keyboard_tab Cyber Resilience Act 2023/2841 NL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- Art. 1 Onderwerp
- Art. 2 Toepassingsgebied
- Art. 3 Definities
- Art. 4 Verwerking van persoonsgegevens
- Art. 5 Uitvoering van maatregelen
- Art. 6 Kader voor risicobeheer, governance en toezicht op het gebied van cyberbeveiliging
- Art. 7 Maturiteitsbeoordelingen van de cyberbeveiliging
- Art. 8 Maatregelen voor het beheer van cyberbeveiligingsrisico’s
- Art. 9 Cyberbeveiligingsplannen
- Art. 10 Interinstitutionele raad voor cyberbeveiliging
- Art. 11 Taken van de IICB
- Art. 12 Naleving
- Art. 13 Missie en taken van CERT-EU
- Art. 14 Richtsnoeren, aanbevelingen en oproepen tot actie
- Art. 15 Hoofd van CERT-EU
- Art. 16 Financiële en personeelszaken
- Art. 17 Samenwerking van CERT-EU met tegenhangers in de lidstaten
- Art. 18 Samenwerking van CERT-EU met andere tegenhangers
- Art. 19 Informatieverwerking
- Art. 20 Informatie-uitwisselingsregelingen op het gebied van cyberbeveiliging
- Art. 21 Rapportageverplichtingen
- Art. 22 Coördinatie van respons bij incidenten en samenwerking
- Art. 23 Beheer van ernstige incidenten
- Art. 24 Initiële heroriëntering van begrotingsmiddelen
- Art. 25 Evaluatie
- Artikel 26 Inwerkingtreding
HOOFDSTUK I
ALGEMENE BEPALINGEN
HOOFDSTUK II
MAATREGELEN VOOR EEN HOOG GEZAMENLIJK NIVEAU VAN CYBERBEVEILIGING
HOOFDSTUK III
INTERINSTITUTIONELE RAAD VOOR CYBERBEVEILIGING
HOOFDSTUK IV
CERT-EU
HOOFDSTUK V
SAMENWERKING EN VERSLAGLEGGINGSVERPLICHTINGEN
HOOFDSTUK VI
SLOTBEPALINGEN
- voor 12
- unie 10
- maatregelen 8
- entiteit 6
- cyberbeveiliging 5
- incidenten 5
- cyberbeveiligingsrisico’s 5
- beveiliging 5
- kwetsbaarheden 4
- inbegrip 4
- beheer 4
- geval 4
- informatiesystemen 3
- inzake 3
- entiteiten 3
- beveiligde 3
- voorkomend 3
- gebruik 3
- door 3
- rekening 3
- uitvoering 3
- beleid 3
- zijn 3
- veilige 3
- ontwikkeling 3
- gebied 3
- tussen 3
- inclusief 2
- leveranciers 2
- software 2
- zoals 2
- cert-eu 2
- minste 2
- dienstverleners 2
- volgende 2
- bedoelde 2
- passend 2
- rechtstreekse 2
- nemen 2
- elke 2
- personeelsleden 2
- toeleveringsketen 2
- opleiding 2
- vaststelling 2
- worden 2
- mogelijk 2
- respons 2
- middel 2
- specifieke 2
- artikel 2
Artikel 8
Maatregelen voor het beheer van cyberbeveiligingsrisico’s
1. Elke entiteit van de Unie neemt onverwijld en in elk geval uiterlijk op 8 september 2025, onder het toezicht van haar hoogste managementniveau, passende en evenredige technische, operationele en organisatorische maatregelen voor het beheer van de binnen het kader geïdentificeerde cyberbeveiligingsrisico’s, en voor het voorkomen of tot een minimum beperken van de gevolgen van incidenten. Rekening houdend met de stand van de techniek en, in voorkomend geval, de relevante Europese en internationale normen waarborgen die maatregelen een beveiligingsniveau van netwerk- en informatiesystemen in de gehele ICT-omgeving dat in verhouding staat tot de cyberbeveiligingsrisico’s die zich voordoen. Bij het beoordelen van de evenredigheid van die maatregelen wordt terdege rekening gehouden met de mate waarin de entiteit van de Unie aan cyberbeveiligingsrisico’s is blootgesteld, de omvang van de entiteit van de Unie en de kans dat zich incidenten voordoen en de ernst ervan, met inbegrip van de maatschappelijke, economische en interinstitutionele gevolgen daarvan.
