keyboard_tab Cyber Resilience Act 2023/2841 DA

1.   Senest den 8. juli 2025 og mindst hvert andet år derefter foretager hver EU-enhed en modenhedsvurdering af cybersikkerheden, der omfatter alle elementerne i dens IKT-miljø.

2.   Modenhedsvurderingerne af cybersikkerheden foretages, hvor det er relevant, med bistand fra en specialiseret tredjepart.

3.   EU-enheder med ensartede strukturer kan samarbejde om at foretage modenhedsvurderinger af cybersikkerheden for deres respektive enheder.

4.   På grundlag af en anmodning fra Det Interinstitutionelle Råd for Cybersikkerhed, der er oprettet i henhold til artikel 10, og med den pågældende EU-enheds udtrykkelige samtykke kan resultaterne af en modenhedsvurdering af cybersikkerheden drøftes i ovennævnte råd eller i den uformelle gruppe af lokale cybersikkerhedsansvarlige med henblik på at lære af erfaringerne og udveksle bedste praksis.

1.   Uden unødigt ophold og under alle omstændigheder senest den 8. september 2025 træffer hver EU-enhed under tilsyn af sin øverste ledelse passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre de cybersikkerhedsrisici, der konstateres inden for rammen, og for at forebygge eller minimere virkningerne af hændelser. Under hensyntagen til det aktuelle teknologiske stade og i givet fald til relevante europæiske og internationale standarder skal disse foranstaltninger tilvejebringe et sikkerhedsniveau i net- og informationssystemer i hele IKT-miljøet, som står mål med de cybersikkerhedsrisici, der truer dem. Ved vurderingen af proportionaliteten af disse foranstaltninger tages der behørigt hensyn til graden af EU-enhedens eksponering for cybersikkerhedsrisici, dens størrelse og sandsynligheden for hændelser og deres alvor, herunder deres samfundsmæssige, økonomiske og interinstitutionelle indvirkning.

2.   EU-enheder tager som minimum fat på følgende områder i gennemførelsen af foranstaltningerne til styring af cybersikkerhedsrisici:

a)	cybersikkerhedspolitikken, herunder foranstaltninger, der er nødvendige for at nå de mål og prioriteter, der er omhandlet i artikel 6 og nærværende artikels stk. 3

b)	politikker for cybersikkerhedsrisikoanalyse og informationssystemsikkerhed

c)	politikmål for brugen af cloudcomputingtjenester

d)	cybersikkerhedsrevision, hvor det er relevant, som kan omfatte en cybersikkerhedsrisiko-, sårbarheds- og cybertrusselsvurdering og en penetrationstest, der udføres regelmæssigt af en betroet privat udbyder

e)	gennemførelse af henstillinger som følge af cybersikkerhedsrevisioner, jf. litra d), gennem cybersikkerheds- og politikopdateringer

f)	organisering af cybersikkerheden, herunder fastlæggelse af roller og ansvarsområder

g)	forvaltning af aktiver, herunder en liste over IKT-aktiver og en kortlægning af IKT-netværket

h)	personalesikkerhed og adgangskontrol

i)	driftssikkerhed

j)	kommunikationssikkerhed

k)	erhvervelse, udvikling og vedligeholdelse af systemer, herunder politikker for håndtering og offentliggørelse af sårbarheder

l)	hvor det er muligt, politikker for kildekodens gennemsigtighed

m)	forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte EU-enhed og dens direkte leverandører eller tjenesteudbydere

n)	håndtering af hændelser og samarbejde med CERT-EU, såsom vedligeholdelse af sikkerhedsovervågning og -logning

o)	styring af driftskontinuitet, såsom backup-styring og reetablering efter en katastrofe, og krisestyring, og

p)	fremme og udvikling af uddannelse, færdigheder, bevidstgørelse, øvelses- og undervisningsprogrammer i forbindelse med cybersikkerhed.

Med henblik på første afsnit, litra m), tager EU-enheder hensyn til de sårbarheder, der er specifikke for hver direkte leverandør og tjenesteudbyder, og den samlede kvalitet af deres leverandørers og tjenesteudbyderes produkter og cybersikkerhedspraksis, herunder deres sikre udviklingsprocedurer.

