keyboard_tab Cyber Resilience Act 2023/2841 NL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 15 Hoofd van CERT-EU
- 1 Art. 18 Samenwerking van CERT-EU met andere tegenhangers
- 1 Art. 20 Informatie-uitwisselingsregelingen op het gebied van cyberbeveiliging
- 1 Art. 21 Rapportageverplichtingen
HOOFDSTUK I
ALGEMENE BEPALINGEN
HOOFDSTUK II
MAATREGELEN VOOR EEN HOOG GEZAMENLIJK NIVEAU VAN CYBERBEVEILIGING
HOOFDSTUK III
INTERINSTITUTIONELE RAAD VOOR CYBERBEVEILIGING
HOOFDSTUK IV
CERT-EU
HOOFDSTUK V
SAMENWERKING EN VERSLAGLEGGINGSVERPLICHTINGEN
HOOFDSTUK VI
SLOTBEPALINGEN
- cert-eu 39
- unie 28
- voor 21
- incident 19
- iicb 17
- artikel 16
- informatie 16
- entiteiten 15
- entiteit 14
- over 13
- door 11
- tegenhangers 10
- hoofd 10
- significante 9
- gevolgen 9
- geval 9
- de 9
- heeft 8
- bedoelde 8
- verslag 8
- zijn 8
- indien 8
- incidenten 7
- worden 7
- inbegrip 7
- samenwerking 7
- brengt 6
- getroffen 6
- significant 6
- niet 6
- wordt 6
- kennis 6
- onverwijld 6
- grond 6
- andere 6
- dergelijke 6
- verstrekken 6
- cert-eu 5
- cyberdreigingen 5
- kwetsbaarheden 5
- lid 5
- maatregelen 5
- financiële 5
- hebben 5
- kunnen 5
- voorzitter 4
- ervan 4
- partners 4
- dienstencatalogus 4
- nadat 4
Artikel 15
Hoofd van CERT-EU
1. De Commissie benoemt met goedkeuring door een tweederdemeerderheid van de leden van de IICB het hoofd van CERT-EU. De IICB wordt geraadpleegd in alle stadia van de benoemingsprocedure, in het bijzonder bij het opstellen van vacatureberichten, de beoordeling van de sollicitaties en de benoeming van de selectiecomités voor de functie. De selectieprocedure, met inbegrip van de definitieve shortlist van kandidaten waaruit het hoofd van CERT-EU zal worden benoemd, zorgt voor een eerlijke vertegenwoordiging van elk gender, rekening houdend met de ingediende sollicitaties.
2. Het hoofd van CERT-EU is verantwoordelijk voor het goed functioneren van CERT-EU en handelt binnen de grenzen van zijn of haar rol, onder de leiding van de IICB. Het hoofd van CERT-EU brengt regelmatig verslag uit aan de voorzitter van de IICB en dient desgevraagd ad-hocverslagen in bij de IICB.
3. Het hoofd van CERT-EU verleent de bevoegde gedelegeerd ordonnateur bijstand bij het opstellen van het overeenkomstig artikel 74, lid 9, van Verordening (EU, Euratom) 2018/1046 van het Europees Parlement en de Raad (9) opgestelde jaarlijks activiteitenverslag, dat financiële en beheersinformatie, inclusief de resultaten van controles, bevat, en brengt regelmatig verslag uit aan de bevoegde gedelegeerd ordonnateur over de uitvoering van maatregelen waarvoor aan het hoofd van CERT-EU bevoegdheden zijn gesubdelegeerd.
4. Het hoofd van CERT-EU stelt jaarlijks een financiële planning op van de administratieve ontvangsten en uitgaven voor de activiteiten van CERT-EU, een voorgesteld jaarlijks werkprogramma, een voorgestelde dienstencatalogus voor CERT-EU, voorgestelde herzieningen van de dienstencatalogus, voorgestelde regelingen voor dienstenniveauovereenkomsten en voorgestelde kernprestatie-indicatoren voor CERT-EU, die overeenkomstig artikel 11 door de IICB moeten worden goedgekeurd. Bij de herziening van de lijst van diensten in de dienstencatalogus van CERT-EU houdt het hoofd van CERT-EU rekening met de aan CERT-EU toegewezen middelen.
