keyboard_tab Cyber Resilience Act 2023/2841 NL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 13 Missie en taken van CERT-EU
- 1 Art. 16 Financiële en personeelszaken
- 1 Art. 17 Samenwerking van CERT-EU met tegenhangers in de lidstaten
HOOFDSTUK I
ALGEMENE BEPALINGEN
HOOFDSTUK II
MAATREGELEN VOOR EEN HOOG GEZAMENLIJK NIVEAU VAN CYBERBEVEILIGING
HOOFDSTUK III
INTERINSTITUTIONELE RAAD VOOR CYBERBEVEILIGING
HOOFDSTUK IV
CERT-EU
HOOFDSTUK V
SAMENWERKING EN VERSLAGLEGGINGSVERPLICHTINGEN
HOOFDSTUK VI
SLOTBEPALINGEN
- unie 40
- cert-eu 28
- entiteiten 24
- artikel 17
- informatie 13
- entiteit 13
- voor 11
- cert-eu 11
- worden 11
- incidenten 11
- diensten 11
- lid 11
- door 10
- iicb 9
- grond 9
- bedoelde 8
- commissie 8
- getroffen 8
- samenwerking 7
- wordt 7
- zijn 6
- onder 6
- toestemming 6
- cyberdreigingen 6
- eu / 6
- verordening 6
- over 5
- richtlijn 5
- overeenkomstig 5
- cyberbeveiliging 5
- deze 5
- inzake 5
- taken 5
- niveau 4
- identiteit 4
- administratieve 4
- uitvoering 4
- volgende 4
- basis 4
- hoofd 4
- betrekking 4
- lidstaten 4
- incident 4
- relevante 4
- betrokken 4
- ondersteuning 4
- kennis 4
- andere 4
- financiële 4
- ict-omgeving 4
Artikel 13
Missie en taken van CERT-EU
1. De missie van CERT-EU bestaat erin bij te dragen tot de beveiliging van de niet-gerubriceerde ICT-omgeving van de entiteiten van de Unie door ze te adviseren over cyberbeveiliging, door ze te helpen incidenten te voorkomen, op te sporen, te behandelen, te beperken, daarop te reageren en daarvan te herstellen, en door op te treden als knooppunt voor hun informatie-uitwisseling inzake cyberbeveiliging en responscoördinatie bij incidenten.
2. CERT-EU verzamelt, beheert, analyseert en deelt informatie met de entiteiten van de Unie over cyberdreigingen, kwetsbaarheden en incidenten in niet-gerubriceerde ICT-infrastructuur. Het coördineert de respons op incidenten op interinstitutioneel niveau en op het niveau van de entiteiten van de Unie, onder meer door gespecialiseerde operationele bijstand te verlenen of te coördineren.
3. CERT-EU verricht de volgende taken om de entiteiten van de Unie bij te staan:
| a) | het ondersteunt ze bij de uitvoering van deze verordening en draagt bij tot de coördinatie van de uitvoering van deze verordening door middel van de in artikel 14, lid 1, vermelde maatregelen of via door de IICB gevraagde ad-hocverslagen; |
| b) | het biedt standaard CSIRT-diensten aan de entiteiten van de Unie door middel van een in zijn dienstencatalogus beschreven pakket cyberbeveiligingsdiensten (basisniveaudiensten); |
| c) | het onderhoudt een netwerk van soortgelijke organisaties en partners ter ondersteuning van de in de artikelen 17 en 18 bedoelde diensten; |
| d) | het brengt problemen betreffende de uitvoering van deze verordening en de uitvoering van richtsnoeren, aanbevelingen en oproepen tot actie onder de aandacht van de IICB; |
| e) | het draagt op basis van de in lid 2 bedoelde informatie bij tot het situatiebewustzijn van de Unie op het gebied van cyberbeveiliging, in nauwe samenwerking met Enisa; |
| f) | het coördineert het beheer van ernstige incidenten; |
| g) | het handelt namens entiteiten van de Unie als equivalent van de coördinator die is aangewezen met het oog op de gecoördineerde bekendmaking van kwetsbaarheden op grond artikel 12, lid 1, van Richtlijn (EU) 2022/2555; |
| h) | het gaat op verzoek van een entiteit van de Unie over tot het proactief en niet-intrusief scannen van openbaar toegankelijke netwerk- en informatiesystemen van die entiteit van de Unie. |
De in de eerste alinea, punt e), bedoelde informatie wordt, indien van toepassing en gepast, gedeeld met de IICB, het CSIRT-netwerk en het Inlichtingen- en situatiecentrum van de Europese Unie (EU-Intcen); daarbij worden passende geheimhoudingsvoorwaarden in acht genomen.
