keyboard_tab Cyber Resilience Act 2023/2841 DA
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- Art. 1 Genstand
- Art. 2 Anvendelsesområde
- Art. 3 Definitioner
- Art. 4 Behandling af personoplysninger
- Art. 5 Gennemførelse af foranstaltninger
- Art. 6 Ramme for styring, forvaltning og kontrol af cybersikkerhedsrisici
- Art. 7 Modenhedsvurderinger af cybersikkerheden
- Art. 8 Foranstaltninger til styring af cybersikkerhedsrisici
- Art. 9 Cybersikkerhedsplaner
- Art. 10 Det Interinstitutionelle Råd for Cybersikkerhed
- Art. 11 IICB's opgaver
- Art. 12 Overholdelse
- Art. 13 CERT-EU's mission og opgaver
- Art. 14 Retningslinjer, henstillinger og opfordringer til tiltag
- Art. 15 Chefen for CERT-EU
- Art. 16 Finansielle og personalemæssige spørgsmål
- Art. 17 CERT-EU's samarbejde med medlemsstatsmodparter
- Art. 18 CERT-EU's samarbejde med andre modparter
- Art. 19 Håndtering af oplysninger
- Art. 20 Ordninger for udveksling af cybersikkerhedsoplysninger
- Art. 21 Rapporteringsforpligtelser
- Art. 22 Koordinering af og samarbejde om reaktionen på hændelser
- Art. 23 Håndtering af større hændelser
- Art. 24 Indledende budgetomfordeling
- Art. 25 Evaluering
- Artikel 26 Ikrafttræden
KAPITEL I
ALMINDELIGE BESTEMMELSER
KAPITEL II
FORANSTALTNINGER TIL SIKRING AF ET HØJT FÆLLES CYBERSIKKERHEDSNIVEAU
KAPITEL III
DET INTERINSTITUTIONELLE RÅD FOR CYBERSIKKERHED
KAPITEL IV
CERT-EU
KAPITEL V
SAMARBEJDE OG RAPPORTERINGSFORPLIGTELSER
KAPITEL VI
AFSLUTTENDE BESTEMMELSER
- herunder 7
- foranstaltninger 7
- hændelser 6
- styring 4
- cybersikkerhedsrisici 4
- hvor 4
- sårbarheder 4
- deres 4
- sikre 3
- anvendelse 3
- relevant 3
- henblik 3
- cybersikkerhed 3
- udvikling 3
- sikker 3
- under 3
- politikker 3
- fjernelse 2
- dens 2
- software 2
- eu-enheden 2
- tager 2
- minimum 2
- hensyn 2
- hjælp 2
- mål 2
- artikel 2
- cybersikkerhedsrisici: 2
- gennemførelse 2
- net- 2
- litra 2
- fastlæggelse 2
- uddannelse 2
- vedligeholdelse 2
- fremme 2
- håndtering 2
- forsyningskædesikkerhed 2
- mellem 2
- såsom 2
- direkte 2
- informationssystemer 2
- følgende 2
- disse 2
- eller 2
- træffer 2
- hver 2
- eu-enhed 2
- cybertrusler 2
- øverste 2
- ledelse 2
Artikel 8
Foranstaltninger til styring af cybersikkerhedsrisici
1. Uden unødigt ophold og under alle omstændigheder senest den 8. september 2025 træffer hver EU-enhed under tilsyn af sin øverste ledelse passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre de cybersikkerhedsrisici, der konstateres inden for rammen, og for at forebygge eller minimere virkningerne af hændelser. Under hensyntagen til det aktuelle teknologiske stade og i givet fald til relevante europæiske og internationale standarder skal disse foranstaltninger tilvejebringe et sikkerhedsniveau i net- og informationssystemer i hele IKT-miljøet, som står mål med de cybersikkerhedsrisici, der truer dem. Ved vurderingen af proportionaliteten af disse foranstaltninger tages der behørigt hensyn til graden af EU-enhedens eksponering for cybersikkerhedsrisici, dens størrelse og sandsynligheden for hændelser og deres alvor, herunder deres samfundsmæssige, økonomiske og interinstitutionelle indvirkning.
