(1)

Info- ja kommunikatsioonitehnoloogia kasutamine ja sõltuvus sellest tehnoloogiast on muutunud oluliseks küsimuseks kõigis majanduse ja ühiskonna sektorites, kuna liikmesriikide haldusasutused, ettevõtjad ja kodanikud on kõigis sektorites ja piiriüleselt omavahel üha enam seotud ja üksteisest sõltuvad, ent loob samal ajal potentsiaalseid nõrkusi.

(2)

Küberintsidentide ulatus, sagedus ja mõju, muu hulgas tarneahela ründed, mille eesmärk on küberspionaaž, lunaraha nõudmine või häirete põhjustamine, suurenevad üha enam nii liidus kui ka kogu maailmas. Need kujutavad endast suurt ohtu võrgu- ja infosüsteemide toimimisele. Võttes arvesse küberohtude vallas toimuvat kiiret arengut, nõuab oht, et aset võib leida ulatuslik küberintsident, mis põhjustab suuri häireid või olulist kahju elutähtsale taristule, liidu küberturvalisuse raamistiku kõrgendatud valmisolekut. See oht, mis ei ole seotud üksnes Venemaa agressioonisõjaga Ukraina vastu, jääb tõenäoliselt püsima, võttes arvesse praegustesse geopoliitilistesse pingetesse kaasatud osalejate arvukust. Küberintsidendid võivad takistada avalike teenuste osutamist, kuna küberründed on sageli suunatud kohalikele, piirkondlikele või riiklikele avalikele teenustele ja taristutele, kusjuures eriti kaitsetud on kohalikud omavalitsused, muu hulgas oma piiratud ressursside tõttu. Need võivad takistada ka majandustegevust, sealhulgas kriitilise tähtsusega või muudes tähtsates sektorites, tekitada märkimisväärset rahalist kahju, vähendada kasutajate kindlustunnet, põhjustada suurt kahju liidu majandusele ja demokraatlikele süsteemidele ning isegi tuua tervist kahjustavaid või eluohtlikke tagajärgi. Peale selle on küberintsidendid prognoosimatud, kuna need tekivad ja arenevad sageli kiiresti, ei piirdu ühe konkreetse geograafilise piirkonnaga ning hõlmavad mitut liikmesriiki või levivad kohe mitmesse liikmesriiki. Seetõttu on vajalik tihe koostöö avaliku sektori, erasektori, akadeemiliste ringkondade, kodanikuühiskonna ja meedia vahel.

(3)

Vaja on suurendada liidu tööstuse ja teenuste konkurentsivõimet kogu digimajanduses ning toetada nende digiüleminekut, tõstes digitaalsel ühtsel turul küberturvalisuse taset, nagu on soovitatud Euroopa tuleviku konverentsi kolmes ettepanekus. Tuleb suurendada kodanike, ettevõtjate, sealhulgas mikro-, väikeste ja keskmise suurusega ettevõtjate ning iduettevõtjate ja elutähtsas taristus tegutsevate üksuste võimet seista vastu üha suurenevatele küberohtudele, millel võib olla laastav mõju ühiskonnale ja majandusele. Seepärast on vaja investeerida taristusse ja teenustesse ning suurendada suutlikkust arendada küberturbeoskusi, mis toetavad küberohtude ja intsidentide kiiremat avastamist ja neile reageerimist. Lisaks vajavad liikmesriigid abi, et paremini valmistuda olulisteks küberintsidentideks ja ulatuslikeks küberintsidentideks, neile paremini reageerida, samuti abi neist taastumise algetapis. Toetudes olemasolevatele struktuuridele ja tihedas koostöös nendega peaks liit ka suurendama neis valdkondades oma suutlikkust, eriti mis puudutab küberohte ja intsidente käsitlevate andmete kogumist ja analüüsimist.

(4)

Liit on juba võtnud mitmeid meetmeid, et vähendada nõrku kohti ning suurendada elutähtsa taristu ja kriitilise tähtsusega üksuste kerksust riskide suhtes, eeskätt Euroopa Parlamendi ja nõukogu määrus (EL) 2019/881 (5), Euroopa Parlamendi ja nõukogu direktiivid 2013/40/EL (6) ja (EL) 2022/2555 (7) ning komisjoni soovitus (EL) 2017/1584 (8). Peale selle kutsutakse nõukogu 8. detsembri 2022. aasta soovituses, mis käsitleb kogu liitu hõlmavat koordineeritud lähenemisviisi elutähtsa taristu toimepidevuse tugevdamiseks, liikmesriike üles võtma meetmeid ning tegema üksteise, komisjoni ja teiste asjaomaste avaliku sektori asutustega ning samuti asjaomaste üksustega koostööd, et parandada siseturul oluliste teenuste osutamisel kasutatava elutähtsa taristu toimepidevust.

(5)

Võttes arvesse kasvavaid küberriske ja üldiselt keerukat küberohtude maastikku, kus intsidentide mõju võib kanduda kiiresti üle ühest liikmesriigist teistesse ja kolmandast riigist liitu, on vaja tugevdada solidaarsust liidu tasandil, et paremini avastada küberohte ja intsidente, nendeks paremini valmistuda, neile paremini reageerida ja nendest paremini taastuda, eelkõige tugevdades selleks olemasolevate struktuuride suutlikkust. Lisaks kutsuti komisjoni nõukogu 23. mai 2022. aasta ELi kübervaldkonna positsiooni käsitlevates järeldustes üles esitama ettepaneku uue küberturvalisuse kiirreageerimisfondi kohta.

(6)

Komisjoni ning liidu välisasjade ja julgeolekupoliitika kõrge esindaja 10. novembri 2022. aasta ühisteatises Euroopa Parlamendile ja nõukogule ELi küberkaitsepoliitika kohta teatati ELi kübersolidaarsuse algatusest, mille eesmärgid on parandada ELi ühist avastamis- ja reageerimissuutlikkust ning olukorrateadlikkust, edendades ELi infoturbekeskuste taristu kasutusele võtmist, ning toetada usaldatavate eraõiguslike teenuseosutajate teenuseid hõlmava ELi küberreservi järkjärgulist loomist ja kriitilise tähtsusega üksuste ELi riskihindamise alusel testimist võimalike nõrkuste avastamiseks.

(7)

Vaja on parandada küberohtude ja intsidentide avastamist ja olukorrateadlikkust kogu liidus ning tugevdada solidaarsust, suurendades liikmesriikide ja liidu valmisolekut olulisteks küberintsidentideks ja ulatuslikeks küberintsidentideks ning suutlikkust neid ära hoida ja neile reageerida. Seepärast tuleks luua üleeuroopaline küberkeskuste võrgustik (edaspidi „Euroopa küberturvalisuse hoiatussüsteem“), et arendada koordineeritud avastamissuutlikkust ja olukorrateadlikkust, tugevdades liidu ohtude avastamise ja teabejagamise suutlikkust, luua küberhädaolukorra mehhanism, et toetada taotluse korral liikmesriike valmistumisel olulisteks küberintsidentideks ja ulatuslikeks küberintsidentideks, neile reageerimisel ja neist esmasel taastumisel ning toetada muid kasutajaid olulistele küberintsidentidele ja ulatuslike küberintsidentidega võrdsustatud küberintsidentidele reageerimisel, ning luua Euroopa küberintsidentide läbivaatamise mehhanism, et vaadata läbi ja hinnata konkreetseid olulisi küberintsidente või ulatuslikke küberintsidente. Käesoleva määruse kohaseid meetmeid tuleks võtta liikmesriikide pädevust igakülgselt arvesse võttes ning need peaksid täiendama direktiivi (EL) 2022/2555 kohaselt loodud CSIRTide võrgustiku, ELi küberkriisiga tegelevate kontaktasutuste võrgustiku (EU-CyCLONe) ning võrgu- ja infoturbe koostöörühma tegevust, mitte neid dubleerima. Kõnealused meetmed ei piira Euroopa Liidu toimimise lepingu (ELi toimimise leping) artiklite 107 ja 108 kohaldamist.

