keyboard_tab Cyber Resilience Act 2023/2841 DA
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 3 Definitioner
- 2 Art. 12 Overholdelse
- 2 Art. 13 CERT-EU's mission og opgaver
- 1 Art. 18 CERT-EU's samarbejde med andre modparter
- 1 Art. 21 Rapporteringsforpligtelser
- 1 Art. 25 Evaluering
- Artikel 26 Ikrafttræden
KAPITEL I
ALMINDELIGE BESTEMMELSER
KAPITEL II
FORANSTALTNINGER TIL SIKRING AF ET HØJT FÆLLES CYBERSIKKERHEDSNIVEAU
KAPITEL III
DET INTERINSTITUTIONELLE RÅD FOR CYBERSIKKERHED
KAPITEL IV
CERT-EU
KAPITEL V
SAMARBEJDE OG RAPPORTERINGSFORPLIGTELSER
KAPITEL VI
AFSLUTTENDE BESTEMMELSER
- eller 46
- artikel 35
- iicb 26
- cert-eu 25
- pågældende 20
- oplysninger 19
- eu-enhed 18
- denne 18
- eu / 17
- hændelser 17
- henhold 17
- forordning 17
- samarbejde 16
- hændelse 16
- cert-eu 16
- stk 15
- direktiv 13
- efter 12
- eu-enhederne 12
- herunder 12
- defineret 12
- nr 12
- rapport 11
- hvor 11
- henblik 10
- væsentlig 10
- andre 10
- relevant 10
- under 9
- ikke 9
- inden 9
- foranstaltninger 9
- net- 9
- hvis 8
- uden 8
- litra 8
- cybertrusler 8
- eu-enheder 8
- relevante 8
- eu-enheds 8
- dette 8
- væsentlige 7
- omhandlet 7
- henstillinger 7
- enheder 7
- gennemførelsen 7
- godkendelse 6
- sårbarheder 6
- virkning 6
- deres 6
Artikel 3
Definitioner
I denne forordning forstås ved:
| 1) | »EU-enheder«: Unionens institutioner, organer, kontorer og agenturer, der er oprettet ved eller i medfør af traktaten om Den Europæiske Union, traktaten om Den Europæiske Unions funktionsmåde (TEUF) eller traktaten om oprettelse af Det Europæiske Atomenergifællesskab |
| 2) | »net- og informationssystem«: et net- og informationssystem som defineret i artikel 6, nr. 1), i direktiv (EU) 2022/2555 |
| 3) | »sikkerhed i net- og informationssystemer«: sikkerhed i net- og informationssystemer som defineret i artikel 6, nr. 2), i direktiv (EU) 2022/2555 |
| 4) | »cybersikkerhed«: cybersikkerhed som defineret i artikel 2, nr. 1), i forordning (EU) 2019/881 |
| 5) | »øverste ledelse«: en leder, et ledelsesorgan eller et koordinerings- eller tilsynsorgan, der er ansvarlig for en EU-enheds funktionsdygtighed, på højeste administrative niveau med et mandat til at træffe eller godkende beslutninger på linje med ledelsesordningerne på højt niveau i den pågældende EU-enhed, uden at dette berører det formelle ansvar for overholdelse og cybersikkerhedsrisikostyring på andre ledelsesniveauer inden for deres respektive ansvarsområder |
| 6) | »nærvedhændelse«: en nærvedhændelse som defineret i artikel 6, nr. 5), i direktiv (EU) 2022/2555 |
| 7) | »hændelse«: en hændelse som defineret i artikel 6, nr. 6), i direktiv (EU) 2022/2555 |
| 8) | »større hændelse«: en hændelse, der forårsager en forstyrrelse på et niveau, som overstiger en EU-enheds og CERT-EU's kapacitet til at reagere på den, eller som har en betydelig virkning for mindst to EU-enheder |
| 9) | »omfattende cybersikkerhedshændelse«: en omfattende cybersikkerhedshændelse som defineret i artikel 6, nr. 7), i direktiv (EU) 2022/2555 |
| 10) | »håndtering af hændelser«: håndtering af hændelser som defineret i artikel 6, nr. 8), i direktiv (EU) 2022/2555 |
| 11) | »cybertrussel«: en cybertrussel som defineret i artikel 2, nr. 8), i forordning (EU) 2019/881 |
| 12) | »væsentlig cybertrussel«: en væsentlig cybertrussel som defineret i artikel 6, nr. 11), i direktiv (EU) 2022/2555 |
| 13) | »sårbarhed«: en sårbarhed som defineret i artikel 6, nr. 15), i direktiv (EU) 2022/2555 |
