keyboard_tab Cyber Resilience Act 2023/2841 NL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 12 Art. 3 Definities
- 1 Art. 6 Kader voor risicobeheer, governance en toezicht op het gebied van cyberbeveiliging
- 2 Art. 8 Maatregelen voor het beheer van cyberbeveiligingsrisico’s
- 4 Art. 11 Taken van de IICB
- 3 Art. 18 Samenwerking van CERT-EU met andere tegenhangers
- 1 Art. 22 Coördinatie van respons bij incidenten en samenwerking
HOOFDSTUK I
ALGEMENE BEPALINGEN
HOOFDSTUK II
MAATREGELEN VOOR EEN HOOG GEZAMENLIJK NIVEAU VAN CYBERBEVEILIGING
HOOFDSTUK III
INTERINSTITUTIONELE RAAD VOOR CYBERBEVEILIGING
HOOFDSTUK IV
CERT-EU
HOOFDSTUK V
SAMENWERKING EN VERSLAGLEGGINGSVERPLICHTINGEN
HOOFDSTUK VI
SLOTBEPALINGEN
- unie 61
- voor 40
- cert-eu 39
- artikel 33
- entiteit 32
- entiteiten 28
- zoals 23
- zijn 21
- cyberbeveiliging 20
- door 19
- deze 16
- verordening 16
- uitvoering 16
- incidenten 15
- eu / 15
- kader 13
- richtlijn 13
- punt 12
- gedefinieerd 12
- samenwerking 11
- wordt 11
- cyberbeveiligingsrisico’s 11
- iicb 11
- basis 11
- goedkeuring 11
- beheer 10
- maatregelen 10
- worden 10
- stelt 10
- geval 10
- specifieke 10
- over 10
- andere 9
- voorstel 9
- tegenhangers 9
- niveau 8
- kwetsbaarheden 8
- informatie 8
- hoogste 8
- lid 8
- inzake 8
- gevolgen 8
- beveiliging 8
- inbegrip 8
- taken 7
- hecht 7
- bedoelde 7
- rekening 7
- tussen 7
- incident 7
Artikel 3
Definities
Voor de toepassing van deze verordening wordt verstaan onder:
| 1) | “entiteiten van de Unie”: instellingen, organen en instanties van de Unie die zijn opgericht bij of krachtens het Verdrag betreffende de Europese Unie, het Verdrag betreffende de werking van de Europese Unie (VWEU) of het Verdrag tot oprichting van de Europese Gemeenschap voor Atoomenergie; |
| 2) | “netwerk- en informatiesysteem”: een netwerk- en informatiesysteem zoals gedefinieerd in artikel 6, punt 1), van Richtlijn (EU) 2022/2555; |
| 3) | “beveiliging van netwerk- en informatiesystemen”: beveiliging van netwerk- en informatiesystemen zoals gedefinieerd in artikel 6, punt 2), van Richtlijn (EU) 2022/2555; |
| 4) | “cyberbeveiliging”: cyberbeveiliging zoals gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2019/881; |
| 5) | “hoogste managementniveau”: een leidinggevende, een leidinggevend orgaan of een coördinatie- en toezichtorgaan dat op het hoogste bestuurlijke niveau verantwoordelijk is voor het functioneren van een entiteit van de Unie, met een mandaat om besluiten vast te stellen of hiervoor toestemming te verlenen in overeenstemming met de bestuursregelingen op hoog niveau van die entiteit van de Unie, onverminderd de formele verantwoordelijkheden van andere managementniveaus voor naleving en het beheer van cyberbeveiligingsrisico’s op hun respectieve bevoegdheidsgebieden; |
| 6) | “bijna-incident”: een bijna-incident zoals gedefinieerd in artikel 6, punt 5), van Richtlijn (EU) 2022/2555; |
| 7) | “incident”: een incident zoals gedefinieerd in artikel 6, punt 6), van Richtlijn (EU) 2022/2555; |
| 8) | “ernstig incident”: een incident dat een mate van verstoring veroorzaakt die het responsvermogen van een entiteit van de Unie en CERT-EU overstijgt of dat significante gevolgen heeft voor ten minste twee entiteiten van de Unie; |
