(1)   Diese Verordnung gilt für die Einrichtungen der Union, für den gemäß Artikel 10 eingerichteten Interinstitutionellen Cybersicherheitsbeirat und für das CERT-EU.

(2)   Diese Verordnung gilt unbeschadet der institutionellen Autonomie gemäß den Verträgen.

(3)   Mit Ausnahme von Artikel 13 Absatz 8 gilt diese Verordnung nicht für Netz- und Informationssysteme, in denen EU-Verschlusssachen (EU-VS) bearbeitet werden.

(1)   Die Verarbeitung personenbezogener Daten im Rahmen dieser Verordnung durch das CERT-EU, den gemäß Artikel 10 eingerichteten Interinstitutionellen Cybersicherheitsbeirat oder Einrichtungen der Union erfolgt gemäß der Verordnung (EU) 2018/1725.

(2)   Das CERT-EU, der gemäß Artikel 10 eingerichtete Interinstitutionelle Cybersicherheitsbeirat und die Einrichtungen der Union verarbeiten und tauschen personenbezogene Daten nur insoweit aus, als dies für die Wahrnehmung der Aufgaben oder die Erfüllung der Pflichten gemäß dieser Verordnung erforderlich ist, und ausschließlich zu diesem Zweck.

(3)   Die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Artikel 10 Absatz 1 der Verordnung (EU) 2018/1725 gilt als aus Gründen eines erheblichen öffentlichen Interesses gemäß Artikel 10 Absatz 2 Buchstabe g der genannten Verordnung erforderlich. Diese Daten dürfen nur in dem Umfang verarbeitet werden, der für die Umsetzung der in den Artikeln 6 und 8 genannten Maßnahmen zum Cybersicherheitsrisikomanagement, die Bereitstellung von Diensten durch das CERT-EU gemäß Artikel 13, den Austausch spezifischer Informationen über Sicherheitsvorfälle gemäß Artikel 17 Absatz 3 und Artikel 18 Absatz 3, den Informationsaustausch gemäß Artikel 20, die Meldepflichten gemäß Artikel 21, die Koordinierung und Zusammenarbeit bei der Reaktion auf Sicherheitsvorfälle gemäß Artikel 22 und die Bewältigung schwerwiegender Sicherheitsvorfälle gemäß Artikel 23 dieser Verordnung erforderlich ist. Wenn die Einrichtungen der Union und das CERT-EU als Verantwortliche fungieren, ergreifen sie technische Maßnahmen, um die Verarbeitung besonderer Kategorien personenbezogener Daten für andere Zwecke zu verhindern, und sie sehen geeignete und spezifische Maßnahmen zum Schutz der Grundrechte und Interessen der betroffenen Personen vor.

(1)   Der gemäß Artikel 10 eingerichtete Interinstitutionelle Cybersicherheitsbeirat gibt nach Konsultation der Agentur der Europäischen Union für Cybersicherheit (ENISA) und nach Erhalt von Leitlinien des CERT-EU bis zum 8. September 2024 Leitlinien für Einrichtungen der Union heraus, damit diese eine erste Überprüfung der Cybersicherheit durchführen und einen internen Rahmen für Risikomanagement, Governance und Kontrolle im Bereich der Cybersicherheit gemäß Artikel 6 festlegen, den Cybersicherheitsreifegrad gemäß Artikel 7 bewerten, Maßnahmen für das Management von Cybersicherheitsrisiken gemäß Artikel 8 ergreifen und den Cybersicherheitsplan gemäß Artikel 9 verabschieden können.

(2)   Bei der Anwendung der Artikel 6, bis 9 berücksichtigen die Einrichtungen der Union die in Absatz 1 des vorliegenden Artikels genannten Leitlinien sowie die gemäß den Artikeln 11 und 14 angenommenen einschlägigen Leitlinien und Empfehlungen.

(1)   Alle Einrichtungen der Union legen bis zum 8. April 2025 nach Durchführung einer ersten Cybersicherheitsüberprüfung, wie etwa eines Audits, einen internen Rahmen für Risikomanagement, Governance und Kontrolle im Bereich von Cybersicherheitsrisiken (im Folgenden „Rahmen“) fest. Die Festlegung des Rahmens erfolgt unter der Aufsicht und Verantwortung der jeweiligen höchsten Managementebene der Einrichtung der Union.

(2)   Der Rahmen deckt jeweils die gesamte nicht für Verschlusssachen genutzte IKT-Umgebung der betreffenden Einrichtung der Union ab, insbesondere die IKT-Umgebung in den Räumlichkeiten der betreffenden Einrichtung, das operative Technologienetz in den Räumlichkeiten der betreffenden Einrichtung, in Cloud-Computing-Umgebungen ausgelagerte oder von Dritten gehostete Anlagen und Dienste, mobile Geräte, Firmennetze, nicht mit dem Internet verbundene Geschäftsnetze und alle mit diesen Umgebungen verbundenen Geräte (im Folgenden „IKT-Umgebung“). Der Rahmen basiert auf einem gefahrenübergreifenden Ansatz.

(3)   Der Rahmen muss für ein hohes Maß an Cybersicherheit sorgen. Mit dem Rahmen werden interne Cybersicherheitsstrategien, einschließlich Zielen und Prioritäten, für die Sicherheit von Netz- und Informationssystemen sowie die Aufgaben und Zuständigkeiten des Personals der Einrichtung der Union festgelegt, das mit der Sicherstellung der wirksamen Durchführung dieser Verordnung betraut ist. Der Rahmen umfasst auch Verfahren, mit denen die Wirksamkeit der Umsetzung gemessen wird.

(4)   Der Rahmen muss regelmäßig im Lichte der sich wandelnden Cybersicherheitsrisiken und mindestens alle vier Jahre überprüft werden. Gegebenenfalls wird auf Ersuchen des gemäß Artikel 10 eingerichteten Interinstitutionellen Cybersicherheitsbeirats der Rahmen einer Einrichtung der Union auf der Grundlage einer Orientierungshilfe des CERT-EU zu ermittelten Sicherheitsvorfällen oder etwaigen bei der Durchführung dieser Verordnung festgestellten Unzulänglichkeiten aktualisiert.

(5)   Die höchste Managementebene jeder Einrichtung der Union ist für die Durchführung dieser Verordnung verantwortlich und überwacht die Einhaltung der Verpflichtungen im Zusammenhang mit dem Rahmen durch ihre Organisation.

(6)   Die höchste Managementebene jeder Einrichtung der Union kann gegebenenfalls und unbeschadet ihrer Verantwortung für die Durchführung dieser Verordnung spezifische Verpflichtungen aus dieser Verordnung an höhere Führungskräfte im Sinne des Artikels 29 Absatz 2 des Statuts der Beamten oder andere gleichrangige Beamte innerhalb der betreffenden Einrichtung der Union delegieren. Unabhängig von einer solchen Übertragung kann die höchste Managementebene für Verstöße der betreffenden Einrichtung der Union gegen diese Verordnung haftbar gemacht werden.

