keyboard_tab Cyber Resilience Act 2023/2841 DA
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 8 Foranstaltninger til styring af cybersikkerhedsrisici
- 1 Art. 11 IICB's opgaver
- 1 Art. 16 Finansielle og personalemæssige spørgsmål
- 2 Art. 18 CERT-EU's samarbejde med andre modparter
KAPITEL I
ALMINDELIGE BESTEMMELSER
KAPITEL II
FORANSTALTNINGER TIL SIKRING AF ET HØJT FÆLLES CYBERSIKKERHEDSNIVEAU
KAPITEL III
DET INTERINSTITUTIONELLE RÅD FOR CYBERSIKKERHED
KAPITEL IV
CERT-EU
KAPITEL V
SAMARBEJDE OG RAPPORTERINGSFORPLIGTELSER
KAPITEL VI
AFSLUTTENDE BESTEMMELSER
- cert-eu 38
- artikel 19
- forordning 17
- nr / 14
- herunder 13
- eller 13
- iicb 12
- europæiske 12
- stk 11
- foranstaltninger 10
- hvor 9
- under 9
- henblik 9
- samarbejde 9
- denne 9
- hændelser 8
- chef 8
- eu / 8
- rådets 8
- godkende 8
- forslag 7
- eu-enhederne 7
- cybersikkerhed 7
- oplysninger 7
- deres 7
- sådanne 6
- sårbarheder 6
- grundlag 6
- cybersikkerhedsrisici 6
- relevant 6
- mellem 6
- europa-parlamentets 6
- modparter 6
- eu-enhed 6
- såsom 6
- eu-enheder 6
- omhandlet 6
- specifikke 5
- eu-enhedernes 5
- støtte 5
- finansielle 5
- vedrørende 5
- heraf 5
- direktiv 5
- tjenester 5
- styring 5
- kommissionen 5
- eut l 5
- administrative 5
- cert-eu 5
Artikel 8
Foranstaltninger til styring af cybersikkerhedsrisici
1. Uden unødigt ophold og under alle omstændigheder senest den 8. september 2025 træffer hver EU-enhed under tilsyn af sin øverste ledelse passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre de cybersikkerhedsrisici, der konstateres inden for rammen, og for at forebygge eller minimere virkningerne af hændelser. Under hensyntagen til det aktuelle teknologiske stade og i givet fald til relevante europæiske og internationale standarder skal disse foranstaltninger tilvejebringe et sikkerhedsniveau i net- og informationssystemer i hele IKT-miljøet, som står mål med de cybersikkerhedsrisici, der truer dem. Ved vurderingen af proportionaliteten af disse foranstaltninger tages der behørigt hensyn til graden af EU-enhedens eksponering for cybersikkerhedsrisici, dens størrelse og sandsynligheden for hændelser og deres alvor, herunder deres samfundsmæssige, økonomiske og interinstitutionelle indvirkning.
