Cyber Resilience Act 2023/2841 NL

1)	“entiteiten van de Unie”: instellingen, organen en instanties van de Unie die zijn opgericht bij of krachtens het Verdrag betreffende de Europese Unie, het Verdrag betreffende de werking van de Europese Unie (VWEU) of het Verdrag tot oprichting van de Europese Gemeenschap voor Atoomenergie;

2)	“netwerk- en informatiesysteem”: een netwerk- en informatiesysteem zoals gedefinieerd in artikel 6, punt 1), van Richtlijn (EU) 2022/2555;

3)	“beveiliging van netwerk- en informatiesystemen”: beveiliging van netwerk- en informatiesystemen zoals gedefinieerd in artikel 6, punt 2), van Richtlijn (EU) 2022/2555;

4)	“cyberbeveiliging”: cyberbeveiliging zoals gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2019/881;

“hoogste managementniveau”: een leidinggevende, een leidinggevend orgaan of een coördinatie- en toezichtorgaan dat op het hoogste bestuurlijke niveau verantwoordelijk is voor het functioneren van een entiteit van de Unie, met een mandaat om besluiten vast te stellen of hiervoor toestemming te verlenen in overeenstemming met de bestuursregelingen op hoog niveau van die entiteit van de Unie, onverminderd de formele verantwoordelijkheden van andere managementniveaus voor naleving en het beheer van cyberbeveiligingsrisico’s op hun respectieve bevoegdheidsgebieden;

6)	“bijna-incident”: een bijna-incident zoals gedefinieerd in artikel 6, punt 5), van Richtlijn (EU) 2022/2555;

7)	“incident”: een incident zoals gedefinieerd in artikel 6, punt 6), van Richtlijn (EU) 2022/2555;

8)	“ernstig incident”: een incident dat een mate van verstoring veroorzaakt die het responsvermogen van een entiteit van de Unie en CERT-EU overstijgt of dat significante gevolgen heeft voor ten minste twee entiteiten van de Unie;

9)	“grootschalig cyberbeveiligingsincident”: een grootschalig cyberbeveiligingsincident zoals gedefinieerd in artikel 6, punt 7), van Richtlijn (EU) 2022/2555;

10)	“incidentenbehandeling”: incidentenbehandeling zoals gedefinieerd in artikel 6, punt 8), van Richtlijn (EU) 2022/2555;

11)	“cyberdreiging”: een cyberdreiging zoals gedefinieerd in artikel 2, punt 8, van Verordening (EU) 2019/881;

12)	“significante cyberdreiging”: een significante cyberdreiging zoals gedefinieerd in artikel 6, punt 11), van Richtlijn (EU) 2022/2555;

13)	“kwetsbaarheid”: kwetsbaarheid zoals gedefinieerd in artikel 6, punt 15), van Richtlijn (EU) 2022/2555;

14)	“cyberbeveiligingsrisico”: een risico zoals gedefinieerd in artikel 6, punt 9), van Richtlijn (EU) 2022/2555;

15)	“cloudcomputingdienst”: een cloudcomputingdienst zoals gedefinieerd in artikel 6, punt 30), van Richtlijn (EU) 2022/2555.

Artikel 10

Interinstitutionele raad voor cyberbeveiliging

1. Er wordt een interinstitutionele raad voor cyberbeveiliging (IICB) opgericht.

2. De IICB is verantwoordelijk voor:

a)	het toezicht op en de ondersteuning van de uitvoering van deze verordening door de entiteiten van de Unie;

b)	het toezicht op de uitvoering van de algemene prioriteiten en doelstellingen door CERT-EU en het geven van strategische leiding aan CERT-EU.