(7)   Alle Einrichtungen der Union müssen über wirksame Mechanismen verfügen, um sicherzustellen, dass ein angemessener Prozentsatz des IKT-Haushalts für Cybersicherheit ausgegeben wird. Bei der Festlegung dieses Prozentsatzes ist dem Rahmen gebührend Rechnung zu tragen.

(8)   Alle Einrichtungen der Union ernennen einen lokalen Cybersicherheitsbeauftragten oder eine Kontaktperson mit gleichwertiger Funktion, der bzw. die als zentrale Anlaufstelle für alle Cybersicherheitsfragen fungiert. Der lokale Cybersicherheitsbeauftragte erleichtert die Durchführung dieser Verordnung und erstattet der höchsten Managementebene regelmäßig unmittelbar Bericht über den Stand der Durchführung. Obgleich der lokale Cybersicherheitsbeauftragte in jeder Einrichtung der Union als zentrale Anlaufstelle fungiert, kann eine Einrichtung der Union bestimmte Aufgaben des lokalen Cybersicherheitsbeauftragten in Bezug auf die Durchführung dieser Verordnung auf der Grundlage einer Leistungsvereinbarung zwischen dieser Einrichtung der Union und dem CERT-EU auf das CERT-EU übertragen; diese Aufgaben können auch von mehreren Einrichtungen der Union gemeinsam wahrgenommen werden. Werden diese Aufgaben dem CERT-EU übertragen, so entscheidet der gemäß Artikel 10 eingerichtete Interinstitutionelle Cybersicherheitsbeirat unter Berücksichtigung der personellen und finanziellen Ressourcen der betreffenden Einrichtung der Union, ob die Bereitstellung dieses Dienstes Teil der Basisdienste des CERT-EU sein soll. Jede Einrichtung der Union teilt CERT-EU unverzüglich den ernannten lokalen Cybersicherheitsbeauftragten sowie etwaige spätere Änderungen daran mit.

Das CERT-EU führt eine Liste der ernannten lokalen Cybersicherheitsbeauftragten und aktualisiert diese.

(9)   Die höheren Führungskräfte im Sinne des Artikels 29 Absatz 2 des Statuts der Beamten oder andere gleichrangige Beamte jeder Einrichtung der Union sowie alle relevanten Bediensteten, die mit der Umsetzung bzw. Erfüllung der in dieser Verordnung festgelegten Maßnahmen bzw. Pflichten im Zusammenhang mit dem Management von Cybersicherheitsrisiken betraut sind, absolvieren regelmäßig spezifische Schulungen, um ausreichende Kenntnisse und Fähigkeiten zu erwerben, damit sie mit den Vorgehensweisen im Bereich des Cybersicherheitsrisikos und des Cybersicherheitsmanagements und deren Auswirkungen auf den Betrieb der jeweiligen Einrichtung der Union vertraut sind und diese bewerten können.

(1)   Jede Einrichtung der Union führt bis zum 8. Juli 2025 und danach mindestens alle zwei Jahre eine Bewertung des Cybersicherheitsreifegrads durch, bei der alle Elemente ihrer IKT-Umgebung einbezogen werden.

(2)   Die Bewertungen des Cybersicherheitsreifegrads werden erforderlichenfalls mit Unterstützung eines spezialisierten Dritten durchgeführt.

(3)   Die Einrichtungen der Union, die ähnliche Strukturen aufweisen, können bei der Durchführung von Bewertungen des Cybersicherheitsreifegrads für ihre jeweilige Einrichtung zusammenarbeiten.

(4)   Auf Antrag des gemäß Artikel 10 eingerichtete Interinstitutionelle Cybersicherheitsbeirats und mit ausdrücklicher Zustimmung der betreffenden Einrichtung der Union können die Ergebnisse einer Bewertung des Cybersicherheitsreifegrads innerhalb des Beirats oder des informellen Netzes lokaler Cybersicherheitsbeauftragter erörtert werden, um Lehren aus den Erfahrungen zu ziehen und sich über bewährte Verfahren auszutauschen.

(1)   Jede Einrichtung der Union ergreift unverzüglich, in jedem Fall aber bis zum 8. September 2025 unter der Aufsicht ihrer höchsten Managementebene geeignete und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen, um die im Rahmen des Rechtsrahmens ermittelten Cybersicherheitsrisiken zu bewältigen und um Sicherheitsvorfälle zu verhindern bzw. deren Auswirkungen zu minimieren. Unter Berücksichtigung des Stands der Technik und gegebenenfalls einschlägiger europäischer und internationaler Normen wird mit diesen Maßnahmen für ein Sicherheitsniveau von Netz- und Informationssystemen in der gesamten IKT-Umgebung gesorgt, das den bestehenden Cybersicherheitsrisiken gerecht wird. Bei der Bewertung der Verhältnismäßigkeit dieser Maßnahmen sind das Ausmaß der Exposition der Einrichtung der Union gegenüber Cybersicherheitsrisiken, ihre Größe und die Wahrscheinlichkeit des Eintretens von Sicherheitsvorfällen und deren Schwere, einschließlich ihrer gesellschaftlichen, wirtschaftlichen und institutionellen Auswirkungen, gebührend zu berücksichtigen.

(2)   Bei der Durchführung von Maßnahmen zum Management von Cybersicherheitsrisiken müssen die Einrichtungen der Union mindestens die folgenden Bereiche berücksichtigen:

Die Einrichtungen der Union müssen für die Zwecke von Unterabsatz 1 Buchstabe m die spezifischen Schwachstellen der einzelnen direkten Anbieter und Dienstleister und die Gesamtqualität der Produkte und der Cybersicherheitspraxis ihrer Anbieter und Dienstleister, einschließlich ihrer sicheren Entwicklungsprozesse, berücksichtigen.

