keyboard_tab Cyber Resilience Act 2023/2841 NL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 7 Maturiteitsbeoordelingen van de cyberbeveiliging
- 1 Art. 13 Missie en taken van CERT-EU
- 1 Art. 17 Samenwerking van CERT-EU met tegenhangers in de lidstaten
- 3 Art. 21 Rapportageverplichtingen
HOOFDSTUK I
ALGEMENE BEPALINGEN
HOOFDSTUK II
MAATREGELEN VOOR EEN HOOG GEZAMENLIJK NIVEAU VAN CYBERBEVEILIGING
HOOFDSTUK III
INTERINSTITUTIONELE RAAD VOOR CYBERBEVEILIGING
HOOFDSTUK IV
CERT-EU
HOOFDSTUK V
SAMENWERKING EN VERSLAGLEGGINGSVERPLICHTINGEN
HOOFDSTUK VI
SLOTBEPALINGEN
- unie 50
- entiteiten 27
- cert-eu 24
- entiteit 20
- incident 20
- artikel 19
- informatie 19
- voor 16
- incidenten 16
- door 14
- grond 12
- cyberbeveiliging 12
- cert-eu 11
- getroffen 11
- indien 10
- wordt 10
- iicb 9
- worden 9
- over 9
- gevolgen 9
- significante 9
- lid 9
- bedoelde 9
- kennis 8
- eu / 8
- heeft 8
- onverwijld 8
- geval 8
- ict-omgeving 8
- zijn 7
- betrokken 7
- toestemming 7
- richtlijn 7
- significant 7
- andere 7
- cyberdreigingen 7
- samenwerking 7
- relevante 6
- de 6
- diensten 6
- kwetsbaarheden 5
- overeenkomstig 5
- volgende 5
- onder 5
- inzake 5
- netwerk- 5
- tegenhangers 5
- kunnen 5
- verordening 5
- maatregelen 5
Artikel 7
Maturiteitsbeoordelingen van de cyberbeveiliging
1. Uiterlijk op 8 juli 2025 en daarna ten minste om de twee jaar voert elke entiteit van de Unie een maturiteitsbeoordeling van de cyberbeveiliging uit die alle elementen van haar ICT-omgeving omvat.
2. De maturiteitsbeoordelingen van de cyberbeveiliging worden zo nodig uitgevoerd met bijstand van een gespecialiseerde derde partij.
3. Entiteiten van de Unie met soortgelijke structuren kunnen samenwerken bij de uitvoering van maturiteitsbeoordelingen van de cyberbeveiliging van hun respectieve entiteiten.
4. Op basis van een verzoek van de op grond van artikel 10 opgerichte interinstitutionele raad voor cyberbeveiliging en met de uitdrukkelijke toestemming van de betrokken entiteit van de Unie kunnen de resultaten van een maturiteitsbeoordeling van de cyberbeveiliging worden besproken in die raad of in de informele groep van lokale cyberbeveiligingsfunctionarissen, om lering te trekken uit ervaringen en beste praktijken te delen.
Artikel 13
Missie en taken van CERT-EU
1. De missie van CERT-EU bestaat erin bij te dragen tot de beveiliging van de niet-gerubriceerde ICT-omgeving van de entiteiten van de Unie door ze te adviseren over cyberbeveiliging, door ze te helpen incidenten te voorkomen, op te sporen, te behandelen, te beperken, daarop te reageren en daarvan te herstellen, en door op te treden als knooppunt voor hun informatie-uitwisseling inzake cyberbeveiliging en responscoördinatie bij incidenten.
2. CERT-EU verzamelt, beheert, analyseert en deelt informatie met de entiteiten van de Unie over cyberdreigingen, kwetsbaarheden en incidenten in niet-gerubriceerde ICT-infrastructuur. Het coördineert de respons op incidenten op interinstitutioneel niveau en op het niveau van de entiteiten van de Unie, onder meer door gespecialiseerde operationele bijstand te verlenen of te coördineren.
