keyboard_tab Cyber Resilience Act 2023/2841 DA
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Art. 4 Behandling af personoplysninger
- 1 Art. 9 Cybersikkerhedsplaner
- 1 Art. 11 IICB's opgaver
- 1 Art. 12 Overholdelse
- 1 Art. 25 Evaluering
- Artikel 26 Ikrafttræden
KAPITEL I
ALMINDELIGE BESTEMMELSER
KAPITEL II
FORANSTALTNINGER TIL SIKRING AF ET HØJT FÆLLES CYBERSIKKERHEDSNIVEAU
KAPITEL III
DET INTERINSTITUTIONELLE RÅD FOR CYBERSIKKERHED
KAPITEL IV
CERT-EU
KAPITEL V
SAMARBEJDE OG RAPPORTERINGSFORPLIGTELSER
KAPITEL VI
AFSLUTTENDE BESTEMMELSER
- artikel 33
- cert-eu 24
- henhold 23
- forordning 18
- denne 17
- eu-enhed 16
- iicb 15
- eller 14
- pågældende 12
- stk 11
- foranstaltninger 11
- eu-enhederne 11
- forslag 8
- godkende 8
- henstillinger 7
- oplysninger 7
- gennemførelsen 7
- under 7
- chef 7
- tiltag 6
- nødvendigt 6
- cybersikkerhedsrisici 6
- henblik 6
- skal 6
- inden 6
- grundlag 6
- cybersikkerhed 6
- hensyntagen 5
- afsnit 5
- litra 5
- hændelser 5
- eu-enhedernes 5
- styring 5
- retningslinjer 5
- første 5
- kommissionen 5
- udstede 5
- disse 5
- personoplysninger 5
- herunder 4
- efter 4
- andre 4
- ikke 4
- støtte 4
- plan 4
- hvor 4
- større 4
- hvis 4
- periode 4
- eu / 4
Artikel 4
Behandling af personoplysninger
1. CERT-EU, Det Interinstitutionelle Råd for Cybersikkerhed, der er oprettet i henhold til artikel 10, og EU-enhederne behandler personoplysninger i henhold til denne forordning i overensstemmelse med forordning (EU) 2018/1725.
2. Når de udfører opgaver eller opfylder forpligtelser i henhold til denne forordning, behandler og udveksler CERT-EU, Det Interinstitutionelle Råd for Cybersikkerhed, der er oprettet i henhold til artikel 10, og EU-enhederne kun personoplysninger i det omfang, det er nødvendigt og udelukkende med henblik på at udføre disse opgaver eller opfylde disse forpligtelser.
3. Behandling af særlige kategorier af personoplysninger som omhandlet i artikel 10, stk. 1, i forordning (EU) 2018/1725 skal anses for at være nødvendig af hensyn til væsentlige samfundsinteresser i henhold til artikel 10, stk. 2, litra g), i nævnte forordning. Sådanne oplysninger må kun behandles i det omfang, det er nødvendigt for gennemførelsen af de foranstaltninger til styring af cybersikkerhedsrisici, som er omhandlet i artikel 6 og 8, for CERT-EU's levering af tjenester i henhold til artikel 13, for udveksling af hændelsesspecifikke oplysninger i henhold til artikel 17, stk. 3, og artikel 18, stk. 3, for udveksling af oplysninger i henhold til artikel 20, for rapporteringsforpligtelserne i henhold til artikel 21, for koordinering af og samarbejde om reaktion på hændelser i henhold til artikel 22 og for håndtering af større hændelser i henhold til artikel 23 i nærværende forordning. Når EU-enhederne og CERT-EU fungerer som dataansvarlige, anvender de tekniske foranstaltninger for at forhindre behandling af særlige kategorier af personoplysninger til andre formål og sørger for egnede og særlige foranstaltninger til beskyttelse af de registreredes grundlæggende rettigheder og interesser.
KAPITEL II
FORANSTALTNINGER TIL SIKRING AF ET HØJT FÆLLES CYBERSIKKERHEDSNIVEAU
Artikel 9
Cybersikkerhedsplaner
1. Efter færdiggørelsen af den modenhedsvurdering af cybersikkerheden, der er foretaget i henhold til artikel 7, og under hensyntagen til de aktiver og cybersikkerhedsrisici, der er konstateret inden for rammen og de foranstaltninger til styring af cybersikkerhedsrisici, der er truffet i henhold til artikel 8, godkender den øverste ledelse i hver EU-enhed en cybersikkerhedsplan uden unødigt ophold og under alle omstændigheder senest den 8. januar 2026. Cybersikkerhedsplanen skal tage sigte på at øge EU-enhedens overordnede cybersikkerhed og derved bidrage til forbedringen af et højt fælles cybersikkerhedsniveau i EU-enhederne. Cybersikkerhedsplanen skal som minimum omfatte de foranstaltninger til styring af cybersikkerhedsrisiciene, der er truffet i henhold til artikel 8. Cybersikkerhedsplanen revideres hvert andet år eller hyppigere, hvis det er nødvendigt, efter de modenhedsvurderinger af cybersikkerheden, der er foretaget i henhold til artikel 7, eller en eventuel betydelig revision af rammen.
