Cyber Resilience Act 2023/2841 SV

1. Senast den 8 september 2024 ska den interinstitutionella cybersäkerhetsstyrelse som inrättas enligt artikel 10, efter samråd med Europeiska unionens cybersäkerhetsbyrå (Enisa) och efter att ha fått vägledning av CERT-EU, utfärda riktlinjer för unionens entiteter i syfte att genomföra en första översyn av cybersäkerheten och inrätta en intern ram för hantering, styrning och kontroll av cybersäkerhetsrisker enligt artikel 6, utföra mognadsbedömningar av cybersäkerheten enligt artikel 7, vidta riskhanteringsåtgärder för cybersäkerhet enligt artikel 8 och anta cybersäkerhetsplanen enligt artikel 9.

2. Vid genomförandet av artiklarna 6–9 ska unionens entiteter beakta de riktlinjer som avses i punkt 1 i den här artikeln samt relevanta riktlinjer och rekommendationer som antagits enligt artiklarna 11 och 14.

Artikel 8

Riskhanteringsåtgärder för cybersäkerhet

1. Utan onödigt dröjsmål och under alla omständigheter senast den 8 september 2025 ska varje unionsentitet, under överinseende av den högsta ledningsnivån, vidta lämpliga och proportionella tekniska, operativa och organisatoriska åtgärder för att hantera de cybersäkerhetsrisker som identifierats inom ramen, och för att förebygga eller minimera effekterna av incidenterna. Med beaktande av den senaste utvecklingen och, i tillämpliga fall, relevanta europeiska och internationella standarder, ska dessa åtgärder säkerställa en säkerhetsnivå för nätverks- och informationssystemen i hela IKT-miljön som står i proportion till cybersäkerhetsriskerna. Vid bedömningen av dessa åtgärders proportionalitet ska vederbörlig hänsyn tas till unionsentitetens grad av exponering för cybersäkerhetsrisker, dess storlek samt sannolikheten för att incidenter ska inträffa och deras allvarlighetsgrad, inbegripet deras samhälleliga, ekonomiska och interinstitutionella konsekvenser.

2. Unionens entiteter ska vid genomförandet av riskhanteringsåtgärder för cybersäkerhet behandla åtminstone följande specifika områden:

a)	Cybersäkerhetspolicy, inbegripet åtgärder som behövs för att nå målen och prioriteringarna enligt artikel 6 samt punkt 3 i den här artikeln.

b)	Strategier för analys av cybersäkerhetsrisker och informationssystemens säkerhet.

c)	Policymål för användningen av molntjänster.

d)	Cybersäkerhetsrevision, när så är lämpligt, vilket kan inbegripa en bedömning av cybersäkerhetsrisker, sårbarhet och cyberhot, och penetrationstester som regelbundet utförs av en betrodd privat leverantör.

e)	Genomförande av rekommendationer från de cybersäkerhetsrevisioner som avses i led d genom cybersäkerhetsuppdateringar och policyuppdateringar.

f)	Organisation av cybersäkerhet, inbegripet fastställande av roller och ansvarsområden.

g)	Förvaltning av tillgångar, inbegripet inventering av IKT-tillgångar och IKT-nätverkskartografi.

h)	Säkerhets- och åtkomstkontroll för personal.

i)	Driftssäkerhet.

j)	Kommunikationssäkerhet.

k)	Förvärv, utveckling och underhåll av system, inbegripet strategier för hantering och redovisning av sårbarheter.

l)	Strategier, om möjligt, för insyn i källkoden.

m)	Säkerhet i leveranskedjan, inbegripet säkerhetsrelaterade aspekter som rör förbindelserna mellan unionsentiteten och dess direkta leverantörer eller tjänsteleverantörer.

n)	Incidenthantering och samarbete med CERT-EU, såsom underhåll av säkerhetsövervakning och loggning.

o)	Hantering av driftskontinuitet, exempelvis hantering av säkerhetskopiering och katastrofhantering samt krishantering.

p)	Främjande och utveckling av program för utbildning, kompetens, ökad medvetenhet, övning och fortbildning inom cybersäkerhet.

Vid tillämpningen av första stycket led m ska unionsentiteter ta hänsyn till de sårbarheter som är specifika för varje direkt leverantör och tjänsteleverantör och den övergripande kvaliteten på produkterna och deras leverantörers och tjänsteleverantörers cybersäkerhetspraxis, inbegripet deras förfaranden för säker utveckling.

