keyboard_tab Cyber Resilience Act 2023/2841 NL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 1 Onderwerp
- 1 Art. 2 Toepassingsgebied
- 1 Art. 3 Definities
- 2 Art. 4 Verwerking van persoonsgegevens
- 1 Art. 5 Uitvoering van maatregelen
- 2 Art. 6 Kader voor risicobeheer, governance en toezicht op het gebied van cyberbeveiliging
- 1 Art. 7 Maturiteitsbeoordelingen van de cyberbeveiliging
- 1 Art. 9 Cyberbeveiligingsplannen
- 2 Art. 10 Interinstitutionele raad voor cyberbeveiliging
- 2 Art. 12 Naleving
- 2 Art. 14 Richtsnoeren, aanbevelingen en oproepen tot actie
- 2 Art. 17 Samenwerking van CERT-EU met tegenhangers in de lidstaten
HOOFDSTUK I
ALGEMENE BEPALINGEN
HOOFDSTUK II
MAATREGELEN VOOR EEN HOOG GEZAMENLIJK NIVEAU VAN CYBERBEVEILIGING
HOOFDSTUK III
INTERINSTITUTIONELE RAAD VOOR CYBERBEVEILIGING
HOOFDSTUK IV
CERT-EU
HOOFDSTUK V
SAMENWERKING EN VERSLAGLEGGINGSVERPLICHTINGEN
HOOFDSTUK VI
SLOTBEPALINGEN
- unie 90
- voor 68
- artikel 64
- entiteit 55
- grond 43
- cyberbeveiliging 37
- iicb 35
- verordening 34
- cert-eu 32
- deze 29
- entiteiten 26
- zijn 25
- door 22
- uitvoering 21
- wordt 20
- eu / 19
- betrokken 19
- kader 18
- maatregelen 17
- raad 16
- worden 16
- richtlijn 16
- beheer 15
- cyberbeveiligingsrisico’s 15
- lid 14
- de 14
- informatie 14
- zoals 13
- punt 12
- europese 12
- gedefinieerd 12
- interinstitutionele 12
- opgerichte 11
- binnen 11
- getroffen 9
- voorzitter 9
- richtsnoeren 9
- vastgestelde 9
- hoogste 9
- toestemming 8
- cyberbeveiligingsplan 8
- andere 8
- niveau 8
- over 8
- aanbevelingen 8
- het 8
- elke 8
- managementniveau 8
- heeft 8
- kennis 8
Artikel 1
Onderwerp
Bij deze verordening worden maatregelen vastgesteld met als doel in entiteiten van de Unie een hoog gezamenlijk niveau van cyberbeveiliging te verwezenlijken met betrekking tot:
| a) | de vaststelling door elke entiteit van de Unie van een intern kader voor het beheer, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s op grond van artikel 6; |
| b) | het beheer van, rapportage over en het delen van informatie op het gebied van cyberbeveiligingsrisico’s; |
| c) | de organisatie, het functioneren en de werking van de op grond van artikel 10 opgerichte interinstitutionele raad voor cyberbeveiliging, alsook de organisatie, het functioneren en de werking van de cyberbeveiligingsdienst voor de instellingen, organen en instanties van de Unie (CERT-EU); |
| d) | het toezicht op de tenuitvoerlegging van deze verordening. |
Artikel 2
Toepassingsgebied
1. Deze verordening is van toepassing op de entiteiten van de Unie, op de op grond van artikel 10 opgerichte interinstitutionele raad voor cyberbeveiliging en op CERT-EU.
2. Deze verordening laat de institutionele autonomie op grond van de Verdragen onverlet.
3. Met uitzondering van artikel 13, lid 8, is deze verordening niet van toepassing op netwerk- en informatiesystemen die gerubriceerde EU-informatie (EUCI) verwerken.
