Cyber Resilience Act 2023/2841 EL

1)	« οντότητες_της_Ένωσης»: τα θεσμικά και λοιπά όργανα και οργανισμοί της Ένωσης που έχουν ιδρυθεί με τη Συνθήκη για την Ευρωπαϊκή Ένωση, τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ) ή τη Συνθήκη για την ίδρυση της Ευρωπαϊκής Κοινότητας Ατομικής Ενέργειας, ή δυνάμει των Συνθηκών αυτών·

2)	« δικτυακό_και_πληροφοριακό_σύστημα»: το δικτυακό_και_πληροφοριακό_σύστημα όπως ορίζεται στο άρθρο 6 σημείο 1) της οδηγίας (ΕΕ) 2022/2555·

3)	« ασφάλεια_συστημάτων_δικτύου_και_πληροφοριών»: η ασφάλεια_συστημάτων_δικτύου_και_πληροφοριών όπως ορίζεται στο άρθρο 6 σημείο 2) της οδηγίας (EΕ) 2022/2555·

4)	« κυβερνοασφάλεια»: η κυβερνοασφάλεια όπως ορίζεται στο άρθρο 2 σημείο 1) του κανονισμού (ΕΕ) 2019/881·

« ανώτατο_διοικητικό_επίπεδο»: διοικητικό στέλεχος, όργανο διοίκησης ή όργανο συντονισμού και εποπτείας αρμόδιο για τη λειτουργία οντότητας της Ένωσης, στο ανώτερο διοικητικό επίπεδο, με εντολή να εκδίδει ή να εγκρίνει αποφάσεις σύμφωνα με τις ρυθμίσεις διακυβέρνησης υψηλού επιπέδου της εν λόγω οντότητας της Ένωσης και με την επιφύλαξη των τυπικών αρμοδιοτήτων άλλων επιπέδων διοίκησης όσον αφορά τη συμμόρφωση και τη διαχείριση κινδύνων κυβερνοασφάλειας στους αντίστοιχους τομείς αρμοδιότητάς τους·

6)	« παρ’_ολίγον_ περιστατικό»: το παρ’_ολίγον_ περιστατικό όπως ορίζεται στο άρθρο 6 σημείο 5) της οδηγίας (ΕΕ) 2022/2555·

7)	« περιστατικό»: το περιστατικό όπως ορίζεται στο άρθρο 6 σημείο 6) της οδηγίας (ΕΕ) 2022/2555·

8)	«σοβαρό περιστατικό»: κάθε περιστατικό που προκαλεί διαταραχή η οποία υπερβαίνει την ικανότητα μιας οντότητας της Ένωσης και της CERT-EE να ανταποκριθεί σε αυτήν ή που έχει σημαντικό αντίκτυπο σε τουλάχιστον δύο οντότητες_της_Ένωσης·

9)	« περιστατικό μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας»: το περιστατικό μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας όπως ορίζεται στο άρθρο 6 σημείο 7) της οδηγίας (ΕΕ) 2022/2555·

10)	« χειρισμός_περιστατικών»: ο χειρισμός_περιστατικών όπως ορίζεται στο άρθρο 6 σημείο 8) της οδηγίας (ΕΕ) 2022/2555·

11)	« κυβερνοαπειλή»: η κυβερνοαπειλή όπως ορίζεται στο άρθρο 2 σημείο 8) του κανονισμού (ΕΕ) 2019/881·

12)	«σημαντική κυβερνοαπειλή»: η σημαντική κυβερνοαπειλή όπως ορίζεται στο άρθρο 6 σημείο 11) της οδηγίας (ΕΕ) 2022/2555·

13)	« ευπάθεια»: η ευπάθεια όπως ορίζεται στο άρθρο 6 σημείο 15 της οδηγίας (ΕΕ) 2022/2555·

14)	«κίνδυνος κυβερνοασφάλειας»: ο κίνδυνος όπως ορίζεται στο άρθρο 6 σημείο 9) της οδηγίας (ΕΕ) 2022/2555·

15)	« υπηρεσία_υπολογιστικού_νέφους»: η υπηρεσία_υπολογιστικού_νέφους όπως περιγράφεται στο άρθρο 6 σημείο 30) της οδηγίας (ΕΕ) 2022/2555.

Άρθρο 5

Εφαρμογή των μέτρων

1. Έως τις 8 Σεπτεμβρίου 2024, το διοργανικό συμβούλιο κυβερνοασφάλειας που συγκροτείται σύμφωνα με το άρθρο 10, κατόπιν διαβούλευσης με τον Οργανισμό της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA) και αφού λάβει καθοδήγηση από την CERT-ΕΕ, εκδίδει κατευθυντήριες γραμμές προς τις οντότητες_της_Ένωσης με σκοπό τη διενέργεια αρχικής επανεξέτασης της κυβερνοασφάλειας και τη θέσπιση του εσωτερικού πλαισίου διαχείρισης, διακυβέρνησης και ελέγχου κινδύνων κυβερνοασφάλειας σύμφωνα με το άρθρο 6, τη διενέργεια αξιολογήσεων του επιπέδου ωριμότητας στον τομέα της κυβερνοασφάλειας σύμφωνα με το άρθρο 7, τη λήψη μέτρων διαχείρισης κινδύνων κυβερνοασφάλειας σύμφωνα με το άρθρο 8 και την έγκριση του σχεδίου κυβερνοασφάλειας σύμφωνα με το άρθρο 9.

2. Κατά την εφαρμογή των άρθρων 6 έως 9, οι οντότητες_της_Ένωσης λαμβάνουν υπόψη τις κατευθυντήριες γραμμές που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου, καθώς και τις σχετικές κατευθυντήριες γραμμές και συστάσεις που εκδίδονται σύμφωνα με τα άρθρα 11 και 14.

Άρθρο 7

Αξιολογήσεις του επιπέδου ωριμότητας στον τομέα της κυβερνοασφάλειας

1. Έως τις 8 Ιουλίου 2025 και στη συνέχεια τουλάχιστον ανά διετία, κάθε οντότητα της Ένωσης διενεργεί αξιολόγηση του επιπέδου ωριμότητας στον τομέα της κυβερνοασφάλειας που ενσωματώνει όλα τα στοιχεία του οικείου περιβάλλοντος ΤΠΕ.

2. Οι αξιολογήσεις του επιπέδου ωριμότητας στον τομέα της κυβερνοασφάλειας διενεργούνται, κατά περίπτωση, με τη βοήθεια ειδικευμένου τρίτου μέρους.

3. Οι οντότητες_της_Ένωσης με παρόμοιες δομές μπορούν να συνεργάζονται για τη διενέργεια αξιολογήσεων του επιπέδου ωριμότητας στον τομέα της κυβερνοασφάλειας για τις αντίστοιχες οντότητές τους.

4. Βάσει αιτήματος του διοργανικού συμβουλίου κυβερνοασφάλειας που συγκροτείται σύμφωνα με το άρθρο 10, και με τη ρητή συγκατάθεση της οικείας οντότητας της Ένωσης, τα αποτελέσματα αξιολόγησης του επιπέδου ωριμότητας στον τομέα της κυβερνοασφάλειας μπορούν να συζητούνται στο πλαίσιο του εν λόγου συμβουλίου ή της άτυπης ομάδας τοπικών υπευθύνων κυβερνοασφάλειας, με σκοπό την άντληση διδαγμάτων από την εμπειρία και την ανταλλαγή βέλτιστων πρακτικών.