4. CERT-EU kan overeenkomstig artikel 17 of artikel 18, naargelang het geval, samenwerken met relevante cyberbeveiligingsgemeenschappen binnen de Unie en haar lidstaten, onder meer op de volgende gebieden:
| a) | paraatheid, incidentcoördinatie, informatie-uitwisseling en crisisrespons op technisch niveau in gevallen die met de entiteiten van de Unie verband houden; |
| b) | operationele samenwerking inzake het CSIRT-netwerk, ook betreffende wederzijdse bijstand; |
| c) | inlichtingen inzake cyberdreigingen, inclusief situatiebewustzijn; |
| d) | elk ander onderwerp waarvoor de technische deskundigheid op het gebied van cyberbeveiliging van CERT-EU vereist is. |
5. Binnen het kader van zijn bevoegdheid onderhoudt CERT-EU gestructureerde samenwerking met Enisa met betrekking tot capaciteitsopbouw, operationele samenwerking en strategische langetermijnanalyses van cyberdreigingen, overeenkomstig Verordening (EU) 2019/881. CERT-EU kan samenwerken en informatie uitwisselen met het Europees Centrum voor de bestrijding van cybercriminaliteit van Europol.
6. CERT-EU kan de volgende diensten aanbieden die niet in de dienstencatalogus zijn beschreven (aangerekende diensten):
| a) | andere dan de in lid 3 bedoelde diensten ter ondersteuning van de cyberbeveiliging van de ICT-omgeving van de entiteiten van de Unie, op basis van dienstenniveauovereenkomsten en afhankelijk van de beschikbaarheid van middelen, met name brede netwerkmonitoring, met inbegrip van continue eerstelijnsmonitoring voor zeer ernstige cyberdreigingen; |
| b) | andere diensten dan diensten ter bescherming van de ICT-omgeving van de entiteiten van de Unie, ter ondersteuning van hun cyberbeveiligingsoperaties of -projecten, op basis van schriftelijke overeenkomsten en met voorafgaande goedkeuring van de IICB; |
| c) | op verzoek, het proactief scannen van de netwerk- en informatiesystemen van de betrokken entiteit van de Unie om kwetsbaarheden met mogelijk aanzienlijke gevolgen op te sporen; |
| d) | diensten ter ondersteuning van de beveiliging van de ICT-omgeving van andere organisaties dan de entiteiten van de Unie, die nauw met de entiteiten van de Unie samenwerken, bijvoorbeeld omdat zij taken of verantwoordelijkheden uit hoofde van Unierecht vervullen, op basis van schriftelijke overeenkomsten en met voorafgaande goedkeuring van de IICB. |
Met betrekking tot de eerste alinea, punt d), kan CERT-EU bij wijze van uitzondering met voorafgaande toestemming van de IICB dienstenniveauovereenkomsten sluiten met andere entiteiten dan de entiteiten van de Unie.
7. CERT-EU organiseert cyberbeveiligingsoefeningen en kan eraan deelnemen of deelname aan bestaande oefeningen aanbevelen, in voorkomend geval in nauwe samenwerking met Enisa, om het cyberbeveiligingsniveau van de entiteiten van de Unie te testen.
8. CERT-EU kan de entiteiten van de Unie bijstaan bij incidenten in netwerk- en informatiesystemen die EUCI verwerken, indien de betrokken entiteiten van de Unie daar uitdrukkelijk om verzoeken overeenkomstig hun respectieve procedures. Het verlenen van bijstand door CERT-EU uit hoofde van dit lid laat de toepasselijke regels inzake de bescherming van gerubriceerde informatie onverlet.
9. CERT-EU informeert de entiteiten van de Unie over zijn procedures en processen voor incidentenbehandeling.
10. CERT-EU draagt, met een hoog niveau van vertrouwelijkheid en betrouwbaarheid, via de passende samenwerkingsmechanismen en rapportagelijnen bij tot relevante en geanonimiseerde informatie over ernstige incidenten en de wijze waarop deze werden afgehandeld. Die informatie wordt opgenomen in het in artikel 10, lid 14, bedoelde verslag.
11. Bij de aanpak van incidenten die leiden tot inbreuken in verband met persoonsgegevens, ondersteunt CERT-EU de betrokken entiteiten van de Unie, in samenwerking met de Europese Toezichthouder voor gegevensbescherming, onverminderd de bevoegdheid en taken van die Toezichthouder als toezichthoudende autoriteit uit hoofde van Verordening (EU) 2018/1725.
12. CERT-EU kan, indien de beleidsafdelingen van de entiteiten van de Unie daar uitdrukkelijk om verzoeken, technisch advies of technische input verstrekken voor relevante beleidskwesties.
Artikel 16
Financiële en personeelszaken
1. CERT-EU wordt geïntegreerd in de administratieve structuur van een directoraat-generaal van de Commissie zodat het kan profiteren van de ondersteunende structuren van de Commissie op het gebied van administratie, financieel beheer en boekhouding, met behoud van zijn status als autonome interinstitutionele dienstverlener voor alle entiteiten van de Unie. De Commissie stelt de IICB in kennis van de administratieve vestiging van CERT-EU en van eventuele wijzigingen daarvan. De Commissie evalueert de administratieve regelingen met betrekking tot CERT-EU regelmatig en in elk geval vóór de vaststelling van een meerjarig financieel kader op grond van artikel 312 VWEU, zodat passende actie kan worden ondernomen. De evaluatie omvat de mogelijkheid om CERT-EU als bureau van de Unie aan te duiden.
