1.   Denna förordning är tillämplig på unionens entiteter, på den interinstitutionella cybersäkerhetsstyrelse som inrättas enligt artikel 10 och på CERT-EU.

2.   Denna förordning ska tillämpas utan att det påverkar den institutionella autonomin enligt fördragen.

3.   Med undantag för artikel 13.8 är denna förordning inte tillämplig på nätverks- och informationssystem som hanterar säkerhetsskyddsklassificerade EU-uppgifter (EUCI).

1.   Behandlingen av personuppgifter enligt denna förordning som utförs av CERT-EU, den interinstitutionella cybersäkerhetsstyrelse som inrättas enligt artikel 10 och unionens entiteter ska utföras i enlighet med förordning (EU) 2018/1725.

2.   När de utför arbetsuppgifter eller fullgör skyldigheter enligt denna förordning ska CERT-EU, den interinstitutionella cybersäkerhetsstyrelse som inrättas enligt artikel 10 och unionens entiteter behandla och utbyta personuppgifter endast i den utsträckning som är nödvändig och uteslutande i syfte att utföra dessa arbetsuppgifter eller fullgöra dessa skyldigheter.

3.   Den behandling av särskilda kategorier av personuppgifter som avses i artikel 10.1 i förordning (EU) 2018/1725 ska anses vara nödvändig av hänsyn till ett viktigt allmänt intresse enligt artikel 10.2 g i den förordningen. Sådana uppgifter får behandlas endast i den utsträckning som krävs för genomförandet av de riskhanteringsåtgärder för cybersäkerhet som avses i artiklarna 6 och 8, för CERT-EU:s tillhandahållande av tjänster i enlighet med artikel 13, för utbyte av incidentspecifik information enligt artiklarna 17.3 och 18.3, för informationsutbyte enligt artikel 20, för rapporteringsskyldigheter enligt artikel 21, för samordning och samarbete vid incidenthantering enligt artikel 22 och för hantering av större incidenter enligt artikel 23 i denna förordning. Unionens entiteter och CERT-EU ska, när de agerar som personuppgiftsansvariga, tillämpa tekniska åtgärder för att förhindra behandling av särskilda kategorier av personuppgifter för andra ändamål och ska föreskriva lämpliga och specifika åtgärder för att skydda de registrerades grundläggande rättigheter och intressen.

1.   Senast den 8 september 2024 ska den interinstitutionella cybersäkerhetsstyrelse som inrättas enligt artikel 10, efter samråd med Europeiska unionens cybersäkerhetsbyrå (Enisa) och efter att ha fått vägledning av CERT-EU, utfärda riktlinjer för unionens entiteter i syfte att genomföra en första översyn av cybersäkerheten och inrätta en intern ram för hantering, styrning och kontroll av cybersäkerhetsrisker enligt artikel 6, utföra mognadsbedömningar av cybersäkerheten enligt artikel 7, vidta riskhanteringsåtgärder för cybersäkerhet enligt artikel 8 och anta cybersäkerhetsplanen enligt artikel 9.

2.   Vid genomförandet av artiklarna 6–9 ska unionens entiteter beakta de riktlinjer som avses i punkt 1 i den här artikeln samt relevanta riktlinjer och rekommendationer som antagits enligt artiklarna 11 och 14.

1.   Senast den 8 april 2025 ska varje unionsentitet, efter att ha genomfört en första översyn av cybersäkerheten, såsom en revision, inrätta en intern ram för hantering, styrning och kontroll av cybersäkerhetsrisker (ramen). Inrättandet av ramen ska övervakas av och ske under ansvar av unionsentitetens högsta ledningsnivå.

2.   Ramen ska omfatta hela den icke-säkerhetsskyddsklassificerade IKT-miljön för unionsentiteten i fråga, inbegripet alla IKT-miljöer på plats, nätverk för operativ teknik, utkontrakterade tillgångar och tjänster i molnbaserade miljöer eller som förvaltas av tredje part, mobila enheter, interna nätverk, företagsnätverk som inte är anslutna till internet och alla enheter som är anslutna till dessa miljöer (IKT-miljön). Ramen ska bygga på en allriskstrategi.