3. CERT-EU verricht de volgende taken om de entiteiten van de Unie bij te staan:
| a) | het ondersteunt ze bij de uitvoering van deze verordening en draagt bij tot de coördinatie van de uitvoering van deze verordening door middel van de in artikel 14, lid 1, vermelde maatregelen of via door de IICB gevraagde ad-hocverslagen; |
| b) | het biedt standaard CSIRT-diensten aan de entiteiten van de Unie door middel van een in zijn dienstencatalogus beschreven pakket cyberbeveiligingsdiensten (basisniveaudiensten); |
| c) | het onderhoudt een netwerk van soortgelijke organisaties en partners ter ondersteuning van de in de artikelen 17 en 18 bedoelde diensten; |
| d) | het brengt problemen betreffende de uitvoering van deze verordening en de uitvoering van richtsnoeren, aanbevelingen en oproepen tot actie onder de aandacht van de IICB; |
| e) | het draagt op basis van de in lid 2 bedoelde informatie bij tot het situatiebewustzijn van de Unie op het gebied van cyberbeveiliging, in nauwe samenwerking met Enisa; |
| f) | het coördineert het beheer van ernstige incidenten; |
| g) | het handelt namens entiteiten van de Unie als equivalent van de coördinator die is aangewezen met het oog op de gecoördineerde bekendmaking van kwetsbaarheden op grond artikel 12, lid 1, van Richtlijn (EU) 2022/2555; |
| h) | het gaat op verzoek van een entiteit van de Unie over tot het proactief en niet-intrusief scannen van openbaar toegankelijke netwerk- en informatiesystemen van die entiteit van de Unie. |
De in de eerste alinea, punt e), bedoelde informatie wordt, indien van toepassing en gepast, gedeeld met de IICB, het CSIRT-netwerk en het Inlichtingen- en situatiecentrum van de Europese Unie (EU-Intcen); daarbij worden passende geheimhoudingsvoorwaarden in acht genomen.
4. CERT-EU kan overeenkomstig artikel 17 of artikel 18, naargelang het geval, samenwerken met relevante cyberbeveiligingsgemeenschappen binnen de Unie en haar lidstaten, onder meer op de volgende gebieden:
| a) | paraatheid, incidentcoördinatie, informatie-uitwisseling en crisisrespons op technisch niveau in gevallen die met de entiteiten van de Unie verband houden; |
| b) | operationele samenwerking inzake het CSIRT-netwerk, ook betreffende wederzijdse bijstand; |
| c) | inlichtingen inzake cyberdreigingen, inclusief situatiebewustzijn; |
| d) | elk ander onderwerp waarvoor de technische deskundigheid op het gebied van cyberbeveiliging van CERT-EU vereist is. |
5. Binnen het kader van zijn bevoegdheid onderhoudt CERT-EU gestructureerde samenwerking met Enisa met betrekking tot capaciteitsopbouw, operationele samenwerking en strategische langetermijnanalyses van cyberdreigingen, overeenkomstig Verordening (EU) 2019/881. CERT-EU kan samenwerken en informatie uitwisselen met het Europees Centrum voor de bestrijding van cybercriminaliteit van Europol.
