32025R0038[1]
Az Európai Parlament és a Tanács (EU) 2025/38 rendelete (2024. december 19.) a kiberfenyegetések és -események észlelése, valamint az azokra való felkészülés és reagálás érdekében az Unión belüli szolidaritás és képességek megerősítését célzó intézkedések meghatározásáról, és az (EU) 2021/694 rendelet módosításáról (a kiberszolidaritásról szóló rendelet)
AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2025/38 RENDELETE
(2024. december 19.)
a kiberfenyegetések és -események észlelése, valamint az azokra való felkészülés és reagálás érdekében az Unión belüli szolidaritás és képességek megerősítését célzó intézkedések meghatározásáról, és az (EU) 2021/694 rendelet módosításáról (a kiberszolidaritásról szóló rendelet)
I. FEJEZET
ÁLTALÁNOS RENDELKEZÉSEK
1. cikk
Tárgy és célkitűzések
(1) E rendelet intézkedéseket állapít meg a kiberfenyegetések és -események észlelésére, valamint az azokra való felkészülésre és reagálásra irányuló uniós képességek megerősítésére, különösen a következők létrehozása révén:
a) a kiberközpontok páneurópai hálózata (a továbbiakban: Európai Kiberbiztonsági Riasztási Rendszer) az összehangolt észlelési és közös helyzetismereti képességek kiépítése és javítása érdekében;
b) a kiberbiztonsági vészhelyzeti mechanizmus, amelynek célja, hogy támogassa a tagállamokat a jelentős és a nagyszabású kiberbiztonsági eseményekre való felkészülésben, az azokra való reagálásban, azok hatásainak mérséklésében és az azokat követő helyreállítás megkezdésében, valamint támogassa az egyéb felhasználókat a jelentős és a nagyszabásúval egyenértékű kiberbiztonsági eseményekre való reagálásban;
c) a kiberbiztonsági események európai felülvizsgálati mechanizmusa, a jelentős vagy a nagyszabású kiberbiztonsági események felülvizsgálata és értékelése céljából.
(2) E rendelet általános célkitűzései az uniós ipar és szolgáltatások - többek között a mikrovállalkozások, valamint a kis- és középvállalkozások, továbbá az induló innovatív vállalkozások - versenyhelyzeténekmegerősítése a digitális gazdaságban, valamint az Unió technológiai szuverenitásához és nyitott stratégiai autonómiájához való hozzájárulás a kiberbiztonság területén, többek között a digitális egységes piacon belüli innováció fellendítése révén. Ezeket a célkitűzéseket a szolidaritás uniós szintű erősítése, a kiberbiztonsági ökoszisztéma megerősítése, a tagállamok kiberellenálló képességének fokozása, valamint a munkaerő kiberbiztonsággal kapcsolatos készségeinek, know-how-jának, képességeinek és kompetenciáinak fejlesztése révén valósítja meg.
(3) A (2) bekezdésben említett általános célkitűzéseket a következő egyedi célkitűzések teljesítése révén kell megvalósítani:
a) a közös összehangolt uniós észlelési kapacitások és a kiberfenyegetésekkel és -eseményekkel kapcsolatos közös helyzetismeret megerősítése;
b) a kiemelten kritikus ágazatokban vagy egyéb kritikus ágazatokban működő szervezetek felkészültségének megerősítése Unió-szerte, valamint a szolidaritás megerősítése a jelentős, a nagyszabású vagy a nagyszabásúval egyenértékű kiberbiztonsági események kezelésére szolgáló összehangolt készültségi tesztelés, valamint fokozott reagálási és helyreállítási kapacitások kidolgozása révén, beleértve annak lehetőségét is, hogy a kiberbiztonsági eseményekre való uniós reagálási támogatást a Digitális Európa programhoz társult harmadik országok rendelkezésére bocsássák;
c) az Unió ellenálló képességének fokozása és az eseményekre történő hatékony reagáláshoz való hozzájárulás a jelentős vagy a nagyszabású kiberbiztonsági események felülvizsgálata és értékelése révén, beleértve a levont tanulságokat és adott esetben az ajánlásokat is.
(4) Az e rendelet szerinti intézkedéseket a tagállamok hatásköreinek kellő tiszteletben tartásával kell végrehajtani, és azoknak ki kell egészíteniük a CSIRT-ek hálózata, az EU-CyCLONe és a Kiberbiztonsági Együttműködési Csoport által végzett tevékenységeket.
(5) Ez a rendelet nem érinti a tagállamok alapvető állami funkcióit, többek között az állam területi integritásának biztosítását, a közrend fenntartását és a nemzetbiztonság garantálását. Így különösen, a nemzetbiztonság az egyes tagállamok kizárólagos felelőssége marad.
(6) Az uniós vagy nemzeti szabályok értelmében bizalmas információk e rendelet szerinti megosztásának és cseréjének az adott megosztás vagy csere célja szempontjából releváns és azzal arányos mértékre kell korlátozódnia. Az információk ilyen megosztása vagy cseréje során meg kell őrizni az információk bizalmas jellegét, és védeni kell az érintett szervezetek biztonsági és kereskedelmi érdekeit. Ez nem foglalja magában olyan információk szolgáltatását, amelyek közlése ellentétes lenne a tagállamok alapvető nemzetbiztonsági, közbiztonsági vagy védelmi érdekeivel.
2. cikk
Fogalommeghatározások
E rendelet alkalmazásában:
1. "határokon átnyúló kiberközpont": írásbeli konzorciummegállapodással létrehozott, több országra kiterjedő platform, amely összehangolt hálózati struktúrába tömöríti legalább három tagállam nemzeti kiberközpontjait, és amelynek célja a kiberfenyegetések nyomon követésének, észlelésének és elemzésének javítása az események megelőzése és a kiberfenyegetettség felderítés előállításának támogatása érdekében, különösen releváns és adott esetben anonimizált adatok és információk cseréje, valamint a legkorszerűbb eszközök megosztása és valamely megbízható környezetben a kiberészlelési, -elemzési, valamint -megelőzési és -védelmi képességek közös fejlesztése révén;
2. "üzemeltetési konzorcium": olyan részt vevő tagállamokból álló konzorcium, amelyek megállapodtak, hogy határokon átnyúló kiberközpontot hoznak létre, és hozzájárulnak az azt szolgáló eszközök, infrastruktúra vagy szolgáltatások beszerzéséhez, valamint a határokon átnyúló kiberközpont működtetéséhez;
3. "CSIRT": az (EU) 2022/2555 irányelv 10. cikke alapján kijelölt vagy létrehozott CSIRT;
4. "szervezet": az (EU) 2022/2555 irányelv 6. cikkének 38. pontjában meghatározottak szerinti szervezet;
5. "kiemelten kritikus ágazatokban működő szervezetek": az (EU) 2022/2555 irányelv I. mellékletében felsorolt szervezettípusok;
6. "egyéb kritikus ágazatokban működő szervezetek": az (EU) 2022/2555 irányelv II. mellékletében felsorolt szervezettípusok;
7. "kockázat": az (EU) 2022/2555 rendelet 6. cikkének 9. pontjában meghatározottak szerinti kockázat;
8. "kiberfenyegetés": az (EU) 2019/881 rendelet 2. cikkének 8. pontjában meghatározottak szerinti kiberfenyegetés;
9. "esemény": az (EU) 2022/2555 irányelv 6. cikkének 6. pontjában meghatározottak szerinti esemény;
10. "jelentős kiberbiztonsági esemény": az (EU) 2022/2555 irányelv 23. cikkének (3) bekezdésében meghatározott kritériumoknak megfelelő esemény;
11. "súlyos biztonsági esemény": az (EU, Euratom) 2023/2841 európai parlamenti és tanácsi rendelet ( 1 ) 3. cikkének 8. pontjában meghatározottak szerinti súlyos biztonsági esemény;
12. "nagyszabású kiberbiztonsági esemény": az (EU) 2022/2555 irányelv 6. cikkének 7. pontjában meghatározottak szerinti nagyszabású kiberbiztonsági esemény;
13. "nagyszabásúval egyenértékű kiberbiztonsági esemény": az uniós intézmények, szervek, hivatalok és ügynökségek esetében súlyos biztonsági esemény, a Digitális Európa programhoz társult harmadik országok esetében pedig olyan szintű zavart okozó esemény, amely meghaladja a Digitális Európa programhoz társult érintett harmadik ország reagálási képességét;
14. "a Digitális Európa programhoz társult harmadik ország": olyan harmadik ország, amely az Unióval kötött, az (EU) 2021/694 rendelet 10. cikke alapján a Digitális Európa programban való részvételét lehetővé tevő megállapodásban részes fél;
15. "ajánlatkérő szerv": a Bizottság vagy - amennyiben az uniós kiberbiztonsági tartalék működtetésével és igazgatásával a 14. cikk (5) bekezdése értelmében az ENISA-t bízták meg - az ENISA;
16. "irányított biztonsági szolgáltató": az (EU) 2022/2555 irányelv 6. cikkének 40. pontjában meghatározottak szerinti irányított biztonsági szolgáltató;
17. "megbízható irányított biztonsági szolgáltatók": e rendelet 17. cikkével összhangban az uniós kiberbiztonsági tartalékba való felvételre kiválasztott irányított biztonsági szolgáltatók.
II. FEJEZET
AZ EURÓPAI KIBERBIZTONSÁGI RIASZTÁSI RENDSZER
3. cikk
Az Európai Kiberbiztonsági Riasztási Rendszer létrehozása
(1) Létrejön az Európai Kiberbiztonsági Riasztási Rendszer, amely önkéntes alapon csatlakozó nemzeti kiberközpontokból és határokon átnyúló kiberközpontokból álló páneurópai infrastruktúra-hálózat, hogy támogassa az Unió fejlett képességeinek fejlesztését a kiberfenyegetésekkel kapcsolatos észlelési, elemzési és adatkezelési képességek javítása, valamint az Unión belüli események megelőzése érdekében.
(2) Az Európai Kiberbiztonsági Riasztási Rendszer:
a) hozzájárul a kiberfenyegetések elleni jobb védekezéshez és az azokra való reagáláshoz azáltal, hogy támogatja az érintett szervezeteket, illetve együttműködik azokkal, különösen a CSIRT-ekkel, a CSIRT-ek hálózatával, az EU-CyCLONe-vel és az (EU) 2022/2555 irányelv 8. cikkének (1) bekezdése alapján kijelölt vagy létrehozott illetékes hatóságokkal, és megerősíti azok képességeit;
b) a határokon átnyúló kiberközpontokon belül összegyűjti a különböző forrásokból származó kiberfenyegetésekre és -eseményekre vonatkozó releváns adatokat és információkat, és a határokon átnyúló kiberközpontokon keresztül megosztja az elemzett vagy összesített információkat, adott esetben a CSIRT-ek hálózatával;
c) magas színvonalú, hasznosítható információkat és kiberfenyegetettség felderítést gyűjt és támogatja ezek előállítását a legkorszerűbb eszközök és fejlett technológiák alkalmazásával, és megosztja ezeket az információkat és a kiberfenyegetettség felderítést;
d) hozzájárul a kiberfenyegetések összehangolt észlelésének és a közös helyzetismeretnek az egész Unióban történő javításához, valamint a riasztások kiadásához, többek között adott esetben a szervezeteknek szóló konkrét ajánlások révén;
e) szolgáltatásokat és tevékenységeket nyújt az Unió kiberbiztonsági közössége számára, többek között hozzájárul a fejlett eszközök és technológiák, így a mesterséges intelligencia és az adatelemzést szolgáló eszközök fejlesztéséhez.
(3) Az Európai Kiberbiztonsági Riasztási Rendszert végrehajtó intézkedéseket a Digitális Európa programból nyújtott finanszírozással kell támogatni, és az (EU) 2021/694 rendelettel, különösen annak 3. egyedi célkitűzésével összhangban kell végrehajtani.
