keyboard_tab Cyber Resilience Act 2023/2841 DA

1.   Uden unødigt ophold og under alle omstændigheder senest den 8. september 2025 træffer hver EU-enhed under tilsyn af sin øverste ledelse passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre de cybersikkerhedsrisici, der konstateres inden for rammen, og for at forebygge eller minimere virkningerne af hændelser. Under hensyntagen til det aktuelle teknologiske stade og i givet fald til relevante europæiske og internationale standarder skal disse foranstaltninger tilvejebringe et sikkerhedsniveau i net- og informationssystemer i hele IKT-miljøet, som står mål med de cybersikkerhedsrisici, der truer dem. Ved vurderingen af proportionaliteten af disse foranstaltninger tages der behørigt hensyn til graden af EU-enhedens eksponering for cybersikkerhedsrisici, dens størrelse og sandsynligheden for hændelser og deres alvor, herunder deres samfundsmæssige, økonomiske og interinstitutionelle indvirkning.

2.   EU-enheder tager som minimum fat på følgende områder i gennemførelsen af foranstaltningerne til styring af cybersikkerhedsrisici:

a)	cybersikkerhedspolitikken, herunder foranstaltninger, der er nødvendige for at nå de mål og prioriteter, der er omhandlet i artikel 6 og nærværende artikels stk. 3

b)	politikker for cybersikkerhedsrisikoanalyse og informationssystemsikkerhed

c)	politikmål for brugen af cloudcomputingtjenester

d)	cybersikkerhedsrevision, hvor det er relevant, som kan omfatte en cybersikkerhedsrisiko-, sårbarheds- og cybertrusselsvurdering og en penetrationstest, der udføres regelmæssigt af en betroet privat udbyder

e)	gennemførelse af henstillinger som følge af cybersikkerhedsrevisioner, jf. litra d), gennem cybersikkerheds- og politikopdateringer

f)	organisering af cybersikkerheden, herunder fastlæggelse af roller og ansvarsområder

g)	forvaltning af aktiver, herunder en liste over IKT-aktiver og en kortlægning af IKT-netværket

h)	personalesikkerhed og adgangskontrol

i)	driftssikkerhed

j)	kommunikationssikkerhed

k)	erhvervelse, udvikling og vedligeholdelse af systemer, herunder politikker for håndtering og offentliggørelse af sårbarheder

l)	hvor det er muligt, politikker for kildekodens gennemsigtighed

m)	forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte EU-enhed og dens direkte leverandører eller tjenesteudbydere

n)	håndtering af hændelser og samarbejde med CERT-EU, såsom vedligeholdelse af sikkerhedsovervågning og -logning

o)	styring af driftskontinuitet, såsom backup-styring og reetablering efter en katastrofe, og krisestyring, og

p)	fremme og udvikling af uddannelse, færdigheder, bevidstgørelse, øvelses- og undervisningsprogrammer i forbindelse med cybersikkerhed.

Med henblik på første afsnit, litra m), tager EU-enheder hensyn til de sårbarheder, der er specifikke for hver direkte leverandør og tjenesteudbyder, og den samlede kvalitet af deres leverandørers og tjenesteudbyderes produkter og cybersikkerhedspraksis, herunder deres sikre udviklingsprocedurer.

3.   EU-enhederne træffer som minimum følgende foranstaltninger til styring af cybersikkerhedsrisici:

a)	tekniske konfigurationer med henblik på at muliggøre og opretholde telearbejde

b)	konkrete skridt til at bevæge sig i retning af »zero trust«-principper

c)	anvendelse af multifaktorgodkendelse som standard for alle net- og informationssystemer

d)	anvendelse af kryptografi og kryptering, navnlig end-to-end-kryptering, og sikker digital underskrift

e)	hvor det er relevant, anvendelse af sikker tale-, video- og tekstkommunikation og sikre nødkommunikationssystemer internt i EU-enheden

f)	proaktive foranstaltninger til opdagelse og fjernelse af malware og spyware

g)	etablering af forsyningskædesikkerhed for så vidt angår software ved hjælp af kriterier for sikker udvikling og evaluering af software

h)	fastlæggelse og indførelse af uddannelsesprogrammer om cybersikkerhed, som svarer til de foreskrevne opgaver og den forventede kapacitet, for den øverste ledelse og medarbejdere i EU-enheden, der har til opgave at sikre den effektive gennemførelse af denne forordning

i)	regelmæssig uddannelse af medarbejdere i cybersikkerhed

j)	hvor det er relevant, deltagelse i risikoanalyser af sammenkoblingsordningerne mellem EU-enhederne

k)

forbedring af indkøbsprocedurerne med henblik på at fremme et højt fælles cybersikkerhedsniveau ved hjælp af: i) fjernelse af kontraktmæssige hindringer, der begrænser IKT-tjenesteudbydernes udveksling af oplysninger om cybertrusler, sårbarheder og hændelser med CERT-EU ii) kontraktmæssige forpligtelser til at indberette hændelser, sårbarheder og cybertrusler samt til at have passende mekanismer for reaktion på og overvågning af hændelser.

