keyboard_tab Cyber Resilience Act 2023/2841 NL

1.   Uiterlijk op 8 september 2024 verstrekt de op grond van artikel 10 opgerichte interinstitutionele raad voor cyberbeveiliging, na raadpleging van het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa) en na advies van cert-eu, richtsnoeren aan de entiteiten van de Unie met het oog op de uitvoering van een initiële cyberbeveiligingsevaluatie en de vaststelling van een intern kader voor het beheer, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s op grond van artikel 6, de uitvoering van maturiteitsbeoordelingen van de cyberbeveiliging op grond van artikel 7, het nemen van maatregelen voor het beheer van cyberbeveiligingsrisico’s op grond van artikel 8 en de vaststelling van het cyberbeveiligingsplan op grond van artikel 9.

2.   Bij de uitvoering van de artikelen 6 tot en met 9 houden de entiteiten van de Unie rekening met de in lid 1 van dit artikel bedoelde richtsnoeren alsook met relevante richtsnoeren en aanbevelingen die zijn vastgesteld op grond van de artikelen 11 en 14.

1.   Uiterlijk op 8 april 2025 stelt elke entiteit van de Unie, na een initiële evaluatie van de cyberbeveiliging, zoals een audit, te hebben uitgevoerd, een intern kader voor het beheer, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s (het “kader”) op. De vaststelling van het kader geschiedt onder toezicht van en onder de verantwoordelijkheid van het hoogste managementniveau van de entiteit van de Unie.

2.   Het kader omvat de gehele niet-gerubriceerde ICT-omgeving van de entiteit van de Unie in kwestie, met inbegrip van de ICT-omgeving ter plaatse, het operationele technologienetwerk ter plaatse, uitbestede activa en diensten in cloudcomputingomgevingen of gehost door derden, mobiele apparatuur, bedrijfsnetwerken, zakelijke netwerken die niet met het internet verbonden zijn en met die omgevingen verbonden apparaten (“ICT-omgeving”). Het kader is gebaseerd op een alle risico’s omvattende aanpak.

3.   Het kader waarborgt een hoog niveau van cyberbeveiliging. In het kader wordt het interne cyberbeveiligingsbeleid, met inbegrip van doelstellingen en prioriteiten, vastgesteld voor de beveiliging van netwerk- en informatiesystemen, en de taken en verantwoordelijkheden van het personeel van de entiteit van de Unie dat belast is met het waarborgen van de effectieve uitvoering van deze verordening. Het kader omvat ook mechanismen om de effectiviteit van de uitvoering te meten.

4.   Het kader wordt regelmatig, en ten minste om de vier jaar, geëvalueerd in het licht van de veranderende cyberbeveiligingsrisico’s. In voorkomend geval en na een verzoek van de op grond van artikel 10 opgerichte interinstitutionele raad voor cyberbeveiliging kan het kader van een entiteit van de Unie worden geactualiseerd op basis van richtsnoeren van cert-eu met betrekking tot vastgestelde incidenten of mogelijk geconstateerde lacunes in de uitvoering van deze verordening.

5.   Het hoogste managementniveau van elke entiteit van de Unie is verantwoordelijk voor de uitvoering van deze verordening en houdt toezicht op de naleving door zijn organisatie van de verplichtingen in verband met het kader.

6.   Indien nodig en onverminderd zijn verantwoordelijkheid voor de uitvoering van deze verordening, kan het hoogste managementniveau van elke entiteit van de Unie specifieke verplichtingen uit hoofde van deze verordening delegeren aan hoger leidinggevend personeel in de zin van artikel 29, lid 2, van het Statuut of andere functionarissen op gelijkwaardig niveau binnen de betrokken entiteit van de Unie. Ongeacht een dergelijke delegatie kan het hoogste managementniveau aansprakelijk worden gesteld voor inbreuken op deze verordening door de betrokken entiteit van de Unie.

7.   Elke entiteit van de Unie beschikt over doeltreffende mechanismen om te waarborgen dat een passend percentage van de ICT-begroting aan cyberbeveiliging wordt besteed. Bij het vaststellen van dat percentage wordt terdege rekening gehouden met het kader.

8.   Elke entiteit van de Unie stelt elk een lokale cyberbeveiligingsfunctionaris of een gelijkwaardige functionaris aan, die fungeert als het centrale contactpunt voor alle cyberbeveiligingsaspecten. De lokale cyberbeveiligingsfunctionaris faciliteert de uitvoering van deze verordening en brengt op regelmatige basis rechtstreeks aan het hoogste managementniveau verslag uit over de stand van de uitvoering. Ongeacht of in elke entiteit van de Unie de lokale cyberbeveiligingsfunctionaris het centrale contactpunt is, kan een entiteit van de Unie, op basis van een dienstenniveauovereenkomst tussen die entiteit van de Unie en cert-eu, bepaalde aan de uitvoering van deze verordening gerelateerde taken van de lokale cyberbeveiligingsfunctionaris aan cert-eu delegeren, of kunnen die taken door meerdere entiteiten van de Unie worden gedeeld. Indien die taken aan cert-eu zijn gedelegeerd, besluit de op grond van artikel 10 opgerichte interinstitutionele raad voor cyberbeveiliging of die dienstverlening onderdeel dient uit te maken van de basisdienstverlening van cert-eu, rekening houdend met de personele en financiële middelen van de betrokken entiteit van de Unie. Elke entiteit van de Unie geeft cert-eu onverwijld kennis van de aangewezen lokale cyberbeveiligingsfunctionaris en iedere wijziging daarvan.

cert-eu stelt een lijst van aangewezen lokale cyberbeveiligingsfunctionarissen op en houdt deze actueel.

9.   Het hoger leidinggevend personeel in de zin van artikel 29, lid 2, van het Statuut of andere functionarissen op gelijkwaardig niveau binnen de betrokken entiteit van de Unie, alsmede alle relevante personeelsleden die belast zijn met de uitvoering van de in deze verordening vastgelegde maatregelen en met de naleving van verplichtingen voor het beheer van cyberbeveiligingsrisico’s volgen regelmatig specifieke opleidingen om voldoende kennis en vaardigheden op te doen om risico- en beheerspraktijken op het gebied van cyberbeveiliging en de gevolgen daarvan op de activiteiten van de entiteit van de Unie te begrijpen en te beoordelen.

1.   Elke entiteit van de Unie neemt onverwijld en in elk geval uiterlijk op 8 september 2025, onder het toezicht van haar hoogste managementniveau, passende en evenredige technische, operationele en organisatorische maatregelen voor het beheer van de binnen het kader geïdentificeerde cyberbeveiligingsrisico’s, en voor het voorkomen of tot een minimum beperken van de gevolgen van incidenten. Rekening houdend met de stand van de techniek en, in voorkomend geval, de relevante Europese en internationale normen waarborgen die maatregelen een beveiligingsniveau van netwerk- en informatiesystemen in de gehele ICT-omgeving dat in verhouding staat tot de cyberbeveiligingsrisico’s die zich voordoen. Bij het beoordelen van de evenredigheid van die maatregelen wordt terdege rekening gehouden met de mate waarin de entiteit van de Unie aan cyberbeveiligingsrisico’s is blootgesteld, de omvang van de entiteit van de Unie en de kans dat zich incidenten voordoen en de ernst ervan, met inbegrip van de maatschappelijke, economische en interinstitutionele gevolgen daarvan.

