keyboard_tab Cyber Resilience Act 2023/2841 NL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 3 Definities
- 1 Art. 7 Maturiteitsbeoordelingen van de cyberbeveiliging
- 1 Art. 9 Cyberbeveiligingsplannen
- 1 Art. 10 Interinstitutionele raad voor cyberbeveiliging
- 1 Art. 15 Hoofd van CERT-EU
- 1 Art. 21 Rapportageverplichtingen
- 1 Art. 25 Evaluatie
- Artikel 26 Inwerkingtreding
HOOFDSTUK I
ALGEMENE BEPALINGEN
HOOFDSTUK II
MAATREGELEN VOOR EEN HOOG GEZAMENLIJK NIVEAU VAN CYBERBEVEILIGING
HOOFDSTUK III
INTERINSTITUTIONELE RAAD VOOR CYBERBEVEILIGING
HOOFDSTUK IV
CERT-EU
HOOFDSTUK V
SAMENWERKING EN VERSLAGLEGGINGSVERPLICHTINGEN
HOOFDSTUK VI
SLOTBEPALINGEN
- unie 39
- voor 37
- artikel 35
- iicb 34
- cert-eu 33
- incident 18
- cyberbeveiliging 18
- door 17
- zijn 17
- eu / 16
- de 16
- entiteit 15
- verslag 15
- wordt 15
- grond 14
- richtlijn 14
- entiteiten 13
- zoals 12
- verordening 12
- punt 12
- gedefinieerd 12
- worden 11
- raad 11
- significante 11
- voorzitter 11
- hoofd 11
- europese 11
- heeft 10
- over 10
- deze 9
- gevolgen 9
- europees 9
- kunnen 9
- bedoelde 9
- commissie 8
- geval 8
- andere 8
- uitvoering 8
- indien 7
- leden 7
- maatregelen 7
- comité 7
- brengt 7
- het 7
- uiterlijk 6
- significant 6
- jaar 6
- incidenten 6
- netwerk- 6
- dient 6
Artikel 3
Definities
Voor de toepassing van deze verordening wordt verstaan onder:
| 1) | “entiteiten van de Unie”: instellingen, organen en instanties van de Unie die zijn opgericht bij of krachtens het Verdrag betreffende de Europese Unie, het Verdrag betreffende de werking van de Europese Unie (VWEU) of het Verdrag tot oprichting van de Europese Gemeenschap voor Atoomenergie; |
| 2) | “netwerk- en informatiesysteem”: een netwerk- en informatiesysteem zoals gedefinieerd in artikel 6, punt 1), van Richtlijn (EU) 2022/2555; |
| 3) | “beveiliging van netwerk- en informatiesystemen”: beveiliging van netwerk- en informatiesystemen zoals gedefinieerd in artikel 6, punt 2), van Richtlijn (EU) 2022/2555; |
| 4) | “cyberbeveiliging”: cyberbeveiliging zoals gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2019/881; |
| 5) | “hoogste managementniveau”: een leidinggevende, een leidinggevend orgaan of een coördinatie- en toezichtorgaan dat op het hoogste bestuurlijke niveau verantwoordelijk is voor het functioneren van een entiteit van de Unie, met een mandaat om besluiten vast te stellen of hiervoor toestemming te verlenen in overeenstemming met de bestuursregelingen op hoog niveau van die entiteit van de Unie, onverminderd de formele verantwoordelijkheden van andere managementniveaus voor naleving en het beheer van cyberbeveiligingsrisico’s op hun respectieve bevoegdheidsgebieden; |
| 6) | “bijna-incident”: een bijna-incident zoals gedefinieerd in artikel 6, punt 5), van Richtlijn (EU) 2022/2555; |
| 7) | “incident”: een incident zoals gedefinieerd in artikel 6, punt 6), van Richtlijn (EU) 2022/2555; |
| 8) | “ernstig incident”: een incident dat een mate van verstoring veroorzaakt die het responsvermogen van een entiteit van de Unie en CERT-EU overstijgt of dat significante gevolgen heeft voor ten minste twee entiteiten van de Unie; |
| 9) | “grootschalig cyberbeveiligingsincident”: een grootschalig cyberbeveiligingsincident zoals gedefinieerd in artikel 6, punt 7), van Richtlijn (EU) 2022/2555; |
| 10) | “incidentenbehandeling”: incidentenbehandeling zoals gedefinieerd in artikel 6, punt 8), van Richtlijn (EU) 2022/2555; |
| 11) | “cyberdreiging”: een cyberdreiging zoals gedefinieerd in artikel 2, punt 8, van Verordening (EU) 2019/881; |
| 12) | “significante cyberdreiging”: een significante cyberdreiging zoals gedefinieerd in artikel 6, punt 11), van Richtlijn (EU) 2022/2555; |
| 13) | “kwetsbaarheid”: kwetsbaarheid zoals gedefinieerd in artikel 6, punt 15), van Richtlijn (EU) 2022/2555; |
| 14) | “cyberbeveiligingsrisico”: een risico zoals gedefinieerd in artikel 6, punt 9), van Richtlijn (EU) 2022/2555; |
| 15) | “cloudcomputingdienst”: een cloudcomputingdienst zoals gedefinieerd in artikel 6, punt 30), van Richtlijn (EU) 2022/2555. |
Artikel 7
Maturiteitsbeoordelingen van de cyberbeveiliging
1. Uiterlijk op 8 juli 2025 en daarna ten minste om de twee jaar voert elke entiteit van de Unie een maturiteitsbeoordeling van de cyberbeveiliging uit die alle elementen van haar ICT-omgeving omvat.
