keyboard_tab Cyber Resilience Act 2023/2841 NL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 8 Maatregelen voor het beheer van cyberbeveiligingsrisico’s
- 1 Art. 19 Informatieverwerking
- 1 Art. 22 Coördinatie van respons bij incidenten en samenwerking
HOOFDSTUK I
ALGEMENE BEPALINGEN
HOOFDSTUK II
MAATREGELEN VOOR EEN HOOG GEZAMENLIJK NIVEAU VAN CYBERBEVEILIGING
HOOFDSTUK III
INTERINSTITUTIONELE RAAD VOOR CYBERBEVEILIGING
HOOFDSTUK IV
CERT-EU
HOOFDSTUK V
SAMENWERKING EN VERSLAGLEGGINGSVERPLICHTINGEN
HOOFDSTUK VI
SLOTBEPALINGEN
- unie 27
- voor 20
- nr / 15
- entiteiten 12
- inzake 12
- europese 12
- incidenten 12
- europees 12
- cert-eu 11
- raad 11
- cyberbeveiliging 10
- maatregelen 10
- parlement 10
- blz 9
- verordening 8
- artikel 8
- pb l 7
- respons 7
- eu / 7
- kwetsbaarheden 6
- entiteit 6
- geval 6
- betreffende 5
- voorkomend 5
- zijn 5
- inbegrip 5
- beveiliging 5
- door 5
- cyberbeveiligingsrisico’s 5
- verordening 5
- samenwerking 5
- tussen 5
- toepassing 5
- gebied 4
- intrekking 4
- volgende 4
- deze 4
- bedoelde 4
- beheer 4
- betrekking 4
- gebruik 4
- worden 4
- commissie 4
- vaststelling 4
- cyberdreigingen 4
- nemen 3
- richtlijn 3
- toegang 3
- coördinatie 3
- zoals 3
Artikel 8
Maatregelen voor het beheer van cyberbeveiligingsrisico’s
1. Elke entiteit van de Unie neemt onverwijld en in elk geval uiterlijk op 8 september 2025, onder het toezicht van haar hoogste managementniveau, passende en evenredige technische, operationele en organisatorische maatregelen voor het beheer van de binnen het kader geïdentificeerde cyberbeveiligingsrisico’s, en voor het voorkomen of tot een minimum beperken van de gevolgen van incidenten. Rekening houdend met de stand van de techniek en, in voorkomend geval, de relevante Europese en internationale normen waarborgen die maatregelen een beveiligingsniveau van netwerk- en informatiesystemen in de gehele ICT-omgeving dat in verhouding staat tot de cyberbeveiligingsrisico’s die zich voordoen. Bij het beoordelen van de evenredigheid van die maatregelen wordt terdege rekening gehouden met de mate waarin de entiteit van de Unie aan cyberbeveiligingsrisico’s is blootgesteld, de omvang van de entiteit van de Unie en de kans dat zich incidenten voordoen en de ernst ervan, met inbegrip van de maatschappelijke, economische en interinstitutionele gevolgen daarvan.
2. Bij de uitvoering van de maatregelen voor het beheer van cyberbeveiligingsrisico’s behandelen de entiteiten van de Unie ten minste de volgende gebieden:
| a) | cyberbeveiligingsbeleid, met inbegrip van de maatregelen die nodig zijn om de in artikel 6 en lid 3 van dit artikel bedoelde doelstellingen en prioriteiten te verwezenlijken; |
| b) | beleid inzake cyberbeveiligingsrisicoanalyse en beveiliging van informatiesystemen; |
| c) | beleidsdoelstellingen met betrekking tot het gebruik van cloudcomputingdiensten; |
| d) | in voorkomend geval een cyberbeveiligingsaudit, die een beoordeling van het cyberbeveiligingsrisico, de kwetsbaarheid en de cyberdreiging kan omvatten, en penetratietests die regelmatig door een betrouwbare particuliere aanbieder worden uitgevoerd; |
| e) | de uitvoering van aanbevelingen die voortvloeien uit de in punt d) bedoelde cyberbeveiligingsaudits door middel van cyberbeveiligings- en beleidsupdates; |
| f) | de organisatie van cyberbeveiliging, inclusief de vaststelling van rollen en verantwoordelijkheden; |
| g) | activabeheer, inclusief een inventaris van ICT-activa en ICT-netwerkarchitectuur; |
| h) | beveiliging van personele middelen en toegangscontrole; |
| i) | operationele beveiliging; |
| j) | communicatiebeveiliging; |
| k) | aankoop, ontwikkeling en onderhoud van systemen, met inbegrip van beleid inzake de respons op en bekendmaking van kwetsbaarheden; |
| l) | indien mogelijk, beleid inzake de transparantie van de broncode; |
| m) | beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten van de betrekkingen tussen elke entiteit van de Unie en haar rechtstreekse leveranciers of dienstverleners; |
| n) | incidentenbehandeling en samenwerking met CERT-EU, zoals continue monitoring en registratie van de beveiliging; |
| o) | bedrijfscontinuïteitsbeheer, zoals back-upbeheer en noodvoorzieningenplannen, en crisisbeheer, en |
| p) | bevordering en ontwikkeling van programma’s betreffende onderwijs, vaardigheden, bewustmaking, oefeningen en opleiding op het gebied van cyberbeveiliging. |
Voor de toepassing van de eerste alinea, punt m), houden entiteiten van de Unie rekening met de specifieke kwetsbaarheden van elke rechtstreekse leverancier en dienstverlener, en met de algehele kwaliteit van de producten en cyberbeveiligingspraktijken van hun leveranciers en dienstverleners, veilige ontwikkelingsprocessen inbegrepen.
