search

keyboard_tab Cyber Resilience Act 2023/2841 NL

 BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf

2023/2841 NL cercato: 'leveranciers' . Output generated live by software developed by IusOnDemand srl


expand index leveranciers:


whereas leveranciers:


definitions:


cloud tag: and the number of total unique words without stopwords is: 319

 

Artikel 8

Maatregelen voor het beheer van cyberbeveiligingsrisico’s

1.   Elke entiteit van de Unie neemt onverwijld en in elk geval uiterlijk op 8 september 2025, onder het toezicht van haar hoogste managementniveau, passende en evenredige technische, operationele en organisatorische maatregelen voor het beheer van de binnen het kader geïdentificeerde cyberbeveiligingsrisico’s, en voor het voorkomen of tot een minimum beperken van de gevolgen van incidenten. Rekening houdend met de stand van de techniek en, in voorkomend geval, de relevante Europese en internationale normen waarborgen die maatregelen een beveiligingsniveau van netwerk- en informatiesystemen in de gehele ICT-omgeving dat in verhouding staat tot de cyberbeveiligingsrisico’s die zich voordoen. Bij het beoordelen van de evenredigheid van die maatregelen wordt terdege rekening gehouden met de mate waarin de entiteit van de Unie aan cyberbeveiligingsrisico’s is blootgesteld, de omvang van de entiteit van de Unie en de kans dat zich incidenten voordoen en de ernst ervan, met inbegrip van de maatschappelijke, economische en interinstitutionele gevolgen daarvan.

2.   Bij de uitvoering van de maatregelen voor het beheer van cyberbeveiligingsrisico’s behandelen de entiteiten van de Unie ten minste de volgende gebieden:

a)

cyberbeveiligingsbeleid, met inbegrip van de maatregelen die nodig zijn om de in artikel 6 en lid 3 van dit artikel bedoelde doelstellingen en prioriteiten te verwezenlijken;

b)

beleid inzake cyberbeveiligingsrisicoanalyse en beveiliging van informatiesystemen;

c)

beleidsdoelstellingen met betrekking tot het gebruik van cloudcomputingdiensten;

d)

in voorkomend geval een cyberbeveiligingsaudit, die een beoordeling van het cyberbeveiligingsrisico, de kwetsbaarheid en de cyberdreiging kan omvatten, en penetratietests die regelmatig door een betrouwbare particuliere aanbieder worden uitgevoerd;

e)

de uitvoering van aanbevelingen die voortvloeien uit de in punt d) bedoelde cyberbeveiligingsaudits door middel van cyberbeveiligings- en beleidsupdates;

f)

de organisatie van cyberbeveiliging, inclusief de vaststelling van rollen en verantwoordelijkheden;

g)

activabeheer, inclusief een inventaris van ICT-activa en ICT-netwerkarchitectuur;

h)

beveiliging van personele middelen en toegangscontrole;

i)

operationele beveiliging;

j)

communicatiebeveiliging;

k)

aankoop, ontwikkeling en onderhoud van systemen, met inbegrip van beleid inzake de respons op en bekendmaking van kwetsbaarheden;

l)

indien mogelijk, beleid inzake de transparantie van de broncode;

m)

beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten van de betrekkingen tussen elke entiteit van de Unie en haar rechtstreekse leveranciers of dienstverleners;

n)

incidentenbehandeling en samenwerking met CERT-EU, zoals continue monitoring en registratie van de beveiliging;

o)

bedrijfscontinuïteitsbeheer, zoals back-upbeheer en noodvoorzieningenplannen, en crisisbeheer, en

p)

bevordering en ontwikkeling van programma’s betreffende onderwijs, vaardigheden, bewustmaking, oefeningen en opleiding op het gebied van cyberbeveiliging.

Voor de toepassing van de eerste alinea, punt m), houden entiteiten van de Unie rekening met de specifieke kwetsbaarheden van elke rechtstreekse leverancier en dienstverlener, en met de algehele kwaliteit van de producten en cyberbeveiligingspraktijken van hun leveranciers en dienstverleners, veilige ontwikkelingsprocessen inbegrepen.

