_információs_rendszerein. |
Az első albekezdés e) pontjában említett információkat adott esetben, megfelelő titoktartási feltételek mellett kell megosztani az IICB-vel, a CSIRT-ek hálózatával és az Európai Unió Helyzetelemző Központjával (EU INTCEN).
(4) A CERT-EU a 17. vagy adott esetben a 18. cikkel összhangban együttműködhet az Unión és tagállamain belüli releváns kiberbiztonsági közösségekkel, többek között a következő területeken:
a) | felkészültség, biztonsági_események koordinálása, információcsere és válságreagálás technikai szinten az uniós_szervezetekkel kapcsolatos ügyekben; |
b) | operatív együttműködés a CSIRT-ek hálózatával, többek között a kölcsönös segítségnyújtással kapcsolatban; |
c) | kiberfenyegetettségi információk, beleértve a helyzetismeretet; |
d) | a CERT-EU technikai kiberbiztonsági szakértelmét igénylő bármely téma. |
(5) Hatáskörén belül a CERT-EU az (EU) 2019/881 rendelettel összhangban strukturált együttműködést folytat az ENISA-val a kapacitásépítés, az operatív együttműködés és a kiberfenyegetések hosszú távú stratégiai elemzése terén. A CERT-EU együttműködhet és információt cserélhet az Europol Kiberbűnözés Elleni Európai Központjával.
(6) A CERT-EU a szolgáltatáskatalógusában nem szereplő következő szolgáltatásokat (a továbbiakban: díjköteles szolgáltatások) nyújthatja:
a) | a (3) bekezdésben említettektől eltérő, az uniós_szervezetek IKT-környezetének kiberbiztonságát támogató szolgáltatások, a szolgáltatási szintre vonatkozó megállapodások alapján és a rendelkezésre álló erőforrások függvényében, különösen a hálózatok széles spektrumú nyomon követése, beleértve a súlyos kiberfenyegetések a hét minden napján, napi 24 órában történő közvetlen nyomon követését is; |
b) | olyan szolgáltatások, amelyek írásbeli megállapodások alapján és az IICB előzetes jóváhagyásával támogatják az uniós_szervezetek kiberbiztonsági műveleteit vagy projektjeit, kivéve azokat, amelyek IKT-környezetük védelmét szolgálják; |
c) | kérésre az érintett uniós szervezet hálózati_és_információs_rendszereinek proaktív átvilágítása a potenciálisan jelentős hatással bíró sérülékenységek felderítése érdekében; |
d) | írásbeli megállapodások alapján és az IICB előzetes jóváhagyásával az uniós_szervezetektől eltérő olyan szervezetek számára nyújtott, IKT-környezetük biztonságát támogató szolgáltatások, amelyek szorosan együttműködnek az uniós_szervezetekkel, például az uniós jog által rájuk ruházott feladatok vagy felelősségi körök teljesítése révén. |
Az első albekezdés d) pontja tekintetében a CERT-EU kivételes esetben, az IICB előzetes jóváhagyásával az uniós_szervezeteken kívüli egyéb szervezetekkel is köthet szolgáltatási szintre vonatkozó megállapodásokat.
(7) A CERT-EU – adott esetben az ENISA-val szoros együttműködésben – kiberbiztonsági gyakorlatokat szervez, és részt vehet azokban, vagy ajánlhatja a meglévő gyakorlatokban való részvételt az uniós_szervezetek kiberbiztonsági szintjének tesztelése céljából.
(8) A CERT-EU segítséget nyújthat az uniós_szervezeteknek az EU-minősített adatokat kezelő hálózati_és_információs_rendszerekben előforduló biztonsági_események tekintetében, amennyiben az érintett uniós_szervezetek erre saját eljárásaikkal összhangban kifejezetten felkérik. A CERT-EU által e bekezdés alapján nyújtott segítség nem érinti a minősített adatok védelmére vonatkozó alkalmazandó szabályokat.
(9) A CERT-EU tájékoztatja az uniós_szervezeteket a biztonsági_események kezelésére szolgáló eljárásairól és folyamatairól.
