keyboard_tab Cyber Resilience Act 2023/2841 NL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 2 Toepassingsgebied
- 1 Art. 9 Cyberbeveiligingsplannen
- 1 Art. 11 Taken van de IICB
- 1 Art. 13 Missie en taken van CERT-EU
- 3 Art. 16 Financiële en personeelszaken
- 1 Art. 17 Samenwerking van CERT-EU met tegenhangers in de lidstaten
- 2 Art. 22 Coördinatie van respons bij incidenten en samenwerking
- 2 Art. 23 Beheer van ernstige incidenten
HOOFDSTUK I
ALGEMENE BEPALINGEN
HOOFDSTUK II
MAATREGELEN VOOR EEN HOOG GEZAMENLIJK NIVEAU VAN CYBERBEVEILIGING
HOOFDSTUK III
INTERINSTITUTIONELE RAAD VOOR CYBERBEVEILIGING
HOOFDSTUK IV
CERT-EU
HOOFDSTUK V
SAMENWERKING EN VERSLAGLEGGINGSVERPLICHTINGEN
HOOFDSTUK VI
SLOTBEPALINGEN
- unie 72
- cert-eu 52
- entiteiten 51
- artikel 41
- voor 32
- incidenten 29
- door 21
- informatie 20
- lid 20
- entiteit 19
- grond 19
- cyberbeveiliging 17
- zijn 17
- iicb 17
- worden 15
- cert-eu 14
- ernstige 14
- basis 13
- wordt 12
- beheer 12
- samenwerking 12
- verordening 12
- bedoelde 11
- diensten 11
- hoofd 11
- over 11
- goedkeuring 10
- eu / 10
- stelt 10
- voorstel 9
- deze 9
- niveau 9
- onder 9
- richtlijn 9
- inzake 9
- commissie 9
- dragen 8
- getroffen 8
- betrekking 8
- uitvoering 8
- volgende 8
- relevante 8
- cyberdreigingen 8
- geval 7
- technische 7
- taken 7
- incident 7
- overeenkomstig 7
- hecht 7
- andere 7
Artikel 2
Toepassingsgebied
1. Deze verordening is van toepassing op de entiteiten van de Unie, op de op grond van artikel 10 opgerichte interinstitutionele raad voor cyberbeveiliging en op CERT-EU.
2. Deze verordening laat de institutionele autonomie op grond van de Verdragen onverlet.
3. Met uitzondering van artikel 13, lid 8, is deze verordening niet van toepassing op netwerk- en informatiesystemen die gerubriceerde EU-informatie (EUCI) verwerken.
Artikel 9
Cyberbeveiligingsplannen
1. Na de afronding van de op grond van artikel 7 uitgevoerde maturiteitsbeoordeling van de cyberbeveiliging en rekening houdend met de binnen het kader aangeduide activa en vastgestelde cyberbeveiligingsrisico’s en de op grond van artikel 8 genomen maatregelen voor het beheer van cyberbeveiligingsrisico’s, keurt het hoogste managementniveau van elke entiteit van de Unie onverwijld en in elk geval uiterlijk op 8 januari 2026 een cyberbeveiligingsplan goed. Het cyberbeveiligingsplan beoogt de algehele cyberbeveiliging van de entiteit van de Unie te versterken en aldus bij te dragen tot de verhoging van een hoog gezamenlijk niveau van cyberbeveiliging in de entiteiten van de Unie. Het cyberbeveiligingsplan bevat minstens de op grond van artikel 8 genomen maatregelen voor het beheer van cyberbeveiligingsrisico’s. Het cyberbeveiligingsplan wordt om de twee jaar herzien, of vaker indien nodig na de op grond van artikel 7 uitgevoerde maturiteitsbeoordelingen van de cyberbeveiliging of na een substantiële herziening van het kader.
2. Het cyberbeveiligingsplan omvat het cybercrisisbeheersplan van de entiteit van de Unie voor ernstige incidenten.
3. De entiteit van de Unie dient het afgeronde cyberbeveiligingsplan in bij de op grond van van artikel 10 opgerichte interinstitutionele raad voor cyberbeveiliging.