4. cikk
Nemzeti kiberközpontok
(1) Amennyiben egy tagállam úgy dönt, hogy részt vesz az Európai Kiberbiztonsági Riasztási Rendszerben, e rendelet alkalmazásában nemzeti kiberközpontot jelöl ki vagy adott esetben hoz létre.
(2) A nemzeti kiberközpont egy, a tagállam fennhatósága alatt működő egyetlen szervezet. Lehet CSIRT, vagy adott esetben egy kiberválságok kezelésével foglalkozó nemzeti hatóság vagy az (EU) 2022/2555 irányelv 8. cikkének (1) bekezdése alapján kijelölt vagy létrehozott egyéb illetékes hatóság, vagy más szervezet. A nemzeti kiberközpontnak:
a) képesnek kell lennie arra, hogy nemzeti szintű referenciapontként és átjáróként szolgáljon más állami és magánszervezetek számára a kiberfenyegetésekre és -eseményekre vonatkozó információk gyűjtése és elemzése céljából, valamint hogy hozzájáruljon valamely, az 5. cikkben említett, határokon átnyúló kiberközponthoz; és
b) képesnek kell lennie a kiberfenyegetések és -események szempontjából releváns adatok és információk - például a fenyegetettség felderítés - észlelésére, összesítésére és elemzésére, különösen a legkorszerűbb technológiák alkalmazásával, az események megelőzése céljából.
(3) Az e cikk (2) bekezdésében említett funkciók részeként a nemzeti kiberközpontok együttműködhetnek a magánszektorbeli szervezetekkel - többek között az (EU) 2022/2555 irányelv 3. cikkében említett alapvető és fontos szervezetek ágazati és ágazatközi közösségeivel - a kiberfenyegetések és -események észlelése és megelőzése céljából releváns adatok és információk cseréje érdekében. Adott esetben, valamint az uniós és a nemzeti joggal összhangban a nemzeti kiberközpontok által kért vagy kapott információk telemetriai, szenzor- és naplózási adatokat is tartalmazhatnak.
(4) Valamely, a 9. cikk (1) bekezdése alapján kiválasztott tagállam vállalja, hogy kérelmezi nemzeti kiberközpontja részvételét egy határokon átnyúló kiberközpontban.
5. cikk
Határokon átnyúló kiberközpontok
(1) Amennyiben legalább három tagállam elkötelezett annak biztosítása mellett, hogy nemzeti kiberközpontjaik együttműködjenek kiberészlelési és fenyegetésmonitoring tevékenységeik összehangolása érdekében, e tagállamok e rendelet alkalmazásában üzemeltetési konzorciumot hozhatnak létre.
(2) Az üzemeltetési konzorcium legalább három részt vevő tagállamból áll, amelyek megállapodtak abban, hogy a (4) bekezdéssel összhangban létrehoznak egy határokon átnyúló kiberközpontot, és hozzájárulnak az azt szolgáló eszközök, infrastruktúra vagy szolgáltatások beszerzéséhez és az említett kiberközpont működéséhez.
(3) Amennyiben az üzemeltetési konzorciumot a 9. cikk (3) bekezdésével összhangban választják ki, annak tagjai írásbeli konzorciumi megállapodást kötnek, amely:
a) meghatározza a 9. cikk (3) bekezdésében említett üzemeltetési és használati megállapodás végrehajtásának belső szabályait;
b) létrehozza az üzemeltetési konzorcium határokon átnyúló kiberközpontját; és
c) tartalmazza a 6. cikk (1) és (2) bekezdésében előírt konkrét rendelkezéseket.
(4) A határokon átnyúló kiberközpont a (3) bekezdésben említett írásbeli konzorciumi megállapodással létrehozott, több országra kiterjedő platform. Összehangolt hálózati struktúrában egyesíti az üzemeltetési konzorcium tagállamainak nemzeti kiberközpontjait. Úgy kell kialakítani, hogy javítsa a kiberfenyegetések nyomon követését, észlelését és elemzését, megelőzze az eseményeket és támogassa a kiberfenyegetettség felderítés előállítását, különösen a releváns és adott esetben anonimizált adatok és információk cseréje, valamint a legkorszerűbb eszközök megosztása, valamint a kiberészlelési, -elemzési, valamint -megelőzési és -védelmi képességek megbízható környezetben történő közös fejlesztése révén.
(5) A határokon átnyúló kiberközpont jogi képviseletét a megfelelő üzemeltetési konzorcium koordinátorként eljáró tagja, vagy az üzemeltetési konzorcium látja el, amennyiben az jogi személyiséggel rendelkezik. A határokon átnyúló kiberközpont e rendeletnek és az üzemeltetési és használati megállapodásnak való megfeleléséért viselt felelősséget a (3) bekezdésben említett írásbeli konzorciumi megállapodásban kell elosztani.
(6) A tagállamok az üzemeltetési konzorcium tagjainak beleegyezésével csatlakozhatnak egy meglévő üzemeltetési konzorciumhoz. A (3) bekezdésben említett írásbeli konzorciumi megállapodást, valamint az üzemeltetési és használati megállapodást ennek megfelelően módosítani kell. Ez nem érinti az Európai Kiberbiztonsági Ipari, Technológiai és Kutatási Kompetenciaközpontnak (a továbbiakban: ECCC) az említett üzemeltetési konzorciummal már közösen beszerzett eszközök, infrastruktúrák vagy szolgáltatások feletti tulajdonjogát.
6. cikk
Együttműködés és információmegosztás a határokon átnyúló kiberközpontokon belül és azok között
(1) Az üzemeltetési konzorcium tagjai biztosítják, hogy nemzeti kiberközpontjaik egymás között a határokon átnyúló kiberközponton belül - az 5. cikk (3) bekezdésében említett írésbeli konzorciumi megállapodással összhangban - releváns, adott esetben anonimizált információkat osszanak meg, így a kiberfenyegetésekre, a majdnem bekövetkezett eseményekre, a sebezhetőségekre, a technikákra és eljárásokra, a fertőzöttségi mutatókra, az ellenséges taktikákra vonatkozó információkat, az elkövetővel kapcsolatos információkat, a kiberbiztonsági figyelmeztetéseket, valamint a kibertámadások észlelésére szolgáló biztonságieszköz-konfigurációkra vonatkozó ajánlásokat, amennyiben az említett információmegosztás:
a) előmozdítja és fokozza a kiberfenyegetések észlelését, és megerősíti a CSIRT-ek hálózatának a biztonsági események megelőzésére és az azokra való reagálásra, illetve azok hatásainak mérséklésére irányuló képességeit;
b) növeli a kiberbiztonság szintjét, például azáltal, hogy felhívja a figyelmet a kiberfenyegetésekre, korlátozza vagy gátolja az ilyen fenyegetések terjedési képességét, támogatja a védelmi képességek széles skáláját, a sebezhetőség elhárítását és nyilvánosságra hozatalát, a fenyegetésészlelési, -korlátozási és -megelőzési technikákat, a mérséklési stratégiákat, az elhárítási és helyreállítási szakaszt, vagy előmozdítja az állami szervek és magánszervezetek közötti együttműködésen alapuló, kiberfenyegetésekkel kapcsolatos kutatásokat.
(2) Az 5. cikk (3) bekezdésében említett írásbeli konzorciumi megállapodásban meg kell állapítani a következőket:
a) az (1) bekezdésben említett információknak az üzemeltetési konzorcium tagjai közötti megosztására vonatkozó kötelezettségvállalás, valamint az említett információk megosztásának feltételei;
b) egy irányítási keret, amely tisztázza és ösztönzi az (1) bekezdésben említett releváns és adott esetben anonimizált információk valamennyi résztvevő általi megosztását;
c) a fejlett eszközök és technológiák, így mesterséges intelligencia és adatelemzést szolgáló eszközök fejlesztéséhez való hozzájárulásra vonatkozó célértékek.
Az írásbeli konzorciumi megállapodás előírhatja, hogy az (1) bekezdésben említett információkat az uniós és a nemzeti joggal összhangban kell megosztani.
(3) A határokon átnyúló kiberközpontok együttműködési megállapodásokat kötnek egymással, amelyekben meghatározzák a határokon átnyúló kiberközpontok közötti interoperabilitás és információmegosztás elveit. A határokon átnyúló kiberközpontok tájékoztatják a Bizottságot a megkötött együttműködési megállapodásokról.
(4) A határokon átnyúló kiberközpontok közötti, az (1) bekezdésben említett információmegosztást magas szintű interoperabilitással kell biztosítani. Az ilyen interoperabilitás támogatása érdekében az ENISA - a Bizottsággal szorosan konzultálva - indokolatlan késedelem nélkül, és mindenféleképpen 2026. február 5-ig, interoperabilitási iránymutatásokat bocsát ki, amelyekben meghatározza különösen az információmegosztás formátumait és protokolljait, figyelembe véve a nemzetközi szabványokat és bevált gyakorlatokat, valamint a létrehozott, határokon átnyúló kiberközpontok működését. A határokon átnyúló kiberközpontok együttműködési megállapodásaiban előírt interoperabilitási követelményeknek az ENISA által kiadott iránymutatásokon kell alapulniuk.
7. cikk
Együttműködés és információmegosztás az uniós szintű hálózatokkal
(1) A határokon átnyúló kiberközpontoknak és a CSIRT-hálózatnak szorosan együtt kell működniük, különösen az információk megosztása céljából. E célból megállapodnak az együttműködésre és a releváns információk megosztására vonatkozó eljárási szabályokról, valamint - a (2) bekezdés sérelme nélkül - a megosztandó információk típusairól.
(2) Amennyiben a határokon átnyúló kiberközpontok információkhoz jutnak egy potenciális vagy folyamatban lévő nagyszabású kiberbiztonsági eseményről, a közös helyzetismeret céljából biztosítják, hogy a releváns információkat és a korai figyelmeztetéseket az EU-CyCLONe-n és a CSIRT-ek-hálózatán keresztül indokolatlan késedelem nélkül eljuttassák a tagállami hatóságoknak és a Bizottságnak.
8. cikk
Biztonság
(1) Az európai kiberbiztonsági riasztási rendszerben részt vevő tagállamok biztosítják az európai kiberbiztonsági riasztási rendszer magas szintű kiberbiztonságát, beleértve a titoktartást és az adatbiztonságot, valamint az európai kiberbiztonsági riasztási rendszer fizikai biztonságát, valamint biztosítják, hogy a hálózatot megfelelő irányítás és ellenőrzés révén megvédjék a fenyegetésektől, továbbá biztosítják a hálózat és a rendszerek - többek között a hálózaton keresztül megosztott adatok és információk - biztonságát is.
(2) Az Európai Kiberbiztonsági Riasztási Rendszerben részt vevő tagállamok biztosítják, hogy a 6. cikk (1) bekezdésében említett információknak az Európai Kiberbiztonsági Riasztási Rendszeren belüli, valamely tagállam hatóságától vagy szervétől eltérő szervezettel való megosztása ne érintse hátrányosan az Unió vagy a tagállamok biztonsági érdekeit.
9. cikk
Az Európai Kiberbiztonsági Riasztási Rendszer finanszírozása
(1) Az Európai Kiberbiztonsági Riasztási Rendszerben részt venni kívánó tagállamoknak szóló, részvételi szándék kifejezésére való felhívást követően az ECCC kiválasztja a tagállamokat, hogy az ECCC-vel részt vegyenek az eszközök, az infrastruktúra vagy a szolgáltatások közös beszerzésében, a 4. cikk (1) bekezdése szerint kijelölt vagy létrehozott nemzeti kiberközpontok létrehozása, vagy képességeinek javítása érdekében. Az ECCC vissza nem térítendő támogatást ítélhet oda a kiválasztott tagállamoknak ezen eszközök, infrastruktúrák vagy szolgáltatások működésének finanszírozására. Az uniós pénzügyi hozzájárulás az eszközök, infrastruktúrák vagy szolgáltatások beszerzési költségeinek legfeljebb 50 %-át és a működési költségek legfeljebb 50 %-át fedezi. A fennmaradó költségeket a kiválasztott tagállamok fedezik. Az eszközök, infrastruktúrák vagy szolgáltatások beszerzésére irányuló eljárás megindítása előtt az ECCC és a kiválasztott tagállamok az eszközök, infrastruktúrák vagy szolgáltatások használatát szabályozó üzemeltetési és használati megállapodást kötnek.
