keyboard_tab Cyber Resilience Act 2023/2841 DA
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 4 Behandling af personoplysninger
- 1 Art. 7 Modenhedsvurderinger af cybersikkerheden
- 1 Art. 16 Finansielle og personalemæssige spørgsmål
- 1 Art. 17 CERT-EU's samarbejde med medlemsstatsmodparter
- 1 Art. 19 Håndtering af oplysninger
KAPITEL I
ALMINDELIGE BESTEMMELSER
KAPITEL II
FORANSTALTNINGER TIL SIKRING AF ET HØJT FÆLLES CYBERSIKKERHEDSNIVEAU
KAPITEL III
DET INTERINSTITUTIONELLE RÅD FOR CYBERSIKKERHED
KAPITEL IV
CERT-EU
KAPITEL V
SAMARBEJDE OG RAPPORTERINGSFORPLIGTELSER
KAPITEL VI
AFSLUTTENDE BESTEMMELSER
- artikel 28
- cert-eu 26
- henhold 20
- eller 13
- stk 11
- forordning 9
- oplysninger 9
- eu-enhed 8
- berørte 7
- oprettet 7
- tjenester 6
- personoplysninger 6
- cybersikkerheden 5
- denne 5
- eu-enheder 5
- hændelser 5
- kommissionen 5
- samtykke 5
- eu / 5
- overensstemmelse 5
- chef 4
- hændelsesspecifikke 4
- foranstaltninger 4
- omhandlet 4
- andre 4
- særlige 4
- direktiv 4
- inden 4
- giver 4
- nævnte 4
- cert-eu 4
- udveksler 4
- administrative 4
- råd 4
- udveksling 3
- kommissionens 3
- samarbejde 3
- gældende 3
- håndtering 3
- cybersikkerhed 3
- finansielle 3
- under 3
- iicb 3
- relevante 3
- eu-enhederne 3
- vedrører 3
- fastsat 3
- opgaver 3
- interinstitutionelle 3
- medlemsstatsmodparter 3
Artikel 4
Behandling af personoplysninger
1. CERT-EU, Det Interinstitutionelle Råd for Cybersikkerhed, der er oprettet i henhold til artikel 10, og EU-enhederne behandler personoplysninger i henhold til denne forordning i overensstemmelse med forordning (EU) 2018/1725.
2. Når de udfører opgaver eller opfylder forpligtelser i henhold til denne forordning, behandler og udveksler CERT-EU, Det Interinstitutionelle Råd for Cybersikkerhed, der er oprettet i henhold til artikel 10, og EU-enhederne kun personoplysninger i det omfang, det er nødvendigt og udelukkende med henblik på at udføre disse opgaver eller opfylde disse forpligtelser.
3. Behandling af særlige kategorier af personoplysninger som omhandlet i artikel 10, stk. 1, i forordning (EU) 2018/1725 skal anses for at være nødvendig af hensyn til væsentlige samfundsinteresser i henhold til artikel 10, stk. 2, litra g), i nævnte forordning. Sådanne oplysninger må kun behandles i det omfang, det er nødvendigt for gennemførelsen af de foranstaltninger til styring af cybersikkerhedsrisici, som er omhandlet i artikel 6 og 8, for CERT-EU's levering af tjenester i henhold til artikel 13, for udveksling af hændelsesspecifikke oplysninger i henhold til artikel 17, stk. 3, og artikel 18, stk. 3, for udveksling af oplysninger i henhold til artikel 20, for rapporteringsforpligtelserne i henhold til artikel 21, for koordinering af og samarbejde om reaktion på hændelser i henhold til artikel 22 og for håndtering af større hændelser i henhold til artikel 23 i nærværende forordning. Når EU-enhederne og CERT-EU fungerer som dataansvarlige, anvender de tekniske foranstaltninger for at forhindre behandling af særlige kategorier af personoplysninger til andre formål og sørger for egnede og særlige foranstaltninger til beskyttelse af de registreredes grundlæggende rettigheder og interesser.
KAPITEL II
FORANSTALTNINGER TIL SIKRING AF ET HØJT FÆLLES CYBERSIKKERHEDSNIVEAU
Artikel 7
Modenhedsvurderinger af cybersikkerheden
1. Senest den 8. juli 2025 og mindst hvert andet år derefter foretager hver EU-enhed en modenhedsvurdering af cybersikkerheden, der omfatter alle elementerne i dens IKT-miljø.
2. Modenhedsvurderingerne af cybersikkerheden foretages, hvor det er relevant, med bistand fra en specialiseret tredjepart.
3. EU-enheder med ensartede strukturer kan samarbejde om at foretage modenhedsvurderinger af cybersikkerheden for deres respektive enheder.
4. På grundlag af en anmodning fra Det Interinstitutionelle Råd for Cybersikkerhed, der er oprettet i henhold til artikel 10, og med den pågældende EU-enheds udtrykkelige samtykke kan resultaterne af en modenhedsvurdering af cybersikkerheden drøftes i ovennævnte råd eller i den uformelle gruppe af lokale cybersikkerhedsansvarlige med henblik på at lære af erfaringerne og udveksle bedste praksis.
Artikel 16
Finansielle og personalemæssige spørgsmål
1. CERT-EU integreres i den administrative struktur i et generaldirektorat i Kommissionen for at drage fordel af Kommissionens strukturer for administrativ, finansiel og regnskabsmæssig støtte, samtidig med at CERT-EU bevarer sin status som en uafhængig interinstitutionel tjenesteyder for alle EU-enheder. Kommissionen underretter IICB om CERT-EU's administrative placering og alle ændringer heraf. Kommissionen gennemgår de administrative ordninger vedrørende CERT-EU regelmæssigt og under alle omstændigheder inden fastlæggelsen af en flerårig finansiel ramme i henhold til artikel 312 i TEUF for at gøre det muligt at træffe passende tiltag. Gennemgangen skal omfatte muligheden for at oprette CERT-EU som et EU-kontor.