| 9) | “grootschalig cyberbeveiligingsincident”: een grootschalig cyberbeveiligingsincident zoals gedefinieerd in artikel 6, punt 7), van Richtlijn (EU) 2022/2555; |
| 10) | “incidentenbehandeling”: incidentenbehandeling zoals gedefinieerd in artikel 6, punt 8), van Richtlijn (EU) 2022/2555; |
| 11) | “cyberdreiging”: een cyberdreiging zoals gedefinieerd in artikel 2, punt 8, van Verordening (EU) 2019/881; |
| 12) | “significante cyberdreiging”: een significante cyberdreiging zoals gedefinieerd in artikel 6, punt 11), van Richtlijn (EU) 2022/2555; |
| 13) | “kwetsbaarheid”: kwetsbaarheid zoals gedefinieerd in artikel 6, punt 15), van Richtlijn (EU) 2022/2555; |
| 14) | “cyberbeveiligingsrisico”: een risico zoals gedefinieerd in artikel 6, punt 9), van Richtlijn (EU) 2022/2555; |
| 15) | “cloudcomputingdienst”: een cloudcomputingdienst zoals gedefinieerd in artikel 6, punt 30), van Richtlijn (EU) 2022/2555. |
Artikel 6
Kader voor risicobeheer, governance en toezicht op het gebied van cyberbeveiliging
1. Uiterlijk op 8 april 2025 stelt elke entiteit van de Unie, na een initiële evaluatie van de cyberbeveiliging, zoals een audit, te hebben uitgevoerd, een intern kader voor het beheer, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s (het “kader”) op. De vaststelling van het kader geschiedt onder toezicht van en onder de verantwoordelijkheid van het hoogste managementniveau van de entiteit van de Unie.
2. Het kader omvat de gehele niet-gerubriceerde ICT-omgeving van de entiteit van de Unie in kwestie, met inbegrip van de ICT-omgeving ter plaatse, het operationele technologienetwerk ter plaatse, uitbestede activa en diensten in cloudcomputingomgevingen of gehost door derden, mobiele apparatuur, bedrijfsnetwerken, zakelijke netwerken die niet met het internet verbonden zijn en met die omgevingen verbonden apparaten (“ICT-omgeving”). Het kader is gebaseerd op een alle risico’s omvattende aanpak.
3. Het kader waarborgt een hoog niveau van cyberbeveiliging. In het kader wordt het interne cyberbeveiligingsbeleid, met inbegrip van doelstellingen en prioriteiten, vastgesteld voor de beveiliging van netwerk- en informatiesystemen, en de taken en verantwoordelijkheden van het personeel van de entiteit van de Unie dat belast is met het waarborgen van de effectieve uitvoering van deze verordening. Het kader omvat ook mechanismen om de effectiviteit van de uitvoering te meten.
4. Het kader wordt regelmatig, en ten minste om de vier jaar, geëvalueerd in het licht van de veranderende cyberbeveiligingsrisico’s. In voorkomend geval en na een verzoek van de op grond van artikel 10 opgerichte interinstitutionele raad voor cyberbeveiliging kan het kader van een entiteit van de Unie worden geactualiseerd op basis van richtsnoeren van CERT-EU met betrekking tot vastgestelde incidenten of mogelijk geconstateerde lacunes in de uitvoering van deze verordening.
5. Het hoogste managementniveau van elke entiteit van de Unie is verantwoordelijk voor de uitvoering van deze verordening en houdt toezicht op de naleving door zijn organisatie van de verplichtingen in verband met het kader.
