keyboard_tab Cyber Resilience Act 2023/2841 SV
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 3 Definitioner
- 1 Art. 7 Mognadsbedömningar av cybersäkerheten
- 1 Art. 10 Interinstitutionell cybersäkerhetsstyrelse
- 1 Art. 11 IICB:s arbetsuppgifter
- 1 Art. 13 CERT-EU:s uppdrag och arbetsuppgifter
- 1 Art. 20 Arrangemang för informationsutbyte om cybersäkerhet
- 1 Art. 21 Rapporteringsskyldigheter
- 1 Art. 23 Hantering av större incidenter
KAPITEL I
ALLMÄNNA BESTÄMMELSER
KAPITEL II
ÅTGÄRDER FÖR EN HÖG GEMENSAM CYBERSÄKERHETSNIVÅ
KAPITEL III
INTERINSTITUTIONELL CYBERSÄKERHETSSTYRELSE
KAPITEL IV
CERT-EU
KAPITEL V
SAMARBETS- OCH RAPPORTERINGSKRAV
KAPITEL VI
SLUTBESTÄMMELSER
- för 51
- artikel 43
- eller 40
- entiteter 33
- unionens 33
- cert-eu 31
- enligt 29
- till 24
- information 23
- får 22
- eu / 22
- incidenter 21
- iicb 21
- betydande 20
- denna 19
- direktiv 18
- cert-eu:s 16
- europeiska 16
- från 15
- dess 15
- avses 14
- inte 14
- förordning 14
- cert-eu 13
- genom 13
- grundval 13
- större 13
- utan 12
- inom 12
- definitionen 12
- incident 11
- cyberhot 11
- andra 11
- begäran 10
- enlighet 10
- deras 10
- unionsentiteternas 10
- arbetsuppgifter 10
- unionsentitet 10
- efter 9
- chef 9
- samarbete 9
- godkänna 9
- nätverks- 9
- fall 8
- respektive 8
- stödja 8
- iicb 8
- incidenten 8
- förslag 8
Artikel 3
Definitioner
I denna förordning gäller följande definitioner:
| 1. | unionens entiteter: de unionsinstitutioner, unionsorgan och unionsbyråer som inrättats genom, eller enligt fördraget om Europeiska unionen, fördraget om Europeiska unionens funktionssätt (EUF-fördraget) eller fördraget om upprättandet av Europeiska atomenergigemenskapen. |
| 2. | nätverks- och informationssystem: ett nätverks- och informationssystem enligt definitionen i artikel 6.1 i direktiv (EU) 2022/2555. |
| 3. | säkerhet i nätverks- och informationssystem: säkerhet i nätverks- och informationssystem enligt definitionen i artikel 6.2 i direktiv (EU) 2022/2555. |
| 4. | cybersäkerhet: cybersäkerhet enligt definitionen i artikel 2.1 i förordning (EU) 2019/881. |
| 5. | högsta ledningsnivå: en chef, ett ledningsorgan eller ett samordnings- och tillsynsorgan med ansvar för en unionsentitets funktionssätt, på den högsta administrativa nivån, med mandat att fatta eller godkänna beslut i linje med styrningsarrangemangen på hög nivå inom den unionsentiteten, utan att det påverkar andra ledningsnivåers formella ansvar för efterlevnad och hantering av cybersäkerhetsrisker inom respektive ansvarsområde. |
| 6. | tillbud: ett tillbud enligt definitionen i artikel 6.5 i direktiv (EU) 2022/2555. |
| 7. | incident: en incident enligt definitionen i artikel 6.6 i direktiv (EU) 2022/2555. |
| 8. | större incident: en incident som orsakar störningar som är så omfattande att en unionsentitet och CERT-EU inte kan hantera dem eller som har en betydande påverkan på åtminstone två unionsentiteter. |
| 9. | storskalig cybersäkerhetsincident: en storskalig cybersäkerhetsincident enligt definitionen i artikel 6.7 i direktiv (EU) 2022/2555. |
| 10. | incidenthantering: incidenthantering enligt definitionen i artikel 6.8 i direktiv (EU) 2022/2555. |
| 11. | cyberhot: ett cyberhot enligt definitionen i artikel 2.8 i förordning (EU) 2019/881. |
| 12. | betydande cyberhot: ett betydande cyberhot enligt definitionen i artikel 6.11 i direktiv (EU) 2022/2555. |
| 13. | sårbarhet: en sårbarhet enligt definitionen i artikel 6.15 i direktiv (EU) 2022/2555. |
| 14. | cybersäkerhetsrisk: en risk enligt definitionen i artikel 6.9 i direktiv (EU) 2022/2555. |
| 15. | molntjänst: en molntjänst enligt definitionen i artikel 6.30 i direktiv (EU) 2022/2555. |
Artikel 7
Mognadsbedömningar av cybersäkerheten
1. Senast den 8 juli 2025 och minst vartannat år därefter ska varje unionsentitet utföra en mognadsbedömning av cybersäkerheten omfattande alla delar av dess IKT-miljö.
