keyboard_tab Cyber Resilience Act 2023/2841 NL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 6 Kader voor risicobeheer, governance en toezicht op het gebied van cyberbeveiliging
- 4 Art. 15 Hoofd van CERT-EU
- 3 Art. 16 financiële en personeelszaken
- 1 Art. 21 Rapportageverplichtingen
- 1 Art. 24 Initiële heroriëntering van begrotingsmiddelen
HOOFDSTUK I
ALGEMENE BEPALINGEN
HOOFDSTUK II
MAATREGELEN VOOR EEN HOOG GEZAMENLIJK NIVEAU VAN CYBERBEVEILIGING
HOOFDSTUK III
INTERINSTITUTIONELE RAAD VOOR CYBERBEVEILIGING
HOOFDSTUK IV
CERT-EU
HOOFDSTUK V
SAMENWERKING EN VERSLAGLEGGINGSVERPLICHTINGEN
HOOFDSTUK VI
SLOTBEPALINGEN
- unie 47
- cert-eu 46
- voor 34
- entiteit 25
- artikel 23
- verordening 18
- incident 16
- worden 15
- deze 15
- nr / 14
- kader 14
- commissie 14
- raad 13
- door 13
- europees 13
- iicb 13
- financiële 12
- lid 11
- europese 11
- hoofd 11
- entiteiten 11
- zijn 11
- cyberbeveiliging 11
- uitvoering 11
- wordt 11
- parlement 10
- grond 10
- het 9
- over 9
- significante 9
- blz 9
- gevolgen 9
- maatregelen 8
- eu / 8
- bedoelde 8
- kennis 8
- verslag 8
- geval 8
- pb l 7
- indien 7
- elke 7
- diensten 7
- onder 7
- de 7
- stelt 7
- heeft 7
- hebben 6
- informatie 6
- andere 6
- binnen 6
Artikel 6
Kader voor risicobeheer, governance en toezicht op het gebied van cyberbeveiliging
1. Uiterlijk op 8 april 2025 stelt elke entiteit van de Unie, na een initiële evaluatie van de cyberbeveiliging, zoals een audit, te hebben uitgevoerd, een intern kader voor het beheer, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s (het “kader”) op. De vaststelling van het kader geschiedt onder toezicht van en onder de verantwoordelijkheid van het hoogste managementniveau van de entiteit van de Unie.
2. Het kader omvat de gehele niet-gerubriceerde ICT-omgeving van de entiteit van de Unie in kwestie, met inbegrip van de ICT-omgeving ter plaatse, het operationele technologienetwerk ter plaatse, uitbestede activa en diensten in cloudcomputingomgevingen of gehost door derden, mobiele apparatuur, bedrijfsnetwerken, zakelijke netwerken die niet met het internet verbonden zijn en met die omgevingen verbonden apparaten (“ICT-omgeving”). Het kader is gebaseerd op een alle risico’s omvattende aanpak.
3. Het kader waarborgt een hoog niveau van cyberbeveiliging. In het kader wordt het interne cyberbeveiligingsbeleid, met inbegrip van doelstellingen en prioriteiten, vastgesteld voor de beveiliging van netwerk- en informatiesystemen, en de taken en verantwoordelijkheden van het personeel van de entiteit van de Unie dat belast is met het waarborgen van de effectieve uitvoering van deze verordening. Het kader omvat ook mechanismen om de effectiviteit van de uitvoering te meten.
4. Het kader wordt regelmatig, en ten minste om de vier jaar, geëvalueerd in het licht van de veranderende cyberbeveiligingsrisico’s. In voorkomend geval en na een verzoek van de op grond van artikel 10 opgerichte interinstitutionele raad voor cyberbeveiliging kan het kader van een entiteit van de Unie worden geactualiseerd op basis van richtsnoeren van CERT-EU met betrekking tot vastgestelde incidenten of mogelijk geconstateerde lacunes in de uitvoering van deze verordening.
5. Het hoogste managementniveau van elke entiteit van de Unie is verantwoordelijk voor de uitvoering van deze verordening en houdt toezicht op de naleving door zijn organisatie van de verplichtingen in verband met het kader.
