keyboard_tab Cyber Resilience Act 2023/2841 NL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 8 Maatregelen voor het beheer van cyberbeveiligingsrisico’s
- 2 Art. 11 Taken van de IICB
- 1 Art. 16 Financiële en personeelszaken
- 1 Art. 23 Beheer van ernstige incidenten
HOOFDSTUK I
ALGEMENE BEPALINGEN
HOOFDSTUK II
MAATREGELEN VOOR EEN HOOG GEZAMENLIJK NIVEAU VAN CYBERBEVEILIGING
HOOFDSTUK III
INTERINSTITUTIONELE RAAD VOOR CYBERBEVEILIGING
HOOFDSTUK IV
CERT-EU
HOOFDSTUK V
SAMENWERKING EN VERSLAGLEGGINGSVERPLICHTINGEN
HOOFDSTUK VI
SLOTBEPALINGEN
- unie 36
- cert-eu 31
- voor 28
- entiteiten 26
- artikel 20
- incidenten 15
- door 14
- zijn 14
- lid 12
- beheer 12
- worden 11
- ernstige 10
- entiteit 9
- tussen 9
- maatregelen 9
- iicb 9
- hoofd 8
- commissie 8
- cyberbeveiliging 8
- stelt 8
- hecht 7
- voorstel 7
- goedkeuring 7
- basis 7
- geval 7
- uitvoering 7
- cyberbeveiligingsrisico’s 7
- bedoelde 6
- beveiliging 6
- gevolgen 6
- zoals 6
- over 6
- grond 6
- technische 6
- deze 5
- verordening 5
- niveau 5
- onder 5
- informatie 5
- wordt 5
- toezicht 5
- diensten 5
- inclusief 5
- rekening 5
- taken 4
- specifieke 4
- kwetsbaarheden 4
- artikel 4
- gebied 4
- dragen 4
Artikel 8
Maatregelen voor het beheer van cyberbeveiligingsrisico’s
1. Elke entiteit van de Unie neemt onverwijld en in elk geval uiterlijk op 8 september 2025, onder het toezicht van haar hoogste managementniveau, passende en evenredige technische, operationele en organisatorische maatregelen voor het beheer van de binnen het kader geïdentificeerde cyberbeveiligingsrisico’s, en voor het voorkomen of tot een minimum beperken van de gevolgen van incidenten. Rekening houdend met de stand van de techniek en, in voorkomend geval, de relevante Europese en internationale normen waarborgen die maatregelen een beveiligingsniveau van netwerk- en informatiesystemen in de gehele ICT-omgeving dat in verhouding staat tot de cyberbeveiligingsrisico’s die zich voordoen. Bij het beoordelen van de evenredigheid van die maatregelen wordt terdege rekening gehouden met de mate waarin de entiteit van de Unie aan cyberbeveiligingsrisico’s is blootgesteld, de omvang van de entiteit van de Unie en de kans dat zich incidenten voordoen en de ernst ervan, met inbegrip van de maatschappelijke, economische en interinstitutionele gevolgen daarvan.
2. Bij de uitvoering van de maatregelen voor het beheer van cyberbeveiligingsrisico’s behandelen de entiteiten van de Unie ten minste de volgende gebieden:
| a) | cyberbeveiligingsbeleid, met inbegrip van de maatregelen die nodig zijn om de in artikel 6 en lid 3 van dit artikel bedoelde doelstellingen en prioriteiten te verwezenlijken; |
| b) | beleid inzake cyberbeveiligingsrisicoanalyse en beveiliging van informatiesystemen; |
| c) | beleidsdoelstellingen met betrekking tot het gebruik van cloudcomputingdiensten; |
| d) | in voorkomend geval een cyberbeveiligingsaudit, die een beoordeling van het cyberbeveiligingsrisico, de kwetsbaarheid en de cyberdreiging kan omvatten, en penetratietests die regelmatig door een betrouwbare particuliere aanbieder worden uitgevoerd; |
| e) | de uitvoering van aanbevelingen die voortvloeien uit de in punt d) bedoelde cyberbeveiligingsaudits door middel van cyberbeveiligings- en beleidsupdates; |
| f) | de organisatie van cyberbeveiliging, inclusief de vaststelling van rollen en verantwoordelijkheden; |
| g) | activabeheer, inclusief een inventaris van ICT-activa en ICT-netwerkarchitectuur; |
| h) | beveiliging van personele middelen en toegangscontrole; |
| i) | operationele beveiliging; |
| j) | communicatiebeveiliging; |
| k) | aankoop, ontwikkeling en onderhoud van systemen, met inbegrip van beleid inzake de respons op en bekendmaking van kwetsbaarheden; |
| l) | indien mogelijk, beleid inzake de transparantie van de broncode; |
| m) | beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten van de betrekkingen tussen elke entiteit van de Unie en haar rechtstreekse leveranciers of dienstverleners; |
| n) | incidentenbehandeling en samenwerking met CERT-EU, zoals continue monitoring en registratie van de beveiliging; |
| o) | bedrijfscontinuïteitsbeheer, zoals back-upbeheer en noodvoorzieningenplannen, en crisisbeheer, en |
| p) | bevordering en ontwikkeling van programma’s betreffende onderwijs, vaardigheden, bewustmaking, oefeningen en opleiding op het gebied van cyberbeveiliging. |
Voor de toepassing van de eerste alinea, punt m), houden entiteiten van de Unie rekening met de specifieke kwetsbaarheden van elke rechtstreekse leverancier en dienstverlener, en met de algehele kwaliteit van de producten en cyberbeveiligingspraktijken van hun leveranciers en dienstverleners, veilige ontwikkelingsprocessen inbegrepen.