3. De IICB bestaat uit:

één vertegenwoordiger die wordt aangewezen door elk van de volgende partijen:

i)	het Europees Parlement;

ii)	de Europese Raad;

iii)	de Raad van de Europese Unie;

iv)	de Commissie;

v)	het Hof van Justitie van de Europese Unie;

vi)	de Europese Centrale Bank;

vii)	de Rekenkamer;

viii)

de Europese Dienst voor extern optreden;

ix)	het Europees Economisch en Sociaal Comité;

x)	het Europees Comité van de Regio’s;

xi)	de Europese Investeringsbank;

xii)	het Europees kenniscentrum voor industrie, technologie en onderzoek op het gebied van cyberbeveiliging;

xiii)

Enisa;

xiv)	de Europese Toezichthouder voor gegevensbescherming;

xv)	het Agentschap van de Europese Unie voor het ruimtevaartprogramma;

b)	drie vertegenwoordigers die door het netwerk van EU-agentschappen (EUAN) op basis van een voorstel van zijn adviescomité voor ICT worden aangewezen om de belangen te behartigen van andere dan de in punt a) bedoelde organen en instanties van de Unie die hun eigen ICT-omgeving beheren.

De in de IICB vertegenwoordigde entiteiten van de Unie streven naar genderevenwicht onder de aangewezen vertegenwoordigers.

4. De leden van de IICB kunnen door een plaatsvervanger worden bijgestaan. Andere vertegenwoordigers van de in lid 3 bedoelde entiteiten van de Unie of van andere entiteiten van de Unie kunnen door de voorzitter worden uitgenodigd om zonder stemrecht aan IICB-vergaderingen deel te nemen.

5. Het hoofd van CERT-EU en de voorzitters van de samenwerkingsgroep, het CSIRT-netwerk en EU-CyCLONe, respectievelijk opgericht op grond van de artikelen 14, 15 en 16 van Richtlijn (EU) 2022/2555, of hun plaatsvervangers, kunnen als waarnemer deelnemen aan IICB-vergaderingen. In uitzonderlijke gevallen kan de IICB overeenkomstig zijn reglement van orde anders beslissen.

6. De IICB stelt zijn reglement van orde vast.

7. De IICB wijst overeenkomstig zijn reglement van orde uit zijn leden een voorzitter aan voor een periode van drie jaar. De plaatsvervanger van de voorzitter wordt voor dezelfde duur volwaardig lid van de IICB.

8. De IICB komt ten minste driemaal per jaar bijeen op initiatief van zijn voorzitter, op verzoek van CERT-EU of op verzoek van een van zijn leden.

9. Elk lid van de IICB heeft één stem. Tenzij in deze verordening anders is bepaald, worden de besluiten van de IICB genomen met gewone meerderheid. De voorzitter van de IICB heeft uitsluitend stemrecht bij staking van de stemmen; in dat geval geeft de stem van de voorzitter de doorslag.

10. De IICB kan handelen door middel van een vereenvoudigde schriftelijke procedure conform zijn reglement van orde. Op grond van die procedure wordt het desbetreffende besluit geacht binnen de door de voorzitter vastgestelde termijn te zijn goedgekeurd, tenzij een lid bezwaar maakt.

11. Het secretariaat van de IICB wordt verzorgd door de Commissie en legt verantwoording af aan de voorzitter van de IICB.

12. De door het EUAN benoemde vertegenwoordigers brengen de besluiten van de IICB over aan de leden van het EUAN. Leden van het EUAN mogen iedere kwestie die zij voor de IICB van belang achten, aan die vertegenwoordigers of de voorzitter van de IICB voorleggen.

13. De IICB kan een uitvoerend comité oprichten om hem bij zijn werkzaamheden bij te staan, en een aantal van zijn taken en bevoegdheden daaraan delegeren. De IICB stelt het reglement van orde van het uitvoerend comité vast, met inbegrip van de taken en bevoegdheden van dat comité en de ambtstermijn van de leden daarvan.

14. Uiterlijk op 8 januari 2025 en vervolgens jaarlijks dient de IICB bij het Europees Parlement en de Raad een verslag in over de vooruitgang die bij de uitvoering van deze verordening is geboekt, waarin met name de mate van samenwerking van CERT-EU met tegenhangers in de lidstaten in elk van de lidstaten wordt gespecificeerd. Het verslag dient als input voor het tweejaarlijkse verslag over de stand van zaken op het gebied van de cyberbeveiliging in de Unie dat op grond van artikel 18 van Richtlijn (EU) 2022/2555 wordt opgesteld.

