keyboard_tab Cyber Resilience Act 2023/2841 NL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Art. 15 Hoofd van CERT-EU
- 1 Art. 21 Rapportageverplichtingen
HOOFDSTUK I
ALGEMENE BEPALINGEN
HOOFDSTUK II
MAATREGELEN VOOR EEN HOOG GEZAMENLIJK NIVEAU VAN CYBERBEVEILIGING
HOOFDSTUK III
INTERINSTITUTIONELE RAAD VOOR CYBERBEVEILIGING
HOOFDSTUK IV
CERT-EU
HOOFDSTUK V
SAMENWERKING EN VERSLAGLEGGINGSVERPLICHTINGEN
HOOFDSTUK VI
SLOTBEPALINGEN
- cert-eu 25
- incident 16
- voor 15
- unie 13
- artikel 10
- iicb 10
- hoofd 10
- significante 9
- gevolgen 8
- heeft 7
- verslag 7
- door 7
- indien 6
- geval 6
- entiteiten 6
- informatie 6
- entiteit 6
- significant 6
- over 6
- worden 5
- incidenten 5
- hebben 5
- bedoelde 5
- grond 5
- maatregelen 5
- financiële 5
- onverwijld 5
- kennis 5
- de 5
- wordt 5
- binnen 4
- kunnen 4
- lid 4
- brengt 4
- het 4
- nadat 4
- dienstencatalogus 4
- waarin 4
- voorgestelde 4
- inbegrip 4
- zijn 4
- artikel 3
- beoordeling 3
- middelen 3
- ervan 3
- beperkende 3
- stelt 3
- entiteitoverstijgende 3
- opstellen 3
- andere 3
Artikel 15
Hoofd van CERT-EU
1. De Commissie benoemt met goedkeuring door een tweederdemeerderheid van de leden van de IICB het hoofd van CERT-EU. De IICB wordt geraadpleegd in alle stadia van de benoemingsprocedure, in het bijzonder bij het opstellen van vacatureberichten, de beoordeling van de sollicitaties en de benoeming van de selectiecomités voor de functie. De selectieprocedure, met inbegrip van de definitieve shortlist van kandidaten waaruit het hoofd van CERT-EU zal worden benoemd, zorgt voor een eerlijke vertegenwoordiging van elk gender, rekening houdend met de ingediende sollicitaties.
2. Het hoofd van CERT-EU is verantwoordelijk voor het goed functioneren van CERT-EU en handelt binnen de grenzen van zijn of haar rol, onder de leiding van de IICB. Het hoofd van CERT-EU brengt regelmatig verslag uit aan de voorzitter van de IICB en dient desgevraagd ad-hocverslagen in bij de IICB.
3. Het hoofd van CERT-EU verleent de bevoegde gedelegeerd ordonnateur bijstand bij het opstellen van het overeenkomstig artikel 74, lid 9, van Verordening (EU, Euratom) 2018/1046 van het Europees Parlement en de Raad (9) opgestelde jaarlijks activiteitenverslag, dat financiële en beheersinformatie, inclusief de resultaten van controles, bevat, en brengt regelmatig verslag uit aan de bevoegde gedelegeerd ordonnateur over de uitvoering van maatregelen waarvoor aan het hoofd van CERT-EU bevoegdheden zijn gesubdelegeerd.
4. Het hoofd van CERT-EU stelt jaarlijks een financiële planning op van de administratieve ontvangsten en uitgaven voor de activiteiten van CERT-EU, een voorgesteld jaarlijks werkprogramma, een voorgestelde dienstencatalogus voor CERT-EU, voorgestelde herzieningen van de dienstencatalogus, voorgestelde regelingen voor dienstenniveauovereenkomsten en voorgestelde kernprestatie-indicatoren voor CERT-EU, die overeenkomstig artikel 11 door de IICB moeten worden goedgekeurd. Bij de herziening van de lijst van diensten in de dienstencatalogus van CERT-EU houdt het hoofd van CERT-EU rekening met de aan CERT-EU toegewezen middelen.
5. Het hoofd van CERT-EU brengt ten minste eenmaal per jaar verslag uit aan de IICB en de voorzitter ervan over de activiteiten en de prestaties van CERT-EU gedurende de referentieperiode, onder meer met betrekking tot de uitvoering van de begroting, gesloten dienstenniveauovereenkomsten en schriftelijke overeenkomsten, de samenwerking met tegenhangers en partners, en de dienstreizen van personeel, met inbegrip van de in artikel 11 bedoelde verslagen. Die verslagen bevatten een werkprogramma voor de volgende periode, de financiële planning van ontvangsten en uitgaven, met inbegrip van personeel, geplande actualiseringen van de dienstencatalogus van CERT-EU en een beoordeling van het verwachte effect dat dergelijke actualiseringen kunnen hebben op het gebied van financiële en personele middelen.