2.   Bij de uitvoering van de maatregelen voor het beheer van cyberbeveiligingsrisico’s behandelen de entiteiten van de Unie ten minste de volgende gebieden:

a)	cyberbeveiligingsbeleid, met inbegrip van de maatregelen die nodig zijn om de in artikel 6 en lid 3 van dit artikel bedoelde doelstellingen en prioriteiten te verwezenlijken;

b)	beleid inzake cyberbeveiligingsrisicoanalyse en beveiliging van informatiesystemen;

c)	beleidsdoelstellingen met betrekking tot het gebruik van cloudcomputingdiensten;

d)	in voorkomend geval een cyberbeveiligingsaudit, die een beoordeling van het cyberbeveiligingsrisico, de kwetsbaarheid en de cyberdreiging kan omvatten, en penetratietests die regelmatig door een betrouwbare particuliere aanbieder worden uitgevoerd;

e)	de uitvoering van aanbevelingen die voortvloeien uit de in punt d) bedoelde cyberbeveiligingsaudits door middel van cyberbeveiligings- en beleidsupdates;

f)	de organisatie van cyberbeveiliging, inclusief de vaststelling van rollen en verantwoordelijkheden;

g)	activabeheer, inclusief een inventaris van ICT-activa en ICT-netwerkarchitectuur;

h)	beveiliging van personele middelen en toegangscontrole;

i)	operationele beveiliging;

j)	communicatiebeveiliging;

k)	aankoop, ontwikkeling en onderhoud van systemen, met inbegrip van beleid inzake de respons op en bekendmaking van kwetsbaarheden;

l)	indien mogelijk, beleid inzake de transparantie van de broncode;

m)	beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten van de betrekkingen tussen elke entiteit van de Unie en haar rechtstreekse leveranciers of dienstverleners;

n)	incidentenbehandeling en samenwerking met cert-eu, zoals continue monitoring en registratie van de beveiliging;

o)	bedrijfscontinuïteitsbeheer, zoals back-upbeheer en noodvoorzieningenplannen, en crisisbeheer, en

p)	bevordering en ontwikkeling van programma’s betreffende onderwijs, vaardigheden, bewustmaking, oefeningen en opleiding op het gebied van cyberbeveiliging.

Voor de toepassing van de eerste alinea, punt m), houden entiteiten van de Unie rekening met de specifieke kwetsbaarheden van elke rechtstreekse leverancier en dienstverlener, en met de algehele kwaliteit van de producten en cyberbeveiligingspraktijken van hun leveranciers en dienstverleners, veilige ontwikkelingsprocessen inbegrepen.

3.   Entiteiten van de Unie nemen ten minste de volgende specifieke maatregelen voor het beheer van cyberbeveiligingsrisico’s:

a)	technische regelingen om telewerken mogelijk te maken en te ondersteunen;

b)	concrete stappen in de richting van zero trust-beginselen;

c)	het gebruik van multifactorauthenticatie als norm in alle netwerk- en informatiesystemen;

d)	het gebruik van cryptografie en versleuteling, en met name eind-tot-eindversleuteling, alsook beveiligde digitale ondertekening;

e)	waar passend, beveiligde spraak-, beeld- en tekstcommunicatie, en beveiligde noodcommunicatiesystemen binnen de entiteit van de Unie;

f)	proactieve maatregelen voor het opsporen en verwijderen van malware en spyware;

g)	de totstandbrenging van een veilige toeleveringsketen voor software, door middel van criteria voor de ontwikkeling en evaluatie van veilige software;

h)

de opstelling en vaststelling van opleidingsprogramma’s op het gebied van cyberbeveiliging die in verhouding staan tot de voorgeschreven taken en verwachte capaciteiten, voor het hoogste managementniveau en voor de personeelsleden van de entiteit van de Unie die belast zijn met het waarborgen van de effectieve uitvoering van deze verordening;

i)	de regelmatige opleiding van personeelsleden op het gebied van cyberbeveiliging;

j)	in voorkomend geval de deelname aan risicoanalyses van de interconnectiviteit tussen de entiteiten van de Unie;

k)

betere aanbestedingsregels om een hoog gezamenlijk niveau van cyberbeveiliging te bevorderen door: i) contractuele belemmeringen weg te nemen die informatie-uitwisseling tussen ICT-dienstverleners over incidenten, kwetsbaarheden en cyberdreigingen met cert-eu beperken; ii) contractueel te bepalen dat incidenten, kwetsbaarheden en cyberdreigingen moeten worden gemeld, en dat er mechanismen voor een passende respons en passend toezicht op incidenten voorhanden moeten zijn.

1.   Er wordt een interinstitutionele raad voor cyberbeveiliging (IICB) opgericht.

2.   De IICB is verantwoordelijk voor:

a)	het toezicht op en de ondersteuning van de uitvoering van deze verordening door de entiteiten van de Unie;

b)	het toezicht op de uitvoering van de algemene prioriteiten en doelstellingen door cert-eu en het geven van strategische leiding aan cert-eu.

3.   De IICB bestaat uit:

a)

één vertegenwoordiger die wordt aangewezen door elk van de volgende partijen: i) het Europees Parlement; ii) de Europese Raad; iii) de Raad van de Europese Unie; iv) de Commissie; v) het Hof van Justitie van de Europese Unie; vi) de Europese Centrale Bank; vii) de Rekenkamer; viii) de Europese Dienst voor extern optreden; ix) het Europees Economisch en Sociaal Comité; x) het Europees Comité van de Regio’s; xi) de Europese Investeringsbank; xii) het Europees kenniscentrum voor industrie, technologie en onderzoek op het gebied van cyberbeveiliging; xiii) Enisa; xiv) de Europese Toezichthouder voor gegevensbescherming; xv) het Agentschap van de Europese Unie voor het ruimtevaartprogramma;

b)	drie vertegenwoordigers die door het netwerk van EU-agentschappen (EUAN) op basis van een voorstel van zijn adviescomité voor ICT worden aangewezen om de belangen te behartigen van andere dan de in punt a) bedoelde organen en instanties van de Unie die hun eigen ICT-omgeving beheren.

De in de IICB vertegenwoordigde entiteiten van de Unie streven naar genderevenwicht onder de aangewezen vertegenwoordigers.

4.   De leden van de IICB kunnen door een plaatsvervanger worden bijgestaan. Andere vertegenwoordigers van de in lid 3 bedoelde entiteiten van de Unie of van andere entiteiten van de Unie kunnen door de voorzitter worden uitgenodigd om zonder stemrecht aan IICB-vergaderingen deel te nemen.

5.   Het hoofd van cert-eu en de voorzitters van de samenwerkingsgroep, het CSIRT-netwerk en EU-CyCLONe, respectievelijk opgericht op grond van de artikelen 14, 15 en 16 van Richtlijn (EU) 2022/2555, of hun plaatsvervangers, kunnen als waarnemer deelnemen aan IICB-vergaderingen. In uitzonderlijke gevallen kan de IICB overeenkomstig zijn reglement van orde anders beslissen.

