keyboard_tab Cyber Resilience Act 2023/2841 HU
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 3 3. cikk Fogalommeghatározások
- 1 4. cikk A személyes adatok kezelése
- 1 9. cikk Kiberbiztonsági tervek
- 1 13. cikk A CERT-EU küldetése és feladatai
- 1 17. cikk A CERT-EU és a tagállami partnerek közötti együttműködés
- 16 21. cikk Jelentéstételi kötelezettségek
- 1 22. cikk A biztonsági eseményekre való reagálás koordinálása és az azokkal kapcsolatos együttműködés
I. FEJEZET
ÁLTALÁNOS RENDELKEZÉSEK
II. FEJEZET
A KIBERBIZTONSÁG EGYSÉGESEN MAGAS SZINTJÉRE IRÁNYULÓ INTÉZKEDÉSEK
III. FEJEZET
INTÉZMÉNYKÖZI KIBERBIZTONSÁGI TESTÜLET
IV. FEJEZET
CERT-EU
V. FEJEZET
EGYÜTTMŰKÖDÉSI ÉS JELENTÉSTÉTELI KÖTELEZETTSÉGEK
VI. FEJEZET
ZÁRÓ RENDELKEZÉSEK
- uniós szervezetek
- hálózati és információs rendszer
- hálózati és információs rendszerek biztonsága
- kiberbiztonság
- legmagasabb vezetői szint
- majdnem bekövetkezett (near miss) esemény
- biztonsági esemény
- súlyos biztonsági esemény
- nagyszabású kiberbiztonsági esemény
- biztonsági esemény kezelése
- kiberfenyegetés
- jelentős kiberfenyegetés
- sérülékenység
- kiberbiztonsági kockázat
- felhőszolgáltatás
- vagy 45
- cert-eu 44
- kiberbiztonsági 34
- uniós 30
- cikk 27
- kell 23
- uniós_szervezetek 23
- jelentős 22
- a 19
- alapján 18
- való 18
- szervezet 18
- érintett 18
- eu / irányelv 17
- hogy 17
- esetben 16
- adott 16
- biztonsági_esemény 16
- említett 15
- meghatározott 14
- nélkül 13
- pontjában 12
- szerinti 12
- cikkének 11
- információkat 10
- vonatkozó 10
- biztonsági_eseményekre 10
- biztonsági_események 10
- valamint 9
- késedelem 9
- amely 9
- indokolatlan 9
- létrehozott 9
- az 8
- olyan 8
- adatok 8
- cikke 8
- személyes 7
- technikai 7
- releváns 7
- információk 7
- iicb 7
- belül 7
- súlyos 7
- európai 7
- összhangban 7
- szerint 7
- rendelet 7
- eu / 6
- amelyek 6
3. cikk
Fogalommeghatározások
E rendelet alkalmazásában:
| 1. | „ uniós_szervezetek”: az Európai Unióról szóló szerződés, az Európai Unió működéséről szóló szerződés (EUMSZ) vagy az Európai Atomenergia-közösséget létrehozó szerződés által vagy ezek szerint létrehozott uniós intézmények, szervek, hivatalok és ügynökségek; |
| 2. | „ hálózati_és_információs_rendszer”: az (EU) 2022/2555 irányelv 6. cikkének 1. pontjában meghatározott hálózati_és_információs_rendszer; |
| 3. | „ hálózati_és_információs_rendszerek biztonsága”: az (EU) 2022/2555 irányelv 6. cikkének 2. pontjában meghatározott hálózati_és_információs_rendszerek biztonsága; |
| 4. | „ kiberbiztonság”: az (EU) 2019/881 rendelet 2. cikkének 1. pontjában meghatározott kiberbiztonság; |
| 5. | „ legmagasabb_vezetői_szint”: az uniós szervezet működéséért felelős vezető személy, vezető testület vagy koordináló és felügyeleti testület a legmagasabb igazgatási szinten, aki vagy amely az említett uniós szervezet magas szintű irányítására vonatkozó szabályoknak megfelelően felhatalmazással rendelkezik döntések meghozatalára vagy engedélyezésére, az egyéb vezetői szintek saját felelősségi körükbe tartozó megfelelési és kiberbiztonsági kockázatkezelési formális kötelezettségeinek sérelme nélkül; |