3.   Ramen ska säkerställa en hög cybersäkerhetsnivå. Ramen ska fastställa interna strategier för cybersäkerhet, inbegripet mål och prioriteringar, för säkerheten i nätverks- och informationssystem samt roller och ansvarsområden för unionsentitetens personal som har till uppgift att säkerställa ett effektivt genomförande av denna förordning. Ramen ska också innehålla mekanismer för att mäta hur effektivt genomförandet är.

4.   Ramen ska ses över regelbundet mot bakgrund av de föränderliga cybersäkerhetsriskerna, och åtminstone vart fjärde år. När så är lämpligt och på begäran från den interinstitutionella cybersäkerhetsstyrelse som inrättas enligt artikel 10, får ramen för en unionsentitet uppdateras på grundval av vägledning från CERT-EU avseende identifierade incidenter eller eventuella konstaterade brister i genomförandet av denna förordning.

5.   Varje unionsentitets högsta ledningsnivå ska ansvara för genomförandet av denna förordning och ska övervaka att dess organisation fullgör sina skyldigheter i fråga om ramen.

6.   När så är lämpligt och utan att det påverkar dess ansvar för genomförandet av denna förordning får varje unionsentitets högsta ledningsnivå delegera vissa skyldigheter enligt denna förordning till högre tjänstemän i den mening som avses i artikel 29.2 i tjänsteföreskrifterna eller andra tjänstemän på motsvarande nivå inom den berörda unionsentiteten. Även om dessa skyldigheter delegeras kan den högsta ledningsnivån hållas ansvarig för den berörda unionsentitetens överträdelser av denna förordning.

7.   Varje unionsentitet ska ha effektiva mekanismer för att säkerställa att en lämplig andel av IKT-budgeten spenderas på cybersäkerhet. Vid fastställandet av denna andel ska vederbörlig hänsyn tas till ramen.

8.   Varje unionsentitet ska utse en lokal cybersäkerhetsansvarig eller motsvarande funktion som ska fungera som dess gemensamma kontaktpunkt för alla aspekter av cybersäkerhet. Den lokala cybersäkerhetsansvariga ska underlätta genomförandet av denna förordning och regelbundet rapportera om genomförandet direkt till den högsta ledningsnivån. Utan att det påverkar den lokala cybersäkerhetsansvarigas funktion som den gemensamma kontaktpunkten i varje unionsentitet får en unionsentitet delegera vissa av den lokala cybersäkerhetsansvarigas arbetsuppgifter när det gäller genomförandet av denna förordning till CERT-EU på grundval av ett servicenivåavtal mellan den unionsentiteten och CERT-EU, eller så får arbetsuppgifterna delas mellan flera unionsentiteter. När dessa arbetsuppgifter delegeras till CERT-EU ska den interinstitutionella cybersäkerhetsstyrelse som inrättas enligt artikel 10 besluta om huruvida tillhandahållandet av denna tjänst ska ingå i CERT-EU:s baslinjetjänster, med beaktande av den berörda unionsentitetens personalresurser och ekonomiska resurser. Varje unionsentitet ska utan onödigt dröjsmål meddela CERT-EU om utsedda lokala cybersäkerhetsansvariga och alla senare ändringar därav.

CERT-EU ska upprätta och föra en uppdaterad förteckning över utsedda lokala cybersäkerhetsansvariga.

9.   Högre tjänstemän i den mening som avses i artikel 29.2 i tjänsteföreskrifterna eller andra tjänstemän på motsvarande nivå i varje unionsentitet samt all relevant personal som har till uppgift att genomföra de riskhanteringsåtgärder och att uppfylla de skyldigheter avseende cybersäkerhet som fastställs i denna förordning, ska regelbundet genomgå särskild utbildning för att få tillräckliga kunskaper och färdigheter så att de kan förstå och bedöma cybersäkerhetsrisker och rutiner för hantering av cybersäkerhet och deras inverkan på unionsentitetens verksamhet.

1.   Senast den 8 juli 2025 och minst vartannat år därefter ska varje unionsentitet utföra en mognadsbedömning av cybersäkerheten omfattande alla delar av dess IKT-miljö.

2.   Mognadsbedömningarna av cybersäkerheten ska, när så är lämpligt, utföras med hjälp av en specialiserad tredje part.

3.   Unionsentiteter med liknande strukturer får samarbeta vid utförandet av mognadsbedömningar av cybersäkerhet som avser deras respektive entiteter.

