KOMISJONI RAKENDUSMÄÄRUS (EL) …/…,
17.10.2024,
millega kehtestatakse seoses domeeninimede süsteemi teenuse osutajate, tippdomeeninimede registrite, pilvandmetöötlusteenuse osutajate, andmekeskusteenuse osutajate, sisulevivõrgu pakkujate, hallatud teenuse osutajate, turbetarnijate ning internetipõhiste kauplemiskohtade, internetipõhiste otsingumootorite, sotsiaalvõrguteenuse platvormide ja usaldusteenuse pakkujatega direktiivi (EL) 2022/2555 kohaldamise eeskirjad, mis puudutavad küberturvalisuse riskijuhtimismeetmete tehnilisi ja metoodilisi nõudeid ja selliste juhtude täpsemat kindlaksmääramist, mille korral peetakse intsidenti oluliseks
(EMPs kohaldatav tekst)
EUROOPA KOMISJON,
võttes arvesse Euroopa Liidu toimimise lepingut,
võttes arvesse Euroopa Parlamendi ja nõukogu 14. detsembri 2022 direktiivi (EL) 2022/2555, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv), eriti selle artikli 21 lõike 5 esimest lõiku ja artikli 23 lõike 11 teist lõiku,
ning arvestades järgmist:
(1)Käesoleva määruse eesmärk on kehtestada direktiivi (EL) 2022/2555 artiklis 3 käsitletud domeeninimede süsteemi teenuse osutajate, tippdomeeninimede registrite, pilvandmetöötlusteenuse osutajate, andmekeskusteenuse osutajate, sisulevivõrgu pakkujate, hallatud teenuse osutajate, turbetarnijate ning internetipõhiste kauplemiskohtade, internetipõhiste otsingumootorite, sotsiaalvõrguteenuse platvormide ja usaldusteenuse pakkujate (asjaomased üksused) suhtes direktiivi (EL) 2022/2555 artikli 21 lõikes 2 osutatud meetmete tehnilised ja metoodilised nõuded ja määrata täpsemalt kindlaks juhud, mille korral tuleks intsidenti pidada oluliseks direktiivi (EL) 2022/2555 artikli 23 lõike 3 tähenduses.
(2)Võttes arvesse usaldusteenuse osutajate tegevuse piiriülest iseloomu ja selleks, et tagada neile sidus raamistik, tuleks käesolevas määruses lisaks küberturvalisuse riskijuhtimismeetmete tehniliste ja metoodiliste nõuete kehtestamisele määrata usaldusteenuse osutajate jaoks täpsemalt kindlaks juhud, mille korral peetakse intsidenti oluliseks.
(3)Tulenevalt direktiivi (EL) 2022/2555 artikli 21 lõike 5 kolmandast lõigust põhinevad käesoleva määruse lisas esitatud küberturvalisuse riskijuhtimismeetmete tehnilised ja metoodilised nõuded Euroopa ja rahvusvahelistel standarditel, nagu ISO/IEC 27001, ISO/IEC 27002 ja ETSI EN 319 401, ja tehnilistel nõuetel, nagu CEN/TS 18026:2024, mis puudutavad võrgu- ja infosüsteemide turvalisust.
(4)Mis puudutab käesoleva määruse lisas sätestatud küberturvalisuse riskijuhtimismeetmete tehniliste ja metoodiliste nõuete rakendamist ja kohaldamist, siis tuleb nende nõuete järgimisel võtta kooskõlas proportsionaalsuse põhimõttega nõuetekohaselt arvesse asjaomaste üksuste erinevat kokkupuudet riskidega, näiteks asjaomase üksuse olulisust, riske, millega ta kokku puutub, asjaomase üksuse suurust ja struktuuri ning intsidentide esinemise tõenäosust ja intsidentide tõsidust, kaasa arvatud nende ühiskondlikku ja majanduslikku mõju.
(5)Kui asjaomased üksused ei saa mõningaid küberturvalisuse riskijuhtimismeetmete tehnilisi ja metoodilisi nõudeid rakendada oma suuruse tõttu, peaks neil üksustel olema võimalus võtta kooskõlas proportsionaalsuse põhimõttega muid kompenseerivaid meetmeid, mis sobivad nende nõuete eesmärgi saavutamiseks. Näiteks asjaomase üksuse sees võrgu- ja infosüsteemide turvalisusega seotud rollide, vastutusalade ja volituste kindlaksmääramisel võib mikroüksustel olla keeruline vastuolus olevaid ülesandeid ja vastutusvaldkondi lahus hoida. Sellistel üksustel peaks olema võimalik kaaluda kompenseerivaid meetmeid, nagu üksuse juhtkonna poolne sihipärane järelevalve või ulatuslikum seire ja logimine.
(6)Teatavaid käesoleva määruse lisas sätestatud tehnilisi ja metoodilisi nõudeid tuleks asjaomaste üksuste suhtes kohaldada, kui see on otstarbekas, kui see on kohaldatav või niivõrd, kui see on teostatav. Kui asjaomane üksus leiab, et käesoleva määruse lisas sätestatud tehniliste ja metoodiliste nõuete kohaldamine ei ole tema jaoks otstarbekas, kohaldatav või teostatav, peaks ta oma sellekohased põhjendused arusaadavalt dokumenteerima. Riikide pädevad asutused võivad järelevalvet tehes arvesse võtta, kui palju aega on asjaomastel üksustel küberturvalisuse riskijuhtimismeetmete tehniliste ja metoodiliste nõuete rakendamiseks vaja.
(7)ENISA või direktiivi (EL) 2022/2555 alusel pädevad riiklikud asutused võivad anda juhiseid, et toetada asjaomaseid üksusi riskide kindlakstegemisel, analüüsimisel ja hindamisel, et rakendada tehnilisi ja metoodilisi nõudeid seoses asjakohase riskijuhtimisraamistiku loomise ja haldamisega. Sellised juhised võivad muu hulgas sisaldada eeskätt riiklikke ja sektoripõhiseid riskihindamisi ning konkreetset üksuse liiki puudutavaid riskihindamisi. Juhised võivad sisaldada ka töövahendeid või malle, mille põhjal töötada välja riskijuhtimisraamistik asjaomase üksuse tasandil. Lisaks asjaomastele Euroopa ja rahvusvahelistele standarditele võivad asjaomastel üksustel aidata käesoleva määruse nõuete täitmist tõendada ka liikmesriikide siseriikliku õigusega ettenähtud raamistikud, juhised või muud mehhanismid. Peale selle võivad ENISA ja direktiivi (EL) 2022/2555 alusel pädevad riiklikud asutused toetada asjaomaseid üksusi selliste riskihindamiste käigus kindlaks tehtud riskide käsitlemiseks sobivate lahenduste leidmisel ja rakendamisel. Sellised juhised ei tohiks piirata asjaomaste üksuste kohustust teha kindlaks võrgu- ja infosüsteemide turvalisust ohustavad riskid ja need dokumenteerida ega asjaomaste üksuste kohustust rakendada käesoleva määruse lisas sätestatud küberturvalisuse riskijuhtimismeetmete tehnilisi ja metoodilisi nõudeid vastavalt oma vajadustele ja ressurssidele.
(8)Võrguturbemeetmed, mis puudutavad: i) üleminekut võrgukihi viimase põlvkonna sideprotokollidele, ii) rahvusvaheliselt kokkulepitud ja koostalitlusvõimeliste nüüdisaegsete meiliedastusstandardite kasutuselevõttu ning iii) parimate tavade rakendamist domeeninimede süsteemi turvalisuse, internetimarsruutide turvalisuse ja marsruutimishügieeni vallas, on seotud spetsiifiliste probleemidega parimate olemasolevate standardite ja kasutuselevõtumooduste kindlakstegemisel. Selleks, et saavutada kõigis võrkudes võimalikult kiiresti küberturvalisuse ühtlaselt kõrge tase, peaks komisjon Euroopa Liidu Küberturvalisuse Ameti (ENISA) abiga ning koostöös pädevate asutuste, tööstuse (sh telekommunikatsioonitööstuse) ja muude sidusrühmadega toetama eri huvirühmi ühendava foorumi väljatöötamist, et anda sellele foorumile ülesanne teha kindlaks parimad kasutatavad standardid ja kasutuselevõtumoodused. Sellised mitme sidusrühma antavad juhised ei tohiks piirata asjaomaste üksuste kohustust rakendada käesoleva määruse lisas sätestatud küberturvalisuse riskijuhtimismeetmete tehnilisi ja metoodilisi nõudeid.
(9)Vastavalt direktiivi (EL) 2022/2555 artikli 21 lõike 2 punktile a peaksid elutähtsatel ja olulistel üksustel olema lisaks riskianalüüsi põhimõtetele ka infosüsteemide turvalisuse põhimõtted. Selleks peaksid asjaomased üksused kehtestama võrgu- ja infosüsteemide turvalisuse põhimõtted ning temaatilised põhimõtted, näiteks pääsukontrolli põhimõtted, mis peaksid olema võrgu- ja infosüsteemide turvalisuse põhimõtetega kooskõlas. Võrgu- ja infosüsteemide turvalisuse põhimõtete näol peaks olema tegemist kõrgeima tasandi dokumendiga, milles sätestatakse asjaomaste üksuste üldine lähenemisviis nende võrgu- ja infosüsteemide turvalisusele ja mille peaksid heaks kiitma asjaomaste üksuste juhtorganid. Temaatilised põhimõtted tuleks heaks kiita asjakohasel juhtimistasandil. Süsteemide turvalisuse põhimõtetes tuleks kehtestada näitajad ja meetmed, et hoida silma peal põhimõtete rakendamisel ning asjaomaste üksuste võrgu- ja infoturbe selle hetke küpsuse tasemel, eeskätt selleks, et hõlbustada küberturvalisuse riskijuhtimismeetmete rakendamise järelevalvet juhtorganite kaudu.
(10)Käesoleva määruse lisas sätestatud tehniliste ja metoodiliste nõuete kohaldamisel peaks mõiste „kasutaja“ hõlmama kõiki juriidilisi ja füüsilisi isikuid, kellel on juurdepääs üksuse võrgu- ja infosüsteemidele.
(11)Selleks, et teha kindlaks võrgu- ja infosüsteemide riskid ja nendega tegeleda, peaksid asjaomased üksused kehtestama asjakohase riskijuhtimisraamistiku ja seda haldama. Riskijuhtimisraamistiku ühe osana peaksid asjaomased üksused kehtestama riskikäsitluskava ning seda rakendama ja tegema selle seiret. Asjaomased üksused võivad kasutada riskikäsitluskava, et riskikäsitlusvõimalusi ja -meetmeid kindlaks määrata ja prioriseerida. Riskikäsitlusvõimaluste hulka kuuluvad näiteks riski vältimine, vähendamine või erandjuhtudel aktsepteerimine. Riskikäsitlusvõimaluste valikul tuleks arvesse võtta asjaomase üksuse tehtud riskihindamise tulemusi ning see peaks olema kooskõlas asjaomase üksuse võrgu- ja infosüsteemide turvalisuse põhimõtetega. Valitud riskikäsitlusvõimaluste rakendamiseks peaksid asjaomased üksused võtma asjakohaseid riskikäsitlusmeetmeid.
(12)Asjaomased üksused peaksid tegema oma võrgu- ja infosüsteemide seiret, et avastada sündmusi, intsidendiohte ja intsidente, ning võtma meetmeid nende sündmuste, intsidendiohtude ja intsidentide hindamiseks. Need meetmed peaksid võimaldama õigeaegselt avastada võrgupõhiseid ründeid, tuginedes siseneva ja väljuva võrguliikluse mustrites esinevatele anomaaliatele, ja teenusetõkestusründeid.
(13)Kui asjaomased üksused teevad äritoime analüüsi, julgustatakse neid põhjaliku analüüsi käigus kindlaks määrama maksimaalse talutava seisuaja, taaste sihtkestused, taaste sihtseisud ja teenusesihid, olenevalt sellest, mis on asjakohane.
(14)Leevendamaks riske, mis johtuvad asjaomase üksuse tarneahelast ja tema suhtest oma tarnijatega, peaksid asjaomased üksused kehtestama tarneahela turvalisuse põhimõtted, mis reguleerivad nende suhteid nende otseste tarnijate ja teenuseosutajatega. Need üksused peaksid oma otseste tarnijate või teenuseosutajatega sõlmitavates lepingutes sätestama piisavad turvaklauslid, milles nõutakse, kui see on asjakohane, küberturvalisuse riskijuhtimismeetmeid vastavalt direktiivi (EL) 2022/2555 artikli 21 lõikele 2 või muudele samalaadsetele õiguslikele nõuetele.
(15)Asjaomased üksused peaksid sellekohastele põhimõtetele ja protseduuridele tuginedes tegema korrapäraselt turvalisuse teste, et kontrollida, kas küberturvalisuse riskijuhtimismeetmeid rakendatakse ja kas need toimivad nõuetekohaselt. Turvalisuse teste võib teha konkreetsete võrgu- ja infosüsteemide või asjaomase üksuse kui terviku kohta ning need võivad sisaldada automatiseeritud või käsiteste, läbistusteste, nõrkuseotsinguid, rakenduste turvalisuse staatilisi ja dünaamilisi teste, konfiguratsiooniteste ja turvaauditeid. Asjaomased üksused võivad teha oma võrgu- ja infosüsteemides teste nende rajamise ajal, pärast taristu või rakenduste oluliseks peetavat uuendamist või muutmist või pärast hooldust. Turvalisuse testide tulemusi tuleks kasutada asjaomase üksuse põhimõtetes ja protseduurides, et hinnata küberturvalisuse riskijuhtimismeetmete toimivust, aga ka nende võrgu- ja infoturbepõhimõtete sõltumatutes läbivaatamistes.
(16)Hoidmaks ära võrgu- ja infosüsteemide paikamata nõrkuste ärakasutamisest tulenevaid märkimisväärseid katkestusi ja kahju, peaksid asjaomased üksused kehtestama asjakohased turbepaikade haldamise protseduurid, mis on kooskõlas asjaomase üksuse muudatustehalduse, nõrkusehalduse, riskijuhtimise ja muude asjakohaste protseduuridega, ja neid rakendama. Asjaomased üksused peaksid võtma oma ressursside seisukohast proportsionaalseid meetmeid tagamaks, et turbepaikadega ei tekitata täiendavaid nõrkusi või ebastabiilsust. Kui turbepaiga rakendamise tõttu on teenus plaanitult kättesaamatu, soovitatakse asjaomastel üksustel klientidele sellest eelnevalt teada anda.
(17)Asjaomased üksused peaksid juhtima riske, mis tulenevad IKT-toodete või IKT-teenuste hankimisest tarnijatelt või teenusepakkujatelt, ning saama kinnituse, et hangitavad IKT-tooted või IKT-teenused vastavad teatavale küberturvalisuse kaitse tasemele, näiteks Euroopa küberturvalisuse sertifikaadi või ELi vastavusdeklaratsiooni näol, mis on IKT-toodetele või IKT-teenustele väljastatud Euroopa Parlamendi ja nõukogu määruse (EL) 2019/881 artikli 49 kohaselt vastu võetud Euroopa küberturvalisuse sertifitseerimise kava alusel. Kui asjaomased üksused kehtestavad hangitavate IKT-toodete suhtes kohaldatavad turvanõuded, peaksid nad arvesse võtma olulisi küberturvalisuse nõudeid, mis on sätestatud Euroopa Parlamendi ja nõukogu määruses, mis käsitleb digielemente sisaldavate toodete küberturvalisuse horisontaalseid nõudeid.
(18)Asjaomased üksused peaksid rakendama võrguturbelahendusi, et kaitsta küberohtude eest ning toetada andmetega seotud rikkumiste ennetamist ja ohjeldamist. Tavapäraste võrguturbelahenduste hulka kuuluvad tulemüüride kasutamine asjaomase üksuse sisevõrgu kaitsmiseks, ühenduste ja teenustele juurdepääsu piiramine üksnes nende teenustega, mille puhul on ühendused ja juurdepääs ilmtingimata vajalikud, ning virtuaalsete privaatvõrkude kasutamine kaugjuurdepääsuks ja teenuseosutajate ühenduste lubamine alles pärast volitustaotlust ja kindlaksmääratud aja jooksul, näiteks hooldustoimingu kestel.