Άρθρο 8

Μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας

1. Χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση έως τις 8 Σεπτεμβρίου 2025, κάθε οντότητα της Ένωσης, υπό την εποπτεία του ανώτατου διοικητικού επιπέδου της, λαμβάνει κατάλληλα και αναλογικά τεχνικά, λειτουργικά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων κυβερνοασφάλειας που εντοπίζονται βάσει του πλαισίου, και για την πρόληψη ή την ελαχιστοποίηση του αντικτύπου των περιστατικών. Λαμβανομένης υπόψη της εξέλιξης της τεχνολογίας και, κατά περίπτωση, των σχετικών ευρωπαϊκών και διεθνών προτύπων, τα εν λόγω μέτρα διασφαλίζουν επίπεδο ασφάλειας των δικτυακών και πληροφοριακών συστημάτων σε ολόκληρο το περιβάλλον ΤΠΕ ανάλογο προς τους εμφανιζόμενους κινδύνους κυβερνοασφάλειας. Κατά την αξιολόγηση της αναλογικότητας των εν λόγω μέτρων, λαμβάνεται δεόντως υπόψη ο βαθμός έκθεσης της οντότητας της Ένωσης σε κινδύνους κυβερνοασφάλειας, το μέγεθός της, και η πιθανότητα εμφάνισης περιστατικών και η σοβαρότητά τους, συμπεριλαμβανομένου του κοινωνικού, οικονομικού και διοργανικού αντικτύπου τους.

2. Οι οντότητες_της_Ένωσης λαμβάνουν υπόψη τουλάχιστον τους ακόλουθους τομείς κατά την εφαρμογή των μέτρων διαχείρισης κινδύνων κυβερνοασφάλειας:

α)	πολιτική κυβερνοασφάλειας, συμπεριλαμβανομένων των μέτρων που απαιτούνται για την επίτευξη των στόχων και των προτεραιοτήτων που αναφέρονται στο άρθρο 6 και στην παράγραφο 3 του παρόντος άρθρου·

β)	πολιτικές για την ανάλυση κινδύνων κυβερνοασφάλειας και την ασφάλεια των πληροφοριακών συστημάτων·

γ)	στόχους πολιτικής σχετικά με τη χρήση υπηρεσιών υπολογιστικού νέφους·

δ)	έλεγχο κυβερνοασφάλειας, κατά περίπτωση, ο οποίος μπορεί να περιλαμβάνει αξιολόγηση κινδύνων κυβερνοασφάλειας, ευπαθειών και κυβερνοαπειλών, και δοκιμές διείσδυσης που διενεργούνται από αξιόπιστο ιδιωτικό πάροχο σε τακτική βάση·

ε)	εφαρμογή των συστάσεων που προκύπτουν από τους ελέγχους κυβερνοασφάλειας που αναφέρονται στο στοιχείο δ) μέσω επικαιροποιήσεων για την κυβερνοασφάλεια και επικαιροποιήσεων πολιτικής·

στ)	οργάνωση της κυβερνοασφάλειας, συμπεριλαμβανομένου του καθορισμού ρόλων και αρμοδιοτήτων·

ζ)	διαχείριση περιουσιακών στοιχείων, συμπεριλαμβανομένης της απογραφής περιουσιακών στοιχείων ΤΠΕ και της χαρτογράφησης του δικτύου ΤΠΕ·

η)	ασφάλεια ανθρώπινων πόρων και έλεγχο πρόσβαση·

θ)	ασφάλεια των επιχειρήσεων·

ι)	ασφάλεια των επικοινωνιών·

ια)	απόκτηση, ανάπτυξη και συντήρηση συστημάτων, συμπεριλαμβανομένων πολιτικών για τον χειρισμό και τη γνωστοποίηση ευπαθειών·

ιβ)	όπου είναι δυνατόν, πολιτικές για τη διαφάνεια του πηγαίου κώδικα·

ιγ)	ασφάλεια της αλυσίδας εφοδιασμού, συμπεριλαμβανομένων των πτυχών που αφορούν την ασφάλεια ως προς τις σχέσεις μεταξύ κάθε οντότητας της Ένωσης και των άμεσων προμηθευτών ή παρόχων υπηρεσιών της·

ιδ)	χειρισμός_περιστατικών και συνεργασία με την CERT-ΕΕ, όπως η διατήρηση της παρακολούθησης και της καταγραφής ασφαλείας·

ιε)	διαχείριση της επιχειρησιακής συνέχειας, όπως διαχείριση αντιγράφων ασφαλείας και αποκατάσταση έπειτα από καταστροφή, και διαχείριση των κρίσεων· και

ιστ)	προώθηση και ανάπτυξη προγραμμάτων εκπαίδευσης, απόκτησης δεξιοτήτων, ευαισθητοποίησης, πρακτικής εξάσκησης και κατάρτισης στον τομέα της κυβερνοασφάλειας.

Για τους σκοπούς του πρώτου εδαφίου στοιχείο ιγ), οι οντότητες_της_Ένωσης λαμβάνουν υπόψη τις ιδιαίτερες ευπάθειες κάθε άμεσου προμηθευτή και παρόχου υπηρεσιών, καθώς και τη συνολική ποιότητα των προϊόντων και τις πρακτικές κυβερνοασφάλειας των προμηθευτών και των παρόχων υπηρεσιών τους, συμπεριλαμβανομένων των διαδικασιών ασφαλούς ανάπτυξής τους.

3. Οι οντότητες_της_Ένωσης λαμβάνουν τουλάχιστον τα ακόλουθα ειδικά μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας:

α)	τεχνικές ρυθμίσεις για τη διευκόλυνση και τη διατήρηση της τηλεργασίας·

β)	συγκεκριμένα μέτρα για τη μετάβαση προς τις αρχές της μηδενικής εμπιστοσύνης·

γ)	χρήση, κατά κανόνα, της πολυπαραγοντικής επαλήθευσης ταυτότητας σε όλα τα δικτυακά και πληροφοριακά συστήματα·

δ)	χρήση της κρυπτογραφίας και της κρυπτογράφησης, ιδίως της διατερματικής κρυπτογράφησης, καθώς και της ασφαλούς ψηφιακής υπογραφής·

ε)	κατά περίπτωση, ασφαλείς επικοινωνίες φωνής, βίντεο και κειμένου, και ασφαλή συστήματα επικοινωνίας έκτακτης ανάγκης εντός της οντότητας της Ένωσης·

στ)	προδραστικά μέτρα για τον εντοπισμό και την αφαίρεση κακόβουλου λογισμικού και κατασκοπευτικού λογισμικού·

ζ)	επίτευξη ασφάλειας στην αλυσίδα εφοδιασμού λογισμικού μέσω κριτηρίων για την ασφαλή ανάπτυξη και αξιολόγηση λογισμικού·

η)

κατάρτιση και έγκριση εκπαιδευτικών προγραμμάτων για την κυβερνοασφάλεια ανάλογα με τα προβλεπόμενα καθήκοντα και τις αναμενόμενες ικανότητες για το ανώτατο επίπεδο διοίκησης και τα μέλη προσωπικού της οντότητας της Ένωσης στα οποία ανατίθεται η διασφάλιση της αποτελεσματικής εφαρμογής του παρόντος κανονισμού·

θ)	τακτική κατάρτιση των μελών του προσωπικού σε θέματα κυβερνοασφάλειας·

ι)	κατά περίπτωση, συμμετοχή σε αναλύσεις κινδύνου διασυνδεσιμότητας μεταξύ των οντοτήτων της Ένωσης·

ια)

ενίσχυση των κανόνων για τη σύναψη συμβάσεων ώστε να διευκολυνθεί η επίτευξη υψηλού κοινού επιπέδου κυβερνοασφάλειας μέσω:

i)	της άρσης των συμβατικών φραγμών που περιορίζουν την κοινοποίηση από τους παρόχους υπηρεσιών ΤΠΕ στην CERT-ΕΕ πληροφοριών σχετικά με περιστατικά, ευπάθειες και κυβερνοαπειλές·

ii)	συμβατικών υποχρεώσεων υποβολής εκθέσεων για περιστατικά, ευπάθειες και κυβερνοαπειλές, καθώς και εφαρμογής κατάλληλων μηχανισμών αντιμετώπισης και παρακολούθησης περιστατικών.

