keyboard_tab Cyber Resilience Act 2023/2841 DA
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 6 Ramme for styring, forvaltning og kontrol af cybersikkerhedsrisici
- 1 Art. 8 Foranstaltninger til styring af cybersikkerhedsrisici
- 1 Art. 9 Cybersikkerhedsplaner
- 2 Art. 11 IICB's opgaver
- 1 Art. 12 Overholdelse
- 1 Art. 14 Retningslinjer, henstillinger og opfordringer til tiltag
- 1 Art. 15 Chefen for CERT-EU
- 1 Art. 25 Evaluering
- Artikel 26 Ikrafttræden
KAPITEL I
ALMINDELIGE BESTEMMELSER
KAPITEL II
FORANSTALTNINGER TIL SIKRING AF ET HØJT FÆLLES CYBERSIKKERHEDSNIVEAU
KAPITEL III
DET INTERINSTITUTIONELLE RÅD FOR CYBERSIKKERHED
KAPITEL IV
CERT-EU
KAPITEL V
SAMARBEJDE OG RAPPORTERINGSFORPLIGTELSER
KAPITEL VI
AFSLUTTENDE BESTEMMELSER
- cert-eu 49
- artikel 33
- eu-enhed 30
- denne 29
- iicb 25
- forordning 24
- eller 23
- herunder 20
- pågældende 18
- gennemførelsen 17
- henhold 16
- skal 15
- under 15
- foranstaltninger 15
- cybersikkerhedsrisici 14
- forslag 13
- cybersikkerhed 12
- styring 12
- eu-enhederne 11
- henstillinger 11
- hvor 11
- stk 11
- disse 10
- relevant 10
- hændelser 10
- henblik 10
- øverste 10
- ledelse 10
- godkende 9
- tiltag 9
- hensyntagen 9
- chef 9
- inden 9
- rammen 9
- efter 9
- hver 9
- forbindelse 8
- oplysninger 8
- lokale 8
- fælles 8
- grundlag 8
- eu-enhedens 7
- regelmæssigt 7
- sikre 7
- eu-enheder 7
- retningslinjer 7
- litra 7
- første 7
- afsnit 7
- hensyn 7
Artikel 6
Ramme for styring, forvaltning og kontrol af cybersikkerhedsrisici
1. Senest den 8. april 2025 fastlægger hver EU-enhed efter at have foretaget en indledende cybersikkerhedsgennemgang, såsom en revision, en intern ramme for styring, forvaltning og kontrol af cybersikkerhedsrisici (»rammen«). Fastlæggelsen af rammen overvåges af og under ansvar af EU-enhedens øverste ledelse.
2. Rammen skal dække hele den pågældende EU-enheds uklassificerede IKT-miljø, herunder lokale IKT-miljøer, lokale driftsteknologinet, udliciterede aktiver og tjenester i cloudcomputingmiljøer eller som hostes af tredjeparter, bærbare enheder, interne netværk, forretningsnetværk, der ikke er forbundet til internettet, og andre enheder, der er forbundet til disse miljøer (»IKT-miljøet«). Rammen skal være baseret på en tilgang, der omfatter alle farer.
3. Rammen skal sikre et højt cybersikkerhedsniveau. Rammen fastlægger interne cybersikkerhedspolitikker, herunder mål og prioriteter for sikkerheden i net- og informationssystemer og rollerne og ansvarsområderne for EU-enhedens personale, der har til opgave at sikre en effektiv gennemførelse af denne forordning. Rammen omfatter også mekanismer til måling af effektiviteten af gennemførelsen.
4. Rammen revideres regelmæssigt i lyset af cybersikkerhedsrisiciene, som hele tiden ændrer sig, og mindst hvert fjerde år. Hvor det er relevant, og efter anmodning fra Det Interinstitutionelle Råd for Cybersikkerhed, der er oprettet i henhold til artikel 10, kan en EU-enheds ramme ajourføres på grundlag af vejledning fra CERT-EU om påviste hændelser eller mulige mangler i gennemførelsen af denne forordning, som er konstateret.
