keyboard_tab Cyber Resilience Act 2023/2841 DA

1.   Senest den 8. april 2025 fastlægger hver EU-enhed efter at have foretaget en indledende cybersikkerhedsgennemgang, såsom en revision, en intern ramme for styring, forvaltning og kontrol af cybersikkerhedsrisici (»rammen«). Fastlæggelsen af rammen overvåges af og under ansvar af EU-enhedens øverste ledelse.

2.   Rammen skal dække hele den pågældende EU-enheds uklassificerede IKT-miljø, herunder lokale IKT-miljøer, lokale driftsteknologinet, udliciterede aktiver og tjenester i cloudcomputingmiljøer eller som hostes af tredjeparter, bærbare enheder, interne netværk, forretningsnetværk, der ikke er forbundet til internettet, og andre enheder, der er forbundet til disse miljøer (»IKT-miljøet«). Rammen skal være baseret på en tilgang, der omfatter alle farer.

3.   Rammen skal sikre et højt cybersikkerhedsniveau. Rammen fastlægger interne cybersikkerhedspolitikker, herunder mål og prioriteter for sikkerheden i net- og informationssystemer og rollerne og ansvarsområderne for EU-enhedens personale, der har til opgave at sikre en effektiv gennemførelse af denne forordning. Rammen omfatter også mekanismer til måling af effektiviteten af gennemførelsen.

4.   Rammen revideres regelmæssigt i lyset af cybersikkerhedsrisiciene, som hele tiden ændrer sig, og mindst hvert fjerde år. Hvor det er relevant, og efter anmodning fra Det Interinstitutionelle Råd for Cybersikkerhed, der er oprettet i henhold til artikel 10, kan en EU-enheds ramme ajourføres på grundlag af vejledning fra CERT-EU om påviste hændelser eller mulige mangler i gennemførelsen af denne forordning, som er konstateret.

5.   Den øverste ledelse i hver EU-enhed er ansvarlig for gennemførelsen af denne forordning og fører tilsyn med sin organisations overholdelse af forpligtelserne i forbindelse med rammen.

6.   Hvor det er relevant, og uden at det berører dens ansvar for gennemførelsen af denne forordning, kan den øverste ledelse i hver EU-enhed uddelegere specifikke forpligtelser i henhold til denne forordning til seniormanagere som omhandlet i artikel 29, stk. 2, i vedtægten for tjenestemænd eller andre tjenestemænd på tilsvarende niveau i den pågældende EU-enhed. Uanset en sådan delegering kan den øverste ledelse holdes ansvarlig for den pågældende EU-enheds overtrædelser af denne forordning.

7.   Hver EU-enhed indfører effektive mekanismer til sikring af, at en passende procentdel af IKT-budgettet bruges på cybersikkerhed. Der skal tages behørigt hensyn til rammen ved fastlæggelsen af denne procentdel.

8.   Hver EU-enhed udpeger en lokal cybersikkerhedsansvarlig eller en ækvivalent funktion, der fungerer som det centrale kontaktpunkt vedrørende alle aspekter af cybersikkerhed. Den lokale cybersikkerhedsansvarlige fremmer gennemførelsen af denne forordning og aflægger regelmæssigt rapport direkte til den øverste ledelse om status for gennemførelsen. Uden at det berører den omstændighed, at den lokale cybersikkerhedsansvarlige er det centrale kontaktpunkt i hver EU-enhed, kan en EU-enhed uddelegere visse af den lokale cybersikkerhedsansvarliges opgaver i relation til gennemførelsen af denne forordning til CERT-EU på grundlag af en serviceleveranceaftale, som indgås mellem den pågældende EU-enhed og CERT-EU, eller disse opgaver kan deles af flere EU-enheder. Hvis disse opgaver uddelegeres til CERT-EU, træffer Det Interinstitutionelle Råd for Cybersikkerhed, der er oprettet i henhold til artikel 10, afgørelse om, hvorvidt leveringen af denne tjeneste skal være en del af CERT-EU's basistjenester, under hensyntagen til den pågældende EU-enheds menneskelige og finansielle ressourcer. Hver EU-enhed underretter uden unødigt ophold CERT-EU om de udpegede lokale cybersikkerhedsansvarlige og alle senere ændringer af disse.