2. Med hensyn til anvendelsen af de administrative og finansielle procedurer handler CERT-EU's chef med referat til Kommissionen og under IICB's tilsyn.
3. CERT-EU's opgaver og aktiviteter, herunder tjenester, som CERT-EU yder i henhold til artikel 13, stk. 3, 4, 5 og 7, og artikel 14, stk. 1, til EU-enheder, og som finansieres under det udgiftsområde i den flerårige finansielle ramme, der vedrører europæisk offentlig forvaltning, finansieres over en særlig budgetpost på Kommissionens budget. De stillinger, der er øremærket til CERT-EU, beskrives nærmere i en fodnote til Kommissionens stillingsfortegnelse.
4. Andre EU-enheder end dem, der er omhandlet i denne artikels stk. 3, yder et årligt finansielt bidrag til CERT-EU til dækning af de tjenester, som CERT-EU yder i henhold til nævnte stykke. Bidragene baseres på retningslinjer, der er udstedt af IICB og aftalt mellem hver enkelt EU-enhed og CERT-EU i serviceleveranceaftaler. Bidragene afspejler en fair og forholdsmæssig andel af de samlede omkostninger ved de tjenester, der er ydet. De opføres på den særlige budgetpost, der er omhandlet i denne artikels stk. 3, som formålsbestemte indtægter, jf. artikel 21, stk. 3, litra c), i forordning (EU, Euratom) 2018/1046.
5. Omkostningerne ved de tjenester, der er fastsat i artikel 13, stk. 6, opkræves fra de EU-enheder, der har gjort brug af CERT-EU's tjenester. Indtægterne opføres på de budgetposter, der vedrører omkostningerne.
Artikel 17
CERT-EU's samarbejde med medlemsstatsmodparter
1. CERT-EU samarbejder og udveksler oplysninger uden unødigt ophold med modparter i medlemsstaterne, navnlig de CSIRT'er, der er udpeget eller oprettet i henhold til artikel 10 i direktiv (EU) 2022/2555, eller, hvor det er relevant, de kompetente myndigheder og centrale kontaktpunkter, der er udpeget eller oprettet i henhold til artikel 8 i nævnte direktiv, om hændelser, cybertrusler, sårbarheder, nærvedhændelser, eventuelle modforanstaltninger samt bedste praksis og om alle spørgsmål, der er relevante for at forbedre beskyttelsen af EU-enhedernes IKT-miljøer, herunder ved hjælp af det CSIRT-netværk, der er oprettet i henhold til artikel 15 i direktiv (EU) 2022/2555. CERT-EU støtter Kommissionen i EU-CyCLONe, som er oprettet i henhold til artikel 16 i direktiv (EU) 2022/2555 om koordineret forvaltning af omfattende cybersikkerhedshændelser og kriser.
2. Hvis CERT-EU bliver opmærksomt på en væsentlig hændelse, der indtræffer på en medlemsstats område, underretter det straks alle relevante medlemsstatsmodparter i den pågældende medlemsstat i overensstemmelse med stk. 1.
3. Forudsat at personoplysninger er beskyttet i overensstemmelse med gældende EU-databeskyttelsesret, udveksler CERT-EU uden unødigt ophold relevante hændelsesspecifikke oplysninger med medlemsstatsmodparter for at lette opdagelsen af lignende cybertrusler eller -hændelser eller for at bidrage til analysen af en hændelse uden tilladelse fra den berørte EU-enhed. CERT-EU udveksler kun hændelsesspecifikke oplysninger, der afslører identiteten på målet for hændelsen, i tilfælde af et af følgende:
| a) | den berørte EU-enhed giver samtykke |
| b) | den berørte EU-enhed ikke giver samtykke som fastsat i litra a), men offentliggørelsen af den berørte EU-enheds identitet vil øge sandsynligheden for, at hændelser andre steder vil blive undgået eller afbødet |
| c) | den berørte EU-enhed allerede har offentliggjort, at den var berørt. |
Afgørelser om udveksling af hændelsesspecifikke oplysninger, der afslører identiteten af målet for hændelsen i henhold til første afsnit, litra b), skal godkendes af CERT-EU's chef. Inden offentliggørelsen af en sådan afgørelse, kontakter CERT-EU skriftligt den berørte EU-enhed og forklarer tydeligt, hvordan offentliggørelsen af dens identitet vil bidrage til at undgå eller afbøde hændelser andre steder. CERT-EU's chef giver denne forklaring og anmoder udtrykkeligt EU-enheden om at meddele, hvorvidt den giver samtykke, inden for en fastsat frist. CERT-EU's chef oplyser også EU-enheden om, at han eller hun i lyset af den fremlagte forklaring forbeholder sig ret til at videregive oplysningerne, selv om der ikke gives samtykke. Den berørte EU-enhed underrettes, inden oplysningerne videregives.
Artikel 19
Håndtering af oplysninger
1. EU-enhederne og CERT-EU overholder tavshedspligten i overensstemmelse med artikel 339 i TEUF eller tilsvarende gældende rammer.
2. Europa-Parlamentets og Rådets forordning (EF) nr. 1049/2001 (10) finder anvendelse på anmodninger om aktindsigt i dokumenter, som CERT-EU er i besiddelse af, herunder forpligtelsen i nævnte forordning til at rådføre sig med andre EU-enheder eller, hvor det er relevant, medlemsstater, når en anmodning vedrører deres dokumenter.
3. EU-enhedernes og CERT-EU's håndtering af oplysninger sker i overensstemmelse med de gældende regler om informationssikkerhed.
whereas