keyboard_tab Cyber Resilience Act 2023/2841 SV

1.   Senast den 8 september 2024 ska den interinstitutionella cybersäkerhetsstyrelse som inrättas enligt artikel 10, efter samråd med Europeiska unionens cybersäkerhetsbyrå (Enisa) och efter att ha fått vägledning av CERT-EU, utfärda riktlinjer för unionens entiteter i syfte att genomföra en första översyn av cybersäkerheten och inrätta en intern ram för hantering, styrning och kontroll av cybersäkerhetsrisker enligt artikel 6, utföra mognadsbedömningar av cybersäkerheten enligt artikel 7, vidta riskhanteringsåtgärder för cybersäkerhet enligt artikel 8 och anta cybersäkerhetsplanen enligt artikel 9.

2.   Vid genomförandet av artiklarna 6–9 ska unionens entiteter beakta de riktlinjer som avses i punkt 1 i den här artikeln samt relevanta riktlinjer och rekommendationer som antagits enligt artiklarna 11 och 14.

1.   Senast den 8 april 2025 ska varje unionsentitet, efter att ha genomfört en första översyn av cybersäkerheten, såsom en revision, inrätta en intern ram för hantering, styrning och kontroll av cybersäkerhetsrisker (ramen). Inrättandet av ramen ska övervakas av och ske under ansvar av unionsentitetens högsta ledningsnivå.

2.   Ramen ska omfatta hela den icke-säkerhetsskyddsklassificerade IKT-miljön för unionsentiteten i fråga, inbegripet alla IKT-miljöer på plats, nätverk för operativ teknik, utkontrakterade tillgångar och tjänster i molnbaserade miljöer eller som förvaltas av tredje part, mobila enheter, interna nätverk, företagsnätverk som inte är anslutna till internet och alla enheter som är anslutna till dessa miljöer (IKT-miljön). Ramen ska bygga på en allriskstrategi.

3.   Ramen ska säkerställa en hög cybersäkerhetsnivå. Ramen ska fastställa interna strategier för cybersäkerhet, inbegripet mål och prioriteringar, för säkerheten i nätverks- och informationssystem samt roller och ansvarsområden för unionsentitetens personal som har till uppgift att säkerställa ett effektivt genomförande av denna förordning. Ramen ska också innehålla mekanismer för att mäta hur effektivt genomförandet är.

4.   Ramen ska ses över regelbundet mot bakgrund av de föränderliga cybersäkerhetsriskerna, och åtminstone vart fjärde år. När så är lämpligt och på begäran från den interinstitutionella cybersäkerhetsstyrelse som inrättas enligt artikel 10, får ramen för en unionsentitet uppdateras på grundval av vägledning från CERT-EU avseende identifierade incidenter eller eventuella konstaterade brister i genomförandet av denna förordning.

5.   Varje unionsentitets högsta ledningsnivå ska ansvara för genomförandet av denna förordning och ska övervaka att dess organisation fullgör sina skyldigheter i fråga om ramen.

6.   När så är lämpligt och utan att det påverkar dess ansvar för genomförandet av denna förordning får varje unionsentitets högsta ledningsnivå delegera vissa skyldigheter enligt denna förordning till högre tjänstemän i den mening som avses i artikel 29.2 i tjänsteföreskrifterna eller andra tjänstemän på motsvarande nivå inom den berörda unionsentiteten. Även om dessa skyldigheter delegeras kan den högsta ledningsnivån hållas ansvarig för den berörda unionsentitetens överträdelser av denna förordning.

7.   Varje unionsentitet ska ha effektiva mekanismer för att säkerställa att en lämplig andel av IKT-budgeten spenderas på cybersäkerhet. Vid fastställandet av denna andel ska vederbörlig hänsyn tas till ramen.

8.   Varje unionsentitet ska utse en lokal cybersäkerhetsansvarig eller motsvarande funktion som ska fungera som dess gemensamma kontaktpunkt för alla aspekter av cybersäkerhet. Den lokala cybersäkerhetsansvariga ska underlätta genomförandet av denna förordning och regelbundet rapportera om genomförandet direkt till den högsta ledningsnivån. Utan att det påverkar den lokala cybersäkerhetsansvarigas funktion som den gemensamma kontaktpunkten i varje unionsentitet får en unionsentitet delegera vissa av den lokala cybersäkerhetsansvarigas arbetsuppgifter när det gäller genomförandet av denna förordning till CERT-EU på grundval av ett servicenivåavtal mellan den unionsentiteten och CERT-EU, eller så får arbetsuppgifterna delas mellan flera unionsentiteter. När dessa arbetsuppgifter delegeras till CERT-EU ska den interinstitutionella cybersäkerhetsstyrelse som inrättas enligt artikel 10 besluta om huruvida tillhandahållandet av denna tjänst ska ingå i CERT-EU:s baslinjetjänster, med beaktande av den berörda unionsentitetens personalresurser och ekonomiska resurser. Varje unionsentitet ska utan onödigt dröjsmål meddela CERT-EU om utsedda lokala cybersäkerhetsansvariga och alla senare ändringar därav.