6.   De IICB stelt zijn reglement van orde vast.

7.   De IICB wijst overeenkomstig zijn reglement van orde uit zijn leden een voorzitter aan voor een periode van drie jaar. De plaatsvervanger van de voorzitter wordt voor dezelfde duur volwaardig lid van de IICB.

8.   De IICB komt ten minste driemaal per jaar bijeen op initiatief van zijn voorzitter, op verzoek van cert-eu of op verzoek van een van zijn leden.

9.   Elk lid van de IICB heeft één stem. Tenzij in deze verordening anders is bepaald, worden de besluiten van de IICB genomen met gewone meerderheid. De voorzitter van de IICB heeft uitsluitend stemrecht bij staking van de stemmen; in dat geval geeft de stem van de voorzitter de doorslag.

10.   De IICB kan handelen door middel van een vereenvoudigde schriftelijke procedure conform zijn reglement van orde. Op grond van die procedure wordt het desbetreffende besluit geacht binnen de door de voorzitter vastgestelde termijn te zijn goedgekeurd, tenzij een lid bezwaar maakt.

11.   Het secretariaat van de IICB wordt verzorgd door de Commissie en legt verantwoording af aan de voorzitter van de IICB.

12.   De door het EUAN benoemde vertegenwoordigers brengen de besluiten van de IICB over aan de leden van het EUAN. Leden van het EUAN mogen iedere kwestie die zij voor de IICB van belang achten, aan die vertegenwoordigers of de voorzitter van de IICB voorleggen.

13.   De IICB kan een uitvoerend comité oprichten om hem bij zijn werkzaamheden bij te staan, en een aantal van zijn taken en bevoegdheden daaraan delegeren. De IICB stelt het reglement van orde van het uitvoerend comité vast, met inbegrip van de taken en bevoegdheden van dat comité en de ambtstermijn van de leden daarvan.

14.   Uiterlijk op 8 januari 2025 en vervolgens jaarlijks dient de IICB bij het Europees Parlement en de Raad een verslag in over de vooruitgang die bij de uitvoering van deze verordening is geboekt, waarin met name de mate van samenwerking van cert-eu met tegenhangers in de lidstaten in elk van de lidstaten wordt gespecificeerd. Het verslag dient als input voor het tweejaarlijkse verslag over de stand van zaken op het gebied van de cyberbeveiliging in de Unie dat op grond van artikel 18 van Richtlijn (EU) 2022/2555 wordt opgesteld.

1.   De IICB houdt op grond van artikel 10, lid 2, en artikel 11 effectief toezicht op de uitvoering van deze verordening en de door de entiteiten van de Unie vastgestelde richtsnoeren, aanbevelingen en oproepen tot actie. De IICB kan de daartoe benodigde informatie of documentatie opvragen bij de entiteiten van de Unie. Voor de vaststelling van nalevingsmaatregelen uit hoofde van dit artikel heeft de betrokken entiteit van de Unie geen stemrecht indien die entiteit rechtstreeks vertegenwoordigd is in de IICB.

2.   Indien de IICB vaststelt dat een entiteit van de Unie deze verordening of de op grond van deze verordening vastgestelde richtsnoeren, aanbevelingen of oproepen tot actie niet doeltreffend heeft uitgevoerd, kan hij, onverminderd de interne procedures van de betrokken entiteit van de Unie, en na de betrokken entiteit van de Unie de gelegenheid te hebben gegeven opmerkingen te maken:

a)	de betrokken entiteit van de Unie een met redenen omkleed advies doen toekomen inzake de geconstateerde lacunes in de uitvoering van deze verordening;

b)	na raadpleging van cert-eu de betrokken entiteit van de Unie richtsnoeren verstrekken om ervoor te zorgen dat haar kader, maatregelen voor het beheer van cyberbeveiligingsrisico’s, cyberbeveiligingsplan en verslaglegging binnen een bepaalde termijn in overeenstemming zijn met deze verordening;

c)	een waarschuwing doen uitgaan om vastgestelde tekortkomingen binnen een bepaalde termijn te verhelpen, met inbegrip van aanbevelingen tot wijziging van maatregelen die de betrokken entiteit van de Unie op grond van deze verordening heeft getroffen;

d)	een met redenen omklede kennisgeving doen uitgaan aan de betrokken entiteit van de Unie indien de in een waarschuwing op grond van punt c) vastgestelde tekortkomingen niet voldoende werden verholpen binnen de vermelde termijn;

e)	het volgende doen uitgaan: i) een aanbeveling om een audit uit te voeren, of ii) een verzoek om een derde partij een audit te laten uitvoeren;

f)	in voorkomend geval de Rekenkamer, binnen de grenzen van haar mandaat, in kennis stellen van de vermeende niet-naleving;

g)	een aanbeveling aan alle lidstaten en entiteiten van de Unie doen uitgaan om gegevensstromen naar de betrokken entiteit van de Unie tijdelijk op te schorten.

Voor de toepassing van de eerste alinea, punt c), wordt de waarschuwing gericht tot een op passende wijze beperkt publiek, indien nodig met het oog op het cyberbeveiligingsrisico.

Op grond van de eerste alinea uitgebrachte waarschuwingen en aanbevelingen worden gericht aan het hoogste managementniveau van de betrokken entiteit van de Unie.

3.   Indien de IICB maatregelen heeft genomen op grond van lid 2, eerste alinea, punten a) tot en met g), verstrekt de betrokken entiteit van de Unie nadere informatie over de maatregelen en acties die zijn genomen om de door de IICB vastgestelde vermeende tekortkomingen te verhelpen. De entiteit van de Unie dient deze nadere informatie binnen een met de IICB overeen te komen redelijke termijn in.

4.   Wanneer de IICB van oordeel is dat er sprake is van een aanhoudende schending van deze verordening door een entiteit van de Unie als rechtstreeks gevolg van het handelen of nalaten van een ambtenaar of ander personeelslid van de Unie, ook op het hoogste managementniveau, verzoekt de IICB de betrokken entiteit van de Unie passende maatregelen te nemen, met inbegrip van het verzoek te overwegen om maatregelen van disciplinaire aard te nemen, overeenkomstig de bepalingen en procedures van het Statuut en alle andere toepasselijke regels en procedures. Daartoe draagt de IICB de nodige informatie over aan de betrokken entiteit van de Unie.

5.   Indien entiteiten van de Unie er kennis van geven dat zij niet in staat zijn om de in artikel 6, lid 1, en artikel 8, lid 1, vastgestelde termijnen te halen, kan de IICB, in naar behoren gemotiveerde gevallen en rekening houdend met de omvang van de entiteit van de Unie, toestemming geven om die termijnen te verlengen.