2. Bij de uitvoering van de maatregelen voor het beheer van cyberbeveiligingsrisico’s behandelen de entiteiten van de Unie ten minste de volgende gebieden:
| a) | cyberbeveiligingsbeleid, met inbegrip van de maatregelen die nodig zijn om de in artikel 6 en lid 3 van dit artikel bedoelde doelstellingen en prioriteiten te verwezenlijken; |
| b) | beleid inzake cyberbeveiligingsrisicoanalyse en beveiliging van informatiesystemen; |
| c) | beleidsdoelstellingen met betrekking tot het gebruik van cloudcomputingdiensten; |
| d) | in voorkomend geval een cyberbeveiligingsaudit, die een beoordeling van het cyberbeveiligingsrisico, de kwetsbaarheid en de cyberdreiging kan omvatten, en penetratietests die regelmatig door een betrouwbare particuliere aanbieder worden uitgevoerd; |
| e) | de uitvoering van aanbevelingen die voortvloeien uit de in punt d) bedoelde cyberbeveiligingsaudits door middel van cyberbeveiligings- en beleidsupdates; |
| f) | de organisatie van cyberbeveiliging, inclusief de vaststelling van rollen en verantwoordelijkheden; |
| g) | activabeheer, inclusief een inventaris van ICT-activa en ICT-netwerkarchitectuur; |
| h) | beveiliging van personele middelen en toegangscontrole; |
| i) | operationele beveiliging; |
| j) | communicatiebeveiliging; |
| k) | aankoop, ontwikkeling en onderhoud van systemen, met inbegrip van beleid inzake de respons op en bekendmaking van kwetsbaarheden; |
| l) | indien mogelijk, beleid inzake de transparantie van de broncode; |
| m) | beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten van de betrekkingen tussen elke entiteit van de Unie en haar rechtstreekse leveranciers of dienstverleners; |
| n) | incidentenbehandeling en samenwerking met CERT-EU, zoals continue monitoring en registratie van de beveiliging; |
| o) | bedrijfscontinuïteitsbeheer, zoals back-upbeheer en noodvoorzieningenplannen, en crisisbeheer, en |
| p) | bevordering en ontwikkeling van programma’s betreffende onderwijs, vaardigheden, bewustmaking, oefeningen en opleiding op het gebied van cyberbeveiliging. |
Voor de toepassing van de eerste alinea, punt m), houden entiteiten van de Unie rekening met de specifieke kwetsbaarheden van elke rechtstreekse leverancier en dienstverlener, en met de algehele kwaliteit van de producten en cyberbeveiligingspraktijken van hun leveranciers en dienstverleners, veilige ontwikkelingsprocessen inbegrepen.
3. Entiteiten van de Unie nemen ten minste de volgende specifieke maatregelen voor het beheer van cyberbeveiligingsrisico’s:
| a) | technische regelingen om telewerken mogelijk te maken en te ondersteunen; |
| b) | concrete stappen in de richting van zero trust-beginselen; |
| c) | het gebruik van multifactorauthenticatie als norm in alle netwerk- en informatiesystemen; |
| d) | het gebruik van cryptografie en versleuteling, en met name eind-tot-eindversleuteling, alsook beveiligde digitale ondertekening; |
| e) | waar passend, beveiligde spraak-, beeld- en tekstcommunicatie, en beveiligde noodcommunicatiesystemen binnen de entiteit van de Unie; |
| f) | proactieve maatregelen voor het opsporen en verwijderen van malware en spyware; |
| g) | de totstandbrenging van een veilige toeleveringsketen voor software, door middel van criteria voor de ontwikkeling en evaluatie van veilige software; |
| h) | de opstelling en vaststelling van opleidingsprogramma’s op het gebied van cyberbeveiliging die in verhouding staan tot de voorgeschreven taken en verwachte capaciteiten, voor het hoogste managementniveau en voor de personeelsleden van de entiteit van de Unie die belast zijn met het waarborgen van de effectieve uitvoering van deze verordening; |
| i) | de regelmatige opleiding van personeelsleden op het gebied van cyberbeveiliging; |
| j) | in voorkomend geval de deelname aan risicoanalyses van de interconnectiviteit tussen de entiteiten van de Unie; |
| k) | betere aanbestedingsregels om een hoog gezamenlijk niveau van cyberbeveiliging te bevorderen door:
|
whereas