2. Mognadsbedömningarna av cybersäkerheten ska, när så är lämpligt, utföras med hjälp av en specialiserad tredje part.
3. Unionsentiteter med liknande strukturer får samarbeta vid utförandet av mognadsbedömningar av cybersäkerhet som avser deras respektive entiteter.
4. På grundval av en begäran från den interinstitutionella cybersäkerhetsstyrelse som inrättas enligt artikel 10, och med uttryckligt samtycke från den berörda unionsentiteten, får resultaten av en mognadsbedömning av cybersäkerheten diskuteras inom styrelsen eller den informella gruppen av lokala cybersäkerhetsansvariga i syfte att dra lärdom av tidigare erfarenheter och utbyta bästa praxis.
Artikel 10
Interinstitutionell cybersäkerhetsstyrelse
1. Härigenom inrättas en interinstitutionell cybersäkerhetsstyrelse (IICB).
2. IICB ska ansvara för att
| a) | övervaka och stödja unionsentiteternas genomförande av denna förordning, |
| b) | övervaka CERT-EU:s genomförande av de allmänna prioriteringarna och målen och ge CERT-EU strategisk ledning. |
3. IICB ska bestå av följande:
| a) | En företrädare som utses av var och en av följande:
|
| b) | Tre andra företrädare än de som avses i led a, som utses av EU-byråernas nätverk (EUAN) på grundval av ett förslag från dess rådgivande IKT-kommitté, att företräda intressena för unionens organ och byråer som driver sin egen IKT-miljö. |
De unionsentiteter som är företrädda i IICB ska sträva efter att uppnå en jämn könsfördelning bland de utsedda företrädarna.
4. Ledamöterna i IICB får bistås av en suppleant. Ordföranden får bjuda in andra företrädare för de unionsentiteter som avses i punkt 3 eller för andra unionsentiteter att delta i IICB:s möten utan rösträtt.
5. CERT-EU:s chef och ordförandena för samarbetsgruppen, CSIRT-nätverket och EU-CyCLONe, som inrättats enligt artikel 14, 15 respektive 16 i direktiv (EU) 2022/2555, eller deras suppleanter, får delta som observatörer i IICB:s möten. I undantagsfall får IICB, i enlighet med sin interna arbetsordning, fatta ett annat beslut.
6. IICB ska själv anta sin interna arbetsordning.
7. IICB ska utse en ordförande bland sina ledamöter, i enlighet med sin arbetsordning, för en period på tre år. Ordförandens suppleant ska bli ordinarie ledamot av IICB för samma period.
8. IICB ska sammanträda minst tre gånger om året på ordförandens initiativ, på begäran av CERT-EU eller på begäran av någon av dess ledamöter.
9. Varje ledamot av IICB ska ha en röst. IICB:s beslut ska fattas med enkel majoritet om inte annat föreskrivs i denna förordning. IICB:s ordförande ska inte ha rösträtt utom vid lika röstetal, då ordföranden får avge en utslagsröst.
10. IICB får agera genom ett förenklat skriftligt förfarande som inleds i enlighet med dess interna arbetsordning. Enligt det förfarandet ska det relevanta beslutet anses vara godkänt inom den tidsram som fastställts av ordföranden, utom i de fall då en ledamot har invändningar.
11. IICB:s sekretariat ska tillhandahållas av kommissionen och ska vara ansvarigt inför IICB:s ordförande.
12. De företrädare som utsetts av EUAN ska vidarebefordra IICB:s beslut till EUAN:s medlemmar. Alla EUAN:s medlemmar ska ha rätt att med dessa företrädare eller IICB:s ordförande ta upp alla frågor som de anser att IICB bör uppmärksammas på.