1.   De missie van cert-eu bestaat erin bij te dragen tot de beveiliging van de niet-gerubriceerde ICT-omgeving van de entiteiten van de Unie door ze te adviseren over cyberbeveiliging, door ze te helpen incidenten te voorkomen, op te sporen, te behandelen, te beperken, daarop te reageren en daarvan te herstellen, en door op te treden als knooppunt voor hun informatie-uitwisseling inzake cyberbeveiliging en responscoördinatie bij incidenten.

2.   cert-eu verzamelt, beheert, analyseert en deelt informatie met de entiteiten van de Unie over cyberdreigingen, kwetsbaarheden en incidenten in niet-gerubriceerde ICT-infrastructuur. Het coördineert de respons op incidenten op interinstitutioneel niveau en op het niveau van de entiteiten van de Unie, onder meer door gespecialiseerde operationele bijstand te verlenen of te coördineren.

3.   cert-eu verricht de volgende taken om de entiteiten van de Unie bij te staan:

a)	het ondersteunt ze bij de uitvoering van deze verordening en draagt bij tot de coördinatie van de uitvoering van deze verordening door middel van de in artikel 14, lid 1, vermelde maatregelen of via door de IICB gevraagde ad-hocverslagen;

b)	het biedt standaard CSIRT-diensten aan de entiteiten van de Unie door middel van een in zijn dienstencatalogus beschreven pakket cyberbeveiligingsdiensten (basisniveaudiensten);

c)	het onderhoudt een netwerk van soortgelijke organisaties en partners ter ondersteuning van de in de artikelen 17 en 18 bedoelde diensten;

d)	het brengt problemen betreffende de uitvoering van deze verordening en de uitvoering van richtsnoeren, aanbevelingen en oproepen tot actie onder de aandacht van de IICB;

e)	het draagt op basis van de in lid 2 bedoelde informatie bij tot het situatiebewustzijn van de Unie op het gebied van cyberbeveiliging, in nauwe samenwerking met Enisa;

f)	het coördineert het beheer van ernstige incidenten;

g)	het handelt namens entiteiten van de Unie als equivalent van de coördinator die is aangewezen met het oog op de gecoördineerde bekendmaking van kwetsbaarheden op grond artikel 12, lid 1, van Richtlijn (EU) 2022/2555;

h)	het gaat op verzoek van een entiteit van de Unie over tot het proactief en niet-intrusief scannen van openbaar toegankelijke netwerk- en informatiesystemen van die entiteit van de Unie.

De in de eerste alinea, punt e), bedoelde informatie wordt, indien van toepassing en gepast, gedeeld met de IICB, het CSIRT-netwerk en het Inlichtingen- en situatiecentrum van de Europese Unie (EU-Intcen); daarbij worden passende geheimhoudingsvoorwaarden in acht genomen.

4.   cert-eu kan overeenkomstig artikel 17 of artikel 18, naargelang het geval, samenwerken met relevante cyberbeveiligingsgemeenschappen binnen de Unie en haar lidstaten, onder meer op de volgende gebieden:

a)	paraatheid, incidentcoördinatie, informatie-uitwisseling en crisisrespons op technisch niveau in gevallen die met de entiteiten van de Unie verband houden;

b)	operationele samenwerking inzake het CSIRT-netwerk, ook betreffende wederzijdse bijstand;

c)	inlichtingen inzake cyberdreigingen, inclusief situatiebewustzijn;

d)	elk ander onderwerp waarvoor de technische deskundigheid op het gebied van cyberbeveiliging van cert-eu vereist is.

5.   Binnen het kader van zijn bevoegdheid onderhoudt cert-eu gestructureerde samenwerking met Enisa met betrekking tot capaciteitsopbouw, operationele samenwerking en strategische langetermijnanalyses van cyberdreigingen, overeenkomstig Verordening (EU) 2019/881. cert-eu kan samenwerken en informatie uitwisselen met het Europees Centrum voor de bestrijding van cybercriminaliteit van Europol.

6.   cert-eu kan de volgende diensten aanbieden die niet in de dienstencatalogus zijn beschreven (aangerekende diensten):

a)

andere dan de in lid 3 bedoelde diensten ter ondersteuning van de cyberbeveiliging van de ICT-omgeving van de entiteiten van de Unie, op basis van dienstenniveauovereenkomsten en afhankelijk van de beschikbaarheid van middelen, met name brede netwerkmonitoring, met inbegrip van continue eerstelijnsmonitoring voor zeer ernstige cyberdreigingen;

b)	andere diensten dan diensten ter bescherming van de ICT-omgeving van de entiteiten van de Unie, ter ondersteuning van hun cyberbeveiligingsoperaties of -projecten, op basis van schriftelijke overeenkomsten en met voorafgaande goedkeuring van de IICB;

c)	op verzoek, het proactief scannen van de netwerk- en informatiesystemen van de betrokken entiteit van de Unie om kwetsbaarheden met mogelijk aanzienlijke gevolgen op te sporen;

d)

diensten ter ondersteuning van de beveiliging van de ICT-omgeving van andere organisaties dan de entiteiten van de Unie, die nauw met de entiteiten van de Unie samenwerken, bijvoorbeeld omdat zij taken of verantwoordelijkheden uit hoofde van Unierecht vervullen, op basis van schriftelijke overeenkomsten en met voorafgaande goedkeuring van de IICB.

Met betrekking tot de eerste alinea, punt d), kan cert-eu bij wijze van uitzondering met voorafgaande toestemming van de IICB dienstenniveauovereenkomsten sluiten met andere entiteiten dan de entiteiten van de Unie.

7.   cert-eu organiseert cyberbeveiligingsoefeningen en kan eraan deelnemen of deelname aan bestaande oefeningen aanbevelen, in voorkomend geval in nauwe samenwerking met Enisa, om het cyberbeveiligingsniveau van de entiteiten van de Unie te testen.

8.   cert-eu kan de entiteiten van de Unie bijstaan bij incidenten in netwerk- en informatiesystemen die EUCI verwerken, indien de betrokken entiteiten van de Unie daar uitdrukkelijk om verzoeken overeenkomstig hun respectieve procedures. Het verlenen van bijstand door cert-eu uit hoofde van dit lid laat de toepasselijke regels inzake de bescherming van gerubriceerde informatie onverlet.

9.   cert-eu informeert de entiteiten van de Unie over zijn procedures en processen voor incidentenbehandeling.

10.   cert-eu draagt, met een hoog niveau van vertrouwelijkheid en betrouwbaarheid, via de passende samenwerkingsmechanismen en rapportagelijnen bij tot relevante en geanonimiseerde informatie over ernstige incidenten en de wijze waarop deze werden afgehandeld. Die informatie wordt opgenomen in het in artikel 10, lid 14, bedoelde verslag.

11.   Bij de aanpak van incidenten die leiden tot inbreuken in verband met persoonsgegevens, ondersteunt cert-eu de betrokken entiteiten van de Unie, in samenwerking met de Europese Toezichthouder voor gegevensbescherming, onverminderd de bevoegdheid en taken van die Toezichthouder als toezichthoudende autoriteit uit hoofde van Verordening (EU) 2018/1725.

12.   cert-eu kan, indien de beleidsafdelingen van de entiteiten van de Unie daar uitdrukkelijk om verzoeken, technisch advies of technische input verstrekken voor relevante beleidskwesties.

