keyboard_tab Cyber Resilience Act 2023/2841 SV

1.   Senast den 8 september 2024 ska den interinstitutionella cybersäkerhetsstyrelse som inrättas enligt artikel 10, efter samråd med Europeiska unionens cybersäkerhetsbyrå (Enisa) och efter att ha fått vägledning av CERT-EU, utfärda riktlinjer för unionens entiteter i syfte att genomföra en första översyn av cybersäkerheten och inrätta en intern ram för hantering, styrning och kontroll av cybersäkerhetsrisker enligt artikel 6, utföra mognadsbedömningar av cybersäkerheten enligt artikel 7, vidta riskhanteringsåtgärder för cybersäkerhet enligt artikel 8 och anta cybersäkerhetsplanen enligt artikel 9.

2.   Vid genomförandet av artiklarna 6–9 ska unionens entiteter beakta de riktlinjer som avses i punkt 1 i den här artikeln samt relevanta riktlinjer och rekommendationer som antagits enligt artiklarna 11 och 14.

1.   Senast den 8 april 2025 ska varje unionsentitet, efter att ha genomfört en första översyn av cybersäkerheten, såsom en revision, inrätta en intern ram för hantering, styrning och kontroll av cybersäkerhetsrisker (ramen). Inrättandet av ramen ska övervakas av och ske under ansvar av unionsentitetens högsta ledningsnivå.

2.   Ramen ska omfatta hela den icke-säkerhetsskyddsklassificerade IKT-miljön för unionsentiteten i fråga, inbegripet alla IKT-miljöer på plats, nätverk för operativ teknik, utkontrakterade tillgångar och tjänster i molnbaserade miljöer eller som förvaltas av tredje part, mobila enheter, interna nätverk, företagsnätverk som inte är anslutna till internet och alla enheter som är anslutna till dessa miljöer (IKT-miljön). Ramen ska bygga på en allriskstrategi.

3.   Ramen ska säkerställa en hög cybersäkerhetsnivå. Ramen ska fastställa interna strategier för cybersäkerhet, inbegripet mål och prioriteringar, för säkerheten i nätverks- och informationssystem samt roller och ansvarsområden för unionsentitetens personal som har till uppgift att säkerställa ett effektivt genomförande av denna förordning. Ramen ska också innehålla mekanismer för att mäta hur effektivt genomförandet är.

4.   Ramen ska ses över regelbundet mot bakgrund av de föränderliga cybersäkerhetsriskerna, och åtminstone vart fjärde år. När så är lämpligt och på begäran från den interinstitutionella cybersäkerhetsstyrelse som inrättas enligt artikel 10, får ramen för en unionsentitet uppdateras på grundval av vägledning från CERT-EU avseende identifierade incidenter eller eventuella konstaterade brister i genomförandet av denna förordning.

5.   Varje unionsentitets högsta ledningsnivå ska ansvara för genomförandet av denna förordning och ska övervaka att dess organisation fullgör sina skyldigheter i fråga om ramen.

6.   När så är lämpligt och utan att det påverkar dess ansvar för genomförandet av denna förordning får varje unionsentitets högsta ledningsnivå delegera vissa skyldigheter enligt denna förordning till högre tjänstemän i den mening som avses i artikel 29.2 i tjänsteföreskrifterna eller andra tjänstemän på motsvarande nivå inom den berörda unionsentiteten. Även om dessa skyldigheter delegeras kan den högsta ledningsnivån hållas ansvarig för den berörda unionsentitetens överträdelser av denna förordning.

7.   Varje unionsentitet ska ha effektiva mekanismer för att säkerställa att en lämplig andel av IKT-budgeten spenderas på cybersäkerhet. Vid fastställandet av denna andel ska vederbörlig hänsyn tas till ramen.

8.   Varje unionsentitet ska utse en lokal cybersäkerhetsansvarig eller motsvarande funktion som ska fungera som dess gemensamma kontaktpunkt för alla aspekter av cybersäkerhet. Den lokala cybersäkerhetsansvariga ska underlätta genomförandet av denna förordning och regelbundet rapportera om genomförandet direkt till den högsta ledningsnivån. Utan att det påverkar den lokala cybersäkerhetsansvarigas funktion som den gemensamma kontaktpunkten i varje unionsentitet får en unionsentitet delegera vissa av den lokala cybersäkerhetsansvarigas arbetsuppgifter när det gäller genomförandet av denna förordning till CERT-EU på grundval av ett servicenivåavtal mellan den unionsentiteten och CERT-EU, eller så får arbetsuppgifterna delas mellan flera unionsentiteter. När dessa arbetsuppgifter delegeras till CERT-EU ska den interinstitutionella cybersäkerhetsstyrelse som inrättas enligt artikel 10 besluta om huruvida tillhandahållandet av denna tjänst ska ingå i CERT-EU:s baslinjetjänster, med beaktande av den berörda unionsentitetens personalresurser och ekonomiska resurser. Varje unionsentitet ska utan onödigt dröjsmål meddela CERT-EU om utsedda lokala cybersäkerhetsansvariga och alla senare ändringar därav.