13. IICB får inrätta en verkställande kommitté som ska bistå den i dess arbete och får delegera vissa av sina arbetsuppgifter och befogenheter till den. IICB ska fastställa den verkställande kommitténs arbetsordning, inbegripet dess arbetsuppgifter och befogenheter och dess ledamöters mandatperioder.
14. Senast den 8 januari 2025 och därefter årligen ska IICB lämna en rapport till Europaparlamentet och rådet med närmare uppgifter om hur genomförandet av denna förordning fortskrider och särskilt om omfattningen av CERT-EU:s samarbete med motparterna i var och en av medlemsstaterna. Rapporten ska utgöra underlag till den tvåårsrapport om cybersäkerhetssituationen i unionen som antas enligt artikel 18 i direktiv (EU) 2022/2555.
Artikel 11
IICB:s arbetsuppgifter
I IICB:s befogenheter ingår följande arbetsuppgifter, särskilt att
| a) | ge CERT-EU:s chef vägledning, |
| b) | effektivt övervaka och utöva tillsyn över genomförandet av denna förordning och hjälpa unionens entiteter att stärka sin cybersäkerhet, inbegripet, när så är lämpligt, begära ad hoc-rapporter från unionens entiteter och CERT-EU, |
| c) | efter en strategisk diskussion anta en flerårig strategi för att höja cybersäkerhetsnivån i unionens entiteter, utvärdera denna strategi regelbundet och under alla omständigheter vart femte år, och vid behov ändra strategin, |
| d) | fastställa metoder och organisatoriska aspekter för hur unionsentiteternas frivilliga inbördes utvärderingar ska gå till, i syfte att dra nytta av gemensamma erfarenheter, stärka det ömsesidiga förtroendet, uppnå en hög gemensam cybersäkerhetsnivå samt förbättra unionsentiteternas cybersäkerhetskapacitet, och säkerställa att sådana inbördes utvärderingar utförs av cybersäkerhetsexperter som utsetts av en annan unionsentitet än den unionsentitet som utvärderas och att metoden grundar sig på artikel 19 i direktiv (EU) 2022/2555 och, i förekommande fall, är anpassad till unionsentiteterna, |
| e) | på grundval av ett förslag från CERT-EU:s chef godkänna CERT-EU:s årliga arbetsprogram och övervaka dess genomförande, |
| f) | på grundval av ett förslag från CERT-EU:s chef godkänna CERT-EU:s tjänstekatalog och eventuella uppdateringar av den, |
| g) | på grundval av ett förslag från CERT-EU:s chef godkänna den årliga ekonomiska planeringen av inkomster och utgifter, inbegripet för personal, för CERT-EU:s verksamhet, |
| h) | på grundval av ett förslag från CERT-EU:s chef godkänna arrangemangen för servicenivåavtal, |
| i) | granska och godkänna den årsrapport som utarbetats av CERT-EU:s chef och som omfattar CERT-EU:s verksamhet och förvaltning av medel, |
| j) | godkänna och övervaka de nyckelprestandaindikatorer som har fastställts för CERT-EU på grundval av ett förslag från CERT-EU:s chef, |
| k) | godkänna samarbetsavtal, servicenivåavtal eller avtal mellan CERT-EU och andra entiteter i enlighet med artikel 18, |
| l) | på grundval av ett förslag från CERT-EU anta vägledningar och rekommendationer i enlighet artikel 14 och ge CERT-EU i uppdrag att utfärda, dra tillbaka eller ändra ett förslag till vägledningar eller rekommendationer, eller en uppmaning till åtgärder, |
| m) | inrätta tekniska rådgivande grupper med särskilda arbetsuppgifter för att bistå IICB i dess arbete, godkänna deras mandat och utse deras respektive ordförande, |
| n) | ta emot och bedöma dokument och rapporter som lämnats in av unionens entiteter enligt denna förordning, såsom mognadsbedömningar av cybersäkerheten, |
| o) | underlätta inrättandet av en informell grupp av lokala cybersäkerhetsansvariga från unionens entiteter, med stöd av Enisa, i syfte att utbyta bästa praxis och information i samband med genomförandet av denna förordning, |
| p) | beakta den information om identifierade cybersäkerhetsrisker och tidigare erfarenheter som tillhandahålls av CERT-EU, övervaka lämpligheten i arrangemangen för sammankoppling mellan unionsentiteternas IKT-miljöer och ge råd om möjliga förbättringar, |