HOOFDSTUK III
INTERINSTITUTIONELE RAAD VOOR CYBERBEVEILIGING
Artikel 11
Taken van de IICB
Bij de uitoefening van zijn verantwoordelijkheden vervult de IICB met name de volgende taken:
| a) | hij verstrekt het hoofd van CERT-EU richtsnoeren; |
| b) | hij houdt effectief toezicht op de uitvoering van deze verordening en ondersteunt de entiteiten van de Unie bij het versterken van hun cyberbeveiliging, onder meer door entiteiten van de Unie en CERT-EU waar passend om ad-hocverslagen te vragen; |
| c) | hij stelt na een strategische discussie een meerjarige strategie vast voor het verhogen van het cyberbeveiligingsniveau in de entiteiten van de Unie, evalueert die strategie regelmatig en in elk geval om de vijf jaar, en wijzigt die strategie indien nodig; |
| d) | hij stelt de methodologie en organisatorische aspecten voor de uitvoering van vrijwillige collegiale toetsingen door entiteiten van de Unie vast om van gedeelde ervaringen te leren, het onderlinge vertrouwen te versterken, een hoog gemeenschappelijk niveau van cyberbeveiliging te bewerkstelligen en de cyberbeveiligingscapaciteiten van de entiteiten van de Unie te verbeteren, waarbij ervoor wordt gezorgd dat dergelijke collegiale toetsingen worden uitgevoerd door cyberbeveiligingsdeskundigen die zijn aangewezen door een andere entiteit van de Unie dan de entiteit van de Unie die wordt geëvalueerd, en dat de methodologie gebaseerd is op artikel 19 van Richtlijn (EU) 2022/2555 en, in voorkomend geval, wordt aangepast aan de entiteiten van de Unie; |
| e) | hij hecht zijn goedkeuring aan het jaarlijkse werkprogramma van CERT-EU op basis van een voorstel van het hoofd van CERT-EU en ziet toe op de uitvoering ervan; |
| f) | hij hecht zijn goedkeuring aan de CERT-EU -dienstencatalogus en alle bijwerkingen daarvan, op basis van een voorstel van het hoofd van CERT-EU; |
| g) | hij hecht zijn goedkeuring aan de verwachte jaarlijkse ontvangsten en uitgaven, inclusief wat personeel betreft, voor CERT-EU, op basis van een voorstel van het hoofd van CERT-EU; |
| h) | hij hecht zijn goedkeuring aan de regelingen voor dienstenniveauovereenkomsten, op basis van een voorstel van het hoofd van CERT-EU; |
| i) | hij controleert en hecht zijn goedkeuring aan het door het hoofd van CERT-EU opgestelde jaarverslag over de activiteiten van, en het beheer van de middelen door, CERT-EU; |
| j) | hij hecht zijn goedkeuring aan en monitort kernprestatie-indicatoren voor CERT-EU die op basis van een voorstel van het hoofd van CERT-EU worden vastgesteld; |
| k) | hij hecht zijn goedkeuring aan samenwerkingsovereenkomsten en dienstenniveauovereenkomsten of overeenkomsten tussen CERT-EU en andere entiteiten op grond van artikel 18; |
| l) | hij stelt richtsnoeren en aanbevelingen vast op basis van een voorstel van CERT-EU overeenkomstig artikel 14 en draagt CERT-EU op om een oproep tot actie, of een voorstel voor richtsnoeren of aanbevelingen, uit te vaardigen, in te trekken of te wijzigen; |
| m) | hij stelt technische adviesgroepen met specifieke taken in ter ondersteuning van de werkzaamheden van de IICB, keurt hun mandaat goed en wijst hun voorzitter aan; |
| n) | hij ontvangt en beoordeelt documenten en verslagen die de entiteiten van de Unie uit hoofde van deze verordening indienen, zoals maturiteitsbeoordelingen van de cyberbeveiliging; |
| o) | hij bevordert de oprichting van een informele groep van lokale cyberbeveiligingsfunctionarissen van entiteiten van de Unie, ondersteund door Enisa, teneinde beste praktijken en informatie in verband met de uitvoering van deze verordening uit te wisselen; |
| p) | hij houdt toezicht op de toereikendheid van de interconnectiviteitsregelingen tussen de ICT-omgevingen van de entiteiten van de Unie, rekening houdend met de door CERT-EU verstrekte informatie over de vastgestelde cyberbeveiligingsrisico’s en de geleerde lessen, en brengt advies uit over mogelijke verbeteringen; |