2. Cybersikkerhedsplanen skal omfatte EU-enhedens plan for cyberkrisestyring i tilfælde af større hændelser.
3. EU-enheden forelægger den fuldstændige cybersikkerhedsplan for Det Interinstitutionelle Råd for Cybersikkerhed, som er oprettet i henhold til artikel 10.
KAPITEL III
DET INTERINSTITUTIONELLE RÅD FOR CYBERSIKKERHED
Artikel 11
IICB's opgaver
Når det udfører sine forpligtelser, skal IICB navnlig:
| a) | yde vejledning til CERT-EU's chef |
| b) | effektivt overvåge og føre tilsyn med gennemførelsen af denne forordning og støtte EU-enhederne i at styrke deres cybersikkerhed, herunder, hvor det er relevant, anmode om ad hoc-rapporter fra EU-enhederne og CERT-EU |
| c) | efter en strategisk drøftelse vedtage en flerårig strategi for forøgelse af cybersikkerhedsniveauet i EU-enhederne, vurdere denne strategi regelmæssigt og under alle omstændigheder hvert femte år og, hvor det er nødvendigt, ændre strategien |
| d) | fastlægge metoden for og de organisatoriske aspekter af EU-enhedernes gennemførelse af frivillige peerevalueringer med henblik på at lære af fælles erfaringer, styrke den gensidige tillid, opnå et højt fælles cybersikkerhedsniveau og styrke EU-enhedernes cybersikkerhedskapacitet, idet det sikres, at sådanne peerevalueringer foretages af cybersikkerhedseksperter udpeget af en anden EU-enhed end den EU-enhed, der evalueres, og at metoden er baseret på artikel 19 i direktiv (EU) 2022/2555 og, hvor det er relevant, er tilpasset EU-enhederne |
| e) | godkende CERT-EU's årlige arbejdsprogram på grundlag af et forslag fra CERT-EU's chef og overvåge gennemførelsen heraf |
| f) | godkende CERT-EU's tjenestekatalog og eventuelle senere ajourføringer heraf på grundlag af et forslag fra CERT-EU's chef |
| g) | på grundlag af et forslag fra CERT-EU's chef godkende den årlige finansielle planlægning af indtægter og udgifter, herunder personale, i forbindelse med CERT-EU's aktiviteter |
| h) | godkende ordningerne for serviceleveranceaftaler på grundlag af et forslag fra CERT-EU's chef |
| i) | behandle og godkende den årsrapport, som udarbejdes af CERT-EU's chef, og som omfatter CERT-EU's aktiviteter og forvaltning af midler |
| j) | godkende og overvåge nøgleresultatindikatorer (KPI'er) for CERT-EU, der fastsættes på grundlag af et forslag fra CERT-EU's chef |
| k) | godkende samarbejdsaftaler, serviceleveranceaftaler eller kontrakter mellem CERT-EU og andre enheder, der indgås i medfør af artikel 18 |
| l) | vedtage retningslinjer og henstillinger på grundlag af et forslag fra CERT-EU i overensstemmelse med artikel 14 og pålægge CERT-EU at udstede, tilbagekalde eller ændre et forslag til retningslinjer eller henstillinger eller en opfordring til tiltag |
| m) | nedsætte tekniske rådgivende grupper med specifikke opgaver til at bistå IICB i dets arbejde, godkende deres mandat og udpege deres respektive formænd |
| n) | modtage og vurdere dokumenter og rapporter, der forelægges af EU-enhederne i henhold til denne forordning, såsom modenhedsvurderinger af cybersikkerheden |
| o) | fremme nedsættelsen af en uformel gruppe bestående af EU-enhedernes lokale cybersikkerhedsansvarlige med støtte fra ENISA med henblik på udveksling af bedste praksis og oplysninger i forbindelse med gennemførelsen af denne forordning |
| p) | under hensyntagen til oplysningerne om de udpegede cybersikkerhedsrisici og de indhøstede erfaringer, der kommer fra CERT-EU, overvåge, om sammenkoblingsordningerne mellem EU-enhedernes IKT-miljøer er tilstrækkelige, og rådgive om mulige forbedringer |
| q) | fastlægge en plan for cyberkrisestyring for på operationelt plan at støtte den koordinerede håndtering af større hændelser, der påvirker EU-enheder, og bidrage til regelmæssig udveksling af relevante oplysninger, navnlig med hensyn til virkningerne og alvoren af større hændelser og de mulige metoder til at afbøde virkningerne heraf |
| r) | koordinere vedtagelsen af de enkelte EU-enheders cyberkrisestyringsplaner, jf. artikel 9, stk. 2 |
| s) | vedtage henstillinger vedrørende forsyningskædesikkerhed som omhandlet i artikel 8, stk. 2, første afsnit, litra m), under hensyntagen til resultaterne af sikkerhedsrisikovurderinger koordineret på EU-niveau af kritiske forsyningskæder, jf. artikel 22 i direktiv (EU) 2022/2555, for at støtte EU-enhederne i at vedtage effektive og forholdsmæssige foranstaltninger til styring af cybersikkerhedsrisici. |
Artikel 12
Overholdelse
1. IICB overvåger i henhold til artikel 10, stk. 2, og artikel 11 effektivt EU-enhedernes gennemførelse af denne forordning og de vedtagne retningslinjer, henstillinger og opfordringer til tiltag. IICB kan anmode EU-enhederne om de oplysninger eller den dokumentation, der er behov for til dette formål. Med henblik på vedtagelse af overholdelsesforanstaltninger i henhold til nærværende artikel har den pågældende EU-enhed, såfremt den er direkte repræsenteret i IICB, ikke stemmeret.