CERT-EU opretter en liste over udpegede lokale cybersikkerhedsansvarlige og holder den ajour.

9.   Seniormanagere som omhandlet i artikel 29, stk. 2, i vedtægten for tjenestemænd eller andre tjenestemænd på tilsvarende niveau i hver EU-enhed samt alle relevante medarbejdere, der har til opgave at gennemføre foranstaltningerne for styring af cybersikkerhedsrisici og at opfylde forpligtelserne fastsat i denne forordning, følger regelmæssigt specifikke kurser for at tilegne sig tilstrækkelig viden og tilstrækkelige færdigheder til at forstå og vurdere cybersikkerhedsrisici- og cybersikkerhedsstyringspraksis samt virkningen heraf for EU-enhedens drift.

1.   Kommissionen udnævner chefen for CERT-EU efter at have indhentet godkendelse fra to tredjedele af IICB's medlemmer. IICB høres i alle udvælgelsesprocedurens faser, navnlig i forbindelse med udarbejdelse af stillingsopslag, behandling af ansøgninger og udpegelse af udvælgelseskomitéer i forbindelse med denne stilling. Udvælgelsesproceduren, herunder den endelige liste over kandidater, blandt hvilke CERT-EU's chef skal udnævnes, skal sikre en retfærdig repræsentation af hvert køn under hensyntagen til de indgivne ansøgninger.

2.   Chefen for CERT-EU er ansvarlig for, at CERT-EU fungerer korrekt, og handler inden for rammerne af sin rolle og under ledelse af IICB. Chefen for CERT-EU aflægger regelmæssigt rapport til formanden for IICB og forelægger ad hoc-rapporter for IICB på anmodning herfra.

3.   Chefen for CERT-EU bistår den ved delegation bemyndigede ansvarlige anvisningsberettigede med udarbejdelsen af årsberetningen med oplysninger om de finansielle og forvaltningsmæssige forhold, herunder kontrolresultater, der udarbejdes i overensstemmelse med artikel 74, stk. 9, i Europa-Parlamentets og Rådets forordning (EU, Euratom) 2018/1046 (9), og aflægger regelmæssigt rapport til den ved delegation bemyndigede anvisningsberettigede om gennemførelsen af foranstaltninger, i forbindelse med hvilke der er videredelegeret beføjelser til chefen for CERT-EU.

4.   Chefen for CERT-EU udarbejder årligt en finansiel planlægning af de administrative indtægter og udgifter i forbindelse med CERT-EU's aktiviteter, et forslag til det årlige arbejdsprogram, et forslag til CERT-EU's tjenestekatalog, foreslåede ændringer af tjenestekataloget, et forslag til ordninger for serviceleveranceaftaler og foreslåede KPI'er for CERT-EU, som IICB skal godkende i overensstemmelse med artikel 11. Ved revision af listen over tjenester i CERT-EU's tjenestekatalog tager CERT-EU's chef hensyn til de ressourcer, som CERT-EU har fået tildelt.

5.   Chefen for CERT-EU forelægger mindst en gang om året IICB og formanden for IICB rapporter om CERT-EU's aktiviteter og resultater i referenceperioden, herunder om gennemførelsen af budgettet, serviceleveranceaftaler og indgåede skriftlige aftaler, samarbejde med modparter og partnere og tjenesterejser, som personalet har foretaget, herunder de rapporter, der er omhandlet i artikel 11. Disse rapporter skal indeholde et arbejdsprogram for den efterfølgende periode, finansiel planlægning af indtægter og udgifter, herunder personale, planlagte ajourføringer af CERT-EU's tjenestekatalog og en vurdering af den forventede virkning, som sådanne ajourføringer kan have med hensyn til finansielle og menneskelige ressourcer.