keyboard_tab Cyber Resilience Act 2023/2841 DA

1.   IICB overvåger i henhold til artikel 10, stk. 2, og artikel 11 effektivt EU-enhedernes gennemførelse af denne forordning og de vedtagne retningslinjer, henstillinger og opfordringer til tiltag. IICB kan anmode EU-enhederne om de oplysninger eller den dokumentation, der er behov for til dette formål. Med henblik på vedtagelse af overholdelsesforanstaltninger i henhold til nærværende artikel har den pågældende EU-enhed, såfremt den er direkte repræsenteret i IICB, ikke stemmeret.

2.   hvis IICB finder, at en EU-enhed ikke på effektiv vis har gennemført denne forordning eller retningslinjer, henstillinger eller opfordringer til tiltag, som er udstedt i medfør heraf, kan det, uden at dette berører den pågældende EU-enheds interne procedurer, og efter at have givet den pågældende EU-enhed mulighed for at fremsætte sine bemærkninger gøre følgende:

Med henblik på litra c), første afsnit, begrænses advarslens læserskare på passende vis, hvis det er nødvendigt i lyset af cybersikkerhedsrisikoen.

Advarsler og henstillinger udstedt i henhold til første afsnit rettes til det øverste ledelsesniveau i den pågældende EU-enhed.

3.   hvis IICB har vedtaget foranstaltninger i henhold til stk. 2, første afsnit, litra a)-g), fremlægger den pågældende EU-enhed detaljer om de foranstaltninger og tiltag, der er iværksat for at afhjælpe de påståede mangler, som IICB har konstateret. EU-enheden indsender disse detaljer inden for en rimelig periode, der aftales med IICB.

4.   hvis IICB finder, at en EU-enhed vedholdende overtræder denne forordning som en direkte følge af en EU-tjenestemands eller anden EU-ansats handlinger eller undladelser, herunder i den øverste ledelse, anmoder IICB om, at den pågældende EU-enhed iværksætter passende tiltag, hvilket indbefatter en anmodning om at iværksætte tiltag af disciplinær karakter, i overensstemmelse med de regler og procedurer, der er fastsat i vedtægten for tjenestemænd, og eventuelle andre gældende regler og procedurer. Med henblik herpå videregiver IICB de nødvendige oplysninger til den pågældende EU-enhed.

5.   hvis EU-enheder meddeler, at de ikke er i stand til at overholde fristerne i artikel 6, stk. 1, og artikel 8, stk. 1, kan IICB i behørigt begrundede tilfælde under hensyntagen til EU-enhedens størrelse tillade en forlængelse af disse frister.

1.   CERT-EU's mission er at bidrage til det uklassificerede IKT-miljøs sikkerhed i alle EU-enheder ved at rådgive dem om cybersikkerhed, hjælpe dem med at forebygge, opdage, håndtere, afbøde, reagere på og reetablere sig efter hændelser og fungere som deres knudepunkt for udveksling af oplysninger vedrørende cybersikkerhed og for koordinering af reaktionen på hændelser.

2.   CERT-EU indsamler, forvalter, analyserer og deler oplysninger med EU-enhederne om cybertrusler, sårbarheder og hændelser i uklassificeret IKT-infrastruktur. Det koordinerer beredskabet i forbindelse med hændelser på interinstitutionelt niveau og på EU-enhedsniveau, herunder ved at yde eller koordinere ydelsen af specialiseret operationel bistand.

3.   CERT-EU udfører følgende opgaver for at bistå EU-enhederne:

De oplysninger, der er omhandlet i første afsnit, litra e), deles med IICB, CSIRT-netværket og Den Europæiske Unions Efterretnings- og Situationscenter (EU INTCEN), hvor det er relevant og hensigtsmæssigt, og under overholdelse af passende fortrolighedsbetingelser.

4.   CERT-EU kan i overensstemmelse med artikel 17 eller 18, alt efter hvad der er relevant, samarbejde med relevante cybersikkerhedsfællesskaber i Unionen og dens medlemsstater, herunder på følgende områder:

5.   CERT-EU indgår inden for sin kompetence i et struktureret samarbejde med ENISA om kapacitetsopbygning, operationelt samarbejde og langsigtede strategiske analyser af cybertrusler i overensstemmelse med forordning (EU) 2019/881. CERT-EU kan samarbejde og udveksle oplysninger med Europols Europæiske Center for Bekæmpelse af Cyberkriminalitet.

6.   CERT-EU kan levere følgende tjenester, der ikke er beskrevet i dets tjenestekatalog (betalingspligtige tjenester):

For så vidt angår første afsnit, litra d), kan CERT-EU undtagelsesvis indgå serviceleveranceaftaler med andre enheder end EU-enheder med forudgående godkendelse fra IICB.