CERT-EU ska upprätta och föra en uppdaterad förteckning över utsedda lokala cybersäkerhetsansvariga.

9.   Högre tjänstemän i den mening som avses i artikel 29.2 i tjänsteföreskrifterna eller andra tjänstemän på motsvarande nivå i varje unionsentitet samt all relevant personal som har till uppgift att genomföra de riskhanteringsåtgärder och att uppfylla de skyldigheter avseende cybersäkerhet som fastställs i denna förordning, ska regelbundet genomgå särskild utbildning för att få tillräckliga kunskaper och färdigheter så att de kan förstå och bedöma cybersäkerhetsrisker och rutiner för hantering av cybersäkerhet och deras inverkan på unionsentitetens verksamhet.

1.   Senast den 8 juli 2025 och minst vartannat år därefter ska varje unionsentitet utföra en mognadsbedömning av cybersäkerheten omfattande alla delar av dess IKT-miljö.

2.   Mognadsbedömningarna av cybersäkerheten ska, när så är lämpligt, utföras med hjälp av en specialiserad tredje part.

3.   Unionsentiteter med liknande strukturer får samarbeta vid utförandet av mognadsbedömningar av cybersäkerhet som avser deras respektive entiteter.

4.   På grundval av en begäran från den interinstitutionella cybersäkerhetsstyrelse som inrättas enligt artikel 10, och med uttryckligt samtycke från den berörda unionsentiteten, får resultaten av en mognadsbedömning av cybersäkerheten diskuteras inom styrelsen eller den informella gruppen av lokala cybersäkerhetsansvariga i syfte att dra lärdom av tidigare erfarenheter och utbyta bästa praxis.

1.   Utan onödigt dröjsmål och under alla omständigheter senast den 8 september 2025 ska varje unionsentitet, under överinseende av den högsta ledningsnivån, vidta lämpliga och proportionella tekniska, operativa och organisatoriska åtgärder för att hantera de cybersäkerhetsrisker som identifierats inom ramen, och för att förebygga eller minimera effekterna av incidenterna. Med beaktande av den senaste utvecklingen och, i tillämpliga fall, relevanta europeiska och internationella standarder, ska dessa åtgärder säkerställa en säkerhetsnivå för nätverks- och informationssystemen i hela IKT-miljön som står i proportion till cybersäkerhetsriskerna. Vid bedömningen av dessa åtgärders proportionalitet ska vederbörlig hänsyn tas till unionsentitetens grad av exponering för cybersäkerhetsrisker, dess storlek samt sannolikheten för att incidenter ska inträffa och deras allvarlighetsgrad, inbegripet deras samhälleliga, ekonomiska och interinstitutionella konsekvenser.

2.   Unionens entiteter ska vid genomförandet av riskhanteringsåtgärder för cybersäkerhet behandla åtminstone följande specifika områden:

a)	Cybersäkerhetspolicy, inbegripet åtgärder som behövs för att nå målen och prioriteringarna enligt artikel 6 samt punkt 3 i den här artikeln.

b)	Strategier för analys av cybersäkerhetsrisker och informationssystemens säkerhet.

c)	Policymål för användningen av molntjänster.

d)	Cybersäkerhetsrevision, när så är lämpligt, vilket kan inbegripa en bedömning av cybersäkerhetsrisker, sårbarhet och cyberhot, och penetrationstester som regelbundet utförs av en betrodd privat leverantör.

e)	Genomförande av rekommendationer från de cybersäkerhetsrevisioner som avses i led d genom cybersäkerhetsuppdateringar och policyuppdateringar.

f)	Organisation av cybersäkerhet, inbegripet fastställande av roller och ansvarsområden.

g)	Förvaltning av tillgångar, inbegripet inventering av IKT-tillgångar och IKT-nätverkskartografi.