3.   EU-enhederne træffer som minimum følgende foranstaltninger til styring af cybersikkerhedsrisici:

a)	tekniske konfigurationer med henblik på at muliggøre og opretholde telearbejde

b)	konkrete skridt til at bevæge sig i retning af »zero trust«-principper

c)	anvendelse af multifaktorgodkendelse som standard for alle net- og informationssystemer

d)	anvendelse af kryptografi og kryptering, navnlig end-to-end-kryptering, og sikker digital underskrift

e)	hvor det er relevant, anvendelse af sikker tale-, video- og tekstkommunikation og sikre nødkommunikationssystemer internt i EU-enheden

f)	proaktive foranstaltninger til opdagelse og fjernelse af malware og spyware

g)	etablering af forsyningskædesikkerhed for så vidt angår software ved hjælp af kriterier for sikker udvikling og evaluering af software

h)	fastlæggelse og indførelse af uddannelsesprogrammer om cybersikkerhed, som svarer til de foreskrevne opgaver og den forventede kapacitet, for den øverste ledelse og medarbejdere i EU-enheden, der har til opgave at sikre den effektive gennemførelse af denne forordning

i)	regelmæssig uddannelse af medarbejdere i cybersikkerhed

j)	hvor det er relevant, deltagelse i risikoanalyser af sammenkoblingsordningerne mellem EU-enhederne

k)

forbedring af indkøbsprocedurerne med henblik på at fremme et højt fælles cybersikkerhedsniveau ved hjælp af: i) fjernelse af kontraktmæssige hindringer, der begrænser IKT-tjenesteudbydernes udveksling af oplysninger om cybertrusler, sårbarheder og hændelser med CERT-EU ii) kontraktmæssige forpligtelser til at indberette hændelser, sårbarheder og cybertrusler samt til at have passende mekanismer for reaktion på og overvågning af hændelser.

1.   Det Interinstitutionelle Råd for Cybersikkerhed (IICB) oprettes herved.

2.   IICB er ansvarligt for:

a)	at overvåge og støtte EU-enhedernes gennemførelse af denne forordning

b)	at føre tilsyn med CERT-EU's gennemførelse af de generelle prioriteter og mål og udstikke den strategiske retning for CERT-EU.

3.   IICB sammensættes af:

a)

én repræsentant udpeget af hver af følgende: i) Europa-Parlamentet ii) Det Europæiske Råd iii) Rådet for Den Europæiske Union iv) Kommissionen v) Den Europæiske Unions Domstol vi) Den Europæiske Centralbank vii) Revisionsretten viii) Tjenesten for EU's Optræden Udadtil ix) Det Europæiske Økonomiske og Sociale Udvalg x) Regionsudvalget xi) Den Europæiske Investeringsbank xii) Det Europæiske Industri-, Teknologi- og Forskningskompetencecenter for Cybersikkerhed xiii) ENISA xiv) Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) xv) Den Europæiske Unions Agentur for Rumprogrammet.

b)	tre repræsentanter udpeget af EU-agenturernes netværk (EUAN) på grundlag af et forslag fra netværkets rådgivende IKT-udvalg til at repræsentere interesserne for Unionens organer, kontorer og agenturer, der har deres eget IKT-miljø, bortset fra dem, der er omhandlet i litra a).

De EU-enheder, der er repræsenteret i IICB, tilstræber at opnå en ligelig kønsfordeling blandt de udpegede repræsentanter.

4.   Medlemmerne af IICB kan bistås af en suppleant. Formanden kan invitere andre repræsentanter for de i stk. 3 omhandlede EU-enheder eller for andre EU-enheder til at deltage i IICB's møder uden stemmeret.

5.   Chefen for CERT-EU samt formændene for samarbejdsgruppen, CSIRT-netværket og EU-CyCLONe, der er oprettet i henhold til henholdsvis artikel 14, 15 og 16 i direktiv (EU) 2022/2555, eller deres suppleanter kan deltage i IICB's møder som observatører. I undtagelsestilfælde kan IICB i overensstemmelse med dets forretningsorden træffe en anden afgørelse.

6.   IICB vedtager sin egen forretningsorden.

7.   IICB udpeger en formand blandt medlemmerne i overensstemmelse med sin forretningsorden og for en periode på tre år. Formandens suppleant bliver fuldgyldigt medlem af IICB for samme periode.