4.   På grundval av en begäran från den interinstitutionella cybersäkerhetsstyrelse som inrättas enligt artikel 10, och med uttryckligt samtycke från den berörda unionsentiteten, får resultaten av en mognadsbedömning av cybersäkerheten diskuteras inom styrelsen eller den informella gruppen av lokala cybersäkerhetsansvariga i syfte att dra lärdom av tidigare erfarenheter och utbyta bästa praxis.

1.   Utan onödigt dröjsmål och under alla omständigheter senast den 8 september 2025 ska varje unionsentitet, under överinseende av den högsta ledningsnivån, vidta lämpliga och proportionella tekniska, operativa och organisatoriska åtgärder för att hantera de cybersäkerhetsrisker som identifierats inom ramen, och för att förebygga eller minimera effekterna av incidenterna. Med beaktande av den senaste utvecklingen och, i tillämpliga fall, relevanta europeiska och internationella standarder, ska dessa åtgärder säkerställa en säkerhetsnivå för nätverks- och informationssystemen i hela IKT-miljön som står i proportion till cybersäkerhetsriskerna. Vid bedömningen av dessa åtgärders proportionalitet ska vederbörlig hänsyn tas till unionsentitetens grad av exponering för cybersäkerhetsrisker, dess storlek samt sannolikheten för att incidenter ska inträffa och deras allvarlighetsgrad, inbegripet deras samhälleliga, ekonomiska och interinstitutionella konsekvenser.

2.   Unionens entiteter ska vid genomförandet av riskhanteringsåtgärder för cybersäkerhet behandla åtminstone följande specifika områden:

Vid tillämpningen av första stycket led m ska unionsentiteter ta hänsyn till de sårbarheter som är specifika för varje direkt leverantör och tjänsteleverantör och den övergripande kvaliteten på produkterna och deras leverantörers och tjänsteleverantörers cybersäkerhetspraxis, inbegripet deras förfaranden för säker utveckling.

3.   Unionens entiteter ska vidta åtminstone följande riskhanteringsåtgärder för cybersäkerhet:

1.   Som en uppföljning av slutsatsen från den mognadsbedömning av cybersäkerheten som utförts enligt artikel 7 och med beaktande av de tillgångar och cybersäkerhetsrisker som identifierats i ramen samt de riskhanteringsåtgärder för cybersäkerhet som vidtagits enligt artikel 8, ska varje unionsentitets högsta ledningsnivå godkänna en cybersäkerhetsplan utan onödigt dröjsmål, och under alla omständigheter senaste den 8 januari 2026. Cybersäkerhetsplanen ska syfta till att öka unionsentitetens övergripande cybersäkerhet och ska därigenom bidra till att förbättra en hög gemensam cybersäkerhetsnivå inom unionsentiteterna. Cybersäkerhetsplanen ska omfatta åtminstone de riskhanteringsåtgärder för cybersäkerhet som vidtagits enligt artikel 8. Cybersäkerhetsplanen ska ses över vartannat år, eller mer frekvent vid behov, efter de mognadsbedömningar av cybersäkerheten som gjorts enligt artikel 7 eller en annan betydande översyn av ramen.

2.   Cybersäkerhetsplanen ska omfatta unionsentitetens cyberkrishanteringsplan för större incidenter.

3.   Unionsentiteten ska överlämna sin färdiga cybersäkerhetsplan till den interinstitutionella cybersäkerhetsstyrelse som inrättas enligt artikel 10.

1.   Härigenom inrättas en interinstitutionell cybersäkerhetsstyrelse (IICB).

2.   IICB ska ansvara för att

3.   IICB ska bestå av följande:

De unionsentiteter som är företrädda i IICB ska sträva efter att uppnå en jämn könsfördelning bland de utsedda företrädarna.

4.   Ledamöterna i IICB får bistås av en suppleant. Ordföranden får bjuda in andra företrädare för de unionsentiteter som avses i punkt 3 eller för andra unionsentiteter att delta i IICB:s möten utan rösträtt.

5.   CERT-EU:s chef och ordförandena för samarbetsgruppen, CSIRT-nätverket och EU-CyCLONe, som inrättats enligt artikel 14, 15 respektive 16 i direktiv (EU) 2022/2555, eller deras suppleanter, får delta som observatörer i IICB:s möten. I undantagsfall får IICB, i enlighet med sin interna arbetsordning, fatta ett annat beslut.

