keyboard_tab Cyber Resilience Act 2023/2841 HU
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 1. cikk Tárgy
- 2 3. cikk Fogalommeghatározások
- 1 10. cikk Intézményközi Kiberbiztonsági Testület
- 2 13. cikk A CERT-EU küldetése és feladatai
- 1 14. cikk Iránymutatások, ajánlások és cselekvési felhívások
- 1 17. cikk A CERT-EU és a tagállami partnerek közötti együttműködés
- 1 18. cikk A CERT-EU együttműködése más partnerekkel
- 1 19. cikk Információkezelés
- 3 20. cikk Kiberbiztonsági információmegosztási megállapodások
- 3 21. cikk Jelentéstételi kötelezettségek
I. FEJEZET
ÁLTALÁNOS RENDELKEZÉSEK
II. FEJEZET
A KIBERBIZTONSÁG EGYSÉGESEN MAGAS SZINTJÉRE IRÁNYULÓ INTÉZKEDÉSEK
III. FEJEZET
INTÉZMÉNYKÖZI KIBERBIZTONSÁGI TESTÜLET
IV. FEJEZET
CERT-EU
V. FEJEZET
EGYÜTTMŰKÖDÉSI ÉS JELENTÉSTÉTELI KÖTELEZETTSÉGEK
VI. FEJEZET
ZÁRÓ RENDELKEZÉSEK
- uniós szervezetek
- hálózati és információs rendszer
- hálózati és információs rendszerek biztonsága
- kiberbiztonság
- legmagasabb vezetői szint
- majdnem bekövetkezett (near miss) esemény
- biztonsági esemény
- súlyos biztonsági esemény
- nagyszabású kiberbiztonsági esemény
- biztonsági esemény kezelése
- kiberfenyegetés
- jelentős kiberfenyegetés
- sérülékenység
- kiberbiztonsági kockázat
- felhőszolgáltatás
- cert-eu 58
- vagy 53
- uniós 40
- kiberbiztonsági 39
- iicb 35
- uniós_szervezetek 26
- hogy 25
- az 25
- kell 24
- európai 23
- érintett 23
- szervezet 23
- cikk 21
- esetben 21
- adott 20
- való 19
- jelentős 19
- a 19
- eu / irányelv 18
- információkat 17
- meghatározott 17
- biztonsági_esemény 16
- olyan 16
- alapján 15
- vonatkozó 15
- nélkül 15
- említett 14
- amelyek 13
- rendelet 12
- pontjában 12
- belül 10
- cikkének 10
- biztonsági_események 10
- számára 10
- valamint 10
- amely 10
- partnerekkel 10
- által 9
- indokolatlan 9
- késedelem 9
- minden 9
- szerinti 9
- összhangban 8
- létrehozott 8
- információk 8
- szerint 8
- ilyen 8
- annak 8
- érdekében 8
- uniós_szervezeteknek 7
1. cikk
Tárgy
Ez a rendelet olyan intézkedéseket állapít meg, amelyek célja a kiberbiztonság egységesen magas szintjének elérése az uniós_szervezeteken belül az alábbiakra való tekintettel:
| a) | az egyes uniós_szervezetek belső kiberbiztonsági kockázatkezelési, -irányítási és -ellenőrzési keretrendszerének létrehozása a 6. cikk szerint; |
| b) | kiberbiztonsági kockázatok kezelése, jelentéstétel és információmegosztás; |
| c) | a 10. cikk alapján létrehozott Intézményközi Kiberbiztonsági Testület szervezete, működése és működtetése, valamint az uniós intézmények, szervek, hivatalok és ügynökségek Kiberbiztonsági Szolgálatának (CERT-EU) szervezete, működése és működtetése; |
| d) | e rendelet végrehajtásának nyomon követése; |
3. cikk
Fogalommeghatározások
E rendelet alkalmazásában:
| 1. | „ uniós_szervezetek”: az Európai Unióról szóló szerződés, az Európai Unió működéséről szóló szerződés (EUMSZ) vagy az Európai Atomenergia-közösséget létrehozó szerződés által vagy ezek szerint létrehozott uniós intézmények, szervek, hivatalok és ügynökségek; |
| 2. | „ hálózati_és_információs_rendszer”: az (EU) 2022/2555 irányelv 6. cikkének 1. pontjában meghatározott hálózati_és_információs_rendszer; |
| 3. | „ hálózati_és_információs_rendszerek biztonsága”: az (EU) 2022/2555 irányelv 6. cikkének 2. pontjában meghatározott hálózati_és_információs_rendszerek biztonsága; |
| 4. | „ kiberbiztonság”: az (EU) 2019/881 rendelet 2. cikkének 1. pontjában meghatározott kiberbiztonság; |
| 5. | „ legmagasabb_vezetői_szint”: az uniós szervezet működéséért felelős vezető személy, vezető testület vagy koordináló és felügyeleti testület a legmagasabb igazgatási szinten, aki vagy amely az említett uniós szervezet magas szintű irányítására vonatkozó szabályoknak megfelelően felhatalmazással rendelkezik döntések meghozatalára vagy engedélyezésére, az egyéb vezetői szintek saját felelősségi körükbe tartozó megfelelési és kiberbiztonsági kockázatkezelési formális kötelezettségeinek sérelme nélkül; |
