keyboard_tab Cyber Resilience Act 2023/2841 DA
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 3 Definitioner
- 1 Art. 4 Behandling af personoplysninger
- 3 Art. 13 CERT-EU's mission og opgaver
- 4 Art. 22 koordinering af og samarbejde om reaktionen på hændelser
- 1 Art. 23 Håndtering af større hændelser
KAPITEL I
ALMINDELIGE BESTEMMELSER
KAPITEL II
FORANSTALTNINGER TIL SIKRING AF ET HØJT FÆLLES CYBERSIKKERHEDSNIVEAU
KAPITEL III
DET INTERINSTITUTIONELLE RÅD FOR CYBERSIKKERHED
KAPITEL IV
CERT-EU
KAPITEL V
SAMARBEJDE OG RAPPORTERINGSFORPLIGTELSER
KAPITEL VI
AFSLUTTENDE BESTEMMELSER
- artikel 40
- hændelser 28
- henhold 19
- eu / 19
- eller 18
- oplysninger 17
- cert-eu 16
- cert-eu 16
- stk 15
- eu-enhederne 14
- samarbejde 14
- forordning 14
- direktiv 13
- nr 12
- defineret 12
- eu-enheder 12
- større 12
- iicb 10
- omhandlet 8
- denne 8
- udveksling 8
- cybersikkerhed 7
- koordinering 7
- forbindelse 7
- reaktionen 6
- deres 6
- net- 6
- cybertrusler 6
- opgaver 6
- støtte 6
- tæt 6
- enisa 6
- håndtering 6
- pågældende 6
- relevante 6
- gennemførelsen 5
- henblik 5
- personoplysninger 5
- overensstemmelse 5
- over 5
- foranstaltninger 5
- sårbarheder 5
- relevant 5
- hvor 5
- europæiske 5
- tjenester 5
- bistand 5
- andre 5
- efter 4
- herunder 4
Artikel 3
Definitioner
I denne forordning forstås ved:
| 1) | »EU-enheder«: Unionens institutioner, organer, kontorer og agenturer, der er oprettet ved eller i medfør af traktaten om Den Europæiske Union, traktaten om Den Europæiske Unions funktionsmåde (TEUF) eller traktaten om oprettelse af Det Europæiske Atomenergifællesskab |
| 2) | »net- og informationssystem«: et net- og informationssystem som defineret i artikel 6, nr. 1), i direktiv (EU) 2022/2555 |
| 3) | »sikkerhed i net- og informationssystemer«: sikkerhed i net- og informationssystemer som defineret i artikel 6, nr. 2), i direktiv (EU) 2022/2555 |
| 4) | »cybersikkerhed«: cybersikkerhed som defineret i artikel 2, nr. 1), i forordning (EU) 2019/881 |
| 5) | »øverste ledelse«: en leder, et ledelsesorgan eller et koordinerings- eller tilsynsorgan, der er ansvarlig for en EU-enheds funktionsdygtighed, på højeste administrative niveau med et mandat til at træffe eller godkende beslutninger på linje med ledelsesordningerne på højt niveau i den pågældende EU-enhed, uden at dette berører det formelle ansvar for overholdelse og cybersikkerhedsrisikostyring på andre ledelsesniveauer inden for deres respektive ansvarsområder |
| 6) | »nærvedhændelse«: en nærvedhændelse som defineret i artikel 6, nr. 5), i direktiv (EU) 2022/2555 |
| 7) | »hændelse«: en hændelse som defineret i artikel 6, nr. 6), i direktiv (EU) 2022/2555 |
| 8) | »større hændelse«: en hændelse, der forårsager en forstyrrelse på et niveau, som overstiger en EU-enheds og CERT-EU's kapacitet til at reagere på den, eller som har en betydelig virkning for mindst to EU-enheder |
| 9) | »omfattende cybersikkerhedshændelse«: en omfattende cybersikkerhedshændelse som defineret i artikel 6, nr. 7), i direktiv (EU) 2022/2555 |
| 10) | »håndtering af hændelser«: håndtering af hændelser som defineret i artikel 6, nr. 8), i direktiv (EU) 2022/2555 |
| 11) | »cybertrussel«: en cybertrussel som defineret i artikel 2, nr. 8), i forordning (EU) 2019/881 |
| 12) | »væsentlig cybertrussel«: en væsentlig cybertrussel som defineret i artikel 6, nr. 11), i direktiv (EU) 2022/2555 |
| 13) | »sårbarhed«: en sårbarhed som defineret i artikel 6, nr. 15), i direktiv (EU) 2022/2555 |
| 14) | »cybersikkerhedsrisiko«: en risiko som defineret i artikel 6, nr. 9), i direktiv (EU) 2022/2555 |
| 15) | »cloudcomputingtjeneste«: en cloudcomputingtjeneste som defineret i artikel 6, nr. 30), i direktiv (EU) 2022/2555. |
Artikel 4
Behandling af personoplysninger
1. CERT-EU, Det Interinstitutionelle Råd for Cybersikkerhed, der er oprettet i henhold til artikel 10, og EU-enhederne behandler personoplysninger i henhold til denne forordning i overensstemmelse med forordning (EU) 2018/1725.
