keyboard_tab Cyber Resilience Act 2023/2841 DA
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 5 Gennemførelse af foranstaltninger
- 8 Art. 9 Cybersikkerhedsplaner
- 4 Art. 11 IICB's opgaver
- 1 Art. 12 Overholdelse
- 1 Art. 13 CERT-EU's mission og opgaver
- 1 Art. 14 Retningslinjer, henstillinger og opfordringer til tiltag
- 3 Art. 15 Chefen for CERT-EU
- 1 Art. 20 Ordninger for udveksling af cybersikkerhedsoplysninger
- 1 Art. 22 Koordinering af og samarbejde om reaktionen på hændelser
- 6 Art. 23 Håndtering af større hændelser
- 1 Art. 25 Evaluering
- Artikel 26 Ikrafttræden
KAPITEL I
ALMINDELIGE BESTEMMELSER
KAPITEL II
FORANSTALTNINGER TIL SIKRING AF ET HØJT FÆLLES CYBERSIKKERHEDSNIVEAU
KAPITEL III
DET INTERINSTITUTIONELLE RÅD FOR CYBERSIKKERHED
KAPITEL IV
CERT-EU
KAPITEL V
SAMARBEJDE OG RAPPORTERINGSFORPLIGTELSER
KAPITEL VI
AFSLUTTENDE BESTEMMELSER
- cert-eu 59
- artikel 50
- iicb 35
- hændelser 29
- oplysninger 29
- henhold 27
- eller 26
- eu-enhederne 25
- denne 24
- eu-enhed 23
- stk 20
- forordning 19
- pågældende 18
- cert-eu 18
- eu-enheder 17
- herunder 16
- henstillinger 15
- forslag 15
- samarbejde 14
- under 14
- gennemførelsen 14
- større 14
- henblik 14
- forbindelse 13
- retningslinjer 13
- efter 13
- skal 12
- cybersikkerhed 11
- hvor 11
- relevant 11
- omhandlet 11
- udveksling 11
- støtte 11
- foranstaltninger 11
- tiltag 11
- inden 10
- eu-enhedernes 10
- ikke 9
- deres 9
- chef 9
- første 9
- afsnit 9
- anmodning 9
- relevante 9
- fælles 9
- overensstemmelse 9
- hvis 9
- cybersikkerhedsrisici 9
- grundlag 9
- godkende 9
Artikel 5
Gennemførelse af foranstaltninger
1. Senest den 8. september 2024 udsteder Det Interinstitutionelle Råd for Cybersikkerhed, der er oprettet i henhold til artikel 10, efter høring af Den Europæiske Unions Agentur for Cybersikkerhed (ENISA) og efter at have modtaget vejledning fra CERT-EU retningslinjer til EU-enhederne med henblik på at foretage en indledende cybersikkerhedsrevision og fastlægge en intern ramme for styring, forvaltning og kontrol af cybersikkerhedsrisici i henhold til artikel 6, foretage modenhedsvurderinger af cybersikkerheden i henhold til artikel 7, træffe foranstaltninger til styring af cybersikkerhedsrisici i henhold til artikel 8 og vedtage cybersikkerhedsplanen i henhold til artikel 9.
2. Ved gennemførelsen af artikel 6-9 tager EU-enhederne hensyn til de retningslinjer, der er omhandlet i nærværende artikels stk. 1, samt relevante retningslinjer og henstillinger vedtaget i henhold til artikel 11 og 14.
Artikel 9
Cybersikkerhedsplaner
1. Efter færdiggørelsen af den modenhedsvurdering af cybersikkerheden, der er foretaget i henhold til artikel 7, og under hensyntagen til de aktiver og cybersikkerhedsrisici, der er konstateret inden for rammen og de foranstaltninger til styring af cybersikkerhedsrisici, der er truffet i henhold til artikel 8, godkender den øverste ledelse i hver EU-enhed en cybersikkerhedsplan uden unødigt ophold og under alle omstændigheder senest den 8. januar 2026. Cybersikkerhedsplanen skal tage sigte på at øge EU-enhedens overordnede cybersikkerhed og derved bidrage til forbedringen af et højt fælles cybersikkerhedsniveau i EU-enhederne. Cybersikkerhedsplanen skal som minimum omfatte de foranstaltninger til styring af cybersikkerhedsrisiciene, der er truffet i henhold til artikel 8. Cybersikkerhedsplanen revideres hvert andet år eller hyppigere, hvis det er nødvendigt, efter de modenhedsvurderinger af cybersikkerheden, der er foretaget i henhold til artikel 7, eller en eventuel betydelig revision af rammen.