(8)

Kõnealuste eesmärkide saavutamiseks on vaja teha mõningad muudatused Euroopa Parlamendi ja nõukogu määrusesse (EL) 2021/694 (9). Eelkõige tuleks käesoleva määrusega muuta määrust (EL) 2021/694, lisades programmi „Digitaalne Euroopa“ erieesmärgi nr 3 alla (mille raames püütakse tagada digitaalse ühtse turu kerksus, terviklus ja usaldusväärsus, suurendada suutlikkust teha küberrünnete ja küberohtude seiret ja neile reageerida ning tugevdada küberturvalisuse alast piiriülest koostööd ja koordineerimist) Euroopa küberturvalisuse hoiatussüsteemi ja küberhädaolukorra mehhanismiga seotud uued tegevuseesmärgid. Euroopa küberturvalisuse hoiatussüsteemil võiks olla oluline roll liikmesriikide toetamisel küberohtude ennetamisel ja nende eest kaitsmisel ning ELi küberreserv võiks mängida olulist rolli liikmesriikide, liidu institutsioonide, organite ja asutuste ning programmiga „Digitaalne Euroopa“ assotsieerunud kolmandate riikide toetamisel oluliste küberintsidentide, ulatuslike küberintsidentide ja ulatuslike küberintsidentidega võrdsustatud küberintsidentide mõjule reageerimisel ja sellise mõju leevendamisel. Kõnealune mõju võib hõlmata märkimisväärset materiaalset või mittemateriaalset kahju ning tõsist ohtu avalikule julgeolekule ja turvalisusele. Võttes arvesse konkreetseid rolle, mida Euroopa küberturvalisuse hoiatussüsteem ja ELi küberreserv võivad etendada, tuleks käesoleva määrusega muuta määrust (EL) 2021/694 seoses liidus asutatud, kuid kolmandast riigist kontrollitavate juriidiliste isikute osalemisega juhul, kui on reaalne oht, et vajalikud ja piisavad vahendid, taristu ja teenused või tehnoloogia, eksperditeadmised ja suutlikkus ei ole liidus kättesaadavad ning selliste üksuste kaasamisest saadav kasu kaalub üles julgeolekuriski. Tuleks kehtestada rahalise toetuse andmise tingimused Euroopa küberturvalisuse hoiatussüsteemi ja ELi küberreservi rakendamise meetmetele ning määrata kindlaks taotletavate eesmärkide saavutamiseks vajalikud juhtimis- ja koordineerimismehhanismid. Muude määruse (EL) 2021/694 muudatustena tuleks uute tegevuseesmärkide all kirjeldada kavandatud meetmeid ja määrata kindlaks mõõdetavad näitajad, et jälgida nende uute tegevuseesmärkide saavutamist.

(9)

Selleks et tugevdada liidu reageerimist küberohtudele ja intsidentidele, on oluline teha koostööd rahvusvaheliste organisatsioonidega ning usaldusväärsete ja sarnaselt meelestatud rahvusvaheliste partneritega. Selles kontekstis tuleks usaldusväärseid ja sarnaselt meelestatud rahvusvahelisi partnereid mõista kui riike, kes jagavad põhimõtteid, millest on juhindunud liidu loomine, eelkõige demokraatia, õigusriik, inimõiguste ja põhivabaduste universaalsus ja jagamatus, inimväärikuse, võrdsuse ja solidaarsuse ning Ühinenud Rahvaste Organisatsiooni põhikirja põhimõtete ja rahvusvahelise õiguse austamine, ning kes ei kahjusta liidu ega selle liikmesriikide olulisi julgeolekuhuve. Selline koostöö võib olla kasulik ka käesoleva määruse kohaselt võetud meetmete, eelkõige Euroopa küberturvalisuse hoiatussüsteemi ja ELi küberreservi puhul. Määruses (EL) 2021/694 peaks olema sätestatud, kui teatavad kättesaadavuse ja turvalisuse tingimused on täidetud, et Euroopa küberturvalisuse hoiatussüsteemi ja ELi küberreserviga seotud taristu, vahendite ja teenuste hangetel võivad osaleda kolmandast riigist kontrollitavad juriidilised isikud, kelle suhtes kohaldatakse turvanõudeid. Sellisest hangetel osalemise võimalusest tuleneva julgeolekuriski hindamisel on oluline võtta arvesse põhimõtteid ja väärtusi, mida liit jagab sarnaselt meelestatud rahvusvaheliste partneritega, kui need põhimõtted ja väärtused on seotud liidu oluliste julgeolekuhuvidega. Kui määruse (EL) 2021/694 alusel kaalutakse selliseid turvanõudeid, võiks lisaks arvesse võtta mitmeid elemente, nagu üksuse struktuur ja otsustusprotsess, andmete ja salastatud või tundliku teabe turvalisus ning selle tagamine, et osalemise nõuetele mittevastavad kolmandad riigid ei saaks meetme tulemuste suhtes kehtestada kontrolli ega piiranguid.

(10)

Käesoleva määruse meetmete rahastamine tuleks ette näha määrusega (EL) 2021/694, mis peaks jääma nende programmi „Digitaalne Euroopa“ erieesmärgi nr 3 alla kuuluvate meetmete alusaktiks. Konkreetsed osalemistingimused iga meetme puhul määratakse kindlaks asjaomases tööprogrammis kooskõlas määrusega (EL) 2021/694.

(11)

Käesoleva määruse suhtes kohaldatakse Euroopa Parlamendi ja nõukogu poolt ELi toimimise lepingu artikli 322 alusel vastu võetud horisontaalseid finantsreegleid. Need reeglid on sätestatud Euroopa Parlamendi ja nõukogu määruses (EL, Euratom) 2024/2509 (10) ning nendega on määratud kindlaks eelkõige liidu eelarve koostamise ja täitmise kord ning nähtud ette finantsjuhtimises osalejate vastutuse kontroll. ELi toimimise lepingu artikli 322 alusel vastu võetud reeglid hõlmavad ka üldist tingimuslikkuse korda liidu eelarve kaitsmiseks, nagu on ette nähtud Euroopa Parlamendi ja nõukogu määrusega (EL, Euratom) 2020/2092 (11).

(12)

Kuigi ennetus- ja valmisolekumeetmed on olulised, et suurendada liidu kerksust oluliste küberintsidentide, ulatuslike küberintsidentide ja ulatuslike küberintsidentidega võrdsustatud küberintsidentidega tegelemisel, on selliste intsidentide esinemine, ajastus ja ulatus oma olemuselt ettearvamatud. Piisava reageerimise tagamiseks vajalikud rahalised vahendid võivad aastate lõikes märkimisväärselt erineda ja neid peaks olema võimalik viivitamata kättesaadavaks teha. Eelarve prognoositavuse põhimõtte ühitamiseks tarvidusega kiiresti reageerida uutele vajadustele tuleb tööprogrammide rahalist rakendamist kohandada. Seepärast tuleks lisaks määruse (EL, Euratom) 2024/2509 artikli 12 lõike 4 kohaselt lubatud assigneeringute ülekandmisele lubada üle kanda ka kasutamata assigneeringuid, piirates sellist ülekandmist üksnes järgmise aastaga ja üksnes ELi küberreservi ning vastastikust abistamist toetavate meetmetega.

(13)

Selleks et tulemuslikumalt ennetada ja hinnata küberohte ja intsidente, neile tulemuslikumalt reageerida ning neist tulemuslikumalt taastuda, on vaja põhjalikumaid teadmisi liidu territooriumil asuvat strateegilist vara ja elutähtsat taristut ähvardavate ohtude kohta, samuti selle vara ja taristu geograafilise jaotuse, omavahelise ühendatuse ja nende vastu suunatud küberrünnete võimaliku mõju kohta. Ennetav käsitusviis küberohtude tuvastamisele, leevendamisele ja ennetamisele hõlmab täiustatud tuvastamissuutlikkuse suurendamist. Euroopa küberturvalisuse hoiatussüsteem peaks koosnema mitmest koostoimivast piiriülesest küberkeskusest, millest igaüks koondab kolme või enamat riiklikku küberkeskust. See taristu peaks rahuldama liikmesriikide ja liidu huve ning vajadusi küberturvalisuse valdkonnas, kasutades tipptasemel tehnoloogiat asjassepuutuvate ja asjakohasel juhul anonüümseks muudetud andmete ja teabe kõrgetasemeliseks kogumiseks ning tipptasemel analüüsivahendeid, suurendades koordineeritud suutlikkust avastada ja ohjata küberohte ja intsidente ning tagades reaalajas ülevaate olukorrast. Taristu peaks aitama parandada küberturvalisuse taset, tõhustades andmete ja teabe tuvastamist, koondamist ja analüüsimist eesmärgiga ennetada küberohte ja intsidente ning seega täiendama ja toetama liidu üksusi ja võrgustikke, kes vastutavad küberkriisi ohjamise eest liidus, eeskätt EU-CyCLONe.

(14)

Euroopa küberturvalisuse hoiatussüsteemis osalemine on liikmesriikidele vabatahtlik. Iga liikmesriik peaks määrama ühe üksuse liikmesriigi tasandil, kelle ülesanne on koordineerida riigis küberohtude avastamise alast tegevust. See riiklik küberkeskus peaks olema liikmesriigi tasandi kontaktpunkt osalemiseks Euroopa küberturvalisuse hoiatussüsteemis ning see peaks tagama, et avaliku ja erasektori üksuste teavet küberohtude kohta kogutakse ja jagatakse liikmesriigi tasandil tulemuslikult ja sujuvalt. Riiklikud küberkeskused võiksid tugevdada koostööd ja teabe jagamist avaliku ja erasektori üksuste vahel ning toetada ka asjakohaste andmete ja teabe vahetamist asjaomaste valdkondlike ja sektoriüleste kogukondadega, sealhulgas asjaomase valdkonna teabe jagamise ja analüüsimise keskustega. Tihe ja kooskõlastatud koostöö avaliku ja erasektori asutuste vahel on keskse tähtsusega liidu küberkerksuse tugevdamisel. Selline koostöö on eriti väärtuslik küberohuteadmuse jagamise kontekstis, et parandada aktiivset küberkaitset. Riiklikud küberkeskused võiksid sellise koostöö ja teabejagamise raames taotleda ja saada konkreetset teavet. Käesoleva määrusega ei kohustata ega volitata riiklikke küberkeskusi selliseid taotlusi täitma. Kui see on asjakohane ning kooskõlas liidu ja riigisisese õigusega, võib taotletav või saadud teave hõlmata telemeetria-, anduri- ja logiandmeid üksustelt, näiteks hallatud turbeteenuse osutajatelt, kes tegutsevad selle liikmesriigi kriitilise tähtsusega või muudes tähtsates sektorites, et parandada võimalike küberohtude ja intsidentide kiiret avastamist varasemas etapis, parandades seeläbi olukorrateadlikkust. Kui riiklik küberkeskus ei ole pädev asutus, mille asjaomane liikmesriik on määranud või asutanud direktiivi (EL) 2022/2555 artikli 8 lõike 1 kohaselt, on väga oluline, et ta koordineeriks oma tegevust kõnealuse pädeva asutusega seoses selliste andmepäringute esitamise ja saamisega.