(3)   Die Einrichtungen der Union müssen mindestens die folgenden spezifischen Maßnahmen zum Management von Cybersicherheitsrisiken ergreifen:

(1)   Auf der Grundlage der Schlussfolgerungen der gemäß Artikel 7 durchgeführten Bewertung des Cybersicherheitsreifegrads und unter Berücksichtigung der gemäß dem Rahmen ermittelten Anlagen und Cybersicherheitsrisiken sowie der Maßnahmen zum Management von Cybersicherheitsrisiken gemäß Artikel 8 genehmigt die höchste Managementebene jeder Einrichtung der Union unverzüglich und in jedem Fall bis zum 8. Januar 2026 einen Cybersicherheitsplan. Der Cybersicherheitsplan zielt darauf ab, die Cybersicherheit der Einrichtung der Union insgesamt zu erhöhen und trägt somit zur Verbesserung eines hohen gemeinsamen Cybersicherheitsniveaus in den Einrichtungen der Union bei. Der Cybersicherheitsplan enthält mindestens die gemäß Artikel 8 ergriffenen Maßnahmen zum Management von Cybersicherheitsrisiken. Der Cybersicherheitsplan wird alle zwei Jahre oder erforderlichenfalls häufiger, im Anschluss an jede gemäß Artikel 7 durchgeführte Bewertung des Cybersicherheitsreifegrads oder an eine grundlegende Überarbeitung des Rahmens, überarbeitet.

(2)   Der Cybersicherheitsplan muss den Plan der Einrichtungen der Union für das Cyberkrisenmanagement bei schwerwiegenden Sicherheitsvorfällen umfassen.

(3)   Die Einrichtung der Union übermittelt ihren vervollständigten Cybersicherheitsplan dem gemäß Artikel 10 eingerichteten Interinstitutionellen Cybersicherheitsbeirat.

(1)   Hiermit wird ein Interinstitutioneller Cybersicherheitsbeirat (IICB) eingesetzt.

(2)   Der IICB ist zuständig für

(3)   Dem IICB gehören an:

Die im IICB vertretenen Einrichtungen der Union streben ein ausgewogenes Geschlechterverhältnis unter den benannten Vertretern an.

(4)   Jedes Mitglied des IICB kann einen Stellvertreter haben. Der Vorsitzende kann weitere Vertreter bzw. Vertreterinnen der in Absatz 3 genannten Einrichtungen der Union oder anderer Einrichtungen der Union zur Teilnahme an IICB-Sitzungen einladen, wobei sie kein Stimmrecht haben.

(5)   Der Leiter des CERT-EU und die Vorsitzenden der Kooperationsgruppe, des CSIRTs-Netzes und des EU-CyCLONe, die jeweils gemäß den Artikeln 14, 15 bzw. 16 der Richtlinie (EU) 2022/2555 eingerichtet wurden, bzw. ihre Stellvertreter können an den IICB-Sitzungen als Beobachter teilnehmen. In Ausnahmefällen kann der IICB im Einklang mit seiner Geschäftsordnung etwas anderes beschließen.

(6)   Der IICB gibt sich eine Geschäftsordnung.

(7)   Der IICB benennt im Einklang mit seiner Geschäftsordnung aus den Reihen seiner Mitglieder einen Vorsitzenden für einen Zeitraum von drei Jahren. Der Stellvertreter des Vorsitzenden wird für denselben Zeitraum Vollmitglied des IICB.

(8)   Der IICB tritt auf Initiative seines Vorsitzenden, auf Ersuchen des CERT-EU und/oder auf Antrag eines seiner Mitglieder mindestens dreimal pro Jahr zusammen.

(9)   Jedes Mitglied des IICB hat eine Stimme. Die Beschlüsse des IICB werden mit einfacher Mehrheit gefasst, soweit in dieser Verordnung nichts anderes bestimmt ist. Der Vorsitzende des IICB beteiligt sich nicht an den Abstimmungen, außer bei Stimmengleichheit, bei der seine Stimme den Ausschlag gibt.

(10)   Der IICB kann im Wege eines vereinfachten schriftlichen Verfahrens tätig werden, das im Einklang mit seiner Geschäftsordnung eingeleitet wird. Gemäß diesem Verfahren gilt die entsprechende Entscheidung als innerhalb des vom Vorsitzenden vorgegebenen Zeitrahmens gebilligt, sofern kein Mitglied Einwände erhebt.

(11)   Die Sekretariatsgeschäfte des IICB werden von der Kommission wahrgenommen; für die Sekretariatsgeschäfte besteht Rechenschaftspflicht gegenüber dem Vorsitzenden des IICB.

(12)   Die vom EUAN benannten Vertreter leiten die Beschlüsse des IICB an die Mitglieder des EUAN weiter. Alle Mitglieder des EUAN haben das Recht, diese Vertreter oder den Vorsitz des IICB mit Angelegenheiten zu befassen, die ihrer Ansicht nach dem IICB zur Kenntnis gebracht werden sollten.

(13)   Der IICB kann einen Exekutivausschuss einsetzen, der ihn bei seiner Arbeit unterstützt, und diesem einige seiner Aufgaben und Befugnisse übertragen. Der IICB legt die Geschäftsordnung sowie die Aufgaben und Befugnisse des Exekutivausschusses und die Amtszeit seiner Mitglieder fest.

(14)   Der IICB legt dem Europäischen Parlament und dem Rat bis zum 8. Januar 2025 und danach jährlich einen Bericht vor, in dem die Fortschritte bei der Durchführung dieser Verordnung im Einzelnen dargelegt werden und in dem insbesondere der Umfang der Zusammenarbeit des CERT-EU mit den entsprechenden Stellen in den einzelnen Mitgliedstaaten angegeben wird. Dieser Bericht bildet einen Beitrag zum Zweijahresbericht über den Stand der Cybersicherheit in der Union, der gemäß Artikel 18 der Richtlinie (EU) 2022/2555 angenommen wird.

(1)   Der IICB überwacht gemäß Artikel 10 Absatz 2 und Artikel 11 wirksam die Durchführung dieser Verordnung und die Umsetzung der angenommenen Leitlinien, Empfehlungen und Aufrufe zum Tätigwerden durch die Einrichtungen der Union. Der IICB kann die zu diesem Zweck erforderlichen Informationen oder Unterlagen von den Einrichtungen der Union anfordern. Für die Zwecke der Annahme von Compliance-Maßnahmen nach diesem Artikel hat die betroffene Einrichtung der Union kein Stimmrecht, wenn diese Einrichtung der Union direkt im IICB vertreten ist.

(2)   Stellt der IICB fest, dass eine Einrichtung der Union diese Verordnung oder gemäß dieser Verordnung angenommene Leitlinien, Empfehlungen oder Aufrufe zum Tätigwerden nicht wirksam angewandt oder durchgeführt bzw. umgesetzt hat, so kann er — unbeschadet der internen Verfahren der betreffenden Einrichtung der Union und nachdem er der betreffenden Einrichtung der Union Gelegenheit gegeben hat, ihre Feststellungen darzulegen —

Für die Zwecke von Unterabsatz 1 Buchstabe c ist der Adressatenkreis einer Warnung in geeigneter Weise einzuschränken, wenn dies in Anbetracht eines akuten Cybersicherheitsrisikos erforderlich ist.