5. Den øverste ledelse i hver EU-enhed er ansvarlig for gennemførelsen af denne forordning og fører tilsyn med sin organisations overholdelse af forpligtelserne i forbindelse med rammen.
6. Hvor det er relevant, og uden at det berører dens ansvar for gennemførelsen af denne forordning, kan den øverste ledelse i hver EU-enhed uddelegere specifikke forpligtelser i henhold til denne forordning til seniormanagere som omhandlet i artikel 29, stk. 2, i vedtægten for tjenestemænd eller andre tjenestemænd på tilsvarende niveau i den pågældende EU-enhed. Uanset en sådan delegering kan den øverste ledelse holdes ansvarlig for den pågældende EU-enheds overtrædelser af denne forordning.
7. Hver EU-enhed indfører effektive mekanismer til sikring af, at en passende procentdel af IKT-budgettet bruges på cybersikkerhed. Der skal tages behørigt hensyn til rammen ved fastlæggelsen af denne procentdel.
8. Hver EU-enhed udpeger en lokal cybersikkerhedsansvarlig eller en ækvivalent funktion, der fungerer som det centrale kontaktpunkt vedrørende alle aspekter af cybersikkerhed. Den lokale cybersikkerhedsansvarlige fremmer gennemførelsen af denne forordning og aflægger regelmæssigt rapport direkte til den øverste ledelse om status for gennemførelsen. Uden at det berører den omstændighed, at den lokale cybersikkerhedsansvarlige er det centrale kontaktpunkt i hver EU-enhed, kan en EU-enhed uddelegere visse af den lokale cybersikkerhedsansvarliges opgaver i relation til gennemførelsen af denne forordning til CERT-EU på grundlag af en serviceleveranceaftale, som indgås mellem den pågældende EU-enhed og CERT-EU, eller disse opgaver kan deles af flere EU-enheder. Hvis disse opgaver uddelegeres til CERT-EU, træffer Det Interinstitutionelle Råd for Cybersikkerhed, der er oprettet i henhold til artikel 10, afgørelse om, hvorvidt leveringen af denne tjeneste skal være en del af CERT-EU's basistjenester, under hensyntagen til den pågældende EU-enheds menneskelige og finansielle ressourcer. Hver EU-enhed underretter uden unødigt ophold CERT-EU om de udpegede lokale cybersikkerhedsansvarlige og alle senere ændringer af disse.
CERT-EU opretter en liste over udpegede lokale cybersikkerhedsansvarlige og holder den ajour.
9. Seniormanagere som omhandlet i artikel 29, stk. 2, i vedtægten for tjenestemænd eller andre tjenestemænd på tilsvarende niveau i hver EU-enhed samt alle relevante medarbejdere, der har til opgave at gennemføre foranstaltningerne for styring af cybersikkerhedsrisici og at opfylde forpligtelserne fastsat i denne forordning, følger regelmæssigt specifikke kurser for at tilegne sig tilstrækkelig viden og tilstrækkelige færdigheder til at forstå og vurdere cybersikkerhedsrisici- og cybersikkerhedsstyringspraksis samt virkningen heraf for EU-enhedens drift.
Artikel 8
Foranstaltninger til styring af cybersikkerhedsrisici
1. Uden unødigt ophold og under alle omstændigheder senest den 8. september 2025 træffer hver EU-enhed under tilsyn af sin øverste ledelse passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre de cybersikkerhedsrisici, der konstateres inden for rammen, og for at forebygge eller minimere virkningerne af hændelser. Under hensyntagen til det aktuelle teknologiske stade og i givet fald til relevante europæiske og internationale standarder skal disse foranstaltninger tilvejebringe et sikkerhedsniveau i net- og informationssystemer i hele IKT-miljøet, som står mål med de cybersikkerhedsrisici, der truer dem. Ved vurderingen af proportionaliteten af disse foranstaltninger tages der behørigt hensyn til graden af EU-enhedens eksponering for cybersikkerhedsrisici, dens størrelse og sandsynligheden for hændelser og deres alvor, herunder deres samfundsmæssige, økonomiske og interinstitutionelle indvirkning.