3. Unionens entiteter ska vidta åtminstone följande riskhanteringsåtgärder för cybersäkerhet:

a)	Tekniska arrangemang för att möjliggöra och upprätthålla distansarbete.

b)	Konkreta åtgärder för att närma sig nolltillitsprinciperna.

c)	Användning av flerfaktorsautentisering som standard i nätverks- och informationssystem.

d)	Användning av kryptografi och kryptering, särskilt totalsträckskryptering samt säkra digitala underskrifter.

e)	Om möjligt, säker röst-, video- och textkommunikation samt säkra nödkommunikationssystem inom unionsentiteten.

f)	Proaktiva åtgärder för att upptäcka och avlägsna sabotageprogram och spionprogram.

g)	Inrättande av säkerhet i leveranskedjan för programvara genom kriterier för utveckling och utvärdering av säker programvara.

h)	Upprättande och antagande av utbildningsprogram för cybersäkerhet som motsvarar de föreskrivna arbetsuppgifterna och den förväntade kapaciteten hos den högsta ledningen och personalen inom unionsentiteten med uppdrag att säkerställa ett effektivt genomförande av denna förordning.

i)	Regelbunden utbildning i cybersäkerhet för personalen.

j)	Om relevant, deltagande i riskanalyser av sammankopplingar mellan unionens entiteter.

Förbättrade upphandlingsregler för att underlätta en hög gemensam cybersäkerhetsnivå genom

i)	att undanröja avtalsmässiga hinder som begränsar informationsutbytet från leverantörer av IKT-tjänster om incidenter, sårbarheter och cyberhot med CERT-EU,

ii)	att införa avtalsenliga skyldigheter att rapportera incidenter, sårbarheter och cyberhot samt att ha lämpliga mekanismer för hantering och övervakning av incidenter.

Artikel 11

IICB:s arbetsuppgifter

I IICB:s befogenheter ingår följande arbetsuppgifter, särskilt att

a)	ge CERT-EU:s chef vägledning,

b)	effektivt övervaka och utöva tillsyn över genomförandet av denna förordning och hjälpa unionens entiteter att stärka sin cybersäkerhet, inbegripet, när så är lämpligt, begära ad hoc-rapporter från unionens entiteter och CERT-EU,

c)	efter en strategisk diskussion anta en flerårig strategi för att höja cybersäkerhetsnivån i unionens entiteter, utvärdera denna strategi regelbundet och under alla omständigheter vart femte år, och vid behov ändra strategin,

fastställa metoder och organisatoriska aspekter för hur unionsentiteternas frivilliga inbördes utvärderingar ska gå till, i syfte att dra nytta av gemensamma erfarenheter, stärka det ömsesidiga förtroendet, uppnå en hög gemensam cybersäkerhetsnivå samt förbättra unionsentiteternas cybersäkerhetskapacitet, och säkerställa att sådana inbördes utvärderingar utförs av cybersäkerhetsexperter som utsetts av en annan unionsentitet än den unionsentitet som utvärderas och att metoden grundar sig på artikel 19 i direktiv (EU) 2022/2555 och, i förekommande fall, är anpassad till unionsentiteterna,

e)	på grundval av ett förslag från CERT-EU:s chef godkänna CERT-EU:s årliga arbetsprogram och övervaka dess genomförande,

f)	på grundval av ett förslag från CERT-EU:s chef godkänna CERT-EU:s tjänstekatalog och eventuella uppdateringar av den,

g)	på grundval av ett förslag från CERT-EU:s chef godkänna den årliga ekonomiska planeringen av inkomster och utgifter, inbegripet för personal, för CERT-EU:s verksamhet,

h)	på grundval av ett förslag från CERT-EU:s chef godkänna arrangemangen för servicenivåavtal,

i)	granska och godkänna den årsrapport som utarbetats av CERT-EU:s chef och som omfattar CERT-EU:s verksamhet och förvaltning av medel,

j)	godkänna och övervaka de nyckelprestandaindikatorer som har fastställts för CERT-EU på grundval av ett förslag från CERT-EU:s chef,

k)	godkänna samarbetsavtal, servicenivåavtal eller avtal mellan CERT-EU och andra entiteter i enlighet med artikel 18,

l)	på grundval av ett förslag från CERT-EU anta vägledningar och rekommendationer i enlighet artikel 14 och ge CERT-EU i uppdrag att utfärda, dra tillbaka eller ändra ett förslag till vägledningar eller rekommendationer, eller en uppmaning till åtgärder,

m)	inrätta tekniska rådgivande grupper med särskilda arbetsuppgifter för att bistå IICB i dess arbete, godkänna deras mandat och utse deras respektive ordförande,

n)	ta emot och bedöma dokument och rapporter som lämnats in av unionens entiteter enligt denna förordning, såsom mognadsbedömningar av cybersäkerheten,

o)	underlätta inrättandet av en informell grupp av lokala cybersäkerhetsansvariga från unionens entiteter, med stöd av Enisa, i syfte att utbyta bästa praxis och information i samband med genomförandet av denna förordning,

p)	beakta den information om identifierade cybersäkerhetsrisker och tidigare erfarenheter som tillhandahålls av CERT-EU, övervaka lämpligheten i arrangemangen för sammankoppling mellan unionsentiteternas IKT-miljöer och ge råd om möjliga förbättringar,

upprätta en cyberkrishanteringsplan i syfte att på operativ nivå stödja en samordnad hantering av större incidenter som berör unionens entiteter och bidra till ett regelbundet utbyte av relevant information, särskilt när det gäller konsekvenserna av och allvarlighetsgraden hos, och möjliga sätt att begränsa effekterna av, större incidenter,

r)	samordna antagandet av enskilda unionsentiteters cyberkrishanteringsplaner enligt artikel 9.2,

anta rekommendationer om den säkerhet i leveranskedjan som avses i artikel 8.2, första stycket led m, med beaktande av resultaten av samordnade säkerhetsriskbedömningar på unionsnivå av de kritiska leveranskedjor som avses i artikel 22 i direktiv (EU) 2022/2555 för att stödja unionens entiteter vid antagandet av effektiva och proportionella riskhanteringsåtgärder för cybersäkerhet.

Artikel 12

Kontroll av efterlevnad

1. IICB ska i enligt artikel 10.2 och artikel 11 effektivt övervaka hur unionens entiteter genomför denna förordning och antagna vägledningar, rekommendationer och uppmaningar till åtgärder. IICB får begära den information eller dokumentation som är nödvändig för detta ändamål från unionens entiteter. Vid antagande av efterlevnadsåtgärder enligt denna artikel, om den berörda unionsentiteten är direkt företrädd i IICB, ska denna unionsentitet inte ha rösträtt.

2. Om IICB konstaterar att en unionsentitet inte har genomfört denna förordning på effektivt sätt eller de vägledningar, rekommendationer eller uppmaningar till åtgärder i enlighet därmed får den, utan att det påverkar den berörda unionsentitetens interna förfaranden och efter att den berörda unionsentiteten har fått möjlighet att framföra sina synpunkter:

a)	lämna ett motiverat yttrande till den berörda unionsentiteten med konstaterade brister i genomförandet av denna förordning,

b)	efter samråd med CERT-EU ge vägledningar till den berörda unionsentiteten för att säkerställa att dess ram, riskhanteringsåtgärder för cybersäkerhet, cybersäkerhetsplan och rapportering är i överensstämmelse med denna förordning inom en angiven period,

c)	utfärda en varning för att åtgärda konstaterade brister inom en angiven period, inbegripet rekommendationer om ändring av de åtgärder som antagits av den berörda unionsentiteten i enlighet med denna förordning,

d)	utfärda ett motiverat meddelande till den berörda unionsentiteten, i händelse av att brister som konstaterats i en varning som utfärdats enligt led c inte åtgärdats i tillräcklig utsträckning inom den angivna perioden,

utfärda

i)	en rekommendation om att en revision ska utföras, eller

ii)	en begäran om att en revision ska utföras av en tredje parts revisionstjänst,

f)	informera, i tillämpliga fall och inom ramen för sitt mandat, revisionsrätten om den påstådda bristande efterlevnaden,

g)	utfärda en rekommendation om att alla medlemsstater och unionsentiteter inför ett tillfälligt stopp för dataflöden till den berörda unionsentiteten.

Vid tillämpning av första stycket c ska varningens målgrupp begränsas på lämpligt sätt, när så är nödvändigt med tanke på cybersäkerhetsrisken.

Varningar och rekommendationer som utfärdas enligt första stycket ska riktas till den berörda unionsentitetens högsta ledningsnivå.

3. Om IICB har antagit åtgärder enligt punkt 2, första stycket a–g ska den berörda unionsentiteten lämna uppgifter om de åtgärder som vidtagits och insatser som gjorts för att åtgärda de påstådda brister som IICB konstaterat. Unionsentiteten ska lämna in dessa uppgifter inom en rimlig tidsperiod som ska fastställas i överenskommelse med IICB.

