keyboard_tab Cyber Resilience Act 2023/2841 SV
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 1 Innehåll
- 1 Art. 3 Definitioner
- 2 Art. 6 Ram för hantering, styrning och kontroll av cybersäkerhetsrisker
- 1 Art. 9 Cybersäkerhetsplaner
- 1 Art. 13 CERT-EU:s uppdrag och arbetsuppgifter
- 2 Art. 21 Rapporteringsskyldigheter
KAPITEL I
ALLMÄNNA BESTÄMMELSER
KAPITEL II
ÅTGÄRDER FÖR EN HÖG GEMENSAM CYBERSÄKERHETSNIVÅ
KAPITEL III
INTERINSTITUTIONELL CYBERSÄKERHETSSTYRELSE
KAPITEL IV
CERT-EU
KAPITEL V
SAMARBETS- OCH RAPPORTERINGSKRAV
KAPITEL VI
SLUTBESTÄMMELSER
- för 42
- eller 39
- artikel 38
- enligt 32
- till 24
- denna 22
- betydande 21
- cert-eu 21
- förordning 19
- eu / 17
- unionens 17
- entiteter 15
- direktiv 13
- information 12
- genomförandet 12
- definitionen 12
- incidenter 12
- utan 12
- cert-eu 11
- får 11
- incident 11
- unionsentitet 11
- inom 11
- ramen 10
- cybersäkerhet 10
- avses 10
- genom 10
- nätverks- 10
- unionsentitetens 9
- cyberhot 9
- efter 9
- andra 9
- dess 9
- berörda 8
- iicb 8
- när 8
- högsta 8
- inte 7
- informationssystem 7
- varje 7
- konsekvenser 7
- åtgärder 7
- incidenten 7
- unionsentitets 7
- samarbete 7
- onödigt 7
- dröjsmål 7
- deras 6
- arbetsuppgifter 6
- hantering 6
Artikel 1
Innehåll
I denna förordning fastställs åtgärder som syftar till att uppnå en hög gemensam cybersäkerhetsnivå inom unionsentiteterna med avseende på
| a) | varje unionsentitets inrättande av en intern ram för hantering, styrning och kontroll av cybersäkerhetsrisker enligt artikel 6, |
| b) | riskhantering, rapportering och informationsutbyte på cybersäkerhetsområdet, |
| c) | organisationen av, funktionssättet hos och driften av den interinstitutionella cybersäkerhetsstyrelse som inrättas enligt artikel 10 samt organisationen av, funktionssättet hos och driften av cybersäkerhetstjänsten för unionens institutioner, organ och byråer (CERT-EU), |
| d) | övervakningen av genomförandet av denna förordning. |
Artikel 3
Definitioner
I denna förordning gäller följande definitioner:
| 1. | unionens entiteter: de unionsinstitutioner, unionsorgan och unionsbyråer som inrättats genom, eller enligt fördraget om Europeiska unionen, fördraget om Europeiska unionens funktionssätt (EUF-fördraget) eller fördraget om upprättandet av Europeiska atomenergigemenskapen. |
| 2. | nätverks- och informationssystem: ett nätverks- och informationssystem enligt definitionen i artikel 6.1 i direktiv (EU) 2022/2555. |
| 3. | säkerhet i nätverks- och informationssystem: säkerhet i nätverks- och informationssystem enligt definitionen i artikel 6.2 i direktiv (EU) 2022/2555. |
| 4. | cybersäkerhet: cybersäkerhet enligt definitionen i artikel 2.1 i förordning (EU) 2019/881. |
| 5. | högsta ledningsnivå: en chef, ett ledningsorgan eller ett samordnings- och tillsynsorgan med ansvar för en unionsentitets funktionssätt, på den högsta administrativa nivån, med mandat att fatta eller godkänna beslut i linje med styrningsarrangemangen på hög nivå inom den unionsentiteten, utan att det påverkar andra ledningsnivåers formella ansvar för efterlevnad och hantering av cybersäkerhetsrisker inom respektive ansvarsområde. |
| 6. | tillbud: ett tillbud enligt definitionen i artikel 6.5 i direktiv (EU) 2022/2555. |
| 7. | incident: en incident enligt definitionen i artikel 6.6 i direktiv (EU) 2022/2555. |
