keyboard_tab Cyber Resilience Act 2023/2841 SV
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 4 Behandling av personuppgifter
- 1 Art. 7 Mognadsbedömningar av cybersäkerheten
- 1 Art. 11 IICB:s arbetsuppgifter
- 1 Art. 13 CERT-EU:s uppdrag och arbetsuppgifter
- 3 Art. 17 CERT-EU:s samarbete med motparter i medlemsstaterna
- 1 Art. 18 CERT-EU:s samarbete med andra motparter
- 2 Art. 20 Arrangemang för informationsutbyte om cybersäkerhet
KAPITEL I
ALLMÄNNA BESTÄMMELSER
KAPITEL II
ÅTGÄRDER FÖR EN HÖG GEMENSAM CYBERSÄKERHETSNIVÅ
KAPITEL III
INTERINSTITUTIONELL CYBERSÄKERHETSSTYRELSE
KAPITEL IV
CERT-EU
KAPITEL V
SAMARBETS- OCH RAPPORTERINGSKRAV
KAPITEL VI
SLUTBESTÄMMELSER
- för 46
- artikel 34
- cert-eu 34
- entiteter 30
- eller 29
- unionens 27
- till 24
- information 23
- enligt 21
- får 21
- från 21
- cert-eu:s 19
- incidenter 16
- cert-eu 15
- samarbete 14
- denna 14
- förordning 13
- enlighet 12
- avses 11
- berörda 11
- grundval 11
- inte 11
- motparter 11
- unionsentiteten 10
- när 10
- chef 10
- cyberhot 10
- utbyta 10
- eu / 10
- arbetsuppgifter 10
- iicb 10
- unionsentiteternas 9
- unionsentitet 9
- inbegripet 9
- genom 9
- dess 8
- andra 8
- godkänna 8
- fall 8
- sårbarheter 8
- utan 8
- bidra 8
- förslag 7
- stödja 7
- syfte 7
- genomförandet 7
- cybersäkerhet 7
- begäran 6
- personuppgifter 6
- deras 6
Artikel 4
Behandling av personuppgifter
1. Behandlingen av personuppgifter enligt denna förordning som utförs av CERT-EU, den interinstitutionella cybersäkerhetsstyrelse som inrättas enligt artikel 10 och unionens entiteter ska utföras i enlighet med förordning (EU) 2018/1725.
2. När de utför arbetsuppgifter eller fullgör skyldigheter enligt denna förordning ska CERT-EU, den interinstitutionella cybersäkerhetsstyrelse som inrättas enligt artikel 10 och unionens entiteter behandla och utbyta personuppgifter endast i den utsträckning som är nödvändig och uteslutande i syfte att utföra dessa arbetsuppgifter eller fullgöra dessa skyldigheter.
3. Den behandling av särskilda kategorier av personuppgifter som avses i artikel 10.1 i förordning (EU) 2018/1725 ska anses vara nödvändig av hänsyn till ett viktigt allmänt intresse enligt artikel 10.2 g i den förordningen. Sådana uppgifter får behandlas endast i den utsträckning som krävs för genomförandet av de riskhanteringsåtgärder för cybersäkerhet som avses i artiklarna 6 och 8, för CERT-EU:s tillhandahållande av tjänster i enlighet med artikel 13, för utbyte av incidentspecifik information enligt artiklarna 17.3 och 18.3, för informationsutbyte enligt artikel 20, för rapporteringsskyldigheter enligt artikel 21, för samordning och samarbete vid incidenthantering enligt artikel 22 och för hantering av större incidenter enligt artikel 23 i denna förordning. Unionens entiteter och CERT-EU ska, när de agerar som personuppgiftsansvariga, tillämpa tekniska åtgärder för att förhindra behandling av särskilda kategorier av personuppgifter för andra ändamål och ska föreskriva lämpliga och specifika åtgärder för att skydda de registrerades grundläggande rättigheter och intressen.
