1.   Ο παρών κανονισμός εφαρμόζεται στις οντότητες της Ένωσης, στο διοργανικό συμβούλιο κυβερνοασφάλειας που συγκροτείται σύμφωνα με το άρθρο 10 και στην CERT-ΕΕ.

2.   Ο παρών κανονισμός εφαρμόζεται με την επιφύλαξη της θεσμικής αυτονομίας σύμφωνα με τις Συνθήκες.

3.   Με εξαίρεση το άρθρο 13 παράγραφος 8, ο παρών κανονισμός δεν εφαρμόζεται στα δικτυακά και πληροφοριακά συστήματα που χειρίζονται διαβαθμισμένες πληροφορίες της ΕΕ (ΔΠΕΕ).

1.   Η επεξεργασία δεδομένων προσωπικού χαρακτήρα δυνάμει του παρόντος κανονισμού από την CERT-ΕΕ, το διοργανικό συμβούλιο κυβερνοασφάλειας που συγκροτείται σύμφωνα με το άρθρο 10, και τις οντότητες της Ένωσης, διενεργείται σύμφωνα με τον κανονισμό (ΕΕ) 2018/1725.

2.   Όταν εκτελούν καθήκοντα ή εκπληρώνουν υποχρεώσεις σύμφωνα με τον παρόντα κανονισμό, η CERT-ΕΕ, το διοργανικό συμβούλιο κυβερνοασφάλειας που συγκροτείται σύμφωνα με το άρθρο 10 και οι οντότητες της Ένωσης επεξεργάζονται και ανταλλάσσουν δεδομένα προσωπικού χαρακτήρα μόνο στον βαθμό που είναι αναγκαίο και με αποκλειστικό σκοπό την εκτέλεση των εν λόγω καθηκόντων ή την εκπλήρωση των εν λόγω υποχρεώσεων.

3.   Η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, όπως αναφέρεται στο άρθρο 10 παράγραφος 1 του κανονισμού (ΕΕ) 2018/1725, θεωρείται απαραίτητη για λόγους ουσιαστικού δημόσιου συμφέροντος σύμφωνα με το άρθρο 10 παράγραφος 2 στοιχείο ζ) του εν λόγω κανονισμού. Τα εν λόγω δεδομένα μπορούν να υποβάλλονται σε επεξεργασία μόνο στον βαθμό που απαιτείται για την εφαρμογή των μέτρων διαχείρισης κινδύνων κυβερνοασφάλειας που αναφέρονται στα άρθρα 6 και 8, για την παροχή υπηρεσιών από την CERT-ΕΕ σύμφωνα με το άρθρο 13, για την ανταλλαγή πληροφοριών σχετικά με συγκεκριμένα περιστατικά σύμφωνα με το άρθρο 17 παράγραφος 3 και το άρθρο 18 παράγραφος 3, για την ανταλλαγή πληροφοριών σύμφωνα με το άρθρο 20, για τις υποχρεώσεις υποβολής εκθέσεων σύμφωνα με το άρθρο 21, για τον συντονισμό της αντιμετώπισης περιστατικών και τη σχετική συνεργασία σύμφωνα με το άρθρο 22 και για τη διαχείριση σοβαρών περιστατικών σύμφωνα με το άρθρο 23 του παρόντος κανονισμού. Οι οντότητες της Ένωσης και η CERT-ΕΕ, όταν ενεργούν ως υπεύθυνοι επεξεργασίας δεδομένων, εφαρμόζουν τεχνικά μέτρα για την πρόληψη της επεξεργασίας ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα για άλλους σκοπούς και προβλέπουν κατάλληλα και ειδικά μέτρα προκειμένου να διασφαλίζονται τα θεμελιώδη δικαιώματα και τα συμφέροντα των υποκειμένων των δεδομένων.

1.   Έως τις 8 Σεπτεμβρίου 2024, το διοργανικό συμβούλιο κυβερνοασφάλειας που συγκροτείται σύμφωνα με το άρθρο 10, κατόπιν διαβούλευσης με τον Οργανισμό της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA) και αφού λάβει καθοδήγηση από την CERT-ΕΕ, εκδίδει κατευθυντήριες γραμμές προς τις οντότητες της Ένωσης με σκοπό τη διενέργεια αρχικής επανεξέτασης της κυβερνοασφάλειας και τη θέσπιση του εσωτερικού πλαισίου διαχείρισης, διακυβέρνησης και ελέγχου κινδύνων κυβερνοασφάλειας σύμφωνα με το άρθρο 6, τη διενέργεια αξιολογήσεων του επιπέδου ωριμότητας στον τομέα της κυβερνοασφάλειας σύμφωνα με το άρθρο 7, τη λήψη μέτρων διαχείρισης κινδύνων κυβερνοασφάλειας σύμφωνα με το άρθρο 8 και την έγκριση του σχεδίου κυβερνοασφάλειας σύμφωνα με το άρθρο 9.

2.   Κατά την εφαρμογή των άρθρων 6 έως 9, οι οντότητες της Ένωσης λαμβάνουν υπόψη τις κατευθυντήριες γραμμές που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου, καθώς και τις σχετικές κατευθυντήριες γραμμές και συστάσεις που εκδίδονται σύμφωνα με τα άρθρα 11 και 14.

1.   Έως τις 8 Απριλίου 2025, κάθε οντότητα της Ένωσης, μετά τη διενέργεια αρχικής επανεξέτασης της κυβερνοασφάλειας, π.χ. μέσω ελέγχου, θεσπίζει εσωτερικό πλαίσιο διαχείρισης, διακυβέρνησης και ελέγχου κινδύνων κυβερνοασφάλειας («το πλαίσιο»). Η θέσπιση του πλαισίου εποπτεύεται και τελεί υπό την ευθύνη του ανώτατου διοικητικού επιπέδου της οντότητας της Ένωσης.

2.   Το πλαίσιο καλύπτει ολόκληρο το μη διαβαθμισμένο περιβάλλον ΤΠΕ της οικείας οντότητας της Ένωσης, συμπεριλαμβανομένων τυχόν περιβάλλοντος ΤΠΕ και δικτύου λειτουργικής τεχνολογίας εντός των εγκαταστάσεων, καθώς και περιουσιακών στοιχείων και υπηρεσιών που λειτουργούν εξωτερικά σε περιβάλλοντα νεφοϋπολογιστικής ή φιλοξενούνται από τρίτους, κινητών συσκευών, εταιρικών δικτύων, επιχειρηματικών δικτύων που δεν συνδέονται με το διαδίκτυο και τυχόν συσκευών που συνδέονται με τα εν λόγω περιβάλλοντα («περιβάλλον ΤΠΕ»). Το πλαίσιο βασίζεται σε ολιστική προσέγγιση των κινδύνων.

3.   Το πλαίσιο διασφαλίζει υψηλό επίπεδο κυβερνοασφάλειας. Το πλαίσιο καθορίζει εσωτερικές πολιτικές κυβερνοασφάλειας, συμπεριλαμβανομένων στόχων και προτεραιοτήτων, για την ασφάλεια των συστημάτων δικτύου και πληροφοριών, καθώς και τους ρόλους και τις αρμοδιότητες του προσωπικού της οντότητας της Ένωσης που είναι επιφορτισμένο με τη διασφάλιση της αποτελεσματικής εφαρμογής του παρόντος κανονισμού. Το πλαίσιο περιλαμβάνει επίσης μηχανισμούς για τη μέτρηση της αποτελεσματικότητας της εφαρμογής.

4.   Το πλαίσιο επανεξετάζεται τακτικά, υπό το πρίσμα των μεταβαλλόμενων κινδύνων κυβερνοασφάλειας, και τουλάχιστον ανά τετραετία. Κατά περίπτωση και κατόπιν αιτήματος του διοργανικού συμβουλίου κυβερνοασφάλειας που συγκροτείται σύμφωνα με το άρθρο 10, το πλαίσιο οντότητας της Ένωσης μπορεί να επικαιροποιείται με βάση την καθοδήγηση της CERT-ΕΕ σχετικά με περιστατικά που καταγράφονται ή πιθανά κενά που παρατηρούνται κατά την εφαρμογή του παρόντος κανονισμού.

5.   Το ανώτατο διοικητικό επίπεδο κάθε οντότητας της Ένωσης είναι υπεύθυνο για την εφαρμογή του παρόντος κανονισμού και επιβλέπει τη συμμόρφωση της οργάνωσής της με τις υποχρεώσεις που σχετίζονται με το πλαίσιο.