(15)

Euroopa küberturvalisuse hoiatussüsteemi raames tuleks luua mitu piiriülest küberkeskust. Piiriülesed küberkeskused peaksid hõlmama vähemalt kolme liikmesriigi riiklikku küberkeskust, et oleks võimalik täielikult ära kasutada piiriülese ohtude avastamise ning teabe jagamise ja haldamise eeliseid. Piiriüleste küberkeskuste üldeesmärk peaks olema suurendada suutlikkust analüüsida, ennetada ja avastada küberohte ning toetada kvaliteetse küberohuteadmuse kogumist, eelkõige jagades usaldusväärses ja turvalises keskkonnas eri allikatest (avalikust ja erasektorist) pärit asjassepuutuvat ja asjakohasel juhul anonüümseks muudetud teavet, jagades ja ühiselt kasutades tipptasemel vahendeid ning arendades usaldusväärses ja turvalises keskkonnas ühiselt avastamis-, analüüsi- ja ennetamissuutlikkust. Piiriülesed küberkeskused peaksid suurendama suutlikkust, toetades ja täiendades olemasolevaid infoturbekeskusi ja CSIRTe ning muid asjaomaseid osalejaid, sealhulgas CSIRTide võrgustikku.

(16)

Liikmesriik, mille Euroopa Parlamendi ja nõukogu määrusega (EL) 2021/887 (12) loodud küberturvalisuse valdkonna tööstuse, tehnoloogia ja teadusuuringute Euroopa pädevuskeskus (edaspidi „küberturvalisuse pädevuskeskus“) on osalemiskutse alusel valinud looma riiklikku küberkeskust või parandama riikliku küberkeskuse suutlikkust, peaks asjakohased vahendid, taristu või teenused hankima ühiselt koos küberturvalisuse pädevuskeskusega. Sellisel liikmesriigil peaks olema õigus saada sihttoetust nende vahendite, taristu või teenuste käitamiseks. Vähemalt kolmest liikmesriigist koosnev majutuskonsortsium, mille küberturvalisuse pädevuskeskus on osalemiskutse alusel valinud looma piiriülest küberkeskust või parandama piiriülese küberkeskuse suutlikkust, peaks asjakohased vahendid, taristu või teenused hankima ühiselt koos küberturvalisuse pädevuskeskusega. Majutuskonsortsiumil peaks olema õigus saada sihttoetust nende vahendite, taristu või teenuste käitamiseks. Hankemenetluse asjakohaste vahendite, taristu või teenuste ostmiseks peaksid ühiselt läbi viima küberturvalisuse pädevuskeskus ja asjaomased avaliku sektori hankijad nendest liikmesriikidest, kes on valitud osalemiskutsete alusel. Selline hange peaks vastama määruse (EL, Euratom) 2024/2509 artikli 168 lõikele 2 ja küberturvalisuse pädevuskeskuse finantsreeglitele. Seega ei tohiks eraõiguslikel üksustel olla õigust vastata osalemiskutsetele, mis puudutavad vahendite, taristu või teenuste ühist hankimist koos küberturvalisuse pädevuskeskusega, ega saada toetusi nende vahendite, taristu või teenuste käitamiseks. Liikmesriikidel peaks siiski olema võimalus kaasata erasektori üksusi oma riiklike küberkeskuste ning piiriülese küberkeskuse loomisse, suutlikkuse parandamisse ja käitamisse muudel asjakohaseks peetavatel viisidel kooskõlas liidu ja riigisisese õigusega. Eraõiguslikel üksustel võiks määruse (EL) 2021/887 kohaselt olla võimalik saada ka liidu rahalisi vahendeid riiklike küberkeskuste toetamiseks.

(17)

Selleks et suurendada küberohtude avastamist ja olukorrateadlikkust liidus, peaks liikmesriik, kes on osalemiskutse alusel valitud looma riiklikku küberkeskust või parandama riikliku küberkeskuse suutlikkust, võtma endale kohustuse esitada taotlus piiriüleses küberkeskuses osalemiseks. Kui liikmesriik ei ole hakanud osalema piiriüleses küberkeskuses kahe aasta jooksul alates kuupäevast, mil soetati vahendid, taristu või teenused või mil ta sai sihttoetust, olenevalt sellest, kumb toimus varem, ei tohiks tal olla õigust osaleda Euroopa küberturvalisuse hoiatussüsteemi raamistikus edasistes liidu toetusmeetmetes, et parandada oma riikliku küberkeskuse suutlikkust. Sellistel juhtudel saaksid liikmesriikide üksused siiski osaleda taotlusvoorudes, mis käsitlevad programmi „Digitaalne Euroopa“ muid teemasid või muid Euroopa rahastamisprogramme, sealhulgas kübertuvastus- ja teabejagamissuutlikkust käsitlevates taotlusvoorudes, tingimusel et need üksused vastavad neis programmides kehtestatud rahastamiskõlblikkuse kriteeriumidele.

(18)

CSIRTid vahetavad teavet CSIRTide võrgustikus kooskõlas direktiiviga (EL) 2022/2555. Euroopa küberturvalisuse hoiatussüsteem peaks kujutama endast uut, CSIRTide võrgustikku täiendavat võimeüksust, aidates kaasa sellise liidu olukorrateadlikkuse loomisele, mis võimaldab tugevdada CSIRTide võrgustiku suutlikkust. Piiriülesed küberkeskused peaksid koordineerima oma tegevust ja tegema tihedat koostööd CSIRTide võrgustikuga. Nad peaksid tegutsema, koondades andmeid ning jagades avaliku ja erasektori üksustelt saadud asjassepuutuvat ja asjakohasel juhul anonüümseks muudetud teavet küberohtude kohta, suurendades eksperdianalüüsi ning ühiselt soetatud taristu ja tipptasemel vahendite abil selliste andmete ja teabe väärtust ning aidates arendada liidu tehnoloogilist suveräänsust, avatud strateegilist autonoomiat, konkurentsivõimet ja kerksust ning liidu suutlikkust.

(19)

Piiriülesed küberkeskused peaksid olema kesksed kontaktpunktid, et koguda laialdaselt asjakohaseid andmeid ja küberohuteadmust ning levitada ohuteavet laialdaselt eri sidusrühmade seas, nagu infoturbeintsidentidega tegelevad rühmad (CERTid), CSIRTid, teabe jagamise ja analüüsimise keskused ning elutähtsa taristu haldajad. Majutuskonsortsiumi liikmed peaksid konsortsiumikokkuleppes täpsustama, millist asjakohast teavet tuleb piiriülese küberkeskuse osalejate vahel jagada. Piiriülese küberkeskuse kaudu osalejate seas vahetatav teave võib hõlmata näiteks võrkude ja andurite andmeid, ohuteadmust, rikkeindikaatoreid ning kontekstiteavet intsidentide, küberohtude, napilt ära hoitud intsidentide, nõrkuste, meetodite ja menetluste, kahjulike võtete, konkreetsete ohusubjektide ja küberturvalisuse hoiatuste ning soovituste kohta küberturvalisuse vahendite konfiguratsiooni kohta küberrünnete avastamiseks. Peale selle peaksid piiriülesed küberkeskused sõlmima koostöölepingud teiste piiriüleste küberkeskustega. Nendes koostöölepingutes tuleks eelkõige kindlaks määrata teabe jagamise põhimõtted ja koostalitlusvõime. Koostöölepingute koostalitlusvõimet käsitlevad klauslid, eelkõige teabejagamisvormingud ja -protokollid, peaksid juhinduma ja lähtuma määrusega (EL) 2019/881 loodud Euroopa Liidu Küberturvalisuse Ameti (ENISA) välja antud suunistest. Need suunised tuleks välja anda kiiresti, et piiriülesed küberkeskused saaksid neid kohe varases etapis arvesse võtta. Suunistes tuleks arvesse võtta rahvusvahelisi standardeid, parimaid tavasid ja juba loodud piiriüleste küberkeskuste toimimist.

