keyboard_tab Cyber Resilience Act 2023/2841 NL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 10 Interinstitutionele raad voor cyberbeveiliging
- 2 Art. 11 Taken van de IICB
- 1 Art. 16 Financiële en personeelszaken
- 1 Art. 21 Rapportageverplichtingen
- 1 Art. 24 Initiële heroriëntering van begrotingsmiddelen
HOOFDSTUK I
ALGEMENE BEPALINGEN
HOOFDSTUK II
MAATREGELEN VOOR EEN HOOG GEZAMENLIJK NIVEAU VAN CYBERBEVEILIGING
HOOFDSTUK III
INTERINSTITUTIONELE RAAD VOOR CYBERBEVEILIGING
HOOFDSTUK IV
CERT-EU
HOOFDSTUK V
SAMENWERKING EN VERSLAGLEGGINGSVERPLICHTINGEN
HOOFDSTUK VI
SLOTBEPALINGEN
- unie 43
- cert-eu 42
- iicb 31
- voor 29
- entiteiten 27
- door 25
- zijn 23
- artikel 22
- incident 16
- wordt 16
- worden 16
- de 15
- grond 12
- over 11
- lid 11
- gevolgen 11
- commissie 11
- stelt 11
- voorzitter 10
- geval 10
- hoofd 9
- heeft 9
- significante 9
- bedoelde 9
- entiteit 9
- informatie 9
- deze 8
- europese 8
- verordening 8
- cyberbeveiliging 8
- andere 8
- voorstel 8
- incidenten 7
- basis 7
- uitvoering 7
- verslag 7
- hecht 7
- goedkeuring 7
- indien 7
- kennis 6
- vast 6
- eu / 6
- richtlijn 6
- financiële 6
- richtsnoeren 6
- leden 6
- kunnen 6
- significant 6
- europees 6
- waarin 5
Artikel 10
Interinstitutionele raad voor cyberbeveiliging
1. Er wordt een interinstitutionele raad voor cyberbeveiliging (IICB) opgericht.
2. De IICB is verantwoordelijk voor:
| a) | het toezicht op en de ondersteuning van de uitvoering van deze verordening door de entiteiten van de Unie; |
| b) | het toezicht op de uitvoering van de algemene prioriteiten en doelstellingen door CERT-EU en het geven van strategische leiding aan CERT-EU. |
3. De IICB bestaat uit:
| a) | één vertegenwoordiger die wordt aangewezen door elk van de volgende partijen:
|
| b) | drie vertegenwoordigers die door het netwerk van EU-agentschappen (EUAN) op basis van een voorstel van zijn adviescomité voor ICT worden aangewezen om de belangen te behartigen van andere dan de in punt a) bedoelde organen en instanties van de Unie die hun eigen ICT-omgeving beheren. |
De in de IICB vertegenwoordigde entiteiten van de Unie streven naar genderevenwicht onder de aangewezen vertegenwoordigers.
4. De leden van de IICB kunnen door een plaatsvervanger worden bijgestaan. Andere vertegenwoordigers van de in lid 3 bedoelde entiteiten van de Unie of van andere entiteiten van de Unie kunnen door de voorzitter worden uitgenodigd om zonder stemrecht aan IICB-vergaderingen deel te nemen.
5. Het hoofd van CERT-EU en de voorzitters van de samenwerkingsgroep, het CSIRT-netwerk en EU-CyCLONe, respectievelijk opgericht op grond van de artikelen 14, 15 en 16 van Richtlijn (EU) 2022/2555, of hun plaatsvervangers, kunnen als waarnemer deelnemen aan IICB-vergaderingen. In uitzonderlijke gevallen kan de IICB overeenkomstig zijn reglement van orde anders beslissen.
6. De IICB stelt zijn reglement van orde vast.
7. De IICB wijst overeenkomstig zijn reglement van orde uit zijn leden een voorzitter aan voor een periode van drie jaar. De plaatsvervanger van de voorzitter wordt voor dezelfde duur volwaardig lid van de IICB.