| q) | upprätta en cyberkrishanteringsplan i syfte att på operativ nivå stödja en samordnad hantering av större incidenter som berör unionens entiteter och bidra till ett regelbundet utbyte av relevant information, särskilt när det gäller konsekvenserna av och allvarlighetsgraden hos, och möjliga sätt att begränsa effekterna av, större incidenter, |
| r) | samordna antagandet av enskilda unionsentiteters cyberkrishanteringsplaner enligt artikel 9.2, |
| s) | anta rekommendationer om den säkerhet i leveranskedjan som avses i artikel 8.2, första stycket led m, med beaktande av resultaten av samordnade säkerhetsriskbedömningar på unionsnivå av de kritiska leveranskedjor som avses i artikel 22 i direktiv (EU) 2022/2555 för att stödja unionens entiteter vid antagandet av effektiva och proportionella riskhanteringsåtgärder för cybersäkerhet. |
Artikel 13
CERT-EU:s uppdrag och arbetsuppgifter
1. CERT-EU:s uppdrag ska vara att bidra till säkerheten i unionsentiteters icke-säkerhetsskyddsklassificerade IKT-miljö genom att ge dem råd om cybersäkerhet, hjälpa dem att förebygga, upptäcka, hantera, begränsa, bemöta och återställa efter incidenter och genom att fungera som deras nav för utbyte av cybersäkerhetsinformation och samordning av incidenthantering.
2. CERT-EU ska samla in, hantera, analysera och dela information med unionens entiteter om cyberhot, sårbarheter och incidenter som rör icke-säkerhetsskyddsklassificerad IKT-infrastruktur. CERT-EU ska samordna hanteringen av incidenter på interinstitutionell nivå och på unionsentitetsnivå, bland annat genom att ombesörja eller samordna tillhandahållandet av specialiserat operativt stöd.
3. CERT-EU ska utföra följande arbetsuppgifter för unionens entiteter:
| a) | Stödja dem vid genomförandet av denna förordning och bidra till samordningen av genomförandet av denna förordning genom de åtgärder som förtecknas i artikel 14.1 eller genom ad hoc-rapporter som IICB begär. |
| b) | Erbjuda standardiserade CSIRT-tjänster till unionens entiteter med hjälp av ett paket av cybersäkerhetstjänster som beskrivs i dess tjänstekatalog (baslinjetjänster). |
| c) | Upprätthålla ett nätverk av kollegor och partner för att stödja de tjänster som beskrivs i artiklarna 17 och 18. |
| d) | Uppmärksamma IICB på alla problem som rör genomförandet av denna förordning och genomförandet av vägledningarna, rekommendationerna och uppmaningarna till åtgärder. |
| e) | På grundval av den information som avses i punkt 2 och i nära samarbete med Enisa bidra till unionens cybersituationsmedvetenhet. |
| f) | Samordna hanteringen av större incidenter. |
| g) | Agera för unionsentiteternas räkning som motsvarighet till den samordnare som utsetts för samordnad information om sårbarheter enligt artikel 12.1 i direktiv (EU) 2022/2555. |
| h) | På begäran av en unionsentitet, tillhandahålla proaktiv, icke-inkräktande skanning av den unionsentitetens allmänt tillgängliga nätverks- och informationssystem. |
Den information som avses i första stycket e ska delas med IICB, CSIRT-nätverket och Europeiska unionens underrättelse- och lägescentral (EU-Intcen), när så är tillämpligt och lämpligt, och omfattas av lämpliga överenskommelser om konfidentialitet.
4. CERT-EU får i enlighet med artikel 17 eller 18, beroende på vad som är lämpligt, samarbeta med relevanta cybersäkerhetsgrupper inom unionen och dess medlemsstater, bland annat på följande områden:
| a) | Beredskap, incidentsamordning, informationsutbyte och krishantering på teknisk nivå i ärenden som rör unionens entiteter. |
| b) | Operativt samarbete med CSIRT-nätverket, inbegripet om ömsesidigt bistånd. |
| c) | Underrättelser om cyberhot, inbegripet situationsmedvetenhet. |
| d) | Vilket ämne som helst som kräver CERT-EU:s tekniska cybersäkerhetsexpertis. |
5. Inom sitt befogenhetsområde ska CERT-EU inleda ett strukturerat samarbete med Enisa om kapacitetsuppbyggnad, operativt samarbete och långsiktiga strategiska analyser av cyberhot i enlighet med förordning (EU) 2019/881. CERT-EU får samarbeta och utbyta information med Europols europeiska it-brottscentrum.
