keyboard_tab Cyber Resilience Act 2023/2841 NL

1.   Uiterlijk op 8 september 2024 verstrekt de op grond van artikel 10 opgerichte interinstitutionele raad voor cyberbeveiliging, na raadpleging van het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa) en na advies van CERT-EU, richtsnoeren aan de entiteiten van de Unie met het oog op de uitvoering van een initiële cyberbeveiligingsevaluatie en de vaststelling van een intern kader voor het beheer, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s op grond van artikel 6, de uitvoering van maturiteitsbeoordelingen van de cyberbeveiliging op grond van artikel 7, het nemen van maatregelen voor het beheer van cyberbeveiligingsrisico’s op grond van artikel 8 en de vaststelling van het cyberbeveiligingsplan op grond van artikel 9.

2.   Bij de uitvoering van de artikelen 6 tot en met 9 houden de entiteiten van de Unie rekening met de in lid 1 van dit artikel bedoelde richtsnoeren alsook met relevante richtsnoeren en aanbevelingen die zijn vastgesteld op grond van de artikelen 11 en 14.

1.   Uiterlijk op 8 april 2025 stelt elke entiteit van de Unie, na een initiële evaluatie van de cyberbeveiliging, zoals een audit, te hebben uitgevoerd, een intern kader voor het beheer, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s (het “kader”) op. De vaststelling van het kader geschiedt onder toezicht van en onder de verantwoordelijkheid van het hoogste managementniveau van de entiteit van de Unie.

2.   Het kader omvat de gehele niet-gerubriceerde ICT-omgeving van de entiteit van de Unie in kwestie, met inbegrip van de ICT-omgeving ter plaatse, het operationele technologienetwerk ter plaatse, uitbestede activa en diensten in cloudcomputingomgevingen of gehost door derden, mobiele apparatuur, bedrijfsnetwerken, zakelijke netwerken die niet met het internet verbonden zijn en met die omgevingen verbonden apparaten (“ICT-omgeving”). Het kader is gebaseerd op een alle risico’s omvattende aanpak.

3.   Het kader waarborgt een hoog niveau van cyberbeveiliging. In het kader wordt het interne cyberbeveiligingsbeleid, met inbegrip van doelstellingen en prioriteiten, vastgesteld voor de beveiliging van netwerk- en informatiesystemen, en de taken en verantwoordelijkheden van het personeel van de entiteit van de Unie dat belast is met het waarborgen van de effectieve uitvoering van deze verordening. Het kader omvat ook mechanismen om de effectiviteit van de uitvoering te meten.

4.   Het kader wordt regelmatig, en ten minste om de vier jaar, geëvalueerd in het licht van de veranderende cyberbeveiligingsrisico’s. In voorkomend geval en na een verzoek van de op grond van artikel 10 opgerichte interinstitutionele raad voor cyberbeveiliging kan het kader van een entiteit van de Unie worden geactualiseerd op basis van richtsnoeren van CERT-EU met betrekking tot vastgestelde incidenten of mogelijk geconstateerde lacunes in de uitvoering van deze verordening.

5.   Het hoogste managementniveau van elke entiteit van de Unie is verantwoordelijk voor de uitvoering van deze verordening en houdt toezicht op de naleving door zijn organisatie van de verplichtingen in verband met het kader.

6.   Indien nodig en onverminderd zijn verantwoordelijkheid voor de uitvoering van deze verordening, kan het hoogste managementniveau van elke entiteit van de Unie specifieke verplichtingen uit hoofde van deze verordening delegeren aan hoger leidinggevend personeel in de zin van artikel 29, lid 2, van het Statuut of andere functionarissen op gelijkwaardig niveau binnen de betrokken entiteit van de Unie. Ongeacht een dergelijke delegatie kan het hoogste managementniveau aansprakelijk worden gesteld voor inbreuken op deze verordening door de betrokken entiteit van de Unie.

7.   Elke entiteit van de Unie beschikt over doeltreffende mechanismen om te waarborgen dat een passend percentage van de ICT-begroting aan cyberbeveiliging wordt besteed. Bij het vaststellen van dat percentage wordt terdege rekening gehouden met het kader.