Artikel 21
Rapportageverplichtingen
1. Een incident wordt als significant beschouwd als het:
a) | de werking van de entiteit van de Unie ernstig heeft verstoord of kan verstoren dan wel voor de betrokken entiteit van de Unie tot financiële verliezen heeft geleid of kan leiden; |
b) | andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken. |
2. De entiteiten van de Unie verstrekken aan CERT-EU:
a) | onverwijld en in elk geval binnen 24 uur nadat zij kennis hebben gekregen van het significante incident, een vroegtijdige waarschuwing, waarin, indien van toepassing, wordt aangegeven dat het significante incident vermoedelijk door een onwettige of kwaadwillige handeling is veroorzaakt, dan wel entiteitoverstijgende of grensoverschrijdende gevolgen zou kunnen hebben; |
b) | onverwijld en in elk geval binnen 72 uur nadat zij kennis hebben gekregen van het significante incident, een incidentmelding met, indien van toepassing, een update van de in punt a) bedoelde informatie, een initiële beoordeling van het significante incident, met inbegrip van de ernst en de gevolgen ervan, alsook, indien beschikbaar, de indicatoren voor aantasting; |
c) | een tussentijds verslag met relevante updates van de situatie, indien CERT-EU daarom verzoekt; |
d) | uiterlijk één maand na de indiening van de in punt b) bedoelde incidentmelding, een eindverslag waarin het volgende is opgenomen:
|
e) | indien het incident nog aan de gang is op het moment dat het in punt d) bedoelde eindverslag wordt ingediend, op dat moment een voortgangsverslag en uiterlijk één maand nadat zij het incident hebben afgehandeld, een eindverslag. |
3. Een entiteit van de Unie stelt onverwijld en in elk geval binnen 24 uur nadat zij kennis heeft gekregen van een significant incident, alle in artikel 17, lid 1, bedoelde relevante tegenhangers in de lidstaat waar zij is gevestigd, in kennis van het feit dat zich een significant incident heeft voorgedaan.
4. De entiteiten van de Unie verstrekken onder meer alle informatie die CERT-EU in staat stelt om alle mogelijke entiteitoverstijgende gevolgen, gevolgen voor de lidstaat van vestiging of grensoverschrijdende gevolgen van een significant incident in kaart te brengen. Onverminderd artikel 12 leidt het louter doen van een melding niet tot een verhoogde aansprakelijkheid voor de entiteit van de Unie.
5. In voorkomend geval informeren de entiteiten van de Unie de gebruikers van de getroffen netwerk- en informatiesystemen of van andere onderdelen van de ICT-omgeving die mogelijkerwijs door een significant incident of een significante cyberdreiging worden getroffen en in voorkomend geval beperkende maatregelen moeten nemen, onverwijld over alle maatregelen of middelen die zij kunnen nemen of inzetten in antwoord op dat incident of die dreiging. Indien nodig informeren de entiteiten van de Unie die gebruikers over de significante cyberdreiging zelf.
6. Indien een significant incident of een significante cyberdreiging gevolgen heeft voor een netwerk- en informatiesysteem of een onderdeel van de ICT-omgeving van een entiteit van de Unie waarvan bekend is dat het verbonden is met de ICT-omgeving van een andere entiteit van de Unie, doet CERT-EU een cyberbeveiligingswaarschuwing daaromtrent uitgaan.
7. De entiteiten van de Unie delen op verzoek van CERT-EU onverwijld de digitale informatie die is opgesteld door het gebruik van elektronische apparaten die bij de respectieve incidenten betrokken zijn geweest. CERT-EU kan nadere bijzonderheden verstrekken betreffende het soort informatie dat nodig is met het oog op situatiebewustzijn en respons op incidenten.
8. CERT-EU dient om de drie maanden bij de IICB, Enisa, het EU-Intcen en het CSIRT-netwerk een samenvattend verslag in met geanonimiseerde en geaggregeerde gegevens over significante incidenten, incidenten, cyberdreigingen, bijna-incidenten en kwetsbaarheden op grond van artikel 20 en significante incidenten die op grond van lid 2 van dit artikel ter kennis zijn gegeven. Het samenvattend verslag dient als input voor het tweejaarlijkse verslag over de stand van zaken op het gebied van de cyberbeveiliging in de Unie dat op grond van artikel 18 van Richtlijn (EU) 2022/2555 wordt opgesteld.
9. Uiterlijk op 8 juli 2024 brengt de IICB richtsnoeren of aanbevelingen uit waarin de regelingen voor, en de vorm en inhoud van de rapportage op grond van dit artikel nader worden beschreven. Bij het opstellen van dergelijke richtsnoeren of aanbevelingen houdt de IICB rekening met op grond van artikel 23, lid 11, van Richtlijn (EU) 2022/2555 vastgestelde uitvoeringshandelingen waarin het soort informatie, de vorm en de procedure van kennisgevingen nader worden gespecificeerd. CERT-EU verspreidt de passende technische details, zodat de entiteiten van de Unie proactief opsporings-, incidentrespons- of beperkende maatregelen kunnen nemen.
10. De in dit artikel vastgestelde rapportageverplichtingen gelden niet voor:
a) | EUCI; |
b) | informatie waarvan de verdere verspreiding is uitgesloten door middel van een zichtbare markering, tenzij het delen daarvan met CERT-EU uitdrukkelijk is toegestaan. |
whereas