Artikelen bij COM(2022)122 - Maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie

Dit is een beperkte versie

U kijkt naar een beperkte versie van dit dossier in de EU Monitor.



Hoofdstuk I
INLEIDING

Artikel 1
Onderwerp

Bij deze verordening worden de volgende voorschriften vastgesteld:

(a) verplichtingen voor de instellingen, organen en instanties van de Unie om een intern kader voor het beheer, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s op te zetten;

(b) verplichtingen voor de instellingen, organen en instanties van de Unie inzake risicobeheer en rapportage op het gebied van cyberbeveiliging;

(c) voorschriften inzake de organisatie en werking van het cyberbeveiligingscentrum voor de instellingen, organen en instanties van de Unie (hierna “CERT-EU” genoemd) en de interinstitutionele raad voor cyberbeveiliging (hierna “IICB” genoemd).

Artikel 2
Toepassingsgebied

Deze verordening is van toepassing op het beheer, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s door de instellingen, organen en instanties van de Unie en op de organisatie en de werking van CERT-EU en de interinstitutionele raad voor cyberbeveiliging.

Artikel 3
Definities

Voor de toepassing van deze verordening wordt verstaan onder:

(1) “instellingen, organen en instanties van de Unie”: instellingen, organen en instanties van de Unie die zijn opgericht bij of krachtens het Verdrag betreffende de Europese Unie, het Verdrag betreffende de werking van de Europese Unie of het Verdrag tot oprichting van de Europese Gemeenschap voor Atoomenergie;

(2) “netwerk- en informatiesysteem”: een netwerk- en informatiesysteem in de zin van artikel 4, punt 1, van richtlijn [NIS 2-voorstel];

(3) “beveiliging van netwerk- en informatiesystemen”: beveiliging van netwerk- en informatiesystemen in de zin van artikel 4, punt 2, van richtlijn [NIS 2-voorstel];

(4) “cyberbeveiliging”: cyberbeveiliging in de zin van artikel 4, punt 3, van richtlijn [NIS 2-voorstel];

(5) “hoogste managementniveau”: een leidinggevende, een leidinggevend of coördinatie- en toezichtorgaan op het hoogste bestuurlijke niveau, met inachtneming van de bestuursregelingen op hoog niveau binnen de individuele instellingen, organen en instanties van de Unie;

(6) “incident”: een incident in de zin van artikel 4, punt 5, van richtlijn [NIS 2-voorstel];

(7) “significant incident”: een incident, tenzij het beperkte gevolgen heeft en de methode of technologie waarschijnlijk al afdoende bekend is;

(8) “grootscheepse aanval”: een incident waarvoor meer middelen nodig zijn dan beschikbaar bij de getroffen instelling, orgaan of instantie van de Unie en bij CERT-EU;

(9) “incidentenbehandeling”: incidentenbehandeling in de zin van artikel 4, punt 6, van richtlijn [NIS 2-voorstel];

(10) “cyberdreiging”: cyberdreiging in de zin van artikel 2, punt 8, van Verordening (EU) 2019/881;

(11) “significante cyberdreiging”: een cyberdreiging met de bedoeling, de gelegenheid en het vermogen om een significant incident te veroorzaken;

(12) “kwetsbaarheid”: kwetsbaarheid in de zin van artikel 4, punt 8, van richtlijn [NIS 2-voorstel];

(13) “significante kwetsbaarheid”: een kwetsbaarheid die, indien uitgebuit, waarschijnlijk tot een significant incident leidt;

(14) “cyberbeveiligingsrisico”: elke redelijkerwijs vast te stellen omstandigheid of gebeurtenis met een mogelijk schadelijk effect op de beveiliging van netwerk- en informatiesystemen;

(15) “gezamenlijke cybereenheid”: een virtueel en fysiek samenwerkingsplatform voor de verschillende cyberbeveiligingsgemeenschappen in de Unie, gericht op operationele en technische coördinatie bij grote grensoverschrijdende cyberdreigingen en incidenten in de zin van de aanbeveling van de Commissie van 23 juni 2021;

(16) “basisniveau van cyberbeveiliging”: minimale voorschriften voor cyberbeveiliging waaraan netwerk- en informatiesystemen en de beheerders en gebruikers ervan moeten voldoen om cyberbeveiligingsrisico’s te beperken.