8.   IICB mødes mindst tre gange årligt på formandens initiativ, efter anmodning fra CERT-EU, eller efter anmodning fra et af medlemmerne.

9.   Hvert medlem af IICB har én stemme. IICB's afgørelser træffes med simpelt flertal, såfremt intet andet er fastsat i denne forordning. Formanden for IICB har ikke stemmeret, undtagen i tilfælde af stemmelighed, hvor formanden kan afgive den afgørende stemme.

10.   IICB kan handle ved hjælp af en forenklet skriftlig procedure, som indledes i overensstemmelse med dets forretningsorden. I henhold til denne procedure anses den relevante afgørelse for at være godkendt inden for den tidsfrist, som formanden har fastsat, medmindre et medlem gør indsigelse.

11.   IICB's sekretariat stilles til rådighed af Kommissionen og refererer til IICB's formand.

12.   De repræsentanter, der er udpeget af EUAN, formidler IICB's afgørelser til EUAN's medlemmer. Ethvert medlem af EUAN har ret til over for disse repræsentanter eller IICB's formand at rejse ethvert spørgsmål, som medlemmet mener, IICB bør gøres opmærksom på.

13.   IICB kan nedsætte et forretningsudvalg til at bistå IICB i dets arbejde og delegere nogle af sine opgaver og beføjelser til samme. IICB fastsætter forretningsudvalgets forretningsorden, herunder dets opgaver og beføjelser, og dets medlemmers mandatperiode.

14.   Senest den 8. januar 2025 og derefter hvert år forelægger IICB en rapport for Europa-Parlamentet og Rådet, som indeholder en detaljeret beskrivelse af de fremskridt, der er gjort med gennemførelsen af denne forordning, og som navnlig præciserer omfanget af CERT-EU's samarbejde med medlemsstatsmodparter i hver af medlemsstaterne. Rapporten udgør et input til den rapport, der kommer hvert andet år, om cybersikkerhedssituationen i Unionen, som vedtages i henhold til artikel 18 i direktiv (EU) 2022/2555.

1.   CERT-EU's mission er at bidrage til det uklassificerede IKT-miljøs sikkerhed i alle EU-enheder ved at rådgive dem om cybersikkerhed, hjælpe dem med at forebygge, opdage, håndtere, afbøde, reagere på og reetablere sig efter hændelser og fungere som deres knudepunkt for udveksling af oplysninger vedrørende cybersikkerhed og for koordinering af reaktionen på hændelser.

2.   CERT-EU indsamler, forvalter, analyserer og deler oplysninger med EU-enhederne om cybertrusler, sårbarheder og hændelser i uklassificeret IKT-infrastruktur. Det koordinerer beredskabet i forbindelse med hændelser på interinstitutionelt niveau og på EU-enhedsniveau, herunder ved at yde eller koordinere ydelsen af specialiseret operationel bistand.

3.   CERT-EU udfører følgende opgaver for at bistå EU-enhederne:

a)	støtter dem i forbindelse med gennemførelsen af denne forordning og bidrager til koordineringen af gennemførelsen af denne forordning ved hjælp af de foranstaltninger, der er opført i artikel 14, stk. 1, eller ved hjælp af ad hoc-rapporter, som IICB har anmodet om

b)	tilbyder standardiserede CSIRT-tjenester til EU-enheder i form af en pakke af cybersikkerhedstjenester beskrevet i dets tjenestekatalog (»basistjenester«)

c)	vedligeholder et netværk af ligestillede og partnere til støtte for tjenesterne, jf. artikel 17 og 18

d)	gør IICB opmærksom på problemer, der vedrører gennemførelsen af denne forordning samt gennemførelsen af retningslinjer, henstillinger og opfordringer til tiltag

e)	bidrager på grundlag af de oplysninger, der er omhandlet i stk. 2, til Unionens cybersituationsbevidsthed i tæt samarbejde med ENISA

f)	koordinerer håndteringen af større hændelser

g)	agerer på vegne af EU-enhederne som ækvivalent med den koordinator, der er udpeget med henblik på koordineret offentliggørelse af sårbarheder, jf. artikel 12, stk. 1, i direktiv (EU) 2022/2555

h)	sørger efter anmodning fra en EU-enhed for en proaktiv, ikkeindgribende scanning af den pågældende EU-enheds offentligt tilgængelige net- og informationssystemer.