Artikel 3
Definities
Voor de toepassing van deze verordening wordt verstaan onder:
| 1) | “entiteiten van de Unie”: instellingen, organen en instanties van de Unie die zijn opgericht bij of krachtens het Verdrag betreffende de Europese Unie, het Verdrag betreffende de werking van de Europese Unie (VWEU) of het Verdrag tot oprichting van de Europese Gemeenschap voor Atoomenergie; |
| 2) | “netwerk- en informatiesysteem”: een netwerk- en informatiesysteem zoals gedefinieerd in artikel 6, punt 1), van Richtlijn (EU) 2022/2555; |
| 3) | “beveiliging van netwerk- en informatiesystemen”: beveiliging van netwerk- en informatiesystemen zoals gedefinieerd in artikel 6, punt 2), van Richtlijn (EU) 2022/2555; |
| 4) | “cyberbeveiliging”: cyberbeveiliging zoals gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2019/881; |
| 5) | “hoogste managementniveau”: een leidinggevende, een leidinggevend orgaan of een coördinatie- en toezichtorgaan dat op het hoogste bestuurlijke niveau verantwoordelijk is voor het functioneren van een entiteit van de Unie, met een mandaat om besluiten vast te stellen of hiervoor toestemming te verlenen in overeenstemming met de bestuursregelingen op hoog niveau van die entiteit van de Unie, onverminderd de formele verantwoordelijkheden van andere managementniveaus voor naleving en het beheer van cyberbeveiligingsrisico’s op hun respectieve bevoegdheidsgebieden; |
| 6) | “bijna-incident”: een bijna-incident zoals gedefinieerd in artikel 6, punt 5), van Richtlijn (EU) 2022/2555; |
| 7) | “incident”: een incident zoals gedefinieerd in artikel 6, punt 6), van Richtlijn (EU) 2022/2555; |
| 8) | “ernstig incident”: een incident dat een mate van verstoring veroorzaakt die het responsvermogen van een entiteit van de Unie en CERT-EU overstijgt of dat significante gevolgen heeft voor ten minste twee entiteiten van de Unie; |
| 9) | “grootschalig cyberbeveiligingsincident”: een grootschalig cyberbeveiligingsincident zoals gedefinieerd in artikel 6, punt 7), van Richtlijn (EU) 2022/2555; |
| 10) | “incidentenbehandeling”: incidentenbehandeling zoals gedefinieerd in artikel 6, punt 8), van Richtlijn (EU) 2022/2555; |
| 11) | “cyberdreiging”: een cyberdreiging zoals gedefinieerd in artikel 2, punt 8, van Verordening (EU) 2019/881; |
| 12) | “significante cyberdreiging”: een significante cyberdreiging zoals gedefinieerd in artikel 6, punt 11), van Richtlijn (EU) 2022/2555; |
| 13) | “kwetsbaarheid”: kwetsbaarheid zoals gedefinieerd in artikel 6, punt 15), van Richtlijn (EU) 2022/2555; |
| 14) | “cyberbeveiligingsrisico”: een risico zoals gedefinieerd in artikel 6, punt 9), van Richtlijn (EU) 2022/2555; |
| 15) | “cloudcomputingdienst”: een cloudcomputingdienst zoals gedefinieerd in artikel 6, punt 30), van Richtlijn (EU) 2022/2555. |
Artikel 4
Verwerking van persoonsgegevens
1. De verwerking van persoonsgegevens door CERT-EU, de op grond van artikel 10 opgerichte interinstitutionele raad voor cyberbeveiliging en de entiteiten van de Unie in het kader van deze verordening geschiedt overeenkomstig Verordening (EU) 2018/1725.
2. Wanneer zij taken of verplichtingen op grond van deze verordening vervullen, mogen CERT-EU, de op grond van artikel 10 opgerichte interinstitutionele raad voor cyberbeveiliging en de entiteiten van de Unie persoonsgegevens slechts verwerken en uitwisselen voor zover dat noodzakelijk is en alleen met het oog op het vervullen van die taken of verplichtingen.