6. CERT-EU kan de volgende diensten aanbieden die niet in de dienstencatalogus zijn beschreven (aangerekende diensten):
| a) | andere dan de in lid 3 bedoelde diensten ter ondersteuning van de cyberbeveiliging van de ICT-omgeving van de entiteiten van de Unie, op basis van dienstenniveauovereenkomsten en afhankelijk van de beschikbaarheid van middelen, met name brede netwerkmonitoring, met inbegrip van continue eerstelijnsmonitoring voor zeer ernstige cyberdreigingen; |
| b) | andere diensten dan diensten ter bescherming van de ICT-omgeving van de entiteiten van de Unie, ter ondersteuning van hun cyberbeveiligingsoperaties of -projecten, op basis van schriftelijke overeenkomsten en met voorafgaande goedkeuring van de IICB; |
| c) | op verzoek, het proactief scannen van de netwerk- en informatiesystemen van de betrokken entiteit van de Unie om kwetsbaarheden met mogelijk aanzienlijke gevolgen op te sporen; |
| d) | diensten ter ondersteuning van de beveiliging van de ICT-omgeving van andere organisaties dan de entiteiten van de Unie, die nauw met de entiteiten van de Unie samenwerken, bijvoorbeeld omdat zij taken of verantwoordelijkheden uit hoofde van Unierecht vervullen, op basis van schriftelijke overeenkomsten en met voorafgaande goedkeuring van de IICB. |
Met betrekking tot de eerste alinea, punt d), kan CERT-EU bij wijze van uitzondering met voorafgaande toestemming van de IICB dienstenniveauovereenkomsten sluiten met andere entiteiten dan de entiteiten van de Unie.
7. CERT-EU organiseert cyberbeveiligingsoefeningen en kan eraan deelnemen of deelname aan bestaande oefeningen aanbevelen, in voorkomend geval in nauwe samenwerking met Enisa, om het cyberbeveiligingsniveau van de entiteiten van de Unie te testen.
8. CERT-EU kan de entiteiten van de Unie bijstaan bij incidenten in netwerk- en informatiesystemen die EUCI verwerken, indien de betrokken entiteiten van de Unie daar uitdrukkelijk om verzoeken overeenkomstig hun respectieve procedures. Het verlenen van bijstand door CERT-EU uit hoofde van dit lid laat de toepasselijke regels inzake de bescherming van gerubriceerde informatie onverlet.
9. CERT-EU informeert de entiteiten van de Unie over zijn procedures en processen voor incidentenbehandeling.
10. CERT-EU draagt, met een hoog niveau van vertrouwelijkheid en betrouwbaarheid, via de passende samenwerkingsmechanismen en rapportagelijnen bij tot relevante en geanonimiseerde informatie over ernstige incidenten en de wijze waarop deze werden afgehandeld. Die informatie wordt opgenomen in het in artikel 10, lid 14, bedoelde verslag.
11. Bij de aanpak van incidenten die leiden tot inbreuken in verband met persoonsgegevens, ondersteunt CERT-EU de betrokken entiteiten van de Unie, in samenwerking met de Europese Toezichthouder voor gegevensbescherming, onverminderd de bevoegdheid en taken van die Toezichthouder als toezichthoudende autoriteit uit hoofde van Verordening (EU) 2018/1725.
12. CERT-EU kan, indien de beleidsafdelingen van de entiteiten van de Unie daar uitdrukkelijk om verzoeken, technisch advies of technische input verstrekken voor relevante beleidskwesties.
Artikel 17
Samenwerking van CERT-EU met tegenhangers in de lidstaten
1. CERT-EU werkt onverwijld samen en wisselt informatie uit met tegenhangers in de lidstaten, met name de op grond van artikel 10 van Richtlijn (EU) 2022/2555 aangewezen of ingestelde CSIRT’s of, indien van toepassing, de op grond van artikel 8 van die richtlijn aangewezen of ingestelde bevoegde autoriteiten en centrale contactpunten, met betrekking tot incidenten, cyberdreigingen, kwetsbaarheden, bijna-incidenten, mogelijke tegenmaatregelen en beste praktijken, en doet dat voor alle onderwerpen die relevant zijn voor een betere bescherming van de ICT-infrastructuur van de entiteiten van de Unie, onder meer via het op grond van artikel 15 van Richtlijn (EU) 2022/2555 opgerichte CSIRT-netwerk. CERT-EU ondersteunt de Commissie in het op grond van artikel 16 van Richtlijn (EU) 2022/2555 opgerichte EU-CyCLONe bij het gecoördineerde beheer van grootschalige cyberbeveiligingsincidenten en -crises.
