keyboard_tab Cyber Resilience Act 2023/2841 SV
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 11 IICB:s arbetsuppgifter
- 1 Art. 15 CERT-EU:s chef
- 1 Art. 19 Informationshantering
- 1 Art. 21 Rapporteringsskyldigheter
- 1 Art. 22 Samordning av incidenthantering och samarbete
KAPITEL I
ALLMÄNNA BESTÄMMELSER
KAPITEL II
ÅTGÄRDER FÖR EN HÖG GEMENSAM CYBERSÄKERHETSNIVÅ
KAPITEL III
INTERINSTITUTIONELL CYBERSÄKERHETSSTYRELSE
KAPITEL IV
CERT-EU
KAPITEL V
SAMARBETS- OCH RAPPORTERINGSKRAV
KAPITEL VI
SLUTBESTÄMMELSER
- för 32
- eller 29
- cert-eu 25
- cert-eu:s 22
- till 22
- artikel 21
- entiteter 20
- betydande 17
- chef 17
- unionens 15
- förslag 14
- från 14
- iicb 11
- incident 11
- information 10
- fall 9
- avses 9
- grundval 8
- när 8
- incidenter 8
- efter 8
- enligt 8
- incidenten 8
- godkänna 8
- tillämpliga 7
- inbegripet 7
- denna 7
- utan 7
- dess 7
- konsekvenser 7
- under 6
- incidenthantering 6
- enlighet 6
- rekommendationer 6
- onödigt 6
- dröjsmål 6
- inom 6
- åtgärder 6
- eu / 5
- cyberhot 5
- direktiv 5
- samordning 5
- samt 5
- begäran 5
- lämna 5
- deras 5
- förordning 5
- samarbete 5
- uppgifter 4
- cert-eu:s 4
Artikel 11
IICB:s arbetsuppgifter
I IICB:s befogenheter ingår följande arbetsuppgifter, särskilt att
| a) | ge CERT-EU:s chef vägledning, |
| b) | effektivt övervaka och utöva tillsyn över genomförandet av denna förordning och hjälpa unionens entiteter att stärka sin cybersäkerhet, inbegripet, när så är lämpligt, begära ad hoc-rapporter från unionens entiteter och CERT-EU, |
| c) | efter en strategisk diskussion anta en flerårig strategi för att höja cybersäkerhetsnivån i unionens entiteter, utvärdera denna strategi regelbundet och under alla omständigheter vart femte år, och vid behov ändra strategin, |
| d) | fastställa metoder och organisatoriska aspekter för hur unionsentiteternas frivilliga inbördes utvärderingar ska gå till, i syfte att dra nytta av gemensamma erfarenheter, stärka det ömsesidiga förtroendet, uppnå en hög gemensam cybersäkerhetsnivå samt förbättra unionsentiteternas cybersäkerhetskapacitet, och säkerställa att sådana inbördes utvärderingar utförs av cybersäkerhetsexperter som utsetts av en annan unionsentitet än den unionsentitet som utvärderas och att metoden grundar sig på artikel 19 i direktiv (EU) 2022/2555 och, i förekommande fall, är anpassad till unionsentiteterna, |
| e) | på grundval av ett förslag från CERT-EU:s chef godkänna CERT-EU:s årliga arbetsprogram och övervaka dess genomförande, |
| f) | på grundval av ett förslag från CERT-EU:s chef godkänna CERT-EU:s tjänstekatalog och eventuella uppdateringar av den, |
| g) | på grundval av ett förslag från CERT-EU:s chef godkänna den årliga ekonomiska planeringen av inkomster och utgifter, inbegripet för personal, för CERT-EU:s verksamhet, |
| h) | på grundval av ett förslag från CERT-EU:s chef godkänna arrangemangen för servicenivåavtal, |
| i) | granska och godkänna den årsrapport som utarbetats av CERT-EU:s chef och som omfattar CERT-EU:s verksamhet och förvaltning av medel, |
| j) | godkänna och övervaka de nyckelprestandaindikatorer som har fastställts för CERT-EU på grundval av ett förslag från CERT-EU:s chef, |
| k) | godkänna samarbetsavtal, servicenivåavtal eller avtal mellan CERT-EU och andra entiteter i enlighet med artikel 18, |
| l) | på grundval av ett förslag från CERT-EU anta vägledningar och rekommendationer i enlighet artikel 14 och ge CERT-EU i uppdrag att utfärda, dra tillbaka eller ändra ett förslag till vägledningar eller rekommendationer, eller en uppmaning till åtgärder, |