8.   Elke entiteit van de Unie stelt elk een lokale cyberbeveiligingsfunctionaris of een gelijkwaardige functionaris aan, die fungeert als het centrale contactpunt voor alle cyberbeveiligingsaspecten. De lokale cyberbeveiligingsfunctionaris faciliteert de uitvoering van deze verordening en brengt op regelmatige basis rechtstreeks aan het hoogste managementniveau verslag uit over de stand van de uitvoering. Ongeacht of in elke entiteit van de Unie de lokale cyberbeveiligingsfunctionaris het centrale contactpunt is, kan een entiteit van de Unie, op basis van een dienstenniveauovereenkomst tussen die entiteit van de Unie en CERT-EU, bepaalde aan de uitvoering van deze verordening gerelateerde taken van de lokale cyberbeveiligingsfunctionaris aan CERT-EU delegeren, of kunnen die taken door meerdere entiteiten van de Unie worden gedeeld. Indien die taken aan CERT-EU zijn gedelegeerd, besluit de op grond van artikel 10 opgerichte interinstitutionele raad voor cyberbeveiliging of die dienstverlening onderdeel dient uit te maken van de basisdienstverlening van CERT-EU, rekening houdend met de personele en financiële middelen van de betrokken entiteit van de Unie. Elke entiteit van de Unie geeft CERT-EU onverwijld kennis van de aangewezen lokale cyberbeveiligingsfunctionaris en iedere wijziging daarvan.

CERT-EU stelt een lijst van aangewezen lokale cyberbeveiligingsfunctionarissen op en houdt deze actueel.

9.   Het hoger leidinggevend personeel in de zin van artikel 29, lid 2, van het Statuut of andere functionarissen op gelijkwaardig niveau binnen de betrokken entiteit van de Unie, alsmede alle relevante personeelsleden die belast zijn met de uitvoering van de in deze verordening vastgelegde maatregelen en met de naleving van verplichtingen voor het beheer van cyberbeveiligingsrisico’s volgen regelmatig specifieke opleidingen om voldoende kennis en vaardigheden op te doen om risico- en beheerspraktijken op het gebied van cyberbeveiliging en de gevolgen daarvan op de activiteiten van de entiteit van de Unie te begrijpen en te beoordelen.

1.   Uiterlijk op 8 juli 2025 en daarna ten minste om de twee jaar voert elke entiteit van de Unie een maturiteitsbeoordeling van de cyberbeveiliging uit die alle elementen van haar ICT-omgeving omvat.

2.   De maturiteitsbeoordelingen van de cyberbeveiliging worden zo nodig uitgevoerd met bijstand van een gespecialiseerde derde partij.

3.   Entiteiten van de Unie met soortgelijke structuren kunnen samenwerken bij de uitvoering van maturiteitsbeoordelingen van de cyberbeveiliging van hun respectieve entiteiten.

4.   Op basis van een verzoek van de op grond van artikel 10 opgerichte interinstitutionele raad voor cyberbeveiliging en met de uitdrukkelijke toestemming van de betrokken entiteit van de Unie kunnen de resultaten van een maturiteitsbeoordeling van de cyberbeveiliging worden besproken in die raad of in de informele groep van lokale cyberbeveiligingsfunctionarissen, om lering te trekken uit ervaringen en beste praktijken te delen.

1.   Elke entiteit van de Unie neemt onverwijld en in elk geval uiterlijk op 8 september 2025, onder het toezicht van haar hoogste managementniveau, passende en evenredige technische, operationele en organisatorische maatregelen voor het beheer van de binnen het kader geïdentificeerde cyberbeveiligingsrisico’s, en voor het voorkomen of tot een minimum beperken van de gevolgen van incidenten. Rekening houdend met de stand van de techniek en, in voorkomend geval, de relevante Europese en internationale normen waarborgen die maatregelen een beveiligingsniveau van netwerk- en informatiesystemen in de gehele ICT-omgeving dat in verhouding staat tot de cyberbeveiligingsrisico’s die zich voordoen. Bij het beoordelen van de evenredigheid van die maatregelen wordt terdege rekening gehouden met de mate waarin de entiteit van de Unie aan cyberbeveiligingsrisico’s is blootgesteld, de omvang van de entiteit van de Unie en de kans dat zich incidenten voordoen en de ernst ervan, met inbegrip van de maatschappelijke, economische en interinstitutionele gevolgen daarvan.