| 6. | „ majdnem_bekövetkezett_(near_miss)_esemény”: az (EU) 2022/2555 irányelv 6. cikkének 5. pontjában meghatározott majdnem_bekövetkezett_(near_miss)_esemény; |
| 7. | „ biztonsági_esemény”: az (EU) 2022/2555 irányelv 6. cikkének 6. pontjában meghatározott esemény; |
| 8. | „súlyos biztonsági_esemény”: olyan biztonsági_esemény, amely olyan szintű zavart okoz, amely meghaladja az adott uniós szervezet és a CERT-EU reagálási képességeit, vagy amely legalább két uniós szervezetre jelentős hatást gyakorol; |
| 9. | „nagyszabású kiberbiztonsági esemény”: az (EU) 2022/2555 irányelv 6. cikkének 7. pontjában meghatározott nagyszabású kiberbiztonsági esemény; |
| 10. | „ biztonsági_esemény kezelése”: az (EU) 2022/2555 irányelv 6. cikkének 8. pontjában meghatározott eseménykezelés; |
| 11. | „ kiberfenyegetés”: az (EU) 2019/881 rendelet 2. cikkének 8. pontjában meghatározott kiberfenyegetés; |
| 12. | „jelentős kiberfenyegetés”: az (EU) 2022/2555 irányelv 6. cikkének 11. pontjában meghatározott jelentős kiberfenyegetés; |
| 13. | „ sérülékenység”: az (EU) 2022/2555 irányelv 6. cikkének 15. pontjában meghatározott sérülékenység; |
| 14. | „ kiberbiztonsági kockázat”: az (EU) 2022/2555 irányelv 6. cikkének 9. pontjában meghatározott kockázat; |
| 15. | „ felhőszolgáltatás”: az (EU) 2022/2555 irányelv 6. cikkének 30. pontjában meghatározott felhőszolgáltatás; |
10. cikk
Intézményközi Kiberbiztonsági Testület
(1) Létrejön az Intézményközi Kiberbiztonsági Testület (a továbbiakban: az IICB).
(2) Az IICB felelős az alábbiakért:
| a) | e rendelet uniós_szervezetek általi végrehajtásának nyomon követése és támogatása; |
| b) | az általános prioritások és célkitűzések CERT-EU általi végrehajtásának felügyelete és stratégiai irányítás biztosítása a CERT-EU számára. |
(3) Az IICB tagjai a következők:
| a) | az alábbiak mindegyike által kinevezett egy-egy képviselő:
|
| b) | három képviselő, akiket az uniós ügynökségek hálózata (a továbbiakban: az EUAN) jelöl ki IKT-tanácsadó bizottságának javaslata alapján az a) pontban említettektől eltérő, saját IKT-környezetüket működtető uniós szervek, hivatalok és ügynökségek érdekeinek képviseletére. |
Az IICB-ben képviselt uniós_szervezetek törekednek arra, hogy a kijelölt képviselők körében megvalósuljon a nemek közötti egyensúly.
(4) Az IICB tagjainak munkáját póttag segítheti. Az elnök meghívhatja a (3) bekezdésben említett uniós_szervezetek vagy más uniós_szervezetek egyéb képviselőit, hogy szavazati jog nélkül részt vegyenek az IICB ülésein.
(5) A CERT-EU vezetője, valamint az (EU) 2022/2555 irányelv 14., 15. és 16. cikke alapján létrehozott együttműködési csoport, a CSIRT-ek hálózata és az EU-CyCLONe elnökei vagy az őket helyettesítő póttagok megfigyelőként részt vehetnek az IICB ülésein. Kivételes esetekben és az IICB – belső eljárási szabályzatával összhangban – másként határozhat.
(6) Az IICB elfogadja saját belső eljárási szabályzatát.
(7) Az IICB – belső eljárási szabályzatával összhangban – a tagjai közül hároméves időtartamra elnököt jelöl ki. Az elnököt helyettesítő póttag ugyanezen időtartamra az IICB teljes jogú tagjává válik.
(8) Az IICB az elnök kezdeményezésére, illetve a CERT-EU-nak vagy bármely tagjának kérésére évente legalább háromszor ülésezik.
(9) Az IICB minden tagja egy szavazattal rendelkezik. Amennyiben e rendelet másként nem rendelkezik, az IICB határozatait egyszerű többséggel hozza meg. Az IICB elnöke csak szavazategyenlőség esetén szavazhat, amelynek során az elnök döntő szavazatot adhat le.