| m) | inrätta tekniska rådgivande grupper med särskilda arbetsuppgifter för att bistå IICB i dess arbete, godkänna deras mandat och utse deras respektive ordförande, |
| n) | ta emot och bedöma dokument och rapporter som lämnats in av unionens entiteter enligt denna förordning, såsom mognadsbedömningar av cybersäkerheten, |
| o) | underlätta inrättandet av en informell grupp av lokala cybersäkerhetsansvariga från unionens entiteter, med stöd av Enisa, i syfte att utbyta bästa praxis och information i samband med genomförandet av denna förordning, |
| p) | beakta den information om identifierade cybersäkerhetsrisker och tidigare erfarenheter som tillhandahålls av CERT-EU, övervaka lämpligheten i arrangemangen för sammankoppling mellan unionsentiteternas IKT-miljöer och ge råd om möjliga förbättringar, |
| q) | upprätta en cyberkrishanteringsplan i syfte att på operativ nivå stödja en samordnad hantering av större incidenter som berör unionens entiteter och bidra till ett regelbundet utbyte av relevant information, särskilt när det gäller konsekvenserna av och allvarlighetsgraden hos, och möjliga sätt att begränsa effekterna av, större incidenter, |
| r) | samordna antagandet av enskilda unionsentiteters cyberkrishanteringsplaner enligt artikel 9.2, |
| s) | anta rekommendationer om den säkerhet i leveranskedjan som avses i artikel 8.2, första stycket led m, med beaktande av resultaten av samordnade säkerhetsriskbedömningar på unionsnivå av de kritiska leveranskedjor som avses i artikel 22 i direktiv (EU) 2022/2555 för att stödja unionens entiteter vid antagandet av effektiva och proportionella riskhanteringsåtgärder för cybersäkerhet. |
Artikel 15
CERT-EU:s chef
1. Kommissionen ska, efter godkännande med två tredjedelars majoritet av IICB:s ledamöter, utnämna CERT-EU:s chef. IICB ska rådfrågas i alla skeden av utnämningsförfarandet, särskilt när det gäller att utarbeta meddelanden om den lediga tjänsten, granska ansökningar och utse uttagningskommittéer med avseende på tjänsten. Urvalsförfarandet, inbegripet slutlistan över de bästa kandidaterna från vilken CERT-EU:s chef ska utses, ska säkerställa en jämn könsfördelning, med beaktande av de ansökningar som kommer in.
2. CERT-EU:s chef ska ansvara för att CERT-EU fungerar väl och ska agera inom det behörighetsområde som han eller hon tilldelats och under ledning av IICB. CERT-EU:s chef ska regelbundet rapportera till IICB:s ordförande och ska på dess begäran lämna in ad hoc-rapporter till IICB.
3. CERT-EU:s chef ska stödja den behöriga delegerade utanordnaren i utarbetandet av den årliga verksamhetsrapport med finansiella och administrativa uppgifter, inbegripet resultaten av kontroller, som upprättas i enlighet med artikel 74.9 i Europaparlamentets och rådets förordning (EU, Euratom) 2018/1046 (9), och ska regelbundet rapportera till den delegerade utanordnaren om genomförandet av åtgärder för vilka befogenheter har vidaredelegerats till CERT-EU:s chef.
4. CERT-EU:s chef ska en gång om året utarbeta en finansiell plan för administrativa inkomster och utgifter för dess verksamhet, ett förslag till årligt arbetsprogram, ett förslag till en tjänstekatalog för CERT-EU, förslag till översyner av tjänstekatalogen, förslag till arrangemang för servicenivåavtal och förslag till nyckelprestandaindikatorer för CERT-EU vilka ska godkännas av IICB i enlighet med artikel 11. Vid översynen av förteckningen över tjänster i CERT-EU:s tjänstekatalog ska CERT-EU:s chef beakta de resurser som tilldelats CERT-EU.
