keyboard_tab Cyber Resilience Act 2023/2841 SV
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 12 Kontroll av efterlevnad
- 1 Art. 13 CERT-EU:s uppdrag och arbetsuppgifter
- 1 Art. 24 Inledande omfördelning av budgeten
KAPITEL I
ALLMÄNNA BESTÄMMELSER
KAPITEL II
ÅTGÄRDER FÖR EN HÖG GEMENSAM CYBERSÄKERHETSNIVÅ
KAPITEL III
INTERINSTITUTIONELL CYBERSÄKERHETSSTYRELSE
KAPITEL IV
CERT-EU
KAPITEL V
SAMARBETS- OCH RAPPORTERINGSKRAV
KAPITEL VI
SLUTBESTÄMMELSER
- för 25
- förordning 23
- unionens 21
- till 20
- denna 16
- berörda 15
- iicb 15
- europeiska 15
- nr / 13
- eller 12
- entiteter 11
- unionsentiteten 11
- åtgärder 11
- får 11
- cert-eu 10
- artikel 10
- eu / 9
- cert-eu 9
- enligt 9
- information 9
- rådets 8
- samarbete 7
- incidenter 7
- första 7
- genom 6
- inte 6
- europaparlamentets 6
- inom 6
- enlighet 6
- tjänster 5
- förfaranden 5
- eut l 5
- unionsentitetens 5
- andra 5
- stycket 5
- genomförandet 5
- unionsentiteternas 5
- från 5
- efter 5
- bidra 4
- dess 4
- rekommendationer 4
- tillämpliga 4
- brister 4
- cyberhot 4
- enisa 4
- utfärda 4
- avses 4
- upphävande 4
- inbegripet 4
Artikel 12
Kontroll av efterlevnad
1. IICB ska i enligt artikel 10.2 och artikel 11 effektivt övervaka hur unionens entiteter genomför denna förordning och antagna vägledningar, rekommendationer och uppmaningar till åtgärder. IICB får begära den information eller dokumentation som är nödvändig för detta ändamål från unionens entiteter. Vid antagande av efterlevnadsåtgärder enligt denna artikel, om den berörda unionsentiteten är direkt företrädd i IICB, ska denna unionsentitet inte ha rösträtt.
2. Om IICB konstaterar att en unionsentitet inte har genomfört denna förordning på effektivt sätt eller de vägledningar, rekommendationer eller uppmaningar till åtgärder i enlighet därmed får den, utan att det påverkar den berörda unionsentitetens interna förfaranden och efter att den berörda unionsentiteten har fått möjlighet att framföra sina synpunkter:
| a) | lämna ett motiverat yttrande till den berörda unionsentiteten med konstaterade brister i genomförandet av denna förordning, |
| b) | efter samråd med CERT-EU ge vägledningar till den berörda unionsentiteten för att säkerställa att dess ram, riskhanteringsåtgärder för cybersäkerhet, cybersäkerhetsplan och rapportering är i överensstämmelse med denna förordning inom en angiven period, |
| c) | utfärda en varning för att åtgärda konstaterade brister inom en angiven period, inbegripet rekommendationer om ändring av de åtgärder som antagits av den berörda unionsentiteten i enlighet med denna förordning, |
| d) | utfärda ett motiverat meddelande till den berörda unionsentiteten, i händelse av att brister som konstaterats i en varning som utfärdats enligt led c inte åtgärdats i tillräcklig utsträckning inom den angivna perioden, |
| e) | utfärda
|
| f) | informera, i tillämpliga fall och inom ramen för sitt mandat, revisionsrätten om den påstådda bristande efterlevnaden, |
| g) | utfärda en rekommendation om att alla medlemsstater och unionsentiteter inför ett tillfälligt stopp för dataflöden till den berörda unionsentiteten. |
Vid tillämpning av första stycket c ska varningens målgrupp begränsas på lämpligt sätt, när så är nödvändigt med tanke på cybersäkerhetsrisken.
Varningar och rekommendationer som utfärdas enligt första stycket ska riktas till den berörda unionsentitetens högsta ledningsnivå.
3. Om IICB har antagit åtgärder enligt punkt 2, första stycket a–g ska den berörda unionsentiteten lämna uppgifter om de åtgärder som vidtagits och insatser som gjorts för att åtgärda de påstådda brister som IICB konstaterat. Unionsentiteten ska lämna in dessa uppgifter inom en rimlig tidsperiod som ska fastställas i överenskommelse med IICB.
4. Om IICB anser att en unionsentitet på ett ihållande sätt överträder denna förordning till direkt följd av handlingar eller försummelser från en tjänsteman eller annan anställd i unionen, inbegripet på högsta ledningsnivå, ska IICB begära att den berörda unionsentiteten vidtar lämpliga åtgärder, bland annat begära att den överväger disciplinära åtgärder i enlighet med de regler och förfaranden som fastställs i tjänsteföreskrifterna och andra tillämpliga regler och förfaranden. För detta ändamål ska IICB överföra nödvändig information till den berörda unionsentiteten.