(10) Az IICB a belső eljárási szabályzatával összhangban kezdeményezett egyszerűsített írásbeli eljárás keretében járhat el. Ezen eljárás szerint a vonatkozó határozatot az elnök által meghatározott határidőn belül elfogadottnak kell tekinteni, kivéve, ha valamely tag kifogást emel ellene.
(11) Az IICB titkárságát a Bizottság biztosítja, és az az IICB elnökének tartozik felelősséggel.
(12) Az EUAN által kijelölt képviselők továbbítják az IICB határozatait az EUAN tagjainak. Az EUAN bármely tagja jogosult az említett képviselők vagy az IICB elnöke elé terjeszteni minden olyan ügyet, amelyet megítélése szerint az IICB tudomására kell hozni.
(13) Az IICB létrehozhat egy végrehajtó bizottságot, amely segíti munkáját, és bizonyos feladatait és hatásköreit átruházhatja rá. Az IICB megállapítja a végrehajtó bizottság eljárási szabályzatát, beleértve annak feladatait és hatásköreit, valamint tagjainak hivatali idejét.
(14) Az IICB 2025. január 8-ig, majd azt követően évente jelentést nyújt be az Európai Parlamentnek és a Tanácsnak, amelyben részletezi az e rendelet végrehajtása terén elért eredményeket, és különösen a CERT-EU és az egyes tagállamokban található tagállami partnerei közötti együttműködés mértékét. A jelentés hozzájárul az uniós kiberbiztonsági helyzetről az (EU) 2022/2555 irányelv 18. cikke alapján elfogadott, kétévente kiadandó jelentéshez.
13. cikk
A CERT-EU küldetése és feladatai
(1) A CERT-EU küldetése, hogy hozzájáruljon az uniós_szervezetek nem minősített IKT-környezetének biztonságához azáltal, hogy kiberbiztonsági tanácsadást nyújt számukra, segíti a biztonsági_események megelőzését, észlelését, kezelését, mérséklését, az azokra való reagálást és az azokat követő helyreállítást, valamint azáltal, hogy a kiberbiztonsági információcsere és a biztonsági_eseményekre való reagálás koordinációs központjaként működik.
(2) A CERT-EU információkat gyűjt a nem minősített IKT-infrastruktúrát érintő kiberfenyegetésekről, sérülékenységekről és biztonsági_eseményekről, ezeket az információkat kezeli és elemzi, valamint megosztja az uniós_szervezetekkel. Intézményközi szinten és az uniós_szervezetek szintjén koordinálja a biztonsági_eseményekre való reagálást, ideértve konkrét operatív segítségnyújtás biztosítását vagy koordinálását is.
(3) A CERT-EU a következő feladatokat látja el az uniós_szervezetek támogatása érdekében:
| a) | támogatja őket e rendelet végrehajtásában, és a 14. cikk (1) bekezdésében felsorolt intézkedések vagy az IICB által kért eseti jelentések révén hozzájárul e rendelet végrehajtásának koordinálásához; |
| b) | az uniós_szervezetek számára szabványos CSIRT-szolgáltatásokat kínál a szolgáltatási katalógusában ismertetett kiberbiztonsági szolgáltatáscsomag eszközei által (a továbbiakban: alapszolgáltatások); |
| c) | hálózatot tart fenn a hasonló szervezetekkel és partnerekkel a 17. és 18. cikkben vázolt szolgáltatások támogatása érdekében; |
| d) | felhívja az IICB figyelmét az e rendelet végrehajtásával, valamint az iránymutatások, ajánlások és cselekvési felhívások végrehajtásával kapcsolatos bármely problémára; |
| e) | a (2) bekezdésben említett információk alapján az ENISA-val szorosan együttműködve hozzájárul az Unió kiberbiztonsági helyzetismeretéhez; |
| f) | koordinálja a súlyos biztonsági_események kezelését; |
| g) | az (EU) 2022/2555 irányelv 12. cikkének (1) bekezdése szerint a sérülékenységek összehangolt közzététele céljából kijelölt koordinátorral egyenértékűként eljár az uniós_szervezetek részéről; |
| h) | valamely uniós szervezet kérésére proaktív, behatolásmentes átvilágítást végez az adott uniós szervezet nyilvánosan hozzáférhető hálózati_és_információs_rendszerein. |
Az első albekezdés e) pontjában említett információkat adott esetben, megfelelő titoktartási feltételek mellett kell megosztani az IICB-vel, a CSIRT-ek hálózatával és az Európai Unió Helyzetelemző Központjával (EU INTCEN).
