keyboard_tab Cyber Resilience Act 2023/2841 NL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 10 Interinstitutionele raad voor cyberbeveiliging
- 3 Art. 12 Naleving
- 1 Art. 13 Missie en taken van CERT-EU
- 1 Art. 20 Informatie-uitwisselingsregelingen op het gebied van cyberbeveiliging
- 1 Art. 24 Initiële heroriëntering van begrotingsmiddelen
HOOFDSTUK I
ALGEMENE BEPALINGEN
HOOFDSTUK II
MAATREGELEN VOOR EEN HOOG GEZAMENLIJK NIVEAU VAN CYBERBEVEILIGING
HOOFDSTUK III
INTERINSTITUTIONELE RAAD VOOR CYBERBEVEILIGING
HOOFDSTUK IV
CERT-EU
HOOFDSTUK V
SAMENWERKING EN VERSLAGLEGGINGSVERPLICHTINGEN
HOOFDSTUK VI
SLOTBEPALINGEN
- unie 65
- iicb 40
- entiteiten 32
- entiteit 25
- cert-eu 24
- voor 23
- door 23
- zijn 20
- informatie 18
- artikel 17
- verordening 16
- deze 16
- de 15
- over 15
- betrokken 15
- grond 11
- wordt 11
- cert-eu 10
- incidenten 10
- europese 10
- cyberbeveiliging 10
- lid 10
- voorzitter 9
- uitvoering 9
- europees 8
- niet 8
- verzoek 8
- vastgestelde 8
- andere 8
- maatregelen 7
- indien 7
- raad 7
- binnen 7
- worden 7
- taken 7
- bedoelde 7
- aanbevelingen 7
- samenwerking 7
- heeft 6
- basis 6
- leden 6
- eerste 6
- overeenkomstig 6
- cyberdreigingen 6
- diensten 6
- alinea 5
- procedures 5
- reglement 5
- eu / 5
- orde 5
Artikel 10
Interinstitutionele raad voor cyberbeveiliging
1. Er wordt een interinstitutionele raad voor cyberbeveiliging (IICB) opgericht.
2. De IICB is verantwoordelijk voor:
| a) | het toezicht op en de ondersteuning van de uitvoering van deze verordening door de entiteiten van de Unie; |
| b) | het toezicht op de uitvoering van de algemene prioriteiten en doelstellingen door CERT-EU en het geven van strategische leiding aan CERT-EU. |
3. De IICB bestaat uit:
| a) | één vertegenwoordiger die wordt aangewezen door elk van de volgende partijen:
|
| b) | drie vertegenwoordigers die door het netwerk van EU-agentschappen (EUAN) op basis van een voorstel van zijn adviescomité voor ICT worden aangewezen om de belangen te behartigen van andere dan de in punt a) bedoelde organen en instanties van de Unie die hun eigen ICT-omgeving beheren. |
De in de IICB vertegenwoordigde entiteiten van de Unie streven naar genderevenwicht onder de aangewezen vertegenwoordigers.
4. De leden van de IICB kunnen door een plaatsvervanger worden bijgestaan. Andere vertegenwoordigers van de in lid 3 bedoelde entiteiten van de Unie of van andere entiteiten van de Unie kunnen door de voorzitter worden uitgenodigd om zonder stemrecht aan IICB-vergaderingen deel te nemen.
5. Het hoofd van CERT-EU en de voorzitters van de samenwerkingsgroep, het CSIRT-netwerk en EU-CyCLONe, respectievelijk opgericht op grond van de artikelen 14, 15 en 16 van Richtlijn (EU) 2022/2555, of hun plaatsvervangers, kunnen als waarnemer deelnemen aan IICB-vergaderingen. In uitzonderlijke gevallen kan de IICB overeenkomstig zijn reglement van orde anders beslissen.
6. De IICB stelt zijn reglement van orde vast.
7. De IICB wijst overeenkomstig zijn reglement van orde uit zijn leden een voorzitter aan voor een periode van drie jaar. De plaatsvervanger van de voorzitter wordt voor dezelfde duur volwaardig lid van de IICB.
8. De IICB komt ten minste driemaal per jaar bijeen op initiatief van zijn voorzitter, op verzoek van CERT-EU of op verzoek van een van zijn leden.