3. De verwerking van bijzondere categorieën persoonsgegevens als bedoeld in artikel 10, lid 1, van Verordening (EU) 2018/1725 wordt noodzakelijk geacht om redenen van zwaarwegend algemeen belang op grond van artikel 10, lid 2, punt g), van die verordening. Dergelijke gegevens mogen alleen worden verwerkt voor zover dat noodzakelijk is voor de uitvoering van de in de artikelen 6 en 8 bedoelde maatregelen voor het beheer van cyberbeveiligingsrisico’s, voor de verlening van diensten door CERT-EU op grond van artikel 13, voor het delen van incidentspecifieke informatie op grond van artikel 17, lid 3, en artikel 18, lid 3, voor het delen van informatie op grond van artikel 20, voor de rapportageverplichtingen op grond van artikel 21, voor coördinatie en samenwerking bij incidentenbehandeling op grond van artikel 22 en voor het beheer van ernstige incidenten op grond van artikel 23 van deze verordening. Wanneer de entiteiten van de Unie en CERT-EU optreden als verwerkingsverantwoordelijken, passen zij technische maatregelen toe om te voorkomen dat bijzondere categorieën persoonsgegevens voor andere doeleinden worden verwerkt en voorzien zij in passende en specifieke maatregelen om de grondrechten en de belangen van de betrokkenen te beschermen.
HOOFDSTUK II
MAATREGELEN VOOR EEN HOOG GEZAMENLIJK NIVEAU VAN CYBERBEVEILIGING
Artikel 5
Uitvoering van maatregelen
1. Uiterlijk op 8 september 2024 verstrekt de op grond van artikel 10 opgerichte interinstitutionele raad voor cyberbeveiliging, na raadpleging van het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa) en na advies van CERT-EU, richtsnoeren aan de entiteiten van de Unie met het oog op de uitvoering van een initiële cyberbeveiligingsevaluatie en de vaststelling van een intern kader voor het beheer, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s op grond van artikel 6, de uitvoering van maturiteitsbeoordelingen van de cyberbeveiliging op grond van artikel 7, het nemen van maatregelen voor het beheer van cyberbeveiligingsrisico’s op grond van artikel 8 en de vaststelling van het cyberbeveiligingsplan op grond van artikel 9.
2. Bij de uitvoering van de artikelen 6 tot en met 9 houden de entiteiten van de Unie rekening met de in lid 1 van dit artikel bedoelde richtsnoeren alsook met relevante richtsnoeren en aanbevelingen die zijn vastgesteld op grond van de artikelen 11 en 14.
Artikel 6
Kader voor risicobeheer, governance en toezicht op het gebied van cyberbeveiliging
1. Uiterlijk op 8 april 2025 stelt elke entiteit van de Unie, na een initiële evaluatie van de cyberbeveiliging, zoals een audit, te hebben uitgevoerd, een intern kader voor het beheer, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s (het “kader”) op. De vaststelling van het kader geschiedt onder toezicht van en onder de verantwoordelijkheid van het hoogste managementniveau van de entiteit van de Unie.
2. Het kader omvat de gehele niet-gerubriceerde ICT-omgeving van de entiteit van de Unie in kwestie, met inbegrip van de ICT-omgeving ter plaatse, het operationele technologienetwerk ter plaatse, uitbestede activa en diensten in cloudcomputingomgevingen of gehost door derden, mobiele apparatuur, bedrijfsnetwerken, zakelijke netwerken die niet met het internet verbonden zijn en met die omgevingen verbonden apparaten (“ICT-omgeving”). Het kader is gebaseerd op een alle risico’s omvattende aanpak.
3. Het kader waarborgt een hoog niveau van cyberbeveiliging. In het kader wordt het interne cyberbeveiligingsbeleid, met inbegrip van doelstellingen en prioriteiten, vastgesteld voor de beveiliging van netwerk- en informatiesystemen, en de taken en verantwoordelijkheden van het personeel van de entiteit van de Unie dat belast is met het waarborgen van de effectieve uitvoering van deze verordening. Het kader omvat ook mechanismen om de effectiviteit van de uitvoering te meten.
4. Het kader wordt regelmatig, en ten minste om de vier jaar, geëvalueerd in het licht van de veranderende cyberbeveiligingsrisico’s. In voorkomend geval en na een verzoek van de op grond van artikel 10 opgerichte interinstitutionele raad voor cyberbeveiliging kan het kader van een entiteit van de Unie worden geactualiseerd op basis van richtsnoeren van CERT-EU met betrekking tot vastgestelde incidenten of mogelijk geconstateerde lacunes in de uitvoering van deze verordening.