KAPITEL II
ÅTGÄRDER FÖR EN HÖG GEMENSAM CYBERSÄKERHETSNIVÅ
Artikel 7
Mognadsbedömningar av cybersäkerheten
1. Senast den 8 juli 2025 och minst vartannat år därefter ska varje unionsentitet utföra en mognadsbedömning av cybersäkerheten omfattande alla delar av dess IKT-miljö.
2. Mognadsbedömningarna av cybersäkerheten ska, när så är lämpligt, utföras med hjälp av en specialiserad tredje part.
3. Unionsentiteter med liknande strukturer får samarbeta vid utförandet av mognadsbedömningar av cybersäkerhet som avser deras respektive entiteter.
4. På grundval av en begäran från den interinstitutionella cybersäkerhetsstyrelse som inrättas enligt artikel 10, och med uttryckligt samtycke från den berörda unionsentiteten, får resultaten av en mognadsbedömning av cybersäkerheten diskuteras inom styrelsen eller den informella gruppen av lokala cybersäkerhetsansvariga i syfte att dra lärdom av tidigare erfarenheter och utbyta bästa praxis.
Artikel 11
IICB:s arbetsuppgifter
I IICB:s befogenheter ingår följande arbetsuppgifter, särskilt att
| a) | ge CERT-EU:s chef vägledning, |
| b) | effektivt övervaka och utöva tillsyn över genomförandet av denna förordning och hjälpa unionens entiteter att stärka sin cybersäkerhet, inbegripet, när så är lämpligt, begära ad hoc-rapporter från unionens entiteter och CERT-EU, |
| c) | efter en strategisk diskussion anta en flerårig strategi för att höja cybersäkerhetsnivån i unionens entiteter, utvärdera denna strategi regelbundet och under alla omständigheter vart femte år, och vid behov ändra strategin, |
| d) | fastställa metoder och organisatoriska aspekter för hur unionsentiteternas frivilliga inbördes utvärderingar ska gå till, i syfte att dra nytta av gemensamma erfarenheter, stärka det ömsesidiga förtroendet, uppnå en hög gemensam cybersäkerhetsnivå samt förbättra unionsentiteternas cybersäkerhetskapacitet, och säkerställa att sådana inbördes utvärderingar utförs av cybersäkerhetsexperter som utsetts av en annan unionsentitet än den unionsentitet som utvärderas och att metoden grundar sig på artikel 19 i direktiv (EU) 2022/2555 och, i förekommande fall, är anpassad till unionsentiteterna, |
| e) | på grundval av ett förslag från CERT-EU:s chef godkänna CERT-EU:s årliga arbetsprogram och övervaka dess genomförande, |
| f) | på grundval av ett förslag från CERT-EU:s chef godkänna CERT-EU:s tjänstekatalog och eventuella uppdateringar av den, |
| g) | på grundval av ett förslag från CERT-EU:s chef godkänna den årliga ekonomiska planeringen av inkomster och utgifter, inbegripet för personal, för CERT-EU:s verksamhet, |
| h) | på grundval av ett förslag från CERT-EU:s chef godkänna arrangemangen för servicenivåavtal, |
| i) | granska och godkänna den årsrapport som utarbetats av CERT-EU:s chef och som omfattar CERT-EU:s verksamhet och förvaltning av medel, |
| j) | godkänna och övervaka de nyckelprestandaindikatorer som har fastställts för CERT-EU på grundval av ett förslag från CERT-EU:s chef, |
| k) | godkänna samarbetsavtal, servicenivåavtal eller avtal mellan CERT-EU och andra entiteter i enlighet med artikel 18, |
| l) | på grundval av ett förslag från CERT-EU anta vägledningar och rekommendationer i enlighet artikel 14 och ge CERT-EU i uppdrag att utfärda, dra tillbaka eller ändra ett förslag till vägledningar eller rekommendationer, eller en uppmaning till åtgärder, |
| m) | inrätta tekniska rådgivande grupper med särskilda arbetsuppgifter för att bistå IICB i dess arbete, godkänna deras mandat och utse deras respektive ordförande, |
| n) | ta emot och bedöma dokument och rapporter som lämnats in av unionens entiteter enligt denna förordning, såsom mognadsbedömningar av cybersäkerheten, |