4. Om IICB anser att en unionsentitet på ett ihållande sätt överträder denna förordning till direkt följd av handlingar eller försummelser från en tjänsteman eller annan anställd i unionen, inbegripet på högsta ledningsnivå, ska IICB begära att den berörda unionsentiteten vidtar lämpliga åtgärder, bland annat begära att den överväger disciplinära åtgärder i enlighet med de regler och förfaranden som fastställs i tjänsteföreskrifterna och andra tillämpliga regler och förfaranden. För detta ändamål ska IICB överföra nödvändig information till den berörda unionsentiteten.

5. Om unionsentiteter meddelar att de inte kan hålla de tidsfrister som anges i artiklarna 6.1 och 8.1 får IICB i vederbörligen motiverade fall, med beaktande av unionsentitetens storlek, godkänna en förlängning av dessa tidsfrister.

KAPITEL IV

CERT-EU

Artikel 13

CERT-EU:s uppdrag och arbetsuppgifter

1. CERT-EU:s uppdrag ska vara att bidra till säkerheten i unionsentiteters icke-säkerhetsskyddsklassificerade IKT-miljö genom att ge dem råd om cybersäkerhet, hjälpa dem att förebygga, upptäcka, hantera, begränsa, bemöta och återställa efter incidenter och genom att fungera som deras nav för utbyte av cybersäkerhetsinformation och samordning av incidenthantering.

2. CERT-EU ska samla in, hantera, analysera och dela information med unionens entiteter om cyberhot, sårbarheter och incidenter som rör icke-säkerhetsskyddsklassificerad IKT-infrastruktur. CERT-EU ska samordna hanteringen av incidenter på interinstitutionell nivå och på unionsentitetsnivå, bland annat genom att ombesörja eller samordna tillhandahållandet av specialiserat operativt stöd.

3. CERT-EU ska utföra följande arbetsuppgifter för unionens entiteter:

a)	Stödja dem vid genomförandet av denna förordning och bidra till samordningen av genomförandet av denna förordning genom de åtgärder som förtecknas i artikel 14.1 eller genom ad hoc-rapporter som IICB begär.

b)	Erbjuda standardiserade CSIRT-tjänster till unionens entiteter med hjälp av ett paket av cybersäkerhetstjänster som beskrivs i dess tjänstekatalog (baslinjetjänster).

c)	Upprätthålla ett nätverk av kollegor och partner för att stödja de tjänster som beskrivs i artiklarna 17 och 18.

d)	Uppmärksamma IICB på alla problem som rör genomförandet av denna förordning och genomförandet av vägledningarna, rekommendationerna och uppmaningarna till åtgärder.

e)	På grundval av den information som avses i punkt 2 och i nära samarbete med Enisa bidra till unionens cybersituationsmedvetenhet.

f)	Samordna hanteringen av större incidenter.

g)	Agera för unionsentiteternas räkning som motsvarighet till den samordnare som utsetts för samordnad information om sårbarheter enligt artikel 12.1 i direktiv (EU) 2022/2555.

h)	På begäran av en unionsentitet, tillhandahålla proaktiv, icke-inkräktande skanning av den unionsentitetens allmänt tillgängliga nätverks- och informationssystem.

Den information som avses i första stycket e ska delas med IICB, CSIRT-nätverket och Europeiska unionens underrättelse- och lägescentral (EU-Intcen), när så är tillämpligt och lämpligt, och omfattas av lämpliga överenskommelser om konfidentialitet.

4. CERT-EU får i enlighet med artikel 17 eller 18, beroende på vad som är lämpligt, samarbeta med relevanta cybersäkerhetsgrupper inom unionen och dess medlemsstater, bland annat på följande områden:

a)	Beredskap, incidentsamordning, informationsutbyte och krishantering på teknisk nivå i ärenden som rör unionens entiteter.

b)	Operativt samarbete med CSIRT-nätverket, inbegripet om ömsesidigt bistånd.

c)	Underrättelser om cyberhot, inbegripet situationsmedvetenhet.

d)	Vilket ämne som helst som kräver CERT-EU:s tekniska cybersäkerhetsexpertis.

5. Inom sitt befogenhetsområde ska CERT-EU inleda ett strukturerat samarbete med Enisa om kapacitetsuppbyggnad, operativt samarbete och långsiktiga strategiska analyser av cyberhot i enlighet med förordning (EU) 2019/881. CERT-EU får samarbeta och utbyta information med Europols europeiska it-brottscentrum.