h)	Säkerhets- och åtkomstkontroll för personal.

i)	Driftssäkerhet.

j)	Kommunikationssäkerhet.

k)	Förvärv, utveckling och underhåll av system, inbegripet strategier för hantering och redovisning av sårbarheter.

l)	Strategier, om möjligt, för insyn i källkoden.

m)	Säkerhet i leveranskedjan, inbegripet säkerhetsrelaterade aspekter som rör förbindelserna mellan unionsentiteten och dess direkta leverantörer eller tjänsteleverantörer.

n)	Incidenthantering och samarbete med CERT-EU, såsom underhåll av säkerhetsövervakning och loggning.

o)	Hantering av driftskontinuitet, exempelvis hantering av säkerhetskopiering och katastrofhantering samt krishantering.

p)	Främjande och utveckling av program för utbildning, kompetens, ökad medvetenhet, övning och fortbildning inom cybersäkerhet.

Vid tillämpningen av första stycket led m ska unionsentiteter ta hänsyn till de sårbarheter som är specifika för varje direkt leverantör och tjänsteleverantör och den övergripande kvaliteten på produkterna och deras leverantörers och tjänsteleverantörers cybersäkerhetspraxis, inbegripet deras förfaranden för säker utveckling.

3.   Unionens entiteter ska vidta åtminstone följande riskhanteringsåtgärder för cybersäkerhet:

a)	Tekniska arrangemang för att möjliggöra och upprätthålla distansarbete.

b)	Konkreta åtgärder för att närma sig nolltillitsprinciperna.

c)	Användning av flerfaktorsautentisering som standard i nätverks- och informationssystem.

d)	Användning av kryptografi och kryptering, särskilt totalsträckskryptering samt säkra digitala underskrifter.

e)	Om möjligt, säker röst-, video- och textkommunikation samt säkra nödkommunikationssystem inom unionsentiteten.

f)	Proaktiva åtgärder för att upptäcka och avlägsna sabotageprogram och spionprogram.

g)	Inrättande av säkerhet i leveranskedjan för programvara genom kriterier för utveckling och utvärdering av säker programvara.

h)	Upprättande och antagande av utbildningsprogram för cybersäkerhet som motsvarar de föreskrivna arbetsuppgifterna och den förväntade kapaciteten hos den högsta ledningen och personalen inom unionsentiteten med uppdrag att säkerställa ett effektivt genomförande av denna förordning.

i)	Regelbunden utbildning i cybersäkerhet för personalen.

j)	Om relevant, deltagande i riskanalyser av sammankopplingar mellan unionens entiteter.

k)

Förbättrade upphandlingsregler för att underlätta en hög gemensam cybersäkerhetsnivå genom i) att undanröja avtalsmässiga hinder som begränsar informationsutbytet från leverantörer av IKT-tjänster om incidenter, sårbarheter och cyberhot med CERT-EU, ii) att införa avtalsenliga skyldigheter att rapportera incidenter, sårbarheter och cyberhot samt att ha lämpliga mekanismer för hantering och övervakning av incidenter.

1.   Som en uppföljning av slutsatsen från den mognadsbedömning av cybersäkerheten som utförts enligt artikel 7 och med beaktande av de tillgångar och cybersäkerhetsrisker som identifierats i ramen samt de riskhanteringsåtgärder för cybersäkerhet som vidtagits enligt artikel 8, ska varje unionsentitets högsta ledningsnivå godkänna en cybersäkerhetsplan utan onödigt dröjsmål, och under alla omständigheter senaste den 8 januari 2026. Cybersäkerhetsplanen ska syfta till att öka unionsentitetens övergripande cybersäkerhet och ska därigenom bidra till att förbättra en hög gemensam cybersäkerhetsnivå inom unionsentiteterna. Cybersäkerhetsplanen ska omfatta åtminstone de riskhanteringsåtgärder för cybersäkerhet som vidtagits enligt artikel 8. Cybersäkerhetsplanen ska ses över vartannat år, eller mer frekvent vid behov, efter de mognadsbedömningar av cybersäkerheten som gjorts enligt artikel 7 eller en annan betydande översyn av ramen.

2.   Cybersäkerhetsplanen ska omfatta unionsentitetens cyberkrishanteringsplan för större incidenter.

3.   Unionsentiteten ska överlämna sin färdiga cybersäkerhetsplan till den interinstitutionella cybersäkerhetsstyrelse som inrättas enligt artikel 10.