Άρθρο 9

Σχέδια κυβερνοασφάλειας

1. Έπειτα από την ολοκλήρωση της αξιολόγησης του επιπέδου ωριμότητας στον τομέα της κυβερνοασφάλειας που διενεργείται σύμφωνα με το άρθρο 7 και λαμβάνοντας υπόψη τα περιουσιακά στοιχεία και τους κινδύνους κυβερνοασφάλειας που προσδιορίζονται στο πλαίσιο, καθώς και τα μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας που λαμβάνονται σύμφωνα με το άρθρο 8, το ανώτατο_διοικητικό_επίπεδο κάθε οντότητας της Ένωσης εγκρίνει σχέδιο κυβερνοασφάλειας χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση έως τις 8 Ιανουαρίου 2026. Το σχέδιο κυβερνοασφάλειας αποσκοπεί στην αύξηση της συνολικής κυβερνοασφάλειας της οντότητας της Ένωσης και, ως εκ τούτου, συμβάλλει στην ενίσχυση του υψηλού κοινού επιπέδου κυβερνοασφάλειας εντός των οντοτήτων της Ένωσης. Το σχέδιο κυβερνοασφάλειας περιλαμβάνει τουλάχιστον τα μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας που λαμβάνονται σύμφωνα με το άρθρο 8. Το σχέδιο κυβερνοασφάλειας αναθεωρείται ανά διετία ή συχνότερα όταν είναι αναγκαίο, μετά τις αξιολογήσεις του επιπέδου ωριμότητας στον τομέα της κυβερνοασφάλειας που διενεργούνται σύμφωνα με το άρθρο 7 ή μετά από οποιαδήποτε ουσιαστική επανεξέταση του πλαισίου.

2. Το σχέδιο κυβερνοασφάλειας περιλαμβάνει το σχέδιο της οντότητας της Ένωσης για τη διαχείριση κρίσεων στον κυβερνοχώρο όσον αφορά σοβαρά περιστατικά.

3. Η οντότητα της Ένωσης υποβάλλει το ολοκληρωμένο σχέδιο κυβερνοασφάλειας στο διοργανικό συμβούλιο κυβερνοασφάλειας που συγκροτείται σύμφωνα με το άρθρο 10.

ΚΕΦΑΛΑΙΟ III

ΔΙΟΡΓΑΝΙΚΟ ΣΥΜΒΟΥΛΙΟ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ

Άρθρο 11

Καθήκοντα του ΔΣΚ

Κατά την άσκηση των αρμοδιοτήτων του, το ΔΣΚ ειδικότερα:

α)	παρέχει καθοδήγηση στον επικεφαλής της CERT-ΕΕ·

β)	παρακολουθεί και εποπτεύει αποτελεσματικά την εφαρμογή του παρόντος κανονισμού και στηρίζει τις οντότητες_της_Ένωσης στην ενίσχυση της κυβερνοασφάλειάς τους, μεταξύ άλλων ζητώντας, κατά περίπτωση, ad hoc εκθέσεις από τις οντότητες_της_Ένωσης και την CERT-ΕΕ·

γ)	κατόπιν στρατηγικής συζήτησης, εγκρίνει πολυετή στρατηγική για την ενίσχυση του επιπέδου κυβερνοασφάλειας στις οντότητες_της_Ένωσης, αξιολογεί την εν λόγω στρατηγική σε τακτική βάση και τουλάχιστον ανά πενταετία και, κατά περίπτωση, τροποποιεί την εν λόγω στρατηγική·

δ)

καθορίζει τη μεθοδολογία και τις οργανωτικές πτυχές για τη διενέργεια εθελοντικών αξιολογήσεων από ομοτίμους μεταξύ των οντοτήτων της Ένωσης, με σκοπό την άντληση διδαγμάτων από κοινές εμπειρίες, την ενίσχυση της αμοιβαίας εμπιστοσύνης, την επίτευξη υψηλού κοινού επιπέδου κυβερνοασφάλειας, καθώς και την ενίσχυση των ικανοτήτων κυβερνοασφάλειας των οντοτήτων της Ένωσης, διασφαλίζοντας ότι οι εν λόγω αξιολογήσεις από ομοτίμους διενεργούνται από εμπειρογνώμονες στον τομέα της κυβερνοασφάλειας που ορίζονται από οντότητα της Ένωσης διαφορετική από την αξιολογούμενη οντότητα της Ένωσης και ότι η μεθοδολογία βασίζεται στο άρθρο 19 της οδηγίας (ΕΕ) 2022/2555 και, κατά περίπτωση, προσαρμόζεται στις οντότητες_της_Ένωσης·

ε)	εγκρίνει, βάσει πρότασης του επικεφαλής της CERT-ΕΕ, το ετήσιο πρόγραμμα εργασιών της CERT-ΕΕ και παρακολουθεί την εφαρμογή του·

στ)	εγκρίνει, βάσει πρότασης του επικεφαλής της CERT-ΕΕ, τον κατάλογο υπηρεσιών της CERT-ΕΕ και τυχόν επικαιροποιήσεις του·

ζ)	εγκρίνει, βάσει πρότασης του επικεφαλής της CERT-ΕΕ, τον ετήσιο οικονομικό προγραμματισμό των εσόδων και των δαπανών, συμπεριλαμβανομένης της στελέχωσης, για τις δραστηριότητες της CERT-ΕΕ·

η)	εγκρίνει, βάσει πρότασης του επικεφαλής της CERT-ΕΕ, τις ρυθμίσεις για τις συμφωνίες επιπέδου υπηρεσιών·

θ)	εξετάζει και εγκρίνει την ετήσια έκθεση που καταρτίζει ο επικεφαλής της CERT-ΕΕ, η οποία καλύπτει τις δραστηριότητες της CERT-ΕΕ και την από μέρους της διαχείριση κονδυλίων·

ι)	εγκρίνει και παρακολουθεί τους βασικούς δείκτες επιδόσεων (ΒΔΕ) της CERT-ΕΕ, οι οποίοι καθορίζονται βάσει πρότασης του επικεφαλής της CERT-ΕΕ·

ια)	εγκρίνει ρυθμίσεις συνεργασίας, συμφωνίες ή συμβάσεις σε επίπεδο υπηρεσιών μεταξύ της CERT-ΕΕ και άλλων οντοτήτων σύμφωνα με το άρθρο 18·

ιβ)	εγκρίνει κατευθυντήριες γραμμές και συστάσεις βάσει πρότασης της CERT-ΕΕ σύμφωνα με το άρθρο 14 και αναθέτει στην CERT-ΕΕ να εκδώσει, να αποσύρει ή να τροποποιήσει πρόταση για κατευθυντήριες γραμμές ή συστάσεις, ή πρόσκληση για ανάληψη δράσης·

ιγ)	συγκροτεί τεχνικές συμβουλευτικές ομάδες με συγκεκριμένα καθήκοντα, προκειμένου να συνδράμουν το ΔΣΚ στο έργο του, εγκρίνει την εντολή τους και ορίζει τον πρόεδρο κάθε ομάδας·