| 14) | »cybersikkerhedsrisiko«: en risiko som defineret i artikel 6, nr. 9), i direktiv (EU) 2022/2555 |
| 15) | »cloudcomputingtjeneste«: en cloudcomputingtjeneste som defineret i artikel 6, nr. 30), i direktiv (EU) 2022/2555. |
Artikel 12
Overholdelse
1. IICB overvåger i henhold til artikel 10, stk. 2, og artikel 11 effektivt EU-enhedernes gennemførelse af denne forordning og de vedtagne retningslinjer, henstillinger og opfordringer til tiltag. IICB kan anmode EU-enhederne om de oplysninger eller den dokumentation, der er behov for til dette formål. Med henblik på vedtagelse af overholdelsesforanstaltninger i henhold til nærværende artikel har den pågældende EU-enhed, såfremt den er direkte repræsenteret i IICB, ikke stemmeret.
2. Hvis IICB finder, at en EU-enhed ikke på effektiv vis har gennemført denne forordning eller retningslinjer, henstillinger eller opfordringer til tiltag, som er udstedt i medfør heraf, kan det, uden at dette berører den pågældende EU-enheds interne procedurer, og efter at have givet den pågældende EU-enhed mulighed for at fremsætte sine bemærkninger gøre følgende:
| a) | sende en begrundet udtalelse til den pågældende EU-enhed med konstaterede mangler i gennemførelsen af denne forordning |
| b) | efter høring af CERT-EU udstede retningslinjer til den pågældende EU-enhed for at sikre, at dens ramme, foranstaltninger til styring af cybersikkerhedsrisici, cybersikkerhedsplan og rapportering er i overensstemmelse med denne forordning inden for en nærmere angivet periode |
| c) | udstede en advarsel om, at konstaterede mangler skal afhjælpes inden for en nærmere angivet periode, herunder henstillinger om ændring af foranstaltninger vedtaget af den pågældende EU-enhed i henhold til denne forordning |
| d) | udstede en begrundet meddelelse til den pågældende EU-enhed, hvis de mangler, der blev påpeget i en advarsel udstedt i henhold til litra c), ikke er blevet afhjulpet i tilstrækkelig grad inden for den fastsatte periode |
| e) | udstede:
|
| f) | hvor det er relevant, underrette Revisionsretten inden for rammerne af sit mandat om den påståede manglende overholdelse |
| g) | udstede en henstilling om, at alle medlemsstater og EU-enheder foretager en midlertidig afbrydelse af datastrømmene til den pågældende EU-enhed. |
Med henblik på litra c), første afsnit, begrænses advarslens læserskare på passende vis, hvis det er nødvendigt i lyset af cybersikkerhedsrisikoen.
Advarsler og henstillinger udstedt i henhold til første afsnit rettes til det øverste ledelsesniveau i den pågældende EU-enhed.
3. Hvis IICB har vedtaget foranstaltninger i henhold til stk. 2, første afsnit, litra a)-g), fremlægger den pågældende EU-enhed detaljer om de foranstaltninger og tiltag, der er iværksat for at afhjælpe de påståede mangler, som IICB har konstateret. EU-enheden indsender disse detaljer inden for en rimelig periode, der aftales med IICB.
4. Hvis IICB finder, at en EU-enhed vedholdende overtræder denne forordning som en direkte følge af en EU-tjenestemands eller anden EU-ansats handlinger eller undladelser, herunder i den øverste ledelse, anmoder IICB om, at den pågældende EU-enhed iværksætter passende tiltag, hvilket indbefatter en anmodning om at iværksætte tiltag af disciplinær karakter, i overensstemmelse med de regler og procedurer, der er fastsat i vedtægten for tjenestemænd, og eventuelle andre gældende regler og procedurer. Med henblik herpå videregiver IICB de nødvendige oplysninger til den pågældende EU-enhed.
