(1)   Prezentul regulament se aplică entităților Uniunii, Consiliului interinstituțional pentru securitate cibernetică instituit în temeiul articolului 10 și CERT-UE.

(2)   Prezentul regulament se aplică fără a aduce atingere autonomiei instituționale în temeiul tratatelor.

(3)   Cu excepția articolului 13 alineatul (8), prezentul regulament nu se aplică rețelelor și sistemelor informatice care gestionează informații UE clasificate (IUEC).

(1)   Prelucrarea datelor cu caracter personal în temeiul prezentului regulament de către CERT-UE, Consiliul interinstituțional pentru securitate cibernetică instituit în temeiul articolului 10 și entitățile Uniunii se efectuează în conformitate cu Regulamentul (UE) 2018/1725.

(2)   Atunci când îndeplinesc sarcini sau obligații în temeiul prezentului regulament, CERT-UE, Consiliul interinstituțional pentru securitate cibernetică instituit în temeiul articolului 10 și entitățile Uniunii prelucrează și fac schimb de date cu caracter personal numai în măsura în care este necesar și exclusiv în scopul îndeplinirii sarcinilor sau obligațiilor respective.

(3)   Prelucrarea categoriilor speciale de date cu caracter personal menționate la articolul 10 alineatul (1) din Regulamentul (UE) 2018/1725 este considerată necesară din motive de interes public major în temeiul articolului 10 alineatul (2) litera (g) din regulamentul respectiv. Aceste date pot fi prelucrate numai în măsura necesară pentru punerea în aplicare a măsurilor de gestionare a riscurilor de securitate cibernetică menționate la articolele 6 și 8, pentru furnizarea de servicii de către CERT-UE în temeiul articolului 13, pentru schimbul de informații referitoare la incidente în temeiul articolului 17 alineatul (3) și al articolului 18 alineatul (3), pentru schimbul de informații în temeiul articolului 20, pentru obligațiile de raportare în temeiul articolului 21, pentru coordonarea și cooperarea în ceea ce privește răspunsul la incidente în temeiul articolului 22 și pentru gestionarea incidentelor majore în temeiul articolului 23 din prezentul regulament. Atunci când acționează în calitate de operatori de date, Entitățile Uniunii și CERT-UE aplică măsuri tehnice pentru a preveni prelucrarea categoriilor speciale de date cu caracter personal în alte scopuri și prevăd măsuri adecvate și specifice pentru a proteja drepturile fundamentale și interesele persoanelor vizate.

(1)   Până la 8 septembrie 2024, Consiliul interinstituțional pentru securitate cibernetică instituit în temeiul articolului 10, după consultarea Agenției Uniunii Europene pentru Securitate Cibernetică (ENISA) și după primirea de orientări din partea CERT-UE, emite orientări pentru entitățile Uniunii în scopul efectuării unei analize inițiale a securității cibernetice și al instituirii unui cadru intern de gestionare, guvernanță și control al riscurilor de securitate cibernetică în temeiul articolului 6, al efectuării unor evaluări ale maturității în materie de securitate cibernetică în temeiul articolului 7, al luării unor măsuri de gestionare a riscurilor de securitate cibernetică în temeiul articolului 8, precum și al adoptării planului de securitate cibernetică în temeiul articolului 9.

(2)   La punerea în aplicare a articolelor 6-9, entitățile Uniunii țin seama de orientările menționate la alineatul (1) de la prezentul articol, precum și de orientările și recomandările relevante adoptate în temeiul articolelor 11 și 14.

(1)   Până la 8 aprilie 2025, fiecare entitate a Uniunii, după efectuarea unei analize inițiale a securității cibernetice, cum ar fi un audit, instituie un cadru intern de gestionare, guvernanță și control al riscurilor de securitate cibernetică (denumit în continuare „cadrul”). Instituirea cadrului se află sub supravegherea și responsabilitatea celui mai înalt nivel de conducere al entității Uniunii.

(2)   Cadrul acoperă întregul mediu TIC neclasificat al entității Uniunii în cauză, inclusiv orice mediu TIC de la fața locului, rețea tehnologică operațională, active și servicii externalizate în medii de cloud computing sau găzduite de părți terțe, dispozitive mobile, rețele corporative, rețele organizaționale care nu sunt conectate la internet și orice dispozitive conectate la aceste medii (mediul TIC). Cadrul se bazează pe o abordare care ia în considerare toate riscurile.

(3)   Cadrul asigură un nivel ridicat de securitate cibernetică. Cadrul stabilește politici interne de securitate cibernetică, inclusiv obiective și priorități, pentru securitatea rețelelor și a sistemelor informatice, precum și rolurile și responsabilitățile personalului entității Uniunii însărcinat cu asigurarea punerii în aplicare eficace a prezentului regulament. Cadrul include, de asemenea, mecanisme de măsurare a eficacității punerii în aplicare.

(4)   Cadrul este revizuit periodic, având în vedere evoluția riscurilor de securitate cibernetică, și cel puțin o dată la patru ani. După caz și în urma unei cereri din partea Consiliului interinstituțional pentru securitate cibernetică instituit în temeiul articolului 10, cadrul unei entități a Uniunii poate fi actualizat pe baza orientărilor CERT-UE privind incidentele identificate sau posibilele lacune observate în punerea în aplicare a prezentului regulament.

(5)   Cel mai înalt nivel de conducere al fiecărei entități a Uniunii este responsabil cu punerea în aplicare a prezentului regulament și supraveghează respectarea de către organizația sa a obligațiilor legate de cadru.