(19)Et kaitsta oma võrke ja infosüsteeme kuritahtliku ja loata tarkvara eest, peaksid asjaomased üksused rakendama kontrollimeetmeid, mis hoiavad ära loata tarkvara kasutamise või suudavad selle avastada, ning vajaduse korral peaksid nad kasutama avastamise ja reageerimise tarkvara. Asjaomased üksused peaksid kaaluma ka selliste meetmete rakendamist, mis aitaksid ründepinna võimalikult väikeseks muuta, vähendaksid nõrkusi, mida ründajad saavad ära kasutada, juhiksid rakenduste käitamist lõppseadmetes ning võtaksid kasutusele e-posti ja veebirakenduste filtrid, et vähendada kokkupuuteid kuritahtliku sisuga.
(20)Vastavalt direktiivi (EL) 2022/2555 artikli 21 lõike 2 punktile g peavad liikmesriigid tagama, et elutähtsad ja olulised üksused kasutavad küberhügieeni põhitavasid ja küberturvalisuse koolitusi. Küberhügieeni põhitavade hulka võivad kuuluda usaldamatuse põhimõte, tarkvarauuendused, seadmete konfiguratsioon, võrgu segmentimine, identiteedi ja juurdepääsu haldus ning kasutajateadlikkus, oma töötajatele koolituste korraldamine ning teadlikkuse suurendamine küberohtude, andmepüügi ja inimestega manipuleerimise meetodite kohta. Küberhügieeni tavad on käesoleva määruse lisas sätestatud küberturvalisuse riskijuhtimismeetmete mitmesuguste tehniliste ja metoodiliste nõuete üks osa. Kasutajate küberhügieeni põhitavade osas peaksid asjaomased üksused kaaluma selliseid tavasid nagu puhta laua ja puhta ekraani poliitika, mitmikautentimise ja muude autentimisvahendite kasutamine, turvaline e-posti kasutamine ja veebi brausimine, kaitse andmepüügi ja sotsiaalse manipulatsiooni eest ning kaugtöö turvalised tavad.
(21)Selleks, et hoida ära loata juurdepääs oma varadele, peaksid asjaomased üksused kehtestama isikute ning võrgu- ja infosüsteemide, näiteks rakenduste juurdepääsu käsitlevad temaatilised põhimõtted ja neid rakendama.
(22)Hoidmaks ära seda, et kasutajad saavad kuritarvitada näiteks juurdepääsuõigusi asjaomase üksuse sees kahju tegemise eesmärgil, peaksid asjaomased üksused kaaluma asjakohaseid töötajatega seotud turvalisuse haldamise meetmeid ning suurendama töötajate teadlikkust sellistest riskidest. Asjaomased üksused peaksid kehtestama oma võrgu- ja infosüsteemi turvalisuse põhimõtete rikkumiste käsitlemiseks distsiplinaarmenetluse, mis võib olla nende üksuste kehtestatud muude distsiplinaarmenetluste osa, ning sellest menetlusest teatama ja seda haldama. Asjaomase üksuse töötajate ja vajaduse korral otseste tarnijate ja teenuseosutajate tausta kontrollimine peaks toetama asjaomaste üksuste personalialase turvalisuse eesmärki ning see võib sisaldada selliseid meetmeid nagu isiku karistusregistri andmete või varasemate ametikohustuste kontrollimine vastavalt isiku ülesannetele asjaomases üksuses ja kooskõlas asjaomase üksuse võrgu- ja infosüsteemide turvalisuse põhimõtetega.
(23)Mitmikautentimine võib parandada üksuste küberturvalisust ja üksused peaksid seda kaaluma eeskätt siis, kui kasutajatel on võrgu- ja infosüsteemidele kaugjuurdepääs või kui neil on juurdepääs tundlikule teabele või eeliskontodele ja süsteemihalduskontodele. Mitmikautentimist võib kasutada koos muude meetoditega, et nõuda konkreetsete asjaolude korral täiendavaid tegureid, tuginedes eelnevalt kindlaks määratud reeglitele ja mustritele, nagu juurdepääs ebatavalisest kohast, ebatavalisest seadmest või ebatavalisel ajal.
(24)Asjaomased üksused peaksid haldama ja kaitsma nende jaoks väärtuslikke varasid usaldusväärse varade haldamisega, millest tuleks ühtlasi lähtuda riski analüüsimisel ja talitluspidevuse juhtimisel. Asjaomased üksused peaksid haldama nii materiaalset kui ka immateriaalset vara ning nad peaksid looma varaloendi, seostama varad kindlaksmääratud liigitustasemega, varasid käitlema ja jälgima ning võtma meetmeid varade kaitsmiseks kogu nende elutsükli jooksul.
(25)Varade haldamine peaks hõlmama varade liigitamist vastavalt nende liigile, tundlikkusele, riskitasemele ja turvanõuetele ning asjakohaste meetmete ja kontrollide kohaldamist, et tagada nende käideldavus, terviklus, konfidentsiaalsus ja autentsus. Kui asjaomane üksus liigitab varad vastavalt riskitasemele, peaks tal olema võimalik kasutada varade kaitsmiseks asjakohaseid turvameetmeid ja -kontrolle, nagu krüpteerimine, juurdepääsukontroll, sealhulgas perimeetri kontroll ning füüsilise ja loogilise juurdepääsu meetmed, varukoopiad, logimine ja seire, säilitamine ja kõrvaldamine. Ärimõju analüüsi tehes võivad asjaomased üksused määrata liigitustaseme kindaks selle põhjal, millised oleksid varaga seotud katkestuse tagajärjed üksuste jaoks. Kõik üksuse töötajad, kes tegelevad varade käitlemisega, peaksid olema tuttavad varade käitlemise põhimõtete ja juhistega.
(26)Varaloendi detailsuse tase peaks vastama asjaomaste üksuste vajadustele. Põhjalikku varaloendisse võiks iga vara kohta olla kantud vähemalt kordumatu tunnus, vara omanik, vara kirjeldus, vara asukoht, vara liik, varas töödeldava teabe liik ja liigitus, vara viimase uuendamise või paikamise kuupäev, vara liigitus vastavalt riskihindamisele ja vara ealõpp. Vara omaniku nimetamisel peaksid asjaomased üksused nimetama ka kõnealuse vara kaitsmise eest vastutava isiku.
(27)Küberturvalisuse rollide, ülesannete ja volituste määramine peaks tekitama asjaomastes üksustes küberturvalisuse juhtimise ja rakendamise ühtse struktuuri ning tagama intsidentide korral tulemusliku suhtluse. Teatavate rollide vastutusalade määratlemisel ja määramisel peaksid asjaomased üksused kaaluma selliseid rolle nagu infoturbejuht, infoturbeametnik, intsidendikäsitlusega tegelev ametnik, audiitor või võrreldavad ametikohad. Asjaomased üksused võivad määrata rolle ja ülesandeid ka välistele isikutele, näiteks kolmandast isikust IKT-teenuse osutajatele.
(28)Vastavalt direktiivi (EL) 2022/2555 artikli 21 lõikele 2 peavad küberturvalisuse riskijuhtimismeetmed põhinema kõiki ohte hõlmaval lähenemisviisil, mille eesmärk on kaitsta võrgu- ja infosüsteeme ning nende süsteemide füüsilist keskkonda selliste olukordade eest nagu vargus, tulekahju, üleujutus, telekommunikatsiooni- või elektrikatkestus või loata füüsiline juurdepääs elutähtsa või olulise üksuse teabe- ja teabetöötlusrajatistele ning nende kahjustamine ja häirimine, mis võib ohustada võrgu- ja infosüsteemides salvestatud, edastatud või töödeldud andmete või nende süsteemide pakutavate või nende kaudu juurdepääsetavate teenuste käideldavust, autentsust, terviklust või konfidentsiaalsust. Seepärast tuleks küberturvalisuse riskijuhtimismeetmete tehnilistes ja metoodilistes nõuetes pöörata tähelepanu ka võrgu- ja infosüsteemide füüsilisele turvalisusele ja nende keskkonna turvalisusele ning lisada tuleks meetmed, et kaitsta selliseid süsteeme tõrgete, inimlike eksimuste, kuritahtliku tegevuse või loodusnähtuste eest. Füüsiliste- ja keskkonnaohtude hulka võivad kuuluda veel maavärinad, plahvatused, sabotaaž, siseoht, rahvarahutused, toksilised jäätmed ja heitmed. Kui hoida ära võrgu- ja infosüsteemide kahju, kahjustusi või rikkumisi või nende süsteemide töö katkemist, mille põhjustab toetavate kommunaalteenuste tõrge või katkestus, peaks see toetama asjaomaste üksuste talitluspidevuse eesmärki. Peale selle peaks asjaomaste üksuste võrgu- ja infosüsteemide hoolduse turvalisust toetama ka kaitse füüsiliste ja keskkonnaohtude eest.
(29)Asjaomased üksused peaksid kavandama ja rakendama kaitsemeetmeid füüsiliste ja keskkonnaohtude vastu, määrama kindlaks füüsiliste ja keskkonnaohtude kontrolli miinimum- ja maksimumkünnised ja tegema keskkonnaparameetrite seiret. Näiteks peaksid nad kaaluma süsteemide paigaldamist, et avastada võrgu- ja infosüsteemide asukohas üleujutused varakult. Tuleohtu silmas pidades peaksid asjaomased üksused kaaluma eraldi tuletõkkesektsiooni loomist andmekeskuse jaoks, tulekindlate materjalide kasutamist, temperatuuri- ja niiskusandureid, hoone ühendamist tulekahjuhäiresüsteemiga, mis edastaks teabe automaatselt kohalikule tuletõrje- ja päästeteenistusele, ning tulekahju varase avastamise ja kustutamise süsteeme. Samuti peaksid asjaomased üksused korraldama korrapäraseid tuletõrjeharjutusi ja kontrollima tuleohutust. Elektrivarustuse tagamiseks peaksid asjaomased üksused kaaluma ülepingekaitset ja vastavat avariitoiteallikat kooskõlas asjakohaste standarditega. Kuna ülekuumenemine ohustab võrgu- ja infosüsteemide käideldavust, võiksid asjaomased üksused, eelkõige andmekeskusteenuse osutajad, kaaluda piisavate, pidevate ja liiaste kliimaseadmesüsteemide kasutamist.
(30)Käesolevas määruses tuleb täpsemalt kindlaks määrata juhud, mil intsidenti tuleks käsitada olulisena direktiivi (EL) 2022/2555 artikli 23 lõike 3 kohaldamisel. Kriteeriumid peaksid olema sellised, et asjaomased üksused suudaksid hinnata, kas intsident on oluline, et sellest intsidendist vastavalt direktiivile (EL) 2022/2555 teatada. Ühtlasi tuleks käesolevas määruses sätestatud kriteeriume käsitada ammendavatena ilma, et see piiraks direktiivi (EL) 2022/2555 artikli 5 kohaldamist. Käesolevas määruses määratakse kindlaks juhud, mil intsidenti tuleks käsitada olulisena, ning selleks nähakse ette nii horisontaalsed kui ka üksuse- või liigipõhised juhud.
(31)Vastavalt direktiivi (EL) 2022/2555 artikli 23 lõikele 4 peaksid asjaomased üksused olema kohustatud teatama olulistest intsidentidest nimetatud lõikes sätestatud tähtaegade jooksul. Sellise teatamistähtaja alguseks loetakse hetk, mil üksus saab sellisest olulisest intsidendist teadlikuks. Seega on asjaomane üksus kohustatud teatama sellistest intsidentidest, mis tema esialgse hinnangu kohaselt võivad põhjustada asjaomase üksuse teenustele tõsiseid tegevushäireid või kõnealusele üksusele rahalist kahju või mõjutada teisi füüsilisi või juriidilisi isikuid, põhjustades märkimisväärset varalist või mittevaralist kahju. Kui asjaomane üksus on avastanud kahtlase sündmuse või kui kolmas isik, näiteks üksikisik, klient, üksus, ametiasutus, meediaorganisatsioon või muu allikas, on juhtinud tema tähelepanu võimalikule intsidendile, peaks asjaomane üksus seega kahtlast sündmust õigeaegselt hindama, et teha kindlaks, kas see kujutab endast intsidenti, ning kui see on nii, siis tegema kindlaks selle laadi ja tõsiduse. Seega tuleb asjaomast üksust käsitada olulisest intsidendist teadlikuna siis, kui see üksus on pärast sellist esialgset hindamist piisavalt kindel, et toimunud on oluline intsident.
(32)Kui see on asjakohane, peaksid asjaomased üksused intsidendi olulisuse kindlakstegemiseks loendama, kui paljusid kasutajaid intsident mõjutas, võttes arvesse äri- ja lõppkliente, kellega neil asjaomastel üksustel on lepinguline suhe, aga ka äriklientidega seotud füüsilisi ja juriidilisi isikuid. Kui asjaomane üksus ei suuda mõjutatud kasutajaid kokku arvutada, tuleks intsidendist mõjutatud kasutajate koguarvu arvutamiseks kasutada asjaomase üksuse hinnangut sellele, kui paljusid kasutajaid intsident maksimaalselt mõjutada võis. Kui intsidendiga on seotud usaldusteenus, tuleks selle olulisuse kindlaksmääramisel kasutada lisaks mõjutatud kasutajate arvule ka tuginevate isikute arvu, sest usaldusteenusega seotud oluline intsident võib tegevushäirete ning materiaalse ja immateriaalse kahju näol samavõrra mõjutada ka neid. Seepärast peaksid usaldusteenuse osutajad võtma intsidendi olulisuse kindlaksmääramisel arvesse ka tuginevate isikute arvu, kui see on asjakohane, Seepärast tuleks tuginevateks isikuteks pidada füüsilisi ja juriidilisi isikuid, kes tuginevad usaldusteenusele.
(33)Kui teenuse käideldavus on hooldustööde tõttu piiratud või kui teenus on käideldamatu, ei tuleks seda käsitada olulise intsidendina, kui teenuse piiratud käideldavus või käideldamatus on seotud plaaniliste hooldustöödega. Kui teenuse käideldamatuse põhjuseks on plaaniline katkestus, näiteks eelnevalt kindlaksmääratud lepingujärgse kokkuleppe kohane katkestus või käideldamatus, ei tohiks seda pidada oluliseks intsidendiks.
(34)Teenuse käideldavust mõjutava intsidendi kestust tuleks mõõta alates sellise teenuse nõuetekohase osutamise katkemisest kuni selle taastumiseni. Kui asjaomane üksus ei suuda kindlaks teha teenuse katkemise hetke, tuleks intsidendi kestust mõõta alates intsidendi avastamise hetkest või hetkest, mil võrgu või süsteemi logidesse või muudesse andmeallikatesse tekib intsidendi kohta kanne, olenevalt sellest, kumb leidis aset varem.
(35)Teenuse täielikku käideldamatust tuleks mõõta alates hetkest, mil teenus on kasutaja jaoks täiesti käideldamatu, kuni hetkeni, mil tavapärane tegevus või töö taastatakse enne intsidenti pakutud teenuse tasemel. Kui asjaomane üksus ei suuda kindlaks teha, millal teenuse täielik käideldamatus algas, tuleks käideldamatust mõõta alates hetkest, mil kõnealune üksus selle avastas.
(36)Selleks, et teha kindlaks otseselt intsidendist tulenev rahaline kahju, peaksid asjaomased üksused arvesse võtma kogu rahalist kahju, mis neil intsidendi tulemusena tekkis, näiteks tarkvara, riistvara või taristu asendamise või teisaldamise kulusid, personalikulusid, kaasa arvatud kulusid, mis on seotud töötajate asendamise või ümberpaigutamise, lisatöötajate värbamise, ületunnitöö tasustamise ning kaotatud või vähenenud oskuste taastamisega, lepinguliste kohustuste täitmata jätmisest tulenevaid tasusid; kahju heastamise ja klientidele hüvitamise kulusid, saamata jäänud tulust tulenevat kahju, sise- ja välissuhtlusega seotud kulusid, nõustamiskulusid, sealhulgas õigusnõustamise, kohtuekspertiisi ja parandusteenustega seotud kulusid, ning muid intsidendiga seotud kulusid. Intsidendist tuleneva rahalise kahjuna ei tohiks siiski käsitada haldustrahve ja igapäevaseks äritegevuseks vajalikke kulusid, kaasa arvatud taristu, seadmete, riist- ja tarkvara üldise hoolduse kulud, personali oskuste täiendamise kulud, sise- ja väliskulud, mis on seotud äritegevuse edendamisega pärast intsidenti, sealhulgas ajakohastamised, täiustused ja riskihindamise algatused, ning kindlustusmaksed. Asjaomased üksused peaksid arvutama finantskahju summad kättesaadavate andmete põhjal ja kui finantskahju tegelikke summasid ei ole võimalik kindlaks teha, siis peaksid üksused andma oma hinnangu, millised need summad võiksid olla.