6.   Κατά περίπτωση και με την επιφύλαξη της ευθύνης του για την εφαρμογή του παρόντος κανονισμού, το ανώτατο διοικητικό επίπεδο κάθε οντότητας της Ένωσης μπορεί να αναθέτει την εκπλήρωση συγκεκριμένων υποχρεώσεων δυνάμει του παρόντος κανονισμού σε ανώτερους υπαλλήλους κατά την έννοια του άρθρου 29 παράγραφος 2 του κανονισμού υπηρεσιακής κατάστασης ή σε άλλους υπαλλήλους ισοδύναμου επιπέδου, εντός της οικείας οντότητας της Ένωσης. Ανεξάρτητα από οποιαδήποτε τέτοια ανάθεση, το ανώτατο διοικητικό επίπεδο μπορεί να θεωρηθεί υπεύθυνο για παραβάσεις του παρόντος κανονισμού από την οικεία οντότητα της Ένωσης.

7.   Κάθε οντότητα της Ένωσης εφαρμόζει αποτελεσματικούς μηχανισμούς για να διασφαλίζει ότι οι δαπάνες για την κυβερνοασφάλεια ανέρχονται σε επαρκές ποσοστό του προϋπολογισμού για την ΤΠΕ. Κατά τον καθορισμό του ποσοστού αυτού λαμβάνεται δεόντως υπόψη το πλαίσιο.

8.   Κάθε οντότητα της Ένωσης διορίζει τοπικό υπεύθυνο κυβερνοασφάλειας ή άλλο πρόσωπο με αντίστοιχες ευθύνες, που ενεργεί ως ενιαίο σημείο επαφής όσον αφορά όλες τις πτυχές της κυβερνοασφάλειας. Ο τοπικός υπεύθυνος κυβερνοασφάλειας διευκολύνει την εφαρμογή του παρόντος κανονισμού και υποβάλλει εκθέσεις απευθείας στο ανώτατο διοικητικό επίπεδο σε τακτική βάση σχετικά με την πορεία της εφαρμογής. Χωρίς να θίγεται ο ρόλος του τοπικού υπεύθυνου κυβερνοασφάλειας ως ενιαίου σημείου επαφής σε κάθε οντότητα της Ένωσης, μια οντότητα της Ένωσης μπορεί να αναθέτει στη CERT-EΕ ορισμένα καθήκοντα του τοπικού υπευθύνου κυβερνοασφάλειας όσον αφορά την εφαρμογή του παρόντος κανονισμού βάσει συμφωνίας σε επίπεδο υπηρεσιών που συνάπτεται μεταξύ της εν λόγω οντότητας της Ένωσης και της CERT-EΕ, ή τα εν λόγω καθήκοντα μπορούν να επιμερίζονται μεταξύ περισσότερων οντοτήτων της Ένωσης. Όταν τα καθήκοντα αυτά ανατίθενται στην CERT-ΕΕ, το διοργανικό συμβούλιο κυβερνοασφάλειας που συγκροτείται σύμφωνα με το άρθρο 10 αποφασίζει κατά πόσον η παροχή της υπηρεσίας αυτής αποτελεί μέρος των βασικών υπηρεσιών της CERT-EΕ, λαμβάνοντας υπόψη τους ανθρώπινους και οικονομικούς πόρους της οικείας οντότητας της Ένωσης. Κάθε οντότητα της Ένωσης ενημερώνει, χωρίς αδικαιολόγητη καθυστέρηση, τη CERT-EΕ σχετικά με τους διορισμένους τοπικούς υπεύθυνους κυβερνοασφάλειας και για κάθε μεταγενέστερη αλλαγή τους.

Η CERT-ΕΕ καταρτίζει και διατηρεί επίκαιρο κατάλογο των διορισμένων τοπικών υπευθύνων κυβερνοασφάλειας.

9.   Οι ανώτεροι υπάλληλοι κατά την έννοια του άρθρου 29 παράγραφος 2 του κανονισμού υπηρεσιακής κατάστασης ή άλλοι υπάλληλοι ισοδύναμου επιπέδου κάθε οντότητας της Ένωσης, καθώς και όλα τα σχετικά μέλη του προσωπικού που είναι επιφορτισμένα με την εφαρμογή των μέτρων και την εκπλήρωση των υποχρεώσεων διαχείρισης κινδύνων κυβερνοασφάλειας του παρόντος κανονισμού, παρακολουθούν σε τακτική βάση ειδικά προγράμματα κατάρτισης, ώστε να αποκτούν επαρκείς γνώσεις και δεξιότητες προκειμένου να κατανοούν και να αξιολογούν τους κινδύνους και τις πρακτικές διαχείρισης της κυβερνοασφάλειας, καθώς και τον αντίκτυπό τους στις δραστηριότητες της οντότητας της Ένωσης.

1.   Έως τις 8 Ιουλίου 2025 και στη συνέχεια τουλάχιστον ανά διετία, κάθε οντότητα της Ένωσης διενεργεί αξιολόγηση του επιπέδου ωριμότητας στον τομέα της κυβερνοασφάλειας που ενσωματώνει όλα τα στοιχεία του οικείου περιβάλλοντος ΤΠΕ.

2.   Οι αξιολογήσεις του επιπέδου ωριμότητας στον τομέα της κυβερνοασφάλειας διενεργούνται, κατά περίπτωση, με τη βοήθεια ειδικευμένου τρίτου μέρους.

3.   Οι οντότητες της Ένωσης με παρόμοιες δομές μπορούν να συνεργάζονται για τη διενέργεια αξιολογήσεων του επιπέδου ωριμότητας στον τομέα της κυβερνοασφάλειας για τις αντίστοιχες οντότητές τους.

4.   Βάσει αιτήματος του διοργανικού συμβουλίου κυβερνοασφάλειας που συγκροτείται σύμφωνα με το άρθρο 10, και με τη ρητή συγκατάθεση της οικείας οντότητας της Ένωσης, τα αποτελέσματα αξιολόγησης του επιπέδου ωριμότητας στον τομέα της κυβερνοασφάλειας μπορούν να συζητούνται στο πλαίσιο του εν λόγου συμβουλίου ή της άτυπης ομάδας τοπικών υπευθύνων κυβερνοασφάλειας, με σκοπό την άντληση διδαγμάτων από την εμπειρία και την ανταλλαγή βέλτιστων πρακτικών.

1.   Χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση έως τις 8 Σεπτεμβρίου 2025, κάθε οντότητα της Ένωσης, υπό την εποπτεία του ανώτατου διοικητικού επιπέδου της, λαμβάνει κατάλληλα και αναλογικά τεχνικά, λειτουργικά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων κυβερνοασφάλειας που εντοπίζονται βάσει του πλαισίου, και για την πρόληψη ή την ελαχιστοποίηση του αντικτύπου των περιστατικών. Λαμβανομένης υπόψη της εξέλιξης της τεχνολογίας και, κατά περίπτωση, των σχετικών ευρωπαϊκών και διεθνών προτύπων, τα εν λόγω μέτρα διασφαλίζουν επίπεδο ασφάλειας των δικτυακών και πληροφοριακών συστημάτων σε ολόκληρο το περιβάλλον ΤΠΕ ανάλογο προς τους εμφανιζόμενους κινδύνους κυβερνοασφάλειας. Κατά την αξιολόγηση της αναλογικότητας των εν λόγω μέτρων, λαμβάνεται δεόντως υπόψη ο βαθμός έκθεσης της οντότητας της Ένωσης σε κινδύνους κυβερνοασφάλειας, το μέγεθός της, και η πιθανότητα εμφάνισης περιστατικών και η σοβαρότητά τους, συμπεριλαμβανομένου του κοινωνικού, οικονομικού και διοργανικού αντικτύπου τους.

2.   Οι οντότητες της Ένωσης λαμβάνουν υπόψη τουλάχιστον τους ακόλουθους τομείς κατά την εφαρμογή των μέτρων διαχείρισης κινδύνων κυβερνοασφάλειας:

Για τους σκοπούς του πρώτου εδαφίου στοιχείο ιγ), οι οντότητες της Ένωσης λαμβάνουν υπόψη τις ιδιαίτερες ευπάθειες κάθε άμεσου προμηθευτή και παρόχου υπηρεσιών, καθώς και τη συνολική ποιότητα των προϊόντων και τις πρακτικές κυβερνοασφάλειας των προμηθευτών και των παρόχων υπηρεσιών τους, συμπεριλαμβανομένων των διαδικασιών ασφαλούς ανάπτυξής τους.