2. Indien CERT-EU kennis krijgt van een significant incident dat zich voordoet op het grondgebied van een lidstaat, stelt het overeenkomstig lid 1 onverwijld de betrokken tegenhangers in die lidstaat in kennis.
3. Op voorwaarde dat persoonsgegevens worden beschermd overeenkomstig het toepasselijk Unierecht inzake gegevensbescherming, wisselt CERT-EU onverwijld, zonder toestemming van de getroffen entiteit van de Unie, relevante incidentspecifieke informatie uit met tegenhangers in de lidstaten teneinde de opsporing van soortgelijke cyberdreigingen of -incidenten te vergemakkelijken of bij te dragen aan de analyse van een incident. CERT-EU wisselt enkel in de volgende gevallen incidentspecifieke informatie uit die de identiteit van het doelwit van het incident onthult:
| a) | de getroffen entiteit van de Unie verleent toestemming; |
| b) | de getroffen entiteit van de Unie verleent weliswaar geen toestemming als bepaald in punt a), maar bekendmaking van de identiteit van de getroffen entiteit van de Unie zou de waarschijnlijkheid vergroten dat elders incidenten worden voorkomen of beperkt, of |
| c) | de getroffen entiteit van de Unie heeft reeds bekendgemaakt dat zij getroffen werd. |
Besluiten om op grond van de eerste alinea, punt b), incidentspecifieke informatie uit te wisselen die de identiteit van het doelwit van het incident onthult, worden bekrachtigd door het hoofd van CERT-EU. Alvorens een dergelijk besluit te nemen, neemt CERT-EU schriftelijk contact op met de getroffen entiteit van de Unie, waarbij duidelijk wordt uitgelegd hoe de bekendmaking van haar identiteit elders incidenten zou helpen voorkomen of beperken. Het hoofd van CERT-EU verstrekt de uitleg en verzoekt de entiteit van de Unie uitdrukkelijk om aan te geven of zij binnen een bepaalde termijn toestemming verleent. Het hoofd van CERT-EU deelt de entiteit van de Unie tevens mee dat hij of zij zich, in het licht van de verstrekte uitleg, het recht voorbehoudt om de informatie ook bekend te maken als er geen toestemming wordt verleend. De getroffen entiteit van de Unie wordt in kennis gesteld voordat de informatie wordt bekendgemaakt.
Artikel 21
Rapportageverplichtingen
1. Een incident wordt als significant beschouwd als het:
| a) | de werking van de entiteit van de Unie ernstig heeft verstoord of kan verstoren dan wel voor de betrokken entiteit van de Unie tot financiële verliezen heeft geleid of kan leiden; |
| b) | andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken. |
2. De entiteiten van de Unie verstrekken aan CERT-EU:
| a) | onverwijld en in elk geval binnen 24 uur nadat zij kennis hebben gekregen van het significante incident, een vroegtijdige waarschuwing, waarin, indien van toepassing, wordt aangegeven dat het significante incident vermoedelijk door een onwettige of kwaadwillige handeling is veroorzaakt, dan wel entiteitoverstijgende of grensoverschrijdende gevolgen zou kunnen hebben; |
| b) | onverwijld en in elk geval binnen 72 uur nadat zij kennis hebben gekregen van het significante incident, een incidentmelding met, indien van toepassing, een update van de in punt a) bedoelde informatie, een initiële beoordeling van het significante incident, met inbegrip van de ernst en de gevolgen ervan, alsook, indien beschikbaar, de indicatoren voor aantasting; |
| c) | een tussentijds verslag met relevante updates van de situatie, indien CERT-EU daarom verzoekt; |
| d) | uiterlijk één maand na de indiening van de in punt b) bedoelde incidentmelding, een eindverslag waarin het volgende is opgenomen:
|
| e) | indien het incident nog aan de gang is op het moment dat het in punt d) bedoelde eindverslag wordt ingediend, op dat moment een voortgangsverslag en uiterlijk één maand nadat zij het incident hebben afgehandeld, een eindverslag. |
3. Een entiteit van de Unie stelt onverwijld en in elk geval binnen 24 uur nadat zij kennis heeft gekregen van een significant incident, alle in artikel 17, lid 1, bedoelde relevante tegenhangers in de lidstaat waar zij is gevestigd, in kennis van het feit dat zich een significant incident heeft voorgedaan.