1.   cert-eu ondersteunt de uitvoering van deze verordening door middel van:

a)	oproepen tot actie, die dringende beveiligingsmaatregelen omvatten die de entiteiten van de Unie binnen een bepaalde termijn met klem wordt aangeraden te nemen;

b)	voorstellen aan de IICB voor richtsnoeren die gericht zijn tot alle of een deel van de entiteiten van de Unie;

c)	voorstellen aan de IICB voor aanbevelingen die gericht zijn tot individuele entiteiten van de Unie.

Met betrekking tot de eerste alinea, punt a), stelt de betrokken entiteit van de Unie cert-eu onverwijld na ontvangst van de oproep tot actie in kennis van de wijze waarop de dringende beveiligingsmaatregelen zijn toegepast.

2.   Richtsnoeren en aanbevelingen kunnen het volgende omvatten:

a)

gemeenschappelijke methoden en een model voor de beoordeling van de maturiteit van de entiteiten van de Unie op het gebied van cyberbeveiliging, met inbegrip van de bijbehorende schalen of kernprestatie-indicatoren, die als referentie dienen ter ondersteuning van de voortdurende verbetering van de cyberbeveiliging in alle entiteiten van de Unie en die de prioritering van cyberbeveiligingsdomeinen en -maatregelen vergemakkelijken, rekening houdend met de positie van de entiteiten ten opzichte van cyberbeveiliging;

b)	de regelingen voor of verbetering van het beheer van cyberbeveiligingsrisico’s en de maatregelen voor het beheer van cyberbeveiligingsrisico’s;

c)	de regelingen voor maturiteitsbeoordelingen van de cyberbeveiliging en cyberbeveiligingsplannen;

d)	indien van toepassing, het gebruik van algemene technologie, architectuur, open bronnen en de bijbehorende beste praktijken, met het oog op interoperabiliteit en gemeenschappelijke normen, met inbegrip van een gecoördineerde aanpak betreffende de beveiliging van de toeleveringsketen;

e)	in voorkomend geval, informatie om het gebruik van instrumenten voor gemeenschappelijke aanbestedingen voor de aankoop van relevante cyberbeveiligingsdiensten en -producten van derde leveranciers te vergemakkelijken;

f)	regelingen voor informatie-uitwisseling op grond van artikel 20.

1.   De Commissie benoemt met goedkeuring door een tweederdemeerderheid van de leden van de IICB het hoofd van cert-eu. De IICB wordt geraadpleegd in alle stadia van de benoemingsprocedure, in het bijzonder bij het opstellen van vacatureberichten, de beoordeling van de sollicitaties en de benoeming van de selectiecomités voor de functie. De selectieprocedure, met inbegrip van de definitieve shortlist van kandidaten waaruit het hoofd van cert-eu zal worden benoemd, zorgt voor een eerlijke vertegenwoordiging van elk gender, rekening houdend met de ingediende sollicitaties.

2.   Het hoofd van cert-eu is verantwoordelijk voor het goed functioneren van cert-eu en handelt binnen de grenzen van zijn of haar rol, onder de leiding van de IICB. Het hoofd van cert-eu brengt regelmatig verslag uit aan de voorzitter van de IICB en dient desgevraagd ad-hocverslagen in bij de IICB.

3.   Het hoofd van cert-eu verleent de bevoegde gedelegeerd ordonnateur bijstand bij het opstellen van het overeenkomstig artikel 74, lid 9, van Verordening (EU, Euratom) 2018/1046 van het Europees Parlement en de Raad (9) opgestelde jaarlijks activiteitenverslag, dat financiële en beheersinformatie, inclusief de resultaten van controles, bevat, en brengt regelmatig verslag uit aan de bevoegde gedelegeerd ordonnateur over de uitvoering van maatregelen waarvoor aan het hoofd van cert-eu bevoegdheden zijn gesubdelegeerd.

4.   Het hoofd van cert-eu stelt jaarlijks een financiële planning op van de administratieve ontvangsten en uitgaven voor de activiteiten van cert-eu, een voorgesteld jaarlijks werkprogramma, een voorgestelde dienstencatalogus voor cert-eu, voorgestelde herzieningen van de dienstencatalogus, voorgestelde regelingen voor dienstenniveauovereenkomsten en voorgestelde kernprestatie-indicatoren voor cert-eu, die overeenkomstig artikel 11 door de IICB moeten worden goedgekeurd. Bij de herziening van de lijst van diensten in de dienstencatalogus van cert-eu houdt het hoofd van cert-eu rekening met de aan cert-eu toegewezen middelen.

5.   Het hoofd van cert-eu brengt ten minste eenmaal per jaar verslag uit aan de IICB en de voorzitter ervan over de activiteiten en de prestaties van cert-eu gedurende de referentieperiode, onder meer met betrekking tot de uitvoering van de begroting, gesloten dienstenniveauovereenkomsten en schriftelijke overeenkomsten, de samenwerking met tegenhangers en partners, en de dienstreizen van personeel, met inbegrip van de in artikel 11 bedoelde verslagen. Die verslagen bevatten een werkprogramma voor de volgende periode, de financiële planning van ontvangsten en uitgaven, met inbegrip van personeel, geplande actualiseringen van de dienstencatalogus van cert-eu en een beoordeling van het verwachte effect dat dergelijke actualiseringen kunnen hebben op het gebied van financiële en personele middelen.

1.   cert-eu wordt geïntegreerd in de administratieve structuur van een directoraat-generaal van de Commissie zodat het kan profiteren van de ondersteunende structuren van de Commissie op het gebied van administratie, financieel beheer en boekhouding, met behoud van zijn status als autonome interinstitutionele dienstverlener voor alle entiteiten van de Unie. De Commissie stelt de IICB in kennis van de administratieve vestiging van cert-eu en van eventuele wijzigingen daarvan. De Commissie evalueert de administratieve regelingen met betrekking tot cert-eu regelmatig en in elk geval vóór de vaststelling van een meerjarig financieel kader op grond van artikel 312 VWEU, zodat passende actie kan worden ondernomen. De evaluatie omvat de mogelijkheid om cert-eu als bureau van de Unie aan te duiden.

2.   Voor de toepassing van de administratieve en financiële procedures handelt het hoofd van cert-eu onder het gezag van de Commissie en onder toezicht van de IICB.

3.   De taken en activiteiten van cert-eu, inclusief de diensten die cert-eu op grond van artikel 13, leden 3, 4, 5 en 7, en artikel 14, lid 1, verleent aan de uit de rubriek Europees openbaar bestuur van het meerjarige financiële kader gefinancierde entiteiten van de Unie, worden uit een afzonderlijke begrotingslijn van de begroting van de Commissie gefinancierd. De voor cert-eu gereserveerde posten worden gespecificeerd in een voetnoot bij de personeelsformatie van de Commissie.