ιδ)	λαμβάνει και αξιολογεί έγγραφα και εκθέσεις που υποβάλλουν οι οντότητες_της_Ένωσης δυνάμει του παρόντος κανονισμού, όπως αξιολογήσεις του επιπέδου ωριμότητας στον τομέα της κυβερνοασφάλειας·

ιε)	διευκολύνει τη σύσταση άτυπης ομάδας τοπικών υπευθύνων κυβερνοασφάλειας των οντοτήτων της Ένωσης, με την υποστήριξη του ENISA, με στόχο την ανταλλαγή βέλτιστων πρακτικών και πληροφοριών σε σχέση με την εφαρμογή του παρόντος κανονισμού·

ιστ)

λαμβάνοντας υπόψη τις πληροφορίες που παρέχονται από την CERT-ΕΕ σχετικά με τους εντοπισθέντες κινδύνους κυβερνοασφάλειας και τα διδάγματα που αντλήθηκαν, παρακολουθεί την επάρκεια των ρυθμίσεων διασυνδεσιμότητας μεταξύ των περιβαλλόντων ΤΠΕ των οντοτήτων της Ένωσης και παρέχει συμβουλές σχετικά με πιθανές βελτιώσεις·

ιζ)

καταρτίζει σχέδιο διαχείρισης κρίσεων στον κυβερνοχώρο με σκοπό τη στήριξη, σε επιχειρησιακό επίπεδο, της συντονισμένης διαχείρισης σοβαρών περιστατικών που επηρεάζουν οντότητες_της_Ένωσης, και τη συμβολή στην τακτική ανταλλαγή σχετικών πληροφοριών, ιδίως όσον αφορά τις επιπτώσεις και την κρισιμότητα σοβαρών περιστατικών και τους πιθανούς τρόπους μετριασμού των επιπτώσεών τους·

ιη)	συντονίζει την έγκριση των σχεδίων διαχείρισης κρίσεων στον κυβερνοχώρο που καταρτίζουν οι επιμέρους οντότητες_της_Ένωσης και τα οποία αναφέρονται στο άρθρο 9 παράγραφος 2·

ιθ)

εκδίδει συστάσεις σχετικά με την ασφάλεια στον κυβερνοχώρο που αναφέρονται στο άρθρο 8 παράγραφος 2 πρώτο εδάφιο στοιχείο ιγ), λαμβάνοντας υπόψη τα αποτελέσματα των συντονισμένων σε ενωσιακό επίπεδο εκτιμήσεων κινδύνου για τις κρίσιμες αλυσίδες εφοδιασμού που αναφέρονται στο άρθρο 22 της οδηγίας (ΕΕ) 2022/2555, για να στηρίξει τις οντότητες_της_Ένωσης στη θέσπιση αποτελεσματικών και αναλογικών μέτρων διαχείρισης κινδύνων κυβερνοασφάλειας.

Άρθρο 13

Αποστολή και καθήκοντα της CERT-ΕΕ

1. Αποστολή της CERT-ΕΕ είναι να συμβάλλει στην ασφάλεια του μη διαβαθμισμένου περιβάλλοντος ΤΠΕ των οντοτήτων της Ένωσης παρέχοντας σε αυτές συμβουλές σχετικά με την κυβερνοασφάλεια, συμβάλλοντας στην πρόληψη, στον εντοπισμό, στον χειρισμό, στον μετριασμό και στην αντιμετώπιση περιστατικών, καθώς και στην ανάκαμψη από περιστατικά, και λειτουργώντας για αυτές ως κόμβος συντονισμού για την ανταλλαγή πληροφοριών και την αντιμετώπιση περιστατικών στον τομέα της κυβερνοασφάλειας.

2. Η CERT-EΕ συγκεντρώνει, διαχειρίζεται, αναλύει και ανταλλάσσει πληροφορίες με τις οντότητες_της_Ένωσης σχετικά με κυβερνοαπειλές, ευπάθειες και περιστατικά σε μη διαβαθμισμένες υποδομές ΤΠΕ. Συντονίζει την αντιμετώπιση περιστατικών σε διοργανικό επίπεδο και σε επίπεδο οντοτήτων της Ένωσης, μεταξύ άλλων παρέχοντας εξειδικευμένη επιχειρησιακή βοήθεια ή συντονίζοντας την παροχή της.

3. Η CERT-ΕΕ εκτελεί τα ακόλουθα καθήκοντα για να συνδράμει τις οντότητες_της_Ένωσης:

α)	τις στηρίζει κατά την εφαρμογή του παρόντος κανονισμού και συμβάλλει στον συντονισμό της εφαρμογής του παρόντος κανονισμού μέσω των μέτρων που παρατίθενται στο άρθρο 14 παράγραφος 1 ή μέσω ad-hoc εκθέσεων τις οποίες ζητά το ΔΣΚ·

β)	προσφέρει τυπικές υπηρεσίες CSIRT για τις οντότητες_της_Ένωσης μέσω δέσμης υπηρεσιών κυβερνοασφάλειας που περιγράφονται στον κατάλογο υπηρεσιών της («βασικές υπηρεσίες»)·

γ)	διατηρεί δίκτυο ομοτίμων και εταίρων για τη στήριξη των υπηρεσιών που περιγράφονται στα άρθρα 17 και 18·

δ)	εφιστά την προσοχή του ΔΣΚ σε κάθε πρόβλημα που αφορά την εφαρμογή του παρόντος κανονισμού και την εφαρμογή των κατευθυντήριων γραμμών, των συστάσεων και των εκκλήσεων για ανάληψη δράσης·

ε)	με βάση τις πληροφορίες που αναφέρονται στην παράγραφο 2, συμβάλλει στην επίγνωση της κατάστασης στον κυβερνοχώρο στην Ένωσης σε στενή συνεργασία με τον ENISA·

στ)	συντονίζει τη διαχείριση σοβαρών περιστατικών·

ζ)	ενεργεί εκ μέρους των οντοτήτων της Ένωσης ως το αντίστοιχο όργανο του συντονιστή που ορίζεται για τους σκοπούς της συντονισμένης γνωστοποίησης ευπαθειών σύμφωνα με το άρθρο 12 παράγραφος 1 της οδηγίας (ΕΕ) 2022/2555·

η)	παρέχει, κατόπιν αιτήματος οντότητας της Ένωσης, προδραστική μη παρεμβατική σάρωση δημόσια προσβάσιμων δικτυακών και πληροφοριακών συστημάτων της εν λόγω οντότητας της Ένωσης.

Οι πληροφορίες που αναφέρονται στο πρώτο εδάφιο στοιχείο ε) κοινοποιούνται στο ΔΣΚ, στο δίκτυο CSIRT και στο Κέντρο Ανάλυσης Πληροφοριών της Ευρωπαϊκής Ένωσης (EU INTCEN), κατά περίπτωση και όπου κρίνεται σκόπιμο, και με την επιφύλαξη των κατάλληλων όρων εμπιστευτικότητας.

4. Η CERT-ΕΕ μπορεί, σύμφωνα με το άρθρο 17 ή 18, κατά περίπτωση, να συνεργάζεται με σχετικές κοινότητες κυβερνοασφάλειας εντός της Ένωσης και των κρατών μελών της, μεταξύ άλλων στους ακόλουθους τομείς:

α)	ετοιμότητα, συντονισμός σε περίπτωση περιστατικών, ανταλλαγή πληροφοριών και αντιμετώπιση κρίσεων σε τεχνικό επίπεδο σε περιπτώσεις που συνδέονται με οντότητες_της_Ένωσης·

β)	επιχειρησιακή συνεργασία όσον αφορά το δίκτυο CSIRT, μεταξύ άλλων όσον αφορά την αμοιβαία συνδρομή ·

γ)	πληροφορίες για κυβερνοαπειλές, συμπεριλαμβανομένης της επίγνωσης της κατάστασης·

δ)	για κάθε θέμα για το οποίο είναι απαραίτητη η τεχνική εμπειρογνωσία της CERT-ΕΕ στον τομέα της κυβερνοασφάλειας.

