keyboard_tab Cyber Resilience Act 2023/2841 SV
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
KAPITEL I
ALLMÄNNA BESTÄMMELSER
KAPITEL II
ÅTGÄRDER FÖR EN HÖG GEMENSAM CYBERSÄKERHETSNIVÅ
KAPITEL III
INTERINSTITUTIONELL CYBERSÄKERHETSSTYRELSE
KAPITEL IV
CERT-EU
KAPITEL V
SAMARBETS- OCH RAPPORTERINGSKRAV
KAPITEL VI
SLUTBESTÄMMELSER
- för 48
- eller 24
- cert-eu 21
- entiteter 20
- artikel 17
- incidenter 16
- betydande 16
- information 14
- till 12
- unionens 11
- hantering 10
- åtgärder 10
- inom 10
- incident 9
- unionens 9
- inte 9
- utan 9
- inbegripet 9
- genom 8
- cyberhot 8
- enligt 8
- samt 8
- incidenten 8
- konsekvenser 8
- deras 8
- större 8
- onödigt 7
- avses 7
- cybersäkerhet 7
- fall 7
- tillämpliga 7
- dröjsmål 7
- sårbarheter 7
- denna 7
- unionsentiteten 6
- under 6
- iicb 6
- unionsentitet 6
- begäran 6
- efter 6
- får 5
- tekniska 5
- uppgifter 5
- dess 5
- rekommendationer 5
- när 4
- relevant 4
- arrangemang 4
- allvarlighetsgrad 4
- incidenthantering 4
Artikel 8
Riskhanteringsåtgärder för cybersäkerhet
1. Utan onödigt dröjsmål och under alla omständigheter senast den 8 september 2025 ska varje unionsentitet, under överinseende av den högsta ledningsnivån, vidta lämpliga och proportionella tekniska, operativa och organisatoriska åtgärder för att hantera de cybersäkerhetsrisker som identifierats inom ramen, och för att förebygga eller minimera effekterna av incidenterna. Med beaktande av den senaste utvecklingen och, i tillämpliga fall, relevanta europeiska och internationella standarder, ska dessa åtgärder säkerställa en säkerhetsnivå för nätverks- och informationssystemen i hela IKT-miljön som står i proportion till cybersäkerhetsriskerna. Vid bedömningen av dessa åtgärders proportionalitet ska vederbörlig hänsyn tas till unionsentitetens grad av exponering för cybersäkerhetsrisker, dess storlek samt sannolikheten för att incidenter ska inträffa och deras allvarlighetsgrad, inbegripet deras samhälleliga, ekonomiska och interinstitutionella konsekvenser.
2. unionens entiteter ska vid genomförandet av riskhanteringsåtgärder för cybersäkerhet behandla åtminstone följande specifika områden:
| a) | Cybersäkerhetspolicy, inbegripet åtgärder som behövs för att nå målen och prioriteringarna enligt artikel 6 samt punkt 3 i den här artikeln. |
| b) | Strategier för analys av cybersäkerhetsrisker och informationssystemens säkerhet. |
| c) | Policymål för användningen av molntjänster. |
| d) | Cybersäkerhetsrevision, när så är lämpligt, vilket kan inbegripa en bedömning av cybersäkerhetsrisker, sårbarhet och cyberhot, och penetrationstester som regelbundet utförs av en betrodd privat leverantör. |
| e) | Genomförande av rekommendationer från de cybersäkerhetsrevisioner som avses i led d genom cybersäkerhetsuppdateringar och policyuppdateringar. |
| f) | Organisation av cybersäkerhet, inbegripet fastställande av roller och ansvarsområden. |
| g) | Förvaltning av tillgångar, inbegripet inventering av IKT-tillgångar och IKT-nätverkskartografi. |
| h) | Säkerhets- och åtkomstkontroll för personal. |
| i) | Driftssäkerhet. |
| j) | Kommunikationssäkerhet. |
| k) | Förvärv, utveckling och underhåll av system, inbegripet strategier för hantering och redovisning av sårbarheter. |
| l) | Strategier, om möjligt, för insyn i källkoden. |
| m) | Säkerhet i leveranskedjan, inbegripet säkerhetsrelaterade aspekter som rör förbindelserna mellan unionsentiteten och dess direkta leverantörer eller tjänsteleverantörer. |
| n) | Incidenthantering och samarbete med CERT-EU, såsom underhåll av säkerhetsövervakning och loggning. |
| o) | Hantering av driftskontinuitet, exempelvis hantering av säkerhetskopiering och katastrofhantering samt krishantering. |
| p) | Främjande och utveckling av program för utbildning, kompetens, ökad medvetenhet, övning och fortbildning inom cybersäkerhet. |
Vid tillämpningen av första stycket led m ska unionsentiteter ta hänsyn till de sårbarheter som är specifika för varje direkt leverantör och tjänsteleverantör och den övergripande kvaliteten på produkterna och deras leverantörers och tjänsteleverantörers cybersäkerhetspraxis, inbegripet deras förfaranden för säker utveckling.