Hoofdstuk II
MAATREGELEN VOOR EEN HOOG GEZAMENLIJK NIVEAU VAN CYBERBEVEILIGING

Artikel 4
Risicobeheer, governance en toezicht

1. Bij de uitoefening van hun institutionele autonomie zetten de instellingen, organen en instanties van de Unie elk een intern kader voor het beheer, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s op (hierna “het kader” genoemd), ter ondersteuning van de missie van die entiteit. Dit geschiedt onder toezicht van het hoogste managementniveau van die entiteit, om een doeltreffend en prudent beheer van alle cyberbeveiligingsrisico’s te waarborgen. Het kader moet uiterlijk … [15 maanden na de inwerkingtreding van deze verordening] zijn voltooid.

2. Het kader omvat de gehele IT-omgeving van de instelling, het orgaan of de instantie, met inbegrip van de IT-omgeving on site, uitbestede activa en diensten in cloudcomputingomgevingen of gehost door derden, mobiele apparatuur, bedrijfsnetwerken, zakelijke netwerken die niet met het internet verbonden zijn, en met de IT-omgeving verbonden apparaten. Het kader houdt rekening met bedrijfscontinuïteit en crisisbeheer, de beveiliging van de toeleveringsketen en het beheer van menselijke risico’s die gevolgen kunnen hebben voor de cyberbeveiliging van de instellingen, organen en instanties van de Unie.

3. Het hoogste managementniveau van de individuele instellingen, organen en instanties van de Unie houdt toezicht op de naleving door hun organisatie van de verplichtingen in verband met het beheer, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s, onverminderd de formele verantwoordelijkheden van andere managementlagen voor naleving en risicobeheer binnen hun respectieve bevoegdheid.

4. De instellingen, organen en instanties van de Unie beschikken over doeltreffende mechanismen om te waarborgen dat een passend percentage van de IT-begroting aan cyberbeveiliging wordt besteed.

5. De instellingen, organen en instanties van de Unie stellen elk een lokale cyberbeveiligingsfunctionaris of een gelijkwaardige functionaris aan, die fungeert als het centrale contactpunt voor alle cyberbeveiligingsaspecten.

Artikel 5
Basisniveau van cyberbeveiliging

1. Het hoogste managementniveau van de individuele instellingen, organen en instanties van de Unie keurt voor de eigen entiteit een basisniveau van cyberbeveiliging goed om de in het kader van de in artikel 4, lid 1, bedoelde risico’s aan te pakken. Dit geschiedt ter ondersteuning van de missie en bij de uitoefening van hun institutionele autonomie. Het basisniveau van cyberbeveiliging is uiterlijk … [18 maanden na de inwerkingtreding van deze verordening] van kracht en heeft betrekking op de in bijlage I vermelde domeinen en de in bijlage II vermelde maatregelen.

2. Het hogere management van de instellingen, organen en instanties van de Unie volgt regelmatig specifieke opleidingen om voldoende kennis en vaardigheden op te doen om risico- en beheerspraktijken op het gebied van cyberbeveiliging en de gevolgen daarvan op de activiteiten van de organisatie te begrijpen en te beoordelen.

Artikel 6
Maturiteitsbeoordelingen

De individuele instellingen, organen en instanties van de Unie voeren ten minste om de drie jaar een maturiteitsbeoordeling van de cyberbeveiliging uit die alle elementen van hun IT-omgeving zoals beschreven in artikel 4 omvat, met inachtneming van de overeenkomstig artikel 13 vastgestelde toepasselijke richtsnoeren en aanbevelingen.

Artikel 7
Cyberbeveiligingsplannen

1. Naar aanleiding van de conclusies uit de maturiteitsbeoordeling en met inachtneming van de uit hoofde van artikel 4 aangeduide activa en risico’s keurt het hoogste managementniveau van de individuele instellingen, organen en instanties van de Unie na de opstelling van het kader voor het beheer, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s en van het basisniveau van cyberbeveiliging onverwijld een cyberbeveiligingsplan goed. Het plan beoogt de algehele cyberbeveiliging van de betrokken entiteit te versterken en aldus bij te dragen tot de verwezenlijking of verhoging van een hoog gezamenlijk niveau van cyberbeveiliging bij de instellingen, organen en instanties van de Unie. Ter ondersteuning van de missie van de entiteit en in de uitoefening van hun institutionele autonomie, omvat het plan ten minste de in bijlage I vermelde domeinen en de in bijlage II vermelde maatregelen, en de maatregelen in verband met de paraatheid bij, het reageren op en het herstel van incidenten, zoals toezicht op en registratie van de beveiliging. Het plan wordt ten minste om de drie jaar herzien naar aanleiding van de overeenkomstig artikel 6 uitgevoerde maturiteitsbeoordelingen.