2. Cybersikkerhedsplanen skal omfatte EU-enhedens plan for cyberkrisestyring i tilfælde af større hændelser.
3. EU-enheden forelægger den fuldstændige cybersikkerhedsplan for Det Interinstitutionelle Råd for Cybersikkerhed, som er oprettet i henhold til artikel 10.
KAPITEL III
DET INTERINSTITUTIONELLE RÅD FOR CYBERSIKKERHED
Artikel 11
IICB's opgaver
Når det udfører sine forpligtelser, skal IICB navnlig:
| a) | yde vejledning til CERT-EU's chef |
| b) | effektivt overvåge og føre tilsyn med gennemførelsen af denne forordning og støtte EU-enhederne i at styrke deres cybersikkerhed, herunder, hvor det er relevant, anmode om ad hoc-rapporter fra EU-enhederne og CERT-EU |
| c) | efter en strategisk drøftelse vedtage en flerårig strategi for forøgelse af cybersikkerhedsniveauet i EU-enhederne, vurdere denne strategi regelmæssigt og under alle omstændigheder hvert femte år og, hvor det er nødvendigt, ændre strategien |
| d) | fastlægge metoden for og de organisatoriske aspekter af EU-enhedernes gennemførelse af frivillige peerevalueringer med henblik på at lære af fælles erfaringer, styrke den gensidige tillid, opnå et højt fælles cybersikkerhedsniveau og styrke EU-enhedernes cybersikkerhedskapacitet, idet det sikres, at sådanne peerevalueringer foretages af cybersikkerhedseksperter udpeget af en anden EU-enhed end den EU-enhed, der evalueres, og at metoden er baseret på artikel 19 i direktiv (EU) 2022/2555 og, hvor det er relevant, er tilpasset EU-enhederne |
| e) | godkende CERT-EU's årlige arbejdsprogram på grundlag af et forslag fra CERT-EU's chef og overvåge gennemførelsen heraf |
| f) | godkende CERT-EU's tjenestekatalog og eventuelle senere ajourføringer heraf på grundlag af et forslag fra CERT-EU's chef |
| g) | på grundlag af et forslag fra CERT-EU's chef godkende den årlige finansielle planlægning af indtægter og udgifter, herunder personale, i forbindelse med CERT-EU's aktiviteter |
| h) | godkende ordningerne for serviceleveranceaftaler på grundlag af et forslag fra CERT-EU's chef |
| i) | behandle og godkende den årsrapport, som udarbejdes af CERT-EU's chef, og som omfatter CERT-EU's aktiviteter og forvaltning af midler |
| j) | godkende og overvåge nøgleresultatindikatorer (KPI'er) for CERT-EU, der fastsættes på grundlag af et forslag fra CERT-EU's chef |
| k) | godkende samarbejdsaftaler, serviceleveranceaftaler eller kontrakter mellem CERT-EU og andre enheder, der indgås i medfør af artikel 18 |
| l) | vedtage retningslinjer og henstillinger på grundlag af et forslag fra CERT-EU i overensstemmelse med artikel 14 og pålægge CERT-EU at udstede, tilbagekalde eller ændre et forslag til retningslinjer eller henstillinger eller en opfordring til tiltag |
| m) | nedsætte tekniske rådgivende grupper med specifikke opgaver til at bistå IICB i dets arbejde, godkende deres mandat og udpege deres respektive formænd |
| n) | modtage og vurdere dokumenter og rapporter, der forelægges af EU-enhederne i henhold til denne forordning, såsom modenhedsvurderinger af cybersikkerheden |
| o) | fremme nedsættelsen af en uformel gruppe bestående af EU-enhedernes lokale cybersikkerhedsansvarlige med støtte fra ENISA med henblik på udveksling af bedste praksis og oplysninger i forbindelse med gennemførelsen af denne forordning |
| p) | under hensyntagen til oplysningerne om de udpegede cybersikkerhedsrisici og de indhøstede erfaringer, der kommer fra CERT-EU, overvåge, om sammenkoblingsordningerne mellem EU-enhedernes IKT-miljøer er tilstrækkelige, og rådgive om mulige forbedringer |
