keyboard_tab Cyber Resilience Act 2023/2841 SV
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 2 Tillämpningsområde
- 1 Art. 4 Behandling av personuppgifter
- 1 Art. 14 Vägledningar, rekommendationer och uppmaningar till åtgärder
- 1 Art. 19 Informationshantering
- 1 Art. 21 Rapporteringsskyldigheter
KAPITEL I
ALLMÄNNA BESTÄMMELSER
KAPITEL II
ÅTGÄRDER FÖR EN HÖG GEMENSAM CYBERSÄKERHETSNIVÅ
KAPITEL III
INTERINSTITUTIONELL CYBERSÄKERHETSSTYRELSE
KAPITEL IV
CERT-EU
KAPITEL V
SAMARBETS- OCH RAPPORTERINGSKRAV
KAPITEL VI
SLUTBESTÄMMELSER
- för 32
- eller 26
- artikel 22
- enligt 19
- betydande 16
- cert-eu 15
- entiteter 15
- till 13
- unionens 11
- förordning 10
- incident 9
- åtgärder 9
- information 8
- utan 8
- denna 8
- efter 7
- incidenten 7
- konsekvenser 7
- tillämpliga 6
- dröjsmål 6
- onödigt 6
- fall 6
- inom 6
- avses 6
- när 6
- rekommendationer 5
- iicb 5
- personuppgifter 5
- cybersäkerhet 4
- incidenter 4
- eu / 4
- unionens 4
- uppgifter 4
- arrangemang 4
- genom 4
- inte 4
- lämpligt 4
- informera 4
- vara 3
- cyberhot 3
- gemensam 3
- vägledningar 3
- utfärda 3
- inbegripet 3
- vidta 3
- incidenthantering 3
- unionsentiteten 3
- berörda 3
- cert-eu:s 3
- lämna 3
Artikel 2
Tillämpningsområde
1. Denna förordning är tillämplig på unionens entiteter, på den interinstitutionella cybersäkerhetsstyrelse som inrättas enligt artikel 10 och på CERT-EU.
2. Denna förordning ska tillämpas utan att det påverkar den institutionella autonomin enligt fördragen.
3. Med undantag för artikel 13.8 är denna förordning inte tillämplig på nätverks- och informationssystem som hanterar säkerhetsskyddsklassificerade EU-uppgifter (EUCI).
Artikel 4
Behandling av personuppgifter
1. Behandlingen av personuppgifter enligt denna förordning som utförs av CERT-EU, den interinstitutionella cybersäkerhetsstyrelse som inrättas enligt artikel 10 och unionens entiteter ska utföras i enlighet med förordning (EU) 2018/1725.
2. När de utför arbetsuppgifter eller fullgör skyldigheter enligt denna förordning ska CERT-EU, den interinstitutionella cybersäkerhetsstyrelse som inrättas enligt artikel 10 och unionens entiteter behandla och utbyta personuppgifter endast i den utsträckning som är nödvändig och uteslutande i syfte att utföra dessa arbetsuppgifter eller fullgöra dessa skyldigheter.
3. Den behandling av särskilda kategorier av personuppgifter som avses i artikel 10.1 i förordning (EU) 2018/1725 ska anses vara nödvändig av hänsyn till ett viktigt allmänt intresse enligt artikel 10.2 g i den förordningen. Sådana uppgifter får behandlas endast i den utsträckning som krävs för genomförandet av de riskhanteringsåtgärder för cybersäkerhet som avses i artiklarna 6 och 8, för CERT-EU:s tillhandahållande av tjänster i enlighet med artikel 13, för utbyte av incidentspecifik information enligt artiklarna 17.3 och 18.3, för informationsutbyte enligt artikel 20, för rapporteringsskyldigheter enligt artikel 21, för samordning och samarbete vid incidenthantering enligt artikel 22 och för hantering av större incidenter enligt artikel 23 i denna förordning. Unionens entiteter och CERT-EU ska, när de agerar som personuppgiftsansvariga, tillämpa tekniska åtgärder för att förhindra behandling av särskilda kategorier av personuppgifter för andra ändamål och ska föreskriva lämpliga och specifika åtgärder för att skydda de registrerades grundläggande rättigheter och intressen.