3. Entiteiten van de Unie nemen ten minste de volgende specifieke maatregelen voor het beheer van cyberbeveiligingsrisico’s:
| a) | technische regelingen om telewerken mogelijk te maken en te ondersteunen; |
| b) | concrete stappen in de richting van zero trust-beginselen; |
| c) | het gebruik van multifactorauthenticatie als norm in alle netwerk- en informatiesystemen; |
| d) | het gebruik van cryptografie en versleuteling, en met name eind-tot-eindversleuteling, alsook beveiligde digitale ondertekening; |
| e) | waar passend, beveiligde spraak-, beeld- en tekstcommunicatie, en beveiligde noodcommunicatiesystemen binnen de entiteit van de Unie; |
| f) | proactieve maatregelen voor het opsporen en verwijderen van malware en spyware; |
| g) | de totstandbrenging van een veilige toeleveringsketen voor software, door middel van criteria voor de ontwikkeling en evaluatie van veilige software; |
| h) | de opstelling en vaststelling van opleidingsprogramma’s op het gebied van cyberbeveiliging die in verhouding staan tot de voorgeschreven taken en verwachte capaciteiten, voor het hoogste managementniveau en voor de personeelsleden van de entiteit van de Unie die belast zijn met het waarborgen van de effectieve uitvoering van deze verordening; |
| i) | de regelmatige opleiding van personeelsleden op het gebied van cyberbeveiliging; |
| j) | in voorkomend geval de deelname aan risicoanalyses van de interconnectiviteit tussen de entiteiten van de Unie; |
| k) | betere aanbestedingsregels om een hoog gezamenlijk niveau van cyberbeveiliging te bevorderen door:
|
Artikel 11
Taken van de IICB
Bij de uitoefening van zijn verantwoordelijkheden vervult de IICB met name de volgende taken:
| a) | hij verstrekt het hoofd van CERT-EU richtsnoeren; |
| b) | hij houdt effectief toezicht op de uitvoering van deze verordening en ondersteunt de entiteiten van de Unie bij het versterken van hun cyberbeveiliging, onder meer door entiteiten van de Unie en CERT-EU waar passend om ad-hocverslagen te vragen; |
| c) | hij stelt na een strategische discussie een meerjarige strategie vast voor het verhogen van het cyberbeveiligingsniveau in de entiteiten van de Unie, evalueert die strategie regelmatig en in elk geval om de vijf jaar, en wijzigt die strategie indien nodig; |
| d) | hij stelt de methodologie en organisatorische aspecten voor de uitvoering van vrijwillige collegiale toetsingen door entiteiten van de Unie vast om van gedeelde ervaringen te leren, het onderlinge vertrouwen te versterken, een hoog gemeenschappelijk niveau van cyberbeveiliging te bewerkstelligen en de cyberbeveiligingscapaciteiten van de entiteiten van de Unie te verbeteren, waarbij ervoor wordt gezorgd dat dergelijke collegiale toetsingen worden uitgevoerd door cyberbeveiligingsdeskundigen die zijn aangewezen door een andere entiteit van de Unie dan de entiteit van de Unie die wordt geëvalueerd, en dat de methodologie gebaseerd is op artikel 19 van Richtlijn (EU) 2022/2555 en, in voorkomend geval, wordt aangepast aan de entiteiten van de Unie; |
| e) | hij hecht zijn goedkeuring aan het jaarlijkse werkprogramma van CERT-EU op basis van een voorstel van het hoofd van CERT-EU en ziet toe op de uitvoering ervan; |
| f) | hij hecht zijn goedkeuring aan de CERT-EU -dienstencatalogus en alle bijwerkingen daarvan, op basis van een voorstel van het hoofd van CERT-EU; |
| g) | hij hecht zijn goedkeuring aan de verwachte jaarlijkse ontvangsten en uitgaven, inclusief wat personeel betreft, voor CERT-EU, op basis van een voorstel van het hoofd van CERT-EU; |
| h) | hij hecht zijn goedkeuring aan de regelingen voor dienstenniveauovereenkomsten, op basis van een voorstel van het hoofd van CERT-EU; |