5. Om unionsentiteter meddelar att de inte kan hålla de tidsfrister som anges i artiklarna 6.1 och 8.1 får IICB i vederbörligen motiverade fall, med beaktande av unionsentitetens storlek, godkänna en förlängning av dessa tidsfrister.
KAPITEL IV
CERT-EU
Artikel 13
CERT-EU:s uppdrag och arbetsuppgifter
1. CERT-EU:s uppdrag ska vara att bidra till säkerheten i unionsentiteters icke-säkerhetsskyddsklassificerade IKT-miljö genom att ge dem råd om cybersäkerhet, hjälpa dem att förebygga, upptäcka, hantera, begränsa, bemöta och återställa efter incidenter och genom att fungera som deras nav för utbyte av cybersäkerhetsinformation och samordning av incidenthantering.
2. CERT-EU ska samla in, hantera, analysera och dela information med unionens entiteter om cyberhot, sårbarheter och incidenter som rör icke-säkerhetsskyddsklassificerad IKT-infrastruktur. CERT-EU ska samordna hanteringen av incidenter på interinstitutionell nivå och på unionsentitetsnivå, bland annat genom att ombesörja eller samordna tillhandahållandet av specialiserat operativt stöd.
3. CERT-EU ska utföra följande arbetsuppgifter för unionens entiteter:
| a) | Stödja dem vid genomförandet av denna förordning och bidra till samordningen av genomförandet av denna förordning genom de åtgärder som förtecknas i artikel 14.1 eller genom ad hoc-rapporter som IICB begär. |
| b) | Erbjuda standardiserade CSIRT-tjänster till unionens entiteter med hjälp av ett paket av cybersäkerhetstjänster som beskrivs i dess tjänstekatalog (baslinjetjänster). |
| c) | Upprätthålla ett nätverk av kollegor och partner för att stödja de tjänster som beskrivs i artiklarna 17 och 18. |
| d) | Uppmärksamma IICB på alla problem som rör genomförandet av denna förordning och genomförandet av vägledningarna, rekommendationerna och uppmaningarna till åtgärder. |
| e) | På grundval av den information som avses i punkt 2 och i nära samarbete med Enisa bidra till unionens cybersituationsmedvetenhet. |
| f) | Samordna hanteringen av större incidenter. |
| g) | Agera för unionsentiteternas räkning som motsvarighet till den samordnare som utsetts för samordnad information om sårbarheter enligt artikel 12.1 i direktiv (EU) 2022/2555. |
| h) | På begäran av en unionsentitet, tillhandahålla proaktiv, icke-inkräktande skanning av den unionsentitetens allmänt tillgängliga nätverks- och informationssystem. |
Den information som avses i första stycket e ska delas med IICB, CSIRT-nätverket och Europeiska unionens underrättelse- och lägescentral (EU-Intcen), när så är tillämpligt och lämpligt, och omfattas av lämpliga överenskommelser om konfidentialitet.
4. CERT-EU får i enlighet med artikel 17 eller 18, beroende på vad som är lämpligt, samarbeta med relevanta cybersäkerhetsgrupper inom unionen och dess medlemsstater, bland annat på följande områden:
| a) | Beredskap, incidentsamordning, informationsutbyte och krishantering på teknisk nivå i ärenden som rör unionens entiteter. |
| b) | Operativt samarbete med CSIRT-nätverket, inbegripet om ömsesidigt bistånd. |
| c) | Underrättelser om cyberhot, inbegripet situationsmedvetenhet. |
| d) | Vilket ämne som helst som kräver CERT-EU:s tekniska cybersäkerhetsexpertis. |
5. Inom sitt befogenhetsområde ska CERT-EU inleda ett strukturerat samarbete med Enisa om kapacitetsuppbyggnad, operativt samarbete och långsiktiga strategiska analyser av cyberhot i enlighet med förordning (EU) 2019/881. CERT-EU får samarbeta och utbyta information med Europols europeiska it-brottscentrum.
6. CERT-EU får tillhandahålla följande tjänster som inte beskrivs i dess tjänstekatalog (avgiftsbelagda tjänster):
| a) | Andra tjänster som stöder cybersäkerheten i unionsentiteternas IKT-miljö än dem som avses i punkt 3, på grundval av servicenivåavtal och förutsatt att det finns tillgängliga resurser, särskilt omfattande övervakning av nätverk, även med dygnet-runt-bevakning i första ledet för mycket allvarliga cyberhot. |
| b) | Andra tjänster som stöder unionsentiteternas cybersäkerhetsinsatser eller cybersäkerhetsprojekt än de som skyddar deras IKT-miljö, på grundval av skriftliga avtal och med förhandsgodkännande från IICB. |
| c) | Proaktiv skanning, på begäran, av den berörda unionsentitetens nätverks- och informationssystem för att upptäcka sårbarheter med en potentiellt betydande inverkan. |
| d) | Tjänster som stöder säkerheten i IKT-miljön hos andra organisationer än unionens entiteter vilka har ett nära samarbete med unionens entiteter, till exempel genom att få arbetsuppgifter och ansvar tilldelade enligt unionsrätten, på grundval av skriftliga avtal och med förhandsgodkännande från IICB. |
Med avseende på första stycket d, får CERT-EU undantagsvis, med IICB:s förhandsgodkännande, ingå servicenivåavtal med andra entiteter än unionens entiteter.