| q) | fastlægge en plan for cyberkrisestyring for på operationelt plan at støtte den koordinerede håndtering af større hændelser, der påvirker EU-enheder, og bidrage til regelmæssig udveksling af relevante oplysninger, navnlig med hensyn til virkningerne og alvoren af større hændelser og de mulige metoder til at afbøde virkningerne heraf |
| r) | koordinere vedtagelsen af de enkelte EU-enheders cyberkrisestyringsplaner, jf. artikel 9, stk. 2 |
| s) | vedtage henstillinger vedrørende forsyningskædesikkerhed som omhandlet i artikel 8, stk. 2, første afsnit, litra m), under hensyntagen til resultaterne af sikkerhedsrisikovurderinger koordineret på EU-niveau af kritiske forsyningskæder, jf. artikel 22 i direktiv (EU) 2022/2555, for at støtte EU-enhederne i at vedtage effektive og forholdsmæssige foranstaltninger til styring af cybersikkerhedsrisici. |
Artikel 12
Overholdelse
1. IICB overvåger i henhold til artikel 10, stk. 2, og artikel 11 effektivt EU-enhedernes gennemførelse af denne forordning og de vedtagne retningslinjer, henstillinger og opfordringer til tiltag. IICB kan anmode EU-enhederne om de oplysninger eller den dokumentation, der er behov for til dette formål. Med henblik på vedtagelse af overholdelsesforanstaltninger i henhold til nærværende artikel har den pågældende EU-enhed, såfremt den er direkte repræsenteret i IICB, ikke stemmeret.
2. Hvis IICB finder, at en EU-enhed ikke på effektiv vis har gennemført denne forordning eller retningslinjer, henstillinger eller opfordringer til tiltag, som er udstedt i medfør heraf, kan det, uden at dette berører den pågældende EU-enheds interne procedurer, og efter at have givet den pågældende EU-enhed mulighed for at fremsætte sine bemærkninger gøre følgende:
| a) | sende en begrundet udtalelse til den pågældende EU-enhed med konstaterede mangler i gennemførelsen af denne forordning |
| b) | efter høring af CERT-EU udstede retningslinjer til den pågældende EU-enhed for at sikre, at dens ramme, foranstaltninger til styring af cybersikkerhedsrisici, cybersikkerhedsplan og rapportering er i overensstemmelse med denne forordning inden for en nærmere angivet periode |
| c) | udstede en advarsel om, at konstaterede mangler skal afhjælpes inden for en nærmere angivet periode, herunder henstillinger om ændring af foranstaltninger vedtaget af den pågældende EU-enhed i henhold til denne forordning |
| d) | udstede en begrundet meddelelse til den pågældende EU-enhed, hvis de mangler, der blev påpeget i en advarsel udstedt i henhold til litra c), ikke er blevet afhjulpet i tilstrækkelig grad inden for den fastsatte periode |
| e) | udstede:
|
| f) | hvor det er relevant, underrette Revisionsretten inden for rammerne af sit mandat om den påståede manglende overholdelse |
| g) | udstede en henstilling om, at alle medlemsstater og EU-enheder foretager en midlertidig afbrydelse af datastrømmene til den pågældende EU-enhed. |
Med henblik på litra c), første afsnit, begrænses advarslens læserskare på passende vis, hvis det er nødvendigt i lyset af cybersikkerhedsrisikoen.
Advarsler og henstillinger udstedt i henhold til første afsnit rettes til det øverste ledelsesniveau i den pågældende EU-enhed.
3. Hvis IICB har vedtaget foranstaltninger i henhold til stk. 2, første afsnit, litra a)-g), fremlægger den pågældende EU-enhed detaljer om de foranstaltninger og tiltag, der er iværksat for at afhjælpe de påståede mangler, som IICB har konstateret. EU-enheden indsender disse detaljer inden for en rimelig periode, der aftales med IICB.