6. Indien nodig en onverminderd zijn verantwoordelijkheid voor de uitvoering van deze verordening, kan het hoogste managementniveau van elke entiteit van de Unie specifieke verplichtingen uit hoofde van deze verordening delegeren aan hoger leidinggevend personeel in de zin van artikel 29, lid 2, van het Statuut of andere functionarissen op gelijkwaardig niveau binnen de betrokken entiteit van de Unie. Ongeacht een dergelijke delegatie kan het hoogste managementniveau aansprakelijk worden gesteld voor inbreuken op deze verordening door de betrokken entiteit van de Unie.
7. Elke entiteit van de Unie beschikt over doeltreffende mechanismen om te waarborgen dat een passend percentage van de ICT-begroting aan cyberbeveiliging wordt besteed. Bij het vaststellen van dat percentage wordt terdege rekening gehouden met het kader.
8. Elke entiteit van de Unie stelt elk een lokale cyberbeveiligingsfunctionaris of een gelijkwaardige functionaris aan, die fungeert als het centrale contactpunt voor alle cyberbeveiligingsaspecten. De lokale cyberbeveiligingsfunctionaris faciliteert de uitvoering van deze verordening en brengt op regelmatige basis rechtstreeks aan het hoogste managementniveau verslag uit over de stand van de uitvoering. Ongeacht of in elke entiteit van de Unie de lokale cyberbeveiligingsfunctionaris het centrale contactpunt is, kan een entiteit van de Unie, op basis van een dienstenniveauovereenkomst tussen die entiteit van de Unie en CERT-EU, bepaalde aan de uitvoering van deze verordening gerelateerde taken van de lokale cyberbeveiligingsfunctionaris aan CERT-EU delegeren, of kunnen die taken door meerdere entiteiten van de Unie worden gedeeld. Indien die taken aan CERT-EU zijn gedelegeerd, besluit de op grond van artikel 10 opgerichte interinstitutionele raad voor cyberbeveiliging of die dienstverlening onderdeel dient uit te maken van de basisdienstverlening van CERT-EU, rekening houdend met de personele en financiële middelen van de betrokken entiteit van de Unie. Elke entiteit van de Unie geeft CERT-EU onverwijld kennis van de aangewezen lokale cyberbeveiligingsfunctionaris en iedere wijziging daarvan.
CERT-EU stelt een lijst van aangewezen lokale cyberbeveiligingsfunctionarissen op en houdt deze actueel.
9. Het hoger leidinggevend personeel in de zin van artikel 29, lid 2, van het Statuut of andere functionarissen op gelijkwaardig niveau binnen de betrokken entiteit van de Unie, alsmede alle relevante personeelsleden die belast zijn met de uitvoering van de in deze verordening vastgelegde maatregelen en met de naleving van verplichtingen voor het beheer van cyberbeveiligingsrisico’s volgen regelmatig specifieke opleidingen om voldoende kennis en vaardigheden op te doen om risico- en beheerspraktijken op het gebied van cyberbeveiliging en de gevolgen daarvan op de activiteiten van de entiteit van de Unie te begrijpen en te beoordelen.
Artikel 15
Hoofd van CERT-EU
1. De Commissie benoemt met goedkeuring door een tweederdemeerderheid van de leden van de IICB het hoofd van CERT-EU. De IICB wordt geraadpleegd in alle stadia van de benoemingsprocedure, in het bijzonder bij het opstellen van vacatureberichten, de beoordeling van de sollicitaties en de benoeming van de selectiecomités voor de functie. De selectieprocedure, met inbegrip van de definitieve shortlist van kandidaten waaruit het hoofd van CERT-EU zal worden benoemd, zorgt voor een eerlijke vertegenwoordiging van elk gender, rekening houdend met de ingediende sollicitaties.
2. Het hoofd van CERT-EU is verantwoordelijk voor het goed functioneren van CERT-EU en handelt binnen de grenzen van zijn of haar rol, onder de leiding van de IICB. Het hoofd van CERT-EU brengt regelmatig verslag uit aan de voorzitter van de IICB en dient desgevraagd ad-hocverslagen in bij de IICB.
3. Het hoofd van CERT-EU verleent de bevoegde gedelegeerd ordonnateur bijstand bij het opstellen van het overeenkomstig artikel 74, lid 9, van Verordening (EU, Euratom) 2018/1046 van het Europees Parlement en de Raad (9) opgestelde jaarlijks activiteitenverslag, dat financiële en beheersinformatie, inclusief de resultaten van controles, bevat, en brengt regelmatig verslag uit aan de bevoegde gedelegeerd ordonnateur over de uitvoering van maatregelen waarvoor aan het hoofd van CERT-EU bevoegdheden zijn gesubdelegeerd.