9. Elk lid van de IICB heeft één stem. Tenzij in deze verordening anders is bepaald, worden de besluiten van de IICB genomen met gewone meerderheid. De voorzitter van de IICB heeft uitsluitend stemrecht bij staking van de stemmen; in dat geval geeft de stem van de voorzitter de doorslag.
10. De IICB kan handelen door middel van een vereenvoudigde schriftelijke procedure conform zijn reglement van orde. Op grond van die procedure wordt het desbetreffende besluit geacht binnen de door de voorzitter vastgestelde termijn te zijn goedgekeurd, tenzij een lid bezwaar maakt.
11. Het secretariaat van de IICB wordt verzorgd door de Commissie en legt verantwoording af aan de voorzitter van de IICB.
12. De door het EUAN benoemde vertegenwoordigers brengen de besluiten van de IICB over aan de leden van het EUAN. Leden van het EUAN mogen iedere kwestie die zij voor de IICB van belang achten, aan die vertegenwoordigers of de voorzitter van de IICB voorleggen.
13. De IICB kan een uitvoerend comité oprichten om hem bij zijn werkzaamheden bij te staan, en een aantal van zijn taken en bevoegdheden daaraan delegeren. De IICB stelt het reglement van orde van het uitvoerend comité vast, met inbegrip van de taken en bevoegdheden van dat comité en de ambtstermijn van de leden daarvan.
14. Uiterlijk op 8 januari 2025 en vervolgens jaarlijks dient de IICB bij het Europees Parlement en de Raad een verslag in over de vooruitgang die bij de uitvoering van deze verordening is geboekt, waarin met name de mate van samenwerking van CERT-EU met tegenhangers in de lidstaten in elk van de lidstaten wordt gespecificeerd. Het verslag dient als input voor het tweejaarlijkse verslag over de stand van zaken op het gebied van de cyberbeveiliging in de Unie dat op grond van artikel 18 van Richtlijn (EU) 2022/2555 wordt opgesteld.
Artikel 12
Naleving
1. De IICB houdt op grond van artikel 10, lid 2, en artikel 11 effectief toezicht op de uitvoering van deze verordening en de door de entiteiten van de Unie vastgestelde richtsnoeren, aanbevelingen en oproepen tot actie. De IICB kan de daartoe benodigde informatie of documentatie opvragen bij de entiteiten van de Unie. Voor de vaststelling van nalevingsmaatregelen uit hoofde van dit artikel heeft de betrokken entiteit van de Unie geen stemrecht indien die entiteit rechtstreeks vertegenwoordigd is in de IICB.
2. Indien de IICB vaststelt dat een entiteit van de Unie deze verordening of de op grond van deze verordening vastgestelde richtsnoeren, aanbevelingen of oproepen tot actie niet doeltreffend heeft uitgevoerd, kan hij, onverminderd de interne procedures van de betrokken entiteit van de Unie, en na de betrokken entiteit van de Unie de gelegenheid te hebben gegeven opmerkingen te maken:
| a) | de betrokken entiteit van de Unie een met redenen omkleed advies doen toekomen inzake de geconstateerde lacunes in de uitvoering van deze verordening; |
| b) | na raadpleging van CERT-EU de betrokken entiteit van de Unie richtsnoeren verstrekken om ervoor te zorgen dat haar kader, maatregelen voor het beheer van cyberbeveiligingsrisico’s, cyberbeveiligingsplan en verslaglegging binnen een bepaalde termijn in overeenstemming zijn met deze verordening; |
| c) | een waarschuwing doen uitgaan om vastgestelde tekortkomingen binnen een bepaalde termijn te verhelpen, met inbegrip van aanbevelingen tot wijziging van maatregelen die de betrokken entiteit van de Unie op grond van deze verordening heeft getroffen; |
| d) | een met redenen omklede kennisgeving doen uitgaan aan de betrokken entiteit van de Unie indien de in een waarschuwing op grond van punt c) vastgestelde tekortkomingen niet voldoende werden verholpen binnen de vermelde termijn; |
| e) | het volgende doen uitgaan:
|
| f) | in voorkomend geval de Rekenkamer, binnen de grenzen van haar mandaat, in kennis stellen van de vermeende niet-naleving; |
| g) | een aanbeveling aan alle lidstaten en entiteiten van de Unie doen uitgaan om gegevensstromen naar de betrokken entiteit van de Unie tijdelijk op te schorten. |
Voor de toepassing van de eerste alinea, punt c), wordt de waarschuwing gericht tot een op passende wijze beperkt publiek, indien nodig met het oog op het cyberbeveiligingsrisico.