7.   CERT-EU arrangerer og kan deltage i cybersikkerhedsøvelser eller opfordre til deltagelse i eksisterende øvelser, hvor det er relevant i tæt samarbejde med ENISA, med henblik på at teste cybersikkerhedsniveauet i EU-enhederne.

8.   CERT-EU kan yde bistand til EU-enhederne vedrørende hændelser i net- og informationssystemer, der håndterer EUCI, hvis de pågældende EU-enheder udtrykkeligt anmoder herom i overensstemmelse med deres respektive procedurer. CERT-EU's ydelse af bistand i henhold til dette stykke berører ikke gældende regler om beskyttelse af klassificerede informationer.

9.   CERT-EU underretter EU-enhederne om sine procedurer og processer for håndtering af hændelser.

10.   CERT-EU bidrager med en høj grad af fortrolighed og pålidelighed via de behørige samarbejdsmekanismer og rapporteringsveje til relevante og anonymiserede oplysninger om større hændelser og måden, hvorpå de blev håndteret. Disse oplysninger medtages i den rapport, der er omhandlet i artikel 10, stk. 14.

11.   CERT-EU støtter i samarbejde med EDPS de pågældende EU-enheder, når de håndterer hændelser, der medfører brud på persondatasikkerheden, uden at dette berører EDPS' kompetencer og opgaver som tilsynsmyndighed i henhold til forordning (EU) 2018/1725.

12.   CERT-EU kan, hvis EU-enhedernes politiske afdelinger udtrykkeligt anmoder herom, yde teknisk rådgivning eller input om relevante politiske spørgsmål.

1.   CERT-EU samarbejder og udveksler oplysninger uden unødigt ophold med modparter i medlemsstaterne, navnlig de CSIRT'er, der er udpeget eller oprettet i henhold til artikel 10 i direktiv (EU) 2022/2555, eller, hvor det er relevant, de kompetente myndigheder og centrale kontaktpunkter, der er udpeget eller oprettet i henhold til artikel 8 i nævnte direktiv, om hændelser, cybertrusler, sårbarheder, nærvedhændelser, eventuelle modforanstaltninger samt bedste praksis og om alle spørgsmål, der er relevante for at forbedre beskyttelsen af EU-enhedernes IKT-miljøer, herunder ved hjælp af det CSIRT-netværk, der er oprettet i henhold til artikel 15 i direktiv (EU) 2022/2555. CERT-EU støtter Kommissionen i EU-CyCLONe, som er oprettet i henhold til artikel 16 i direktiv (EU) 2022/2555 om koordineret forvaltning af omfattende cybersikkerhedshændelser og kriser.

2.   hvis CERT-EU bliver opmærksomt på en væsentlig hændelse, der indtræffer på en medlemsstats område, underretter det straks alle relevante medlemsstatsmodparter i den pågældende medlemsstat i overensstemmelse med stk. 1.

3.   Forudsat at personoplysninger er beskyttet i overensstemmelse med gældende EU-databeskyttelsesret, udveksler CERT-EU uden unødigt ophold relevante hændelsesspecifikke oplysninger med medlemsstatsmodparter for at lette opdagelsen af lignende cybertrusler eller -hændelser eller for at bidrage til analysen af en hændelse uden tilladelse fra den berørte EU-enhed. CERT-EU udveksler kun hændelsesspecifikke oplysninger, der afslører identiteten på målet for hændelsen, i tilfælde af et af følgende:

Afgørelser om udveksling af hændelsesspecifikke oplysninger, der afslører identiteten af målet for hændelsen i henhold til første afsnit, litra b), skal godkendes af CERT-EU's chef. Inden offentliggørelsen af en sådan afgørelse, kontakter CERT-EU skriftligt den berørte EU-enhed og forklarer tydeligt, hvordan offentliggørelsen af dens identitet vil bidrage til at undgå eller afbøde hændelser andre steder. CERT-EU's chef giver denne forklaring og anmoder udtrykkeligt EU-enheden om at meddele, hvorvidt den giver samtykke, inden for en fastsat frist. CERT-EU's chef oplyser også EU-enheden om, at han eller hun i lyset af den fremlagte forklaring forbeholder sig ret til at videregive oplysningerne, selv om der ikke gives samtykke. Den berørte EU-enhed underrettes, inden oplysningerne videregives.