2. EU-enheder tager som minimum fat på følgende områder i gennemførelsen af foranstaltningerne til styring af cybersikkerhedsrisici:
| a) | cybersikkerhedspolitikken, herunder foranstaltninger, der er nødvendige for at nå de mål og prioriteter, der er omhandlet i artikel 6 og nærværende artikels stk. 3 |
| b) | politikker for cybersikkerhedsrisikoanalyse og informationssystemsikkerhed |
| c) | politikmål for brugen af cloudcomputingtjenester |
| d) | cybersikkerhedsrevision, hvor det er relevant, som kan omfatte en cybersikkerhedsrisiko-, sårbarheds- og cybertrusselsvurdering og en penetrationstest, der udføres regelmæssigt af en betroet privat udbyder |
| e) | gennemførelse af henstillinger som følge af cybersikkerhedsrevisioner, jf. litra d), gennem cybersikkerheds- og politikopdateringer |
| f) | organisering af cybersikkerheden, herunder fastlæggelse af roller og ansvarsområder |
| g) | forvaltning af aktiver, herunder en liste over IKT-aktiver og en kortlægning af IKT-netværket |
| h) | personalesikkerhed og adgangskontrol |
| i) | driftssikkerhed |
| j) | kommunikationssikkerhed |
| k) | erhvervelse, udvikling og vedligeholdelse af systemer, herunder politikker for håndtering og offentliggørelse af sårbarheder |
| l) | hvor det er muligt, politikker for kildekodens gennemsigtighed |
| m) | forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte EU-enhed og dens direkte leverandører eller tjenesteudbydere |
| n) | håndtering af hændelser og samarbejde med CERT-EU, såsom vedligeholdelse af sikkerhedsovervågning og -logning |
| o) | styring af driftskontinuitet, såsom backup-styring og reetablering efter en katastrofe, og krisestyring, og |
| p) | fremme og udvikling af uddannelse, færdigheder, bevidstgørelse, øvelses- og undervisningsprogrammer i forbindelse med cybersikkerhed. |
Med henblik på første afsnit, litra m), tager EU-enheder hensyn til de sårbarheder, der er specifikke for hver direkte leverandør og tjenesteudbyder, og den samlede kvalitet af deres leverandørers og tjenesteudbyderes produkter og cybersikkerhedspraksis, herunder deres sikre udviklingsprocedurer.
3. EU-enhederne træffer som minimum følgende foranstaltninger til styring af cybersikkerhedsrisici:
| a) | tekniske konfigurationer med henblik på at muliggøre og opretholde telearbejde |
| b) | konkrete skridt til at bevæge sig i retning af »zero trust«-principper |
| c) | anvendelse af multifaktorgodkendelse som standard for alle net- og informationssystemer |
| d) | anvendelse af kryptografi og kryptering, navnlig end-to-end-kryptering, og sikker digital underskrift |
| e) | hvor det er relevant, anvendelse af sikker tale-, video- og tekstkommunikation og sikre nødkommunikationssystemer internt i EU-enheden |
| f) | proaktive foranstaltninger til opdagelse og fjernelse af malware og spyware |
| g) | etablering af forsyningskædesikkerhed for så vidt angår software ved hjælp af kriterier for sikker udvikling og evaluering af software |
| h) | fastlæggelse og indførelse af uddannelsesprogrammer om cybersikkerhed, som svarer til de foreskrevne opgaver og den forventede kapacitet, for den øverste ledelse og medarbejdere i EU-enheden, der har til opgave at sikre den effektive gennemførelse af denne forordning |
| i) | regelmæssig uddannelse af medarbejdere i cybersikkerhed |
| j) | hvor det er relevant, deltagelse i risikoanalyser af sammenkoblingsordningerne mellem EU-enhederne |
| k) | forbedring af indkøbsprocedurerne med henblik på at fremme et højt fælles cybersikkerhedsniveau ved hjælp af:
|
Artikel 9
Cybersikkerhedsplaner
1. Efter færdiggørelsen af den modenhedsvurdering af cybersikkerheden, der er foretaget i henhold til artikel 7, og under hensyntagen til de aktiver og cybersikkerhedsrisici, der er konstateret inden for rammen og de foranstaltninger til styring af cybersikkerhedsrisici, der er truffet i henhold til artikel 8, godkender den øverste ledelse i hver EU-enhed en cybersikkerhedsplan uden unødigt ophold og under alle omstændigheder senest den 8. januar 2026. Cybersikkerhedsplanen skal tage sigte på at øge EU-enhedens overordnede cybersikkerhed og derved bidrage til forbedringen af et højt fælles cybersikkerhedsniveau i EU-enhederne. Cybersikkerhedsplanen skal som minimum omfatte de foranstaltninger til styring af cybersikkerhedsrisiciene, der er truffet i henhold til artikel 8. Cybersikkerhedsplanen revideres hvert andet år eller hyppigere, hvis det er nødvendigt, efter de modenhedsvurderinger af cybersikkerheden, der er foretaget i henhold til artikel 7, eller en eventuel betydelig revision af rammen.