1.   Härigenom inrättas en interinstitutionell cybersäkerhetsstyrelse (IICB).

2.   IICB ska ansvara för att

a)	övervaka och stödja unionsentiteternas genomförande av denna förordning,

b)	övervaka CERT-EU:s genomförande av de allmänna prioriteringarna och målen och ge CERT-EU strategisk ledning.

3.   IICB ska bestå av följande:

a)

En företrädare som utses av var och en av följande: i) Europaparlamentet. ii) Europeiska rådet. iii) Europeiska unionens råd. iv) Kommissionen. v) Europeiska unionens domstol. vi) Europeiska centralbanken. vii) Revisionsrätten. viii) Europeiska utrikestjänsten. ix) Europeiska ekonomiska och sociala kommittén. x) Europeiska regionkommittén. xi) Europeiska investeringsbanken. xii) Europeiska kompetenscentrumet för cybersäkerhet inom näringsliv, teknik och forskning. xiii) Enisa. xiv) Europeiska datatillsynsmannen (EDPS). xv) Europeiska unionens rymdprogrambyrå.

b)	Tre andra företrädare än de som avses i led a, som utses av EU-byråernas nätverk (EUAN) på grundval av ett förslag från dess rådgivande IKT-kommitté, att företräda intressena för unionens organ och byråer som driver sin egen IKT-miljö.

De unionsentiteter som är företrädda i IICB ska sträva efter att uppnå en jämn könsfördelning bland de utsedda företrädarna.

4.   Ledamöterna i IICB får bistås av en suppleant. Ordföranden får bjuda in andra företrädare för de unionsentiteter som avses i punkt 3 eller för andra unionsentiteter att delta i IICB:s möten utan rösträtt.

5.   CERT-EU:s chef och ordförandena för samarbetsgruppen, CSIRT-nätverket och EU-CyCLONe, som inrättats enligt artikel 14, 15 respektive 16 i direktiv (EU) 2022/2555, eller deras suppleanter, får delta som observatörer i IICB:s möten. I undantagsfall får IICB, i enlighet med sin interna arbetsordning, fatta ett annat beslut.

6.   IICB ska själv anta sin interna arbetsordning.

7.   IICB ska utse en ordförande bland sina ledamöter, i enlighet med sin arbetsordning, för en period på tre år. Ordförandens suppleant ska bli ordinarie ledamot av IICB för samma period.

8.   IICB ska sammanträda minst tre gånger om året på ordförandens initiativ, på begäran av CERT-EU eller på begäran av någon av dess ledamöter.

9.   Varje ledamot av IICB ska ha en röst. IICB:s beslut ska fattas med enkel majoritet om inte annat föreskrivs i denna förordning. IICB:s ordförande ska inte ha rösträtt utom vid lika röstetal, då ordföranden får avge en utslagsröst.

10.   IICB får agera genom ett förenklat skriftligt förfarande som inleds i enlighet med dess interna arbetsordning. Enligt det förfarandet ska det relevanta beslutet anses vara godkänt inom den tidsram som fastställts av ordföranden, utom i de fall då en ledamot har invändningar.

11.   IICB:s sekretariat ska tillhandahållas av kommissionen och ska vara ansvarigt inför IICB:s ordförande.

12.   De företrädare som utsetts av EUAN ska vidarebefordra IICB:s beslut till EUAN:s medlemmar. Alla EUAN:s medlemmar ska ha rätt att med dessa företrädare eller IICB:s ordförande ta upp alla frågor som de anser att IICB bör uppmärksammas på.

13.   IICB får inrätta en verkställande kommitté som ska bistå den i dess arbete och får delegera vissa av sina arbetsuppgifter och befogenheter till den. IICB ska fastställa den verkställande kommitténs arbetsordning, inbegripet dess arbetsuppgifter och befogenheter och dess ledamöters mandatperioder.

14.   Senast den 8 januari 2025 och därefter årligen ska IICB lämna en rapport till Europaparlamentet och rådet med närmare uppgifter om hur genomförandet av denna förordning fortskrider och särskilt om omfattningen av CERT-EU:s samarbete med motparterna i var och en av medlemsstaterna. Rapporten ska utgöra underlag till den tvåårsrapport om cybersäkerhetssituationen i unionen som antas enligt artikel 18 i direktiv (EU) 2022/2555.

