keyboard_tab Cyber Resilience Act 2023/2841 SV
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Art. 6 Ram för hantering, styrning och kontroll av cybersäkerhetsrisker
- 2 Art. 10 Interinstitutionell cybersäkerhetsstyrelse
- 4 Art. 11 IICB:s arbetsuppgifter
- 1 Art. 12 Kontroll av efterlevnad
KAPITEL I
ALLMÄNNA BESTÄMMELSER
KAPITEL II
ÅTGÄRDER FÖR EN HÖG GEMENSAM CYBERSÄKERHETSNIVÅ
KAPITEL III
INTERINSTITUTIONELL CYBERSÄKERHETSSTYRELSE
KAPITEL IV
CERT-EU
KAPITEL V
SAMARBETS- OCH RAPPORTERINGSKRAV
KAPITEL VI
SLUTBESTÄMMELSER
- för 42
- till 26
- denna 26
- förordning 21
- iicb 20
- eller 19
- artikel 18
- cert-eu 16
- får 15
- berörda 15
- cert-eu:s 14
- unionsentiteten 14
- unionsentitet 13
- från 13
- unionens 13
- enligt 13
- dess 12
- genomförandet 11
- europeiska 11
- entiteter 10
- grundval 9
- ramen 9
- cybersäkerhet 9
- godkänna 9
- förslag 8
- chef 8
- åtgärder 8
- inom 8
- unionsentitetens 8
- enlighet 8
- iicb 8
- övervaka 8
- andra 7
- inte 7
- rekommendationer 7
- arbetsuppgifter 7
- inbegripet 7
- högsta 7
- dessa 6
- lokala 6
- avses 6
- när 6
- interna 6
- unionsentiteter 6
- efter 5
- varje 5
- brister 5
- säkerställa 5
- arbetsordning 5
- information 5
Artikel 6
Ram för hantering, styrning och kontroll av cybersäkerhetsrisker
1. Senast den 8 april 2025 ska varje unionsentitet, efter att ha genomfört en första översyn av cybersäkerheten, såsom en revision, inrätta en intern ram för hantering, styrning och kontroll av cybersäkerhetsrisker (ramen). Inrättandet av ramen ska övervakas av och ske under ansvar av unionsentitetens högsta ledningsnivå.
2. Ramen ska omfatta hela den icke-säkerhetsskyddsklassificerade IKT-miljön för unionsentiteten i fråga, inbegripet alla IKT-miljöer på plats, nätverk för operativ teknik, utkontrakterade tillgångar och tjänster i molnbaserade miljöer eller som förvaltas av tredje part, mobila enheter, interna nätverk, företagsnätverk som inte är anslutna till internet och alla enheter som är anslutna till dessa miljöer (IKT-miljön). Ramen ska bygga på en allriskstrategi.
3. Ramen ska säkerställa en hög cybersäkerhetsnivå. Ramen ska fastställa interna strategier för cybersäkerhet, inbegripet mål och prioriteringar, för säkerheten i nätverks- och informationssystem samt roller och ansvarsområden för unionsentitetens personal som har till uppgift att säkerställa ett effektivt genomförande av denna förordning. Ramen ska också innehålla mekanismer för att mäta hur effektivt genomförandet är.
4. Ramen ska ses över regelbundet mot bakgrund av de föränderliga cybersäkerhetsriskerna, och åtminstone vart fjärde år. När så är lämpligt och på begäran från den interinstitutionella cybersäkerhetsstyrelse som inrättas enligt artikel 10, får ramen för en unionsentitet uppdateras på grundval av vägledning från CERT-EU avseende identifierade incidenter eller eventuella konstaterade brister i genomförandet av denna förordning.
5. Varje unionsentitets högsta ledningsnivå ska ansvara för genomförandet av denna förordning och ska övervaka att dess organisation fullgör sina skyldigheter i fråga om ramen.
6. När så är lämpligt och utan att det påverkar dess ansvar för genomförandet av denna förordning får varje unionsentitets högsta ledningsnivå delegera vissa skyldigheter enligt denna förordning till högre tjänstemän i den mening som avses i artikel 29.2 i tjänsteföreskrifterna eller andra tjänstemän på motsvarande nivå inom den berörda unionsentiteten. Även om dessa skyldigheter delegeras kan den högsta ledningsnivån hållas ansvarig för den berörda unionsentitetens överträdelser av denna förordning.
7. Varje unionsentitet ska ha effektiva mekanismer för att säkerställa att en lämplig andel av IKT-budgeten spenderas på cybersäkerhet. Vid fastställandet av denna andel ska vederbörlig hänsyn tas till ramen.