1.   CERT-EU må samarbejde med andre modparter i Unionen end dem, der er omhandlet i artikel 17, som er underlagt EU-cybersikkerhedskrav, herunder branchespecifikke modparter, om værktøjer og metoder såsom teknikker, taktikker, procedurer og bedste praksis samt om cybertrusler og sårbarheder. CERT-EU indhenter med henblik på alt samarbejde med sådanne modparter forudgående godkendelse fra IICB i hvert enkelt tilfælde. hvis CERT-EU etablerer et samarbejde med sådanne modparter, underretter den alle relevante medlemsstatsmodparter, jf. artikel 17, stk. 1, i den medlemsstat, hvor modparten befinder sig. Hvor det er relevant og hensigtsmæssigt, fastlægges et sådant samarbejde og betingelserne herfor, herunder vedrørende cybersikkerhed, databeskyttelse og håndtering af oplysninger, i særlige aftaler om fortrolighed, såsom kontrakter eller administrative ordninger. Aftalerne om fortrolighed kræver ikke forudgående godkendelse fra IICB, men IICB's formand skal underrettes. I tilfælde af et presserende og nært forestående behov for at udveksle cybersikkerhedsoplysninger i EU-enhedernes eller en anden parts interesse kan CERT-EU gøre dette med en enhed, hvis specifikke kompetence, kapacitet og ekspertise med god grund er nødvendig for at bistå med et sådant presserende og nært forestående behov, selv om CERT-EU ikke har indgået en aftale om fortrolighed med den pågældende enhed. I sådanne tilfælde underretter CERT-EU straks IICB's formand og aflægger rapport til IICB gennem regelmæssige rapporter eller møder.

2.   CERT-EU må samarbejde med andre partnere såsom kommercielle enheder, herunder branche- og sektorspecifikke enheder, internationale organisationer, nationale ikke-EU-enheder eller individuelle eksperter med henblik på at indsamle oplysninger om generelle og specifikke cybertrusler, nærvedhændelser, sårbarheder og mulige modforanstaltninger. CERT-EU indhenter med henblik på at indlede et bredere samarbejde med sådanne partnere forudgående godkendelse fra IICB i hvert enkelt tilfælde.

3.   CERT-EU må med samtykke fra den EU-enhed, der er berørt af en hændelse, og forudsat at der er indgået en aftale eller kontrakt om fortrolighed med den relevante modpart eller partner, give oplysninger om den specifikke hændelse til modparter eller partnere, der er omhandlet i stk. 1 og 2, udelukkende med henblik på at bidrage til analysen heraf.

1.   EU-enheder kan på frivillig basis underrette CERT-EU og give det oplysninger om hændelser, cybertrusler, nærvedhændelser og sårbarheder, der berører dem. CERT-EU sikrer, at der er adgang til effektive kommunikationsmidler med en høj grad af sporbarhed, fortrolighed og pålidelighed med henblik på at fremme udveksling af oplysninger med EU-enhederne. CERT-EU kan ved behandlingen af underretninger prioritere behandlingen af obligatoriske underretninger fremfor frivillige underretninger. Med forbehold af artikel 12 må frivillig underretning ikke medføre, at den rapporterende EU-enhed pålægges nogen yderligere forpligtelser, som den ikke ville være omfattet af, hvis den ikke havde indgivet underretningen.

2.   CERT-EU kan med henblik på at udføre sin mission og sine opgaver som omhandlet i artikel 13 anmode EU-enhederne om oplysninger fra deres respektive IKT-systemfortegnelser, herunder oplysninger vedrørende cybertrusler, nærvedhændelser, sårbarheder, kompromitteringsindikatorer, cybersikkerhedsadvarsler og henstillinger vedrørende konfiguration af cybersikkerhedsværktøjer til opdagelse af cyberhændelser. En EU-enhed, der modtager en sådan anmodning, overfører de oplysninger, der anmodes om, samt eventuelle efterfølgende ajourføringer heraf uden unødigt ophold.

3.   CERT-EU må udveksle hændelsesspecifikke oplysninger med EU-enheder, der afslører identiteten på den EU-enhed, der er berørt af hændelsen, forudsat at den berørte EU-enhed giver sit samtykke. hvis en EU-enhed nægter at give samtykke, giver den CERT-EU en begrundelse, der underbygger denne afgørelse.

4.   EU-enheder udveksler på anmodning oplysninger med Europa-Parlamentet og Rådet om færdiggørelsen af cybersikkerhedsplanerne.

5.   IICB eller CERT-EU, alt efter hvad der er relevant, deler på anmodning retningslinjer, henstillinger og opfordringer til tiltag med Europa-Parlamentet og Rådet.

6.   De deleforpligtelser, der er fastsat i denne artikel, omfatter ikke:

1.   En hændelse anses for at være væsentlig, hvis:

2.   EU-enhederne fremsender til CERT-EU:

3.   En EU-enhed underretter uden unødigt ophold og under alle omstændigheder senest 24 timer efter at have fået kendskab til en væsentlig hændelse alle relevante medlemsstatsmodparter, jf. artikel 17, stk. 1, i den medlemsstat, hvor den befinder sig, om, at der er indtruffet en væsentlig hændelse.