2. De maturiteitsbeoordelingen van de cyberbeveiliging worden zo nodig uitgevoerd met bijstand van een gespecialiseerde derde partij.
3. Entiteiten van de Unie met soortgelijke structuren kunnen samenwerken bij de uitvoering van maturiteitsbeoordelingen van de cyberbeveiliging van hun respectieve entiteiten.
4. Op basis van een verzoek van de op grond van artikel 10 opgerichte interinstitutionele raad voor cyberbeveiliging en met de uitdrukkelijke toestemming van de betrokken entiteit van de Unie kunnen de resultaten van een maturiteitsbeoordeling van de cyberbeveiliging worden besproken in die raad of in de informele groep van lokale cyberbeveiligingsfunctionarissen, om lering te trekken uit ervaringen en beste praktijken te delen.
Artikel 9
Cyberbeveiligingsplannen
1. Na de afronding van de op grond van artikel 7 uitgevoerde maturiteitsbeoordeling van de cyberbeveiliging en rekening houdend met de binnen het kader aangeduide activa en vastgestelde cyberbeveiligingsrisico’s en de op grond van artikel 8 genomen maatregelen voor het beheer van cyberbeveiligingsrisico’s, keurt het hoogste managementniveau van elke entiteit van de Unie onverwijld en in elk geval uiterlijk op 8 januari 2026 een cyberbeveiligingsplan goed. Het cyberbeveiligingsplan beoogt de algehele cyberbeveiliging van de entiteit van de Unie te versterken en aldus bij te dragen tot de verhoging van een hoog gezamenlijk niveau van cyberbeveiliging in de entiteiten van de Unie. Het cyberbeveiligingsplan bevat minstens de op grond van artikel 8 genomen maatregelen voor het beheer van cyberbeveiligingsrisico’s. Het cyberbeveiligingsplan wordt om de twee jaar herzien, of vaker indien nodig na de op grond van artikel 7 uitgevoerde maturiteitsbeoordelingen van de cyberbeveiliging of na een substantiële herziening van het kader.
2. Het cyberbeveiligingsplan omvat het cybercrisisbeheersplan van de entiteit van de Unie voor ernstige incidenten.
3. De entiteit van de Unie dient het afgeronde cyberbeveiligingsplan in bij de op grond van van artikel 10 opgerichte interinstitutionele raad voor cyberbeveiliging.
HOOFDSTUK III
INTERINSTITUTIONELE RAAD VOOR CYBERBEVEILIGING
Artikel 10
Interinstitutionele raad voor cyberbeveiliging
1. Er wordt een interinstitutionele raad voor cyberbeveiliging (IICB) opgericht.
2. De IICB is verantwoordelijk voor:
| a) | het toezicht op en de ondersteuning van de uitvoering van deze verordening door de entiteiten van de Unie; |
| b) | het toezicht op de uitvoering van de algemene prioriteiten en doelstellingen door CERT-EU en het geven van strategische leiding aan CERT-EU. |
3. De IICB bestaat uit:
| a) | één vertegenwoordiger die wordt aangewezen door elk van de volgende partijen:
|
| b) | drie vertegenwoordigers die door het netwerk van EU-agentschappen (EUAN) op basis van een voorstel van zijn adviescomité voor ICT worden aangewezen om de belangen te behartigen van andere dan de in punt a) bedoelde organen en instanties van de Unie die hun eigen ICT-omgeving beheren. |
De in de IICB vertegenwoordigde entiteiten van de Unie streven naar genderevenwicht onder de aangewezen vertegenwoordigers.