6. CERT-EU får tillhandahålla följande tjänster som inte beskrivs i dess tjänstekatalog (avgiftsbelagda tjänster):
| a) | Andra tjänster som stöder cybersäkerheten i unionsentiteternas IKT-miljö än dem som avses i punkt 3, på grundval av servicenivåavtal och förutsatt att det finns tillgängliga resurser, särskilt omfattande övervakning av nätverk, även med dygnet-runt-bevakning i första ledet för mycket allvarliga cyberhot. |
| b) | Andra tjänster som stöder unionsentiteternas cybersäkerhetsinsatser eller cybersäkerhetsprojekt än de som skyddar deras IKT-miljö, på grundval av skriftliga avtal och med förhandsgodkännande från IICB. |
| c) | Proaktiv skanning, på begäran, av den berörda unionsentitetens nätverks- och informationssystem för att upptäcka sårbarheter med en potentiellt betydande inverkan. |
| d) | Tjänster som stöder säkerheten i IKT-miljön hos andra organisationer än unionens entiteter vilka har ett nära samarbete med unionens entiteter, till exempel genom att få arbetsuppgifter och ansvar tilldelade enligt unionsrätten, på grundval av skriftliga avtal och med förhandsgodkännande från IICB. |
Med avseende på första stycket d, får CERT-EU undantagsvis, med IICB:s förhandsgodkännande, ingå servicenivåavtal med andra entiteter än unionens entiteter.
7. CERT-EU ska anordna och får delta i cybersäkerhetsövningar eller rekommendera deltagande i befintliga övningar, i tillämpliga fall i nära samarbete med Enisa, för att testa unionsentiteternas cybersäkerhetsnivå.
8. CERT-EU får stödja unionens entiteter när det gäller incidenter i nätverks- och informationssystem som hanterar säkerhetsskyddsklassificerade EU-uppgifter om de berörda unionsentiteterna uttryckligen begär detta i enlighet med deras respektive förfaranden. Tillhandahållandet av stöd från CERT-EU enligt denna punkt ska inte påverka tillämpliga bestämmelser om skyddet av säkerhetsskyddsklassificerade uppgifter.
9. CERT-EU ska informera unionens entiteter om sina förfaranden och processer för incidenthantering.
10. CERT-EU ska, med en hög grad av konfidentialitet och tillförlitlighet, via lämpliga samarbetsmekanismer och rapporteringsvägar, bidra till relevant och anonymiserad information om större incidenter och det sätt på vilket de hanterades. Denna information ska ingå i den rapport som avses i artikel 10.14.
11. CERT-EU ska i samarbete med EDPS stödja berörda unionsentiteter när de hanterar incidenter som medför personuppgiftsincidenter, utan att det påverkar EDPS befogenheter och arbetsuppgifter som tillsynsmyndighet enligt förordning (EU) 2018/1725.
12. CERT-EU får, om unionsentiteternas politiska avdelningar uttryckligen så begär, tillhandahålla teknisk rådgivning eller tekniska synpunkter i relevanta politiska frågor.
Artikel 20
Arrangemang för informationsutbyte om cybersäkerhet
1. Unionens entiteter får på frivillig basis meddela CERT-EU om och tillhandahålla information om incidenter, cyberhot, tillbud och sårbarheter som berör dem. CERT-EU ska säkerställa att effektiva medel för kommunikation, med en hög grad av spårbarhet, konfidentialitet och tillförlitlighet, finns tillgängliga i syfte att underlätta informationsutbytet med unionens entiteter. CERT-EU får vid behandlingen av underrättelser, ge behandling av obligatoriska underrättelser företräde framför behandling av frivilliga underrättelser. Utan att det påverkar tillämpningen av artikel 12 får ett frivilligt inlämnande av underrättelser inte leda till att den rapporterande unionsentiteten åläggs ytterligare skyldigheter som den inte skulle ha blivit föremål för om den inte hade lämnat in underrättelsen.
