keyboard_tab Cyber Resilience Act 2023/2841 NL

1.   Een incident wordt als significant beschouwd als het:

2.   De entiteiten van de Unie verstrekken aan CERT-EU:

3.   Een entiteit van de Unie stelt onverwijld en in elk geval binnen 24 uur nadat zij kennis heeft gekregen van een significant incident, alle in artikel 17, lid 1, bedoelde relevante tegenhangers in de lidstaat waar zij is gevestigd, in kennis van het feit dat zich een significant incident heeft voorgedaan.

4.   De entiteiten van de Unie verstrekken onder meer alle informatie die CERT-EU in staat stelt om alle mogelijke entiteitoverstijgende gevolgen, gevolgen voor de lidstaat van vestiging of grensoverschrijdende gevolgen van een significant incident in kaart te brengen. Onverminderd artikel 12 leidt het louter doen van een melding niet tot een verhoogde aansprakelijkheid voor de entiteit van de Unie.

5.   In voorkomend geval informeren de entiteiten van de Unie de gebruikers van de getroffen netwerk- en informatiesystemen of van andere onderdelen van de ICT-omgeving die mogelijkerwijs door een significant incident of een significante cyberdreiging worden getroffen en in voorkomend geval beperkende maatregelen moeten nemen, onverwijld over alle maatregelen of middelen die zij kunnen nemen of inzetten in antwoord op dat incident of die dreiging. Indien nodig informeren de entiteiten van de Unie die gebruikers over de significante cyberdreiging zelf.

6.   Indien een significant incident of een significante cyberdreiging gevolgen heeft voor een netwerk- en informatiesysteem of een onderdeel van de ICT-omgeving van een entiteit van de Unie waarvan bekend is dat het verbonden is met de ICT-omgeving van een andere entiteit van de Unie, doet CERT-EU een cyberbeveiligingswaarschuwing daaromtrent uitgaan.

7.   De entiteiten van de Unie delen op verzoek van CERT-EU onverwijld de digitale informatie die is opgesteld door het gebruik van elektronische apparaten die bij de respectieve incidenten betrokken zijn geweest. CERT-EU kan nadere bijzonderheden verstrekken betreffende het soort informatie dat nodig is met het oog op situatiebewustzijn en respons op incidenten.

8.   CERT-EU dient om de drie maanden bij de IICB, Enisa, het EU-Intcen en het CSIRT-netwerk een samenvattend verslag in met geanonimiseerde en geaggregeerde gegevens over significante incidenten, incidenten, cyberdreigingen, bijna-incidenten en kwetsbaarheden op grond van artikel 20 en significante incidenten die op grond van lid 2 van dit artikel ter kennis zijn gegeven. Het samenvattend verslag dient als input voor het tweejaarlijkse verslag over de stand van zaken op het gebied van de cyberbeveiliging in de Unie dat op grond van artikel 18 van Richtlijn (EU) 2022/2555 wordt opgesteld.

9.   Uiterlijk op 8 juli 2024 brengt de IICB richtsnoeren of aanbevelingen uit waarin de regelingen voor, en de vorm en inhoud van de rapportage op grond van dit artikel nader worden beschreven. Bij het opstellen van dergelijke richtsnoeren of aanbevelingen houdt de IICB rekening met op grond van artikel 23, lid 11, van Richtlijn (EU) 2022/2555 vastgestelde uitvoeringshandelingen waarin het soort informatie, de vorm en de procedure van kennisgevingen nader worden gespecificeerd. CERT-EU verspreidt de passende technische details, zodat de entiteiten van de Unie proactief opsporings-, incidentrespons- of beperkende maatregelen kunnen nemen.

10.   De in dit artikel vastgestelde rapportageverplichtingen gelden niet voor: