keyboard_tab Cyber Resilience Act 2023/2841 DA
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 3 Art. 20 Ordninger for udveksling af cybersikkerhedsoplysninger
- 1 Art. 21 Rapporteringsforpligtelser
KAPITEL I
ALMINDELIGE BESTEMMELSER
KAPITEL II
FORANSTALTNINGER TIL SIKRING AF ET HØJT FÆLLES CYBERSIKKERHEDSNIVEAU
KAPITEL III
DET INTERINSTITUTIONELLE RÅD FOR CYBERSIKKERHED
KAPITEL IV
CERT-EU
KAPITEL V
SAMARBEJDE OG RAPPORTERINGSFORPLIGTELSER
KAPITEL VI
AFSLUTTENDE BESTEMMELSER
- eller 21
- cert-eu 14
- oplysninger 14
- hændelse 12
- artikel 9
- væsentlig 8
- væsentlige 7
- hændelser 7
- efter 7
- eu-enhed 7
- rapport 7
- ophold 6
- unødigt 6
- uden 6
- relevant 6
- hændelsen 5
- hvis 5
- anmodning 5
- denne 5
- eu-enhederne 5
- henhold 5
- virkninger 5
- hvor 5
- enheder 4
- ikke 4
- henstillinger 4
- foranstaltninger 4
- cybertrusler 4
- senest 4
- herunder 4
- underretninger 4
- virkning 4
- have 4
- under 3
- kendskab 3
- skal 3
- samt 3
- eventuelle 3
- træffe 3
- cybertrussel 3
- stk 3
- grænseoverskridende 3
- måned 3
- giver 3
- eu-enhederne 3
- deres 3
- relevante 3
- omstændigheder 3
- tværs 3
- artikel 3
Artikel 20
Ordninger for udveksling af cybersikkerhedsoplysninger
1. EU-enheder kan på frivillig basis underrette CERT-EU og give det oplysninger om hændelser, cybertrusler, nærvedhændelser og sårbarheder, der berører dem. CERT-EU sikrer, at der er adgang til effektive kommunikationsmidler med en høj grad af sporbarhed, fortrolighed og pålidelighed med henblik på at fremme udveksling af oplysninger med EU-enhederne. CERT-EU kan ved behandlingen af underretninger prioritere behandlingen af obligatoriske underretninger fremfor frivillige underretninger. Med forbehold af artikel 12 må frivillig underretning ikke medføre, at den rapporterende EU-enhed pålægges nogen yderligere forpligtelser, som den ikke ville være omfattet af, hvis den ikke havde indgivet underretningen.
2. CERT-EU kan med henblik på at udføre sin mission og sine opgaver som omhandlet i artikel 13 anmode EU-enhederne om oplysninger fra deres respektive IKT-systemfortegnelser, herunder oplysninger vedrørende cybertrusler, nærvedhændelser, sårbarheder, kompromitteringsindikatorer, cybersikkerhedsadvarsler og henstillinger vedrørende konfiguration af cybersikkerhedsværktøjer til opdagelse af cyberhændelser. En EU-enhed, der modtager en sådan anmodning, overfører de oplysninger, der anmodes om, samt eventuelle efterfølgende ajourføringer heraf uden unødigt ophold.
3. CERT-EU må udveksle hændelsesspecifikke oplysninger med EU-enheder, der afslører identiteten på den EU-enhed, der er berørt af hændelsen, forudsat at den berørte EU-enhed giver sit samtykke. Hvis en EU-enhed nægter at give samtykke, giver den CERT-EU en begrundelse, der underbygger denne afgørelse.
4. EU-enheder udveksler på anmodning oplysninger med Europa-Parlamentet og Rådet om færdiggørelsen af cybersikkerhedsplanerne.
5. IICB eller CERT-EU, alt efter hvad der er relevant, deler på anmodning retningslinjer, henstillinger og opfordringer til tiltag med Europa-Parlamentet og Rådet.