(4) A CERT-EU a 17. vagy adott esetben a 18. cikkel összhangban együttműködhet az Unión és tagállamain belüli releváns kiberbiztonsági közösségekkel, többek között a következő területeken:
| a) | felkészültség, biztonsági_események koordinálása, információcsere és válságreagálás technikai szinten az uniós_szervezetekkel kapcsolatos ügyekben; |
| b) | operatív együttműködés a CSIRT-ek hálózatával, többek között a kölcsönös segítségnyújtással kapcsolatban; |
| c) | kiberfenyegetettségi információk, beleértve a helyzetismeretet; |
| d) | a CERT-EU technikai kiberbiztonsági szakértelmét igénylő bármely téma. |
(5) Hatáskörén belül a CERT-EU az (EU) 2019/881 rendelettel összhangban strukturált együttműködést folytat az ENISA-val a kapacitásépítés, az operatív együttműködés és a kiberfenyegetések hosszú távú stratégiai elemzése terén. A CERT-EU együttműködhet és információt cserélhet az Europol Kiberbűnözés Elleni Európai Központjával.
(6) A CERT-EU a szolgáltatáskatalógusában nem szereplő következő szolgáltatásokat (a továbbiakban: díjköteles szolgáltatások) nyújthatja:
| a) | a (3) bekezdésben említettektől eltérő, az uniós_szervezetek IKT-környezetének kiberbiztonságát támogató szolgáltatások, a szolgáltatási szintre vonatkozó megállapodások alapján és a rendelkezésre álló erőforrások függvényében, különösen a hálózatok széles spektrumú nyomon követése, beleértve a súlyos kiberfenyegetések a hét minden napján, napi 24 órában történő közvetlen nyomon követését is; |
| b) | olyan szolgáltatások, amelyek írásbeli megállapodások alapján és az IICB előzetes jóváhagyásával támogatják az uniós_szervezetek kiberbiztonsági műveleteit vagy projektjeit, kivéve azokat, amelyek IKT-környezetük védelmét szolgálják; |
| c) | kérésre az érintett uniós szervezet hálózati_és_információs_rendszereinek proaktív átvilágítása a potenciálisan jelentős hatással bíró sérülékenységek felderítése érdekében; |
| d) | írásbeli megállapodások alapján és az IICB előzetes jóváhagyásával az uniós_szervezetektől eltérő olyan szervezetek számára nyújtott, IKT-környezetük biztonságát támogató szolgáltatások, amelyek szorosan együttműködnek az uniós_szervezetekkel, például az uniós jog által rájuk ruházott feladatok vagy felelősségi körök teljesítése révén. |
Az első albekezdés d) pontja tekintetében a CERT-EU kivételes esetben, az IICB előzetes jóváhagyásával az uniós_szervezeteken kívüli egyéb szervezetekkel is köthet szolgáltatási szintre vonatkozó megállapodásokat.
(7) A CERT-EU – adott esetben az ENISA-val szoros együttműködésben – kiberbiztonsági gyakorlatokat szervez, és részt vehet azokban, vagy ajánlhatja a meglévő gyakorlatokban való részvételt az uniós_szervezetek kiberbiztonsági szintjének tesztelése céljából.
(8) A CERT-EU segítséget nyújthat az uniós_szervezeteknek az EU-minősített adatokat kezelő hálózati_és_információs_rendszerekben előforduló biztonsági_események tekintetében, amennyiben az érintett uniós_szervezetek erre saját eljárásaikkal összhangban kifejezetten felkérik. A CERT-EU által e bekezdés alapján nyújtott segítség nem érinti a minősített adatok védelmére vonatkozó alkalmazandó szabályokat.
(9) A CERT-EU tájékoztatja az uniós_szervezeteket a biztonsági_események kezelésére szolgáló eljárásairól és folyamatairól.
(10) A CERT-EU a megfelelő együttműködési mechanizmusokon és jelentési útvonalakon keresztül magas szintű titoktartás és megbízhatóság mellett szolgáltat releváns és anonimizált információkat a súlyos biztonsági_eseményekről és azok kezelésének módjáról. Ezeket az információkat bele kell foglalni a 10. cikk (14) bekezdésében említett jelentésbe.
(11) A CERT-EU az európai adatvédelmi biztossal együttműködve támogatja az érintett uniós_szervezeteket a személyes adatok megsértéséhez vezető biztonsági_események kezelésében, az európai adatvédelmi biztosnak az (EU) 2018/1725 rendelet szerinti felügyeleti hatóságként fennálló hatáskörének és feladatainak sérelme nélkül.
(12) Ha az uniós_szervezetek szakpolitikai részlegei azt kifejezetten kérik, a CERT-EU technikai tanácsot adhat vagy technikai véleményt nyilváníthat releváns szakpolitikai kérdésekben.