1.   CERT-EU:s uppdrag ska vara att bidra till säkerheten i unionsentiteters icke-säkerhetsskyddsklassificerade IKT-miljö genom att ge dem råd om cybersäkerhet, hjälpa dem att förebygga, upptäcka, hantera, begränsa, bemöta och återställa efter incidenter och genom att fungera som deras nav för utbyte av cybersäkerhetsinformation och samordning av incidenthantering.

2.   CERT-EU ska samla in, hantera, analysera och dela information med unionens entiteter om cyberhot, sårbarheter och incidenter som rör icke-säkerhetsskyddsklassificerad IKT-infrastruktur. CERT-EU ska samordna hanteringen av incidenter på interinstitutionell nivå och på unionsentitetsnivå, bland annat genom att ombesörja eller samordna tillhandahållandet av specialiserat operativt stöd.

3.   CERT-EU ska utföra följande arbetsuppgifter för unionens entiteter:

a)	Stödja dem vid genomförandet av denna förordning och bidra till samordningen av genomförandet av denna förordning genom de åtgärder som förtecknas i artikel 14.1 eller genom ad hoc-rapporter som IICB begär.

b)	Erbjuda standardiserade CSIRT-tjänster till unionens entiteter med hjälp av ett paket av cybersäkerhetstjänster som beskrivs i dess tjänstekatalog (baslinjetjänster).

c)	Upprätthålla ett nätverk av kollegor och partner för att stödja de tjänster som beskrivs i artiklarna 17 och 18.

d)	Uppmärksamma IICB på alla problem som rör genomförandet av denna förordning och genomförandet av vägledningarna, rekommendationerna och uppmaningarna till åtgärder.

e)	På grundval av den information som avses i punkt 2 och i nära samarbete med Enisa bidra till unionens cybersituationsmedvetenhet.

f)	Samordna hanteringen av större incidenter.

g)	Agera för unionsentiteternas räkning som motsvarighet till den samordnare som utsetts för samordnad information om sårbarheter enligt artikel 12.1 i direktiv (EU) 2022/2555.

h)	På begäran av en unionsentitet, tillhandahålla proaktiv, icke-inkräktande skanning av den unionsentitetens allmänt tillgängliga nätverks- och informationssystem.

Den information som avses i första stycket e ska delas med IICB, CSIRT-nätverket och Europeiska unionens underrättelse- och lägescentral (EU-Intcen), när så är tillämpligt och lämpligt, och omfattas av lämpliga överenskommelser om konfidentialitet.

4.   CERT-EU får i enlighet med artikel 17 eller 18, beroende på vad som är lämpligt, samarbeta med relevanta cybersäkerhetsgrupper inom unionen och dess medlemsstater, bland annat på följande områden:

a)	Beredskap, incidentsamordning, informationsutbyte och krishantering på teknisk nivå i ärenden som rör unionens entiteter.

b)	Operativt samarbete med CSIRT-nätverket, inbegripet om ömsesidigt bistånd.

c)	Underrättelser om cyberhot, inbegripet situationsmedvetenhet.

d)	Vilket ämne som helst som kräver CERT-EU:s tekniska cybersäkerhetsexpertis.

5.   Inom sitt befogenhetsområde ska CERT-EU inleda ett strukturerat samarbete med Enisa om kapacitetsuppbyggnad, operativt samarbete och långsiktiga strategiska analyser av cyberhot i enlighet med förordning (EU) 2019/881. CERT-EU får samarbeta och utbyta information med Europols europeiska it-brottscentrum.

6.   CERT-EU får tillhandahålla följande tjänster som inte beskrivs i dess tjänstekatalog (avgiftsbelagda tjänster):

a)

Andra tjänster som stöder cybersäkerheten i unionsentiteternas IKT-miljö än dem som avses i punkt 3, på grundval av servicenivåavtal och förutsatt att det finns tillgängliga resurser, särskilt omfattande övervakning av nätverk, även med dygnet-runt-bevakning i första ledet för mycket allvarliga cyberhot.

b)	Andra tjänster som stöder unionsentiteternas cybersäkerhetsinsatser eller cybersäkerhetsprojekt än de som skyddar deras IKT-miljö, på grundval av skriftliga avtal och med förhandsgodkännande från IICB.

c)	Proaktiv skanning, på begäran, av den berörda unionsentitetens nätverks- och informationssystem för att upptäcka sårbarheter med en potentiellt betydande inverkan.

d)	Tjänster som stöder säkerheten i IKT-miljön hos andra organisationer än unionens entiteter vilka har ett nära samarbete med unionens entiteter, till exempel genom att få arbetsuppgifter och ansvar tilldelade enligt unionsrätten, på grundval av skriftliga avtal och med förhandsgodkännande från IICB.