5. Het hoogste managementniveau van elke entiteit van de Unie is verantwoordelijk voor de uitvoering van deze verordening en houdt toezicht op de naleving door zijn organisatie van de verplichtingen in verband met het kader.
6. Indien nodig en onverminderd zijn verantwoordelijkheid voor de uitvoering van deze verordening, kan het hoogste managementniveau van elke entiteit van de Unie specifieke verplichtingen uit hoofde van deze verordening delegeren aan hoger leidinggevend personeel in de zin van artikel 29, lid 2, van het Statuut of andere functionarissen op gelijkwaardig niveau binnen de betrokken entiteit van de Unie. Ongeacht een dergelijke delegatie kan het hoogste managementniveau aansprakelijk worden gesteld voor inbreuken op deze verordening door de betrokken entiteit van de Unie.
7. Elke entiteit van de Unie beschikt over doeltreffende mechanismen om te waarborgen dat een passend percentage van de ICT-begroting aan cyberbeveiliging wordt besteed. Bij het vaststellen van dat percentage wordt terdege rekening gehouden met het kader.
8. Elke entiteit van de Unie stelt elk een lokale cyberbeveiligingsfunctionaris of een gelijkwaardige functionaris aan, die fungeert als het centrale contactpunt voor alle cyberbeveiligingsaspecten. De lokale cyberbeveiligingsfunctionaris faciliteert de uitvoering van deze verordening en brengt op regelmatige basis rechtstreeks aan het hoogste managementniveau verslag uit over de stand van de uitvoering. Ongeacht of in elke entiteit van de Unie de lokale cyberbeveiligingsfunctionaris het centrale contactpunt is, kan een entiteit van de Unie, op basis van een dienstenniveauovereenkomst tussen die entiteit van de Unie en CERT-EU, bepaalde aan de uitvoering van deze verordening gerelateerde taken van de lokale cyberbeveiligingsfunctionaris aan CERT-EU delegeren, of kunnen die taken door meerdere entiteiten van de Unie worden gedeeld. Indien die taken aan CERT-EU zijn gedelegeerd, besluit de op grond van artikel 10 opgerichte interinstitutionele raad voor cyberbeveiliging of die dienstverlening onderdeel dient uit te maken van de basisdienstverlening van CERT-EU, rekening houdend met de personele en financiële middelen van de betrokken entiteit van de Unie. Elke entiteit van de Unie geeft CERT-EU onverwijld kennis van de aangewezen lokale cyberbeveiligingsfunctionaris en iedere wijziging daarvan.
CERT-EU stelt een lijst van aangewezen lokale cyberbeveiligingsfunctionarissen op en houdt deze actueel.
9. Het hoger leidinggevend personeel in de zin van artikel 29, lid 2, van het Statuut of andere functionarissen op gelijkwaardig niveau binnen de betrokken entiteit van de Unie, alsmede alle relevante personeelsleden die belast zijn met de uitvoering van de in deze verordening vastgelegde maatregelen en met de naleving van verplichtingen voor het beheer van cyberbeveiligingsrisico’s volgen regelmatig specifieke opleidingen om voldoende kennis en vaardigheden op te doen om risico- en beheerspraktijken op het gebied van cyberbeveiliging en de gevolgen daarvan op de activiteiten van de entiteit van de Unie te begrijpen en te beoordelen.
Artikel 7
Maturiteitsbeoordelingen van de cyberbeveiliging
1. Uiterlijk op 8 juli 2025 en daarna ten minste om de twee jaar voert elke entiteit van de Unie een maturiteitsbeoordeling van de cyberbeveiliging uit die alle elementen van haar ICT-omgeving omvat.
2. De maturiteitsbeoordelingen van de cyberbeveiliging worden zo nodig uitgevoerd met bijstand van een gespecialiseerde derde partij.
3. Entiteiten van de Unie met soortgelijke structuren kunnen samenwerken bij de uitvoering van maturiteitsbeoordelingen van de cyberbeveiliging van hun respectieve entiteiten.