3.   Οι οντότητες της Ένωσης λαμβάνουν τουλάχιστον τα ακόλουθα ειδικά μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας:

1.   Έπειτα από την ολοκλήρωση της αξιολόγησης του επιπέδου ωριμότητας στον τομέα της κυβερνοασφάλειας που διενεργείται σύμφωνα με το άρθρο 7 και λαμβάνοντας υπόψη τα περιουσιακά στοιχεία και τους κινδύνους κυβερνοασφάλειας που προσδιορίζονται στο πλαίσιο, καθώς και τα μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας που λαμβάνονται σύμφωνα με το άρθρο 8, το ανώτατο διοικητικό επίπεδο κάθε οντότητας της Ένωσης εγκρίνει σχέδιο κυβερνοασφάλειας χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση έως τις 8 Ιανουαρίου 2026. Το σχέδιο κυβερνοασφάλειας αποσκοπεί στην αύξηση της συνολικής κυβερνοασφάλειας της οντότητας της Ένωσης και, ως εκ τούτου, συμβάλλει στην ενίσχυση του υψηλού κοινού επιπέδου κυβερνοασφάλειας εντός των οντοτήτων της Ένωσης. Το σχέδιο κυβερνοασφάλειας περιλαμβάνει τουλάχιστον τα μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας που λαμβάνονται σύμφωνα με το άρθρο 8. Το σχέδιο κυβερνοασφάλειας αναθεωρείται ανά διετία ή συχνότερα όταν είναι αναγκαίο, μετά τις αξιολογήσεις του επιπέδου ωριμότητας στον τομέα της κυβερνοασφάλειας που διενεργούνται σύμφωνα με το άρθρο 7 ή μετά από οποιαδήποτε ουσιαστική επανεξέταση του πλαισίου.

2.   Το σχέδιο κυβερνοασφάλειας περιλαμβάνει το σχέδιο της οντότητας της Ένωσης για τη διαχείριση κρίσεων στον κυβερνοχώρο όσον αφορά σοβαρά περιστατικά.

3.   Η οντότητα της Ένωσης υποβάλλει το ολοκληρωμένο σχέδιο κυβερνοασφάλειας στο διοργανικό συμβούλιο κυβερνοασφάλειας που συγκροτείται σύμφωνα με το άρθρο 10.

1.   Ιδρύεται διοργανικό συμβούλιο κυβερνοασφάλειας («ΔΣΚ»).

2.   Το ΔΣΚ είναι αρμόδιο για:

3.   Το ΔΣΚ αποτελείται από:

Οι οντότητες της Ένωσης που εκπροσωπούνται στο ΔΣΚ επιδιώκουν την επίτευξη ισόρροπης εκπροσώπησης των φύλων μεταξύ των ορισθέντων εκπροσώπων.

4.   Τα μέλη του ΔΣΚ μπορούν να επικουρούνται από αναπληρωτή. Ο πρόεδρος μπορεί να προσκαλεί και άλλους εκπροσώπους των οντοτήτων της Ένωσης που αναφέρονται στην παράγραφο 3 ή άλλων οντοτήτων της Ένωσης να παραστούν στις συνεδριάσεις του ΔΣΚ χωρίς δικαίωμα ψήφου.

5.   Ο επικεφαλής της CERT-ΕΕ και οι πρόεδροι της Ομάδας Συνεργασίας, του δικτύου CSIRT και του EU-CyCLONe που συγκροτούνται σύμφωνα με τα άρθρα 14, 15 και 16, αντίστοιχα, της οδηγίας (ΕΕ) 2022/2555, ή οι αναπληρωτές τους, μπορούν να συμμετέχουν στις συνεδριάσεις του ΔΣΚ ως παρατηρητές. Σε εξαιρετικές περιπτώσειςΔΣΚ, το ΔΣΚ δύναται, σύμφωνα με τον εσωτερικό κανονισμό του, να αποφασίσει διαφορετικά.

6.   Το ΔΣΚ θεσπίζει τον εσωτερικό κανονισμό του.

7.   Το ΔΣΚ ορίζει πρόεδρο, σύμφωνα με τον εσωτερικό κανονισμό του, μεταξύ των μελών του για τριετή θητεία. Το πρόσωπο που αναπληρώνει τον πρόεδρο καθίσταται τακτικό μέλος του ΔΣΚ για την ίδια θητεία.

8.   Το ΔΣΚ συνεδριάζει τουλάχιστον τρεις φορές ανά έτος με πρωτοβουλία του προέδρου του, κατόπιν αιτήματος της CERT-ΕΕ ή κατόπιν αιτήματος οποιουδήποτε από τα μέλη του.

9.   Κάθε μέλος του ΔΣΚ διαθέτει μία ψήφο. Οι αποφάσεις του ΔΣΚ λαμβάνονται με απλή πλειοψηφία, εκτός εάν προβλέπεται διαφορετικά στον παρόντα κανονισμό. Ο πρόεδρος του ΔΣΚ δεν ψηφίζει παρά μόνο σε περίπτωση ισοψηφίας, οπότε υπερισχύει η δική του ψήφος.

10.   Το ΔΣΚ δύναται να ενεργεί με απλουστευμένη γραπτή διαδικασία που κινείται σύμφωνα με τον εσωτερικό κανονισμό τουΔΣΚ. Σύμφωνα με τη διαδικασία αυτή, η σχετική απόφαση θεωρείται εγκριθείσα εντός της προθεσμίας που ορίζει ο πρόεδρος, εκτός εάν ένα μέλος διατυπώσει αντιρρήσεις.

11.   Η Επιτροπή παρέχει γραμματειακή υποστήριξη στο ΔΣΚ και η γραμματεία είναι υπόλογη στον πρόεδρο του ΔΣΚ.

12.   Οι εκπρόσωποι που ορίζονται από το EUAN διαβιβάζουν τις αποφάσεις του ΔΣΚ στα μέλη του EUAN. Κάθε μέλος του EUAN έχει το δικαίωμα να επιστήσει την προσοχή των εν λόγω εκπροσώπων ή του προέδρου του ΔΣΚ σε οποιοδήποτε ζήτημα θεωρεί ότι πρέπει να τεθεί υπόψη του ΔΣΚ.

13.   Το ΔΣΚ μπορεί να συγκροτήσει εκτελεστική επιτροπή για να το επικουρεί στο έργο του, και να της αναθέσει ορισμένα από τα καθήκοντα και τις αρμοδιότητές του. Το ΔΣΚ θεσπίζει τον κανονισμό της εκτελεστικής επιτροπής, συμπεριλαμβανομένων των καθηκόντων και εξουσιών της και της θητείας των μελών της.

14.   Έως τις 8 Ιανουαρίου 2025 και, στη συνέχεια, σε ετήσια βάση, το ΔΣΚ υποβάλλει έκθεση στο Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο, στην οποία περιγράφεται λεπτομερώς η πρόοδος που έχει σημειωθεί όσον αφορά την εφαρμογή του παρόντος κανονισμού και προσδιορίζεται ιδίως ο βαθμός συνεργασίας της CERT-EΕ με τους ομολόγους της σε κάθε κράτος μέλος. Η έκθεση παρέχει στοιχεία για την ανά διετία έκθεση σχετικά με την κατάσταση της κυβερνοασφάλειας στην Ένωση που εγκρίνεται σύμφωνα με το άρθρο 18 της οδηγίας (ΕΕ) 2022/2555.

1.   Το ΔΣΚ, σύμφωνα με το άρθρο 10 παράγραφος 2 και το άρθρο 11, παρακολουθεί αποτελεσματικά την εφαρμογή του παρόντος κανονισμού και των εκδοθεισών κατευθυντήριων γραμμών, συστάσεων και εκκλήσεων για ανάληψη δράσης από τις οντότητες της Ένωσης. Το ΔΣΚ μπορεί να ζητεί από τις οντότητες της Ένωσης πληροφορίες ή έγγραφα που απαιτούνται για τον σκοπό αυτό. Για τους σκοπούς της έγκρισης μέτρων συμμόρφωσης δυνάμει του παρόντος άρθρου, όταν η οικεία οντότητα της Ένωσης εκπροσωπείται άμεσα στο ΔΣΚ, δεν έχει δικαίωμα ψήφου.

2.   Όταν το ΔΣΚ διαπιστώνει ότι μια οντότητα της Ένωσης δεν έχει εφαρμόσει αποτελεσματικά τον παρόντα κανονισμό ή τις κατευθυντήριες γραμμές, τις συστάσεις ή τις εκκλήσεις για ανάληψη δράσης που εκδίδονται δυνάμει αυτού, δύναται, με την επιφύλαξη των εσωτερικών διαδικασιών της οικείας οντότητας της Ένωσης, και αφού δώσει στην οικεία οντότητα της Ένωσης την ευκαιρία να παρουσιάσει τις παρατηρήσεις της:

Για τους σκοπούς του πρώτου εδαφίου στοιχείο γ), οι αποδέκτες μιας προειδοποίησης περιορίζονται κατάλληλα, όταν αυτό είναι αναγκαίο λόγω του κινδύνου κυβερνοασφάλειας.

Οι προειδοποιήσεις και οι συστάσεις που εκδίδονται σύμφωνα με το πρώτο εδάφιο απευθύνονται στο ανώτατο διοικητικό επίπεδο της οικείας οντότητας της Ένωσης.