2. Når de udfører opgaver eller opfylder forpligtelser i henhold til denne forordning, behandler og udveksler CERT-EU, Det Interinstitutionelle Råd for Cybersikkerhed, der er oprettet i henhold til artikel 10, og EU-enhederne kun personoplysninger i det omfang, det er nødvendigt og udelukkende med henblik på at udføre disse opgaver eller opfylde disse forpligtelser.
3. Behandling af særlige kategorier af personoplysninger som omhandlet i artikel 10, stk. 1, i forordning (EU) 2018/1725 skal anses for at være nødvendig af hensyn til væsentlige samfundsinteresser i henhold til artikel 10, stk. 2, litra g), i nævnte forordning. Sådanne oplysninger må kun behandles i det omfang, det er nødvendigt for gennemførelsen af de foranstaltninger til styring af cybersikkerhedsrisici, som er omhandlet i artikel 6 og 8, for CERT-EU's levering af tjenester i henhold til artikel 13, for udveksling af hændelsesspecifikke oplysninger i henhold til artikel 17, stk. 3, og artikel 18, stk. 3, for udveksling af oplysninger i henhold til artikel 20, for rapporteringsforpligtelserne i henhold til artikel 21, for koordinering af og samarbejde om reaktion på hændelser i henhold til artikel 22 og for håndtering af større hændelser i henhold til artikel 23 i nærværende forordning. Når EU-enhederne og CERT-EU fungerer som dataansvarlige, anvender de tekniske foranstaltninger for at forhindre behandling af særlige kategorier af personoplysninger til andre formål og sørger for egnede og særlige foranstaltninger til beskyttelse af de registreredes grundlæggende rettigheder og interesser.
KAPITEL II
FORANSTALTNINGER TIL SIKRING AF ET HØJT FÆLLES CYBERSIKKERHEDSNIVEAU
Artikel 13
CERT-EU's mission og opgaver
1. CERT-EU's mission er at bidrage til det uklassificerede IKT-miljøs sikkerhed i alle EU-enheder ved at rådgive dem om cybersikkerhed, hjælpe dem med at forebygge, opdage, håndtere, afbøde, reagere på og reetablere sig efter hændelser og fungere som deres knudepunkt for udveksling af oplysninger vedrørende cybersikkerhed og for koordinering af reaktionen på hændelser.
2. CERT-EU indsamler, forvalter, analyserer og deler oplysninger med EU-enhederne om cybertrusler, sårbarheder og hændelser i uklassificeret IKT-infrastruktur. Det koordinerer beredskabet i forbindelse med hændelser på interinstitutionelt niveau og på EU-enhedsniveau, herunder ved at yde eller koordinere ydelsen af specialiseret operationel bistand.
3. CERT-EU udfører følgende opgaver for at bistå EU-enhederne:
| a) | støtter dem i forbindelse med gennemførelsen af denne forordning og bidrager til koordineringen af gennemførelsen af denne forordning ved hjælp af de foranstaltninger, der er opført i artikel 14, stk. 1, eller ved hjælp af ad hoc-rapporter, som IICB har anmodet om |
| b) | tilbyder standardiserede CSIRT-tjenester til EU-enheder i form af en pakke af cybersikkerhedstjenester beskrevet i dets tjenestekatalog (»basistjenester«) |
| c) | vedligeholder et netværk af ligestillede og partnere til støtte for tjenesterne, jf. artikel 17 og 18 |
| d) | gør IICB opmærksom på problemer, der vedrører gennemførelsen af denne forordning samt gennemførelsen af retningslinjer, henstillinger og opfordringer til tiltag |
| e) | bidrager på grundlag af de oplysninger, der er omhandlet i stk. 2, til Unionens cybersituationsbevidsthed i tæt samarbejde med ENISA |
| f) | koordinerer håndteringen af større hændelser |
| g) | agerer på vegne af EU-enhederne som ækvivalent med den koordinator, der er udpeget med henblik på koordineret offentliggørelse af sårbarheder, jf. artikel 12, stk. 1, i direktiv (EU) 2022/2555 |
| h) | sørger efter anmodning fra en EU-enhed for en proaktiv, ikkeindgribende scanning af den pågældende EU-enheds offentligt tilgængelige net- og informationssystemer. |
De oplysninger, der er omhandlet i første afsnit, litra e), deles med IICB, CSIRT-netværket og Den Europæiske Unions Efterretnings- og Situationscenter (EU INTCEN), hvor det er relevant og hensigtsmæssigt, og under overholdelse af passende fortrolighedsbetingelser.
