keyboard_tab Cyber Resilience Act 2023/2841 DA
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 4 Behandling af personoplysninger
- 1 Art. 21 Rapporteringsforpligtelser
KAPITEL I
ALMINDELIGE BESTEMMELSER
KAPITEL II
FORANSTALTNINGER TIL SIKRING AF ET HØJT FÆLLES CYBERSIKKERHEDSNIVEAU
KAPITEL III
DET INTERINSTITUTIONELLE RÅD FOR CYBERSIKKERHED
KAPITEL IV
CERT-EU
KAPITEL V
SAMARBEJDE OG RAPPORTERINGSFORPLIGTELSER
KAPITEL VI
AFSLUTTENDE BESTEMMELSER
- eller 22
- artikel 19
- henhold 16
- hændelse 12
- cert-eu 11
- oplysninger 9
- væsentlig 8
- hændelser 8
- foranstaltninger 8
- væsentlige 8
- stk 7
- rapport 7
- forordning 6
- eu-enhederne 6
- efter 6
- uden 5
- virkninger 5
- unødigt 5
- ophold 5
- relevant 5
- hvor 5
- personoplysninger 5
- denne 5
- litra 4
- skal 4
- hændelsen 4
- have 4
- enheder 4
- virkning 4
- senest 4
- eu / 4
- cybertrussel 3
- herunder 3
- træffe 3
- kendskab 3
- måned 3
- eu-enheds 3
- sådanne 3
- tværs 3
- grænseoverskridende 3
- omhandlede 3
- andre 3
- reaktion 3
- relevante 3
- særlige 3
- være 3
- under 3
- eu-enhederne 3
- fået 3
- omstændigheder 3
Artikel 4
Behandling af personoplysninger
1. CERT-EU, Det Interinstitutionelle Råd for Cybersikkerhed, der er oprettet i henhold til artikel 10, og EU-enhederne behandler personoplysninger i henhold til denne forordning i overensstemmelse med forordning (EU) 2018/1725.
2. Når de udfører opgaver eller opfylder forpligtelser i henhold til denne forordning, behandler og udveksler CERT-EU, Det Interinstitutionelle Råd for Cybersikkerhed, der er oprettet i henhold til artikel 10, og EU-enhederne kun personoplysninger i det omfang, det er nødvendigt og udelukkende med henblik på at udføre disse opgaver eller opfylde disse forpligtelser.
3. Behandling af særlige kategorier af personoplysninger som omhandlet i artikel 10, stk. 1, i forordning (EU) 2018/1725 skal anses for at være nødvendig af hensyn til væsentlige samfundsinteresser i henhold til artikel 10, stk. 2, litra g), i nævnte forordning. Sådanne oplysninger må kun behandles i det omfang, det er nødvendigt for gennemførelsen af de foranstaltninger til styring af cybersikkerhedsrisici, som er omhandlet i artikel 6 og 8, for CERT-EU's levering af tjenester i henhold til artikel 13, for udveksling af hændelsesspecifikke oplysninger i henhold til artikel 17, stk. 3, og artikel 18, stk. 3, for udveksling af oplysninger i henhold til artikel 20, for rapporteringsforpligtelserne i henhold til artikel 21, for koordinering af og samarbejde om reaktion på hændelser i henhold til artikel 22 og for håndtering af større hændelser i henhold til artikel 23 i nærværende forordning. Når EU-enhederne og CERT-EU fungerer som dataansvarlige, anvender de tekniske foranstaltninger for at forhindre behandling af særlige kategorier af personoplysninger til andre formål og sørger for egnede og særlige foranstaltninger til beskyttelse af de registreredes grundlæggende rettigheder og interesser.
