keyboard_tab Cyber Resilience Act 2023/2841 DA
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 8 Foranstaltninger til styring af cybersikkerhedsrisici
- 1 Art. 17 CERT-EU's samarbejde med medlemsstatsmodparter
KAPITEL I
ALMINDELIGE BESTEMMELSER
KAPITEL II
FORANSTALTNINGER TIL SIKRING AF ET HØJT FÆLLES CYBERSIKKERHEDSNIVEAU
KAPITEL III
DET INTERINSTITUTIONELLE RÅD FOR CYBERSIKKERHED
KAPITEL IV
CERT-EU
KAPITEL V
SAMARBEJDE OG RAPPORTERINGSFORPLIGTELSER
KAPITEL VI
AFSLUTTENDE BESTEMMELSER
- cert-eu 11
- eller 10
- hændelser 9
- eu-enhed 8
- herunder 8
- berørte 7
- artikel 7
- foranstaltninger 7
- henhold 5
- sårbarheder 5
- hvor 5
- oplysninger 5
- deres 4
- relevante 4
- styring 4
- samtykke 4
- giver 4
- relevant 4
- cybertrusler 4
- direktiv 4
- cybersikkerhedsrisici 4
- eu-enheden 4
- inden 4
- litra 4
- oprettet 4
- offentliggørelsen 3
- politikker 3
- udvikling 3
- sikker 3
- hændelsesspecifikke 3
- sikre 3
- eu / 3
- chef 3
- uden 3
- udveksler 3
- medlemsstatsmodparter 3
- anvendelse 3
- cybersikkerhed 3
- henblik 3
- dens 3
- hjælp 3
- under 3
- ophold 3
- unødigt 3
- overensstemmelse 2
- hændelse 2
- software 2
- samt 2
- gennemførelse 2
- oplysningerne 2
Artikel 8
Foranstaltninger til styring af cybersikkerhedsrisici
1. Uden unødigt ophold og under alle omstændigheder senest den 8. september 2025 træffer hver EU-enhed under tilsyn af sin øverste ledelse passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre de cybersikkerhedsrisici, der konstateres inden for rammen, og for at forebygge eller minimere virkningerne af hændelser. Under hensyntagen til det aktuelle teknologiske stade og i givet fald til relevante europæiske og internationale standarder skal disse foranstaltninger tilvejebringe et sikkerhedsniveau i net- og informationssystemer i hele IKT-miljøet, som står mål med de cybersikkerhedsrisici, der truer dem. Ved vurderingen af proportionaliteten af disse foranstaltninger tages der behørigt hensyn til graden af EU-enhedens eksponering for cybersikkerhedsrisici, dens størrelse og sandsynligheden for hændelser og deres alvor, herunder deres samfundsmæssige, økonomiske og interinstitutionelle indvirkning.
2. EU-enheder tager som minimum fat på følgende områder i gennemførelsen af foranstaltningerne til styring af cybersikkerhedsrisici:
| a) | cybersikkerhedspolitikken, herunder foranstaltninger, der er nødvendige for at nå de mål og prioriteter, der er omhandlet i artikel 6 og nærværende artikels stk. 3 |
| b) | politikker for cybersikkerhedsrisikoanalyse og informationssystemsikkerhed |
| c) | politikmål for brugen af cloudcomputingtjenester |
| d) | cybersikkerhedsrevision, hvor det er relevant, som kan omfatte en cybersikkerhedsrisiko-, sårbarheds- og cybertrusselsvurdering og en penetrationstest, der udføres regelmæssigt af en betroet privat udbyder |
| e) | gennemførelse af henstillinger som følge af cybersikkerhedsrevisioner, jf. litra d), gennem cybersikkerheds- og politikopdateringer |
| f) | organisering af cybersikkerheden, herunder fastlæggelse af roller og ansvarsområder |
| g) | forvaltning af aktiver, herunder en liste over IKT-aktiver og en kortlægning af IKT-netværket |
| h) | personalesikkerhed og adgangskontrol |
| i) | driftssikkerhed |
| j) | kommunikationssikkerhed |
| k) | erhvervelse, udvikling og vedligeholdelse af systemer, herunder politikker for håndtering og offentliggørelse af sårbarheder |
| l) | hvor det er muligt, politikker for kildekodens gennemsigtighed |
| m) | forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte EU-enhed og dens direkte leverandører eller tjenesteudbydere |
| n) | håndtering af hændelser og samarbejde med CERT-EU, såsom vedligeholdelse af sikkerhedsovervågning og -logning |
| o) | styring af driftskontinuitet, såsom backup-styring og reetablering efter en katastrofe, og krisestyring, og |
| p) | fremme og udvikling af uddannelse, færdigheder, bevidstgørelse, øvelses- og undervisningsprogrammer i forbindelse med cybersikkerhed. |
Med henblik på første afsnit, litra m), tager EU-enheder hensyn til de sårbarheder, der er specifikke for hver direkte leverandør og tjenesteudbyder, og den samlede kvalitet af deres leverandørers og tjenesteudbyderes produkter og cybersikkerhedspraksis, herunder deres sikre udviklingsprocedurer.