Op grond van de eerste alinea uitgebrachte waarschuwingen en aanbevelingen worden gericht aan het hoogste managementniveau van de betrokken entiteit van de Unie.
3. Indien de IICB maatregelen heeft genomen op grond van lid 2, eerste alinea, punten a) tot en met g), verstrekt de betrokken entiteit van de Unie nadere informatie over de maatregelen en acties die zijn genomen om de door de IICB vastgestelde vermeende tekortkomingen te verhelpen. De entiteit van de Unie dient deze nadere informatie binnen een met de IICB overeen te komen redelijke termijn in.
4. Wanneer de IICB van oordeel is dat er sprake is van een aanhoudende schending van deze verordening door een entiteit van de Unie als rechtstreeks gevolg van het handelen of nalaten van een ambtenaar of ander personeelslid van de Unie, ook op het hoogste managementniveau, verzoekt de IICB de betrokken entiteit van de Unie passende maatregelen te nemen, met inbegrip van het verzoek te overwegen om maatregelen van disciplinaire aard te nemen, overeenkomstig de bepalingen en procedures van het Statuut en alle andere toepasselijke regels en procedures. Daartoe draagt de IICB de nodige informatie over aan de betrokken entiteit van de Unie.
5. Indien entiteiten van de Unie er kennis van geven dat zij niet in staat zijn om de in artikel 6, lid 1, en artikel 8, lid 1, vastgestelde termijnen te halen, kan de IICB, in naar behoren gemotiveerde gevallen en rekening houdend met de omvang van de entiteit van de Unie, toestemming geven om die termijnen te verlengen.
HOOFDSTUK IV
CERT-EU
Artikel 13
Missie en taken van CERT-EU
1. De missie van CERT-EU bestaat erin bij te dragen tot de beveiliging van de niet-gerubriceerde ICT-omgeving van de entiteiten van de Unie door ze te adviseren over cyberbeveiliging, door ze te helpen incidenten te voorkomen, op te sporen, te behandelen, te beperken, daarop te reageren en daarvan te herstellen, en door op te treden als knooppunt voor hun informatie-uitwisseling inzake cyberbeveiliging en responscoördinatie bij incidenten.
2. CERT-EU verzamelt, beheert, analyseert en deelt informatie met de entiteiten van de Unie over cyberdreigingen, kwetsbaarheden en incidenten in niet-gerubriceerde ICT-infrastructuur. Het coördineert de respons op incidenten op interinstitutioneel niveau en op het niveau van de entiteiten van de Unie, onder meer door gespecialiseerde operationele bijstand te verlenen of te coördineren.
3. CERT-EU verricht de volgende taken om de entiteiten van de Unie bij te staan:
| a) | het ondersteunt ze bij de uitvoering van deze verordening en draagt bij tot de coördinatie van de uitvoering van deze verordening door middel van de in artikel 14, lid 1, vermelde maatregelen of via door de IICB gevraagde ad-hocverslagen; |
| b) | het biedt standaard CSIRT-diensten aan de entiteiten van de Unie door middel van een in zijn dienstencatalogus beschreven pakket cyberbeveiligingsdiensten (basisniveaudiensten); |
| c) | het onderhoudt een netwerk van soortgelijke organisaties en partners ter ondersteuning van de in de artikelen 17 en 18 bedoelde diensten; |
| d) | het brengt problemen betreffende de uitvoering van deze verordening en de uitvoering van richtsnoeren, aanbevelingen en oproepen tot actie onder de aandacht van de IICB; |
| e) | het draagt op basis van de in lid 2 bedoelde informatie bij tot het situatiebewustzijn van de Unie op het gebied van cyberbeveiliging, in nauwe samenwerking met Enisa; |
| f) | het coördineert het beheer van ernstige incidenten; |
| g) | het handelt namens entiteiten van de Unie als equivalent van de coördinator die is aangewezen met het oog op de gecoördineerde bekendmaking van kwetsbaarheden op grond artikel 12, lid 1, van Richtlijn (EU) 2022/2555; |
| h) | het gaat op verzoek van een entiteit van de Unie over tot het proactief en niet-intrusief scannen van openbaar toegankelijke netwerk- en informatiesystemen van die entiteit van de Unie. |
De in de eerste alinea, punt e), bedoelde informatie wordt, indien van toepassing en gepast, gedeeld met de IICB, het CSIRT-netwerk en het Inlichtingen- en situatiecentrum van de Europese Unie (EU-Intcen); daarbij worden passende geheimhoudingsvoorwaarden in acht genomen.