5. CERT-EU:s chef ska minst en gång om året lämna rapporter till IICB och IICB:s ordförande om CERT-EU:s verksamhet och resultat under referensperioden, inbegripet om genomförandet av budgeten, servicenivåavtal och skriftliga avtal som ingåtts, samarbete med motparter och partner samt personalens tjänsteresor, inbegripet de rapporter som avses i artikel 11. Dessa rapporter ska omfatta ett arbetsprogram för kommande period, den finansiella planeringen av inkomster och utgifter, inklusive personal, planerade uppdateringar av CERT-EU:s tjänstekatalog och en bedömning av de förväntade effekterna av sådana uppdateringar i fråga om ekonomiska resurser och personalresurser.
Artikel 19
Informationshantering
1. Unionens entiteter och CERT-EU ska respektera tystnadsplikt i enlighet med artikel 339 i EUF-fördraget eller likvärdiga tillämpliga ramar.
2. Europaparlamentets och rådets förordning (EG) nr 1049/2001 (10) ska tillämpas på allmänhetens begäranden om tillgång till handlingar som innehas av CERT-EU, inbegripet skyldigheten enligt den förordningen att samråda med unionens övriga entiteter, och i förekommande fall medlemsstaterna, när en begäran rör deras handlingar.
3. Unionsentiteternas och CERT-EU:s hantering av information ska vara förenlig med tillämpliga regler om informationssäkerhet.
Artikel 21
Rapporteringsskyldigheter
1. En incident ska anses vara betydande om
| a) | den har orsakat, eller kan orsaka, allvarliga driftstörningar i verksamheten eller ekonomiska förluster för den berörda unionsentiteten, |
| b) | den har påverkat, eller kan påverka, andra fysiska eller juridiska personer genom att åsamka betydande materiell eller immateriell skada. |
2. Unionens entiteter ska till CERT-EU lämna
| a) | en tidig varning – utan onödigt dröjsmål, och under alla omständigheter inom 24 timmar efter att ha fått kännedom om den betydande incidenten – som i tillämpliga fall ska ange att den betydande incidenten misstänks ha orsakats av olagliga eller avsiktligt skadliga handlingar eller skulle kunna ha entitetsövergripande eller gränsöverskridande konsekvenser, |
| b) | en incidentanmälan – utan onödigt dröjsmål, och under alla omständigheter inom 72 timmar efter att ha fått kännedom om den betydande incidenten – som i tillämpliga fall ska uppdatera den information som avses i led a och ange en första bedömning av den betydande incidenten, dess allvarlighetsgrad och konsekvenser samt, i förekommande fall, angreppsindikatorer, |
| c) | en delrapport – på begäran av CERT-EU – om relevanta statusuppdateringar, |
| d) | en slutrapport – senast en månad efter inlämningen av den incidentanmälan som avses i led b – som ska innehålla
|
| e) | en lägesrapport – i händelse av en pågående incident vid tidpunkten för inlämningen av den slutrapport som avses i led d – vid den tidpunkten och en slutrapport inom en månad efter deras hantering av incidenten. |
3. En unionsentitet ska, utan onödigt dröjsmål och under alla omständigheter inom 24 timmar efter att ha fått kännedom om en betydande incident, informera alla relevanta motparter i medlemsstaterna som avses i artikel 17.1 i den medlemsstat där den är belägen om att en betydande incident har inträffat.
4. Unionens entiteter ska bland annat lämna all information som gör det möjligt för CERT-EU att fastställa eventuella entitetsövergripande konsekvenser, konsekvenser för värdmedlemsstaten eller gränsöverskridande konsekvenser efter en betydande incident. Utan att det påverkar artikel 12 ska själva anmälan inte medföra ökat ansvar för unionsentiteten.
5. I tillämpliga fall ska unionens entiteter utan onödigt dröjsmål informera användarna av de berörda nätverks- och informationssystemen, eller andra komponenter i IKT-miljön, som potentiellt berörs av en betydande incident eller ett betydande cyberhot och, när så är lämpligt, behöver vidta riskreducerande åtgärder, om de åtgärder eller avhjälpande arrangemang som de kan vidta för att hantera denna incident eller detta hot. När så är lämpligt ska unionens entiteter informera dessa användare om det betydande cyberhotet.