| 8. | större incident: en incident som orsakar störningar som är så omfattande att en unionsentitet och CERT-EU inte kan hantera dem eller som har en betydande påverkan på åtminstone två unionsentiteter. |
| 9. | storskalig cybersäkerhetsincident: en storskalig cybersäkerhetsincident enligt definitionen i artikel 6.7 i direktiv (EU) 2022/2555. |
| 10. | incidenthantering: incidenthantering enligt definitionen i artikel 6.8 i direktiv (EU) 2022/2555. |
| 11. | cyberhot: ett cyberhot enligt definitionen i artikel 2.8 i förordning (EU) 2019/881. |
| 12. | betydande cyberhot: ett betydande cyberhot enligt definitionen i artikel 6.11 i direktiv (EU) 2022/2555. |
| 13. | sårbarhet: en sårbarhet enligt definitionen i artikel 6.15 i direktiv (EU) 2022/2555. |
| 14. | cybersäkerhetsrisk: en risk enligt definitionen i artikel 6.9 i direktiv (EU) 2022/2555. |
| 15. | molntjänst: en molntjänst enligt definitionen i artikel 6.30 i direktiv (EU) 2022/2555. |
Artikel 6
Ram för hantering, styrning och kontroll av cybersäkerhetsrisker
1. Senast den 8 april 2025 ska varje unionsentitet, efter att ha genomfört en första översyn av cybersäkerheten, såsom en revision, inrätta en intern ram för hantering, styrning och kontroll av cybersäkerhetsrisker (ramen). Inrättandet av ramen ska övervakas av och ske under ansvar av unionsentitetens högsta ledningsnivå.
2. Ramen ska omfatta hela den icke-säkerhetsskyddsklassificerade IKT-miljön för unionsentiteten i fråga, inbegripet alla IKT-miljöer på plats, nätverk för operativ teknik, utkontrakterade tillgångar och tjänster i molnbaserade miljöer eller som förvaltas av tredje part, mobila enheter, interna nätverk, företagsnätverk som inte är anslutna till internet och alla enheter som är anslutna till dessa miljöer (IKT-miljön). Ramen ska bygga på en allriskstrategi.
3. Ramen ska säkerställa en hög cybersäkerhetsnivå. Ramen ska fastställa interna strategier för cybersäkerhet, inbegripet mål och prioriteringar, för säkerheten i nätverks- och informationssystem samt roller och ansvarsområden för unionsentitetens personal som har till uppgift att säkerställa ett effektivt genomförande av denna förordning. Ramen ska också innehålla mekanismer för att mäta hur effektivt genomförandet är.
4. Ramen ska ses över regelbundet mot bakgrund av de föränderliga cybersäkerhetsriskerna, och åtminstone vart fjärde år. När så är lämpligt och på begäran från den interinstitutionella cybersäkerhetsstyrelse som inrättas enligt artikel 10, får ramen för en unionsentitet uppdateras på grundval av vägledning från CERT-EU avseende identifierade incidenter eller eventuella konstaterade brister i genomförandet av denna förordning.
5. Varje unionsentitets högsta ledningsnivå ska ansvara för genomförandet av denna förordning och ska övervaka att dess organisation fullgör sina skyldigheter i fråga om ramen.
6. När så är lämpligt och utan att det påverkar dess ansvar för genomförandet av denna förordning får varje unionsentitets högsta ledningsnivå delegera vissa skyldigheter enligt denna förordning till högre tjänstemän i den mening som avses i artikel 29.2 i tjänsteföreskrifterna eller andra tjänstemän på motsvarande nivå inom den berörda unionsentiteten. Även om dessa skyldigheter delegeras kan den högsta ledningsnivån hållas ansvarig för den berörda unionsentitetens överträdelser av denna förordning.