4.   Andere dan de in lid 3 van dit artikel bedoelde entiteiten van de Unie leveren een jaarlijkse financiële bijdrage aan cert-eu ter dekking van de door cert-eu op grond van dat lid verleende diensten. De bijdragen worden gebaseerd op richtsnoeren van de IICB en in dienstenniveauovereenkomsten tussen elke entiteit van de Unie en cert-eu bepaald. De bijdragen vertegenwoordigen een billijk en evenredig deel van de totale kosten van de verleende diensten. Deze worden als interne bestemmingsontvangsten in de zin van artikel 21, lid 3, punt c), van Verordening (EU, Euratom) 2018/1046 via de in lid 3 van dit artikel bedoelde afzonderlijke begrotingslijn ontvangen.

5.   De kosten van de in artikel 13, lid 6, bedoelde diensten worden verhaald op de entiteiten van de Unie die de diensten van cert-eu ontvangen. De ontvangsten worden bestemd voor de begrotingsonderdelen die de kosten dragen.

1.   cert-eu werkt onverwijld samen en wisselt informatie uit met tegenhangers in de lidstaten, met name de op grond van artikel 10 van Richtlijn (EU) 2022/2555 aangewezen of ingestelde CSIRT’s of, indien van toepassing, de op grond van artikel 8 van die richtlijn aangewezen of ingestelde bevoegde autoriteiten en centrale contactpunten, met betrekking tot incidenten, cyberdreigingen, kwetsbaarheden, bijna-incidenten, mogelijke tegenmaatregelen en beste praktijken, en doet dat voor alle onderwerpen die relevant zijn voor een betere bescherming van de ICT-infrastructuur van de entiteiten van de Unie, onder meer via het op grond van artikel 15 van Richtlijn (EU) 2022/2555 opgerichte CSIRT-netwerk. cert-eu ondersteunt de Commissie in het op grond van artikel 16 van Richtlijn (EU) 2022/2555 opgerichte EU-CyCLONe bij het gecoördineerde beheer van grootschalige cyberbeveiligingsincidenten en -crises.

2.   Indien cert-eu kennis krijgt van een significant incident dat zich voordoet op het grondgebied van een lidstaat, stelt het overeenkomstig lid 1 onverwijld de betrokken tegenhangers in die lidstaat in kennis.

3.   Op voorwaarde dat persoonsgegevens worden beschermd overeenkomstig het toepasselijk Unierecht inzake gegevensbescherming, wisselt cert-eu onverwijld, zonder toestemming van de getroffen entiteit van de Unie, relevante incidentspecifieke informatie uit met tegenhangers in de lidstaten teneinde de opsporing van soortgelijke cyberdreigingen of -incidenten te vergemakkelijken of bij te dragen aan de analyse van een incident. cert-eu wisselt enkel in de volgende gevallen incidentspecifieke informatie uit die de identiteit van het doelwit van het incident onthult:

a)	de getroffen entiteit van de Unie verleent toestemming;

b)	de getroffen entiteit van de Unie verleent weliswaar geen toestemming als bepaald in punt a), maar bekendmaking van de identiteit van de getroffen entiteit van de Unie zou de waarschijnlijkheid vergroten dat elders incidenten worden voorkomen of beperkt, of

c)	de getroffen entiteit van de Unie heeft reeds bekendgemaakt dat zij getroffen werd.

Besluiten om op grond van de eerste alinea, punt b), incidentspecifieke informatie uit te wisselen die de identiteit van het doelwit van het incident onthult, worden bekrachtigd door het hoofd van cert-eu. Alvorens een dergelijk besluit te nemen, neemt cert-eu schriftelijk contact op met de getroffen entiteit van de Unie, waarbij duidelijk wordt uitgelegd hoe de bekendmaking van haar identiteit elders incidenten zou helpen voorkomen of beperken. Het hoofd van cert-eu verstrekt de uitleg en verzoekt de entiteit van de Unie uitdrukkelijk om aan te geven of zij binnen een bepaalde termijn toestemming verleent. Het hoofd van cert-eu deelt de entiteit van de Unie tevens mee dat hij of zij zich, in het licht van de verstrekte uitleg, het recht voorbehoudt om de informatie ook bekend te maken als er geen toestemming wordt verleend. De getroffen entiteit van de Unie wordt in kennis gesteld voordat de informatie wordt bekendgemaakt.

1.   cert-eu kan met andere tegenhangers in de Unie samenwerken dan de in artikel 17 bedoelde tegenhangers die onderworpen zijn aan cyberbeveiligingsvereisten van de Unie, met inbegrip van bedrijfstakspecifieke tegenhangers, inzake instrumenten en methoden, zoals technieken, tactiek, procedures en beste praktijken, en cyberdreigingen en kwetsbaarheden. Voor iedere samenwerking met dergelijke tegenhangers verzoekt cert-eu per geval vooraf om de goedkeuring van de IICB. Wanneer cert-eu met dergelijke tegenhangers een samenwerking aangaat, informeert het de in artikel 17, lid 1, bedoelde tegenhangers in de lidstaat waar de instantie is gevestigd. Waar dit toepasselijk en gepast is, worden die samenwerking en de voorwaarden daarvan, onder meer met betrekking tot cyberbeveiliging, gegevensbescherming en informatieverwerking, vastgelegd in specifieke geheimhoudingsregelingen zoals overeenkomsten of administratieve regelingen. Voor de geheimhoudingsregelingen is geen voorafgaande goedkeuring van de IICB nodig, maar de voorzitter van de IICB wordt ervan op de hoogte gebracht. Indien het dringend noodzakelijk is om informatie over cyberbeveiliging uit te wisselen in het belang van entiteiten van de Unie of een andere partij, kan cert-eu dit doen met een entiteit waarvan de specifieke bevoegdheid, capaciteit en deskundigheid aantoonbaar vereist zijn om bijstand te verlenen bij een dergelijke dringende noodzaak, ook al heeft cert-eu geen geheimhoudingsregeling met die entiteit. In dergelijke gevallen brengt cert-eu de voorzitter van de IICB onmiddellijk op de hoogte en brengt het verslag uit aan de IICB door middel van regelmatige verslagen of vergaderingen.

2.   cert-eu kan samenwerken met partners, zoals commerciële entiteiten, met inbegrip van bedrijfstakspecifieke entiteiten, internationale organisaties en nationale entiteiten van buiten de Unie of individuele deskundigen, om informatie te verzamelen over algemene en specifieke cyberdreigingen, bijna-incidenten, kwetsbaarheden en mogelijke tegenmaatregelen. Voor verdere samenwerking met deze partners verzoekt cert-eu per geval vooraf om de goedkeuring van de IICB.

3.   cert-eu kan, met toestemming van de door een incident getroffen entiteit van de Unie en op voorwaarde dat er met de betrokken tegenhanger of partner een geheimhoudingsregeling of -overeenkomst is gesloten, informatie over het specifieke incident verstrekken aan de in de leden 1 en 2 bedoelde tegenhangers of partners, louter om hen te helpen bij hun analyse.

1.   De entiteiten van de Unie en cert-eu nemen de geheimhoudingsplicht in acht overeenkomstig artikel 339 VWEU of gelijkwaardige toepasselijke kaders.