6. Indien nodig en onverminderd zijn verantwoordelijkheid voor de uitvoering van deze verordening, kan het hoogste managementniveau van elke entiteit van de Unie specifieke verplichtingen uit hoofde van deze verordening delegeren aan hoger leidinggevend personeel in de zin van artikel 29, lid 2, van het Statuut of andere functionarissen op gelijkwaardig niveau binnen de betrokken entiteit van de Unie. Ongeacht een dergelijke delegatie kan het hoogste managementniveau aansprakelijk worden gesteld voor inbreuken op deze verordening door de betrokken entiteit van de Unie.
7. Elke entiteit van de Unie beschikt over doeltreffende mechanismen om te waarborgen dat een passend percentage van de ICT-begroting aan cyberbeveiliging wordt besteed. Bij het vaststellen van dat percentage wordt terdege rekening gehouden met het kader.
8. Elke entiteit van de Unie stelt elk een lokale cyberbeveiligingsfunctionaris of een gelijkwaardige functionaris aan, die fungeert als het centrale contactpunt voor alle cyberbeveiligingsaspecten. De lokale cyberbeveiligingsfunctionaris faciliteert de uitvoering van deze verordening en brengt op regelmatige basis rechtstreeks aan het hoogste managementniveau verslag uit over de stand van de uitvoering. Ongeacht of in elke entiteit van de Unie de lokale cyberbeveiligingsfunctionaris het centrale contactpunt is, kan een entiteit van de Unie, op basis van een dienstenniveauovereenkomst tussen die entiteit van de Unie en CERT-EU, bepaalde aan de uitvoering van deze verordening gerelateerde taken van de lokale cyberbeveiligingsfunctionaris aan CERT-EU delegeren, of kunnen die taken door meerdere entiteiten van de Unie worden gedeeld. Indien die taken aan CERT-EU zijn gedelegeerd, besluit de op grond van artikel 10 opgerichte interinstitutionele raad voor cyberbeveiliging of die dienstverlening onderdeel dient uit te maken van de basisdienstverlening van CERT-EU, rekening houdend met de personele en financiële middelen van de betrokken entiteit van de Unie. Elke entiteit van de Unie geeft CERT-EU onverwijld kennis van de aangewezen lokale cyberbeveiligingsfunctionaris en iedere wijziging daarvan.
CERT-EU stelt een lijst van aangewezen lokale cyberbeveiligingsfunctionarissen op en houdt deze actueel.
9. Het hoger leidinggevend personeel in de zin van artikel 29, lid 2, van het Statuut of andere functionarissen op gelijkwaardig niveau binnen de betrokken entiteit van de Unie, alsmede alle relevante personeelsleden die belast zijn met de uitvoering van de in deze verordening vastgelegde maatregelen en met de naleving van verplichtingen voor het beheer van cyberbeveiligingsrisico’s volgen regelmatig specifieke opleidingen om voldoende kennis en vaardigheden op te doen om risico- en beheerspraktijken op het gebied van cyberbeveiliging en de gevolgen daarvan op de activiteiten van de entiteit van de Unie te begrijpen en te beoordelen.
Artikel 8
Maatregelen voor het beheer van cyberbeveiligingsrisico’s
1. Elke entiteit van de Unie neemt onverwijld en in elk geval uiterlijk op 8 september 2025, onder het toezicht van haar hoogste managementniveau, passende en evenredige technische, operationele en organisatorische maatregelen voor het beheer van de binnen het kader geïdentificeerde cyberbeveiligingsrisico’s, en voor het voorkomen of tot een minimum beperken van de gevolgen van incidenten. Rekening houdend met de stand van de techniek en, in voorkomend geval, de relevante Europese en internationale normen waarborgen die maatregelen een beveiligingsniveau van netwerk- en informatiesystemen in de gehele ICT-omgeving dat in verhouding staat tot de cyberbeveiligingsrisico’s die zich voordoen. Bij het beoordelen van de evenredigheid van die maatregelen wordt terdege rekening gehouden met de mate waarin de entiteit van de Unie aan cyberbeveiligingsrisico’s is blootgesteld, de omvang van de entiteit van de Unie en de kans dat zich incidenten voordoen en de ernst ervan, met inbegrip van de maatschappelijke, economische en interinstitutionele gevolgen daarvan.