5. Hvis EU-enheder meddeler, at de ikke er i stand til at overholde fristerne i artikel 6, stk. 1, og artikel 8, stk. 1, kan IICB i behørigt begrundede tilfælde under hensyntagen til EU-enhedens størrelse tillade en forlængelse af disse frister.
KAPITEL IV
CERT-EU
Artikel 13
CERT-EU's mission og opgaver
1. CERT-EU's mission er at bidrage til det uklassificerede IKT-miljøs sikkerhed i alle EU-enheder ved at rådgive dem om cybersikkerhed, hjælpe dem med at forebygge, opdage, håndtere, afbøde, reagere på og reetablere sig efter hændelser og fungere som deres knudepunkt for udveksling af oplysninger vedrørende cybersikkerhed og for koordinering af reaktionen på hændelser.
2. CERT-EU indsamler, forvalter, analyserer og deler oplysninger med EU-enhederne om cybertrusler, sårbarheder og hændelser i uklassificeret IKT-infrastruktur. Det koordinerer beredskabet i forbindelse med hændelser på interinstitutionelt niveau og på EU-enhedsniveau, herunder ved at yde eller koordinere ydelsen af specialiseret operationel bistand.
3. CERT-EU udfører følgende opgaver for at bistå EU-enhederne:
| a) | støtter dem i forbindelse med gennemførelsen af denne forordning og bidrager til koordineringen af gennemførelsen af denne forordning ved hjælp af de foranstaltninger, der er opført i artikel 14, stk. 1, eller ved hjælp af ad hoc-rapporter, som IICB har anmodet om |
| b) | tilbyder standardiserede CSIRT-tjenester til EU-enheder i form af en pakke af cybersikkerhedstjenester beskrevet i dets tjenestekatalog (»basistjenester«) |
| c) | vedligeholder et netværk af ligestillede og partnere til støtte for tjenesterne, jf. artikel 17 og 18 |
| d) | gør IICB opmærksom på problemer, der vedrører gennemførelsen af denne forordning samt gennemførelsen af retningslinjer, henstillinger og opfordringer til tiltag |
| e) | bidrager på grundlag af de oplysninger, der er omhandlet i stk. 2, til Unionens cybersituationsbevidsthed i tæt samarbejde med ENISA |
| f) | koordinerer håndteringen af større hændelser |
| g) | agerer på vegne af EU-enhederne som ækvivalent med den koordinator, der er udpeget med henblik på koordineret offentliggørelse af sårbarheder, jf. artikel 12, stk. 1, i direktiv (EU) 2022/2555 |
| h) | sørger efter anmodning fra en EU-enhed for en proaktiv, ikkeindgribende scanning af den pågældende EU-enheds offentligt tilgængelige net- og informationssystemer. |
De oplysninger, der er omhandlet i første afsnit, litra e), deles med IICB, CSIRT-netværket og Den Europæiske Unions Efterretnings- og Situationscenter (EU INTCEN), hvor det er relevant og hensigtsmæssigt, og under overholdelse af passende fortrolighedsbetingelser.
4. CERT-EU kan i overensstemmelse med artikel 17 eller 18, alt efter hvad der er relevant, samarbejde med relevante cybersikkerhedsfællesskaber i Unionen og dens medlemsstater, herunder på følgende områder:
| a) | beredskab, koordinering i forbindelse med hændelser, udveksling af oplysninger og reaktion på kriser på teknisk plan i forbindelse med sager, der har tilknytning til EU-enhederne |
| b) | operationelt samarbejde i forbindelse med CSIRT-netværket, herunder med hensyn til gensidig bistand |
| c) | efterretninger om cybertrusler, herunder situationsbevidsthed |
| d) | et hvilket som helst andet område, hvor CERT-EU's tekniske cybersikkerhedsekspertise er påkrævet. |
5. CERT-EU indgår inden for sin kompetence i et struktureret samarbejde med ENISA om kapacitetsopbygning, operationelt samarbejde og langsigtede strategiske analyser af cybertrusler i overensstemmelse med forordning (EU) 2019/881. CERT-EU kan samarbejde og udveksle oplysninger med Europols Europæiske Center for Bekæmpelse af Cyberkriminalitet.