3.   Entiteiten van de Unie nemen ten minste de volgende specifieke maatregelen voor het beheer van cyberbeveiligingsrisico’s:

a)

technische regelingen om telewerken mogelijk te maken en te ondersteunen;

b)

concrete stappen in de richting van zero trust-beginselen;

c)

het gebruik van multifactorauthenticatie als norm in alle netwerk- en informatiesystemen;

d)

het gebruik van cryptografie en versleuteling, en met name eind-tot-eindversleuteling, alsook beveiligde digitale ondertekening;

e)

waar passend, beveiligde spraak-, beeld- en tekstcommunicatie, en beveiligde noodcommunicatiesystemen binnen de entiteit van de Unie;

f)

proactieve maatregelen voor het opsporen en verwijderen van malware en spyware;

g)

de totstandbrenging van een veilige toeleveringsketen voor software, door middel van criteria voor de ontwikkeling en evaluatie van veilige software;

h)

de opstelling en vaststelling van opleidingsprogramma’s op het gebied van cyberbeveiliging die in verhouding staan tot de voorgeschreven taken en verwachte capaciteiten, voor het hoogste managementniveau en voor de personeelsleden van de entiteit van de Unie die belast zijn met het waarborgen van de effectieve uitvoering van deze verordening;

i)

de regelmatige opleiding van personeelsleden op het gebied van cyberbeveiliging;

j)

in voorkomend geval de deelname aan risicoanalyses van de interconnectiviteit tussen de entiteiten van de Unie;

k)

betere aanbestedingsregels om een hoog gezamenlijk niveau van cyberbeveiliging te bevorderen door:

i)

contractuele belemmeringen weg te nemen die informatie-uitwisseling tussen ICT-dienstverleners over incidenten, kwetsbaarheden en cyberdreigingen met CERT-EU beperken;

ii)

contractueel te bepalen dat incidenten, kwetsbaarheden en cyberdreigingen moeten worden gemeld, en dat er mechanismen voor een passende respons en passend toezicht op incidenten voorhanden moeten zijn.

Artikel 14

Richtsnoeren, aanbevelingen en oproepen tot actie

1.   CERT-EU ondersteunt de uitvoering van deze verordening door middel van:

a)

oproepen tot actie, die dringende beveiligingsmaatregelen omvatten die de entiteiten van de Unie binnen een bepaalde termijn met klem wordt aangeraden te nemen;

b)

voorstellen aan de IICB voor richtsnoeren die gericht zijn tot alle of een deel van de entiteiten van de Unie;

c)

voorstellen aan de IICB voor aanbevelingen die gericht zijn tot individuele entiteiten van de Unie.

Met betrekking tot de eerste alinea, punt a), stelt de betrokken entiteit van de Unie CERT-EU onverwijld na ontvangst van de oproep tot actie in kennis van de wijze waarop de dringende beveiligingsmaatregelen zijn toegepast.

2.   Richtsnoeren en aanbevelingen kunnen het volgende omvatten:

a)

gemeenschappelijke methoden en een model voor de beoordeling van de maturiteit van de entiteiten van de Unie op het gebied van cyberbeveiliging, met inbegrip van de bijbehorende schalen of kernprestatie-indicatoren, die als referentie dienen ter ondersteuning van de voortdurende verbetering van de cyberbeveiliging in alle entiteiten van de Unie en die de prioritering van cyberbeveiligingsdomeinen en -maatregelen vergemakkelijken, rekening houdend met de positie van de entiteiten ten opzichte van cyberbeveiliging;

b)

de regelingen voor of verbetering van het beheer van cyberbeveiligingsrisico’s en de maatregelen voor het beheer van cyberbeveiligingsrisico’s;

c)

de regelingen voor maturiteitsbeoordelingen van de cyberbeveiliging en cyberbeveiligingsplannen;

d)

indien van toepassing, het gebruik van algemene technologie, architectuur, open bronnen en de bijbehorende beste praktijken, met het oog op interoperabiliteit en gemeenschappelijke normen, met inbegrip van een gecoördineerde aanpak betreffende de beveiliging van de toeleveringsketen;

e)

in voorkomend geval, informatie om het gebruik van instrumenten voor gemeenschappelijke aanbestedingen voor de aankoop van relevante cyberbeveiligingsdiensten en -producten van derde leveranciers te vergemakkelijken;

f)

regelingen voor informatie-uitwisseling op grond van artikel 20.

whereas
keyboard_arrow_down