(6)   După caz și fără a aduce atingere responsabilității sale pentru punerea în aplicare a prezentului regulament, cel mai înalt nivel de conducere al fiecărei entități a Uniunii poate delega obligații specifice în temeiul prezentului regulament personalului cu funcții superioare de conducere în sensul articolului 29 alineatul (2) din Statutul funcționarilor sau altor funcționari de nivel echivalent, din entitatea Uniunii în cauză. Indiferent de astfel de delegări, cel mai înalt nivel de conducere poate fi tras la răspundere pentru încălcarea prezentului regulament de către entitatea Uniunii în cauză.

(7)   Fiecare entitate a Uniunii dispune de mecanisme eficace pentru a se asigura că un procent adecvat din bugetul în domeniul TIC este cheltuit pentru securitatea cibernetică. La stabilirea acestui procent se ține seama în mod corespunzător de cadru.

(8)   Fiecare entitate a Uniunii numește un responsabil local cu securitatea cibernetică sau o funcție echivalentă care acționează ca punct unic de contact în ceea ce privește toate aspectele securității cibernetice. Responsabilul local cu securitatea cibernetică facilitează punerea în aplicare a prezentului regulament și raportează periodic în mod direct celui mai înalt nivel de conducere cu privire la stadiul punerii în aplicare. Fără a aduce atingere faptului că responsabilul local cu securitatea cibernetică este punctul unic de contact în fiecare entitate a Uniunii, o entitate a Uniunii poate delega CERT-UE anumite sarcini ale responsabilului local cu securitatea cibernetică în ceea ce privește punerea în aplicare a prezentului regulament, pe baza unui acord privind nivelul serviciilor încheiat între entitatea Uniunii respectivă și CERT-UE, sau sarcinile respective pot fi partajate de mai multe entități ale Uniunii. În cazul în care aceste sarcini sunt delegate CERT-UE, Consiliul interinstituțional pentru securitate cibernetică instituit în temeiul articolului 10 decide dacă furnizarea serviciului respectiv urmează să facă parte dintre serviciile de referință ale CERT-UE, ținând seama de resursele umane și financiare ale entității Uniunii în cauză. Fiecare entitate a Uniunii comunică CERT-UE, fără întârzieri nejustificate, responsabilii locali cu securitatea cibernetică numiți și orice modificare ulterioară a numirilor.

CERT-UE întocmește și menține actualizată o listă a responsabililor locali cu securitatea cibernetică numiți.

(9)   Personalul cu funcții superioare de conducere în sensul articolului 29 alineatul (2) din Statutul funcționarilor sau alți funcționari de nivel echivalent din fiecare entitate a Uniunii, precum și toți membrii relevanți ai personalului însărcinați cu punerea în aplicare a măsurilor de gestionare a riscurilor de securitate cibernetică și cu îndeplinirea obligațiilor prevăzute în prezentul regulament urmează periodic cursuri de formare specifice în vederea dobândirii unor cunoștințe și competențe suficiente pentru a înțelege și a evalua riscul în materie de securitate cibernetică și practicile de gestionare a securității cibernetice, precum și impactul acestora asupra operațiunilor entității Uniunii.

(1)   Până la 8 iulie 2025 și, ulterior, cel puțin o dată la doi ani, fiecare entitate a Uniunii efectuează o evaluare a maturității în materie de securitate cibernetică încorporând toate elementele mediului său TIC.

(2)   Evaluările maturității în materie de securitate cibernetică se efectuează, după caz, cu asistența unei părți terțe specializate.

(3)   Entitățile Uniunii cu structuri similare pot coopera la efectuarea evaluărilor maturității în materie de securitate cibernetică pentru entitățile lor respective.

(4)   Pe baza unei cereri din partea Consiliului interinstituțional pentru securitate cibernetică instituit în temeiul articolului 10 și cu consimțământul explicit al entității Uniunii în cauză, rezultatele unei evaluări a maturității în materie de securitate cibernetică pot fi discutate în Consiliul respectiv sau în grupul informal de responsabili locali cu securitatea cibernetică, cu scopul de a învăța din experiență și de a face schimb de bune practici.

(1)   Fără întârzieri nejustificate și, în orice caz, până la 8 septembrie 2025, fiecare entitate a Uniunii, sub supravegherea celui mai înalt nivel de conducere, ia măsuri tehnice, operaționale și organizatorice adecvate și proporționale pentru a gestiona riscurile de securitate cibernetică identificate în temeiul cadrului și pentru a preveni sau a reduce la minimum impactul incidentelor. Ținând seama de stadiul actual al tehnologiei și, după caz, de standardele europene și internaționale relevante, măsurile respective asigură un nivel de securitate a rețelelor și a sistemelor informatice în întregul mediu TIC proporțional cu riscurile de securitate cibernetică existente. Atunci când se evaluează proporționalitatea măsurilor respective, se ține seama în mod corespunzător de gradul de expunere a entității Uniunii la riscuri de securitate cibernetică, de dimensiunea sa, de probabilitatea producerii unor incidente și de gravitatea acestora, inclusiv de impactul lor societal, economic și interinstituțional.

(2)   Entitățile Uniunii abordează cel puțin următoarele domenii în punerea în aplicare a măsurilor de gestionare a riscurilor de securitate cibernetică:

În sensul primului paragraf litera (m), entitățile Uniunii iau în considerare vulnerabilitățile specifice fiecărui furnizor și prestator de servicii direct, precum și calitatea generală a produselor și a practicilor în materie de securitate cibernetică ale furnizorilor și prestatorilor lor de servicii, inclusiv procedurile lor securizate de dezvoltare.

