keyboard_tab Cyber Resilience Act 2023/2841 DA

1.   Uden unødigt ophold og under alle omstændigheder senest den 8. september 2025 træffer hver EU-enhed under tilsyn af sin øverste ledelse passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre de cybersikkerhedsrisici, der konstateres inden for rammen, og for at forebygge eller minimere virkningerne af hændelser. Under hensyntagen til det aktuelle teknologiske stade og i givet fald til relevante europæiske og internationale standarder skal disse foranstaltninger tilvejebringe et sikkerhedsniveau i net- og informationssystemer i hele IKT-miljøet, som står mål med de cybersikkerhedsrisici, der truer dem. Ved vurderingen af proportionaliteten af disse foranstaltninger tages der behørigt hensyn til graden af EU-enhedens eksponering for cybersikkerhedsrisici, dens størrelse og sandsynligheden for hændelser og deres alvor, herunder deres samfundsmæssige, økonomiske og interinstitutionelle indvirkning.

2.   EU-enheder tager som minimum fat på følgende områder i gennemførelsen af foranstaltningerne til styring af cybersikkerhedsrisici:

a)	cybersikkerhedspolitikken, herunder foranstaltninger, der er nødvendige for at nå de mål og prioriteter, der er omhandlet i artikel 6 og nærværende artikels stk. 3

b)	politikker for cybersikkerhedsrisikoanalyse og informationssystemsikkerhed

c)	politikmål for brugen af cloudcomputingtjenester

d)	cybersikkerhedsrevision, hvor det er relevant, som kan omfatte en cybersikkerhedsrisiko-, sårbarheds- og cybertrusselsvurdering og en penetrationstest, der udføres regelmæssigt af en betroet privat udbyder

e)	gennemførelse af henstillinger som følge af cybersikkerhedsrevisioner, jf. litra d), gennem cybersikkerheds- og politikopdateringer

f)	organisering af cybersikkerheden, herunder fastlæggelse af roller og ansvarsområder

g)	forvaltning af aktiver, herunder en liste over IKT-aktiver og en kortlægning af IKT-netværket

h)	personalesikkerhed og adgangskontrol

i)	driftssikkerhed

j)	kommunikationssikkerhed

k)	erhvervelse, udvikling og vedligeholdelse af systemer, herunder politikker for håndtering og offentliggørelse af sårbarheder

l)	hvor det er muligt, politikker for kildekodens gennemsigtighed

m)	forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte EU-enhed og dens direkte leverandører eller tjenesteudbydere

n)	håndtering af hændelser og samarbejde med CERT-EU, såsom vedligeholdelse af sikkerhedsovervågning og -logning

o)	styring af driftskontinuitet, såsom backup-styring og reetablering efter en katastrofe, og krisestyring, og

p)	fremme og udvikling af uddannelse, færdigheder, bevidstgørelse, øvelses- og undervisningsprogrammer i forbindelse med cybersikkerhed.

Med henblik på første afsnit, litra m), tager EU-enheder hensyn til de sårbarheder, der er specifikke for hver direkte leverandør og tjenesteudbyder, og den samlede kvalitet af deres leverandørers og tjenesteudbyderes produkter og cybersikkerhedspraksis, herunder deres sikre udviklingsprocedurer.

3.   EU-enhederne træffer som minimum følgende foranstaltninger til styring af cybersikkerhedsrisici:

a)	tekniske konfigurationer med henblik på at muliggøre og opretholde telearbejde

b)	konkrete skridt til at bevæge sig i retning af »zero trust«-principper

c)	anvendelse af multifaktorgodkendelse som standard for alle net- og informationssystemer

d)	anvendelse af kryptografi og kryptering, navnlig end-to-end-kryptering, og sikker digital underskrift

e)	hvor det er relevant, anvendelse af sikker tale-, video- og tekstkommunikation og sikre nødkommunikationssystemer internt i EU-enheden

f)	proaktive foranstaltninger til opdagelse og fjernelse af malware og spyware

g)	etablering af forsyningskædesikkerhed for så vidt angår software ved hjælp af kriterier for sikker udvikling og evaluering af software

h)	fastlæggelse og indførelse af uddannelsesprogrammer om cybersikkerhed, som svarer til de foreskrevne opgaver og den forventede kapacitet, for den øverste ledelse og medarbejdere i EU-enheden, der har til opgave at sikre den effektive gennemførelse af denne forordning

i)	regelmæssig uddannelse af medarbejdere i cybersikkerhed

j)	hvor det er relevant, deltagelse i risikoanalyser af sammenkoblingsordningerne mellem EU-enhederne

k)

forbedring af indkøbsprocedurerne med henblik på at fremme et højt fælles cybersikkerhedsniveau ved hjælp af: i) fjernelse af kontraktmæssige hindringer, der begrænser IKT-tjenesteudbydernes udveksling af oplysninger om cybertrusler, sårbarheder og hændelser med CERT-EU ii) kontraktmæssige forpligtelser til at indberette hændelser, sårbarheder og cybertrusler samt til at have passende mekanismer for reaktion på og overvågning af hændelser.

1.   CERT-EU støtter gennemførelsen af denne forordning ved at udstede:

a)	opfordringer til tiltag, der beskriver hastende sikkerhedsforanstaltninger, som EU-enhederne kraftigt opfordres til at træffe inden udløbet af en fastsat frist

b)	forslag til IICB om retningslinjer rettet til alle eller en delgruppe af EU-enheder

c)	forslag til IICB om henstillinger rettet til individuelle EU-enheder.

Med hensyn til første afsnit, litra a), underretter den pågældende EU-enhed uden unødigt ophold efter modtagelsen af opfordringen til tiltag CERT-EU om, hvordan de hastende sikkerhedsforanstaltninger er blevet anvendt.