(20)

Piiriülesed küberkeskused ja CSIRTide võrgustik peaksid tegema tihedat koostööd, et tagada oma tegevuse koostoime ja vastastikune täiendavus. Selleks peaksid nad kokku leppima koostöö ja asjakohase teabe jagamise menetluskorras. See võiks hõlmata asjakohase teabe jagamist küberohtude ja oluliste küberintsidentide kohta ning selle tagamist, et piiriülestes küberkeskustes kasutatavatest tipptasemel vahenditest, eelkõige tehisintellektist ja andmeanalüüsitehnoloogiast saadud kogemusi jagatakse CSIRTide võrgustikuga.

(21)

Oluliste küberintsidentide ja ulatuslike küberintsidentidega seotud valmisoleku ja koordineerimise tagamiseks kogu liidus on vältimatu eeltingimus asjaomaste ametiasutuste ühine olukorrateadlikkus. Direktiiviga (EL) 2022/2555 on ette nähtud EU-CyCLONe loomine, et toetada ulatuslike küberintsidentide ja -kriiside koordineeritud ohjamist operatiivtasandil ning tagada korrapärane asjakohase teabe vahetamine liikmesriikide ning liidu institutsioonide, organite ja asutuste vahel. Direktiiviga (EL) 2022/2555 nähakse ette ka CSIRTide võrgustiku loomine, et edendada kiiret ja tulemuslikku operatiivkoostööd kõigi liikmesriikide vahel. Olukorrateadlikkuse tagamiseks ja solidaarsuse tugevdamiseks peaks piiriülene küberkeskus, kui ta saab teavet võimaliku või käimasoleva ulatusliku küberintsidendi kohta, esitama asjaomase teabe CSIRTide võrgustikule ning andma eelhoiatuse EU-CyCLONe-le. Sõltuvalt olukorrast võib jagatav teave olla tehniline teave, teave ründe toimepanija või potentsiaalse toimepanija ja tema motiivide kohta või kõrgetasemeline mittetehniline teave võimaliku või käimasoleva ulatusliku küberintsidendi kohta. Teabe jagamisel tuleks igakülgselt arvesse võtta teadmisvajaduse põhimõtet ja jagatava teabe võimalikku tundlikkust. Direktiivis (EL) 2022/2555 korratakse ka komisjoni vastutust Euroopa Parlamendi ja nõukogu otsusega nr 1313/2013/EL (13) loodud liidu elanikkonnakaitse mehhanismi raames ning vastutust nõukogu rakendusotsuse (EL) 2018/1993 (14) kohase kriisidele poliitilist reageerimist käsitleva ELi integreeritud korra (IPCR) analüüsiaruannete esitamise eest. Kui piiriülesed küberkeskused jagavad EU-CyCLONe ja CSIRTide võrgustikuga võimaliku või käimasoleva ulatusliku küberintsidendiga seotud asjakohast teavet ja eelhoiatusi, on hädavajalik, et seda teavet jagataks nende võrgustike kaudu nii liikmesriikide ametiasutuste kui ka komisjoniga. Sellega seoses sätestatakse direktiivis (EL) 2022/2555, et EU-CyCLONe eesmärk on toetada ulatuslike küberturbeintsidentide ja kriiside koordineeritud ohjamist operatiivsel tasandil ning tagada asjakohase teabe korrapärane vahetamine liikmesriikide ning liidu institutsioonide, organite ja asutuste vahel. EU-CyCLONe ülesannete hulka kuulub ühise olukorrateadlikkuse arendamine selliste intsidentide ja kriiside kohta. On äärmiselt oluline, et kooskõlas mainitud eesmärgi ja oma ülesannetega tagaks EU-CyCLONe, et sellist teavet jagatakse viivitamata asjaomaste liikmesriikide esindajate ja komisjoniga. Seepärast on väga tähtis, et EU-CyCLONe töökord sisaldaks asjakohaseid sätteid.

(22)

Euroopa küberturvalisuse hoiatussüsteemis osalevad üksused peaksid tagama omavahelise kõrgetasemelise koostalitlusvõime, sealhulgas asjakohasel juhul andmevormingute, taksonoomia, andmekäitluse ja andmeanalüüsivahendite valdkonnas. Nad peaksid ühtlasi tagama turvalised sidekanalid, rakendustasandi minimaalse turvalisuse, olukorrateadlikkuse tulemustabeli ja näitajad. Ühise taksonoomia kasutuselevõtmisel ning tuvastatud küberohtude ja riskide põhjuste kirjeldamiseks koostatava aruande näidisvormi väljatöötamisel tuleks arvesse võtta direktiivi (EL) 2022/2555 rakendamise raames juba tehtud tööd.

(23)

Selleks et eri allikatest pärit asjakohaseid andmeid ja teavet küberohtude kohta oleks võimalik vahetada ulatuslikult ning usaldusväärses ja turvalises keskkonnas, peaksid Euroopa küberturvalisuse hoiatussüsteemis osalevatel üksustel olema väga turvalised tipptasemel vahendid, seadmed ja taristu ning kvalifitseeritud personal. Need – eelkõige uusim tehisintellekti- ja andmeanalüüsitehnoloogia – peaksid võimaldama parandada ühist avastamissuutlikkust ning ametiasutuste ja asjaomaste üksuste õigeaegset hoiatamist.

(24)

Euroopa küberturvalisuse hoiatussüsteem peaks asjakohaste andmete ja teabe kogumise, analüüsimise, jagamise ja vahetamise kaudu aitama suurendada liidu tehnoloogilist suveräänsust ja avatud strateegilist autonoomiat küberturvalisuse valdkonnas, konkurentsivõimet ja kerksust. Kvaliteetsete kureeritud andmete kogumine võib aidata ka arendada tipptasemel tehisintellekti- ja andmeanalüüsitehnoloogiat. Kvaliteetsete andmete tulemuslikul koondamisel on jätkuvalt tähtis inimkontroll ja sellest tulenevalt ka kvalifitseeritud tööjõud.

(25)

Kuigi Euroopa küberturvalisuse hoiatussüsteem on tsiviilprojekt, võib tsiviilvaldkonna suuremast avastamissuutlikkusest ja olukorrateadlikkusest, mida arendatakse elutähtsa taristu kaitsmiseks, olla kasu ka küberkaitsekogukonnale.

(26)

Teabe jagamine Euroopa küberturvalisuse hoiatussüsteemis osalejate vahel peaks toimuma kooskõlas kehtivate õiguslike nõuetega, eelkõige liidu ja liikmesriikide andmekaitseõigusega ning teabevahetust reguleerivate liidu konkurentsireeglitega. Kui on vaja töödelda isikuandmeid, peaks teabe saaja rakendama tehnilisi ja korralduslikke meetmeid, millega kaitstakse andmesubjektide õigusi ja vabadusi, samuti hävitama andmed kohe, kui need ei ole nimetatud eesmärgil enam vajalikud, ning teavitama andmed kättesaadavaks teinud üksust, et andmed on hävitatud.

(27)

Konfidentsiaalsuse ja infoturbe säilitamine on äärmiselt oluline käesoleva määruse kõigi kolme samba jaoks, nii selleks, et soodustada teabe jagamist või vahetamist Euroopa küberturvalisuse hoiatussüsteemi raames, et kaitsta küberhädaolukorra mehhanismi raames toetust taotlevate üksuste huvisid kui ka tagada, et Euroopa küberintsidentide läbivaatamise mehhanismi raames esitatavate aruannete kaudu saadakse kasulikke kogemusi, ilma et see avaldaks negatiivset mõju intsidentidest mõjutatud üksustele. Liikmesriikide ja üksuste osalemine neis mehhanismides sõltub nende komponentide vahelistest usaldussuhetest. Kui tegemist on liidu või riigisiseste õigusnormide kohaselt konfidentsiaalse teabega, peaks selle jagamise või vahetamine käesoleva määruse alusel piirduma sellega, mis on vajalik ja proportsionaalne teabe jagamise või vahetamise eesmärgiga. Teabe jagamise või vahetamise puhul tuleks ka säilitada asjaomase teabe konfidentsiaalsus, sealhulgas kaitsta kõigi asjaomaste üksuste turvalisust ja ärihuve. Käesoleva määruse kohane teabe jagamine või vahetamine võiks toimuda konfidentsiaalsuskokkulepete või teabelevitamise suuniste, näiteks fooritulede analoogial põhineva protokolli alusel. Kõnealust protokolli tuleb mõista kui vahendit, millega antakse teavet teabe edasise levitamisega seotud piirangute kohta. Seda kasutatakse peaaegu kõigis CSIRTides ja mõnes teabe jagamise ja analüüsimise keskuses. Lisaks nendele üldnõuetele tuleks majutuskonsortsiumide kokkulepetes kindlaks määrata Euroopa küberturvalisuse hoiatussüsteemi puhul erireeglid teabejagamise tingimuste kohta asjaomases piiriüleses küberkeskuses. Konsortsiumikokkulepetes võiks eelkõige nõuda, et teavet jagataks üksnes kooskõlas liidu ja riigisisese õigusega.