2. Bij de uitvoering van de maatregelen voor het beheer van cyberbeveiligingsrisico’s behandelen de entiteiten van de Unie ten minste de volgende gebieden:
| a) | cyberbeveiligingsbeleid, met inbegrip van de maatregelen die nodig zijn om de in artikel 6 en lid 3 van dit artikel bedoelde doelstellingen en prioriteiten te verwezenlijken; |
| b) | beleid inzake cyberbeveiligingsrisicoanalyse en beveiliging van informatiesystemen; |
| c) | beleidsdoelstellingen met betrekking tot het gebruik van cloudcomputingdiensten; |
| d) | in voorkomend geval een cyberbeveiligingsaudit, die een beoordeling van het cyberbeveiligingsrisico, de kwetsbaarheid en de cyberdreiging kan omvatten, en penetratietests die regelmatig door een betrouwbare particuliere aanbieder worden uitgevoerd; |
| e) | de uitvoering van aanbevelingen die voortvloeien uit de in punt d) bedoelde cyberbeveiligingsaudits door middel van cyberbeveiligings- en beleidsupdates; |
| f) | de organisatie van cyberbeveiliging, inclusief de vaststelling van rollen en verantwoordelijkheden; |
| g) | activabeheer, inclusief een inventaris van ICT-activa en ICT-netwerkarchitectuur; |
| h) | beveiliging van personele middelen en toegangscontrole; |
| i) | operationele beveiliging; |
| j) | communicatiebeveiliging; |
| k) | aankoop, ontwikkeling en onderhoud van systemen, met inbegrip van beleid inzake de respons op en bekendmaking van kwetsbaarheden; |
| l) | indien mogelijk, beleid inzake de transparantie van de broncode; |
| m) | beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten van de betrekkingen tussen elke entiteit van de Unie en haar rechtstreekse leveranciers of dienstverleners; |
| n) | incidentenbehandeling en samenwerking met CERT-EU, zoals continue monitoring en registratie van de beveiliging; |
| o) | bedrijfscontinuïteitsbeheer, zoals back-upbeheer en noodvoorzieningenplannen, en crisisbeheer, en |
| p) | bevordering en ontwikkeling van programma’s betreffende onderwijs, vaardigheden, bewustmaking, oefeningen en opleiding op het gebied van cyberbeveiliging. |
Voor de toepassing van de eerste alinea, punt m), houden entiteiten van de Unie rekening met de specifieke kwetsbaarheden van elke rechtstreekse leverancier en dienstverlener, en met de algehele kwaliteit van de producten en cyberbeveiligingspraktijken van hun leveranciers en dienstverleners, veilige ontwikkelingsprocessen inbegrepen.