3.   Στις περιπτώσεις που το ΔΣΚ έχει εγκρίνει μέτρα σύμφωνα με την παράγραφο 2 πρώτο εδάφιο στοιχεία α) έως ζ), η οικεία οντότητα της Ένωσης παρέχει λεπτομερή στοιχεία σχετικά με τα μέτρα και τις δράσεις που έχουν αναληφθεί για την αντιμετώπιση των εικαζόμενων ελλείψεων που εντόπισε το ΔΣΚICB. Η οντότητα της Ένωσης υποβάλλει τα λεπτομερή αυτά στοιχεία εντός εύλογου χρονικού διαστήματος που συμφωνείται με το ΔΣΚ.

4.   Όταν το ΔΣΚ θεωρεί ότι υπάρχει διαρκής παράβαση του παρόντος κανονισμού από οντότητα της Ένωσης ως άμεση απόρροια ενεργειών ή παραλείψεων υπαλλήλου ή μέλους της λοιπού προσωπικού της Ένωσης, συμπεριλαμβανομένων προσώπων στο ανώτατο διοικητικό επίπεδο, το ΔΣΚ ζητεί από την οικεία οντότητα της Ένωσης να λάβει τα κατάλληλα μέτρα, μεταξύ άλλων ζητώντας από την εν λόγω οντότητα να εξετάσει το ενδεχόμενο λήψης μέτρων πειθαρχικού χαρακτήρα σύμφωνα με τους κανόνες και τις διαδικασίες που ορίζονται στον κανονισμό υπηρεσιακής κατάστασης και οποιουσδήποτε άλλους εφαρμοστέους κανόνες και διαδικασίες. Για τον σκοπό αυτό, το ΔΣΚ διαβιβάζει τις απαραίτητες πληροφορίες στην οικεία οντότητα της Ένωσης.

5.   Όταν οντότητες της Ένωσης κοινοποιούν ότι δεν είναι σε θέση να τηρήσουν τις προθεσμίες που ορίζονται στο άρθρο 6 παράγραφος 1 και στο άρθρο 8 παράγραφος 1, το ΔΣΚ μπορεί, σε δεόντως αιτιολογημένες περιπτώσεις και λαμβάνοντας υπόψη το μέγεθος της οντότητας της Ένωσης, να εγκρίνει την παράταση των εν λόγω προθεσμιών.

1.   Αποστολή της CERT-ΕΕ είναι να συμβάλλει στην ασφάλεια του μη διαβαθμισμένου περιβάλλοντος ΤΠΕ των οντοτήτων της Ένωσης παρέχοντας σε αυτές συμβουλές σχετικά με την κυβερνοασφάλεια, συμβάλλοντας στην πρόληψη, στον εντοπισμό, στον χειρισμό, στον μετριασμό και στην αντιμετώπιση περιστατικών, καθώς και στην ανάκαμψη από περιστατικά, και λειτουργώντας για αυτές ως κόμβος συντονισμού για την ανταλλαγή πληροφοριών και την αντιμετώπιση περιστατικών στον τομέα της κυβερνοασφάλειας.

2.   Η CERT-EΕ συγκεντρώνει, διαχειρίζεται, αναλύει και ανταλλάσσει πληροφορίες με τις οντότητες της Ένωσης σχετικά με κυβερνοαπειλές, ευπάθειες και περιστατικά σε μη διαβαθμισμένες υποδομές ΤΠΕ. Συντονίζει την αντιμετώπιση περιστατικών σε διοργανικό επίπεδο και σε επίπεδο οντοτήτων της Ένωσης, μεταξύ άλλων παρέχοντας εξειδικευμένη επιχειρησιακή βοήθεια ή συντονίζοντας την παροχή της.

3.   Η CERT-ΕΕ εκτελεί τα ακόλουθα καθήκοντα για να συνδράμει τις οντότητες της Ένωσης:

Οι πληροφορίες που αναφέρονται στο πρώτο εδάφιο στοιχείο ε) κοινοποιούνται στο ΔΣΚ, στο δίκτυο CSIRT και στο Κέντρο Ανάλυσης Πληροφοριών της Ευρωπαϊκής Ένωσης (EU INTCEN), κατά περίπτωση και όπου κρίνεται σκόπιμο, και με την επιφύλαξη των κατάλληλων όρων εμπιστευτικότητας.

4.   Η CERT-ΕΕ μπορεί, σύμφωνα με το άρθρο 17 ή 18, κατά περίπτωση, να συνεργάζεται με σχετικές κοινότητες κυβερνοασφάλειας εντός της Ένωσης και των κρατών μελών της, μεταξύ άλλων στους ακόλουθους τομείς:

5.   Στο πλαίσιο των αρμοδιοτήτων της, η CERT-ΕΕ συμμετέχει σε διαρθρωμένη συνεργασία με τον ENISA όσον αφορά την ανάπτυξη ικανοτήτων, την επιχειρησιακή συνεργασία και τις μακροπρόθεσμες στρατηγικές αναλύσεις των κυβερνοαπειλών σύμφωνα με τον κανονισμό (ΕΕ) 2019/881. Η CERT-ΕΕ μπορεί να συνεργάζεται και να ανταλλάσσει πληροφορίες με το Ευρωπαϊκό Κέντρο για το Κυβερνοέγκλημα της Ευρωπόλ.

6.   Η CERT-ΕΕ μπορεί να παρέχει τις κάτωθι υπηρεσίες που δεν περιγράφονται στον κατάλογο υπηρεσιών της (χρεώσιμες υπηρεσίες):

Όσον αφορά το πρώτο εδάφιο στοιχείο δ), η CERT-ΕΕ μπορεί, κατ’ εξαίρεση, να συνάπτει συμφωνίες επιπέδου υπηρεσιών με άλλες οντότητες πέραν των οντοτήτων της Ένωσης, με προηγούμενη έγκριση του ΔΣΚ.

7.   Η CERT-ΕΕ διοργανώνει και μπορεί να συμμετέχει σε ασκήσεις κυβερνοασφάλειας ή να συνιστά τη συμμετοχή σε υφιστάμενες ασκήσεις, κατά περίπτωση σε στενή συνεργασία με τον ENISA, με σκοπό τη δοκιμή του επιπέδου κυβερνοασφάλειας των οντοτήτων της Ένωσης.

8.   Η CERT-ΕΕ μπορεί να παρέχει συνδρομή σε οντότητες της Ένωσης όσον αφορά περιστατικά σε δικτυακά και πληροφοριακά συστήματα που χειρίζονται ΔΠΕΕ, όταν αυτό ζητείται ρητά από τις οικείες οντότητες της Ένωσης σύμφωνα με τις αντίστοιχες διαδικασίες τους. Η παροχή συνδρομής από την CERT-ΕΕ δυνάμει της παρούσας παραγράφου δεν θίγει τους ισχύοντες κανόνες σχετικά με την προστασία διαβαθμισμένων πληροφοριών.

9.   Η CERT-EΕ ενημερώνει τις οντότητες της Ένωσης σχετικά με τις διαδικασίες και διεργασίες που ακολουθεί για τον χειρισμό περιστατικών.

10.   Η CERT-ΕΕ παρέχει, με υψηλό επίπεδο εμπιστευτικότητας και αξιοπιστίας, μέσω των κατάλληλων μηχανισμών συνεργασίας και διαύλων αναφοράς, σχετικές και ανωνυμοποιημένες πληροφορίες όσον αφορά σοβαρά περιστατικά και τον τρόπο με τον οποίο αντιμετωπίστηκαν. Οι πληροφορίες αυτές περιλαμβάνονται στην έκθεση που αναφέρεται στο άρθρο 10 παράγραφος 14.

11.   Η CERT-ΕΕ, σε συνεργασία με τον ΕΕΠΔ, υποστηρίζει τις οικείες οντότητες της Ένωσης στην αντιμετώπιση περιστατικών που οδηγούν σε παραβιάσεις δεδομένων προσωπικού χαρακτήρα, με την επιφύλαξη της αρμοδιότητας και των καθηκόντων του ΕΕΠΔ ως εποπτικής αρχής δυνάμει του κανονισμού (ΕΕ) 2018/1725.

12.   Η CERT-EΕ μπορεί, εφόσον ζητηθεί ρητά από τμήματα πολιτικής των οντοτήτων της Ένωσης, να συνεισφέρει τεχνικές συμβουλές ή στοιχεία για συναφή ζητήματα πολιτικής.

