keyboard_tab Cyber Resilience Act 2023/2841 SV
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 8 Art. 8 Riskhanteringsåtgärder för cybersäkerhet
- 1 Art. 14 Vägledningar, rekommendationer och uppmaningar till åtgärder
- 1 Art. 16 Ekonomiska frågor och personalfrågor
KAPITEL I
ALLMÄNNA BESTÄMMELSER
KAPITEL II
ÅTGÄRDER FÖR EN HÖG GEMENSAM CYBERSÄKERHETSNIVÅ
KAPITEL III
INTERINSTITUTIONELL CYBERSÄKERHETSSTYRELSE
KAPITEL IV
CERT-EU
KAPITEL V
SAMARBETS- OCH RAPPORTERINGSKRAV
KAPITEL VI
SLUTBESTÄMMELSER
- för 47
- till 14
- cert-eu 11
- inbegripet 10
- cybersäkerhet 9
- åtgärder 9
- artikel 7
- entiteter 7
- samt 6
- denna 5
- arrangemang 5
- unionens 5
- unionsentiteter 5
- eller 5
- inom 5
- kommissionens 5
- genom 5
- under 5
- tjänster 5
- vidta 4
- säkerhet 4
- rekommendationer 4
- unionsentiteten 4
- iicb 4
- enlighet 4
- sårbarheter 4
- från 4
- hantering 4
- cybersäkerhetsrisker 4
- administrativa 4
- incidenter 4
- deras 4
- utveckling 4
- avses 3
- möjligt 3
- leveranskedjan 3
- punkt 3
- cyberhot 3
- säker 3
- lämpligt 3
- när 3
- användning 3
- strategier 3
- riskhanteringsåtgärder 3
- förordning 3
- lämpliga 3
- gemensam 3
- varje 3
- anges 2
- cert-eu:s 2
Artikel 8
Riskhanteringsåtgärder för cybersäkerhet
1. Utan onödigt dröjsmål och under alla omständigheter senast den 8 september 2025 ska varje unionsentitet, under överinseende av den högsta ledningsnivån, vidta lämpliga och proportionella tekniska, operativa och organisatoriska åtgärder för att hantera de cybersäkerhetsrisker som identifierats inom ramen, och för att förebygga eller minimera effekterna av incidenterna. Med beaktande av den senaste utvecklingen och, i tillämpliga fall, relevanta europeiska och internationella standarder, ska dessa åtgärder säkerställa en säkerhetsnivå för nätverks- och informationssystemen i hela IKT-miljön som står i proportion till cybersäkerhetsriskerna. Vid bedömningen av dessa åtgärders proportionalitet ska vederbörlig hänsyn tas till unionsentitetens grad av exponering för cybersäkerhetsrisker, dess storlek samt sannolikheten för att incidenter ska inträffa och deras allvarlighetsgrad, inbegripet deras samhälleliga, ekonomiska och interinstitutionella konsekvenser.
2. Unionens entiteter ska vid genomförandet av riskhanteringsåtgärder för cybersäkerhet behandla åtminstone följande specifika områden:
| a) | Cybersäkerhetspolicy, inbegripet åtgärder som behövs för att nå målen och prioriteringarna enligt artikel 6 samt punkt 3 i den här artikeln. |
| b) | Strategier för analys av cybersäkerhetsrisker och informationssystemens säkerhet. |
| c) | Policymål för användningen av molntjänster. |
| d) | Cybersäkerhetsrevision, när så är lämpligt, vilket kan inbegripa en bedömning av cybersäkerhetsrisker, sårbarhet och cyberhot, och penetrationstester som regelbundet utförs av en betrodd privat leverantör. |
| e) | Genomförande av rekommendationer från de cybersäkerhetsrevisioner som avses i led d genom cybersäkerhetsuppdateringar och policyuppdateringar. |
| f) | Organisation av cybersäkerhet, inbegripet fastställande av roller och ansvarsområden. |
| g) | Förvaltning av tillgångar, inbegripet inventering av IKT-tillgångar och IKT-nätverkskartografi. |
| h) | Säkerhets- och åtkomstkontroll för personal. |
| i) | Driftssäkerhet. |
| j) | Kommunikationssäkerhet. |
| k) | Förvärv, utveckling och underhåll av system, inbegripet strategier för hantering och redovisning av sårbarheter. |
| l) | Strategier, om möjligt, för insyn i källkoden. |
| m) | Säkerhet i leveranskedjan, inbegripet säkerhetsrelaterade aspekter som rör förbindelserna mellan unionsentiteten och dess direkta leverantörer eller tjänsteleverantörer. |
| n) | Incidenthantering och samarbete med CERT-EU, såsom underhåll av säkerhetsövervakning och loggning. |
| o) | Hantering av driftskontinuitet, exempelvis hantering av säkerhetskopiering och katastrofhantering samt krishantering. |
| p) | Främjande och utveckling av program för utbildning, kompetens, ökad medvetenhet, övning och fortbildning inom cybersäkerhet. |
Vid tillämpningen av första stycket led m ska unionsentiteter ta hänsyn till de sårbarheter som är specifika för varje direkt leverantör och tjänsteleverantör och den övergripande kvaliteten på produkterna och deras leverantörers och tjänsteleverantörers cybersäkerhetspraxis, inbegripet deras förfaranden för säker utveckling.
