keyboard_tab Cyber Resilience Act 2023/2841 SV
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
KAPITEL I
ALLMÄNNA BESTÄMMELSER
KAPITEL II
ÅTGÄRDER FÖR EN HÖG GEMENSAM CYBERSÄKERHETSNIVÅ
KAPITEL III
INTERINSTITUTIONELL CYBERSÄKERHETSSTYRELSE
KAPITEL IV
CERT-EU
KAPITEL V
SAMARBETS- OCH RAPPORTERINGSKRAV
KAPITEL VI
SLUTBESTÄMMELSER
- för 28
- europeiska 25
- till 21
- förordning 21
- cert-eu 19
- artikel 15
- unionens 15
- iicb 15
- får 14
- denna 13
- nr / 13
- cert-eu:s 12
- chef 11
- rådets 10
- iicb 9
- dess 8
- inte 8
- ordförande 8
- eu / 8
- beslut 7
- europaparlamentet 7
- entiteter 7
- inbegripet 7
- rådet 7
- information 7
- enlighet 7
- begäran 7
- förslag 6
- europaparlamentets 6
- eller 6
- kommissionen 6
- genomförandet 5
- eut l 5
- cert-eu:s 5
- företrädare 5
- arbetsordning 5
- direktiv 5
- avses 5
- inom 4
- unionsentitet 4
- andra 4
- enligt 4
- upphävande 4
- dessa 4
- samt 4
- åtgärder 4
- underrättelser 4
- ekonomiska 4
- rapportera 4
- lämna 4
Artikel 10
Interinstitutionell cybersäkerhetsstyrelse
1. Härigenom inrättas en interinstitutionell cybersäkerhetsstyrelse (IICB).
2. IICB ska ansvara för att
| a) | övervaka och stödja unionsentiteternas genomförande av denna förordning, |
| b) | övervaka CERT-EU:s genomförande av de allmänna prioriteringarna och målen och ge CERT-EU strategisk ledning. |
3. IICB ska bestå av följande:
| a) | En företrädare som utses av var och en av följande:
|
| b) | Tre andra företrädare än de som avses i led a, som utses av EU-byråernas nätverk (EUAN) på grundval av ett förslag från dess rådgivande IKT-kommitté, att företräda intressena för unionens organ och byråer som driver sin egen IKT-miljö. |
De unionsentiteter som är företrädda i IICB ska sträva efter att uppnå en jämn könsfördelning bland de utsedda företrädarna.
4. Ledamöterna i IICB får bistås av en suppleant. Ordföranden får bjuda in andra företrädare för de unionsentiteter som avses i punkt 3 eller för andra unionsentiteter att delta i IICB:s möten utan rösträtt.
5. CERT-EU:s chef och ordförandena för samarbetsgruppen, CSIRT-nätverket och EU-CyCLONe, som inrättats enligt artikel 14, 15 respektive 16 i direktiv (EU) 2022/2555, eller deras suppleanter, får delta som observatörer i IICB:s möten. I undantagsfall får IICB, i enlighet med sin interna arbetsordning, fatta ett annat beslut.
6. IICB ska själv anta sin interna arbetsordning.
7. IICB ska utse en ordförande bland sina ledamöter, i enlighet med sin arbetsordning, för en period på tre år. Ordförandens suppleant ska bli ordinarie ledamot av IICB för samma period.
8. IICB ska sammanträda minst tre gånger om året på ordförandens initiativ, på begäran av CERT-EU eller på begäran av någon av dess ledamöter.
9. Varje ledamot av IICB ska ha en röst. IICB:s beslut ska fattas med enkel majoritet om inte annat föreskrivs i denna förordning. IICB:s ordförande ska inte ha rösträtt utom vid lika röstetal, då ordföranden får avge en utslagsröst.
10. IICB får agera genom ett förenklat skriftligt förfarande som inleds i enlighet med dess interna arbetsordning. Enligt det förfarandet ska det relevanta beslutet anses vara godkänt inom den tidsram som fastställts av ordföranden, utom i de fall då en ledamot har invändningar.
11. IICB:s sekretariat ska tillhandahållas av kommissionen och ska vara ansvarigt inför IICB:s ordförande.
12. De företrädare som utsetts av EUAN ska vidarebefordra IICB:s beslut till EUAN:s medlemmar. Alla EUAN:s medlemmar ska ha rätt att med dessa företrädare eller IICB:s ordförande ta upp alla frågor som de anser att IICB bör uppmärksammas på.
13. IICB får inrätta en verkställande kommitté som ska bistå den i dess arbete och får delegera vissa av sina arbetsuppgifter och befogenheter till den. IICB ska fastställa den verkställande kommitténs arbetsordning, inbegripet dess arbetsuppgifter och befogenheter och dess ledamöters mandatperioder.
14. Senast den 8 januari 2025 och därefter årligen ska IICB lämna en rapport till europaparlamentet och rådet med närmare uppgifter om hur genomförandet av denna förordning fortskrider och särskilt om omfattningen av CERT-EU:s samarbete med motparterna i var och en av medlemsstaterna. Rapporten ska utgöra underlag till den tvåårsrapport om cybersäkerhetssituationen i unionen som antas enligt artikel 18 i direktiv (EU) 2022/2555.