4. Het hoofd van CERT-EU stelt jaarlijks een financiële planning op van de administratieve ontvangsten en uitgaven voor de activiteiten van CERT-EU, een voorgesteld jaarlijks werkprogramma, een voorgestelde dienstencatalogus voor CERT-EU, voorgestelde herzieningen van de dienstencatalogus, voorgestelde regelingen voor dienstenniveauovereenkomsten en voorgestelde kernprestatie-indicatoren voor CERT-EU, die overeenkomstig artikel 11 door de IICB moeten worden goedgekeurd. Bij de herziening van de lijst van diensten in de dienstencatalogus van CERT-EU houdt het hoofd van CERT-EU rekening met de aan CERT-EU toegewezen middelen.
5. Het hoofd van CERT-EU brengt ten minste eenmaal per jaar verslag uit aan de IICB en de voorzitter ervan over de activiteiten en de prestaties van CERT-EU gedurende de referentieperiode, onder meer met betrekking tot de uitvoering van de begroting, gesloten dienstenniveauovereenkomsten en schriftelijke overeenkomsten, de samenwerking met tegenhangers en partners, en de dienstreizen van personeel, met inbegrip van de in artikel 11 bedoelde verslagen. Die verslagen bevatten een werkprogramma voor de volgende periode, de financiële planning van ontvangsten en uitgaven, met inbegrip van personeel, geplande actualiseringen van de dienstencatalogus van CERT-EU en een beoordeling van het verwachte effect dat dergelijke actualiseringen kunnen hebben op het gebied van financiële en personele middelen.
Artikel 16
financiële en personeelszaken
1. CERT-EU wordt geïntegreerd in de administratieve structuur van een directoraat-generaal van de Commissie zodat het kan profiteren van de ondersteunende structuren van de Commissie op het gebied van administratie, financieel beheer en boekhouding, met behoud van zijn status als autonome interinstitutionele dienstverlener voor alle entiteiten van de Unie. De Commissie stelt de IICB in kennis van de administratieve vestiging van CERT-EU en van eventuele wijzigingen daarvan. De Commissie evalueert de administratieve regelingen met betrekking tot CERT-EU regelmatig en in elk geval vóór de vaststelling van een meerjarig financieel kader op grond van artikel 312 VWEU, zodat passende actie kan worden ondernomen. De evaluatie omvat de mogelijkheid om CERT-EU als bureau van de Unie aan te duiden.
2. Voor de toepassing van de administratieve en financiële procedures handelt het hoofd van CERT-EU onder het gezag van de Commissie en onder toezicht van de IICB.
3. De taken en activiteiten van CERT-EU, inclusief de diensten die CERT-EU op grond van artikel 13, leden 3, 4, 5 en 7, en artikel 14, lid 1, verleent aan de uit de rubriek Europees openbaar bestuur van het meerjarige financiële kader gefinancierde entiteiten van de Unie, worden uit een afzonderlijke begrotingslijn van de begroting van de Commissie gefinancierd. De voor CERT-EU gereserveerde posten worden gespecificeerd in een voetnoot bij de personeelsformatie van de Commissie.
4. Andere dan de in lid 3 van dit artikel bedoelde entiteiten van de Unie leveren een jaarlijkse financiële bijdrage aan CERT-EU ter dekking van de door CERT-EU op grond van dat lid verleende diensten. De bijdragen worden gebaseerd op richtsnoeren van de IICB en in dienstenniveauovereenkomsten tussen elke entiteit van de Unie en CERT-EU bepaald. De bijdragen vertegenwoordigen een billijk en evenredig deel van de totale kosten van de verleende diensten. Deze worden als interne bestemmingsontvangsten in de zin van artikel 21, lid 3, punt c), van Verordening (EU, Euratom) 2018/1046 via de in lid 3 van dit artikel bedoelde afzonderlijke begrotingslijn ontvangen.
5. De kosten van de in artikel 13, lid 6, bedoelde diensten worden verhaald op de entiteiten van de Unie die de diensten van CERT-EU ontvangen. De ontvangsten worden bestemd voor de begrotingsonderdelen die de kosten dragen.