3. Entiteiten van de Unie nemen ten minste de volgende specifieke maatregelen voor het beheer van cyberbeveiligingsrisico’s:
| a) | technische regelingen om telewerken mogelijk te maken en te ondersteunen; |
| b) | concrete stappen in de richting van zero trust-beginselen; |
| c) | het gebruik van multifactorauthenticatie als norm in alle netwerk- en informatiesystemen; |
| d) | het gebruik van cryptografie en versleuteling, en met name eind-tot-eindversleuteling, alsook beveiligde digitale ondertekening; |
| e) | waar passend, beveiligde spraak-, beeld- en tekstcommunicatie, en beveiligde noodcommunicatiesystemen binnen de entiteit van de Unie; |
| f) | proactieve maatregelen voor het opsporen en verwijderen van malware en spyware; |
| g) | de totstandbrenging van een veilige toeleveringsketen voor software, door middel van criteria voor de ontwikkeling en evaluatie van veilige software; |
| h) | de opstelling en vaststelling van opleidingsprogramma’s op het gebied van cyberbeveiliging die in verhouding staan tot de voorgeschreven taken en verwachte capaciteiten, voor het hoogste managementniveau en voor de personeelsleden van de entiteit van de Unie die belast zijn met het waarborgen van de effectieve uitvoering van deze verordening; |
| i) | de regelmatige opleiding van personeelsleden op het gebied van cyberbeveiliging; |
| j) | in voorkomend geval de deelname aan risicoanalyses van de interconnectiviteit tussen de entiteiten van de Unie; |
| k) | betere aanbestedingsregels om een hoog gezamenlijk niveau van cyberbeveiliging te bevorderen door:
|
Artikel 19
Informatieverwerking
1. De entiteiten van de Unie en CERT-EU nemen de geheimhoudingsplicht in acht overeenkomstig artikel 339 VWEU of gelijkwaardige toepasselijke kaders.
2. Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad (10) is van toepassing op verzoeken om toegang van het publiek tot documenten die berusten bij CERT-EU, met inbegrip van de verplichting uit hoofde van die verordening om andere entiteiten van de Unie of, in voorkomend geval, de lidstaten te raadplegen indien een verzoek betrekking heeft op hun documenten.
3. De entiteiten van de Unie en CERT-EU verwerken informatie in overeenstemming met de toepasselijke regels inzake informatiebeveiliging.
Artikel 22
Coördinatie van respons bij incidenten en samenwerking
1. Bij zijn optreden als knooppunt voor informatie-uitwisseling inzake cyberbeveiliging en responscoördinatie bij incidenten faciliteert CERT-EU de uitwisseling van informatie inzake incidenten, cyberdreigingen, kwetsbaarheden en bijna-incidenten onder de volgende partijen:
| a) | entiteiten van de Unie; |
| b) | de in de artikelen 17 en 18 bedoelde tegenhangers. |
2. CERT-EU faciliteert, zo nodig in nauwe samenwerking met Enisa, de coördinatie tussen de entiteiten van de Unie inzake de respons bij incidenten, wat het volgende omvat:
| a) | bijdragen tot consequente externe communicatie; |
| b) | wederzijdse ondersteuning, zoals het delen van informatie die relevant is voor entiteiten van de Unie, of het verlenen van bijstand, in voorkomend geval rechtstreeks ter plaatse; |
| c) | optimaal gebruik van operationele middelen; |
| d) | coördinatie met andere crisisresponsmechanismen op Unieniveau. |
3. CERT-EU ondersteunt, in nauwe samenwerking met Enisa, de entiteiten van de Unie met betrekking tot het situatiebewustzijn van incidenten, cyberdreigingen, kwetsbaarheden en bijna-incidenten, en het delen van relevante ontwikkelingen op het gebied van cyberbeveiliging.
