keyboard_tab Cyber Resilience Act 2023/2841 HU
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 3. cikk Fogalommeghatározások
- 1 11. cikk Az IICB feladatai
- 1 14. cikk Iránymutatások, ajánlások és cselekvési felhívások
- 1 17. cikk A CERT-EU és a tagállami partnerek közötti együttműködés
- 2 21. cikk Jelentéstételi kötelezettségek
I. FEJEZET
ÁLTALÁNOS RENDELKEZÉSEK
II. FEJEZET
A KIBERBIZTONSÁG EGYSÉGESEN MAGAS SZINTJÉRE IRÁNYULÓ INTÉZKEDÉSEK
III. FEJEZET
INTÉZMÉNYKÖZI KIBERBIZTONSÁGI TESTÜLET
IV. FEJEZET
CERT-EU
V. FEJEZET
EGYÜTTMŰKÖDÉSI ÉS JELENTÉSTÉTELI KÖTELEZETTSÉGEK
VI. FEJEZET
ZÁRÓ RENDELKEZÉSEK
- uniós szervezetek
- hálózati és információs rendszer
- hálózati és információs rendszerek biztonsága
- kiberbiztonság
- legmagasabb vezetői szint
- majdnem bekövetkezett (near miss) esemény
- biztonsági esemény
- súlyos biztonsági esemény
- nagyszabású kiberbiztonsági esemény
- biztonsági esemény kezelése
- kiberfenyegetés
- jelentős kiberfenyegetés
- sérülékenység
- kiberbiztonsági kockázat
- felhőszolgáltatás
- vagy 37
- cert-eu 34
- uniós 26
- kiberbiztonsági 25
- jelentős 18
- eu / irányelv 17
- hogy 17
- meghatározott 16
- érintett 15
- biztonsági_esemény 15
- szervezet 15
- uniós_szervezetek 15
- esetben 14
- cikk 13
- adott 13
- vonatkozó 13
- alapján 13
- pontjában 12
- nélkül 11
- való 10
- említett 9
- kell 9
- amely 9
- cikkének 9
- indokolatlan 8
- késedelem 8
- jóváhagyja 8
- belül 7
- valamint 7
- olyan 7
- szóló 7
- az 7
- vezetőjének 7
- információk 7
- annak 7
- amelyek 6
- szerinti 6
- információkat 6
- iicb 6
- javaslata 6
- létrehozott 6
- biztonsági_eseményről 6
- által 6
- beleértve 5
- számára 5
- biztonsági_események 5
- releváns 5
- közötti 5
- vonatkozóan 5
- szintű 5
3. cikk
Fogalommeghatározások
E rendelet alkalmazásában:
| 1. | „ uniós_szervezetek”: az Európai Unióról szóló szerződés, az Európai Unió működéséről szóló szerződés (EUMSZ) vagy az Európai Atomenergia-közösséget létrehozó szerződés által vagy ezek szerint létrehozott uniós intézmények, szervek, hivatalok és ügynökségek; |
| 2. | „ hálózati_és_információs_rendszer”: az (EU) 2022/2555 irányelv 6. cikkének 1. pontjában meghatározott hálózati_és_információs_rendszer; |
| 3. | „ hálózati_és_információs_rendszerek biztonsága”: az (EU) 2022/2555 irányelv 6. cikkének 2. pontjában meghatározott hálózati_és_információs_rendszerek biztonsága; |
| 4. | „ kiberbiztonság”: az (EU) 2019/881 rendelet 2. cikkének 1. pontjában meghatározott kiberbiztonság; |
| 5. | „ legmagasabb_vezetői_szint”: az uniós szervezet működéséért felelős vezető személy, vezető testület vagy koordináló és felügyeleti testület a legmagasabb igazgatási szinten, aki vagy amely az említett uniós szervezet magas szintű irányítására vonatkozó szabályoknak megfelelően felhatalmazással rendelkezik döntések meghozatalára vagy engedélyezésére, az egyéb vezetői szintek saját felelősségi körükbe tartozó megfelelési és kiberbiztonsági kockázatkezelési formális kötelezettségeinek sérelme nélkül; |
| 6. | „ majdnem_bekövetkezett_(near_miss)_esemény”: az (EU) 2022/2555 irányelv 6. cikkének 5. pontjában meghatározott majdnem_bekövetkezett_(near_miss)_esemény; |