(3)   Entitățile Uniunii iau cel puțin următoarele măsuri specifice de gestionare a riscurilor de securitate cibernetică:

(1)   În urma încheierii evaluării maturității în materie de securitate cibernetică efectuate în temeiul articolului 7 și ținând seama de activele și riscurile de securitate cibernetică identificate în cadru, precum și de măsurile de gestionare a riscurilor de securitate cibernetică luate în temeiul articolului 8, cel mai înalt nivel de conducere al fiecărei entități a Uniunii aprobă un plan de securitate cibernetică fără întârzieri nejustificate și, în orice caz, până la 8 ianuarie 2026. Planul de securitate cibernetică vizează creșterea gradului de securitate cibernetică în ansamblu a entității Uniunii și contribuie, astfel, la îmbunătățirea unui nivel comun ridicat de securitate cibernetică în entitățile Uniunii. Planul de securitate cibernetică include cel puțin măsurile de gestionare a riscurilor de securitate cibernetică luate în temeiul articolului 8. Planul de securitate cibernetică se revizuiește o dată la doi ani, sau mai des dacă este necesar, în urma evaluărilor maturității în materie de securitate cibernetică efectuate în temeiul articolului 7 sau a oricărei revizuiri substanțiale a cadrului.

(2)   Planul de securitate cibernetică include planul de gestionare a crizelor cibernetice al entității Uniunii pentru incidentele majore.

(3)   Entitatea Uniunii transmite planul de securitate cibernetică finalizat Consiliului interinstituțional pentru securitate cibernetică instituit în temeiul articolului 10.

(1)   Se instituie Consiliul interinstituțional pentru securitate cibernetică (IICB).

(2)   IICB este responsabil cu:

(3)   IICB este format din:

Entitățile Uniunii reprezentate în IICB urmăresc să asigure echilibrul de gen în rândul reprezentanților desemnați.

(4)   Membrii IICB pot fi asistați de un supleant. Alți reprezentanți ai entităților Uniunii menționate la alineatul (3) sau ai altor entități ale Uniunii pot fi invitați de președinte să participe la reuniunile IICB, fără drept de vot.

(5)   Șeful CERT-UE și președinții Grupului de cooperare, ai rețelei CSIRT și ai EU-CyCLONe instituite în temeiul articolelor 14, 15 și, respectiv, 16 din Directiva (UE) 2022/2555, sau supleanții acestora pot participa la reuniunile IICB în calitate de observatori. În cazuri excepționale, IICB poate, în conformitate cu regulamentul său intern de procedură să decidă altfel.

(6)   IICB își stabilește regulamentul intern de procedură.

(7)   IICB numește un președinte din rândul membrilor săi, în conformitate cu regulamentul intern de procedură, pentru o perioadă de trei ani. Supleantul președintelui devine membru titular al IICB pentru aceeași durată.

(8)   IICB se reunește de cel puțin trei ori pe an la inițiativa președintelui său, la solicitarea CERT-UE sau la solicitarea oricăruia dintre membrii săi.

(9)   Fiecare membru al IICB dispune de un vot. Deciziile IICB sunt adoptate cu majoritate simplă, cu excepția cazurilor în care se prevede altfel în prezentul regulament. Președintele IICB votează doar în caz de egalitate de voturi, situație în care poate exprima un vot decisiv.

(10)   IICB poate acționa printr-o procedură scrisă simplificată inițiată în conformitate cu regulamentul său intern de procedură. În temeiul procedurii respective, decizia relevantă se consideră aprobată în termenul stabilit de președinte, cu excepția cazului în care un membru formulează obiecții.

(11)   Secretariatul IICB este asigurat de Comisie și răspunde în fața președintelui IICB.

(12)   Reprezentantul numit de EUAN informează membrii EUAN cu privire la deciziile adoptate de IICB. Orice membru al EUAN are dreptul să supună atenției acelor reprezentanți și președintelui IICB orice chestiune care, în opinia sa, ar trebui adusă în atenția IICB.

(13)   IICB poate înființa un comitet executiv care să îl asiste în activitatea sa și căruia să îi delege o parte din sarcinile și competențele sale. IICB stabilește regulamentul de procedură al comitetului executiv, inclusiv sarcinile și competențele acestuia, precum și mandatul membrilor săi.

(14)   Până la 8 ianuarie 2025 și, ulterior, în fiecare an, IICB prezintă Parlamentului European și Consiliului un raport care detaliază progresele înregistrate în ceea ce privește punerea în aplicare a prezentului regulament și care specifică, în special, gradul de cooperare a CERT-UE cu omologii săi naționali în fiecare dintre statele membre. Raportul reprezintă o contribuție la raportul bienal privind situația în materie de securitate cibernetică în Uniune, adoptat în temeiul articolului 18 din Directiva (UE) 2022/2555.

(1)   În conformitate cu articolul 10 alineatul (2) și cu articolul 11, IICB monitorizează în mod eficace punerea în aplicare de către entitățile Uniunii a prezentului regulament și a orientărilor, a recomandărilor și a apelurilor la acțiune adoptate. IICB poate solicita entităților Uniunii informațiile sau documentele necesare în acest scop. În scopul adoptării unor măsuri de asigurare a conformității în temeiul prezentului articol, atunci când entitatea Uniunii în cauză este reprezentată direct în IICB, aceasta nu are drept de vot.