6. Om en betydande incident eller ett betydande cyberhot berör ett nätverks- och informationssystem, eller en komponent inom en unionsentitets IKT-miljö som har en avsiktlig sammankoppling med en annan unionsentitets IKT-miljö, ska CERT-EU utfärda en relevant cybersäkerhetsvarning.
7. Unionens entiteter ska, på CERT-EU:s begäran och utan onödigt dröjsmål, förse CERT-EU med digital information som skapats genom användning av elektroniska enheter som är inblandade i deras respektive incident. CERT-EU kan tillhandahålla ytterligare uppgifter om vilka typer av uppgifter som behövs för situationsmedvetenhet och incidenthantering.
8. CERT-EU ska var tredje månad lämna in en sammanfattande rapport till IICB, Enisa, EU Intcen och CSIRT-nätverket med anonymiserade och aggregerade data om betydande incidenter, incidenter, cyberhot, tillbud och sårbarheter enligt artikel 20 och betydande incidenter som anmälts enligt punkt 2 i den här artikeln. Den sammanfattande rapporten ska utgöra underlag till den tvåårsrapport om cybersäkerhetssituationen i unionen som antas enligt artikel 18 i direktiv (EU) 2022/2555.
9. Senast den 8 juli 2024 ska IICB utfärda vägledningar eller rekommendationer som ytterligare specificerar formerna och formatet för samt innehållet i rapporteringen enligt den här artikeln. Vid utarbetandet av sådana riktlinjer eller rekommendationer ska IICB beakta eventuella genomförandeakter som antagits enligt artikel 23.11 i direktiv (EU) 2022/2555 och som specificerar typen av information, formatet och förfarandet för underrättelsen. CERT-EU ska sprida lämpliga tekniska detaljer för att möjliggöra proaktiv upptäckt, incidenthantering eller riskreducerande åtgärder hos unionens entiteter.
10. Rapporteringsskyldigheterna i denna artikel ska inte omfatta
| a) | säkerhetsskyddsklassificerade EU-uppgifter, |
| b) | uppgifter vars vidare spridning har uteslutits genom en synlig markering, såvida inte delning av denna information med CERT-EU uttryckligen har tillåtits. |
Artikel 22
Samordning av incidenthantering och samarbete
1. I sin funktion som nav för utbyte av cybersäkerhetsinformation och samordning av incidenthantering ska CERT-EU främja informationsutbyte om incidenter, cyberhot, sårbarheter och tillbud mellan
| a) | unionens entiteter, |
| b) | de motparter som avses i artiklarna 17 och 18. |
2. CERT-EU ska, i tillämpliga fall i nära samarbete med Enisa, främja unionsentiteters samordning av incidenthantering, genom bland annat
| a) | bidrag till konsekvent extern kommunikation, |
| b) | ömsesidigt stöd, såsom utbyte av information som är relevant för unionens entiteter eller tillhandahållande av bistånd, i förekommande fall direkt på plats, |
| c) | optimal användning av operativa resurser, |
| d) | samordning med andra krishanteringsmekanismer på unionsnivå. |
3. CERT-EU ska, i nära samarbete med Enisa, stödja unionens entiteter när det gäller situationsmedvetenhet om incidenter, cyberhot, sårbarheter och tillbud samt dela med sig av relevant utveckling på cybersäkerhetsområdet.
4. Senast den 8 januari 2025 ska IICB på grundval av ett förslag från CERT-EU, anta riktlinjer eller rekommendationer för samordning av incidenthantering och samarbete vid betydande incidenter. När en incident misstänks vara brottslig ska CERT-EU ge råd om hur incidenten ska rapporteras till de brottsbekämpande myndigheterna utan onödigt dröjsmål.
5. Efter en särskild begäran från en medlemsstat och med de berörda unionsentiteternas godkännande får CERT-EU anlita experter från den förteckning som avses i artikel 23.4 för att bidra till hanteringen av en större incident som påverkar den medlemsstaten, eller en storskalig cybersäkerhetsincident i enlighet med artikel 15.3 g i direktiv (EU) 2022/2555. Särskilda regler om tillgång till och användning av tekniska experter från unionens entiteter ska godkännas av IICB på grundval av ett förslag från CERT-EU.
whereas