De oplysninger, der er omhandlet i første afsnit, litra e), deles med IICB, CSIRT-netværket og Den Europæiske Unions Efterretnings- og Situationscenter (EU INTCEN), hvor det er relevant og hensigtsmæssigt, og under overholdelse af passende fortrolighedsbetingelser.

4.   CERT-EU kan i overensstemmelse med artikel 17 eller 18, alt efter hvad der er relevant, samarbejde med relevante cybersikkerhedsfællesskaber i Unionen og dens medlemsstater, herunder på følgende områder:

a)	beredskab, koordinering i forbindelse med hændelser, udveksling af oplysninger og reaktion på kriser på teknisk plan i forbindelse med sager, der har tilknytning til EU-enhederne

b)	operationelt samarbejde i forbindelse med CSIRT-netværket, herunder med hensyn til gensidig bistand

c)	efterretninger om cybertrusler, herunder situationsbevidsthed

d)	et hvilket som helst andet område, hvor CERT-EU's tekniske cybersikkerhedsekspertise er påkrævet.

5.   CERT-EU indgår inden for sin kompetence i et struktureret samarbejde med ENISA om kapacitetsopbygning, operationelt samarbejde og langsigtede strategiske analyser af cybertrusler i overensstemmelse med forordning (EU) 2019/881. CERT-EU kan samarbejde og udveksle oplysninger med Europols Europæiske Center for Bekæmpelse af Cyberkriminalitet.

6.   CERT-EU kan levere følgende tjenester, der ikke er beskrevet i dets tjenestekatalog (betalingspligtige tjenester):

a)

tjenester til støtte for cybersikkerheden i relation til EU-enhedernes IKT-miljø ud over dem, der er omhandlet i stk. 3, i henhold til serviceleveranceaftaler og under forudsætning af, at der er ressourcer til rådighed, navnlig bredspektret overvågning af netværk, herunder 24/7-frontlinjeovervågning af meget alvorlige cybertrusler

b)	tjenester til støtte for EU-enhedernes cybersikkerhedsoperationer eller -projekter ud over dem, der beskytter deres IKT-miljø, i henhold til skriftlige aftaler og under forudsætning af forudgående godkendelse fra IICB

c)	efter anmodning en proaktiv scanning af den pågældende EU-enheds net- og informationssystemer for at opdage sårbarheder med en potentiel væsentlig virkning

d)

tjenester til støtte for IKT-miljøers sikkerhed i andre organisationer end EU-enhederne, som arbejder tæt sammen med EU-enhederne, f.eks. fordi de er tildelt opgaver eller ansvarsområder i henhold til EU-retten, i henhold til skriftlige aftaler og under forudsætning af forudgående godkendelse fra IICB.

For så vidt angår første afsnit, litra d), kan CERT-EU undtagelsesvis indgå serviceleveranceaftaler med andre enheder end EU-enheder med forudgående godkendelse fra IICB.

7.   CERT-EU arrangerer og kan deltage i cybersikkerhedsøvelser eller opfordre til deltagelse i eksisterende øvelser, hvor det er relevant i tæt samarbejde med ENISA, med henblik på at teste cybersikkerhedsniveauet i EU-enhederne.

8.   CERT-EU kan yde bistand til EU-enhederne vedrørende hændelser i net- og informationssystemer, der håndterer EUCI, hvis de pågældende EU-enheder udtrykkeligt anmoder herom i overensstemmelse med deres respektive procedurer. CERT-EU's ydelse af bistand i henhold til dette stykke berører ikke gældende regler om beskyttelse af klassificerede informationer.

9.   CERT-EU underretter EU-enhederne om sine procedurer og processer for håndtering af hændelser.

10.   CERT-EU bidrager med en høj grad af fortrolighed og pålidelighed via de behørige samarbejdsmekanismer og rapporteringsveje til relevante og anonymiserede oplysninger om større hændelser og måden, hvorpå de blev håndteret. Disse oplysninger medtages i den rapport, der er omhandlet i artikel 10, stk. 14.

11.   CERT-EU støtter i samarbejde med EDPS de pågældende EU-enheder, når de håndterer hændelser, der medfører brud på persondatasikkerheden, uden at dette berører EDPS' kompetencer og opgaver som tilsynsmyndighed i henhold til forordning (EU) 2018/1725.