2.   Bij de uitvoering van de maatregelen voor het beheer van cyberbeveiligingsrisico’s behandelen de entiteiten van de Unie ten minste de volgende gebieden:

a)	cyberbeveiligingsbeleid, met inbegrip van de maatregelen die nodig zijn om de in artikel 6 en lid 3 van dit artikel bedoelde doelstellingen en prioriteiten te verwezenlijken;

b)	beleid inzake cyberbeveiligingsrisicoanalyse en beveiliging van informatiesystemen;

c)	beleidsdoelstellingen met betrekking tot het gebruik van cloudcomputingdiensten;

d)	in voorkomend geval een cyberbeveiligingsaudit, die een beoordeling van het cyberbeveiligingsrisico, de kwetsbaarheid en de cyberdreiging kan omvatten, en penetratietests die regelmatig door een betrouwbare particuliere aanbieder worden uitgevoerd;

e)	de uitvoering van aanbevelingen die voortvloeien uit de in punt d) bedoelde cyberbeveiligingsaudits door middel van cyberbeveiligings- en beleidsupdates;

f)	de organisatie van cyberbeveiliging, inclusief de vaststelling van rollen en verantwoordelijkheden;

g)	activabeheer, inclusief een inventaris van ICT-activa en ICT-netwerkarchitectuur;

h)	beveiliging van personele middelen en toegangscontrole;

i)	operationele beveiliging;

j)	communicatiebeveiliging;

k)	aankoop, ontwikkeling en onderhoud van systemen, met inbegrip van beleid inzake de respons op en bekendmaking van kwetsbaarheden;

l)	indien mogelijk, beleid inzake de transparantie van de broncode;

m)	beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten van de betrekkingen tussen elke entiteit van de Unie en haar rechtstreekse leveranciers of dienstverleners;

n)	incidentenbehandeling en samenwerking met CERT-EU, zoals continue monitoring en registratie van de beveiliging;

o)	bedrijfscontinuïteitsbeheer, zoals back-upbeheer en noodvoorzieningenplannen, en crisisbeheer, en

p)	bevordering en ontwikkeling van programma’s betreffende onderwijs, vaardigheden, bewustmaking, oefeningen en opleiding op het gebied van cyberbeveiliging.

Voor de toepassing van de eerste alinea, punt m), houden entiteiten van de Unie rekening met de specifieke kwetsbaarheden van elke rechtstreekse leverancier en dienstverlener, en met de algehele kwaliteit van de producten en cyberbeveiligingspraktijken van hun leveranciers en dienstverleners, veilige ontwikkelingsprocessen inbegrepen.

3.   Entiteiten van de Unie nemen ten minste de volgende specifieke maatregelen voor het beheer van cyberbeveiligingsrisico’s:

a)	technische regelingen om telewerken mogelijk te maken en te ondersteunen;

b)	concrete stappen in de richting van zero trust-beginselen;

c)	het gebruik van multifactorauthenticatie als norm in alle netwerk- en informatiesystemen;

d)	het gebruik van cryptografie en versleuteling, en met name eind-tot-eindversleuteling, alsook beveiligde digitale ondertekening;

e)	waar passend, beveiligde spraak-, beeld- en tekstcommunicatie, en beveiligde noodcommunicatiesystemen binnen de entiteit van de Unie;

f)	proactieve maatregelen voor het opsporen en verwijderen van malware en spyware;

g)	de totstandbrenging van een veilige toeleveringsketen voor software, door middel van criteria voor de ontwikkeling en evaluatie van veilige software;

h)

de opstelling en vaststelling van opleidingsprogramma’s op het gebied van cyberbeveiliging die in verhouding staan tot de voorgeschreven taken en verwachte capaciteiten, voor het hoogste managementniveau en voor de personeelsleden van de entiteit van de Unie die belast zijn met het waarborgen van de effectieve uitvoering van deze verordening;

i)	de regelmatige opleiding van personeelsleden op het gebied van cyberbeveiliging;

j)	in voorkomend geval de deelname aan risicoanalyses van de interconnectiviteit tussen de entiteiten van de Unie;

k)

betere aanbestedingsregels om een hoog gezamenlijk niveau van cyberbeveiliging te bevorderen door: i) contractuele belemmeringen weg te nemen die informatie-uitwisseling tussen ICT-dienstverleners over incidenten, kwetsbaarheden en cyberdreigingen met CERT-EU beperken; ii) contractueel te bepalen dat incidenten, kwetsbaarheden en cyberdreigingen moeten worden gemeld, en dat er mechanismen voor een passende respons en passend toezicht op incidenten voorhanden moeten zijn.