| 6. | „ majdnem_bekövetkezett_(near_miss)_esemény”: az (EU) 2022/2555 irányelv 6. cikkének 5. pontjában meghatározott majdnem_bekövetkezett_(near_miss)_esemény; |
| 7. | „ biztonsági_esemény”: az (EU) 2022/2555 irányelv 6. cikkének 6. pontjában meghatározott esemény; |
| 8. | „súlyos biztonsági_esemény”: olyan biztonsági_esemény, amely olyan szintű zavart okoz, amely meghaladja az adott uniós szervezet és a CERT-EU reagálási képességeit, vagy amely legalább két uniós szervezetre jelentős hatást gyakorol; |
| 9. | „nagyszabású kiberbiztonsági esemény”: az (EU) 2022/2555 irányelv 6. cikkének 7. pontjában meghatározott nagyszabású kiberbiztonsági esemény; |
| 10. | „ biztonsági_esemény kezelése”: az (EU) 2022/2555 irányelv 6. cikkének 8. pontjában meghatározott eseménykezelés; |
| 11. | „ kiberfenyegetés”: az (EU) 2019/881 rendelet 2. cikkének 8. pontjában meghatározott kiberfenyegetés; |
| 12. | „jelentős kiberfenyegetés”: az (EU) 2022/2555 irányelv 6. cikkének 11. pontjában meghatározott jelentős kiberfenyegetés; |
| 13. | „ sérülékenység”: az (EU) 2022/2555 irányelv 6. cikkének 15. pontjában meghatározott sérülékenység; |
| 14. | „ kiberbiztonsági kockázat”: az (EU) 2022/2555 irányelv 6. cikkének 9. pontjában meghatározott kockázat; |
| 15. | „ felhőszolgáltatás”: az (EU) 2022/2555 irányelv 6. cikkének 30. pontjában meghatározott felhőszolgáltatás; |
4. cikk
A személyes adatok kezelése
(1) A személyes adatok e rendelet szerinti, a CERT-EU, a 10. cikk alapján létrehozott Intézményközi Kiberbiztonsági Testület és az uniós_szervezetek általi kezelését az (EU) 2018/1725 rendelettel összhangban kell végezni.
(2) Amennyiben az e rendelet szerinti feladatokat látnak el vagy kötelezettségeket teljesítenek, a CERT-EU, a 10. cikk alapján létrehozott Intézményközi Kiberbiztonsági Testület és az uniós_szervezetek csak az említett feladatok ellátásához vagy kötelezettségek teljesítéséhez szükséges mértékben és kizárólag abból a célból kezelhetnek és cserélhetnek személyes adatokat.
(3) A személyes adatok különleges kategóriáinak az (EU) 2018/1725 rendelet 10. cikkének (1) bekezdésében említett kezelését az említett rendelet 10. cikke (2) bekezdésének g) pontja értelmében jelentős közérdek miatt szükségesnek kell tekinteni. Ezeket az adatokat csak a 6. és a 8. cikkben említett kiberbiztonsági kockázatkezelési intézkedések végrehajtásához, a CERT-EU által a 13. cikk alapján nyújtott szolgáltatásokhoz, a biztonsági_eseményekre vonatkozó információknak a 17. cikk (3) bekezdése és a 18. cikk (3) bekezdése szerinti megosztásához, a 20. cikk szerinti információmegosztáshoz, a 21. cikk szerinti jelentéstételi kötelezettségekhez, a biztonsági_eseményekre való reagálás 22. cikk szerinti koordinálásához és az ezzel kapcsolatos együttműködéshez, valamint a súlyos biztonsági_események e rendelet 23. cikke szerinti kezeléséhez szükséges mértékben lehet kezelni. Az uniós_szervezeteknek és a CERT-EU-nak, amikor adatkezelőként járnak el, technikai intézkedéseket kell alkalmazniuk a személyes adatok különleges kategóriái más célból történő kezelésének megelőzése érdekében, és megfelelő és konkrét intézkedésekről kell rendelkezniük az érintettek alapvető jogainak és érdekeinek védelme érdekében.