2.   Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad (10) is van toepassing op verzoeken om toegang van het publiek tot documenten die berusten bij cert-eu, met inbegrip van de verplichting uit hoofde van die verordening om andere entiteiten van de Unie of, in voorkomend geval, de lidstaten te raadplegen indien een verzoek betrekking heeft op hun documenten.

3.   De entiteiten van de Unie en cert-eu verwerken informatie in overeenstemming met de toepasselijke regels inzake informatiebeveiliging.

1.   De entiteiten van de Unie kunnen cert-eu op vrijwillige basis in kennis stellen van en informatie verstrekken over incidenten, cyberdreigingen, bijna-incidenten en kwetsbaarheden met gevolgen voor hen. cert-eu zorgt ervoor dat het over efficiënte communicatiemiddelen met een hoge mate van traceerbaarheid, vertrouwelijkheid en betrouwbaarheid beschikt om informatie-uitwisseling met de entiteiten van de Unie te vergemakkelijken. Bij het verwerken van kennisgevingen kan cert-eu voorrang geven aan de verwerking van verplichte boven vrijwillige kennisgevingen. Onverminderd artikel 12 mag vrijwillige kennisgeving er niet toe leiden dat de kennisgevende entiteit van de Unie aanvullende verplichtingen worden opgelegd waaraan zij niet onderworpen zou zijn geweest indien zij de kennisgeving niet had gedaan.

2.   Om zijn missie en taken op grond van artikel 13 uit te voeren, kan cert-eu entiteiten van de Unie verzoeken informatie uit hun respectieve ICT-systeeminventarissen te verstrekken, met inbegrip van informatie over cyberdreigingen, bijna-incidenten, kwetsbaarheden, indicatoren voor aantasting, cyberbeveiligingswaarschuwingen en aanbevelingen betreffende de configuratie van cyberbeveiligingsinstrumenten om incidenten te detecteren. De aangezochte entiteit van de Unie zendt de verlangde informatie en bijbehorende actualiseringen daarvan onverwijld toe.

3.   cert-eu kan met entiteiten van de Unie incidentspecifieke informatie uitwisselen die de identiteit van de door het incident getroffen entiteit van de Unie onthult, mits de getroffen entiteit van de Unie daarin toestemt. Wanneer een entiteit van de Unie haar toestemming weigert, verstrekt zij cert-eu de redenen voor dat besluit.

4.   De entiteiten van de Unie wisselen op verzoek informatie uit met het Europees Parlement en de Raad over de voltooiing van de cyberbeveiligingsplannen.

5.   De IICB of cert-eu, naargelang het geval, deelt op verzoek richtsnoeren, aanbevelingen en oproepen tot actie met het Europees Parlement en de Raad.

6.   De in dit artikel vastgestelde deelverplichtingen gelden niet voor:

a)

EUCI;

b)	informatie waarvan de verdere verspreiding is uitgesloten door middel van een zichtbare markering, tenzij het delen daarvan met cert-eu uitdrukkelijk is toegestaan.

1.   Een incident wordt als significant beschouwd als het:

a)	de werking van de entiteit van de Unie ernstig heeft verstoord of kan verstoren dan wel voor de betrokken entiteit van de Unie tot financiële verliezen heeft geleid of kan leiden;

b)	andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken.

2.   De entiteiten van de Unie verstrekken aan cert-eu:

a)

onverwijld en in elk geval binnen 24 uur nadat zij kennis hebben gekregen van het significante incident, een vroegtijdige waarschuwing, waarin, indien van toepassing, wordt aangegeven dat het significante incident vermoedelijk door een onwettige of kwaadwillige handeling is veroorzaakt, dan wel entiteitoverstijgende of grensoverschrijdende gevolgen zou kunnen hebben;

b)

onverwijld en in elk geval binnen 72 uur nadat zij kennis hebben gekregen van het significante incident, een incidentmelding met, indien van toepassing, een update van de in punt a) bedoelde informatie, een initiële beoordeling van het significante incident, met inbegrip van de ernst en de gevolgen ervan, alsook, indien beschikbaar, de indicatoren voor aantasting;

c)	een tussentijds verslag met relevante updates van de situatie, indien cert-eu daarom verzoekt;

d)

uiterlijk één maand na de indiening van de in punt b) bedoelde incidentmelding, een eindverslag waarin het volgende is opgenomen: i) een gedetailleerde beschrijving van het incident, inclusief de ernst en de gevolgen ervan; ii) het soort bedreiging of de grondoorzaak die waarschijnlijk tot het incident heeft geleid; iii) toegepaste en lopende beperkende maatregelen; iv) in voorkomend geval de grensoverschrijdende of entiteitoverstijgende gevolgen van het incident;

e)	indien het incident nog aan de gang is op het moment dat het in punt d) bedoelde eindverslag wordt ingediend, op dat moment een voortgangsverslag en uiterlijk één maand nadat zij het incident hebben afgehandeld, een eindverslag.

3.   Een entiteit van de Unie stelt onverwijld en in elk geval binnen 24 uur nadat zij kennis heeft gekregen van een significant incident, alle in artikel 17, lid 1, bedoelde relevante tegenhangers in de lidstaat waar zij is gevestigd, in kennis van het feit dat zich een significant incident heeft voorgedaan.

4.   De entiteiten van de Unie verstrekken onder meer alle informatie die cert-eu in staat stelt om alle mogelijke entiteitoverstijgende gevolgen, gevolgen voor de lidstaat van vestiging of grensoverschrijdende gevolgen van een significant incident in kaart te brengen. Onverminderd artikel 12 leidt het louter doen van een melding niet tot een verhoogde aansprakelijkheid voor de entiteit van de Unie.

5.   In voorkomend geval informeren de entiteiten van de Unie de gebruikers van de getroffen netwerk- en informatiesystemen of van andere onderdelen van de ICT-omgeving die mogelijkerwijs door een significant incident of een significante cyberdreiging worden getroffen en in voorkomend geval beperkende maatregelen moeten nemen, onverwijld over alle maatregelen of middelen die zij kunnen nemen of inzetten in antwoord op dat incident of die dreiging. Indien nodig informeren de entiteiten van de Unie die gebruikers over de significante cyberdreiging zelf.

6.   Indien een significant incident of een significante cyberdreiging gevolgen heeft voor een netwerk- en informatiesysteem of een onderdeel van de ICT-omgeving van een entiteit van de Unie waarvan bekend is dat het verbonden is met de ICT-omgeving van een andere entiteit van de Unie, doet cert-eu een cyberbeveiligingswaarschuwing daaromtrent uitgaan.

7.   De entiteiten van de Unie delen op verzoek van cert-eu onverwijld de digitale informatie die is opgesteld door het gebruik van elektronische apparaten die bij de respectieve incidenten betrokken zijn geweest. cert-eu kan nadere bijzonderheden verstrekken betreffende het soort informatie dat nodig is met het oog op situatiebewustzijn en respons op incidenten.