(2) Ha egy tagállam nemzeti kiberközpontja az eszközök, infrastruktúrák vagy szolgáltatások beszerzésének vagy vissza nem térítendő támogatásban való részesülésének időpontjától számított két éven belül - attól függően, hogy melyik következik be korábban - nem vesz részt egy határokon átnyúló kiberközpontban, a tagállam mindaddig nem jogosult további uniós támogatásra e fejezet alapján, amíg nem csatlakozott egy határokon átnyúló kiberközponthoz.
(3) Az ECCC részvételi szándék kifejezésére való felhívást követően választja ki azt az üzemeltetési konzorciumot, amely részt vesz az eszközök, infrastruktúrák vagy szolgáltatások ECCC-vel közös beszerzésében. Az ECCC vissza nem térítendő támogatást ítélhet oda az üzemeltetési konzorciumnak az eszközök, infrastruktúrák vagy szolgáltatások működésének finanszírozására. Az uniós pénzügyi hozzájárulás az eszközök, infrastruktúrák vagy szolgáltatások beszerzési költségeinek legfeljebb 75 %-át és a működési költségek legfeljebb 50 %-át fedezi. A fennmaradó költségeket az üzemeltetési konzorcium fedezi. Az eszközök, infrastruktúrák vagy szolgáltatások beszerzésére irányuló eljárás megindítása előtt az ECCC és az üzemeltetési konzorcium az eszközök, infrastruktúrák vagy szolgáltatások használatát szabályozó üzemeltetési és használati megállapodást köt.
(4) Az ECCC legalább kétévente feltérképezi a nemzeti kiberközpontok és a határokon átnyúló kiberközpontok létrehozásához vagy képességeinek fejlesztéséhez szükséges és megfelelő minőségű eszközöket, infrastruktúrákat vagy szolgáltatásokat, valamint azok rendelkezésre állását, többek között a tagállamokban letelepedett vagy letelepedettnek tekintett és a tagállamok vagy a tagállamok állampolgárai által ellenőrzött jogalanyok részéről. A feltérképezés előkészítése során az ECCC konzultál a CSIRT-es hálózatával, mindegyik határokon átnyúló kiberközponttal, az ENISA-val és a Bizottsággal.
III. FEJEZET
KIBERBIZTONSÁGI VÉSZHELYZETI MECHANIZMUS
10. cikk
A kiberbiztonsági vészhelyzeti mechanizmus létrehozása
(1) Létrejön egy kiberbiztonsági vészhelyzeti mechanizmus, amelynek célja az Unió kiberfenyegetésekkel szembeni ellenálló képessége javításának támogatása, valamint a szolidaritás szellemében a jelentős, a nagyszabású és a nagyszabásúval egyenértékű kiberbiztonsági események rövid távú hatásaira való felkészülés és e hatások mérséklése.
(2) A tagállamok esetében a kiberbiztonsági vészhelyzeti mechanizmus szerinti intézkedéseket kérésre kell biztosítani, és azoknak ki kell egészíteniük az eseményekre való felkészülésre, az azokra való reagálásra és az azokat követő helyreállításra irányuló tagállami erőfeszítéseket és intézkedéseket.
(3) A kiberbiztonsági vészhelyzeti mechanizmust végrehajtó intézkedéseket a Digitális Európa programból nyújtott finanszírozással kell támogatni, és az (EU) 2021/694 rendelettel, különösen annak 3. egyedi célkitűzésével összhangban kell végrehajtani.
(4) A kiberbiztonsági vészhelyzeti mechanizmus keretében végrehajtott intézkedéseket elsősorban az ECCC-n keresztül kell végrehajtani az (EU) 2021/887 rendelettel összhangban. Az e rendelet 11. cikkének b) pontjában említett uniós kiberbiztonsági tartalékot végrehajtó intézkedéseket azonban a Bizottságnak és az ENISA-nak kell végrehajtania.
11. cikk
Intézkedéstípusok
A kiberbiztonsági vészhelyzeti mechanizmus a következő intézkedéstípusokat támogatja:
a) készültségi intézkedések, nevezetesen:
i. a 12. cikkben meghatározottak szerint Unió-szerte a kiemelten kritikus ágazatokban működő szervezetek összehangolt készültségi tesztelése;
ii. a 13. cikkben meghatározottak szerint a kiemelten kritikus ágazatokban vagy egyéb kritikus ágazatokban működő szervezetekre vonatkozó egyéb készültségi intézkedések;
b) a jelentős, a nagyszabású és a nagyszabásúval egyenértékű kiberbiztonsági eseményekre való reagálást és az azokat követő helyreállítást megkezdő intézkedések, amelyeket a 14. cikk alapján létrehozott uniós kiberbiztonsági tartalékban részt vevő, megbízható irányított biztonsági szolgáltatók biztosítanak;
c) a 18. cikkben említett kölcsönös segítségnyújtást támogató intézkedések.
12. cikk
A szervezetek összehangolt készültségi tesztelése
(1) A kiberbiztonsági vészhelyzeti mechanizmus támogatja a kiemelten kritikus ágazatokban működő szervezetek önkéntes összehangolt készültségi tesztelését.
(2) Az összehangolt készültségi tesztelés magában foglalhat készültségi tevékenységeket, például behatolási tesztelést és fenyegetésértékelést.
(3) Az e cikk szerinti készültségi intézkedések támogatását elsősorban vissza nem térítendő támogatások formájában és az (EU) 2021/694 rendelet 24. cikkében említett vonatkozó munkaprogramokban előírt feltételek mellett kell nyújtani a tagállamok számára.
(4) A szervezetek e rendelet 10. cikke a) pontjának i. alpontjában említett összehangolt készültségi tesztelésének Unió-szerte történő támogatása céljából a Bizottság a Kiberbiztonsági Együttműködési Csoporttal, az EU-CyCLONe-vel és az ENISA-val folytatott konzultációt követően azonosítja az (EU) 2022/2555 irányelv I. mellékletében felsorolt kiemelten kritikus ágazatokon belüli érintett ágazatokat vagy alágazatokat, amelyekre vonatkozóan támogatás odaítélésére vonatkozó pályázati felhívás bocsátható ki. A tagállamok önkéntes alapon vesznek részt az említett pályázatokon.
(5) A (4) bekezdésben említett ágazatok vagy alágazatok azonosítása során a Bizottság figyelembe veszi az uniós szintű össszehangolt kockázatértékeléseket és rezilienciateszteléseket, valamint azok eredményeit.
(6) A Kiberbiztonsági Együttműködési Csoport a Bizottsággal, az Unió külügyi és biztonságpolitikai főképviselőjével (a továbbiakban: a főképviselő) és az ENISA-val, valamint megbízatásának keretein belül az EU-CyCLONe-nal együttműködve közös kockázati forgatókönyveket és módszereket dolgoz ki a 11. cikk a) pontjának i. alpontjában említett összehangolt készültségi teszteléshez, valamint adott esetben az említett cikk a) pontjának ii. alpontjában említett egyéb készültségi intézkedésekhez.
(7) Amennyiben egy kiemelten kritikus ágazatban működő szervezet önkéntesen vesz részt összehangolt készültségi tesztelésben, és ez a tesztelés olyan konkrét intézkedésekre vonatkozó ajánlásokat eredményez, amelyeket a résztvevő szervezet belefoglalhat a helyreállítási tervbe, az összehangolt készültségi tesztelésért felelős tagállami hatóságnak adott esetben felül kell vizsgálnia az említett intézkedések részt vevő szervezetek általi nyomon követését a felkészültség megerősítése érdekében.
13. cikk
Egyéb készültségi intézkedések
(1) A kiberbiztonsági vészhelyzeti mechanizmus támogatja a 12. cikk hatálya alá nem tartozó készültségi intézkedéseket. Ezeknek a készültségi intézkedéseknek magukban kell foglalniuk a 12. cikk szerinti összehangolt készültségi tesztelés szempontjából nem azonosított ágazatokban működő szervezetekre vonatkozó készültségi intézkedéseket. Ezek az intézkedések támogathatják a sebezhetőség nyomon követését, a kockázatok nyomon követését, a gyakorlatokat és a képzéseket.
(2) Az e cikk szerinti készültségi intézkedésekhez nyújtott támogatást kérésre és elsősorban vissza nem térítendő támogatások formájában, valamint az (EU) 2021/694 rendelet 24. cikkében említett vonatkozó munkaprogramokban előírt feltételek mellett kell nyújtani a tagállamok számára.
14. cikk
Az uniós kiberbiztonsági tartalék létrehozása
(1) Létre kell hozni az uniós kiberbiztonsági tartalékot annak érdekében, hogy a jelentős, a nagyszabású vagy a nagyszabásúval egyenértékű kiberbiztonsági események alkalmával a (3) bekezdésben említett felhasználók kérésre segítséget kapjanak a reagáláshoz vagy a reagálás támogatásához, valamint az ilyen eseményeket követő azonnali helyreállítás megkezdéséhez.
(2) Az uniós kiberbiztonsági tartalék a 17. cikk (2) bekezdésében meghatározott kritériumoknak megfelelően kiválasztott, megbízható irányított biztonsági szolgáltatók reagálási szolgáltatásaiból áll össze. Az uniós kiberbiztonsági tartalék előzetes kötelezettségvállalás keretében rendelkezésre bocsátott szolgáltatásokat tartalmazhat. A megbízható irányított biztonsági szolgáltató előzetesen rendelkezésre bocsátott szolgáltatásait - amikor ezeket az előzetesen rendelkezésre bocsátott szolgáltatásokat az előzetes kötelezettségvállalás keretében történő rendelkezésre bocsátás ideje alatt nem használják fel eseményekre való reagálásra - az események megelőzésével és az azokra való reagálással kapcsolatos felkészültségi szolgáltatásokká alakíthatóvá kell tenni. Az uniós kiberbiztonsági tartalék kérésre felhasználható valamennyi tagállamban, uniós intézményben, szervben, hivatalban és ügynökségben, valamint a 19. cikk (1) bekezdésében említett, a Digitális Európa programhoz társult harmadik országokban.
(3) Az uniós kiberbiztonsági tartalék által nyújtott szolgáltatások felhasználói az alábbiak:
a) a tagállamok az (EU) 2022/2555 irányelv 9. cikkének (1) és (2) bekezdésében említett kiberválságok kezelésével foglalkozó hatóságai és az említett irányelv 10. cikkében említett CSIRT-ek;
b) a CERT-EU, az (EU, Euratom) 2023/2841 rendelet 13. cikkének megfelelően;
c) a Digitális Európa programhoz társult harmadik országok illetékes hatóságai, például a számítógép-biztonsági eseményekre reagáló csoportok és a kiberválságok kezelésével foglalkozó hatóságok a 19. cikk (8) bekezdésével összhangban.
(4) A Bizottság általános felelősséggel tartozik az uniós kiberbiztonsági tartalék végrehajtásáért. A Bizottság a Kiberbiztonsági Együttműködési Csoporttal egyeztetve és a (3) bekezdésben említett felhasználók igényeivel összhangban határozza meg az uniós kiberbiztonsági tartalék prioritásait és alakulását, továbbá felügyeli annak végrehajtását, és biztosítja az e rendelet szerinti egyéb támogatási intézkedésekkel, valamint az egyéb uniós intézkedésekkel és programokkal való kiegészítő jelleget, következetességet, szinergiákat és kapcsolatokat. Ezeket a prioritásokat kétévente felül kell vizsgálni és adott esetben ellenőrizni kell. A Bizottság tájékoztatja az Európai Parlamentet és a Tanácsot ezekről a prioritásokról és azok felülvizsgálatáról.