CERT-EU ska upprätta och föra en uppdaterad förteckning över utsedda lokala cybersäkerhetsansvariga.

9.   Högre tjänstemän i den mening som avses i artikel 29.2 i tjänsteföreskrifterna eller andra tjänstemän på motsvarande nivå i varje unionsentitet samt all relevant personal som har till uppgift att genomföra de riskhanteringsåtgärder och att uppfylla de skyldigheter avseende cybersäkerhet som fastställs i denna förordning, ska regelbundet genomgå särskild utbildning för att få tillräckliga kunskaper och färdigheter så att de kan förstå och bedöma cybersäkerhetsrisker och rutiner för hantering av cybersäkerhet och deras inverkan på unionsentitetens verksamhet.

1.   Utan onödigt dröjsmål och under alla omständigheter senast den 8 september 2025 ska varje unionsentitet, under överinseende av den högsta ledningsnivån, vidta lämpliga och proportionella tekniska, operativa och organisatoriska åtgärder för att hantera de cybersäkerhetsrisker som identifierats inom ramen, och för att förebygga eller minimera effekterna av incidenterna. Med beaktande av den senaste utvecklingen och, i tillämpliga fall, relevanta europeiska och internationella standarder, ska dessa åtgärder säkerställa en säkerhetsnivå för nätverks- och informationssystemen i hela IKT-miljön som står i proportion till cybersäkerhetsriskerna. Vid bedömningen av dessa åtgärders proportionalitet ska vederbörlig hänsyn tas till unionsentitetens grad av exponering för cybersäkerhetsrisker, dess storlek samt sannolikheten för att incidenter ska inträffa och deras allvarlighetsgrad, inbegripet deras samhälleliga, ekonomiska och interinstitutionella konsekvenser.

2.   Unionens entiteter ska vid genomförandet av riskhanteringsåtgärder för cybersäkerhet behandla åtminstone följande specifika områden:

a)	Cybersäkerhetspolicy, inbegripet åtgärder som behövs för att nå målen och prioriteringarna enligt artikel 6 samt punkt 3 i den här artikeln.

b)	Strategier för analys av cybersäkerhetsrisker och informationssystemens säkerhet.

c)	Policymål för användningen av molntjänster.

d)	Cybersäkerhetsrevision, när så är lämpligt, vilket kan inbegripa en bedömning av cybersäkerhetsrisker, sårbarhet och cyberhot, och penetrationstester som regelbundet utförs av en betrodd privat leverantör.

e)	Genomförande av rekommendationer från de cybersäkerhetsrevisioner som avses i led d genom cybersäkerhetsuppdateringar och policyuppdateringar.

f)	Organisation av cybersäkerhet, inbegripet fastställande av roller och ansvarsområden.

g)	Förvaltning av tillgångar, inbegripet inventering av IKT-tillgångar och IKT-nätverkskartografi.

h)	Säkerhets- och åtkomstkontroll för personal.

i)	Driftssäkerhet.

j)	Kommunikationssäkerhet.

k)	Förvärv, utveckling och underhåll av system, inbegripet strategier för hantering och redovisning av sårbarheter.

l)	Strategier, om möjligt, för insyn i källkoden.

m)	Säkerhet i leveranskedjan, inbegripet säkerhetsrelaterade aspekter som rör förbindelserna mellan unionsentiteten och dess direkta leverantörer eller tjänsteleverantörer.

n)	Incidenthantering och samarbete med CERT-EU, såsom underhåll av säkerhetsövervakning och loggning.

o)	Hantering av driftskontinuitet, exempelvis hantering av säkerhetskopiering och katastrofhantering samt krishantering.

p)	Främjande och utveckling av program för utbildning, kompetens, ökad medvetenhet, övning och fortbildning inom cybersäkerhet.

Vid tillämpningen av första stycket led m ska unionsentiteter ta hänsyn till de sårbarheter som är specifika för varje direkt leverantör och tjänsteleverantör och den övergripande kvaliteten på produkterna och deras leverantörers och tjänsteleverantörers cybersäkerhetspraxis, inbegripet deras förfaranden för säker utveckling.