(28)

ELi küberreservi kasutuselevõtmine eeldab eraldi konfidentsiaalsusreegleid. Toetusetaotlusi esitatakse, neid hinnatakse ja rahuldatakse kriisiolukorras ning seoses tundlikes sektorites tegutsevate üksustega. ELi küberreservi tulemuslikuks toimimiseks on oluline, et selle kasutajad ja üksused saaksid viivitamata jagada kogu teavet, mida iga konkreetne üksus vajab taotluste hindamiseks ja toetuse kasutuselevõtuks, ja võimaldada sellele viivitamatut juurdepääsu. Sellest tulenevalt tuleks käesolevas määruses sätestada, et kogu sellist teavet kasutatakse või jagatakse üksnes juhul, kui see on ELi küberreservi toimimiseks vajalik, ning et teavet, mis on konfidentsiaalne või liidu ja riigisisese õiguse kohaselt salastatud, tuleb kasutada ja jagada üksnes kooskõlas kõnealuse õigusega. Lisaks peaks kasutajatel olema asjakohasel juhul alati võimalik piirangute täiendavaks täpsustamiseks kasutada selliseid teabejagamisprotokolle nagu fooritulede analoogial põhinev protokoll. Kuigi kasutajatel on selles küsimuses kaalutlusõigus, on oluline, et nad võtaksid nende piirangute kohaldamisel arvesse võimalikke tagajärgi, eelkõige seoses hilinemisega hindamisel või taotletud teenuste osutamisel. Tõhusa ELi küberreservi loomiseks on oluline, et avaliku sektori hankija selgitaks neid tagajärgi kasutajale enne taotluse esitamist. Need kaitsemeetmed piirduvad ELi küberreservi teenuste taotlemise ja osutamisega ega mõjuta teabevahetust muudes olukordades, näiteks ELi küberreservi hangete puhul.

(29)

Võttes arvesse suurenevaid riske ja liikmesriike mõjutavate küberintsidentide arvu, on vaja luua kriisitoetuse mehhanism, st küberhädaolukorra mehhanism, et suurendada liidu kerksust oluliste küberintsidentide, ulatuslike küberintsidentide ja ulatuslike küberintsidentidega võrdsustatud küberintsidentide suhtes ning täiendada liikmesriikide meetmeid erakorralise rahalise toetuse andmisega valmisoleku, intsidendile reageerimise ja oluliste teenuste esmase taastamise jaoks. Kuna täielik taastumine intsidendist on terviklik protsess, mille puhul intsidendist kahjustatud üksuse tegevus tuleb taastada intsidendieelses seisundis, ja see võib olla pikk protsess, millega kaasnevad märkimisväärsed kulud, peaks ELi küberreservist antav toetus piirduma taasteprotsessi algetapiga, mille tulemusel taastatakse süsteemide põhifunktsioonid. Küberhädaolukorra mehhanism peaks võimaldama anda kindlaksmääratud asjaoludel ja selgetel tingimustel kiiresti ja tulemuslikult abi ning tähelepanelikult jälgida ja hinnata antud vahendite kasutamist. Ehkki intsidentide ja kriiside ennetamise, nendeks valmistumise ja neile reageerimise eest vastutavad eelkõige liikmesriigid, edendab küberhädaolukorra mehhanism liikmesriikidevahelist solidaarsust kooskõlas Euroopa Liidu lepingu (ELi leping) artikli 3 lõikega 3.

(30)

Küberhädaolukorra mehhanismi kaudu tuleks anda liikmesriikidele toetust, mis täiendab nende endi meetmeid ja vahendeid, ning pakkuda muud toetust olulistele küberintsidentidele ja ulatuslikele küberintsidentidele reageerimisel ning neist esmasel taastumisel, nagu teenused, mida osutab oma volitustest lähtuvalt ENISA, CSIRTide võrgustiku pakutav koordineeritud reageerimine ja abi, EU-CyCLONe toetus olukorra leevendamiseks ning liikmesriikide vastastikune abi, sealhulgas ELi lepingu artikli 42 lõike 7 raames ning nõukogu otsuse (ÜVJP) 2017/2315 (15) kohaselt loodud alalise struktureeritud koostöö (PESCO) küberturbe kiirreageerimisrühmade kaudu. Selle mehhanismiga tuleks tagada, et olemas on erivahendid, millega toetada valmisolekut sellisteks intsidentideks, neile reageerimist ja neist taastumist kogu liidus ja programmiga „Digitaalne Euroopa“ assotsieerunud kolmandates riikides.

(31)

Käesolev määrus ei piira selliste menetluste ja raamistike kohaldamist, millega koordineeritakse kriisile reageerimist liidu tasandil, milleks on eelkõige direktiiv (EL) 2022/2555, Euroopa Parlamendi ja nõukogu otsusega nr 1313/2013/EL (16) loodud liidu elanikkonnakaitse mehhanism, IPCR ja komisjoni soovitus (EL) 2017/1584 (17). Arvestades küberhädaolukorra mehhanismi tsiviilotstarbelist olemust, võib selle raames antava toetusega täiendada abi, mida antakse ühise välis- ja julgeolekupoliitika ning ühise julgeoleku- ja kaitsepoliitika raames, sealhulgas küberturbe kiirreageerimisrühmade kaudu. Küberhädaolukorra mehhanismi raames antav toetus võib täiendada meetmeid, mida rakendatakse ELi lepingu artikli 42 lõike 7 raames, sealhulgas abi, mida üks liikmesriik annab teisele liikmesriigile, või olla osa liidu ja liikmesriikide ühisest reageerimisest või ELi toimimise lepingu artiklis 222 osutatud olukordades. Käesoleva määruse rakendamist tuleks asjakohasel juhul kooskõlastada ka küberdiplomaatia meetmete rakendamisega.

(32)

Käesoleva määruse alusel antav abi peaks toetama ja täiendama meetmeid, mida liikmesriigid võtavad riigi tasandil. Seepärast tuleks tagada komisjoni, ENISA, liikmesriikide ja asjakohasel juhul küberturvalisuse pädevuskeskuse vaheline tihe koostöö ja konsulteerimine. Küberhädaolukorra mehhanismist toetust taotledes peaksid liikmesriigid esitama asjakohase teabe, et tõendada vajadust toetuse järele.

(33)

Direktiivi (EL) 2022/2555 kohaselt peavad liikmesriigid määrama või looma ühe või mitu küberkriisi ohjamise asutust ning tagama, et neil on piisavad vahendid, et täita oma ülesandeid tulemuslikult ja tõhusalt. Nimetatud direktiivis nõutakse ka, et liikmesriigid määraksid kindlaks oma võimekuse, vahendid ja menetlused, mida saab rakendada kriisiolukorras, ning võtaksid vastu riikliku ulatuslike küberintsidentide ja kriiside lahendamise kava, milles on kirjeldatud ulatuslike küberintsidentide ja kriiside ohjamise eesmärke ja korda. Samuti peavad liikmesriigid looma ühe või mitu CSIRTi, mis hõlmavad vähemalt nimetatud direktiivi kohaldamisalasse kuuluvaid sektoreid, allsektoreid ja üksuseid ning mille ülesanne on käsitleda kindlat menetlust järgides intsidente, ning kandma hoolt selle eest, et neil on oma ülesannete tulemuslikuks täitmiseks piisavad vahendid. Käesolev määrus ei piira komisjoni rolli selle tagamisel, et liikmesriigid täidavad direktiivis (EL) 2022/2555 sätestatud kohustusi. Küberhädaolukorra mehhanismi kaudu tuleks pakkuda abi meetmete jaoks, mille eesmärk on parandada valmisolekut, ning intsidentidele reageerimise meetmete jaoks, et leevendada oluliste küberintsidentide ja ulatuslike küberintsidentide mõju, toetada esmast taastumist või taastada kriitilise tähtsusega sektorites tegutsevate üksuste või muudes tähtsates sektorites tegutsevate üksuste osutatavate teenuste põhifunktsioonid.

