keyboard_tab Cyber Resilience Act 2023/2841 DA
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 6 Ramme for styring, forvaltning og kontrol af cybersikkerhedsrisici
- 4 Art. 12 Overholdelse
KAPITEL I
ALMINDELIGE BESTEMMELSER
KAPITEL II
FORANSTALTNINGER TIL SIKRING AF ET HØJT FÆLLES CYBERSIKKERHEDSNIVEAU
KAPITEL III
DET INTERINSTITUTIONELLE RÅD FOR CYBERSIKKERHED
KAPITEL IV
CERT-EU
KAPITEL V
SAMARBEJDE OG RAPPORTERINGSFORPLIGTELSER
KAPITEL VI
AFSLUTTENDE BESTEMMELSER
- eu-enhed 24
- pågældende 17
- denne 17
- forordning 15
- eller 12
- artikel 10
- iicb 10
- henhold 9
- cert-eu 9
- gennemførelsen 8
- øverste 7
- lokale 7
- ledelse 6
- disse 6
- skal 6
- rammen 6
- hver 6
- stk 6
- tjenestemænd 5
- inden 5
- eu-enheds 5
- ikke 5
- tiltag 5
- mangler 5
- hvis 4
- henstillinger 4
- cybersikkerhed 4
- herunder 4
- uden 4
- andre 4
- cybersikkerhedsrisici 4
- styring 4
- udstede 4
- periode 4
- efter 4
- foranstaltninger 4
- eu-enhedens 4
- cybersikkerhedsansvarlige 4
- ramme 4
- litra 3
- passende 3
- første 3
- sikre 3
- afsnit 3
- vedtægten 3
- regelmæssigt 3
- overholdelse 3
- berører 3
- relevant 3
- interne 3
Artikel 6
Ramme for styring, forvaltning og kontrol af cybersikkerhedsrisici
1. Senest den 8. april 2025 fastlægger hver EU-enhed efter at have foretaget en indledende cybersikkerhedsgennemgang, såsom en revision, en intern ramme for styring, forvaltning og kontrol af cybersikkerhedsrisici (»rammen«). Fastlæggelsen af rammen overvåges af og under ansvar af EU-enhedens øverste ledelse.
2. Rammen skal dække hele den pågældende EU-enheds uklassificerede IKT-miljø, herunder lokale IKT-miljøer, lokale driftsteknologinet, udliciterede aktiver og tjenester i cloudcomputingmiljøer eller som hostes af tredjeparter, bærbare enheder, interne netværk, forretningsnetværk, der ikke er forbundet til internettet, og andre enheder, der er forbundet til disse miljøer (»IKT-miljøet«). Rammen skal være baseret på en tilgang, der omfatter alle farer.
3. Rammen skal sikre et højt cybersikkerhedsniveau. Rammen fastlægger interne cybersikkerhedspolitikker, herunder mål og prioriteter for sikkerheden i net- og informationssystemer og rollerne og ansvarsområderne for EU-enhedens personale, der har til opgave at sikre en effektiv gennemførelse af denne forordning. Rammen omfatter også mekanismer til måling af effektiviteten af gennemførelsen.
4. Rammen revideres regelmæssigt i lyset af cybersikkerhedsrisiciene, som hele tiden ændrer sig, og mindst hvert fjerde år. Hvor det er relevant, og efter anmodning fra Det Interinstitutionelle Råd for Cybersikkerhed, der er oprettet i henhold til artikel 10, kan en EU-enheds ramme ajourføres på grundlag af vejledning fra CERT-EU om påviste hændelser eller mulige mangler i gennemførelsen af denne forordning, som er konstateret.
5. Den øverste ledelse i hver EU-enhed er ansvarlig for gennemførelsen af denne forordning og fører tilsyn med sin organisations overholdelse af forpligtelserne i forbindelse med rammen.
6. Hvor det er relevant, og uden at det berører dens ansvar for gennemførelsen af denne forordning, kan den øverste ledelse i hver EU-enhed uddelegere specifikke forpligtelser i henhold til denne forordning til seniormanagere som omhandlet i artikel 29, stk. 2, i vedtægten for tjenestemænd eller andre tjenestemænd på tilsvarende niveau i den pågældende EU-enhed. Uanset en sådan delegering kan den øverste ledelse holdes ansvarlig for den pågældende EU-enheds overtrædelser af denne forordning.
7. Hver EU-enhed indfører effektive mekanismer til sikring af, at en passende procentdel af IKT-budgettet bruges på cybersikkerhed. Der skal tages behørigt hensyn til rammen ved fastlæggelsen af denne procentdel.
8. Hver EU-enhed udpeger en lokal cybersikkerhedsansvarlig eller en ækvivalent funktion, der fungerer som det centrale kontaktpunkt vedrørende alle aspekter af cybersikkerhed. Den lokale cybersikkerhedsansvarlige fremmer gennemførelsen af denne forordning og aflægger regelmæssigt rapport direkte til den øverste ledelse om status for gennemførelsen. Uden at det berører den omstændighed, at den lokale cybersikkerhedsansvarlige er det centrale kontaktpunkt i hver EU-enhed, kan en EU-enhed uddelegere visse af den lokale cybersikkerhedsansvarliges opgaver i relation til gennemførelsen af denne forordning til CERT-EU på grundlag af en serviceleveranceaftale, som indgås mellem den pågældende EU-enhed og CERT-EU, eller disse opgaver kan deles af flere EU-enheder. Hvis disse opgaver uddelegeres til CERT-EU, træffer Det Interinstitutionelle Råd for Cybersikkerhed, der er oprettet i henhold til artikel 10, afgørelse om, hvorvidt leveringen af denne tjeneste skal være en del af CERT-EU's basistjenester, under hensyntagen til den pågældende EU-enheds menneskelige og finansielle ressourcer. Hver EU-enhed underretter uden unødigt ophold CERT-EU om de udpegede lokale cybersikkerhedsansvarlige og alle senere ændringer af disse.