7. Varje unionsentitet ska ha effektiva mekanismer för att säkerställa att en lämplig andel av IKT-budgeten spenderas på cybersäkerhet. Vid fastställandet av denna andel ska vederbörlig hänsyn tas till ramen.
8. Varje unionsentitet ska utse en lokal cybersäkerhetsansvarig eller motsvarande funktion som ska fungera som dess gemensamma kontaktpunkt för alla aspekter av cybersäkerhet. Den lokala cybersäkerhetsansvariga ska underlätta genomförandet av denna förordning och regelbundet rapportera om genomförandet direkt till den högsta ledningsnivån. Utan att det påverkar den lokala cybersäkerhetsansvarigas funktion som den gemensamma kontaktpunkten i varje unionsentitet får en unionsentitet delegera vissa av den lokala cybersäkerhetsansvarigas arbetsuppgifter när det gäller genomförandet av denna förordning till CERT-EU på grundval av ett servicenivåavtal mellan den unionsentiteten och CERT-EU, eller så får arbetsuppgifterna delas mellan flera unionsentiteter. När dessa arbetsuppgifter delegeras till CERT-EU ska den interinstitutionella cybersäkerhetsstyrelse som inrättas enligt artikel 10 besluta om huruvida tillhandahållandet av denna tjänst ska ingå i CERT-EU:s baslinjetjänster, med beaktande av den berörda unionsentitetens personalresurser och ekonomiska resurser. Varje unionsentitet ska utan onödigt dröjsmål meddela CERT-EU om utsedda lokala cybersäkerhetsansvariga och alla senare ändringar därav.
CERT-EU ska upprätta och föra en uppdaterad förteckning över utsedda lokala cybersäkerhetsansvariga.
9. Högre tjänstemän i den mening som avses i artikel 29.2 i tjänsteföreskrifterna eller andra tjänstemän på motsvarande nivå i varje unionsentitet samt all relevant personal som har till uppgift att genomföra de riskhanteringsåtgärder och att uppfylla de skyldigheter avseende cybersäkerhet som fastställs i denna förordning, ska regelbundet genomgå särskild utbildning för att få tillräckliga kunskaper och färdigheter så att de kan förstå och bedöma cybersäkerhetsrisker och rutiner för hantering av cybersäkerhet och deras inverkan på unionsentitetens verksamhet.
Artikel 9
Cybersäkerhetsplaner
1. Som en uppföljning av slutsatsen från den mognadsbedömning av cybersäkerheten som utförts enligt artikel 7 och med beaktande av de tillgångar och cybersäkerhetsrisker som identifierats i ramen samt de riskhanteringsåtgärder för cybersäkerhet som vidtagits enligt artikel 8, ska varje unionsentitets högsta ledningsnivå godkänna en cybersäkerhetsplan utan onödigt dröjsmål, och under alla omständigheter senaste den 8 januari 2026. Cybersäkerhetsplanen ska syfta till att öka unionsentitetens övergripande cybersäkerhet och ska därigenom bidra till att förbättra en hög gemensam cybersäkerhetsnivå inom unionsentiteterna. Cybersäkerhetsplanen ska omfatta åtminstone de riskhanteringsåtgärder för cybersäkerhet som vidtagits enligt artikel 8. Cybersäkerhetsplanen ska ses över vartannat år, eller mer frekvent vid behov, efter de mognadsbedömningar av cybersäkerheten som gjorts enligt artikel 7 eller en annan betydande översyn av ramen.
2. Cybersäkerhetsplanen ska omfatta unionsentitetens cyberkrishanteringsplan för större incidenter.
3. Unionsentiteten ska överlämna sin färdiga cybersäkerhetsplan till den interinstitutionella cybersäkerhetsstyrelse som inrättas enligt artikel 10.