Artikel 12

Naleving

1. De IICB houdt op grond van artikel 10, lid 2, en artikel 11 effectief toezicht op de uitvoering van deze verordening en de door de entiteiten van de Unie vastgestelde richtsnoeren, aanbevelingen en oproepen tot actie. De IICB kan de daartoe benodigde informatie of documentatie opvragen bij de entiteiten van de Unie. Voor de vaststelling van nalevingsmaatregelen uit hoofde van dit artikel heeft de betrokken entiteit van de Unie geen stemrecht indien die entiteit rechtstreeks vertegenwoordigd is in de IICB.

2. Indien de IICB vaststelt dat een entiteit van de Unie deze verordening of de op grond van deze verordening vastgestelde richtsnoeren, aanbevelingen of oproepen tot actie niet doeltreffend heeft uitgevoerd, kan hij, onverminderd de interne procedures van de betrokken entiteit van de Unie, en na de betrokken entiteit van de Unie de gelegenheid te hebben gegeven opmerkingen te maken:

a)	de betrokken entiteit van de Unie een met redenen omkleed advies doen toekomen inzake de geconstateerde lacunes in de uitvoering van deze verordening;

b)	na raadpleging van CERT-EU de betrokken entiteit van de Unie richtsnoeren verstrekken om ervoor te zorgen dat haar kader, maatregelen voor het beheer van cyberbeveiligingsrisico’s, cyberbeveiligingsplan en verslaglegging binnen een bepaalde termijn in overeenstemming zijn met deze verordening;

c)	een waarschuwing doen uitgaan om vastgestelde tekortkomingen binnen een bepaalde termijn te verhelpen, met inbegrip van aanbevelingen tot wijziging van maatregelen die de betrokken entiteit van de Unie op grond van deze verordening heeft getroffen;

d)	een met redenen omklede kennisgeving doen uitgaan aan de betrokken entiteit van de Unie indien de in een waarschuwing op grond van punt c) vastgestelde tekortkomingen niet voldoende werden verholpen binnen de vermelde termijn;

het volgende doen uitgaan:

i)	een aanbeveling om een audit uit te voeren, of

ii)	een verzoek om een derde partij een audit te laten uitvoeren;

f)	in voorkomend geval de Rekenkamer, binnen de grenzen van haar mandaat, in kennis stellen van de vermeende niet-naleving;

g)	een aanbeveling aan alle lidstaten en entiteiten van de Unie doen uitgaan om gegevensstromen naar de betrokken entiteit van de Unie tijdelijk op te schorten.

Voor de toepassing van de eerste alinea, punt c), wordt de waarschuwing gericht tot een op passende wijze beperkt publiek, indien nodig met het oog op het cyberbeveiligingsrisico.

Op grond van de eerste alinea uitgebrachte waarschuwingen en aanbevelingen worden gericht aan het hoogste managementniveau van de betrokken entiteit van de Unie.

3. Indien de IICB maatregelen heeft genomen op grond van lid 2, eerste alinea, punten a) tot en met g), verstrekt de betrokken entiteit van de Unie nadere informatie over de maatregelen en acties die zijn genomen om de door de IICB vastgestelde vermeende tekortkomingen te verhelpen. De entiteit van de Unie dient deze nadere informatie binnen een met de IICB overeen te komen redelijke termijn in.

4. Wanneer de IICB van oordeel is dat er sprake is van een aanhoudende schending van deze verordening door een entiteit van de Unie als rechtstreeks gevolg van het handelen of nalaten van een ambtenaar of ander personeelslid van de Unie, ook op het hoogste managementniveau, verzoekt de IICB de betrokken entiteit van de Unie passende maatregelen te nemen, met inbegrip van het verzoek te overwegen om maatregelen van disciplinaire aard te nemen, overeenkomstig de bepalingen en procedures van het Statuut en alle andere toepasselijke regels en procedures. Daartoe draagt de IICB de nodige informatie over aan de betrokken entiteit van de Unie.