(37)Ühtlasi peaks asjaomastel üksustel olema kohustus teatada intsidentidest, mis on põhjustanud või võivad põhjustada füüsiliste isikute surma või märkimisväärset kahju füüsiliste isikute tervisele, sest selliste intsidentide puhul on tegemist märkimisväärse varalise või mittevaralise kahju tekitamise eriti tõsiste juhtudega. Asjaomast üksust mõjutav intsident võib tuua kaasa näiteks tervishoiu- või hädaabiteenistuste käideldamatuse või andmete konfidentsiaalsuse või tervikluse kadumise, mis mõjutab füüsiliste isikute tervist. Et teha kindlaks, kas intsident on põhjustanud või võib põhjustada märkimisväärset kahju füüsilise isiku tervisele, peaksid asjaomased üksused võtma arvesse, kas intsident põhjustas või võib põhjustada raskeid vigastusi või terviseprobleeme. Selleks ei tohiks asjaomaseid üksusi kohustada koguma täiendavat teavet, millele neil ei ole juurdepääsu.
(38)Piiratud käideldavusena tuleks eeskätt käsitada seda, kui asjaomase üksuse osutatava teenuse reageerimisaeg on keskmisest märkimisväärselt aeglasem või kui teenuse kõik funktsioonid ei ole käideldavad. Reageerimisajas esinevate viivituste hindamiseks tuleks võimaluse korral kasutada objektiivseid kriteeriume, mis põhinevad asjaomaste üksuste osutatud teenuste keskmistel reageerimisaegadel. Teenuse funktsioon võib olla näiteks jutuside või pildiotsingu funktsioon.
(39)Kui kellelgi õnnestub asjaomase üksuse võrgu- ja infosüsteemidele loata ja arvatavalt kuritahtlikult juurde pääseda, tuleks seda käsitada olulise intsidendina, kui selline juurdepääs võib põhjustada tõsiseid tegevushäireid. Näiteks juhul, kui küberohu subjekt seab ennast asjaomase üksuse võrgu- ja infosüsteemides sisse, et edaspidi teenuste katkemist põhjustada, tuleks seda intsidenti käsitada olulisena.
(40)Korduvaid intsidente, millel näib olevat sama algpõhjus ja mis üksikuna võttes ei vastaks olulise intsidendi kriteeriumidele, tuleks koos käsitada olulise intsidendina, kui nad koos vastavad finantskahju kriteeriumile ja kui selliseid intsidente on viimase kuue kuu jooksul leidnud aset vähemalt kaks korda. Sellised korduvad intsidendid võivad osutada märkimisväärsetele puudustele ja nõrkustele asjaomase üksuse küberturvalisuse riskijuhtimisprotseduurides ja nende küberturvalisuse küpsuse tasemes. Pealegi võivad sellised korduvad intsidendid põhjustada asjaomasele üksusele märkimisväärset rahalist kahju.
(41)Komisjon on pidanud rakendusakti eelnõu asjus nõu ja teinud koostööd koostöörühma ja ENISAga kooskõlas direktiivi (EL) 2022/2555 artikli 21 lõikega 5 ja artikli 23 lõikega 11.
(42)Vastavalt Euroopa Parlamendi ja nõukogu määruse (EL) 2018/1725 artikli 42 lõikele 1 on konsulteeritud Euroopa Andmekaitseinspektoriga, kes esitas oma arvamuse 1. septembril 2024.
(43)Käesoleva määrusega ettenähtud meetmed on kooskõlas direktiivi (EL) 2022/2555 artikli 39 alusel moodustatud komitee arvamusega,
ON VASTU VÕTNUD KÄESOLEVA MÄÄRUSE:
Artikkel 1
Reguleerimisese
Käesoleva määrusega kehtestatakse domeeninimede süsteemi teenuse osutajate, tippdomeeninimede registrite, pilvandmetöötlusteenuse osutajate, andmekeskusteenuse osutajate, sisulevivõrgu pakkujate, hallatud teenuse osutajate, turbetarnijate ning internetipõhiste kauplemiskohtade, internetipõhiste otsingumootorite, sotsiaalvõrguteenuse platvormide ja usaldusteenuse pakkujate (asjaomased üksused) suhtes direktiivi (EL) 2022/2555 artikli 21 lõikes 2 osutatud meetmete tehnilised ja metoodilised nõuded ja määratakse täpsemalt kindlaks juhud, mille korral tuleks intsidenti pidada oluliseks direktiivi (EL) 2022/2555 artikli 23 lõike 3 tähenduses.
Artikkel 2
Tehnilised ja metoodilised nõuded
1.Käesoleva määruse lisas sätestatakse asjaomaste üksuste jaoks direktiivi (EL) 2022/2555 artikli 21 lõike 2 punktides a–j osutatud küberturvalisuse riskijuhtimismeetmete tehnilised ja metoodilised nõuded.
2.Asjaomased üksused tagavad käesoleva määruse lisas sätestatud küberturvalisuse riskijuhtimismeetmete tehnilisi ja metoodilisi nõudeid rakendades ja kohaldades võrgu- ja infosüsteemide turvalisuse taseme, mis vastab riskidele. Selleks võtavad nad käesoleva määruse lisas sätestatud küberturvalisuse riskijuhtimismeetmete tehnilisi ja metoodilisi nõudeid järgides nõuetekohaselt arvesse enda riskidele avatuse ulatust, nende suurust ning intsidentide esinemise tõenäosust ja tõsidust, kaasa arvatud nende ühiskondlikku ja majanduslikku mõju.
Kui käesoleva määruse lisas on sätestatud, et mõnd küberturvalisuse riskijuhtimismeetmete tehnilist või metoodilist nõuet kohaldatakse, kui see on otstarbekas, kui see on kohaldatav või niivõrd, kui see on teostatav, ning kui asjaomane üksus ei pea teatavate selliste tehniliste ja metoodiliste nõuete kohaldamist otstarbekaks, kohaldatavaks või teostatavaks, dokumenteerib asjaomane üksus oma sellekohased põhjendused arusaadavalt.
Artikkel 3
Olulised intsidendid
1.Intsidenti peetakse asjaomaste üksuste jaoks direktiivi 2022/2555 artikli 23 lõike 3 kohaldamisel oluliseks, kui täidetud on üks või mitu järgmist kriteeriumi:
(a)intsident on põhjustanud või võib põhjustada asjaomasele üksusele otsest rahalist kahju, mis on suurem kui 500 000 eurot või 5 % asjaomase üksuse aastasest kogukäibest eelmisel majandusaastal olenevalt sellest, kumb on väiksem;
(b)intsident on põhjustanud või võib põhjustada asjaomase üksuse direktiivi (EL) 2016/943 artikli 2 punktis 1 sätestatud ärisaladuste väljaimbumise;
(c)intsident on põhjustanud või võib põhjustada füüsilise isiku surma;
(d)intsident on põhjustanud või võib põhjustada märkimisväärset kahju füüsilise isiku tervisele;
(e)võrgu- ja infosüsteemidele on õnnestunud saada loata ja arvatavalt kuritahtlik juurdepääs, mis võib põhjustada tõsiseid tegevushäireid;
(f)intsident vastab artiklis 4 sätestatud kriteeriumidele;
(g)intsident vastab ühele või mitmele artiklites 5–14 sätestatud kriteeriumile.
(2)Teenuse plaanilisi katkestusi ja asjaomase üksuse poolt või tema nimel teostatud plaaniliste hooldustööde kavandatud tagajärgi ei käsitata oluliste intsidentidena.
(3)Arvutades artikli 7 ja artiklite 9–14 kohaldamiseks seda, mitut kasutajat intsident mõjutas, võtavad asjaomased üksused arvesse järgmist:
(a)selliste kasutajate arv, kellel on asjaomase üksusega sõlmitud leping, mis annab neile juurdepääsu asjaomase üksuse võrgu- ja infosüsteemidele või teenustele, mida pakutakse või mis on juurdepääsetavad nende võrgu- ja infosüsteemide kaudu;
(b)nende füüsiliste ja juriidiliste isikute arv, kes on seotud äriklientidega, kes kasutavad üksuse võrgu- ja infosüsteeme või teenuseid, mida pakutakse või mis on juurdepääsetavad nende võrgu- ja infosüsteemide kaudu.
Artikkel 4
Korduvad intsidendid
Intsidente, mida eraldi võttes ei käsitata oluliste intsidentidena artikli 3 tähenduses, käsitatakse koos ühe olulise intsidendina, kui need vastavad kõigile järgmistele kriteeriumidele:
(a)need on toimunud vähemalt kaks korda kuue kuu jooksul;
(b)neil näib olevat sama algpõhjus;
(c)nad koos vastavad artikli 3 lõike 1 punktis a sätestatud kriteeriumidele.
Artikkel 5
Domeeninimede süsteemi teenuse osutajatega seotud olulised intsidendid
Domeeninimede süsteemi teenuse osutajate puhul käsitatakse intsidenti artikli 3 lõike 1 punkti g alusel olulisena, kui see vastab ühele või mitmele järgmisele kriteeriumile:
(a)domeeninimede rekursiivse või autoriteetse teisendamise teenus on täiesti käideldamatu rohkem kui 30 minuti jooksul;
(b)rohkem kui ühe tunni jooksul kulub domeeninimede rekursiivse või autoriteetse teisendamise teenusel DNS-päringule reageerimiseks keskmiselt üle 10 sekundi;
(c)domeeninimede autoriteetse teisendamise süsteemi teenuse osutamisega seoses talletatud, edastatud või töödeldud andmete terviklust, konfidentsiaalsust või autentsust on rikutud, välja arvatud juhul, kui väära konfigureerimise tõttu on domeeninimede süsteemi osutaja hallatavatest domeeninimedest vähem kui tuhande domeeninime andmed väärad ning need domeeninimed moodustavad tema hallatavatest domeeninimedest kuni 1 %.
Artikkel 6
Tippdomeeninimede registriga seotud olulised intsidendid
Tippdomeeninimede registri puhul käsitatakse intsidenti artikli 3 lõike 1 punkti g alusel olulisena, kui see vastab ühele või mitmele järgmisele kriteeriumile:
(a)domeeninimede autoriteetse teisendamise teenus on täiesti käideldamatu;
(b)rohkem kui ühe tunni jooksul kulub domeeninimede autoriteetse teisendamise teenusel DNS-päringule reageerimiseks keskmiselt üle 10 sekundi;
(c)tippdomeeni tehnilise toimimisega seoses talletatud, edastatud või töödeldud andmete terviklust, konfidentsiaalsust või autentsust on rikutud.
Artikkel 7
Pilvandmetöötlusteenuse osutajatega seotud olulised intsidendid
Pilvandmetöötlusteenuse osutajate puhul käsitatakse intsidenti artikli 3 lõike 1 punkti g alusel olulisena, kui see vastab ühele või mitmele järgmisele kriteeriumile:
(a)osutatav pilvandmetöötlusteenus on täiesti käideldamatu rohkem kui 30 minuti jooksul;
(b)pilvandmetöötlusteenuse osutaja osutatava pilvandmetöötlusteenuse käideldavus on rohkem kui ühe tunni jooksul piiratud rohkem kui 5 % pilvandmetöötlusteenuse kasutajate jaoks liidus või rohkem kui 1 miljoni pilvandmetöötlusteenuse kasutaja jaoks liidus olenevalt sellest, kumb arv on väiksem;
(c)pilvandmetöötlusteenuse osutamisega seoses talletatud, edastatud või töödeldud andmete terviklust, konfidentsiaalsust või autentsust on rikutud arvatavalt kuritahtliku tegevuse tõttu;
(d)pilvandmetöötlusteenuse osutamisega seoses talletatud, edastatud või töödeldud andmete terviklust, konfidentsiaalsust või autentsust on rikutud ning see mõjutab rohkem kui 5 % selle pilvandmetöötlusteenuse kasutajatest liidus või rohkem kui 1 miljonit selle pilvandmetöötlusteenuse kasutajat liidus olenevalt sellest, kumb arv on väiksem.
Artikkel 8
Andmekeskusteenuse osutajatega seotud olulised intsidendid
Andmekeskusteenuse osutajate puhul käsitatakse intsidenti artikli 3 lõike 1 punkti g alusel olulisena, kui see vastab ühele või mitmele järgmisele kriteeriumile:
(a)teenuseosutaja käitatava andmekeskuse andmekeskusteenus on täielikult käideldamatu;
(b)teenuseosutaja käitatava andmekeskuse andmekeskusteenuse käideldavus on piiratud rohkem kui ühe tunni jooksul;
(c)andmekeskusteenuse osutamisega seoses talletatud, edastatud või töödeldud andmete terviklust, konfidentsiaalsust või autentsust on rikutud arvatavalt kuritahtliku tegevuse tõttu;
(d)füüsilist juurdepääsu teenuseosutaja käitatavale andmekeskusele mõjutab turvarike.
Artikkel 9
Sisulevivõrgu pakkujatega seotud olulised intsidendid
Sisulevivõrgu pakkujate puhul käsitatakse intsidenti artikli 3 lõike 1 punkti g alusel olulisena, kui see vastab ühele või mitmele järgmisele kriteeriumile:
(a)sisulevivõrk on täiesti käideldamatu rohkem kui 30 minuti jooksul;
(b)sisulevivõrgu käideldavus on rohkem kui ühe tunni jooksul piiratud rohkem kui 5 % sisulevivõrgu kasutajate jaoks liidus või rohkem kui 1 miljoni sisulevivõrgu kasutaja jaoks liidus olenevalt sellest, kumb arv on väiksem;
(c)sisulevivõrgu pakkumisega seoses talletatud, edastatud või töödeldud andmete terviklust, konfidentsiaalsust või autentsust on rikutud arvatavalt kuritahtliku tegevuse tõttu;
(d)sisulevivõrgu pakkumisega seoses talletatud, edastatud või töödeldud andmete terviklust, konfidentsiaalsust või autentsust on rikutud ning see mõjutab rohkem kui 5 % selle sisulevivõrgu kasutajatest liidus või rohkem kui 1 miljonit selle sisulevivõrgu kasutajat liidus olenevalt sellest, kumb arv on väiksem.
Artikkel 10
Hallatud teenuse osutajate ja turbetarnijatega seotud olulised intsidendid
Hallatud teenuse osutajate ja turbetarnijate puhul käsitatakse intsidenti artikli 3 lõike 1 punkti g alusel olulisena, kui see vastab ühele või mitmele järgmisele kriteeriumile:
(a)hallatud teenus või turbeteenus on täiesti käideldamatu rohkem kui 30 minuti jooksul;
(b)hallatud teenuse või turbeteenuse käideldavus on rohkem kui ühe tunni jooksul piiratud rohkem kui 5 % teenusekasutajate jaoks liidus või rohkem kui 1 miljoni teenusekasutaja jaoks liidus olenevalt sellest, kumb arv on väiksem;
(c)hallatud teenuse osutamise või turbe tarnimisega seoses talletatud, edastatud või töödeldud andmete terviklust, konfidentsiaalsust või autentsust on rikutud arvatavalt kuritahtliku tegevuse tõttu;
(d)hallatud teenuse osutamise või turbe tarnimisega seoses talletatud, edastatud või töödeldud andmete terviklust, konfidentsiaalsust või autentsust on rikutud ning see mõjutab rohkem kui 5 % selle hallatud teenuse või selle turbeteenuse kasutajatest liidus või rohkem kui 1 miljonit teenusekasutajat liidus olenevalt sellest, kumb arv on väiksem.
Artikkel 11
Internetipõhiste kauplemiskohtade pakkujatega seotud olulised intsidendid
Internetipõhiste kauplemiskohtade pakkujate puhul käsitatakse intsidenti artikli 3 lõike 1 punkti g alusel olulisena, kui see vastab ühele või mitmele järgmisele kriteeriumile:
(a)internetipõhine kauplemiskoht on täiesti käideldamatu rohkem kui 5 % internetipõhise kauplemiskoha kasutajate jaoks liidus või internetipõhise kauplemiskoha rohkem kui 1 miljoni kasutaja jaoks liidus olenevalt sellest, kumb arv on väiksem;
(b)internetipõhise kauplemiskoha piiratud käideldavus mõjutab rohkem kui 5 % selle internetipõhise kauplemiskoha kasutajaid liidus või rohkem kui 1 miljonit selle internetipõhise kauplemiskoha kasutajat liidus olenevalt sellest, kumb arv on väiksem;
(c)internetipõhise kauplemiskoha pakkumisega seoses talletatud, edastatud või töödeldud andmete terviklust, konfidentsiaalsust või autentsust on rikutud arvatavalt kuritahtliku tegevuse tõttu;
(d)internetipõhise kauplemiskoha pakkumisega seoses talletatud, edastatud või töödeldud andmete terviklust, konfidentsiaalsust või autentsust on rikutud ning see mõjutab rohkem kui 5 % selle internetipõhise kauplemiskoha kasutajatest liidus või rohkem kui 1 miljonit selle internetipõhise kauplemiskoha kasutajat liidus olenevalt sellest, kumb arv on väiksem.