(34)

Selleks et edendada järjekindlat käsitust ning suurendada turvalisust kogu liidus ja liidu siseturul, tuleks valmisolekumeetmete raames anda toetust direktiivi (EL) 2022/2555 kohaselt kindlaks tehtud kriitilise tähtsusega sektorites tegutsevate üksuste küberturvalisuse koordineeritud testimiseks ja hindamiseks, sealhulgas õppuste ja koolituse kaudu. Selleks peaks komisjon pärast konsulteerimist ENISA, võrgu- ja infoturbe koostöörühma ning EU-CyCLONe-ga määrama korrapäraselt kindlaks sektorid või allsektorid, kus on võimalik saada rahalist toetust valmisoleku koordineeritud testimiseks liidu tasandil. Need sektorid ja allsektorid tuleks valida direktiivi (EL) 2022/2555 I lisas loetletud kriitilise tähtsusega sektorite seast. Valmisoleku koordineeritud testimine peaks põhinema ühistel riskistsenaariumidel ja metoodikal. Sektorite valimisel ja riskistsenaariumide koostamisel tuleks arvesse võtta asjakohaseid kogu liitu hõlmavaid riskihinnanguid ja riskistsenaariume (sealhulgas pidades silmas vajadust vältida topelttööd), nagu riskihinnang ja riskistsenaariumid, mille komisjon, liidu välisasjade ja julgeolekupoliitika kõrge esindaja (edaspidi „kõrge esindaja“) ning võrgu- ja infoturbe koostöörühm koostavad koostöös asjaomaste tsiviil- ja sõjaväeorganite ja -ametite ning väljakujunenud võrgustike, sealhulgas EU-CyCLONe-ga, järgides ELi kübervaldkonna positsiooni arendamist käsitlevates nõukogu järeldustes esitatud üleskutset; sidevõrkude ja taristu riskihindamine, mida nõutakse Nevers’i kohtumisel esitatud ministrite ühises üleskutses ning mille teeb võrgu- ja infoturbe koostöörühm komisjoni ja ENISA toel koostöös Euroopa Parlamendi ja nõukogu määrusega (EL) 2018/1971 (18) asutatud elektroonilise side Euroopa reguleerivate asutuste ametiga, ning liidu tasandi kriitilise tähtsusega tarneahelate koordineeritud turberiski hindamised vastavalt direktiivi (EL) 2022/2555 artiklile 22 ja digitaalse tegevuskerksuse testimine, mis on ette nähtud Euroopa Parlamendi ja nõukogu määrusega (EL) 2022/2554 (19). Samuti tuleks sektorite valimisel arvesse võtta nõukogu soovitust, mis käsitleb kogu liitu hõlmavat koordineeritud käsitust elutähtsa taristu toimepidevuse tugevdamiseks.

(35)

Peale selle tuleks küberhädaolukorra mehhanismi kaudu toetada muid valmisolekumeetmeid ning valmisolekut sektorites, mis ei ole kriitilise tähtsusega sektorites tegutsevate üksuste või muudes tähtsates sektorites tegutsevate üksuste valmisoleku koordineeritud testimisega hõlmatud. Nende meetmete hulka võivad kuuluda eri liiki riiklikud valmisolekumeetmed.

(36)

Kui liikmesriigid saavad sihttoetust valmisolekumeetmete toetamiseks, võivad kriitilise tähtsusega sektorite üksused nendes meetmetes osaleda vabatahtlikult. On hea tava, et pärast selliste meetmete võtmist koostavad osalevad üksused parandusmeetmete kava, et rakendada konkreetsete meetmetega seonduvaid soovitusi, et valmisolekumeetmest võimalikult palju kasu saada. Kuigi on oluline, et liikmesriigid taotleksid meetmete ühe osana, et osalevad üksused koostaksid ja rakendaksid selliseid parandusmeetmete kavasid, ei ole liikmesriigid käesoleva määrusega kohustatud ega volitatud selliseid taotlusi täitma. Sellised taotlused ei piira üksusi puudutavate nõuete ega pädevate asutuste järelevalvevolituste kohaldamist kooskõlas direktiiviga (EL) 2022/2555.

(37)

Küberhädaolukorra mehhanismi abil tuleks anda toetust ka intsidentidele reageerimise meetmete jaoks, et leevendada oluliste küberintsidentide, ulatuslike küberintsidentide ja ulatuslike küberintsidentidega võrdsustatud küberintsidentide mõju, toetada esmast taastumist või taastada oluliste teenuste toimimine. Asjakohasel juhul peaks see mehhanism täiendama liidu elanikkonnakaitse mehhanismi, et tagada tervikliku käsitusviisi rakendamine intsidentide kaudu kodanikele avalduva mõju leevendamisel.

(38)

Küberhädaolukorra mehhanismi abil tuleks toetada liikmesriike, sealhulgas direktiivi (EL) 2022/2555 artikli 11 lõike 3 punktis f osutatud CSIRTe, tehnilise abi andmisel teisele liikmesriigile, kes on olulisest küberintsidendist või ulatuslikust küberintsidendist mõjutatud. Sellist abi andvatel liikmesriikidel peaks olema lubatud esitada taotlusi vastastikuse abistamise raames toimuva eksperdirühmade lähetamisega seotud kulude katmiseks. Rahastamiskõlblike kulude hulka võivad kuuluda küberturvalisuse ekspertide sõidu- ja majutuskulud ning päevarahad.

(39)

Võttes arvesse eraettevõtjate olulist rolli ulatuslike küberintsidentide ja ulatuslike küberintsidentidega võrdsustatud küberintsidentide avastamisel, nendeks valmisolekul ja neile reageerimisel, on oluline tunnistada vabatahtliku pro bono koostöö väärtust selliste ettevõtjatega, mille puhul nad pakuvad tasustamata teenuseid ulatuslike küberintsidentide ja ulatuslike küberintsidentidega võrdsustatud küberintsidentide ja -kriiside korral. ENISA võiks koostöös EU-CyCLONe-ga jälgida selliste pro bono algatuste arengut ja edendada nende vastavust käesoleva määruse alusel usaldatavate hallatud turbeteenuse osutajate suhtes kohaldatavatele kriteeriumidele, sealhulgas seoses eraettevõtjate usaldusväärsuse, nende kogemuste ja suutlikkusega käsitleda tundlikku teavet turvalisel viisil.

(40)

Küberhädaolukorra mehhanismi osana tuleks järk-järgult luua usaldatavate hallatud turbeteenuse osutajate teenuseid hõlmav ELi küberreserv, et toetada reageerimist ja esmast taastumist oluliste küberintsidentide, ulatuslike küberintsidentide ja ulatuslike küberintsidentidega võrdsustatud küberintsidentide korral, mis mõjutavad liikmesriike, liidu institutsioone, organeid või asutusi või programmiga „Digitaalne Euroopa“ assotsieerunud kolmandaid riike. ELi küberreserv peaks tagama teenuste kättesaadavuse ja kasutamisvalmiduse. Seepärast peaks see hõlmama teenuseid, mis on eelnevalt kokku lepitud, sealhulgas näiteks valmisolekus olev ja lühikese etteteatamisajaga kasutusele võetav võimekus. ELi küberreservi teenustega tuleks toetada liikmesriikide ametiasutusi kriitilise tähtsusega sektorites tegutsevatele või muudes tähtsates sektorites tegutsevatele mõjutatud üksustele abi andmisel, täiendades liikmesriigi tasandil võetavaid meetmeid. ELi küberreservi teenustega võidakse toetada samadel tingimustel ka liidu institutsioone, organeid ja asutusi. ELi küberreserv võiks aidata tugevdada ka liidu tööstuse ja teenuste, sealhulgas mikroettevõtjate ning väikeste ja keskmise suurusega ettevõtjate ning iduettevõtjate konkurentsiolukorda, sealhulgas stimuleerides investeeringuid teadusuuringutesse ja innovatsiooni. ELi küberreservi jaoks teenuste hankimisel on oluline võtta arvesse ENISA Euroopa küberturbeoskuste raamistikku. ELi küberreservist toetust taotledes peaksid kasutajad lisama oma taotlusele asjakohase teabe mõjutatud üksuse ja võimaliku mõju kohta, teabe ELi küberreservist taotletud teenuse kohta ning teabe mõjutatud üksusele liikmesriigi tasandil antud toetuse kohta, mida tuleks arvesse võtta taotleja taotluse hindamisel. Selleks et tagada vastastikune täiendavus mõjutatud üksusele kättesaadavate muus vormis toetustega, peaks taotlus võimaluse korral sisaldama ka teavet intsidentidele reageerimiseks ja esmaste finantsseisundi taastamise teenuste osutamiseks sõlmitud lepingupõhiste kokkulepete kohta ning kindlustuslepingute kohta, mis võivad hõlmata sellist liiki intsidenti.

(41)

Selleks et tagada liidu rahastuse tulemuslik kasutamine, tuleks eelnevalt kokku lepitud ELi küberreservi teenused kooskõlas asjaomase lepinguga muuta intsidentide ennetamise ja neile reageerimisega seotud valmisolekuteenusteks, kui neid eelnevalt kokkulepitud teenuseid ei kasutata ette nähtud ajal intsidentidele reageerimiseks. Need teenused peaksid täiendama, mitte dubleerima küberturvalisuse pädevuskeskuse hallatavaid valmisolekumeetmeid.

(42)

Liikmesriikide küberkriisi ohjamise asutuste ja CSIRTide või CERT-EU poolt liidu institutsioonide, organite ja asutuste nimel esitatud taotlusi ELi küberreservist toetuse saamiseks peaks hindama avaliku sektori hankija. Kui ENISA-le on antud ELi küberreservi haldamise ja käitamise ülesanne, on kõnealune avaliku sektori hankija ENISA. Programmiga „Digitaalne Euroopa“ assotsieerunud kolmandate riikide toetusetaotlusi peaks hindama komisjon. Toetusetaotluste esitamise ja hindamise hõlbustamiseks võiks ENISA luua turvalise platvormi.