4. Hvis IICB finder, at en EU-enhed vedholdende overtræder denne forordning som en direkte følge af en EU-tjenestemands eller anden EU-ansats handlinger eller undladelser, herunder i den øverste ledelse, anmoder IICB om, at den pågældende EU-enhed iværksætter passende tiltag, hvilket indbefatter en anmodning om at iværksætte tiltag af disciplinær karakter, i overensstemmelse med de regler og procedurer, der er fastsat i vedtægten for tjenestemænd, og eventuelle andre gældende regler og procedurer. Med henblik herpå videregiver IICB de nødvendige oplysninger til den pågældende EU-enhed.
5. Hvis EU-enheder meddeler, at de ikke er i stand til at overholde fristerne i artikel 6, stk. 1, og artikel 8, stk. 1, kan IICB i behørigt begrundede tilfælde under hensyntagen til EU-enhedens størrelse tillade en forlængelse af disse frister.
KAPITEL IV
CERT-EU
Artikel 13
CERT-EU's mission og opgaver
1. CERT-EU's mission er at bidrage til det uklassificerede IKT-miljøs sikkerhed i alle EU-enheder ved at rådgive dem om cybersikkerhed, hjælpe dem med at forebygge, opdage, håndtere, afbøde, reagere på og reetablere sig efter hændelser og fungere som deres knudepunkt for udveksling af oplysninger vedrørende cybersikkerhed og for koordinering af reaktionen på hændelser.
2. CERT-EU indsamler, forvalter, analyserer og deler oplysninger med EU-enhederne om cybertrusler, sårbarheder og hændelser i uklassificeret IKT-infrastruktur. Det koordinerer beredskabet i forbindelse med hændelser på interinstitutionelt niveau og på EU-enhedsniveau, herunder ved at yde eller koordinere ydelsen af specialiseret operationel bistand.
3. CERT-EU udfører følgende opgaver for at bistå EU-enhederne:
| a) | støtter dem i forbindelse med gennemførelsen af denne forordning og bidrager til koordineringen af gennemførelsen af denne forordning ved hjælp af de foranstaltninger, der er opført i artikel 14, stk. 1, eller ved hjælp af ad hoc-rapporter, som IICB har anmodet om |
| b) | tilbyder standardiserede CSIRT-tjenester til EU-enheder i form af en pakke af cybersikkerhedstjenester beskrevet i dets tjenestekatalog (»basistjenester«) |
| c) | vedligeholder et netværk af ligestillede og partnere til støtte for tjenesterne, jf. artikel 17 og 18 |
| d) | gør IICB opmærksom på problemer, der vedrører gennemførelsen af denne forordning samt gennemførelsen af retningslinjer, henstillinger og opfordringer til tiltag |
| e) | bidrager på grundlag af de oplysninger, der er omhandlet i stk. 2, til Unionens cybersituationsbevidsthed i tæt samarbejde med ENISA |
| f) | koordinerer håndteringen af større hændelser |
| g) | agerer på vegne af EU-enhederne som ækvivalent med den koordinator, der er udpeget med henblik på koordineret offentliggørelse af sårbarheder, jf. artikel 12, stk. 1, i direktiv (EU) 2022/2555 |
| h) | sørger efter anmodning fra en EU-enhed for en proaktiv, ikkeindgribende scanning af den pågældende EU-enheds offentligt tilgængelige net- og informationssystemer. |
De oplysninger, der er omhandlet i første afsnit, litra e), deles med IICB, CSIRT-netværket og Den Europæiske Unions Efterretnings- og Situationscenter (EU INTCEN), hvor det er relevant og hensigtsmæssigt, og under overholdelse af passende fortrolighedsbetingelser.