6. De deleforpligtelser, der er fastsat i denne artikel, omfatter ikke:
| a) | EUCI |
| b) | oplysninger, hvis videre udbredelse er blevet udelukket ved hjælp af en synlig mærkning, medmindre det udtrykkeligt er tilladt at dele dem med CERT-EU. |
Artikel 21
Rapporteringsforpligtelser
1. En hændelse anses for at være væsentlig, hvis:
| a) | den har forårsaget eller er i stand til at forårsage alvorlige driftsmæssige forstyrrelser i den pågældende EU-enheds funktionsdygtighed eller økonomiske tab for denne |
| b) | den har påvirket eller er i stand til at påvirke andre fysiske eller juridiske personer ved at forårsage betydelig materiel eller immateriel skade. |
2. EU-enhederne fremsender til CERT-EU:
| a) | uden unødigt ophold og under alle omstændigheder inden for 24 timer efter at have fået kendskab til den væsentlige hændelse et tidligt varsel, som i givet fald skal angive, at den væsentlige hændelse mistænkes for at være forårsaget af ulovlige eller ondsindede handlinger eller kunne have en virkning på tværs af enheder eller en grænseoverskridende virkning |
| b) | uden unødigt ophold og under alle omstændigheder inden for 72 timer efter at have fået kendskab til den væsentlige hændelse, en hændelsesunderretning, som i givet fald skal ajourføre de i litra a) omhandlede oplysninger og give en indledende vurdering af den væsentlige hændelse, herunder dens alvor og virkning samt kompromitteringsindikatorerne, hvor sådanne foreligger |
| c) | på CERT-EU's anmodning en foreløbig rapport om relevante statusopdateringer |
| d) | en endelig rapport senest en måned efter forelæggelsen af den i litra b) omhandlede hændelsesunderretning, som skal omfatte følgende:
|
| e) | hvis en hændelse stadig pågår på tidspunktet for indgivelsen af den i litra d) omhandlede endelige rapport, en statusrapport på dette tidspunkt og en endelig rapport senest en måned efter deres håndtering af hændelsen. |
3. En EU-enhed underretter uden unødigt ophold og under alle omstændigheder senest 24 timer efter at have fået kendskab til en væsentlig hændelse alle relevante medlemsstatsmodparter, jf. artikel 17, stk. 1, i den medlemsstat, hvor den befinder sig, om, at der er indtruffet en væsentlig hændelse.
4. EU-enhederne meddeler bl.a. alle oplysninger, der gør det muligt for CERT-EU at fastslå eventuelle virkninger på tværs af enheder, virkninger for værtsmedlemsstaten eller grænseoverskridende virkninger efter en væsentlig hændelse. Med forbehold af artikel 12 medfører underretningen i sig selv ikke øget ansvar for den underrettende EU-enhed.
5. Hvor det er relevant, kommunikerer EU-enhederne uden unødigt ophold med brugerne af de påvirkede net- og informationssystemer eller af andre komponenter i IKT-miljøet, som potentielt kan blive påvirket af en væsentlig hændelse eller en væsentlig cybertrussel, og som, hvor det er relevant, er nødt til at træffe afbødende foranstaltninger, om alle foranstaltninger eller modforholdsregler, de kan træffe som reaktion på den pågældende hændelse eller trussel. Hvor det er relevant, informerer EU-enhederne disse brugere om selve den væsentlige cybertrussel.
6. Hvis en væsentlig hændelse eller en væsentlig cybertrussel påvirker et net- og informationssystem eller en komponent i en EU-enheds IKT-miljø, som man ved er forbundet med en anden EU-enheds IKT-miljø, udsteder CERT-EU en relevant cybersikkerhedsadvarsel.
7. EU-enhederne giver på CERT-EU's anmodning og uden unødigt ophold CERT-EU digitale oplysninger, der er skabt ved brug af elektroniske enheder, som har været involveret i deres respektive hændelser. CERT-EU kan præcisere yderligere, hvilken type digitale oplysninger det har brug for med henblik på situationsbevidsthed og reaktion på hændelser.
8. CERT-EU forelægger hver tredje måned IICB, ENISA, EU INTCEN og CSIRT-netværket en sammenfattende rapport, herunder anonymiserede og aggregerede data om væsentlige hændelser, hændelser, cybertrusler, nærvedhændelser og sårbarheder i henhold til artikel 20 og væsentlige hændelser, der er indberettet i henhold til nærværende artikels stk. 2. Den sammenfattende rapport udgør et input til den rapport, der kommer hvert andet år, om cybersikkerhedssituationen i Unionen, som vedtages i henhold til artikel 18 i direktiv (EU) 2022/2555.
9. IICB udsteder senest den 8. juli 2024 retningslinjer eller henstillinger med en nærmere præcisering af ordningen og formatet for samt indholdet af rapporteringen i henhold til denne artikel. Ved udarbejdelsen af sådanne retningslinjer eller henstillinger tager IICB hensyn til eventuelle gennemførelsesretsakter vedtaget i henhold til artikel 23, stk. 11, i direktiv (EU) 2022/2555, der præciserer typen af oplysninger, formatet og proceduren for underretninger. CERT-EU formidler de relevante tekniske detaljer om cybertrusler for at gøre det muligt for EU-enhederne at foretage proaktiv opdagelse, reagere på hændelser eller træffe afhjælpende foranstaltninger.
10. Rapporteringsforpligtelserne, der er fastsat i denne artikel, gælder ikke:
| a) | EUCI |
| b) | oplysninger, hvis videre udbredelse er blevet udelukket ved en synlig mærkning, medmindre det udtrykkeligt er tilladt at dele dem med CERT-EU. |
whereas