5. Στο πλαίσιο των αρμοδιοτήτων της, η CERT-ΕΕ συμμετέχει σε διαρθρωμένη συνεργασία με τον ENISA όσον αφορά την ανάπτυξη ικανοτήτων, την επιχειρησιακή συνεργασία και τις μακροπρόθεσμες στρατηγικές αναλύσεις των κυβερνοαπειλών σύμφωνα με τον κανονισμό (ΕΕ) 2019/881. Η CERT-ΕΕ μπορεί να συνεργάζεται και να ανταλλάσσει πληροφορίες με το Ευρωπαϊκό Κέντρο για το Κυβερνοέγκλημα της Ευρωπόλ.

6. Η CERT-ΕΕ μπορεί να παρέχει τις κάτωθι υπηρεσίες που δεν περιγράφονται στον κατάλογο υπηρεσιών της (χρεώσιμες υπηρεσίες):

α)

υπηρεσίες που υποστηρίζουν την κυβερνοασφάλεια του περιβάλλοντος ΤΠΕ των οντοτήτων της Ένωσης, πέραν αυτών που αναφέρονται στην παράγραφο 3, βάσει συμφωνιών επιπέδου υπηρεσιών και υπό την προϋπόθεση ότι υπάρχουν οι διαθέσιμοι πόροι, και συγκεκριμένα παρακολούθηση δικτύου ευρέος φάσματος, συμπεριλαμβανομένης της παρακολούθησης πρώτης γραμμής 24 ώρες το εικοσιτετράωρο και 7 ημέρες την εβδομάδα για κυβερνοαπειλές υψηλής σοβαρότητας·

β)	υπηρεσίες που υποστηρίζουν δραστηριότητες ή έργα των οντοτήτων της Ένωσης στον τομέα της κυβερνοασφάλειας, πέραν αυτών που αποσκοπούν στην προστασία του περιβάλλοντος ΤΠΕ των οντοτήτων αυτών, βάσει γραπτών συμφωνιών και με την προηγούμενη έγκριση του ΔΣΚ·

γ)	κατόπιν αιτήματος, προδραστική σάρωση των δικτυακών και πληροφοριακών συστημάτων της οικείας οντότητας της Ένωσης για τον εντοπισμό ευπαθειών με δυνητικό σημαντικό αντίκτυπο·

δ)

υπηρεσίες που υποστηρίζουν την ασφάλεια του περιβάλλοντος ΤΠΕ σε οργανισμούς άλλους πέραν των οντοτήτων της Ένωσης που συνεργάζονται στενά με οντότητες_της_Ένωσης, για παράδειγμα με την ανάθεση καθηκόντων ή αρμοδιοτήτων δυνάμει του ενωσιακού δικαίου, βάσει γραπτών συμφωνιών και με την προηγουμένη έγκριση του ΔΣΚ.

Όσον αφορά το πρώτο εδάφιο στοιχείο δ), η CERT-ΕΕ μπορεί, κατ’ εξαίρεση, να συνάπτει συμφωνίες επιπέδου υπηρεσιών με άλλες οντότητες πέραν των οντοτήτων της Ένωσης, με προηγούμενη έγκριση του ΔΣΚ.

7. Η CERT-ΕΕ διοργανώνει και μπορεί να συμμετέχει σε ασκήσεις κυβερνοασφάλειας ή να συνιστά τη συμμετοχή σε υφιστάμενες ασκήσεις, κατά περίπτωση σε στενή συνεργασία με τον ENISA, με σκοπό τη δοκιμή του επιπέδου κυβερνοασφάλειας των οντοτήτων της Ένωσης.

8. Η CERT-ΕΕ μπορεί να παρέχει συνδρομή σε οντότητες_της_Ένωσης όσον αφορά περιστατικά σε δικτυακά και πληροφοριακά συστήματα που χειρίζονται ΔΠΕΕ, όταν αυτό ζητείται ρητά από τις οικείες οντότητες_της_Ένωσης σύμφωνα με τις αντίστοιχες διαδικασίες τους. Η παροχή συνδρομής από την CERT-ΕΕ δυνάμει της παρούσας παραγράφου δεν θίγει τους ισχύοντες κανόνες σχετικά με την προστασία διαβαθμισμένων πληροφοριών.

9. Η CERT-EΕ ενημερώνει τις οντότητες_της_Ένωσης σχετικά με τις διαδικασίες και διεργασίες που ακολουθεί για τον χειρισμό περιστατικών.

10. Η CERT-ΕΕ παρέχει, με υψηλό επίπεδο εμπιστευτικότητας και αξιοπιστίας, μέσω των κατάλληλων μηχανισμών συνεργασίας και διαύλων αναφοράς, σχετικές και ανωνυμοποιημένες πληροφορίες όσον αφορά σοβαρά περιστατικά και τον τρόπο με τον οποίο αντιμετωπίστηκαν. Οι πληροφορίες αυτές περιλαμβάνονται στην έκθεση που αναφέρεται στο άρθρο 10 παράγραφος 14.

11. Η CERT-ΕΕ, σε συνεργασία με τον ΕΕΠΔ, υποστηρίζει τις οικείες οντότητες_της_Ένωσης στην αντιμετώπιση περιστατικών που οδηγούν σε παραβιάσεις δεδομένων προσωπικού χαρακτήρα, με την επιφύλαξη της αρμοδιότητας και των καθηκόντων του ΕΕΠΔ ως εποπτικής αρχής δυνάμει του κανονισμού (ΕΕ) 2018/1725.

12. Η CERT-EΕ μπορεί, εφόσον ζητηθεί ρητά από τμήματα πολιτικής των οντοτήτων της Ένωσης, να συνεισφέρει τεχνικές συμβουλές ή στοιχεία για συναφή ζητήματα πολιτικής.

Άρθρο 14

Κατευθυντήριες γραμμές, συστάσεις και εκκλήσεις για ανάληψη δράσης

1. Η CERT-ΕΕ υποστηρίζει την εφαρμογή του παρόντος κανονισμού εκδίδοντας:

α)	εκκλήσεις για ανάληψη δράσης που περιγράφουν επείγοντα μέτρα ασφάλειας τα οποία καλούνται να λάβουν οι οντότητες_της_Ένωσης εντός καθορισμένου χρονικού πλαισίου·

β)	προτάσεις προς το ΔΣΚ για κατευθυντήριες γραμμές που απευθύνονται σε όλες τις οντότητες_της_Ένωσης ή σε υποσύνολό τους·

γ)	προτάσεις προς το ΔΣΚ για συστάσεις που απευθύνονται σε μεμονωμένες οντότητες_της_Ένωσης.

Όσον αφορά το πρώτο εδάφιο στοιχείο α), η οικεία οντότητα της Ένωσης ενημερώνει την CERT-ΕΕ, χωρίς αδικαιολόγητη καθυστέρηση μετά την παραλαβή της έκκλησης για ανάληψη δράσης, σχετικά με τον τρόπο με τον οποίο εφαρμόστηκαν τα επείγοντα μέτρα ασφάλειας.