6. CERT-EU kan levere følgende tjenester, der ikke er beskrevet i dets tjenestekatalog (betalingspligtige tjenester):
| a) | tjenester til støtte for cybersikkerheden i relation til EU-enhedernes IKT-miljø ud over dem, der er omhandlet i stk. 3, i henhold til serviceleveranceaftaler og under forudsætning af, at der er ressourcer til rådighed, navnlig bredspektret overvågning af netværk, herunder 24/7-frontlinjeovervågning af meget alvorlige cybertrusler |
| b) | tjenester til støtte for EU-enhedernes cybersikkerhedsoperationer eller -projekter ud over dem, der beskytter deres IKT-miljø, i henhold til skriftlige aftaler og under forudsætning af forudgående godkendelse fra IICB |
| c) | efter anmodning en proaktiv scanning af den pågældende EU-enheds net- og informationssystemer for at opdage sårbarheder med en potentiel væsentlig virkning |
| d) | tjenester til støtte for IKT-miljøers sikkerhed i andre organisationer end EU-enhederne, som arbejder tæt sammen med EU-enhederne, f.eks. fordi de er tildelt opgaver eller ansvarsområder i henhold til EU-retten, i henhold til skriftlige aftaler og under forudsætning af forudgående godkendelse fra IICB. |
For så vidt angår første afsnit, litra d), kan CERT-EU undtagelsesvis indgå serviceleveranceaftaler med andre enheder end EU-enheder med forudgående godkendelse fra IICB.
7. CERT-EU arrangerer og kan deltage i cybersikkerhedsøvelser eller opfordre til deltagelse i eksisterende øvelser, hvor det er relevant i tæt samarbejde med ENISA, med henblik på at teste cybersikkerhedsniveauet i EU-enhederne.
8. CERT-EU kan yde bistand til EU-enhederne vedrørende hændelser i net- og informationssystemer, der håndterer EUCI, hvis de pågældende EU-enheder udtrykkeligt anmoder herom i overensstemmelse med deres respektive procedurer. CERT-EU's ydelse af bistand i henhold til dette stykke berører ikke gældende regler om beskyttelse af klassificerede informationer.
9. CERT-EU underretter EU-enhederne om sine procedurer og processer for håndtering af hændelser.
10. CERT-EU bidrager med en høj grad af fortrolighed og pålidelighed via de behørige samarbejdsmekanismer og rapporteringsveje til relevante og anonymiserede oplysninger om større hændelser og måden, hvorpå de blev håndteret. Disse oplysninger medtages i den rapport, der er omhandlet i artikel 10, stk. 14.
11. CERT-EU støtter i samarbejde med EDPS de pågældende EU-enheder, når de håndterer hændelser, der medfører brud på persondatasikkerheden, uden at dette berører EDPS' kompetencer og opgaver som tilsynsmyndighed i henhold til forordning (EU) 2018/1725.
12. CERT-EU kan, hvis EU-enhedernes politiske afdelinger udtrykkeligt anmoder herom, yde teknisk rådgivning eller input om relevante politiske spørgsmål.
Artikel 18
CERT-EU's samarbejde med andre modparter
1. CERT-EU må samarbejde med andre modparter i Unionen end dem, der er omhandlet i artikel 17, som er underlagt EU-cybersikkerhedskrav, herunder branchespecifikke modparter, om værktøjer og metoder såsom teknikker, taktikker, procedurer og bedste praksis samt om cybertrusler og sårbarheder. CERT-EU indhenter med henblik på alt samarbejde med sådanne modparter forudgående godkendelse fra IICB i hvert enkelt tilfælde. Hvis CERT-EU etablerer et samarbejde med sådanne modparter, underretter den alle relevante medlemsstatsmodparter, jf. artikel 17, stk. 1, i den medlemsstat, hvor modparten befinder sig. Hvor det er relevant og hensigtsmæssigt, fastlægges et sådant samarbejde og betingelserne herfor, herunder vedrørende cybersikkerhed, databeskyttelse og håndtering af oplysninger, i særlige aftaler om fortrolighed, såsom kontrakter eller administrative ordninger. Aftalerne om fortrolighed kræver ikke forudgående godkendelse fra IICB, men IICB's formand skal underrettes. I tilfælde af et presserende og nært forestående behov for at udveksle cybersikkerhedsoplysninger i EU-enhedernes eller en anden parts interesse kan CERT-EU gøre dette med en enhed, hvis specifikke kompetence, kapacitet og ekspertise med god grund er nødvendig for at bistå med et sådant presserende og nært forestående behov, selv om CERT-EU ikke har indgået en aftale om fortrolighed med den pågældende enhed. I sådanne tilfælde underretter CERT-EU straks IICB's formand og aflægger rapport til IICB gennem regelmæssige rapporter eller møder.