2. Hvis IICB finder, at en EU-enhed ikke på effektiv vis har gennemført denne forordning eller retningslinjer, henstillinger eller opfordringer til tiltag, som er udstedt i medfør heraf, kan det, uden at dette berører den pågældende EU-enheds interne procedurer, og efter at have givet den pågældende EU-enhed mulighed for at fremsætte sine bemærkninger gøre følgende:
| a) | sende en begrundet udtalelse til den pågældende EU-enhed med konstaterede mangler i gennemførelsen af denne forordning |
| b) | efter høring af CERT-EU udstede retningslinjer til den pågældende EU-enhed for at sikre, at dens ramme, foranstaltninger til styring af cybersikkerhedsrisici, cybersikkerhedsplan og rapportering er i overensstemmelse med denne forordning inden for en nærmere angivet periode |
| c) | udstede en advarsel om, at konstaterede mangler skal afhjælpes inden for en nærmere angivet periode, herunder henstillinger om ændring af foranstaltninger vedtaget af den pågældende EU-enhed i henhold til denne forordning |
| d) | udstede en begrundet meddelelse til den pågældende EU-enhed, hvis de mangler, der blev påpeget i en advarsel udstedt i henhold til litra c), ikke er blevet afhjulpet i tilstrækkelig grad inden for den fastsatte periode |
| e) | udstede:
|
| f) | hvor det er relevant, underrette Revisionsretten inden for rammerne af sit mandat om den påståede manglende overholdelse |
| g) | udstede en henstilling om, at alle medlemsstater og EU-enheder foretager en midlertidig afbrydelse af datastrømmene til den pågældende EU-enhed. |
Med henblik på litra c), første afsnit, begrænses advarslens læserskare på passende vis, hvis det er nødvendigt i lyset af cybersikkerhedsrisikoen.
Advarsler og henstillinger udstedt i henhold til første afsnit rettes til det øverste ledelsesniveau i den pågældende EU-enhed.
3. Hvis IICB har vedtaget foranstaltninger i henhold til stk. 2, første afsnit, litra a)-g), fremlægger den pågældende EU-enhed detaljer om de foranstaltninger og tiltag, der er iværksat for at afhjælpe de påståede mangler, som IICB har konstateret. EU-enheden indsender disse detaljer inden for en rimelig periode, der aftales med IICB.
4. Hvis IICB finder, at en EU-enhed vedholdende overtræder denne forordning som en direkte følge af en EU-tjenestemands eller anden EU-ansats handlinger eller undladelser, herunder i den øverste ledelse, anmoder IICB om, at den pågældende EU-enhed iværksætter passende tiltag, hvilket indbefatter en anmodning om at iværksætte tiltag af disciplinær karakter, i overensstemmelse med de regler og procedurer, der er fastsat i vedtægten for tjenestemænd, og eventuelle andre gældende regler og procedurer. Med henblik herpå videregiver IICB de nødvendige oplysninger til den pågældende EU-enhed.
5. Hvis EU-enheder meddeler, at de ikke er i stand til at overholde fristerne i artikel 6, stk. 1, og artikel 8, stk. 1, kan IICB i behørigt begrundede tilfælde under hensyntagen til EU-enhedens størrelse tillade en forlængelse af disse frister.
KAPITEL IV
CERT-EU
Artikel 25
Evaluering
1. Senest den 8. januar 2025 og derefter hvert år rapporterer IICB med bistand fra CERT-EU til Kommissionen om gennemførelsen af denne forordning. IICB kan henstille til Kommissionen at evaluere denne forordning.
2. Senest den 8. januar 2027 og derefter hvert andet år foretager Kommissionen en vurdering og rapporterer til Europa-Parlamentet og Rådet om gennemførelsen af denne forordning og om de indhøstede erfaringer på strategisk og operationelt plan.
Den rapport, der er omhandlet i dette stykkes første afsnit, indeholder gennemgangen, jf. artikel 16, stk. 1, af muligheden for at oprette CERT-EU som et EU-kontor.
3. Senest den 8. januar 2029 evaluerer Kommissionen denne forordnings funktion og forelægger en rapport for Europa-Parlamentet, Rådet, Det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalget. Kommissionen vurderer også, om det er hensigtsmæssigt at medtage net- og informationssystemer, der håndterer EUCI, i denne forordnings anvendelsesområde, under hensyntagen til andre EU-retsakter, der finder anvendelse på disse systemer. Rapporten ledsages om nødvendigt af et lovgivningsmæssigt forslag.
whereas