2. Het cyberbeveiligingsplan omvat de rollen en verantwoordelijkheden van het personeel voor de uitvoering ervan.

3. Het cyberbeveiligingsplan houdt rekening met de toepasselijke richtsnoeren en aanbevelingen van CERT-EU.

Artikel 8
Uitvoering

1. Na voltooiing van de maturiteitsbeoordelingen zenden de instellingen, organen en instanties van de Unie die naar de interinstitutionele raad voor cyberbeveiliging. Na voltooiing van de cyberbeveiligingsplannen stellen de instellingen, organen en instanties van de Unie de interinstitutionele raad voor cyberbeveiliging daarvan in kennis. Op verzoek van de raad brengen zij verslag uit over specifieke aspecten betreffende dit hoofdstuk.

2. Overeenkomstig artikel 13 uitgevaardigde richtsnoeren en aanbevelingen ondersteunen de uitvoering van dit hoofdstuk.

Hoofdstuk III
INTERINSTITUTIONELE RAAD VOOR CYBERBEVEILIGING

Artikel 9
Interinstitutionele raad voor cyberbeveiliging

1. Er wordt een interinstitutionele raad voor cyberbeveiliging (IICB) opgericht.

2. De IICB is verantwoordelijk voor:

(a) het toezicht op de uitvoering van deze verordening door de instellingen, organen en instanties van de Unie;

(b) het toezicht op de uitvoering van de algemene prioriteiten en doelstellingen door CERT-EU en het geven van strategische leiding aan CERT-EU.

3. De IICB bestaat uit drie vertegenwoordigers die door het netwerk van EU-agentschappen (EUAN) op voorstel van zijn adviescomité voor ICT worden benoemd om de belangen te behartigen van de organen en instanties die hun eigen IT-omgeving beheren, en één vertegenwoordiger, aangewezen door ieder van de volgende:

(a) het Europees Parlement;

(b) de Raad van de Europese Unie;

(c) de Europese Commissie;

(d) het Hof van Justitie van de Europese Unie;

(e) de Europese Centrale Bank;

(f) de Europese Rekenkamer,

(g) de Europese Dienst voor extern optreden;

(h) het Europees Economisch en Sociaal Comité;

(i) het Europees Comité van de Regio’s;

(j) de Europese Investeringsbank;

(k) het agentschap van de Europese Unie voor cyberbeveiliging.

De leden kunnen door een plaatsvervanger worden bijgestaan. Andere vertegenwoordigers van de hierboven vermelde organisaties, of andere instellingen, organen en instanties van de Unie kunnen door de voorzitter worden uitgenodigd om zonder stemrecht aan IICB-vergaderingen deel te nemen.

4. De IICB stelt zijn reglement van orde vast.

5. De IICB wijst overeenkomstig zijn reglement van orde uit zijn leden een voorzitter aan voor een periode van vier jaar. Zijn of haar plaatsvervanger wordt voor dezelfde duur volwaardig lid van de IICB.

6. De IICB komt bijeen op initiatief van zijn voorzitter, op verzoek van CERT-EU of van een van zijn leden.

7. Elk lid van de IICB heeft één stem. Tenzij in deze verordening anders is bepaald, worden de besluiten van de IICB genomen met gewone meerderheid. De voorzitter stemt uitsluitend bij staking van de stemmen; dan geeft zijn stem de doorslag.

8. De IICB kan handelen door middel van een vereenvoudigde schriftelijke procedure conform zijn reglement van orde. Op grond van die procedure wordt het desbetreffende besluit geacht binnen de door de voorzitter vastgestelde termijn te zijn goedgekeurd, tenzij een lid bezwaar maakt.

9. Het hoofd van CERT-EU of zijn plaatsvervanger neemt deel aan IICB-vergaderingen, tenzij de IICB anders beslist.

10. Het secretariaat van de IICB wordt verzorgd door de Commissie.

11. De op voorstel van het adviescomité voor ICT door het EUAN benoemde vertegenwoordigers brengen de besluiten van de IICB over aan de organen en gemeenschappelijke ondernemingen van de Unie. Organen en instanties van de Unie mogen iedere kwestie die zij voor de IICB van belang achten, aan de vertegenwoordigers of de voorzitter van de IICB voorleggen.

12. De IICB kan handelen door middel van een door de voorzitter ingestelde vereenvoudigde schriftelijke procedure, op grond waarvan het desbetreffende besluit wordt geacht binnen de door de voorzitter vastgestelde termijn te zijn goedgekeurd, tenzij een lid bezwaar maakt.