1.   Η CERT-ΕΕ υποστηρίζει την εφαρμογή του παρόντος κανονισμού εκδίδοντας:

Όσον αφορά το πρώτο εδάφιο στοιχείο α), η οικεία οντότητα της Ένωσης ενημερώνει την CERT-ΕΕ, χωρίς αδικαιολόγητη καθυστέρηση μετά την παραλαβή της έκκλησης για ανάληψη δράσης, σχετικά με τον τρόπο με τον οποίο εφαρμόστηκαν τα επείγοντα μέτρα ασφάλειας.

2.   Οι κατευθυντήριες γραμμές και οι συστάσεις μπορούν να περιλαμβάνουν:

1.   Η Επιτροπή, αφού λάβει την έγκριση πλειοψηφίας δύο τρίτων των μελών του ΔΣΚ, διορίζει τον επικεφαλής της CERT-EΕ. Ζητείται η γνώμη του ΔΣΚ σε όλα τα στάδια της διαδικασίας διορισμού, ιδίως όσον αφορά τη σύνταξη προκηρύξεων κενής θέσης, την εξέταση των αιτήσεων και τον ορισμό των εξεταστικών επιτροπών σε σχέση με την εκάστοτε θέση. Η διαδικασία επιλογής, συμπεριλαμβανομένου του τελικού καταλόγου επικρατέστερων υποψηφίων μεταξύ των οποίων θα επιλεγεί το άτομο που θα διοριστεί στη θέση του επικεφαλής της CERT-ΕΕ, διασφαλίζει τη δίκαιη εκπροσώπηση κάθε φύλου, λαμβανομένων υπόψη των αιτήσεων που έχουν υποβληθεί.

2.   Ο επικεφαλής της CERT-ΕΕ είναι αρμόδιος για την εύρυθμη λειτουργία της CERT-ΕΕ και ενεργεί στο πλαίσιο των αρμοδιοτήτων του ρόλου του υπό την καθοδήγηση του ΔΣΚ. Ο επικεφαλής της CERT-ΕΕ υποβάλλει τακτικά εκθέσεις στον πρόεδρο του ΔΣΚ και υποβάλλει ad hoc εκθέσεις στο ΔΣΚ κατόπιν αιτήματός του.

3.   Ο επικεφαλής της CERT-ΕΕ συνδράμει τον αρμόδιο κύριο διατάκτη κατά τη σύνταξη της ετήσιας έκθεσης δραστηριοτήτων η οποία περιλαμβάνει δημοσιονομικές και διαχειριστικές πληροφορίες, μεταξύ των οποίων τα αποτελέσματα ελέγχων, και η οποία συντάσσεται βάσει του άρθρου 74 παράγραφος 9 του κανονισμού (ΕΕ, Ευρατόμ) 2018/1046 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (9), και υποβάλλει τακτικά εκθέσεις στον κύριο διατάκτη σχετικά με την εφαρμογή των μέτρων για τα οποία έχει ανατεθεί αρμοδιότητα στον επικεφαλής της CERT-ΕΕ.

4.   Ο επικεφαλής της CERT-ΕΕ καταρτίζει, σε ετήσια βάση, οικονομικό προγραμματισμό των διοικητικών εσόδων και δαπανών για τις δραστηριότητές της, το προτεινόμενο ετήσιο πρόγραμμα εργασίας, τον προτεινόμενο κατάλογο υπηρεσιών για την CERT-ΕΕ, προτεινόμενες αναθεωρήσεις του καταλόγου υπηρεσιών, προτεινόμενες ρυθμίσεις για συμφωνίες σε επίπεδο υπηρεσιών και προτεινόμενους ΒΔΕ για τη CERT-EΕ, που πρέπει να εγκριθούν από το ΔΣΚ σύμφωνα με το άρθρο 11. Κατά την αναθεώρηση του καταλόγου υπηρεσιών της CERT-ΕΕ, ο επικεφαλής της CERT-ΕΕ λαμβάνει υπόψη τους πόρους που διατίθενται στη CERT-EΕ.

5.   Ο επικεφαλής της CERT-ΕΕ υποβάλλει εκθέσεις, τουλάχιστον σε ετήσια βάση, στο ΔΣΚ και στον πρόεδρο του ΔΣΚ σχετικά με τις δραστηριότητες και τις επιδόσεις της CERT-ΕΕ κατά την περίοδο αναφοράς, μεταξύ άλλων όσον αφορά την εκτέλεση του προϋπολογισμού, τις συμφωνίες επιπέδου υπηρεσιών και τις γραπτές συμφωνίες που έχουν συναφθεί, τη συνεργασία με ομολόγους και εταίρους, καθώς και σχετικά με τις αποστολές που αναλαμβάνει το προσωπικό, συμπεριλαμβανομένων των εκθέσεων που αναφέρονται στο άρθρο 11. Οι εν λόγω εκθέσεις περιλαμβάνουν το πρόγραμμα εργασίας για την επόμενη περίοδο, τον δημοσιονομικό προγραμματισμό των εσόδων και των δαπανών, συμπεριλαμβανομένης της στελέχωσης, τις προγραμματισμένες επικαιροποιήσεις του καταλόγου υπηρεσιών της CERT-ΕΕ και αξιολόγηση του αναμενόμενου αντικτύπου που ενδέχεται να έχουν οι εν λόγω επικαιροποιήσεις όσον αφορά τους οικονομικούς και ανθρώπινους πόρους.

1.   Η CERT-ΕΕ ενσωματώνεται στη διοικητική δομή μιας γενικής διεύθυνσης της Επιτροπής προκειμένου να επωφελείται από τις δομές υποστήριξης της Επιτροπής σε επίπεδο διοίκησης, δημοσιονομικής διαχείρισης και λογιστικής, διατηρώντας παράλληλα το καθεστώς της ως αυτόνομου διοργανικού παρόχου υπηρεσιών για όλες τις οντότητες της Ένωσης. Η Επιτροπή ενημερώνει το ΔΣΚ σχετικά με την διοικητική έδρα της CERT-EU καθώς και τυχόν αλλαγές της. Η Επιτροπή επανεξετάζει τις διοικητικές ρυθμίσεις που σχετίζονται με την CERT-ΕΕ σε τακτική βάση και σε κάθε περίπτωση πριν από τη θέσπιση οποιουδήποτε πολυετούς δημοσιονομικού πλαισίου σύμφωνα με το άρθρο 312 ΣΛΕΕ, ώστε να είναι δυνατή η λήψη κατάλληλων μέτρων. Η επανεξέταση περιλαμβάνει τη δυνατότητα σύστασης της CERT-ΕΕ ως γραφείου της Ένωσης.

2.   Για την εφαρμογή των διοικητικών και δημοσιονομικών διαδικασιών, ο επικεφαλής της CERT-ΕΕ ενεργεί υπό τον έλεγχο της Επιτροπής και την εποπτεία του ΔΣΚ.

3.   Τα καθήκοντα και οι δραστηριότητες της CERT-ΕΕ, συμπεριλαμβανομένων των υπηρεσιών που παρέχονται από την CERT-ΕΕ σύμφωνα με το άρθρο 13 παράγραφοι 3, 4, 5, και 7 και το άρθρο 14 παράγραφος 1 στις οντότητες της Ένωσης τα οποία χρηματοδοτούνται από τον τομέα του πολυετούς δημοσιονομικού πλαισίου που είναι αφιερωμένος στην ευρωπαϊκή δημόσια διοίκηση, χρηματοδοτούνται μέσω χωριστής γραμμής του προϋπολογισμού της Επιτροπής. Οι θέσεις που προορίζονται για την CERT-ΕΕ περιγράφονται λεπτομερώς σε υποσημείωση του πίνακα προσωπικού της Επιτροπής.

4.   Οι οντότητες της Ένωσης, πέραν αυτών που αναφέρονται στην παράγραφο 3 του παρόντος άρθρου, καταβάλλουν ετήσια χρηματοδοτική συνεισφορά στην CERT-ΕΕ για την κάλυψη των υπηρεσιών που παρέχει η CERT-ΕΕ σύμφωνα με την εν λόγω παράγραφο. Οι συνεισφορές βασίζονται σε κατευθύνσεις που παρέχει το ΔΣΚ και συμφωνούνται μεταξύ της κάθε οντότητας της Ένωσης και της CERT-ΕΕ στο πλαίσιο συμφωνιών επιπέδου υπηρεσιών. Οι συνεισφορές αντιστοιχούν σε δίκαιο και αναλογικό ποσοστό του συνολικού κόστους των παρεχόμενων υπηρεσιών. Εισπράττονται από τη χωριστή γραμμή του προϋπολογισμού που αναφέρεται στην παράγραφο 3 του παρόντος άρθρου, ως εσωτερικά έσοδα για ειδικό προορισμό, όπως προβλέπεται στο άρθρο 21 παράγραφος 3 στοιχείο γ) του κανονισμού (ΕΕ, Ευρατόμ) 2018/1046.