II. FEJEZET
A KIBERBIZTONSÁG EGYSÉGESEN MAGAS SZINTJÉRE IRÁNYULÓ INTÉZKEDÉSEK
9. cikk
Kiberbiztonsági tervek
(1) A 7. cikk szerint elvégzett kiberbiztonsági érettségi értékelésből levont következtetések nyomán, valamint figyelembe véve a keretrendszerben azonosított eszközöket és kiberbiztonsági kockázatokat, továbbá a 8. cikk alapján hozott kiberbiztonsági kockázatkezelési intézkedéseket, az egyes uniós_szervezetek legfelsőbb vezetői szintjének indokolatlan késedelem nélkül, de legkésőbb 2026. január 8-ig jóvá kell hagynia a kiberbiztonsági tervet. A kiberbiztonsági tervnek az uniós szervezet általános kiberbiztonságának növelésére kell irányulnia, és ezáltal hozzá kell járulnia az uniós_szervezeteken belüli egységesen magas szintű kiberbiztonság javításához. A kiberbiztonsági tervnek tartalmaznia kell legalább a 8. cikk alapján hozott kiberbiztonsági kockázatkezelési intézkedéseket. A kiberbiztonsági tervet kétévente, vagy szükség esetén gyakrabban, a 7. cikk szerint elvégzett kiberbiztonsági érettségi értékeléseket vagy a keretrendszer bármely jelentős felülvizsgálatát követően felül kell vizsgálni.
(2) A kiberbiztonsági tervnek tartalmaznia kell az uniós szervezetnek a súlyos biztonsági_eseményekre vonatkozó kiberbiztonsági válságkezelési tervét.
(3) Az uniós szervezet benyújtja elkészített kiberbiztonsági tervét a 10. cikk alapján létrehozott Intézményközi Kiberbiztonsági Testületnek.
III. FEJEZET
INTÉZMÉNYKÖZI KIBERBIZTONSÁGI TESTÜLET
13. cikk
A CERT-EU küldetése és feladatai
(1) A CERT-EU küldetése, hogy hozzájáruljon az uniós_szervezetek nem minősített IKT-környezetének biztonságához azáltal, hogy kiberbiztonsági tanácsadást nyújt számukra, segíti a biztonsági_események megelőzését, észlelését, kezelését, mérséklését, az azokra való reagálást és az azokat követő helyreállítást, valamint azáltal, hogy a kiberbiztonsági információcsere és a biztonsági_eseményekre való reagálás koordinációs központjaként működik.
(2) A CERT-EU információkat gyűjt a nem minősített IKT-infrastruktúrát érintő kiberfenyegetésekről, sérülékenységekről és biztonsági_eseményekről, ezeket az információkat kezeli és elemzi, valamint megosztja az uniós_szervezetekkel. Intézményközi szinten és az uniós_szervezetek szintjén koordinálja a biztonsági_eseményekre való reagálást, ideértve konkrét operatív segítségnyújtás biztosítását vagy koordinálását is.
(3) A CERT-EU a következő feladatokat látja el az uniós_szervezetek támogatása érdekében:
| a) | támogatja őket e rendelet végrehajtásában, és a 14. cikk (1) bekezdésében felsorolt intézkedések vagy az IICB által kért eseti jelentések révén hozzájárul e rendelet végrehajtásának koordinálásához; |
| b) | az uniós_szervezetek számára szabványos CSIRT-szolgáltatásokat kínál a szolgáltatási katalógusában ismertetett kiberbiztonsági szolgáltatáscsomag eszközei által (a továbbiakban: alapszolgáltatások); |
| c) | hálózatot tart fenn a hasonló szervezetekkel és partnerekkel a 17. és 18. cikkben vázolt szolgáltatások támogatása érdekében; |
| d) | felhívja az IICB figyelmét az e rendelet végrehajtásával, valamint az iránymutatások, ajánlások és cselekvési felhívások végrehajtásával kapcsolatos bármely problémára; |
| e) | a (2) bekezdésben említett információk alapján az ENISA-val szorosan együttműködve hozzájárul az Unió kiberbiztonsági helyzetismeretéhez; |
| f) | koordinálja a súlyos biztonsági_események kezelését; |
| g) | az (EU) 2022/2555 irányelv 12. cikkének (1) bekezdése szerint a sérülékenységek összehangolt közzététele céljából kijelölt koordinátorral egyenértékűként eljár az uniós_szervezetek részéről; |
| h) | valamely uniós szervezet kérésére proaktív, behatolásmentes átvilágítást végez az adott uniós szervezet nyilvánosan hozzáférhető hálózati_és_információs_rendszerein. |
Az első albekezdés e) pontjában említett információkat adott esetben, megfelelő titoktartási feltételek mellett kell megosztani az IICB-vel, a CSIRT-ek hálózatával és az Európai Unió Helyzetelemző Központjával (EU INTCEN).