1.   CERT-EU integreres i den administrative struktur i et generaldirektorat i Kommissionen for at drage fordel af Kommissionens strukturer for administrativ, finansiel og regnskabsmæssig støtte, samtidig med at CERT-EU bevarer sin status som en uafhængig interinstitutionel tjenesteyder for alle EU-enheder. Kommissionen underretter IICB om CERT-EU's administrative placering og alle ændringer heraf. Kommissionen gennemgår de administrative ordninger vedrørende CERT-EU regelmæssigt og under alle omstændigheder inden fastlæggelsen af en flerårig finansiel ramme i henhold til artikel 312 i TEUF for at gøre det muligt at træffe passende tiltag. Gennemgangen skal omfatte muligheden for at oprette CERT-EU som et EU-kontor.

2.   Med hensyn til anvendelsen af de administrative og finansielle procedurer handler CERT-EU's chef med referat til Kommissionen og under IICB's tilsyn.

3.   CERT-EU's opgaver og aktiviteter, herunder tjenester, som CERT-EU yder i henhold til artikel 13, stk. 3, 4, 5 og 7, og artikel 14, stk. 1, til EU-enheder, og som finansieres under det udgiftsområde i den flerårige finansielle ramme, der vedrører europæisk offentlig forvaltning, finansieres over en særlig budgetpost på Kommissionens budget. De stillinger, der er øremærket til CERT-EU, beskrives nærmere i en fodnote til Kommissionens stillingsfortegnelse.

4.   Andre EU-enheder end dem, der er omhandlet i denne artikels stk. 3, yder et årligt finansielt bidrag til CERT-EU til dækning af de tjenester, som CERT-EU yder i henhold til nævnte stykke. Bidragene baseres på retningslinjer, der er udstedt af IICB og aftalt mellem hver enkelt EU-enhed og CERT-EU i serviceleveranceaftaler. Bidragene afspejler en fair og forholdsmæssig andel af de samlede omkostninger ved de tjenester, der er ydet. De opføres på den særlige budgetpost, der er omhandlet i denne artikels stk. 3, som formålsbestemte indtægter, jf. artikel 21, stk. 3, litra c), i forordning (EU, Euratom) 2018/1046.

5.   Omkostningerne ved de tjenester, der er fastsat i artikel 13, stk. 6, opkræves fra de EU-enheder, der har gjort brug af CERT-EU's tjenester. Indtægterne opføres på de budgetposter, der vedrører omkostningerne.

1.   En hændelse anses for at være væsentlig, hvis:

a)	den har forårsaget eller er i stand til at forårsage alvorlige driftsmæssige forstyrrelser i den pågældende EU-enheds funktionsdygtighed eller økonomiske tab for denne

b)	den har påvirket eller er i stand til at påvirke andre fysiske eller juridiske personer ved at forårsage betydelig materiel eller immateriel skade.

2.   EU-enhederne fremsender til CERT-EU:

a)

uden unødigt ophold og under alle omstændigheder inden for 24 timer efter at have fået kendskab til den væsentlige hændelse et tidligt varsel, som i givet fald skal angive, at den væsentlige hændelse mistænkes for at være forårsaget af ulovlige eller ondsindede handlinger eller kunne have en virkning på tværs af enheder eller en grænseoverskridende virkning

b)

uden unødigt ophold og under alle omstændigheder inden for 72 timer efter at have fået kendskab til den væsentlige hændelse, en hændelsesunderretning, som i givet fald skal ajourføre de i litra a) omhandlede oplysninger og give en indledende vurdering af den væsentlige hændelse, herunder dens alvor og virkning samt kompromitteringsindikatorerne, hvor sådanne foreligger

c)	på CERT-EU's anmodning en foreløbig rapport om relevante statusopdateringer

d)

en endelig rapport senest en måned efter forelæggelsen af den i litra b) omhandlede hændelsesunderretning, som skal omfatte følgende: i) en detaljeret beskrivelse af hændelsen, herunder dens alvor og virkning ii) den type trussel eller grundlæggende årsag, der sandsynligvis har udløst hændelsen iii) anvendte og igangværende afbødende foranstaltninger iv) hvor det er relevant, virkninger på tværs af enheder eller grænseoverskridende virkninger af hændelsen

e)	hvis en hændelse stadig pågår på tidspunktet for indgivelsen af den i litra d) omhandlede endelige rapport, en statusrapport på dette tidspunkt og en endelig rapport senest en måned efter deres håndtering af hændelsen.

3.   En EU-enhed underretter uden unødigt ophold og under alle omstændigheder senest 24 timer efter at have fået kendskab til en væsentlig hændelse alle relevante medlemsstatsmodparter, jf. artikel 17, stk. 1, i den medlemsstat, hvor den befinder sig, om, at der er indtruffet en væsentlig hændelse.