7. CERT-EU ska anordna och får delta i cybersäkerhetsövningar eller rekommendera deltagande i befintliga övningar, i tillämpliga fall i nära samarbete med Enisa, för att testa unionsentiteternas cybersäkerhetsnivå.
8. CERT-EU får stödja unionens entiteter när det gäller incidenter i nätverks- och informationssystem som hanterar säkerhetsskyddsklassificerade EU-uppgifter om de berörda unionsentiteterna uttryckligen begär detta i enlighet med deras respektive förfaranden. Tillhandahållandet av stöd från CERT-EU enligt denna punkt ska inte påverka tillämpliga bestämmelser om skyddet av säkerhetsskyddsklassificerade uppgifter.
9. CERT-EU ska informera unionens entiteter om sina förfaranden och processer för incidenthantering.
10. CERT-EU ska, med en hög grad av konfidentialitet och tillförlitlighet, via lämpliga samarbetsmekanismer och rapporteringsvägar, bidra till relevant och anonymiserad information om större incidenter och det sätt på vilket de hanterades. Denna information ska ingå i den rapport som avses i artikel 10.14.
11. CERT-EU ska i samarbete med EDPS stödja berörda unionsentiteter när de hanterar incidenter som medför personuppgiftsincidenter, utan att det påverkar EDPS befogenheter och arbetsuppgifter som tillsynsmyndighet enligt förordning (EU) 2018/1725.
12. CERT-EU får, om unionsentiteternas politiska avdelningar uttryckligen så begär, tillhandahålla teknisk rådgivning eller tekniska synpunkter i relevanta politiska frågor.
Artikel 24
Inledande omfördelning av budgeten
För att säkerställa att CERT-EU fungerar korrekt och stabilt får kommissionen föreslå en omfördelning av personal och ekonomiska resurser till kommissionens budget för användning i CERT-EU-insatser. Omfördelningen ska få verkan samtidigt som unionens första årliga budget som antas efter det att denna förordning träder i kraft.
Artikel 26
Ikraftträdande
Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.
Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.
Utfärdad i Strasbourg den 13 december 2023.
På Europaparlamentets vägnar
R. METSOLA
Ordförande
På rådets vägnar
P. NAVARRO RÍOS
Ordförande
(1) Europaparlamentets ståndpunkt av den 21 november 2023 (ännu ej offentliggjord i EUT) och rådets beslut av den 8 december 2023.
(2) Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972, och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet) (EUT L 333, 27.12.2022, s. 80).
(3) Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten) (EUT L 151, 7.6.2019, s. 15).
(4) Avtal mellan Europaparlamentet, Europeiska rådet, Europeiska unionens råd, Europeiska kommissionen, Europeiska unionens domstol, Europeiska centralbanken, Europeiska revisionsrätten, Europeiska utrikestjänsten, Europeiska ekonomiska och sociala kommittén, Europeiska regionkommittén och Europeiska investeringsbanken om organiseringen och driften av incidenthanteringsorganisationen för unionens institutioner och byråer (CERT-EU) (EUT C 12, 13.1.2018, s. 1).
(5) Rådets förordning (EEG, Euratom, EKSG) nr 259/68 av den 29 februari 1968 om fastställande av tjänsteföreskrifter för tjänstemännen i Europeiska gemenskaperna och anställningsvillkor för övriga anställda i dessa gemenskaper samt om införande av särskilda tillfälliga åtgärder beträffande kommissionens tjänstemän (EGT L 56, 4.3.1968, s. 1).
(6) Kommissionens rekommendation (EU) 2017/1584 av den 13 september 2017 om samordnade insatser vid storskaliga cyberincidenter och cyberkriser (EUT L 239, 19.9.2017, s. 36).
(7) Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39).
(8) EUT C 258, 5.7.2022, s. 10.
(9) Europaparlamentets och rådets förordning (EU, Euratom) 2018/1046 av den 18 juli 2018 om finansiella regler för unionens allmänna budget, om ändring av förordningarna (EU) nr 1296/2013, (EU) nr 1301/2013, (EU) nr 1303/2013, (EU) nr 1304/2013, (EU) nr 1309/2013, (EU) nr 1316/2013, (EU) nr 223/2014, (EU) nr 283/2014 och beslut nr 541/2014/EU samt om upphävande av förordning (EU, Euratom) nr 966/2012 (EUT L 193, 30.7.2018, s. 1).
(10) Europaparlamentets och rådets förordning (EG) nr 1049/2001 av den 30 maj 2001 om allmänhetens tillgång till Europaparlamentets, rådets och kommissionens handlingar (EGT L 145, 31.5.2001, s. 43).
ELI: http://data.europa.eu/eli/reg/2023/2841/oj
ISSN 1977-0820 (electronic edition)