Die gemäß Unterabsatz 1 ausgegebenen Warnungen und Empfehlungen sind an die höchste Managementebene der betreffenden Einrichtung der Union zu richten.

(3)   Hat der IICB Maßnahmen nach Absatz 2 Unterabsatz 1 Buchstaben a bis g ergriffen, so legt die betroffene Einrichtung der Union Einzelheiten zu den Maßnahmen vor, die ergriffen wurden, um die vom IICB festgestellten mutmaßlichen Mängel zu beheben. Die Einrichtung der Union legt diese Einzelheiten innerhalb einer mit dem IIZB zu vereinbarenden angemessenen Frist vor.

(4)   Ist der IICB der Auffassung, dass eine anhaltende Verletzung dieser Verordnung durch eine Einrichtung der Union vorliegt, die unmittelbar auf Handlungen oder Unterlassungen eines Beamten oder sonstigen Bediensteten der Union, auch auf der höchsten Managementebene, zurückzuführen ist, so fordert der IICB die betreffende Einrichtung der Union auf, geeignete Maßnahmen zu ergreifen, einschließlich der Aufforderung, disziplinarrechtliche Maßnahmen im Einklang mit den im Statut festgelegten Regeln und Verfahren und sonstigen anwendbaren Regeln und Verfahren in Betracht zu ziehen. Hierzu übermittelt der IICB der betreffenden Einrichtung der Union die erforderlichen Informationen.

(5)   Teilen die Einrichtungen der Union mit, dass sie nicht in der Lage sind, die in Artikel 6 Absatz 1 und Artikel 8 Absatz 1 genannten Fristen einzuhalten, so kann der IICB in hinreichend begründeten Fällen und unter Berücksichtigung der Größe der Einrichtung der Union die Verlängerung dieser Fristen gestatten.

(1)   Der Auftrag des CERT-EU besteht darin, zur Sicherheit der nicht für Verschlusssachen genutzten IKT-Umgebung von Einrichtungen der Union beizutragen, indem es diese in Cybersicherheitsangelegenheiten berät, bei der Prävention, Erkennung, Handhabung, Eindämmung, Bewältigung und Erholung von Sicherheitsvorfällen unterstützt und als zentrale Stelle für den Austausch von Informationen zur Cybersicherheit und die Koordinierung der Reaktion auf Sicherheitsvorfälle fungiert.

(2)   Das CERT-EU erhebt, verwaltet und analysiert Informationen über Cyberbedrohungen, Schwachstellen und Sicherheitsvorfälle betreffend nicht für Verschlusssachen genutzte IKT-Infrastrukturen und tauscht diese Informationen mit den Einrichtungen der Union aus. Es koordiniert die Reaktionen auf Sicherheitsvorfälle auf interinstitutioneller Ebene und auf der Ebene der Einrichtungen der Union, einschließlich durch die Bereitstellung oder Koordinierung der Bereitstellung spezifischer operativer Unterstützung.

(3)   Das CERT-EU nimmt folgende Aufgaben zur Unterstützung der Einrichtungen der Union wahr:

Die in Unterabsatz 1 Buchstabe e genannten Informationen werden mit dem IICB, dem CSIRTs-Netz und dem Zentrum der Europäischen Union für Informationsgewinnung und Lageerfassung (EU INTCEN) ausgetauscht, soweit dies möglich und angemessen ist, und unterliegen adäquaten Vertraulichkeitsbestimmungen.

(4)   Das CERT-EU kann gemäß Artikel 17 bzw. 18 mit einschlägigen Cybersicherheitsgemeinschaften in der Union und ihren Mitgliedstaaten zusammenarbeiten, unter anderem in folgenden Bereichen:

(5)   Das CERT-EU kooperiert im Rahmen seiner Zuständigkeit in strukturierter Weise mit der ENISA in den Bereichen Kapazitätsaufbau, operative Zusammenarbeit und langfristige strategische Analysen von Cyberbedrohungen im Einklang mit der Verordnung (EU) 2019/881. Das CERT-EU kann mit dem Europäischen Zentrum zur Bekämpfung der Cyberkriminalität von Europol zusammenarbeiten und Informationen austauschen.

(6)   Das CERT-EU kann folgende, nicht in seinem Dienstekatalog aufgeführten Dienste erbringen (im Folgenden „kostenpflichtige Dienste“):

In Bezug auf Unterabsatz 1 Buchstabe d kann das CERT-EU in Ausnahmefällen mit vorheriger Zustimmung des IICB Leistungsvereinbarungen mit anderen Einrichtungen als den Einrichtungen der Union schließen.

(7)   Das CERT-EU muss Cybersicherheitsübungen organisieren und kann an Cybersicherheitsübungen teilnehmen oder die Teilnahme an bestehenden Übungen empfehlen, gegebenenfalls in enger Zusammenarbeit mit der ENISA, um das Cybersicherheitsniveau der Einrichtungen der Union zu prüfen.

(8)   Das CERT-EU kann Einrichtungen der Union in Bezug auf Sicherheitsvorfälle in Netz- und Informationssystemen, in denen EU-VS bearbeitet werden, unterstützen, wenn es von den betreffenden Einrichtungen der Union gemäß ihren jeweiligen Verfahren ausdrücklich dazu aufgefordert wird. Die Unterstützung durch das CERT-EU gemäß diesem Absatz lässt die geltenden Rechtsvorschriften über den Schutz von als Verschlusssachen eingestuften Informationen unberührt.

(9)   Das CERT-EU unterrichtet die Einrichtungen der Union über seine Abläufe und Verfahren zur Handhabung von Sicherheitsvorfällen.

(10)   Das CERT-EU stellt mit einem hohen Maß an Vertraulichkeit und Zuverlässigkeit über geeignete Kooperationsmechanismen und Meldewege sachdienliche und anonymisierte Informationen über schwerwiegende Sicherheitsvorfälle und die Art und Weise des Umgangs mit ihnen zur Verfügung. Diese Informationen werden in den in Artikel 10 Absatz 14 genannten Bericht aufgenommen.

(11)   Das CERT-EU unterstützt in Zusammenarbeit mit dem Europäischen Datenschutzbeauftragten die betroffenen Einrichtungen der Union bei der Bearbeitung von Sicherheitsvorfällen, die zu Verletzungen des Schutzes personenbezogener Daten führen, und zwar unbeschadet der Zuständigkeiten und Aufgaben des Europäischen Datenschutzbeauftragten als Aufsichtsbehörde gemäß der Verordnung (EU) 2018/1725.

(12)   Das CERT-EU kann auf ausdrückliches Ersuchen der Fachabteilungen der Einrichtungen der Union technische Gutachten oder Beiträge zu wichtigen strategischen Aspekten liefern.