8. Varje unionsentitet ska utse en lokal cybersäkerhetsansvarig eller motsvarande funktion som ska fungera som dess gemensamma kontaktpunkt för alla aspekter av cybersäkerhet. Den lokala cybersäkerhetsansvariga ska underlätta genomförandet av denna förordning och regelbundet rapportera om genomförandet direkt till den högsta ledningsnivån. Utan att det påverkar den lokala cybersäkerhetsansvarigas funktion som den gemensamma kontaktpunkten i varje unionsentitet får en unionsentitet delegera vissa av den lokala cybersäkerhetsansvarigas arbetsuppgifter när det gäller genomförandet av denna förordning till CERT-EU på grundval av ett servicenivåavtal mellan den unionsentiteten och CERT-EU, eller så får arbetsuppgifterna delas mellan flera unionsentiteter. När dessa arbetsuppgifter delegeras till CERT-EU ska den interinstitutionella cybersäkerhetsstyrelse som inrättas enligt artikel 10 besluta om huruvida tillhandahållandet av denna tjänst ska ingå i CERT-EU:s baslinjetjänster, med beaktande av den berörda unionsentitetens personalresurser och ekonomiska resurser. Varje unionsentitet ska utan onödigt dröjsmål meddela CERT-EU om utsedda lokala cybersäkerhetsansvariga och alla senare ändringar därav.
CERT-EU ska upprätta och föra en uppdaterad förteckning över utsedda lokala cybersäkerhetsansvariga.
9. Högre tjänstemän i den mening som avses i artikel 29.2 i tjänsteföreskrifterna eller andra tjänstemän på motsvarande nivå i varje unionsentitet samt all relevant personal som har till uppgift att genomföra de riskhanteringsåtgärder och att uppfylla de skyldigheter avseende cybersäkerhet som fastställs i denna förordning, ska regelbundet genomgå särskild utbildning för att få tillräckliga kunskaper och färdigheter så att de kan förstå och bedöma cybersäkerhetsrisker och rutiner för hantering av cybersäkerhet och deras inverkan på unionsentitetens verksamhet.
Artikel 10
Interinstitutionell cybersäkerhetsstyrelse
1. Härigenom inrättas en interinstitutionell cybersäkerhetsstyrelse (IICB).
2. IICB ska ansvara för att
| a) | övervaka och stödja unionsentiteternas genomförande av denna förordning, |
| b) | övervaka CERT-EU:s genomförande av de allmänna prioriteringarna och målen och ge CERT-EU strategisk ledning. |
3. IICB ska bestå av följande:
| a) | En företrädare som utses av var och en av följande:
|
| b) | Tre andra företrädare än de som avses i led a, som utses av EU-byråernas nätverk (EUAN) på grundval av ett förslag från dess rådgivande IKT-kommitté, att företräda intressena för unionens organ och byråer som driver sin egen IKT-miljö. |
De unionsentiteter som är företrädda i IICB ska sträva efter att uppnå en jämn könsfördelning bland de utsedda företrädarna.
4. Ledamöterna i IICB får bistås av en suppleant. Ordföranden får bjuda in andra företrädare för de unionsentiteter som avses i punkt 3 eller för andra unionsentiteter att delta i IICB:s möten utan rösträtt.
5. CERT-EU:s chef och ordförandena för samarbetsgruppen, CSIRT-nätverket och EU-CyCLONe, som inrättats enligt artikel 14, 15 respektive 16 i direktiv (EU) 2022/2555, eller deras suppleanter, får delta som observatörer i IICB:s möten. I undantagsfall får IICB, i enlighet med sin interna arbetsordning, fatta ett annat beslut.
6. IICB ska själv anta sin interna arbetsordning.
7. IICB ska utse en ordförande bland sina ledamöter, i enlighet med sin arbetsordning, för en period på tre år. Ordförandens suppleant ska bli ordinarie ledamot av IICB för samma period.
8. IICB ska sammanträda minst tre gånger om året på ordförandens initiativ, på begäran av CERT-EU eller på begäran av någon av dess ledamöter.
9. Varje ledamot av IICB ska ha en röst. IICB:s beslut ska fattas med enkel majoritet om inte annat föreskrivs i denna förordning. IICB:s ordförande ska inte ha rösträtt utom vid lika röstetal, då ordföranden får avge en utslagsröst.
10. IICB får agera genom ett förenklat skriftligt förfarande som inleds i enlighet med dess interna arbetsordning. Enligt det förfarandet ska det relevanta beslutet anses vara godkänt inom den tidsram som fastställts av ordföranden, utom i de fall då en ledamot har invändningar.