| q) | hij stelt een cybercrisisbeheersplan op om op operationeel niveau het gecoördineerde beheer van ernstige incidenten met gevolgen voor entiteiten van de Unie te ondersteunen en bij te dragen tot de regelmatige uitwisseling van relevante informatie, met name met betrekking tot de gevolgen en de ernst van ernstige incidenten en de mogelijke manieren om de gevolgen ervan te beperken; |
| r) | hij coördineert de vaststelling van de cybercrisisbeheersplannen door de individuele entiteiten van de Unie zoals bedoeld in artikel 9, lid 2; |
| s) | hij stelt aanbevelingen vast in verband met de beveiliging van de toeleveringsketen zoals bedoeld in artikel 8, lid 2, eerste alinea, punt m), rekening houdend met de resultaten van op Unieniveau gecoördineerde beveiligingsrisicobeoordelingen van kritieke toeleveringsketens zoals bedoeld in artikel 22 van Richtlijn (EU) 2022/2555, teneinde de entiteiten van de Unie te ondersteunen bij het doorvoeren van doeltreffende en passende maatregelen voor het beheer van cyberbeveiligingsrisico’s. |
Artikel 13
Missie en taken van CERT-EU
1. De missie van CERT-EU bestaat erin bij te dragen tot de beveiliging van de niet-gerubriceerde ICT-omgeving van de entiteiten van de Unie door ze te adviseren over cyberbeveiliging, door ze te helpen incidenten te voorkomen, op te sporen, te behandelen, te beperken, daarop te reageren en daarvan te herstellen, en door op te treden als knooppunt voor hun informatie-uitwisseling inzake cyberbeveiliging en responscoördinatie bij incidenten.
2. CERT-EU verzamelt, beheert, analyseert en deelt informatie met de entiteiten van de Unie over cyberdreigingen, kwetsbaarheden en incidenten in niet-gerubriceerde ICT-infrastructuur. Het coördineert de respons op incidenten op interinstitutioneel niveau en op het niveau van de entiteiten van de Unie, onder meer door gespecialiseerde operationele bijstand te verlenen of te coördineren.
3. CERT-EU verricht de volgende taken om de entiteiten van de Unie bij te staan:
| a) | het ondersteunt ze bij de uitvoering van deze verordening en draagt bij tot de coördinatie van de uitvoering van deze verordening door middel van de in artikel 14, lid 1, vermelde maatregelen of via door de IICB gevraagde ad-hocverslagen; |
| b) | het biedt standaard CSIRT-diensten aan de entiteiten van de Unie door middel van een in zijn dienstencatalogus beschreven pakket cyberbeveiligingsdiensten (basisniveaudiensten); |
| c) | het onderhoudt een netwerk van soortgelijke organisaties en partners ter ondersteuning van de in de artikelen 17 en 18 bedoelde diensten; |
| d) | het brengt problemen betreffende de uitvoering van deze verordening en de uitvoering van richtsnoeren, aanbevelingen en oproepen tot actie onder de aandacht van de IICB; |
| e) | het draagt op basis van de in lid 2 bedoelde informatie bij tot het situatiebewustzijn van de Unie op het gebied van cyberbeveiliging, in nauwe samenwerking met Enisa; |
| f) | het coördineert het beheer van ernstige incidenten; |
| g) | het handelt namens entiteiten van de Unie als equivalent van de coördinator die is aangewezen met het oog op de gecoördineerde bekendmaking van kwetsbaarheden op grond artikel 12, lid 1, van Richtlijn (EU) 2022/2555; |
| h) | het gaat op verzoek van een entiteit van de Unie over tot het proactief en niet-intrusief scannen van openbaar toegankelijke netwerk- en informatiesystemen van die entiteit van de Unie. |
De in de eerste alinea, punt e), bedoelde informatie wordt, indien van toepassing en gepast, gedeeld met de IICB, het CSIRT-netwerk en het Inlichtingen- en situatiecentrum van de Europese Unie (EU-Intcen); daarbij worden passende geheimhoudingsvoorwaarden in acht genomen.