4. CERT-EU kan i overensstemmelse med artikel 17 eller 18, alt efter hvad der er relevant, samarbejde med relevante cybersikkerhedsfællesskaber i Unionen og dens medlemsstater, herunder på følgende områder:
| a) | beredskab, koordinering i forbindelse med hændelser, udveksling af oplysninger og reaktion på kriser på teknisk plan i forbindelse med sager, der har tilknytning til EU-enhederne |
| b) | operationelt samarbejde i forbindelse med CSIRT-netværket, herunder med hensyn til gensidig bistand |
| c) | efterretninger om cybertrusler, herunder situationsbevidsthed |
| d) | et hvilket som helst andet område, hvor CERT-EU's tekniske cybersikkerhedsekspertise er påkrævet. |
5. CERT-EU indgår inden for sin kompetence i et struktureret samarbejde med ENISA om kapacitetsopbygning, operationelt samarbejde og langsigtede strategiske analyser af cybertrusler i overensstemmelse med forordning (EU) 2019/881. CERT-EU kan samarbejde og udveksle oplysninger med Europols Europæiske Center for Bekæmpelse af Cyberkriminalitet.
6. CERT-EU kan levere følgende tjenester, der ikke er beskrevet i dets tjenestekatalog (betalingspligtige tjenester):
| a) | tjenester til støtte for cybersikkerheden i relation til EU-enhedernes IKT-miljø ud over dem, der er omhandlet i stk. 3, i henhold til serviceleveranceaftaler og under forudsætning af, at der er ressourcer til rådighed, navnlig bredspektret overvågning af netværk, herunder 24/7-frontlinjeovervågning af meget alvorlige cybertrusler |
| b) | tjenester til støtte for EU-enhedernes cybersikkerhedsoperationer eller -projekter ud over dem, der beskytter deres IKT-miljø, i henhold til skriftlige aftaler og under forudsætning af forudgående godkendelse fra IICB |
| c) | efter anmodning en proaktiv scanning af den pågældende EU-enheds net- og informationssystemer for at opdage sårbarheder med en potentiel væsentlig virkning |
| d) | tjenester til støtte for IKT-miljøers sikkerhed i andre organisationer end EU-enhederne, som arbejder tæt sammen med EU-enhederne, f.eks. fordi de er tildelt opgaver eller ansvarsområder i henhold til EU-retten, i henhold til skriftlige aftaler og under forudsætning af forudgående godkendelse fra IICB. |
For så vidt angår første afsnit, litra d), kan CERT-EU undtagelsesvis indgå serviceleveranceaftaler med andre enheder end EU-enheder med forudgående godkendelse fra IICB.
7. CERT-EU arrangerer og kan deltage i cybersikkerhedsøvelser eller opfordre til deltagelse i eksisterende øvelser, hvor det er relevant i tæt samarbejde med ENISA, med henblik på at teste cybersikkerhedsniveauet i EU-enhederne.
8. CERT-EU kan yde bistand til EU-enhederne vedrørende hændelser i net- og informationssystemer, der håndterer EUCI, hvis de pågældende EU-enheder udtrykkeligt anmoder herom i overensstemmelse med deres respektive procedurer. CERT-EU's ydelse af bistand i henhold til dette stykke berører ikke gældende regler om beskyttelse af klassificerede informationer.
9. CERT-EU underretter EU-enhederne om sine procedurer og processer for håndtering af hændelser.
10. CERT-EU bidrager med en høj grad af fortrolighed og pålidelighed via de behørige samarbejdsmekanismer og rapporteringsveje til relevante og anonymiserede oplysninger om større hændelser og måden, hvorpå de blev håndteret. Disse oplysninger medtages i den rapport, der er omhandlet i artikel 10, stk. 14.
11. CERT-EU støtter i samarbejde med EDPS de pågældende EU-enheder, når de håndterer hændelser, der medfører brud på persondatasikkerheden, uden at dette berører EDPS' kompetencer og opgaver som tilsynsmyndighed i henhold til forordning (EU) 2018/1725.