| 7. | „ biztonsági_esemény”: az (EU) 2022/2555 irányelv 6. cikkének 6. pontjában meghatározott esemény; |
| 8. | „súlyos biztonsági_esemény”: olyan biztonsági_esemény, amely olyan szintű zavart okoz, amely meghaladja az adott uniós szervezet és a CERT-EU reagálási képességeit, vagy amely legalább két uniós szervezetre jelentős hatást gyakorol; |
| 9. | „nagyszabású kiberbiztonsági esemény”: az (EU) 2022/2555 irányelv 6. cikkének 7. pontjában meghatározott nagyszabású kiberbiztonsági esemény; |
| 10. | „ biztonsági_esemény kezelése”: az (EU) 2022/2555 irányelv 6. cikkének 8. pontjában meghatározott eseménykezelés; |
| 11. | „ kiberfenyegetés”: az (EU) 2019/881 rendelet 2. cikkének 8. pontjában meghatározott kiberfenyegetés; |
| 12. | „jelentős kiberfenyegetés”: az (EU) 2022/2555 irányelv 6. cikkének 11. pontjában meghatározott jelentős kiberfenyegetés; |
| 13. | „ sérülékenység”: az (EU) 2022/2555 irányelv 6. cikkének 15. pontjában meghatározott sérülékenység; |
| 14. | „ kiberbiztonsági kockázat”: az (EU) 2022/2555 irányelv 6. cikkének 9. pontjában meghatározott kockázat; |
| 15. | „ felhőszolgáltatás”: az (EU) 2022/2555 irányelv 6. cikkének 30. pontjában meghatározott felhőszolgáltatás; |
11. cikk
Az IICB feladatai
Feladatainak ellátása során az IICB különösen:
| a) | iránymutatást nyújt a CERT-EU vezetője számára; |
| b) | hatékonyan nyomon követi és felügyeli e rendelet végrehajtását, valamint támogatja az uniós_szervezeteket kiberbiztonságuk megerősítésében, beleértve adott esetben eseti jelentések kérését az uniós_szervezetektől és a CERT-EU-tól; |
| c) | stratégiai megbeszélést követően többéves stratégiát fogad el az uniós_szervezetek kiberbiztonsági szintjének növelésére, és azt rendszeresen, de legalább ötévente értékeli és szükség esetén módosítja; |
| d) | meghatározza az uniós_szervezetek által végzett önkéntes szakértői értékelések módszertanát és szervezeti vonatkozásait a közös tapasztalatokból való tanulás, a kölcsönös bizalom megerősítése, az egységesen magas szintű kiberbiztonság elérése, valamint az uniós_szervezetek kiberbiztonsági képességeinek javítása érdekében, biztosítva, hogy az ilyen szakértői értékeléseket a felülvizsgálat tárgyát képező uniós szervezettől eltérő uniós szervezet által kijelölt kiberbiztonsági szakértők végezzék, és hogy a módszertan az (EU) 2022/2555 irányelv 19. cikkén alapuljon, és adott esetben igazodjon az uniós_szervezetekhez; |
| e) | a CERT-EU vezetőjének javaslata alapján jóváhagyja a CERT-EU éves munkaprogramját és nyomon követi annak végrehajtását; |
| f) | a CERT-EU vezetőjének javaslata alapján jóváhagyja a CERT-EU szolgáltatási katalógusát és annak frissítéseit; |
| g) | a CERT-EU vezetőjének javaslata alapján jóváhagyja a CERT-EU tevékenységeinek bevételeire és kiadásaira vonatkozó éves pénzügyi tervet, beleértve a személyzetre vonatkozót is; |
| h) | a CERT-EU vezetőjének javaslata alapján jóváhagyja a szolgáltatási szintre vonatkozó megállapodásokra vonatkozó szabályokat; |
| i) | megvizsgálja és jóváhagyja a CERT-EU vezetője által készített, a CERT-EU tevékenységeiről és pénzeszközeinek kezeléséről szóló éves jelentést; |