(5) Az e cikk (4) bekezdésében említett, az uniós kiberbiztonsági tartalék végrehajtására vonatkozó átfogó bizottsági felelősség sérelme nélkül és az (EU, Euratom) 2024/2509 rendelet 2. cikkének 19. pontjában meghatározottak szerinti hozzájárulási megállapodás függvényében a Bizottság az uniós kiberbiztonsági tartalék működtetésével és igazgatásával részben vagy egészben az ENISA-t bízza meg. Az ENISA-ra nem bízott szempontok továbbra is a Bizottság közvetlen irányítása alá tartoznak.
(6) Az ENISA legalább kétévente feltérképezi az e cikk (3) bekezdésének a) és b) pontjában említett felhasználók számára szükséges szolgáltatásokat. A feltérképezésnek magában kell foglalnia az ilyen szolgáltatások elérhetőségét is, beleértve a tagállamokban letelepedett vagy letelepedettnek tekintett és a tagállamok vagy a tagállamok állampolgárai által ellenőrzött jogalanyok részéről. E rendelkezésre állás feltérképezése során az ENISA értékeli az uniós kiberbiztonsági munkaerőnek az uniós kiberbiztonsági tartalék célkitűzései szempontjából releváns készségeit és kapacitását. A feltérképezés során az ENISA konzultál a Kiberbiztonsági Együttműködési Csoporttal, az EU-CyCLONe-nal, a Bizottsággal és adott esetben az (EU, Euratom) 2023/2841 rendelet 10. cikkével létrehozott Intézményközi Kiberbiztonsági Testülettel (a továbbiakban: az IICB). A szolgáltatások rendelkezésre állásának feltérképezése során az ENISA-nak konzultálnia kell a kiberbiztonsági ágazat érintett érdekelt feleivel, beleértve az irányított biztonsági szolgáltatókat is. Az ENISA hasonló feltérképezést készít, miután tájékoztatta a Tanácsot, valamint konzultált az EU-CyCLONe-nal, a Bizottsággal és adott esetben a főképviselővel, hogy azonosítsa az e cikk (3) bekezdésének c) pontjában említett felhasználók igényeit.
(7) A Bizottság felhatalmazást kap arra, hogy a 23. cikknek megfelelően felhatalmazáson alapuló jogi aktusokat fogadjon el abból a célból, hogy kiegészítse ezt a rendeletet az uniós kiberbiztonsági tartalékhoz szükséges reagálási szolgáltatások típusainak és számának meghatározása révén. E felhatalmazáson alapuló jogi aktusok előkészítése során a Bizottság figyelembe veszi az e cikk (6) bekezdésében említett feltérképezést, valamint megoszthatja a tanácsokat és együttműködhet a Kiberbiztonsági Együttműködési Csoporttal és az ENISA-val.
15. cikk
Az uniós kiberbiztonsági tartalékból nyújtott támogatás iránti kérelmek
(1) A 14. cikk (3) bekezdésében említett felhasználók szolgáltatásokat kérhetnek az uniós kiberbiztonsági tartalékból a jelentős, a nagyszabású vagy a nagyszabásúval egyenértékű kiberbiztonsági eseményekre való reagálás és az azokat követő helyreállítás megkezdésének támogatása érdekében.
(2) Ahhoz, hogy az uniós kiberbiztonsági tartalékból támogatásban részesüljenek, a 14. cikk (3) bekezdésében említett felhasználók minden megfelelő intézkedést megtesznek azon esemény hatásainak mérséklése érdekében, amelyre a támogatást kérik, beleértve adott esetben a közvetlen technikai segítségnyújtást, valamint az eseményre való reagálást segítő egyéb források nyújtását, valamint a helyreállítási erőfeszítéseket.
(3) A támogatási kérelmeket a következő módon kell továbbítani az ajánlatkérő szervnek:
a) az e rendelet 14. cikke (3) bekezdésének a) pontjában említett felhasználók esetében az (EU) 2022/2555 irányelv 8. cikkének (3) bekezdése szerint kijelölt vagy létrehozott egyedüli kapcsolattartó ponton keresztül;
b) a 14. cikk (3) bekezdésének b) pontjában említett felhasználó esetében a felhasználó által;
c) a 14. cikk (3) bekezdésének c) pontjában említett felhasználók esetében a 19. cikk (9) bekezdésében említett egyedüli kapcsolattartó ponton keresztül.
(4) A 14. cikk (3) bekezdésének a) pontjában említett felhasználók kérelmei esetében a tagállamok tájékoztatják a CSIRT-ek hálózatát és adott esetben az EU-CyCLONe-t felhasználóiknak az e cikk szerinti eseményekre való reagáláshoz és helyreállítás megkezdéséhez támogatást igénylő kérelmeiről.
(5) Az eseményekre való reagáláshoz és a helyreállítás megkezdéséhez támogatást igénylő kérelmek a következőket tartalmazzák:
a) megfelelő információk az érintett szervezetről és az eseménynek a következőkre gyakorolt lehetséges hatásairól:
i. a 14. cikk (3) bekezdésének a) pontjában említett felhasználók esetében az érintett tagállamok és felhasználók, beleértve a más tagállamba való továbbgyűrűzés kockázatát is;
ii. a 14. cikk (3) bekezdésének b) pontjában említett felhasználó esetében az érintett uniós intézmények, szervek, hivatalok vagy ügynökségek;
iii. a 14. cikk (3) bekezdésének c) pontjában említett felhasználók esetében az érintett, a Digitális Európa programhoz társult országok;
b) a kért szolgáltatásra vonatkozó információk a kért támogatás tervezett felhasználásával együtt, beleértve a becsült igények megjelölését is;
c) a (2) bekezdésben említett, a támogatás iránti kérelem tárgyát képező esemény hatásainak mérséklése érdekében hozott intézkedésekre vonatkozó megfelelő információk;
d) adott esetben az érintett szervezet rendelkezésére álló egyéb támogatási formákra vonatkozó, rendelkezésre álló információk.
(6) Az ENISA a Bizottsággal és az EU-CyCLONe-nal együttműködve mintát dolgoz ki az uniós kiberbiztonsági tartalékból nyújtott támogatás iránti kérelmek benyújtásának megkönnyítésére.
(7) A Bizottság végrehajtási jogi aktusok útján részletesen meghatározhatja az arra vonatkozó részletes eljárási szabályokat, hogy az uniós kiberbiztonsági tartalék támogató szolgáltatásait hogyan kell kérni és azokra hogyan kell reagálni az e cikk, a 16. cikk (1) bekezdése és a 19. cikk (10) bekezdése értelmében, beleértve a kérelmek benyújtására és a válaszok adására, valamint a 16. cikk (9) bekezdésében említett jelentések mintáira vonatkozó szabályokat. Ezeket a végrehajtási jogi aktusokat a 24. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
16. cikk
Az uniós kiberbiztonsági tartalékból nyújtott támogatás végrehajtása
(1) A 14. cikk (3) bekezdésének a) és b) pontjában említett felhasználók kérelmei esetében az ajánlatkérő szerv értékeli az uniós kiberbiztonsági tartalékból származó támogatás iránti kérelmeket. A támogatás hatékonyságának biztosítása érdekében a 14. cikk (3) bekezdésének a) és b) pontjában említett felhasználóknak haladéktalanul, de legkésőbb a kérelem benyújtásától számított 48 órán belül választ kell küldeni. Az ajánlatkérő szerv tájékoztatja a Tanácsot és a Bizottságot a folyamat eredményeiről.
(2) Az uniós kiberbiztonsági tartalék szolgáltatásainak kérelmezése és nyújtása során megosztott információk tekintetében az e rendelet alkalmazásában részt vevő valamennyi fél:
a) ezen információk felhasználását és megosztását az e rendelet szerinti kötelezettségei vagy funkciói teljesítéséhez szükséges mértékre korlátozza;
b) az uniós és a nemzeti jog alapján bizalmas vagy minősített információkat kizárólag az említett jognak megfelelően használhat fel és oszthat meg; és
c) biztosítja az eredményes, hatékony és biztonságos információcserét, adott esetben a vonatkozó információmegosztási protokollok, köztük a TLP-protokoll használata és tiszteletben tartása révén.
(3) A 16. cikk (1) bekezdése és a 19. cikk (10) bekezdése szerinti egyedi kérelmek elbírálása során az ajánlatkérő szerv vagy adott esetben a Bizottság először azt értékeli, hogy teljesülnek-e a 15. cikk (1) és (2) bekezdésében említett kritériumok. Amennyiben igen, értékeli a támogatás megfelelő időtartamát és jellegét, figyelembe véve az 1. cikk (3) bekezdésének b) pontjában említett célkitűzést és adott esetben a következő kritériumokat:
a) az esemény nagyságrendje és súlyossága;
b) az érintett szervezet típusa, e tekintetben nagyobb prioritást élveznek az (EU) 2022/2555 irányelv 3. cikkének (1) bekezdésében említett alapvető szervezeteket érintő események;
c) az eseménynek az érintett tagállamokra, uniós intézményekre, szervekre, hivatalokra vagy ügynökségekre, vagy a Digitális Európa Programhoz társult harmadik országokra gyakorolt lehetséges hatása;
d) a kiberbiztonsági esemény lehetséges határokon átnyúló jellege és annak kockázata, hogy tovagyűrűzhet más tagállamokra, uniós intézményekre, szervekre, hivatalokra vagy ügynökségekre, vagy a Digitális Európa Programhoz társult harmadik országokra;
e) a felhasználó által a reagálás támogatása érdekében hozott intézkedések és a helyreállítás megkezdésére irányuló erőfeszítések a 15. cikk (2) bekezdésében említettek szerint.
(4) A kérelmek rangsorolása érdekében a 14. cikk (3) bekezdésében említett felhasználóktól érkező párhuzamos kérelmek esetében figyelembe kell venni az e cikk (3) bekezdésében említett kritériumokat, adott esetben a tagállamok és az uniós intézmények, szervek, hivatalok és ügynökségek közötti lojális együttműködés elvének sérelme nélkül. Amennyiben az említett kritériumok alapján két vagy több kérelem egyenlőnek minősül, nagyobb prioritást kell biztosítani a tagállami felhasználók kérelmeinek. Amennyiben a 14. cikk (5) bekezdése szerint az uniós kiberbiztonsági tartalék működtetésével és igazgatásával részben vagy egészben az ENISA-t bízták meg, az ENISA és a Bizottság szorosan együttműködik a kérelmek e bekezdéssel összhangban történő rangsorolása érdekében.
(5) Az uniós kiberbiztonsági tartalék szolgáltatásait a megbízható irányított biztonsági szolgáltató és az uniós kiberbiztonsági tartalékból támogatásban részesülő felhasználó közötti egyedi megállapodásokkal összhangban kell nyújtani. Ezek a szolgáltatások a megbízható irányított biztonsági szolgáltató, a felhasználó és az érintett szervezet közötti egyedi megállapodásokkal összhangban nyújthatók. Az e bekezdésben említett valamennyi megállapodásnak tartalmaznia kell többek között a felelősségre vonatkozó feltételeket.
(6) Az (5) bekezdésben említett megállapodásoknak az ENISA által a tagállamokkal és adott esetben az uniós kiberbiztonsági tartalék egyéb felhasználóival folytatott konzultációt követően készített mintákon kell alapulniuk.
(7) A Bizottság, az ENISA és az uniós kiberbiztonsági tartalék felhasználói nem viselnek szerződéses felelősséget az uniós kiberbiztonsági tartalék végrehajtása keretében nyújtott szolgáltatások nyomán harmadik feleknek okozott kárért.
