keyboard_tab Cyber Resilience Act 2023/2841 SV
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 3 Definitioner
- 1 Art. 4 Behandling av personuppgifter
- 3 Art. 13 CERT-EU:s uppdrag och arbetsuppgifter
- 4 Art. 22 samordning av incidenthantering och samarbete
- 1 Art. 23 Hantering av större incidenter
KAPITEL I
ALLMÄNNA BESTÄMMELSER
KAPITEL II
ÅTGÄRDER FÖR EN HÖG GEMENSAM CYBERSÄKERHETSNIVÅ
KAPITEL III
INTERINSTITUTIONELL CYBERSÄKERHETSSTYRELSE
KAPITEL IV
CERT-EU
KAPITEL V
SAMARBETS- OCH RAPPORTERINGSKRAV
KAPITEL VI
SLUTBESTÄMMELSER
- artikel 33
- för 33
- enligt 28
- unionens 23
- entiteter 20
- eu / 19
- incidenter 18
- eller 16
- till 15
- cert-eu 15
- förordning 13
- direktiv 13
- cert-eu 13
- samarbete 13
- större 13
- definitionen 12
- information 11
- avses 10
- denna 10
- iicb 10
- får 9
- incidenthantering 9
- genom 9
- från 8
- cyberhot 8
- samordning 8
- enlighet 7
- bidra 7
- unionsentiteternas 7
- andra 7
- grundval 7
- nätverks- 7
- tekniska 6
- enisa 6
- nära 6
- arbetsuppgifter 6
- stödja 6
- hantering 6
- när 6
- tjänster 6
- utbyte 6
- samordna 5
- betydande 5
- sårbarheter 5
- nivå 5
- personuppgifter 5
- europeiska 5
- relevant 5
- genomförandet 5
- informationssystem 5
Artikel 3
Definitioner
I denna förordning gäller följande definitioner:
| 1. | unionens entiteter: de unionsinstitutioner, unionsorgan och unionsbyråer som inrättats genom, eller enligt fördraget om Europeiska unionen, fördraget om Europeiska unionens funktionssätt (EUF-fördraget) eller fördraget om upprättandet av Europeiska atomenergigemenskapen. |
| 2. | nätverks- och informationssystem: ett nätverks- och informationssystem enligt definitionen i artikel 6.1 i direktiv (EU) 2022/2555. |
| 3. | säkerhet i nätverks- och informationssystem: säkerhet i nätverks- och informationssystem enligt definitionen i artikel 6.2 i direktiv (EU) 2022/2555. |
| 4. | cybersäkerhet: cybersäkerhet enligt definitionen i artikel 2.1 i förordning (EU) 2019/881. |
| 5. | högsta ledningsnivå: en chef, ett ledningsorgan eller ett samordnings- och tillsynsorgan med ansvar för en unionsentitets funktionssätt, på den högsta administrativa nivån, med mandat att fatta eller godkänna beslut i linje med styrningsarrangemangen på hög nivå inom den unionsentiteten, utan att det påverkar andra ledningsnivåers formella ansvar för efterlevnad och hantering av cybersäkerhetsrisker inom respektive ansvarsområde. |
| 6. | tillbud: ett tillbud enligt definitionen i artikel 6.5 i direktiv (EU) 2022/2555. |
| 7. | incident: en incident enligt definitionen i artikel 6.6 i direktiv (EU) 2022/2555. |
| 8. | större incident: en incident som orsakar störningar som är så omfattande att en unionsentitet och CERT-EU inte kan hantera dem eller som har en betydande påverkan på åtminstone två unionsentiteter. |
| 9. | storskalig cybersäkerhetsincident: en storskalig cybersäkerhetsincident enligt definitionen i artikel 6.7 i direktiv (EU) 2022/2555. |
| 10. | incidenthantering: incidenthantering enligt definitionen i artikel 6.8 i direktiv (EU) 2022/2555. |
| 11. | cyberhot: ett cyberhot enligt definitionen i artikel 2.8 i förordning (EU) 2019/881. |
| 12. | betydande cyberhot: ett betydande cyberhot enligt definitionen i artikel 6.11 i direktiv (EU) 2022/2555. |
| 13. | sårbarhet: en sårbarhet enligt definitionen i artikel 6.15 i direktiv (EU) 2022/2555. |
| 14. | cybersäkerhetsrisk: en risk enligt definitionen i artikel 6.9 i direktiv (EU) 2022/2555. |
| 15. | molntjänst: en molntjänst enligt definitionen i artikel 6.30 i direktiv (EU) 2022/2555. |
Artikel 4
Behandling av personuppgifter
1. Behandlingen av personuppgifter enligt denna förordning som utförs av CERT-EU, den interinstitutionella cybersäkerhetsstyrelse som inrättas enligt artikel 10 och unionens entiteter ska utföras i enlighet med förordning (EU) 2018/1725.