(2)   În cazul în care constată că o entitate a Uniunii nu a pus în aplicare în mod efectiv prezentul regulament sau orientările, recomandările sau apelurile la acțiune emise în temeiul acestuia, IICB poate, fără a aduce atingere procedurilor interne ale entității Uniunii în cauză și după ce îi oferă entității Uniunii în cauză ocazia de a-și prezenta observațiile:

În sensul primului paragraf litera (c), audiența unui avertisment este restricționată în mod corespunzător, dacă este necesar, având în vedere riscul în materie de securitate cibernetică.

Avertismentele și recomandările emise în temeiul primului paragraf se adresează celui mai înalt nivel de conducere al entității Uniunii în cauză.

(3)   În cazul în care IICB a adoptat măsuri în temeiul alineatului (2) primul paragraf literele (a)-(g), entitatea Uniunii în cauză oferă detalii ale măsurilor și acțiunilor întreprinse pentru a remedia presupusele deficiențe identificate de IICB. Entitatea Uniunii transmite aceste detalii într-un termen rezonabil care urmează să fie convenit cu IICB.

(4)   În cazul în care consideră că există o încălcare persistentă a dispozițiilor prezentului regulament de către o entitate a Uniunii, care rezultă direct din acțiunile sau omisiunile unui funcționar sau ale unui alt agent al Uniunii, inclusiv la cel mai înalt nivel de conducere, IICB solicită entității Uniunii în cauză să ia măsurile corespunzătoare, solicitându-i inclusiv să adopte măsuri de natură disciplinară, în conformitate cu normele și procedurile prevăzute în Statutul funcționarilor Uniunii Europene și cu orice altă norme și proceduri aplicabile. În acest scop, IICB transferă informațiile necesare către entitatea Uniunii în cauză.

(5)   În cazul în care entitățile Uniunii notifică faptul că nu sunt în măsură să respecte termenele-limită stabilite la articolul 6 alineatul (1) și la articolul 8 alineatul (1), IICB poate, în cazuri justificate în mod corespunzător, ținând cont de dimensiunea entității Uniunii, să autorizeze prelungirea acestor termene-limită.

(1)   Misiunea CERT-UE este de a contribui la securitatea mediului TIC neclasificat al entităților Uniunii, oferindu-le consiliere cu privire la securitatea cibernetică, oferindu-le asistență pentru prevenirea, detectarea, gestionarea și atenuarea incidentelor, răspunsul la acestea și redresarea în urma lor și acționând ca centru de schimb de informații în materie de securitate cibernetică și de coordonare a răspunsului la incidente pentru aceste entități.

(2)   CERT-UE colectează, gestionează, analizează și face schimb de informații cu entitățile Uniunii cu privire la amenințări cibernetice, vulnerabilități și incidente legate de infrastructura TIC neclasificată. Acesta coordonează răspunsurile la incidente la nivel interinstituțional și la nivelul entităților Uniunii, inclusiv prin furnizarea de asistență operațională specializată sau prin coordonarea acesteia.

(3)   CERT-UE îndeplinește următoarele sarcini pentru a asista entitățile Uniunii:

Informațiile menționate la primul paragraf litera (e) se comunică IICB, rețelei CSIRT și Centrului de situații și de analiză a informațiilor al Uniunii Europene (INTCEN UE), dacă este cazul și în funcție de situație și sub rezerva unor condiții de confidențialitate adecvate.

(4)   CERT-UE poate, în conformitate cu articolul 17 sau 18, după caz, să coopereze cu comunitățile relevante în materie de securitate cibernetică din Uniune și din statele sale membre, inclusiv în următoarele domenii:

(5)   În limitele competențelor sale, CERT-UE desfășoară o cooperare structurată cu ENISA în ceea ce privește consolidarea capacităților, cooperarea operațională și analizele strategice pe termen lung ale amenințărilor cibernetice, în temeiul Regulamentului (UE) 2019/881. CERT-UE poate coopera și face schimb de informații cu Centrul european de combatere a criminalității informatice al Europol.

(6)   CERT-UE poate furniza următoarele servicii care nu sunt descrise în catalogul său de servicii (servicii contra cost):

În ceea ce privește primul alineat litera (d), CERT-EU poate, cu titlu excepțional, să încheie acorduri privind nivelul serviciilor cu alte entități decât entitățile Uniunii, cu aprobarea prealabilă a IICB.

(7)   CERT-UE organizează și poate participa la exerciții de securitate cibernetică sau poate recomanda participarea la exercițiile existente, dacă este cazul în strânsă cooperare cu ENISA, pentru a testa nivelul de securitate cibernetică al entităților Uniunii.

(8)   CERT-UE poate oferi entităților Uniunii asistență privind incidentele din rețele și din sistemele de informații care procesează IUEC dacă entitățile Uniunii în cauză îi solicită acest lucru în mod expres în conformitate cu procedurile lor respective. Furnizarea de asistență din partea CERT-UE în temeiul prezentului alineat nu aduce atingere normelor aplicabile privind protecția informațiilor clasificate.

(9)   CERT-UE informează entitățile Uniunii cu privire la procedurile și procesele sale de gestionare a incidentelor.

(10)   CERT-UE contribuie, cu un nivel ridicat de confidențialitate și fiabilitate, prin intermediul mecanismelor de cooperare și al liniilor de raportare adecvate, cu informații relevante și anonimizate cu privire la incidentele majore și la modul în care acestea au fost gestionate. Informațiile respective sunt incluse în raportul menționat la articolul 10 alineatul (14).