(8) A felhasználók az uniós kiberbiztonsági tartalék 15. cikk (1) bekezdése szerinti kérésre nyújtott szolgáltatásait kizárólag a jelentős, a nagyszabású vagy a nagyszabásúval egyenértékű kiberbiztonsági eseményekre való reagálás támogatása és az azokat követő helyreállítás megkezdése céljából vehetik igénybe. Ezeket a szolgáltatásokat csak a következők tekintetében vehetik igénybe:
a) a 14. cikk (3) bekezdésének a) pontjában említett felhasználók esetében a kiemelten kritikus ágazatokban vagy egyéb kritikus ágazatokban működő szervezetek, a 14. cikk (3) bekezdésének c) pontjában említett felhasználók esetében pedig az egyenértékű szervezetek; és
b) a 14. cikk (3) bekezdésének b) pontjában említett felhasználó esetében az uniós intézmények, szervek, hivatalok és ügynökségek.
(9) Valamely támogatás végét követő két hónapon belül a támogatást kapott felhasználók összefoglaló jelentést bocsátanak rendelkezésre a nyújtott szolgáltatásról, az elért eredményekről és a levont tanulságokról, a következőknek:
a) a 14. cikk (3) bekezdésének a) pontjában említett felhasználók esetében a Bizottságnak, az ENISA-nak, a CSIRT-ek hálózatának és az EU-CyCLONe-nak;
b) a 14. cikk (3) bekezdésének b) pontjában említett felhasználó esetében a Bizottságnak, az ENISA-nak és az IICB-nek;
c) a 14. cikk (3) bekezdésének c) pontjában említett felhasználók esetében a Bizottságnak.
A Bizottság az e bekezdés első albekezdésének c) pontja szerint a 14. cikk (3) bekezdésében említett felhasználóktól kapott összefoglaló jelentést továbbítja a Tanácsnak és a főképviselőnek.
(10) Amennyiben e rendelet 14. cikkének (5) bekezdése szerint az uniós kiberbiztonsági tartalék működtetésével és igazgatásával részben vagy egészben az ENISA-t bízták meg, az ENISA e tekintetben rendszeresen jelentést tesz a Bizottságnak és konzultál azzal. Ezzel összefüggésben az ENISA haladéktalanul elküldi a Bizottságnak az e rendelet 14. cikke (3) bekezdésének c) pontjában említett felhasználóktól kapott kérelmeket, valamint - amennyiben az e cikk szerinti rangsorolás céljából szükséges - az e rendelet 14. cikke (3) bekezdésének a) vagy b) pontjában említett felhasználóktól kapott kérelmeket. Az e bekezdésben foglalt kötelezettségek nem érintik az (EU) 2019/881 rendelet 14. cikkét.
(11) A 14. cikk (3) bekezdésének a) és b) pontjában említett felhasználók esetében az ajánlatkérő szerv rendszeresen, de legalább évente kétszer jelentést tesz a Kiberbiztonsági Együttműködési Csoportnak a támogatás felhasználásáról és eredményeiről.
(12) A 14. cikk (3) bekezdésének c) pontjában említett felhasználók esetében a Bizottság rendszeresen, de legalább évente kétszer jelentést tesz a Tanácsnak, és tájékoztatja a főképviselőt a támogatás felhasználásáról és eredményeiről.
17. cikk
Megbízható irányított biztonsági szolgáltatók
(1) Az uniós kiberbiztonsági tartalék létrehozását célzó közbeszerzési eljárások során az ajánlatkérő szerv az (EU, Euratom) 2024/2509 rendeletben meghatározott elvekkel és a következő elvekkel összhangban jár el:
a) biztosítja, hogy az uniós kiberbiztonsági tartalékba tartozó szolgáltatások összességükben olyan jellegűek legyenek, hogy az uniós kiberbiztonsági tartalék olyan szolgáltatásokat foglaljon magában, amelyek valamennyi tagállamban igénybe vehetők, figyelembe véve különösen az ilyen szolgáltatások nyújtására vonatkozó nemzeti követelményeket, például a nyelvekre, a tanúsításra vagy az akkreditációra vonatkozóan;
b) biztosítja az Unió és tagállamai alapvető biztonsági érdekeinek védelmét;
c) biztosítja, hogy az uniós kiberbiztonsági tartalék uniós hozzáadott értéket képviseljen azáltal, hogy hozzájárul az (EU) 2021/694 rendelet 3. cikkében meghatározott célkitűzésekhez, így többek között előmozdítsa a kiberbiztonsági készségek fejlesztését az Unióban.
(2) Az uniós kiberbiztonsági tartalékhoz kapcsolódó szolgáltatások beszerzése során az ajánlatkérő szervnek a következő kritériumokat és követelményeket kell belefoglalnia a közbeszerzési dokumentumokba:
a) a szolgáltatónak bizonyítania kell, hogy személyzete a saját területén a legmagasabb szintű szakmai feddhetetlenséggel, függetlenséggel, felelősséggel és az adott területén a tevékenységek elvégzéséhez szükséges műszaki szakértelemmel rendelkezik, továbbá biztosítania kell a szakértelem állandóságát és folytonosságát, valamint a szükséges technikai erőforrásokat;
b) a szolgáltatónak, valamint az érintett leányvállalatoknak és alvállalkozóknak meg kell felelniük a minősített adatok védelmére vonatkozó alkalmazandó szabályoknak, és megfelelő intézkedésekkel kell rendelkezniük - beleértve adott esetben az egymás közötti megállapodásokat is - a szolgáltatással kapcsolatos bizalmas információk, különösen a bizonyítékok, megállapítások és jelentések védelme érdekében;
c) a szolgáltatónak elegendő bizonyítékot kell szolgáltatnia arra vonatkozóan, hogy irányítási struktúrája átlátható, és valószínűleg nem veszélyezteti pártatlanságát és szolgáltatásai minőségét, és nem okoz összeférhetetlenséget;
d) a szolgáltatónak megfelelő biztonsági tanúsítvánnyal kell rendelkeznie, legalább azon személyek tekintetében, akiket a szolgáltatásnyújtásban alkalmazni kíván, amennyiben azt valamely tagállam megköveteli;
e) a szolgáltatónak megfelelő biztonsági szintű informatikai rendszerekkel kell rendelkeznie;
f) a szolgáltatónak rendelkeznie kell a kért szolgáltatáshoz szükséges hardverrel és szoftverrel, amely nem tartalmazhat ismert kihasználható sebezhetőségeket, tartalmazza a legújabb biztonsági frissítéseket, és minden esetben meg kell felelnie az (EU) 2024/2847 európai parlamenti és tanácsi rendelet ( 2 ) alkalmazandó rendelkezéseinek;
g) a szolgáltatónak bizonyítékot kell szolgáltatnia arra vonatkozóan, hogy tapasztalattal rendelkezik az érintett nemzeti hatóságoknak, illetve a kiemelten kritikus ágazatokban vagy egyéb kritikus ágazatokban működő szervezeteknek nyújtott hasonló szolgáltatások terén;
h) a szolgáltatónak képesnek kell lennie arra, hogy a szolgáltatást rövid időn belül nyújtsa azokban a tagállamokban, ahol a szolgáltatást biztosítani tudja;
i) a szolgáltatónak képesnek kell lennie arra, hogy a szolgáltatást az uniós intézmények vagy valamely tagállam egy vagy több hivatalos nyelvén nyújtsa, amennyiben a tagállamok vagy a 14. cikk (3) bekezdésének b) és c) pontjában említett felhasználók ezt igénylik, amennyiben a szolgáltató a szolgáltatást nyújtani tudja;
j) amint életbe lép az (EU) 2019/881 rendelet szerinti, irányított biztonsági szolgáltatásokra vonatkozó európai kiberbiztonsági tanúsítási rendszer, a szolgáltatónak a rendszer alkalmazása megkezdésének napját követő 2 éven belül az említett rendszerrel összhangban tanúsítást kell szereznie;
k) a szolgáltatónak az ajánlatban fel kell tüntetnie minden olyan fel nem használt, eseményekre való reagálással kapcsolatos szolgáltatás átalakítási feltételeit, amely az eseményre való reagáláshoz szorosan kapcsolódó felkészültségi szolgáltatássá, például gyakorlattá vagy képzéssé alakítható át.
(3) Az uniós kiberbiztonsági tartalékhoz kapcsolódó szolgáltatások beszerzése céljából az ajánlatkérő szerv adott esetben a tagállamokkal szoros együttműködésben a (2) bekezdésben említetteken felül további kritériumokat és követelményeket is kidolgozhat.
18. cikk
A kölcsönös segítségnyújtást támogató intézkedések
(1) A kiberbiztonsági vészhelyzeti mechanizmus támogatást nyújt az egyik tagállam által egy másik, jelentős vagy nagyszabású kiberbiztonsági esemény által érintett tagállamnak történő technikai segítségnyújtáshoz, beleértve az (EU) 2022/2555 irányelv 11. cikke (3) bekezdésének f) pontjában említett eseteket is.
(2) Az e cikk (1) bekezdésében említett kölcsönös technikai segítségnyújtáshoz nyújtott támogatást vissza nem térítendő támogatás formájában és az (EU) 2021/694 rendelet 24. cikkében említett vonatkozó munkaprogramokban előírt feltételek mellett kell nyújtani.
19. cikk
A Digitális Európa programhoz társult harmadik országok számára nyújtott támogatás
(1) A Digitális Európa programhoz társult harmadik ország támogatást kérhet az uniós kiberbiztonsági tartalékból, amennyiben az a megállapodás, amelyen keresztül e harmadik ország a Digitális Európa programhoz társult, az uniós kiberbiztonsági tartalékban való részvételt ír elő. Az említett megállapodásnak olyan rendelkezéseket kell tartalmaznia, amelyek előírják a Digitális Európa programhoz társult érintett harmadik ország számára az e cikk (2) és (9) bekezdésében meghatározott kötelezettségek teljesítését. Egy harmadik országnak az uniós kiberbiztonsági tartalékban való részvétele céljából egy harmadik ország Digitális Európa programhoz való részleges társulása magában foglalhat az (EU) 2021/694 rendelet 6. cikke (1) bekezdésének g) pontjában említett operatív célkitűzésre korlátozódó társulást.
(2) Az (1) bekezdésben említett megállapodás megkötésétől számított 3 hónapon belül, de minden esetben mielőtt a Digitális Európa programhoz társult harmadik ország bármilyen támogatást kapna az uniós kiberbiztonsági tartalékból, tájékoztatja a Bizottságot a kiberellenálló és kockázatkezelési képességeiről, beleértve legalább a jelentős, a nagyszabású vagy a nagyszabásúval egyenértékű kiberbiztonsági eseményekre való felkészülés érdekében hozott nemzeti intézkedésekre vonatkozó információkat, valamint a felelős nemzeti szervezetekre - köztük a számítógép-biztonsági eseményekre reagáló csoportokra vagy azokkal egyenértékű szervezetekre -, azok képességeire és a hozzájuk rendelt erőforrásokra vonatkozó információkat. A Digitális Európa programhoz társult harmadik ország rendszeresen, de legalább évente egyszer naprakésszé teszi ezeket az információkat. A Bizottság a (11) bekezdés alkalmazásának megkönnyítése céljából eljuttatja ezeket az információkat a főképviselőnek és az ENISA-nak.
(3) A Bizottság rendszeresen, de legalább évente egyszer értékeli a következő kritériumokat az (1) bekezdésben említett valamennyi, a Digitális Európa programhoz társult harmadik ország tekintetében:
a) az adott ország megfelel-e az (1) bekezdésben említett megállapodás feltételeinek, amennyiben ezek a feltételek az uniós kiberbiztonsági tartalékban való részvételre vonatkoznak;
b) a (2) bekezdésben említett információk alapján az adott ország megfelelő lépéseket tett-e a jelentős és a nagyszabásúval egyenértékű kiberbiztonsági eseményekre való felkészülés érdekében; és
c) a támogatás nyújtása összhangban van-e az adott országgal kapcsolatos uniós politikával és a vele fenntartott általános kapcsolatokkal, és összhangban van-e más uniós biztonsági politikákkal.