5.   Οι δαπάνες για τις υπηρεσίες που προβλέπονται στο άρθρο 13 παράγραφος 6 ανακτώνται από τις οντότητες της Ένωσης που λαμβάνουν τις υπηρεσίες της CERT-ΕΕ. Τα έσοδα εγγράφονται στις γραμμές του προϋπολογισμού που καλύπτουν τις δαπάνες.

1.   Η CERT-ΕΕ συνεργάζεται και ανταλλάσσει πληροφορίες, χωρίς αδικαιολόγητη καθυστέρηση, με ομολόγους από κράτη μέλη, ιδίως τις CSIRT που ορίζονται ή συγκροτούνται σύμφωνα με το άρθρο 10 της οδηγίας (ΕΕ) 2022/2555 ή, κατά περίπτωση, τις αρμόδιες αρχές και τα ενιαία σημεία επαφής που ορίζονται ή συγκροτούνται σύμφωνα με το άρθρο 8 της εν λόγω οδηγίας, σχετικά με περιστατικά, κυβερνοαπειλές, ευπάθειες, παρ’ ολίγον περιστατικά, πιθανά αντίμετρα, καθώς και βέλτιστες πρακτικές και όλα τα θέματα που αφορούν τη βελτίωση της προστασίας των περιβαλλόντων ΤΠΕ των οντοτήτων της Ένωσης, μεταξύ άλλων μέσω του δικτύου CSIRT που συγκροτείται σύμφωνα με το άρθρο 15 της οδηγίας (ΕΕ) 2022/2555. Η CERT-ΕΕ στηρίζει την Επιτροπή στο EU-CyCLONe που συγκροτείται σύμφωνα με το άρθρο 16 της οδηγίας (ΕΕ) 2022/2555 για τη συντονισμένη διαχείριση περιστατικών και κρίσεων μεγάλης κλίμακας στον κυβερνοχώρο.

2.   Όταν η CERT-EU αντιλαμβάνεται σημαντικό περιστατικό που λαμβάνει χώρα στην επικράτεια ενός κράτους μέλους, ενημερώνει, χωρίς καθυστέρηση, κάθε σχετικό ομόλογό της στο εν λόγω κράτος μέλος, σύμφωνα με την παράγραφο 1.

3.   Υπό την προϋπόθεση ότι τα δεδομένα προσωπικού χαρακτήρα προστατεύονται σύμφωνα με την ισχύουσα νομοθεσία της Ένωσης για την προστασία των δεδομένων, η CERT-ΕΕ ανταλλάσσει με ομολόγους της από κράτη μέλη, χωρίς αδικαιολόγητη καθυστέρηση, σχετικές πληροφορίες που αφορούν συγκεκριμένα περιστατικά οι οποίες διευκολύνουν τον εντοπισμό παρόμοιων κυβερνοαπειλών ή περιστατικών, ή συμβάλλουν στην ανάλυση περιστατικού, χωρίς την άδεια της θιγόμενης οντότητας της Ένωσης. Η CERT-ΕΕ ανταλλάσσει πληροφορίες σχετικά με συγκεκριμένα περιστατικά που αποκαλύπτουν την ταυτότητα του στόχου του περιστατικού μόνο όταν συντρέχει μία από τις ακόλουθες περιπτώσεις:

Οι αποφάσεις για την ανταλλαγή πληροφοριών σχετικά με συγκεκριμένα περιστατικά οι οποίες αποκαλύπτουν την ταυτότητα του στόχου του περιστατικού σύμφωνα με το πρώτο εδάφιο στοιχείο β), εγκρίνονται από τον επικεφαλής της CERT-ΕΕ. Πριν από την έκδοση της εν λόγω απόφασης, η CERT-ΕΕ επικοινωνεί γραπτώς με τη θιγόμενη οντότητα της Ένωσης, εξηγώντας με σαφήνεια τον τρόπο με τον οποίο η γνωστοποίησή της ταυτότητάς της θα συνέβαλε στην αποφυγή ή τον μετριασμό περιστατικών αλλού. Ο επικεφαλής της CERT-ΕΕ παρέχει τις εξηγήσεις και ζητεί ρητά από την οντότητα της Ένωσης να δηλώσει εάν δίνει τη συγκατάθεσή της εντός καθορισμένης προθεσμίας. Ο επικεφαλής της CERT-ΕΕ ενημερώνει επίσης την οντότητα της Ένωσης ότι, υπό το πρίσμα των εξηγήσεων που παρέχονται, διατηρεί το δικαίωμα να γνωστοποιήσει τις πληροφορίες ακόμη και ελλείψει συγκατάθεσης. Η θιγόμενη οντότητα της Ένωσης ενημερώνεται πριν από τη γνωστοποίηση των πληροφοριών.

1.   Η CERT-ΕΕ μπορεί να συνεργάζεται με ομολόγους της στην Ένωση πέραν αυτών που αναφέρονται στο άρθρο 17 οι οποίοι υπόκεινται σε ενωσιακές απαιτήσεις κυβερνοασφάλειας, συμπεριλαμβανομένων ομολόγων ανά κλάδο, σχετικά με εργαλεία και μεθόδους, όπως τεχνικές, τακτικές, διαδικασίες και βέλτιστες πρακτικές, καθώς και σχετικά με κυβερνοαπειλές και ευπάθειες. Για κάθε συνεργασία με τους εν λόγω ομολόγους, η CERT-ΕΕ ζητεί την προηγούμενη έγκριση του ΔΣΚ κατά περίπτωση. Όταν η CERT-ΕΕ αναπτύσσει συνεργασία με ομολόγους αυτού του είδους, ενημερώνει τυχόν σχετικούς ομολόγους από τα κράτη μέλη οι οποίοι αναφέρονται στο άρθρο 17 παράγραφος 1, στο κράτος μέλος στο οποίο βρίσκεται ο ομόλογος. Κατά περίπτωση και όπου κρίνεται σκόπιμο, η εν λόγω συνεργασία και οι όροι της, μεταξύ άλλων όσον αφορά την κυβερνοασφάλεια, την προστασία των δεδομένων και τον χειρισμό πληροφοριών, θεσπίζονται με ειδικές ρυθμίσεις εμπιστευτικότητας, όπως συμβάσεις ή διοικητικές ρυθμίσεις. Για τις ρυθμίσεις εμπιστευτικότητας δεν απαιτείται εκ των προτέρων έγκριση από το ΔΣΚ, αλλά ο πρόεδρός του πρέπει να ενημερώνεται σχετικά. Σε περίπτωση επείγουσας και άμεσης ανάγκης ανταλλαγής πληροφοριών κυβερνοασφάλειας προς το συμφέρον οντοτήτων της Ένωσης ή άλλου μέρους, η CERT-ΕΕ μπορεί να προβεί σε τέτοια συνεργασία με οντότητα της οποίας η ειδική αρμοδιότητα, ικανότητα και εμπειρογνωσία απαιτούνται δικαιολογημένα για τη συνδρομή στην εν λόγω επείγουσα και άμεση ανάγκη, ακόμη και αν η CERT-ΕΕ δεν έχει συνάψει ρύθμιση εμπιστευτικότητας με την εν λόγω οντότητα. Στις περιπτώσεις αυτές, η CERT-ΕΕ ενημερώνει αμέσως τον πρόεδρο του ΔΣΚ και ενημερώνει το ΔΣΚ μέσω τακτικών εκθέσεων ή συνεδριάσεων.

2.   Η CERT-ΕΕ μπορεί να συνεργάζεται με άλλους εταίρους, όπως εμπορικές οντότητες, συμπεριλαμβανομένων των βιομηχανικών οντοτήτων ανά τομέα, διεθνείς οργανισμούς, εθνικές οντότητες εκτός Ευρωπαϊκής Ένωσης ή μεμονωμένους εμπειρογνώμονες, για τη συλλογή πληροφοριών σχετικά με γενικές και ειδικές κυβερνοαπειλές, παρ’ ολίγον περιστατικά, ευπάθειες και πιθανά αντίμετρα. Για ευρύτερη συνεργασία με τους εταίρους αυτούς, η CERT-ΕΕ ζητεί την προηγούμενη έγκριση του ΔΣΚ κατά περίπτωση.

3.   Η CERT-ΕΕ μπορεί, με τη συγκατάθεση της οντότητας της Ένωσης που επηρεάζεται από περιστατικό και υπό την προϋπόθεση ότι έχει συναφθεί συμφωνία ή σύμβαση τήρησης του απορρήτου με τον σχετικό ομόλογο ή εταίρο, να παρέχει πληροφορίες σχετικά με το συγκεκριμένο περιστατικό σε ομολόγους ή εταίρους που αναφέρονται στις παραγράφους 1 και 2 αποκλειστικά με σκοπό να συμβάλει στην ανάλυσή του.