(11)   CERT-EU, în cooperare cu AEPD, sprijină entitățile Uniunii în cauză atunci când abordează incidente care duc la încălcarea securității datelor cu caracter personal, fără a aduce atingere competenței și sarcinilor AEPD în calitate de autoritate de supraveghere în temeiul Regulamentului (UE) 2018/1725.

(12)   La solicitarea explicită a departamentelor tematice ale entităților Uniunii, CERT-UE poate oferi consultanță sau sprijin tehnic cu privire la aspecte de politică relevante.

(1)   CERT-UE sprijină punerea în aplicare a prezentului regulament prin adoptarea unor:

În ceea ce privește primul paragraf litera (a), entitatea Uniunii în cauză informează CERT-UE, fără întârzieri nejustificate după primirea apelului la acțiune, cu privire la modul în care au fost aplicate măsurile de securitate urgente.

(2)   Orientările și recomandările pot include:

(1)   După obținerea aprobării cu o majoritate de două treimi din membrii IICB, Comisia numește șeful CERT-UE. IICB este consultat în toate etapele procedurii de numire, în special în ceea ce privește elaborarea anunțurilor privind posturile vacante, examinarea dosarelor de candidatură și desemnarea comitetelor de selecție pentru acest post. Procedura de selecție, inclusiv lista scurtă finală a candidaților de pe care urmează să fie selectat șeful CERT-UE, asigură o reprezentare echitabilă a fiecărui gen, ținând cont de candidaturile depuse.

(2)   Șeful CERT-UE este responsabil pentru buna funcționare a CERT-UE și acționează în limitele competențelor sale și sub conducerea IICB. Șeful CERT-UE raportează în mod regulat președintelui IICB și prezintă rapoarte ad-hoc IICB, la solicitarea acestuia.

(3)   Șeful CERT-UE acordă ordonatorului de credite delegat responsabil asistență la întocmirea raportului de activitate anual, care conține informații financiare și de gestiune, inclusiv rezultatele controalelor, redactate în conformitate cu articolul 74 alineatul (9) din Regulamentul (UE, Euratom) 2018/1046 al Parlamentului European și al Consiliului (9), și îi raportează periodic acestuia cu privire la punerea în aplicare a măsurilor pentru care i-au fost subdelegate competențe șefului CERT-UE.

(4)   Șeful CERT-UE elaborează anual o planificare financiară a veniturilor și cheltuielilor administrative pentru activitățile sale, o propunere de program de lucru anual, o propunere de catalog de servicii al CERT-UE, o propunere de revizuire a catalogului de servicii, o propunere de modalități pentru acordurile privind nivelul serviciilor și o propunere de indicatori-cheie de performanță pentru CERT-UE, care urmează să fie aprobate de IICB în conformitate cu articolul 11. Atunci când revizuiește lista serviciilor din catalogul de servicii al CERT-UE, șeful CERT-UE ține cont de resursele alocate CERT-UE.

(5)   Șeful CERT-UE prezintă IICB și președintelui IICB rapoarte cel puțin o dată pe an cu privire la activitățile și performanțele CERT-UE în perioada de referință, inclusiv cu privire la execuția bugetului, la acordurile privind nivelul serviciilor și la acordurile scrise încheiate, la cooperarea cu omologii și partenerii și la misiunile efectuate de personal, inclusiv rapoartele menționate la articolul 11. Aceste rapoarte includ un program de lucru pentru perioada următoare, planificarea financiară a veniturilor și cheltuielilor, inclusiv personalul, actualizările planificate ale catalogului de servicii al CERT-UE și o evaluare a impactului preconizat pe care astfel de actualizări îl pot avea în ceea ce privește resursele financiare și umane.

(1)   CERT-UE este integrat în structura administrativă a unei direcții generale a Comisiei pentru a beneficia de structurile de sprijin administrativ, financiar și contabil ale Comisiei, menținându-și în același timp statutul de furnizor interinstituțional autonom de servicii pentru toate entitățile Uniunii. Comisia informează IICB cu privire la amplasarea administrativă a CERT-UE și la eventuale modificări ale acesteia. Comisia revizuiește acordurile administrative referitoare la CERT-UE în mod regulat și, în orice caz, înainte de instituirea oricărui cadru financiar multianual în temeiul articolului 312 din TFUE, pentru a permite luarea de măsuri adecvate. Revizuirea include posibilitatea de a institui CERT-UE ca oficiu al Uniunii.

(2)   În ceea ce privește aplicarea procedurilor administrative și financiare, șeful CERT-UE acționează sub autoritatea Comisiei și sub supravegherea IICB.

(3)   Sarcinile și activitățile CERT-UE, inclusiv serviciile furnizate de CERT-UE în temeiul articolului 13 alineatele (3), (4), (5) și (7) și al articolului 14 alineatul (1) entităților Uniunii finanțate în cadrul rubricii „Administrația publică europeană” din cadrul financiar multianual, sunt finanțate printr-o linie bugetară separată a bugetului Comisiei. Posturile alocate CERT-UE sunt detaliate într-o notă de subsol la schema de personal a Comisiei.

(4)   Entitățile Uniunii, altele decât cele menționate la alineatul (3), aduc o contribuție anuală la bugetul CERT-UE pentru a acoperi serviciile furnizate de CERT-UE în temeiul alineatului menționat. Contribuțiile se bazează pe orientările oferite de IICB și convenite între fiecare entitate a Uniunii și CERT-UE în cadrul acordurilor privind nivelul serviciilor. Contribuțiile reprezintă un procent echitabil și proporțional din costurile totale ale serviciilor furnizate. Acestea sunt primite în cadrul liniei bugetare separate menționate la alineatul (3) din prezentul articol, ca venituri alocate interne, astfel cum se prevede la articolul 21 alineatul (3) litera (c) din Regulamentul (UE, Euratom) 2018/1046.