(4) A CERT-EU a 17. vagy adott esetben a 18. cikkel összhangban együttműködhet az Unión és tagállamain belüli releváns kiberbiztonsági közösségekkel, többek között a következő területeken:
| a) | felkészültség, biztonsági_események koordinálása, információcsere és válságreagálás technikai szinten az uniós_szervezetekkel kapcsolatos ügyekben; |
| b) | operatív együttműködés a CSIRT-ek hálózatával, többek között a kölcsönös segítségnyújtással kapcsolatban; |
| c) | kiberfenyegetettségi információk, beleértve a helyzetismeretet; |
| d) | a CERT-EU technikai kiberbiztonsági szakértelmét igénylő bármely téma. |
(5) Hatáskörén belül a CERT-EU az (EU) 2019/881 rendelettel összhangban strukturált együttműködést folytat az ENISA-val a kapacitásépítés, az operatív együttműködés és a kiberfenyegetések hosszú távú stratégiai elemzése terén. A CERT-EU együttműködhet és információt cserélhet az Europol Kiberbűnözés Elleni Európai Központjával.
(6) A CERT-EU a szolgáltatáskatalógusában nem szereplő következő szolgáltatásokat (a továbbiakban: díjköteles szolgáltatások) nyújthatja:
| a) | a (3) bekezdésben említettektől eltérő, az uniós_szervezetek IKT-környezetének kiberbiztonságát támogató szolgáltatások, a szolgáltatási szintre vonatkozó megállapodások alapján és a rendelkezésre álló erőforrások függvényében, különösen a hálózatok széles spektrumú nyomon követése, beleértve a súlyos kiberfenyegetések a hét minden napján, napi 24 órában történő közvetlen nyomon követését is; |
| b) | olyan szolgáltatások, amelyek írásbeli megállapodások alapján és az IICB előzetes jóváhagyásával támogatják az uniós_szervezetek kiberbiztonsági műveleteit vagy projektjeit, kivéve azokat, amelyek IKT-környezetük védelmét szolgálják; |
| c) | kérésre az érintett uniós szervezet hálózati_és_információs_rendszereinek proaktív átvilágítása a potenciálisan jelentős hatással bíró sérülékenységek felderítése érdekében; |
| d) | írásbeli megállapodások alapján és az IICB előzetes jóváhagyásával az uniós_szervezetektől eltérő olyan szervezetek számára nyújtott, IKT-környezetük biztonságát támogató szolgáltatások, amelyek szorosan együttműködnek az uniós_szervezetekkel, például az uniós jog által rájuk ruházott feladatok vagy felelősségi körök teljesítése révén. |
Az első albekezdés d) pontja tekintetében a CERT-EU kivételes esetben, az IICB előzetes jóváhagyásával az uniós_szervezeteken kívüli egyéb szervezetekkel is köthet szolgáltatási szintre vonatkozó megállapodásokat.
(7) A CERT-EU – adott esetben az ENISA-val szoros együttműködésben – kiberbiztonsági gyakorlatokat szervez, és részt vehet azokban, vagy ajánlhatja a meglévő gyakorlatokban való részvételt az uniós_szervezetek kiberbiztonsági szintjének tesztelése céljából.
(8) A CERT-EU segítséget nyújthat az uniós_szervezeteknek az EU-minősített adatokat kezelő hálózati_és_információs_rendszerekben előforduló biztonsági_események tekintetében, amennyiben az érintett uniós_szervezetek erre saját eljárásaikkal összhangban kifejezetten felkérik. A CERT-EU által e bekezdés alapján nyújtott segítség nem érinti a minősített adatok védelmére vonatkozó alkalmazandó szabályokat.
(9) A CERT-EU tájékoztatja az uniós_szervezeteket a biztonsági_események kezelésére szolgáló eljárásairól és folyamatairól.
(10) A CERT-EU a megfelelő együttműködési mechanizmusokon és jelentési útvonalakon keresztül magas szintű titoktartás és megbízhatóság mellett szolgáltat releváns és anonimizált információkat a súlyos biztonsági_eseményekről és azok kezelésének módjáról. Ezeket az információkat bele kell foglalni a 10. cikk (14) bekezdésében említett jelentésbe.