8.   cert-eu dient om de drie maanden bij de IICB, Enisa, het EU-Intcen en het CSIRT-netwerk een samenvattend verslag in met geanonimiseerde en geaggregeerde gegevens over significante incidenten, incidenten, cyberdreigingen, bijna-incidenten en kwetsbaarheden op grond van artikel 20 en significante incidenten die op grond van lid 2 van dit artikel ter kennis zijn gegeven. Het samenvattend verslag dient als input voor het tweejaarlijkse verslag over de stand van zaken op het gebied van de cyberbeveiliging in de Unie dat op grond van artikel 18 van Richtlijn (EU) 2022/2555 wordt opgesteld.

9.   Uiterlijk op 8 juli 2024 brengt de IICB richtsnoeren of aanbevelingen uit waarin de regelingen voor, en de vorm en inhoud van de rapportage op grond van dit artikel nader worden beschreven. Bij het opstellen van dergelijke richtsnoeren of aanbevelingen houdt de IICB rekening met op grond van artikel 23, lid 11, van Richtlijn (EU) 2022/2555 vastgestelde uitvoeringshandelingen waarin het soort informatie, de vorm en de procedure van kennisgevingen nader worden gespecificeerd. cert-eu verspreidt de passende technische details, zodat de entiteiten van de Unie proactief opsporings-, incidentrespons- of beperkende maatregelen kunnen nemen.

10.   De in dit artikel vastgestelde rapportageverplichtingen gelden niet voor:

a)

EUCI;

b)	informatie waarvan de verdere verspreiding is uitgesloten door middel van een zichtbare markering, tenzij het delen daarvan met cert-eu uitdrukkelijk is toegestaan.

1.   Bij zijn optreden als knooppunt voor informatie-uitwisseling inzake cyberbeveiliging en responscoördinatie bij incidenten faciliteert cert-eu de uitwisseling van informatie inzake incidenten, cyberdreigingen, kwetsbaarheden en bijna-incidenten onder de volgende partijen:

a)	entiteiten van de Unie;

b)	de in de artikelen 17 en 18 bedoelde tegenhangers.

2.   cert-eu faciliteert, zo nodig in nauwe samenwerking met Enisa, de coördinatie tussen de entiteiten van de Unie inzake de respons bij incidenten, wat het volgende omvat:

a)	bijdragen tot consequente externe communicatie;

b)	wederzijdse ondersteuning, zoals het delen van informatie die relevant is voor entiteiten van de Unie, of het verlenen van bijstand, in voorkomend geval rechtstreeks ter plaatse;

c)	optimaal gebruik van operationele middelen;

d)	coördinatie met andere crisisresponsmechanismen op Unieniveau.

3.   cert-eu ondersteunt, in nauwe samenwerking met Enisa, de entiteiten van de Unie met betrekking tot het situatiebewustzijn van incidenten, cyberdreigingen, kwetsbaarheden en bijna-incidenten, en het delen van relevante ontwikkelingen op het gebied van cyberbeveiliging.

4.   Uiterlijk op 8 januari 2025 stelt de IICB, op basis van een voorstel van cert-eu, richtsnoeren of aanbevelingen inzake de respons bij incidenten en samenwerking bij significante incidenten vast. Wanneer wordt vermoed dat het incident crimineel van aard is, adviseert cert-eu onverwijld over de manier waarop het incident aan de rechtshandhavingsinstanties moet worden gemeld.

5.   Op specifiek verzoek van een lidstaat en met de goedkeuring van de betrokken entiteiten van de Unie kan cert-eu een beroep doen op deskundigen van de in artikel 23, lid 4, bedoelde lijst om bij te dragen aan de respons op een ernstig incident dat gevolgen heeft in die lidstaat, of op een grootschalig cyberbeveiligingsincident overeenkomstig artikel 15, lid 3, punt g), van Richtlijn (EU) 2022/2555. De specifieke regels met betrekking tot de toegang tot en de inzet van technische deskundigen van de entiteiten van de Unie worden door de IICB op basis van een voorstel van cert-eu goedgekeurd.

1.   Om op operationeel niveau het gecoördineerde beheer van ernstige incidenten die gevolgen hebben voor entiteiten van de Unie te ondersteunen en bij te dragen tot de regelmatige uitwisseling van relevante informatie tussen entiteiten van de Unie en met de lidstaten, stelt de IICB op grond van artikel 11, punt q), op basis van de in artikel 22, lid 2, bedoelde activiteiten een cybercrisisbeheersplan op, dit in nauwe samenwerking met cert-eu en Enisa. Het cybercrisisbeheersplan bevat ten minste de volgende elementen:

a)	regelingen betreffende de coördinatie en de informatiedoorstroming tussen entiteiten van de Unie voor het beheer van ernstige incidenten op operationeel niveau;

b)	gemeenschappelijke standaardwerkwijzen;

c)	een gemeenschappelijke taxonomie met betrekking tot de ernst van ernstige incidenten en crisistriggerpunten;

d)	regelmatige oefeningen;

e)	te gebruiken beveiligde communicatiekanalen.

2.   De vertegenwoordiger van de Commissie in de IICB is, onder voorbehoud van het op grond van lid 1 van dit artikel opgestelde cybercrisisbeheersplan en onverminderd artikel 16, lid 2, eerste alinea, van Richtlijn (EU) 2022/2555, het contactpunt voor het delen van relevante informatie over ernstige incidenten met EU-CyCLONe.

3.   cert-eu coördineert het beheer van ernstige incidenten tussen de entiteiten van de Unie. Het houdt een inventaris bij van de beschikbare technische deskundigheid die nodig is voor de respons op ernstige incidenten, en het ondersteunt de IICB bij de coördinatie van de cybercrisisbeheersplannen van de entiteiten van de Unie voor ernstige incidenten als bedoeld in artikel 9, lid 2.

4.   De entiteiten van de Unie dragen bij tot de inventaris van technische deskundigheid door een jaarlijks bijgewerkte lijst te leveren van deskundigen die binnen hun respectieve organisaties beschikbaar zijn, inclusief nadere gegevens over hun specifieke technische vaardigheden.

1.   Uiterlijk op 8 januari 2025 en daarna jaarlijks brengt de IICB, met de hulp van cert-eu, verslag uit aan de Commissie over de uitvoering van deze verordening. De IICB kan aanbevelingen doen aan de Commissie om deze verordening te evalueren.

2.   Uiterlijk op 8 januari 2027 en vervolgens om de twee jaar beoordeelt de Commissie de uitvoering van deze verordening en de ervaring die op strategisch en operationeel niveau is opgedaan en brengt zij hierover verslag uit aan het Europees Parlement en de Raad.

Het in de eerste alinea van dit lid bedoelde verslag bevat de in artikel 16, lid 1, bedoelde evaluatie van de mogelijkheid om cert-eu als bureau van de Unie aan te duiden.

3.   Uiterlijk op 8 januari 2029 evalueert de Commissie de werking van deze verordening en brengt zij daarover verslag uit aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s. De Commissie beoordeelt ook of het passend is netwerk- en informatiesystemen waarin EUCI wordt verwerkt, in het toepassingsgebied van deze verordening op te nemen, rekening houdend met andere wetgevingshandelingen van de Unie die op die systemen van toepassing zijn. Dat verslag gaat zo nodig vergezeld van een wetgevingsvoorstel.