2. För att CERT-EU ska kunna utföra de uppdrag och arbetsuppgifter som den tilldelats i enlighet med artikel 13 får CERT-EU begära att unionens entiteter lämnar information från sina respektive IKT-systeminventarier, inbegripet information om cyberhot, tillbud, sårbarheter, angreppsindikatorer, cybersäkerhetsvarningar och rekommendationer avseende konfiguration av cybersäkerhetsverktyg för att upptäcka incidenter. Den unionsentitet som mottar begäran ska utan onödigt dröjsmål översända den begärda informationen och eventuella senare uppdateringar.
3. CERT-EU får med unionens entiteter utbyta incidentspecifik information som avslöjar identiteten på den unionsentitet som berörs av incidenten, under förutsättning att den unionsentitet som berörs samtycker. Om en unionsentitet inte ger sitt samtycke ska den tillhandahålla CERT-EU de skäl som ligger till grund för detta beslut.
4. Unionens entiteter ska på begäran utbyta information med Europaparlamentet och rådet om slutförandet av cybersäkerhetsplanerna.
5. IICB eller CERT-EU, beroende på vad som är tillämpligt, ska på begäran dela riktlinjer, rekommendationer och uppmaningar till åtgärder med Europaparlamentet och rådet.
6. Delningsskyldigheterna i denna artikel ska inte omfatta
| a) | säkerhetsskyddsklassificerade EU-uppgifter, |
| b) | uppgifter vars vidare spridning har uteslutits genom en synlig markering, såvida inte delning av denna information med CERT-EU uttryckligen har tillåtits. |
Artikel 21
Rapporteringsskyldigheter
1. En incident ska anses vara betydande om
| a) | den har orsakat, eller kan orsaka, allvarliga driftstörningar i verksamheten eller ekonomiska förluster för den berörda unionsentiteten, |
| b) | den har påverkat, eller kan påverka, andra fysiska eller juridiska personer genom att åsamka betydande materiell eller immateriell skada. |
2. Unionens entiteter ska till CERT-EU lämna
| a) | en tidig varning – utan onödigt dröjsmål, och under alla omständigheter inom 24 timmar efter att ha fått kännedom om den betydande incidenten – som i tillämpliga fall ska ange att den betydande incidenten misstänks ha orsakats av olagliga eller avsiktligt skadliga handlingar eller skulle kunna ha entitetsövergripande eller gränsöverskridande konsekvenser, |
| b) | en incidentanmälan – utan onödigt dröjsmål, och under alla omständigheter inom 72 timmar efter att ha fått kännedom om den betydande incidenten – som i tillämpliga fall ska uppdatera den information som avses i led a och ange en första bedömning av den betydande incidenten, dess allvarlighetsgrad och konsekvenser samt, i förekommande fall, angreppsindikatorer, |
| c) | en delrapport – på begäran av CERT-EU – om relevanta statusuppdateringar, |
| d) | en slutrapport – senast en månad efter inlämningen av den incidentanmälan som avses i led b – som ska innehålla
|
| e) | en lägesrapport – i händelse av en pågående incident vid tidpunkten för inlämningen av den slutrapport som avses i led d – vid den tidpunkten och en slutrapport inom en månad efter deras hantering av incidenten. |
3. En unionsentitet ska, utan onödigt dröjsmål och under alla omständigheter inom 24 timmar efter att ha fått kännedom om en betydande incident, informera alla relevanta motparter i medlemsstaterna som avses i artikel 17.1 i den medlemsstat där den är belägen om att en betydande incident har inträffat.
4. Unionens entiteter ska bland annat lämna all information som gör det möjligt för CERT-EU att fastställa eventuella entitetsövergripande konsekvenser, konsekvenser för värdmedlemsstaten eller gränsöverskridande konsekvenser efter en betydande incident. Utan att det påverkar artikel 12 ska själva anmälan inte medföra ökat ansvar för unionsentiteten.
5. I tillämpliga fall ska unionens entiteter utan onödigt dröjsmål informera användarna av de berörda nätverks- och informationssystemen, eller andra komponenter i IKT-miljön, som potentiellt berörs av en betydande incident eller ett betydande cyberhot och, när så är lämpligt, behöver vidta riskreducerande åtgärder, om de åtgärder eller avhjälpande arrangemang som de kan vidta för att hantera denna incident eller detta hot. När så är lämpligt ska unionens entiteter informera dessa användare om det betydande cyberhotet.