CERT-EU opretter en liste over udpegede lokale cybersikkerhedsansvarlige og holder den ajour.
9. Seniormanagere som omhandlet i artikel 29, stk. 2, i vedtægten for tjenestemænd eller andre tjenestemænd på tilsvarende niveau i hver EU-enhed samt alle relevante medarbejdere, der har til opgave at gennemføre foranstaltningerne for styring af cybersikkerhedsrisici og at opfylde forpligtelserne fastsat i denne forordning, følger regelmæssigt specifikke kurser for at tilegne sig tilstrækkelig viden og tilstrækkelige færdigheder til at forstå og vurdere cybersikkerhedsrisici- og cybersikkerhedsstyringspraksis samt virkningen heraf for EU-enhedens drift.
Artikel 12
Overholdelse
1. IICB overvåger i henhold til artikel 10, stk. 2, og artikel 11 effektivt EU-enhedernes gennemførelse af denne forordning og de vedtagne retningslinjer, henstillinger og opfordringer til tiltag. IICB kan anmode EU-enhederne om de oplysninger eller den dokumentation, der er behov for til dette formål. Med henblik på vedtagelse af overholdelsesforanstaltninger i henhold til nærværende artikel har den pågældende EU-enhed, såfremt den er direkte repræsenteret i IICB, ikke stemmeret.
2. Hvis IICB finder, at en EU-enhed ikke på effektiv vis har gennemført denne forordning eller retningslinjer, henstillinger eller opfordringer til tiltag, som er udstedt i medfør heraf, kan det, uden at dette berører den pågældende EU-enheds interne procedurer, og efter at have givet den pågældende EU-enhed mulighed for at fremsætte sine bemærkninger gøre følgende:
| a) | sende en begrundet udtalelse til den pågældende EU-enhed med konstaterede mangler i gennemførelsen af denne forordning |
| b) | efter høring af CERT-EU udstede retningslinjer til den pågældende EU-enhed for at sikre, at dens ramme, foranstaltninger til styring af cybersikkerhedsrisici, cybersikkerhedsplan og rapportering er i overensstemmelse med denne forordning inden for en nærmere angivet periode |
| c) | udstede en advarsel om, at konstaterede mangler skal afhjælpes inden for en nærmere angivet periode, herunder henstillinger om ændring af foranstaltninger vedtaget af den pågældende EU-enhed i henhold til denne forordning |
| d) | udstede en begrundet meddelelse til den pågældende EU-enhed, hvis de mangler, der blev påpeget i en advarsel udstedt i henhold til litra c), ikke er blevet afhjulpet i tilstrækkelig grad inden for den fastsatte periode |
| e) | udstede:
|
| f) | hvor det er relevant, underrette Revisionsretten inden for rammerne af sit mandat om den påståede manglende overholdelse |
| g) | udstede en henstilling om, at alle medlemsstater og EU-enheder foretager en midlertidig afbrydelse af datastrømmene til den pågældende EU-enhed. |
Med henblik på litra c), første afsnit, begrænses advarslens læserskare på passende vis, hvis det er nødvendigt i lyset af cybersikkerhedsrisikoen.
Advarsler og henstillinger udstedt i henhold til første afsnit rettes til det øverste ledelsesniveau i den pågældende EU-enhed.
3. Hvis IICB har vedtaget foranstaltninger i henhold til stk. 2, første afsnit, litra a)-g), fremlægger den pågældende EU-enhed detaljer om de foranstaltninger og tiltag, der er iværksat for at afhjælpe de påståede mangler, som IICB har konstateret. EU-enheden indsender disse detaljer inden for en rimelig periode, der aftales med IICB.
4. Hvis IICB finder, at en EU-enhed vedholdende overtræder denne forordning som en direkte følge af en EU-tjenestemands eller anden EU-ansats handlinger eller undladelser, herunder i den øverste ledelse, anmoder IICB om, at den pågældende EU-enhed iværksætter passende tiltag, hvilket indbefatter en anmodning om at iværksætte tiltag af disciplinær karakter, i overensstemmelse med de regler og procedurer, der er fastsat i vedtægten for tjenestemænd, og eventuelle andre gældende regler og procedurer. Med henblik herpå videregiver IICB de nødvendige oplysninger til den pågældende EU-enhed.
5. Hvis EU-enheder meddeler, at de ikke er i stand til at overholde fristerne i artikel 6, stk. 1, og artikel 8, stk. 1, kan IICB i behørigt begrundede tilfælde under hensyntagen til EU-enhedens størrelse tillade en forlængelse af disse frister.
KAPITEL IV
CERT-EU
whereas