(1)   Das CERT-EU unterstützt die Durchführung dieser Verordnung, indem es

In Bezug auf Unterabsatz 1 Buchstabe a unterrichtet die betreffende Einrichtung der Union das CERT-EU unverzüglich nach Eingang des Aufrufs zum Tätigwerden darüber, wie die dringenden Sicherheitsmaßnahmen angewandt wurden.

(2)   Die Leitlinien und Empfehlungen können Folgendes umfassen:

(1)   Die Kommission ernennt die Leiterin bzw. den Leiter des CERT-EU, nachdem sie die Zustimmung einer Zweidrittelmehrheit der Mitglieder des IICB erhalten hat. Der IICB wird in allen Phasen des Ernennungsverfahrens konsultiert, insbesondere zur Formulierung von Stellenausschreibungen, zur Prüfung von Bewerbungen und zur Ernennung von Auswahlausschüssen im Zusammenhang mit dem Posten. Das Auswahlverfahren, einschließlich der endgültigen Auswahlliste der Bewerberinnen und Bewerber, aus denen die Leiterin bzw. der Leiter des CERT-EU zu ernennen ist, gewährleistet eine ausgewogene Vertretung jedes Geschlechts unter Berücksichtigung der eingereichten Bewerbungen.

(2)   Die Leitung des CERT-EU ist für das reibungslose Funktionieren des CERT-EU verantwortlich und handelt im Rahmen der Zuständigkeiten seiner Funktion unter der Leitung des IICB. Die Leitung des CERT-EU berichtet regelmäßig dem Vorsitzenden des IICB und legt dem IICB auf Anfrage Ad-hoc-Berichte vor.

(3)   Die Leitung des CERT-EU unterstützt den zuständigen bevollmächtigten Anweisungsbefugten bei der Erstellung des in Artikel 74 Absatz 9 der Verordnung (EU, Euratom) 2018/1046 des Europäischen Parlaments und des Rates (9) vorgesehenen jährlichen Tätigkeitsberichts, der Finanz- und Verwaltungsinformationen, einschließlich der Ergebnisse von Kontrollen, enthält, und erstattet dem bevollmächtigten Anweisungsbefugten regelmäßig Bericht über die Durchführung von Maßnahmen, für die eine Weiterübertragung von Befugnissen an die Leitung des CERT-EU erfolgt ist.

(4)   Die Leitung des CERT-EU erstellt alljährlich eine Finanzplanung für die Verwaltungseinnahmen und -ausgaben für dessen Tätigkeiten, ein vorgeschlagenes jährliches Arbeitsprogramm, einen vorgeschlagenen Leistungskatalog des CERT-EU, vorgeschlagene Überarbeitungen des Leistungskatalogs, vorgeschlagene Vorkehrungen für Leistungsvereinbarungen und vorgeschlagene wesentliche Leistungsindikatoren für das CERT-EU, die vom IICB gemäß Artikel 11 zu billigen sind. Bei der Überarbeitung der Liste der Dienste im Leistungskatalog des CERT-EU berücksichtigt die Leitung des CERT-EU die dem CERT-EU zugewiesenen Ressourcen.

(5)   Die Leitung des CERT-EU legt dem IICB und dem Vorsitzenden des IICB mindestens jährlich Berichte über die Tätigkeiten und die Leistung des CERT-EU während des Bezugszeitraums vor, unter anderem über die Ausführung des Haushaltsplans, Leistungsvereinbarungen und schriftliche Vereinbarungen, die Zusammenarbeit mit entsprechenden Stellen und Partnern und Dienstreisen des Personals, einschließlich der in Artikel 11 genannten Berichte. Diese Berichte enthalten ein Arbeitsprogramm für den folgenden Zeitraum, die Finanzplanung der Einnahmen und Ausgaben, einschließlich Personalkosten, geplante Aktualisierungen des Leistungskatalogs des CERT-EU und eine Bewertung der erwarteten Auswirkungen solcher Aktualisierungen auf die finanziellen und personellen Ressourcen.

(1)   Das CERT-EU wird in die Verwaltungsstruktur einer Generaldirektion der Kommission integriert, damit es die unterstützenden Strukturen der Kommission in den Bereichen Verwaltung, Finanzmanagement und Rechnungsführung nutzen kann, gleichzeitig aber sein Status als eigenständiger interinstitutioneller Dienstleister für alle Einrichtungen der Union erhalten bleibt. Die Kommission unterrichtet den IICB über die administrative Zuordnung des CERT-EU und diesbezügliche Änderungen. Die Kommission überprüft die Verwaltungsvereinbarungen im Zusammenhang mit dem CERT-EU regelmäßig, in jedem Fall jedoch vor der Festlegung eines mehrjährigen Finanzrahmens gemäß Artikel 312 AEUV, um geeignete Maßnahmen zu ermöglichen. Die Überprüfung umfasst die Möglichkeit, das CERT-EU als Amt der Union einzurichten.

(2)   Bei der Anwendung der Verwaltungs- und Finanzverfahren handelt die Leitung des CERT-EU unter der Aufsicht der Kommission und des IICB.

(3)   Aufgaben und Tätigkeiten des CERT-EU, einschließlich der Dienste, die vom CERT-EU gemäß Artikel 13 Absätze 3, 4, 5 und 7 sowie gemäß Artikel 14 Absatz 1 für aus der Rubrik „Europäische öffentliche Verwaltung“ des mehrjährigen Finanzrahmens finanzierte Einrichtungen der Union erbracht werden, werden aus einer gesonderten Haushaltslinie des Haushaltsplans der Kommission finanziert. Dem CERT-EU zugewiesene Stellen werden in einer Fußnote des Stellenplans der Kommission angegeben.

(4)   Andere als die in Absatz 3 dieses Artikels genannten Einrichtungen der Union leisten einen jährlichen finanziellen Beitrag zum CERT-EU zur Deckung der vom CERT-EU gemäß dem genannten Absatz erbrachten Dienste. Die jeweiligen Beiträge beruhen auf Vorgaben des IICB und werden jeweils zwischen den einzelnen Einrichtungen der Union und dem CERT-EU in Leistungsvereinbarungen festgelegt. Die Beiträge entsprechen einem angemessenen und verhältnismäßigen Anteil an den Gesamtkosten der erbrachten Dienste. Sie werden gemäß Artikel 21 Absatz 3 Buchstabe c der Verordnung (EU, Euratom) 2018/1046 als interne zweckgebundene Einnahmen in die in Absatz 3 dieses Artikels genannte gesonderte Haushaltslinie eingestellt.

(5)   Die Kosten für die in Artikel 13 Absatz 6 festgelegten Leistungen werden bei den Einrichtungen der Union eingezogen, denen CERT-EU-Dienste erbracht werden. Die Einnahmen werden in die Haushaltslinien eingestellt, in denen die Kosten angesetzt wurden.