8. De IICB komt ten minste driemaal per jaar bijeen op initiatief van zijn voorzitter, op verzoek van CERT-EU of op verzoek van een van zijn leden.
9. Elk lid van de IICB heeft één stem. Tenzij in deze verordening anders is bepaald, worden de besluiten van de IICB genomen met gewone meerderheid. De voorzitter van de IICB heeft uitsluitend stemrecht bij staking van de stemmen; in dat geval geeft de stem van de voorzitter de doorslag.
10. De IICB kan handelen door middel van een vereenvoudigde schriftelijke procedure conform zijn reglement van orde. Op grond van die procedure wordt het desbetreffende besluit geacht binnen de door de voorzitter vastgestelde termijn te zijn goedgekeurd, tenzij een lid bezwaar maakt.
11. Het secretariaat van de IICB wordt verzorgd door de Commissie en legt verantwoording af aan de voorzitter van de IICB.
12. De door het EUAN benoemde vertegenwoordigers brengen de besluiten van de IICB over aan de leden van het EUAN. Leden van het EUAN mogen iedere kwestie die zij voor de IICB van belang achten, aan die vertegenwoordigers of de voorzitter van de IICB voorleggen.
13. De IICB kan een uitvoerend comité oprichten om hem bij zijn werkzaamheden bij te staan, en een aantal van zijn taken en bevoegdheden daaraan delegeren. De IICB stelt het reglement van orde van het uitvoerend comité vast, met inbegrip van de taken en bevoegdheden van dat comité en de ambtstermijn van de leden daarvan.
14. Uiterlijk op 8 januari 2025 en vervolgens jaarlijks dient de IICB bij het Europees Parlement en de Raad een verslag in over de vooruitgang die bij de uitvoering van deze verordening is geboekt, waarin met name de mate van samenwerking van CERT-EU met tegenhangers in de lidstaten in elk van de lidstaten wordt gespecificeerd. Het verslag dient als input voor het tweejaarlijkse verslag over de stand van zaken op het gebied van de cyberbeveiliging in de Unie dat op grond van artikel 18 van Richtlijn (EU) 2022/2555 wordt opgesteld.
Artikel 11
Taken van de IICB
Bij de uitoefening van zijn verantwoordelijkheden vervult de IICB met name de volgende taken:
| a) | hij verstrekt het hoofd van CERT-EU richtsnoeren; |
| b) | hij houdt effectief toezicht op de uitvoering van deze verordening en ondersteunt de entiteiten van de Unie bij het versterken van hun cyberbeveiliging, onder meer door entiteiten van de Unie en CERT-EU waar passend om ad-hocverslagen te vragen; |
| c) | hij stelt na een strategische discussie een meerjarige strategie vast voor het verhogen van het cyberbeveiligingsniveau in de entiteiten van de Unie, evalueert die strategie regelmatig en in elk geval om de vijf jaar, en wijzigt die strategie indien nodig; |
| d) | hij stelt de methodologie en organisatorische aspecten voor de uitvoering van vrijwillige collegiale toetsingen door entiteiten van de Unie vast om van gedeelde ervaringen te leren, het onderlinge vertrouwen te versterken, een hoog gemeenschappelijk niveau van cyberbeveiliging te bewerkstelligen en de cyberbeveiligingscapaciteiten van de entiteiten van de Unie te verbeteren, waarbij ervoor wordt gezorgd dat dergelijke collegiale toetsingen worden uitgevoerd door cyberbeveiligingsdeskundigen die zijn aangewezen door een andere entiteit van de Unie dan de entiteit van de Unie die wordt geëvalueerd, en dat de methodologie gebaseerd is op artikel 19 van Richtlijn (EU) 2022/2555 en, in voorkomend geval, wordt aangepast aan de entiteiten van de Unie; |
| e) | hij hecht zijn goedkeuring aan het jaarlijkse werkprogramma van CERT-EU op basis van een voorstel van het hoofd van CERT-EU en ziet toe op de uitvoering ervan; |
| f) | hij hecht zijn goedkeuring aan de CERT-EU -dienstencatalogus en alle bijwerkingen daarvan, op basis van een voorstel van het hoofd van CERT-EU; |
| g) | hij hecht zijn goedkeuring aan de verwachte jaarlijkse ontvangsten en uitgaven, inclusief wat personeel betreft, voor CERT-EU, op basis van een voorstel van het hoofd van CERT-EU; |