2. Cybersikkerhedsplanen skal omfatte EU-enhedens plan for cyberkrisestyring i tilfælde af større hændelser.
3. EU-enheden forelægger den fuldstændige cybersikkerhedsplan for Det Interinstitutionelle Råd for Cybersikkerhed, som er oprettet i henhold til artikel 10.
KAPITEL III
DET INTERINSTITUTIONELLE RÅD FOR CYBERSIKKERHED
Artikel 11
IICB's opgaver
Når det udfører sine forpligtelser, skal IICB navnlig:
| a) | yde vejledning til CERT-EU's chef |
| b) | effektivt overvåge og føre tilsyn med gennemførelsen af denne forordning og støtte EU-enhederne i at styrke deres cybersikkerhed, herunder, hvor det er relevant, anmode om ad hoc-rapporter fra EU-enhederne og CERT-EU |
| c) | efter en strategisk drøftelse vedtage en flerårig strategi for forøgelse af cybersikkerhedsniveauet i EU-enhederne, vurdere denne strategi regelmæssigt og under alle omstændigheder hvert femte år og, hvor det er nødvendigt, ændre strategien |
| d) | fastlægge metoden for og de organisatoriske aspekter af EU-enhedernes gennemførelse af frivillige peerevalueringer med henblik på at lære af fælles erfaringer, styrke den gensidige tillid, opnå et højt fælles cybersikkerhedsniveau og styrke EU-enhedernes cybersikkerhedskapacitet, idet det sikres, at sådanne peerevalueringer foretages af cybersikkerhedseksperter udpeget af en anden EU-enhed end den EU-enhed, der evalueres, og at metoden er baseret på artikel 19 i direktiv (EU) 2022/2555 og, hvor det er relevant, er tilpasset EU-enhederne |
| e) | godkende CERT-EU's årlige arbejdsprogram på grundlag af et forslag fra CERT-EU's chef og overvåge gennemførelsen heraf |
| f) | godkende CERT-EU's tjenestekatalog og eventuelle senere ajourføringer heraf på grundlag af et forslag fra CERT-EU's chef |
| g) | på grundlag af et forslag fra CERT-EU's chef godkende den årlige finansielle planlægning af indtægter og udgifter, herunder personale, i forbindelse med CERT-EU's aktiviteter |
| h) | godkende ordningerne for serviceleveranceaftaler på grundlag af et forslag fra CERT-EU's chef |
| i) | behandle og godkende den årsrapport, som udarbejdes af CERT-EU's chef, og som omfatter CERT-EU's aktiviteter og forvaltning af midler |
| j) | godkende og overvåge nøgleresultatindikatorer (KPI'er) for CERT-EU, der fastsættes på grundlag af et forslag fra CERT-EU's chef |
| k) | godkende samarbejdsaftaler, serviceleveranceaftaler eller kontrakter mellem CERT-EU og andre enheder, der indgås i medfør af artikel 18 |
| l) | vedtage retningslinjer og henstillinger på grundlag af et forslag fra CERT-EU i overensstemmelse med artikel 14 og pålægge CERT-EU at udstede, tilbagekalde eller ændre et forslag til retningslinjer eller henstillinger eller en opfordring til tiltag |
| m) | nedsætte tekniske rådgivende grupper med specifikke opgaver til at bistå IICB i dets arbejde, godkende deres mandat og udpege deres respektive formænd |
| n) | modtage og vurdere dokumenter og rapporter, der forelægges af EU-enhederne i henhold til denne forordning, såsom modenhedsvurderinger af cybersikkerheden |
| o) | fremme nedsættelsen af en uformel gruppe bestående af EU-enhedernes lokale cybersikkerhedsansvarlige med støtte fra ENISA med henblik på udveksling af bedste praksis og oplysninger i forbindelse med gennemførelsen af denne forordning |