5. Indien entiteiten van de Unie er kennis van geven dat zij niet in staat zijn om de in artikel 6, lid 1, en artikel 8, lid 1, vastgestelde termijnen te halen, kan de IICB, in naar behoren gemotiveerde gevallen en rekening houdend met de omvang van de entiteit van de Unie, toestemming geven om die termijnen te verlengen.

HOOFDSTUK IV

CERT-EU

Artikel 17

Samenwerking van CERT-EU met tegenhangers in de lidstaten

1. CERT-EU werkt onverwijld samen en wisselt informatie uit met tegenhangers in de lidstaten, met name de op grond van artikel 10 van Richtlijn (EU) 2022/2555 aangewezen of ingestelde CSIRT’s of, indien van toepassing, de op grond van artikel 8 van die richtlijn aangewezen of ingestelde bevoegde autoriteiten en centrale contactpunten, met betrekking tot incidenten, cyberdreigingen, kwetsbaarheden, bijna-incidenten, mogelijke tegenmaatregelen en beste praktijken, en doet dat voor alle onderwerpen die relevant zijn voor een betere bescherming van de ICT-infrastructuur van de entiteiten van de Unie, onder meer via het op grond van artikel 15 van Richtlijn (EU) 2022/2555 opgerichte CSIRT-netwerk. CERT-EU ondersteunt de Commissie in het op grond van artikel 16 van Richtlijn (EU) 2022/2555 opgerichte EU-CyCLONe bij het gecoördineerde beheer van grootschalige cyberbeveiligingsincidenten en -crises.

2. Indien CERT-EU kennis krijgt van een significant incident dat zich voordoet op het grondgebied van een lidstaat, stelt het overeenkomstig lid 1 onverwijld de betrokken tegenhangers in die lidstaat in kennis.

3. Op voorwaarde dat persoonsgegevens worden beschermd overeenkomstig het toepasselijk Unierecht inzake gegevensbescherming, wisselt CERT-EU onverwijld, zonder toestemming van de getroffen entiteit van de Unie, relevante incidentspecifieke informatie uit met tegenhangers in de lidstaten teneinde de opsporing van soortgelijke cyberdreigingen of -incidenten te vergemakkelijken of bij te dragen aan de analyse van een incident. CERT-EU wisselt enkel in de volgende gevallen incidentspecifieke informatie uit die de identiteit van het doelwit van het incident onthult:

a)	de getroffen entiteit van de Unie verleent toestemming;

b)	de getroffen entiteit van de Unie verleent weliswaar geen toestemming als bepaald in punt a), maar bekendmaking van de identiteit van de getroffen entiteit van de Unie zou de waarschijnlijkheid vergroten dat elders incidenten worden voorkomen of beperkt, of

c)	de getroffen entiteit van de Unie heeft reeds bekendgemaakt dat zij getroffen werd.

Besluiten om op grond van de eerste alinea, punt b), incidentspecifieke informatie uit te wisselen die de identiteit van het doelwit van het incident onthult, worden bekrachtigd door het hoofd van CERT-EU. Alvorens een dergelijk besluit te nemen, neemt CERT-EU schriftelijk contact op met de getroffen entiteit van de Unie, waarbij duidelijk wordt uitgelegd hoe de bekendmaking van haar identiteit elders incidenten zou helpen voorkomen of beperken. Het hoofd van CERT-EU verstrekt de uitleg en verzoekt de entiteit van de Unie uitdrukkelijk om aan te geven of zij binnen een bepaalde termijn toestemming verleent. Het hoofd van CERT-EU deelt de entiteit van de Unie tevens mee dat hij of zij zich, in het licht van de verstrekte uitleg, het recht voorbehoudt om de informatie ook bekend te maken als er geen toestemming wordt verleend. De getroffen entiteit van de Unie wordt in kennis gesteld voordat de informatie wordt bekendgemaakt.