3. unionens entiteter ska vidta åtminstone följande riskhanteringsåtgärder för cybersäkerhet:
| a) | Tekniska arrangemang för att möjliggöra och upprätthålla distansarbete. |
| b) | Konkreta åtgärder för att närma sig nolltillitsprinciperna. |
| c) | Användning av flerfaktorsautentisering som standard i nätverks- och informationssystem. |
| d) | Användning av kryptografi och kryptering, särskilt totalsträckskryptering samt säkra digitala underskrifter. |
| e) | Om möjligt, säker röst-, video- och textkommunikation samt säkra nödkommunikationssystem inom unionsentiteten. |
| f) | Proaktiva åtgärder för att upptäcka och avlägsna sabotageprogram och spionprogram. |
| g) | Inrättande av säkerhet i leveranskedjan för programvara genom kriterier för utveckling och utvärdering av säker programvara. |
| h) | Upprättande och antagande av utbildningsprogram för cybersäkerhet som motsvarar de föreskrivna arbetsuppgifterna och den förväntade kapaciteten hos den högsta ledningen och personalen inom unionsentiteten med uppdrag att säkerställa ett effektivt genomförande av denna förordning. |
| i) | Regelbunden utbildning i cybersäkerhet för personalen. |
| j) | Om relevant, deltagande i riskanalyser av sammankopplingar mellan unionens entiteter. |
| k) | Förbättrade upphandlingsregler för att underlätta en hög gemensam cybersäkerhetsnivå genom
|
Artikel 19
Informationshantering
1. unionens entiteter och CERT-EU ska respektera tystnadsplikt i enlighet med artikel 339 i EUF-fördraget eller likvärdiga tillämpliga ramar.
2. Europaparlamentets och rådets förordning (EG) nr 1049/2001 (10) ska tillämpas på allmänhetens begäranden om tillgång till handlingar som innehas av CERT-EU, inbegripet skyldigheten enligt den förordningen att samråda med unionens övriga entiteter, och i förekommande fall medlemsstaterna, när en begäran rör deras handlingar.
3. Unionsentiteternas och CERT-EU:s hantering av information ska vara förenlig med tillämpliga regler om informationssäkerhet.
Artikel 20
Arrangemang för informationsutbyte om cybersäkerhet
1. unionens entiteter får på frivillig basis meddela CERT-EU om och tillhandahålla information om incidenter, cyberhot, tillbud och sårbarheter som berör dem. CERT-EU ska säkerställa att effektiva medel för kommunikation, med en hög grad av spårbarhet, konfidentialitet och tillförlitlighet, finns tillgängliga i syfte att underlätta informationsutbytet med unionens entiteter. CERT-EU får vid behandlingen av underrättelser, ge behandling av obligatoriska underrättelser företräde framför behandling av frivilliga underrättelser. Utan att det påverkar tillämpningen av artikel 12 får ett frivilligt inlämnande av underrättelser inte leda till att den rapporterande unionsentiteten åläggs ytterligare skyldigheter som den inte skulle ha blivit föremål för om den inte hade lämnat in underrättelsen.