| p) | under hensyntagen til oplysningerne om de udpegede cybersikkerhedsrisici og de indhøstede erfaringer, der kommer fra CERT-EU, overvåge, om sammenkoblingsordningerne mellem EU-enhedernes IKT-miljøer er tilstrækkelige, og rådgive om mulige forbedringer |
| q) | fastlægge en plan for cyberkrisestyring for på operationelt plan at støtte den koordinerede håndtering af større hændelser, der påvirker EU-enheder, og bidrage til regelmæssig udveksling af relevante oplysninger, navnlig med hensyn til virkningerne og alvoren af større hændelser og de mulige metoder til at afbøde virkningerne heraf |
| r) | koordinere vedtagelsen af de enkelte EU-enheders cyberkrisestyringsplaner, jf. artikel 9, stk. 2 |
| s) | vedtage henstillinger vedrørende forsyningskædesikkerhed som omhandlet i artikel 8, stk. 2, første afsnit, litra m), under hensyntagen til resultaterne af sikkerhedsrisikovurderinger koordineret på EU-niveau af kritiske forsyningskæder, jf. artikel 22 i direktiv (EU) 2022/2555, for at støtte EU-enhederne i at vedtage effektive og forholdsmæssige foranstaltninger til styring af cybersikkerhedsrisici. |
Artikel 12
Overholdelse
1. IICB overvåger i henhold til artikel 10, stk. 2, og artikel 11 effektivt EU-enhedernes gennemførelse af denne forordning og de vedtagne retningslinjer, henstillinger og opfordringer til tiltag. IICB kan anmode EU-enhederne om de oplysninger eller den dokumentation, der er behov for til dette formål. Med henblik på vedtagelse af overholdelsesforanstaltninger i henhold til nærværende artikel har den pågældende EU-enhed, såfremt den er direkte repræsenteret i IICB, ikke stemmeret.
2. Hvis IICB finder, at en EU-enhed ikke på effektiv vis har gennemført denne forordning eller retningslinjer, henstillinger eller opfordringer til tiltag, som er udstedt i medfør heraf, kan det, uden at dette berører den pågældende EU-enheds interne procedurer, og efter at have givet den pågældende EU-enhed mulighed for at fremsætte sine bemærkninger gøre følgende:
| a) | sende en begrundet udtalelse til den pågældende EU-enhed med konstaterede mangler i gennemførelsen af denne forordning |
| b) | efter høring af CERT-EU udstede retningslinjer til den pågældende EU-enhed for at sikre, at dens ramme, foranstaltninger til styring af cybersikkerhedsrisici, cybersikkerhedsplan og rapportering er i overensstemmelse med denne forordning inden for en nærmere angivet periode |
| c) | udstede en advarsel om, at konstaterede mangler skal afhjælpes inden for en nærmere angivet periode, herunder henstillinger om ændring af foranstaltninger vedtaget af den pågældende EU-enhed i henhold til denne forordning |
| d) | udstede en begrundet meddelelse til den pågældende EU-enhed, hvis de mangler, der blev påpeget i en advarsel udstedt i henhold til litra c), ikke er blevet afhjulpet i tilstrækkelig grad inden for den fastsatte periode |
| e) | udstede:
|
| f) | hvor det er relevant, underrette Revisionsretten inden for rammerne af sit mandat om den påståede manglende overholdelse |
| g) | udstede en henstilling om, at alle medlemsstater og EU-enheder foretager en midlertidig afbrydelse af datastrømmene til den pågældende EU-enhed. |
Med henblik på litra c), første afsnit, begrænses advarslens læserskare på passende vis, hvis det er nødvendigt i lyset af cybersikkerhedsrisikoen.