6.   IICB ska själv anta sin interna arbetsordning.

7.   IICB ska utse en ordförande bland sina ledamöter, i enlighet med sin arbetsordning, för en period på tre år. Ordförandens suppleant ska bli ordinarie ledamot av IICB för samma period.

8.   IICB ska sammanträda minst tre gånger om året på ordförandens initiativ, på begäran av CERT-EU eller på begäran av någon av dess ledamöter.

9.   Varje ledamot av IICB ska ha en röst. IICB:s beslut ska fattas med enkel majoritet om inte annat föreskrivs i denna förordning. IICB:s ordförande ska inte ha rösträtt utom vid lika röstetal, då ordföranden får avge en utslagsröst.

10.   IICB får agera genom ett förenklat skriftligt förfarande som inleds i enlighet med dess interna arbetsordning. Enligt det förfarandet ska det relevanta beslutet anses vara godkänt inom den tidsram som fastställts av ordföranden, utom i de fall då en ledamot har invändningar.

11.   IICB:s sekretariat ska tillhandahållas av kommissionen och ska vara ansvarigt inför IICB:s ordförande.

12.   De företrädare som utsetts av EUAN ska vidarebefordra IICB:s beslut till EUAN:s medlemmar. Alla EUAN:s medlemmar ska ha rätt att med dessa företrädare eller IICB:s ordförande ta upp alla frågor som de anser att IICB bör uppmärksammas på.

13.   IICB får inrätta en verkställande kommitté som ska bistå den i dess arbete och får delegera vissa av sina arbetsuppgifter och befogenheter till den. IICB ska fastställa den verkställande kommitténs arbetsordning, inbegripet dess arbetsuppgifter och befogenheter och dess ledamöters mandatperioder.

14.   Senast den 8 januari 2025 och därefter årligen ska IICB lämna en rapport till Europaparlamentet och rådet med närmare uppgifter om hur genomförandet av denna förordning fortskrider och särskilt om omfattningen av CERT-EU:s samarbete med motparterna i var och en av medlemsstaterna. Rapporten ska utgöra underlag till den tvåårsrapport om cybersäkerhetssituationen i unionen som antas enligt artikel 18 i direktiv (EU) 2022/2555.

1.   IICB ska i enligt artikel 10.2 och artikel 11 effektivt övervaka hur unionens entiteter genomför denna förordning och antagna vägledningar, rekommendationer och uppmaningar till åtgärder. IICB får begära den information eller dokumentation som är nödvändig för detta ändamål från unionens entiteter. Vid antagande av efterlevnadsåtgärder enligt denna artikel, om den berörda unionsentiteten är direkt företrädd i IICB, ska denna unionsentitet inte ha rösträtt.

2.   Om IICB konstaterar att en unionsentitet inte har genomfört denna förordning på effektivt sätt eller de vägledningar, rekommendationer eller uppmaningar till åtgärder i enlighet därmed får den, utan att det påverkar den berörda unionsentitetens interna förfaranden och efter att den berörda unionsentiteten har fått möjlighet att framföra sina synpunkter:

Vid tillämpning av första stycket c ska varningens målgrupp begränsas på lämpligt sätt, när så är nödvändigt med tanke på cybersäkerhetsrisken.

Varningar och rekommendationer som utfärdas enligt första stycket ska riktas till den berörda unionsentitetens högsta ledningsnivå.

3.   Om IICB har antagit åtgärder enligt punkt 2, första stycket a–g ska den berörda unionsentiteten lämna uppgifter om de åtgärder som vidtagits och insatser som gjorts för att åtgärda de påstådda brister som IICB konstaterat. Unionsentiteten ska lämna in dessa uppgifter inom en rimlig tidsperiod som ska fastställas i överenskommelse med IICB.

4.   Om IICB anser att en unionsentitet på ett ihållande sätt överträder denna förordning till direkt följd av handlingar eller försummelser från en tjänsteman eller annan anställd i unionen, inbegripet på högsta ledningsnivå, ska IICB begära att den berörda unionsentiteten vidtar lämpliga åtgärder, bland annat begära att den överväger disciplinära åtgärder i enlighet med de regler och förfaranden som fastställs i tjänsteföreskrifterna och andra tillämpliga regler och förfaranden. För detta ändamål ska IICB överföra nödvändig information till den berörda unionsentiteten.