4. Op basis van een verzoek van de op grond van artikel 10 opgerichte interinstitutionele raad voor cyberbeveiliging en met de uitdrukkelijke toestemming van de betrokken entiteit van de Unie kunnen de resultaten van een maturiteitsbeoordeling van de cyberbeveiliging worden besproken in die raad of in de informele groep van lokale cyberbeveiligingsfunctionarissen, om lering te trekken uit ervaringen en beste praktijken te delen.
Artikel 9
Cyberbeveiligingsplannen
1. Na de afronding van de op grond van artikel 7 uitgevoerde maturiteitsbeoordeling van de cyberbeveiliging en rekening houdend met de binnen het kader aangeduide activa en vastgestelde cyberbeveiligingsrisico’s en de op grond van artikel 8 genomen maatregelen voor het beheer van cyberbeveiligingsrisico’s, keurt het hoogste managementniveau van elke entiteit van de Unie onverwijld en in elk geval uiterlijk op 8 januari 2026 een cyberbeveiligingsplan goed. Het cyberbeveiligingsplan beoogt de algehele cyberbeveiliging van de entiteit van de Unie te versterken en aldus bij te dragen tot de verhoging van een hoog gezamenlijk niveau van cyberbeveiliging in de entiteiten van de Unie. Het cyberbeveiligingsplan bevat minstens de op grond van artikel 8 genomen maatregelen voor het beheer van cyberbeveiligingsrisico’s. Het cyberbeveiligingsplan wordt om de twee jaar herzien, of vaker indien nodig na de op grond van artikel 7 uitgevoerde maturiteitsbeoordelingen van de cyberbeveiliging of na een substantiële herziening van het kader.
2. Het cyberbeveiligingsplan omvat het cybercrisisbeheersplan van de entiteit van de Unie voor ernstige incidenten.
3. De entiteit van de Unie dient het afgeronde cyberbeveiligingsplan in bij de op grond van van artikel 10 opgerichte interinstitutionele raad voor cyberbeveiliging.
HOOFDSTUK III
INTERINSTITUTIONELE RAAD VOOR CYBERBEVEILIGING
Artikel 10
Interinstitutionele raad voor cyberbeveiliging
1. Er wordt een interinstitutionele raad voor cyberbeveiliging (IICB) opgericht.
2. De IICB is verantwoordelijk voor:
| a) | het toezicht op en de ondersteuning van de uitvoering van deze verordening door de entiteiten van de Unie; |
| b) | het toezicht op de uitvoering van de algemene prioriteiten en doelstellingen door CERT-EU en het geven van strategische leiding aan CERT-EU. |
3. De IICB bestaat uit:
| a) | één vertegenwoordiger die wordt aangewezen door elk van de volgende partijen:
|
| b) | drie vertegenwoordigers die door het netwerk van EU-agentschappen (EUAN) op basis van een voorstel van zijn adviescomité voor ICT worden aangewezen om de belangen te behartigen van andere dan de in punt a) bedoelde organen en instanties van de Unie die hun eigen ICT-omgeving beheren. |
De in de IICB vertegenwoordigde entiteiten van de Unie streven naar genderevenwicht onder de aangewezen vertegenwoordigers.
4. De leden van de IICB kunnen door een plaatsvervanger worden bijgestaan. Andere vertegenwoordigers van de in lid 3 bedoelde entiteiten van de Unie of van andere entiteiten van de Unie kunnen door de voorzitter worden uitgenodigd om zonder stemrecht aan IICB-vergaderingen deel te nemen.
5. Het hoofd van CERT-EU en de voorzitters van de samenwerkingsgroep, het CSIRT-netwerk en EU-CyCLONe, respectievelijk opgericht op grond van de artikelen 14, 15 en 16 van Richtlijn (EU) 2022/2555, of hun plaatsvervangers, kunnen als waarnemer deelnemen aan IICB-vergaderingen. In uitzonderlijke gevallen kan de IICB overeenkomstig zijn reglement van orde anders beslissen.
6. De IICB stelt zijn reglement van orde vast.
7. De IICB wijst overeenkomstig zijn reglement van orde uit zijn leden een voorzitter aan voor een periode van drie jaar. De plaatsvervanger van de voorzitter wordt voor dezelfde duur volwaardig lid van de IICB.