KAPITEL III
INTERINSTITUTIONELL CYBERSÄKERHETSSTYRELSE
Artikel 13
CERT-EU:s uppdrag och arbetsuppgifter
1. CERT-EU:s uppdrag ska vara att bidra till säkerheten i unionsentiteters icke-säkerhetsskyddsklassificerade IKT-miljö genom att ge dem råd om cybersäkerhet, hjälpa dem att förebygga, upptäcka, hantera, begränsa, bemöta och återställa efter incidenter och genom att fungera som deras nav för utbyte av cybersäkerhetsinformation och samordning av incidenthantering.
2. CERT-EU ska samla in, hantera, analysera och dela information med unionens entiteter om cyberhot, sårbarheter och incidenter som rör icke-säkerhetsskyddsklassificerad IKT-infrastruktur. CERT-EU ska samordna hanteringen av incidenter på interinstitutionell nivå och på unionsentitetsnivå, bland annat genom att ombesörja eller samordna tillhandahållandet av specialiserat operativt stöd.
3. CERT-EU ska utföra följande arbetsuppgifter för unionens entiteter:
| a) | Stödja dem vid genomförandet av denna förordning och bidra till samordningen av genomförandet av denna förordning genom de åtgärder som förtecknas i artikel 14.1 eller genom ad hoc-rapporter som IICB begär. |
| b) | Erbjuda standardiserade CSIRT-tjänster till unionens entiteter med hjälp av ett paket av cybersäkerhetstjänster som beskrivs i dess tjänstekatalog (baslinjetjänster). |
| c) | Upprätthålla ett nätverk av kollegor och partner för att stödja de tjänster som beskrivs i artiklarna 17 och 18. |
| d) | Uppmärksamma IICB på alla problem som rör genomförandet av denna förordning och genomförandet av vägledningarna, rekommendationerna och uppmaningarna till åtgärder. |
| e) | På grundval av den information som avses i punkt 2 och i nära samarbete med Enisa bidra till unionens cybersituationsmedvetenhet. |
| f) | Samordna hanteringen av större incidenter. |
| g) | Agera för unionsentiteternas räkning som motsvarighet till den samordnare som utsetts för samordnad information om sårbarheter enligt artikel 12.1 i direktiv (EU) 2022/2555. |
| h) | På begäran av en unionsentitet, tillhandahålla proaktiv, icke-inkräktande skanning av den unionsentitetens allmänt tillgängliga nätverks- och informationssystem. |
Den information som avses i första stycket e ska delas med IICB, CSIRT-nätverket och Europeiska unionens underrättelse- och lägescentral (EU-Intcen), när så är tillämpligt och lämpligt, och omfattas av lämpliga överenskommelser om konfidentialitet.
4. CERT-EU får i enlighet med artikel 17 eller 18, beroende på vad som är lämpligt, samarbeta med relevanta cybersäkerhetsgrupper inom unionen och dess medlemsstater, bland annat på följande områden:
| a) | Beredskap, incidentsamordning, informationsutbyte och krishantering på teknisk nivå i ärenden som rör unionens entiteter. |
| b) | Operativt samarbete med CSIRT-nätverket, inbegripet om ömsesidigt bistånd. |
| c) | Underrättelser om cyberhot, inbegripet situationsmedvetenhet. |
| d) | Vilket ämne som helst som kräver CERT-EU:s tekniska cybersäkerhetsexpertis. |
5. Inom sitt befogenhetsområde ska CERT-EU inleda ett strukturerat samarbete med Enisa om kapacitetsuppbyggnad, operativt samarbete och långsiktiga strategiska analyser av cyberhot i enlighet med förordning (EU) 2019/881. CERT-EU får samarbeta och utbyta information med Europols europeiska it-brottscentrum.