2. När de utför arbetsuppgifter eller fullgör skyldigheter enligt denna förordning ska CERT-EU, den interinstitutionella cybersäkerhetsstyrelse som inrättas enligt artikel 10 och unionens entiteter behandla och utbyta personuppgifter endast i den utsträckning som är nödvändig och uteslutande i syfte att utföra dessa arbetsuppgifter eller fullgöra dessa skyldigheter.
3. Den behandling av särskilda kategorier av personuppgifter som avses i artikel 10.1 i förordning (EU) 2018/1725 ska anses vara nödvändig av hänsyn till ett viktigt allmänt intresse enligt artikel 10.2 g i den förordningen. Sådana uppgifter får behandlas endast i den utsträckning som krävs för genomförandet av de riskhanteringsåtgärder för cybersäkerhet som avses i artiklarna 6 och 8, för CERT-EU:s tillhandahållande av tjänster i enlighet med artikel 13, för utbyte av incidentspecifik information enligt artiklarna 17.3 och 18.3, för informationsutbyte enligt artikel 20, för rapporteringsskyldigheter enligt artikel 21, för samordning och samarbete vid incidenthantering enligt artikel 22 och för hantering av större incidenter enligt artikel 23 i denna förordning. Unionens entiteter och CERT-EU ska, när de agerar som personuppgiftsansvariga, tillämpa tekniska åtgärder för att förhindra behandling av särskilda kategorier av personuppgifter för andra ändamål och ska föreskriva lämpliga och specifika åtgärder för att skydda de registrerades grundläggande rättigheter och intressen.
KAPITEL II
ÅTGÄRDER FÖR EN HÖG GEMENSAM CYBERSÄKERHETSNIVÅ
Artikel 13
CERT-EU:s uppdrag och arbetsuppgifter
1. CERT-EU:s uppdrag ska vara att bidra till säkerheten i unionsentiteters icke-säkerhetsskyddsklassificerade IKT-miljö genom att ge dem råd om cybersäkerhet, hjälpa dem att förebygga, upptäcka, hantera, begränsa, bemöta och återställa efter incidenter och genom att fungera som deras nav för utbyte av cybersäkerhetsinformation och samordning av incidenthantering.
2. CERT-EU ska samla in, hantera, analysera och dela information med unionens entiteter om cyberhot, sårbarheter och incidenter som rör icke-säkerhetsskyddsklassificerad IKT-infrastruktur. CERT-EU ska samordna hanteringen av incidenter på interinstitutionell nivå och på unionsentitetsnivå, bland annat genom att ombesörja eller samordna tillhandahållandet av specialiserat operativt stöd.
3. CERT-EU ska utföra följande arbetsuppgifter för unionens entiteter:
| a) | Stödja dem vid genomförandet av denna förordning och bidra till samordningen av genomförandet av denna förordning genom de åtgärder som förtecknas i artikel 14.1 eller genom ad hoc-rapporter som IICB begär. |
| b) | Erbjuda standardiserade CSIRT-tjänster till unionens entiteter med hjälp av ett paket av cybersäkerhetstjänster som beskrivs i dess tjänstekatalog (baslinjetjänster). |
| c) | Upprätthålla ett nätverk av kollegor och partner för att stödja de tjänster som beskrivs i artiklarna 17 och 18. |
| d) | Uppmärksamma IICB på alla problem som rör genomförandet av denna förordning och genomförandet av vägledningarna, rekommendationerna och uppmaningarna till åtgärder. |
| e) | På grundval av den information som avses i punkt 2 och i nära samarbete med Enisa bidra till unionens cybersituationsmedvetenhet. |
| f) | Samordna hanteringen av större incidenter. |
| g) | Agera för unionsentiteternas räkning som motsvarighet till den samordnare som utsetts för samordnad information om sårbarheter enligt artikel 12.1 i direktiv (EU) 2022/2555. |
| h) | På begäran av en unionsentitet, tillhandahålla proaktiv, icke-inkräktande skanning av den unionsentitetens allmänt tillgängliga nätverks- och informationssystem. |
Den information som avses i första stycket e ska delas med IICB, CSIRT-nätverket och Europeiska unionens underrättelse- och lägescentral (EU-Intcen), när så är tillämpligt och lämpligt, och omfattas av lämpliga överenskommelser om konfidentialitet.