3. Unionens entiteter ska vidta åtminstone följande riskhanteringsåtgärder för cybersäkerhet:
| a) | Tekniska arrangemang för att möjliggöra och upprätthålla distansarbete. |
| b) | Konkreta åtgärder för att närma sig nolltillitsprinciperna. |
| c) | Användning av flerfaktorsautentisering som standard i nätverks- och informationssystem. |
| d) | Användning av kryptografi och kryptering, särskilt totalsträckskryptering samt säkra digitala underskrifter. |
| e) | Om möjligt, säker röst-, video- och textkommunikation samt säkra nödkommunikationssystem inom unionsentiteten. |
| f) | Proaktiva åtgärder för att upptäcka och avlägsna sabotageprogram och spionprogram. |
| g) | Inrättande av säkerhet i leveranskedjan för programvara genom kriterier för utveckling och utvärdering av säker programvara. |
| h) | Upprättande och antagande av utbildningsprogram för cybersäkerhet som motsvarar de föreskrivna arbetsuppgifterna och den förväntade kapaciteten hos den högsta ledningen och personalen inom unionsentiteten med uppdrag att säkerställa ett effektivt genomförande av denna förordning. |
| i) | Regelbunden utbildning i cybersäkerhet för personalen. |
| j) | Om relevant, deltagande i riskanalyser av sammankopplingar mellan unionens entiteter. |
| k) | Förbättrade upphandlingsregler för att underlätta en hög gemensam cybersäkerhetsnivå genom
|
Artikel 14
Vägledningar, rekommendationer och uppmaningar till åtgärder
1. CERT-EU ska stödja genomförandet av denna förordning genom att utfärda
| a) | uppmaningar till åtgärder som beskriver brådskande säkerhetsåtgärder som unionens entiteter uppmanas att vidta inom en fastställd tidsram, |
| b) | förslag till IICB om vägledningar som riktar sig till alla eller en del av unionens entiteter, |
| c) | förslag till IICB om rekommendationer som riktar sig till enskilda unionsentiteter. |
Med avseende på första stycket a ska den berörda unionsentiteten, utan onödigt dröjsmål efter att ha mottagit uppmaningen till åtgärder, informera CERT-EU om hur de brådskande säkerhetsåtgärderna tillämpades.
2. Vägledningar och rekommendationer kan omfatta
| a) | gemensamma metoder och en modell för att bedöma unionsentiteternas nivå av cybersäkerhetmognad, inbegripet motsvarande skalor eller nyckelprestandaindikatorer, som används som referens till stöd för en kontinuerlig förbättring av cybersäkerheten i unionens entiteter, och som underlättar prioriteringen av cybersäkerhetsområden och cybersäkerhetsåtgärder med beaktande av entiteternas cybersäkerhetsstatus, |
| b) | arrangemang för eller förbättringar av riskhanteringen för cybersäkerhet och riskhanteringsåtgärderna för cybersäkerhet, |
| c) | arrangemang för mognadsbedömningar av cybersäkerhet och cybersäkerhetsplaner, |
| d) | när så är lämpligt, användning av gemensam teknik, arkitektur, öppen källkod och tillhörande bästa praxis i syfte att uppnå interoperabilitet och gemensamma standarder, inbegripet en samordnad strategi för säkerhet i leveranskedjan, |
| e) | när så är lämpligt, information för att underlätta användningen av instrument för gemensam upphandling i fråga om inköp av relevanta cybersäkerhetstjänster och cybersäkerhetsprodukter från tredjepartsleverantörer, |
| f) | arrangemang för informationsutbyte enligt artikel 20. |
Artikel 16
Ekonomiska frågor och personalfrågor
1. CERT-EU ska integreras i den administrativa strukturen vid ett av kommissionens generaldirektorat för att kunna dra nytta av kommissionens stödstrukturer för administration, ekonomisk förvaltning och redovisning, samtidigt som CERT-EU behåller sin status som autonom interinstitutionell tjänsteleverantör för alla unionsentiteter. Kommissionen ska informera IICB om CERT-EU:s administrativa lokalisering och eventuella ändringar därav. Kommissionen ska regelbundet, och under alla omständigheter före inrättandet av en flerårig budgetram i enlighet med artikel 312 i EUF-fördraget, se över de administrativa arrangemang som rör CERT-EU, för att göra det möjligt att vidta lämpliga åtgärder. Översynen ska inbegripa möjligheten att inrätta CERT-EU som unionsbyrå.
2. När det gäller tillämpningen av de administrativa och finansiella förfarandena ska CERT-EU:s chef handla under kommissionens överinseende och under IICB:s tillsyn.
3. CERT-EU:s arbetsuppgifter och verksamhet, inbegripet tjänster som tillhandahålls av CERT-EU i enlighet med artiklarna 13.3, 13.4, 13.5, 13.7 och 14.1 till unionens entiteter som finansieras genom den rubrik i den fleråriga budgetramen som är avsedd för europeisk offentlig administration, ska finansieras med hjälp av en särskild budgetpost i kommissionens budget. De tjänster som öronmärkts för CERT-EU ska anges i en fotnot till kommissionens tjänsteförteckning.
4. Andra unionsentiteter än dem som avses i punkt 3 i denna artikel, ska lämna ett årligt ekonomiskt bidrag till CERT-EU för att täcka de tjänster som CERT-EU tillhandahåller i enlighet med denna punkt. Bidragen ska baseras på riktlinjer som ges av IICB och som varje unionsentitet och CERT-EU kommer överens om sinsemellan i servicenivåavtal. Bidragen ska utgöra en rättvis och proportionell andel av de totala kostnaderna för de tjänster som tillhandahålls. De ska tas emot under den särskilda budgetpost som avses i punkt 3 i denna artikel som interna inkomster avsatta för särskilda ändamål i enlighet med artikel 21.3 c i förordning (EU, Euratom) 2018/1046.
5. Kostnaderna för de tjänster som anges i artikel 13.6 ska återkrävas från de unionsentiteter som tar emot CERT-EU-tjänster. Inkomsterna ska avsättas för de budgetposter som stöder kostnaderna.
whereas