Artikkel 12
Internetipõhiste otsingumootorite pakkujatega seotud olulised intsidendid
Internetipõhiste otsingumootorite pakkujate puhul käsitatakse intsidenti artikli 3 lõike 1 punkti g alusel olulisena, kui see vastab ühele või mitmele järgmisele kriteeriumile:
(a)internetipõhine otsingumootor on täiesti käideldamatu rohkem kui 5 % selle internetipõhise otsingumootori kasutajate jaoks liidus või selle internetipõhise otsingumootori rohkem kui 1 miljoni kasutaja jaoks liidus olenevalt sellest, kumb arv on väiksem;
(b)internetipõhise otsingumootori piiratud käideldavus mõjutab rohkem kui 5 % selle internetipõhise otsingumootori kasutajaid liidus või rohkem kui 1 miljonit selle internetipõhise otsingumootori kasutajat liidus olenevalt sellest, kumb arv on väiksem;
(c)internetipõhise otsingumootori pakkumisega seoses talletatud, edastatud või töödeldud andmete terviklust, konfidentsiaalsust või autentsust on rikutud arvatavalt kuritahtliku tegevuse tõttu;
(d)internetipõhise otsingumootori pakkumisega seoses talletatud, edastatud või töödeldud andmete terviklust, konfidentsiaalsust või autentsust on rikutud ning see mõjutab rohkem kui 5 % selle internetipõhise otsingumootori kasutajatest liidus või rohkem kui 1 miljonit selle internetipõhise otsingumootori kasutajat liidus olenevalt sellest, kumb arv on väiksem.
Artikkel 13
Sotsiaalvõrguteenuse platvormide pakkujatega seotud olulised intsidendid
Sotsiaalvõrguteenuse platvormide pakkujate puhul käsitatakse intsidenti artikli 3 lõike 1 punkti g alusel olulisena, kui see vastab ühele või mitmele järgmisele kriteeriumile:
(a)sotsiaalvõrguteenuse platvorm on täiesti käideldamatu rohkem kui 5 % selle sotsiaalvõrguteenuse platvormi kasutajate jaoks liidus või selle sotsiaalvõrguteenuse platvormi rohkem kui 1 miljoni kasutaja jaoks liidus olenevalt sellest, kumb arv on väiksem;
(b)sotsiaalvõrguteenuse platvormi piiratud käideldavus mõjutab rohkem kui 5 % selle sotsiaalvõrguteenuse platvormi kasutajaid liidus või rohkem kui 1 miljonit selle sotsiaalvõrguteenuse platvormi kasutajat liidus olenevalt sellest, kumb arv on väiksem;
(c)sotsiaalvõrguteenuse platvormi pakkumisega seoses talletatud, edastatud või töödeldud andmete terviklust, konfidentsiaalsust või autentsust on rikutud arvatavalt kuritahtliku tegevuse tõttu;
(d)sotsiaalvõrguteenuse platvormi pakkumisega seoses talletatud, edastatud või töödeldud andmete terviklust, konfidentsiaalsust või autentsust on rikutud ning see mõjutab rohkem kui 5 % selle sotsiaalvõrguteenuse platvormi kasutajatest liidus või rohkem kui 1 miljonit selle sotsiaalvõrguteenuse platvormi kasutajat liidus olenevalt sellest, kumb arv on väiksem.
Artikkel 14
Usaldusteenuse osutajatega seotud olulised intsidendid
Usaldusteenuse osutajate puhul käsitatakse intsidenti artikli 3 lõike 1 punkti g alusel olulisena, kui see vastab ühele või mitmele järgmisele kriteeriumile:
(a)usaldusteenus on täiesti käideldamatu rohkem kui 20 minuti jooksul;
(b)usaldusteenus on kasutajate või tuginevate isikute jaoks käideldamatu kalendrinädala kohta arvutatult rohkem kui ühe tunni jooksul;
(c)usaldusteenuse piiratud käideldavus mõjutab rohkem kui 1 % kasutajaid või tuginevaid isikuid liidus või rohkem kui 200 000 kasutajat või tuginevat isikut liidus olenevalt sellest, kumb arv on väiksem;
(d)füüsilist juurdepääsu alale, kus asuvad võrgu- ja infosüsteemid ja millele on juurdepääs vaid usaldusteenuse osutaja usaldusväärsetel töötajatel, või sellise füüsilise juurdepääsu kaitset mõjutab turvarike;
(e)usaldusteenuse osutamisega seoses talletatud, edastatud või töödeldud andmete terviklust, konfidentsiaalsust või autentsust on rikutud ning see mõjutab rohkem kui 0,1 % usaldusteenuse kasutajatest või tuginevatest isikutest liidus või rohkem kui 100 usaldusteenuse kasutajat või tuginevat isikut liidus, olenevalt sellest, kumb arv on väiksem.
Artikkel 15
Kehtetuks tunnistamine
Komisjoni rakendusmäärus (EL) 2018/151 tunnistatakse kehtetuks.
Artikkel 16
Jõustumine ja kohaldamine
Käesolev määrus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.
Käesolev määrus on tervikuna siduv ja vahetult kohaldatav kõikides liikmesriikides.
Brüssel, 17.10.2024
Komisjoni nimel
president
Ursula VON DER LEYEN
LISA
Käesoleva määruse artiklis 2 osutatud tehnilised ja metoodilised nõuded
1.Võrgu- ja infosüsteemide turvalisuse põhimõtted (direktiivi (EL) 2022/2555 artikli 21 lõike 2 punkt a)
1.1.Võrgu- ja infosüsteemide turvalisuse põhimõtted
1.1.1.Direktiivi (EL) 2022/2555 artikli 21 lõike 2 punkti a kohaldamisel vastavad võrgu- ja infosüsteemide turvalisuse põhimõtted järgmistele nõuetele:
(a)neis sätestatakse asjaomaste üksuste lähenemisviis oma võrgu- ja infosüsteemide turvalisuse haldamisele;
(b)need on asjaomase üksuse äristrateegia ja -eesmärkide seisukohast otstarbekad ja täiendavad neid;
(c)neis esitatakse võrgu- ja infoturbe eesmärgid;
(d)need sisaldavad siduvat kohustust võrgu- ja infosüsteemide turvalisust pidevalt parandada;
(e)need sisaldavad siduvat kohustust pakkuda põhimõtete rakendamiseks vajalikke ressursse, kaasa arvatud töötajaid, rahalisi vahendeid, protsesse, töövahendeid ja tehnoloogiaid;
(f)need tehakse teatavaks asjaomastele töötajatele ja asjaomastele huvitatud välistele isikutele, kes tunnustavad seda;
(g)nendega nähakse ette rollid ja vastutusalad vastavalt punktile 1.2;
(h)neis loetletakse säilitamisele kuuluvad dokumendid ja nende dokumentide säilitamise kestus;
(i)neis loetletakse temaatilised põhimõtted;
(j)nendega nähakse ette näitajad ja meetmed, et teha põhimõtete rakendamise ning asjaomaste üksuste võrgu- ja infoturbe selle hetke küpsuse taseme seiret;
(k)neis märgitakse ära asjaomaste üksuste juhtorganite (edaspidi „juhtorganid“) poolse heakskiitmise kuupäev.
1.1.2.Juhtorganid vaatavad võrgu- ja infosüsteemide turvalisuse põhimõtted läbi ja vajaduse korral ajakohastavad neid vähemalt kord aastas ning siis, kui aset leiavad olulised intsidendid või olulised muutused tegevuses või riskides. Läbivaatamiste tulemused dokumenteeritakse.
1.2.Rollid, vastutusalad ja õigused
1.2.1.Asjaomased üksused kehtestavad oma punktis 1.1 osutatud võrgu- ja infosüsteemide turvalisuse põhimõtete ühe osana võrgu- ja infosüsteemide turvalisuse alased vastutusalad ja õigused ning määravad need rollidele, jaotades need vastavalt asjaomase üksuse vajadustele, ning teevad need juhtorganitele teatavaks.
1.2.2.Asjaomased üksused nõuavad, et kõik töötajad ja kolmandad isikud kohaldaksid võrgu- ja infosüsteemide turvalisust kooskõlas kehtestatud võrgu- ja infosüsteemide turvalisuse põhimõtetega, temaatiliste põhimõtetega ja asjaomaste üksuste protseduuridega.
1.2.3.Vähemalt üks isik annab võrgu- ja infosüsteemide turvalisuse küsimustes aru otse juhtorganitele.
1.2.4.Olenevalt asjaomaste üksuste suurusest kaetakse võrgu- ja infosüsteemide turvalisus spetsiaalsete rollide või kohustustega, mida täidetakse lisaks olemasolevatele rollidele.
1.2.5.Kui see on asjakohane, eraldatakse vastuolulised kohustused ja vastuolulised vastutusvaldkonnad.
1.2.6.Juhtorganid vaatavad rollid, vastutusalad ja õigused läbi ja vajaduse korral ajakohastavad neid plaaniliste ajavahemike järel ning siis, kui aset leiavad olulised intsidendid või olulised muutused tegevuses või riskides.
2.Riskijuhtimispõhimõtted (direktiivi (EL) 2022/2555 artikli 21 lõike 2 punkt a)
2.1.Riskijuhtimisraamistik
2.1.1.Asjaomased üksused kehtestavad direktiivi (EL) 2022/2555 artikli 21 lõike 2 punkti a kohaldamiseks asjakohase riskijuhtimisraamistiku ja haldavad seda, et teha kindlaks võrgu- ja infosüsteemide turvalisust ähvardavad riskid ja nendega tegeleda. Asjaomased üksused teevad riskihindamisi ja dokumenteerivad need ning kehtestavad nende tulemuste põhjal riskikäsitluskava, rakendavad seda ja teevad selle seiret. Juhtorganid ja, kui see on kohaldatav, isikud, kes on vastutavad ja kellel on volitused riske juhtida, aktsepteerivad riskihindamise tulemused ja jääkriskid, eeldusel et asjaomased üksused tagavad juhtorganitele piisava aruandluse.
2.1.2.Punkti 2.1.1 kohaldamisel kehtestavad asjaomased üksused riskide kindlakstegemise, analüüsimise, hindamise ja käsitlemise protseduurid („küberturvalisuse riskide juhtimise protsess“). Küberturvalisuse riskide juhtimise protsess on asjaomaste üksuste üldise riskijuhtimisprotsessi lahutamatu osa, kui see on asjakohane. Küberturvalisuse riskide juhtimise protsessi raames teevad asjaomased üksused järgmist:
(a)järgivad riskijuhtimismetoodikat;
(b)määravad vastavalt asjaomaste üksuste riskivalmidusele kindlaks riskitaluvuse taseme;
(c)määravad kindlaks asjakohased riskikriteeriumid ja haldavad neid;
(d)teevad kooskõlas kõiki ohte hõlmava lähenemisviisiga kindlaks ja dokumenteerivad võrgu- ja infosüsteemide turvalisust ähvardavad riskid, eriti selles osas, mis puudutab kolmandaid isikuid ja riske, mis võivad põhjustada võrgu- ja infosüsteemide käideldavuse, tervikluse, autentsuse ja konfidentsiaalsuse katkemise, tehes muu hulgas kindlaks nõrgad lülid;
(e)analüüsivad võrgu- ja infosüsteemide turvalisust ähvardavaid riske, kaasa arvatud ohte, tõenäosust, mõju ja riskitaset, võttes arvesse küberohuteadmust ja nõrkusi;
(f)hindavad kindlakstehtud riske riskikriteeriumide alusel;
(g)teevad kindlaks otstarbekad riskikäsitlusvõimalused ja -meetmed ning seavad need tähtsuse järjekorda;
(h)teevad pidevalt riskikäsitlusmeetmete rakendamise seiret;
(i)määravad kindlaks, kes vastutab riskikäsitlusmeetmete rakendamise eest ja millal tuleks neid meetmeid rakendada;
(j)dokumenteerivad valitud riskikäsitlusmeetmed riskikäsitluskavas ja selgitavad jääkriskide aktsepteerimise põhjuseid arusaadavalt.
2.1.3.Otstarbekate riskikäsitlusvõimaluste ja -meetmete kindlakstegemise ja tähtsuse järjekorda seadmise käigus võtavad asjaomased üksused arvesse riskihindamise tulemusi, küberturvalisuse riskijuhtimismeetmete tulemuslikkuse hindamise protseduuri tulemusi, rakendamise kulude ja eeldatava kasu suhet, punktis 12.1 osutatud varade liigitust ja punktis 4.1.3 osutatud ärimõju analüüsi.
2.1.4.Asjaomased üksused vaatavad riskihindamise tulemused ja riskikäsitluskava läbi ja vajaduse korral ajakohastavad neid plaaniliste ajavahemike järel ja vähemalt kord aastas ning siis, kui aset leiavad olulised muutused tegevuses või riskides või olulised intsidendid.
2.2.Järelevalve nõuete täitmise üle
2.2.1.Asjaomased üksused kontrollivad regulaarselt oma võrgu- ja infosüsteemide turvalisuse põhimõtete, temaatiliste põhimõtete, reeglite ja standardite järgimist. Juhtorganeid teavitatakse võrgu- ja infoturvaseisust vastavuskontrollil põhinevate korrapäraste aruannetega.
2.2.2.Asjaomased üksused kehtestavad nõuetele vastavuse alase aruandluse tõhusa süsteemi, mis vastab nende struktuuridele, töökeskkonnale ja ohumaastikele. Nõuetele vastavuse alase aruandluse süsteem peab võimaldama anda juhtorganitele infopõhise ülevaate asjaomase üksuse riskijuhtimise hetkeseisust.
2.2.3.Asjaomased üksused teostavad nõuete täitmise järelevalvet plaaniliste ajavahemike järel ja siis, kui aset leiavad olulised intsidendid või olulised muutused tegevuses või riskides.
2.3.Info- ja võrguturbe sõltumatu läbivaatamine
2.3.1.Asjaomased üksused vaatavad sõltumatult läbi oma lähenemisviisi võrgu- ja infosüsteemide turvalisuse juhtimisele ja rakendamisele, mis hõlmab inimesi, protsesse ja tehnoloogiat.
2.3.2.Asjaomased üksused töötavad välja sõltumatu läbivaatamise korraldamise protsessid; sõltumatu läbivaatamise peavad tegema asjakohase auditeerimispädevusega isikud. Kui sõltumatu läbivaatamise teevad asjaomase üksuse töötajad, ei tohi läbivaatamist tegevad isikud olla läbivaadatava valdkonna töötajate alluvuses. Kui asjaomase üksuse suurus ei võimalda sellist alluvussuhete lahutamist, kehtestavad asjaomased üksused läbivaatamise erapooletuse tagamiseks muud meetmed.
2.3.3.Sõltumatute läbivaatamiste tulemuste, kaasa arvatud punkti 2.2 kohase nõuete täitmise järelevalve ning punkti 7 kohase seire ja mõõtmise tulemuste kohta esitatakse juhtorganitele aruanne. Vastavalt asjaomaste üksuste riski aktsepteerimise kriteeriumidele võetakse parandusmeetmeid või aktsepteeritakse jääkrisk.
2.3.4.Sõltumatu läbivaatamine toimub plaaniliste ajavahemike järel ja siis, kui aset leiavad olulised intsidendid või olulised muutused tegevuses või riskides.
3.Intsidentide käsitlemine (direktiivi (EL) 2022/2555 artikli 21 lõike 2 punkt b)
3.1.Intsidentide käsitlemise põhimõtted
3.1.1.Direktiivi (EL) 2022/2555 artikli 21 lõike 2 punkti b kohaldamiseks kehtestavad asjaomased üksused õigeaegselt intsidentide käsitlemise põhimõtted ning näevad ette intsidentide avastamise, analüüsimise, ohjeldamise või neile reageerimise, neist taastumise, nende dokumenteerimise ja nende kohta aru andmise rollid, vastutusalad ja protseduurid ning rakendavad neid põhimõtteid.