5.   Om unionsentiteter meddelar att de inte kan hålla de tidsfrister som anges i artiklarna 6.1 och 8.1 får IICB i vederbörligen motiverade fall, med beaktande av unionsentitetens storlek, godkänna en förlängning av dessa tidsfrister.

1.   CERT-EU:s uppdrag ska vara att bidra till säkerheten i unionsentiteters icke-säkerhetsskyddsklassificerade IKT-miljö genom att ge dem råd om cybersäkerhet, hjälpa dem att förebygga, upptäcka, hantera, begränsa, bemöta och återställa efter incidenter och genom att fungera som deras nav för utbyte av cybersäkerhetsinformation och samordning av incidenthantering.

2.   CERT-EU ska samla in, hantera, analysera och dela information med unionens entiteter om cyberhot, sårbarheter och incidenter som rör icke-säkerhetsskyddsklassificerad IKT-infrastruktur. CERT-EU ska samordna hanteringen av incidenter på interinstitutionell nivå och på unionsentitetsnivå, bland annat genom att ombesörja eller samordna tillhandahållandet av specialiserat operativt stöd.

3.   CERT-EU ska utföra följande arbetsuppgifter för unionens entiteter:

Den information som avses i första stycket e ska delas med IICB, CSIRT-nätverket och Europeiska unionens underrättelse- och lägescentral (EU-Intcen), när så är tillämpligt och lämpligt, och omfattas av lämpliga överenskommelser om konfidentialitet.

4.   CERT-EU får i enlighet med artikel 17 eller 18, beroende på vad som är lämpligt, samarbeta med relevanta cybersäkerhetsgrupper inom unionen och dess medlemsstater, bland annat på följande områden:

5.   Inom sitt befogenhetsområde ska CERT-EU inleda ett strukturerat samarbete med Enisa om kapacitetsuppbyggnad, operativt samarbete och långsiktiga strategiska analyser av cyberhot i enlighet med förordning (EU) 2019/881. CERT-EU får samarbeta och utbyta information med Europols europeiska it-brottscentrum.

6.   CERT-EU får tillhandahålla följande tjänster som inte beskrivs i dess tjänstekatalog (avgiftsbelagda tjänster):

Med avseende på första stycket d, får CERT-EU undantagsvis, med IICB:s förhandsgodkännande, ingå servicenivåavtal med andra entiteter än unionens entiteter.

7.   CERT-EU ska anordna och får delta i cybersäkerhetsövningar eller rekommendera deltagande i befintliga övningar, i tillämpliga fall i nära samarbete med Enisa, för att testa unionsentiteternas cybersäkerhetsnivå.

8.   CERT-EU får stödja unionens entiteter när det gäller incidenter i nätverks- och informationssystem som hanterar säkerhetsskyddsklassificerade EU-uppgifter om de berörda unionsentiteterna uttryckligen begär detta i enlighet med deras respektive förfaranden. Tillhandahållandet av stöd från CERT-EU enligt denna punkt ska inte påverka tillämpliga bestämmelser om skyddet av säkerhetsskyddsklassificerade uppgifter.

9.   CERT-EU ska informera unionens entiteter om sina förfaranden och processer för incidenthantering.

10.   CERT-EU ska, med en hög grad av konfidentialitet och tillförlitlighet, via lämpliga samarbetsmekanismer och rapporteringsvägar, bidra till relevant och anonymiserad information om större incidenter och det sätt på vilket de hanterades. Denna information ska ingå i den rapport som avses i artikel 10.14.

11.   CERT-EU ska i samarbete med EDPS stödja berörda unionsentiteter när de hanterar incidenter som medför personuppgiftsincidenter, utan att det påverkar EDPS befogenheter och arbetsuppgifter som tillsynsmyndighet enligt förordning (EU) 2018/1725.

12.   CERT-EU får, om unionsentiteternas politiska avdelningar uttryckligen så begär, tillhandahålla teknisk rådgivning eller tekniska synpunkter i relevanta politiska frågor.

1.   CERT-EU ska stödja genomförandet av denna förordning genom att utfärda

Med avseende på första stycket a ska den berörda unionsentiteten, utan onödigt dröjsmål efter att ha mottagit uppmaningen till åtgärder, informera CERT-EU om hur de brådskande säkerhetsåtgärderna tillämpades.