2. EU-enheder tager som minimum fat på følgende områder i gennemførelsen af foranstaltningerne til styring af cybersikkerhedsrisici:
| a) | cybersikkerhedspolitikken, herunder foranstaltninger, der er nødvendige for at nå de mål og prioriteter, der er omhandlet i artikel 6 og nærværende artikels stk. 3 |
| b) | politikker for cybersikkerhedsrisikoanalyse og informationssystemsikkerhed |
| c) | politikmål for brugen af cloudcomputingtjenester |
| d) | cybersikkerhedsrevision, hvor det er relevant, som kan omfatte en cybersikkerhedsrisiko-, sårbarheds- og cybertrusselsvurdering og en penetrationstest, der udføres regelmæssigt af en betroet privat udbyder |
| e) | gennemførelse af henstillinger som følge af cybersikkerhedsrevisioner, jf. litra d), gennem cybersikkerheds- og politikopdateringer |
| f) | organisering af cybersikkerheden, herunder fastlæggelse af roller og ansvarsområder |
| g) | forvaltning af aktiver, herunder en liste over IKT-aktiver og en kortlægning af IKT-netværket |
| h) | personalesikkerhed og adgangskontrol |
| i) | driftssikkerhed |
| j) | kommunikationssikkerhed |
| k) | erhvervelse, udvikling og vedligeholdelse af systemer, herunder politikker for håndtering og offentliggørelse af sårbarheder |
| l) | hvor det er muligt, politikker for kildekodens gennemsigtighed |
| m) | forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte EU-enhed og dens direkte leverandører eller tjenesteudbydere |
| n) | håndtering af hændelser og samarbejde med CERT-EU, såsom vedligeholdelse af sikkerhedsovervågning og -logning |
| o) | styring af driftskontinuitet, såsom backup-styring og reetablering efter en katastrofe, og krisestyring, og |
| p) | fremme og udvikling af uddannelse, færdigheder, bevidstgørelse, øvelses- og undervisningsprogrammer i forbindelse med cybersikkerhed. |
Med henblik på første afsnit, litra m), tager EU-enheder hensyn til de sårbarheder, der er specifikke for hver direkte leverandør og tjenesteudbyder, og den samlede kvalitet af deres leverandørers og tjenesteudbyderes produkter og cybersikkerhedspraksis, herunder deres sikre udviklingsprocedurer.
3. EU-enhederne træffer som minimum følgende foranstaltninger til styring af cybersikkerhedsrisici:
| a) | tekniske konfigurationer med henblik på at muliggøre og opretholde telearbejde |
| b) | konkrete skridt til at bevæge sig i retning af »zero trust«-principper |
| c) | anvendelse af multifaktorgodkendelse som standard for alle net- og informationssystemer |
| d) | anvendelse af kryptografi og kryptering, navnlig end-to-end-kryptering, og sikker digital underskrift |
| e) | hvor det er relevant, anvendelse af sikker tale-, video- og tekstkommunikation og sikre nødkommunikationssystemer internt i EU-enheden |
| f) | proaktive foranstaltninger til opdagelse og fjernelse af malware og spyware |
| g) | etablering af forsyningskædesikkerhed for så vidt angår software ved hjælp af kriterier for sikker udvikling og evaluering af software |
| h) | fastlæggelse og indførelse af uddannelsesprogrammer om cybersikkerhed, som svarer til de foreskrevne opgaver og den forventede kapacitet, for den øverste ledelse og medarbejdere i EU-enheden, der har til opgave at sikre den effektive gennemførelse af denne forordning |
| i) | regelmæssig uddannelse af medarbejdere i cybersikkerhed |
| j) | hvor det er relevant, deltagelse i risikoanalyser af sammenkoblingsordningerne mellem EU-enhederne |
| k) | forbedring af indkøbsprocedurerne med henblik på at fremme et højt fælles cybersikkerhedsniveau ved hjælp af:
|
Artikel 11
IICB's opgaver
Når det udfører sine forpligtelser, skal IICB navnlig:
| a) | yde vejledning til CERT-EU's chef |
| b) | effektivt overvåge og føre tilsyn med gennemførelsen af denne forordning og støtte EU-enhederne i at styrke deres cybersikkerhed, herunder, hvor det er relevant, anmode om ad hoc-rapporter fra EU-enhederne og CERT-EU |
| c) | efter en strategisk drøftelse vedtage en flerårig strategi for forøgelse af cybersikkerhedsniveauet i EU-enhederne, vurdere denne strategi regelmæssigt og under alle omstændigheder hvert femte år og, hvor det er nødvendigt, ændre strategien |