4.   EU-enhederne meddeler bl.a. alle oplysninger, der gør det muligt for CERT-EU at fastslå eventuelle virkninger på tværs af enheder, virkninger for værtsmedlemsstaten eller grænseoverskridende virkninger efter en væsentlig hændelse. Med forbehold af artikel 12 medfører underretningen i sig selv ikke øget ansvar for den underrettende EU-enhed.

5.   Hvor det er relevant, kommunikerer EU-enhederne uden unødigt ophold med brugerne af de påvirkede net- og informationssystemer eller af andre komponenter i IKT-miljøet, som potentielt kan blive påvirket af en væsentlig hændelse eller en væsentlig cybertrussel, og som, hvor det er relevant, er nødt til at træffe afbødende foranstaltninger, om alle foranstaltninger eller modforholdsregler, de kan træffe som reaktion på den pågældende hændelse eller trussel. Hvor det er relevant, informerer EU-enhederne disse brugere om selve den væsentlige cybertrussel.

6.   Hvis en væsentlig hændelse eller en væsentlig cybertrussel påvirker et net- og informationssystem eller en komponent i en EU-enheds IKT-miljø, som man ved er forbundet med en anden EU-enheds IKT-miljø, udsteder CERT-EU en relevant cybersikkerhedsadvarsel.

7.   EU-enhederne giver på CERT-EU's anmodning og uden unødigt ophold CERT-EU digitale oplysninger, der er skabt ved brug af elektroniske enheder, som har været involveret i deres respektive hændelser. CERT-EU kan præcisere yderligere, hvilken type digitale oplysninger det har brug for med henblik på situationsbevidsthed og reaktion på hændelser.

8.   CERT-EU forelægger hver tredje måned IICB, ENISA, EU INTCEN og CSIRT-netværket en sammenfattende rapport, herunder anonymiserede og aggregerede data om væsentlige hændelser, hændelser, cybertrusler, nærvedhændelser og sårbarheder i henhold til artikel 20 og væsentlige hændelser, der er indberettet i henhold til nærværende artikels stk. 2. Den sammenfattende rapport udgør et input til den rapport, der kommer hvert andet år, om cybersikkerhedssituationen i Unionen, som vedtages i henhold til artikel 18 i direktiv (EU) 2022/2555.

9.   IICB udsteder senest den 8. juli 2024 retningslinjer eller henstillinger med en nærmere præcisering af ordningen og formatet for samt indholdet af rapporteringen i henhold til denne artikel. Ved udarbejdelsen af sådanne retningslinjer eller henstillinger tager IICB hensyn til eventuelle gennemførelsesretsakter vedtaget i henhold til artikel 23, stk. 11, i direktiv (EU) 2022/2555, der præciserer typen af oplysninger, formatet og proceduren for underretninger. CERT-EU formidler de relevante tekniske detaljer om cybertrusler for at gøre det muligt for EU-enhederne at foretage proaktiv opdagelse, reagere på hændelser eller træffe afhjælpende foranstaltninger.

10.   Rapporteringsforpligtelserne, der er fastsat i denne artikel, gælder ikke:

a)

EUCI

b)	oplysninger, hvis videre udbredelse er blevet udelukket ved en synlig mærkning, medmindre det udtrykkeligt er tilladt at dele dem med CERT-EU.

1.   For på operationelt plan at støtte den koordinerede håndtering af større hændelser, der påvirker EU-enheder, og bidrage til regelmæssig udveksling af relevante oplysninger mellem EU-enheder og med medlemsstaterne udarbejder IICB i henhold til artikel 11, litra q), en cyberkrisestyringsplan baseret på de aktiviteter, der er omhandlet i artikel 22, stk. 2, i tæt samarbejde med CERT-EU og ENISA. Cyberkrisestyringsplanen skal mindst indeholde følgende elementer:

a)	ordninger for koordinering og informationsstrømme mellem EU-enhederne med henblik på håndtering af større hændelser på operationelt plan

b)	fælles operative standardprocedurer (SOP)

c)	en fælles taksonomi for alvorsgraden af større hændelser og kriseudløsende faktorer

d)	regelmæssige øvelser

e)	sikre kommunikationskanaler, der skal anvendes.

2.   Kommissionens repræsentant i IICB er med forbehold af den cyberkrisestyringsplan, der er udarbejdet i henhold til denne artikels stk. 1, og uden at det berører artikel 16, stk. 2, første afsnit, i direktiv (EU) 2022/2555, kontaktpunktet for udveksling af relevante oplysninger i relation til større hændelser med EU-CyCLONe.

3.   CERT-EU koordinerer håndteringen af større hændelser mellem EU-enhederne. CERT-EU fører en fortegnelse over disponibel teknisk ekspertise, der vil være brug for i forbindelse med reaktionen på større hændelser, og bistår IICB med at koordinere EU-enhedernes cyberkrisehåndteringsplaner for større hændelser, jf. artikel 9, stk. 2.

4.   EU-enhederne bidrager til denne fortegnelse over teknisk ekspertise i form af en årlig ajourført liste over eksperter, der er til rådighed i deres respektive enheder, inkl. detaljerede beskrivelser af deres specifikke tekniske færdigheder.