6. CERT-EU får tillhandahålla följande tjänster som inte beskrivs i dess tjänstekatalog (avgiftsbelagda tjänster):

Andra tjänster som stöder cybersäkerheten i unionsentiteternas IKT-miljö än dem som avses i punkt 3, på grundval av servicenivåavtal och förutsatt att det finns tillgängliga resurser, särskilt omfattande övervakning av nätverk, även med dygnet-runt-bevakning i första ledet för mycket allvarliga cyberhot.

b)	Andra tjänster som stöder unionsentiteternas cybersäkerhetsinsatser eller cybersäkerhetsprojekt än de som skyddar deras IKT-miljö, på grundval av skriftliga avtal och med förhandsgodkännande från IICB.

c)	Proaktiv skanning, på begäran, av den berörda unionsentitetens nätverks- och informationssystem för att upptäcka sårbarheter med en potentiellt betydande inverkan.

d)	Tjänster som stöder säkerheten i IKT-miljön hos andra organisationer än unionens entiteter vilka har ett nära samarbete med unionens entiteter, till exempel genom att få arbetsuppgifter och ansvar tilldelade enligt unionsrätten, på grundval av skriftliga avtal och med förhandsgodkännande från IICB.

Med avseende på första stycket d, får CERT-EU undantagsvis, med IICB:s förhandsgodkännande, ingå servicenivåavtal med andra entiteter än unionens entiteter.

7. CERT-EU ska anordna och får delta i cybersäkerhetsövningar eller rekommendera deltagande i befintliga övningar, i tillämpliga fall i nära samarbete med Enisa, för att testa unionsentiteternas cybersäkerhetsnivå.

8. CERT-EU får stödja unionens entiteter när det gäller incidenter i nätverks- och informationssystem som hanterar säkerhetsskyddsklassificerade EU-uppgifter om de berörda unionsentiteterna uttryckligen begär detta i enlighet med deras respektive förfaranden. Tillhandahållandet av stöd från CERT-EU enligt denna punkt ska inte påverka tillämpliga bestämmelser om skyddet av säkerhetsskyddsklassificerade uppgifter.

9. CERT-EU ska informera unionens entiteter om sina förfaranden och processer för incidenthantering.

10. CERT-EU ska, med en hög grad av konfidentialitet och tillförlitlighet, via lämpliga samarbetsmekanismer och rapporteringsvägar, bidra till relevant och anonymiserad information om större incidenter och det sätt på vilket de hanterades. Denna information ska ingå i den rapport som avses i artikel 10.14.

11. CERT-EU ska i samarbete med EDPS stödja berörda unionsentiteter när de hanterar incidenter som medför personuppgiftsincidenter, utan att det påverkar EDPS befogenheter och arbetsuppgifter som tillsynsmyndighet enligt förordning (EU) 2018/1725.

12. CERT-EU får, om unionsentiteternas politiska avdelningar uttryckligen så begär, tillhandahålla teknisk rådgivning eller tekniska synpunkter i relevanta politiska frågor.

Artikel 14

Vägledningar, rekommendationer och uppmaningar till åtgärder

1. CERT-EU ska stödja genomförandet av denna förordning genom att utfärda

a)	uppmaningar till åtgärder som beskriver brådskande säkerhetsåtgärder som unionens entiteter uppmanas att vidta inom en fastställd tidsram,

b)	förslag till IICB om vägledningar som riktar sig till alla eller en del av unionens entiteter,

c)	förslag till IICB om rekommendationer som riktar sig till enskilda unionsentiteter.

Med avseende på första stycket a ska den berörda unionsentiteten, utan onödigt dröjsmål efter att ha mottagit uppmaningen till åtgärder, informera CERT-EU om hur de brådskande säkerhetsåtgärderna tillämpades.