1.   Οι οντότητες της Ένωσης και η CERT-ΕΕ τηρούν την υποχρέωση τήρησης του επαγγελματικού απορρήτου σύμφωνα με το άρθρο 339 ΣΛΕΕ ή ισοδύναμα εφαρμοστέα πλαίσια.

2.   Ο κανονισμός (ΕΚ) αριθ. 1049/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (10) εφαρμόζεται όσον αφορά αιτήματα πρόσβασης του κοινού σε έγγραφα που βρίσκονται στην κατοχή της CERT-ΕΕ, λαμβανομένης υπόψη της υποχρέωσης που απορρέει από τον εν λόγω κανονισμό για διαβούλευση με άλλες οντότητες της Ένωσης ή, κατά περίπτωση, με τα κράτη μέλη, όταν το αίτημα αφορά τα έγγραφά τους.

3.   Ο χειρισμός πληροφοριών από τις οντότητες της Ένωσης και την CERT-ΕΕ συνάδει με τους ισχύοντες κανόνες για την ασφάλεια των πληροφοριών.

1.   Οι οντότητες της Ένωσης μπορούν, σε εθελοντική βάση, να κοινοποιούν στην CERT-ΕΕ περιστατικά, κυβερνοαπειλές, παρ’ ολίγον περιστατικά και ευπάθειες που τις επηρεάζουν, και να της παρέχουν σχετικές πληροφορίες. Η CERT-ΕΕ εξασφαλίζει ότι διατίθενται αποτελεσματικά μέσα επικοινωνίας, με υψηλό βαθμό ιχνηλασιμότητας, εμπιστευτικότητας και αξιοπιστίας, για τη διευκόλυνση της ανταλλαγής πληροφοριών με τις οντότητες της Ένωσης. Κατά την επεξεργασία κοινοποιήσεων, η CERT-EΕ μπορεί να δίνει προτεραιότητα στην επεξεργασία των υποχρεωτικών έναντι των εθελούσιων κοινοποιήσεων. Με την επιφύλαξη του άρθρου 12, η εθελούσια κοινοποίηση δεν συνεπάγεται την επιβολή στην αναφέρουσα οντότητα της Ένωσης πρόσθετων υποχρεώσεων τις οποίες δεν θα υπείχε αν δεν προέβαινε στην κοινοποίηση.

2.   Για να εκτελεί την αποστολή και τα καθήκοντα που της ανατίθενται σύμφωνα με το άρθρο 13, η CERT-ΕΕ μπορεί να ζητεί από τις οντότητες της Ένωσης να της παρέχουν πληροφορίες από τις αντίστοιχες απογραφές των οικείων συστημάτων ΤΠΕ, συμπεριλαμβανομένων πληροφοριών σχετικά με κυβερνοαπειλές, παρ’ ολίγον περιστατικά, ευπάθειες, δείκτες έκθεσης σε κίνδυνο, ειδοποιήσεις επαγρύπνησης για την κυβερνοασφάλεια και συστάσεις σχετικά με την παραμετροποίηση εργαλείων κυβερνοασφάλειας για τον εντοπισμό περιστατικών. Η οντότητα στην οποία υποβάλλεται το αίτημα διαβιβάζει τις ζητούμενες πληροφορίες, καθώς και τυχόν μεταγενέστερες επικαιροποιήσεις τους, χωρίς αδικαιολόγητη καθυστέρηση.

3.   Η CERT-ΕΕ μπορεί να ανταλλάσσει με τις οντότητες της Ένωσης πληροφορίες σχετικά με συγκεκριμένα περιστατικά που αποκαλύπτουν την ταυτότητα της επηρεαζόμενης από το περιστατικό οντότητας της Ένωσης, εφόσον η εν λόγω οντότητα της Ένωσης δώσει τη συγκατάθεσή της. Όταν οντότητα της Ένωσης αρνείται να δώσει τη συγκατάθεσή της, παρέχει στην CERT-ΕΕ τους λόγους που τεκμηριώνουν την εν λόγω απόφαση.

4.   Οι οντότητες της Ένωσης ανταλλάσσουν, κατόπιν αιτήματος, πληροφορίες με το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο σχετικά με την ολοκλήρωση των σχεδίων κυβερνοασφάλειας.

5.   Το ΔΣΚ ή η CERT-ΕΕ, κατά περίπτωση, κοινοποιεί, κατόπιν αιτήματος, κατευθυντήριες γραμμές, συστάσεις και εκκλήσεις για ανάληψη δράσης στο Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο.

6.   Οι υποχρεώσεις ανταλλαγής που ορίζονται στο παρόν άρθρο δεν επεκτείνονται σε:

1.   Ένα περιστατικό θεωρείται σημαντικό εάν:

2.   Οι οντότητες της Ένωσης υποβάλλουν στη CERT-EΕ:

3.   Μια οντότητα της Ένωσης ενημερώνει, χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός 24 ωρών από τη στιγμή που έγινε αντιληπτό σημαντικό περιστατικό, τυχόν σχετικούς ομολόγους από τα κράτη μέλη οι οποίοι αναφέρονται στο άρθρο 17 παράγραφος 1, στο κράτος μέλος στο οποίο βρίσκεται ο ομόλογος, ότι έχει συμβεί σημαντικό περιστατικό.

4.   Οι οντότητες της Ένωσης αναφέρουν, μεταξύ άλλων, κάθε πληροφορία που επιτρέπει στην CERT-ΕΕ να προσδιορίσει τυχόν αντίκτυπο μεταξύ οντοτήτων, αντίκτυπο στο κράτος μέλος υποδοχής ή διασυνοριακό αντίκτυπο μετά από σημαντικό περιστατικό. Με την επιφύλαξη του άρθρου 12, η απλή πράξη κοινοποίησης δεν συνεπάγεται αυξημένη ευθύνη της οντότητας της Ένωσης.

5.   Κατά περίπτωση, οι οντότητες της Ένωσης κοινοποιούν, χωρίς αδικαιολόγητη καθυστέρηση, στους χρήστες των επηρεαζόμενων δικτυακών και πληροφοριακών συστημάτων ή άλλων συνιστωσών του περιβάλλοντος ΤΠΕ, που ενδέχεται να επηρεαστούν από σημαντικό περιστατικό ή σημαντική κυβερνοαπειλή, και, κατά περίπτωση, πρέπει να λάβουν μέτρα μετριασμού, τυχόν μέτρα ή διορθωτικές ενέργειες στις οποίες μπορούν να προβούν για την αντιμετώπιση του εν λόγω περιστατικού ή της εν λόγω απειλής. Κατά περίπτωση, οι οντότητες της Ένωσης ενημερώνουν τους εν λόγω χρήστες για την ίδια τη σημαντική κυβερνοαπειλή.

6.   Όταν σημαντικό περιστατικό ή σημαντική κυβερνοαπειλή επηρεάζει δικτυακό ή πληροφοριακό σύστημα ή συνιστώσα περιβάλλοντος ΤΠΕ οντότητας της Ένωσης που είναι γνωστό ότι είναι συνδεδεμένη με το περιβάλλον ΤΠΕ άλλης οντότητας της Ένωσης, η CERT-ΕΕ εκδίδει σχετική ειδοποίηση επαγρύπνησης για την κυβερνοασφάλεια.

7.   Οι οντότητες της Ένωσης, κατόπιν αιτήματος της CERT-ΕΕ και χωρίς αδικαιολόγητη καθυστέρηση, παρέχουν στην CERT-ΕΕ ψηφιακές πληροφορίες που δημιουργούνται από τη χρήση ηλεκτρονικών συσκευών που εμπλέκονται στα αντίστοιχα περιστατικά τους. Η CERT-ΕΕ μπορεί να παρέχει περαιτέρω λεπτομερή στοιχεία σχετικά με τα είδη πληροφοριών που χρειάζεται για την επίγνωση της κατάστασης και την αντιμετώπιση περιστατικών.

8.   Η CERT-ΕΕ υποβάλλει ανά τρίμηνο στο ΔΣΚ, στον ENISA, στο EU INTCEN και στο δίκτυο CSIRT συνοπτική έκθεση που περιλαμβάνει ανωνυμοποιημένα και συγκεντρωτικά δεδομένα σχετικά με σημαντικά περιστατικά, περιστατικά, κυβερνοαπειλές, παρ’ ολίγον περιστατικά και ευπάθειες σύμφωνα με το άρθρο 20 και σημαντικά περιστατικά που κοινοποιούνται σύμφωνα με την παράγραφο 2 του παρόντος άρθρου. Η συνοπτική έκθεση παρέχει στοιχεία για την ανά διετία έκθεση σχετικά με την κατάσταση της κυβερνοασφάλειας στην Ένωση που εγκρίνεται σύμφωνα με το άρθρο 18 της οδηγίας (ΕΕ) 2022/2555.