14. cikk
Iránymutatások, ajánlások és cselekvési felhívások
(1) A CERT-EU e rendelet végrehajtását a következők kibocsátásával támogatja:
| a) | cselekvési felhívások, amelyek ismertetik azokat a sürgős biztonsági intézkedéseket, amelyeket az uniós_szervezeteknek meghatározott időn belül meg kell hozniuk; |
| b) | javaslatok az IICB számára az uniós_szervezetek összességének vagy egy részhalmazának szóló iránymutatásokra vonatkozóan; |
| c) | javaslatok az IICB számára az egyes uniós_szervezeteknek címzett ajánlásokra vonatkozóan. |
Az első albekezdés a) pontja tekintetében az érintett uniós szervezet a cselekvési felhívás kézhezvételét követően indokolatlan késedelem nélkül tájékoztatja a CERT-EU-t arról, hogy hogyan alkalmazta a sürgős biztonsági intézkedéseket.
(2) Az iránymutatások és ajánlások a következőket foglalhatják magukban:
| a) | az uniós_szervezetek kiberbiztonsági érettségének értékelésére szolgáló közös módszertanok és modell, beleértve a megfelelő léptékeket vagy fő teljesítménymutatókat is, amelyek referenciaként szolgálnak az uniós_szervezetek folyamatos kiberbiztonsági fejlődésének támogatásához, és megkönnyítik a kiberbiztonsági területek és intézkedések rangsorolását, figyelembe véve a szervezetek kiberbiztonsági helyzetét; |
| b) | a kiberbiztonsági kockázatkezelésre és a kiberbiztonsági kockázatkezelési intézkedésekre vonatkozó szabályok vagy javítások; |
| c) | a kiberbiztonsági érettségi értékelésekre és kiberbiztonsági tervekre vonatkozó szabályok; |
| d) | adott esetben a közös technológia, az architektúra, a nyílt forráskód és a kapcsolódó legjobb gyakorlatok alkalmazása az interoperabilitás és az egységes szabványok megvalósítása céljából, beleértve az ellátási lánc biztonságára vonatkozó koordinált megközelítést; |
| e) | adott esetben olyan információk, amelyek megkönnyítik a releváns kiberbiztonsági szolgáltatások és termékek harmadik fél beszállítóktól történő beszerzésére szolgáló közös közbeszerzési eszközök használatát; |
| f) | a 20. cikk szerinti információmegosztási megállapodások. |
17. cikk
A CERT-EU és a tagállami partnerek közötti együttműködés
(1) A CERT-EU indokolatlan késedelem nélkül együttműködik és információcserét folytat a tagállami partnerekkel, különösen az (EU) 2022/2555 irányelv 10. cikke alapján kijelölt vagy létrehozott CSIRT-ekkel, vagy adott esetben az említett irányelv 8. cikke szerint kijelölt vagy létrehozott illetékes hatóságokkal és egyedüli kapcsolattartó pontokkal a biztonsági_események, a kiberfenyegetések, a sérülékenységek, a majdnem_bekövetkezett_(near_miss)_események, a lehetséges ellenintézkedések és a bevált gyakorlatok, valamint az uniós_szervezetek IKT-környezetei védelmének javítása szempontjából releváns valamennyi kérdés tekintetében, többek között az (EU) 2022/2555 irányelv 15. cikke alapján létrehozott CSIRT-hálózaton keresztül. A CERT-EU támogatja a Bizottságot a nagyszabású kiberbiztonsági események és válsághelyzetek összehangolt kezeléséről szóló (EU) 2022/2555 irányelv 16. cikke alapján létrehozott EU-CyCLONe-ban.
(2) Amennyiben a CERT-EU valamely tagállam területén bekövetkező jelentős biztonsági_eseményről szerez tudomást, az (1) bekezdéssel összhangban haladéktalanul értesíti az érintett partnert az adott tagállamban.
(3) A CERT-EU – feltéve, hogy a személyes adatok az alkalmazandó uniós adatvédelmi joggal összhangban védelemben részesülnek – indokolatlan késedelem nélkül, az érintett uniós szervezet beleegyezése nélkül megosztja a releváns biztonságiesemény-specifikus információkat a hasonló kiberfenyegetések vagy biztonsági_események felderítésének megkönnyítése vagy a biztonsági_esemény elemzéséhez való hozzájárulás érdekében a tagállami partnerekkel. A CERT-EU az olyan biztonságiesemény-specifikus információkat, amelyek feltárják a biztonsági_esemény célpontját csak az alábbiak egyikének fennállása esetén oszthatja meg:
| a) | az érintett uniós szervezet beleegyezését adja; |
| b) | az érintett uniós szervezet nem adja beleegyezését az a) pontban előírtak szerint, de az érintett uniós szervezet kilétének közzététele növelné annak valószínűségét, hogy a máshol bekövetkező biztonsági_eseményeket elkerülnék vagy mérsékelnék; |
| c) | az érintett uniós szervezet már nyilvánosságra hozta, hogy érintett volt. |
A biztonsági_eseményre vonatkozó azon információk cseréjére vonatkozó határozatokat, amelyek az első albekezdés b) pontja alapján feltárják a biztonsági_esemény célpontjának kilétét, a CERT-EU vezetőjének jóvá kell hagynia. Az ilyen határozat kibocsátása előtt a CERT-EU írásban felveszi a kapcsolatot az érintett uniós szervezettel, egyértelműen kifejtve, hogy kilétének nyilvánosságra hozatala hogyan segítené elő máshol a biztonsági_események elkerülését vagy mérséklését. A CERT-EU vezetőjének magyarázatot kell adnia, és kifejezetten fel kell kérnie az uniós szervezetet, hogy meghatározott határidőn belül nyilatkozzon arról, hogy beleegyezik-e ebbe. A CERT-EU vezetője arról is tájékoztatja az uniós szervezetet, hogy az adott magyarázat fényében fenntartja magának a jogot arra, hogy még beleegyezés hiányában is közzétegye az információkat. Az érintett uniós szervezetet az információk közzététele előtt tájékoztatni kell.