3. Entiteiten van de Unie nemen ten minste de volgende specifieke maatregelen voor het beheer van cyberbeveiligingsrisico’s:
| a) | technische regelingen om telewerken mogelijk te maken en te ondersteunen; |
| b) | concrete stappen in de richting van zero trust-beginselen; |
| c) | het gebruik van multifactorauthenticatie als norm in alle netwerk- en informatiesystemen; |
| d) | het gebruik van cryptografie en versleuteling, en met name eind-tot-eindversleuteling, alsook beveiligde digitale ondertekening; |
| e) | waar passend, beveiligde spraak-, beeld- en tekstcommunicatie, en beveiligde noodcommunicatiesystemen binnen de entiteit van de Unie; |
| f) | proactieve maatregelen voor het opsporen en verwijderen van malware en spyware; |
| g) | de totstandbrenging van een veilige toeleveringsketen voor software, door middel van criteria voor de ontwikkeling en evaluatie van veilige software; |
| h) | de opstelling en vaststelling van opleidingsprogramma’s op het gebied van cyberbeveiliging die in verhouding staan tot de voorgeschreven taken en verwachte capaciteiten, voor het hoogste managementniveau en voor de personeelsleden van de entiteit van de Unie die belast zijn met het waarborgen van de effectieve uitvoering van deze verordening; |
| i) | de regelmatige opleiding van personeelsleden op het gebied van cyberbeveiliging; |
| j) | in voorkomend geval de deelname aan risicoanalyses van de interconnectiviteit tussen de entiteiten van de Unie; |
| k) | betere aanbestedingsregels om een hoog gezamenlijk niveau van cyberbeveiliging te bevorderen door:
|
Artikel 11
Taken van de IICB
Bij de uitoefening van zijn verantwoordelijkheden vervult de IICB met name de volgende taken:
| a) | hij verstrekt het hoofd van CERT-EU richtsnoeren; |
| b) | hij houdt effectief toezicht op de uitvoering van deze verordening en ondersteunt de entiteiten van de Unie bij het versterken van hun cyberbeveiliging, onder meer door entiteiten van de Unie en CERT-EU waar passend om ad-hocverslagen te vragen; |
| c) | hij stelt na een strategische discussie een meerjarige strategie vast voor het verhogen van het cyberbeveiligingsniveau in de entiteiten van de Unie, evalueert die strategie regelmatig en in elk geval om de vijf jaar, en wijzigt die strategie indien nodig; |
| d) | hij stelt de methodologie en organisatorische aspecten voor de uitvoering van vrijwillige collegiale toetsingen door entiteiten van de Unie vast om van gedeelde ervaringen te leren, het onderlinge vertrouwen te versterken, een hoog gemeenschappelijk niveau van cyberbeveiliging te bewerkstelligen en de cyberbeveiligingscapaciteiten van de entiteiten van de Unie te verbeteren, waarbij ervoor wordt gezorgd dat dergelijke collegiale toetsingen worden uitgevoerd door cyberbeveiligingsdeskundigen die zijn aangewezen door een andere entiteit van de Unie dan de entiteit van de Unie die wordt geëvalueerd, en dat de methodologie gebaseerd is op artikel 19 van Richtlijn (EU) 2022/2555 en, in voorkomend geval, wordt aangepast aan de entiteiten van de Unie; |
| e) | hij hecht zijn goedkeuring aan het jaarlijkse werkprogramma van CERT-EU op basis van een voorstel van het hoofd van CERT-EU en ziet toe op de uitvoering ervan; |
| f) | hij hecht zijn goedkeuring aan de CERT-EU -dienstencatalogus en alle bijwerkingen daarvan, op basis van een voorstel van het hoofd van CERT-EU; |
| g) | hij hecht zijn goedkeuring aan de verwachte jaarlijkse ontvangsten en uitgaven, inclusief wat personeel betreft, voor CERT-EU, op basis van een voorstel van het hoofd van CERT-EU; |
| h) | hij hecht zijn goedkeuring aan de regelingen voor dienstenniveauovereenkomsten, op basis van een voorstel van het hoofd van CERT-EU; |
| i) | hij controleert en hecht zijn goedkeuring aan het door het hoofd van CERT-EU opgestelde jaarverslag over de activiteiten van, en het beheer van de middelen door, CERT-EU; |
| j) | hij hecht zijn goedkeuring aan en monitort kernprestatie-indicatoren voor CERT-EU die op basis van een voorstel van het hoofd van CERT-EU worden vastgesteld; |