2.   Vägledningar och rekommendationer kan omfatta

1.   Kommissionen ska, efter godkännande med två tredjedelars majoritet av IICB:s ledamöter, utnämna CERT-EU:s chef. IICB ska rådfrågas i alla skeden av utnämningsförfarandet, särskilt när det gäller att utarbeta meddelanden om den lediga tjänsten, granska ansökningar och utse uttagningskommittéer med avseende på tjänsten. Urvalsförfarandet, inbegripet slutlistan över de bästa kandidaterna från vilken CERT-EU:s chef ska utses, ska säkerställa en jämn könsfördelning, med beaktande av de ansökningar som kommer in.

2.   CERT-EU:s chef ska ansvara för att CERT-EU fungerar väl och ska agera inom det behörighetsområde som han eller hon tilldelats och under ledning av IICB. CERT-EU:s chef ska regelbundet rapportera till IICB:s ordförande och ska på dess begäran lämna in ad hoc-rapporter till IICB.

3.   CERT-EU:s chef ska stödja den behöriga delegerade utanordnaren i utarbetandet av den årliga verksamhetsrapport med finansiella och administrativa uppgifter, inbegripet resultaten av kontroller, som upprättas i enlighet med artikel 74.9 i Europaparlamentets och rådets förordning (EU, Euratom) 2018/1046 (9), och ska regelbundet rapportera till den delegerade utanordnaren om genomförandet av åtgärder för vilka befogenheter har vidaredelegerats till CERT-EU:s chef.

4.   CERT-EU:s chef ska en gång om året utarbeta en finansiell plan för administrativa inkomster och utgifter för dess verksamhet, ett förslag till årligt arbetsprogram, ett förslag till en tjänstekatalog för CERT-EU, förslag till översyner av tjänstekatalogen, förslag till arrangemang för servicenivåavtal och förslag till nyckelprestandaindikatorer för CERT-EU vilka ska godkännas av IICB i enlighet med artikel 11. Vid översynen av förteckningen över tjänster i CERT-EU:s tjänstekatalog ska CERT-EU:s chef beakta de resurser som tilldelats CERT-EU.

5.   CERT-EU:s chef ska minst en gång om året lämna rapporter till IICB och IICB:s ordförande om CERT-EU:s verksamhet och resultat under referensperioden, inbegripet om genomförandet av budgeten, servicenivåavtal och skriftliga avtal som ingåtts, samarbete med motparter och partner samt personalens tjänsteresor, inbegripet de rapporter som avses i artikel 11. Dessa rapporter ska omfatta ett arbetsprogram för kommande period, den finansiella planeringen av inkomster och utgifter, inklusive personal, planerade uppdateringar av CERT-EU:s tjänstekatalog och en bedömning av de förväntade effekterna av sådana uppdateringar i fråga om ekonomiska resurser och personalresurser.

1.   CERT-EU ska integreras i den administrativa strukturen vid ett av kommissionens generaldirektorat för att kunna dra nytta av kommissionens stödstrukturer för administration, ekonomisk förvaltning och redovisning, samtidigt som CERT-EU behåller sin status som autonom interinstitutionell tjänsteleverantör för alla unionsentiteter. Kommissionen ska informera IICB om CERT-EU:s administrativa lokalisering och eventuella ändringar därav. Kommissionen ska regelbundet, och under alla omständigheter före inrättandet av en flerårig budgetram i enlighet med artikel 312 i EUF-fördraget, se över de administrativa arrangemang som rör CERT-EU, för att göra det möjligt att vidta lämpliga åtgärder. Översynen ska inbegripa möjligheten att inrätta CERT-EU som unionsbyrå.

2.   När det gäller tillämpningen av de administrativa och finansiella förfarandena ska CERT-EU:s chef handla under kommissionens överinseende och under IICB:s tillsyn.

3.   CERT-EU:s arbetsuppgifter och verksamhet, inbegripet tjänster som tillhandahålls av CERT-EU i enlighet med artiklarna 13.3, 13.4, 13.5, 13.7 och 14.1 till unionens entiteter som finansieras genom den rubrik i den fleråriga budgetramen som är avsedd för europeisk offentlig administration, ska finansieras med hjälp av en särskild budgetpost i kommissionens budget. De tjänster som öronmärkts för CERT-EU ska anges i en fotnot till kommissionens tjänsteförteckning.