2. För att CERT-EU ska kunna utföra de uppdrag och arbetsuppgifter som den tilldelats i enlighet med artikel 13 får CERT-EU begära att unionens entiteter lämnar information från sina respektive IKT-systeminventarier, inbegripet information om cyberhot, tillbud, sårbarheter, angreppsindikatorer, cybersäkerhetsvarningar och rekommendationer avseende konfiguration av cybersäkerhetsverktyg för att upptäcka incidenter. Den unionsentitet som mottar begäran ska utan onödigt dröjsmål översända den begärda informationen och eventuella senare uppdateringar.
3. CERT-EU får med unionens entiteter utbyta incidentspecifik information som avslöjar identiteten på den unionsentitet som berörs av incidenten, under förutsättning att den unionsentitet som berörs samtycker. Om en unionsentitet inte ger sitt samtycke ska den tillhandahålla CERT-EU de skäl som ligger till grund för detta beslut.
4. unionens entiteter ska på begäran utbyta information med Europaparlamentet och rådet om slutförandet av cybersäkerhetsplanerna.
5. IICB eller CERT-EU, beroende på vad som är tillämpligt, ska på begäran dela riktlinjer, rekommendationer och uppmaningar till åtgärder med Europaparlamentet och rådet.
6. Delningsskyldigheterna i denna artikel ska inte omfatta
| a) | säkerhetsskyddsklassificerade EU-uppgifter, |
| b) | uppgifter vars vidare spridning har uteslutits genom en synlig markering, såvida inte delning av denna information med CERT-EU uttryckligen har tillåtits. |
Artikel 21
Rapporteringsskyldigheter
1. En incident ska anses vara betydande om
| a) | den har orsakat, eller kan orsaka, allvarliga driftstörningar i verksamheten eller ekonomiska förluster för den berörda unionsentiteten, |
| b) | den har påverkat, eller kan påverka, andra fysiska eller juridiska personer genom att åsamka betydande materiell eller immateriell skada. |
2. unionens entiteter ska till CERT-EU lämna
| a) | en tidig varning – utan onödigt dröjsmål, och under alla omständigheter inom 24 timmar efter att ha fått kännedom om den betydande incidenten – som i tillämpliga fall ska ange att den betydande incidenten misstänks ha orsakats av olagliga eller avsiktligt skadliga handlingar eller skulle kunna ha entitetsövergripande eller gränsöverskridande konsekvenser, |
| b) | en incidentanmälan – utan onödigt dröjsmål, och under alla omständigheter inom 72 timmar efter att ha fått kännedom om den betydande incidenten – som i tillämpliga fall ska uppdatera den information som avses i led a och ange en första bedömning av den betydande incidenten, dess allvarlighetsgrad och konsekvenser samt, i förekommande fall, angreppsindikatorer, |
| c) | en delrapport – på begäran av CERT-EU – om relevanta statusuppdateringar, |
| d) | en slutrapport – senast en månad efter inlämningen av den incidentanmälan som avses i led b – som ska innehålla
|
| e) | en lägesrapport – i händelse av en pågående incident vid tidpunkten för inlämningen av den slutrapport som avses i led d – vid den tidpunkten och en slutrapport inom en månad efter deras hantering av incidenten. |
3. En unionsentitet ska, utan onödigt dröjsmål och under alla omständigheter inom 24 timmar efter att ha fått kännedom om en betydande incident, informera alla relevanta motparter i medlemsstaterna som avses i artikel 17.1 i den medlemsstat där den är belägen om att en betydande incident har inträffat.
4. unionens entiteter ska bland annat lämna all information som gör det möjligt för CERT-EU att fastställa eventuella entitetsövergripande konsekvenser, konsekvenser för värdmedlemsstaten eller gränsöverskridande konsekvenser efter en betydande incident. Utan att det påverkar artikel 12 ska själva anmälan inte medföra ökat ansvar för unionsentiteten.
5. I tillämpliga fall ska unionens entiteter utan onödigt dröjsmål informera användarna av de berörda nätverks- och informationssystemen, eller andra komponenter i IKT-miljön, som potentiellt berörs av en betydande incident eller ett betydande cyberhot och, när så är lämpligt, behöver vidta riskreducerande åtgärder, om de åtgärder eller avhjälpande arrangemang som de kan vidta för att hantera denna incident eller detta hot. När så är lämpligt ska unionens entiteter informera dessa användare om det betydande cyberhotet.
