keyboard_tab Cyber Resilience Act 2023/2841 SV

1.   Senast den 8 april 2025 ska varje unionsentitet, efter att ha genomfört en första översyn av cybersäkerheten, såsom en revision, inrätta en intern ram för hantering, styrning och kontroll av cybersäkerhetsrisker (ramen). Inrättandet av ramen ska övervakas av och ske under ansvar av unionsentitetens högsta ledningsnivå.

2.   Ramen ska omfatta hela den icke-säkerhetsskyddsklassificerade IKT-miljön för unionsentiteten i fråga, inbegripet alla IKT-miljöer på plats, nätverk för operativ teknik, utkontrakterade tillgångar och tjänster i molnbaserade miljöer eller som förvaltas av tredje part, mobila enheter, interna nätverk, företagsnätverk som inte är anslutna till internet och alla enheter som är anslutna till dessa miljöer (IKT-miljön). Ramen ska bygga på en allriskstrategi.

3.   Ramen ska säkerställa en hög cybersäkerhetsnivå. Ramen ska fastställa interna strategier för cybersäkerhet, inbegripet mål och prioriteringar, för säkerheten i nätverks- och informationssystem samt roller och ansvarsområden för unionsentitetens personal som har till uppgift att säkerställa ett effektivt genomförande av denna förordning. Ramen ska också innehålla mekanismer för att mäta hur effektivt genomförandet är.

4.   Ramen ska ses över regelbundet mot bakgrund av de föränderliga cybersäkerhetsriskerna, och åtminstone vart fjärde år. När så är lämpligt och på begäran från den interinstitutionella cybersäkerhetsstyrelse som inrättas enligt artikel 10, får ramen för en unionsentitet uppdateras på grundval av vägledning från CERT-EU avseende identifierade incidenter eller eventuella konstaterade brister i genomförandet av denna förordning.

5.   Varje unionsentitets högsta ledningsnivå ska ansvara för genomförandet av denna förordning och ska övervaka att dess organisation fullgör sina skyldigheter i fråga om ramen.

6.   När så är lämpligt och utan att det påverkar dess ansvar för genomförandet av denna förordning får varje unionsentitets högsta ledningsnivå delegera vissa skyldigheter enligt denna förordning till högre tjänstemän i den mening som avses i artikel 29.2 i tjänsteföreskrifterna eller andra tjänstemän på motsvarande nivå inom den berörda unionsentiteten. Även om dessa skyldigheter delegeras kan den högsta ledningsnivån hållas ansvarig för den berörda unionsentitetens överträdelser av denna förordning.

7.   Varje unionsentitet ska ha effektiva mekanismer för att säkerställa att en lämplig andel av IKT-budgeten spenderas på cybersäkerhet. Vid fastställandet av denna andel ska vederbörlig hänsyn tas till ramen.

8.   Varje unionsentitet ska utse en lokal cybersäkerhetsansvarig eller motsvarande funktion som ska fungera som dess gemensamma kontaktpunkt för alla aspekter av cybersäkerhet. Den lokala cybersäkerhetsansvariga ska underlätta genomförandet av denna förordning och regelbundet rapportera om genomförandet direkt till den högsta ledningsnivån. Utan att det påverkar den lokala cybersäkerhetsansvarigas funktion som den gemensamma kontaktpunkten i varje unionsentitet får en unionsentitet delegera vissa av den lokala cybersäkerhetsansvarigas arbetsuppgifter när det gäller genomförandet av denna förordning till CERT-EU på grundval av ett servicenivåavtal mellan den unionsentiteten och CERT-EU, eller så får arbetsuppgifterna delas mellan flera unionsentiteter. När dessa arbetsuppgifter delegeras till CERT-EU ska den interinstitutionella cybersäkerhetsstyrelse som inrättas enligt artikel 10 besluta om huruvida tillhandahållandet av denna tjänst ska ingå i CERT-EU:s baslinjetjänster, med beaktande av den berörda unionsentitetens personalresurser och ekonomiska resurser. Varje unionsentitet ska utan onödigt dröjsmål meddela CERT-EU om utsedda lokala cybersäkerhetsansvariga och alla senare ändringar därav.

CERT-EU ska upprätta och föra en uppdaterad förteckning över utsedda lokala cybersäkerhetsansvariga.

9.   Högre tjänstemän i den mening som avses i artikel 29.2 i tjänsteföreskrifterna eller andra tjänstemän på motsvarande nivå i varje unionsentitet samt all relevant personal som har till uppgift att genomföra de riskhanteringsåtgärder och att uppfylla de skyldigheter avseende cybersäkerhet som fastställs i denna förordning, ska regelbundet genomgå särskild utbildning för att få tillräckliga kunskaper och färdigheter så att de kan förstå och bedöma cybersäkerhetsrisker och rutiner för hantering av cybersäkerhet och deras inverkan på unionsentitetens verksamhet.

1.   I sin funktion som nav för utbyte av cybersäkerhetsinformation och samordning av incidenthantering ska CERT-EU främja informationsutbyte om incidenter, cyberhot, sårbarheter och tillbud mellan

2.   CERT-EU ska, i tillämpliga fall i nära samarbete med Enisa, främja unionsentiteters samordning av incidenthantering, genom bland annat

3.   CERT-EU ska, i nära samarbete med Enisa, stödja unionens entiteter när det gäller situationsmedvetenhet om incidenter, cyberhot, sårbarheter och tillbud samt dela med sig av relevant utveckling på cybersäkerhetsområdet.

4.   Senast den 8 januari 2025 ska IICB på grundval av ett förslag från CERT-EU, anta riktlinjer eller rekommendationer för samordning av incidenthantering och samarbete vid betydande incidenter. När en incident misstänks vara brottslig ska CERT-EU ge råd om hur incidenten ska rapporteras till de brottsbekämpande myndigheterna utan onödigt dröjsmål.

5.   Efter en särskild begäran från en medlemsstat och med de berörda unionsentiteternas godkännande får CERT-EU anlita experter från den förteckning som avses i artikel 23.4 för att bidra till hanteringen av en större incident som påverkar den medlemsstaten, eller en storskalig cybersäkerhetsincident i enlighet med artikel 15.3 g i direktiv (EU) 2022/2555. Särskilda regler om tillgång till och användning av tekniska experter från unionens entiteter ska godkännas av IICB på grundval av ett förslag från CERT-EU.