2. CERT-EU må samarbejde med andre partnere såsom kommercielle enheder, herunder branche- og sektorspecifikke enheder, internationale organisationer, nationale ikke-EU-enheder eller individuelle eksperter med henblik på at indsamle oplysninger om generelle og specifikke cybertrusler, nærvedhændelser, sårbarheder og mulige modforanstaltninger. CERT-EU indhenter med henblik på at indlede et bredere samarbejde med sådanne partnere forudgående godkendelse fra IICB i hvert enkelt tilfælde.
3. CERT-EU må med samtykke fra den EU-enhed, der er berørt af en hændelse, og forudsat at der er indgået en aftale eller kontrakt om fortrolighed med den relevante modpart eller partner, give oplysninger om den specifikke hændelse til modparter eller partnere, der er omhandlet i stk. 1 og 2, udelukkende med henblik på at bidrage til analysen heraf.
KAPITEL V
SAMARBEJDE OG RAPPORTERINGSFORPLIGTELSER
Artikel 21
Rapporteringsforpligtelser
1. En hændelse anses for at være væsentlig, hvis:
| a) | den har forårsaget eller er i stand til at forårsage alvorlige driftsmæssige forstyrrelser i den pågældende EU-enheds funktionsdygtighed eller økonomiske tab for denne |
| b) | den har påvirket eller er i stand til at påvirke andre fysiske eller juridiske personer ved at forårsage betydelig materiel eller immateriel skade. |
2. EU-enhederne fremsender til CERT-EU:
| a) | uden unødigt ophold og under alle omstændigheder inden for 24 timer efter at have fået kendskab til den væsentlige hændelse et tidligt varsel, som i givet fald skal angive, at den væsentlige hændelse mistænkes for at være forårsaget af ulovlige eller ondsindede handlinger eller kunne have en virkning på tværs af enheder eller en grænseoverskridende virkning |
| b) | uden unødigt ophold og under alle omstændigheder inden for 72 timer efter at have fået kendskab til den væsentlige hændelse, en hændelsesunderretning, som i givet fald skal ajourføre de i litra a) omhandlede oplysninger og give en indledende vurdering af den væsentlige hændelse, herunder dens alvor og virkning samt kompromitteringsindikatorerne, hvor sådanne foreligger |
| c) | på CERT-EU's anmodning en foreløbig rapport om relevante statusopdateringer |
| d) | en endelig rapport senest en måned efter forelæggelsen af den i litra b) omhandlede hændelsesunderretning, som skal omfatte følgende:
|
| e) | hvis en hændelse stadig pågår på tidspunktet for indgivelsen af den i litra d) omhandlede endelige rapport, en statusrapport på dette tidspunkt og en endelig rapport senest en måned efter deres håndtering af hændelsen. |
3. En EU-enhed underretter uden unødigt ophold og under alle omstændigheder senest 24 timer efter at have fået kendskab til en væsentlig hændelse alle relevante medlemsstatsmodparter, jf. artikel 17, stk. 1, i den medlemsstat, hvor den befinder sig, om, at der er indtruffet en væsentlig hændelse.
4. EU-enhederne meddeler bl.a. alle oplysninger, der gør det muligt for CERT-EU at fastslå eventuelle virkninger på tværs af enheder, virkninger for værtsmedlemsstaten eller grænseoverskridende virkninger efter en væsentlig hændelse. Med forbehold af artikel 12 medfører underretningen i sig selv ikke øget ansvar for den underrettende EU-enhed.