2. Οι κατευθυντήριες γραμμές και οι συστάσεις μπορούν να περιλαμβάνουν:

α)

κοινές μεθοδολογίες και ένα μοντέλο για την αξιολόγηση του επιπέδου ωριμότητας των οντοτήτων της Ένωσης στον τομέα της κυβερνοασφάλειας, συμπεριλαμβανομένων των αντίστοιχων κλιμάκων ή ΒΔΕ, που χρησιμεύουν ως σημείο αναφοράς για τη στήριξη της συνεχούς βελτίωσης της κυβερνοασφάλειας σε όλες τις οντότητες_της_Ένωσης και διευκολύνουν την ιεράρχηση των τομέων και των μέτρων κυβερνοασφάλειας λαμβανομένης υπόψη της στάσης των οντοτήτων στον τομέα της κυβερνοασφάλειας·

β)	ρυθμίσεις ή βελτιώσεις για τη διαχείριση κινδύνων κυβερνοασφάλειας και τα μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας·

γ)	ρυθμίσεις για τις αξιολογήσεις του επιπέδου ωριμότητας στον τομέα της κυβερνοασφάλειας και τα σχέδια κυβερνοασφάλειας·

δ)	κατά περίπτωση, τη χρήση κοινής τεχνολογίας, κοινής αρχιτεκτονικής, ανοικτού κώδικα και κοινών συναφών βέλτιστων πρακτικών με στόχο την επίτευξη διαλειτουργικότητας και κοινών προτύπων, συμπεριλαμβανομένης μιας συντονισμένης προσέγγισης της ασφάλειας της εφοδιαστικής αλυσίδας·

ε)	κατά περίπτωση, πληροφορίες για τη διευκόλυνση της χρήσης μέσων κοινών προμηθειών για την αγορά σχετικών υπηρεσιών και προϊόντων κυβερνοασφάλειας από τρίτους προμηθευτές·

στ)	ρυθμίσεις ανταλλαγής πληροφοριών σύμφωνα με το άρθρο 20.

Άρθρο 16

Οικονομικά θέματα και θέματα προσωπικού

1. Η CERT-ΕΕ ενσωματώνεται στη διοικητική δομή μιας γενικής διεύθυνσης της Επιτροπής προκειμένου να επωφελείται από τις δομές υποστήριξης της Επιτροπής σε επίπεδο διοίκησης, δημοσιονομικής διαχείρισης και λογιστικής, διατηρώντας παράλληλα το καθεστώς της ως αυτόνομου διοργανικού παρόχου υπηρεσιών για όλες τις οντότητες_της_Ένωσης. Η Επιτροπή ενημερώνει το ΔΣΚ σχετικά με την διοικητική έδρα της CERT-EU καθώς και τυχόν αλλαγές της. Η Επιτροπή επανεξετάζει τις διοικητικές ρυθμίσεις που σχετίζονται με την CERT-ΕΕ σε τακτική βάση και σε κάθε περίπτωση πριν από τη θέσπιση οποιουδήποτε πολυετούς δημοσιονομικού πλαισίου σύμφωνα με το άρθρο 312 ΣΛΕΕ, ώστε να είναι δυνατή η λήψη κατάλληλων μέτρων. Η επανεξέταση περιλαμβάνει τη δυνατότητα σύστασης της CERT-ΕΕ ως γραφείου της Ένωσης.

2. Για την εφαρμογή των διοικητικών και δημοσιονομικών διαδικασιών, ο επικεφαλής της CERT-ΕΕ ενεργεί υπό τον έλεγχο της Επιτροπής και την εποπτεία του ΔΣΚ.

3. Τα καθήκοντα και οι δραστηριότητες της CERT-ΕΕ, συμπεριλαμβανομένων των υπηρεσιών που παρέχονται από την CERT-ΕΕ σύμφωνα με το άρθρο 13 παράγραφοι 3, 4, 5, και 7 και το άρθρο 14 παράγραφος 1 στις οντότητες_της_Ένωσης τα οποία χρηματοδοτούνται από τον τομέα του πολυετούς δημοσιονομικού πλαισίου που είναι αφιερωμένος στην ευρωπαϊκή δημόσια διοίκηση, χρηματοδοτούνται μέσω χωριστής γραμμής του προϋπολογισμού της Επιτροπής. Οι θέσεις που προορίζονται για την CERT-ΕΕ περιγράφονται λεπτομερώς σε υποσημείωση του πίνακα προσωπικού της Επιτροπής.

4. Οι οντότητες_της_Ένωσης, πέραν αυτών που αναφέρονται στην παράγραφο 3 του παρόντος άρθρου, καταβάλλουν ετήσια χρηματοδοτική συνεισφορά στην CERT-ΕΕ για την κάλυψη των υπηρεσιών που παρέχει η CERT-ΕΕ σύμφωνα με την εν λόγω παράγραφο. Οι συνεισφορές βασίζονται σε κατευθύνσεις που παρέχει το ΔΣΚ και συμφωνούνται μεταξύ της κάθε οντότητας της Ένωσης και της CERT-ΕΕ στο πλαίσιο συμφωνιών επιπέδου υπηρεσιών. Οι συνεισφορές αντιστοιχούν σε δίκαιο και αναλογικό ποσοστό του συνολικού κόστους των παρεχόμενων υπηρεσιών. Εισπράττονται από τη χωριστή γραμμή του προϋπολογισμού που αναφέρεται στην παράγραφο 3 του παρόντος άρθρου, ως εσωτερικά έσοδα για ειδικό προορισμό, όπως προβλέπεται στο άρθρο 21 παράγραφος 3 στοιχείο γ) του κανονισμού (ΕΕ, Ευρατόμ) 2018/1046.

5. Οι δαπάνες για τις υπηρεσίες που προβλέπονται στο άρθρο 13 παράγραφος 6 ανακτώνται από τις οντότητες_της_Ένωσης που λαμβάνουν τις υπηρεσίες της CERT-ΕΕ. Τα έσοδα εγγράφονται στις γραμμές του προϋπολογισμού που καλύπτουν τις δαπάνες.

Άρθρο 18

Συνεργασία της CERT-ΕΕ με άλλους ομολόγους

1. Η CERT-ΕΕ μπορεί να συνεργάζεται με ομολόγους της στην Ένωση πέραν αυτών που αναφέρονται στο άρθρο 17 οι οποίοι υπόκεινται σε ενωσιακές απαιτήσεις κυβερνοασφάλειας, συμπεριλαμβανομένων ομολόγων ανά κλάδο, σχετικά με εργαλεία και μεθόδους, όπως τεχνικές, τακτικές, διαδικασίες και βέλτιστες πρακτικές, καθώς και σχετικά με κυβερνοαπειλές και ευπάθειες. Για κάθε συνεργασία με τους εν λόγω ομολόγους, η CERT-ΕΕ ζητεί την προηγούμενη έγκριση του ΔΣΚ κατά περίπτωση. Όταν η CERT-ΕΕ αναπτύσσει συνεργασία με ομολόγους αυτού του είδους, ενημερώνει τυχόν σχετικούς ομολόγους από τα κράτη μέλη οι οποίοι αναφέρονται στο άρθρο 17 παράγραφος 1, στο κράτος μέλος στο οποίο βρίσκεται ο ομόλογος. Κατά περίπτωση και όπου κρίνεται σκόπιμο, η εν λόγω συνεργασία και οι όροι της, μεταξύ άλλων όσον αφορά την κυβερνοασφάλεια, την προστασία των δεδομένων και τον χειρισμό πληροφοριών, θεσπίζονται με ειδικές ρυθμίσεις εμπιστευτικότητας, όπως συμβάσεις ή διοικητικές ρυθμίσεις. Για τις ρυθμίσεις εμπιστευτικότητας δεν απαιτείται εκ των προτέρων έγκριση από το ΔΣΚ, αλλά ο πρόεδρός του πρέπει να ενημερώνεται σχετικά. Σε περίπτωση επείγουσας και άμεσης ανάγκης ανταλλαγής πληροφοριών κυβερνοασφάλειας προς το συμφέρον οντοτήτων της Ένωσης ή άλλου μέρους, η CERT-ΕΕ μπορεί να προβεί σε τέτοια συνεργασία με οντότητα της οποίας η ειδική αρμοδιότητα, ικανότητα και εμπειρογνωσία απαιτούνται δικαιολογημένα για τη συνδρομή στην εν λόγω επείγουσα και άμεση ανάγκη, ακόμη και αν η CERT-ΕΕ δεν έχει συνάψει ρύθμιση εμπιστευτικότητας με την εν λόγω οντότητα. Στις περιπτώσεις αυτές, η CERT-ΕΕ ενημερώνει αμέσως τον πρόεδρο του ΔΣΚ και ενημερώνει το ΔΣΚ μέσω τακτικών εκθέσεων ή συνεδριάσεων.