(10) A CERT-EU a megfelelő együttműködési mechanizmusokon és jelentési útvonalakon keresztül magas szintű titoktartás és megbízhatóság mellett szolgáltat releváns és anonimizált információkat a súlyos biztonsági_eseményekről és azok kezelésének módjáról. Ezeket az információkat bele kell foglalni a 10. cikk (14) bekezdésében említett jelentésbe.
(11) A CERT-EU az európai adatvédelmi biztossal együttműködve támogatja az érintett uniós_szervezeteket a személyes adatok megsértéséhez vezető biztonsági_események kezelésében, az európai adatvédelmi biztosnak az (EU) 2018/1725 rendelet szerinti felügyeleti hatóságként fennálló hatáskörének és feladatainak sérelme nélkül.
(12) Ha az uniós_szervezetek szakpolitikai részlegei azt kifejezetten kérik, a CERT-EU technikai tanácsot adhat vagy technikai véleményt nyilváníthat releváns szakpolitikai kérdésekben.
14. cikk
Iránymutatások, ajánlások és cselekvési felhívások
(1) A CERT-EU e rendelet végrehajtását a következők kibocsátásával támogatja:
a) | cselekvési felhívások, amelyek ismertetik azokat a sürgős biztonsági intézkedéseket, amelyeket az uniós_szervezeteknek meghatározott időn belül meg kell hozniuk; |
b) | javaslatok az IICB számára az uniós_szervezetek összességének vagy egy részhalmazának szóló iránymutatásokra vonatkozóan; |
c) | javaslatok az IICB számára az egyes uniós_szervezeteknek címzett ajánlásokra vonatkozóan. |
Az első albekezdés a) pontja tekintetében az érintett uniós szervezet a cselekvési felhívás kézhezvételét követően indokolatlan késedelem nélkül tájékoztatja a CERT-EU-t arról, hogy hogyan alkalmazta a sürgős biztonsági intézkedéseket.
(2) Az iránymutatások és ajánlások a következőket foglalhatják magukban:
a) | az uniós_szervezetek kiberbiztonsági érettségének értékelésére szolgáló közös módszertanok és modell, beleértve a megfelelő léptékeket vagy fő teljesítménymutatókat is, amelyek referenciaként szolgálnak az uniós_szervezetek folyamatos kiberbiztonsági fejlődésének támogatásához, és megkönnyítik a kiberbiztonsági területek és intézkedések rangsorolását, figyelembe véve a szervezetek kiberbiztonsági helyzetét; |
b) | a kiberbiztonsági kockázatkezelésre és a kiberbiztonsági kockázatkezelési intézkedésekre vonatkozó szabályok vagy javítások; |
c) | a kiberbiztonsági érettségi értékelésekre és kiberbiztonsági tervekre vonatkozó szabályok; |
d) | adott esetben a közös technológia, az architektúra, a nyílt forráskód és a kapcsolódó legjobb gyakorlatok alkalmazása az interoperabilitás és az egységes szabványok megvalósítása céljából, beleértve az ellátási lánc biztonságára vonatkozó koordinált megközelítést; |
e) | adott esetben olyan információk, amelyek megkönnyítik a releváns kiberbiztonsági szolgáltatások és termékek harmadik fél beszállítóktól történő beszerzésére szolgáló közös közbeszerzési eszközök használatát; |
f) | a 20. cikk szerinti információmegosztási megállapodások. |
17. cikk
A CERT-EU és a tagállami partnerek közötti együttműködés
(1) A CERT-EU indokolatlan késedelem nélkül együttműködik és információcserét folytat a tagállami partnerekkel, különösen az (EU) 2022/2555 irányelv 10. cikke alapján kijelölt vagy létrehozott CSIRT-ekkel, vagy adott esetben az említett irányelv 8. cikke szerint kijelölt vagy létrehozott illetékes hatóságokkal és egyedüli kapcsolattartó pontokkal a biztonsági_események, a kiberfenyegetések, a sérülékenységek, a majdnem_bekövetkezett_(near_miss)_események, a lehetséges ellenintézkedések és a bevált gyakorlatok, valamint az uniós_szervezetek IKT-környezetei védelmének javítása szempontjából releváns valamennyi kérdés tekintetében, többek között az (EU) 2022/2555 irányelv 15. cikke alapján létrehozott CSIRT-hálózaton keresztül. A CERT-EU támogatja a Bizottságot a nagyszabású kiberbiztonsági események és válsághelyzetek összehangolt kezeléséről szóló (EU) 2022/2555 irányelv 16. cikke alapján létrehozott EU-CyCLONe-ban.