4. De leden van de IICB kunnen door een plaatsvervanger worden bijgestaan. Andere vertegenwoordigers van de in lid 3 bedoelde entiteiten van de Unie of van andere entiteiten van de Unie kunnen door de voorzitter worden uitgenodigd om zonder stemrecht aan IICB-vergaderingen deel te nemen.
5. Het hoofd van CERT-EU en de voorzitters van de samenwerkingsgroep, het CSIRT-netwerk en EU-CyCLONe, respectievelijk opgericht op grond van de artikelen 14, 15 en 16 van Richtlijn (EU) 2022/2555, of hun plaatsvervangers, kunnen als waarnemer deelnemen aan IICB-vergaderingen. In uitzonderlijke gevallen kan de IICB overeenkomstig zijn reglement van orde anders beslissen.
6. De IICB stelt zijn reglement van orde vast.
7. De IICB wijst overeenkomstig zijn reglement van orde uit zijn leden een voorzitter aan voor een periode van drie jaar. De plaatsvervanger van de voorzitter wordt voor dezelfde duur volwaardig lid van de IICB.
8. De IICB komt ten minste driemaal per jaar bijeen op initiatief van zijn voorzitter, op verzoek van CERT-EU of op verzoek van een van zijn leden.
9. Elk lid van de IICB heeft één stem. Tenzij in deze verordening anders is bepaald, worden de besluiten van de IICB genomen met gewone meerderheid. De voorzitter van de IICB heeft uitsluitend stemrecht bij staking van de stemmen; in dat geval geeft de stem van de voorzitter de doorslag.
10. De IICB kan handelen door middel van een vereenvoudigde schriftelijke procedure conform zijn reglement van orde. Op grond van die procedure wordt het desbetreffende besluit geacht binnen de door de voorzitter vastgestelde termijn te zijn goedgekeurd, tenzij een lid bezwaar maakt.
11. Het secretariaat van de IICB wordt verzorgd door de Commissie en legt verantwoording af aan de voorzitter van de IICB.
12. De door het EUAN benoemde vertegenwoordigers brengen de besluiten van de IICB over aan de leden van het EUAN. Leden van het EUAN mogen iedere kwestie die zij voor de IICB van belang achten, aan die vertegenwoordigers of de voorzitter van de IICB voorleggen.
13. De IICB kan een uitvoerend comité oprichten om hem bij zijn werkzaamheden bij te staan, en een aantal van zijn taken en bevoegdheden daaraan delegeren. De IICB stelt het reglement van orde van het uitvoerend comité vast, met inbegrip van de taken en bevoegdheden van dat comité en de ambtstermijn van de leden daarvan.
14. Uiterlijk op 8 januari 2025 en vervolgens jaarlijks dient de IICB bij het Europees Parlement en de Raad een verslag in over de vooruitgang die bij de uitvoering van deze verordening is geboekt, waarin met name de mate van samenwerking van CERT-EU met tegenhangers in de lidstaten in elk van de lidstaten wordt gespecificeerd. Het verslag dient als input voor het tweejaarlijkse verslag over de stand van zaken op het gebied van de cyberbeveiliging in de Unie dat op grond van artikel 18 van Richtlijn (EU) 2022/2555 wordt opgesteld.
Artikel 15
Hoofd van CERT-EU
1. De Commissie benoemt met goedkeuring door een tweederdemeerderheid van de leden van de IICB het hoofd van CERT-EU. De IICB wordt geraadpleegd in alle stadia van de benoemingsprocedure, in het bijzonder bij het opstellen van vacatureberichten, de beoordeling van de sollicitaties en de benoeming van de selectiecomités voor de functie. De selectieprocedure, met inbegrip van de definitieve shortlist van kandidaten waaruit het hoofd van CERT-EU zal worden benoemd, zorgt voor een eerlijke vertegenwoordiging van elk gender, rekening houdend met de ingediende sollicitaties.
2. Het hoofd van CERT-EU is verantwoordelijk voor het goed functioneren van CERT-EU en handelt binnen de grenzen van zijn of haar rol, onder de leiding van de IICB. Het hoofd van CERT-EU brengt regelmatig verslag uit aan de voorzitter van de IICB en dient desgevraagd ad-hocverslagen in bij de IICB.