| o) | underlätta inrättandet av en informell grupp av lokala cybersäkerhetsansvariga från unionens entiteter, med stöd av Enisa, i syfte att utbyta bästa praxis och information i samband med genomförandet av denna förordning, |
| p) | beakta den information om identifierade cybersäkerhetsrisker och tidigare erfarenheter som tillhandahålls av CERT-EU, övervaka lämpligheten i arrangemangen för sammankoppling mellan unionsentiteternas IKT-miljöer och ge råd om möjliga förbättringar, |
| q) | upprätta en cyberkrishanteringsplan i syfte att på operativ nivå stödja en samordnad hantering av större incidenter som berör unionens entiteter och bidra till ett regelbundet utbyte av relevant information, särskilt när det gäller konsekvenserna av och allvarlighetsgraden hos, och möjliga sätt att begränsa effekterna av, större incidenter, |
| r) | samordna antagandet av enskilda unionsentiteters cyberkrishanteringsplaner enligt artikel 9.2, |
| s) | anta rekommendationer om den säkerhet i leveranskedjan som avses i artikel 8.2, första stycket led m, med beaktande av resultaten av samordnade säkerhetsriskbedömningar på unionsnivå av de kritiska leveranskedjor som avses i artikel 22 i direktiv (EU) 2022/2555 för att stödja unionens entiteter vid antagandet av effektiva och proportionella riskhanteringsåtgärder för cybersäkerhet. |
Artikel 13
CERT-EU:s uppdrag och arbetsuppgifter
1. CERT-EU:s uppdrag ska vara att bidra till säkerheten i unionsentiteters icke-säkerhetsskyddsklassificerade IKT-miljö genom att ge dem råd om cybersäkerhet, hjälpa dem att förebygga, upptäcka, hantera, begränsa, bemöta och återställa efter incidenter och genom att fungera som deras nav för utbyte av cybersäkerhetsinformation och samordning av incidenthantering.
2. CERT-EU ska samla in, hantera, analysera och dela information med unionens entiteter om cyberhot, sårbarheter och incidenter som rör icke-säkerhetsskyddsklassificerad IKT-infrastruktur. CERT-EU ska samordna hanteringen av incidenter på interinstitutionell nivå och på unionsentitetsnivå, bland annat genom att ombesörja eller samordna tillhandahållandet av specialiserat operativt stöd.
3. CERT-EU ska utföra följande arbetsuppgifter för unionens entiteter:
| a) | Stödja dem vid genomförandet av denna förordning och bidra till samordningen av genomförandet av denna förordning genom de åtgärder som förtecknas i artikel 14.1 eller genom ad hoc-rapporter som IICB begär. |
| b) | Erbjuda standardiserade CSIRT-tjänster till unionens entiteter med hjälp av ett paket av cybersäkerhetstjänster som beskrivs i dess tjänstekatalog (baslinjetjänster). |
| c) | Upprätthålla ett nätverk av kollegor och partner för att stödja de tjänster som beskrivs i artiklarna 17 och 18. |
| d) | Uppmärksamma IICB på alla problem som rör genomförandet av denna förordning och genomförandet av vägledningarna, rekommendationerna och uppmaningarna till åtgärder. |
| e) | På grundval av den information som avses i punkt 2 och i nära samarbete med Enisa bidra till unionens cybersituationsmedvetenhet. |
| f) | Samordna hanteringen av större incidenter. |
| g) | Agera för unionsentiteternas räkning som motsvarighet till den samordnare som utsetts för samordnad information om sårbarheter enligt artikel 12.1 i direktiv (EU) 2022/2555. |
| h) | På begäran av en unionsentitet, tillhandahålla proaktiv, icke-inkräktande skanning av den unionsentitetens allmänt tillgängliga nätverks- och informationssystem. |
Den information som avses i första stycket e ska delas med IICB, CSIRT-nätverket och Europeiska unionens underrättelse- och lägescentral (EU-Intcen), när så är tillämpligt och lämpligt, och omfattas av lämpliga överenskommelser om konfidentialitet.