13. De IICB kan een uitvoerend comité benoemen om hem bij zijn werkzaamheden bij te staan, en een aantal van zijn taken en bevoegdheden daaraan delegeren. De IICB stelt het reglement van orde van het uitvoerend comité vast, met inbegrip van de taken en bevoegdheden en de ambtstermijn van de leden daarvan.

Artikel 10
Taken van de IICB

Bij de uitoefening van zijn verantwoordelijkheden vervult de IICB de volgende taken:

(a) hij beoordeelt de verslagen van CERT-EU over de stand van de uitvoering van deze verordening door de instellingen, organen en instanties van de Unie;

(b) hij hecht zijn goedkeuring aan het jaarlijkse werkprogramma voor CERT-EU op basis van een voorstel van het hoofd van CERT-EU en ziet toe op de uitvoering ervan;

(c) hij hecht zijn goedkeuring aan de CERT-EU-dienstencatalogus, op basis van een voorstel van het hoofd van CERT-EU;

(d) hij hecht zijn goedkeuring aan de verwachte jaarlijkse ontvangsten en uitgaven, inclusief personeel, voor CERT-EU, op basis van ramingen opgesteld door het hoofd van CERT-EU;

(e) hij hecht zijn goedkeuring aan de voorwaarden voor de dienstenniveauovereenkomst, op basis van een voorstel van het hoofd van CERT-EU;

(f) het controleert en hecht zijn goedkeuring aan het door het hoofd van CERT-EU opgestelde jaarverslag over de activiteiten van en het beheer van de middelen door CERT-EU;

(g) hij hecht zijn goedkeuring aan en monitort prestatie-indicatoren voor CERT-EU die op voorstel van het hoofd van CERT-EU worden vastgesteld;

(h) hij hecht zijn goedkeuring aan samenwerkingsovereenkomsten en dienstverleningsregelingen of -overeenkomsten tussen CERT-EU en andere entiteiten op grond van artikel 17;

(i) hij stelt naar behoefte technische adviesgroepen in ter ondersteuning van de werkzaamheden van de IICB, keurt hun mandaat goed en wijst hun voorzitter aan.

Artikel 11
Naleving

De IICB houdt toezicht op de uitvoering van deze verordening en de door de instellingen, organen en instanties van de Unie vastgestelde richtsnoeren, aanbevelingen en oproepen tot actie. Indien de IICB vaststelt dat de instellingen, organen of instanties van de Unie deze verordening of de krachtens deze verordening vastgestelde richtsnoeren, aanbevelingen en oproepen tot actie niet doeltreffend hebben toegepast, kan hij, onverminderd de interne procedures van de instelling, het orgaan of de instantie van de Unie in kwestie, de volgende maatregelen treffen:

(a) een waarschuwing doen uitgaan; indien nodig met het oog op een overtuigend cyberbeveiligingsrisico, de waarschuwing richten tot een op passende wijze beperkt publiek;

(b) een betreffende auditdienst aanbevelen een audit uit te voeren.

Hoofdstuk IV
CERT-EU

Artikel 12
Missie en taken van CERT-EU

1. De missie van CERT-EU, het autonome interinstitutionele cyberbeveiligingscentrum voor de instellingen, organen en instanties van de Unie, bestaat erin bij te dragen tot de beveiliging van de niet-geclassificeerde IT-omgeving van de instellingen, organen en instanties van de Unie door ze te adviseren over cyberbeveiliging, te helpen incidenten te voorkomen, die op te sporen en daarop te reageren, en door op te treden als knooppunt voor hun informatie-uitwisseling inzake cyberbeveiliging en responscoördinatie bij incidenten.

2. CERT-EU is voor de instellingen, organen en instanties van de Unie belast met de volgende taken:

(a) het ondersteunt ze bij de uitvoering van deze verordening en draagt bij tot de coördinatie van de toepassing van deze verordening door middel van de in artikel 13, lid 1, vermelde maatregelen, of via door de IICB verzochte ad-hocverslagen;

(b) het ondersteunt ze met een in zijn dienstencatalogus beschreven pakket cyberbeveiligingsdiensten, de zogenaamde basisniveaudiensten;

(c) het onderhoudt een netwerk van soortgelijke organisaties en partners ter ondersteuning van de in de artikelen 16 en 17 bedoelde diensten;

(d) het brengt kwesties betreffende de uitvoering van deze verordening en van de uitvoering van richtsnoeren, aanbevelingen en oproepen tot actie onder de aandacht van de IICB;

(e) het brengt verslag uit over de cyberdreigingen waaraan de instellingen, organen en instanties van de Unie blootstaan en draagt bij tot het situatiebewustzijn van de EU op het gebied van cyberbeveiliging.