Artikel 18

Samenwerking van CERT-EU met andere tegenhangers

1. CERT-EU kan met andere tegenhangers in de Unie samenwerken dan de in artikel 17 bedoelde tegenhangers die onderworpen zijn aan cyberbeveiligingsvereisten van de Unie, met inbegrip van bedrijfstakspecifieke tegenhangers, inzake instrumenten en methoden, zoals technieken, tactiek, procedures en beste praktijken, en cyberdreigingen en kwetsbaarheden. Voor iedere samenwerking met dergelijke tegenhangers verzoekt CERT-EU per geval vooraf om de goedkeuring van de IICB. Wanneer CERT-EU met dergelijke tegenhangers een samenwerking aangaat, informeert het de in artikel 17, lid 1, bedoelde tegenhangers in de lidstaat waar de instantie is gevestigd. Waar dit toepasselijk en gepast is, worden die samenwerking en de voorwaarden daarvan, onder meer met betrekking tot cyberbeveiliging, gegevensbescherming en informatieverwerking, vastgelegd in specifieke geheimhoudingsregelingen zoals overeenkomsten of administratieve regelingen. Voor de geheimhoudingsregelingen is geen voorafgaande goedkeuring van de IICB nodig, maar de voorzitter van de IICB wordt ervan op de hoogte gebracht. Indien het dringend noodzakelijk is om informatie over cyberbeveiliging uit te wisselen in het belang van entiteiten van de Unie of een andere partij, kan CERT-EU dit doen met een entiteit waarvan de specifieke bevoegdheid, capaciteit en deskundigheid aantoonbaar vereist zijn om bijstand te verlenen bij een dergelijke dringende noodzaak, ook al heeft CERT-EU geen geheimhoudingsregeling met die entiteit. In dergelijke gevallen brengt CERT-EU de voorzitter van de IICB onmiddellijk op de hoogte en brengt het verslag uit aan de IICB door middel van regelmatige verslagen of vergaderingen.

2. CERT-EU kan samenwerken met partners, zoals commerciële entiteiten, met inbegrip van bedrijfstakspecifieke entiteiten, internationale organisaties en nationale entiteiten van buiten de Unie of individuele deskundigen, om informatie te verzamelen over algemene en specifieke cyberdreigingen, bijna-incidenten, kwetsbaarheden en mogelijke tegenmaatregelen. Voor verdere samenwerking met deze partners verzoekt CERT-EU per geval vooraf om de goedkeuring van de IICB.

3. CERT-EU kan, met toestemming van de door een incident getroffen entiteit van de Unie en op voorwaarde dat er met de betrokken tegenhanger of partner een geheimhoudingsregeling of -overeenkomst is gesloten, informatie over het specifieke incident verstrekken aan de in de leden 1 en 2 bedoelde tegenhangers of partners, louter om hen te helpen bij hun analyse.

HOOFDSTUK V

SAMENWERKING EN VERSLAGLEGGINGSVERPLICHTINGEN

Artikel 19

Informatieverwerking

1. De entiteiten van de Unie en CERT-EU nemen de geheimhoudingsplicht in acht overeenkomstig artikel 339 VWEU of gelijkwaardige toepasselijke kaders.

2. Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad (10) is van toepassing op verzoeken om toegang van het publiek tot documenten die berusten bij CERT-EU, met inbegrip van de verplichting uit hoofde van die verordening om andere entiteiten van de Unie of, in voorkomend geval, de lidstaten te raadplegen indien een verzoek betrekking heeft op hun documenten.

3. De entiteiten van de Unie en CERT-EU verwerken informatie in overeenstemming met de toepasselijke regels inzake informatiebeveiliging.

Artikel 21

Rapportageverplichtingen

1. Een incident wordt als significant beschouwd als het:

a)	de werking van de entiteit van de Unie ernstig heeft verstoord of kan verstoren dan wel voor de betrokken entiteit van de Unie tot financiële verliezen heeft geleid of kan leiden;

b)	andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken.