Artikel 15
CERT-EU:s chef
1. Kommissionen ska, efter godkännande med två tredjedelars majoritet av IICB:s ledamöter, utnämna CERT-EU:s chef. IICB ska rådfrågas i alla skeden av utnämningsförfarandet, särskilt när det gäller att utarbeta meddelanden om den lediga tjänsten, granska ansökningar och utse uttagningskommittéer med avseende på tjänsten. Urvalsförfarandet, inbegripet slutlistan över de bästa kandidaterna från vilken CERT-EU:s chef ska utses, ska säkerställa en jämn könsfördelning, med beaktande av de ansökningar som kommer in.
2. CERT-EU:s chef ska ansvara för att CERT-EU fungerar väl och ska agera inom det behörighetsområde som han eller hon tilldelats och under ledning av IICB. CERT-EU:s chef ska regelbundet rapportera till IICB:s ordförande och ska på dess begäran lämna in ad hoc-rapporter till IICB.
3. CERT-EU:s chef ska stödja den behöriga delegerade utanordnaren i utarbetandet av den årliga verksamhetsrapport med finansiella och administrativa uppgifter, inbegripet resultaten av kontroller, som upprättas i enlighet med artikel 74.9 i europaparlamentets och rådets förordning (EU, Euratom) 2018/1046 (9), och ska regelbundet rapportera till den delegerade utanordnaren om genomförandet av åtgärder för vilka befogenheter har vidaredelegerats till CERT-EU:s chef.
4. CERT-EU:s chef ska en gång om året utarbeta en finansiell plan för administrativa inkomster och utgifter för dess verksamhet, ett förslag till årligt arbetsprogram, ett förslag till en tjänstekatalog för CERT-EU, förslag till översyner av tjänstekatalogen, förslag till arrangemang för servicenivåavtal och förslag till nyckelprestandaindikatorer för CERT-EU vilka ska godkännas av IICB i enlighet med artikel 11. Vid översynen av förteckningen över tjänster i CERT-EU:s tjänstekatalog ska CERT-EU:s chef beakta de resurser som tilldelats CERT-EU.
5. CERT-EU:s chef ska minst en gång om året lämna rapporter till IICB och IICB:s ordförande om CERT-EU:s verksamhet och resultat under referensperioden, inbegripet om genomförandet av budgeten, servicenivåavtal och skriftliga avtal som ingåtts, samarbete med motparter och partner samt personalens tjänsteresor, inbegripet de rapporter som avses i artikel 11. Dessa rapporter ska omfatta ett arbetsprogram för kommande period, den finansiella planeringen av inkomster och utgifter, inklusive personal, planerade uppdateringar av CERT-EU:s tjänstekatalog och en bedömning av de förväntade effekterna av sådana uppdateringar i fråga om ekonomiska resurser och personalresurser.
Artikel 19
Informationshantering
1. Unionens entiteter och CERT-EU ska respektera tystnadsplikt i enlighet med artikel 339 i EUF-fördraget eller likvärdiga tillämpliga ramar.
2. europaparlamentets och rådets förordning (EG) nr 1049/2001 (10) ska tillämpas på allmänhetens begäranden om tillgång till handlingar som innehas av CERT-EU, inbegripet skyldigheten enligt den förordningen att samråda med unionens övriga entiteter, och i förekommande fall medlemsstaterna, när en begäran rör deras handlingar.
3. Unionsentiteternas och CERT-EU:s hantering av information ska vara förenlig med tillämpliga regler om informationssäkerhet.
Artikel 20
Arrangemang för informationsutbyte om cybersäkerhet
1. Unionens entiteter får på frivillig basis meddela CERT-EU om och tillhandahålla information om incidenter, cyberhot, tillbud och sårbarheter som berör dem. CERT-EU ska säkerställa att effektiva medel för kommunikation, med en hög grad av spårbarhet, konfidentialitet och tillförlitlighet, finns tillgängliga i syfte att underlätta informationsutbytet med unionens entiteter. CERT-EU får vid behandlingen av underrättelser, ge behandling av obligatoriska underrättelser företräde framför behandling av frivilliga underrättelser. Utan att det påverkar tillämpningen av artikel 12 får ett frivilligt inlämnande av underrättelser inte leda till att den rapporterande unionsentiteten åläggs ytterligare skyldigheter som den inte skulle ha blivit föremål för om den inte hade lämnat in underrättelsen.
2. För att CERT-EU ska kunna utföra de uppdrag och arbetsuppgifter som den tilldelats i enlighet med artikel 13 får CERT-EU begära att unionens entiteter lämnar information från sina respektive IKT-systeminventarier, inbegripet information om cyberhot, tillbud, sårbarheter, angreppsindikatorer, cybersäkerhetsvarningar och rekommendationer avseende konfiguration av cybersäkerhetsverktyg för att upptäcka incidenter. Den unionsentitet som mottar begäran ska utan onödigt dröjsmål översända den begärda informationen och eventuella senare uppdateringar.