2. Voor de toepassing van de administratieve en financiële procedures handelt het hoofd van CERT-EU onder het gezag van de Commissie en onder toezicht van de IICB.
3. De taken en activiteiten van CERT-EU, inclusief de diensten die CERT-EU op grond van artikel 13, leden 3, 4, 5 en 7, en artikel 14, lid 1, verleent aan de uit de rubriek Europees openbaar bestuur van het meerjarige financiële kader gefinancierde entiteiten van de Unie, worden uit een afzonderlijke begrotingslijn van de begroting van de Commissie gefinancierd. De voor CERT-EU gereserveerde posten worden gespecificeerd in een voetnoot bij de personeelsformatie van de Commissie.
4. Andere dan de in lid 3 van dit artikel bedoelde entiteiten van de Unie leveren een jaarlijkse financiële bijdrage aan CERT-EU ter dekking van de door CERT-EU op grond van dat lid verleende diensten. De bijdragen worden gebaseerd op richtsnoeren van de IICB en in dienstenniveauovereenkomsten tussen elke entiteit van de Unie en CERT-EU bepaald. De bijdragen vertegenwoordigen een billijk en evenredig deel van de totale kosten van de verleende diensten. Deze worden als interne bestemmingsontvangsten in de zin van artikel 21, lid 3, punt c), van Verordening (EU, Euratom) 2018/1046 via de in lid 3 van dit artikel bedoelde afzonderlijke begrotingslijn ontvangen.
5. De kosten van de in artikel 13, lid 6, bedoelde diensten worden verhaald op de entiteiten van de Unie die de diensten van CERT-EU ontvangen. De ontvangsten worden bestemd voor de begrotingsonderdelen die de kosten dragen.
Artikel 17
Samenwerking van CERT-EU met tegenhangers in de lidstaten
1. CERT-EU werkt onverwijld samen en wisselt informatie uit met tegenhangers in de lidstaten, met name de op grond van artikel 10 van Richtlijn (EU) 2022/2555 aangewezen of ingestelde CSIRT’s of, indien van toepassing, de op grond van artikel 8 van die richtlijn aangewezen of ingestelde bevoegde autoriteiten en centrale contactpunten, met betrekking tot incidenten, cyberdreigingen, kwetsbaarheden, bijna-incidenten, mogelijke tegenmaatregelen en beste praktijken, en doet dat voor alle onderwerpen die relevant zijn voor een betere bescherming van de ICT-infrastructuur van de entiteiten van de Unie, onder meer via het op grond van artikel 15 van Richtlijn (EU) 2022/2555 opgerichte CSIRT-netwerk. CERT-EU ondersteunt de Commissie in het op grond van artikel 16 van Richtlijn (EU) 2022/2555 opgerichte EU-CyCLONe bij het gecoördineerde beheer van grootschalige cyberbeveiligingsincidenten en -crises.
2. Indien CERT-EU kennis krijgt van een significant incident dat zich voordoet op het grondgebied van een lidstaat, stelt het overeenkomstig lid 1 onverwijld de betrokken tegenhangers in die lidstaat in kennis.
3. Op voorwaarde dat persoonsgegevens worden beschermd overeenkomstig het toepasselijk Unierecht inzake gegevensbescherming, wisselt CERT-EU onverwijld, zonder toestemming van de getroffen entiteit van de Unie, relevante incidentspecifieke informatie uit met tegenhangers in de lidstaten teneinde de opsporing van soortgelijke cyberdreigingen of -incidenten te vergemakkelijken of bij te dragen aan de analyse van een incident. CERT-EU wisselt enkel in de volgende gevallen incidentspecifieke informatie uit die de identiteit van het doelwit van het incident onthult:
| a) | de getroffen entiteit van de Unie verleent toestemming; |
| b) | de getroffen entiteit van de Unie verleent weliswaar geen toestemming als bepaald in punt a), maar bekendmaking van de identiteit van de getroffen entiteit van de Unie zou de waarschijnlijkheid vergroten dat elders incidenten worden voorkomen of beperkt, of |
| c) | de getroffen entiteit van de Unie heeft reeds bekendgemaakt dat zij getroffen werd. |
Besluiten om op grond van de eerste alinea, punt b), incidentspecifieke informatie uit te wisselen die de identiteit van het doelwit van het incident onthult, worden bekrachtigd door het hoofd van CERT-EU. Alvorens een dergelijk besluit te nemen, neemt CERT-EU schriftelijk contact op met de getroffen entiteit van de Unie, waarbij duidelijk wordt uitgelegd hoe de bekendmaking van haar identiteit elders incidenten zou helpen voorkomen of beperken. Het hoofd van CERT-EU verstrekt de uitleg en verzoekt de entiteit van de Unie uitdrukkelijk om aan te geven of zij binnen een bepaalde termijn toestemming verleent. Het hoofd van CERT-EU deelt de entiteit van de Unie tevens mee dat hij of zij zich, in het licht van de verstrekte uitleg, het recht voorbehoudt om de informatie ook bekend te maken als er geen toestemming wordt verleend. De getroffen entiteit van de Unie wordt in kennis gesteld voordat de informatie wordt bekendgemaakt.
whereas