keyboard_tab Cyber Resilience Act 2023/2841 NL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 4 Verwerking van persoonsgegevens
- 2 Art. 12 Naleving
- 1 Art. 20 Informatie-uitwisselingsregelingen op het gebied van cyberbeveiliging
HOOFDSTUK I
ALGEMENE BEPALINGEN
HOOFDSTUK II
MAATREGELEN VOOR EEN HOOG GEZAMENLIJK NIVEAU VAN CYBERBEVEILIGING
HOOFDSTUK III
INTERINSTITUTIONELE RAAD VOOR CYBERBEVEILIGING
HOOFDSTUK IV
CERT-EU
HOOFDSTUK V
SAMENWERKING EN VERSLAGLEGGINGSVERPLICHTINGEN
HOOFDSTUK VI
SLOTBEPALINGEN
- unie 34
- entiteit 22
- artikel 20
- voor 20
- grond 17
- cert-eu 13
- informatie 13
- verordening 13
- iicb 12
- betrokken 12
- entiteiten 12
- deze 11
- maatregelen 10
- lid 8
- niet 7
- vastgestelde 7
- door 7
- de 7
- aanbevelingen 6
- over 6
- zijn 5
- binnen 5
- doen 5
- persoonsgegevens 5
- raad 4
- verwerking 4
- verzoek 4
- richtsnoeren 4
- termijn 4
- redenen 4
- cyberbeveiliging 4
- indien 4
- worden 4
- heeft 4
- noodzakelijk 3
- incidenten 3
- waarschuwing 3
- uitgaan 3
- tekortkomingen 3
- oproepen 3
- inbegrip 3
- haar 3
- getroffen 3
- delen 3
- kennisgeving 3
- verstrekken 3
- beheer 3
- actie 3
- taken 3
- verplichtingen 3
Artikel 4
Verwerking van persoonsgegevens
1. De verwerking van persoonsgegevens door CERT-EU, de op grond van artikel 10 opgerichte interinstitutionele raad voor cyberbeveiliging en de entiteiten van de Unie in het kader van deze verordening geschiedt overeenkomstig Verordening (EU) 2018/1725.
2. Wanneer zij taken of verplichtingen op grond van deze verordening vervullen, mogen CERT-EU, de op grond van artikel 10 opgerichte interinstitutionele raad voor cyberbeveiliging en de entiteiten van de Unie persoonsgegevens slechts verwerken en uitwisselen voor zover dat noodzakelijk is en alleen met het oog op het vervullen van die taken of verplichtingen.
3. De verwerking van bijzondere categorieën persoonsgegevens als bedoeld in artikel 10, lid 1, van Verordening (EU) 2018/1725 wordt noodzakelijk geacht om redenen van zwaarwegend algemeen belang op grond van artikel 10, lid 2, punt g), van die verordening. Dergelijke gegevens mogen alleen worden verwerkt voor zover dat noodzakelijk is voor de uitvoering van de in de artikelen 6 en 8 bedoelde maatregelen voor het beheer van cyberbeveiligingsrisico’s, voor de verlening van diensten door CERT-EU op grond van artikel 13, voor het delen van incidentspecifieke informatie op grond van artikel 17, lid 3, en artikel 18, lid 3, voor het delen van informatie op grond van artikel 20, voor de rapportageverplichtingen op grond van artikel 21, voor coördinatie en samenwerking bij incidentenbehandeling op grond van artikel 22 en voor het beheer van ernstige incidenten op grond van artikel 23 van deze verordening. Wanneer de entiteiten van de Unie en CERT-EU optreden als verwerkingsverantwoordelijken, passen zij technische maatregelen toe om te voorkomen dat bijzondere categorieën persoonsgegevens voor andere doeleinden worden verwerkt en voorzien zij in passende en specifieke maatregelen om de grondrechten en de belangen van de betrokkenen te beschermen.
HOOFDSTUK II
MAATREGELEN VOOR EEN HOOG GEZAMENLIJK NIVEAU VAN CYBERBEVEILIGING
Artikel 12
Naleving
1. De IICB houdt op grond van artikel 10, lid 2, en artikel 11 effectief toezicht op de uitvoering van deze verordening en de door de entiteiten van de Unie vastgestelde richtsnoeren, aanbevelingen en oproepen tot actie. De IICB kan de daartoe benodigde informatie of documentatie opvragen bij de entiteiten van de Unie. Voor de vaststelling van nalevingsmaatregelen uit hoofde van dit artikel heeft de betrokken entiteit van de Unie geen stemrecht indien die entiteit rechtstreeks vertegenwoordigd is in de IICB.