8. De IICB komt ten minste driemaal per jaar bijeen op initiatief van zijn voorzitter, op verzoek van CERT-EU of op verzoek van een van zijn leden.
9. Elk lid van de IICB heeft één stem. Tenzij in deze verordening anders is bepaald, worden de besluiten van de IICB genomen met gewone meerderheid. De voorzitter van de IICB heeft uitsluitend stemrecht bij staking van de stemmen; in dat geval geeft de stem van de voorzitter de doorslag.
10. De IICB kan handelen door middel van een vereenvoudigde schriftelijke procedure conform zijn reglement van orde. Op grond van die procedure wordt het desbetreffende besluit geacht binnen de door de voorzitter vastgestelde termijn te zijn goedgekeurd, tenzij een lid bezwaar maakt.
11. Het secretariaat van de IICB wordt verzorgd door de Commissie en legt verantwoording af aan de voorzitter van de IICB.
12. De door het EUAN benoemde vertegenwoordigers brengen de besluiten van de IICB over aan de leden van het EUAN. Leden van het EUAN mogen iedere kwestie die zij voor de IICB van belang achten, aan die vertegenwoordigers of de voorzitter van de IICB voorleggen.
13. De IICB kan een uitvoerend comité oprichten om hem bij zijn werkzaamheden bij te staan, en een aantal van zijn taken en bevoegdheden daaraan delegeren. De IICB stelt het reglement van orde van het uitvoerend comité vast, met inbegrip van de taken en bevoegdheden van dat comité en de ambtstermijn van de leden daarvan.
14. Uiterlijk op 8 januari 2025 en vervolgens jaarlijks dient de IICB bij het Europees Parlement en de Raad een verslag in over de vooruitgang die bij de uitvoering van deze verordening is geboekt, waarin met name de mate van samenwerking van CERT-EU met tegenhangers in de lidstaten in elk van de lidstaten wordt gespecificeerd. Het verslag dient als input voor het tweejaarlijkse verslag over de stand van zaken op het gebied van de cyberbeveiliging in de Unie dat op grond van artikel 18 van Richtlijn (EU) 2022/2555 wordt opgesteld.
Artikel 12
Naleving
1. De IICB houdt op grond van artikel 10, lid 2, en artikel 11 effectief toezicht op de uitvoering van deze verordening en de door de entiteiten van de Unie vastgestelde richtsnoeren, aanbevelingen en oproepen tot actie. De IICB kan de daartoe benodigde informatie of documentatie opvragen bij de entiteiten van de Unie. Voor de vaststelling van nalevingsmaatregelen uit hoofde van dit artikel heeft de betrokken entiteit van de Unie geen stemrecht indien die entiteit rechtstreeks vertegenwoordigd is in de IICB.
2. Indien de IICB vaststelt dat een entiteit van de Unie deze verordening of de op grond van deze verordening vastgestelde richtsnoeren, aanbevelingen of oproepen tot actie niet doeltreffend heeft uitgevoerd, kan hij, onverminderd de interne procedures van de betrokken entiteit van de Unie, en na de betrokken entiteit van de Unie de gelegenheid te hebben gegeven opmerkingen te maken:
| a) | de betrokken entiteit van de Unie een met redenen omkleed advies doen toekomen inzake de geconstateerde lacunes in de uitvoering van deze verordening; |
| b) | na raadpleging van CERT-EU de betrokken entiteit van de Unie richtsnoeren verstrekken om ervoor te zorgen dat haar kader, maatregelen voor het beheer van cyberbeveiligingsrisico’s, cyberbeveiligingsplan en verslaglegging binnen een bepaalde termijn in overeenstemming zijn met deze verordening; |
| c) | een waarschuwing doen uitgaan om vastgestelde tekortkomingen binnen een bepaalde termijn te verhelpen, met inbegrip van aanbevelingen tot wijziging van maatregelen die de betrokken entiteit van de Unie op grond van deze verordening heeft getroffen; |
| d) | een met redenen omklede kennisgeving doen uitgaan aan de betrokken entiteit van de Unie indien de in een waarschuwing op grond van punt c) vastgestelde tekortkomingen niet voldoende werden verholpen binnen de vermelde termijn; |
| e) | het volgende doen uitgaan:
|
| f) | in voorkomend geval de Rekenkamer, binnen de grenzen van haar mandaat, in kennis stellen van de vermeende niet-naleving; |
| g) | een aanbeveling aan alle lidstaten en entiteiten van de Unie doen uitgaan om gegevensstromen naar de betrokken entiteit van de Unie tijdelijk op te schorten. |
Voor de toepassing van de eerste alinea, punt c), wordt de waarschuwing gericht tot een op passende wijze beperkt publiek, indien nodig met het oog op het cyberbeveiligingsrisico.