| h) | hij hecht zijn goedkeuring aan de regelingen voor dienstenniveauovereenkomsten, op basis van een voorstel van het hoofd van CERT-EU; |
| i) | hij controleert en hecht zijn goedkeuring aan het door het hoofd van CERT-EU opgestelde jaarverslag over de activiteiten van, en het beheer van de middelen door, CERT-EU; |
| j) | hij hecht zijn goedkeuring aan en monitort kernprestatie-indicatoren voor CERT-EU die op basis van een voorstel van het hoofd van CERT-EU worden vastgesteld; |
| k) | hij hecht zijn goedkeuring aan samenwerkingsovereenkomsten en dienstenniveauovereenkomsten of overeenkomsten tussen CERT-EU en andere entiteiten op grond van artikel 18; |
| l) | hij stelt richtsnoeren en aanbevelingen vast op basis van een voorstel van CERT-EU overeenkomstig artikel 14 en draagt CERT-EU op om een oproep tot actie, of een voorstel voor richtsnoeren of aanbevelingen, uit te vaardigen, in te trekken of te wijzigen; |
| m) | hij stelt technische adviesgroepen met specifieke taken in ter ondersteuning van de werkzaamheden van de IICB, keurt hun mandaat goed en wijst hun voorzitter aan; |
| n) | hij ontvangt en beoordeelt documenten en verslagen die de entiteiten van de Unie uit hoofde van deze verordening indienen, zoals maturiteitsbeoordelingen van de cyberbeveiliging; |
| o) | hij bevordert de oprichting van een informele groep van lokale cyberbeveiligingsfunctionarissen van entiteiten van de Unie, ondersteund door Enisa, teneinde beste praktijken en informatie in verband met de uitvoering van deze verordening uit te wisselen; |
| p) | hij houdt toezicht op de toereikendheid van de interconnectiviteitsregelingen tussen de ICT-omgevingen van de entiteiten van de Unie, rekening houdend met de door CERT-EU verstrekte informatie over de vastgestelde cyberbeveiligingsrisico’s en de geleerde lessen, en brengt advies uit over mogelijke verbeteringen; |
| q) | hij stelt een cybercrisisbeheersplan op om op operationeel niveau het gecoördineerde beheer van ernstige incidenten met gevolgen voor entiteiten van de Unie te ondersteunen en bij te dragen tot de regelmatige uitwisseling van relevante informatie, met name met betrekking tot de gevolgen en de ernst van ernstige incidenten en de mogelijke manieren om de gevolgen ervan te beperken; |
| r) | hij coördineert de vaststelling van de cybercrisisbeheersplannen door de individuele entiteiten van de Unie zoals bedoeld in artikel 9, lid 2; |
| s) | hij stelt aanbevelingen vast in verband met de beveiliging van de toeleveringsketen zoals bedoeld in artikel 8, lid 2, eerste alinea, punt m), rekening houdend met de resultaten van op Unieniveau gecoördineerde beveiligingsrisicobeoordelingen van kritieke toeleveringsketens zoals bedoeld in artikel 22 van Richtlijn (EU) 2022/2555, teneinde de entiteiten van de Unie te ondersteunen bij het doorvoeren van doeltreffende en passende maatregelen voor het beheer van cyberbeveiligingsrisico’s. |
Artikel 16
Financiële en personeelszaken
1. CERT-EU wordt geïntegreerd in de administratieve structuur van een directoraat-generaal van de Commissie zodat het kan profiteren van de ondersteunende structuren van de Commissie op het gebied van administratie, financieel beheer en boekhouding, met behoud van zijn status als autonome interinstitutionele dienstverlener voor alle entiteiten van de Unie. De Commissie stelt de IICB in kennis van de administratieve vestiging van CERT-EU en van eventuele wijzigingen daarvan. De Commissie evalueert de administratieve regelingen met betrekking tot CERT-EU regelmatig en in elk geval vóór de vaststelling van een meerjarig financieel kader op grond van artikel 312 VWEU, zodat passende actie kan worden ondernomen. De evaluatie omvat de mogelijkheid om CERT-EU als bureau van de Unie aan te duiden.