2. Η CERT-ΕΕ μπορεί να συνεργάζεται με άλλους εταίρους, όπως εμπορικές οντότητες, συμπεριλαμβανομένων των βιομηχανικών οντοτήτων ανά τομέα, διεθνείς οργανισμούς, εθνικές οντότητες εκτός Ευρωπαϊκής Ένωσης ή μεμονωμένους εμπειρογνώμονες, για τη συλλογή πληροφοριών σχετικά με γενικές και ειδικές κυβερνοαπειλές, παρ’ ολίγον περιστατικά, ευπάθειες και πιθανά αντίμετρα. Για ευρύτερη συνεργασία με τους εταίρους αυτούς, η CERT-ΕΕ ζητεί την προηγούμενη έγκριση του ΔΣΚ κατά περίπτωση.

3. Η CERT-ΕΕ μπορεί, με τη συγκατάθεση της οντότητας της Ένωσης που επηρεάζεται από περιστατικό και υπό την προϋπόθεση ότι έχει συναφθεί συμφωνία ή σύμβαση τήρησης του απορρήτου με τον σχετικό ομόλογο ή εταίρο, να παρέχει πληροφορίες σχετικά με το συγκεκριμένο περιστατικό σε ομολόγους ή εταίρους που αναφέρονται στις παραγράφους 1 και 2 αποκλειστικά με σκοπό να συμβάλει στην ανάλυσή του.

ΚΕΦΑΛΑΙΟ V

ΥΠΟΧΡΕΩΣΕΙΣ ΣΥΝΕΡΓΑΣΙΑΣ ΚΑΙ ΥΠΟΒΟΛΗΣ ΑΝΑΦΟΡΩΝ

Άρθρο 20

Ρυθμίσεις για την ανταλλαγή πληροφοριών στον τομέα της κυβερνοασφάλειας

1. Οι οντότητες_της_Ένωσης μπορούν, σε εθελοντική βάση, να κοινοποιούν στην CERT-ΕΕ περιστατικά, κυβερνοαπειλές, παρ’ ολίγον περιστατικά και ευπάθειες που τις επηρεάζουν, και να της παρέχουν σχετικές πληροφορίες. Η CERT-ΕΕ εξασφαλίζει ότι διατίθενται αποτελεσματικά μέσα επικοινωνίας, με υψηλό βαθμό ιχνηλασιμότητας, εμπιστευτικότητας και αξιοπιστίας, για τη διευκόλυνση της ανταλλαγής πληροφοριών με τις οντότητες_της_Ένωσης. Κατά την επεξεργασία κοινοποιήσεων, η CERT-EΕ μπορεί να δίνει προτεραιότητα στην επεξεργασία των υποχρεωτικών έναντι των εθελούσιων κοινοποιήσεων. Με την επιφύλαξη του άρθρου 12, η εθελούσια κοινοποίηση δεν συνεπάγεται την επιβολή στην αναφέρουσα οντότητα της Ένωσης πρόσθετων υποχρεώσεων τις οποίες δεν θα υπείχε αν δεν προέβαινε στην κοινοποίηση.

2. Για να εκτελεί την αποστολή και τα καθήκοντα που της ανατίθενται σύμφωνα με το άρθρο 13, η CERT-ΕΕ μπορεί να ζητεί από τις οντότητες_της_Ένωσης να της παρέχουν πληροφορίες από τις αντίστοιχες απογραφές των οικείων συστημάτων ΤΠΕ, συμπεριλαμβανομένων πληροφοριών σχετικά με κυβερνοαπειλές, παρ’ ολίγον περιστατικά, ευπάθειες, δείκτες έκθεσης σε κίνδυνο, ειδοποιήσεις επαγρύπνησης για την κυβερνοασφάλεια και συστάσεις σχετικά με την παραμετροποίηση εργαλείων κυβερνοασφάλειας για τον εντοπισμό περιστατικών. Η οντότητα στην οποία υποβάλλεται το αίτημα διαβιβάζει τις ζητούμενες πληροφορίες, καθώς και τυχόν μεταγενέστερες επικαιροποιήσεις τους, χωρίς αδικαιολόγητη καθυστέρηση.

3. Η CERT-ΕΕ μπορεί να ανταλλάσσει με τις οντότητες_της_Ένωσης πληροφορίες σχετικά με συγκεκριμένα περιστατικά που αποκαλύπτουν την ταυτότητα της επηρεαζόμενης από το περιστατικό οντότητας της Ένωσης, εφόσον η εν λόγω οντότητα της Ένωσης δώσει τη συγκατάθεσή της. Όταν οντότητα της Ένωσης αρνείται να δώσει τη συγκατάθεσή της, παρέχει στην CERT-ΕΕ τους λόγους που τεκμηριώνουν την εν λόγω απόφαση.

4. Οι οντότητες_της_Ένωσης ανταλλάσσουν, κατόπιν αιτήματος, πληροφορίες με το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο σχετικά με την ολοκλήρωση των σχεδίων κυβερνοασφάλειας.

5. Το ΔΣΚ ή η CERT-ΕΕ, κατά περίπτωση, κοινοποιεί, κατόπιν αιτήματος, κατευθυντήριες γραμμές, συστάσεις και εκκλήσεις για ανάληψη δράσης στο Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο.

6. Οι υποχρεώσεις ανταλλαγής που ορίζονται στο παρόν άρθρο δεν επεκτείνονται σε:

α)

ΔΠΕΕ·

β)	πληροφορίες των οποίων η περαιτέρω διανομή έχει αποκλειστεί μέσω ορατής σήμανσης, εκτός εάν έχει επιτραπεί ρητά η κοινοποίησή τους στην CERT-ΕΕ.

Άρθρο 22

Συντονισμός της αντιμετώπισης περιστατικών και σχετική συνεργασία

1. Ενεργώντας ως κόμβος συντονισμού για την ανταλλαγή πληροφοριών και την αντιμετώπιση περιστατικών στον τομέα της κυβερνοασφάλειας, η CERT-ΕΕ διευκολύνει την ανταλλαγή πληροφοριών σχετικά με περιστατικά, κυβερνοαπειλές, ευπάθειες και παρ’ ολίγον περιστατικά μεταξύ:

α)	οντοτήτων της Ένωσης·

β)	των ομολόγων που αναφέρονται στα άρθρα 17 και 18.