3.1.2.Punktis 3.1.1 osutatud põhimõtted peavad olema kooskõlas punktis 4.1 osutatud talitluspidevuse ja avariitaaste kavaga. Põhimõtted sisaldavad järgmist:
(a)intsidentide liigitamise süsteem, mis on kooskõlas punkti 3.4.1 kohaselt tehtava sündmuste hindamise ja liigitamisega;
(b)toimivad suhtluskavad muuhulgas eskaleerimise ja aruandluse jaoks;
(c)pädevatele töötajatele rollide määramine, et intsidente avastada ja neile asjakohaselt reageerida;
(d)dokumendid, mida intsidentide avastamise ja neile reageerimise käigus kasutada, näiteks intsidendile reageerimise käsiraamatud, eskaleerimisskeem, kontaktandmete nimekirjad ja dokumendimallid.
3.1.3.Põhimõtetes sätestatud rolle, vastutusalasid ja protseduure testitakse ja need vaadatakse läbi ning vajaduse korral ajakohastatakse plaaniliste ajavahemike järel ja pärast olulisi intsidente või olulisi muutusi tegevuses või riskides.
3.2.Seire ja logimine
3.2.1.Asjaomased üksused kehtestavad protseduurid ja kasutavad töövahendeid oma võrgu- ja infosüsteemide tegevuse seireks ja logimiseks, et avastada sündmusi, mida võiks käsitada intsidendina, ja mõju leevendamiseks neile asjakohaselt reageerida.
3.2.2.Niivõrd kui see on teostatav, peab seire olema automatiseeritud ja toimuma kas pidevalt või korrapäraste ajavahemike järel olenevalt ettevõtte suutlikkusest. Asjaomased üksused rakendavad oma seiretegevust sellisel viisil, et valepositiivseid ja valenegatiivseid tulemusi oleks võimalikult vähe.
3.2.3.Asjaomased üksused peavad logisid, dokumenteerivad need ja vaatavad need läbi punktis 3.2.1 osutatud protseduuride põhjal. Asjaomased üksused koostavad punkti 2.1 kohaselt tehtud riskihindamise tulemuste põhjal loetelu varadest, mille suhtes logimist kohaldatakse. Kui see on asjakohane, sisaldavad logid järgmist:
(a)asjakohane väljaminev ja sissetulev võrguliiklus;
(b)asjaomaste üksuste võrgu- ja infosüsteemide kasutajate loomine, muutmine ja kustutamine ning lubade pikendamine;
(c)juurdepääs süsteemidele ja rakendustele;
(d)autentimisega seotud sündmused;
(e)igasugune eelisjuurdepääs süsteemidele ja rakendustele ning halduskontode tegevus;
(f)juurdepääs kriitilise tähtsusega konfiguratsioonifailidele ja varundusfailidele ja nende muutmine;
(g)sündmuste ja turbetööriistade (nagu viirusetõrje, sissetungituvastuse süsteemid või tulemüürid) logid;
(h)süsteemi ressursside kasutamine ja nende jõudlus;
(i)füüsiline juurdepääs rajatistele;
(j)juurdepääs nende võrguseadmetele ja -vahenditele ning nende kasutamine;
(k)mitmesuguste logide aktiveerimine, peatamine ja seiskamine;
(l)keskkonnasündmused.
3.2.4.Logid vaadatakse korrapäraselt läbi, et tuvastada ebatavalisi või soovimatuid suundumusi. Kui see on asjakohane, näevad asjaomased üksused ette alarmilävede sobivad väärtused. Alarmiläveks kehtestatud väärtuse ületamise korral käivitatakse alarm ning kui see on asjakohane, toimub see automaatselt. Asjaomased üksused tagavad, et alarmi korral algatatakse õigeaegselt kvalifitseeritud ja asjakohane reageerimine.
3.2.5.Asjaomased üksused peavad ja varundavad logisid eelnevalt kindlaks määratud aja jooksul ning kaitsevad neid loata juurdepääsu või muudatuste eest.
3.2.6.Niivõrd kui see on teostatav tagavad asjaomased üksused, et kõigil süsteemidel on sünkroniseeritud ajaallikad, et sündmuste hindamiseks saaks eri süsteemide vahel korrelatsiooni luua. Asjaomased üksused koostavad kõigi logitavate varade loetelu ja peavad seda ning tagavad seire- ja logimissüsteemide liiasuse. Seire- ja logimissüsteemide käideldavuse seire toimub sõltumatult süsteemidest, mille seiret nendega tehakse.
3.2.7.Protseduurid ja logitavate varade loetelu vaadatakse läbi ja vajaduse korral ajakohastatakse korrapäraste ajavahemike järel ja pärast olulisi intsidente.
3.3.Sündmustest teatamine
3.3.1.Asjaomased üksused seavad sisse lihtsa mehhanismi, et nende töötajad, tarnijad ja kliendid saaksid teatada kahtlastest sündmustest.
3.3.2.Kui see on asjakohane, teavitavad asjaomased üksused oma tarnijaid sündmustest teatamise mehhanismist ning pakuvad oma töötajatele korrapäraselt koolitusi mehhanismi kasutamise kohta.
3.4.Sündmuste hindamine ja liigitamine
3.4.1.Asjaomased üksused hindavad kahtlasi sündmusi, et teha kindlaks, kas tegemist on intsidendiga, ning kui see nii on, siis määratakse kindlaks selle laad ja tõsidus.
3.4.2.Punkti 3.4.1 kohaldamisel tegutsevad asjaomased üksused järgmiselt:
(a)teostavad hindamise, lähtudes eelnevalt kindlaks määratud kriteeriumidest ning triaažist, mille käigus määratakse kindlaks intsidentide ohjeldamise ja likvideerimise prioriteedid;
(b)hindavad kord kvartalis käesoleva määruse artiklis 4 osutatud korduvate intsidentide olemasolu;
(c)vaatavad sündmuste hindamiseks ja liigitamiseks läbi asjakohased logid;
(d)seavad sisse logide korrelatsiooni seadmise ja analüüsimise protsessi ning
(e)annavad sündmustele uue hinnangu ja liigitavad nad ümber, kui ilmneb uut teavet või kui nad on varem kättesaadavat teavet analüüsinud.
3.5.Intsidentidele reageerimine
3.5.1.Asjaomased üksused reageerivad intsidentidele vastavalt dokumenteeritud protseduuridele ja õigeaegselt.
3.5.2.Intsidentidele reageerimise protseduurid sisaldavad järgmisi etappe:
(a)intsidendi ohjeldamine, et hoida ära intsidendi tagajärgede levik;
(b)likvideerimine, et hoida ära intsidendi jätkumine või kordumine,
(c)vajaduse korral intsidendist taastumine.
3.5.3.Asjaomased üksused koostavad suhtluskavad ja -protseduurid:
(a)mis puudutavad küberturbe intsidentide lahendamise üksusi (CSIRTe) või, kui see on asjakohane, pädevaid asutusi seoses intsidentidest teatamisega;
(b)asjaomase üksuse töötajate vaheliseks suhtluseks ja suhtluseks asjaomase üksuse väliste asjaomaste sidusrühmadega.
3.5.4.Asjaomased üksused logivad intsidendile reageerimise tegevused punktis 3.2.1 osutatud protseduuride kohaselt ning registreerivad tõendid.
3.5.5.Asjaomased üksused katsetavad oma intsidentidele reageerimise protseduure plaaniliste ajavahemike järel.
3.6.Intsidendijärgne läbivaatamine
3.6.1.Kui see on asjakohane, teostavad asjaomased üksused pärast intsidendist taastumist intsidendijärgse läbivaatamise. Intsidendijärgse läbivaatamise käigus tehakse võimaluse korral kindlaks intsidendi algpõhjus ning läbivaatamise tulemusena dokumenteeritakse saadud kogemused, et vähendada tulevaste intsidentide esinemist ja tagajärgi.
3.6.2.Asjaomased üksused tagavad, et intsidendijärgne läbivaatamine aitab neil parandada oma lähenemisviisi võrgu- ja infoturbele, riskikäsitlusmeetmetele ja intsidentide käsitlemise, avastamise ja neile reageerimise protseduuridele.
3.6.3.Asjaomased üksused vaatavad plaaniliste ajavahemike tagant üle, kas intsidentidele järgnesid intsidendijärgsed läbivaatamised.
4.Talitluspidevus ja kriisiohje (direktiivi (EL) 2022/2555 artikli 21 lõike 2 punkt c)
4.1.Talitluspidevuse ja avariitaaste kava
4.1.1.Direktiivi (EL) 2022/2555 artikli 21 lõike 2 punkti c kohaldamiseks näevad asjaomased üksused ette intsidentide korral kohaldatava talitluspidevuse ja avariitaaste kava ning säilitavad seda.
4.1.2.Asjaomase üksuse tegevus taastatakse vastavalt talitluspidevuse ja avariitaaste kavale. Kava lähtub punkti 2.1 kohaselt tehtud riskihindamise tulemustest ja sisaldab järgmist, kui see on asjakohane:
(a)eesmärk, kohaldamisala ja sihtrühm;
(b)rollid ja vastutusalad;
(c)peamised kontaktid ja (sisemise ja välised) suhtluskanalid;
(d)kava aktiveerimise ja desaktiveerimise tingimused;
(e)tegevuste taastamise järjekord;
(f)konkreetsete tegevuste taastekavad, kaasa arvatud taaste eesmärgid;
(g)vajalikud ressursid, kaasa arvatud varundusvõimalused ja liiasused;
(h)tegevuse taastamine ja jätkamine ajutiste meetmete põhjal.
4.1.3.Asjaomased üksused teevad ärimõju analüüsi, et hinnata tõsiste katkestuste võimalikku mõju oma äritegevusele, ning kehtestavad ärimõju analüüsi tulemuste põhjal võrgu- ja infosüsteemide pidevusnõuded.
4.1.4.Talitluspidevuse kava ja avariitaaste kava testitakse ja need vaadatakse läbi ning vajaduse korral ajakohastatakse plaaniliste ajavahemike järel ja pärast olulisi intsidente või olulisi muutusi tegevuses või riskides. Asjaomased üksused tagavad, et kavades võetakse arvesse sellistest testidest saadud kogemusi.
4.2.Varundus- ja liiasushaldus
4.2.1.Asjaomased üksused säilitavad andmete varukoopiaid ja näevad ette piisavad olemasolevad ressursid, kaasa arvatud rajatised, võrgu- ja infosüsteemid ja töötajad, et kindlustada otstarbekas liiasuse tase.
4.2.2.Asjaomased üksused näevad punkti 2.1 kohaselt tehtud riskihindamise tulemuste ja talitluspidevuse kava põhjal ette varunduskava, mis sisaldab järgmist:
(a)taasteajad;
(b)tagatis, et varukoopiad on täielikud ja täpsed, sealhulgas konfiguratsiooniandmed ja pilvandmetöötlusteenuse keskkonnas talletatud andmed;
(c)varukoopiate talletamine (võrgu kaudu või autonoomselt) turvalises kohas või turvalistes kohtades, mis ei ole süsteemiga samas võrgus ja on piisavalt kaugel, et põhiasukoha avarii seda ei kahjustaks;
(d)varukoopiatele füüsilise ja loogilise juurdepääsu asjakohane kontroll vastavalt vara liigitustasemele;
(e)andmete taastamine varukoopiatest;
(f)ärilistel ja regulatiivsetel nõuetel põhinev säilituskestus.
4.2.3.Asjaomased üksused kontrollivad regulaarselt varukoopiate terviklust.
4.2.4.Asjaomased üksused tagavad punkti 2.1 kohaselt tehtud riskihindamise tulemuste ja talitluspidevuse kava põhjal ressursside piisava kättesaadavuse järgmiste nähtuste vähemalt osalise liiasuse kaudu:
(a)võrgu- ja infosüsteemid;
(b)varad, sealhulgas rajatised, seadmed ja tarvikud;
(c)töötajad, kellel on vajalik vastutus, volitused ja pädevus;
(d)asjakohased suhtluskanalid.
4.2.5.Kui see on asjakohane, tagavad asjaomased üksused, et ressursside, sealhulgas rajatiste, süsteemide ja töötajate seire ja kohandamise juures võetakse varundus- ja liiasusnõudeid nõuetekohaselt arvesse.
4.2.6.Asjaomased üksused testivad korrapäraselt varukoopiate taastamist ja liiasusi, et tagada, et taastetingimustes saab neile kindel olla ja need hõlmavad koopiaid, protsesse ja teadmisi, mida on tulemusliku taaste jaoks vaja. Asjaomased üksused dokumenteerivad testide tulemused ja võtavad vajaduse korral parandusmeetmeid.
4.3.Kriisiohje
4.3.1.Asjaomased üksused seavad sisse kriisiohjeprotsessi.
4.3.2.Asjaomased üksused tagavad, et kriisiohjeprotsessis pööratakse tähelepanu vähemalt järgmistele elementidele:
(a)töötajate ja, kui see on asjakohane, tarnijate ja teenuseosutajate rollid ja vastutusalad, kusjuures täpsustatakse rollide jaotus kriisiolukorras, kaasa arvatud konkreetsed sammud, mida tuleb järgida;
(b)asjaomaste üksuste ja asjaomaste pädevate asutuste vahelise suhtluse sobivad vahendid;
(c)asjakohaste meetmete kohaldamine, et tagada võrgu- ja infosüsteemide turvalisuse säilimine kriisiolukorras.
Punkti b kohaldamisel peab asjaomaste üksuste ja asjaomaste pädevate asutuste vaheline teabevoog sisaldama nii kohustuslikku teabevahetust, nagu intsidendiaruanded ja nendega seotud ajaskeemid, kui ka mittekohustuslikku teabevahetust.
4.3.3.Asjaomased üksused rakendavad CSIRTidelt või, kui see on asjakohane, pädevatelt asutustelt intsidentide, nõrkuste, ohtude või võimalike leevendusmeetmete kohta saadud teabe haldamise ja kasutamise protsessi.
4.3.4.Asjaomased üksused testivad, vaatavad läbi ja vajaduse korral ajakohastavad kriisiohjekava korrapäraselt või pärast olulisi intsidente või olulisi muutusi tegevuses või riskides.
5.Tarneahela turvalisus (direktiivi (EL) 2022/2555 artikli 21 lõike 2 punkt d)
5.1.Tarneahela turvalisuse põhimõtted
5.1.1.Direktiivi (EL) 2022/2555 artikli 21 lõike 2 punkti d kohaldamiseks kehtestavad asjaomased üksused tarneahela turvalisuse põhimõtted, mis reguleerivad suhteid nende otseste tarnijate ja teenuseosutajatega, ning kohaldavad ja rakendavad neid põhimõtteid, et leevendada võrgu- ja infosüsteemide turvalisuse kindlakstehtud riske. Tarneahela turvalisuse põhimõtetes määravad asjaomased üksused kindlaks oma rolli tarneahelas ja teevad selle otsestele tarnijatele ja teenuseosutajatele teatavaks.
5.1.2.Punktis 5.1.1 osutatud tarneahela turvalisuse põhimõtete ühe osana kehtestavad asjaomased üksused kriteeriumid, mille alusel valitakse tarnijad ja teenuseosutajad ning sõlmitakse nendega lepingud. Need kriteeriumid sisaldavad järgmist:
(a)tarnijate ja teenuseosutajate küberturbetavad, kaasa arvatud nende turvalise arenduse protseduurid;
(b)tarnijate ja teenuseosutajate suutlikkus täita asjaomaste üksuste seatud küberturvalisuse spetsifikatsioone;
(c)IKT-toodete ja IKT-teenuste ning neis sisalduvate küberturvalisuse riskijuhtimismeetmete üldine kvaliteet ja kerksus, kaasa arvatud IKT-toodete ja IKT-teenuste riskid ja liigitustasemed;
(d)asjaomaste üksuste suutlikkus mitmekesistada tarneallikaid ja piirata sõltuvust ühest müüjast, kui see on asjakohane.
5.1.3.Tarneahela turvalisuse põhimõtteid koostades võtavad asjaomased üksused arvesse direktiivi (EL) 2022/2555 artikli 22 lõike 1 kohaselt tehtud kriitilise tähtsusega tarneahelate koordineeritud turvariski hindamise tulemusi, kui see on asjakohane.