Artikel 21
Rapportageverplichtingen
1. Een incident wordt als significant beschouwd als het:
| a) | de werking van de entiteit van de Unie ernstig heeft verstoord of kan verstoren dan wel voor de betrokken entiteit van de Unie tot financiële verliezen heeft geleid of kan leiden; |
| b) | andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken. |
2. De entiteiten van de Unie verstrekken aan CERT-EU:
| a) | onverwijld en in elk geval binnen 24 uur nadat zij kennis hebben gekregen van het significante incident, een vroegtijdige waarschuwing, waarin, indien van toepassing, wordt aangegeven dat het significante incident vermoedelijk door een onwettige of kwaadwillige handeling is veroorzaakt, dan wel entiteitoverstijgende of grensoverschrijdende gevolgen zou kunnen hebben; |
| b) | onverwijld en in elk geval binnen 72 uur nadat zij kennis hebben gekregen van het significante incident, een incidentmelding met, indien van toepassing, een update van de in punt a) bedoelde informatie, een initiële beoordeling van het significante incident, met inbegrip van de ernst en de gevolgen ervan, alsook, indien beschikbaar, de indicatoren voor aantasting; |
| c) | een tussentijds verslag met relevante updates van de situatie, indien CERT-EU daarom verzoekt; |
| d) | uiterlijk één maand na de indiening van de in punt b) bedoelde incidentmelding, een eindverslag waarin het volgende is opgenomen:
|
| e) | indien het incident nog aan de gang is op het moment dat het in punt d) bedoelde eindverslag wordt ingediend, op dat moment een voortgangsverslag en uiterlijk één maand nadat zij het incident hebben afgehandeld, een eindverslag. |
3. Een entiteit van de Unie stelt onverwijld en in elk geval binnen 24 uur nadat zij kennis heeft gekregen van een significant incident, alle in artikel 17, lid 1, bedoelde relevante tegenhangers in de lidstaat waar zij is gevestigd, in kennis van het feit dat zich een significant incident heeft voorgedaan.
4. De entiteiten van de Unie verstrekken onder meer alle informatie die CERT-EU in staat stelt om alle mogelijke entiteitoverstijgende gevolgen, gevolgen voor de lidstaat van vestiging of grensoverschrijdende gevolgen van een significant incident in kaart te brengen. Onverminderd artikel 12 leidt het louter doen van een melding niet tot een verhoogde aansprakelijkheid voor de entiteit van de Unie.
5. In voorkomend geval informeren de entiteiten van de Unie de gebruikers van de getroffen netwerk- en informatiesystemen of van andere onderdelen van de ICT-omgeving die mogelijkerwijs door een significant incident of een significante cyberdreiging worden getroffen en in voorkomend geval beperkende maatregelen moeten nemen, onverwijld over alle maatregelen of middelen die zij kunnen nemen of inzetten in antwoord op dat incident of die dreiging. Indien nodig informeren de entiteiten van de Unie die gebruikers over de significante cyberdreiging zelf.
6. Indien een significant incident of een significante cyberdreiging gevolgen heeft voor een netwerk- en informatiesysteem of een onderdeel van de ICT-omgeving van een entiteit van de Unie waarvan bekend is dat het verbonden is met de ICT-omgeving van een andere entiteit van de Unie, doet CERT-EU een cyberbeveiligingswaarschuwing daaromtrent uitgaan.
7. De entiteiten van de Unie delen op verzoek van CERT-EU onverwijld de digitale informatie die is opgesteld door het gebruik van elektronische apparaten die bij de respectieve incidenten betrokken zijn geweest. CERT-EU kan nadere bijzonderheden verstrekken betreffende het soort informatie dat nodig is met het oog op situatiebewustzijn en respons op incidenten.
8. CERT-EU dient om de drie maanden bij de IICB, Enisa, het EU-Intcen en het CSIRT-netwerk een samenvattend verslag in met geanonimiseerde en geaggregeerde gegevens over significante incidenten, incidenten, cyberdreigingen, bijna-incidenten en kwetsbaarheden op grond van artikel 20 en significante incidenten die op grond van lid 2 van dit artikel ter kennis zijn gegeven. Het samenvattend verslag dient als input voor het tweejaarlijkse verslag over de stand van zaken op het gebied van de cyberbeveiliging in de Unie dat op grond van artikel 18 van Richtlijn (EU) 2022/2555 wordt opgesteld.