(2) Amennyiben a CERT-EU valamely tagállam területén bekövetkező jelentős biztonsági_eseményről szerez tudomást, az (1) bekezdéssel összhangban haladéktalanul értesíti az érintett partnert az adott tagállamban.
(3) A CERT-EU – feltéve, hogy a személyes adatok az alkalmazandó uniós adatvédelmi joggal összhangban védelemben részesülnek – indokolatlan késedelem nélkül, az érintett uniós szervezet beleegyezése nélkül megosztja a releváns biztonságiesemény-specifikus információkat a hasonló kiberfenyegetések vagy biztonsági_események felderítésének megkönnyítése vagy a biztonsági_esemény elemzéséhez való hozzájárulás érdekében a tagállami partnerekkel. A CERT-EU az olyan biztonságiesemény-specifikus információkat, amelyek feltárják a biztonsági_esemény célpontját csak az alábbiak egyikének fennállása esetén oszthatja meg:
a) | az érintett uniós szervezet beleegyezését adja; |
b) | az érintett uniós szervezet nem adja beleegyezését az a) pontban előírtak szerint, de az érintett uniós szervezet kilétének közzététele növelné annak valószínűségét, hogy a máshol bekövetkező biztonsági_eseményeket elkerülnék vagy mérsékelnék; |
c) | az érintett uniós szervezet már nyilvánosságra hozta, hogy érintett volt. |
A biztonsági_eseményre vonatkozó azon információk cseréjére vonatkozó határozatokat, amelyek az első albekezdés b) pontja alapján feltárják a biztonsági_esemény célpontjának kilétét, a CERT-EU vezetőjének jóvá kell hagynia. Az ilyen határozat kibocsátása előtt a CERT-EU írásban felveszi a kapcsolatot az érintett uniós szervezettel, egyértelműen kifejtve, hogy kilétének nyilvánosságra hozatala hogyan segítené elő máshol a biztonsági_események elkerülését vagy mérséklését. A CERT-EU vezetőjének magyarázatot kell adnia, és kifejezetten fel kell kérnie az uniós szervezetet, hogy meghatározott határidőn belül nyilatkozzon arról, hogy beleegyezik-e ebbe. A CERT-EU vezetője arról is tájékoztatja az uniós szervezetet, hogy az adott magyarázat fényében fenntartja magának a jogot arra, hogy még beleegyezés hiányában is közzétegye az információkat. Az érintett uniós szervezetet az információk közzététele előtt tájékoztatni kell.
18. cikk
A CERT-EU együttműködése más partnerekkel
(1) A CERT-EU együttműködhet az uniós kiberbiztonsági követelmények hatálya alá tartozó, a 17. cikkben említettektől eltérő uniós partnerekkel, többek között ágazatspecifikus partnerekkel az eszközök és módszerek – például a technikák, taktikák, eljárások és a legjobb gyakorlatok –, valamint a kiberfenyegetések és - sérülékenységek terén. Az ilyen partnerekkel való mindennemű együttműködéshez a CERT-EU-nak – eseti alapon – előzetes jóváhagyást kell kérnie az IICB-től. Amennyiben a CERT-EU ilyen partnerekkel alakít ki együttműködést, erről tájékoztatnia kell a partner székhelye szerinti tagállamban működő valamennyi, a 17. cikk (1) bekezdésében említett érintett tagállami partnert. Adott esetben az ilyen együttműködést és annak feltételeit – többek között a kiberbiztonság, az adatvédelem és az információkezelés tekintetében – egyedi titoktartási megállapodásokban, például szerződésekben vagy igazgatási megállapodásokban kell meghatározni. A titoktartási megállapodásokhoz nem kell kikérni az IICB előzetes jóváhagyását, de az IICB elnökét ezekről tájékoztatni kell. Abban az esetben, ha az uniós_szervezetek vagy egy másik fél érdekében sürgős és azonnali kiberbiztonsági információcserére van szükség, a CERT-EU ezt megteheti egy olyan szervezettel, amelynek különleges kompetenciája, kapacitása és szakértelme indokoltan szükséges ahhoz, hogy segítséget nyújtson egy ilyen sürgős és azonnali szükséglet kielégítéséhez, még akkor is, ha a CERT-EU nem kötött titoktartási megállapodást az adott szervezettel. Ilyen esetekben a CERT-EU haladéktalanul tájékoztatja az IICB elnökét, és rendszeres jelentések vagy ülések útján jelentést tesz az IICB-nek.