Advarsler og henstillinger udstedt i henhold til første afsnit rettes til det øverste ledelsesniveau i den pågældende EU-enhed.
3. Hvis IICB har vedtaget foranstaltninger i henhold til stk. 2, første afsnit, litra a)-g), fremlægger den pågældende EU-enhed detaljer om de foranstaltninger og tiltag, der er iværksat for at afhjælpe de påståede mangler, som IICB har konstateret. EU-enheden indsender disse detaljer inden for en rimelig periode, der aftales med IICB.
4. Hvis IICB finder, at en EU-enhed vedholdende overtræder denne forordning som en direkte følge af en EU-tjenestemands eller anden EU-ansats handlinger eller undladelser, herunder i den øverste ledelse, anmoder IICB om, at den pågældende EU-enhed iværksætter passende tiltag, hvilket indbefatter en anmodning om at iværksætte tiltag af disciplinær karakter, i overensstemmelse med de regler og procedurer, der er fastsat i vedtægten for tjenestemænd, og eventuelle andre gældende regler og procedurer. Med henblik herpå videregiver IICB de nødvendige oplysninger til den pågældende EU-enhed.
5. Hvis EU-enheder meddeler, at de ikke er i stand til at overholde fristerne i artikel 6, stk. 1, og artikel 8, stk. 1, kan IICB i behørigt begrundede tilfælde under hensyntagen til EU-enhedens størrelse tillade en forlængelse af disse frister.
KAPITEL IV
CERT-EU
Artikel 14
Retningslinjer, henstillinger og opfordringer til tiltag
1. CERT-EU støtter gennemførelsen af denne forordning ved at udstede:
| a) | opfordringer til tiltag, der beskriver hastende sikkerhedsforanstaltninger, som EU-enhederne kraftigt opfordres til at træffe inden udløbet af en fastsat frist |
| b) | forslag til IICB om retningslinjer rettet til alle eller en delgruppe af EU-enheder |
| c) | forslag til IICB om henstillinger rettet til individuelle EU-enheder. |
Med hensyn til første afsnit, litra a), underretter den pågældende EU-enhed uden unødigt ophold efter modtagelsen af opfordringen til tiltag CERT-EU om, hvordan de hastende sikkerhedsforanstaltninger er blevet anvendt.
2. Retningslinjer og henstillinger kan omfatte:
| a) | fælles metoder og en model for modenhedsvurdering af EU-enhedernes cybersikkerhed, herunder de tilhørende skalaer eller KPI'er, der tjener som reference til støtte for løbende forbedringer af cybersikkerheden i alle EU-enhederne og letter prioriteringen af cybersikkerhedsområder og -foranstaltninger under hensyntagen til enhedernes cybersikkerhedstilstand |
| b) | ordninger for eller forbedringer af styringen af cybersikkerhedsrisici og foranstaltningerne til styring af cybersikkerhedsrisici |
| c) | ordninger for modenhedsvurderinger af cybersikkerheden og cybersikkerhedsplaner |
| d) | hvor det er relevant, brugen af fælles teknologi, arkitektur, open source og dertil knyttet bedste praksis med henblik på at opnå interoperabilitet og fælles standarder, herunder en koordineret tilgang til forsyningskædesikkerhed |
| e) | hvor det er relevant, oplysninger med henblik på at lette anvendelsen af fælles udbudsinstrumenter til indkøb af relevante cybersikkerhedstjenester og -produkter fra tredjepartsleverandører |
| f) | ordninger for udveksling af oplysninger i henhold til artikel 20. |
Artikel 15
Chefen for CERT-EU
1. Kommissionen udnævner chefen for CERT-EU efter at have indhentet godkendelse fra to tredjedele af IICB's medlemmer. IICB høres i alle udvælgelsesprocedurens faser, navnlig i forbindelse med udarbejdelse af stillingsopslag, behandling af ansøgninger og udpegelse af udvælgelseskomitéer i forbindelse med denne stilling. Udvælgelsesproceduren, herunder den endelige liste over kandidater, blandt hvilke CERT-EU's chef skal udnævnes, skal sikre en retfærdig repræsentation af hvert køn under hensyntagen til de indgivne ansøgninger.