KAPITEL II
FORANSTALTNINGER TIL SIKRING AF ET HØJT FÆLLES CYBERSIKKERHEDSNIVEAU
Artikel 21
Rapporteringsforpligtelser
1. En hændelse anses for at være væsentlig, hvis:
| a) | den har forårsaget eller er i stand til at forårsage alvorlige driftsmæssige forstyrrelser i den pågældende EU-enheds funktionsdygtighed eller økonomiske tab for denne |
| b) | den har påvirket eller er i stand til at påvirke andre fysiske eller juridiske personer ved at forårsage betydelig materiel eller immateriel skade. |
2. EU-enhederne fremsender til CERT-EU:
| a) | uden unødigt ophold og under alle omstændigheder inden for 24 timer efter at have fået kendskab til den væsentlige hændelse et tidligt varsel, som i givet fald skal angive, at den væsentlige hændelse mistænkes for at være forårsaget af ulovlige eller ondsindede handlinger eller kunne have en virkning på tværs af enheder eller en grænseoverskridende virkning |
| b) | uden unødigt ophold og under alle omstændigheder inden for 72 timer efter at have fået kendskab til den væsentlige hændelse, en hændelsesunderretning, som i givet fald skal ajourføre de i litra a) omhandlede oplysninger og give en indledende vurdering af den væsentlige hændelse, herunder dens alvor og virkning samt kompromitteringsindikatorerne, hvor sådanne foreligger |
| c) | på CERT-EU's anmodning en foreløbig rapport om relevante statusopdateringer |
| d) | en endelig rapport senest en måned efter forelæggelsen af den i litra b) omhandlede hændelsesunderretning, som skal omfatte følgende:
|
| e) | hvis en hændelse stadig pågår på tidspunktet for indgivelsen af den i litra d) omhandlede endelige rapport, en statusrapport på dette tidspunkt og en endelig rapport senest en måned efter deres håndtering af hændelsen. |
3. En EU-enhed underretter uden unødigt ophold og under alle omstændigheder senest 24 timer efter at have fået kendskab til en væsentlig hændelse alle relevante medlemsstatsmodparter, jf. artikel 17, stk. 1, i den medlemsstat, hvor den befinder sig, om, at der er indtruffet en væsentlig hændelse.
4. EU-enhederne meddeler bl.a. alle oplysninger, der gør det muligt for CERT-EU at fastslå eventuelle virkninger på tværs af enheder, virkninger for værtsmedlemsstaten eller grænseoverskridende virkninger efter en væsentlig hændelse. Med forbehold af artikel 12 medfører underretningen i sig selv ikke øget ansvar for den underrettende EU-enhed.
5. Hvor det er relevant, kommunikerer EU-enhederne uden unødigt ophold med brugerne af de påvirkede net- og informationssystemer eller af andre komponenter i IKT-miljøet, som potentielt kan blive påvirket af en væsentlig hændelse eller en væsentlig cybertrussel, og som, hvor det er relevant, er nødt til at træffe afbødende foranstaltninger, om alle foranstaltninger eller modforholdsregler, de kan træffe som reaktion på den pågældende hændelse eller trussel. Hvor det er relevant, informerer EU-enhederne disse brugere om selve den væsentlige cybertrussel.
6. Hvis en væsentlig hændelse eller en væsentlig cybertrussel påvirker et net- og informationssystem eller en komponent i en EU-enheds IKT-miljø, som man ved er forbundet med en anden EU-enheds IKT-miljø, udsteder CERT-EU en relevant cybersikkerhedsadvarsel.
7. EU-enhederne giver på CERT-EU's anmodning og uden unødigt ophold CERT-EU digitale oplysninger, der er skabt ved brug af elektroniske enheder, som har været involveret i deres respektive hændelser. CERT-EU kan præcisere yderligere, hvilken type digitale oplysninger det har brug for med henblik på situationsbevidsthed og reaktion på hændelser.
8. CERT-EU forelægger hver tredje måned IICB, ENISA, EU INTCEN og CSIRT-netværket en sammenfattende rapport, herunder anonymiserede og aggregerede data om væsentlige hændelser, hændelser, cybertrusler, nærvedhændelser og sårbarheder i henhold til artikel 20 og væsentlige hændelser, der er indberettet i henhold til nærværende artikels stk. 2. Den sammenfattende rapport udgør et input til den rapport, der kommer hvert andet år, om cybersikkerhedssituationen i Unionen, som vedtages i henhold til artikel 18 i direktiv (EU) 2022/2555.
9. IICB udsteder senest den 8. juli 2024 retningslinjer eller henstillinger med en nærmere præcisering af ordningen og formatet for samt indholdet af rapporteringen i henhold til denne artikel. Ved udarbejdelsen af sådanne retningslinjer eller henstillinger tager IICB hensyn til eventuelle gennemførelsesretsakter vedtaget i henhold til artikel 23, stk. 11, i direktiv (EU) 2022/2555, der præciserer typen af oplysninger, formatet og proceduren for underretninger. CERT-EU formidler de relevante tekniske detaljer om cybertrusler for at gøre det muligt for EU-enhederne at foretage proaktiv opdagelse, reagere på hændelser eller træffe afhjælpende foranstaltninger.
10. Rapporteringsforpligtelserne, der er fastsat i denne artikel, gælder ikke:
| a) | EUCI |
| b) | oplysninger, hvis videre udbredelse er blevet udelukket ved en synlig mærkning, medmindre det udtrykkeligt er tilladt at dele dem med CERT-EU. |
whereas