| k) | hij hecht zijn goedkeuring aan samenwerkingsovereenkomsten en dienstenniveauovereenkomsten of overeenkomsten tussen CERT-EU en andere entiteiten op grond van artikel 18; |
| l) | hij stelt richtsnoeren en aanbevelingen vast op basis van een voorstel van CERT-EU overeenkomstig artikel 14 en draagt CERT-EU op om een oproep tot actie, of een voorstel voor richtsnoeren of aanbevelingen, uit te vaardigen, in te trekken of te wijzigen; |
| m) | hij stelt technische adviesgroepen met specifieke taken in ter ondersteuning van de werkzaamheden van de IICB, keurt hun mandaat goed en wijst hun voorzitter aan; |
| n) | hij ontvangt en beoordeelt documenten en verslagen die de entiteiten van de Unie uit hoofde van deze verordening indienen, zoals maturiteitsbeoordelingen van de cyberbeveiliging; |
| o) | hij bevordert de oprichting van een informele groep van lokale cyberbeveiligingsfunctionarissen van entiteiten van de Unie, ondersteund door Enisa, teneinde beste praktijken en informatie in verband met de uitvoering van deze verordening uit te wisselen; |
| p) | hij houdt toezicht op de toereikendheid van de interconnectiviteitsregelingen tussen de ICT-omgevingen van de entiteiten van de Unie, rekening houdend met de door CERT-EU verstrekte informatie over de vastgestelde cyberbeveiligingsrisico’s en de geleerde lessen, en brengt advies uit over mogelijke verbeteringen; |
| q) | hij stelt een cybercrisisbeheersplan op om op operationeel niveau het gecoördineerde beheer van ernstige incidenten met gevolgen voor entiteiten van de Unie te ondersteunen en bij te dragen tot de regelmatige uitwisseling van relevante informatie, met name met betrekking tot de gevolgen en de ernst van ernstige incidenten en de mogelijke manieren om de gevolgen ervan te beperken; |
| r) | hij coördineert de vaststelling van de cybercrisisbeheersplannen door de individuele entiteiten van de Unie zoals bedoeld in artikel 9, lid 2; |
| s) | hij stelt aanbevelingen vast in verband met de beveiliging van de toeleveringsketen zoals bedoeld in artikel 8, lid 2, eerste alinea, punt m), rekening houdend met de resultaten van op Unieniveau gecoördineerde beveiligingsrisicobeoordelingen van kritieke toeleveringsketens zoals bedoeld in artikel 22 van Richtlijn (EU) 2022/2555, teneinde de entiteiten van de Unie te ondersteunen bij het doorvoeren van doeltreffende en passende maatregelen voor het beheer van cyberbeveiligingsrisico’s. |
Artikel 18
Samenwerking van CERT-EU met andere tegenhangers
1. CERT-EU kan met andere tegenhangers in de Unie samenwerken dan de in artikel 17 bedoelde tegenhangers die onderworpen zijn aan cyberbeveiligingsvereisten van de Unie, met inbegrip van bedrijfstakspecifieke tegenhangers, inzake instrumenten en methoden, zoals technieken, tactiek, procedures en beste praktijken, en cyberdreigingen en kwetsbaarheden. Voor iedere samenwerking met dergelijke tegenhangers verzoekt CERT-EU per geval vooraf om de goedkeuring van de IICB. Wanneer CERT-EU met dergelijke tegenhangers een samenwerking aangaat, informeert het de in artikel 17, lid 1, bedoelde tegenhangers in de lidstaat waar de instantie is gevestigd. Waar dit toepasselijk en gepast is, worden die samenwerking en de voorwaarden daarvan, onder meer met betrekking tot cyberbeveiliging, gegevensbescherming en informatieverwerking, vastgelegd in specifieke geheimhoudingsregelingen zoals overeenkomsten of administratieve regelingen. Voor de geheimhoudingsregelingen is geen voorafgaande goedkeuring van de IICB nodig, maar de voorzitter van de IICB wordt ervan op de hoogte gebracht. Indien het dringend noodzakelijk is om informatie over cyberbeveiliging uit te wisselen in het belang van entiteiten van de Unie of een andere partij, kan CERT-EU dit doen met een entiteit waarvan de specifieke bevoegdheid, capaciteit en deskundigheid aantoonbaar vereist zijn om bijstand te verlenen bij een dergelijke dringende noodzaak, ook al heeft CERT-EU geen geheimhoudingsregeling met die entiteit. In dergelijke gevallen brengt CERT-EU de voorzitter van de IICB onmiddellijk op de hoogte en brengt het verslag uit aan de IICB door middel van regelmatige verslagen of vergaderingen.