5. Het hoofd van CERT-EU brengt ten minste eenmaal per jaar verslag uit aan de IICB en de voorzitter ervan over de activiteiten en de prestaties van CERT-EU gedurende de referentieperiode, onder meer met betrekking tot de uitvoering van de begroting, gesloten dienstenniveauovereenkomsten en schriftelijke overeenkomsten, de samenwerking met tegenhangers en partners, en de dienstreizen van personeel, met inbegrip van de in artikel 11 bedoelde verslagen. Die verslagen bevatten een werkprogramma voor de volgende periode, de financiële planning van ontvangsten en uitgaven, met inbegrip van personeel, geplande actualiseringen van de dienstencatalogus van CERT-EU en een beoordeling van het verwachte effect dat dergelijke actualiseringen kunnen hebben op het gebied van financiële en personele middelen.
Artikel 18
Samenwerking van CERT-EU met andere tegenhangers
1. CERT-EU kan met andere tegenhangers in de Unie samenwerken dan de in artikel 17 bedoelde tegenhangers die onderworpen zijn aan cyberbeveiligingsvereisten van de Unie, met inbegrip van bedrijfstakspecifieke tegenhangers, inzake instrumenten en methoden, zoals technieken, tactiek, procedures en beste praktijken, en cyberdreigingen en kwetsbaarheden. Voor iedere samenwerking met dergelijke tegenhangers verzoekt CERT-EU per geval vooraf om de goedkeuring van de IICB. Wanneer CERT-EU met dergelijke tegenhangers een samenwerking aangaat, informeert het de in artikel 17, lid 1, bedoelde tegenhangers in de lidstaat waar de instantie is gevestigd. Waar dit toepasselijk en gepast is, worden die samenwerking en de voorwaarden daarvan, onder meer met betrekking tot cyberbeveiliging, gegevensbescherming en informatieverwerking, vastgelegd in specifieke geheimhoudingsregelingen zoals overeenkomsten of administratieve regelingen. Voor de geheimhoudingsregelingen is geen voorafgaande goedkeuring van de IICB nodig, maar de voorzitter van de IICB wordt ervan op de hoogte gebracht. Indien het dringend noodzakelijk is om informatie over cyberbeveiliging uit te wisselen in het belang van entiteiten van de Unie of een andere partij, kan CERT-EU dit doen met een entiteit waarvan de specifieke bevoegdheid, capaciteit en deskundigheid aantoonbaar vereist zijn om bijstand te verlenen bij een dergelijke dringende noodzaak, ook al heeft CERT-EU geen geheimhoudingsregeling met die entiteit. In dergelijke gevallen brengt CERT-EU de voorzitter van de IICB onmiddellijk op de hoogte en brengt het verslag uit aan de IICB door middel van regelmatige verslagen of vergaderingen.
2. CERT-EU kan samenwerken met partners, zoals commerciële entiteiten, met inbegrip van bedrijfstakspecifieke entiteiten, internationale organisaties en nationale entiteiten van buiten de Unie of individuele deskundigen, om informatie te verzamelen over algemene en specifieke cyberdreigingen, bijna-incidenten, kwetsbaarheden en mogelijke tegenmaatregelen. Voor verdere samenwerking met deze partners verzoekt CERT-EU per geval vooraf om de goedkeuring van de IICB.
3. CERT-EU kan, met toestemming van de door een incident getroffen entiteit van de Unie en op voorwaarde dat er met de betrokken tegenhanger of partner een geheimhoudingsregeling of -overeenkomst is gesloten, informatie over het specifieke incident verstrekken aan de in de leden 1 en 2 bedoelde tegenhangers of partners, louter om hen te helpen bij hun analyse.