4. CERT-EU får i enlighet med artikel 17 eller 18, beroende på vad som är lämpligt, samarbeta med relevanta cybersäkerhetsgrupper inom unionen och dess medlemsstater, bland annat på följande områden:
| a) | Beredskap, incidentsamordning, informationsutbyte och krishantering på teknisk nivå i ärenden som rör unionens entiteter. |
| b) | Operativt samarbete med CSIRT-nätverket, inbegripet om ömsesidigt bistånd. |
| c) | Underrättelser om cyberhot, inbegripet situationsmedvetenhet. |
| d) | Vilket ämne som helst som kräver CERT-EU:s tekniska cybersäkerhetsexpertis. |
5. Inom sitt befogenhetsområde ska CERT-EU inleda ett strukturerat samarbete med Enisa om kapacitetsuppbyggnad, operativt samarbete och långsiktiga strategiska analyser av cyberhot i enlighet med förordning (EU) 2019/881. CERT-EU får samarbeta och utbyta information med Europols europeiska it-brottscentrum.
6. CERT-EU får tillhandahålla följande tjänster som inte beskrivs i dess tjänstekatalog (avgiftsbelagda tjänster):
| a) | Andra tjänster som stöder cybersäkerheten i unionsentiteternas IKT-miljö än dem som avses i punkt 3, på grundval av servicenivåavtal och förutsatt att det finns tillgängliga resurser, särskilt omfattande övervakning av nätverk, även med dygnet-runt-bevakning i första ledet för mycket allvarliga cyberhot. |
| b) | Andra tjänster som stöder unionsentiteternas cybersäkerhetsinsatser eller cybersäkerhetsprojekt än de som skyddar deras IKT-miljö, på grundval av skriftliga avtal och med förhandsgodkännande från IICB. |
| c) | Proaktiv skanning, på begäran, av den berörda unionsentitetens nätverks- och informationssystem för att upptäcka sårbarheter med en potentiellt betydande inverkan. |
| d) | Tjänster som stöder säkerheten i IKT-miljön hos andra organisationer än unionens entiteter vilka har ett nära samarbete med unionens entiteter, till exempel genom att få arbetsuppgifter och ansvar tilldelade enligt unionsrätten, på grundval av skriftliga avtal och med förhandsgodkännande från IICB. |
Med avseende på första stycket d, får CERT-EU undantagsvis, med IICB:s förhandsgodkännande, ingå servicenivåavtal med andra entiteter än unionens entiteter.
7. CERT-EU ska anordna och får delta i cybersäkerhetsövningar eller rekommendera deltagande i befintliga övningar, i tillämpliga fall i nära samarbete med Enisa, för att testa unionsentiteternas cybersäkerhetsnivå.
8. CERT-EU får stödja unionens entiteter när det gäller incidenter i nätverks- och informationssystem som hanterar säkerhetsskyddsklassificerade EU-uppgifter om de berörda unionsentiteterna uttryckligen begär detta i enlighet med deras respektive förfaranden. Tillhandahållandet av stöd från CERT-EU enligt denna punkt ska inte påverka tillämpliga bestämmelser om skyddet av säkerhetsskyddsklassificerade uppgifter.
9. CERT-EU ska informera unionens entiteter om sina förfaranden och processer för incidenthantering.
10. CERT-EU ska, med en hög grad av konfidentialitet och tillförlitlighet, via lämpliga samarbetsmekanismer och rapporteringsvägar, bidra till relevant och anonymiserad information om större incidenter och det sätt på vilket de hanterades. Denna information ska ingå i den rapport som avses i artikel 10.14.
11. CERT-EU ska i samarbete med EDPS stödja berörda unionsentiteter när de hanterar incidenter som medför personuppgiftsincidenter, utan att det påverkar EDPS befogenheter och arbetsuppgifter som tillsynsmyndighet enligt förordning (EU) 2018/1725.