1.   Na de afronding van de op grond van artikel 7 uitgevoerde maturiteitsbeoordeling van de cyberbeveiliging en rekening houdend met de binnen het kader aangeduide activa en vastgestelde cyberbeveiligingsrisico’s en de op grond van artikel 8 genomen maatregelen voor het beheer van cyberbeveiligingsrisico’s, keurt het hoogste managementniveau van elke entiteit van de Unie onverwijld en in elk geval uiterlijk op 8 januari 2026 een cyberbeveiligingsplan goed. Het cyberbeveiligingsplan beoogt de algehele cyberbeveiliging van de entiteit van de Unie te versterken en aldus bij te dragen tot de verhoging van een hoog gezamenlijk niveau van cyberbeveiliging in de entiteiten van de Unie. Het cyberbeveiligingsplan bevat minstens de op grond van artikel 8 genomen maatregelen voor het beheer van cyberbeveiligingsrisico’s. Het cyberbeveiligingsplan wordt om de twee jaar herzien, of vaker indien nodig na de op grond van artikel 7 uitgevoerde maturiteitsbeoordelingen van de cyberbeveiliging of na een substantiële herziening van het kader.

2.   Het cyberbeveiligingsplan omvat het cybercrisisbeheersplan van de entiteit van de Unie voor ernstige incidenten.

3.   De entiteit van de Unie dient het afgeronde cyberbeveiligingsplan in bij de op grond van van artikel 10 opgerichte interinstitutionele raad voor cyberbeveiliging.

1.   Er wordt een interinstitutionele raad voor cyberbeveiliging (IICB) opgericht.

2.   De IICB is verantwoordelijk voor:

a)	het toezicht op en de ondersteuning van de uitvoering van deze verordening door de entiteiten van de Unie;

b)	het toezicht op de uitvoering van de algemene prioriteiten en doelstellingen door CERT-EU en het geven van strategische leiding aan CERT-EU.

3.   De IICB bestaat uit:

a)

één vertegenwoordiger die wordt aangewezen door elk van de volgende partijen: i) het Europees Parlement; ii) de Europese Raad; iii) de Raad van de Europese Unie; iv) de Commissie; v) het Hof van Justitie van de Europese Unie; vi) de Europese Centrale Bank; vii) de Rekenkamer; viii) de Europese Dienst voor extern optreden; ix) het Europees Economisch en Sociaal Comité; x) het Europees Comité van de Regio’s; xi) de Europese Investeringsbank; xii) het Europees kenniscentrum voor industrie, technologie en onderzoek op het gebied van cyberbeveiliging; xiii) Enisa; xiv) de Europese Toezichthouder voor gegevensbescherming; xv) het Agentschap van de Europese Unie voor het ruimtevaartprogramma;

b)	drie vertegenwoordigers die door het netwerk van EU-agentschappen (EUAN) op basis van een voorstel van zijn adviescomité voor ICT worden aangewezen om de belangen te behartigen van andere dan de in punt a) bedoelde organen en instanties van de Unie die hun eigen ICT-omgeving beheren.

De in de IICB vertegenwoordigde entiteiten van de Unie streven naar genderevenwicht onder de aangewezen vertegenwoordigers.

4.   De leden van de IICB kunnen door een plaatsvervanger worden bijgestaan. Andere vertegenwoordigers van de in lid 3 bedoelde entiteiten van de Unie of van andere entiteiten van de Unie kunnen door de voorzitter worden uitgenodigd om zonder stemrecht aan IICB-vergaderingen deel te nemen.

5.   Het hoofd van CERT-EU en de voorzitters van de samenwerkingsgroep, het CSIRT-netwerk en EU-CyCLONe, respectievelijk opgericht op grond van de artikelen 14, 15 en 16 van Richtlijn (EU) 2022/2555, of hun plaatsvervangers, kunnen als waarnemer deelnemen aan IICB-vergaderingen. In uitzonderlijke gevallen kan de IICB overeenkomstig zijn reglement van orde anders beslissen.

6.   De IICB stelt zijn reglement van orde vast.

7.   De IICB wijst overeenkomstig zijn reglement van orde uit zijn leden een voorzitter aan voor een periode van drie jaar. De plaatsvervanger van de voorzitter wordt voor dezelfde duur volwaardig lid van de IICB.

8.   De IICB komt ten minste driemaal per jaar bijeen op initiatief van zijn voorzitter, op verzoek van CERT-EU of op verzoek van een van zijn leden.