4. CERT-EU kan overeenkomstig artikel 17 of artikel 18, naargelang het geval, samenwerken met relevante cyberbeveiligingsgemeenschappen binnen de Unie en haar lidstaten, onder meer op de volgende gebieden:
| a) | paraatheid, incidentcoördinatie, informatie-uitwisseling en crisisrespons op technisch niveau in gevallen die met de entiteiten van de Unie verband houden; |
| b) | operationele samenwerking inzake het CSIRT-netwerk, ook betreffende wederzijdse bijstand; |
| c) | inlichtingen inzake cyberdreigingen, inclusief situatiebewustzijn; |
| d) | elk ander onderwerp waarvoor de technische deskundigheid op het gebied van cyberbeveiliging van CERT-EU vereist is. |
5. Binnen het kader van zijn bevoegdheid onderhoudt CERT-EU gestructureerde samenwerking met Enisa met betrekking tot capaciteitsopbouw, operationele samenwerking en strategische langetermijnanalyses van cyberdreigingen, overeenkomstig Verordening (EU) 2019/881. CERT-EU kan samenwerken en informatie uitwisselen met het Europees Centrum voor de bestrijding van cybercriminaliteit van Europol.
6. CERT-EU kan de volgende diensten aanbieden die niet in de dienstencatalogus zijn beschreven (aangerekende diensten):
| a) | andere dan de in lid 3 bedoelde diensten ter ondersteuning van de cyberbeveiliging van de ICT-omgeving van de entiteiten van de Unie, op basis van dienstenniveauovereenkomsten en afhankelijk van de beschikbaarheid van middelen, met name brede netwerkmonitoring, met inbegrip van continue eerstelijnsmonitoring voor zeer ernstige cyberdreigingen; |
| b) | andere diensten dan diensten ter bescherming van de ICT-omgeving van de entiteiten van de Unie, ter ondersteuning van hun cyberbeveiligingsoperaties of -projecten, op basis van schriftelijke overeenkomsten en met voorafgaande goedkeuring van de IICB; |
| c) | op verzoek, het proactief scannen van de netwerk- en informatiesystemen van de betrokken entiteit van de Unie om kwetsbaarheden met mogelijk aanzienlijke gevolgen op te sporen; |
| d) | diensten ter ondersteuning van de beveiliging van de ICT-omgeving van andere organisaties dan de entiteiten van de Unie, die nauw met de entiteiten van de Unie samenwerken, bijvoorbeeld omdat zij taken of verantwoordelijkheden uit hoofde van Unierecht vervullen, op basis van schriftelijke overeenkomsten en met voorafgaande goedkeuring van de IICB. |
Met betrekking tot de eerste alinea, punt d), kan CERT-EU bij wijze van uitzondering met voorafgaande toestemming van de IICB dienstenniveauovereenkomsten sluiten met andere entiteiten dan de entiteiten van de Unie.
7. CERT-EU organiseert cyberbeveiligingsoefeningen en kan eraan deelnemen of deelname aan bestaande oefeningen aanbevelen, in voorkomend geval in nauwe samenwerking met Enisa, om het cyberbeveiligingsniveau van de entiteiten van de Unie te testen.
8. CERT-EU kan de entiteiten van de Unie bijstaan bij incidenten in netwerk- en informatiesystemen die EUCI verwerken, indien de betrokken entiteiten van de Unie daar uitdrukkelijk om verzoeken overeenkomstig hun respectieve procedures. Het verlenen van bijstand door CERT-EU uit hoofde van dit lid laat de toepasselijke regels inzake de bescherming van gerubriceerde informatie onverlet.