A Bizottság az első albekezdésben említett értékelés során konzultál a főképviselővel az említett albekezdés c) pontjában említett kritérium tekintetében.
Amennyiben a Bizottság arra a következtetésre jut, hogy egy a Digitális Európa programhoz társult harmadik ország teljesíti az első albekezdésben említett valamennyi feltételt, a Bizottság javaslatot nyújt be a Tanácsnak, hogy a (4) bekezdéssel összhangban végrehajtási jogi aktust fogadjon el, amelyben engedélyezi az uniós kiberbiztonsági tartalékból az adott országnak nyújtott támogatást.
(4) A Tanács elfogadhatja a (3) bekezdésben említett végrehajtási jogi aktusokat. Ezek a végrehajtási jogi aktusok legfeljebb egy évig alkalmazandók. E végrehajtási jogi aktusok megújíthatók. E végrehajtási jogi aktusok tartalmazhatnak egy legalább 75 napos felső határt, azon napok számára vonatkozóan, amelyekre egyetlen kérelem alapján támogatás nyújtható.
E cikk alkalmazásában a Tanács késlekedés nélkül jár el, és főszabály szerint a (3) bekezdés harmadik albekezdése szerinti vonatkozó bizottsági javaslat elfogadásától számított nyolc héten belül elfogadja az e bekezdésben említett végrehajtási jogi aktusokat.
(5) A Tanács a Bizottság javaslata alapján eljárva bármikor módosíthatja vagy hatályon kívül helyezheti a (4) bekezdés szerint elfogadott végrehajtási jogi aktust.
Amennyiben a Tanács úgy ítéli meg, hogy a (3) bekezdésharmadik albekezdésének c) pontjában említett kritérium tekintetében jelentős változás következett be, a Tanács egy vagy több tagállam kellően indokolt kezdeményezésére módosíthatja vagy hatályon kívül helyezheti a (4) bekezdés szerint elfogadott végrehajtási jogi aktust.
(6) E cikk szerinti végrehajtási hatásköreinek gyakorlása során a Tanács alkalmazza a (3) bekezdés első albekezdésében említett kritériumokat, és megmagyarázza az említett kritériumokra vonatkozó értékelését. A Tanács különösen abban az esetben, ha az (5) bekezdés második albekezdése alapján saját kezdeményezésére jár el, magyarázatot ad az említett albekezdésben említett jelentős változásra.
(7) Egy a Digitális Európa programhoz társult harmadik ország számára az uniós kiberbiztonsági tartalékból nyújtott támogatásnak meg kell felelnie az (1) bekezdésben említett megállapodásban meghatározott egyedi feltételeknek.
(8) Az uniós kiberbiztonsági tartalék szolgáltatásainak igénybevételére jogosult, a Digitális Európa programhoz társult harmadik ország felhasználói közé tartoznak az illetékes hatóságok, például a számítógép-biztonsági eseményekre reagáló csoportok vagy az azokkal egyenértékű szervezetek és a kiberválságok kezelésével foglalkozó hatóságok.
(9) Az uniós kiberbiztonsági tartalékból támogatásra jogosult minden egyes, a Digitális Európa programhoz társult harmadik ország kijelöl egy hatóságot, amely e rendelet alkalmazásában egyedüli kapcsolattartó pontként jár el.
(10) Az e cikk szerinti, az uniós kiberbiztonsági tartalékból származó támogatás iránti kérelmeket a Bizottság értékeli. Az ajánlatkérő szerv csak akkor és addig nyújthat támogatást harmadik országnak, ha és amíg az adott ország tekintetében az e cikk (4) bekezdése szerint elfogadott, ilyen támogatást engedélyező tanácsi végrehajtási jogi aktus hatályban van. A választ indokolatlan késedelem nélkül továbbítani kell a 14. cikk (3) bekezdésének c) pontjában említett felhasználóknak.
(11) Az e cikk szerinti támogatás iránti kérelem kézhezvételét követően a Bizottság haladéktalanul tájékoztatja a Tanácsot. A Bizottság folyamatosan tájékoztatja a Tanácsot a kérelem értékeléséről. A Bizottság emellett együttműködik a főképviselővel a beérkezett kérelmekkel és az uniós kiberbiztonsági tartalékból a Digitális Európa programhoz társult harmadik országoknak nyújtott támogatás végrehajtásával kapcsolatban. Ezen túlmenően a Bizottság figyelembe veszi az ENISA által az említett kérelmekkel kapcsolatban adott véleményeket is.
20. cikk
Koordináció az uniós válságkezelési mechanizmusokkal
(1) Amennyiben egy jelentős, egy nagyszabású vagy egy nagyszabásúval egyenértékű kiberbiztonsági esemény az 1313/2013/EU határozat 4. cikkének 1. pontjában meghatározottak szerinti katasztrófából ered vagy ilyen katasztrófához vezet, az e rendelet alapján az ilyen eseményre való reagáláshoz nyújtott támogatásnak ki kell egészítenie az említett határozat szerinti intézkedéseket, és nem sértheti azokat.
(2) Olyan nagyszabású vagy nagyszabásúval egyenértékű kiberbiztonsági esemény esetén, amely aktiválja az (EU) 2018/1993 végrehajtási határozat szerinti uniós politikai szintű integrált válságelhárítási mechanizmust (a továbbiakban: IPCR-mechanizmus), az e rendelet alapján az ilyen eseményre való reagáláshoz nyújtott támogatást az IPCR-mechanizmus szerinti vonatkozó eljárásokkal összhangban kell kezelni.
IV. FEJEZET
A KIBERBIZTONSÁGI ESEMÉNYEK EURÓPAI FELÜLVIZSGÁLATI MECHANIZMUSA
21. cikk
A kiberbiztonsági események európai felülvizsgálati mechanizmusa
(1) A Bizottság vagy az EU-CyCLONe kérésére az ENISA a CSIRT-ek hálózatának támogatásával és az érintett tagállamok jóváhagyásával felülvizsgálja és értékeli az egy adott jelentős vagy nagyszabású kiberbiztonsági eseményhez kapcsolódó kiberfenyegetéseket, ismert, kihasználható sebezhetőségeket és mérséklési intézkedéseket. Egy adott kiberbiztonsági esemény felülvizsgálatának és értékelésének lezárultával az ENISA a tanulságok jövőbeli események elkerülése vagy mérséklése érdekében való levonása céljából eseményértékelési jelentést nyújt be az EU-CyCLONe-nak, a CSIRT-ek hálózatának, az érintett tagállamoknak és a Bizottságnak, hogy támogassa őket - különösen az (EU) 2022/2555 irányelv 15. és 16. cikkében foglalt - feladataik ellátásában. Amennyiben egy esemény hatással van egy, a Digitális Európa programhoz társult harmadik országra, az ENISA-nak el kell juttatnia a jelentést a Tanácsnak. A Bizottság ilyen esetekben eljuttatja a jelentést a főképviselőnek.
(2) Az e cikk (1) bekezdésében említett eseményértékelési jelentés elkészítése érdekében az ENISA együttműködik valamennyi érdekelt féllel, és visszajelzést gyűjt azoktól, beleértve a tagállamok képviselőit, a Bizottságot és más érintett uniós intézményeket, szerveket, hivatalokat és ügynökségeket, az iparágakat - többek között az irányított biztonsági szolgáltatókat -, és a kiberbiztonsági szolgáltatások felhasználóit. Az ENISA - együttműködve adott esetben a CSIRT-ekkel és releváns esetben az (EU) 2022/2555 irányelv 8. cikkének (1) bekezdése szerint kijelölt vagy létrehozott illetékes hatóságokkal - együttműködik a jelentős vagy nagyszabású kiberbiztonsági események által érintett szervezetekkel is. A konzultációba bevont képviselőknek jelezniük kell bármilyen esetleges összeférhetetlenséget.
(3) Az e cikk (1) bekezdésében említett eseményértékelési jelentésnek ki kell terjednie az adott jelentős vagy nagyszabású kiberbiztonsági esemény felülvizsgálatára és elemzésére, beleértve a fő okokat, az ismert, kihasználható sebezhetőségeket és a levont tanulságokat. Az ENISA biztosítja, hogy a jelentés megfeleljen az érzékeny vagy minősített adatok védelmére vonatkozó uniós vagy nemzeti jognak. Az esemény által érintett tagállamok vagy a 14. cikk (3) bekezdésében említett egyéb felhasználók kérésére a jelentés csak anonimizált adatokat és információkat tartalmazhat. Nem tartalmazhat semmilyen részletet az aktívan kihasznált sebezhetőségekről, amelyek továbbra is orvosolatlanok.
(4) Az eseményértékelési jelentés adott esetben ajánlásokat fogalmaz meg az Unió kiberbiztonsági helyzetének javítása érdekében, és tartalmazhat az érdekelt felektől származó bevált gyakorlatokat és levont tanulságokat.
(5) Az ENISA kiadhatja az eseményértékelési jelentés nyilvánosan hozzáférhető változatát. A jelentés említett változata csak megbízható nyilvános információkat, vagy az érintett tagállamok hozzájárulásával egyéb megbízható információkat és - a 14. cikk (3) bekezdésének b) vagy c) pontjában említett felhasználókra vonatkozó információk tekintetében - az adott felhasználó hozzájárulásával tartalmazhat.
V. FEJEZET
ZÁRÓ RENDELKEZÉSEK
22. cikk
Az (EU) 2021/694 rendelet módosításai
Az (EU) 2021/694 rendelet a következőképpen módosul:
1. A 6. cikk a következőképpen módosul:
a) az (1) bekezdés a következőképpen módosul:
i. a bekezdés a következő ponttal egészül ki:
"aa) az (EU) 2025/38 európai parlamenti és tanácsi rendelettel ( *1 ) létrehozott európai kiberbiztonsági riasztási rendszer (a továbbiakban: európai kiberbiztonsági riasztási rendszer) kialakításának támogatása, beleértve a nemzeti és a határokon átnyúló kiberközpontok fejlesztését, telepítését és működtetését, amelyek hozzájárulnak az Unión belüli helyzetismerethez és az Unió kiberfenyegetettség felderítési képességeinek megerősítéséhez;
ii. a bekezdés a következő ponttal egészül ki:
"g) a nemzeti erőforrásokat és képességeket, valamint az uniós szinten rendelkezésre álló egyéb támogatási formákat kiegészítő, az (EU) 2025/38 rendelet 10. cikkével létrehozott kiberbiztonsági vészhelyzeti mechanizmus - beleértve az említett rendelet 14. cikkével létrehozott európai kiberbiztonsági tartalékot (a továbbiakban: európai kiberbiztonsági tartalék) - létrehozása és működtetése annak érdekében, hogy támogassa a tagállamokat a jelentős és a nagyszabású kiberbiztonsági eseményekre való felkészülésben és reagálásban, és hogy támogassa az egyéb felhasználókat a jelentős és a nagyszabásúval egyenértékű kiberbiztonsági eseményekre való reagálásban."
;
b) a (2) bekezdés helyébe a következő szöveg lép:
"(2) A 3. sz. egyedi célkitűzés alá tartozó fellépéseket elsősorban az Európai Kiberbiztonsági Ipari, Technológiai és Kutatási Kompetenciaközpont és a nemzeti koordinációs központok hálózata révén kell végrehajtani, az (EU) 2021/887 európai parlamenti és tanácsi rendelettel ( *2 ) összhangban. Az uniós kiberbiztonsági tartalékot azonban a Bizottság és - az (EU) 2025/38 rendelet 14. cikkének (6) bekezdésével összhangban - az ENISA hajtja végre.