9.   Elk lid van de IICB heeft één stem. Tenzij in deze verordening anders is bepaald, worden de besluiten van de IICB genomen met gewone meerderheid. De voorzitter van de IICB heeft uitsluitend stemrecht bij staking van de stemmen; in dat geval geeft de stem van de voorzitter de doorslag.

10.   De IICB kan handelen door middel van een vereenvoudigde schriftelijke procedure conform zijn reglement van orde. Op grond van die procedure wordt het desbetreffende besluit geacht binnen de door de voorzitter vastgestelde termijn te zijn goedgekeurd, tenzij een lid bezwaar maakt.

11.   Het secretariaat van de IICB wordt verzorgd door de Commissie en legt verantwoording af aan de voorzitter van de IICB.

12.   De door het EUAN benoemde vertegenwoordigers brengen de besluiten van de IICB over aan de leden van het EUAN. Leden van het EUAN mogen iedere kwestie die zij voor de IICB van belang achten, aan die vertegenwoordigers of de voorzitter van de IICB voorleggen.

13.   De IICB kan een uitvoerend comité oprichten om hem bij zijn werkzaamheden bij te staan, en een aantal van zijn taken en bevoegdheden daaraan delegeren. De IICB stelt het reglement van orde van het uitvoerend comité vast, met inbegrip van de taken en bevoegdheden van dat comité en de ambtstermijn van de leden daarvan.

14.   Uiterlijk op 8 januari 2025 en vervolgens jaarlijks dient de IICB bij het Europees Parlement en de Raad een verslag in over de vooruitgang die bij de uitvoering van deze verordening is geboekt, waarin met name de mate van samenwerking van CERT-EU met tegenhangers in de lidstaten in elk van de lidstaten wordt gespecificeerd. Het verslag dient als input voor het tweejaarlijkse verslag over de stand van zaken op het gebied van de cyberbeveiliging in de Unie dat op grond van artikel 18 van Richtlijn (EU) 2022/2555 wordt opgesteld.

1.   CERT-EU wordt geïntegreerd in de administratieve structuur van een directoraat-generaal van de Commissie zodat het kan profiteren van de ondersteunende structuren van de Commissie op het gebied van administratie, financieel beheer en boekhouding, met behoud van zijn status als autonome interinstitutionele dienstverlener voor alle entiteiten van de Unie. De Commissie stelt de IICB in kennis van de administratieve vestiging van CERT-EU en van eventuele wijzigingen daarvan. De Commissie evalueert de administratieve regelingen met betrekking tot CERT-EU regelmatig en in elk geval vóór de vaststelling van een meerjarig financieel kader op grond van artikel 312 VWEU, zodat passende actie kan worden ondernomen. De evaluatie omvat de mogelijkheid om CERT-EU als bureau van de Unie aan te duiden.

2.   Voor de toepassing van de administratieve en financiële procedures handelt het hoofd van CERT-EU onder het gezag van de Commissie en onder toezicht van de IICB.

3.   De taken en activiteiten van CERT-EU, inclusief de diensten die CERT-EU op grond van artikel 13, leden 3, 4, 5 en 7, en artikel 14, lid 1, verleent aan de uit de rubriek Europees openbaar bestuur van het meerjarige financiële kader gefinancierde entiteiten van de Unie, worden uit een afzonderlijke begrotingslijn van de begroting van de Commissie gefinancierd. De voor CERT-EU gereserveerde posten worden gespecificeerd in een voetnoot bij de personeelsformatie van de Commissie.

4.   Andere dan de in lid 3 van dit artikel bedoelde entiteiten van de Unie leveren een jaarlijkse financiële bijdrage aan CERT-EU ter dekking van de door CERT-EU op grond van dat lid verleende diensten. De bijdragen worden gebaseerd op richtsnoeren van de IICB en in dienstenniveauovereenkomsten tussen elke entiteit van de Unie en CERT-EU bepaald. De bijdragen vertegenwoordigen een billijk en evenredig deel van de totale kosten van de verleende diensten. Deze worden als interne bestemmingsontvangsten in de zin van artikel 21, lid 3, punt c), van Verordening (EU, Euratom) 2018/1046 via de in lid 3 van dit artikel bedoelde afzonderlijke begrotingslijn ontvangen.

5.   De kosten van de in artikel 13, lid 6, bedoelde diensten worden verhaald op de entiteiten van de Unie die de diensten van CERT-EU ontvangen. De ontvangsten worden bestemd voor de begrotingsonderdelen die de kosten dragen.