2. Vägledningar och rekommendationer kan omfatta

gemensamma metoder och en modell för att bedöma unionsentiteternas nivå av cybersäkerhetmognad, inbegripet motsvarande skalor eller nyckelprestandaindikatorer, som används som referens till stöd för en kontinuerlig förbättring av cybersäkerheten i unionens entiteter, och som underlättar prioriteringen av cybersäkerhetsområden och cybersäkerhetsåtgärder med beaktande av entiteternas cybersäkerhetsstatus,

b)	arrangemang för eller förbättringar av riskhanteringen för cybersäkerhet och riskhanteringsåtgärderna för cybersäkerhet,

c)	arrangemang för mognadsbedömningar av cybersäkerhet och cybersäkerhetsplaner,

d)	när så är lämpligt, användning av gemensam teknik, arkitektur, öppen källkod och tillhörande bästa praxis i syfte att uppnå interoperabilitet och gemensamma standarder, inbegripet en samordnad strategi för säkerhet i leveranskedjan,

e)	när så är lämpligt, information för att underlätta användningen av instrument för gemensam upphandling i fråga om inköp av relevanta cybersäkerhetstjänster och cybersäkerhetsprodukter från tredjepartsleverantörer,

f)	arrangemang för informationsutbyte enligt artikel 20.

Artikel 20

Arrangemang för informationsutbyte om cybersäkerhet

1. Unionens entiteter får på frivillig basis meddela CERT-EU om och tillhandahålla information om incidenter, cyberhot, tillbud och sårbarheter som berör dem. CERT-EU ska säkerställa att effektiva medel för kommunikation, med en hög grad av spårbarhet, konfidentialitet och tillförlitlighet, finns tillgängliga i syfte att underlätta informationsutbytet med unionens entiteter. CERT-EU får vid behandlingen av underrättelser, ge behandling av obligatoriska underrättelser företräde framför behandling av frivilliga underrättelser. Utan att det påverkar tillämpningen av artikel 12 får ett frivilligt inlämnande av underrättelser inte leda till att den rapporterande unionsentiteten åläggs ytterligare skyldigheter som den inte skulle ha blivit föremål för om den inte hade lämnat in underrättelsen.

2. För att CERT-EU ska kunna utföra de uppdrag och arbetsuppgifter som den tilldelats i enlighet med artikel 13 får CERT-EU begära att unionens entiteter lämnar information från sina respektive IKT-systeminventarier, inbegripet information om cyberhot, tillbud, sårbarheter, angreppsindikatorer, cybersäkerhetsvarningar och rekommendationer avseende konfiguration av cybersäkerhetsverktyg för att upptäcka incidenter. Den unionsentitet som mottar begäran ska utan onödigt dröjsmål översända den begärda informationen och eventuella senare uppdateringar.

3. CERT-EU får med unionens entiteter utbyta incidentspecifik information som avslöjar identiteten på den unionsentitet som berörs av incidenten, under förutsättning att den unionsentitet som berörs samtycker. Om en unionsentitet inte ger sitt samtycke ska den tillhandahålla CERT-EU de skäl som ligger till grund för detta beslut.

4. Unionens entiteter ska på begäran utbyta information med Europaparlamentet och rådet om slutförandet av cybersäkerhetsplanerna.

5. IICB eller CERT-EU, beroende på vad som är tillämpligt, ska på begäran dela riktlinjer, rekommendationer och uppmaningar till åtgärder med Europaparlamentet och rådet.

6. Delningsskyldigheterna i denna artikel ska inte omfatta

a)	säkerhetsskyddsklassificerade EU-uppgifter,

b)	uppgifter vars vidare spridning har uteslutits genom en synlig markering, såvida inte delning av denna information med CERT-EU uttryckligen har tillåtits.

Artikel 21

Rapporteringsskyldigheter

1. En incident ska anses vara betydande om

a)	den har orsakat, eller kan orsaka, allvarliga driftstörningar i verksamheten eller ekonomiska förluster för den berörda unionsentiteten,

b)	den har påverkat, eller kan påverka, andra fysiska eller juridiska personer genom att åsamka betydande materiell eller immateriell skada.

2. Unionens entiteter ska till CERT-EU lämna

en tidig varning – utan onödigt dröjsmål, och under alla omständigheter inom 24 timmar efter att ha fått kännedom om den betydande incidenten – som i tillämpliga fall ska ange att den betydande incidenten misstänks ha orsakats av olagliga eller avsiktligt skadliga handlingar eller skulle kunna ha entitetsövergripande eller gränsöverskridande konsekvenser,

en incidentanmälan – utan onödigt dröjsmål, och under alla omständigheter inom 72 timmar efter att ha fått kännedom om den betydande incidenten – som i tillämpliga fall ska uppdatera den information som avses i led a och ange en första bedömning av den betydande incidenten, dess allvarlighetsgrad och konsekvenser samt, i förekommande fall, angreppsindikatorer,

c)	en delrapport – på begäran av CERT-EU – om relevanta statusuppdateringar,

en slutrapport – senast en månad efter inlämningen av den incidentanmälan som avses i led b – som ska innehålla

i)	en detaljerad beskrivning av incidenten, dess allvarlighetsgrad och dess konsekvenser,

ii)	den typ av hot eller grundorsak som sannolikt utlöst incidenten,

iii)	tillämpade och pågående begränsande åtgärder.

iv)	i tillämpliga fall, incidentens gränsöverskridande eller entitetsövergripande konsekvenser.

e)	en lägesrapport – i händelse av en pågående incident vid tidpunkten för inlämningen av den slutrapport som avses i led d – vid den tidpunkten och en slutrapport inom en månad efter deras hantering av incidenten.