4.   Andra unionsentiteter än dem som avses i punkt 3 i denna artikel, ska lämna ett årligt ekonomiskt bidrag till CERT-EU för att täcka de tjänster som CERT-EU tillhandahåller i enlighet med denna punkt. Bidragen ska baseras på riktlinjer som ges av IICB och som varje unionsentitet och CERT-EU kommer överens om sinsemellan i servicenivåavtal. Bidragen ska utgöra en rättvis och proportionell andel av de totala kostnaderna för de tjänster som tillhandahålls. De ska tas emot under den särskilda budgetpost som avses i punkt 3 i denna artikel som interna inkomster avsatta för särskilda ändamål i enlighet med artikel 21.3 c i förordning (EU, Euratom) 2018/1046.

5.   Kostnaderna för de tjänster som anges i artikel 13.6 ska återkrävas från de unionsentiteter som tar emot CERT-EU-tjänster. Inkomsterna ska avsättas för de budgetposter som stöder kostnaderna.

1.   CERT-EU ska, utan onödigt dröjsmål, samarbeta och utbyta information med motparter i medlemsstaterna, särskilt CSIRT-enheter som utsetts eller inrättats enligt artikel 10 i direktiv (EU) 2022/2555, eller i tillämpliga fall de behöriga myndigheter och gemensamma kontaktpunkter som utsetts eller inrättats enligt artikel 8 i det direktivet, om incidenter, cyberhot, sårbarheter, tillbud, möjliga motåtgärder såväl som bästa praxis och om alla frågor som är relevanta för att förbättra skyddet av IKT-miljön vid unionens entiteter, inbegripet genom det CSIRT-nätverk som inrättats enligt artikel 15 i direktiv (EU) 2022/2555. CERT-EU ska stödja kommissionen i den EU-CyCLONe som inrättats enligt artikel 16 i direktiv (EU) 2022/2555 om den samordnade hanteringen av storskaliga cybersäkerhetsincidenter och cybersäkerhetskriser.

2.   När CERT-EU får kännedom om en betydande incident som inträffar inom en medlemsstats territorium ska den utan dröjsmål underrätta alla relevanta motparter i den medlemsstaten, i enlighet med punkt 1.

3.   Förutsatt att personuppgifter skyddas i enlighet med unionens tillämpliga dataskyddslagstiftning, ska CERT-EU, utan onödigt dröjsmål, utbyta relevant incidentspecifik information med motparter i medlemsstaterna för att underlätta upptäckt av liknande cyberhot eller incidenter, eller för att bidra till analysen av en incident, utan tillstånd från den berörda unionsentiteten. CERT-EU får utbyta incidentspecifik information som avslöjar identiteten på målet för cybersäkerhetsincidenten endast i något av följande fall:

Beslut om utbyte av incidentspecifik information som avslöjar identiteten på målet för incidenten i enlighet med första stycket b ska godkännas av CERT-EU:s chef. Innan CERT-EU utfärdar ett sådant beslut ska CERT-EU skriftligen kontakta den berörda unionsentiteten och tydligt förklara hur avslöjandet av dess identitet skulle bidra till att undvika eller begränsa incidenter på annat håll. CERT-EU:s chef ska tillhandahålla en förklaring och uttryckligen begära att unionsentiteten anger om den samtycker inom en fastställd tidsram. CERT-EU:s chef ska också informera unionsentiteten om att han eller hon, mot bakgrund av den förklaring som lämnats, förbehåller sig rätten att offentliggöra informationen även utan samtycke. Den berörda unionsentiteten ska informeras innan informationen offentliggörs.