3. Het hoofd van CERT-EU verleent de bevoegde gedelegeerd ordonnateur bijstand bij het opstellen van het overeenkomstig artikel 74, lid 9, van Verordening (EU, Euratom) 2018/1046 van het Europees Parlement en de Raad (9) opgestelde jaarlijks activiteitenverslag, dat financiële en beheersinformatie, inclusief de resultaten van controles, bevat, en brengt regelmatig verslag uit aan de bevoegde gedelegeerd ordonnateur over de uitvoering van maatregelen waarvoor aan het hoofd van CERT-EU bevoegdheden zijn gesubdelegeerd.
4. Het hoofd van CERT-EU stelt jaarlijks een financiële planning op van de administratieve ontvangsten en uitgaven voor de activiteiten van CERT-EU, een voorgesteld jaarlijks werkprogramma, een voorgestelde dienstencatalogus voor CERT-EU, voorgestelde herzieningen van de dienstencatalogus, voorgestelde regelingen voor dienstenniveauovereenkomsten en voorgestelde kernprestatie-indicatoren voor CERT-EU, die overeenkomstig artikel 11 door de IICB moeten worden goedgekeurd. Bij de herziening van de lijst van diensten in de dienstencatalogus van CERT-EU houdt het hoofd van CERT-EU rekening met de aan CERT-EU toegewezen middelen.
5. Het hoofd van CERT-EU brengt ten minste eenmaal per jaar verslag uit aan de IICB en de voorzitter ervan over de activiteiten en de prestaties van CERT-EU gedurende de referentieperiode, onder meer met betrekking tot de uitvoering van de begroting, gesloten dienstenniveauovereenkomsten en schriftelijke overeenkomsten, de samenwerking met tegenhangers en partners, en de dienstreizen van personeel, met inbegrip van de in artikel 11 bedoelde verslagen. Die verslagen bevatten een werkprogramma voor de volgende periode, de financiële planning van ontvangsten en uitgaven, met inbegrip van personeel, geplande actualiseringen van de dienstencatalogus van CERT-EU en een beoordeling van het verwachte effect dat dergelijke actualiseringen kunnen hebben op het gebied van financiële en personele middelen.
Artikel 21
Rapportageverplichtingen
1. Een incident wordt als significant beschouwd als het:
| a) | de werking van de entiteit van de Unie ernstig heeft verstoord of kan verstoren dan wel voor de betrokken entiteit van de Unie tot financiële verliezen heeft geleid of kan leiden; |
| b) | andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken. |
2. De entiteiten van de Unie verstrekken aan CERT-EU:
| a) | onverwijld en in elk geval binnen 24 uur nadat zij kennis hebben gekregen van het significante incident, een vroegtijdige waarschuwing, waarin, indien van toepassing, wordt aangegeven dat het significante incident vermoedelijk door een onwettige of kwaadwillige handeling is veroorzaakt, dan wel entiteitoverstijgende of grensoverschrijdende gevolgen zou kunnen hebben; |
| b) | onverwijld en in elk geval binnen 72 uur nadat zij kennis hebben gekregen van het significante incident, een incidentmelding met, indien van toepassing, een update van de in punt a) bedoelde informatie, een initiële beoordeling van het significante incident, met inbegrip van de ernst en de gevolgen ervan, alsook, indien beschikbaar, de indicatoren voor aantasting; |
| c) | een tussentijds verslag met relevante updates van de situatie, indien CERT-EU daarom verzoekt; |
| d) | uiterlijk één maand na de indiening van de in punt b) bedoelde incidentmelding, een eindverslag waarin het volgende is opgenomen:
|
| e) | indien het incident nog aan de gang is op het moment dat het in punt d) bedoelde eindverslag wordt ingediend, op dat moment een voortgangsverslag en uiterlijk één maand nadat zij het incident hebben afgehandeld, een eindverslag. |
3. Een entiteit van de Unie stelt onverwijld en in elk geval binnen 24 uur nadat zij kennis heeft gekregen van een significant incident, alle in artikel 17, lid 1, bedoelde relevante tegenhangers in de lidstaat waar zij is gevestigd, in kennis van het feit dat zich een significant incident heeft voorgedaan.
4. De entiteiten van de Unie verstrekken onder meer alle informatie die CERT-EU in staat stelt om alle mogelijke entiteitoverstijgende gevolgen, gevolgen voor de lidstaat van vestiging of grensoverschrijdende gevolgen van een significant incident in kaart te brengen. Onverminderd artikel 12 leidt het louter doen van een melding niet tot een verhoogde aansprakelijkheid voor de entiteit van de Unie.