(11) A CERT-EU az európai adatvédelmi biztossal együttműködve támogatja az érintett uniós_szervezeteket a személyes adatok megsértéséhez vezető biztonsági_események kezelésében, az európai adatvédelmi biztosnak az (EU) 2018/1725 rendelet szerinti felügyeleti hatóságként fennálló hatáskörének és feladatainak sérelme nélkül.
(12) Ha az uniós_szervezetek szakpolitikai részlegei azt kifejezetten kérik, a CERT-EU technikai tanácsot adhat vagy technikai véleményt nyilváníthat releváns szakpolitikai kérdésekben.
17. cikk
A CERT-EU és a tagállami partnerek közötti együttműködés
(1) A CERT-EU indokolatlan késedelem nélkül együttműködik és információcserét folytat a tagállami partnerekkel, különösen az (EU) 2022/2555 irányelv 10. cikke alapján kijelölt vagy létrehozott CSIRT-ekkel, vagy adott esetben az említett irányelv 8. cikke szerint kijelölt vagy létrehozott illetékes hatóságokkal és egyedüli kapcsolattartó pontokkal a biztonsági_események, a kiberfenyegetések, a sérülékenységek, a majdnem_bekövetkezett_(near_miss)_események, a lehetséges ellenintézkedések és a bevált gyakorlatok, valamint az uniós_szervezetek IKT-környezetei védelmének javítása szempontjából releváns valamennyi kérdés tekintetében, többek között az (EU) 2022/2555 irányelv 15. cikke alapján létrehozott CSIRT-hálózaton keresztül. A CERT-EU támogatja a Bizottságot a nagyszabású kiberbiztonsági események és válsághelyzetek összehangolt kezeléséről szóló (EU) 2022/2555 irányelv 16. cikke alapján létrehozott EU-CyCLONe-ban.
(2) Amennyiben a CERT-EU valamely tagállam területén bekövetkező jelentős biztonsági_eseményről szerez tudomást, az (1) bekezdéssel összhangban haladéktalanul értesíti az érintett partnert az adott tagállamban.
(3) A CERT-EU – feltéve, hogy a személyes adatok az alkalmazandó uniós adatvédelmi joggal összhangban védelemben részesülnek – indokolatlan késedelem nélkül, az érintett uniós szervezet beleegyezése nélkül megosztja a releváns biztonságiesemény-specifikus információkat a hasonló kiberfenyegetések vagy biztonsági_események felderítésének megkönnyítése vagy a biztonsági_esemény elemzéséhez való hozzájárulás érdekében a tagállami partnerekkel. A CERT-EU az olyan biztonságiesemény-specifikus információkat, amelyek feltárják a biztonsági_esemény célpontját csak az alábbiak egyikének fennállása esetén oszthatja meg:
| a) | az érintett uniós szervezet beleegyezését adja; |
| b) | az érintett uniós szervezet nem adja beleegyezését az a) pontban előírtak szerint, de az érintett uniós szervezet kilétének közzététele növelné annak valószínűségét, hogy a máshol bekövetkező biztonsági_eseményeket elkerülnék vagy mérsékelnék; |
| c) | az érintett uniós szervezet már nyilvánosságra hozta, hogy érintett volt. |
A biztonsági_eseményre vonatkozó azon információk cseréjére vonatkozó határozatokat, amelyek az első albekezdés b) pontja alapján feltárják a biztonsági_esemény célpontjának kilétét, a CERT-EU vezetőjének jóvá kell hagynia. Az ilyen határozat kibocsátása előtt a CERT-EU írásban felveszi a kapcsolatot az érintett uniós szervezettel, egyértelműen kifejtve, hogy kilétének nyilvánosságra hozatala hogyan segítené elő máshol a biztonsági_események elkerülését vagy mérséklését. A CERT-EU vezetőjének magyarázatot kell adnia, és kifejezetten fel kell kérnie az uniós szervezetet, hogy meghatározott határidőn belül nyilatkozzon arról, hogy beleegyezik-e ebbe. A CERT-EU vezetője arról is tájékoztatja az uniós szervezetet, hogy az adott magyarázat fényében fenntartja magának a jogot arra, hogy még beleegyezés hiányában is közzétegye az információkat. Az érintett uniós szervezetet az információk közzététele előtt tájékoztatni kell.