3. CERT-EU draagt bij tot de overeenkomstig de aanbeveling van de Commissie van 23 juni 2021 opgerichte gezamenlijke cybereenheid, onder meer op de volgende gebieden:

(a) paraatheid, incidentcoördinatie, informatie-uitwisseling en crisisrespons op technisch niveau in gevallen die met de instellingen, organen en instanties van de Unie verband houden;

(b) operationele samenwerking inzake het netwerk van computer security incident response teams (CSIRT), ook betreffende wederzijdse bijstand, en de bredere cyberbeveiligingsgemeenschap;

(c) inlichtingen inzake cyberdreigingen, inclusief situatiebewustzijn;

(d) elk ander onderwerp waarvoor de technische deskundigheid op het gebied van cyberbeveiliging van CERT-EU vereist is.

4. CERT-EU onderhoudt gestructureerde samenwerking met het Agentschap van de Europese Unie voor cyberbeveiliging met betrekking tot capaciteitsopbouw, operationele samenwerking en strategische langetermijnanalyses van cyberdreigingen, overeenkomstig Verordening (EU) 2019/881 van het Europees Parlement en de Raad.

5. CERT-EU kan de volgende diensten aanbieden die niet in de dienstencatalogus zijn beschreven, de zogenaamde aangerekende diensten:

(a) andere dan de in lid 2 bedoelde diensten, ter ondersteuning van de cyberbeveiliging van de IT-omgeving van de instellingen, organen en instanties van de Unie, op basis van dienstenniveauovereenkomsten en afhankelijk van de beschikbaarheid van middelen;

(b) andere diensten dan diensten ter bescherming van de IT-omgeving van de instellingen, organen en instanties van de Unie, ter ondersteuning van hun cyberbeveiligingsoperaties of -projecten, op basis van schriftelijke overeenkomsten en met voorafgaande goedkeuring van de IICB;

(c) diensten ter ondersteuning van de beveiliging van de IT-omgeving van andere organisaties dan de instellingen, organen en instanties van de Unie, die nauw met de instellingen, organen en instanties van de Unie samenwerken, bijvoorbeeld omdat zij taken of verantwoordelijkheden krachtens Unierecht vervullen, op basis van schriftelijke overeenkomsten en met voorafgaande goedkeuring van de IICB.

6. CERT-EU kan, in nauwe samenwerking met het Agentschap van de Europese Unie voor cyberbeveiliging, cyberbeveiligingsoefeningen organiseren of deelname aan bestaande oefeningen aanbevelen, indien van toepassing, om het cyberbeveiligingsniveau van de instellingen, organen en instanties van de Unie te testen.

7. CERT-EU kan de instellingen, organen en instanties van de Unie bijstaan bij incidenten in gerubriceerde IT-omgevingen, indien het betrokken constituerend deel daar uitdrukkelijk om verzoekt.

Artikel 13
Richtsnoeren, aanbevelingen en oproepen tot actie

1. CERT-EU ondersteunt de uitvoering van deze verordening door middel van de volgende activiteiten:

(a) oproepen tot actie, die dringende veiligheidsmaatregelen omvatten die de instellingen, organen en instanties van de Unie binnen een bepaalde termijn met klem wordt aangeraden te treffen;

(b) voorstellen aan de IICB voor richtsnoeren die gericht zijn tot alle of een deel van de instellingen, organen en instanties van de Unie;

(c) voorstellen aan de IICB voor aanbevelingen die gericht zijn tot individuele instellingen, organen en instanties van de Unie.

2. Richtsnoeren en aanbevelingen kunnen het volgende omvatten:

(a) de voorwaarden voor of verbetering van het beheer van cyberbeveiligingsrisico’s en het basisniveau van cyberbeveiliging;

(b) de voorwaarden voor maturiteitsbeoordelingen en cyberbeveiligingsplannen; en

(c) indien van toepassing, het gebruik van algemene technologie, architectuur en de bijbehorende beste praktijken, met het oog op interoperabiliteit en gemeenschappelijke normen in de zin van artikel 4, punt 10, van richtlijn [NIS 2-voorstel].