9. CERT-EU informeert de entiteiten van de Unie over zijn procedures en processen voor incidentenbehandeling.
10. CERT-EU draagt, met een hoog niveau van vertrouwelijkheid en betrouwbaarheid, via de passende samenwerkingsmechanismen en rapportagelijnen bij tot relevante en geanonimiseerde informatie over ernstige incidenten en de wijze waarop deze werden afgehandeld. Die informatie wordt opgenomen in het in artikel 10, lid 14, bedoelde verslag.
11. Bij de aanpak van incidenten die leiden tot inbreuken in verband met persoonsgegevens, ondersteunt CERT-EU de betrokken entiteiten van de Unie, in samenwerking met de Europese Toezichthouder voor gegevensbescherming, onverminderd de bevoegdheid en taken van die Toezichthouder als toezichthoudende autoriteit uit hoofde van Verordening (EU) 2018/1725.
12. CERT-EU kan, indien de beleidsafdelingen van de entiteiten van de Unie daar uitdrukkelijk om verzoeken, technisch advies of technische input verstrekken voor relevante beleidskwesties.
Artikel 20
Informatie-uitwisselingsregelingen op het gebied van cyberbeveiliging
1. De entiteiten van de Unie kunnen CERT-EU op vrijwillige basis in kennis stellen van en informatie verstrekken over incidenten, cyberdreigingen, bijna-incidenten en kwetsbaarheden met gevolgen voor hen. CERT-EU zorgt ervoor dat het over efficiënte communicatiemiddelen met een hoge mate van traceerbaarheid, vertrouwelijkheid en betrouwbaarheid beschikt om informatie-uitwisseling met de entiteiten van de Unie te vergemakkelijken. Bij het verwerken van kennisgevingen kan CERT-EU voorrang geven aan de verwerking van verplichte boven vrijwillige kennisgevingen. Onverminderd artikel 12 mag vrijwillige kennisgeving er niet toe leiden dat de kennisgevende entiteit van de Unie aanvullende verplichtingen worden opgelegd waaraan zij niet onderworpen zou zijn geweest indien zij de kennisgeving niet had gedaan.
2. Om zijn missie en taken op grond van artikel 13 uit te voeren, kan CERT-EU entiteiten van de Unie verzoeken informatie uit hun respectieve ICT-systeeminventarissen te verstrekken, met inbegrip van informatie over cyberdreigingen, bijna-incidenten, kwetsbaarheden, indicatoren voor aantasting, cyberbeveiligingswaarschuwingen en aanbevelingen betreffende de configuratie van cyberbeveiligingsinstrumenten om incidenten te detecteren. De aangezochte entiteit van de Unie zendt de verlangde informatie en bijbehorende actualiseringen daarvan onverwijld toe.
3. CERT-EU kan met entiteiten van de Unie incidentspecifieke informatie uitwisselen die de identiteit van de door het incident getroffen entiteit van de Unie onthult, mits de getroffen entiteit van de Unie daarin toestemt. Wanneer een entiteit van de Unie haar toestemming weigert, verstrekt zij CERT-EU de redenen voor dat besluit.
4. De entiteiten van de Unie wisselen op verzoek informatie uit met het Europees Parlement en de Raad over de voltooiing van de cyberbeveiligingsplannen.
5. De IICB of CERT-EU, naargelang het geval, deelt op verzoek richtsnoeren, aanbevelingen en oproepen tot actie met het Europees Parlement en de Raad.
6. De in dit artikel vastgestelde deelverplichtingen gelden niet voor:
| a) | EUCI; |
| b) | informatie waarvan de verdere verspreiding is uitgesloten door middel van een zichtbare markering, tenzij het delen daarvan met CERT-EU uitdrukkelijk is toegestaan. |
Artikel 24
Initiële heroriëntering van begrotingsmiddelen
Om de goede en stabiele werking van CERT-EU te waarborgen, kan de Commissie voorstellen om personele en financiële middelen over te hevelen naar de begroting van de Commissie ten behoeve van de activiteiten van CERT-EU. De heroriëntering valt samen met de eerste jaarlijkse begroting van de Unie die na de inwerkingtreding van deze verordening wordt vastgesteld.
whereas