2. CERT-EU kan samenwerken met partners, zoals commerciële entiteiten, met inbegrip van bedrijfstakspecifieke entiteiten, internationale organisaties en nationale entiteiten van buiten de Unie of individuele deskundigen, om informatie te verzamelen over algemene en specifieke cyberdreigingen, bijna-incidenten, kwetsbaarheden en mogelijke tegenmaatregelen. Voor verdere samenwerking met deze partners verzoekt CERT-EU per geval vooraf om de goedkeuring van de IICB.
3. CERT-EU kan, met toestemming van de door een incident getroffen entiteit van de Unie en op voorwaarde dat er met de betrokken tegenhanger of partner een geheimhoudingsregeling of -overeenkomst is gesloten, informatie over het specifieke incident verstrekken aan de in de leden 1 en 2 bedoelde tegenhangers of partners, louter om hen te helpen bij hun analyse.
HOOFDSTUK V
SAMENWERKING EN VERSLAGLEGGINGSVERPLICHTINGEN
Artikel 22
Coördinatie van respons bij incidenten en samenwerking
1. Bij zijn optreden als knooppunt voor informatie-uitwisseling inzake cyberbeveiliging en responscoördinatie bij incidenten faciliteert CERT-EU de uitwisseling van informatie inzake incidenten, cyberdreigingen, kwetsbaarheden en bijna-incidenten onder de volgende partijen:
| a) | entiteiten van de Unie; |
| b) | de in de artikelen 17 en 18 bedoelde tegenhangers. |
2. CERT-EU faciliteert, zo nodig in nauwe samenwerking met Enisa, de coördinatie tussen de entiteiten van de Unie inzake de respons bij incidenten, wat het volgende omvat:
| a) | bijdragen tot consequente externe communicatie; |
| b) | wederzijdse ondersteuning, zoals het delen van informatie die relevant is voor entiteiten van de Unie, of het verlenen van bijstand, in voorkomend geval rechtstreeks ter plaatse; |
| c) | optimaal gebruik van operationele middelen; |
| d) | coördinatie met andere crisisresponsmechanismen op Unieniveau. |
3. CERT-EU ondersteunt, in nauwe samenwerking met Enisa, de entiteiten van de Unie met betrekking tot het situatiebewustzijn van incidenten, cyberdreigingen, kwetsbaarheden en bijna-incidenten, en het delen van relevante ontwikkelingen op het gebied van cyberbeveiliging.
4. Uiterlijk op 8 januari 2025 stelt de IICB, op basis van een voorstel van CERT-EU, richtsnoeren of aanbevelingen inzake de respons bij incidenten en samenwerking bij significante incidenten vast. Wanneer wordt vermoed dat het incident crimineel van aard is, adviseert CERT-EU onverwijld over de manier waarop het incident aan de rechtshandhavingsinstanties moet worden gemeld.
5. Op specifiek verzoek van een lidstaat en met de goedkeuring van de betrokken entiteiten van de Unie kan CERT-EU een beroep doen op deskundigen van de in artikel 23, lid 4, bedoelde lijst om bij te dragen aan de respons op een ernstig incident dat gevolgen heeft in die lidstaat, of op een grootschalig cyberbeveiligingsincident overeenkomstig artikel 15, lid 3, punt g), van Richtlijn (EU) 2022/2555. De specifieke regels met betrekking tot de toegang tot en de inzet van technische deskundigen van de entiteiten van de Unie worden door de IICB op basis van een voorstel van CERT-EU goedgekeurd.
whereas