4.   EU-enhederne meddeler bl.a. alle oplysninger, der gør det muligt for CERT-EU at fastslå eventuelle virkninger på tværs af enheder, virkninger for værtsmedlemsstaten eller grænseoverskridende virkninger efter en væsentlig hændelse. Med forbehold af artikel 12 medfører underretningen i sig selv ikke øget ansvar for den underrettende EU-enhed.

5.   Hvor det er relevant, kommunikerer EU-enhederne uden unødigt ophold med brugerne af de påvirkede net- og informationssystemer eller af andre komponenter i IKT-miljøet, som potentielt kan blive påvirket af en væsentlig hændelse eller en væsentlig cybertrussel, og som, hvor det er relevant, er nødt til at træffe afbødende foranstaltninger, om alle foranstaltninger eller modforholdsregler, de kan træffe som reaktion på den pågældende hændelse eller trussel. Hvor det er relevant, informerer EU-enhederne disse brugere om selve den væsentlige cybertrussel.

6.   hvis en væsentlig hændelse eller en væsentlig cybertrussel påvirker et net- og informationssystem eller en komponent i en EU-enheds IKT-miljø, som man ved er forbundet med en anden EU-enheds IKT-miljø, udsteder CERT-EU en relevant cybersikkerhedsadvarsel.

7.   EU-enhederne giver på CERT-EU's anmodning og uden unødigt ophold CERT-EU digitale oplysninger, der er skabt ved brug af elektroniske enheder, som har været involveret i deres respektive hændelser. CERT-EU kan præcisere yderligere, hvilken type digitale oplysninger det har brug for med henblik på situationsbevidsthed og reaktion på hændelser.

8.   CERT-EU forelægger hver tredje måned IICB, ENISA, EU INTCEN og CSIRT-netværket en sammenfattende rapport, herunder anonymiserede og aggregerede data om væsentlige hændelser, hændelser, cybertrusler, nærvedhændelser og sårbarheder i henhold til artikel 20 og væsentlige hændelser, der er indberettet i henhold til nærværende artikels stk. 2. Den sammenfattende rapport udgør et input til den rapport, der kommer hvert andet år, om cybersikkerhedssituationen i Unionen, som vedtages i henhold til artikel 18 i direktiv (EU) 2022/2555.

9.   IICB udsteder senest den 8. juli 2024 retningslinjer eller henstillinger med en nærmere præcisering af ordningen og formatet for samt indholdet af rapporteringen i henhold til denne artikel. Ved udarbejdelsen af sådanne retningslinjer eller henstillinger tager IICB hensyn til eventuelle gennemførelsesretsakter vedtaget i henhold til artikel 23, stk. 11, i direktiv (EU) 2022/2555, der præciserer typen af oplysninger, formatet og proceduren for underretninger. CERT-EU formidler de relevante tekniske detaljer om cybertrusler for at gøre det muligt for EU-enhederne at foretage proaktiv opdagelse, reagere på hændelser eller træffe afhjælpende foranstaltninger.

10.   Rapporteringsforpligtelserne, der er fastsat i denne artikel, gælder ikke:

1.   I sin funktion som knudepunkt for udveksling af oplysninger vedrørende cybersikkerhed og for koordinering af reaktionen på hændelser fremmer CERT-EU udvekslingen af oplysninger om hændelser, cybertrusler, sårbarheder og nærvedhændelser mellem:

2.   CERT-EU fremmer, hvor det er relevant i tæt samarbejde med ENISA, koordineringen mellem EU-enheder af reaktioner på hændelser, herunder:

3.   CERT-EU støtter, i tæt samarbejde med ENISA, EU-enhederne i relation til situationsbevidsthed i forbindelse med hændelser, cybertrusler, sårbarheder og nærvedhændelser og deler oplysninger om den seneste udvikling inden for cybersikkerhed.

4.   IICB vedtager senest den 8. januar 2025 på grundlag af et forslag fra CERT-EU retningslinjer eller henstillinger om koordinering af reaktionen på hændelser og samarbejde om væsentlige hændelser. hvis hændelsen mistænkes for at være af strafferetlig karakter, rådgiver CERT-EU også om, hvordan de retshåndhævende myndigheder underrettes om hændelsen, uden unødigt ophold.

5.   Efter en specifik anmodning fra en medlemsstat og med de berørte EU-enheders godkendelse kan CERT-EU indkalde eksperter fra den liste, der er omhandlet i artikel 23, stk. 4, med henblik på at bidrage til reaktionen på en større hændelse, som har en virkning i den pågældende medlemsstat, eller en omfattende cybersikkerhedshændelse i overensstemmelse med artikel 15, stk. 3, litra g), i direktiv (EU) 2022/2555. Specifikke regler for adgangen til og brugen af tekniske eksperter fra EU-enheder skal godkendes af IICB på grundlag af et forslag fra CERT-EU.