4. CERT-EU kan i overensstemmelse med artikel 17 eller 18, alt efter hvad der er relevant, samarbejde med relevante cybersikkerhedsfællesskaber i Unionen og dens medlemsstater, herunder på følgende områder:
| a) | beredskab, koordinering i forbindelse med hændelser, udveksling af oplysninger og reaktion på kriser på teknisk plan i forbindelse med sager, der har tilknytning til EU-enhederne |
| b) | operationelt samarbejde i forbindelse med CSIRT-netværket, herunder med hensyn til gensidig bistand |
| c) | efterretninger om cybertrusler, herunder situationsbevidsthed |
| d) | et hvilket som helst andet område, hvor CERT-EU's tekniske cybersikkerhedsekspertise er påkrævet. |
5. CERT-EU indgår inden for sin kompetence i et struktureret samarbejde med ENISA om kapacitetsopbygning, operationelt samarbejde og langsigtede strategiske analyser af cybertrusler i overensstemmelse med forordning (EU) 2019/881. CERT-EU kan samarbejde og udveksle oplysninger med Europols Europæiske Center for Bekæmpelse af Cyberkriminalitet.
6. CERT-EU kan levere følgende tjenester, der ikke er beskrevet i dets tjenestekatalog (betalingspligtige tjenester):
| a) | tjenester til støtte for cybersikkerheden i relation til EU-enhedernes IKT-miljø ud over dem, der er omhandlet i stk. 3, i henhold til serviceleveranceaftaler og under forudsætning af, at der er ressourcer til rådighed, navnlig bredspektret overvågning af netværk, herunder 24/7-frontlinjeovervågning af meget alvorlige cybertrusler |
| b) | tjenester til støtte for EU-enhedernes cybersikkerhedsoperationer eller -projekter ud over dem, der beskytter deres IKT-miljø, i henhold til skriftlige aftaler og under forudsætning af forudgående godkendelse fra IICB |
| c) | efter anmodning en proaktiv scanning af den pågældende EU-enheds net- og informationssystemer for at opdage sårbarheder med en potentiel væsentlig virkning |
| d) | tjenester til støtte for IKT-miljøers sikkerhed i andre organisationer end EU-enhederne, som arbejder tæt sammen med EU-enhederne, f.eks. fordi de er tildelt opgaver eller ansvarsområder i henhold til EU-retten, i henhold til skriftlige aftaler og under forudsætning af forudgående godkendelse fra IICB. |
For så vidt angår første afsnit, litra d), kan CERT-EU undtagelsesvis indgå serviceleveranceaftaler med andre enheder end EU-enheder med forudgående godkendelse fra IICB.
7. CERT-EU arrangerer og kan deltage i cybersikkerhedsøvelser eller opfordre til deltagelse i eksisterende øvelser, hvor det er relevant i tæt samarbejde med ENISA, med henblik på at teste cybersikkerhedsniveauet i EU-enhederne.
8. CERT-EU kan yde bistand til EU-enhederne vedrørende hændelser i net- og informationssystemer, der håndterer EUCI, hvis de pågældende EU-enheder udtrykkeligt anmoder herom i overensstemmelse med deres respektive procedurer. CERT-EU's ydelse af bistand i henhold til dette stykke berører ikke gældende regler om beskyttelse af klassificerede informationer.
9. CERT-EU underretter EU-enhederne om sine procedurer og processer for håndtering af hændelser.
10. CERT-EU bidrager med en høj grad af fortrolighed og pålidelighed via de behørige samarbejdsmekanismer og rapporteringsveje til relevante og anonymiserede oplysninger om større hændelser og måden, hvorpå de blev håndteret. Disse oplysninger medtages i den rapport, der er omhandlet i artikel 10, stk. 14.
11. CERT-EU støtter i samarbejde med EDPS de pågældende EU-enheder, når de håndterer hændelser, der medfører brud på persondatasikkerheden, uden at dette berører EDPS' kompetencer og opgaver som tilsynsmyndighed i henhold til forordning (EU) 2018/1725.
12. CERT-EU kan, hvis EU-enhedernes politiske afdelinger udtrykkeligt anmoder herom, yde teknisk rådgivning eller input om relevante politiske spørgsmål.
Artikel 14
Retningslinjer, henstillinger og opfordringer til tiltag
1. CERT-EU støtter gennemførelsen af denne forordning ved at udstede:
| a) | opfordringer til tiltag, der beskriver hastende sikkerhedsforanstaltninger, som EU-enhederne kraftigt opfordres til at træffe inden udløbet af en fastsat frist |
| b) | forslag til IICB om retningslinjer rettet til alle eller en delgruppe af EU-enheder |
| c) | forslag til IICB om henstillinger rettet til individuelle EU-enheder. |
Med hensyn til første afsnit, litra a), underretter den pågældende EU-enhed uden unødigt ophold efter modtagelsen af opfordringen til tiltag CERT-EU om, hvordan de hastende sikkerhedsforanstaltninger er blevet anvendt.