5. In voorkomend geval informeren de entiteiten van de Unie de gebruikers van de getroffen netwerk- en informatiesystemen of van andere onderdelen van de ICT-omgeving die mogelijkerwijs door een significant incident of een significante cyberdreiging worden getroffen en in voorkomend geval beperkende maatregelen moeten nemen, onverwijld over alle maatregelen of middelen die zij kunnen nemen of inzetten in antwoord op dat incident of die dreiging. Indien nodig informeren de entiteiten van de Unie die gebruikers over de significante cyberdreiging zelf.
6. Indien een significant incident of een significante cyberdreiging gevolgen heeft voor een netwerk- en informatiesysteem of een onderdeel van de ICT-omgeving van een entiteit van de Unie waarvan bekend is dat het verbonden is met de ICT-omgeving van een andere entiteit van de Unie, doet CERT-EU een cyberbeveiligingswaarschuwing daaromtrent uitgaan.
7. De entiteiten van de Unie delen op verzoek van CERT-EU onverwijld de digitale informatie die is opgesteld door het gebruik van elektronische apparaten die bij de respectieve incidenten betrokken zijn geweest. CERT-EU kan nadere bijzonderheden verstrekken betreffende het soort informatie dat nodig is met het oog op situatiebewustzijn en respons op incidenten.
8. CERT-EU dient om de drie maanden bij de IICB, Enisa, het EU-Intcen en het CSIRT-netwerk een samenvattend verslag in met geanonimiseerde en geaggregeerde gegevens over significante incidenten, incidenten, cyberdreigingen, bijna-incidenten en kwetsbaarheden op grond van artikel 20 en significante incidenten die op grond van lid 2 van dit artikel ter kennis zijn gegeven. Het samenvattend verslag dient als input voor het tweejaarlijkse verslag over de stand van zaken op het gebied van de cyberbeveiliging in de Unie dat op grond van artikel 18 van Richtlijn (EU) 2022/2555 wordt opgesteld.
9. Uiterlijk op 8 juli 2024 brengt de IICB richtsnoeren of aanbevelingen uit waarin de regelingen voor, en de vorm en inhoud van de rapportage op grond van dit artikel nader worden beschreven. Bij het opstellen van dergelijke richtsnoeren of aanbevelingen houdt de IICB rekening met op grond van artikel 23, lid 11, van Richtlijn (EU) 2022/2555 vastgestelde uitvoeringshandelingen waarin het soort informatie, de vorm en de procedure van kennisgevingen nader worden gespecificeerd. CERT-EU verspreidt de passende technische details, zodat de entiteiten van de Unie proactief opsporings-, incidentrespons- of beperkende maatregelen kunnen nemen.
10. De in dit artikel vastgestelde rapportageverplichtingen gelden niet voor:
| a) | EUCI; |
| b) | informatie waarvan de verdere verspreiding is uitgesloten door middel van een zichtbare markering, tenzij het delen daarvan met CERT-EU uitdrukkelijk is toegestaan. |
Artikel 25
Evaluatie
1. Uiterlijk op 8 januari 2025 en daarna jaarlijks brengt de IICB, met de hulp van CERT-EU, verslag uit aan de Commissie over de uitvoering van deze verordening. De IICB kan aanbevelingen doen aan de Commissie om deze verordening te evalueren.
2. Uiterlijk op 8 januari 2027 en vervolgens om de twee jaar beoordeelt de Commissie de uitvoering van deze verordening en de ervaring die op strategisch en operationeel niveau is opgedaan en brengt zij hierover verslag uit aan het Europees Parlement en de Raad.
Het in de eerste alinea van dit lid bedoelde verslag bevat de in artikel 16, lid 1, bedoelde evaluatie van de mogelijkheid om CERT-EU als bureau van de Unie aan te duiden.
3. Uiterlijk op 8 januari 2029 evalueert de Commissie de werking van deze verordening en brengt zij daarover verslag uit aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s. De Commissie beoordeelt ook of het passend is netwerk- en informatiesystemen waarin EUCI wordt verwerkt, in het toepassingsgebied van deze verordening op te nemen, rekening houdend met andere wetgevingshandelingen van de Unie die op die systemen van toepassing zijn. Dat verslag gaat zo nodig vergezeld van een wetgevingsvoorstel.
whereas