4. De entiteiten van de Unie verstrekken onder meer alle informatie die CERT-EU in staat stelt om alle mogelijke entiteitoverstijgende gevolgen, gevolgen voor de lidstaat van vestiging of grensoverschrijdende gevolgen van een significant incident in kaart te brengen. Onverminderd artikel 12 leidt het louter doen van een melding niet tot een verhoogde aansprakelijkheid voor de entiteit van de Unie.
5. In voorkomend geval informeren de entiteiten van de Unie de gebruikers van de getroffen netwerk- en informatiesystemen of van andere onderdelen van de ICT-omgeving die mogelijkerwijs door een significant incident of een significante cyberdreiging worden getroffen en in voorkomend geval beperkende maatregelen moeten nemen, onverwijld over alle maatregelen of middelen die zij kunnen nemen of inzetten in antwoord op dat incident of die dreiging. Indien nodig informeren de entiteiten van de Unie die gebruikers over de significante cyberdreiging zelf.
6. Indien een significant incident of een significante cyberdreiging gevolgen heeft voor een netwerk- en informatiesysteem of een onderdeel van de ICT-omgeving van een entiteit van de Unie waarvan bekend is dat het verbonden is met de ICT-omgeving van een andere entiteit van de Unie, doet CERT-EU een cyberbeveiligingswaarschuwing daaromtrent uitgaan.
7. De entiteiten van de Unie delen op verzoek van CERT-EU onverwijld de digitale informatie die is opgesteld door het gebruik van elektronische apparaten die bij de respectieve incidenten betrokken zijn geweest. CERT-EU kan nadere bijzonderheden verstrekken betreffende het soort informatie dat nodig is met het oog op situatiebewustzijn en respons op incidenten.
8. CERT-EU dient om de drie maanden bij de IICB, Enisa, het EU-Intcen en het CSIRT-netwerk een samenvattend verslag in met geanonimiseerde en geaggregeerde gegevens over significante incidenten, incidenten, cyberdreigingen, bijna-incidenten en kwetsbaarheden op grond van artikel 20 en significante incidenten die op grond van lid 2 van dit artikel ter kennis zijn gegeven. Het samenvattend verslag dient als input voor het tweejaarlijkse verslag over de stand van zaken op het gebied van de cyberbeveiliging in de Unie dat op grond van artikel 18 van Richtlijn (EU) 2022/2555 wordt opgesteld.
9. Uiterlijk op 8 juli 2024 brengt de IICB richtsnoeren of aanbevelingen uit waarin de regelingen voor, en de vorm en inhoud van de rapportage op grond van dit artikel nader worden beschreven. Bij het opstellen van dergelijke richtsnoeren of aanbevelingen houdt de IICB rekening met op grond van artikel 23, lid 11, van Richtlijn (EU) 2022/2555 vastgestelde uitvoeringshandelingen waarin het soort informatie, de vorm en de procedure van kennisgevingen nader worden gespecificeerd. CERT-EU verspreidt de passende technische details, zodat de entiteiten van de Unie proactief opsporings-, incidentrespons- of beperkende maatregelen kunnen nemen.
10. De in dit artikel vastgestelde rapportageverplichtingen gelden niet voor:
| a) | EUCI; |
| b) | informatie waarvan de verdere verspreiding is uitgesloten door middel van een zichtbare markering, tenzij het delen daarvan met CERT-EU uitdrukkelijk is toegestaan. |
whereas