| d) | fastlægge metoden for og de organisatoriske aspekter af EU-enhedernes gennemførelse af frivillige peerevalueringer med henblik på at lære af fælles erfaringer, styrke den gensidige tillid, opnå et højt fælles cybersikkerhedsniveau og styrke EU-enhedernes cybersikkerhedskapacitet, idet det sikres, at sådanne peerevalueringer foretages af cybersikkerhedseksperter udpeget af en anden EU-enhed end den EU-enhed, der evalueres, og at metoden er baseret på artikel 19 i direktiv (EU) 2022/2555 og, hvor det er relevant, er tilpasset EU-enhederne |
| e) | godkende CERT-EU's årlige arbejdsprogram på grundlag af et forslag fra CERT-EU's chef og overvåge gennemførelsen heraf |
| f) | godkende CERT-EU's tjenestekatalog og eventuelle senere ajourføringer heraf på grundlag af et forslag fra CERT-EU's chef |
| g) | på grundlag af et forslag fra CERT-EU's chef godkende den årlige finansielle planlægning af indtægter og udgifter, herunder personale, i forbindelse med CERT-EU's aktiviteter |
| h) | godkende ordningerne for serviceleveranceaftaler på grundlag af et forslag fra CERT-EU's chef |
| i) | behandle og godkende den årsrapport, som udarbejdes af CERT-EU's chef, og som omfatter CERT-EU's aktiviteter og forvaltning af midler |
| j) | godkende og overvåge nøgleresultatindikatorer (KPI'er) for CERT-EU, der fastsættes på grundlag af et forslag fra CERT-EU's chef |
| k) | godkende samarbejdsaftaler, serviceleveranceaftaler eller kontrakter mellem CERT-EU og andre enheder, der indgås i medfør af artikel 18 |
| l) | vedtage retningslinjer og henstillinger på grundlag af et forslag fra CERT-EU i overensstemmelse med artikel 14 og pålægge CERT-EU at udstede, tilbagekalde eller ændre et forslag til retningslinjer eller henstillinger eller en opfordring til tiltag |
| m) | nedsætte tekniske rådgivende grupper med specifikke opgaver til at bistå IICB i dets arbejde, godkende deres mandat og udpege deres respektive formænd |
| n) | modtage og vurdere dokumenter og rapporter, der forelægges af EU-enhederne i henhold til denne forordning, såsom modenhedsvurderinger af cybersikkerheden |
| o) | fremme nedsættelsen af en uformel gruppe bestående af EU-enhedernes lokale cybersikkerhedsansvarlige med støtte fra ENISA med henblik på udveksling af bedste praksis og oplysninger i forbindelse med gennemførelsen af denne forordning |
| p) | under hensyntagen til oplysningerne om de udpegede cybersikkerhedsrisici og de indhøstede erfaringer, der kommer fra CERT-EU, overvåge, om sammenkoblingsordningerne mellem EU-enhedernes IKT-miljøer er tilstrækkelige, og rådgive om mulige forbedringer |
| q) | fastlægge en plan for cyberkrisestyring for på operationelt plan at støtte den koordinerede håndtering af større hændelser, der påvirker EU-enheder, og bidrage til regelmæssig udveksling af relevante oplysninger, navnlig med hensyn til virkningerne og alvoren af større hændelser og de mulige metoder til at afbøde virkningerne heraf |
| r) | koordinere vedtagelsen af de enkelte EU-enheders cyberkrisestyringsplaner, jf. artikel 9, stk. 2 |
| s) | vedtage henstillinger vedrørende forsyningskædesikkerhed som omhandlet i artikel 8, stk. 2, første afsnit, litra m), under hensyntagen til resultaterne af sikkerhedsrisikovurderinger koordineret på EU-niveau af kritiske forsyningskæder, jf. artikel 22 i direktiv (EU) 2022/2555, for at støtte EU-enhederne i at vedtage effektive og forholdsmæssige foranstaltninger til styring af cybersikkerhedsrisici. |
Artikel 16
Finansielle og personalemæssige spørgsmål
1. CERT-EU integreres i den administrative struktur i et generaldirektorat i Kommissionen for at drage fordel af Kommissionens strukturer for administrativ, finansiel og regnskabsmæssig støtte, samtidig med at CERT-EU bevarer sin status som en uafhængig interinstitutionel tjenesteyder for alle EU-enheder. Kommissionen underretter IICB om CERT-EU's administrative placering og alle ændringer heraf. Kommissionen gennemgår de administrative ordninger vedrørende CERT-EU regelmæssigt og under alle omstændigheder inden fastlæggelsen af en flerårig finansiel ramme i henhold til artikel 312 i TEUF for at gøre det muligt at træffe passende tiltag. Gennemgangen skal omfatte muligheden for at oprette CERT-EU som et EU-kontor.
