keyboard_tab Cyber Resilience Act 2023/2841 SV
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- Art. 1 Innehåll
- Art. 2 Tillämpningsområde
- Art. 3 Definitioner
- Art. 4 Behandling av personuppgifter
- Art. 5 Genomförande av åtgärder
- Art. 6 Ram för hantering, styrning och kontroll av cybersäkerhetsrisker
- Art. 7 Mognadsbedömningar av cybersäkerheten
- Art. 8 Riskhanteringsåtgärder för cybersäkerhet
- Art. 9 Cybersäkerhetsplaner
- Art. 10 Interinstitutionell cybersäkerhetsstyrelse
- Art. 11 IICB:s arbetsuppgifter
- Art. 12 Kontroll av efterlevnad
- Art. 13 CERT-EU:s uppdrag och arbetsuppgifter
- Art. 14 Vägledningar, rekommendationer och uppmaningar till åtgärder
- Art. 15 CERT-EU:s chef
- Art. 16 Ekonomiska frågor och personalfrågor
- Art. 17 CERT-EU:s samarbete med motparter i medlemsstaterna
- Art. 18 CERT-EU:s samarbete med andra motparter
- Art. 19 Informationshantering
- Art. 20 Arrangemang för informationsutbyte om cybersäkerhet
- Art. 21 Rapporteringsskyldigheter
- Art. 22 Samordning av incidenthantering och samarbete
- Art. 23 Hantering av större incidenter
- Art. 24 Inledande omfördelning av budgeten
- Art. 25 Översyn
- Artikel 26 Ikraftträdande
KAPITEL I
ALLMÄNNA BESTÄMMELSER
KAPITEL II
ÅTGÄRDER FÖR EN HÖG GEMENSAM CYBERSÄKERHETSNIVÅ
KAPITEL III
INTERINSTITUTIONELL CYBERSÄKERHETSSTYRELSE
KAPITEL IV
CERT-EU
KAPITEL V
SAMARBETS- OCH RAPPORTERINGSKRAV
KAPITEL VI
SLUTBESTÄMMELSER
- för 26
- inbegripet 7
- cybersäkerhet 6
- samt 6
- åtgärder 5
- incidenter 4
- cybersäkerhetsrisker 4
- sårbarheter 4
- hantering 4
- utveckling 4
- inom 4
- deras 4
- strategier 3
- entiteter 3
- säker 3
- cyberhot 3
- säkerhet 3
- unionsentiteten 3
- genom 3
- riskhanteringsåtgärder 3
- till 3
- dess 2
- programvara 2
- hänsyn 2
- åtminstone 2
- följande 2
- artikel 2
- specifika 2
- säkra 2
- användning 2
- säkerställa 2
- leverantör 2
- genomförande 2
- från 2
- utbildning 2
- underhåll 2
- möjligt 2
- cert-eu 2
- leveranskedjan 2
- leverantörer 2
- nätverks- 2
- unionens 2
- dessa 2
- eller 2
- under 2
- varje 2
- högsta 2
- vidta 2
- lämpliga 2
- tekniska 2
Artikel 8
Riskhanteringsåtgärder för cybersäkerhet
1. Utan onödigt dröjsmål och under alla omständigheter senast den 8 september 2025 ska varje unionsentitet, under överinseende av den högsta ledningsnivån, vidta lämpliga och proportionella tekniska, operativa och organisatoriska åtgärder för att hantera de cybersäkerhetsrisker som identifierats inom ramen, och för att förebygga eller minimera effekterna av incidenterna. Med beaktande av den senaste utvecklingen och, i tillämpliga fall, relevanta europeiska och internationella standarder, ska dessa åtgärder säkerställa en säkerhetsnivå för nätverks- och informationssystemen i hela IKT-miljön som står i proportion till cybersäkerhetsriskerna. Vid bedömningen av dessa åtgärders proportionalitet ska vederbörlig hänsyn tas till unionsentitetens grad av exponering för cybersäkerhetsrisker, dess storlek samt sannolikheten för att incidenter ska inträffa och deras allvarlighetsgrad, inbegripet deras samhälleliga, ekonomiska och interinstitutionella konsekvenser.