2. Chefen for CERT-EU er ansvarlig for, at CERT-EU fungerer korrekt, og handler inden for rammerne af sin rolle og under ledelse af IICB. Chefen for CERT-EU aflægger regelmæssigt rapport til formanden for IICB og forelægger ad hoc-rapporter for IICB på anmodning herfra.
3. Chefen for CERT-EU bistår den ved delegation bemyndigede ansvarlige anvisningsberettigede med udarbejdelsen af årsberetningen med oplysninger om de finansielle og forvaltningsmæssige forhold, herunder kontrolresultater, der udarbejdes i overensstemmelse med artikel 74, stk. 9, i Europa-Parlamentets og Rådets forordning (EU, Euratom) 2018/1046 (9), og aflægger regelmæssigt rapport til den ved delegation bemyndigede anvisningsberettigede om gennemførelsen af foranstaltninger, i forbindelse med hvilke der er videredelegeret beføjelser til chefen for CERT-EU.
4. Chefen for CERT-EU udarbejder årligt en finansiel planlægning af de administrative indtægter og udgifter i forbindelse med CERT-EU's aktiviteter, et forslag til det årlige arbejdsprogram, et forslag til CERT-EU's tjenestekatalog, foreslåede ændringer af tjenestekataloget, et forslag til ordninger for serviceleveranceaftaler og foreslåede KPI'er for CERT-EU, som IICB skal godkende i overensstemmelse med artikel 11. Ved revision af listen over tjenester i CERT-EU's tjenestekatalog tager CERT-EU's chef hensyn til de ressourcer, som CERT-EU har fået tildelt.
5. Chefen for CERT-EU forelægger mindst en gang om året IICB og formanden for IICB rapporter om CERT-EU's aktiviteter og resultater i referenceperioden, herunder om gennemførelsen af budgettet, serviceleveranceaftaler og indgåede skriftlige aftaler, samarbejde med modparter og partnere og tjenesterejser, som personalet har foretaget, herunder de rapporter, der er omhandlet i artikel 11. Disse rapporter skal indeholde et arbejdsprogram for den efterfølgende periode, finansiel planlægning af indtægter og udgifter, herunder personale, planlagte ajourføringer af CERT-EU's tjenestekatalog og en vurdering af den forventede virkning, som sådanne ajourføringer kan have med hensyn til finansielle og menneskelige ressourcer.
Artikel 25
Evaluering
1. Senest den 8. januar 2025 og derefter hvert år rapporterer IICB med bistand fra CERT-EU til Kommissionen om gennemførelsen af denne forordning. IICB kan henstille til Kommissionen at evaluere denne forordning.
2. Senest den 8. januar 2027 og derefter hvert andet år foretager Kommissionen en vurdering og rapporterer til Europa-Parlamentet og Rådet om gennemførelsen af denne forordning og om de indhøstede erfaringer på strategisk og operationelt plan.
Den rapport, der er omhandlet i dette stykkes første afsnit, indeholder gennemgangen, jf. artikel 16, stk. 1, af muligheden for at oprette CERT-EU som et EU-kontor.
3. Senest den 8. januar 2029 evaluerer Kommissionen denne forordnings funktion og forelægger en rapport for Europa-Parlamentet, Rådet, Det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalget. Kommissionen vurderer også, om det er hensigtsmæssigt at medtage net- og informationssystemer, der håndterer EUCI, i denne forordnings anvendelsesområde, under hensyntagen til andre EU-retsakter, der finder anvendelse på disse systemer. Rapporten ledsages om nødvendigt af et lovgivningsmæssigt forslag.
whereas