(1)   Das CERT-EU arbeitet unverzüglich mit den entsprechenden Stellen der Mitgliedstaaten, insbesondere den gemäß Artikel 10 der Richtlinie (EU) 2022/2555 benannten oder eingerichteten CSIRTs oder, falls zutreffend, den gemäß Artikel 8 der genannten Richtlinie benannten oder eingerichteten zuständigen Behörden und zentralen Anlaufstellen zusammen und tauscht Informationen mit ihnen aus über Cyberbedrohungen, Schwachstellen, Beinahe-Vorfälle, mögliche Gegenmaßnahmen sowie bewährte Verfahren und über alle Angelegenheiten, die für die Verbesserung des Schutzes der IKT-Umgebungen der Einrichtungen der Union relevant sind, auch durch das gemäß Artikel 15 der Richtlinie (EU) 2022/2555 eingerichtete CSIRTs-Netzwerk. Das CERT-EU unterstützt die Kommission im Rahmen des gemäß Artikel 16 der Richtlinie (EU) 2022/2555 über die koordinierte Bewältigung von schwerwiegenden Vorfällen und Krisen eingerichteten EU-CyCLONe.

(2)   Wenn das CERT-EU Kenntnis von einem erheblichen Sicherheitsvorfall in einem Mitgliedstaat erhält, unterrichtet es gemäß Absatz 1 unverzüglich alle einschlägigen entsprechenden Stellen dieses Mitgliedstaates.

(3)   Sofern personenbezogene Daten im Einklang mit dem geltenden Datenschutzrecht der Union geschützt sind, gibt das CERT-EU relevante Informationen über spezifische Sicherheitsvorfälle ohne Genehmigung der betroffenen Einrichtung der Union unverzüglich an die entsprechenden Stellen der Mitgliedstaaten weiter, um die Aufdeckung ähnlicher Cyberbedrohungen oder Sicherheitsvorfälle zu erleichtern oder zur Analyse eines Sicherheitsvorfalls beizutragen. Das CERT-EU gibt spezifische Informationen über Sicherheitsvorfälle, aus denen die Identität der Zielgruppe des Cybersicherheitsvorfalls hervorgeht, nur in einem der folgenden Fälle weiter:

Beschlüsse über den Austausch spezifischer Informationen über Sicherheitsvorfälle, aus denen die Identität des Ziels des Sicherheitsvorfalls gemäß Unterabsatz 1 Buchstabe b hervorgeht, werden von der Leitung des CERT-EU gebilligt. Bevor ein solcher Beschluss gefasst wird, setzt sich das CERT-EU schriftlich mit der betroffenen Einrichtung der Union in Verbindung und erläutert klar, wie die Offenlegung ihrer Identität dazu beitragen würde, Sicherheitsvorfälle an anderer Stelle zu vermeiden oder abzuschwächen. Die Leitung des CERT-EU liefert die Erläuterung und fordert die Einrichtung der Union ausdrücklich auf, innerhalb einer bestimmten Frist mitzuteilen, ob sie einwilligt. Die Leitung des CERT-EU teilt der Einrichtung der Union ferner mit, dass sie sich aufgrund der vorgetragenen Erläuterung das Recht vorbehält, die Informationen auch dann offenzulegen, wenn keine Einwilligung vorliegt. Die betroffene Einrichtung der Union wird unterrichtet, bevor die Informationen offengelegt werden.

(1)   Das CERT-EU kann in Bezug auf Instrumente und Methoden wie Techniken, Taktiken, Verfahren und bewährte Verfahren sowie in Bezug auf Cyberbedrohungen und Schwachstellen mit anderen entsprechenden Stellen in der Europäischen Union als den in Artikel 17 genannten Stellen, die den Cybersicherheitsanforderungen der Union unterliegen, einschließlich branchenspezifischer entsprechender Stellen, zusammenarbeiten. Für jede Zusammenarbeit mit diesen entsprechenden Stellen holt das CERT-EU vorab im Einzelfall die Zustimmung des IICB ein. Nimmt das CERT-EU eine Zusammenarbeit mit diesen entsprechenden Stellen auf, so informiert es alle in Artikel 17 Absatz 1 genannten einschlägigen entsprechenden Stellen in dem Mitgliedstaat, in dem die entsprechende Stelle ansässig ist. Gegebenenfalls werden diese Zusammenarbeit und die Bedingungen hierfür, auch in Bezug auf Cybersicherheit, Datenschutz und den Umgang mit Informationen, in spezifischen Vertraulichkeitsvereinbarungen wie Verträgen oder Verwaltungsvereinbarungen festgelegt. Die Vertraulichkeitsvereinbarungen bedürfen keiner vorherigen Zustimmung des IICB, jedoch ist dessen Vorsitzender davon in Kenntnis zu setzen. Im Falle einer dringenden und unmittelbar bevorstehenden Notwendigkeit, Cybersicherheitsinformationen im Interesse von Einrichtungen der Union oder einer anderen Partei auszutauschen, kann das CERT-EU dies mit einer Einrichtung tun, deren spezifische Kompetenz, Kapazitäten und Fachkenntnisse berechtigterweise erforderlich sind, um bei einer solchen dringenden Notwendigkeit zu helfen, selbst wenn das CERT-EU mit dieser Einrichtung keine Vertraulichkeitsvereinbarung getroffen hat. In solchen Fällen unterrichtet das CERT-EU unverzüglich den Vorsitzenden des IICB und erstattet dem IICB in regelmäßigen Berichten oder Sitzungen Bericht.

(2)   Das CERT-EU kann mit Partnern wie Unternehmen, einschließlich branchenspezifischer Einrichtungen, internationalen Organisationen, nationalen Einrichtungen oder einzelnen Sachverständigen aus Nichtmitgliedstaaten der Union zusammenarbeiten, um Informationen über allgemeine und spezifische Cyberbedrohungen, Beinahe-Vorfälle, Schwachstellen und mögliche Gegenmaßnahmen einzuholen. Für eine umfassendere Zusammenarbeit mit diesen Partnern holt das CERT-EU vorab im Einzelfall die Zustimmung des IICB ein.

(3)   Das CERT-EU kann mit Zustimmung der von einem Sicherheitsvorfall betroffenen Einrichtung der Union und unter der Voraussetzung, dass eine Geheimhaltungsvereinbarung oder einen Nichoffenlegungsvertrag mit der betreffenden entsprechenden Stelle oder dem betreffenden Partner geschlossen wurde, den in den Absätzen 1 und 2 genannten entsprechenden Stellen oder Partnern Informationen über diesen konkreten Sicherheitsvorfall ausschließlich zu dem Zweck zur Verfügung stellen, zu seiner Analyse beizutragen.