Med avseende på första stycket d, får CERT-EU undantagsvis, med IICB:s förhandsgodkännande, ingå servicenivåavtal med andra entiteter än unionens entiteter.

7.   CERT-EU ska anordna och får delta i cybersäkerhetsövningar eller rekommendera deltagande i befintliga övningar, i tillämpliga fall i nära samarbete med Enisa, för att testa unionsentiteternas cybersäkerhetsnivå.

8.   CERT-EU får stödja unionens entiteter när det gäller incidenter i nätverks- och informationssystem som hanterar säkerhetsskyddsklassificerade EU-uppgifter om de berörda unionsentiteterna uttryckligen begär detta i enlighet med deras respektive förfaranden. Tillhandahållandet av stöd från CERT-EU enligt denna punkt ska inte påverka tillämpliga bestämmelser om skyddet av säkerhetsskyddsklassificerade uppgifter.

9.   CERT-EU ska informera unionens entiteter om sina förfaranden och processer för incidenthantering.

10.   CERT-EU ska, med en hög grad av konfidentialitet och tillförlitlighet, via lämpliga samarbetsmekanismer och rapporteringsvägar, bidra till relevant och anonymiserad information om större incidenter och det sätt på vilket de hanterades. Denna information ska ingå i den rapport som avses i artikel 10.14.

11.   CERT-EU ska i samarbete med EDPS stödja berörda unionsentiteter när de hanterar incidenter som medför personuppgiftsincidenter, utan att det påverkar EDPS befogenheter och arbetsuppgifter som tillsynsmyndighet enligt förordning (EU) 2018/1725.

12.   CERT-EU får, om unionsentiteternas politiska avdelningar uttryckligen så begär, tillhandahålla teknisk rådgivning eller tekniska synpunkter i relevanta politiska frågor.

1.   CERT-EU ska integreras i den administrativa strukturen vid ett av kommissionens generaldirektorat för att kunna dra nytta av kommissionens stödstrukturer för administration, ekonomisk förvaltning och redovisning, samtidigt som CERT-EU behåller sin status som autonom interinstitutionell tjänsteleverantör för alla unionsentiteter. Kommissionen ska informera IICB om CERT-EU:s administrativa lokalisering och eventuella ändringar därav. Kommissionen ska regelbundet, och under alla omständigheter före inrättandet av en flerårig budgetram i enlighet med artikel 312 i EUF-fördraget, se över de administrativa arrangemang som rör CERT-EU, för att göra det möjligt att vidta lämpliga åtgärder. Översynen ska inbegripa möjligheten att inrätta CERT-EU som unionsbyrå.

2.   När det gäller tillämpningen av de administrativa och finansiella förfarandena ska CERT-EU:s chef handla under kommissionens överinseende och under IICB:s tillsyn.

3.   CERT-EU:s arbetsuppgifter och verksamhet, inbegripet tjänster som tillhandahålls av CERT-EU i enlighet med artiklarna 13.3, 13.4, 13.5, 13.7 och 14.1 till unionens entiteter som finansieras genom den rubrik i den fleråriga budgetramen som är avsedd för europeisk offentlig administration, ska finansieras med hjälp av en särskild budgetpost i kommissionens budget. De tjänster som öronmärkts för CERT-EU ska anges i en fotnot till kommissionens tjänsteförteckning.

4.   Andra unionsentiteter än dem som avses i punkt 3 i denna artikel, ska lämna ett årligt ekonomiskt bidrag till CERT-EU för att täcka de tjänster som CERT-EU tillhandahåller i enlighet med denna punkt. Bidragen ska baseras på riktlinjer som ges av IICB och som varje unionsentitet och CERT-EU kommer överens om sinsemellan i servicenivåavtal. Bidragen ska utgöra en rättvis och proportionell andel av de totala kostnaderna för de tjänster som tillhandahålls. De ska tas emot under den särskilda budgetpost som avses i punkt 3 i denna artikel som interna inkomster avsatta för särskilda ändamål i enlighet med artikel 21.3 c i förordning (EU, Euratom) 2018/1046.

5.   Kostnaderna för de tjänster som anges i artikel 13.6 ska återkrävas från de unionsentiteter som tar emot CERT-EU-tjänster. Inkomsterna ska avsättas för de budgetposter som stöder kostnaderna.