| i) | hij controleert en hecht zijn goedkeuring aan het door het hoofd van CERT-EU opgestelde jaarverslag over de activiteiten van, en het beheer van de middelen door, CERT-EU; |
| j) | hij hecht zijn goedkeuring aan en monitort kernprestatie-indicatoren voor CERT-EU die op basis van een voorstel van het hoofd van CERT-EU worden vastgesteld; |
| k) | hij hecht zijn goedkeuring aan samenwerkingsovereenkomsten en dienstenniveauovereenkomsten of overeenkomsten tussen CERT-EU en andere entiteiten op grond van artikel 18; |
| l) | hij stelt richtsnoeren en aanbevelingen vast op basis van een voorstel van CERT-EU overeenkomstig artikel 14 en draagt CERT-EU op om een oproep tot actie, of een voorstel voor richtsnoeren of aanbevelingen, uit te vaardigen, in te trekken of te wijzigen; |
| m) | hij stelt technische adviesgroepen met specifieke taken in ter ondersteuning van de werkzaamheden van de IICB, keurt hun mandaat goed en wijst hun voorzitter aan; |
| n) | hij ontvangt en beoordeelt documenten en verslagen die de entiteiten van de Unie uit hoofde van deze verordening indienen, zoals maturiteitsbeoordelingen van de cyberbeveiliging; |
| o) | hij bevordert de oprichting van een informele groep van lokale cyberbeveiligingsfunctionarissen van entiteiten van de Unie, ondersteund door Enisa, teneinde beste praktijken en informatie in verband met de uitvoering van deze verordening uit te wisselen; |
| p) | hij houdt toezicht op de toereikendheid van de interconnectiviteitsregelingen tussen de ICT-omgevingen van de entiteiten van de Unie, rekening houdend met de door CERT-EU verstrekte informatie over de vastgestelde cyberbeveiligingsrisico’s en de geleerde lessen, en brengt advies uit over mogelijke verbeteringen; |
| q) | hij stelt een cybercrisisbeheersplan op om op operationeel niveau het gecoördineerde beheer van ernstige incidenten met gevolgen voor entiteiten van de Unie te ondersteunen en bij te dragen tot de regelmatige uitwisseling van relevante informatie, met name met betrekking tot de gevolgen en de ernst van ernstige incidenten en de mogelijke manieren om de gevolgen ervan te beperken; |
| r) | hij coördineert de vaststelling van de cybercrisisbeheersplannen door de individuele entiteiten van de Unie zoals bedoeld in artikel 9, lid 2; |
| s) | hij stelt aanbevelingen vast in verband met de beveiliging van de toeleveringsketen zoals bedoeld in artikel 8, lid 2, eerste alinea, punt m), rekening houdend met de resultaten van op Unieniveau gecoördineerde beveiligingsrisicobeoordelingen van kritieke toeleveringsketens zoals bedoeld in artikel 22 van Richtlijn (EU) 2022/2555, teneinde de entiteiten van de Unie te ondersteunen bij het doorvoeren van doeltreffende en passende maatregelen voor het beheer van cyberbeveiligingsrisico’s. |
Artikel 16
Financiële en personeelszaken
1. CERT-EU wordt geïntegreerd in de administratieve structuur van een directoraat-generaal van de Commissie zodat het kan profiteren van de ondersteunende structuren van de Commissie op het gebied van administratie, financieel beheer en boekhouding, met behoud van zijn status als autonome interinstitutionele dienstverlener voor alle entiteiten van de Unie. De Commissie stelt de IICB in kennis van de administratieve vestiging van CERT-EU en van eventuele wijzigingen daarvan. De Commissie evalueert de administratieve regelingen met betrekking tot CERT-EU regelmatig en in elk geval vóór de vaststelling van een meerjarig financieel kader op grond van artikel 312 VWEU, zodat passende actie kan worden ondernomen. De evaluatie omvat de mogelijkheid om CERT-EU als bureau van de Unie aan te duiden.