2. Voor de toepassing van de administratieve en financiële procedures handelt het hoofd van CERT-EU onder het gezag van de Commissie en onder toezicht van de IICB.
3. De taken en activiteiten van CERT-EU, inclusief de diensten die CERT-EU op grond van artikel 13, leden 3, 4, 5 en 7, en artikel 14, lid 1, verleent aan de uit de rubriek Europees openbaar bestuur van het meerjarige financiële kader gefinancierde entiteiten van de Unie, worden uit een afzonderlijke begrotingslijn van de begroting van de Commissie gefinancierd. De voor CERT-EU gereserveerde posten worden gespecificeerd in een voetnoot bij de personeelsformatie van de Commissie.
4. Andere dan de in lid 3 van dit artikel bedoelde entiteiten van de Unie leveren een jaarlijkse financiële bijdrage aan CERT-EU ter dekking van de door CERT-EU op grond van dat lid verleende diensten. De bijdragen worden gebaseerd op richtsnoeren van de IICB en in dienstenniveauovereenkomsten tussen elke entiteit van de Unie en CERT-EU bepaald. De bijdragen vertegenwoordigen een billijk en evenredig deel van de totale kosten van de verleende diensten. Deze worden als interne bestemmingsontvangsten in de zin van artikel 21, lid 3, punt c), van Verordening (EU, Euratom) 2018/1046 via de in lid 3 van dit artikel bedoelde afzonderlijke begrotingslijn ontvangen.
5. De kosten van de in artikel 13, lid 6, bedoelde diensten worden verhaald op de entiteiten van de Unie die de diensten van CERT-EU ontvangen. De ontvangsten worden bestemd voor de begrotingsonderdelen die de kosten dragen.
Artikel 21
Rapportageverplichtingen
1. Een incident wordt als significant beschouwd als het:
| a) | de werking van de entiteit van de Unie ernstig heeft verstoord of kan verstoren dan wel voor de betrokken entiteit van de Unie tot financiële verliezen heeft geleid of kan leiden; |
| b) | andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken. |
2. De entiteiten van de Unie verstrekken aan CERT-EU:
| a) | onverwijld en in elk geval binnen 24 uur nadat zij kennis hebben gekregen van het significante incident, een vroegtijdige waarschuwing, waarin, indien van toepassing, wordt aangegeven dat het significante incident vermoedelijk door een onwettige of kwaadwillige handeling is veroorzaakt, dan wel entiteitoverstijgende of grensoverschrijdende gevolgen zou kunnen hebben; |
| b) | onverwijld en in elk geval binnen 72 uur nadat zij kennis hebben gekregen van het significante incident, een incidentmelding met, indien van toepassing, een update van de in punt a) bedoelde informatie, een initiële beoordeling van het significante incident, met inbegrip van de ernst en de gevolgen ervan, alsook, indien beschikbaar, de indicatoren voor aantasting; |
| c) | een tussentijds verslag met relevante updates van de situatie, indien CERT-EU daarom verzoekt; |
| d) | uiterlijk één maand na de indiening van de in punt b) bedoelde incidentmelding, een eindverslag waarin het volgende is opgenomen:
|
| e) | indien het incident nog aan de gang is op het moment dat het in punt d) bedoelde eindverslag wordt ingediend, op dat moment een voortgangsverslag en uiterlijk één maand nadat zij het incident hebben afgehandeld, een eindverslag. |
3. Een entiteit van de Unie stelt onverwijld en in elk geval binnen 24 uur nadat zij kennis heeft gekregen van een significant incident, alle in artikel 17, lid 1, bedoelde relevante tegenhangers in de lidstaat waar zij is gevestigd, in kennis van het feit dat zich een significant incident heeft voorgedaan.