Op grond van de eerste alinea uitgebrachte waarschuwingen en aanbevelingen worden gericht aan het hoogste managementniveau van de betrokken entiteit van de Unie.
3. Indien de IICB maatregelen heeft genomen op grond van lid 2, eerste alinea, punten a) tot en met g), verstrekt de betrokken entiteit van de Unie nadere informatie over de maatregelen en acties die zijn genomen om de door de IICB vastgestelde vermeende tekortkomingen te verhelpen. De entiteit van de Unie dient deze nadere informatie binnen een met de IICB overeen te komen redelijke termijn in.
4. Wanneer de IICB van oordeel is dat er sprake is van een aanhoudende schending van deze verordening door een entiteit van de Unie als rechtstreeks gevolg van het handelen of nalaten van een ambtenaar of ander personeelslid van de Unie, ook op het hoogste managementniveau, verzoekt de IICB de betrokken entiteit van de Unie passende maatregelen te nemen, met inbegrip van het verzoek te overwegen om maatregelen van disciplinaire aard te nemen, overeenkomstig de bepalingen en procedures van het Statuut en alle andere toepasselijke regels en procedures. Daartoe draagt de IICB de nodige informatie over aan de betrokken entiteit van de Unie.
5. Indien entiteiten van de Unie er kennis van geven dat zij niet in staat zijn om de in artikel 6, lid 1, en artikel 8, lid 1, vastgestelde termijnen te halen, kan de IICB, in naar behoren gemotiveerde gevallen en rekening houdend met de omvang van de entiteit van de Unie, toestemming geven om die termijnen te verlengen.
HOOFDSTUK IV
CERT-EU
Artikel 14
Richtsnoeren, aanbevelingen en oproepen tot actie
1. CERT-EU ondersteunt de uitvoering van deze verordening door middel van:
| a) | oproepen tot actie, die dringende beveiligingsmaatregelen omvatten die de entiteiten van de Unie binnen een bepaalde termijn met klem wordt aangeraden te nemen; |
| b) | voorstellen aan de IICB voor richtsnoeren die gericht zijn tot alle of een deel van de entiteiten van de Unie; |
| c) | voorstellen aan de IICB voor aanbevelingen die gericht zijn tot individuele entiteiten van de Unie. |
Met betrekking tot de eerste alinea, punt a), stelt de betrokken entiteit van de Unie CERT-EU onverwijld na ontvangst van de oproep tot actie in kennis van de wijze waarop de dringende beveiligingsmaatregelen zijn toegepast.