2. Voor de toepassing van de administratieve en financiële procedures handelt het hoofd van CERT-EU onder het gezag van de Commissie en onder toezicht van de IICB.
3. De taken en activiteiten van CERT-EU, inclusief de diensten die CERT-EU op grond van artikel 13, leden 3, 4, 5 en 7, en artikel 14, lid 1, verleent aan de uit de rubriek Europees openbaar bestuur van het meerjarige financiële kader gefinancierde entiteiten van de Unie, worden uit een afzonderlijke begrotingslijn van de begroting van de Commissie gefinancierd. De voor CERT-EU gereserveerde posten worden gespecificeerd in een voetnoot bij de personeelsformatie van de Commissie.
4. Andere dan de in lid 3 van dit artikel bedoelde entiteiten van de Unie leveren een jaarlijkse financiële bijdrage aan CERT-EU ter dekking van de door CERT-EU op grond van dat lid verleende diensten. De bijdragen worden gebaseerd op richtsnoeren van de IICB en in dienstenniveauovereenkomsten tussen elke entiteit van de Unie en CERT-EU bepaald. De bijdragen vertegenwoordigen een billijk en evenredig deel van de totale kosten van de verleende diensten. Deze worden als interne bestemmingsontvangsten in de zin van artikel 21, lid 3, punt c), van Verordening (EU, Euratom) 2018/1046 via de in lid 3 van dit artikel bedoelde afzonderlijke begrotingslijn ontvangen.
5. De kosten van de in artikel 13, lid 6, bedoelde diensten worden verhaald op de entiteiten van de Unie die de diensten van CERT-EU ontvangen. De ontvangsten worden bestemd voor de begrotingsonderdelen die de kosten dragen.
Artikel 23
Beheer van ernstige incidenten
1. Om op operationeel niveau het gecoördineerde beheer van ernstige incidenten die gevolgen hebben voor entiteiten van de Unie te ondersteunen en bij te dragen tot de regelmatige uitwisseling van relevante informatie tussen entiteiten van de Unie en met de lidstaten, stelt de IICB op grond van artikel 11, punt q), op basis van de in artikel 22, lid 2, bedoelde activiteiten een cybercrisisbeheersplan op, dit in nauwe samenwerking met CERT-EU en Enisa. Het cybercrisisbeheersplan bevat ten minste de volgende elementen:
| a) | regelingen betreffende de coördinatie en de informatiedoorstroming tussen entiteiten van de Unie voor het beheer van ernstige incidenten op operationeel niveau; |
| b) | gemeenschappelijke standaardwerkwijzen; |
| c) | een gemeenschappelijke taxonomie met betrekking tot de ernst van ernstige incidenten en crisistriggerpunten; |
| d) | regelmatige oefeningen; |
| e) | te gebruiken beveiligde communicatiekanalen. |
2. De vertegenwoordiger van de Commissie in de IICB is, onder voorbehoud van het op grond van lid 1 van dit artikel opgestelde cybercrisisbeheersplan en onverminderd artikel 16, lid 2, eerste alinea, van Richtlijn (EU) 2022/2555, het contactpunt voor het delen van relevante informatie over ernstige incidenten met EU-CyCLONe.
3. CERT-EU coördineert het beheer van ernstige incidenten tussen de entiteiten van de Unie. Het houdt een inventaris bij van de beschikbare technische deskundigheid die nodig is voor de respons op ernstige incidenten, en het ondersteunt de IICB bij de coördinatie van de cybercrisisbeheersplannen van de entiteiten van de Unie voor ernstige incidenten als bedoeld in artikel 9, lid 2.
4. De entiteiten van de Unie dragen bij tot de inventaris van technische deskundigheid door een jaarlijks bijgewerkte lijst te leveren van deskundigen die binnen hun respectieve organisaties beschikbaar zijn, inclusief nadere gegevens over hun specifieke technische vaardigheden.
HOOFDSTUK VI
SLOTBEPALINGEN
whereas