11. IICB:s sekretariat ska tillhandahållas av kommissionen och ska vara ansvarigt inför IICB:s ordförande.
12. De företrädare som utsetts av EUAN ska vidarebefordra IICB:s beslut till EUAN:s medlemmar. Alla EUAN:s medlemmar ska ha rätt att med dessa företrädare eller IICB:s ordförande ta upp alla frågor som de anser att IICB bör uppmärksammas på.
13. IICB får inrätta en verkställande kommitté som ska bistå den i dess arbete och får delegera vissa av sina arbetsuppgifter och befogenheter till den. IICB ska fastställa den verkställande kommitténs arbetsordning, inbegripet dess arbetsuppgifter och befogenheter och dess ledamöters mandatperioder.
14. Senast den 8 januari 2025 och därefter årligen ska IICB lämna en rapport till Europaparlamentet och rådet med närmare uppgifter om hur genomförandet av denna förordning fortskrider och särskilt om omfattningen av CERT-EU:s samarbete med motparterna i var och en av medlemsstaterna. Rapporten ska utgöra underlag till den tvåårsrapport om cybersäkerhetssituationen i unionen som antas enligt artikel 18 i direktiv (EU) 2022/2555.
Artikel 11
IICB:s arbetsuppgifter
I IICB:s befogenheter ingår följande arbetsuppgifter, särskilt att
| a) | ge CERT-EU:s chef vägledning, |
| b) | effektivt övervaka och utöva tillsyn över genomförandet av denna förordning och hjälpa unionens entiteter att stärka sin cybersäkerhet, inbegripet, när så är lämpligt, begära ad hoc-rapporter från unionens entiteter och CERT-EU, |
| c) | efter en strategisk diskussion anta en flerårig strategi för att höja cybersäkerhetsnivån i unionens entiteter, utvärdera denna strategi regelbundet och under alla omständigheter vart femte år, och vid behov ändra strategin, |
| d) | fastställa metoder och organisatoriska aspekter för hur unionsentiteternas frivilliga inbördes utvärderingar ska gå till, i syfte att dra nytta av gemensamma erfarenheter, stärka det ömsesidiga förtroendet, uppnå en hög gemensam cybersäkerhetsnivå samt förbättra unionsentiteternas cybersäkerhetskapacitet, och säkerställa att sådana inbördes utvärderingar utförs av cybersäkerhetsexperter som utsetts av en annan unionsentitet än den unionsentitet som utvärderas och att metoden grundar sig på artikel 19 i direktiv (EU) 2022/2555 och, i förekommande fall, är anpassad till unionsentiteterna, |
| e) | på grundval av ett förslag från CERT-EU:s chef godkänna CERT-EU:s årliga arbetsprogram och övervaka dess genomförande, |
| f) | på grundval av ett förslag från CERT-EU:s chef godkänna CERT-EU:s tjänstekatalog och eventuella uppdateringar av den, |
| g) | på grundval av ett förslag från CERT-EU:s chef godkänna den årliga ekonomiska planeringen av inkomster och utgifter, inbegripet för personal, för CERT-EU:s verksamhet, |
| h) | på grundval av ett förslag från CERT-EU:s chef godkänna arrangemangen för servicenivåavtal, |
| i) | granska och godkänna den årsrapport som utarbetats av CERT-EU:s chef och som omfattar CERT-EU:s verksamhet och förvaltning av medel, |
| j) | godkänna och övervaka de nyckelprestandaindikatorer som har fastställts för CERT-EU på grundval av ett förslag från CERT-EU:s chef, |
| k) | godkänna samarbetsavtal, servicenivåavtal eller avtal mellan CERT-EU och andra entiteter i enlighet med artikel 18, |
| l) | på grundval av ett förslag från CERT-EU anta vägledningar och rekommendationer i enlighet artikel 14 och ge CERT-EU i uppdrag att utfärda, dra tillbaka eller ändra ett förslag till vägledningar eller rekommendationer, eller en uppmaning till åtgärder, |
| m) | inrätta tekniska rådgivande grupper med särskilda arbetsuppgifter för att bistå IICB i dess arbete, godkänna deras mandat och utse deras respektive ordförande, |
| n) | ta emot och bedöma dokument och rapporter som lämnats in av unionens entiteter enligt denna förordning, såsom mognadsbedömningar av cybersäkerheten, |
| o) | underlätta inrättandet av en informell grupp av lokala cybersäkerhetsansvariga från unionens entiteter, med stöd av Enisa, i syfte att utbyta bästa praxis och information i samband med genomförandet av denna förordning, |
| p) | beakta den information om identifierade cybersäkerhetsrisker och tidigare erfarenheter som tillhandahålls av CERT-EU, övervaka lämpligheten i arrangemangen för sammankoppling mellan unionsentiteternas IKT-miljöer och ge råd om möjliga förbättringar, |