2. De entiteiten van de Unie verstrekken aan CERT-EU:

onverwijld en in elk geval binnen 24 uur nadat zij kennis hebben gekregen van het significante incident, een vroegtijdige waarschuwing, waarin, indien van toepassing, wordt aangegeven dat het significante incident vermoedelijk door een onwettige of kwaadwillige handeling is veroorzaakt, dan wel entiteitoverstijgende of grensoverschrijdende gevolgen zou kunnen hebben;

onverwijld en in elk geval binnen 72 uur nadat zij kennis hebben gekregen van het significante incident, een incidentmelding met, indien van toepassing, een update van de in punt a) bedoelde informatie, een initiële beoordeling van het significante incident, met inbegrip van de ernst en de gevolgen ervan, alsook, indien beschikbaar, de indicatoren voor aantasting;

c)	een tussentijds verslag met relevante updates van de situatie, indien CERT-EU daarom verzoekt;

uiterlijk één maand na de indiening van de in punt b) bedoelde incidentmelding, een eindverslag waarin het volgende is opgenomen:

i)	een gedetailleerde beschrijving van het incident, inclusief de ernst en de gevolgen ervan;

ii)	het soort bedreiging of de grondoorzaak die waarschijnlijk tot het incident heeft geleid;

iii)	toegepaste en lopende beperkende maatregelen;

iv)	in voorkomend geval de grensoverschrijdende of entiteitoverstijgende gevolgen van het incident;

e)	indien het incident nog aan de gang is op het moment dat het in punt d) bedoelde eindverslag wordt ingediend, op dat moment een voortgangsverslag en uiterlijk één maand nadat zij het incident hebben afgehandeld, een eindverslag.

3. Een entiteit van de Unie stelt onverwijld en in elk geval binnen 24 uur nadat zij kennis heeft gekregen van een significant incident, alle in artikel 17, lid 1, bedoelde relevante tegenhangers in de lidstaat waar zij is gevestigd, in kennis van het feit dat zich een significant incident heeft voorgedaan.

4. De entiteiten van de Unie verstrekken onder meer alle informatie die CERT-EU in staat stelt om alle mogelijke entiteitoverstijgende gevolgen, gevolgen voor de lidstaat van vestiging of grensoverschrijdende gevolgen van een significant incident in kaart te brengen. Onverminderd artikel 12 leidt het louter doen van een melding niet tot een verhoogde aansprakelijkheid voor de entiteit van de Unie.

5. In voorkomend geval informeren de entiteiten van de Unie de gebruikers van de getroffen netwerk- en informatiesystemen of van andere onderdelen van de ICT-omgeving die mogelijkerwijs door een significant incident of een significante cyberdreiging worden getroffen en in voorkomend geval beperkende maatregelen moeten nemen, onverwijld over alle maatregelen of middelen die zij kunnen nemen of inzetten in antwoord op dat incident of die dreiging. Indien nodig informeren de entiteiten van de Unie die gebruikers over de significante cyberdreiging zelf.

6. Indien een significant incident of een significante cyberdreiging gevolgen heeft voor een netwerk- en informatiesysteem of een onderdeel van de ICT-omgeving van een entiteit van de Unie waarvan bekend is dat het verbonden is met de ICT-omgeving van een andere entiteit van de Unie, doet CERT-EU een cyberbeveiligingswaarschuwing daaromtrent uitgaan.

7. De entiteiten van de Unie delen op verzoek van CERT-EU onverwijld de digitale informatie die is opgesteld door het gebruik van elektronische apparaten die bij de respectieve incidenten betrokken zijn geweest. CERT-EU kan nadere bijzonderheden verstrekken betreffende het soort informatie dat nodig is met het oog op situatiebewustzijn en respons op incidenten.