2.   Retningslinjer og henstillinger kan omfatte:

a)

fælles metoder og en model for modenhedsvurdering af EU-enhedernes cybersikkerhed, herunder de tilhørende skalaer eller KPI'er, der tjener som reference til støtte for løbende forbedringer af cybersikkerheden i alle EU-enhederne og letter prioriteringen af cybersikkerhedsområder og -foranstaltninger under hensyntagen til enhedernes cybersikkerhedstilstand

b)	ordninger for eller forbedringer af styringen af cybersikkerhedsrisici og foranstaltningerne til styring af cybersikkerhedsrisici

c)	ordninger for modenhedsvurderinger af cybersikkerheden og cybersikkerhedsplaner

d)	hvor det er relevant, brugen af fælles teknologi, arkitektur, open source og dertil knyttet bedste praksis med henblik på at opnå interoperabilitet og fælles standarder, herunder en koordineret tilgang til forsyningskædesikkerhed

e)	hvor det er relevant, oplysninger med henblik på at lette anvendelsen af fælles udbudsinstrumenter til indkøb af relevante cybersikkerhedstjenester og -produkter fra tredjepartsleverandører

f)	ordninger for udveksling af oplysninger i henhold til artikel 20.

1.   CERT-EU integreres i den administrative struktur i et generaldirektorat i Kommissionen for at drage fordel af Kommissionens strukturer for administrativ, finansiel og regnskabsmæssig støtte, samtidig med at CERT-EU bevarer sin status som en uafhængig interinstitutionel tjenesteyder for alle EU-enheder. Kommissionen underretter IICB om CERT-EU's administrative placering og alle ændringer heraf. Kommissionen gennemgår de administrative ordninger vedrørende CERT-EU regelmæssigt og under alle omstændigheder inden fastlæggelsen af en flerårig finansiel ramme i henhold til artikel 312 i TEUF for at gøre det muligt at træffe passende tiltag. Gennemgangen skal omfatte muligheden for at oprette CERT-EU som et EU-kontor.

2.   Med hensyn til anvendelsen af de administrative og finansielle procedurer handler CERT-EU's chef med referat til Kommissionen og under IICB's tilsyn.

3.   CERT-EU's opgaver og aktiviteter, herunder tjenester, som CERT-EU yder i henhold til artikel 13, stk. 3, 4, 5 og 7, og artikel 14, stk. 1, til EU-enheder, og som finansieres under det udgiftsområde i den flerårige finansielle ramme, der vedrører europæisk offentlig forvaltning, finansieres over en særlig budgetpost på Kommissionens budget. De stillinger, der er øremærket til CERT-EU, beskrives nærmere i en fodnote til Kommissionens stillingsfortegnelse.

4.   Andre EU-enheder end dem, der er omhandlet i denne artikels stk. 3, yder et årligt finansielt bidrag til CERT-EU til dækning af de tjenester, som CERT-EU yder i henhold til nævnte stykke. Bidragene baseres på retningslinjer, der er udstedt af IICB og aftalt mellem hver enkelt EU-enhed og CERT-EU i serviceleveranceaftaler. Bidragene afspejler en fair og forholdsmæssig andel af de samlede omkostninger ved de tjenester, der er ydet. De opføres på den særlige budgetpost, der er omhandlet i denne artikels stk. 3, som formålsbestemte indtægter, jf. artikel 21, stk. 3, litra c), i forordning (EU, Euratom) 2018/1046.

5.   Omkostningerne ved de tjenester, der er fastsat i artikel 13, stk. 6, opkræves fra de EU-enheder, der har gjort brug af CERT-EU's tjenester. Indtægterne opføres på de budgetposter, der vedrører omkostningerne.

1.   EU-enhederne og CERT-EU overholder tavshedspligten i overensstemmelse med artikel 339 i TEUF eller tilsvarende gældende rammer.

2.   Europa-Parlamentets og Rådets forordning (EF) nr. 1049/2001 (10) finder anvendelse på anmodninger om aktindsigt i dokumenter, som CERT-EU er i besiddelse af, herunder forpligtelsen i nævnte forordning til at rådføre sig med andre EU-enheder eller, hvor det er relevant, medlemsstater, når en anmodning vedrører deres dokumenter.

3.   EU-enhedernes og CERT-EU's håndtering af oplysninger sker i overensstemmelse med de gældende regler om informationssikkerhed.

1.   Senest den 8. januar 2025 og derefter hvert år rapporterer IICB med bistand fra CERT-EU til Kommissionen om gennemførelsen af denne forordning. IICB kan henstille til Kommissionen at evaluere denne forordning.

2.   Senest den 8. januar 2027 og derefter hvert andet år foretager Kommissionen en vurdering og rapporterer til Europa-Parlamentet og Rådet om gennemførelsen af denne forordning og om de indhøstede erfaringer på strategisk og operationelt plan.

Den rapport, der er omhandlet i dette stykkes første afsnit, indeholder gennemgangen, jf. artikel 16, stk. 1, af muligheden for at oprette CERT-EU som et EU-kontor.

3.   Senest den 8. januar 2029 evaluerer Kommissionen denne forordnings funktion og forelægger en rapport for Europa-Parlamentet, Rådet, Det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalget. Kommissionen vurderer også, om det er hensigtsmæssigt at medtage net- og informationssystemer, der håndterer EUCI, i denne forordnings anvendelsesområde, under hensyntagen til andre EU-retsakter, der finder anvendelse på disse systemer. Rapporten ledsages om nødvendigt af et lovgivningsmæssigt forslag.