4. CERT-EU kan overeenkomstig artikel 17 of artikel 18, naargelang het geval, samenwerken met relevante cyberbeveiligingsgemeenschappen binnen de Unie en haar lidstaten, onder meer op de volgende gebieden:
| a) | paraatheid, incidentcoördinatie, informatie-uitwisseling en crisisrespons op technisch niveau in gevallen die met de entiteiten van de Unie verband houden; |
| b) | operationele samenwerking inzake het CSIRT-netwerk, ook betreffende wederzijdse bijstand; |
| c) | inlichtingen inzake cyberdreigingen, inclusief situatiebewustzijn; |
| d) | elk ander onderwerp waarvoor de technische deskundigheid op het gebied van cyberbeveiliging van CERT-EU vereist is. |
5. Binnen het kader van zijn bevoegdheid onderhoudt CERT-EU gestructureerde samenwerking met Enisa met betrekking tot capaciteitsopbouw, operationele samenwerking en strategische langetermijnanalyses van cyberdreigingen, overeenkomstig Verordening (EU) 2019/881. CERT-EU kan samenwerken en informatie uitwisselen met het Europees Centrum voor de bestrijding van cybercriminaliteit van Europol.
6. CERT-EU kan de volgende diensten aanbieden die niet in de dienstencatalogus zijn beschreven (aangerekende diensten):
| a) | andere dan de in lid 3 bedoelde diensten ter ondersteuning van de cyberbeveiliging van de ICT-omgeving van de entiteiten van de Unie, op basis van dienstenniveauovereenkomsten en afhankelijk van de beschikbaarheid van middelen, met name brede netwerkmonitoring, met inbegrip van continue eerstelijnsmonitoring voor zeer ernstige cyberdreigingen; |
| b) | andere diensten dan diensten ter bescherming van de ICT-omgeving van de entiteiten van de Unie, ter ondersteuning van hun cyberbeveiligingsoperaties of -projecten, op basis van schriftelijke overeenkomsten en met voorafgaande goedkeuring van de IICB; |
| c) | op verzoek, het proactief scannen van de netwerk- en informatiesystemen van de betrokken entiteit van de Unie om kwetsbaarheden met mogelijk aanzienlijke gevolgen op te sporen; |
| d) | diensten ter ondersteuning van de beveiliging van de ICT-omgeving van andere organisaties dan de entiteiten van de Unie, die nauw met de entiteiten van de Unie samenwerken, bijvoorbeeld omdat zij taken of verantwoordelijkheden uit hoofde van Unierecht vervullen, op basis van schriftelijke overeenkomsten en met voorafgaande goedkeuring van de IICB. |
Met betrekking tot de eerste alinea, punt d), kan CERT-EU bij wijze van uitzondering met voorafgaande toestemming van de IICB dienstenniveauovereenkomsten sluiten met andere entiteiten dan de entiteiten van de Unie.
7. CERT-EU organiseert cyberbeveiligingsoefeningen en kan eraan deelnemen of deelname aan bestaande oefeningen aanbevelen, in voorkomend geval in nauwe samenwerking met Enisa, om het cyberbeveiligingsniveau van de entiteiten van de Unie te testen.
8. CERT-EU kan de entiteiten van de Unie bijstaan bij incidenten in netwerk- en informatiesystemen die EUCI verwerken, indien de betrokken entiteiten van de Unie daar uitdrukkelijk om verzoeken overeenkomstig hun respectieve procedures. Het verlenen van bijstand door CERT-EU uit hoofde van dit lid laat de toepasselijke regels inzake de bescherming van gerubriceerde informatie onverlet.