3. De IICB kan op voorstel van CERT-EU richtsnoeren of aanbevelingen vaststellen.

4. De IICB kan CERT-EU opdragen om een oproep tot actie, of een voorstel voor richtsnoeren of aanbevelingen, uit te vaardigen, in te trekken of te wijzigen.

Artikel 14
Hoofd van CERT-EU

Het hoofd van CERT-EU brengt regelmatig verslag uit aan de IICB en de voorzitter ervan over de prestaties van CERT-EU, de financiële planning, inkomsten, de uitvoering van de begroting, en gesloten dienstenniveauovereenkomsten en schriftelijke overeenkomsten, de samenwerking met andere instanties en partners, en de dienstreizen van personeel, met inbegrip van de in artikel 10, lid 1, bedoelde verslagen.

Artikel 15
Financiële en personeelszaken

1. De Commissie benoemt met unanieme goedkeuring van de IICB het hoofd van CERT-EU. De IICB wordt geraadpleegd in alle stadia van de procedure voor de benoeming van het hoofd van CERT-EU, in het bijzonder bij het opstellen van vacatureberichten, de beoordeling van de sollicitaties en de benoeming van de selectiecomités voor deze functie.

2. Voor de toepassing van de administratieve en financiële procedures handelt het hoofd van CERT-EU onder het gezag van de Commissie.

3. De taken en activiteiten van CERT-EU, inclusief de diensten die CERT-EU overeenkomstig artikel 12, leden 2, 3, 4 en 6, en artikel 13, lid 1, verleent aan de uit de rubriek Europees openbaar bestuur van het meerjarige financiële kader gefinancierde instellingen, organen en instanties van de Unie, worden uit een afzonderlijke begrotingslijn van de begroting van de Commissie gefinancierd. Gereserveerde posten van CERT-EU worden gespecificeerd in een voetnoot bij de personeelsformatie.

4. Andere dan de in lid 3 bedoelde instellingen, organen en instanties van de Unie leveren een jaarlijkse financiële bijdrage aan CERT-EU ter dekking van de door CERT-EU overeenkomstig lid 3 verleende diensten. De respectieve bijdragen worden gebaseerd op richtsnoeren van de IICB en in dienstenniveauovereenkomsten tussen elke entiteit en CERT-EU bepaald. De bijdragen vertegenwoordigen een billijk en evenredig deel van de totale kosten van de verleende diensten. Deze worden als bestemmingsontvangsten in de zin van artikel 21, lid 3, punt c), van Verordening (EU, Euratom) 2018/1046 van het Europees Parlement en de Raad8 via de in lid 3 bedoelde afzonderlijke begrotingslijn ontvangen.

5. De kosten van de in artikel 12, lid 5, bedoelde taken worden verhaald op de instellingen, organen en instanties van de Unie die de diensten van CERT-EU ontvangen. De ontvangsten worden bestemd voor de begrotingsonderdelen die de kosten dragen.

Artikel 16
Samenwerking van CERT-EU met instanties uit de lidstaten

1. CERT-EU werkt samen en wisselt informatie uit met nationale instanties in de lidstaten, met inbegrip van CERT’s, nationale cyberbeveiligingscentra, CSIRT’s en centrale contactpunten als bedoeld in artikel 8 van richtlijn [het NIS 2-voorstel] over dreigingen, kwetsbaarheden en incidenten op het gebied van cyberveiligheid en over mogelijke tegenmaatregelen, en doet dat voor alle onderwerpen die relevant zijn voor een betere bescherming van de ICT-infrastructuur van de instellingen, organen en instanties van de Unie, onder meer via het CSIRT-netwerk als bedoeld in artikel 13 van richtlijn [NIS 2-voorstel].

2. CERT-EU kan, zonder toestemming van het betrokken constituerende deel, incidentspecifieke informatie uitwisselen met nationale instanties in de lidstaten om de opsporing van soortgelijke cyberdreigingen of -incidenten te vergemakkelijken. CERT-EU kan alleen met toestemming van het betrokken constituerende deel, incidentspecifieke informatie uitwisselen die de identiteit van het doelwit van het cyberbeveiligingsincident onthult.

Artikel 17
Samenwerking van CERT-EU met instanties uit niet-lidstaten

1. CERT-EU kan samenwerken met instanties uit derde landen, met inbegrip van bedrijfstakspecifieke instanties, inzake instrumenten en methoden, zoals technieken, tactiek, procedures en beste praktijken, en cyberdreigingen en -kwetsbaarheden. Voor alle samenwerking met dergelijke instanties, ook in verbanden waar instanties van derde landen samenwerken met de nationale tegenhangers van de lidstaten, verzoekt CERT-EU vooraf de goedkeuring van IICB.