5.1.4.Asjaomased üksused tagavad tarneahela turvalisuse põhimõtete põhjal ja käesoleva lisa punkti 2.1 kohaselt tehtud riskihindamise tulemusi arvesse võttes, et nende tarnijate ja teenuseosutajatega sõlmitud lepingutes täpsustatakse (vajaduse korral teenusetasemelepete kaudu) järgmised asjaolud, kui see on asjakohane:
(a)tarnijate või teenuseosutajate küberturvalisuse nõuded, kaasa arvatud nõuded, mis puudutavad punktis 6.1 sätestatud turvalisust IKT-teenuste või IKT-toodete hankimisel;
(b)nõuded, mis puudutavad teadlikkust, oskusi ja koolitust ning vajaduse korral ka asjakohast sertifitseerimist, mida nõutakse tarnijate või teenuseosutajate töötajatelt;
(c)nõuded, mis puudutavad tarnijate ja teenuseosutajate töötajate tausta kontrollimist;
(d)tarnijate ja teenuseosutajate kohustus teavitada asjaomaseid üksusi viivitamata intsidentidest, mis kujutavad endast riski nende üksuste võrgu- ja infosüsteemide turvalisusele;
(e)auditeerimisõigus või õigus saada auditiaruandeid;
(f)tarnijate ja teenuseosutajate kohustus käsitleda nõrkusi, mis kujutavad endast riski asjaomaste üksuste võrgu- ja infosüsteemide turvalisusele;
(g)nõuded, mis puudutavad alltöövõttu, ja kui asjaomased üksused lubavad alltöövõttu, küberturvalisuse nõuded alltöövõtjatele vastavalt punktis a osutatud küberturvalisuse nõuetele;
(h)tarnijate ja teenuseosutajate kohustused lepingu lõppemise korral, näiteks sellise teabe võtt ja kõrvaldamine, mille tarnijad ja teenuseosutajad said oma ülesannete täitmise käigus.
5.1.5.Asjaomased üksused võtavad punktides 5.1.2 ja 5.1.3 osutatud elemente arvesse uute tarnijate ja teenusepakkujate valimise protsessis ning punktis 6.1 osutatud hankeprotsessis.
5.1.6.Asjaomased üksused vaatavad tarneahela turvalisuse põhimõtted läbi ning jälgivad ja hindavad tarnijate ja teenuseosutajate küberturvalisuse tavade muutumist ning vajaduse korral tegutsevad selle põhjal plaaniliste ajavahemike järel ja siis, kui aset leiavad olulised muutused tegevuses või riskides või olulised intsidendid, mis on seotud IKT-teenuste osutamisega või mis mõjutavad tarnijatelt või teenuseosutajatelt pärit IKT-toodete turvalisust.
5.1.7.Punkti 5.1.6 kohaldamiseks teevad asjaomased üksused järgmist:
(a)jälgivad regulaarselt teenusetasemelepete rakendamist käsitlevaid aruandeid, kui see on asjakohane;
(b)vaatavad läbi tarnijatelt ja teenuseosutajatelt pärit IKT-toodete ja IKT-teenustega seotud intsidendid;
(c)hindavad plaanivälise läbivaatamise vajalikkust ja dokumenteerivad oma tähelepanekud arusaadaval viisil;
(d)analüüsivad tarnijatelt ja teenuseosutajatelt pärit IKT-toodete ja IKT-teenustega seotud muutustega kaasnevaid riske ja võtavad vajaduse korral õigeaegselt leevendavaid meetmeid.
5.2.Tarnijate ja teenuseosutajate kataloog
Asjaomased üksused peavad ja hoiavad ajakohasena oma otseste tarnijate ja teenuseosutajate registrit, mis sisaldab järgmist:
(a)iga otsese tarnija ja teenuseosutaja kontaktandmed;
(b)loetelu IKT-toodetest, IKT-teenustest ja IKT-protsessidest, mida otsene tarnija või teenuseosutaja asjaomasele üksusele pakub.
6.Võrgu- ja infosüsteemide hankimise, arendamise ja hooldamise turvalisus (direktiivi (EL) 2022/2555 artikli 21 lõike 2 punkt e)
6.1.IKT-teenuste või IKT-toodete hankimise turvalisus
6.1.1.Asjaomased üksused panevad direktiivi (EL) 2022/2555 artikli 21 lõike 2 punkti e kohaldamiseks paika protsessid, et juhtida riske, mis tulenevad IKT-teenuste või IKT-toodete tarnijatelt või teenuseosutajatelt hankimisest asjaomaste üksuste võrgu- ja infosüsteemide turvalisuse seisukohast kriitilise tähtsusega komponentide jaoks, tuginedes punkti 2.1 kohaselt tehtud riskihindamisele, ja rakendavad neid kogu nende elutsükli jooksul.
6.1.2.Punkti 6.1.1 kohaldamiseks sisaldavad punktis 6.1.1 osutatud protsessid järgmist:
(a)turvanõuded, mida kohaldatakse hangitavate IKT-teenuste või IKT-toodete suhtes;
(b)nõuded, mis puudutavad turvauuendeid IKT-teenuste või IKT-toodete kogu eluea jooksul või asendamist pärast toeaja lõppu;
(c)teave, milles kirjeldatakse IKT-teenustes või IKT-toodetes kasutatud riistvaralisi ja tarkvaralisi komponente;
(d)teave, milles kirjeldatakse rakendatavaid IKT-teenuste või IKT-toodete küberturvalisuse funktsioone ja nende turvaliseks tööks vajalikku konfiguratsiooni;
(e)tagatis, et IKT-teenused või IKT-tooted vastavad turvanõuetele vastavalt punktile a;
(f)meetodid, millega valideeritakse, et tarnitud IKT-teenused või IKT-tooted vastavad sedastatud turvanõuetele, ning valideerimistulemuste dokumentatsioon.
6.1.3.Asjaomased üksused vaatavad protsessid läbi ja vajaduse korral ajakohastavad neid plaaniliste ajavahemike järel ja siis, kui aset leiavad olulised intsidendid.
6.2.Turvalise arenduse elutsükkel
6.2.1.Enne võrgu- ja infosüsteemi, kaasa arvatud tarkvara arendamist näevad asjaomased asutused ette võrgu- ja infosüsteemide turvalise arendamise reeglid ja kohaldavad neid võrgu- ja infosüsteemide asutusesisesel arendamisel või siis, kui võrgu- ja infosüsteemide arendamine ostetakse sisse. Reeglid peavad hõlmama arendamise kõiki järke, kaasa arvatud spetsifitseerimine, projekteerimine, arendamine, rakendamine ja testimine.
6.2.2.Punkti 6.2.1 kohaldamiseks teevad asjaomased üksused järgmist:
(a)analüüsivad turvanõudeid iga asjaomaste üksuste endi või nende nimel ettevõetud arendus- või hankimisprojekti spetsifitseerimise ja projekteerimise järgus;
(b)kohaldavad kõigi infosüsteemide arendamise toimingute suhtes turvaliste süsteemide tehnostuse põhimõtteid ja turvalise kodeerimise põhimõtteid, näiteks propageerivad sisseprojekteeritud küberturvet ja nullusaldusega arhitektuuri;
(c)näevad ette arenduskeskkondade turvanõuded;
(d)kehtestavad arenduse elutsüklis turvalisuse testimise protsessid ja rakendavad neid;
(e)valivad, kaitsevad ja haldavad asjakohaselt turvalisuse testide andmeid;
(f)saneerivad ja anonüümivad testimisandmeid vastavalt punkti 2.1 kohaselt tehtud riskihindamisele.
6.2.3.Asjaomased üksused kohaldavad punktides 5 ja 6.1 osutatud põhimõtteid ja protseduure ka sisseostetava võrgu- ja infosüsteemide arendamise suhtes.
6.2.4.Asjaomased üksused vaatavad oma turvalise arenduse reeglid läbi ja vajaduse korral ajakohastavad neid plaaniliste ajavahemike järel.
6.3.Konfiguratsioonihaldus
6.3.1.Asjaomased üksused võtavad konfiguratsioonide, kaasa arvatud riist- ja tarkvara, teenuste ja võrkude turvakonfiguratsioonide kehtestamiseks, dokumenteerimiseks, rakendamiseks ja seireks asjakohaseid meetmeid.
6.3.2.Punkti 6.3.1 kohaldamiseks teevad asjaomased üksused järgmist:
(a)näevad ette riist- ja tarkvara, teenuste ja võrkude konfiguratsioonide turvalisuse ja tagavad selle;
(b)näevad värskelt paigaldatud süsteemide ja juba töös olevate süsteemide jaoks nende eluea jooksul ette protsessid ja töövahendid riist- ja tarkvara, teenuste ja võrkude jaoks ettenähtud turvaliste konfiguratsioonide täitmiseks ning rakendavad neid.
6.3.3.Asjaomased üksused vaatavad konfiguratsioonid läbi ja vajaduse korral ajakohastavad neid plaaniliste ajavahemike järel või siis, kui aset leiavad olulised intsidendid või olulised muutused tegevuses või riskides.
6.4.Muudatuste haldus, remont ja hooldus
6.4.1.Asjaomased üksused rakendavad võrgu- ja infosüsteemides muudatuste juhtimiseks muudatuste halduse protseduure. Kui see on asjakohane, on protseduurid kooskõlas asjaomaste üksuste muudatuste halduse üldiste põhimõtetega.
6.4.2.Punktis 6.4.1 osutatud protseduure kohaldatakse igasuguse töös oleva tark- ja riistvara väljalaskmise, muutmise ja erakorralise muutmise ning konfiguratsiooni muudatuste suhtes. Protseduurid tagavad, et need muudatused dokumenteeritakse ning et võimalikku mõju silmas pidades testitakse ja hinnatakse neid enne rakendamist punkti 2.1 kohaselt tehtud riskihindamise põhjal.
6.4.3.Kui avariiolukorra tõttu ei saa tavapäraseid muudatuste halduse protseduure järgida, dokumenteerivad asjaomased üksused muutuse tulemused ja selgitused selle kohta, miks ei olnud võimalik protseduure järgida.
6.4.4.Asjaomased üksused vaatavad protseduurid läbi ja vajaduse korral ajakohastavad neid plaaniliste ajavahemike järel ja siis, kui aset leiavad olulised intsidendid või olulised muutused tegevuses või riskides.
6.5.Turvatestimine
6.5.1.Asjaomased üksused kehtestavad turvatestimise põhimõtted ja protseduurid ning rakendavad ja kohaldavad neid.
6.5.2.Asjaomased üksused teevad järgmist:
(a)kehtestavad punkti 2.1 kohaselt tehtud riskihindamise põhjal turvalisuse testide vajaduse, ulatuse, sageduse ja nende testide liigid;
(b)teevad turvalisuse teste kooskõlas dokumenteeritud testimismetoodikaga, hõlmates riskianalüüsis turvalise töö seisukohast asjakohaseks peetud komponente;
(c)dokumenteerivad testide liigi, ulatuse, aja ja tulemused, kaasa arvatud iga tõdetud asjaolu hinnangulise kriitilisuse ja seda asjaolu leevendavad meetmed;
(d)kohaldavad leevendavaid meetmeid, kui tõdetud asjaolud on kriitilise tähtsusega.
6.5.3.Asjaomased üksused vaatavad oma turvatestimise põhimõtted läbi ja vajaduse korral ajakohastavad neid plaaniliste ajavahemike järel.
6.6.Turbepaikade haldus
6.6.1.Asjaomased üksused spetsifitseerivad protseduurid, mis on kooskõlas punktis 6.4.1 osutatud muudatuste halduse protseduuridega ning nõrkuste haldamise, riskijuhtimise ja muude asjaomaste haldamis- ja juhtimisprotseduuridega, ja rakendavad neid, tagamaks et:
(a)turbepaigad paigaldatakse mõistliku aja jooksul pärast seda, kui nad tehakse käideldavaks;
(b)turbepaiku testitakse enne tootmissüsteemides paigaldamist;
(c)turbepaigad peavad olema pärit usaldusväärsest allikast ning nende terviklust tuleb kontrollida;
(d)kui turbepaik ei ole käideldav või kui seda ei paigaldata vastavalt punktile 6.6.2, rakendatakse täiendavaid meetmeid ja aktsepteeritakse jääkriskid.
6.6.2.Erandina punkti 6.6.1 alapunktist a võivad asjaomased üksused otsustada jätta turbepaiga paigaldamata, kui selle paigaldamisega kaasnevad negatiivsed aspektid kaaluvad üles küberturvalisuse alased eelised. Asjaomased üksused dokumenteerivad kõik sellised otsused ja põhjendavad neid.
6.7.Võrguturve
6.7.1.Asjaomased üksused võtavad asjakohased meetmed, et kaitsta oma võrgu- ja infosüsteeme küberohtude eest.
6.7.2.Punkti 6.7.1 kohaldamiseks teevad asjaomased üksused järgmist:
(a)dokumenteerivad võrgu arhitektuuri arusaadavalt ja ajakohaselt;
(b)määravad kindlaks kontrollimeetmed, et kaitsta asjaomaste üksuste sisemisi võrgudomeene volitamata juurdepääsu eest, ja kohaldavad neid;
(c)konfigureerivad kontrollimeetmed, et hoida ära juurdepääs ja võrgusuhtlus, mis ei ole asjaomaste üksuste töö jaoks vajalik;
(d)määravad kindlaks võrgu- ja infosüsteemidele kaugjuurdepääsu, sealhulgas teenuseosutajate juurdepääsu kontrollimeetmed ja kohaldavad neid;
(e)ei kasuta turvalisuse põhimõtete rakendamise halduseks kasutatavaid süsteeme muul otstarbel;
(f)keelavad selgelt ära või desaktiveerivad ebavajalikud ühendused ja teenused;
(g)kui see on asjakohane, siis lubavad asjaomaste üksuste võrgu- ja infosüsteemidele juurdepääsu üksnes nende üksuste lubatud seadmetega;
(h)lubavad teenuseosutajate ühendusi ainult pärast volitustaotlust ja kindlaksmääratud aja jooksul, näiteks hooldustoimingu kestel;
(i)kasutavad eri süsteemide vaheliseks suhtluseks ainult usaldusväärseid kanaleid, mis on loogiliselt, krüptograafiliselt või füüsiliselt muudest suhtluskanalitest eraldatud, ning tagavad kindluse oma lõpp-punktide identifitseerimisel ja kanaliandmete kaitse muutmise või avalikustamise eest;
(j)võtavad vastu rakenduskava, et minna võrgukihi viimase põlvkonna sideprotokollidele täielikult üle turvalisel, asjakohasel ja järkjärgulisel viisil, ning kehtestavad meetmed sellise ülemineku kiirendamiseks;
(k)võtavad vastu rakenduskava, et võtta kasutusele rahvusvaheliselt kokkulepitud ja koostalitlusvõimelised nüüdisaegse e-posti sidestandardid, et e-posti side oleks turvaline ja et leevendada e-posti puudutavate ohtudega seotud nõrkusi, ning kehtestavad meetmed sellise kasutuselevõtu kiirendamiseks;
(l)kohaldavad domeeninimede süsteemi turvalisuse ning võrgust pärit ja võrku suunatud liikluse internetimarsruutimise turvalisuse ja marsruutimishügieeni parimaid tavasid.
6.7.3.Asjaomased üksused vaatavad need meetmed läbi ja vajaduse korral ajakohastavad neid plaaniliste ajavahemike järel ja siis, kui aset leiavad olulised intsidendid või olulised muutused tegevuses või riskides.
6.8.Võrgu segmentimine
6.8.1.Asjaomased üksused segmendivad süsteemid võrkudesse või tsoonidesse vastavalt punktis 2.1 osutatud riskihindamise tulemustele. Nad lahutavad oma süsteemid ja võrgud kolmandate isikute süsteemidest ja võrkudest.
6.8.2.Selleks teevad asjaomased üksused järgmist:
(a)võtavad arvesse usaldusväärsete süsteemide ja teenuste vahelisi funktsionaalseid, loogilisi ja füüsilisi seoseid, kaasa arvatud asukohta;
(b)annavad juurdepääsu võrgule või tsoonile selle turvanõuete hindamise põhjal;
(c)hoiavad asjaomase üksuse töö või turvalisuse seisukohast kriitilise tähtsusega süsteemid turvatsoonides;
(d)võtavad oma sidevõrkudes kasutusele demilitaartsooni, et tagada oma võrgust pärit või sinna suunatud side turvalisus;
(e)piiravad tsoonidevahelise ja -sisese juurdepääsu ja suhtluse sellega, mis on vajalik asjaomase üksuse töö või turvalisuse jaoks;
(f)eraldavad võrgu- ja infosüsteemide halduseks kasutatava erivõrgu asjaomaste üksuste käitusvõrgust;
(g)lahutavad võrguhalduskanalid muust võrguliiklusest;
(h)eraldavad asjaomaste üksuste teenuste jaoks mõeldud tootmissüsteemid arenduseks ja testimiseks kasutatavatest süsteemidest, kaasa arvatud varukoopiad.
6.8.3.Asjaomased üksused vaatavad võrgu segmentimise läbi ja vajaduse korral ajakohastavad seda plaaniliste ajavahemike järel ja siis, kui aset leiavad olulised intsidendid või olulised muutused tegevuses või riskides.
6.9.Kaitse kuritahtliku ja loata tarkvara eest
6.9.1.Asjaomased üksused kaitsevad oma võrgu- ja infosüsteeme kuritahtliku ja loata tarkvara eest.