9. CERT-EU informeert de entiteiten van de Unie over zijn procedures en processen voor incidentenbehandeling.
10. CERT-EU draagt, met een hoog niveau van vertrouwelijkheid en betrouwbaarheid, via de passende samenwerkingsmechanismen en rapportagelijnen bij tot relevante en geanonimiseerde informatie over ernstige incidenten en de wijze waarop deze werden afgehandeld. Die informatie wordt opgenomen in het in artikel 10, lid 14, bedoelde verslag.
11. Bij de aanpak van incidenten die leiden tot inbreuken in verband met persoonsgegevens, ondersteunt CERT-EU de betrokken entiteiten van de Unie, in samenwerking met de Europese Toezichthouder voor gegevensbescherming, onverminderd de bevoegdheid en taken van die Toezichthouder als toezichthoudende autoriteit uit hoofde van Verordening (EU) 2018/1725.
12. CERT-EU kan, indien de beleidsafdelingen van de entiteiten van de Unie daar uitdrukkelijk om verzoeken, technisch advies of technische input verstrekken voor relevante beleidskwesties.
Artikel 16
Financiële en personeelszaken
1. CERT-EU wordt geïntegreerd in de administratieve structuur van een directoraat-generaal van de Commissie zodat het kan profiteren van de ondersteunende structuren van de Commissie op het gebied van administratie, financieel beheer en boekhouding, met behoud van zijn status als autonome interinstitutionele dienstverlener voor alle entiteiten van de Unie. De Commissie stelt de IICB in kennis van de administratieve vestiging van CERT-EU en van eventuele wijzigingen daarvan. De Commissie evalueert de administratieve regelingen met betrekking tot CERT-EU regelmatig en in elk geval vóór de vaststelling van een meerjarig financieel kader op grond van artikel 312 VWEU, zodat passende actie kan worden ondernomen. De evaluatie omvat de mogelijkheid om CERT-EU als bureau van de Unie aan te duiden.
2. Voor de toepassing van de administratieve en financiële procedures handelt het hoofd van CERT-EU onder het gezag van de Commissie en onder toezicht van de IICB.
3. De taken en activiteiten van CERT-EU, inclusief de diensten die CERT-EU op grond van artikel 13, leden 3, 4, 5 en 7, en artikel 14, lid 1, verleent aan de uit de rubriek Europees openbaar bestuur van het meerjarige financiële kader gefinancierde entiteiten van de Unie, worden uit een afzonderlijke begrotingslijn van de begroting van de Commissie gefinancierd. De voor CERT-EU gereserveerde posten worden gespecificeerd in een voetnoot bij de personeelsformatie van de Commissie.
4. Andere dan de in lid 3 van dit artikel bedoelde entiteiten van de Unie leveren een jaarlijkse financiële bijdrage aan CERT-EU ter dekking van de door CERT-EU op grond van dat lid verleende diensten. De bijdragen worden gebaseerd op richtsnoeren van de IICB en in dienstenniveauovereenkomsten tussen elke entiteit van de Unie en CERT-EU bepaald. De bijdragen vertegenwoordigen een billijk en evenredig deel van de totale kosten van de verleende diensten. Deze worden als interne bestemmingsontvangsten in de zin van artikel 21, lid 3, punt c), van Verordening (EU, Euratom) 2018/1046 via de in lid 3 van dit artikel bedoelde afzonderlijke begrotingslijn ontvangen.
5. De kosten van de in artikel 13, lid 6, bedoelde diensten worden verhaald op de entiteiten van de Unie die de diensten van CERT-EU ontvangen. De ontvangsten worden bestemd voor de begrotingsonderdelen die de kosten dragen.