12. CERT-EU får, om unionsentiteternas politiska avdelningar uttryckligen så begär, tillhandahålla teknisk rådgivning eller tekniska synpunkter i relevanta politiska frågor.
Artikel 22
samordning av incidenthantering och samarbete
1. I sin funktion som nav för utbyte av cybersäkerhetsinformation och samordning av incidenthantering ska CERT-EU främja informationsutbyte om incidenter, cyberhot, sårbarheter och tillbud mellan
| a) | unionens entiteter, |
| b) | de motparter som avses i artiklarna 17 och 18. |
2. CERT-EU ska, i tillämpliga fall i nära samarbete med Enisa, främja unionsentiteters samordning av incidenthantering, genom bland annat
| a) | bidrag till konsekvent extern kommunikation, |
| b) | ömsesidigt stöd, såsom utbyte av information som är relevant för unionens entiteter eller tillhandahållande av bistånd, i förekommande fall direkt på plats, |
| c) | optimal användning av operativa resurser, |
| d) | samordning med andra krishanteringsmekanismer på unionsnivå. |
3. CERT-EU ska, i nära samarbete med Enisa, stödja unionens entiteter när det gäller situationsmedvetenhet om incidenter, cyberhot, sårbarheter och tillbud samt dela med sig av relevant utveckling på cybersäkerhetsområdet.
4. Senast den 8 januari 2025 ska IICB på grundval av ett förslag från CERT-EU, anta riktlinjer eller rekommendationer för samordning av incidenthantering och samarbete vid betydande incidenter. När en incident misstänks vara brottslig ska CERT-EU ge råd om hur incidenten ska rapporteras till de brottsbekämpande myndigheterna utan onödigt dröjsmål.
5. Efter en särskild begäran från en medlemsstat och med de berörda unionsentiteternas godkännande får CERT-EU anlita experter från den förteckning som avses i artikel 23.4 för att bidra till hanteringen av en större incident som påverkar den medlemsstaten, eller en storskalig cybersäkerhetsincident i enlighet med artikel 15.3 g i direktiv (EU) 2022/2555. Särskilda regler om tillgång till och användning av tekniska experter från unionens entiteter ska godkännas av IICB på grundval av ett förslag från CERT-EU.
Artikel 23
Hantering av större incidenter
1. För att på operativ nivå stödja en samordnad hantering av större incidenter som berör unionens entiteter och bidra till ett regelbundet utbyte av relevant information mellan unionens entiteter och med medlemsstaterna ska IICB i enlighet med artikel 11 led q, i nära samarbete med CERT-EU och Enisa, upprätta en cyberkrishanteringsplan på grundval av den verksamhet som avses i artikel 22.2. Cyberkrishanteringsplanen ska innehålla åtminstone följande:
| a) | Arrangemang för samordning och informationsflöde mellan unionens entiteter för hantering av större incidenter på operativ nivå. |
| b) | Gemensamma operationella standardförfaranden (SOP). |
| c) | En gemensam taxonomi för större incidenters allvarlighetsgrad och kriströskelpunkter. |
| d) | Regelbundna övningar. |
| e) | Uppgift om vilka säkra kommunikationskanaler som ska användas. |
2. Kommissionens företrädare i IICB ska, med förbehåll för den cyberkrishanteringsplan som upprättats enligt punkt 1 i denna artikel och utan att det påverkar tillämpningen av artikel 16.2 första stycket i direktiv (EU) 2022/2555, vara kontaktpunkt för utbyte av relevant information om större incidenter med EU-CyCLONe.
3. CERT-EU ska samordna unionsentiteternas hantering av större incidenter. Det ska föra en förteckning över den tillgängliga tekniska expertis som skulle behövas för incidenthantering i händelse av större incidenter och bistå IICB med att samordna unionsentiteters cyberkrishanteringsplaner för sådana större incidenter som avses i artikel 9 2.
4. Unionens entiteter ska bidra till förteckningen över teknisk expertis genom att tillhandahålla en årligen uppdaterad förteckning över experter som finns tillgängliga inom respektive organisation med detaljerade uppgifter om deras specifika tekniska kompetens.
KAPITEL VI
SLUTBESTÄMMELSER
whereas