2. A 9. cikk a következőképpen módosul:
a) a (2) bekezdés b), c) és d) pontja helyébe a következő szöveg lép:
"b) 1 760 806 000 EUR a 2. sz. Mesterséges intelligencia egyedi célkitűzésre;
c) 1 372 020 000 EUR a 3. sz. Kiberbiztonság és bizalom egyedi célkitűzésre;
d) 482 640 000 EUR a 4. sz. Fejlett digitális készségek egyedi célkitűzésre;"
b) a cikk a következő (8) bekezdéssel egészül ki:
"(8) A költségvetési rendelet 12. cikkének (1) bekezdésétől eltérve, az uniós kiberbiztonsági tartalék és az (EU) 2025/38 rendelet szerinti kölcsönös segítségnyújtást támogató intézkedések végrehajtásával és a kölcsönös segítségnyújtást támogató intézkedésekkel összefüggésben az e rendelet 6. cikke (1) bekezdésének g) pontjában meghatározott célkitűzések megvalósítására irányuló fellépésekre elkülönített, fel nem használt kötelezettségvállalási és kifizetési előirányzatokat automatikusan át kell vinni a következő pénzügyi évre, és terhükre a következő pénzügyi év december 31-éig kötelezettségek vállalhatók és kifizetések teljesíthetők. Az Európai Parlamentet és a Tanácsot tájékoztatni kell a költségvetési rendelet 12. cikkének (6) bekezdése szerint átvitt előirányzatokról."
3. A 12. cikk a következőképpen módosul:
a) a cikk a következő bekezdésekkel egészül ki:
"(5a) Az (5) bekezdés az Unióban letelepedett, de harmadik országokból irányított jogalanyok tekintetében nem alkalmazandó az európai kiberbiztonsági riasztási rendszert végrehajtó fellépésekre, amennyiben az adott fellépés tekintetében mindkét alábbi feltétel teljesül:
a) figyelembe véve az (EU) 2025/38 rendelet 9. cikkének (4) bekezdése szerint elvégzett feltérképezés eredményeit, fennáll annak a valós kockázata, hogy azok az eszközök, infrastruktúrák vagy szolgáltatások, amelyek szükségesek és elégségesek ahhoz, hogy az említett fellépés megfelelően hozzájáruljon az európai kiberbiztonsági riasztási rendszer célkitűzéséhez, nem állnak majd rendelkezésre a tagállamokban letelepedett vagy letelepedettnek tekintett és a tagállamok vagy a tagállamok állampolgárai irányítása alatt álló jogalanyok részéről;
b) az ilyen jogalanyoktól való, az európai kiberbiztonsági riasztási rendszeren belüli beszerzés biztonsági kockázata arányos az előnyökkel, és nem veszélyezteti az Unió és tagállamai alapvető biztonsági érdekeit.
(5b) Az (5) bekezdés az Unióban letelepedett, de harmadik országokból irányított jogalanyok tekintetében nem alkalmazandó az európai kiberbiztonsági tartalékot végrehajtó fellépésekre, amennyiben az érintett fellépés tekintetében mindkét alábbi feltétel teljesül:
a) figyelembe véve az (EU) 2025/38 rendelet 14. cikkének (6) bekezdése szerint elvégzett feltérképezés eredményeit, fennáll annak a valós kockázata, hogy az uniós kiberbiztonsági tartalék feladatainak megfelelő ellátásához szükséges és elégséges technológia, szakértelem vagy kapacitás nem áll majd rendelkezésre a tagállamokban letelepedett vagy letelepedettnek tekintett és a tagállamok vagy a tagállamok állampolgárai irányítása alatt álló jogalanyok részéről;
b) az ilyen jogalanyok az uniós kiberbiztonsági tartalékba való felvételének biztonsági kockázata arányos az előnyökkel, és nem ássa alá az Unió és tagállamai alapvető biztonsági érdekeit."
;
b) a (6) bekezdés helyébe a következő szöveg lép:
"(6) Ha biztonsági okokból kellően indokolt, a munkaprogram rendelkezhet úgy is, hogy társult országokban letelepedett jogalanyok és az Unióban letelepedett, de harmadik országokból irányított jogalanyok csak akkor jogosultak részt venni az 1. sz. és a 2. sz. egyedi célkitűzés alá tartozó valamennyi vagy egyes fellépésekben, ha megfelelnek az Unió és a tagállamok alapvető biztonsági érdekeinek védelmét garantáló és a minősített dokumentumokban foglalt információ védelmét biztosító, ezen jogalanyok által teljesítendő követelményeknek. Az említett követelményeket a munkaprogramban kell meghatározni.
Az első albekezdés az Unióban letelepedett, de harmadik országokból irányított jogalanyok tekintetében is alkalmazandó a 3. sz. egyedi célkitűzés alá tartozó fellépésekre:
a) az európai kiberbiztonsági riasztási rendszer végrehajtására amennyiben az (5a) bekezdés alkalmazandó; és
b) az uniós kiberbiztonsági tartalék végrehajtására amennyiben az (5b) bekezdés alkalmazandó."
4. A 14. cikk (2) bekezdésének helyébe a következő szöveg lép:
"(2) A program a költségvetési rendeletben megállapított bármely formában nyújthat finanszírozást, többek között különösen közbeszerzés mint elsődleges forma vagy vissza nem térítendő támogatások és pénzdíjak útján.
Amennyiben valamely fellépés célkitűzésének eléréséhez innovatív termékek és szolgáltatások beszerzésére van szükség, csak olyan kedvezményezetteknek ítélhető oda vissza nem térítendő támogatás, amelyek a 2014/24/EU ( *3 ) és a 2014/25/EU ( *4 ) európai parlamenti és tanácsi irányelvben meghatározottak szerinti ajánlatkérő szervek vagy közszolgáltató ajánlatkérők.
Amennyiben valamely fellépés célkitűzéseinek eléréséhez olyan innovatív áruk vagy szolgáltatások nyújtása szükséges, amelyek kereskedelmi forgalomban nagy volumenben még nem beszerezhetők, az ajánlatkérő szerv vagy a közszolgáltató ajánlatkérő engedélyezheti ugyanazon eljárás keretében több szerződés odaítélését is.
Kellően indokolt közbiztonsági okokból az ajánlatkérő szerv vagy a közszolgáltató ajánlatkérő megkövetelheti, hogy a szerződés teljesítésének helye az Unió területén legyen.
Az uniós kiberbiztonsági tartalékra irányuló közbeszerzési eljárások lefolytatásakor a Bizottság és az ENISA központi beszerző szervként járhat el az e rendelet 10. cikkével összhangban a programhoz társult harmadik országok javára vagy nevében történő beszerzések során. A Bizottság és az ENISA nagykereskedőként is eljárhat áruk és szolgáltatások az említett harmadik országoknak történő vásárlása, készletezése, továbbértékesítése vagy adományozása révén, beleértve a bérbeadást is. Az (EU, Euratom) 2024/2509 európai parlamenti és tanácsi rendelet ( *5 ) 168. cikkének (3) bekezdésétől eltérve egyetlen harmadik ország által benyújtott kérelem elegendő ahhoz, hogy a Bizottság vagy az ENISA megbízást kapjon eljárni.
Az uniós kiberbiztonsági tartalékra irányuló közbeszerzési eljárások lefolytatásakor a Bizottság és az ENISA központi beszerző szervként járhat el az uniós intézmények, szervek, hivatalok vagy ügynökségek javára vagy nevében történő beszerzések során. A Bizottság és az ENISA nagykereskedőként is eljárhat áruk és szolgáltatások uniós intézményeknek, szerveknek, hivataloknak vagy ügynökségeknek történő vásárlása, készletezése, továbbértékesítése vagy adományozása révén, beleértve a bérbeadást is. Az (EU, Euratom) 2024/2059 rendelet 168. cikkének (3) bekezdésétől eltérve egyetlen uniós intézmény, szerv, hivatal vagy ügynökség által benyújtott kérelem elegendő ahhoz, hogy a Bizottság vagy az ENISA megbízást kapjon eljárni.
A program vegyes finanszírozási műveletek keretében pénzügyi eszközök formájában is nyújthat finanszírozást.
5. A rendelet a következő cikkel egészül ki:
"16a. cikk
A szabályok ütközése
Az Európai Kiberbiztonsági Riasztási Rendszert végrehajtó fellépések esetében az (EU) 2025/38 rendelet 4., 5. és 9. cikkében meghatározott szabályok alkalmazandók. Az e rendeletben és az (EU) 2025/38 rendelet 4., 5. és 9. cikkében foglalt rendelkezések ütközése esetén az utóbbiak az irányadók és alkalmazandók az említett egyedi fellépésekre.
Az uniós kiberbiztonsági tartalék esetében a programhoz társult harmadik országok részvételére vonatkozó különös szabályokat az (EU) 2025/38 rendelet 19. cikke állapítja meg. Az e rendeletben és az (EU) 2025/38 rendelet 19. cikkében foglalt rendelkezések ütközése esetén az utóbbiak az irányadók és alkalmazandók az említett egyedi fellépésekre."
6. A 19. cikk helyébe a következő szöveg lép:
"19. cikk
Vissza nem térítendő támogatások
A program keretében nyújtott vissza nem térítendő támogatásokat a költségvetési rendelet VIII. címével összhangban kell odaítélni és irányítani, és azok a költségvetési rendelet 190. cikkében megállapított társfinanszírozási elv sérelme nélkül az elszámolható költségek legfeljebb 100 %-át fedezhetik. Az ilyen vissza nem térítendő támogatásokat az egyes egyedi célkitűzésekre vonatkozóan meghatározottak szerint kell odaítélni és irányítani.
A vissza nem térítendő támogatásként nyújtott támogatást az ECCC a költségvetési rendelet 195. cikke (1) bekezdésének d) pontjával összhangban közvetlenül, pályázati felhívás nélkül is odaítélheti az (EU) 2025/38 rendelet 9. cikke szerint kiválasztott tagállamoknak és az (EU) 2025/38 rendelet 5. cikkében említett üzemeltetési konzorciumnak.
A kiberbiztonsági vészhelyzeti mechanizmushoz vissza nem térítendő támogatásként nyújtandó támogatást az ECCC a költségvetési rendelet 195. cikke (1) bekezdésének d) pontjával összhangban közvetlenül, pályázati felhívás nélkül is odaítélheti a tagállamoknak.
Az (EU) 2025/38 rendelet 18. cikkében előírt, a kölcsönös segítségnyújtást támogató fellépések tekintetében az ECCC tájékoztatja a Bizottságot és az ENISA-t a tagállamok pályázati felhívás nélküli közvetlen támogatásra irányuló kérelmeiről.
Az (EU) 2025/38 rendelet 18. cikkében előírt, a kölcsönös segítségnyújtást támogató fellépések tekintetében, és a költségvetési rendelet 193. cikke (2) bekezdése második albekezdésének a) pontjával összhangban kellően indokolt esetekben a költségek akkor is elszámolhatónak tekinthetők, ha azok a vissza nem térítendő támogatás elnyerésére irányuló pályázat benyújtása előtt merültek fel."
7. Az I. és a II. melléklet e rendelet mellékletének megfelelően módosul.
23. cikk
A felhatalmazás gyakorlása
(1) A felhatalmazáson alapuló jogi aktusok elfogadására vonatkozóan a Bizottság részére adott felhatalmazás feltételeit ez a cikk határozza meg.
(2) A Bizottságnak a 14. cikk (7) bekezdésében említett, felhatalmazáson alapuló jogi aktus elfogadására vonatkozó felhatalmazása ötéves időtartamra szól 2025. február 5-től kezdődő hatállyal. A Bizottság legkésőbb 9 hónappal az ötéves időtartam letelte előtt jelentést készít a felhatalmazásról. A felhatalmazás hallgatólagosan meghosszabbodik a korábbival megegyező időtartamra, amennyiben az Európai Parlament vagy a Tanács nem ellenzi a meghosszabbítást legkésőbb 3 hónappal minden egyes időtartam letelte előtt.
(3) Az Európai Parlament vagy a Tanács bármikor visszavonhatja a 14. cikk (7) bekezdésében említett felhatalmazást. A visszavonásról szóló határozat megszünteti az abban meghatározott felhatalmazást. A határozat az Európai Unió Hivatalos Lapjában való kihirdetését követő napon, vagy a benne megjelölt későbbi időpontban lép hatályba. A határozat nem érinti a már hatályban lévő, felhatalmazáson alapuló jogi aktusok érvényességét.