KAPITEL II
ÅTGÄRDER FÖR EN HÖG GEMENSAM CYBERSÄKERHETSNIVÅ
Artikel 14
Vägledningar, rekommendationer och uppmaningar till åtgärder
1. CERT-EU ska stödja genomförandet av denna förordning genom att utfärda
| a) | uppmaningar till åtgärder som beskriver brådskande säkerhetsåtgärder som unionens entiteter uppmanas att vidta inom en fastställd tidsram, |
| b) | förslag till IICB om vägledningar som riktar sig till alla eller en del av unionens entiteter, |
| c) | förslag till IICB om rekommendationer som riktar sig till enskilda unionsentiteter. |
Med avseende på första stycket a ska den berörda unionsentiteten, utan onödigt dröjsmål efter att ha mottagit uppmaningen till åtgärder, informera CERT-EU om hur de brådskande säkerhetsåtgärderna tillämpades.
2. Vägledningar och rekommendationer kan omfatta
| a) | gemensamma metoder och en modell för att bedöma unionsentiteternas nivå av cybersäkerhetmognad, inbegripet motsvarande skalor eller nyckelprestandaindikatorer, som används som referens till stöd för en kontinuerlig förbättring av cybersäkerheten i unionens entiteter, och som underlättar prioriteringen av cybersäkerhetsområden och cybersäkerhetsåtgärder med beaktande av entiteternas cybersäkerhetsstatus, |
| b) | arrangemang för eller förbättringar av riskhanteringen för cybersäkerhet och riskhanteringsåtgärderna för cybersäkerhet, |
| c) | arrangemang för mognadsbedömningar av cybersäkerhet och cybersäkerhetsplaner, |
| d) | när så är lämpligt, användning av gemensam teknik, arkitektur, öppen källkod och tillhörande bästa praxis i syfte att uppnå interoperabilitet och gemensamma standarder, inbegripet en samordnad strategi för säkerhet i leveranskedjan, |
| e) | när så är lämpligt, information för att underlätta användningen av instrument för gemensam upphandling i fråga om inköp av relevanta cybersäkerhetstjänster och cybersäkerhetsprodukter från tredjepartsleverantörer, |
| f) | arrangemang för informationsutbyte enligt artikel 20. |
Artikel 19
Informationshantering
1. Unionens entiteter och CERT-EU ska respektera tystnadsplikt i enlighet med artikel 339 i EUF-fördraget eller likvärdiga tillämpliga ramar.
2. Europaparlamentets och rådets förordning (EG) nr 1049/2001 (10) ska tillämpas på allmänhetens begäranden om tillgång till handlingar som innehas av CERT-EU, inbegripet skyldigheten enligt den förordningen att samråda med unionens övriga entiteter, och i förekommande fall medlemsstaterna, när en begäran rör deras handlingar.
3. Unionsentiteternas och CERT-EU:s hantering av information ska vara förenlig med tillämpliga regler om informationssäkerhet.
Artikel 21
Rapporteringsskyldigheter
1. En incident ska anses vara betydande om
| a) | den har orsakat, eller kan orsaka, allvarliga driftstörningar i verksamheten eller ekonomiska förluster för den berörda unionsentiteten, |
| b) | den har påverkat, eller kan påverka, andra fysiska eller juridiska personer genom att åsamka betydande materiell eller immateriell skada. |
2. Unionens entiteter ska till CERT-EU lämna
| a) | en tidig varning – utan onödigt dröjsmål, och under alla omständigheter inom 24 timmar efter att ha fått kännedom om den betydande incidenten – som i tillämpliga fall ska ange att den betydande incidenten misstänks ha orsakats av olagliga eller avsiktligt skadliga handlingar eller skulle kunna ha entitetsövergripande eller gränsöverskridande konsekvenser, |
| b) | en incidentanmälan – utan onödigt dröjsmål, och under alla omständigheter inom 72 timmar efter att ha fått kännedom om den betydande incidenten – som i tillämpliga fall ska uppdatera den information som avses i led a och ange en första bedömning av den betydande incidenten, dess allvarlighetsgrad och konsekvenser samt, i förekommande fall, angreppsindikatorer, |
| c) | en delrapport – på begäran av CERT-EU – om relevanta statusuppdateringar, |
| d) | en slutrapport – senast en månad efter inlämningen av den incidentanmälan som avses i led b – som ska innehålla
|
| e) | en lägesrapport – i händelse av en pågående incident vid tidpunkten för inlämningen av den slutrapport som avses i led d – vid den tidpunkten och en slutrapport inom en månad efter deras hantering av incidenten. |
3. En unionsentitet ska, utan onödigt dröjsmål och under alla omständigheter inom 24 timmar efter att ha fått kännedom om en betydande incident, informera alla relevanta motparter i medlemsstaterna som avses i artikel 17.1 i den medlemsstat där den är belägen om att en betydande incident har inträffat.