| j) | jóváhagyja és nyomon követi a CERT-EU vezetőjének javaslata alapján a CERT-EU-ra vonatkozóan meghatározott fő teljesítménymutatókat (KPI-k); |
| k) | jóváhagyja a CERT-EU és más szervezetek közötti, a 18. cikk szerinti együttműködési megállapodásokat, szolgáltatási szintre vonatkozó megállapodásokat vagy szerződéseket; |
| l) | a CERT-EU javaslata alapján a 14. cikkel összhangban iránymutatásokat és ajánlásokat fogad el, és utasítja a CERT-EU-t, hogy adjon ki, vonjon vissza vagy módosítson valamely, iránymutatásokra vagy ajánlásokra irányuló javaslatot, illetve cselekvési felhívást; |
| m) | az IICB munkájának támogatásához technikai tanácsadó csoportokat hoz létre konkrét feladatokkal, jóváhagyja azok megbízatását, és kinevezi azok elnökeit; |
| n) | fogadja és értékeli az uniós_szervezetek által e rendelet alapján benyújtott dokumentumokat és jelentéseket, például a kiberbiztonsági érettségi értékeléseket; |
| o) | az e rendelet végrehajtásával kapcsolatos bevált gyakorlatok és információk cseréje céljából az ENISA támogatásával elősegíti az uniós_szervezetek helyi kiberbiztonsági tisztviselőiből álló informális csoport létrehozását; |
| p) | figyelembe véve a CERT-EU által az azonosított kiberbiztonsági kockázatokra és levont tanulságokra vonatkozóan szolgáltatott információkat, nyomon követi az uniós_szervezetek IKT-környezete közötti összekapcsolhatósági megállapodások megfelelőségét, és tanácsot ad a lehetséges fejlesztésekre vonatkozóan; |
| q) | kiberbiztonsági válságkezelési tervet hoz létre az uniós_szervezeteket érintő súlyos biztonsági_események koordinált kezelésének operatív szintű támogatása, valamint a releváns információk rendszeres cseréjéhez való hozzájárulás céljából, különös tekintettel a súlyos biztonsági_események hatásaira és súlyosságára, valamint hatásai mérséklésének lehetséges módjaira; |
| r) | koordinálja az egyes uniós_szervezetek 9. cikk (2) bekezdésében említett kiberbiztonsági válságkezelési terveinek elfogadását; |
| s) | az (EU) 2022/2555 irányelv 22. cikkében említett, a kritikus ellátási láncokra vonatkozó összehangolt uniós szintű biztonsági kockázatértékelések eredményeit figyelembe véve a 8. cikk (2) bekezdése első albekezdésének m) pontjában említett, az ellátási lánc biztonságára vonatkozó ajánlásokat fogad el annak érdekében, hogy támogassa az uniós_szervezeteket a hatékony és arányos kiberbiztonsági kockázatkezelési intézkedések elfogadásában. |
14. cikk
Iránymutatások, ajánlások és cselekvési felhívások
(1) A CERT-EU e rendelet végrehajtását a következők kibocsátásával támogatja:
| a) | cselekvési felhívások, amelyek ismertetik azokat a sürgős biztonsági intézkedéseket, amelyeket az uniós_szervezeteknek meghatározott időn belül meg kell hozniuk; |
| b) | javaslatok az IICB számára az uniós_szervezetek összességének vagy egy részhalmazának szóló iránymutatásokra vonatkozóan; |
| c) | javaslatok az IICB számára az egyes uniós_szervezeteknek címzett ajánlásokra vonatkozóan. |
Az első albekezdés a) pontja tekintetében az érintett uniós szervezet a cselekvési felhívás kézhezvételét követően indokolatlan késedelem nélkül tájékoztatja a CERT-EU-t arról, hogy hogyan alkalmazta a sürgős biztonsági intézkedéseket.