(5)   Costurile aferente serviciilor furnizate la articolul 13 alineatul (6) se recuperează de la entitățile Uniunii beneficiare ale serviciilor furnizate de CERT-UE. Veniturile sunt alocate liniilor bugetare prin care se suportă costurile.

(1)   CERT-UE, fără întârzieri nejustificate, cooperează și face schimb de informații cu omologii naționali din statele membre, in special CSIRT desemnate sau stabilite în conformitate cu articolul 10 din Directiva (UE) 2022/2555, sau, după caz, autoritățile competente și punctele unice de contact menționate la articolul 8 din directiva respectivă, cu privire la incidente, amenințări cibernetice, vulnerabilități, incidente evitate la limită, la posibile contramăsuri, precum și la cele mai bune practici și la toate aspectele relevante pentru îmbunătățirea protecției mediilor TIC ale entităților Uniunii, inclusiv prin intermediul rețelei CSIRT menționate la articolul 15 din Directiva (UE) 2022/2555. CERT-UE sprijină Comisia în cadrul EU-CyCLONe stabilit în conformitate cu articolul 16 din Directiva (UE) 2022/2555 în ceea ce privește gestionarea coordonată a incidentelor și crizelor de securitate cibernetică de mare amploare.

(2)   În cazul în care CERT-UE ia cunoștință de incidente semnificative care au loc pe teritoriul unui stat membru, acesta notifică fără întârziere omologilor relevanți din statul membru respectiv în conformitate cu alineatul (1).

(3)   Cu condiția ca datele cu caracter personal să fie protejate în conformitate cu dreptul aplicabil al Uniunii privind protecția datelor, CERT-UE face schimb de informații relevante, fără întârzieri nejustificate, referitoare la incident cu omologii din statele membre pentru a facilita detectarea amenințărilor sau incidentelor cibernetice similare sau pentru a contribui la analiza unui incident, fără autorizarea entității Uniunii afectate. CERT-UE face schimb de informații referitoare la incidente care dezvăluie identitatea țintei incidentului numai în unul din următoarele cazuri:

Deciziile de a face schimb de informații specifice incidentului care dezvăluie identitatea țintei incidentului în temeiul primului paragraf litera (b) sunt aprobate de șeful CERT-UE. Înainte de a emite o astfel de decizie, CERT-UE contactează în scris entitatea Uniunii afectată, explicând în mod clar modul în care divulgarea identității sale ar contribui la evitarea sau atenuarea incidentelor în altă parte. Șeful CERT-UE furnizează explicația și solicită în mod explicit entității Uniunii să precizeze dacă își dă consimțământul într-un termen stabilit. Șeful CERT-UE informează, de asemenea, entitatea Uniunii că, având în vedere explicația oferită, își rezervă dreptul de a divulga informațiile chiar și în absența consimțământului. Entitatea Uniunii afectată este informată înainte de divulgarea informațiilor.

(1)   CERT-UE poate coopera cu omologi din Uniune alții decât cei menționați la articolul 17, care fac obiectul cerințelor privind securitatea cibernetică, inclusiv cu omologii din cadrul sectorului, cu privire la instrumente și metode, cum ar fi tehnici, tactici, proceduri și bune practici, precum și cu privire la amenințări cibernetice și vulnerabilități. Pentru orice tip de cooperare cu astfel de omologi, CERT-UE solicită aprobarea prealabilă a IICB, de la caz la caz. În cazul în care CERT-UE stabilește o cooperare cu astfel de omologi, informează orice omologi relevanți din statele membre menționați la articolul 17 alineatul (1), în statul membru în care este situat omologul. Dacă este aplicabil și adecvat, o astfel de cooperare și condițiile aferente, inclusiv în ceea ce privește securitatea cibernetică, protecția datelor și gestionarea informațiilor, se stabilesc în acorduri de confidențialitate specifice, cum ar fi contractele sau acordurile administrative. Acordurile de confidențialitate nu necesită aprobarea prealabilă a IICB, însă trebuie să fie informat președintele IICB. În cazul unei nevoi urgente și iminente de a face schimb de informații în materie de securitate cibernetică în interesul entităților Uniunii sau al unei alte părți, CERT-UE poate face acest lucru cu o entitate a cărei competență, capacitate și expertiză specifice sunt necesare în mod justificat pentru a sprijini o astfel de nevoie urgentă și iminentă, chiar dacă CERT-UE nu a încheiat un acord de confidențialitate cu entitatea respectivă. În astfel de cazuri, CERT-UE informează imediat președintele IICB și raportează IICB prin intermediul unor rapoarte sau reuniuni periodice.

(2)   CERT-UE poate coopera cu parteneri, precum entități comerciale, inclusiv entități din cadrul sectorului, organizații internaționale, entități naționale din afara Uniunii Europene sau experți individuali, pentru a colecta informații cu privire la amenințările cibernetice generale și specifice, la incidente evitate la limită, la vulnerabilități și la posibilele contramăsuri. Pentru o cooperare extinsă cu astfel de parteneri, CERT-UE solicită aprobarea prealabilă a IICB, de la caz la caz.

(3)   CERT-UE poate, cu acordul entității Uniunii afectate de un incident și cu condiția să existe un acord sau un contract de nedivulgare cu omologul sau partenerul relevant, să furnizeze informații referitoare la incidentul specific omologilor sau partenerilor menționați la alineatele (1) și (2) exclusiv în scopul de a contribui la analiza acestuia.