2. Indien de IICB vaststelt dat een entiteit van de Unie deze verordening of de op grond van deze verordening vastgestelde richtsnoeren, aanbevelingen of oproepen tot actie niet doeltreffend heeft uitgevoerd, kan hij, onverminderd de interne procedures van de betrokken entiteit van de Unie, en na de betrokken entiteit van de Unie de gelegenheid te hebben gegeven opmerkingen te maken:
| a) | de betrokken entiteit van de Unie een met redenen omkleed advies doen toekomen inzake de geconstateerde lacunes in de uitvoering van deze verordening; |
| b) | na raadpleging van CERT-EU de betrokken entiteit van de Unie richtsnoeren verstrekken om ervoor te zorgen dat haar kader, maatregelen voor het beheer van cyberbeveiligingsrisico’s, cyberbeveiligingsplan en verslaglegging binnen een bepaalde termijn in overeenstemming zijn met deze verordening; |
| c) | een waarschuwing doen uitgaan om vastgestelde tekortkomingen binnen een bepaalde termijn te verhelpen, met inbegrip van aanbevelingen tot wijziging van maatregelen die de betrokken entiteit van de Unie op grond van deze verordening heeft getroffen; |
| d) | een met redenen omklede kennisgeving doen uitgaan aan de betrokken entiteit van de Unie indien de in een waarschuwing op grond van punt c) vastgestelde tekortkomingen niet voldoende werden verholpen binnen de vermelde termijn; |
| e) | het volgende doen uitgaan:
|
| f) | in voorkomend geval de Rekenkamer, binnen de grenzen van haar mandaat, in kennis stellen van de vermeende niet-naleving; |
| g) | een aanbeveling aan alle lidstaten en entiteiten van de Unie doen uitgaan om gegevensstromen naar de betrokken entiteit van de Unie tijdelijk op te schorten. |
Voor de toepassing van de eerste alinea, punt c), wordt de waarschuwing gericht tot een op passende wijze beperkt publiek, indien nodig met het oog op het cyberbeveiligingsrisico.
Op grond van de eerste alinea uitgebrachte waarschuwingen en aanbevelingen worden gericht aan het hoogste managementniveau van de betrokken entiteit van de Unie.
3. Indien de IICB maatregelen heeft genomen op grond van lid 2, eerste alinea, punten a) tot en met g), verstrekt de betrokken entiteit van de Unie nadere informatie over de maatregelen en acties die zijn genomen om de door de IICB vastgestelde vermeende tekortkomingen te verhelpen. De entiteit van de Unie dient deze nadere informatie binnen een met de IICB overeen te komen redelijke termijn in.
4. Wanneer de IICB van oordeel is dat er sprake is van een aanhoudende schending van deze verordening door een entiteit van de Unie als rechtstreeks gevolg van het handelen of nalaten van een ambtenaar of ander personeelslid van de Unie, ook op het hoogste managementniveau, verzoekt de IICB de betrokken entiteit van de Unie passende maatregelen te nemen, met inbegrip van het verzoek te overwegen om maatregelen van disciplinaire aard te nemen, overeenkomstig de bepalingen en procedures van het Statuut en alle andere toepasselijke regels en procedures. Daartoe draagt de IICB de nodige informatie over aan de betrokken entiteit van de Unie.
5. Indien entiteiten van de Unie er kennis van geven dat zij niet in staat zijn om de in artikel 6, lid 1, en artikel 8, lid 1, vastgestelde termijnen te halen, kan de IICB, in naar behoren gemotiveerde gevallen en rekening houdend met de omvang van de entiteit van de Unie, toestemming geven om die termijnen te verlengen.
HOOFDSTUK IV
CERT-EU
Artikel 20
Informatie-uitwisselingsregelingen op het gebied van cyberbeveiliging
1. De entiteiten van de Unie kunnen CERT-EU op vrijwillige basis in kennis stellen van en informatie verstrekken over incidenten, cyberdreigingen, bijna-incidenten en kwetsbaarheden met gevolgen voor hen. CERT-EU zorgt ervoor dat het over efficiënte communicatiemiddelen met een hoge mate van traceerbaarheid, vertrouwelijkheid en betrouwbaarheid beschikt om informatie-uitwisseling met de entiteiten van de Unie te vergemakkelijken. Bij het verwerken van kennisgevingen kan CERT-EU voorrang geven aan de verwerking van verplichte boven vrijwillige kennisgevingen. Onverminderd artikel 12 mag vrijwillige kennisgeving er niet toe leiden dat de kennisgevende entiteit van de Unie aanvullende verplichtingen worden opgelegd waaraan zij niet onderworpen zou zijn geweest indien zij de kennisgeving niet had gedaan.
2. Om zijn missie en taken op grond van artikel 13 uit te voeren, kan CERT-EU entiteiten van de Unie verzoeken informatie uit hun respectieve ICT-systeeminventarissen te verstrekken, met inbegrip van informatie over cyberdreigingen, bijna-incidenten, kwetsbaarheden, indicatoren voor aantasting, cyberbeveiligingswaarschuwingen en aanbevelingen betreffende de configuratie van cyberbeveiligingsinstrumenten om incidenten te detecteren. De aangezochte entiteit van de Unie zendt de verlangde informatie en bijbehorende actualiseringen daarvan onverwijld toe.
3. CERT-EU kan met entiteiten van de Unie incidentspecifieke informatie uitwisselen die de identiteit van de door het incident getroffen entiteit van de Unie onthult, mits de getroffen entiteit van de Unie daarin toestemt. Wanneer een entiteit van de Unie haar toestemming weigert, verstrekt zij CERT-EU de redenen voor dat besluit.
4. De entiteiten van de Unie wisselen op verzoek informatie uit met het Europees Parlement en de Raad over de voltooiing van de cyberbeveiligingsplannen.
5. De IICB of CERT-EU, naargelang het geval, deelt op verzoek richtsnoeren, aanbevelingen en oproepen tot actie met het Europees Parlement en de Raad.
6. De in dit artikel vastgestelde deelverplichtingen gelden niet voor:
| a) | EUCI; |
| b) | informatie waarvan de verdere verspreiding is uitgesloten door middel van een zichtbare markering, tenzij het delen daarvan met CERT-EU uitdrukkelijk is toegestaan. |
whereas