6. Om en betydande incident eller ett betydande cyberhot berör ett nätverks- och informationssystem, eller en komponent inom en unionsentitets IKT-miljö som har en avsiktlig sammankoppling med en annan unionsentitets IKT-miljö, ska CERT-EU utfärda en relevant cybersäkerhetsvarning.
7. unionens entiteter ska, på CERT-EU:s begäran och utan onödigt dröjsmål, förse CERT-EU med digital information som skapats genom användning av elektroniska enheter som är inblandade i deras respektive incident. CERT-EU kan tillhandahålla ytterligare uppgifter om vilka typer av uppgifter som behövs för situationsmedvetenhet och incidenthantering.
8. CERT-EU ska var tredje månad lämna in en sammanfattande rapport till IICB, Enisa, EU Intcen och CSIRT-nätverket med anonymiserade och aggregerade data om betydande incidenter, incidenter, cyberhot, tillbud och sårbarheter enligt artikel 20 och betydande incidenter som anmälts enligt punkt 2 i den här artikeln. Den sammanfattande rapporten ska utgöra underlag till den tvåårsrapport om cybersäkerhetssituationen i unionen som antas enligt artikel 18 i direktiv (EU) 2022/2555.
9. Senast den 8 juli 2024 ska IICB utfärda vägledningar eller rekommendationer som ytterligare specificerar formerna och formatet för samt innehållet i rapporteringen enligt den här artikeln. Vid utarbetandet av sådana riktlinjer eller rekommendationer ska IICB beakta eventuella genomförandeakter som antagits enligt artikel 23.11 i direktiv (EU) 2022/2555 och som specificerar typen av information, formatet och förfarandet för underrättelsen. CERT-EU ska sprida lämpliga tekniska detaljer för att möjliggöra proaktiv upptäckt, incidenthantering eller riskreducerande åtgärder hos unionens entiteter.
10. Rapporteringsskyldigheterna i denna artikel ska inte omfatta
| a) | säkerhetsskyddsklassificerade EU-uppgifter, |
| b) | uppgifter vars vidare spridning har uteslutits genom en synlig markering, såvida inte delning av denna information med CERT-EU uttryckligen har tillåtits. |
Artikel 23
Hantering av större incidenter
1. För att på operativ nivå stödja en samordnad hantering av större incidenter som berör unionens entiteter och bidra till ett regelbundet utbyte av relevant information mellan unionens entiteter och med medlemsstaterna ska IICB i enlighet med artikel 11 led q, i nära samarbete med CERT-EU och Enisa, upprätta en cyberkrishanteringsplan på grundval av den verksamhet som avses i artikel 22.2. Cyberkrishanteringsplanen ska innehålla åtminstone följande:
| a) | Arrangemang för samordning och informationsflöde mellan unionens entiteter för hantering av större incidenter på operativ nivå. |
| b) | Gemensamma operationella standardförfaranden (SOP). |
| c) | En gemensam taxonomi för större incidenters allvarlighetsgrad och kriströskelpunkter. |
| d) | Regelbundna övningar. |
| e) | Uppgift om vilka säkra kommunikationskanaler som ska användas. |
2. Kommissionens företrädare i IICB ska, med förbehåll för den cyberkrishanteringsplan som upprättats enligt punkt 1 i denna artikel och utan att det påverkar tillämpningen av artikel 16.2 första stycket i direktiv (EU) 2022/2555, vara kontaktpunkt för utbyte av relevant information om större incidenter med EU-CyCLONe.
3. CERT-EU ska samordna unionsentiteternas hantering av större incidenter. Det ska föra en förteckning över den tillgängliga tekniska expertis som skulle behövas för incidenthantering i händelse av större incidenter och bistå IICB med att samordna unionsentiteters cyberkrishanteringsplaner för sådana större incidenter som avses i artikel 9 2.
4. unionens entiteter ska bidra till förteckningen över teknisk expertis genom att tillhandahålla en årligen uppdaterad förteckning över experter som finns tillgängliga inom respektive organisation med detaljerade uppgifter om deras specifika tekniska kompetens.
KAPITEL VI
SLUTBESTÄMMELSER
whereas