2. Richtsnoeren en aanbevelingen kunnen het volgende omvatten:
| a) | gemeenschappelijke methoden en een model voor de beoordeling van de maturiteit van de entiteiten van de Unie op het gebied van cyberbeveiliging, met inbegrip van de bijbehorende schalen of kernprestatie-indicatoren, die als referentie dienen ter ondersteuning van de voortdurende verbetering van de cyberbeveiliging in alle entiteiten van de Unie en die de prioritering van cyberbeveiligingsdomeinen en -maatregelen vergemakkelijken, rekening houdend met de positie van de entiteiten ten opzichte van cyberbeveiliging; |
| b) | de regelingen voor of verbetering van het beheer van cyberbeveiligingsrisico’s en de maatregelen voor het beheer van cyberbeveiligingsrisico’s; |
| c) | de regelingen voor maturiteitsbeoordelingen van de cyberbeveiliging en cyberbeveiligingsplannen; |
| d) | indien van toepassing, het gebruik van algemene technologie, architectuur, open bronnen en de bijbehorende beste praktijken, met het oog op interoperabiliteit en gemeenschappelijke normen, met inbegrip van een gecoördineerde aanpak betreffende de beveiliging van de toeleveringsketen; |
| e) | in voorkomend geval, informatie om het gebruik van instrumenten voor gemeenschappelijke aanbestedingen voor de aankoop van relevante cyberbeveiligingsdiensten en -producten van derde leveranciers te vergemakkelijken; |
| f) | regelingen voor informatie-uitwisseling op grond van artikel 20. |
Artikel 17
Samenwerking van CERT-EU met tegenhangers in de lidstaten
1. CERT-EU werkt onverwijld samen en wisselt informatie uit met tegenhangers in de lidstaten, met name de op grond van artikel 10 van Richtlijn (EU) 2022/2555 aangewezen of ingestelde CSIRT’s of, indien van toepassing, de op grond van artikel 8 van die richtlijn aangewezen of ingestelde bevoegde autoriteiten en centrale contactpunten, met betrekking tot incidenten, cyberdreigingen, kwetsbaarheden, bijna-incidenten, mogelijke tegenmaatregelen en beste praktijken, en doet dat voor alle onderwerpen die relevant zijn voor een betere bescherming van de ICT-infrastructuur van de entiteiten van de Unie, onder meer via het op grond van artikel 15 van Richtlijn (EU) 2022/2555 opgerichte CSIRT-netwerk. CERT-EU ondersteunt de Commissie in het op grond van artikel 16 van Richtlijn (EU) 2022/2555 opgerichte EU-CyCLONe bij het gecoördineerde beheer van grootschalige cyberbeveiligingsincidenten en -crises.
2. Indien CERT-EU kennis krijgt van een significant incident dat zich voordoet op het grondgebied van een lidstaat, stelt het overeenkomstig lid 1 onverwijld de betrokken tegenhangers in die lidstaat in kennis.
3. Op voorwaarde dat persoonsgegevens worden beschermd overeenkomstig het toepasselijk Unierecht inzake gegevensbescherming, wisselt CERT-EU onverwijld, zonder toestemming van de getroffen entiteit van de Unie, relevante incidentspecifieke informatie uit met tegenhangers in de lidstaten teneinde de opsporing van soortgelijke cyberdreigingen of -incidenten te vergemakkelijken of bij te dragen aan de analyse van een incident. CERT-EU wisselt enkel in de volgende gevallen incidentspecifieke informatie uit die de identiteit van het doelwit van het incident onthult:
| a) | de getroffen entiteit van de Unie verleent toestemming; |
| b) | de getroffen entiteit van de Unie verleent weliswaar geen toestemming als bepaald in punt a), maar bekendmaking van de identiteit van de getroffen entiteit van de Unie zou de waarschijnlijkheid vergroten dat elders incidenten worden voorkomen of beperkt, of |
| c) | de getroffen entiteit van de Unie heeft reeds bekendgemaakt dat zij getroffen werd. |
Besluiten om op grond van de eerste alinea, punt b), incidentspecifieke informatie uit te wisselen die de identiteit van het doelwit van het incident onthult, worden bekrachtigd door het hoofd van CERT-EU. Alvorens een dergelijk besluit te nemen, neemt CERT-EU schriftelijk contact op met de getroffen entiteit van de Unie, waarbij duidelijk wordt uitgelegd hoe de bekendmaking van haar identiteit elders incidenten zou helpen voorkomen of beperken. Het hoofd van CERT-EU verstrekt de uitleg en verzoekt de entiteit van de Unie uitdrukkelijk om aan te geven of zij binnen een bepaalde termijn toestemming verleent. Het hoofd van CERT-EU deelt de entiteit van de Unie tevens mee dat hij of zij zich, in het licht van de verstrekte uitleg, het recht voorbehoudt om de informatie ook bekend te maken als er geen toestemming wordt verleend. De getroffen entiteit van de Unie wordt in kennis gesteld voordat de informatie wordt bekendgemaakt.
whereas