(1)   Die Einrichtungen der Union und das CERT-EU kommen der Verpflichtung zur Wahrung des Berufsgeheimnisses gemäß Artikel 339 AEUV oder gleichwertigen geltenden Rahmenregelungen nach.

(2)   Die Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates (10) gilt hinsichtlich der Anträge auf Zugang der Öffentlichkeit zu Dokumenten, die sich im Besitz des CERT-EU befinden, einschließlich der in jener Verordnung festgelegten Pflicht zur Anhörung anderer Einrichtungen der Union oder gegebenenfalls der Mitgliedstaaten, wenn eine Anfrage deren Dokumente betrifft.

(3)   Der Umgang der Einrichtungen der Union und des CERT-EU mit Informationen erfolgt im Einklang mit den geltenden Vorschriften über die Informationssicherheit.

(1)   Einrichtungen der Union können dem CERT-EU auf freiwilliger Basis sie betreffende Sicherheitsvorfälle, Cyberbedrohungen, Beinahe-Vorfälle und Schwachstellen melden und ihm Informationen darüber weitergeben. Das CERT-EU stellt sicher, dass effiziente Kommunikationsmittel mit einem hohen Maß an Rückverfolgbarkeit, Vertraulichkeit und Zuverlässigkeit zur Verfügung stehen, die den Informationsaustausch mit den Einrichtungen der Union erleichtern. Bei der Verarbeitung von Meldungen kann das CERT-EU der Bearbeitung von Pflichtmeldungen Vorrang vor freiwilligen Meldungen einräumen. Unbeschadet des Artikels 12 dürfen freiwillige Meldungen nicht dazu führen, dass der meldenden Einrichtung der Union zusätzliche Verpflichtungen auferlegt werden, die nicht für sie gegolten hätten, wenn sie die Meldung nicht übermittelt hätte.

(2)   Zur Erfüllung seines Auftrags und seiner Aufgaben gemäß Artikel 13 kann das CERT-EU von den Einrichtungen der Union verlangen, ihm Informationen aus ihren jeweiligen IKT-Systemverzeichnissen zu übermitteln, einschließlich Informationen über Cyberbedrohungen, Beinahe-Vorfälle, Schwachstellen, Kompromittierungsindikatoren (indicators of compromise), Cybersicherheitswarnungen und Empfehlungen zur Konfiguration von Cybersicherheitswerkzeugen zur Erkennung von Sicherheitsvorfällen. Die betreffende Einrichtung der Union übermittelt die verlangten Informationen und alle späteren Aktualisierungen unverzüglich.

(3)   Das CERT-EU darf spezifische Informationen über Sicherheitsvorfälle, aus denen die Identität der von dem Sicherheitsvorfall betroffenen Einrichtung der Union hervorgeht an Einrichtungen der Union weitergeben, sofern die betroffene Einrichtung zustimmt. Verweigert eine Einrichtung der Union ihre Einwilligung, so legt sie dem CERT-EU Gründe für diese Entscheidung vor.

(4)   Einrichtungen der Union geben dem Europäischen Parlament und dem Rat auf Anfrage Informationen über den Abschluss von Cybersicherheitsplänen weiter.

(5)   Der IICB bzw. das CERT-EU geben dem Europäischen Parlament und dem Rat auf Anfrage Leitlinien, Empfehlungen und Aufforderungen zum Tätigwerden weiter.

(6)   Die in diesem Artikel festgelegten Weitergabepflichten erstrecken sich nicht auf

(1)   Ein Sicherheitsvorfall gilt als erheblich, wenn

(2)   Die Einrichtungen der Union übermitteln dem CERT-EU:

(3)   Eine Einrichtung der Union unterrichtet unverzüglich, in jedem Fall aber innerhalb von 24 Stunden, nachdem sie Kenntnis von einem erheblichen Sicherheitsvorfall erlangt hat, alle in Artikel 17 Absatz 1 genannten einschlägigen entsprechenden mitgliedstaatlichen Stellen in dem Mitgliedstaat, in dem sie angesiedelt ist, darüber, dass ein erheblicher Sicherheitsvorfall aufgetreten ist.

(4)   Die Einrichtungen der Union melden unter anderem sämtliche Informationen, die das CERT-EU in die Lage versetzen, die Auswirkungen eines erheblichen Sicherheitsvorfalls auf andere Einrichtungen und auf den Aufnahmemitgliedstaat bzw. seine grenzübergreifenden Auswirkungen zu ermitteln. Unbeschadet des Artikels 12 wird mit der bloßen Meldung keine höhere Haftung der Einrichtung der Union begründet.

(5)   Gegebenenfalls teilen die Einrichtungen der Union den Nutzern der betroffenen Netz- und Informationssysteme oder anderer Komponenten des IKT-Umgebung, die potenziell von einem erheblichen Sicherheitsvorfall oder einer erheblichen Cyberbedrohung betroffen sind und gegebenenfalls Abhilfemaßnahmen treffen müssen, unverzüglich alle Maßnahmen oder Abhilfemaßnahmen mit, die sie als Reaktion auf diesen Sicherheitsvorfall bzw. diese Cyberbedrohung ergreifen können. Erforderlichenfalls informieren die Einrichtungen der Union diese Nutzer über die erhebliche Cyberbedrohung selbst.

(6)   Betrifft ein erheblicher Sicherheitsvorfall oder eine erhebliche Cyberbedrohung ein Netz- und Informationssystem oder eine Komponente der IKT-Umgebung einer Einrichtung der Union, von der bekannt ist, dass sie mit der IKT-Umgebung einer anderen Einrichtung der Union verbunden ist, gibt das CERT-EU unverzüglich eine entsprechende Cybersicherheitswarnung aus.

(7)   Die Einrichtungen der Union übermitteln dem CERT-EU auf dessen Anfrage unverzüglich die digitalen Informationen, die bei der Nutzung von den an den jeweiligen Sicherheitsvorfällen beteiligten Geräten erzeugt wurden. Das CERT-EU kann weitere Angaben zu den Arten von Informationen machen, die es für die Lageerfassung und die Reaktion auf den Sicherheitsvorfall benötigt.

(8)   Das CERT-EU übermittelt dem IICB, der ENISA, dem EU INTCEN und dem CSIRTs-Netz alle drei Monate einen zusammenfassenden Bericht mit anonymisierten und aggregierten Daten zu erheblichen Sicherheitsvorfällen, Sicherheitsvorfällen, Cyberbedrohungen, Beinahe-Vorfällen und Schwachstellen gemäß Artikel 20 sowie zu erheblichen Sicherheitsvorfällen, die gemäß Absatz 2 dieses Artikels gemeldet wurden. Der zusammenfassende Bericht bildet einen Beitrag zum Zweijahresbericht über den Stand der Cybersicherheit in der Union, der gemäß Artikel 18 der Richtlinie (EU) 2022/2555 angenommen wird.