4. Uiterlijk op 8 januari 2025 stelt de IICB, op basis van een voorstel van CERT-EU, richtsnoeren of aanbevelingen inzake de respons bij incidenten en samenwerking bij significante incidenten vast. Wanneer wordt vermoed dat het incident crimineel van aard is, adviseert CERT-EU onverwijld over de manier waarop het incident aan de rechtshandhavingsinstanties moet worden gemeld.
5. Op specifiek verzoek van een lidstaat en met de goedkeuring van de betrokken entiteiten van de Unie kan CERT-EU een beroep doen op deskundigen van de in artikel 23, lid 4, bedoelde lijst om bij te dragen aan de respons op een ernstig incident dat gevolgen heeft in die lidstaat, of op een grootschalig cyberbeveiligingsincident overeenkomstig artikel 15, lid 3, punt g), van Richtlijn (EU) 2022/2555. De specifieke regels met betrekking tot de toegang tot en de inzet van technische deskundigen van de entiteiten van de Unie worden door de IICB op basis van een voorstel van CERT-EU goedgekeurd.
Artikel 26
Inwerkingtreding
Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.
Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.
Gedaan te Straatsburg, 13 december 2023.
Voor het Europees Parlement
De voorzitter
R. METSOLA
Voor de Raad
De voorzitter
P. NAVARRO RÍOS
(1) Standpunt van het Europees Parlement van 21 november 2023 (nog niet bekendgemaakt in het Publicatieblad) en besluit van de Raad van 8 december 2023.
(2) Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (NIS 2-richtlijn) (PB L 333 van 27.12.2022, blz. 80).
(3) Verordening (EU) 2019/881 van het Europees Parlement en de Raad van 17 april 2019 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (de cyberbeveiligingsverordening) (PB L 151 van 7.6.2019, blz. 15).
(4) Regeling tussen het Europees Parlement, de Europese Raad, de Raad van de Europese Unie, de Europese Commissie, het Hof van Justitie van de Europese Unie, de Europese Centrale Bank, de Europese Rekenkamer, de Europese Dienst voor extern optreden, het Europees Economisch en Sociaal Comité, het Europees Comité van de Regio’s en de Europese Investeringsbank betreffende de organisatie en het functioneren van een computercrisisteam voor de instellingen, organen en instanties van de Unie (CERT-EU) (PB C 12 van 13.1.2018, blz. 1).
(5) Verordening (EEG, Euratom, EGKS) nr. 259/68 van de Raad van 29 februari 1968 tot vaststelling van het Statuut van de ambtenaren van de Europese Gemeenschappen en de Regeling welke van toepassing is op de andere personeelsleden van deze Gemeenschappen, alsmede van bijzondere maatregelen welke tijdelijk op de ambtenaren van de Commissie van toepassing zijn (PB L 56 van 4.3.1968, blz. 1).
(6) Aanbeveling (EU) 2017/1584 van de Commissie van 13 september 2017 inzake een gecoördineerde respons op grootschalige cyberincidenten en -crises (PB L 239 van 19.9.2017, blz. 36).
(7) Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39).
(8) PB C 258 van 5.7.2022, blz. 10.
(9) Verordening (EU, Euratom) 2018/1046 van het Europees Parlement en de Raad van 18 juli 2018 tot vaststelling van de financiële regels van toepassing op de algemene begroting van de Unie, tot wijziging van de Verordeningen (EU) nr. 1296/2013, (EU) nr. 1301/2013, (EU) nr. 1303/2013, (EU) nr. 1304/2013, (EU) nr. 1309/2013, (EU) nr. 1316/2013, (EU) nr. 223/2014, (EU) nr. 283/2014 en Besluit nr. 541/2014/EU en tot intrekking van Verordening (EU, Euratom) nr. 966/2012 (PB L 193 van 30.7.2018, blz. 1).
(10) Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad van 30 mei 2001 inzake de toegang van het publiek tot documenten van het Europees Parlement, de Raad en de Commissie (PB L 145 van 31.5.2001, blz. 43).
ELI: http://data.europa.eu/eli/reg/2023/2841/oj
ISSN 1977-0758 (electronic edition)