(2) Az iránymutatások és ajánlások a következőket foglalhatják magukban:
| a) | az uniós_szervezetek kiberbiztonsági érettségének értékelésére szolgáló közös módszertanok és modell, beleértve a megfelelő léptékeket vagy fő teljesítménymutatókat is, amelyek referenciaként szolgálnak az uniós_szervezetek folyamatos kiberbiztonsági fejlődésének támogatásához, és megkönnyítik a kiberbiztonsági területek és intézkedések rangsorolását, figyelembe véve a szervezetek kiberbiztonsági helyzetét; |
| b) | a kiberbiztonsági kockázatkezelésre és a kiberbiztonsági kockázatkezelési intézkedésekre vonatkozó szabályok vagy javítások; |
| c) | a kiberbiztonsági érettségi értékelésekre és kiberbiztonsági tervekre vonatkozó szabályok; |
| d) | adott esetben a közös technológia, az architektúra, a nyílt forráskód és a kapcsolódó legjobb gyakorlatok alkalmazása az interoperabilitás és az egységes szabványok megvalósítása céljából, beleértve az ellátási lánc biztonságára vonatkozó koordinált megközelítést; |
| e) | adott esetben olyan információk, amelyek megkönnyítik a releváns kiberbiztonsági szolgáltatások és termékek harmadik fél beszállítóktól történő beszerzésére szolgáló közös közbeszerzési eszközök használatát; |
| f) | a 20. cikk szerinti információmegosztási megállapodások. |
17. cikk
A CERT-EU és a tagállami partnerek közötti együttműködés
(1) A CERT-EU indokolatlan késedelem nélkül együttműködik és információcserét folytat a tagállami partnerekkel, különösen az (EU) 2022/2555 irányelv 10. cikke alapján kijelölt vagy létrehozott CSIRT-ekkel, vagy adott esetben az említett irányelv 8. cikke szerint kijelölt vagy létrehozott illetékes hatóságokkal és egyedüli kapcsolattartó pontokkal a biztonsági_események, a kiberfenyegetések, a sérülékenységek, a majdnem_bekövetkezett_(near_miss)_események, a lehetséges ellenintézkedések és a bevált gyakorlatok, valamint az uniós_szervezetek IKT-környezetei védelmének javítása szempontjából releváns valamennyi kérdés tekintetében, többek között az (EU) 2022/2555 irányelv 15. cikke alapján létrehozott CSIRT-hálózaton keresztül. A CERT-EU támogatja a Bizottságot a nagyszabású kiberbiztonsági események és válsághelyzetek összehangolt kezeléséről szóló (EU) 2022/2555 irányelv 16. cikke alapján létrehozott EU-CyCLONe-ban.
(2) Amennyiben a CERT-EU valamely tagállam területén bekövetkező jelentős biztonsági_eseményről szerez tudomást, az (1) bekezdéssel összhangban haladéktalanul értesíti az érintett partnert az adott tagállamban.