2. Unionens entiteter ska vid genomförandet av riskhanteringsåtgärder för cybersäkerhet behandla åtminstone följande specifika områden:
| a) | Cybersäkerhetspolicy, inbegripet åtgärder som behövs för att nå målen och prioriteringarna enligt artikel 6 samt punkt 3 i den här artikeln. |
| b) | Strategier för analys av cybersäkerhetsrisker och informationssystemens säkerhet. |
| c) | Policymål för användningen av molntjänster. |
| d) | Cybersäkerhetsrevision, när så är lämpligt, vilket kan inbegripa en bedömning av cybersäkerhetsrisker, sårbarhet och cyberhot, och penetrationstester som regelbundet utförs av en betrodd privat leverantör. |
| e) | Genomförande av rekommendationer från de cybersäkerhetsrevisioner som avses i led d genom cybersäkerhetsuppdateringar och policyuppdateringar. |
| f) | Organisation av cybersäkerhet, inbegripet fastställande av roller och ansvarsområden. |
| g) | Förvaltning av tillgångar, inbegripet inventering av IKT-tillgångar och IKT-nätverkskartografi. |
| h) | Säkerhets- och åtkomstkontroll för personal. |
| i) | Driftssäkerhet. |
| j) | Kommunikationssäkerhet. |
| k) | Förvärv, utveckling och underhåll av system, inbegripet strategier för hantering och redovisning av sårbarheter. |
| l) | Strategier, om möjligt, för insyn i källkoden. |
| m) | Säkerhet i leveranskedjan, inbegripet säkerhetsrelaterade aspekter som rör förbindelserna mellan unionsentiteten och dess direkta leverantörer eller tjänsteleverantörer. |
| n) | Incidenthantering och samarbete med CERT-EU, såsom underhåll av säkerhetsövervakning och loggning. |
| o) | Hantering av driftskontinuitet, exempelvis hantering av säkerhetskopiering och katastrofhantering samt krishantering. |
| p) | Främjande och utveckling av program för utbildning, kompetens, ökad medvetenhet, övning och fortbildning inom cybersäkerhet. |
Vid tillämpningen av första stycket led m ska unionsentiteter ta hänsyn till de sårbarheter som är specifika för varje direkt leverantör och tjänsteleverantör och den övergripande kvaliteten på produkterna och deras leverantörers och tjänsteleverantörers cybersäkerhetspraxis, inbegripet deras förfaranden för säker utveckling.
3. Unionens entiteter ska vidta åtminstone följande riskhanteringsåtgärder för cybersäkerhet:
| a) | Tekniska arrangemang för att möjliggöra och upprätthålla distansarbete. |
| b) | Konkreta åtgärder för att närma sig nolltillitsprinciperna. |
| c) | Användning av flerfaktorsautentisering som standard i nätverks- och informationssystem. |
| d) | Användning av kryptografi och kryptering, särskilt totalsträckskryptering samt säkra digitala underskrifter. |
| e) | Om möjligt, säker röst-, video- och textkommunikation samt säkra nödkommunikationssystem inom unionsentiteten. |
| f) | Proaktiva åtgärder för att upptäcka och avlägsna sabotageprogram och spionprogram. |
| g) | Inrättande av säkerhet i leveranskedjan för programvara genom kriterier för utveckling och utvärdering av säker programvara. |
| h) | Upprättande och antagande av utbildningsprogram för cybersäkerhet som motsvarar de föreskrivna arbetsuppgifterna och den förväntade kapaciteten hos den högsta ledningen och personalen inom unionsentiteten med uppdrag att säkerställa ett effektivt genomförande av denna förordning. |
| i) | Regelbunden utbildning i cybersäkerhet för personalen. |
| j) | Om relevant, deltagande i riskanalyser av sammankopplingar mellan unionens entiteter. |
| k) | Förbättrade upphandlingsregler för att underlätta en hög gemensam cybersäkerhetsnivå genom
|
whereas