4. CERT-EU får i enlighet med artikel 17 eller 18, beroende på vad som är lämpligt, samarbeta med relevanta cybersäkerhetsgrupper inom unionen och dess medlemsstater, bland annat på följande områden:
| a) | Beredskap, incidentsamordning, informationsutbyte och krishantering på teknisk nivå i ärenden som rör unionens entiteter. |
| b) | Operativt samarbete med CSIRT-nätverket, inbegripet om ömsesidigt bistånd. |
| c) | Underrättelser om cyberhot, inbegripet situationsmedvetenhet. |
| d) | Vilket ämne som helst som kräver CERT-EU:s tekniska cybersäkerhetsexpertis. |
5. Inom sitt befogenhetsområde ska CERT-EU inleda ett strukturerat samarbete med Enisa om kapacitetsuppbyggnad, operativt samarbete och långsiktiga strategiska analyser av cyberhot i enlighet med förordning (EU) 2019/881. CERT-EU får samarbeta och utbyta information med Europols europeiska it-brottscentrum.
6. CERT-EU får tillhandahålla följande tjänster som inte beskrivs i dess tjänstekatalog (avgiftsbelagda tjänster):
| a) | Andra tjänster som stöder cybersäkerheten i unionsentiteternas IKT-miljö än dem som avses i punkt 3, på grundval av servicenivåavtal och förutsatt att det finns tillgängliga resurser, särskilt omfattande övervakning av nätverk, även med dygnet-runt-bevakning i första ledet för mycket allvarliga cyberhot. |
| b) | Andra tjänster som stöder unionsentiteternas cybersäkerhetsinsatser eller cybersäkerhetsprojekt än de som skyddar deras IKT-miljö, på grundval av skriftliga avtal och med förhandsgodkännande från IICB. |
| c) | Proaktiv skanning, på begäran, av den berörda unionsentitetens nätverks- och informationssystem för att upptäcka sårbarheter med en potentiellt betydande inverkan. |
| d) | Tjänster som stöder säkerheten i IKT-miljön hos andra organisationer än unionens entiteter vilka har ett nära samarbete med unionens entiteter, till exempel genom att få arbetsuppgifter och ansvar tilldelade enligt unionsrätten, på grundval av skriftliga avtal och med förhandsgodkännande från IICB. |
Med avseende på första stycket d, får CERT-EU undantagsvis, med IICB:s förhandsgodkännande, ingå servicenivåavtal med andra entiteter än unionens entiteter.
7. CERT-EU ska anordna och får delta i cybersäkerhetsövningar eller rekommendera deltagande i befintliga övningar, i tillämpliga fall i nära samarbete med Enisa, för att testa unionsentiteternas cybersäkerhetsnivå.
8. CERT-EU får stödja unionens entiteter när det gäller incidenter i nätverks- och informationssystem som hanterar säkerhetsskyddsklassificerade EU-uppgifter om de berörda unionsentiteterna uttryckligen begär detta i enlighet med deras respektive förfaranden. Tillhandahållandet av stöd från CERT-EU enligt denna punkt ska inte påverka tillämpliga bestämmelser om skyddet av säkerhetsskyddsklassificerade uppgifter.
9. CERT-EU ska informera unionens entiteter om sina förfaranden och processer för incidenthantering.
10. CERT-EU ska, med en hög grad av konfidentialitet och tillförlitlighet, via lämpliga samarbetsmekanismer och rapporteringsvägar, bidra till relevant och anonymiserad information om större incidenter och det sätt på vilket de hanterades. Denna information ska ingå i den rapport som avses i artikel 10.14.
11. CERT-EU ska i samarbete med EDPS stödja berörda unionsentiteter när de hanterar incidenter som medför personuppgiftsincidenter, utan att det påverkar EDPS befogenheter och arbetsuppgifter som tillsynsmyndighet enligt förordning (EU) 2018/1725.
12. CERT-EU får, om unionsentiteternas politiska avdelningar uttryckligen så begär, tillhandahålla teknisk rådgivning eller tekniska synpunkter i relevanta politiska frågor.