4. De entiteiten van de Unie verstrekken onder meer alle informatie die CERT-EU in staat stelt om alle mogelijke entiteitoverstijgende gevolgen, gevolgen voor de lidstaat van vestiging of grensoverschrijdende gevolgen van een significant incident in kaart te brengen. Onverminderd artikel 12 leidt het louter doen van een melding niet tot een verhoogde aansprakelijkheid voor de entiteit van de Unie.
5. In voorkomend geval informeren de entiteiten van de Unie de gebruikers van de getroffen netwerk- en informatiesystemen of van andere onderdelen van de ICT-omgeving die mogelijkerwijs door een significant incident of een significante cyberdreiging worden getroffen en in voorkomend geval beperkende maatregelen moeten nemen, onverwijld over alle maatregelen of middelen die zij kunnen nemen of inzetten in antwoord op dat incident of die dreiging. Indien nodig informeren de entiteiten van de Unie die gebruikers over de significante cyberdreiging zelf.
6. Indien een significant incident of een significante cyberdreiging gevolgen heeft voor een netwerk- en informatiesysteem of een onderdeel van de ICT-omgeving van een entiteit van de Unie waarvan bekend is dat het verbonden is met de ICT-omgeving van een andere entiteit van de Unie, doet CERT-EU een cyberbeveiligingswaarschuwing daaromtrent uitgaan.
7. De entiteiten van de Unie delen op verzoek van CERT-EU onverwijld de digitale informatie die is opgesteld door het gebruik van elektronische apparaten die bij de respectieve incidenten betrokken zijn geweest. CERT-EU kan nadere bijzonderheden verstrekken betreffende het soort informatie dat nodig is met het oog op situatiebewustzijn en respons op incidenten.
8. CERT-EU dient om de drie maanden bij de IICB, Enisa, het EU-Intcen en het CSIRT-netwerk een samenvattend verslag in met geanonimiseerde en geaggregeerde gegevens over significante incidenten, incidenten, cyberdreigingen, bijna-incidenten en kwetsbaarheden op grond van artikel 20 en significante incidenten die op grond van lid 2 van dit artikel ter kennis zijn gegeven. Het samenvattend verslag dient als input voor het tweejaarlijkse verslag over de stand van zaken op het gebied van de cyberbeveiliging in de Unie dat op grond van artikel 18 van Richtlijn (EU) 2022/2555 wordt opgesteld.
9. Uiterlijk op 8 juli 2024 brengt de IICB richtsnoeren of aanbevelingen uit waarin de regelingen voor, en de vorm en inhoud van de rapportage op grond van dit artikel nader worden beschreven. Bij het opstellen van dergelijke richtsnoeren of aanbevelingen houdt de IICB rekening met op grond van artikel 23, lid 11, van Richtlijn (EU) 2022/2555 vastgestelde uitvoeringshandelingen waarin het soort informatie, de vorm en de procedure van kennisgevingen nader worden gespecificeerd. CERT-EU verspreidt de passende technische details, zodat de entiteiten van de Unie proactief opsporings-, incidentrespons- of beperkende maatregelen kunnen nemen.
10. De in dit artikel vastgestelde rapportageverplichtingen gelden niet voor:
| a) | EUCI; |
| b) | informatie waarvan de verdere verspreiding is uitgesloten door middel van een zichtbare markering, tenzij het delen daarvan met CERT-EU uitdrukkelijk is toegestaan. |
Artikel 24
Initiële heroriëntering van begrotingsmiddelen
Om de goede en stabiele werking van CERT-EU te waarborgen, kan de Commissie voorstellen om personele en financiële middelen over te hevelen naar de begroting van de Commissie ten behoeve van de activiteiten van CERT-EU. De heroriëntering valt samen met de eerste jaarlijkse begroting van de Unie die na de inwerkingtreding van deze verordening wordt vastgesteld.
whereas