(43)

Kui samal ajal laekub mitu taotlust, tuleks need taotlused prioriseerida vastavalt käesolevas määruses sätestatud kriteeriumidele. Käesoleva määruse üldeesmärke silmas pidades peaksid need kriteeriumid hõlmama intsidendi ulatust ja tõsidust, mõjutatud üksuse liiki, võimalikku mõju mõjutatud liikmesriikidele ja kasutajatele, võimalikku piiriülest olemust ja ülekandumisohtu ning meetmeid, mida kasutaja on juba võtnud, et aidata kaasa reageerimisele ja esmasele taastumisele. Võttes arvesse nimetatud eesmärke ja arvestades, et liikmesriikide kasutajate taotlused on esitatud eranditult selleks, et toetada kogu liidus kriitilise tähtsusega sektorites tegutsevaid üksusi või muudes tähtsates sektorites tegutsevaid üksusi, tuleks juhul, kui nende kriteeriumide alusel hinnatakse kahte või enamat taotlust võrdseks, pidada prioriteetsemaks liikmesriikide kasutajate taotlusi. See ei piira liikmesriikide kohustusi võtta juhul, kui on sõlmitud asjakohased majutuskokkulepped, meetmeid liidu institutsioonide, organite ja asutuste kaitsmiseks ja abistamiseks.

(44)

Üldine vastutus ELi küberreservi rakendamise eest peaks lasuma komisjonil. Võttes arvesse ENISA ulatuslikke kogemusi küberturvalisuse tugimeetme pakkumisel, on ENISA kõige sobivam asutus ELi küberreservi rakendamiseks. Seetõttu peaks komisjon andma ELi küberreservi käitamise ja haldamise ülesande osaliselt, või kui komisjon peab seda asjakohaseks, täielikult ENISA-le. Selle ülesande andmine peaks toimuma kooskõlas määruse (EL, Euratom) 2024/2509 alusel kohaldatavate normidega ja eelkõige tingimusel, et rahalist toetust käsitleva lepingu allkirjastamise asjakohased tingimused on täidetud. ELi küberreservi käitamise ja haldamise aspekte, mida ei ole ENISA-le ülesandeks antud, peaks haldama komisjon eelarve otsese täitmise kaudu, sealhulgas ka enne rahalist toetust käsitleva lepingu allkirjastamist.

(45)

Liikmesriikidel peaks olema keskne roll ELi küberreservi loomisel, kasutuselevõtul ja kasutuselevõtujärgsel ajal. Kuna ELi küberreservi rakendusmeetmete asjakohane alusakt on määrus (EL) 2021/694, tuleks ELi küberreservi raames võetavad meetmed määrata kindlaks määruse (EL) 2021/694 artiklis 24 osutatud tööprogrammides. Nimetatud artikli lõike 6 kohaselt võtab komisjon kõnealused tööprogrammid vastu rakendusaktidega kooskõlas kontrollimenetlusega. Lisaks peaks komisjon koostöös võrgu- ja infoturbe koostöörühmaga määrama kindlaks ELi küberreservi prioriteedid ja arengu.

(46)

ELi küberreservi raames sõlmitud lepingud ei tohiks mõjutada ettevõtjate vahelisi suhteid ega kehtivaid kohustusi mõjutatud üksuse või kasutajate ja teenuseosutaja vahel.

(47)

ELi küberreservi raames teenuseid osutama hakkavate erasektori teenuseosutajate väljavalimiseks on vaja kehtestada rida miinimumkriteeriume ja nõudeid, mida tuleks rakendada teenuseosutajate väljavalimiseks korraldatavates pakkumismenetlustes, et vastata liikmesriikide ametiasutuste ning kriitilise tähtsusega sektorites tegutsevate üksuste ja muudes tähtsates sektorites tegutsevate üksuste vajadustele. Selleks et võtta arvesse liikmesriikide erivajadusi, peaks avaliku sektori hankija ELi küberreservi jaoks teenuste hankimisel töötama asjakohasel juhul välja valikukriteeriumid ja nõuded, mis täiendavad käesolevas määruses sätestatud kriteeriume ja nõudeid. Oluline on julgustada kohalikul ja piirkondlikul tasandil tegutsevate väiksemate teenuseosutajate osalemist.

(48)

ELi küberreservi kaasatavate teenuseosutajate valimisel peaks avaliku sektori hankija püüdma tagada, et ELi küberreserv kui tervik sisaldaks teenuseosutajaid, kes suudavad rahuldada kasutajate keelenõudeid. Selleks peaks avaliku sektori hankija enne taotlusvooru kirjelduse koostamist uurima, kas ELi küberreservi võimalikel kasutajatel on konkreetseid keelenõudeid, et ELi küberreservi tugiteenuseid saaks osutada mõnes liidu institutsioonide või liikmesriigi ametlike keelte hulka kuuluvas keeles, millest kasutaja või mõjutatud üksus tõenäoliselt aru saab. Kui kasutaja vajab ELi küberreservi tugiteenuste osutamiseks rohkem kui ühte keelt ja teenused on selle kasutaja jaoks nendes keeltes hangitud, peaks kasutajal olema võimalik ELi küberreservi toetuse taotluses täpsustada, millistes keeltes tuleks neid teenuseid osutada seoses taotluse aluseks oleva konkreetse intsidendiga.

(49)

Et toetada ELi küberreservi loomist, on oluline, et komisjon paluks ENISA-l koostada määruse (EL) 2019/881 kohase küberturvalisuse sertifitseerimise ettevalmistava kava hallatud turbeteenuste jaoks küberhädaolukorra mehhanismiga hõlmatud valdkondades.

(50)

Selleks et aidata saavutada käesoleva määruse eesmärke parandada ühist olukorrateadlikkust, suurendada liidu kerksust ning võimaldada tulemuslikult reageerida olulistele küberintsidentidele ja ulatuslikele küberintsidentidele, peaks komisjonil või EU-CyCLONe-l olema võimalik taotleda, et ENISA vaataks CSIRTide võrgustiku toel ja asjaomaste liikmesriikide heakskiidu korral läbi konkreetse olulise küberintsidendi või ulatusliku küberintsidendiga seotud küberohud, teadaolevad ärakasutatavad nõrkused ja leevendusmeetmed ning hindaks neid. Pärast intsidendi läbivaatamist ja hindamist peaks ENISA koostama läbivaatamisaruande, tehes seda koostöös asjaomaste liikmesriikide, asjaomaste sidusrühmade, sealhulgas erasektori, komisjoni ning muude asjaomaste liidu institutsioonide, organite ja asutuste esindajatega. Konkreetse intsidendi läbivaatamisel tuleks hinnata aset leidnud intsidendi põhjusi, mõju ja leevendamist, tehes koostööd sidusrühmadega, sealhulgas erasektoriga. Läbivaatamisaruandes tuleks pöörata erilist tähelepanu teabele ja kogemustele, mida on jaganud hallatud turbeteenuse osutajad, kes vastavad käesoleva määrusega ette nähtud suurima erialase kohusetunde, erapooletuse ja nõutava tehnilise pädevuse kriteeriumile. Aruanne tuleks esitada EU-CyCLONe-le, CSIRTide võrgustikule ja komisjonile ning seda tuleks kasutada nii nende kui ka ENISA töös. Kui intsident on seotud programmiga „Digitaalne Euroopa“ assotsieerunud kolmanda riigiga, peaks komisjon esitama aruande ka kõrgele esindajale.

(51)

Võttes arvesse küberrünnete prognoosimatust ja asjaolu, et sageli ei piirdu rünne konkreetse geograafilise piirkonnaga ja sellega kaasneb suur mõju ülekandumise oht, on liidu, eelkõige selle siseturu ja tööstuse kui terviku kaitse huvides kasulik suurendada naaberriikide kerksust ning suutlikkust reageerida tulemuslikult olulistele küberintsidentidele ja ulatuslikele küberintsidentidele. Selline tegevus võiks veelgi kaasa aidata ELi küberdiplomaatiale. Seepärast peaks programmiga „Digitaalne Euroopa“ assotsieerunud kolmandatel riikidel olema võimalik taotleda toetust ELi küberreservist kogu nende territooriumil või selle osal, kui see on ette nähtud lepingus, mille alusel kolmas riik on programmiga „Digitaalne Euroopa“ assotsieerunud. Liit peaks andma programmiga „Digitaalne Euroopa“ assotsieerunud kolmandatele riikidele rahalisi vahendeid asjaomaste partnerluste ja rahastamisvahendite raames. Toetus peaks hõlmama teenuseid sellistes valdkondades nagu reageerimine olulistele küberintsidentidele või ulatuslike küberintsidentidega võrdsustatud küberintsidentidele ning neist esmane taastumine.