2. Retningslinjer og henstillinger kan omfatte:
| a) | fælles metoder og en model for modenhedsvurdering af EU-enhedernes cybersikkerhed, herunder de tilhørende skalaer eller KPI'er, der tjener som reference til støtte for løbende forbedringer af cybersikkerheden i alle EU-enhederne og letter prioriteringen af cybersikkerhedsområder og -foranstaltninger under hensyntagen til enhedernes cybersikkerhedstilstand |
| b) | ordninger for eller forbedringer af styringen af cybersikkerhedsrisici og foranstaltningerne til styring af cybersikkerhedsrisici |
| c) | ordninger for modenhedsvurderinger af cybersikkerheden og cybersikkerhedsplaner |
| d) | hvor det er relevant, brugen af fælles teknologi, arkitektur, open source og dertil knyttet bedste praksis med henblik på at opnå interoperabilitet og fælles standarder, herunder en koordineret tilgang til forsyningskædesikkerhed |
| e) | hvor det er relevant, oplysninger med henblik på at lette anvendelsen af fælles udbudsinstrumenter til indkøb af relevante cybersikkerhedstjenester og -produkter fra tredjepartsleverandører |
| f) | ordninger for udveksling af oplysninger i henhold til artikel 20. |
Artikel 15
Chefen for CERT-EU
1. Kommissionen udnævner chefen for CERT-EU efter at have indhentet godkendelse fra to tredjedele af IICB's medlemmer. IICB høres i alle udvælgelsesprocedurens faser, navnlig i forbindelse med udarbejdelse af stillingsopslag, behandling af ansøgninger og udpegelse af udvælgelseskomitéer i forbindelse med denne stilling. Udvælgelsesproceduren, herunder den endelige liste over kandidater, blandt hvilke CERT-EU's chef skal udnævnes, skal sikre en retfærdig repræsentation af hvert køn under hensyntagen til de indgivne ansøgninger.
2. Chefen for CERT-EU er ansvarlig for, at CERT-EU fungerer korrekt, og handler inden for rammerne af sin rolle og under ledelse af IICB. Chefen for CERT-EU aflægger regelmæssigt rapport til formanden for IICB og forelægger ad hoc-rapporter for IICB på anmodning herfra.
3. Chefen for CERT-EU bistår den ved delegation bemyndigede ansvarlige anvisningsberettigede med udarbejdelsen af årsberetningen med oplysninger om de finansielle og forvaltningsmæssige forhold, herunder kontrolresultater, der udarbejdes i overensstemmelse med artikel 74, stk. 9, i Europa-Parlamentets og Rådets forordning (EU, Euratom) 2018/1046 (9), og aflægger regelmæssigt rapport til den ved delegation bemyndigede anvisningsberettigede om gennemførelsen af foranstaltninger, i forbindelse med hvilke der er videredelegeret beføjelser til chefen for CERT-EU.
4. Chefen for CERT-EU udarbejder årligt en finansiel planlægning af de administrative indtægter og udgifter i forbindelse med CERT-EU's aktiviteter, et forslag til det årlige arbejdsprogram, et forslag til CERT-EU's tjenestekatalog, foreslåede ændringer af tjenestekataloget, et forslag til ordninger for serviceleveranceaftaler og foreslåede KPI'er for CERT-EU, som IICB skal godkende i overensstemmelse med artikel 11. Ved revision af listen over tjenester i CERT-EU's tjenestekatalog tager CERT-EU's chef hensyn til de ressourcer, som CERT-EU har fået tildelt.
5. Chefen for CERT-EU forelægger mindst en gang om året IICB og formanden for IICB rapporter om CERT-EU's aktiviteter og resultater i referenceperioden, herunder om gennemførelsen af budgettet, serviceleveranceaftaler og indgåede skriftlige aftaler, samarbejde med modparter og partnere og tjenesterejser, som personalet har foretaget, herunder de rapporter, der er omhandlet i artikel 11. Disse rapporter skal indeholde et arbejdsprogram for den efterfølgende periode, finansiel planlægning af indtægter og udgifter, herunder personale, planlagte ajourføringer af CERT-EU's tjenestekatalog og en vurdering af den forventede virkning, som sådanne ajourføringer kan have med hensyn til finansielle og menneskelige ressourcer.