| q) | upprätta en cyberkrishanteringsplan i syfte att på operativ nivå stödja en samordnad hantering av större incidenter som berör unionens entiteter och bidra till ett regelbundet utbyte av relevant information, särskilt när det gäller konsekvenserna av och allvarlighetsgraden hos, och möjliga sätt att begränsa effekterna av, större incidenter, |
| r) | samordna antagandet av enskilda unionsentiteters cyberkrishanteringsplaner enligt artikel 9.2, |
| s) | anta rekommendationer om den säkerhet i leveranskedjan som avses i artikel 8.2, första stycket led m, med beaktande av resultaten av samordnade säkerhetsriskbedömningar på unionsnivå av de kritiska leveranskedjor som avses i artikel 22 i direktiv (EU) 2022/2555 för att stödja unionens entiteter vid antagandet av effektiva och proportionella riskhanteringsåtgärder för cybersäkerhet. |
Artikel 12
Kontroll av efterlevnad
1. IICB ska i enligt artikel 10.2 och artikel 11 effektivt övervaka hur unionens entiteter genomför denna förordning och antagna vägledningar, rekommendationer och uppmaningar till åtgärder. IICB får begära den information eller dokumentation som är nödvändig för detta ändamål från unionens entiteter. Vid antagande av efterlevnadsåtgärder enligt denna artikel, om den berörda unionsentiteten är direkt företrädd i IICB, ska denna unionsentitet inte ha rösträtt.
2. Om IICB konstaterar att en unionsentitet inte har genomfört denna förordning på effektivt sätt eller de vägledningar, rekommendationer eller uppmaningar till åtgärder i enlighet därmed får den, utan att det påverkar den berörda unionsentitetens interna förfaranden och efter att den berörda unionsentiteten har fått möjlighet att framföra sina synpunkter:
| a) | lämna ett motiverat yttrande till den berörda unionsentiteten med konstaterade brister i genomförandet av denna förordning, |
| b) | efter samråd med CERT-EU ge vägledningar till den berörda unionsentiteten för att säkerställa att dess ram, riskhanteringsåtgärder för cybersäkerhet, cybersäkerhetsplan och rapportering är i överensstämmelse med denna förordning inom en angiven period, |
| c) | utfärda en varning för att åtgärda konstaterade brister inom en angiven period, inbegripet rekommendationer om ändring av de åtgärder som antagits av den berörda unionsentiteten i enlighet med denna förordning, |
| d) | utfärda ett motiverat meddelande till den berörda unionsentiteten, i händelse av att brister som konstaterats i en varning som utfärdats enligt led c inte åtgärdats i tillräcklig utsträckning inom den angivna perioden, |
| e) | utfärda
|
| f) | informera, i tillämpliga fall och inom ramen för sitt mandat, revisionsrätten om den påstådda bristande efterlevnaden, |
| g) | utfärda en rekommendation om att alla medlemsstater och unionsentiteter inför ett tillfälligt stopp för dataflöden till den berörda unionsentiteten. |
Vid tillämpning av första stycket c ska varningens målgrupp begränsas på lämpligt sätt, när så är nödvändigt med tanke på cybersäkerhetsrisken.
Varningar och rekommendationer som utfärdas enligt första stycket ska riktas till den berörda unionsentitetens högsta ledningsnivå.
3. Om IICB har antagit åtgärder enligt punkt 2, första stycket a–g ska den berörda unionsentiteten lämna uppgifter om de åtgärder som vidtagits och insatser som gjorts för att åtgärda de påstådda brister som IICB konstaterat. Unionsentiteten ska lämna in dessa uppgifter inom en rimlig tidsperiod som ska fastställas i överenskommelse med IICB.
4. Om IICB anser att en unionsentitet på ett ihållande sätt överträder denna förordning till direkt följd av handlingar eller försummelser från en tjänsteman eller annan anställd i unionen, inbegripet på högsta ledningsnivå, ska IICB begära att den berörda unionsentiteten vidtar lämpliga åtgärder, bland annat begära att den överväger disciplinära åtgärder i enlighet med de regler och förfaranden som fastställs i tjänsteföreskrifterna och andra tillämpliga regler och förfaranden. För detta ändamål ska IICB överföra nödvändig information till den berörda unionsentiteten.
5. Om unionsentiteter meddelar att de inte kan hålla de tidsfrister som anges i artiklarna 6.1 och 8.1 får IICB i vederbörligen motiverade fall, med beaktande av unionsentitetens storlek, godkänna en förlängning av dessa tidsfrister.
KAPITEL IV
CERT-EU
whereas