(1)   Entitățile Uniunii și CERT-UE respectă obligația de a nu divulga informații care constituie secret profesional, în conformitate cu articolul 339 din TFUE sau cu cadrele echivalente aplicabile.

(2)   Regulamentul (CE) nr. 1049/2001 al Parlamentului European și al Consiliului (10) se aplică în ceea ce privește cererile de acces public la documentele deținute de CERT-UE, inclusiv obligația care decurge din regulamentul menționat de a consulta alte entități ale Uniunii sau, după caz, statele membre, ori de câte ori o cerere se referă la documentele lor.

(3)   Entitățile Uniunii și CERT-UE gestionează informațiile în conformitate cu normele aplicabile privind securitatea informațiilor.

(1)   Entitățile Uniunii pot, în mod voluntar, să aducă la cunoștința CERT-UE și să-i furnizeze informații privind incidentele, amenințările cibernetice, incidentele evitate la limită și vulnerabilitățile care le afectează. CERT-UE se asigură că sunt disponibile mijloace eficiente de comunicare, cu un nivel ridicat de trasabilitate, confidențialitate și fiabilitate, în scopul de a facilita schimbul de informații cu entitățile Uniunii. Atunci când prelucrează notificările, CERT-UE poate acorda prioritate notificărilor obligatorii față de notificările voluntare. Fără a aduce atingere articolului 12, notificarea voluntară nu impune entității Uniunii care transmite informația nicio obligație suplimentară care nu i-ar fi revenit dacă nu ar fi transmis notificarea.

(2)   Pentru a-și îndeplini misiunea și sarcinile încredințate în conformitate cu articolul 13, CERT-UE poate solicita entităților Uniunii să îi furnizeze informații din inventarele lor de sisteme TIC, inclusiv informații referitoare la amenințări cibernetice, incidente evitate la limită, vulnerabilități, indicatori de compromitere, alerte de securitate cibernetică și recomandări privind configurarea instrumentelor de securitate cibernetică pentru detectarea incidentelor cibernetice. Entitatea Uniunii care primește o astfel de solicitare transmite informațiile solicitate și orice modificare ulterioară a acestora, fără întârzieri nejustificate.

(3)   CERT-UE poate face schimb de informații referitoare la incidente cu entitățile Uniunii care dezvăluie identitatea entității Uniunii afectate de incident, cu condiția ca entitatea respectivă a Uniunii să-și fi dat acordul. În cazul în care o entitate a Uniunii nu își dă consimțământul, aceasta furnizează CERT-UE motivele care justifică decizia respectivă.

(4)   Entitățile Uniunii fac schimb, la cerere, de informații cu Parlamentul European și cu Consiliul cu privire la finalizarea planurilor de securitate cibernetică.

(5)   IICB sau CERT-UE, după caz, fac schimb, la cerere, de orientări, recomandări și apeluri la acțiune cu Parlamentul European și cu Consiliul.

(6)   Obligațiile de partajare prevăzute la prezentul articol nu se aplică:

(1)   Un incident este considerat a fi semnificativ dacă:

(2)   Entitățile Uniunii transmit CERT-UE:

(3)   O entitate a Uniunii informează, fără întârzieri nejustificate și, în orice caz, în termen de 24 de ore de la data la care a luat cunoștință de un incident semnificativ, omologii relevanți din statele membre menționați la articolul 17 alineatul (1) din statul membru în care se află că s-a produs un incident semnificativ.

(4)   Entitățile Uniunii notifică, printre altele, toate informațiile care permit CERT-UE să stabilească orice impact inter-entități, orice impact asupra statului membru gazdă sau orice impact transfrontalier în urma unui incident semnificativ. Fără a aduce atingere articolului 12, simpla notificare nu expune entitatea Uniunii la o răspundere sporită.

(5)   După caz, entitățile Uniunii comunică, fără întârzieri nejustificate, utilizatorilor rețelei și ai sistemelor informatice afectate sau ai altor componente ale mediului TIC care ar putea fi afectate de un incident semnificativ sau de o amenințare cibernetică semnificativă și după caz, trebuie să ia măsuri de atenuare, orice măsuri sau măsuri corective pe care le pot lua ca răspuns la incidentul respectiv sau amenințarea respectivă. După caz, entitățile Uniunii informează utilizatorii respectivi despre amenințarea cibernetică semnificativă.

(6)   În cazul în care un incident semnificativ sau o amenințare cibernetică semnificativă afectează o rețea și un sistem informatic sau o componentă a mediului TIC al unei entități a Uniunii care știe că este conectată la mediul TIC al unei alte entități a Uniunii, CERT-UE emite o alertă privind o amenințare cibernetică relevantă.

(7)   Entitățile Uniunii, la cererea CERT-UE și fără întârzieri nejustificate, îi furnizează CERT-UE informații digitale create prin utilizarea dispozitivelor electronice implicate în incidentele respective. CERT-UE poate furniza detalii suplimentare privind tipurile de informații de care are nevoie pentru o cunoaștere detaliată a situației și pentru răspunsul la incidente.

(8)   CERT-UE transmite IICB, ENISA, INTCEN UE și rețelei CSIRT, o dată la trei luni, un raport de sinteză care include date anonimizate și agregate privind incidentele semnificative, incidentele, amenințările cibernetice, incidentele evitate la limită și vulnerabilitățile în temeiul articolului 20 și incidentele semnificative notificate în temeiul alineatului (2) din prezentul articol. Raportul de sinteză reprezintă o contribuție la raportul bienal privind situația în materie de securitate cibernetică în Uniune, adoptat în temeiul articolului 18 din Directiva (UE) 2022/2555.