21. cikk
Jelentéstételi kötelezettségek
(1) Egy biztonsági_esemény akkor tekintendő jelentősnek, ha:
| a) | súlyos működési zavart eredményezett, illetve eredményezhet az uniós szervezet működésében, vagy pénzügyi veszteséggel járt, illetve járhat az érintett uniós szervezet számára; |
| b) | a biztonsági_esemény jelentős vagyoni vagy nem vagyoni kár okozásával más természetes vagy jogi személyeket érintett vagy érinthet. |
(2) Az uniós_szervezeteknek be kell nyújtaniuk a CERT-EU-nak a következőket:
| a) | indokolatlan késedelem nélkül, de minden esetben a jelentős biztonsági_eseményről való tudomásszerzéstől számított 24 órán belül egy első figyelmeztetést, amelyben adott esetben fel kell tüntetni, hogy a jelentős biztonsági_eseményt gyaníthatóan jogellenes vagy rosszindulatú cselekmény okozta-e és hogy lehet-e több szervezetre kiterjedő vagy határokon átnyúló hatása; |
| b) | indokolatlan késedelem nélkül, de minden esetben a jelentős biztonsági_eseményről való tudomásszerzéstől számított 72 órán belül a biztonsági_eseményről szóló értesítést, amely adott esetben aktualizálja az a) pontban említett információkat, és tartalmazza a jelentős biztonsági_esemény, illetve annak súlyossága és hatása kezdeti értékelését, valamint – amennyiben rendelkezésre állnak – a fertőzöttségi mutatókat; |
| c) | a CERT-EU kérésére a releváns állapotfrissítésekről szóló időközi jelentést. |
| d) | zárójelentést, legkésőbb a b) pont szerinti, a biztonsági_eseményről való értesítés benyújtását követő egy hónapon belül, amely tartalmazza a következőket:
|
| e) | a d) pontban említett zárójelentés benyújtásának időpontjában folyamatban lévő biztonsági_esemény esetén az említett időpontban eredményjelentés, a biztonsági_esemény kezelését követő egy hónapon belül pedig zárójelentés. |
(3) Az uniós szervezet indokolatlan késedelem nélkül, de minden esetben a jelentős biztonsági_eseményről való tudomásszerzéstől számított 24 órán belül tájékoztatja a 17. cikk (1) bekezdésében említett, a székhelye szerinti tagállamban működő érintett tagállami partnereket a jelentős biztonsági_esemény bekövetkezéséről.
(4) Az uniós_szervezeteknek be kell jelenteniük többek között minden olyan információt, amely lehetővé teszi a CERT-EU számára, hogy a jelentős biztonsági_eseményt követően azonosítsa a szervezetek közötti, a fogadó tagállamra gyakorolt vagy határokon átnyúló hatást. A 12. cikk sérelme nélkül, pusztán az értesítés következtében az uniós szervezetet többletfelelősség nem terhelheti.
(5) Adott esetben az uniós_szervezetek indokolatlan késedelem nélkül tájékoztatják az érintett hálózati_és_információs_rendszerek vagy az IKT-környezet más elemei azon felhasználóit, akiket jelentős biztonsági_esemény vagy jelentős kiberfenyegetés érinthet, és adott esetben tájékoztatják őket a biztonsági_eseményre vagy fenyegetésre válaszul általuk hozható mérséklő intézkedésekről, egyéb intézkedésekről vagy korrekciós intézkedésekről is. Adott esetben az uniós_szervezetek tájékoztatják a felhasználókat magáról a jelentős kiberfenyegetésről.
(6) Amennyiben egy jelentős biztonsági_esemény vagy jelentős kiberfenyegetés egy hálózati_és_információs_rendszert, vagy egy uniós szervezet IKT-környezetének valamely olyan elemét érinti, amely köztudottan kapcsolódik egy másik uniós szervezet IKT-környezetéhez, a CERT-EU megfelelő kiberbiztonsági riasztást ad ki.
(7) Az uniós_szervezetek a CERT-EU kérésére indokolatlan késedelem nélkül átadják a CERT-EU részére a biztonsági_eseményekben érintett elektronikus eszközök használatával létrehozott digitális információkat. A CERT-EU további részletekkel szolgálhat a helyzetismerethez és a biztonsági_eseményre való reagáláshoz szükséges információtípusokról.