2. Η CERT-ΕΕ, κατά περίπτωση σε στενή συνεργασία με τον ENISA, διευκολύνει τον συντονισμό μεταξύ των οντοτήτων της Ένωσης για την αντιμετώπιση περιστατικών, μεταξύ άλλων με:

α)	συμβολή σε συνεπή εξωτερική επικοινωνία·

β)	αμοιβαία στήριξη, μεταξύ άλλων με την ανταλλαγή πληροφοριών χρήσιμων για τις οντότητες_της_Ένωσης, ή με την παροχή συνδρομής, κατά περίπτωση απευθείας επιτόπου·

γ)	βέλτιστη χρήση επιχειρησιακών πόρων·

δ)	συντονισμό με άλλους μηχανισμούς αντιμετώπισης κρίσεων σε επίπεδο Ένωσης.

3. Η CERT-ΕΕ, σε στενή συνεργασία με τον ENISA, στηρίζει τις οντότητες_της_Ένωσης όσον αφορά την επίγνωση της κατάστασης σχετικά με περιστατικά, κυβερνοαπειλές, ευπάθειες και παρ’ ολίγον περιστατικά, καθώς και την ανταλλαγή σχετικών εξελίξεων στον τομέα της κυβερνοασφάλειας.

4. Έως τις 8 Ιανουαρίου 2025, το ΔΣΚ εκδίδει, βάσει πρότασης της CERT-EΕ, κατευθυντήριες γραμμές ή συστάσεις σχετικά με τον συντονισμό της αντιμετώπισης περιστατικών και τη σχετική συνεργασία για σημαντικά περιστατικά. Όταν υπάρχουν υπόνοιες ότι ένα περιστατικό έχει ποινικό χαρακτήρα, η CERT-ΕΕ παρέχει συμβουλές σχετικά με τον τρόπο αναφοράς του περιστατικού στις αρχές επιβολής του νόμου, χωρίς αδικαιολόγητη καθυστέρηση.

5. Κατόπιν ειδικού αιτήματος κράτους μέλους και με την έγκριση των οικείων οντοτήτων της Ένωσης, η CERT-ΕΕ μπορεί να καλεί εμπειρογνώμονες από τον κατάλογο που αναφέρεται στο άρθρο 23 παράγραφος 4, προκειμένου να συμβάλουν στην αντιμετώπιση σοβαρού περιστατικού που έχει αντίκτυπο στο εν λόγω κράτος μέλος ή περιστατικού μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας σύμφωνα με το άρθρο 15 παράγραφος 3 στοιχείο ζ) της οδηγίας (ΕΕ) 2022/2555. Ειδικοί κανόνες σχετικά με την πρόσβαση και τη χρήση τεχνικών εμπειρογνωμόνων από οντότητες_της_Ένωσης εγκρίνονται από το ΔΣΚ βάσει πρότασης της CERT ΕΕ.

Άρθρο 26

Έναρξη ισχύος

Ο παρών κανονισμός αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

Ο παρών κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος.

Στρασβούργο, 13 Δεκεμβρίου 2023.

Για το Ευρωπαϊκό Κοινοβούλιο

H Πρόεδρος

R. METSOLA

Για το Συμβούλιο

Ο Πρόεδρος

P. NAVARRO RÍOS

(1) Θέση του Ευρωπαϊκού Κοινοβουλίου της 21ης Νοεμβρίου 2023 (δεν έχει ακόμη δημοσιευθεί στην Επίσημη Εφημερίδα) και απόφαση του Συμβουλίου της 8ης Δεκεμβρίου 2023.

(2) Οδηγία (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, για την τροποποίηση του κανονισμού (ΕΕ) αριθ. 910/2014 και της οδηγίας (ΕΕ) 2018/1972 και για την κατάργηση της οδηγίας (ΕΕ) 2016/1148 (οδηγία NIS 2) (ΕΕ L 333 της 27.12.2022, σ. 80).

(3) Κανονισμός (ΕΕ) 2019/881 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 17ης Απριλίου 2019, σχετικά με τον ENISA («Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια») και με την πιστοποίηση της κυβερνοασφάλειας στον τομέα της τεχνολογίας πληροφοριών και επικοινωνιών και για την κατάργηση του κανονισμού (ΕΕ) αριθ. 526/2013 (πράξη για την κυβερνοασφάλεια) (ΕΕ L 151 της 7.6.2019, σ. 15).

(4) Διακανονισμός μεταξύ του Ευρωπαϊκού Κοινοβουλίου, του Ευρωπαϊκού Συμβουλίου, του Συμβουλίου της Ευρωπαϊκής Ένωσης, της Ευρωπαϊκής Επιτροπής, του Δικαστηρίου της Ευρωπαϊκής Ένωσης, της Ευρωπαϊκής Κεντρικής Τράπεζας, του Ευρωπαϊκού Ελεγκτικού Συνεδρίου, της Ευρωπαϊκής Υπηρεσίας Εξωτερικής Δράσης, της Ευρωπαϊκής Οικονομικής και Κοινωνικής Επιτροπής, της Ευρωπαϊκής Επιτροπής των Περιφερειών και της Ευρωπαϊκής Τράπεζας Επενδύσεων σχετικά με την οργάνωση και τη λειτουργία ομάδας αντιμετώπισης έκτακτων αναγκών στην πληροφορική για τα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης (CERT-ΕΕ) (ΕΕ C 12 της 13.1.2018, σ. 1).

(5) Κανονισμός (ΕΟΚ, Ευρατόμ, ΕΚΑΧ) αριθ. 259/68 του Συμβουλίου, της 29ης Φεβρουαρίου 1968, περί καθορισμού του κανονισμού υπηρεσιακής καταστάσεως των υπαλλήλων και του καθεστώτος που εφαρμόζεται επί του λοιπού προσωπικού των Ευρωπαϊκών Κοινοτήτων και περί θεσπίσεως ειδικών μέτρων προσωρινώς εφαρμοστέων στους υπαλλήλους της Επιτροπής (ΕΕ L 56 της 4.3.1968, σ. 1).

(6) Σύσταση (ΕΕ) 2017/1584 της Επιτροπής, της 13ης Σεπτεμβρίου 2017, για τη συντονισμένη αντιμετώπιση περιστατικών και κρίσεων μεγάλης κλίμακας στον κυβερνοχώρο (ΕΕ L 239 της 19.9.2017, σ. 36).

(7) Κανονισμός (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ (ΕΕ L 295 της 21.11.2018, σ. 39).

(8) ΕΕ C 258 της 5.7.2022, σ. 10.

(9) Κανονισμός (EU, Ευρατόμ) 2018/1046 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 18ης Ιουλίου 2018, σχετικά με τους δημοσιονομικούς κανόνες που εφαρμόζονται στον γενικό προϋπολογισμό της Ένωσης, την τροποποίηση των κανονισμών (ΕΕ) αριθ. 1296/2013, (ΕΕ) αριθ. 1301/2013, (ΕΕ) αριθ. 1303/2013, (ΕΕ) αριθ. 1304/2013, (ΕΕ) αριθ. 1309/2013, (ΕΕ) αριθ. 1316/2013, (ΕΕ) αριθ. 223/2014, (ΕΕ) αριθ. 283/2014 και της απόφασης αριθ. 541/2014/ΕΕ και για την κατάργηση του κανονισμού (ΕΕ, Ευρατόμ) αριθ. 966/2012 (ΕΕ L 193 της 30.7.2018, σ. 1).

(10) Κανονισμός (ΕΚ) αριθ. 1049/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 30ής Μαΐου 2001, για την πρόσβαση του κοινού στα έγγραφα του Ευρωπαϊκού Κοινοβουλίου, του Συμβουλίου και της Επιτροπής (EE L 145 της 31.5.2001, σ. 43).

ELI: http://data.europa.eu/eli/reg/2023/2841/oj

ISSN 1977-0669 (electronic edition)

whereas

keyboard_tab Cyber Resilience Act 2023/2841 EL

Cyber Resilience Act 2023/2841 EL