Artikel 17
CERT-EU:s samarbete med motparter i medlemsstaterna
1. CERT-EU ska, utan onödigt dröjsmål, samarbeta och utbyta information med motparter i medlemsstaterna, särskilt CSIRT-enheter som utsetts eller inrättats enligt artikel 10 i direktiv (EU) 2022/2555, eller i tillämpliga fall de behöriga myndigheter och gemensamma kontaktpunkter som utsetts eller inrättats enligt artikel 8 i det direktivet, om incidenter, cyberhot, sårbarheter, tillbud, möjliga motåtgärder såväl som bästa praxis och om alla frågor som är relevanta för att förbättra skyddet av IKT-miljön vid unionens entiteter, inbegripet genom det CSIRT-nätverk som inrättats enligt artikel 15 i direktiv (EU) 2022/2555. CERT-EU ska stödja kommissionen i den EU-CyCLONe som inrättats enligt artikel 16 i direktiv (EU) 2022/2555 om den samordnade hanteringen av storskaliga cybersäkerhetsincidenter och cybersäkerhetskriser.
2. När CERT-EU får kännedom om en betydande incident som inträffar inom en medlemsstats territorium ska den utan dröjsmål underrätta alla relevanta motparter i den medlemsstaten, i enlighet med punkt 1.
3. Förutsatt att personuppgifter skyddas i enlighet med unionens tillämpliga dataskyddslagstiftning, ska CERT-EU, utan onödigt dröjsmål, utbyta relevant incidentspecifik information med motparter i medlemsstaterna för att underlätta upptäckt av liknande cyberhot eller incidenter, eller för att bidra till analysen av en incident, utan tillstånd från den berörda unionsentiteten. CERT-EU får utbyta incidentspecifik information som avslöjar identiteten på målet för cybersäkerhetsincidenten endast i något av följande fall:
| a) | Den berörda unionsentiteten ger sitt samtycke. |
| b) | Den berörda unionsentiteten ger inte sitt samtycke i enlighet med led a, men offentliggörandet av den berörda unionsentitetens identitet skulle öka sannolikheten för att incidenter på annat håll skulle undvikas eller begränsas. |
| c) | Den berörda unionsentiteten har redan offentliggjort att den berörts. |
Beslut om utbyte av incidentspecifik information som avslöjar identiteten på målet för incidenten i enlighet med första stycket b ska godkännas av CERT-EU:s chef. Innan CERT-EU utfärdar ett sådant beslut ska CERT-EU skriftligen kontakta den berörda unionsentiteten och tydligt förklara hur avslöjandet av dess identitet skulle bidra till att undvika eller begränsa incidenter på annat håll. CERT-EU:s chef ska tillhandahålla en förklaring och uttryckligen begära att unionsentiteten anger om den samtycker inom en fastställd tidsram. CERT-EU:s chef ska också informera unionsentiteten om att han eller hon, mot bakgrund av den förklaring som lämnats, förbehåller sig rätten att offentliggöra informationen även utan samtycke. Den berörda unionsentiteten ska informeras innan informationen offentliggörs.
Artikel 18
CERT-EU:s samarbete med andra motparter
1. CERT-EU får samarbeta med andra motparter i unionen än dem som avses i artikel 17 vilka omfattas av unionens cybersäkerhetskrav, inbegripet branschspecifika motparter, om verktyg och metoder, såsom teknik, taktik, förfaranden och bästa praxis, och om cyberhot och sårbarheter. För allt samarbete med sådana motparter ska CERT-EU från fall till fall inhämta förhandsgodkännande från IICB. När CERT-EU upprättar samarbete med sådana motparter ska det informera alla de relevanta motparter i medlemsstaterna som avses i artikel 17.1, i den medlemsstat där motparten är belägen. När så är tillämpligt och lämpligt ska sådant samarbete och villkoren för detta, inbegripet när det gäller cybersäkerhet, dataskydd och informationshantering, fastställas i särskilda överenskommelser om konfidentialitet, såsom avtal eller administrativa arrangemang. Överenskommelser om konfidentialitet ska inte kräva något förhandsgodkännande från IICB, men IICB:s ordförande ska informeras. I händelse av ett brådskande och överhängande behov av att utbyta cybersäkerhetsinformation, i unionsentiteternas eller en annan parts intresse, får CERT-EU göra det med en entitet vars särskilda kompetens, kapacitet och expertis rimligen krävs för att tillgodose ett sådant brådskande och överhängande behov, även om CERT-EU inte har någon överenskommelse om konfidentialitet med den entiteten. I sådana fall ska CERT-EU omedelbart informera IICB:s ordförande och rapportera till IICB genom regelbundna rapporter eller möten.