18. cikk
A CERT-EU együttműködése más partnerekkel
(1) A CERT-EU együttműködhet az uniós kiberbiztonsági követelmények hatálya alá tartozó, a 17. cikkben említettektől eltérő uniós partnerekkel, többek között ágazatspecifikus partnerekkel az eszközök és módszerek – például a technikák, taktikák, eljárások és a legjobb gyakorlatok –, valamint a kiberfenyegetések és - sérülékenységek terén. Az ilyen partnerekkel való mindennemű együttműködéshez a CERT-EU-nak – eseti alapon – előzetes jóváhagyást kell kérnie az IICB-től. Amennyiben a CERT-EU ilyen partnerekkel alakít ki együttműködést, erről tájékoztatnia kell a partner székhelye szerinti tagállamban működő valamennyi, a 17. cikk (1) bekezdésében említett érintett tagállami partnert. Adott esetben az ilyen együttműködést és annak feltételeit – többek között a kiberbiztonság, az adatvédelem és az információkezelés tekintetében – egyedi titoktartási megállapodásokban, például szerződésekben vagy igazgatási megállapodásokban kell meghatározni. A titoktartási megállapodásokhoz nem kell kikérni az IICB előzetes jóváhagyását, de az IICB elnökét ezekről tájékoztatni kell. Abban az esetben, ha az uniós_szervezetek vagy egy másik fél érdekében sürgős és azonnali kiberbiztonsági információcserére van szükség, a CERT-EU ezt megteheti egy olyan szervezettel, amelynek különleges kompetenciája, kapacitása és szakértelme indokoltan szükséges ahhoz, hogy segítséget nyújtson egy ilyen sürgős és azonnali szükséglet kielégítéséhez, még akkor is, ha a CERT-EU nem kötött titoktartási megállapodást az adott szervezettel. Ilyen esetekben a CERT-EU haladéktalanul tájékoztatja az IICB elnökét, és rendszeres jelentések vagy ülések útján jelentést tesz az IICB-nek.
(2) A CERT-EU együttműködhet más partnerekkel, például kereskedelmi szervezetekkel, köztük ágazatspecifikus ipari szervezetekkel, nemzetközi szervezetekkel, nem uniós nemzeti szervezetekkel vagy egyéni szakértőkkel annak érdekében, hogy információkat gyűjtsön az általános és konkrét kiberfenyegetésekről, a majdnem_bekövetkezett_(near_miss)_eseményekről, a sérülékenységekről és a lehetséges ellenintézkedésekről. Az ilyen partnerekkel való szélesebb körű együttműködéshez a CERT-EU-nak eseti alapon előzetes jóváhagyást kell kérnie az IICB-től.
(3) A CERT-EU – a biztonsági_esemény által érintett uniós szervezet beleegyezésével, és feltéve, hogy az érintett partnerrel titoktartási megállapodás vagy szerződés van érvényben – az (1) és a (2) bekezdésben említett partnerek rendelkezésére bocsáthatja az adott biztonsági_eseményre vonatkozó információkat, kizárólag az elemzéséhez való hozzájárulás céljából.
V. FEJEZET
EGYÜTTMŰKÖDÉSI ÉS JELENTÉSTÉTELI KÖTELEZETTSÉGEK
19. cikk
Információkezelés
(1) Az uniós_szervezeteknek és a CERT-EU-nak tiszteletben kell tartaniuk az EUMSZ 339. cikke vagy az azzal egyenértékű alkalmazandó keretrendszerek szerinti szakmai titoktartási kötelezettséget.