(2) A CERT-EU együttműködhet más partnerekkel, például kereskedelmi szervezetekkel, köztük ágazatspecifikus ipari szervezetekkel, nemzetközi szervezetekkel, nem uniós nemzeti szervezetekkel vagy egyéni szakértőkkel annak érdekében, hogy információkat gyűjtsön az általános és konkrét kiberfenyegetésekről, a majdnem_bekövetkezett_(near_miss)_eseményekről, a sérülékenységekről és a lehetséges ellenintézkedésekről. Az ilyen partnerekkel való szélesebb körű együttműködéshez a CERT-EU-nak eseti alapon előzetes jóváhagyást kell kérnie az IICB-től.
(3) A CERT-EU – a biztonsági_esemény által érintett uniós szervezet beleegyezésével, és feltéve, hogy az érintett partnerrel titoktartási megállapodás vagy szerződés van érvényben – az (1) és a (2) bekezdésben említett partnerek rendelkezésére bocsáthatja az adott biztonsági_eseményre vonatkozó információkat, kizárólag az elemzéséhez való hozzájárulás céljából.
V. FEJEZET
EGYÜTTMŰKÖDÉSI ÉS JELENTÉSTÉTELI KÖTELEZETTSÉGEK
23. cikk
A súlyos biztonsági_események kezelése
(1) Az uniós_szervezeteket érintő súlyos biztonsági_események koordinált operatív szintű kezelésének támogatása, továbbá a releváns információknak az uniós_szervezetek közötti és a tagállamokkal való rendszeres cseréjéhez való hozzájárulás érdekében az IICB a 11. cikk q) pontja értelmében a 22. cikk (2) bekezdésében részletezett tevékenységek alapján, a CERT-EU-val és az ENISA-val szoros együttműködésben kiberbiztonsági válságkezelési tervet hoz létre. A kiberbiztonsági válságkezelési tervnek legalább a következő elemeket kell tartalmaznia:
a) | az uniós_szervezetek közötti, a súlyos biztonsági_események operatív szintű kezelésére vonatkozó koordinációra és információáramlásra vonatkozó szabályok; |
b) | közös eljárási standardok; |
c) | a súlyos biztonsági_események súlyossági fokaira és a válságot kiváltó tényezőkre vonatkozó egységes taxonómia; |
d) | rendszeres gyakorlatok; |
e) | az igénybe veendő biztonságos kommunikációs csatornák. |
(2) Az e cikk (1) bekezdése alapján létrehozott kiberbiztonsági válságkezelési tervre figyelemmel és az (EU) 2022/2555 irányelv 16. cikke (2) bekezdése első albekezdésének sérelme nélkül a Bizottságnak az IICB-ben részt vevő képviselője a kapcsolattartó pont a súlyos biztonsági_eseményekkel kapcsolatos releváns információknak az EU-CyCLONe-val való megosztása tekintetében.
(3) A CERT-EU koordinálja az uniós_szervezetek között a súlyos biztonsági_események kezelését. Nyilvántartást vezet arról a rendelkezésre álló technikai szakértelemről, amelyre ilyen súlyos biztonsági_események esetén az eseményekre való reagáláshoz szükség lehet, és segíti az IICB-t az uniós_szervezetek 9. cikk (2) bekezdésében említett súlyos biztonsági_eseményekre vonatkozó kiberbiztonsági válságkezelési terveinek koordinálásában.
(4) Az uniós_szervezetek hozzájárulnak a technikai szakértelem nyilvántartásához azáltal, hogy a szervezetükön belül rendelkezésre álló szakértőkről évente frissített jegyzéket állítanak össze, amely részletezi sajátos technikai készségeiket.
VI. FEJEZET
ZÁRÓ RENDELKEZÉSEK
whereas