3. En unionsentitet ska, utan onödigt dröjsmål och under alla omständigheter inom 24 timmar efter att ha fått kännedom om en betydande incident, informera alla relevanta motparter i medlemsstaterna som avses i artikel 17.1 i den medlemsstat där den är belägen om att en betydande incident har inträffat.

4. Unionens entiteter ska bland annat lämna all information som gör det möjligt för CERT-EU att fastställa eventuella entitetsövergripande konsekvenser, konsekvenser för värdmedlemsstaten eller gränsöverskridande konsekvenser efter en betydande incident. Utan att det påverkar artikel 12 ska själva anmälan inte medföra ökat ansvar för unionsentiteten.

5. I tillämpliga fall ska unionens entiteter utan onödigt dröjsmål informera användarna av de berörda nätverks- och informationssystemen, eller andra komponenter i IKT-miljön, som potentiellt berörs av en betydande incident eller ett betydande cyberhot och, när så är lämpligt, behöver vidta riskreducerande åtgärder, om de åtgärder eller avhjälpande arrangemang som de kan vidta för att hantera denna incident eller detta hot. När så är lämpligt ska unionens entiteter informera dessa användare om det betydande cyberhotet.

6. Om en betydande incident eller ett betydande cyberhot berör ett nätverks- och informationssystem, eller en komponent inom en unionsentitets IKT-miljö som har en avsiktlig sammankoppling med en annan unionsentitets IKT-miljö, ska CERT-EU utfärda en relevant cybersäkerhetsvarning.

7. Unionens entiteter ska, på CERT-EU:s begäran och utan onödigt dröjsmål, förse CERT-EU med digital information som skapats genom användning av elektroniska enheter som är inblandade i deras respektive incident. CERT-EU kan tillhandahålla ytterligare uppgifter om vilka typer av uppgifter som behövs för situationsmedvetenhet och incidenthantering.

8. CERT-EU ska var tredje månad lämna in en sammanfattande rapport till IICB, Enisa, EU Intcen och CSIRT-nätverket med anonymiserade och aggregerade data om betydande incidenter, incidenter, cyberhot, tillbud och sårbarheter enligt artikel 20 och betydande incidenter som anmälts enligt punkt 2 i den här artikeln. Den sammanfattande rapporten ska utgöra underlag till den tvåårsrapport om cybersäkerhetssituationen i unionen som antas enligt artikel 18 i direktiv (EU) 2022/2555.

9. Senast den 8 juli 2024 ska IICB utfärda vägledningar eller rekommendationer som ytterligare specificerar formerna och formatet för samt innehållet i rapporteringen enligt den här artikeln. Vid utarbetandet av sådana riktlinjer eller rekommendationer ska IICB beakta eventuella genomförandeakter som antagits enligt artikel 23.11 i direktiv (EU) 2022/2555 och som specificerar typen av information, formatet och förfarandet för underrättelsen. CERT-EU ska sprida lämpliga tekniska detaljer för att möjliggöra proaktiv upptäckt, incidenthantering eller riskreducerande åtgärder hos unionens entiteter.

10. Rapporteringsskyldigheterna i denna artikel ska inte omfatta

a)	säkerhetsskyddsklassificerade EU-uppgifter,

b)	uppgifter vars vidare spridning har uteslutits genom en synlig markering, såvida inte delning av denna information med CERT-EU uttryckligen har tillåtits.

Artikel 22

Samordning av incidenthantering och samarbete

1. I sin funktion som nav för utbyte av cybersäkerhetsinformation och samordning av incidenthantering ska CERT-EU främja informationsutbyte om incidenter, cyberhot, sårbarheter och tillbud mellan

a)	unionens entiteter,

b)	de motparter som avses i artiklarna 17 och 18.