8. CERT-EU dient om de drie maanden bij de IICB, Enisa, het EU-Intcen en het CSIRT-netwerk een samenvattend verslag in met geanonimiseerde en geaggregeerde gegevens over significante incidenten, incidenten, cyberdreigingen, bijna-incidenten en kwetsbaarheden op grond van artikel 20 en significante incidenten die op grond van lid 2 van dit artikel ter kennis zijn gegeven. Het samenvattend verslag dient als input voor het tweejaarlijkse verslag over de stand van zaken op het gebied van de cyberbeveiliging in de Unie dat op grond van artikel 18 van Richtlijn (EU) 2022/2555 wordt opgesteld.

9. Uiterlijk op 8 juli 2024 brengt de IICB richtsnoeren of aanbevelingen uit waarin de regelingen voor, en de vorm en inhoud van de rapportage op grond van dit artikel nader worden beschreven. Bij het opstellen van dergelijke richtsnoeren of aanbevelingen houdt de IICB rekening met op grond van artikel 23, lid 11, van Richtlijn (EU) 2022/2555 vastgestelde uitvoeringshandelingen waarin het soort informatie, de vorm en de procedure van kennisgevingen nader worden gespecificeerd. CERT-EU verspreidt de passende technische details, zodat de entiteiten van de Unie proactief opsporings-, incidentrespons- of beperkende maatregelen kunnen nemen.

10. De in dit artikel vastgestelde rapportageverplichtingen gelden niet voor:

EUCI;

b)	informatie waarvan de verdere verspreiding is uitgesloten door middel van een zichtbare markering, tenzij het delen daarvan met CERT-EU uitdrukkelijk is toegestaan.

Artikel 22

Coördinatie van respons bij incidenten en samenwerking

1. Bij zijn optreden als knooppunt voor informatie-uitwisseling inzake cyberbeveiliging en responscoördinatie bij incidenten faciliteert CERT-EU de uitwisseling van informatie inzake incidenten, cyberdreigingen, kwetsbaarheden en bijna-incidenten onder de volgende partijen:

a)	entiteiten van de Unie;

b)	de in de artikelen 17 en 18 bedoelde tegenhangers.

2. CERT-EU faciliteert, zo nodig in nauwe samenwerking met Enisa, de coördinatie tussen de entiteiten van de Unie inzake de respons bij incidenten, wat het volgende omvat:

a)	bijdragen tot consequente externe communicatie;

b)	wederzijdse ondersteuning, zoals het delen van informatie die relevant is voor entiteiten van de Unie, of het verlenen van bijstand, in voorkomend geval rechtstreeks ter plaatse;

c)	optimaal gebruik van operationele middelen;

d)	coördinatie met andere crisisresponsmechanismen op Unieniveau.

3. CERT-EU ondersteunt, in nauwe samenwerking met Enisa, de entiteiten van de Unie met betrekking tot het situatiebewustzijn van incidenten, cyberdreigingen, kwetsbaarheden en bijna-incidenten, en het delen van relevante ontwikkelingen op het gebied van cyberbeveiliging.

4. Uiterlijk op 8 januari 2025 stelt de IICB, op basis van een voorstel van CERT-EU, richtsnoeren of aanbevelingen inzake de respons bij incidenten en samenwerking bij significante incidenten vast. Wanneer wordt vermoed dat het incident crimineel van aard is, adviseert CERT-EU onverwijld over de manier waarop het incident aan de rechtshandhavingsinstanties moet worden gemeld.

5. Op specifiek verzoek van een lidstaat en met de goedkeuring van de betrokken entiteiten van de Unie kan CERT-EU een beroep doen op deskundigen van de in artikel 23, lid 4, bedoelde lijst om bij te dragen aan de respons op een ernstig incident dat gevolgen heeft in die lidstaat, of op een grootschalig cyberbeveiligingsincident overeenkomstig artikel 15, lid 3, punt g), van Richtlijn (EU) 2022/2555. De specifieke regels met betrekking tot de toegang tot en de inzet van technische deskundigen van de entiteiten van de Unie worden door de IICB op basis van een voorstel van CERT-EU goedgekeurd.

whereas

keyboard_tab Cyber Resilience Act 2023/2841 NL

Cyber Resilience Act 2023/2841 NL