5. Hvor det er relevant, kommunikerer EU-enhederne uden unødigt ophold med brugerne af de påvirkede net- og informationssystemer eller af andre komponenter i IKT-miljøet, som potentielt kan blive påvirket af en væsentlig hændelse eller en væsentlig cybertrussel, og som, hvor det er relevant, er nødt til at træffe afbødende foranstaltninger, om alle foranstaltninger eller modforholdsregler, de kan træffe som reaktion på den pågældende hændelse eller trussel. Hvor det er relevant, informerer EU-enhederne disse brugere om selve den væsentlige cybertrussel.
6. Hvis en væsentlig hændelse eller en væsentlig cybertrussel påvirker et net- og informationssystem eller en komponent i en EU-enheds IKT-miljø, som man ved er forbundet med en anden EU-enheds IKT-miljø, udsteder CERT-EU en relevant cybersikkerhedsadvarsel.
7. EU-enhederne giver på CERT-EU's anmodning og uden unødigt ophold CERT-EU digitale oplysninger, der er skabt ved brug af elektroniske enheder, som har været involveret i deres respektive hændelser. CERT-EU kan præcisere yderligere, hvilken type digitale oplysninger det har brug for med henblik på situationsbevidsthed og reaktion på hændelser.
8. CERT-EU forelægger hver tredje måned IICB, ENISA, EU INTCEN og CSIRT-netværket en sammenfattende rapport, herunder anonymiserede og aggregerede data om væsentlige hændelser, hændelser, cybertrusler, nærvedhændelser og sårbarheder i henhold til artikel 20 og væsentlige hændelser, der er indberettet i henhold til nærværende artikels stk. 2. Den sammenfattende rapport udgør et input til den rapport, der kommer hvert andet år, om cybersikkerhedssituationen i Unionen, som vedtages i henhold til artikel 18 i direktiv (EU) 2022/2555.
9. IICB udsteder senest den 8. juli 2024 retningslinjer eller henstillinger med en nærmere præcisering af ordningen og formatet for samt indholdet af rapporteringen i henhold til denne artikel. Ved udarbejdelsen af sådanne retningslinjer eller henstillinger tager IICB hensyn til eventuelle gennemførelsesretsakter vedtaget i henhold til artikel 23, stk. 11, i direktiv (EU) 2022/2555, der præciserer typen af oplysninger, formatet og proceduren for underretninger. CERT-EU formidler de relevante tekniske detaljer om cybertrusler for at gøre det muligt for EU-enhederne at foretage proaktiv opdagelse, reagere på hændelser eller træffe afhjælpende foranstaltninger.
10. Rapporteringsforpligtelserne, der er fastsat i denne artikel, gælder ikke:
| a) | EUCI |
| b) | oplysninger, hvis videre udbredelse er blevet udelukket ved en synlig mærkning, medmindre det udtrykkeligt er tilladt at dele dem med CERT-EU. |
Artikel 25
Evaluering
1. Senest den 8. januar 2025 og derefter hvert år rapporterer IICB med bistand fra CERT-EU til Kommissionen om gennemførelsen af denne forordning. IICB kan henstille til Kommissionen at evaluere denne forordning.
2. Senest den 8. januar 2027 og derefter hvert andet år foretager Kommissionen en vurdering og rapporterer til Europa-Parlamentet og Rådet om gennemførelsen af denne forordning og om de indhøstede erfaringer på strategisk og operationelt plan.
Den rapport, der er omhandlet i dette stykkes første afsnit, indeholder gennemgangen, jf. artikel 16, stk. 1, af muligheden for at oprette CERT-EU som et EU-kontor.
3. Senest den 8. januar 2029 evaluerer Kommissionen denne forordnings funktion og forelægger en rapport for Europa-Parlamentet, Rådet, Det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalget. Kommissionen vurderer også, om det er hensigtsmæssigt at medtage net- og informationssystemer, der håndterer EUCI, i denne forordnings anvendelsesområde, under hensyntagen til andre EU-retsakter, der finder anvendelse på disse systemer. Rapporten ledsages om nødvendigt af et lovgivningsmæssigt forslag.
whereas