12.   CERT-EU kan, hvis EU-enhedernes politiske afdelinger udtrykkeligt anmoder herom, yde teknisk rådgivning eller input om relevante politiske spørgsmål.

1.   Kommissionen udnævner chefen for CERT-EU efter at have indhentet godkendelse fra to tredjedele af IICB's medlemmer. IICB høres i alle udvælgelsesprocedurens faser, navnlig i forbindelse med udarbejdelse af stillingsopslag, behandling af ansøgninger og udpegelse af udvælgelseskomitéer i forbindelse med denne stilling. Udvælgelsesproceduren, herunder den endelige liste over kandidater, blandt hvilke CERT-EU's chef skal udnævnes, skal sikre en retfærdig repræsentation af hvert køn under hensyntagen til de indgivne ansøgninger.

2.   Chefen for CERT-EU er ansvarlig for, at CERT-EU fungerer korrekt, og handler inden for rammerne af sin rolle og under ledelse af IICB. Chefen for CERT-EU aflægger regelmæssigt rapport til formanden for IICB og forelægger ad hoc-rapporter for IICB på anmodning herfra.

3.   Chefen for CERT-EU bistår den ved delegation bemyndigede ansvarlige anvisningsberettigede med udarbejdelsen af årsberetningen med oplysninger om de finansielle og forvaltningsmæssige forhold, herunder kontrolresultater, der udarbejdes i overensstemmelse med artikel 74, stk. 9, i Europa-Parlamentets og Rådets forordning (EU, Euratom) 2018/1046 (9), og aflægger regelmæssigt rapport til den ved delegation bemyndigede anvisningsberettigede om gennemførelsen af foranstaltninger, i forbindelse med hvilke der er videredelegeret beføjelser til chefen for CERT-EU.

4.   Chefen for CERT-EU udarbejder årligt en finansiel planlægning af de administrative indtægter og udgifter i forbindelse med CERT-EU's aktiviteter, et forslag til det årlige arbejdsprogram, et forslag til CERT-EU's tjenestekatalog, foreslåede ændringer af tjenestekataloget, et forslag til ordninger for serviceleveranceaftaler og foreslåede KPI'er for CERT-EU, som IICB skal godkende i overensstemmelse med artikel 11. Ved revision af listen over tjenester i CERT-EU's tjenestekatalog tager CERT-EU's chef hensyn til de ressourcer, som CERT-EU har fået tildelt.

5.   Chefen for CERT-EU forelægger mindst en gang om året IICB og formanden for IICB rapporter om CERT-EU's aktiviteter og resultater i referenceperioden, herunder om gennemførelsen af budgettet, serviceleveranceaftaler og indgåede skriftlige aftaler, samarbejde med modparter og partnere og tjenesterejser, som personalet har foretaget, herunder de rapporter, der er omhandlet i artikel 11. Disse rapporter skal indeholde et arbejdsprogram for den efterfølgende periode, finansiel planlægning af indtægter og udgifter, herunder personale, planlagte ajourføringer af CERT-EU's tjenestekatalog og en vurdering af den forventede virkning, som sådanne ajourføringer kan have med hensyn til finansielle og menneskelige ressourcer.

1.   CERT-EU samarbejder og udveksler oplysninger uden unødigt ophold med modparter i medlemsstaterne, navnlig de CSIRT'er, der er udpeget eller oprettet i henhold til artikel 10 i direktiv (EU) 2022/2555, eller, hvor det er relevant, de kompetente myndigheder og centrale kontaktpunkter, der er udpeget eller oprettet i henhold til artikel 8 i nævnte direktiv, om hændelser, cybertrusler, sårbarheder, nærvedhændelser, eventuelle modforanstaltninger samt bedste praksis og om alle spørgsmål, der er relevante for at forbedre beskyttelsen af EU-enhedernes IKT-miljøer, herunder ved hjælp af det CSIRT-netværk, der er oprettet i henhold til artikel 15 i direktiv (EU) 2022/2555. CERT-EU støtter Kommissionen i EU-CyCLONe, som er oprettet i henhold til artikel 16 i direktiv (EU) 2022/2555 om koordineret forvaltning af omfattende cybersikkerhedshændelser og kriser.

2.   Hvis CERT-EU bliver opmærksomt på en væsentlig hændelse, der indtræffer på en medlemsstats område, underretter det straks alle relevante medlemsstatsmodparter i den pågældende medlemsstat i overensstemmelse med stk. 1.