HOOFDSTUK V
SAMENWERKING EN VERSLAGLEGGINGSVERPLICHTINGEN
Artikel 20
Informatie-uitwisselingsregelingen op het gebied van cyberbeveiliging
1. De entiteiten van de Unie kunnen CERT-EU op vrijwillige basis in kennis stellen van en informatie verstrekken over incidenten, cyberdreigingen, bijna-incidenten en kwetsbaarheden met gevolgen voor hen. CERT-EU zorgt ervoor dat het over efficiënte communicatiemiddelen met een hoge mate van traceerbaarheid, vertrouwelijkheid en betrouwbaarheid beschikt om informatie-uitwisseling met de entiteiten van de Unie te vergemakkelijken. Bij het verwerken van kennisgevingen kan CERT-EU voorrang geven aan de verwerking van verplichte boven vrijwillige kennisgevingen. Onverminderd artikel 12 mag vrijwillige kennisgeving er niet toe leiden dat de kennisgevende entiteit van de Unie aanvullende verplichtingen worden opgelegd waaraan zij niet onderworpen zou zijn geweest indien zij de kennisgeving niet had gedaan.
2. Om zijn missie en taken op grond van artikel 13 uit te voeren, kan CERT-EU entiteiten van de Unie verzoeken informatie uit hun respectieve ICT-systeeminventarissen te verstrekken, met inbegrip van informatie over cyberdreigingen, bijna-incidenten, kwetsbaarheden, indicatoren voor aantasting, cyberbeveiligingswaarschuwingen en aanbevelingen betreffende de configuratie van cyberbeveiligingsinstrumenten om incidenten te detecteren. De aangezochte entiteit van de Unie zendt de verlangde informatie en bijbehorende actualiseringen daarvan onverwijld toe.
3. CERT-EU kan met entiteiten van de Unie incidentspecifieke informatie uitwisselen die de identiteit van de door het incident getroffen entiteit van de Unie onthult, mits de getroffen entiteit van de Unie daarin toestemt. Wanneer een entiteit van de Unie haar toestemming weigert, verstrekt zij CERT-EU de redenen voor dat besluit.
4. De entiteiten van de Unie wisselen op verzoek informatie uit met het Europees Parlement en de Raad over de voltooiing van de cyberbeveiligingsplannen.
5. De IICB of CERT-EU, naargelang het geval, deelt op verzoek richtsnoeren, aanbevelingen en oproepen tot actie met het Europees Parlement en de Raad.
6. De in dit artikel vastgestelde deelverplichtingen gelden niet voor:
| a) | EUCI; |
| b) | informatie waarvan de verdere verspreiding is uitgesloten door middel van een zichtbare markering, tenzij het delen daarvan met CERT-EU uitdrukkelijk is toegestaan. |
Artikel 21
Rapportageverplichtingen
1. Een incident wordt als significant beschouwd als het:
| a) | de werking van de entiteit van de Unie ernstig heeft verstoord of kan verstoren dan wel voor de betrokken entiteit van de Unie tot financiële verliezen heeft geleid of kan leiden; |
| b) | andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken. |
2. De entiteiten van de Unie verstrekken aan CERT-EU:
| a) | onverwijld en in elk geval binnen 24 uur nadat zij kennis hebben gekregen van het significante incident, een vroegtijdige waarschuwing, waarin, indien van toepassing, wordt aangegeven dat het significante incident vermoedelijk door een onwettige of kwaadwillige handeling is veroorzaakt, dan wel entiteitoverstijgende of grensoverschrijdende gevolgen zou kunnen hebben; |
| b) | onverwijld en in elk geval binnen 72 uur nadat zij kennis hebben gekregen van het significante incident, een incidentmelding met, indien van toepassing, een update van de in punt a) bedoelde informatie, een initiële beoordeling van het significante incident, met inbegrip van de ernst en de gevolgen ervan, alsook, indien beschikbaar, de indicatoren voor aantasting; |
| c) | een tussentijds verslag met relevante updates van de situatie, indien CERT-EU daarom verzoekt; |
| d) | uiterlijk één maand na de indiening van de in punt b) bedoelde incidentmelding, een eindverslag waarin het volgende is opgenomen:
|
| e) | indien het incident nog aan de gang is op het moment dat het in punt d) bedoelde eindverslag wordt ingediend, op dat moment een voortgangsverslag en uiterlijk één maand nadat zij het incident hebben afgehandeld, een eindverslag. |
3. Een entiteit van de Unie stelt onverwijld en in elk geval binnen 24 uur nadat zij kennis heeft gekregen van een significant incident, alle in artikel 17, lid 1, bedoelde relevante tegenhangers in de lidstaat waar zij is gevestigd, in kennis van het feit dat zich een significant incident heeft voorgedaan.