(9)   Der IICB gibt bis zum 8. Juli 2024 Leitlinien oder Empfehlungen heraus, in denen die Modalitäten, das Format und der Inhalt der Berichterstattung gemäß diesem Artikel näher festgelegt werden. Bei der Ausarbeitung solcher Leitlinien oder Empfehlungen berücksichtigt der IICB alle gemäß Artikel 23 Absatz 11 der Richtlinie (EU) 2022/2555 erlassenen Durchführungsrechtsakte, in denen die Art der Angaben, das Format und das Verfahren der Meldungen festgelegt werden. Das CERT-EU verbreitet die sachdienlichen technischen Einzelheiten, um eine proaktive Erkennung und Reaktion oder Abhilfemaßnahmen durch die Einrichtungen der Union zu ermöglichen.

(10)   Die in diesem Artikel festgelegten Berichterstattungspflichten erstrecken sich nicht auf

(1)   Als zentrale Stelle für den Austausch von Informationen zur Cybersicherheit und die Koordinierung der Reaktion auf Vorfälle erleichtert das CERT-EU den Austausch von Informationen über Cyberbedrohungen, Schwachstellen und Beinahe-Vorfälle zwischen:

(2)   Das CERT-EU — gegebenenfalls in enger Zusammenarbeit mit der ENISA — erleichtert die Koordinierung zwischen den Einrichtungen der Union bei der Reaktion auf Sicherheitsvorfälle, unter anderem durch

(3)   Das CERT-EU unterstützt in enger Zusammenarbeit mit der ENISA die Einrichtungen der Union bei der Lageerfassung im Falle von Sicherheitsvorfällen, Cyberbedrohungen, Schwachstellen und Beinahe-Vorfällen und beim Austausch über einschlägige Entwicklungen im Bereich der Cybersicherheit.

(4)   Der IICB nimmt bis zum 8. Januar 2025 auf der Grundlage eines Vorschlags des CERT-EU Leitlinien oder Empfehlungen für die Koordinierung der Reaktion auf Sicherheitsvorfälle und die Zusammenarbeit bei erheblichen Sicherheitsvorfällen an. Wenn ein Sicherheitsvorfall mutmaßlich einen kriminellen Hintergrund hat, formuliert das CERT-EU unverzüglich Ratschläge für die Meldung des Sicherheitsvorfalls an die Strafverfolgungsbehörden.

(5)   Auf besonderes Ersuchen eines Mitgliedstaats und mit Zustimmung der betreffenden Einrichtungen der Union kann das CERT-EU Sachverständige aus der in Artikel 23 Absatz 4 genannten Liste hinzuziehen, um zur Reaktion auf einen schwerwiegenden Sicherheitsvorfall, der Auswirkungen in diesem Mitgliedstaat hat, oder einen Cybersicherheitsvorfall großen Ausmaßes gemäß Artikel 15 Absatz 3 Buchstabe g der Richtlinie (EU) 2022/2555 beizutragen. Besondere Vorschriften für den Zugang zu technischen Sachverständigen der Einrichtungen der Union und deren Nutzung werden vom IICB auf Vorschlag des CERT-EU gebilligt.

(1)   Um auf operativer Ebene die koordinierte Bewältigung schwerwiegender Sicherheitsvorfälle, von denen Einrichtungen der Union betroffen sind, zu unterstützen und zum regelmäßigen Austausch einschlägiger Informationen zwischen Einrichtungen der Union und mit Mitgliedstaaten beizutragen, entwickelt der IICB gemäß Artikel 11 Buchstabe q in enger Zusammenarbeit mit dem CERT-EU und der ENISA einen Cyberkrisenbewältigungsplan auf der Grundlage der in Artikel 22 Absatz 2 genannten Tätigkeiten. Der Cyberkrisenbewältigungsplan umfasst mindestens die folgenden Elemente:

(2)   Der Vertreter der Kommission im IICB ist vorbehaltlich des gemäß Absatz 1 dieses Artikels erstellten Cyberkrisenbewältigungsplans und unbeschadet des Artikels 16 Absatz 2 Unterabsatz 1 der Richtlinie (EU) 2022/2555 die Kontaktstelle für den Austausch einschlägiger Informationen über schwerwiegende Sicherheitsvorfälle mit dem EU-CyCLONe.

(3)   Das CERT-EU koordiniert die Maßnahmen der Einrichtungen der Union zur Bewältigung schwerwiegender Sicherheitsvorfälle. Es führt ein Verzeichnis der verfügbaren technischen Fachkenntnisse, die für die Reaktion auf solche schwerwiegenden Sicherheitsvorfälle notwendig sind, und unterstützt den IICB bei der Koordinierung der Cyberkrisenmanagementpläne der Einrichtungen der Union für schwerwiegende Sicherheitsvorfälle gemäß Artikel 9 Absatz 2.

(4)   Die Einrichtungen der Union tragen zu dem Verzeichnis der technischen Fachkenntnisse bei, indem sie eine jährlich aktualisierte Liste ihrer jeweiligen Sachverständigen mit Angaben zu deren spezifischen technischen Qualifikationen übermitteln.

(1)   Bis zum 8. Januar 2025 und danach jährlich erstattet der IICB der Kommission mit Unterstützung des CERT-EU über die Durchführung dieser Verordnung. Der IICB kann Empfehlungen an die Kommission richten, diese Verordnung zu überprüfen.

(2)   Bis zum 8. Januar 2027 und danach alle zwei Jahre bewertet die Kommission die Durchführung dieser Verordnung und die auf strategischer und betrieblicher Ebene gemachten Erfahrungen und erstattet dem Europäischen Parlament und dem Rat darüber Bericht.

Der in Unterabsatz 1 dieses Absatzes genannte Bericht enthält die in Artikel 16 Absatz 1 genannte Überprüfung der Möglichkeit, das CERT-EU als Amt der Union einzurichten.

(3)   Die Kommission bewertet bis zum 8. Januar 2029 die Funktionsweise dieser Verordnung und erstattet dem Europäischen Parlament, dem Rat, dem Europäischen Wirtschafts- und Sozialausschuss und dem Ausschuss der Regionen Bericht. Die Kommission bewertet ferner, ob es angemessen ist, Netz- und Informationssysteme, mit denen EU-VS bearbeitet werden, in den Anwendungsbereich dieser Verordnung aufzunehmen, wobei sie andere für diese Systeme geltende Gesetzgebungsakte der Union berücksichtigt. Dem Bericht ist erforderlichenfalls ein Gesetzgebungsvorschlag beizufügen.