3. EU-enhederne træffer som minimum følgende foranstaltninger til styring af cybersikkerhedsrisici:
| a) | tekniske konfigurationer med henblik på at muliggøre og opretholde telearbejde |
| b) | konkrete skridt til at bevæge sig i retning af »zero trust«-principper |
| c) | anvendelse af multifaktorgodkendelse som standard for alle net- og informationssystemer |
| d) | anvendelse af kryptografi og kryptering, navnlig end-to-end-kryptering, og sikker digital underskrift |
| e) | hvor det er relevant, anvendelse af sikker tale-, video- og tekstkommunikation og sikre nødkommunikationssystemer internt i EU-enheden |
| f) | proaktive foranstaltninger til opdagelse og fjernelse af malware og spyware |
| g) | etablering af forsyningskædesikkerhed for så vidt angår software ved hjælp af kriterier for sikker udvikling og evaluering af software |
| h) | fastlæggelse og indførelse af uddannelsesprogrammer om cybersikkerhed, som svarer til de foreskrevne opgaver og den forventede kapacitet, for den øverste ledelse og medarbejdere i EU-enheden, der har til opgave at sikre den effektive gennemførelse af denne forordning |
| i) | regelmæssig uddannelse af medarbejdere i cybersikkerhed |
| j) | hvor det er relevant, deltagelse i risikoanalyser af sammenkoblingsordningerne mellem EU-enhederne |
| k) | forbedring af indkøbsprocedurerne med henblik på at fremme et højt fælles cybersikkerhedsniveau ved hjælp af:
|
Artikel 17
CERT-EU's samarbejde med medlemsstatsmodparter
1. CERT-EU samarbejder og udveksler oplysninger uden unødigt ophold med modparter i medlemsstaterne, navnlig de CSIRT'er, der er udpeget eller oprettet i henhold til artikel 10 i direktiv (EU) 2022/2555, eller, hvor det er relevant, de kompetente myndigheder og centrale kontaktpunkter, der er udpeget eller oprettet i henhold til artikel 8 i nævnte direktiv, om hændelser, cybertrusler, sårbarheder, nærvedhændelser, eventuelle modforanstaltninger samt bedste praksis og om alle spørgsmål, der er relevante for at forbedre beskyttelsen af EU-enhedernes IKT-miljøer, herunder ved hjælp af det CSIRT-netværk, der er oprettet i henhold til artikel 15 i direktiv (EU) 2022/2555. CERT-EU støtter Kommissionen i EU-CyCLONe, som er oprettet i henhold til artikel 16 i direktiv (EU) 2022/2555 om koordineret forvaltning af omfattende cybersikkerhedshændelser og kriser.
2. Hvis CERT-EU bliver opmærksomt på en væsentlig hændelse, der indtræffer på en medlemsstats område, underretter det straks alle relevante medlemsstatsmodparter i den pågældende medlemsstat i overensstemmelse med stk. 1.
3. Forudsat at personoplysninger er beskyttet i overensstemmelse med gældende EU-databeskyttelsesret, udveksler CERT-EU uden unødigt ophold relevante hændelsesspecifikke oplysninger med medlemsstatsmodparter for at lette opdagelsen af lignende cybertrusler eller -hændelser eller for at bidrage til analysen af en hændelse uden tilladelse fra den berørte EU-enhed. CERT-EU udveksler kun hændelsesspecifikke oplysninger, der afslører identiteten på målet for hændelsen, i tilfælde af et af følgende:
| a) | den berørte EU-enhed giver samtykke |
| b) | den berørte EU-enhed ikke giver samtykke som fastsat i litra a), men offentliggørelsen af den berørte EU-enheds identitet vil øge sandsynligheden for, at hændelser andre steder vil blive undgået eller afbødet |
| c) | den berørte EU-enhed allerede har offentliggjort, at den var berørt. |
Afgørelser om udveksling af hændelsesspecifikke oplysninger, der afslører identiteten af målet for hændelsen i henhold til første afsnit, litra b), skal godkendes af CERT-EU's chef. Inden offentliggørelsen af en sådan afgørelse, kontakter CERT-EU skriftligt den berørte EU-enhed og forklarer tydeligt, hvordan offentliggørelsen af dens identitet vil bidrage til at undgå eller afbøde hændelser andre steder. CERT-EU's chef giver denne forklaring og anmoder udtrykkeligt EU-enheden om at meddele, hvorvidt den giver samtykke, inden for en fastsat frist. CERT-EU's chef oplyser også EU-enheden om, at han eller hun i lyset af den fremlagte forklaring forbeholder sig ret til at videregive oplysningerne, selv om der ikke gives samtykke. Den berørte EU-enhed underrettes, inden oplysningerne videregives.
whereas