Artikel 17
Samenwerking van CERT-EU met tegenhangers in de lidstaten
1. CERT-EU werkt onverwijld samen en wisselt informatie uit met tegenhangers in de lidstaten, met name de op grond van artikel 10 van Richtlijn (EU) 2022/2555 aangewezen of ingestelde CSIRT’s of, indien van toepassing, de op grond van artikel 8 van die richtlijn aangewezen of ingestelde bevoegde autoriteiten en centrale contactpunten, met betrekking tot incidenten, cyberdreigingen, kwetsbaarheden, bijna-incidenten, mogelijke tegenmaatregelen en beste praktijken, en doet dat voor alle onderwerpen die relevant zijn voor een betere bescherming van de ICT-infrastructuur van de entiteiten van de Unie, onder meer via het op grond van artikel 15 van Richtlijn (EU) 2022/2555 opgerichte CSIRT-netwerk. CERT-EU ondersteunt de Commissie in het op grond van artikel 16 van Richtlijn (EU) 2022/2555 opgerichte EU-CyCLONe bij het gecoördineerde beheer van grootschalige cyberbeveiligingsincidenten en -crises.
2. Indien CERT-EU kennis krijgt van een significant incident dat zich voordoet op het grondgebied van een lidstaat, stelt het overeenkomstig lid 1 onverwijld de betrokken tegenhangers in die lidstaat in kennis.
3. Op voorwaarde dat persoonsgegevens worden beschermd overeenkomstig het toepasselijk Unierecht inzake gegevensbescherming, wisselt CERT-EU onverwijld, zonder toestemming van de getroffen entiteit van de Unie, relevante incidentspecifieke informatie uit met tegenhangers in de lidstaten teneinde de opsporing van soortgelijke cyberdreigingen of -incidenten te vergemakkelijken of bij te dragen aan de analyse van een incident. CERT-EU wisselt enkel in de volgende gevallen incidentspecifieke informatie uit die de identiteit van het doelwit van het incident onthult:
| a) | de getroffen entiteit van de Unie verleent toestemming; |
| b) | de getroffen entiteit van de Unie verleent weliswaar geen toestemming als bepaald in punt a), maar bekendmaking van de identiteit van de getroffen entiteit van de Unie zou de waarschijnlijkheid vergroten dat elders incidenten worden voorkomen of beperkt, of |
| c) | de getroffen entiteit van de Unie heeft reeds bekendgemaakt dat zij getroffen werd. |
Besluiten om op grond van de eerste alinea, punt b), incidentspecifieke informatie uit te wisselen die de identiteit van het doelwit van het incident onthult, worden bekrachtigd door het hoofd van CERT-EU. Alvorens een dergelijk besluit te nemen, neemt CERT-EU schriftelijk contact op met de getroffen entiteit van de Unie, waarbij duidelijk wordt uitgelegd hoe de bekendmaking van haar identiteit elders incidenten zou helpen voorkomen of beperken. Het hoofd van CERT-EU verstrekt de uitleg en verzoekt de entiteit van de Unie uitdrukkelijk om aan te geven of zij binnen een bepaalde termijn toestemming verleent. Het hoofd van CERT-EU deelt de entiteit van de Unie tevens mee dat hij of zij zich, in het licht van de verstrekte uitleg, het recht voorbehoudt om de informatie ook bekend te maken als er geen toestemming wordt verleend. De getroffen entiteit van de Unie wordt in kennis gesteld voordat de informatie wordt bekendgemaakt.
Artikel 22
Coördinatie van respons bij incidenten en samenwerking
1. Bij zijn optreden als knooppunt voor informatie-uitwisseling inzake cyberbeveiliging en responscoördinatie bij incidenten faciliteert CERT-EU de uitwisseling van informatie inzake incidenten, cyberdreigingen, kwetsbaarheden en bijna-incidenten onder de volgende partijen:
| a) | entiteiten van de Unie; |
| b) | de in de artikelen 17 en 18 bedoelde tegenhangers. |
2. CERT-EU faciliteert, zo nodig in nauwe samenwerking met Enisa, de coördinatie tussen de entiteiten van de Unie inzake de respons bij incidenten, wat het volgende omvat:
| a) | bijdragen tot consequente externe communicatie; |
| b) | wederzijdse ondersteuning, zoals het delen van informatie die relevant is voor entiteiten van de Unie, of het verlenen van bijstand, in voorkomend geval rechtstreeks ter plaatse; |
| c) | optimaal gebruik van operationele middelen; |
| d) | coördinatie met andere crisisresponsmechanismen op Unieniveau. |
3. CERT-EU ondersteunt, in nauwe samenwerking met Enisa, de entiteiten van de Unie met betrekking tot het situatiebewustzijn van incidenten, cyberdreigingen, kwetsbaarheden en bijna-incidenten, en het delen van relevante ontwikkelingen op het gebied van cyberbeveiliging.