4. Unionens entiteter ska bland annat lämna all information som gör det möjligt för CERT-EU att fastställa eventuella entitetsövergripande konsekvenser, konsekvenser för värdmedlemsstaten eller gränsöverskridande konsekvenser efter en betydande incident. Utan att det påverkar artikel 12 ska själva anmälan inte medföra ökat ansvar för unionsentiteten.
5. I tillämpliga fall ska unionens entiteter utan onödigt dröjsmål informera användarna av de berörda nätverks- och informationssystemen, eller andra komponenter i IKT-miljön, som potentiellt berörs av en betydande incident eller ett betydande cyberhot och, när så är lämpligt, behöver vidta riskreducerande åtgärder, om de åtgärder eller avhjälpande arrangemang som de kan vidta för att hantera denna incident eller detta hot. När så är lämpligt ska unionens entiteter informera dessa användare om det betydande cyberhotet.
6. Om en betydande incident eller ett betydande cyberhot berör ett nätverks- och informationssystem, eller en komponent inom en unionsentitets IKT-miljö som har en avsiktlig sammankoppling med en annan unionsentitets IKT-miljö, ska CERT-EU utfärda en relevant cybersäkerhetsvarning.
7. Unionens entiteter ska, på CERT-EU:s begäran och utan onödigt dröjsmål, förse CERT-EU med digital information som skapats genom användning av elektroniska enheter som är inblandade i deras respektive incident. CERT-EU kan tillhandahålla ytterligare uppgifter om vilka typer av uppgifter som behövs för situationsmedvetenhet och incidenthantering.
8. CERT-EU ska var tredje månad lämna in en sammanfattande rapport till IICB, Enisa, EU Intcen och CSIRT-nätverket med anonymiserade och aggregerade data om betydande incidenter, incidenter, cyberhot, tillbud och sårbarheter enligt artikel 20 och betydande incidenter som anmälts enligt punkt 2 i den här artikeln. Den sammanfattande rapporten ska utgöra underlag till den tvåårsrapport om cybersäkerhetssituationen i unionen som antas enligt artikel 18 i direktiv (EU) 2022/2555.
9. Senast den 8 juli 2024 ska IICB utfärda vägledningar eller rekommendationer som ytterligare specificerar formerna och formatet för samt innehållet i rapporteringen enligt den här artikeln. Vid utarbetandet av sådana riktlinjer eller rekommendationer ska IICB beakta eventuella genomförandeakter som antagits enligt artikel 23.11 i direktiv (EU) 2022/2555 och som specificerar typen av information, formatet och förfarandet för underrättelsen. CERT-EU ska sprida lämpliga tekniska detaljer för att möjliggöra proaktiv upptäckt, incidenthantering eller riskreducerande åtgärder hos unionens entiteter.
10. Rapporteringsskyldigheterna i denna artikel ska inte omfatta
| a) | säkerhetsskyddsklassificerade EU-uppgifter, |
| b) | uppgifter vars vidare spridning har uteslutits genom en synlig markering, såvida inte delning av denna information med CERT-EU uttryckligen har tillåtits. |
whereas