(2) Az 1049/2001/EK európai parlamenti és tanácsi rendelet (10) alkalmazandó a CERT-EU birtokában lévő dokumentumokhoz való nyilvános hozzáférés iránti kérelmekre, beleértve az említett rendelet szerinti azon kötelezettséget is, hogy minden olyan esetben, amikor a kérelem azok dokumentumaira vonatkozik, konzultálni kell más uniós_szervezetekkel vagy adott esetben a tagállamokkal.
(3) Az uniós_szervezetek és a CERT-EU általi információkezelésnek meg kell felelnie az információbiztonság tekintetében alkalmazandó szabályoknak.
20. cikk
Kiberbiztonsági információmegosztási megállapodások
(1) Az uniós_szervezetek önkéntes alapon értesíthetik a CERT-EU-t az őket érintő biztonsági_eseményekről, kiberfenyegetésekről, majdnem_bekövetkezett_(near_miss)_eseményekről és sérülékenységekről, és azokról információkat szolgáltathatnak számára. A CERT-EU biztosítja, hogy az uniós_szervezetekkel való információmegosztás megkönnyítése érdekében hatékony, magas szintű nyomon követhetőséget, titkosságot és megbízhatóságot biztosító kommunikációs eszközök álljanak rendelkezésre. Az értesítések feldolgozásakor a CERT-EU előnyben részesítheti a kötelező értesítések feldolgozását az önkéntes értesítésekkel szemben. A 12. cikk sérelme nélkül, az önkéntes értesítés nem eredményezhet olyan további kötelezettségeket az adatszolgáltató uniós szervezet számára, amelyek nem terhelték volna, ha nem nyújtotta volna be az értesítést.
(2) Annak érdekében, hogy teljesítse a 13. cikkben ráruházott küldetését és feladatait, a CERT-EU felkérheti az uniós_szervezeteket, hogy információkat szolgáltassanak számára IKT rendszereik nyilvántartásaiból, ideértve a kiberfenyegetésekre, a majdnem_bekövetkezett_(near_miss)_eseményekre, a sérülékenységekre, a fertőzöttségi mutatókra (IoC), a kiberbiztonsági figyelmeztetésekre és a biztonsági_események észlelésére szolgáló kiberbiztonsági eszközök konfigurációjára vonatkozó ajánlásokra vonatkozó információkat is. A megkeresett uniós szervezet indokolatlan késedelem nélkül továbbítja a kért információt és annak minden későbbi frissítését is.
(3) A CERT-EU akkor cserélhet az uniós_szervezetekkel olyan biztonságiesemény-specifikus információkat, amelyek felfedik a biztonsági eseménnyel érintett uniós szervezet kilétét, ha az érintett uniós szervezet abba beleegyezik. Amennyiben egy uniós szervezet megtagadja a beleegyezését, a CERT-EU rendelkezésére kell bocsátania a döntését alátámasztó indokokat.
(4) Az uniós_szervezeteknek kérésre meg kell osztaniuk az Európai Parlamenttel és a Tanáccsal a kiberbiztonsági tervek teljesítésére vonatkozó információkat.
(5) Az IICB vagy adott esetben a CERT-EU kérésre iránymutatásokat, ajánlásokat és cselekvési felhívásokat oszt meg az Európai Parlamenttel és a Tanáccsal.
(6) Az e cikkben meghatározott megosztási kötelezettségek nem terjednek ki a következőkre:
| a) | EU-minősített adatok; |
| b) | olyan információk, amelyek további terjesztését egy látható jelöléssel kizárták, kivéve, ha kifejezetten engedélyezték azok CERT-EU-val való megosztását. |
21. cikk
Jelentéstételi kötelezettségek
(1) Egy biztonsági_esemény akkor tekintendő jelentősnek, ha:
| a) | súlyos működési zavart eredményezett, illetve eredményezhet az uniós szervezet működésében, vagy pénzügyi veszteséggel járt, illetve járhat az érintett uniós szervezet számára; |
| b) | a biztonsági_esemény jelentős vagyoni vagy nem vagyoni kár okozásával más természetes vagy jogi személyeket érintett vagy érinthet. |
(2) Az uniós_szervezeteknek be kell nyújtaniuk a CERT-EU-nak a következőket:
| a) | indokolatlan késedelem nélkül, de minden esetben a jelentős biztonsági_eseményről való tudomásszerzéstől számított 24 órán belül egy első figyelmeztetést, amelyben adott esetben fel kell tüntetni, hogy a jelentős biztonsági_eseményt gyaníthatóan jogellenes vagy rosszindulatú cselekmény okozta-e és hogy lehet-e több szervezetre kiterjedő vagy határokon átnyúló hatása; |
| b) | indokolatlan késedelem nélkül, de minden esetben a jelentős biztonsági_eseményről való tudomásszerzéstől számított 72 órán belül a biztonsági_eseményről szóló értesítést, amely adott esetben aktualizálja az a) pontban említett információkat, és tartalmazza a jelentős biztonsági_esemény, illetve annak súlyossága és hatása kezdeti értékelését, valamint – amennyiben rendelkezésre állnak – a fertőzöttségi mutatókat; |
| c) | a CERT-EU kérésére a releváns állapotfrissítésekről szóló időközi jelentést. |
| d) | zárójelentést, legkésőbb a b) pont szerinti, a biztonsági_eseményről való értesítés benyújtását követő egy hónapon belül, amely tartalmazza a következőket:
|
| e) | a d) pontban említett zárójelentés benyújtásának időpontjában folyamatban lévő biztonsági_esemény esetén az említett időpontban eredményjelentés, a biztonsági_esemény kezelését követő egy hónapon belül pedig zárójelentés. |
(3) Az uniós szervezet indokolatlan késedelem nélkül, de minden esetben a jelentős biztonsági_eseményről való tudomásszerzéstől számított 24 órán belül tájékoztatja a 17. cikk (1) bekezdésében említett, a székhelye szerinti tagállamban működő érintett tagállami partnereket a jelentős biztonsági_esemény bekövetkezéséről.