4. Uiterlijk op 8 januari 2025 stelt de IICB, op basis van een voorstel van CERT-EU, richtsnoeren of aanbevelingen inzake de respons bij incidenten en samenwerking bij significante incidenten vast. Wanneer wordt vermoed dat het incident crimineel van aard is, adviseert CERT-EU onverwijld over de manier waarop het incident aan de rechtshandhavingsinstanties moet worden gemeld.
5. Op specifiek verzoek van een lidstaat en met de goedkeuring van de betrokken entiteiten van de Unie kan CERT-EU een beroep doen op deskundigen van de in artikel 23, lid 4, bedoelde lijst om bij te dragen aan de respons op een ernstig incident dat gevolgen heeft in die lidstaat, of op een grootschalig cyberbeveiligingsincident overeenkomstig artikel 15, lid 3, punt g), van Richtlijn (EU) 2022/2555. De specifieke regels met betrekking tot de toegang tot en de inzet van technische deskundigen van de entiteiten van de Unie worden door de IICB op basis van een voorstel van CERT-EU goedgekeurd.
Artikel 23
Beheer van ernstige incidenten
1. Om op operationeel niveau het gecoördineerde beheer van ernstige incidenten die gevolgen hebben voor entiteiten van de Unie te ondersteunen en bij te dragen tot de regelmatige uitwisseling van relevante informatie tussen entiteiten van de Unie en met de lidstaten, stelt de IICB op grond van artikel 11, punt q), op basis van de in artikel 22, lid 2, bedoelde activiteiten een cybercrisisbeheersplan op, dit in nauwe samenwerking met CERT-EU en Enisa. Het cybercrisisbeheersplan bevat ten minste de volgende elementen:
| a) | regelingen betreffende de coördinatie en de informatiedoorstroming tussen entiteiten van de Unie voor het beheer van ernstige incidenten op operationeel niveau; |
| b) | gemeenschappelijke standaardwerkwijzen; |
| c) | een gemeenschappelijke taxonomie met betrekking tot de ernst van ernstige incidenten en crisistriggerpunten; |
| d) | regelmatige oefeningen; |
| e) | te gebruiken beveiligde communicatiekanalen. |
2. De vertegenwoordiger van de Commissie in de IICB is, onder voorbehoud van het op grond van lid 1 van dit artikel opgestelde cybercrisisbeheersplan en onverminderd artikel 16, lid 2, eerste alinea, van Richtlijn (EU) 2022/2555, het contactpunt voor het delen van relevante informatie over ernstige incidenten met EU-CyCLONe.
3. CERT-EU coördineert het beheer van ernstige incidenten tussen de entiteiten van de Unie. Het houdt een inventaris bij van de beschikbare technische deskundigheid die nodig is voor de respons op ernstige incidenten, en het ondersteunt de IICB bij de coördinatie van de cybercrisisbeheersplannen van de entiteiten van de Unie voor ernstige incidenten als bedoeld in artikel 9, lid 2.
4. De entiteiten van de Unie dragen bij tot de inventaris van technische deskundigheid door een jaarlijks bijgewerkte lijst te leveren van deskundigen die binnen hun respectieve organisaties beschikbaar zijn, inclusief nadere gegevens over hun specifieke technische vaardigheden.
HOOFDSTUK VI
SLOTBEPALINGEN
whereas