2. CERT-EU kan samenwerken met andere partners, zoals commerciële entiteiten, internationale organisaties en nationale entiteiten van buiten de Europese Unie of individuele deskundigen, om informatie te verzamelen over algemene en specifieke cyberdreigingen, cyberkwetsbaarheden en mogelijke tegenmaatregelen. Voor verdere samenwerking met deze partners verzoekt CERT-EU vooraf de goedkeuring van de IICB.

3. CERT-EU kan, met toestemming van het door een incident getroffen constituerende deel, informatie over een incident verstrekken aan partners die het kunnen helpen analyseren.

Hoofdstuk V
SAMENWERKING EN VERSLAGLEGGINGSVERPLICHTINGEN

Artikel 18
Informatieverwerking

1. CERT-EU en de instellingen, organen en instanties van de Unie nemen het beroepsgeheim in acht overeenkomstig artikel 339 van het Verdrag betreffende de werking van de Europese Unie of gelijkwaardige toepasselijke kaders.

2. Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad9 is van toepassing op verzoeken om toegang van het publiek tot documenten die berusten bij CERT-EU, met inbegrip van de verplichting overeenkomstig die verordening om andere instellingen, organen en instanties van de Unie te raadplegen indien een verzoek betrekking heeft op hun documenten.

3. Op de verwerking van persoonsgegevens op grond van deze verordening is Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van toepassing.

4. CERT-EU en de instellingen, organen en instanties van de Unie verwerken informatie overeenkomstig de regels zoals opgenomen in [de voorgestelde verordening inzake informatiebeveiliging].

5. Alle contacten met CERT-EU die door nationale veiligheids- en inlichtingendiensten worden geïnitieerd of beoogd, worden onverwijld aan het directoraat Veiligheid van de Commissie en de voorzitter van de IICB meegedeeld.

Artikel 19
Deelverplichtingen

1. Om CERT-EU in staat te stellen het kwetsbaarheidsbeheer en de respons op incidenten te coördineren, kan het de instellingen, organen en instanties van de Unie verzoeken voor CERT-EU-steun relevante informatie uit hun respectieve IT-systeeminventarissen te verstrekken. De aangezochte instellingen, organen en instanties zenden de verlangde informatie en bijbehorende actualiseringen daarvan onverwijld toe.

2. De instellingen, organen en instanties van de Unie delen op verzoek van CERT-EU onverwijld de digitale informatie die is opgesteld door het gebruik van elektronische apparaten die bij de respectieve incidenten betrokken zijn geweest. CERT-EU kan verder verduidelijken welke soort digitale informatie nodig is met het oog op situatiebewustzijn en respons op incidenten.

3. CERT-EU kan alleen met toestemming van de individuele instellingen, organen en instanties van de Unie, incidentspecifieke informatie uitwisselen die de identiteit van de door het incident getroffen entiteit onthult. CERT-EU kan alleen met toestemming van de door het incident getroffen entiteit, incidentspecifieke informatie uitwisselen die de identiteit van het doelwit van het cyberbeveiligingsincident onthult.

4. De deelverplichtingen gelden niet voor gerubriceerde EU-informatie (EUCI), noch voor informatie die een instelling, orgaan of instantie van de Unie van een veiligheids- of inlichtingendienst of een rechtshandhavingsinstantie van een lidstaat heeft ontvangen onder de uitdrukkelijke voorwaarde dat die niet met CERT-EU wordt gedeeld.

Artikel 20
Kennisgevingsverplichtingen

1. De instellingen, organen en instanties van de Unie stellen CERT-EU onverwijld en in ieder geval binnen 24 uur nadat zij daarvan kennis hebben gekregen, initieel in kennis van significante cyberdreigingen, significante kwetsbaarheden en significante incidenten.

In gerechtvaardigde gevallen en in overeenstemming met CERT-EU kunnen de instellingen, organen en instanties van de Unie in kwestie van de in het vorige lid vastgestelde termijn afwijken.

2. De instellingen, organen en instanties van de Unie stellen CERT-EU onverwijld in kennis van passende technische details van dreigingen, kwetsbaarheden en incidenten op het gebied van cyberveiligheid, op grond waarvan opsporings-, incidentrespons- of beperkende maatregelen kunnen worden getroffen. De kennisgeving omvat, indien beschikbaar:

(a) relevante indicatoren van compromittering;

(b) relevante opsporingsmechanismen;

(c) de potentiële impact,

(d) relevante beperkende maatregelen.