3.   Forudsat at personoplysninger er beskyttet i overensstemmelse med gældende EU-databeskyttelsesret, udveksler CERT-EU uden unødigt ophold relevante hændelsesspecifikke oplysninger med medlemsstatsmodparter for at lette opdagelsen af lignende cybertrusler eller -hændelser eller for at bidrage til analysen af en hændelse uden tilladelse fra den berørte EU-enhed. CERT-EU udveksler kun hændelsesspecifikke oplysninger, der afslører identiteten på målet for hændelsen, i tilfælde af et af følgende:

a)	den berørte EU-enhed giver samtykke

b)	den berørte EU-enhed ikke giver samtykke som fastsat i litra a), men offentliggørelsen af den berørte EU-enheds identitet vil øge sandsynligheden for, at hændelser andre steder vil blive undgået eller afbødet

c)	den berørte EU-enhed allerede har offentliggjort, at den var berørt.

Afgørelser om udveksling af hændelsesspecifikke oplysninger, der afslører identiteten af målet for hændelsen i henhold til første afsnit, litra b), skal godkendes af CERT-EU's chef. Inden offentliggørelsen af en sådan afgørelse, kontakter CERT-EU skriftligt den berørte EU-enhed og forklarer tydeligt, hvordan offentliggørelsen af dens identitet vil bidrage til at undgå eller afbøde hændelser andre steder. CERT-EU's chef giver denne forklaring og anmoder udtrykkeligt EU-enheden om at meddele, hvorvidt den giver samtykke, inden for en fastsat frist. CERT-EU's chef oplyser også EU-enheden om, at han eller hun i lyset af den fremlagte forklaring forbeholder sig ret til at videregive oplysningerne, selv om der ikke gives samtykke. Den berørte EU-enhed underrettes, inden oplysningerne videregives.

1.   CERT-EU må samarbejde med andre modparter i Unionen end dem, der er omhandlet i artikel 17, som er underlagt EU-cybersikkerhedskrav, herunder branchespecifikke modparter, om værktøjer og metoder såsom teknikker, taktikker, procedurer og bedste praksis samt om cybertrusler og sårbarheder. CERT-EU indhenter med henblik på alt samarbejde med sådanne modparter forudgående godkendelse fra IICB i hvert enkelt tilfælde. Hvis CERT-EU etablerer et samarbejde med sådanne modparter, underretter den alle relevante medlemsstatsmodparter, jf. artikel 17, stk. 1, i den medlemsstat, hvor modparten befinder sig. Hvor det er relevant og hensigtsmæssigt, fastlægges et sådant samarbejde og betingelserne herfor, herunder vedrørende cybersikkerhed, databeskyttelse og håndtering af oplysninger, i særlige aftaler om fortrolighed, såsom kontrakter eller administrative ordninger. Aftalerne om fortrolighed kræver ikke forudgående godkendelse fra IICB, men IICB's formand skal underrettes. I tilfælde af et presserende og nært forestående behov for at udveksle cybersikkerhedsoplysninger i EU-enhedernes eller en anden parts interesse kan CERT-EU gøre dette med en enhed, hvis specifikke kompetence, kapacitet og ekspertise med god grund er nødvendig for at bistå med et sådant presserende og nært forestående behov, selv om CERT-EU ikke har indgået en aftale om fortrolighed med den pågældende enhed. I sådanne tilfælde underretter CERT-EU straks IICB's formand og aflægger rapport til IICB gennem regelmæssige rapporter eller møder.

2.   CERT-EU må samarbejde med andre partnere såsom kommercielle enheder, herunder branche- og sektorspecifikke enheder, internationale organisationer, nationale ikke-EU-enheder eller individuelle eksperter med henblik på at indsamle oplysninger om generelle og specifikke cybertrusler, nærvedhændelser, sårbarheder og mulige modforanstaltninger. CERT-EU indhenter med henblik på at indlede et bredere samarbejde med sådanne partnere forudgående godkendelse fra IICB i hvert enkelt tilfælde.

3.   CERT-EU må med samtykke fra den EU-enhed, der er berørt af en hændelse, og forudsat at der er indgået en aftale eller kontrakt om fortrolighed med den relevante modpart eller partner, give oplysninger om den specifikke hændelse til modparter eller partnere, der er omhandlet i stk. 1 og 2, udelukkende med henblik på at bidrage til analysen heraf.