2. CERT-EU får samarbeta med partner, såsom kommersiella entiteter, inbegripet branschspecifika entiteter, internationella organisationer, nationella entiteter eller enskilda experter utanför unionen, för att samla in information om allmänna och specifika cyberhot, tillbud, sårbarheter och möjliga motåtgärder. För ett bredare samarbete med sådana partner ska CERT-EU från fall till fall inhämta förhandsgodkännande från IICB.
3. CERT-EU får, med samtycke från den unionsentitet som berörs av en incident och förutsatt att det finns en överenskommelse eller ett avtal om konfidentalitet med den relevanta motparten eller partnern, lämna information om den specifika incidenten till de motparter eller partner som avses i punkterna 1 och 2 endast i syfte att bidra till dess analys.
KAPITEL V
SAMARBETS- OCH RAPPORTERINGSKRAV
Artikel 20
Arrangemang för informationsutbyte om cybersäkerhet
1. Unionens entiteter får på frivillig basis meddela CERT-EU om och tillhandahålla information om incidenter, cyberhot, tillbud och sårbarheter som berör dem. CERT-EU ska säkerställa att effektiva medel för kommunikation, med en hög grad av spårbarhet, konfidentialitet och tillförlitlighet, finns tillgängliga i syfte att underlätta informationsutbytet med unionens entiteter. CERT-EU får vid behandlingen av underrättelser, ge behandling av obligatoriska underrättelser företräde framför behandling av frivilliga underrättelser. Utan att det påverkar tillämpningen av artikel 12 får ett frivilligt inlämnande av underrättelser inte leda till att den rapporterande unionsentiteten åläggs ytterligare skyldigheter som den inte skulle ha blivit föremål för om den inte hade lämnat in underrättelsen.
2. För att CERT-EU ska kunna utföra de uppdrag och arbetsuppgifter som den tilldelats i enlighet med artikel 13 får CERT-EU begära att unionens entiteter lämnar information från sina respektive IKT-systeminventarier, inbegripet information om cyberhot, tillbud, sårbarheter, angreppsindikatorer, cybersäkerhetsvarningar och rekommendationer avseende konfiguration av cybersäkerhetsverktyg för att upptäcka incidenter. Den unionsentitet som mottar begäran ska utan onödigt dröjsmål översända den begärda informationen och eventuella senare uppdateringar.
3. CERT-EU får med unionens entiteter utbyta incidentspecifik information som avslöjar identiteten på den unionsentitet som berörs av incidenten, under förutsättning att den unionsentitet som berörs samtycker. Om en unionsentitet inte ger sitt samtycke ska den tillhandahålla CERT-EU de skäl som ligger till grund för detta beslut.
4. Unionens entiteter ska på begäran utbyta information med Europaparlamentet och rådet om slutförandet av cybersäkerhetsplanerna.
5. IICB eller CERT-EU, beroende på vad som är tillämpligt, ska på begäran dela riktlinjer, rekommendationer och uppmaningar till åtgärder med Europaparlamentet och rådet.
6. Delningsskyldigheterna i denna artikel ska inte omfatta
| a) | säkerhetsskyddsklassificerade EU-uppgifter, |
| b) | uppgifter vars vidare spridning har uteslutits genom en synlig markering, såvida inte delning av denna information med CERT-EU uttryckligen har tillåtits. |
whereas