(3) A CERT-EU – feltéve, hogy a személyes adatok az alkalmazandó uniós adatvédelmi joggal összhangban védelemben részesülnek – indokolatlan késedelem nélkül, az érintett uniós szervezet beleegyezése nélkül megosztja a releváns biztonságiesemény-specifikus információkat a hasonló kiberfenyegetések vagy biztonsági_események felderítésének megkönnyítése vagy a biztonsági_esemény elemzéséhez való hozzájárulás érdekében a tagállami partnerekkel. A CERT-EU az olyan biztonságiesemény-specifikus információkat, amelyek feltárják a biztonsági_esemény célpontját csak az alábbiak egyikének fennállása esetén oszthatja meg:
| a) | az érintett uniós szervezet beleegyezését adja; |
| b) | az érintett uniós szervezet nem adja beleegyezését az a) pontban előírtak szerint, de az érintett uniós szervezet kilétének közzététele növelné annak valószínűségét, hogy a máshol bekövetkező biztonsági_eseményeket elkerülnék vagy mérsékelnék; |
| c) | az érintett uniós szervezet már nyilvánosságra hozta, hogy érintett volt. |
A biztonsági_eseményre vonatkozó azon információk cseréjére vonatkozó határozatokat, amelyek az első albekezdés b) pontja alapján feltárják a biztonsági_esemény célpontjának kilétét, a CERT-EU vezetőjének jóvá kell hagynia. Az ilyen határozat kibocsátása előtt a CERT-EU írásban felveszi a kapcsolatot az érintett uniós szervezettel, egyértelműen kifejtve, hogy kilétének nyilvánosságra hozatala hogyan segítené elő máshol a biztonsági_események elkerülését vagy mérséklését. A CERT-EU vezetőjének magyarázatot kell adnia, és kifejezetten fel kell kérnie az uniós szervezetet, hogy meghatározott határidőn belül nyilatkozzon arról, hogy beleegyezik-e ebbe. A CERT-EU vezetője arról is tájékoztatja az uniós szervezetet, hogy az adott magyarázat fényében fenntartja magának a jogot arra, hogy még beleegyezés hiányában is közzétegye az információkat. Az érintett uniós szervezetet az információk közzététele előtt tájékoztatni kell.
21. cikk
Jelentéstételi kötelezettségek
(1) Egy biztonsági_esemény akkor tekintendő jelentősnek, ha:
| a) | súlyos működési zavart eredményezett, illetve eredményezhet az uniós szervezet működésében, vagy pénzügyi veszteséggel járt, illetve járhat az érintett uniós szervezet számára; |
| b) | a biztonsági_esemény jelentős vagyoni vagy nem vagyoni kár okozásával más természetes vagy jogi személyeket érintett vagy érinthet. |
(2) Az uniós_szervezeteknek be kell nyújtaniuk a CERT-EU-nak a következőket:
| a) | indokolatlan késedelem nélkül, de minden esetben a jelentős biztonsági_eseményről való tudomásszerzéstől számított 24 órán belül egy első figyelmeztetést, amelyben adott esetben fel kell tüntetni, hogy a jelentős biztonsági_eseményt gyaníthatóan jogellenes vagy rosszindulatú cselekmény okozta-e és hogy lehet-e több szervezetre kiterjedő vagy határokon átnyúló hatása; |
| b) | indokolatlan késedelem nélkül, de minden esetben a jelentős biztonsági_eseményről való tudomásszerzéstől számított 72 órán belül a biztonsági_eseményről szóló értesítést, amely adott esetben aktualizálja az a) pontban említett információkat, és tartalmazza a jelentős biztonsági_esemény, illetve annak súlyossága és hatása kezdeti értékelését, valamint – amennyiben rendelkezésre állnak – a fertőzöttségi mutatókat; |
| c) | a CERT-EU kérésére a releváns állapotfrissítésekről szóló időközi jelentést. |
| d) | zárójelentést, legkésőbb a b) pont szerinti, a biztonsági_eseményről való értesítés benyújtását követő egy hónapon belül, amely tartalmazza a következőket:
|
| e) | a d) pontban említett zárójelentés benyújtásának időpontjában folyamatban lévő biztonsági_esemény esetén az említett időpontban eredményjelentés, a biztonsági_esemény kezelését követő egy hónapon belül pedig zárójelentés. |
(3) Az uniós szervezet indokolatlan késedelem nélkül, de minden esetben a jelentős biztonsági_eseményről való tudomásszerzéstől számított 24 órán belül tájékoztatja a 17. cikk (1) bekezdésében említett, a székhelye szerinti tagállamban működő érintett tagállami partnereket a jelentős biztonsági_esemény bekövetkezéséről.