1.   I sin funktion som knudepunkt for udveksling af oplysninger vedrørende cybersikkerhed og for koordinering af reaktionen på hændelser fremmer CERT-EU udvekslingen af oplysninger om hændelser, cybertrusler, sårbarheder og nærvedhændelser mellem:

a)	EU-enheder

b)	de i artikel 17 og 18 omhandlede modparter.

2.   CERT-EU fremmer, hvor det er relevant i tæt samarbejde med ENISA, koordineringen mellem EU-enheder af reaktioner på hændelser, herunder:

a)	bidrag til konsekvent ekstern kommunikation

b)	gensidig støtte såsom udveksling af oplysninger, der er relevante for EU-enheder, eller ydelse af bistand direkte på stedet, hvor det er relevant

c)	optimal udnyttelse af operationelle ressourcer

d)	koordineringen med andre krisereaktionsmekanismer på EU-plan.

3.   CERT-EU støtter, i tæt samarbejde med ENISA, EU-enhederne i relation til situationsbevidsthed i forbindelse med hændelser, cybertrusler, sårbarheder og nærvedhændelser og deler oplysninger om den seneste udvikling inden for cybersikkerhed.

4.   IICB vedtager senest den 8. januar 2025 på grundlag af et forslag fra CERT-EU retningslinjer eller henstillinger om koordinering af reaktionen på hændelser og samarbejde om væsentlige hændelser. Hvis hændelsen mistænkes for at være af strafferetlig karakter, rådgiver CERT-EU også om, hvordan de retshåndhævende myndigheder underrettes om hændelsen, uden unødigt ophold.

5.   Efter en specifik anmodning fra en medlemsstat og med de berørte EU-enheders godkendelse kan CERT-EU indkalde eksperter fra den liste, der er omhandlet i artikel 23, stk. 4, med henblik på at bidrage til reaktionen på en større hændelse, som har en virkning i den pågældende medlemsstat, eller en omfattende cybersikkerhedshændelse i overensstemmelse med artikel 15, stk. 3, litra g), i direktiv (EU) 2022/2555. Specifikke regler for adgangen til og brugen af tekniske eksperter fra EU-enheder skal godkendes af IICB på grundlag af et forslag fra CERT-EU.

1.   For på operationelt plan at støtte den koordinerede håndtering af større hændelser, der påvirker EU-enheder, og bidrage til regelmæssig udveksling af relevante oplysninger mellem EU-enheder og med medlemsstaterne udarbejder IICB i henhold til artikel 11, litra q), en cyberkrisestyringsplan baseret på de aktiviteter, der er omhandlet i artikel 22, stk. 2, i tæt samarbejde med CERT-EU og ENISA. Cyberkrisestyringsplanen skal mindst indeholde følgende elementer:

a)	ordninger for koordinering og informationsstrømme mellem EU-enhederne med henblik på håndtering af større hændelser på operationelt plan

b)	fælles operative standardprocedurer (SOP)

c)	en fælles taksonomi for alvorsgraden af større hændelser og kriseudløsende faktorer

d)	regelmæssige øvelser

e)	sikre kommunikationskanaler, der skal anvendes.

2.   Kommissionens repræsentant i IICB er med forbehold af den cyberkrisestyringsplan, der er udarbejdet i henhold til denne artikels stk. 1, og uden at det berører artikel 16, stk. 2, første afsnit, i direktiv (EU) 2022/2555, kontaktpunktet for udveksling af relevante oplysninger i relation til større hændelser med EU-CyCLONe.

3.   CERT-EU koordinerer håndteringen af større hændelser mellem EU-enhederne. CERT-EU fører en fortegnelse over disponibel teknisk ekspertise, der vil være brug for i forbindelse med reaktionen på større hændelser, og bistår IICB med at koordinere EU-enhedernes cyberkrisehåndteringsplaner for større hændelser, jf. artikel 9, stk. 2.

4.   EU-enhederne bidrager til denne fortegnelse over teknisk ekspertise i form af en årlig ajourført liste over eksperter, der er til rådighed i deres respektive enheder, inkl. detaljerede beskrivelser af deres specifikke tekniske færdigheder.