2. Med hensyn til anvendelsen af de administrative og finansielle procedurer handler CERT-EU's chef med referat til Kommissionen og under IICB's tilsyn.
3. CERT-EU's opgaver og aktiviteter, herunder tjenester, som CERT-EU yder i henhold til artikel 13, stk. 3, 4, 5 og 7, og artikel 14, stk. 1, til EU-enheder, og som finansieres under det udgiftsområde i den flerårige finansielle ramme, der vedrører europæisk offentlig forvaltning, finansieres over en særlig budgetpost på Kommissionens budget. De stillinger, der er øremærket til CERT-EU, beskrives nærmere i en fodnote til Kommissionens stillingsfortegnelse.
4. Andre EU-enheder end dem, der er omhandlet i denne artikels stk. 3, yder et årligt finansielt bidrag til CERT-EU til dækning af de tjenester, som CERT-EU yder i henhold til nævnte stykke. Bidragene baseres på retningslinjer, der er udstedt af IICB og aftalt mellem hver enkelt EU-enhed og CERT-EU i serviceleveranceaftaler. Bidragene afspejler en fair og forholdsmæssig andel af de samlede omkostninger ved de tjenester, der er ydet. De opføres på den særlige budgetpost, der er omhandlet i denne artikels stk. 3, som formålsbestemte indtægter, jf. artikel 21, stk. 3, litra c), i forordning (EU, Euratom) 2018/1046.
5. Omkostningerne ved de tjenester, der er fastsat i artikel 13, stk. 6, opkræves fra de EU-enheder, der har gjort brug af CERT-EU's tjenester. Indtægterne opføres på de budgetposter, der vedrører omkostningerne.
Artikel 18
CERT-EU's samarbejde med andre modparter
1. CERT-EU må samarbejde med andre modparter i Unionen end dem, der er omhandlet i artikel 17, som er underlagt EU-cybersikkerhedskrav, herunder branchespecifikke modparter, om værktøjer og metoder såsom teknikker, taktikker, procedurer og bedste praksis samt om cybertrusler og sårbarheder. CERT-EU indhenter med henblik på alt samarbejde med sådanne modparter forudgående godkendelse fra IICB i hvert enkelt tilfælde. Hvis CERT-EU etablerer et samarbejde med sådanne modparter, underretter den alle relevante medlemsstatsmodparter, jf. artikel 17, stk. 1, i den medlemsstat, hvor modparten befinder sig. Hvor det er relevant og hensigtsmæssigt, fastlægges et sådant samarbejde og betingelserne herfor, herunder vedrørende cybersikkerhed, databeskyttelse og håndtering af oplysninger, i særlige aftaler om fortrolighed, såsom kontrakter eller administrative ordninger. Aftalerne om fortrolighed kræver ikke forudgående godkendelse fra IICB, men IICB's formand skal underrettes. I tilfælde af et presserende og nært forestående behov for at udveksle cybersikkerhedsoplysninger i EU-enhedernes eller en anden parts interesse kan CERT-EU gøre dette med en enhed, hvis specifikke kompetence, kapacitet og ekspertise med god grund er nødvendig for at bistå med et sådant presserende og nært forestående behov, selv om CERT-EU ikke har indgået en aftale om fortrolighed med den pågældende enhed. I sådanne tilfælde underretter CERT-EU straks IICB's formand og aflægger rapport til IICB gennem regelmæssige rapporter eller møder.