(4) A felhatalmazáson alapuló jogi aktus elfogadása előtt a Bizottság a jogalkotás minőségének javításáról szóló, 2016. április 13-i intézményközi megállapodásban megállapított elvekkel összhangban konzultál az egyes tagállamok által kijelölt szakértőkkel.
(5) A Bizottság a felhatalmazáson alapuló jogi aktus elfogadását követően haladéktalanul és egyidejűleg értesíti arról az Európai Parlamentet és a Tanácsot.
(6) A 14. cikk (7) bekezdése értelmében elfogadott, felhatalmazáson alapuló jogi aktus csak akkor lép hatályba, ha az Európai Parlamentnek és a Tanácsnak a jogi aktusról való értesítését követő 2 hónapon belül sem az Európai Parlament, sem a Tanács nem emelt ellene kifogást, illetve ha az említett időtartam lejártát megelőzően mind az Európai Parlament, mind a Tanács arról tájékoztatta a Bizottságot, hogy nem fog kifogást emelni. Az Európai Parlament vagy a Tanács kezdeményezésére ez az időtartam 2 hónappal meghosszabbodik.
24. cikk
A bizottsági eljárás
(1) A Bizottságot az (EU) 2021/694 rendelet 31. cikkének (1) bekezdésében említett, Digitális Európa programot koordináló bizottság segíti. Ez a bizottság a 182/2011/EU rendelet értelmében vett bizottságnak minősül.
(2) Az e bekezdésre történő hivatkozáskor a 182/2011/EU rendelet 5. cikkét kell alkalmazni.
25. cikk
Értékelés és felülvizsgálat
(1) A Bizottság 2027. február 5-ig, és azt követően legalább négyévente értékeli az e rendeletben előírt intézkedések működését, és jelentést nyújt be az Európai Parlamentnek és a Tanácsnak.
(2) Az (1) bekezdésben említett értékelés különösen a következőket értékeli:
a) a létrehozott nemzeti kiberközpontok és határokon átnyúló kiberközpontok száma, a megosztott információk köre, beleértve lehetőség szerint a CSIRT-ek hálózatának munkájára gyakorolt hatást, valamint azt, hogy ezek milyen mértékben járultak hozzá a kiberfenyegetések és -események közös uniós észlelésének és helyzetismeretének megerősítéséhez, valamint a legkorszerűbb technológiák fejlesztéséhez; a Digitális Európa program finanszírozásának felhasználása a közösen beszerzett kiberbiztonsági eszközökre, infrastruktúrára, vagy a közösen beserzett szolgáltatásokra; és amennyiben az információk rendelkezésre állnak, a nemzeti kiberközpontok, valamint az (EU) 2022/2555 irányelv 3. cikkében említett alapvető és fontos szervezetek ágazati és ágazatközi közösségei közötti együttműködés szintje.
b) a kiberbiztonsági vészhelyzeti mechanizmus keretében a készültséget támogató intézkedések alkalmazása és hatékonysága, beleértve a képzéseket, a jelentős, a nagyszabású és a nagyszabásúval egyenértékű kiberbiztonsági eseményekre való reagálást, és az azokat követő helyreállítás megkezdését, beleértve a Digitális Európa program finanszírozásának felhasználását, valamint a kiberbiztonsági vészhelyzeti mechanizmus végrehajtása során levont tanulságokat és ajánlásokat;
c) az uniós kiberbiztonsági tartalék felhasználása és hatékonysága a felhasználók típusa tekintetében, beleértve a Digitális Európa program finanszírozásának felhasználását, a szolgáltatások igénybevételét, beleértve azok típusát is, a kérelmek megválaszolásához és az uniós kiberbiztonsági tartalék telepítéséhez szükséges átlagos idő, az események megelőzésével és az azokra való reagálással kapcsolatos felkészültségi szolgáltatásokká átalakított szolgáltatások százalékos aránya, valamint az uniós kiberbiztonsági tartalék végrehajtása során levont tanulságok és ajánlások;
d) e rendelet hozzájárulása az uniós ipar és szolgáltatások - többek között a mikrovállalkozások, valamint a kis- és középvállalkozások, továbbá az induló innovatív vállalkozások - versenyképességének megerősítéséhez a digitális gazdaságban, valamint a munkaerő kiberbiztonsági készségeinek és kapacitásainak megerősítésére irányuló átfogó célkitűzéshez való hozzájárulás.
(3) Az (1) bekezdésben említett jelentések alapján a Bizottság adott esetben jogalkotási javaslatot nyújt be az Európai Parlamentnek és a Tanácsnak e rendelet módosítása céljából.
26. cikk
Hatálybalépés
Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.
Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.
MELLÉKLET
Az (EU) 2021/694 rendelet a következőképpen módosul:
1. Az I. mellékletben a "3. sz. egyedi célkitűzés - Kiberbiztonság és bizalom" szakasz helyébe a következő szöveg lép:
"3. sz. egyedi célkitűzés - Kiberbiztonság és bizalom
A program ösztönzi az Unió digitális gazdaságának, társadalmának és demokráciájának biztosításához szükséges alapvető kapacitások megerősítését, kiépítését és beszerzését azáltal, hogy megerősíti az Unió kiberbiztonsági ipari potenciálját és versenyképességét, valamint javítja a magán- és a közszektor arra irányuló képességét, hogy megvédje a polgárokat és a vállalkozásokat a kiberfenyegetésektől, többek között az (EU) 2016/1148 irányelv végrehajtásának támogatásával.
Ezen célkitűzés keretében a kezdeti és adott esetben a további fellépések a következőket foglalják magukban:
1. A tagállamokkal közös beruházások fejlett kiberbiztonsági berendezésekbe, infrastruktúrákba és know-how-ba, amelyek alapvető fontosságúak a kritikus infrastruktúrák és általában a digitális egységes piac védelméhez. Az ilyen közös beruházások körébe tartozhatnak a kvantum-létesítményekbe és a kiberbiztonságot szolgáló adatforrásokba, a kibertérbeli helyzetismeretbe - beleértve az Európai Kiberbiztonsági Riasztási Rendszert alkotó nemzeti kiberközpontokat és a határokon átnyúló kiberközpontokat -, valamint egyéb olyan eszközökbe történő befektetések, amelyeket az állami és magánszektor rendelkezésére kell bocsátani egész Európában.
2. A meglévő technológiai kapacitások továbbfejlesztése és a tagállami kompetenciaközpontok hálózatba szervezése, valamint annak biztosítása, hogy ezen kapacitások reagáljanak a közszektorbeli és az ipari igényekre, többek között olyan termékek és szolgáltatások révén, amelyek megerősítik a kiberbiztonságot és a bizalmat a digitális egységes piacon belül.
3. Hatékony és a legkorszerűbb kiberbiztonsági és bizalmi szolgáltatások széles körű bevezetésének biztosítása a tagállamokban. Az ilyen bevezetésbe beletartozik a termékek biztonságának és védelmének megerősítése is, a tervezésüktől kezdve a kereskedelmi forgalmazásukig.
4. Támogatás a kiberbiztonsági készségek terén fennálló hiányok megszüntetéséhez, figyelembe véve a nemek közötti egyensúlyt, például a kiberbiztonsági készségeket célzó programok összhangba hozásával, azok konkrét ágazati szükségletekhez igazításával és a célzott specializált képzéshez való hozzáférés megkönnyítésével.
5. A tagállamok közötti szolidaritás előmozdítása a jelentős és a nagyszabású kiberbiztonsági eseményekre való felkészülés és reagálás terén a kiberbiztonsági szolgáltatások határokon átnyúló bevezetése révén, beleértve a hatóságok közötti kölcsönös segítségnyújtás támogatását és a megbízható irányított biztonsági szolgáltatókból álló uniós szintű tartalék létrehozását."
2. A II. mellékletben a "3. sz. egyedi célkitűzés - Kiberbiztonság és bizalom" szakasz helyébe a következő szöveg lép:
"3. sz. egyedi célkitűzés - Kiberbiztonság és bizalom
3.1. A közösen - többek között az Európai Kiberbiztonsági Riasztási Rendszerrel összefüggésben - beszerzett kiberbiztonsági infrastruktúrák, vagy eszközök vagy mindkettő száma
3.2. Az európai kiberbiztonsági létesítményekhez hozzáféréssel rendelkező felhasználók és felhasználói közösségek száma
3.3. A kiberbiztonsági eseményekre való felkészültséget és az azokra való reagálást támogató fellépések száma a kiberbiztonsági vészhelyzeti mechanizmus keretében"
E rendelet tekintetében egy nyilatkozat megtételére került sor, amely a HL következő számában található: HL C, C/2025/310, 2025.1.15., ELI: http://data.europa.eu/eli/C/2025/310/oj.
( ) Az Európai Parlament és a Tanács (EU, Euratom) 2023/2841 rendelete (2023. december 13.) az uniós intézmények, szervek, hivatalok és ügynökségek egységesen magas szintű kiberbiztonságát biztosító intézkedések meghatározásáról (HL L., 2023/2841, 2023.12.18., ELI: http://data.europa.eu/eli/reg/2023/2841/oj).
( ) Az Európai Parlament és a Tanács (EU) 2024/2847 rendelete (2024. október 23.) a digitális elemeket tartalmazó termékekre vonatkozó horizontális kiberbiztonsági követelményekről, valamint a 168/2013/EU és az (EU) 2019/1020 rendelet, és az (EU) 2020/1828 irányelv módosításáról (a kiberrezilienciáról szóló rendelet) (HL L, 2024/2847, 2024.11.20., ELI: http://data.europa.eu/eli/reg/2024/2847/oj).
( *1 ) Az Európai Parlament és a Tanács (EU) 2025/38 rendelete (2024. december 19.) a kiberfenyegetések és -események észlelése, valamint az azokra való felkészülés és reagálás érdekében az Unión belüli szolidaritás és képességek megerősítését célzó intézkedések meghatározásáról, és az (EU) 2021/694 rendelet módosításáról (a kiberszolidaritásról szóló rendelet) (HL L, 2025/38, 2025.1.15., ELI: http://data.europa.eu/eli/reg/2025/38/oj).";
( *2 ) Az Európai Parlament és a Tanács (EU) 2021/887 rendelete (2021. május 20.) az Európai Kiberbiztonsági Ipari, Technológiai és Kutatási Kompetenciaközpontnak és a nemzeti koordinációs központok hálózatának a létrehozásáról (HL L 202., 2021.6.8., 1. o.)."
( *3 ) Az Európai Parlament és a Tanács 2014/24/EU irányelve (2014. február 26.) a közbeszerzésről és a 2004/18/EK irányelv hatályon kívül helyezéséről (HL L 94., 2014.3.28., 65. o.).
( *4 ) Az Európai Parlament és a Tanács 2014/25/EU irányelve (2014. február 26.) a vízügyi, energiaipari, közlekedési és postai szolgáltatási ágazatban működő ajánlatkérők beszerzéseiről és a 2004/17/EK irányelv hatályon kívül helyezéséről (HL L 94., 2014.3.28., 243. o.).
( *5 ) Az Európai Parlament és a Tanács (EU, Euratom) 2024/2509 rendelete (2024. szeptember 23.) az Unió általános költségvetésére alkalmazandó pénzügyi szabályokról (HL L, 2024/2059, 2024.9.26., ELI: http://data.europa.eu/eli/reg/2024/2509/oj)."
Lábjegyzetek:
[1] A dokumentum eredetije megtekinthető CELEX: 32025R0038 - https://eur-lex.europa.eu/legal-content/HU/ALL/?uri=CELEX:32025R0038&locale=hu Utolsó elérhető, magyar nyelvű konszolidált változat CELEX: 02025R0038-20250115 - https://eur-lex.europa.eu/legal-content/HU/ALL/?uri=CELEX:02025R0038-20250115&locale=hu