3.   Unionens entiteter ska vidta åtminstone följande riskhanteringsåtgärder för cybersäkerhet:

a)	Tekniska arrangemang för att möjliggöra och upprätthålla distansarbete.

b)	Konkreta åtgärder för att närma sig nolltillitsprinciperna.

c)	Användning av flerfaktorsautentisering som standard i nätverks- och informationssystem.

d)	Användning av kryptografi och kryptering, särskilt totalsträckskryptering samt säkra digitala underskrifter.

e)	Om möjligt, säker röst-, video- och textkommunikation samt säkra nödkommunikationssystem inom unionsentiteten.

f)	Proaktiva åtgärder för att upptäcka och avlägsna sabotageprogram och spionprogram.

g)	Inrättande av säkerhet i leveranskedjan för programvara genom kriterier för utveckling och utvärdering av säker programvara.

h)	Upprättande och antagande av utbildningsprogram för cybersäkerhet som motsvarar de föreskrivna arbetsuppgifterna och den förväntade kapaciteten hos den högsta ledningen och personalen inom unionsentiteten med uppdrag att säkerställa ett effektivt genomförande av denna förordning.

i)	Regelbunden utbildning i cybersäkerhet för personalen.

j)	Om relevant, deltagande i riskanalyser av sammankopplingar mellan unionens entiteter.

k)

Förbättrade upphandlingsregler för att underlätta en hög gemensam cybersäkerhetsnivå genom i) att undanröja avtalsmässiga hinder som begränsar informationsutbytet från leverantörer av IKT-tjänster om incidenter, sårbarheter och cyberhot med CERT-EU, ii) att införa avtalsenliga skyldigheter att rapportera incidenter, sårbarheter och cyberhot samt att ha lämpliga mekanismer för hantering och övervakning av incidenter.

1.   IICB ska i enligt artikel 10.2 och artikel 11 effektivt övervaka hur unionens entiteter genomför denna förordning och antagna vägledningar, rekommendationer och uppmaningar till åtgärder. IICB får begära den information eller dokumentation som är nödvändig för detta ändamål från unionens entiteter. Vid antagande av efterlevnadsåtgärder enligt denna artikel, om den berörda unionsentiteten är direkt företrädd i IICB, ska denna unionsentitet inte ha rösträtt.

2.   Om IICB konstaterar att en unionsentitet inte har genomfört denna förordning på effektivt sätt eller de vägledningar, rekommendationer eller uppmaningar till åtgärder i enlighet därmed får den, utan att det påverkar den berörda unionsentitetens interna förfaranden och efter att den berörda unionsentiteten har fått möjlighet att framföra sina synpunkter:

a)	lämna ett motiverat yttrande till den berörda unionsentiteten med konstaterade brister i genomförandet av denna förordning,

b)	efter samråd med CERT-EU ge vägledningar till den berörda unionsentiteten för att säkerställa att dess ram, riskhanteringsåtgärder för cybersäkerhet, cybersäkerhetsplan och rapportering är i överensstämmelse med denna förordning inom en angiven period,

c)	utfärda en varning för att åtgärda konstaterade brister inom en angiven period, inbegripet rekommendationer om ändring av de åtgärder som antagits av den berörda unionsentiteten i enlighet med denna förordning,

d)	utfärda ett motiverat meddelande till den berörda unionsentiteten, i händelse av att brister som konstaterats i en varning som utfärdats enligt led c inte åtgärdats i tillräcklig utsträckning inom den angivna perioden,

e)	utfärda i) en rekommendation om att en revision ska utföras, eller ii) en begäran om att en revision ska utföras av en tredje parts revisionstjänst,

f)	informera, i tillämpliga fall och inom ramen för sitt mandat, revisionsrätten om den påstådda bristande efterlevnaden,

g)	utfärda en rekommendation om att alla medlemsstater och unionsentiteter inför ett tillfälligt stopp för dataflöden till den berörda unionsentiteten.

Vid tillämpning av första stycket c ska varningens målgrupp begränsas på lämpligt sätt, när så är nödvändigt med tanke på cybersäkerhetsrisken.

Varningar och rekommendationer som utfärdas enligt första stycket ska riktas till den berörda unionsentitetens högsta ledningsnivå.

3.   Om IICB har antagit åtgärder enligt punkt 2, första stycket a–g ska den berörda unionsentiteten lämna uppgifter om de åtgärder som vidtagits och insatser som gjorts för att åtgärda de påstådda brister som IICB konstaterat. Unionsentiteten ska lämna in dessa uppgifter inom en rimlig tidsperiod som ska fastställas i överenskommelse med IICB.

4.   Om IICB anser att en unionsentitet på ett ihållande sätt överträder denna förordning till direkt följd av handlingar eller försummelser från en tjänsteman eller annan anställd i unionen, inbegripet på högsta ledningsnivå, ska IICB begära att den berörda unionsentiteten vidtar lämpliga åtgärder, bland annat begära att den överväger disciplinära åtgärder i enlighet med de regler och förfaranden som fastställs i tjänsteföreskrifterna och andra tillämpliga regler och förfaranden. För detta ändamål ska IICB överföra nödvändig information till den berörda unionsentiteten.

5.   Om unionsentiteter meddelar att de inte kan hålla de tidsfrister som anges i artiklarna 6.1 och 8.1 får IICB i vederbörligen motiverade fall, med beaktande av unionsentitetens storlek, godkänna en förlängning av dessa tidsfrister.