Artikel 20
Ordninger for udveksling af cybersikkerhedsoplysninger
1. EU-enheder kan på frivillig basis underrette CERT-EU og give det oplysninger om hændelser, cybertrusler, nærvedhændelser og sårbarheder, der berører dem. CERT-EU sikrer, at der er adgang til effektive kommunikationsmidler med en høj grad af sporbarhed, fortrolighed og pålidelighed med henblik på at fremme udveksling af oplysninger med EU-enhederne. CERT-EU kan ved behandlingen af underretninger prioritere behandlingen af obligatoriske underretninger fremfor frivillige underretninger. Med forbehold af artikel 12 må frivillig underretning ikke medføre, at den rapporterende EU-enhed pålægges nogen yderligere forpligtelser, som den ikke ville være omfattet af, hvis den ikke havde indgivet underretningen.
2. CERT-EU kan med henblik på at udføre sin mission og sine opgaver som omhandlet i artikel 13 anmode EU-enhederne om oplysninger fra deres respektive IKT-systemfortegnelser, herunder oplysninger vedrørende cybertrusler, nærvedhændelser, sårbarheder, kompromitteringsindikatorer, cybersikkerhedsadvarsler og henstillinger vedrørende konfiguration af cybersikkerhedsværktøjer til opdagelse af cyberhændelser. En EU-enhed, der modtager en sådan anmodning, overfører de oplysninger, der anmodes om, samt eventuelle efterfølgende ajourføringer heraf uden unødigt ophold.
3. CERT-EU må udveksle hændelsesspecifikke oplysninger med EU-enheder, der afslører identiteten på den EU-enhed, der er berørt af hændelsen, forudsat at den berørte EU-enhed giver sit samtykke. Hvis en EU-enhed nægter at give samtykke, giver den CERT-EU en begrundelse, der underbygger denne afgørelse.
4. EU-enheder udveksler på anmodning oplysninger med Europa-Parlamentet og Rådet om færdiggørelsen af cybersikkerhedsplanerne.
5. IICB eller CERT-EU, alt efter hvad der er relevant, deler på anmodning retningslinjer, henstillinger og opfordringer til tiltag med Europa-Parlamentet og Rådet.
6. De deleforpligtelser, der er fastsat i denne artikel, omfatter ikke:
| a) | EUCI |
| b) | oplysninger, hvis videre udbredelse er blevet udelukket ved hjælp af en synlig mærkning, medmindre det udtrykkeligt er tilladt at dele dem med CERT-EU. |
Artikel 22
Koordinering af og samarbejde om reaktionen på hændelser
1. I sin funktion som knudepunkt for udveksling af oplysninger vedrørende cybersikkerhed og for koordinering af reaktionen på hændelser fremmer CERT-EU udvekslingen af oplysninger om hændelser, cybertrusler, sårbarheder og nærvedhændelser mellem:
| a) | EU-enheder |
| b) | de i artikel 17 og 18 omhandlede modparter. |
2. CERT-EU fremmer, hvor det er relevant i tæt samarbejde med ENISA, koordineringen mellem EU-enheder af reaktioner på hændelser, herunder:
| a) | bidrag til konsekvent ekstern kommunikation |
| b) | gensidig støtte såsom udveksling af oplysninger, der er relevante for EU-enheder, eller ydelse af bistand direkte på stedet, hvor det er relevant |
| c) | optimal udnyttelse af operationelle ressourcer |
| d) | koordineringen med andre krisereaktionsmekanismer på EU-plan. |
3. CERT-EU støtter, i tæt samarbejde med ENISA, EU-enhederne i relation til situationsbevidsthed i forbindelse med hændelser, cybertrusler, sårbarheder og nærvedhændelser og deler oplysninger om den seneste udvikling inden for cybersikkerhed.