3. CERT-EU dient maandelijks bij Enisa een samenvattend verslag in, met geanonimiseerde en geaggregeerde gegevens over significante dreigingen, significante kwetsbaarheden en significante incidenten op het gebied van cyberveiligheid, die overeenkomstig lid 1 ter kennis zijn gegeven.

4. De IICB kan richtsnoeren of aanbevelingen uitbrengen betreffende de randvoorwaarden en de inhoud van de kennisgeving. CERT-EU verspreidt de passende technische details, zodat de instellingen, organen en instanties van de Unie proactief opsporings-, incidentrespons- of beperkende maatregelen kunnen treffen.

5. De kennisgevingsverplichtingen gelden niet voor EUCI, noch voor informatie die instellingen, organen en instanties van de Unie van een veiligheids- of inlichtingendienst of een rechtshandhavingsinstantie van een lidstaat hebben ontvangen onder de uitdrukkelijke voorwaarde dat die niet met CERT-EU wordt gedeeld.

Artikel 21
Coördinatie van respons bij incidenten en samenwerking bij significante incidenten

1. Bij zijn optreden als knooppunt voor informatie-uitwisseling inzake cyberbeveiliging en responscoördinatie bij incidenten faciliteert CERT-EU de uitwisseling van informatie inzake dreigingen, kwetsbaarheden en incidenten op het gebied van cyberveiligheid onder de volgende partijen:

(a) instellingen, organen en instanties van de Unie;

(b) de in de artikelen 16 en 17 bedoelde instanties.

2. CERT-EU faciliteert de coördinatie tussen de instellingen, organen en instanties van de Unie inzake de respons bij incidenten, wat het volgende omvat:

(a) bijdragen tot consequente externe communicatie;

(b) wederzijdse bijstand;

(c) optimaal gebruik van operationele middelen;

(d) coördinatie met andere crisisresponsmechanismen op Unieniveau.

3. CERT-EU ondersteunt de instellingen, organen en instanties van de Unie met betrekking tot het situatiebewustzijn van dreigingen, kwetsbaarheden en incidenten op het gebied van cyberveiligheid.

4. De IICB verstrekt richtsnoeren inzake de respons bij incidenten en samenwerking bij significante incidenten. Wanneer wordt vermoed dat het incident crimineel van aard is, adviseert CERT-EU over de manier waarop het incident aan de rechtshandhavingsinstanties moet worden gemeld.

Artikel 22
Grootscheepse aanvallen

1. CERT-EU coördineert de respons op grootscheepse aanvallen tussen de instellingen, organen en instanties van de Unie. Het houdt een inventaris bij van de technische deskundigheid die nodig is voor de respons op incidenten bij dergelijke aanvallen.

2. De instellingen, organen en instanties van de Unie dragen bij tot de inventaris van technische deskundigheid, en leveren een jaarlijks bijgewerkte lijst van deskundigen die binnen hun respectieve organisaties beschikbaar zijn, inclusief nadere gegevens over hun specifieke technische vaardigheden.

3. Met de goedkeuring van de betrokken instellingen, organen en instanties van de Unie kan CERT-EU de in lid 2 bedoelde deskundigen ook oproepen om te helpen bij de respons op een grootscheepse aanval in een lidstaat, conform de operationele procedures van de gezamenlijke cybereenheid.

Hoofdstuk VI
SLOTBEPALINGEN

Artikel 23
Initiële heroriëntering van begrotingsmiddelen

De Commissie stelt voor de personele en financiële middelen over te hevelen van de instellingen, organen en instanties van de Unie naar de begroting van de Commissie. De heroriëntering valt samen met de eerste begroting die na de inwerkingtreding van deze verordening wordt vastgesteld.

Artikel 24
Evaluatie

1. De IICB brengt, met de hulp van CERT-EU, op gezette tijden verslag uit aan de Commissie over de uitvoering van deze verordening. De IICB kan ook aanbevelingen doen aan de Commissie om wijzigingen van deze verordening voor te stellen.

2. Uiterlijk 48 maanden na de inwerkingtreding van deze verordening en vervolgens om de drie jaar brengt de Commissie verslag uit over de uitvoering van deze verordening aan het Europees Parlement en de Raad.

3. Niet eerder dan vijf jaar na de inwerkingtreding evalueert de Commissie de werking van deze verordening en brengt daarover verslag uit aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s.

Artikel 25
Inwerkingtreding

Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.