(9)   Până la 8 iulie 2024, IICB emite orientări sau recomandări care aduc precizări suplimentare privind modalitățile și formatul și conținutul raportării în conformitate cu prezentul articol. Atunci când elaborează astfel de orientări sau recomandări, IICB ține seama de orice acte de punere în aplicare adoptate în temeiul articolului 23 alineatul (11) din Directiva (UE) 2022/2555 care precizează tipul de informații, formatul și procedura de notificare. CERT-UE difuzează detaliile tehnice adecvate pentru a permite detectarea proactivă, răspunsul la incidente sau adoptarea unor măsuri de atenuare de către entitățile Uniunii.

(10)   Obligațiile de raportare prevăzute la prezentul articol nu se aplică:

(1)   Acționând în calitate de centru de schimb de informații în materie de securitate cibernetică și de coordonare a răspunsului la incidente, CERT-UE facilitează schimbul de informații cu privire la incidente, amenințările cibernetice, vulnerabilități și incidente evitate la limită, între:

(2)   CERT-UE, după caz în strânsă cooperare cu ENISA, facilitează coordonarea între entitățile Uniunii în ceea ce privește răspunsul la incidente, inclusiv prin:

(3)   În strânsă cooperare cu ENISA, CERT-UE sprijină entitățile Uniunii în ceea ce privește conștientizarea situației incidentelor, amenințărilor cibernetice, a vulnerabilităților și a incidentelor evitate la limită, precum și prin schimburile legate de cele mai recente evoluții în domeniul securității cibernetice.

(4)   Până la 8 ianuarie 2025, pe baza unei propuneri din partea CERT-UE, IICB adoptă orientări sau recomandări privind coordonarea răspunsului la incidente și cooperarea în cazul incidentelor semnificative. În cazul în care se suspectează că un incident este de natură penală, CERT-UE furnizează orientări privind raportarea incidentului către autoritățile de aplicare a legii, fără întârzieri nejustificate.

(5)   În urma unei cereri specifice din partea unui stat membru și cu aprobarea entităților Uniunii în cauză, CERT-UE poate apela la experți de pe lista menționată la articolul 23 alineatul (4) pentru a contribui la răspunsul la un incident major care are un impact în statul membru respectiv sau la un incident de securitate cibernetică de mare amploare în conformitate cu articolul 15 alineatul (3) litera (g) din Directiva (UE) 2022/2555. Normele specifice privind accesul și folosirea experților tehnici din entitățile Uniunii sunt aprobate de IICB pe baza unei propuneri a CERT-UE.

(1)   Pentru a sprijini la nivel operațional gestionarea coordonată a incidentelor majore care afectează entitățile Uniunii și pentru a contribui la schimbul periodic de informații relevante între entitățile Uniunii și cu statele membre, IICB, în conformitate cu articolul 11 litera (q), stabilește un plan de gestionare a crizelor cibernetice pe baza activităților menționate la articolul 22 alineatul (2), în strânsă cooperare cu CERT-UE și ENISA. Planul de gestionare a crizelor cibernetice include cel puțin următoarele elemente:

(2)   Reprezentantul Comisiei în cadrul IICB, sub rezerva planului de gestionare a crizelor cibernetice instituit în temeiul alineatului (1) de la prezentul articol și fără a aduce atingere articolului 16 alineatul (2) primul paragraf din Directiva (UE) 2022/2555, este punctul de contact pentru schimbul de informații relevante în legătură cu incidentele majore cu EU-CyCLONe.

(3)   CERT-UE coordonează, la nivelul entităților Uniunii, gestionarea incidentelor majore. CERT-UE menține un inventar al expertizei tehnice disponibile necesare pentru răspunsul la incidente în cazul unor incidente majore și sprijină IICB în coordonarea planurilor de gestionare a crizelor cibernetice ale entităților Uniunii pentru incidentele majore menționate la articolul 9 alineatul (2).

(4)   Entitățile Uniunii contribuie la inventarul expertizei tehnice prin transmiterea unei liste, actualizate anual, de experți disponibili în cadrul organizațiilor respective, în care sunt detaliate competențele tehnice specifice ale acestora.

(1)   Până la 8 ianuarie 2025 și, ulterior, anual, IICB, cu sprijinul CERT-EU, prezintă un raport Comisiei cu privire la punerea în aplicare a prezentului regulament. IICB poate să facă recomandări Comisiei pentru a revizui prezentul regulament.

(2)   Până la 8 ianuarie 2027 și, ulterior, o dată la doi ani, Comisia evaluează punerea în aplicare a prezentului regulament și experiența dobândită la nivel strategic și operațional și prezintă un raport Parlamentului European și Consiliului cu privire la aceasta.

Raportul menționat la primul paragraf de la prezentul alineat include revizuirea menționată la articolul 16 alineatul (1) privind posibilitatea instituirii CERT-UE ca oficiu al Uniunii.

(3)   Până la 8 ianuarie 2029, Comisia evaluează funcționarea prezentului regulament și prezintă un raport Parlamentului European, Consiliului, Comitetului Economic și Social European și Comitetului Regiunilor. Comisia evaluează, de asemenea, oportunitatea includerii rețelelor și a sistemelor informatice care gestionează IUEC în domeniul de aplicare al prezentului regulament, ținând seama de alte acte legislative ale Uniunii aplicabile sistemelor respective. Raportul este însoțit, după caz, de o propunere legislativă.