6. CERT-EU får tillhandahålla följande tjänster som inte beskrivs i dess tjänstekatalog (avgiftsbelagda tjänster):
| a) | Andra tjänster som stöder cybersäkerheten i unionsentiteternas IKT-miljö än dem som avses i punkt 3, på grundval av servicenivåavtal och förutsatt att det finns tillgängliga resurser, särskilt omfattande övervakning av nätverk, även med dygnet-runt-bevakning i första ledet för mycket allvarliga cyberhot. |
| b) | Andra tjänster som stöder unionsentiteternas cybersäkerhetsinsatser eller cybersäkerhetsprojekt än de som skyddar deras IKT-miljö, på grundval av skriftliga avtal och med förhandsgodkännande från IICB. |
| c) | Proaktiv skanning, på begäran, av den berörda unionsentitetens nätverks- och informationssystem för att upptäcka sårbarheter med en potentiellt betydande inverkan. |
| d) | Tjänster som stöder säkerheten i IKT-miljön hos andra organisationer än unionens entiteter vilka har ett nära samarbete med unionens entiteter, till exempel genom att få arbetsuppgifter och ansvar tilldelade enligt unionsrätten, på grundval av skriftliga avtal och med förhandsgodkännande från IICB. |
Med avseende på första stycket d, får CERT-EU undantagsvis, med IICB:s förhandsgodkännande, ingå servicenivåavtal med andra entiteter än unionens entiteter.
7. CERT-EU ska anordna och får delta i cybersäkerhetsövningar eller rekommendera deltagande i befintliga övningar, i tillämpliga fall i nära samarbete med Enisa, för att testa unionsentiteternas cybersäkerhetsnivå.
8. CERT-EU får stödja unionens entiteter när det gäller incidenter i nätverks- och informationssystem som hanterar säkerhetsskyddsklassificerade EU-uppgifter om de berörda unionsentiteterna uttryckligen begär detta i enlighet med deras respektive förfaranden. Tillhandahållandet av stöd från CERT-EU enligt denna punkt ska inte påverka tillämpliga bestämmelser om skyddet av säkerhetsskyddsklassificerade uppgifter.
9. CERT-EU ska informera unionens entiteter om sina förfaranden och processer för incidenthantering.
10. CERT-EU ska, med en hög grad av konfidentialitet och tillförlitlighet, via lämpliga samarbetsmekanismer och rapporteringsvägar, bidra till relevant och anonymiserad information om större incidenter och det sätt på vilket de hanterades. Denna information ska ingå i den rapport som avses i artikel 10.14.
11. CERT-EU ska i samarbete med EDPS stödja berörda unionsentiteter när de hanterar incidenter som medför personuppgiftsincidenter, utan att det påverkar EDPS befogenheter och arbetsuppgifter som tillsynsmyndighet enligt förordning (EU) 2018/1725.
12. CERT-EU får, om unionsentiteternas politiska avdelningar uttryckligen så begär, tillhandahålla teknisk rådgivning eller tekniska synpunkter i relevanta politiska frågor.
Artikel 21
Rapporteringsskyldigheter
1. En incident ska anses vara betydande om
| a) | den har orsakat, eller kan orsaka, allvarliga driftstörningar i verksamheten eller ekonomiska förluster för den berörda unionsentiteten, |
| b) | den har påverkat, eller kan påverka, andra fysiska eller juridiska personer genom att åsamka betydande materiell eller immateriell skada. |
2. Unionens entiteter ska till CERT-EU lämna
| a) | en tidig varning – utan onödigt dröjsmål, och under alla omständigheter inom 24 timmar efter att ha fått kännedom om den betydande incidenten – som i tillämpliga fall ska ange att den betydande incidenten misstänks ha orsakats av olagliga eller avsiktligt skadliga handlingar eller skulle kunna ha entitetsövergripande eller gränsöverskridande konsekvenser, |
| b) | en incidentanmälan – utan onödigt dröjsmål, och under alla omständigheter inom 72 timmar efter att ha fått kännedom om den betydande incidenten – som i tillämpliga fall ska uppdatera den information som avses i led a och ange en första bedömning av den betydande incidenten, dess allvarlighetsgrad och konsekvenser samt, i förekommande fall, angreppsindikatorer, |
| c) | en delrapport – på begäran av CERT-EU – om relevanta statusuppdateringar, |
| d) | en slutrapport – senast en månad efter inlämningen av den incidentanmälan som avses i led b – som ska innehålla
|
| e) | en lägesrapport – i händelse av en pågående incident vid tidpunkten för inlämningen av den slutrapport som avses i led d – vid den tidpunkten och en slutrapport inom en månad efter deras hantering av incidenten. |
3. En unionsentitet ska, utan onödigt dröjsmål och under alla omständigheter inom 24 timmar efter att ha fått kännedom om en betydande incident, informera alla relevanta motparter i medlemsstaterna som avses i artikel 17.1 i den medlemsstat där den är belägen om att en betydande incident har inträffat.