6. Om en betydande incident eller ett betydande cyberhot berör ett nätverks- och informationssystem, eller en komponent inom en unionsentitets IKT-miljö som har en avsiktlig sammankoppling med en annan unionsentitets IKT-miljö, ska CERT-EU utfärda en relevant cybersäkerhetsvarning.
7. Unionens entiteter ska, på CERT-EU:s begäran och utan onödigt dröjsmål, förse CERT-EU med digital information som skapats genom användning av elektroniska enheter som är inblandade i deras respektive incident. CERT-EU kan tillhandahålla ytterligare uppgifter om vilka typer av uppgifter som behövs för situationsmedvetenhet och incidenthantering.
8. CERT-EU ska var tredje månad lämna in en sammanfattande rapport till IICB, Enisa, EU Intcen och CSIRT-nätverket med anonymiserade och aggregerade data om betydande incidenter, incidenter, cyberhot, tillbud och sårbarheter enligt artikel 20 och betydande incidenter som anmälts enligt punkt 2 i den här artikeln. Den sammanfattande rapporten ska utgöra underlag till den tvåårsrapport om cybersäkerhetssituationen i unionen som antas enligt artikel 18 i direktiv (EU) 2022/2555.
9. Senast den 8 juli 2024 ska IICB utfärda vägledningar eller rekommendationer som ytterligare specificerar formerna och formatet för samt innehållet i rapporteringen enligt den här artikeln. Vid utarbetandet av sådana riktlinjer eller rekommendationer ska IICB beakta eventuella genomförandeakter som antagits enligt artikel 23.11 i direktiv (EU) 2022/2555 och som specificerar typen av information, formatet och förfarandet för underrättelsen. CERT-EU ska sprida lämpliga tekniska detaljer för att möjliggöra proaktiv upptäckt, incidenthantering eller riskreducerande åtgärder hos unionens entiteter.
10. Rapporteringsskyldigheterna i denna artikel ska inte omfatta
| a) | säkerhetsskyddsklassificerade EU-uppgifter, |
| b) | uppgifter vars vidare spridning har uteslutits genom en synlig markering, såvida inte delning av denna information med CERT-EU uttryckligen har tillåtits. |
Artikel 23
Hantering av större incidenter
1. För att på operativ nivå stödja en samordnad hantering av större incidenter som berör unionens entiteter och bidra till ett regelbundet utbyte av relevant information mellan unionens entiteter och med medlemsstaterna ska IICB i enlighet med artikel 11 led q, i nära samarbete med CERT-EU och Enisa, upprätta en cyberkrishanteringsplan på grundval av den verksamhet som avses i artikel 22.2. Cyberkrishanteringsplanen ska innehålla åtminstone följande:
| a) | Arrangemang för samordning och informationsflöde mellan unionens entiteter för hantering av större incidenter på operativ nivå. |
| b) | Gemensamma operationella standardförfaranden (SOP). |
| c) | En gemensam taxonomi för större incidenters allvarlighetsgrad och kriströskelpunkter. |
| d) | Regelbundna övningar. |
| e) | Uppgift om vilka säkra kommunikationskanaler som ska användas. |
2. Kommissionens företrädare i IICB ska, med förbehåll för den cyberkrishanteringsplan som upprättats enligt punkt 1 i denna artikel och utan att det påverkar tillämpningen av artikel 16.2 första stycket i direktiv (EU) 2022/2555, vara kontaktpunkt för utbyte av relevant information om större incidenter med EU-CyCLONe.
3. CERT-EU ska samordna unionsentiteternas hantering av större incidenter. Det ska föra en förteckning över den tillgängliga tekniska expertis som skulle behövas för incidenthantering i händelse av större incidenter och bistå IICB med att samordna unionsentiteters cyberkrishanteringsplaner för sådana större incidenter som avses i artikel 9 2.
4. Unionens entiteter ska bidra till förteckningen över teknisk expertis genom att tillhandahålla en årligen uppdaterad förteckning över experter som finns tillgängliga inom respektive organisation med detaljerade uppgifter om deras specifika tekniska kompetens.
KAPITEL VI
SLUTBESTÄMMELSER
whereas