12. CERT-EU kan, hvis EU-enhedernes politiske afdelinger udtrykkeligt anmoder herom, yde teknisk rådgivning eller input om relevante politiske spørgsmål.
Artikel 22
koordinering af og samarbejde om reaktionen på hændelser
1. I sin funktion som knudepunkt for udveksling af oplysninger vedrørende cybersikkerhed og for koordinering af reaktionen på hændelser fremmer CERT-EU udvekslingen af oplysninger om hændelser, cybertrusler, sårbarheder og nærvedhændelser mellem:
| a) | EU-enheder |
| b) | de i artikel 17 og 18 omhandlede modparter. |
2. CERT-EU fremmer, hvor det er relevant i tæt samarbejde med ENISA, koordineringen mellem EU-enheder af reaktioner på hændelser, herunder:
| a) | bidrag til konsekvent ekstern kommunikation |
| b) | gensidig støtte såsom udveksling af oplysninger, der er relevante for EU-enheder, eller ydelse af bistand direkte på stedet, hvor det er relevant |
| c) | optimal udnyttelse af operationelle ressourcer |
| d) | koordineringen med andre krisereaktionsmekanismer på EU-plan. |
3. CERT-EU støtter, i tæt samarbejde med ENISA, EU-enhederne i relation til situationsbevidsthed i forbindelse med hændelser, cybertrusler, sårbarheder og nærvedhændelser og deler oplysninger om den seneste udvikling inden for cybersikkerhed.
4. IICB vedtager senest den 8. januar 2025 på grundlag af et forslag fra CERT-EU retningslinjer eller henstillinger om koordinering af reaktionen på hændelser og samarbejde om væsentlige hændelser. Hvis hændelsen mistænkes for at være af strafferetlig karakter, rådgiver CERT-EU også om, hvordan de retshåndhævende myndigheder underrettes om hændelsen, uden unødigt ophold.
5. Efter en specifik anmodning fra en medlemsstat og med de berørte EU-enheders godkendelse kan CERT-EU indkalde eksperter fra den liste, der er omhandlet i artikel 23, stk. 4, med henblik på at bidrage til reaktionen på en større hændelse, som har en virkning i den pågældende medlemsstat, eller en omfattende cybersikkerhedshændelse i overensstemmelse med artikel 15, stk. 3, litra g), i direktiv (EU) 2022/2555. Specifikke regler for adgangen til og brugen af tekniske eksperter fra EU-enheder skal godkendes af IICB på grundlag af et forslag fra CERT-EU.
Artikel 23
Håndtering af større hændelser
1. For på operationelt plan at støtte den koordinerede håndtering af større hændelser, der påvirker EU-enheder, og bidrage til regelmæssig udveksling af relevante oplysninger mellem EU-enheder og med medlemsstaterne udarbejder IICB i henhold til artikel 11, litra q), en cyberkrisestyringsplan baseret på de aktiviteter, der er omhandlet i artikel 22, stk. 2, i tæt samarbejde med CERT-EU og ENISA. Cyberkrisestyringsplanen skal mindst indeholde følgende elementer:
| a) | ordninger for koordinering og informationsstrømme mellem EU-enhederne med henblik på håndtering af større hændelser på operationelt plan |
| b) | fælles operative standardprocedurer (SOP) |
| c) | en fælles taksonomi for alvorsgraden af større hændelser og kriseudløsende faktorer |
| d) | regelmæssige øvelser |
| e) | sikre kommunikationskanaler, der skal anvendes. |
2. Kommissionens repræsentant i IICB er med forbehold af den cyberkrisestyringsplan, der er udarbejdet i henhold til denne artikels stk. 1, og uden at det berører artikel 16, stk. 2, første afsnit, i direktiv (EU) 2022/2555, kontaktpunktet for udveksling af relevante oplysninger i relation til større hændelser med EU-CyCLONe.
3. CERT-EU koordinerer håndteringen af større hændelser mellem EU-enhederne. CERT-EU fører en fortegnelse over disponibel teknisk ekspertise, der vil være brug for i forbindelse med reaktionen på større hændelser, og bistår IICB med at koordinere EU-enhedernes cyberkrisehåndteringsplaner for større hændelser, jf. artikel 9, stk. 2.
4. EU-enhederne bidrager til denne fortegnelse over teknisk ekspertise i form af en årlig ajourført liste over eksperter, der er til rådighed i deres respektive enheder, inkl. detaljerede beskrivelser af deres specifikke tekniske færdigheder.
KAPITEL VI
AFSLUTTENDE BESTEMMELSER
whereas