2. EU-enheder tager som minimum fat på følgende områder i gennemførelsen af foranstaltningerne til styring af cybersikkerhedsrisici:
| a) | cybersikkerhedspolitikken, herunder foranstaltninger, der er nødvendige for at nå de mål og prioriteter, der er omhandlet i artikel 6 og nærværende artikels stk. 3 |
| b) | politikker for cybersikkerhedsrisikoanalyse og informationssystemsikkerhed |
| c) | politikmål for brugen af cloudcomputingtjenester |
| d) | cybersikkerhedsrevision, hvor det er relevant, som kan omfatte en cybersikkerhedsrisiko-, sårbarheds- og cybertrusselsvurdering og en penetrationstest, der udføres regelmæssigt af en betroet privat udbyder |
| e) | gennemførelse af henstillinger som følge af cybersikkerhedsrevisioner, jf. litra d), gennem cybersikkerheds- og politikopdateringer |
| f) | organisering af cybersikkerheden, herunder fastlæggelse af roller og ansvarsområder |
| g) | forvaltning af aktiver, herunder en liste over IKT-aktiver og en kortlægning af IKT-netværket |
| h) | personalesikkerhed og adgangskontrol |
| i) | driftssikkerhed |
| j) | kommunikationssikkerhed |
| k) | erhvervelse, udvikling og vedligeholdelse af systemer, herunder politikker for håndtering og offentliggørelse af sårbarheder |
| l) | hvor det er muligt, politikker for kildekodens gennemsigtighed |
| m) | forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte EU-enhed og dens direkte leverandører eller tjenesteudbydere |
| n) | håndtering af hændelser og samarbejde med CERT-EU, såsom vedligeholdelse af sikkerhedsovervågning og -logning |
| o) | styring af driftskontinuitet, såsom backup-styring og reetablering efter en katastrofe, og krisestyring, og |
| p) | fremme og udvikling af uddannelse, færdigheder, bevidstgørelse, øvelses- og undervisningsprogrammer i forbindelse med cybersikkerhed. |
Med henblik på første afsnit, litra m), tager EU-enheder hensyn til de sårbarheder, der er specifikke for hver direkte leverandør og tjenesteudbyder, og den samlede kvalitet af deres leverandørers og tjenesteudbyderes produkter og cybersikkerhedspraksis, herunder deres sikre udviklingsprocedurer.
3. EU-enhederne træffer som minimum følgende foranstaltninger til styring af cybersikkerhedsrisici:
| a) | tekniske konfigurationer med henblik på at muliggøre og opretholde telearbejde |
| b) | konkrete skridt til at bevæge sig i retning af »zero trust«-principper |
| c) | anvendelse af multifaktorgodkendelse som standard for alle net- og informationssystemer |
| d) | anvendelse af kryptografi og kryptering, navnlig end-to-end-kryptering, og sikker digital underskrift |
| e) | hvor det er relevant, anvendelse af sikker tale-, video- og tekstkommunikation og sikre nødkommunikationssystemer internt i EU-enheden |
| f) | proaktive foranstaltninger til opdagelse og fjernelse af malware og spyware |
| g) | etablering af forsyningskædesikkerhed for så vidt angår software ved hjælp af kriterier for sikker udvikling og evaluering af software |
| h) | fastlæggelse og indførelse af uddannelsesprogrammer om cybersikkerhed, som svarer til de foreskrevne opgaver og den forventede kapacitet, for den øverste ledelse og medarbejdere i EU-enheden, der har til opgave at sikre den effektive gennemførelse af denne forordning |
| i) | regelmæssig uddannelse af medarbejdere i cybersikkerhed |
| j) | hvor det er relevant, deltagelse i risikoanalyser af sammenkoblingsordningerne mellem EU-enhederne |
| k) | forbedring af indkøbsprocedurerne med henblik på at fremme et højt fælles cybersikkerhedsniveau ved hjælp af:
|
whereas