6.9.2.Eelkõige rakendavad asjaomased üksused selleks meetmeid, mille abil avastada kuritahtliku või loata tarkvara kasutamist või seda ära hoida. Kui see on asjakohane, tagavad asjaomased üksused, et nende võrgu- ja infosüsteemid on varustatud avastamis- ja reageerimistarkvaraga, mida ajakohastatakse korrapäraselt vastavalt punkti 2.1 kohaselt tehtud riskianalüüsile ja lepingujärgsetele kokkulepetele teenuseosutajatega.
6.10.Nõrkuste käsitlemine ja avalikustamine
6.10.1.Asjaomased üksused hangivad teavet oma võrgu- ja infosüsteemide tehniliste nõrkuste kohta, hindavad oma avatust sellistele nõrkustele ja võtavad asjakohaseid meetmeid nende nõrkuste haldamiseks.
6.10.2.Punkti 6.10.1 kohaldamiseks teevad asjaomased üksused järgmist:
(a)jälgivad nõrkuste kohta käivat teavet asjakohastes kanalites, näiteks CSIRTide või pädevate asutuste teadaannetes või tarnijate või teenuseosutajate edastatavas teabes;
(b)teevad vajaduse korral plaaniliste ajavahemike järel nõrkuste kontrolli ning registreerivad tõendid selliste kontrollide tulemuste kohta;
(c)tegelevad ilma põhjendamatute viivitusteta nõrkustega, mida asjaomased üksused peavad oma tegevuse jaoks kriitiliseks;
(d)tagavad, et nende nõrkuste käsitlemine on kooskõlas nende muudatuste halduse, turbepaikade halduse, riskijuhtimise ja intsidendihalduse protseduuridega;
(e)kehtestavad nõrkuste avalikustamise protseduuri kooskõlas nõrkuste koordineeritud avalikustamise suhtes kohaldatavate riigisiseste põhimõtetega.
6.10.3.Asjaomased üksused loovad ja rakendavad nõrkuse leevendamise kava, kui see on nõrkuse võimaliku mõju tõttu põhjendatud. Muudel juhtudel dokumenteerivad ja põhjendavad asjaomased üksused, miks seda nõrkust ei ole vaja kõrvaldada.
6.10.4.Asjaomased üksused vaatavad nõrkusi käsitleva teabe jälgimiseks kasutatavad kanalid läbi ja vajaduse korral ajakohastavad neid plaaniliste ajavahemike järel.
7.Küberturvalisuse riskijuhtimismeetmete tulemuslikkuse hindamise põhimõtted ja protseduurid (direktiivi (EL) 2022/2555 artikli 21 lõike 2 punkt f)
7.1.Direktiivi (EL) 2022/2555 artikli 21 lõike 2 punkti f kohaldamisel kehtestavad, rakendavad ja kohaldavad asjaomased üksused põhimõtteid ja protseduure, et hinnata, kas asjaomase üksuse võetud küberturvalisuse riskijuhtimismeetmeid rakendatakse ja hallatakse tulemuslikult.
7.2.Punktis 7.1 osutatud põhimõtetes ja protseduurides võetakse arvesse punkti 2.1 kohaselt tehtud riskihindamise tulemusi ja seniseid olulisi intsidente. Asjaomased üksused määravad kindlaks:
(a)milliste küberturvalisuse riskijuhtimismeetmete seire ja mõõtmine on vajalik, kaasa arvatud protsessid ja kontrollimeetmed;
(b)milliste seire-, mõõtmis-, analüüsi- ja hindamismeetoditega (nagu asjakohane) tagatakse kehtivad tulemused;
(c)millal tuleb seire ja mõõtmine läbi viia;
(d)kes vastutab küberturvalisuse riskijuhtimismeetmete tulemuslikkuse seire ja mõõtmise eest;
(e)millal tuleb seire ja mõõtmise tulemusi analüüsida ja hinnata;
(f)kes peab neid tulemusi analüüsima ja hindama.
7.3.Asjaomased üksused vaatavad põhimõtted ja protseduurid läbi ja vajaduse korral ajakohastavad neid plaaniliste ajavahemike järel ja siis, kui aset leiavad olulised intsidendid või olulised muutused tegevuses või riskides.
8.Küberhügieeni põhitavad ja turvakoolitused (direktiivi (EL) 2022/2555) artikli 21 lõike 2 punkt g)
8.1.Teadlikkuse suurendamine ja küberhügieeni põhitavad
8.1.1.Direktiivi (EL) 2022/2555 artikli 21 lõike 2 punkti g kohaldamisel tagavad asjaomased üksused, et nende töötajad, kaasa arvatud juhtorganite liikmed, aga ka otsesed tarnijad ja teenuseosutajad on teadlikud riskidest ning et neid on teavitatud küberturvalisuse olulisusest ja et nad kohaldavad küberhügieeni tavasid.
8.1.2.Punkti 8.1.1 kohaldamiseks pakuvad asjaomased üksused oma töötajatele, kaasa arvatud juhtorganite liikmetele, aga ka otsestele tarnijatele ja teenuseosutajatele vajaduse korral kooskõlas punktiga 5.1.4 teadlikkuse suurendamise programmi, mis:
(a)toimub pika aja jooksul, et tegevused korduksid ja hõlmaksid ka uusi töötajaid;
(b)on koostatud kooskõlas võrgu- ja infoturbe põhimõtetega, temaatiliste põhimõtetega ja võrgu- ja infosüsteemide turvalisuse asjakohaste protseduuridega;
(c)käsitleb asjakohaseid küberohte, kehtivaid küberturvalisuse riskijuhtimismeetmeid, kontaktpunkte, küberturvalisuse alase lisateabe ja nõuannete allikaid ning kasutajate küberhügieeni tavasid.
8.1.3.Kui see on asjakohane, tuleb teadlikkuse suurendamise programmi tulemuslikkust testida. Teadlikkuse suurendamise programmi ajakohastatakse ja pakutakse plaaniliste ajavahemike järel, võttes arvesse küberhügieeni tavade muutumist ning hetke ohumaastikku ja asjaomaseid üksusi ähvardavaid riske.
8.2.Turvakoolitus
8.2.1.Asjaomased üksused teevad kindlaks, milliste töötajate rollide jaoks on vaja turvalisusega seotud oskusi ja eriteadmisi, ning tagavad, et need töötajad saavad korrapäraselt võrgu- ja infosüsteemide turvalisuse alaseid koolitusi.
8.2.2.Asjaomased üksused kehtestavad kooskõlas võrgu- ja infoturbe põhimõtetega, temaatiliste põhimõtetega ja muude asjaomaste võrgu- ja infoturbe protseduuridega koolitusprogrammi, millega nähakse ette teatavate rollide ja ametikohtade kriteeriumipõhised koolitusvajadused, ning rakendavad ja kohaldavad seda.
8.2.3.Punktis 8.2.1 osutatud koolitus on töötaja tööülesannete seisukohast oluline ning selle tulemuslikkust hinnatakse. Koolituses võetakse arvesse kehtivaid turvameetmeid ja see hõlmab järgmist:
(a)võrgu- ja infosüsteemide, kaasa arvatud mobiilseadmete turvalise konfigureerimise ja käitamise juhendid;
(b)ülevaade teadaolevatest küberohtudest;
(c)koolitused selle kohta, kuidas käituda turvalisuse seisukohast oluliste sündmuste korral.
8.2.4.Asjaomased üksused koolitavad töötajaid, kes lähevad uuele ametikohale või saavad uue rolli, milleks on vaja turvalisusega seotud oskusi ja eriteadmisi.
8.2.5.Programmi ajakohastatakse ja viiakse läbi korrapäraselt, võttes arvesse kohaldatavaid põhimõtteid ja reegleid, määratud rolle, vastutusalasid ning teadaolevaid küberohte ja tehnoloogia arengut.
9.Krüptograafia (direktiivi (EL) 2022/2555 artikli 21 lõike 2 punkt h)
9.1.Direktiivi (EL) 2022/2555 artikli 21 lõike 2 punkti h kohaldamiseks kehtestavad asjaomased üksused krüptograafiaga seotud põhimõtted ja protseduurid ning kohaldavad neid, et tagada krüptograafia piisav ja tulemuslik kasutamine, mis kaitseks andmete konfidentsiaalsust, autentsust ja terviklust kooskõlas asjaomaste üksuste varade liigituse ja punkti 2.1 kohaselt tehtud riskihindamise tulemustega.
9.2.Punktis 9.1 osutatud põhimõtete ja protseduuridega nähakse ette:
(a)asjaomaste üksuste varade, kaasa arvatud jõudeolekus andmete ja liikvel andmete kaitsmiseks vajalike krüptograafiliste meetmete liik, tugevus ja kvaliteet kooskõlas asjaomaste üksuste varade liigitusega;
(b)punktile a tuginedes vastuvõetavad protokollid või protokolliperekonnad ning krüptoalgoritmid, šifri tugevus, krüptolahendused ja kasutustavad, mis tuleb heaks kiita ja mida tuleb kasutada asjaomastes üksustes, järgides vajaduse korral krüptopaindlikkuse lähenemisviisi;
(c)asjaomaste üksuste lähenemisviis võtmehaldusele, kaasa arvatud vajaduse korral meetodid järgmisteks tegevusteks:
i)erinevate võtmete genereerimine krüptograafiliste süsteemide ja rakenduste jaoks;
ii)digitaalsertifikaatide väljaandmine ja hankimine;
iii)võtmete väljastamine kavandatud üksustele, kaasa arvatud see, kuidas võti pärast kättesaamist aktiveerida;
iv)võtmete talletamine, kaasa arvatud see, kuidas volitatud kasutajad saavad võtmetele juurdepääsu;
v)võtmete muutmine või ajakohastamine, kaasa arvatud reeglid selle kohta, millal ja kuidas võtmeid muuta;
vi)murtud võtmete käsitlemine;
vii)võtmete tühistamine, kaasa arvatud see, kuidas võtmeid kasutuselt kõrvaldada või desaktiveerida;
viii)kaotatud või rikutud võtme taastamine;
ix)võtmete varundamine või arhiveerimine;
x)võtmete hävitamine;
xi)võtmehaldusega seotud tegevuste logimine ja auditeerimine;
xii)võtmete aktiveerimise ja desaktiveerimise kuupäevade määramine, et tagada võtmete kasutamine ainult kindlaksmääratud aja jooksul vastavalt organisatsiooni võtmehalduse reeglitele.
9.3.Asjaomased üksused vaatavad oma põhimõtted ja protseduurid plaaniliste ajavahemike järel läbi, võttes arvesse krüptograafia hetketaset.
10.Personali turvalisus (direktiivi (EL) 2022/2555 artikli 21 lõike 2 punkt i)
10.1.Personali turvalisus
10.1.1.Asjaomased üksused tagavad direktiivi (EL) 2022/2555 artikli 21 lõike 2 punkti i kohaldamiseks, et nende töötajad ning otsesed tarnijad ja teenuseosutajad, kui see on asjakohane, mõistavad ja kohustuvad täitma oma turvakohustusi vastavalt pakutavatele teenustele ja tööle ning kooskõlas asjaomaste üksuste võrgu- ja infosüsteemide turvalisuse põhimõtetega.
10.1.2.Punktis 10.1.1 osutatud nõue sisaldab järgmist:
(a)mehhanismid, millega tagatakse, et kõik töötajad, otsesed tarnijad ja teenuseosutajad, kui see on asjakohane, mõistavad ja järgivad standardseid küberhügieeni tavasid, mida asjaomased üksused kohaldavad vastavalt punktile 8.1;
(b)mehhanismid, millega tagatakse, et haldus- või eelisjuurdepääsuga kasutajad on teadlikud oma rollist, vastutusalast ja volitustest ning käituvad nende kohaselt;
(c)mehhanismid, millega tagatakse, et juhtorganite liikmed mõistavad, milline on nende roll, vastutusala ja volitused seoses võrgu- ja infosüsteemide turvalisusega, ning käituvad nende kohaselt;
(d)mehhanismid, et palgata eri rollide jaoks (näiteks soovituste kontrollimine, kontrollimenetlused, sertifikaatide kontrollimine või kirjalikud testid) kvalifitseeritud töötajaid.
10.1.3.Asjaomased üksused vaatavad töötajate nimetamise punktis 1.2 osutatud konkreetsetesse rollidesse ja personali eraldamise selliseks otstarbeks läbi plaaniliste ajavahemike järel ja vähemalt kord aastas. Vajaduse korral ajakohastavad nad ametissenimetamisi.
10.2.Tausta kontrollimine
10.2.1.Asjaomased üksused tagavad niivõrd, kui see on teostatav, oma töötajate ja, kui see on asjakohane, vastavalt punktile 5.1.4 otseste tarnijate ja teenuseosutajate taustakontrolli, kui see on vajalik nende rolli, vastutusala või volituste jaoks.
10.2.2.Punkti 10.2.1 kohaldamiseks teevad asjaomased üksused järgmist:
(a)kehtestavad kriteeriumid, millega nähakse ette, milliseid rollid, vastutusalad ja volitused võivad olla ainult sellistel isikutel, kelle tausta on kontrollitud;
(b)tagavad, et enne, kui need isikud hakkavad neid rolle, vastutusalasid või volitusi kasutama, tehakse neile punktis 10.2.1 osutatud taustakontroll, milles võetakse arvesse kohaldatavaid õigus- ja haldusnorme ning eetikapõhimõtteid proportsionaalselt ärinõuete, punktis 12.1 osutatud varade liigituse ning juurdepääsetavate võrgu- ja infosüsteemide ja tajutavate riskidega.
10.2.3.Asjaomased üksused vaatavad põhimõtted läbi ja vajaduse korral ajakohastavad neid plaaniliste ajavahemike järel ja vastavalt vajadusele.
10.3.Töösuhte lõpetamise või muutmise protseduur
10.3.1.Asjaomased üksused tagavad, et võrgu- ja infosüsteemi turvalisusega seotud vastutusalad ja ülesanded, mis jäävad kehtima pärast töötaja töösuhte lõpetamist või muutmist, on lepingus kindlaks määratud ja nende täitmine on tagatud.
10.3.2.Punkti 10.3.1 kohaldamiseks lisavad asjaomased üksused isiku töötingimustesse või lepingusse vastutusalad ja ülesanded, mis kehtivad edasi ka pärast töösuhte või lepingu lõppemist, näiteks konfidentsiaalsusklauslid.
10.4.Distsiplinaarmenetlus
10.4.1.Asjaomased üksused kehtestavad võrgu- ja infosüsteemi turvalisuse põhimõtete rikkumise käsitlemiseks distsiplinaarmenetluse, teevad selle menetluse teatavaks ja haldavad seda. Menetluses võetakse arvesse asjaomaseid õiguslikke, seadusjärgseid, lepingulisi ja ärinõudeid.
10.4.2.Asjaomased üksused vaatavad distsiplinaarmenetluse läbi ja vajaduse korral ajakohastavad seda plaaniliste ajavahemike järel ja kui see on vajalik õiguslike muutuste või tegevuse või riskide olulise muutumise tõttu.
11.Juurdepääsukontroll (direktiivi (EL) 2022/2555 artikli 21 lõike 2 punktid i ja j)
11.1.Juurdepääsukontrolli põhimõtted
11.1.1.Direktiivi (EL) 2022/2555 artikli 21 lõike 2 punkti i kohaldamiseks kehtestavad ja dokumenteerivad asjaomased üksused oma võrgu- ja infosüsteemidele juurdepääsu loogilise ja füüsilise juurdepääsukontrolli põhimõtted, tuginedes nii ärinõuetele kui ka võrgu- ja infosüsteemi turvalisuse nõuetele, ning rakendavad neid.
11.1.2.Punktis 11.1.1 osutatud põhimõtetes:
(a)käsitletakse isikute, kaasa arvatud töötajate, külastajate ja väliste üksuste, näiteks tarnijate ja teenuseosutajate juurdepääsu;
(b)käsitletakse võrgu- ja infosüsteemide juurdepääsu;
(c)tagatakse, et juurdepääs antakse ainult kasutajatele, kes on nõuetekohaselt autenditud.
11.1.3.Asjaomased üksused vaatavad need põhimõtted läbi ja vajaduse korral ajakohastavad neid plaaniliste ajavahemike järel ja siis, kui aset leiavad olulised intsidendid või olulised muutused tegevuses või riskides.
11.2.Juurdepääsuõiguste haldamine
11.2.1.Asjaomased üksused annavad, muudavad, võtavad ära ja dokumenteerivad võrgu- ja infosüsteemidele juurdepääsu õigusi kooskõlas punktis 11.1 osutatud juurdepääsukontrolli põhimõtetega.