4. Unionens entiteter ska bland annat lämna all information som gör det möjligt för CERT-EU att fastställa eventuella entitetsövergripande konsekvenser, konsekvenser för värdmedlemsstaten eller gränsöverskridande konsekvenser efter en betydande incident. Utan att det påverkar artikel 12 ska själva anmälan inte medföra ökat ansvar för unionsentiteten.
5. I tillämpliga fall ska unionens entiteter utan onödigt dröjsmål informera användarna av de berörda nätverks- och informationssystemen, eller andra komponenter i IKT-miljön, som potentiellt berörs av en betydande incident eller ett betydande cyberhot och, när så är lämpligt, behöver vidta riskreducerande åtgärder, om de åtgärder eller avhjälpande arrangemang som de kan vidta för att hantera denna incident eller detta hot. När så är lämpligt ska unionens entiteter informera dessa användare om det betydande cyberhotet.
6. Om en betydande incident eller ett betydande cyberhot berör ett nätverks- och informationssystem, eller en komponent inom en unionsentitets IKT-miljö som har en avsiktlig sammankoppling med en annan unionsentitets IKT-miljö, ska CERT-EU utfärda en relevant cybersäkerhetsvarning.
7. Unionens entiteter ska, på CERT-EU:s begäran och utan onödigt dröjsmål, förse CERT-EU med digital information som skapats genom användning av elektroniska enheter som är inblandade i deras respektive incident. CERT-EU kan tillhandahålla ytterligare uppgifter om vilka typer av uppgifter som behövs för situationsmedvetenhet och incidenthantering.
8. CERT-EU ska var tredje månad lämna in en sammanfattande rapport till IICB, Enisa, EU Intcen och CSIRT-nätverket med anonymiserade och aggregerade data om betydande incidenter, incidenter, cyberhot, tillbud och sårbarheter enligt artikel 20 och betydande incidenter som anmälts enligt punkt 2 i den här artikeln. Den sammanfattande rapporten ska utgöra underlag till den tvåårsrapport om cybersäkerhetssituationen i unionen som antas enligt artikel 18 i direktiv (EU) 2022/2555.
9. Senast den 8 juli 2024 ska IICB utfärda vägledningar eller rekommendationer som ytterligare specificerar formerna och formatet för samt innehållet i rapporteringen enligt den här artikeln. Vid utarbetandet av sådana riktlinjer eller rekommendationer ska IICB beakta eventuella genomförandeakter som antagits enligt artikel 23.11 i direktiv (EU) 2022/2555 och som specificerar typen av information, formatet och förfarandet för underrättelsen. CERT-EU ska sprida lämpliga tekniska detaljer för att möjliggöra proaktiv upptäckt, incidenthantering eller riskreducerande åtgärder hos unionens entiteter.
10. Rapporteringsskyldigheterna i denna artikel ska inte omfatta
| a) | säkerhetsskyddsklassificerade EU-uppgifter, |
| b) | uppgifter vars vidare spridning har uteslutits genom en synlig markering, såvida inte delning av denna information med CERT-EU uttryckligen har tillåtits. |
whereas