9. Uiterlijk op 8 juli 2024 brengt de IICB richtsnoeren of aanbevelingen uit waarin de regelingen voor, en de vorm en inhoud van de rapportage op grond van dit artikel nader worden beschreven. Bij het opstellen van dergelijke richtsnoeren of aanbevelingen houdt de IICB rekening met op grond van artikel 23, lid 11, van Richtlijn (EU) 2022/2555 vastgestelde uitvoeringshandelingen waarin het soort informatie, de vorm en de procedure van kennisgevingen nader worden gespecificeerd. CERT-EU verspreidt de passende technische details, zodat de entiteiten van de Unie proactief opsporings-, incidentrespons- of beperkende maatregelen kunnen nemen.
10. De in dit artikel vastgestelde rapportageverplichtingen gelden niet voor:
| a) | EUCI; |
| b) | informatie waarvan de verdere verspreiding is uitgesloten door middel van een zichtbare markering, tenzij het delen daarvan met CERT-EU uitdrukkelijk is toegestaan. |
Artikel 24
Initiële heroriëntering van begrotingsmiddelen
Om de goede en stabiele werking van CERT-EU te waarborgen, kan de Commissie voorstellen om personele en financiële middelen over te hevelen naar de begroting van de Commissie ten behoeve van de activiteiten van CERT-EU. De heroriëntering valt samen met de eerste jaarlijkse begroting van de Unie die na de inwerkingtreding van deze verordening wordt vastgesteld.
Artikel 26
Inwerkingtreding
Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.
Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.
Gedaan te Straatsburg, 13 december 2023.
Voor het Europees Parlement
De voorzitter
R. METSOLA
Voor de Raad
De voorzitter
P. NAVARRO RÍOS
(1) Standpunt van het Europees Parlement van 21 november 2023 (nog niet bekendgemaakt in het Publicatieblad) en besluit van de Raad van 8 december 2023.
(2) Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (NIS 2-richtlijn) (PB L 333 van 27.12.2022, blz. 80).
(3) Verordening (EU) 2019/881 van het Europees Parlement en de Raad van 17 april 2019 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (de cyberbeveiligingsverordening) (PB L 151 van 7.6.2019, blz. 15).
(4) Regeling tussen het Europees Parlement, de Europese Raad, de Raad van de Europese Unie, de Europese Commissie, het Hof van Justitie van de Europese Unie, de Europese Centrale Bank, de Europese Rekenkamer, de Europese Dienst voor extern optreden, het Europees Economisch en Sociaal Comité, het Europees Comité van de Regio’s en de Europese Investeringsbank betreffende de organisatie en het functioneren van een computercrisisteam voor de instellingen, organen en instanties van de Unie (CERT-EU) (PB C 12 van 13.1.2018, blz. 1).
(5) Verordening (EEG, Euratom, EGKS) nr. 259/68 van de Raad van 29 februari 1968 tot vaststelling van het Statuut van de ambtenaren van de Europese Gemeenschappen en de Regeling welke van toepassing is op de andere personeelsleden van deze Gemeenschappen, alsmede van bijzondere maatregelen welke tijdelijk op de ambtenaren van de Commissie van toepassing zijn (PB L 56 van 4.3.1968, blz. 1).
(6) Aanbeveling (EU) 2017/1584 van de Commissie van 13 september 2017 inzake een gecoördineerde respons op grootschalige cyberincidenten en -crises (PB L 239 van 19.9.2017, blz. 36).
(7) Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39).
(8) PB C 258 van 5.7.2022, blz. 10.
(9) Verordening (EU, Euratom) 2018/1046 van het Europees Parlement en de Raad van 18 juli 2018 tot vaststelling van de financiële regels van toepassing op de algemene begroting van de Unie, tot wijziging van de Verordeningen (EU) nr. 1296/2013, (EU) nr. 1301/2013, (EU) nr. 1303/2013, (EU) nr. 1304/2013, (EU) nr. 1309/2013, (EU) nr. 1316/2013, (EU) nr. 223/2014, (EU) nr. 283/2014 en Besluit nr. 541/2014/EU en tot intrekking van Verordening (EU, Euratom) nr. 966/2012 (PB L 193 van 30.7.2018, blz. 1).
(10) Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad van 30 mei 2001 inzake de toegang van het publiek tot documenten van het Europees Parlement, de Raad en de Commissie (PB L 145 van 31.5.2001, blz. 43).
ELI: http://data.europa.eu/eli/reg/2023/2841/oj
ISSN 1977-0758 (electronic edition)