4. De entiteiten van de Unie verstrekken onder meer alle informatie die CERT-EU in staat stelt om alle mogelijke entiteitoverstijgende gevolgen, gevolgen voor de lidstaat van vestiging of grensoverschrijdende gevolgen van een significant incident in kaart te brengen. Onverminderd artikel 12 leidt het louter doen van een melding niet tot een verhoogde aansprakelijkheid voor de entiteit van de Unie.
5. In voorkomend geval informeren de entiteiten van de Unie de gebruikers van de getroffen netwerk- en informatiesystemen of van andere onderdelen van de ICT-omgeving die mogelijkerwijs door een significant incident of een significante cyberdreiging worden getroffen en in voorkomend geval beperkende maatregelen moeten nemen, onverwijld over alle maatregelen of middelen die zij kunnen nemen of inzetten in antwoord op dat incident of die dreiging. Indien nodig informeren de entiteiten van de Unie die gebruikers over de significante cyberdreiging zelf.
6. Indien een significant incident of een significante cyberdreiging gevolgen heeft voor een netwerk- en informatiesysteem of een onderdeel van de ICT-omgeving van een entiteit van de Unie waarvan bekend is dat het verbonden is met de ICT-omgeving van een andere entiteit van de Unie, doet CERT-EU een cyberbeveiligingswaarschuwing daaromtrent uitgaan.
7. De entiteiten van de Unie delen op verzoek van CERT-EU onverwijld de digitale informatie die is opgesteld door het gebruik van elektronische apparaten die bij de respectieve incidenten betrokken zijn geweest. CERT-EU kan nadere bijzonderheden verstrekken betreffende het soort informatie dat nodig is met het oog op situatiebewustzijn en respons op incidenten.
8. CERT-EU dient om de drie maanden bij de IICB, Enisa, het EU-Intcen en het CSIRT-netwerk een samenvattend verslag in met geanonimiseerde en geaggregeerde gegevens over significante incidenten, incidenten, cyberdreigingen, bijna-incidenten en kwetsbaarheden op grond van artikel 20 en significante incidenten die op grond van lid 2 van dit artikel ter kennis zijn gegeven. Het samenvattend verslag dient als input voor het tweejaarlijkse verslag over de stand van zaken op het gebied van de cyberbeveiliging in de Unie dat op grond van artikel 18 van Richtlijn (EU) 2022/2555 wordt opgesteld.
9. Uiterlijk op 8 juli 2024 brengt de IICB richtsnoeren of aanbevelingen uit waarin de regelingen voor, en de vorm en inhoud van de rapportage op grond van dit artikel nader worden beschreven. Bij het opstellen van dergelijke richtsnoeren of aanbevelingen houdt de IICB rekening met op grond van artikel 23, lid 11, van Richtlijn (EU) 2022/2555 vastgestelde uitvoeringshandelingen waarin het soort informatie, de vorm en de procedure van kennisgevingen nader worden gespecificeerd. CERT-EU verspreidt de passende technische details, zodat de entiteiten van de Unie proactief opsporings-, incidentrespons- of beperkende maatregelen kunnen nemen.
10. De in dit artikel vastgestelde rapportageverplichtingen gelden niet voor:
| a) | EUCI; |
| b) | informatie waarvan de verdere verspreiding is uitgesloten door middel van een zichtbare markering, tenzij het delen daarvan met CERT-EU uitdrukkelijk is toegestaan. |
whereas