(52)

Programmiga „Digitaalne Euroopa“ assotsieerunud kolmandate riikide toetamisel tuleks kohaldada käesolevas määruses ELi küberreservi ja usaldatavate hallatud turbeteenuse osutajate jaoks sätestatud tingimusi. Programmiga „Digitaalne Euroopa“ assotsieerunud kolmandatel riikidel peaks olema võimalik taotleda toetust ELi küberreservist, kui üksused, kellele nad ELi küberreservist toetust taotlevad, on kriitilise tähtsusega sektorites tegutsevad üksused või muudes tähtsates sektorites tegutsevad üksused ning kui avastatud intsidendid põhjustavad märkimisväärseid tegevushäireid või võivad avaldada ülekanduvat mõju liidus. Programmiga „Digitaalne Euroopa“ assotsieerunud kolmandatel riikidel peaks olema õigus toetust saada üksnes juhul, kui lepingus, mille alusel nad on programmiga „Digitaalne Euroopa“ assotsieerunud, on selline toetus konkreetselt ette nähtud. Lisaks peaksid sellised kolmandad riigid saama toetust ainult seni, kui on täidetud kolm kriteeriumi. Esiteks peab kolmas riik täielikult täitma kõnealuse lepingu asjakohaseid tingimusi. Teiseks, võttes arvesse ELi küberreservi täiendavat iseloomu, peab kolmas riik olema võtnud piisavaid meetmeid, et valmistuda olulisteks küberintsidentideks või ulatuslike küberintsidentidega võrdsustatud küberintsidentideks. Kolmandaks peab ELi küberreservist toetuse andmine olema kooskõlas liidu poliitika ja selle riigiga loodud üldiste suhete ning liidu muu poliitikaga julgeoleku valdkonnas. Hinnates vastavust kolmandale kriteeriumile, peaks komisjon konsulteerima kõrge esindajaga, et viia toetuse andmine kooskõlla ühise välis- ja julgeolekupoliitikaga.

(53)

Programmiga „Digitaalne Euroopa“ assotsieerunud kolmandatele riikidele toetuse andmine võib avaldada mõju suhetele kolmandate riikidega ja liidu julgeolekupoliitikale, sealhulgas ühise välis- ja julgeolekupoliitika ning ühise julgeoleku- ja kaitsepoliitika kontekstis. Seetõttu tuleks nõukogule anda rakendamisvolitused, et lubada sellise toetuse andmist ja määrata kindlaks toetuse andmise ajavahemik. Nõukogu peaks tegutsema komisjoni ettepaneku alusel, võttes täielikult arvesse komisjoni hinnangut kolmele kriteeriumile. Sama peaks kehtima ka pikendamiste ning ettepanekute kohta, millega selliseid õigusakte muudetakse või tunnistatakse need kehtetuks. Kui nõukogu leiab erandkorras, et kolmanda kriteeriumiga seonduvad asjaolud on tuntavalt muutunud, peaks nõukogul olema võimalik tegutseda omal algatusel, et rakendusakti muuta või see kehtetuks tunnistada, ootamata ära komisjoni ettepanekut. Sellised tuntavad muutused nõuavad tõenäoliselt kiiret tegutsemist, neil on eriti oluline mõju suhetele kolmandate riikidega ning need ei nõua komisjonilt eelnevat üksikasjalikku hindamist. Lisaks peaks komisjon programmiga „Digitaalne Euroopa“ assotsieerunud kolmandate riikide taotluste ja neile riikidele antud toetuse rakendamise vallas tegema koostööd kõrge esindajaga. Komisjon peaks arvesse võtma ka ENISA esitatud seisukohti asjaomaste taotluste ja toetuse kohta. Komisjon peaks teavitama nõukogu taotluste hindamise tulemustest, sealhulgas sellega seoses tehtud asjakohastest kaalutlustest, ja osutatavatest teenustest.

(54)

Komisjoni 18. aprilli 2023. aasta teatises küberturvalisuse oskuste akadeemia kohta tunnistati kvalifitseeritud spetsialistide nappust. Selliseid oskusi on tarvis käesoleva määruse eesmärkide saavutamiseks. Liit vajab kiiresti spetsialiste, kellel on oskused ja pädevus küberrünnete ennetamiseks, avastamiseks ja takistamiseks ning liidu, sealhulgas selle kõige elutähtsama taristu kaitsmiseks taoliste rünnakute eest, tagades selle kerksuse. Selleks on oluline soodustada koostööd sidusrühmade, sealhulgas erasektori, akadeemiliste ringkondade ja avaliku sektori vahel. Sama oluline on tekitada sünergiat kõigil liidu territooriumidel, investeerimaks haridusse ja koolitusse, et luua kaitsemeetmeid ajude äravoolu vältimiseks ning et oskuste nappus ei suureneks mõnes piirkonnas rohkem kui teistes. Kiiresti on vaja kaotada küberturbeoskuste nappus, pöörates erilist tähelepanu soolise ebavõrdsuse vähendamisele küberturvalisuse valdkonna tööjõus, et edendada naiste esindatust ja osalemist digitaalse juhtimise kujundamises.

(55)

Innovatsiooni hoogustamiseks digitaalsel ühtsel turul on oluline tugevdada küberturvalisusega seotud teadusuuringuid ja innovatsiooni, et suurendada liikmesriikide kerksust ja liidu avatud strateegilist autonoomiat, mis mõlemad kuuluvad käesoleva määruse eesmärkide hulka. Sünergia on vajalik selleks, et tugevdada koostööd ja koordineerimist eri sidusrühmade, sealhulgas erasektori, kodanikuühiskonna ja akadeemiliste ringkondade vahel.

(56)

Käesolevas määruses tuleks arvesse võtta kohustusi, mis võeti Euroopa Parlamendi, nõukogu ja komisjoni 26. jaanuari 2022. aasta ühisdeklaratsioonis „Euroopa deklaratsioon digiõiguste ja -põhimõtete kohta digikümnendiks“, et kaitsta liidu demokraatia, inimeste, ettevõtjate ja avaliku sektori asutuste huve küberriskide ja küberkuritegevuse, sealhulgas andmetega seotud rikkumiste ning identiteedivarguse või manipuleerimise eest.

(57)

Selleks et täiendada käesoleva määruse teatavaid mitteolemuslikke osi, peaks komisjonil olema õigus võtta kooskõlas ELi toimimise lepingu artikliga 290 vastu delegeeritud õigusakte, et täpsustada ELi küberreservi jaoks vajalike reageerimisteenuste liike ja arvu. On eriti oluline, et komisjon viiks oma ettevalmistava töö käigus läbi asjakohaseid konsultatsioone, sealhulgas ekspertide tasandil, ja et kõnealused konsultatsioonid viidaks läbi kooskõlas 13. aprilli 2016. aasta institutsioonidevahelises parema õigusloome kokkuleppes (20) sätestatud põhimõtetega. Eelkõige selleks, et tagada delegeeritud õigusaktide ettevalmistamises võrdne osalemine, saavad Euroopa Parlament ja nõukogu kõik dokumendid liikmesriikide ekspertidega samal ajal ning nende ekspertidel on pidev juurdepääs komisjoni eksperdirühmade koosolekutele, millel arutatakse delegeeritud õigusaktide ettevalmistamist.

(58)

Selleks et tagada käesoleva määruse ühetaolised rakendamistingimused, tuleks komisjonile anda rakendamisvolitused, et täpsustada veelgi ELi küberreservi toetavate teenuste määramise üksikasjalikku korda. Neid volitusi tuleks teostada kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EL) nr 182/2011 (21).

(59)

Ilma et see piiraks aluslepingutest tulenevate liidu aastaeelarvega seotud reeglite kohaldamist, peaks komisjon ENISA eelarve- ja personalivajaduste hindamisel võtma arvesse käesolevast määrusest tulenevaid kohustusi.

(60)

Komisjon peaks korrapäraselt hindama käesolevas määruses sätestatud meetmeid. Esimene hindamine peaks toimuma kahe aasta jooksul alates käesoleva määruse jõustumise kuupäevast ja seejärel vähemalt kord iga nelja aasta järel, võttes arvesse ELi toimimise lepingu artikli 312 kohaselt ette nähtud mitmeaastase finantsraamistiku läbivaatamise ajastust. Komisjon peaks edusamme käsitleva aruande esitama Euroopa Parlamendile ja nõukogule. Selleks et hinnata erinevaid nõutavaid elemente, sealhulgas Euroopa küberturvalisuse hoiatussüsteemis jagatud teabe ulatust, peaks komisjon tuginema üksnes teabele, mis on kergesti kättesaadav või vabatahtlikult esitatud. Võttes arvesse geopoliitilist arengut ning selleks, et tagada käesolevas määruses sätestatud meetmete järjepidevus ja edasiarendamine pärast 2027. aastat, on oluline, et komisjon hindaks vajadust eraldada mitmeaastases finantsraamistikus aastateks 2028–2034 asjakohane eelarve.

(61)

Kuna käesoleva määruse eesmärke, nimelt tugevdada tööstuse ja teenuste konkurentsiolukorda digimajanduses üle kogu liidu ning aidata kaasa liidu tehnoloogilisele suveräänsusele ja avatud strateegilisele autonoomiale küberturvalisuse valdkonnas, ei suuda liikmesriigid piisavalt saavutada, küll aga saab neid meetme ulatuse ja toime tõttu paremini saavutada liidu tasandil, võib liit võtta meetmeid kooskõlas ELi lepingu artiklis 5 sätestatud subsidiaarsuse põhimõttega. Kõnealuses artiklis sätestatud proportsionaalsuse põhimõtte kohaselt ei lähe käesolev määrus nimetatud eesmärkide saavutamiseks vajalikust kaugemale,