3. CERT-EU får med unionens entiteter utbyta incidentspecifik information som avslöjar identiteten på den unionsentitet som berörs av incidenten, under förutsättning att den unionsentitet som berörs samtycker. Om en unionsentitet inte ger sitt samtycke ska den tillhandahålla CERT-EU de skäl som ligger till grund för detta beslut.
4. Unionens entiteter ska på begäran utbyta information med europaparlamentet och rådet om slutförandet av cybersäkerhetsplanerna.
5. IICB eller CERT-EU, beroende på vad som är tillämpligt, ska på begäran dela riktlinjer, rekommendationer och uppmaningar till åtgärder med europaparlamentet och rådet.
6. Delningsskyldigheterna i denna artikel ska inte omfatta
| a) | säkerhetsskyddsklassificerade EU-uppgifter, |
| b) | uppgifter vars vidare spridning har uteslutits genom en synlig markering, såvida inte delning av denna information med CERT-EU uttryckligen har tillåtits. |
Artikel 25
Översyn
1. IICB ska, senast den 8 januari 2025 och därefter årligen, med bistånd av CERT-EU rapportera till kommissionen om genomförandet av denna förordning. IICB får rekommendera kommissionen att se över denna förordning.
2. Kommissionen ska, senast den 8 januari 2027 och därefter vartannat år, bedöma och rapportera om genomförandet av denna förordning och om den erfarenhet som gjorts på strategisk och operativ nivå till europaparlamentet och rådet.
Den rapport som avses i första stycket i denna punkt ska innehålla den översyn som avses i artikel 16.1 om möjligheten att inrätta CERT-EU som unionsbyrå.
3. Kommissionen ska, senast den 8 januari 2029, utvärdera hur denna förordning fungerar och lämna en rapport till europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén och Regionkommittén. Kommissionen ska också utvärdera lämpligheten i att inkludera nätverks- och informationssystem som hanterar säkerhetsskyddsklassificerade EU-uppgifter inom ramen för denna förordning, med beaktande av andra unionsrättsakter som är tillämpliga på dessa system. Rapporten ska vid behov åtföljas av ett lagstiftningsförslag.
Artikel 26
Ikraftträdande
Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.
Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.
Utfärdad i Strasbourg den 13 december 2023.
På europaparlamentets vägnar
R. METSOLA
Ordförande
På rådets vägnar
P. NAVARRO RÍOS
Ordförande
(1) europaparlamentets ståndpunkt av den 21 november 2023 (ännu ej offentliggjord i EUT) och rådets beslut av den 8 december 2023.
(2) europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972, och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet) (EUT L 333, 27.12.2022, s. 80).
(3) europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten) (EUT L 151, 7.6.2019, s. 15).
(4) Avtal mellan europaparlamentet, Europeiska rådet, Europeiska unionens råd, Europeiska kommissionen, Europeiska unionens domstol, Europeiska centralbanken, Europeiska revisionsrätten, Europeiska utrikestjänsten, Europeiska ekonomiska och sociala kommittén, Europeiska regionkommittén och Europeiska investeringsbanken om organiseringen och driften av incidenthanteringsorganisationen för unionens institutioner och byråer (CERT-EU) (EUT C 12, 13.1.2018, s. 1).
(5) Rådets förordning (EEG, Euratom, EKSG) nr 259/68 av den 29 februari 1968 om fastställande av tjänsteföreskrifter för tjänstemännen i Europeiska gemenskaperna och anställningsvillkor för övriga anställda i dessa gemenskaper samt om införande av särskilda tillfälliga åtgärder beträffande kommissionens tjänstemän (EGT L 56, 4.3.1968, s. 1).
(6) Kommissionens rekommendation (EU) 2017/1584 av den 13 september 2017 om samordnade insatser vid storskaliga cyberincidenter och cyberkriser (EUT L 239, 19.9.2017, s. 36).
(7) europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39).
(8) EUT C 258, 5.7.2022, s. 10.
(9) europaparlamentets och rådets förordning (EU, Euratom) 2018/1046 av den 18 juli 2018 om finansiella regler för unionens allmänna budget, om ändring av förordningarna (EU) nr 1296/2013, (EU) nr 1301/2013, (EU) nr 1303/2013, (EU) nr 1304/2013, (EU) nr 1309/2013, (EU) nr 1316/2013, (EU) nr 223/2014, (EU) nr 283/2014 och beslut nr 541/2014/EU samt om upphävande av förordning (EU, Euratom) nr 966/2012 (EUT L 193, 30.7.2018, s. 1).
(10) europaparlamentets och rådets förordning (EG) nr 1049/2001 av den 30 maj 2001 om allmänhetens tillgång till europaparlamentets, rådets och kommissionens handlingar (EGT L 145, 31.5.2001, s. 43).
ELI: http://data.europa.eu/eli/reg/2023/2841/oj
ISSN 1977-0820 (electronic edition)