9.   Έως τις 8 Ιουλίου 2024, το ΔΣΚ εκδίδει κατευθυντήριες γραμμές ή συστάσεις με τις οποίες προσδιορίζει περαιτέρω τις ρυθμίσεις, τον μορφότυπο και το περιεχόμενο της υποβολής εκθέσεων σύμφωνα με το παρόν άρθρο. Κατά την κατάρτιση των εν λόγω κατευθυντήριων γραμμών ή συστάσεων, το ΔΣΚ λαμβάνει υπόψη τυχόν εκτελεστικές πράξεις που εκδίδονται σύμφωνα με το άρθρο 23 παράγραφος 11 της οδηγίας (ΕΕ) 2022/2555 και καθορίζουν το είδος των πληροφοριών, τον μορφότυπο και τη διαδικασία των κοινοποιήσεων. Η CERT-ΕΕ διαδίδει τις κατάλληλες τεχνικές λεπτομέρειες ώστε να διευκολύνει τις οντότητες της Ένωσης στον προδραστικό εντοπισμό, στην αντιμετώπιση περιστατικών ή στην εφαρμογή μέτρων μετριασμού.

10.   Οι υποχρεώσεις υποβολής εκθέσεων που ορίζονται στο παρόν άρθρο δεν επεκτείνονται σε:

1.   Ενεργώντας ως κόμβος συντονισμού για την ανταλλαγή πληροφοριών και την αντιμετώπιση περιστατικών στον τομέα της κυβερνοασφάλειας, η CERT-ΕΕ διευκολύνει την ανταλλαγή πληροφοριών σχετικά με περιστατικά, κυβερνοαπειλές, ευπάθειες και παρ’ ολίγον περιστατικά μεταξύ:

2.   Η CERT-ΕΕ, κατά περίπτωση σε στενή συνεργασία με τον ENISA, διευκολύνει τον συντονισμό μεταξύ των οντοτήτων της Ένωσης για την αντιμετώπιση περιστατικών, μεταξύ άλλων με:

3.   Η CERT-ΕΕ, σε στενή συνεργασία με τον ENISA, στηρίζει τις οντότητες της Ένωσης όσον αφορά την επίγνωση της κατάστασης σχετικά με περιστατικά, κυβερνοαπειλές, ευπάθειες και παρ’ ολίγον περιστατικά, καθώς και την ανταλλαγή σχετικών εξελίξεων στον τομέα της κυβερνοασφάλειας.

4.   Έως τις 8 Ιανουαρίου 2025, το ΔΣΚ εκδίδει, βάσει πρότασης της CERT-EΕ, κατευθυντήριες γραμμές ή συστάσεις σχετικά με τον συντονισμό της αντιμετώπισης περιστατικών και τη σχετική συνεργασία για σημαντικά περιστατικά. Όταν υπάρχουν υπόνοιες ότι ένα περιστατικό έχει ποινικό χαρακτήρα, η CERT-ΕΕ παρέχει συμβουλές σχετικά με τον τρόπο αναφοράς του περιστατικού στις αρχές επιβολής του νόμου, χωρίς αδικαιολόγητη καθυστέρηση.

5.   Κατόπιν ειδικού αιτήματος κράτους μέλους και με την έγκριση των οικείων οντοτήτων της Ένωσης, η CERT-ΕΕ μπορεί να καλεί εμπειρογνώμονες από τον κατάλογο που αναφέρεται στο άρθρο 23 παράγραφος 4, προκειμένου να συμβάλουν στην αντιμετώπιση σοβαρού περιστατικού που έχει αντίκτυπο στο εν λόγω κράτος μέλος ή περιστατικού μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας σύμφωνα με το άρθρο 15 παράγραφος 3 στοιχείο ζ) της οδηγίας (ΕΕ) 2022/2555. Ειδικοί κανόνες σχετικά με την πρόσβαση και τη χρήση τεχνικών εμπειρογνωμόνων από οντότητες της Ένωσης εγκρίνονται από το ΔΣΚ βάσει πρότασης της CERT ΕΕ.

1.   Για την υποστήριξη σε επιχειρησιακό επίπεδο της συντονισμένης διαχείρισης σοβαρών περιστατικών που επηρεάζουν οντότητες της Ένωσης και για τη συμβολή στην τακτική ανταλλαγή σχετικών πληροφοριών μεταξύ των οντοτήτων της Ένωσης και με τα κράτη μέλη, το ΔΣΚ καταρτίζει, σύμφωνα με το άρθρο 11 στοιχείο ιζ), σχέδιο διαχείρισης κρίσεων στον κυβερνοχώρο με βάση τις δραστηριότητες που αναφέρονται στο άρθρο 22 παράγραφος 2, σε στενή συνεργασία με την CERT-ΕΕ και τον ENISA. Το σχέδιο διαχείρισης κρίσεων στον κυβερνοχώρο περιλαμβάνει τουλάχιστον τα ακόλουθα στοιχεία:

2.   Ο εκπρόσωπος της Επιτροπής στο ΔΣΚ, με την επιφύλαξη του σχεδίου διαχείρισης κρίσεων στον κυβερνοχώρο που καταρτίζεται σύμφωνα με την παράγραφο 1 του παρόντος άρθρου και με την επιφύλαξη του άρθρου 16 παράγραφος 2 πρώτο εδάφιο της οδηγίας (ΕΕ) 2022/2555, αποτελεί το σημείο επαφής για την ανταλλαγή σχετικών πληροφοριών με το EU-CyCLONe σε σχέση με σοβαρά περιστατικά.

3.   Η CERT-ΕΕ συντονίζει μεταξύ των οντοτήτων της Ένωσης τη διαχείριση σοβαρών περιστατικών. Τηρεί κατάλογο της διαθέσιμης τεχνικής εμπειρογνωσίας που απαιτείται για την αντιμετώπιση περιστατικών σε περίπτωση σοβαρών περιστατικών και επικουρεί το ΔΣΚ στον συντονισμό των σχεδίων διαχείρισης κρίσεων στον κυβερνοχώρο των οντοτήτων της Ένωσης για σοβαρά περιστατικά που αναφέρονται στο άρθρο 9 παράγραφος 2.

4.   Οι οντότητες της Ένωσης συμβάλλουν στην κατάρτιση του καταλόγου τεχνικής εμπειρογνωσίας παρέχοντας και επικαιροποιώντας σε ετήσια βάση κατάλογο των διαθέσιμων εμπειρογνωμόνων στο πλαίσιο των αντίστοιχων οργανισμών τους, στον οποίον αναφέρονται λεπτομερώς οι ειδικές τεχνικές δεξιότητές τους.

1.   Έως τις 8 Ιανουαρίου 2025, και στη συνέχεια σε ετήσια βάση, το ΔΣΚ, με τη συνδρομή της CERT-ΕΕ, υποβάλλει εκθέσεις στην Επιτροπή σχετικά με την εφαρμογή του παρόντος κανονισμού. Το ΔΣΚ μπορεί να απευθύνει συστάσεις στην Επιτροπή για την επανεξέταση του παρόντος κανονισμού.

2.   Έως τις 8 Ιανουαρίου 2027 και στη συνέχεια ανά διετία, η Επιτροπή διενεργεί αξιολόγηση και υποβάλλει έκθεση στο Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο σχετικά με την εφαρμογή του παρόντος κανονισμού και την πείρα που αποκτήθηκε σε στρατηγικό και επιχειρησιακό επίπεδο.

Η έκθεση που αναφέρεται στο πρώτο εδάφιο της παρούσας παραγράφου περιλαμβάνει την επανεξέταση που αναφέρεται στο άρθρο 16 παράγραφος 1, σχετικά με τη δυνατότητα σύστασης της CERT-ΕΕ ως γραφείου της Ένωσης.

3.   Έως τις 8 Ιανουαρίου 2029, η Επιτροπή αξιολογεί τη λειτουργία του παρόντος κανονισμού και υποβάλλει έκθεση στο Ευρωπαϊκό Κοινοβούλιο, στο Συμβούλιο, στην Ευρωπαϊκή Οικονομική και Κοινωνική Επιτροπή και στην Επιτροπή των Περιφερειών. Η Επιτροπή αξιολογεί επίσης κατά πόσον είναι σκόπιμο να συμπεριληφθούν τα δικτυακά και πληροφοριακά συστήματα που χειρίζονται ΔΠΕΕ στο πεδίο εφαρμογής του παρόντος κανονισμού, λαμβάνοντας υπόψη άλλες νομοθετικές πράξεις της Ένωσης που εφαρμόζονται στα εν λόγω συστήματα. Η έκθεση συνοδεύεται, εφόσον είναι αναγκαίο, από νομοθετική πρόταση.