11.2.2.Asjaomased üksused teevad järgmist:
(a)määravad ja tühistavad juurdepääsuõigusi, tuginedes teadmisvajaduse, minimaalõiguste ja ülesannete lahususe põhimõtetele;
(b)tagavad, et juurdepääsuõigusi muudetakse töösuhte lõppemise või muutumise korral vastavalt;
(c)tagavad, et asjaomased isikud annavad loa juurdepääsuks võrgu- ja infosüsteemidele;
(d)tagavad, et juurdepääsuõigused reguleerivad asjakohaselt kolmandate isikute, näiteks külastajate, tarnijate ja teenuseosutajate juurdepääsu, eelkõige juurdepääsuõiguste ulatuse ja ajalise kestuse piiramise kaudu;
(e)peavad antud juurdepääsuõiguste registrit;
(f)kohaldavad juurdepääsuõiguste haldamise suhtes logimist.
11.2.3.Asjaomased üksused vaatavad juurdepääsuõigused plaaniliste ajavahemike järel läbi ja muudavad neid vastavalt muutustele organisatsioonis. Asjaomased üksused dokumenteerivad läbivaatamise tulemused, kaasa arvatud muudatused, mida on juurdepääsuõigustes vaja teha.
11.3.Eeliskontod ja süsteemihalduskontod
11.3.1.Punktis 11.1 osutatud juurdepääsukontrolli põhimõtete ühe osana peavad asjaomastel üksustel olema eeliskontode ja süsteemihalduskontode haldamise põhimõtted.
11.3.2.Punktis 11.3.1 osutatud põhimõtetes:
(a)kehtestatakse eeliskontode ja süsteemihalduskontode jaoks tugevad identifitseerimise, autentimise (nt mitmikautentimise) ja volitamise protseduurid;
(b)luuakse erikontod, mida kasutatakse ainult süsteemihalduse toiminguteks, näiteks paigaldamiseks, konfigureerimiseks, haldamiseks või hooldamiseks;
(c)individualiseeritakse ja piiratakse süsteemihalduse eesõigusi võimalikult suures ulatuses;
(d)nähakse ette, et süsteemihalduskontosid kasutatakse ainult süsteemihalduse süsteemidega ühendumiseks.
11.3.3.Asjaomased üksused vaatavad eeliskontode ja süsteemihalduskontode juurdepääsuõigused läbi plaaniliste ajavahemike järel ning neid muudetakse vastavalt muutustele organisatsioonis; asjaomased üksused dokumenteerivad läbivaatamise tulemused, kaasa arvatud muudatused, mis on vaja juurdepääsuõigustes teha.
11.4.Haldussüsteemid
11.4.1.Asjaomased üksused piiravad ja kontrollivad süsteemihalduse süsteemide kasutamist kooskõlas punktis 11.1 osutatud juurdepääsukontrolli põhimõtetega.
11.4.2.Selleks teevad asjaomased üksused järgmist:
(a)kasutavad süsteemihalduse süsteeme ainult süsteemihalduseks, mitte muudeks toiminguteks;
(b)eraldavad sellised süsteemid loogiliselt rakendustarkvarast, mida ei kasutata süsteemihalduseks;
(c)kaitsevad juurdepääsu süsteemihalduse süsteemidele autentimise ja krüpteerimisega.
11.5.Identifitseerimine
11.5.1.Asjaomased üksused haldavad võrgu- ja infosüsteemide ja nende kasutajate identiteetide kogu elutsüklit.
11.5.2.Selleks teevad asjaomased üksused järgmist:
(a)loovad võrgu- ja infosüsteemide ja nende kasutajate jaoks kordumatud identiteedid;
(b)seovad kasutaja identiteedi ühe isikuga;
(c)tagavad võrgu- ja infosüsteemide identiteetide järelevalve;
(d)kohaldavad identideedihalduse suhtes logimist.
11.5.3.Asjaomased üksused lubavad identiteedi määramist mitmele isikule, näiteks ühist identiteeti, ainult siis, kui see on vajalik ärilistel või käitusega seotud põhjustel ning selle jaoks on vaja selgesõnalist heakskiitmise protsessi ja dokumentatsiooni. Asjaomased üksused võtavad mitmele isikule määratud identiteete arvesse punktis 2.1 osutatud küberturvalisuse riskijuhtimise raamistikus.
11.5.4.Asjaomased üksused vaatavad võrgu- ja infosüsteemide ja nende kasutajate identiteedid korrapäraselt läbi ja desaktiveerivad viivitamata identiteedid, mida enam vaja pole.
11.6.Autentimine
11.6.1.Asjaomased üksused rakendavad turvalisi autentimisprotseduure ja -tehnoloogiaid, tuginedes juurdepääsupiirangutele ja juurdepääsukontrolli põhimõtetele.
11.6.2.Selleks teevad asjaomased üksused järgmist:
(a)tagavad, et autentimise tugevus vastab juurdepääsetava vara liigitusele;
(b)kontrollivad salajase autentimisteabe jagamist kasutajatele ja haldamist protsessiga, mis tagab teabe konfidentsiaalsuse ning hõlmab töötajate nõustamist selle kohta, kuidas autentimisteavet nõuetekohaselt käsitleda;
(c)nõuavad autentimismandaadi muutmist alguses, kindlaksmääratud ajavahemike järel ja siis, kui on kahtlus, et mandaat on rikutud;
(d)nõuavad autentimismandaadi lähtestamist ja kasutaja blokeerimist pärast eelnevalt kindlaksmääratud arvu ebaõnnestunud sisselogimiskatseid;
(e)lõpetavad jõudeolekus sessioonid pärast eelnevalt kindlaksmääratud tegevusetusperioodi ning
(f)nõuavad eraldi mandaati juurdepääsuks eelisjuurdepääsuga või halduskontodele.
11.6.3.Niivõrd, kui see on võimalik, kasutavad asjaomased üksused tipptasemel autentimismeetodeid kooskõlas seotud hinnatud riski ja juurdepääsetava vara liigitusega ning kordumatut autentimisteavet.
11.6.4.Asjaomased üksused vaatavad autentimisprotseduurid ja -tehnoloogiad läbi plaaniliste ajavahemike järel.
11.7.Mitmikautentimine
11.7.1.Asjaomased üksused tagavad, et asjaomaste üksuste võrgu- ja infosüsteemidele juurdepääsu jaoks kasutatakse kasutajate autentimiseks mitut autentimistegurit või pidevautentimise mehhanisme, vajaduse korral vastavalt juurdepääsetava vara liigitusele.
11.7.2.Asjaomased üksused tagavad, et autentimise tugevus vastab juurdepääsetava vara liigitusele.
12.Varade haldamine (direktiivi (EL) 2022/2555 artikli 21 lõike 2 punkt i)
12.1.Varade liigitamine
12.1.1.Direktiivi (EL) 2022/2555 artikli 21 lõike 2 punkti i kohaldamiseks kehtestavad asjaomased üksused kõigi oma võrgu- ja infosüsteemidega hõlmatud varade, kaasa arvatud teabe liigitustasemed vastavalt nõutava kaitse tasemele.
12.1.2.Punkti 12.1.1 kohaldamiseks teevad asjaomased üksused järgmist:
(a)näevad ette kõigi varade liigitustasemete süsteemi;
(b)seostavad kõik varad konfidentsiaalsuse, tervikluse, autentsuse ja käideldavuse nõuetest lähtuvalt liigitustasemega, et määrata kindlaks, millist kaitset need tundlikkusest, kriitilisusest, riskidest ja ärilisest väärtusest tulenevalt vajavad;
(c)viivad varade käideldavusnõuded vastavusse talitluspidevuse ja avariitaaste kavades sätestatud tarne- ja taaste-eesmärkidega.
12.1.3.Asjaomased üksused korraldavad varade liigitustasemete korrapäraseid läbivaatamisi ja vajaduse korral ajakohastavad neid.
12.2.Varade käitlemine
12.2.1.Asjaomased üksused kehtestavad varade, kaasa arvatud teabe nõuetekohase käitlemise põhimõtted ja rakendavad ja kohaldavad neid kooskõlas oma võrgu- ja infoturbe põhimõtetega ning teevad varade nõuetekohase käitlemise põhimõtted teatavaks kõigile, kes varasid kasutavad või käitlevad.
12.2.2.Põhimõtetes:
(a)käsitletakse varade kogu elutsüklit, kaasa arvatud omandamist, kasutamist, talletamist, vedu ja kõrvaldamist;
(b)esitatakse varade turvalise kasutamise, turvalise talletamise, turvalise veo ning pöördumatu kustutamise ja hävitamise reeglid;
(c)pannakse paika, et üleandmine toimub turvaliselt vastavalt üleantava vara liigile.
12.2.3.Asjaomased üksused vaatavad need põhimõtted läbi ja vajaduse korral ajakohastavad neid plaaniliste ajavahemike järel ja siis, kui aset leiavad olulised intsidendid või olulised muutused tegevuses või riskides.
12.3.Irdkandjaid käsitlevad põhimõtted
12.3.1.Asjaomased üksused kehtestavad irdkandjate halduse põhimõtted, rakendavad ja kohaldavad neid põhimõtteid ning teevad need teatavaks oma töötajatele ja kolmandatele isikutele, kes käitlevad irdkandjaid asjaomaste üksuste valdustes või muudes kohtades, kus irdkandjaid asjaomaste üksuste võrgu- ja infosüsteemidega ühendatakse.
12.3.2.Põhimõtetega:
(a)nähakse ette irdkandjate ühendamise tehniline keeld, välja arvatud juhul, kui on organisatsiooniline põhjus irdkandjaid kasutada;
(b)nähakse ette selliste kandjate automaatse käivitumise blokeerimine ning kandjate skannimine ründekoodi tuvastamiseks enne, kui irdkandjat asjaomaste üksuste süsteemides kasutada saab;
(c)nähakse ette meetmed, millega kontrollida ja kaitsta andmeid sisaldavaid kaasaskantavaid salvestusseadmeid liikumise ja säilitamise ajal;
(d)nähakse vajaduse korral ette meetmed krüptomeetodite kasutamiseks, et kaitsta irdkandjal olevaid andmeid.
12.3.3.Asjaomased üksused vaatavad need põhimõtted läbi ja vajaduse korral ajakohastavad neid plaaniliste ajavahemike järel ja siis, kui aset leiavad olulised intsidendid või olulised muutused tegevuses või riskides.
12.4.Varaloend
12.4.1.Asjaomased üksused koostavad oma varade täieliku, täpse, ajakohase ja järjepideva loendi ja haldavad seda. Nad registreerivad loendikirjete muudatused jälgitaval viisil.
12.4.2.Varaloendi detailsuse tase peab vastama asjaomaste üksuste vajadustele. Loend sisaldab järgmist:
(a)toimingute ja teenuste loetelu ja nende kirjeldus,
(b)võrgu- ja infosüsteemide ja asjaomaste üksuste toiminguid ja teenuseid toetavate muude seotud varade loetelu.
12.4.3.Asjaomased üksused vaatavad loendi ja oma varad korrapäraselt läbi ning dokumenteerivad toimunud muutused.
12.5.Vara hoiuleandmine, tagastamine või kustutamine töösuhte lõppemise korral
Asjaomased üksused kehtestavad protseduurid, millega tagatakse, et nende varad, mis on töötajate hoida, antakse hoiule, tagastatakse või kustutatakse töösuhte lõppemise korral; asjaomased üksused rakendavad ja kohaldavad neid protseduure ning dokumenteerivad kõnealuste varade hoiuleandmise, tagastamise ja kustutamise. Kui vara hoiuleandmine, tagastamine või kustutamine ei ole võimalik, tagavad asjaomased üksused, et neil varadel ei ole enam juurdepääsu asjaomase üksuse võrgu- ja infosüsteemidele vastavalt punktile 12.2.2.
13.Keskkonna ja füüsiline turvalisus (direktiivi (EL) 2022/2555 artikli 21 lõike 2 punktid c, e ja i)
13.1.Toetavad kommunaalteenused
13.1.1.Direktiivi (EL) 2022/2555 artikli 21 lõike 2 punkti c kohaldamiseks hoiavad asjaomased üksused ära võrgu ja infosüsteemide kahju, kahjustusi ja rikkumisi ja nende süsteemide töö katkemist, mille põhjustab toetavate kommunaalteenuste tõrge või katkestus.
13.1.2.Selleks teevad asjaomased üksused järgmist, kui see on asjakohane:
(a)kaitsevad rajatisi elektrikatkestuste ja muude katkestuste eest, mida põhjustab toetavate kommunaalteenuste (nt elektrivarustuse, side, veevarustuse, gaasivarustuse, kanalisatsiooni või kliimaseadmete) tõrge;
(b)kaaluvad kommunaalteenuste liiasuse kasutamist;
(c)kaitsevad elektri ja sidega tegelevaid kommunaalteenuseid, mis edastavad andmeid või varustavad võrgu- ja infosüsteeme, infopüügi ja kahju eest;
(d)jälgivad punktis c osutatud kommunaalteenuseid ning teatavad pädevatele asutusesisestele või -välistele töötajatele sündmustest, mis jäävad punkti 13.2.2 alapunktis b osutatud kontrolli miinimum- ja maksimumkünnisest väljapoole ja mis mõjutavad kommunaalteenuseid;
(e)sõlmivad vastavate teenusepakkujatega hädaolukorras varustamise lepingud näiteks avariitoite pakkumiseks vajaliku kütuse kohta;
(f)tagavad pakutava teenuse käitamiseks vajalike võrgu- ja infosüsteemide varustatuse pideva toimimise ning jälgivad, hooldavad ja testivad seda, eeskätt selles osas, mis puudutab elektrit, temperatuuri ja niiskuse juhtimist, sidet ja internetiühendust.
13.1.3.Asjaomased üksused testivad, vaatavad läbi ja vajaduse korral ajakohastavad kaitsemeetmeid korrapäraselt või pärast olulisi intsidente või olulisi muutusi tegevuses või riskides.
13.2.Kaitse füüsiliste ja keskkonnaohtude eest
13.2.1.Direktiivi (EL) 2022/2555 artikli 21 lõike 2 punkti e kohaldamiseks hoiavad asjaomased üksused ära või vähendavad füüsilistest või keskkonnaohtudest, nagu loodusõnnetused ja muud tahtlikud või tahtmatud ohud, tulenevate sündmuste tagajärgi, tuginedes punkti 2.1 kohaselt tehtud riskihindamise tulemustele.
13.2.2.Selleks teevad asjaomased üksused järgmist, kui see on asjakohane:
(a)töötavad välja ja rakendavad füüsiliste ja keskkonnaohtude vastaseid kaitsemeetmeid;
(b)määravad kindlaks füüsiliste ja keskkonnaohtude kontrolli miinimum- ja maksimumkünnised;
(c)jälgivad keskkonnaparameetreid ning teatavad pädevatele asutusesisestele või -välistele töötajatele sündmustest, mis jäävad alapunktis b osutatud kontrolli miinimum- ja maksimumkünnisest väljapoole.
13.2.3.Asjaomased üksused testivad, vaatavad läbi ja vajaduse korral ajakohastavad füüsiliste ja keskkonnaohtude vastaseid kaitsemeetmeid korrapäraselt või pärast olulisi intsidente või olulisi muutusi tegevuses või riskides.
13.3.Perimeetri ja füüsilise juurdepääsu kontroll
13.3.1.Direktiivi (EL) 2022/2555 artikli 21 lõike 2 punkti i kohaldamiseks hoiavad asjaomased üksused ära loata füüsilise juurdepääsu oma võrgu- ja infosüsteemidele, nende kahjustamise ja rikkumise ning jälgivad selliseid tegevusi.
13.3.2.Selleks teevad asjaomased üksused järgmist:
(a)näevad punkti 2.1 kohaselt tehtud riskihindamise põhjal ette ja kasutavad turvaperimeetrit, et kaitsta ala, kus asuvad võrgu- ja infosüsteemid ning muud nendega seotud varad;
(b)kaitsevad punktis a osutatud alasid asjakohaste sisenemiskontrollide ja pääsupunktidega;
(c)kavandavad kabinettide, muude ruumide ja rajatiste füüsilise turbe ja rakendavad seda;
(d)jälgivad pidevalt oma valdusi, et avastada loata füüsiline juurdepääs.
13.3.3.Asjaomased üksused testivad, vaatavad läbi ja vajaduse korral ajakohastavad füüsilise juurdepääsu kontrolli meetmeid korrapäraselt või pärast olulisi intsidente või olulisi muutusi tegevuses või riskides.