4. IICB vedtager senest den 8. januar 2025 på grundlag af et forslag fra CERT-EU retningslinjer eller henstillinger om koordinering af reaktionen på hændelser og samarbejde om væsentlige hændelser. Hvis hændelsen mistænkes for at være af strafferetlig karakter, rådgiver CERT-EU også om, hvordan de retshåndhævende myndigheder underrettes om hændelsen, uden unødigt ophold.
5. Efter en specifik anmodning fra en medlemsstat og med de berørte EU-enheders godkendelse kan CERT-EU indkalde eksperter fra den liste, der er omhandlet i artikel 23, stk. 4, med henblik på at bidrage til reaktionen på en større hændelse, som har en virkning i den pågældende medlemsstat, eller en omfattende cybersikkerhedshændelse i overensstemmelse med artikel 15, stk. 3, litra g), i direktiv (EU) 2022/2555. Specifikke regler for adgangen til og brugen af tekniske eksperter fra EU-enheder skal godkendes af IICB på grundlag af et forslag fra CERT-EU.
Artikel 23
Håndtering af større hændelser
1. For på operationelt plan at støtte den koordinerede håndtering af større hændelser, der påvirker EU-enheder, og bidrage til regelmæssig udveksling af relevante oplysninger mellem EU-enheder og med medlemsstaterne udarbejder IICB i henhold til artikel 11, litra q), en cyberkrisestyringsplan baseret på de aktiviteter, der er omhandlet i artikel 22, stk. 2, i tæt samarbejde med CERT-EU og ENISA. Cyberkrisestyringsplanen skal mindst indeholde følgende elementer:
| a) | ordninger for koordinering og informationsstrømme mellem EU-enhederne med henblik på håndtering af større hændelser på operationelt plan |
| b) | fælles operative standardprocedurer (SOP) |
| c) | en fælles taksonomi for alvorsgraden af større hændelser og kriseudløsende faktorer |
| d) | regelmæssige øvelser |
| e) | sikre kommunikationskanaler, der skal anvendes. |
2. Kommissionens repræsentant i IICB er med forbehold af den cyberkrisestyringsplan, der er udarbejdet i henhold til denne artikels stk. 1, og uden at det berører artikel 16, stk. 2, første afsnit, i direktiv (EU) 2022/2555, kontaktpunktet for udveksling af relevante oplysninger i relation til større hændelser med EU-CyCLONe.
3. CERT-EU koordinerer håndteringen af større hændelser mellem EU-enhederne. CERT-EU fører en fortegnelse over disponibel teknisk ekspertise, der vil være brug for i forbindelse med reaktionen på større hændelser, og bistår IICB med at koordinere EU-enhedernes cyberkrisehåndteringsplaner for større hændelser, jf. artikel 9, stk. 2.
4. EU-enhederne bidrager til denne fortegnelse over teknisk ekspertise i form af en årlig ajourført liste over eksperter, der er til rådighed i deres respektive enheder, inkl. detaljerede beskrivelser af deres specifikke tekniske færdigheder.
KAPITEL VI
AFSLUTTENDE BESTEMMELSER
Artikel 25
Evaluering
1. Senest den 8. januar 2025 og derefter hvert år rapporterer IICB med bistand fra CERT-EU til Kommissionen om gennemførelsen af denne forordning. IICB kan henstille til Kommissionen at evaluere denne forordning.
2. Senest den 8. januar 2027 og derefter hvert andet år foretager Kommissionen en vurdering og rapporterer til Europa-Parlamentet og Rådet om gennemførelsen af denne forordning og om de indhøstede erfaringer på strategisk og operationelt plan.
Den rapport, der er omhandlet i dette stykkes første afsnit, indeholder gennemgangen, jf. artikel 16, stk. 1, af muligheden for at oprette CERT-EU som et EU-kontor.
3. Senest den 8. januar 2029 evaluerer Kommissionen denne forordnings funktion og forelægger en rapport for Europa-Parlamentet, Rådet, Det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalget. Kommissionen vurderer også, om det er hensigtsmæssigt at medtage net- og informationssystemer, der håndterer EUCI, i denne forordnings anvendelsesområde, under hensyntagen til andre EU-retsakter, der finder anvendelse på disse systemer. Rapporten ledsages om nødvendigt af et lovgivningsmæssigt forslag.
whereas