2. CERT-EU ska, i tillämpliga fall i nära samarbete med Enisa, främja unionsentiteters samordning av incidenthantering, genom bland annat

a)	bidrag till konsekvent extern kommunikation,

b)	ömsesidigt stöd, såsom utbyte av information som är relevant för unionens entiteter eller tillhandahållande av bistånd, i förekommande fall direkt på plats,

c)	optimal användning av operativa resurser,

d)	samordning med andra krishanteringsmekanismer på unionsnivå.

3. CERT-EU ska, i nära samarbete med Enisa, stödja unionens entiteter när det gäller situationsmedvetenhet om incidenter, cyberhot, sårbarheter och tillbud samt dela med sig av relevant utveckling på cybersäkerhetsområdet.

4. Senast den 8 januari 2025 ska IICB på grundval av ett förslag från CERT-EU, anta riktlinjer eller rekommendationer för samordning av incidenthantering och samarbete vid betydande incidenter. När en incident misstänks vara brottslig ska CERT-EU ge råd om hur incidenten ska rapporteras till de brottsbekämpande myndigheterna utan onödigt dröjsmål.

5. Efter en särskild begäran från en medlemsstat och med de berörda unionsentiteternas godkännande får CERT-EU anlita experter från den förteckning som avses i artikel 23.4 för att bidra till hanteringen av en större incident som påverkar den medlemsstaten, eller en storskalig cybersäkerhetsincident i enlighet med artikel 15.3 g i direktiv (EU) 2022/2555. Särskilda regler om tillgång till och användning av tekniska experter från unionens entiteter ska godkännas av IICB på grundval av ett förslag från CERT-EU.

Artikel 26

Ikraftträdande

Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.

Utfärdad i Strasbourg den 13 december 2023.

På Europaparlamentets vägnar

R. METSOLA

Ordförande

På rådets vägnar

P. NAVARRO RÍOS

Ordförande

(1) Europaparlamentets ståndpunkt av den 21 november 2023 (ännu ej offentliggjord i EUT) och rådets beslut av den 8 december 2023.

(2) Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972, och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet) (EUT L 333, 27.12.2022, s. 80).

(3) Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten) (EUT L 151, 7.6.2019, s. 15).

(4) Avtal mellan Europaparlamentet, Europeiska rådet, Europeiska unionens råd, Europeiska kommissionen, Europeiska unionens domstol, Europeiska centralbanken, Europeiska revisionsrätten, Europeiska utrikestjänsten, Europeiska ekonomiska och sociala kommittén, Europeiska regionkommittén och Europeiska investeringsbanken om organiseringen och driften av incidenthanteringsorganisationen för unionens institutioner och byråer (CERT-EU) (EUT C 12, 13.1.2018, s. 1).

(5) Rådets förordning (EEG, Euratom, EKSG) nr 259/68 av den 29 februari 1968 om fastställande av tjänsteföreskrifter för tjänstemännen i Europeiska gemenskaperna och anställningsvillkor för övriga anställda i dessa gemenskaper samt om införande av särskilda tillfälliga åtgärder beträffande kommissionens tjänstemän (EGT L 56, 4.3.1968, s. 1).

(6) Kommissionens rekommendation (EU) 2017/1584 av den 13 september 2017 om samordnade insatser vid storskaliga cyberincidenter och cyberkriser (EUT L 239, 19.9.2017, s. 36).

(7) Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39).

(8) EUT C 258, 5.7.2022, s. 10.

(9) Europaparlamentets och rådets förordning (EU, Euratom) 2018/1046 av den 18 juli 2018 om finansiella regler för unionens allmänna budget, om ändring av förordningarna (EU) nr 1296/2013, (EU) nr 1301/2013, (EU) nr 1303/2013, (EU) nr 1304/2013, (EU) nr 1309/2013, (EU) nr 1316/2013, (EU) nr 223/2014, (EU) nr 283/2014 och beslut nr 541/2014/EU samt om upphävande av förordning (EU, Euratom) nr 966/2012 (EUT L 193, 30.7.2018, s. 1).

(10) Europaparlamentets och rådets förordning (EG) nr 1049/2001 av den 30 maj 2001 om allmänhetens tillgång till Europaparlamentets, rådets och kommissionens handlingar (EGT L 145, 31.5.2001, s. 43).

ELI: http://data.europa.eu/eli/reg/2023/2841/oj

ISSN 1977-0820 (electronic edition)

whereas

keyboard_tab Cyber Resilience Act 2023/2841 SV

Cyber Resilience Act 2023/2841 SV