(4) Az uniós_szervezeteknek be kell jelenteniük többek között minden olyan információt, amely lehetővé teszi a CERT-EU számára, hogy a jelentős biztonsági_eseményt követően azonosítsa a szervezetek közötti, a fogadó tagállamra gyakorolt vagy határokon átnyúló hatást. A 12. cikk sérelme nélkül, pusztán az értesítés következtében az uniós szervezetet többletfelelősség nem terhelheti.
(5) Adott esetben az uniós_szervezetek indokolatlan késedelem nélkül tájékoztatják az érintett hálózati_és_információs_rendszerek vagy az IKT-környezet más elemei azon felhasználóit, akiket jelentős biztonsági_esemény vagy jelentős kiberfenyegetés érinthet, és adott esetben tájékoztatják őket a biztonsági_eseményre vagy fenyegetésre válaszul általuk hozható mérséklő intézkedésekről, egyéb intézkedésekről vagy korrekciós intézkedésekről is. Adott esetben az uniós_szervezetek tájékoztatják a felhasználókat magáról a jelentős kiberfenyegetésről.
(6) Amennyiben egy jelentős biztonsági_esemény vagy jelentős kiberfenyegetés egy hálózati_és_információs_rendszert, vagy egy uniós szervezet IKT-környezetének valamely olyan elemét érinti, amely köztudottan kapcsolódik egy másik uniós szervezet IKT-környezetéhez, a CERT-EU megfelelő kiberbiztonsági riasztást ad ki.
(7) Az uniós_szervezetek a CERT-EU kérésére indokolatlan késedelem nélkül átadják a CERT-EU részére a biztonsági_eseményekben érintett elektronikus eszközök használatával létrehozott digitális információkat. A CERT-EU további részletekkel szolgálhat a helyzetismerethez és a biztonsági_eseményre való reagáláshoz szükséges információtípusokról.
(8) A CERT-EU háromhavonta összefoglaló jelentést nyújt be az IICB-nek, az ENISA-nak, az EU INTCEN-nek és a CSIRT-hálózatnak, amely anonimizált és összesített adatokat tartalmaz a 20. cikk szerinti jelentős biztonsági_eseményekről, biztonsági_eseményekről, kiberfenyegetésekről, majdnem_bekövetkezett_(near_miss)_eseményekről és sérülékenységekről, valamint az e cikk (2) bekezdése szerint bejelentett jelentős biztonsági_eseményekről. Az összefoglaló jelentés hozzájárul az uniós kiberbiztonsági helyzetről az (EU) 2022/2555 irányelv 18. cikke alapján elfogadott, kétévente kiadandó jelentéshez.
(9) Az IICB-nek 2024. július 8-ig iránymutatásokat vagy ajánlásokat kell ki bocsátania, amelyekben tovább pontosítja az e cikk szerinti jelentéstétel szabályait, formátumát és tartalmát. Az ilyen iránymutatások vagy ajánlások kidolgozása során az IICB figyelembe veszi az (EU) 2022/2555 irányelv 23. cikkének (11) bekezdése alapján elfogadott, az információk típusát, formátumát és az értesítésekre vonatkozó eljárást meghatározó végrehajtási jogi aktusokat. A CERT-EU megosztja a megfelelő technikai részleteket annak érdekében, hogy lehetővé tegye az uniós_szervezetek általi proaktív felderítést, biztonsági_eseményekre való reagálást vagy a mérséklő intézkedések meghozatalát.
(10) Az e cikkben meghatározott jelentéstételi kötelezettségek nem terjednek ki a következőkre:
| a) | EU-minősített adatok; |
| b) | olyan információk, amelyek további terjesztését egy látható jelöléssel kizárták, kivéve, ha kifejezetten engedélyezték azok CERT-EU-val való megosztását. |
whereas