(4) Az uniós_szervezeteknek be kell jelenteniük többek között minden olyan információt, amely lehetővé teszi a CERT-EU számára, hogy a jelentős biztonsági_eseményt követően azonosítsa a szervezetek közötti, a fogadó tagállamra gyakorolt vagy határokon átnyúló hatást. A 12. cikk sérelme nélkül, pusztán az értesítés következtében az uniós szervezetet többletfelelősség nem terhelheti.
(5) Adott esetben az uniós_szervezetek indokolatlan késedelem nélkül tájékoztatják az érintett hálózati_és_információs_rendszerek vagy az IKT-környezet más elemei azon felhasználóit, akiket jelentős biztonsági_esemény vagy jelentős kiberfenyegetés érinthet, és adott esetben tájékoztatják őket a biztonsági_eseményre vagy fenyegetésre válaszul általuk hozható mérséklő intézkedésekről, egyéb intézkedésekről vagy korrekciós intézkedésekről is. Adott esetben az uniós_szervezetek tájékoztatják a felhasználókat magáról a jelentős kiberfenyegetésről.
(6) Amennyiben egy jelentős biztonsági_esemény vagy jelentős kiberfenyegetés egy hálózati_és_információs_rendszert, vagy egy uniós szervezet IKT-környezetének valamely olyan elemét érinti, amely köztudottan kapcsolódik egy másik uniós szervezet IKT-környezetéhez, a CERT-EU megfelelő kiberbiztonsági riasztást ad ki.
(7) Az uniós_szervezetek a CERT-EU kérésére indokolatlan késedelem nélkül átadják a CERT-EU részére a biztonsági_eseményekben érintett elektronikus eszközök használatával létrehozott digitális információkat. A CERT-EU további részletekkel szolgálhat a helyzetismerethez és a biztonsági_eseményre való reagáláshoz szükséges információtípusokról.
(8) A CERT-EU háromhavonta összefoglaló jelentést nyújt be az IICB-nek, az ENISA-nak, az EU INTCEN-nek és a CSIRT-hálózatnak, amely anonimizált és összesített adatokat tartalmaz a 20. cikk szerinti jelentős biztonsági_eseményekről, biztonsági_eseményekről, kiberfenyegetésekről, majdnem_bekövetkezett_(near_miss)_eseményekről és sérülékenységekről, valamint az e cikk (2) bekezdése szerint bejelentett jelentős biztonsági_eseményekről. Az összefoglaló jelentés hozzájárul az uniós kiberbiztonsági helyzetről az (EU) 2022/2555 irányelv 18. cikke alapján elfogadott, kétévente kiadandó jelentéshez.
(9) Az IICB-nek 2024. július 8-ig iránymutatásokat vagy ajánlásokat kell ki bocsátania, amelyekben tovább pontosítja az e cikk szerinti jelentéstétel szabályait, formátumát és tartalmát. Az ilyen iránymutatások vagy ajánlások kidolgozása során az IICB figyelembe veszi az (EU) 2022/2555 irányelv 23. cikkének (11) bekezdése alapján elfogadott, az információk típusát, formátumát és az értesítésekre vonatkozó eljárást meghatározó végrehajtási jogi aktusokat. A CERT-EU megosztja a megfelelő technikai részleteket annak érdekében, hogy lehetővé tegye az uniós_szervezetek általi proaktív felderítést, biztonsági_eseményekre való reagálást vagy a mérséklő intézkedések meghozatalát.
(10) Az e cikkben meghatározott jelentéstételi kötelezettségek nem terjednek ki a következőkre:
| a) | EU-minősített adatok; |
| b) | olyan információk, amelyek további terjesztését egy látható jelöléssel kizárták, kivéve, ha kifejezetten engedélyezték azok CERT-EU-val való megosztását. |
whereas