(8) A CERT-EU háromhavonta összefoglaló jelentést nyújt be az IICB-nek, az ENISA-nak, az EU INTCEN-nek és a CSIRT-hálózatnak, amely anonimizált és összesített adatokat tartalmaz a 20. cikk szerinti jelentős biztonsági_eseményekről, biztonsági_eseményekről, kiberfenyegetésekről, majdnem_bekövetkezett_(near_miss)_eseményekről és sérülékenységekről, valamint az e cikk (2) bekezdése szerint bejelentett jelentős biztonsági_eseményekről. Az összefoglaló jelentés hozzájárul az uniós kiberbiztonsági helyzetről az (EU) 2022/2555 irányelv 18. cikke alapján elfogadott, kétévente kiadandó jelentéshez.
(9) Az IICB-nek 2024. július 8-ig iránymutatásokat vagy ajánlásokat kell ki bocsátania, amelyekben tovább pontosítja az e cikk szerinti jelentéstétel szabályait, formátumát és tartalmát. Az ilyen iránymutatások vagy ajánlások kidolgozása során az IICB figyelembe veszi az (EU) 2022/2555 irányelv 23. cikkének (11) bekezdése alapján elfogadott, az információk típusát, formátumát és az értesítésekre vonatkozó eljárást meghatározó végrehajtási jogi aktusokat. A CERT-EU megosztja a megfelelő technikai részleteket annak érdekében, hogy lehetővé tegye az uniós_szervezetek általi proaktív felderítést, biztonsági_eseményekre való reagálást vagy a mérséklő intézkedések meghozatalát.
(10) Az e cikkben meghatározott jelentéstételi kötelezettségek nem terjednek ki a következőkre:
| a) | EU-minősített adatok; |
| b) | olyan információk, amelyek további terjesztését egy látható jelöléssel kizárták, kivéve, ha kifejezetten engedélyezték azok CERT-EU-val való megosztását. |
22. cikk
A biztonsági_eseményekre való reagálás koordinálása és az azokkal kapcsolatos együttműködés
(1) Kiberbiztonsági információcsere- és eseményreagálási koordinációs központként eljárva a CERT-EU elősegíti a biztonsági_eseményekre, kiberfenyegetésekre, sérülékenységekre és majdnem_bekövetkezett_(near_miss)_eseményekre vonatkozó információcserét az alábbiak között:
| a) | az uniós_szervezetek; |
| b) | a 17. és a 18. cikkben említett partnerek. |
(2) A CERT-EU-nak – adott esetben az ENISA-val szorosan együttműködve – elő kell segítenie az uniós_szervezetek közötti koordinációt a biztonsági_eseményekre való reagálás terén, beleértve a következőket:
| a) | hozzájárulás az egységes külső kommunikációhoz; |
| b) | kölcsönös támogatás, például az uniós_szervezetek számára releváns információk megosztása vagy adott esetben közvetlen helyszíni segítségnyújtás; |
| c) | az operatív erőforrások optimális felhasználása; |
| d) | koordináció más uniós szintű válságreagálási mechanizmusokkal. |
(3) A CERT-EU az ENISA-val szorosan együttműködve támogatja az uniós_szervezeteket a biztonsági_eseményekkel, kiberfenyegetésekkel, sérülékenységekkel és majdnem_bekövetkezett_(near_miss)_eseményekkel kapcsolatos helyzetismeret kialakításában, valamint a kiberbiztonság területén bekövetkezett fontos fejlemények megosztásában.
(4) Az IICB-nek 2025. január 8-ig, a CERT-EU ajánlása alapján iránymutatásokat vagy ajánlásokat kell elfogadnia a jelentős biztonsági_eseményekre való reagálás koordinálásáról és az azokkal kapcsolatos együttműködésről. Amennyiben egy biztonsági_esemény büntetőjogi jellege gyanítható, a CERT-EU tanácsot ad arra vonatkozóan, hogy miként kell indokolatlan késedelem nélkül bejelenteni a biztonsági_eseményt a bűnüldöző hatóságoknak.
(5) Valamely tagállam egyedi kérésére és az érintett uniós_szervezetek jóváhagyásával a CERT-EU az (EU) 2022/2555 irányelv 15. cikke (3) bekezdésének g) pontjával összhangban felkérheti a 23. cikk (4) bekezdésében említett jegyzékben szereplő szakértőket, hogy járuljanak hozzá az adott tagállamban hatást gyakorló súlyos biztonsági_eseményre vagy egy nagyszabású kiberbiztonsági eseményre való reagáláshoz. Az IICB a CERT EU javaslatára egyedi szabályokat hagy jóvá az uniós_szervezetek technikai szakértőihez való hozzáférésre és azok igénybevételére vonatkozóan.
whereas