2. CERT-EU må samarbejde med andre partnere såsom kommercielle enheder, herunder branche- og sektorspecifikke enheder, internationale organisationer, nationale ikke-EU-enheder eller individuelle eksperter med henblik på at indsamle oplysninger om generelle og specifikke cybertrusler, nærvedhændelser, sårbarheder og mulige modforanstaltninger. CERT-EU indhenter med henblik på at indlede et bredere samarbejde med sådanne partnere forudgående godkendelse fra IICB i hvert enkelt tilfælde.
3. CERT-EU må med samtykke fra den EU-enhed, der er berørt af en hændelse, og forudsat at der er indgået en aftale eller kontrakt om fortrolighed med den relevante modpart eller partner, give oplysninger om den specifikke hændelse til modparter eller partnere, der er omhandlet i stk. 1 og 2, udelukkende med henblik på at bidrage til analysen heraf.
KAPITEL V
SAMARBEJDE OG RAPPORTERINGSFORPLIGTELSER
Artikel 26
Ikrafttræden
Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.
Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.
Udfærdiget i Strasbourg, den 13. december 2023.
På Europa-Parlamentets vegne
R. METSOLA
Formand
På Rådets vegne
P. NAVARRO RÍOS
Formand
(1) Europa-Parlamentets holdning af 21. november 2023 (endnu ikke offentliggjort i EUT) og Rådets afgørelse af 8. december 2023.
(2) Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, om ændring af forordning (EU) nr. 910/2014 og direktiv (EU) 2018/1972 og om ophævelse af direktiv (EU) 2016/1148 (NIS 2-direktivet) (EUT L 333 af 27.12.2022, s. 80).
(3) Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed) (EUT L 151 af 7.6.2019, s. 15).
(4) Aftale mellem Europa-Parlamentet, Det Europæiske Råd, Rådet for Den Europæiske Union, Europa-Kommissionen, Den Europæiske Unions Domstol, Den Europæiske Centralbank, Den Europæiske Revisionsret, Tjenesten for EU's Optræden Udadtil, Det Europæiske Økonomiske og Sociale Udvalg, Det Europæiske Regionsudvalg og Den Europæiske Investeringsbank om organisation og drift af en IT-beredskabsenhed for Unionens institutioner, organer og agenturer (CERT-EU) (EUT C 12 af 13.1.2018, s. 1).
(5) Rådets forordning (EØF, Euratom, EKSF) nr. 259/68 af 29. februar 1968 om vedtægten for tjenestemænd i De Europæiske Fællesskaber og om ansættelsesvilkårene for de øvrige ansatte i disse Fællesskaber samt om særlige midlertidige foranstaltninger for tjenestemænd i Kommissionen (EFT L 56 af 4.3.1968, s. 1).
(6) Kommissionens henstilling (EU) 2017/1584 af 13. september 2017 om en koordineret reaktion på væsentlige cybersikkerhedshændelser og -kriser (EUT L 239 af 19.9.2017, s. 36).
(7) Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39).
(8) EUT C 258 af 5.7.2022, s. 10.
(9) Europa-Parlamentets og Rådets forordning (EU, Euratom) 2018/1046 af 18. juli 2018 om de finansielle regler vedrørende Unionens almindelige budget, om ændring af forordning (EU) nr. 1296/2013, (EU) nr. 1301/2013, (EU) nr. 1303/2013, (EU) nr. 1304/2013, (EU) nr. 1309/2013, (EU) nr. 1316/2013, (EU) nr. 223/2014, (EU) nr. 283/2014 og afgørelse nr. 541/2014/EU og om ophævelse af forordning (EU, Euratom) nr. 966/2012 (EUT L 193 af 30.7.2018, s. 1).
(10) Europa-Parlamentets og Rådets forordning (EF) nr. 1049/2001 af 30. maj 2001 om aktindsigt i Europa-Parlamentets, Rådets og Kommissionens dokumenter (EFT L 145 af 31.5.2001, s. 43).
ELI: http://data.europa.eu/eli/reg/2023/2841/oj
ISSN 1977-0634 (electronic edition)