1.   CERT-EU får samarbeta med andra motparter i unionen än dem som avses i artikel 17 vilka omfattas av unionens cybersäkerhetskrav, inbegripet branschspecifika motparter, om verktyg och metoder, såsom teknik, taktik, förfaranden och bästa praxis, och om cyberhot och sårbarheter. För allt samarbete med sådana motparter ska CERT-EU från fall till fall inhämta förhandsgodkännande från IICB. När CERT-EU upprättar samarbete med sådana motparter ska det informera alla de relevanta motparter i medlemsstaterna som avses i artikel 17.1, i den medlemsstat där motparten är belägen. När så är tillämpligt och lämpligt ska sådant samarbete och villkoren för detta, inbegripet när det gäller cybersäkerhet, dataskydd och informationshantering, fastställas i särskilda överenskommelser om konfidentialitet, såsom avtal eller administrativa arrangemang. Överenskommelser om konfidentialitet ska inte kräva något förhandsgodkännande från IICB, men IICB:s ordförande ska informeras. I händelse av ett brådskande och överhängande behov av att utbyta cybersäkerhetsinformation, i unionsentiteternas eller en annan parts intresse, får CERT-EU göra det med en entitet vars särskilda kompetens, kapacitet och expertis rimligen krävs för att tillgodose ett sådant brådskande och överhängande behov, även om CERT-EU inte har någon överenskommelse om konfidentialitet med den entiteten. I sådana fall ska CERT-EU omedelbart informera IICB:s ordförande och rapportera till IICB genom regelbundna rapporter eller möten.

2.   CERT-EU får samarbeta med partner, såsom kommersiella entiteter, inbegripet branschspecifika entiteter, internationella organisationer, nationella entiteter eller enskilda experter utanför unionen, för att samla in information om allmänna och specifika cyberhot, tillbud, sårbarheter och möjliga motåtgärder. För ett bredare samarbete med sådana partner ska CERT-EU från fall till fall inhämta förhandsgodkännande från IICB.

3.   CERT-EU får, med samtycke från den unionsentitet som berörs av en incident och förutsatt att det finns en överenskommelse eller ett avtal om konfidentalitet med den relevanta motparten eller partnern, lämna information om den specifika incidenten till de motparter eller partner som avses i punkterna 1 och 2 endast i syfte att bidra till dess analys.

1.   Unionens entiteter och CERT-EU ska respektera tystnadsplikt i enlighet med artikel 339 i EUF-fördraget eller likvärdiga tillämpliga ramar.

2.   Europaparlamentets och rådets förordning (EG) nr 1049/2001 (10) ska tillämpas på allmänhetens begäranden om tillgång till handlingar som innehas av CERT-EU, inbegripet skyldigheten enligt den förordningen att samråda med unionens övriga entiteter, och i förekommande fall medlemsstaterna, när en begäran rör deras handlingar.

3.   Unionsentiteternas och CERT-EU:s hantering av information ska vara förenlig med tillämpliga regler om informationssäkerhet.

1.   Unionens entiteter får på frivillig basis meddela CERT-EU om och tillhandahålla information om incidenter, cyberhot, tillbud och sårbarheter som berör dem. CERT-EU ska säkerställa att effektiva medel för kommunikation, med en hög grad av spårbarhet, konfidentialitet och tillförlitlighet, finns tillgängliga i syfte att underlätta informationsutbytet med unionens entiteter. CERT-EU får vid behandlingen av underrättelser, ge behandling av obligatoriska underrättelser företräde framför behandling av frivilliga underrättelser. Utan att det påverkar tillämpningen av artikel 12 får ett frivilligt inlämnande av underrättelser inte leda till att den rapporterande unionsentiteten åläggs ytterligare skyldigheter som den inte skulle ha blivit föremål för om den inte hade lämnat in underrättelsen.

2.   För att CERT-EU ska kunna utföra de uppdrag och arbetsuppgifter som den tilldelats i enlighet med artikel 13 får CERT-EU begära att unionens entiteter lämnar information från sina respektive IKT-systeminventarier, inbegripet information om cyberhot, tillbud, sårbarheter, angreppsindikatorer, cybersäkerhetsvarningar och rekommendationer avseende konfiguration av cybersäkerhetsverktyg för att upptäcka incidenter. Den unionsentitet som mottar begäran ska utan onödigt dröjsmål översända den begärda informationen och eventuella senare uppdateringar.

3.   CERT-EU får med unionens entiteter utbyta incidentspecifik information som avslöjar identiteten på den unionsentitet som berörs av incidenten, under förutsättning att den unionsentitet som berörs samtycker. Om en unionsentitet inte ger sitt samtycke ska den tillhandahålla CERT-EU de skäl som ligger till grund för detta beslut.

4.   Unionens entiteter ska på begäran utbyta information med Europaparlamentet och rådet om slutförandet av cybersäkerhetsplanerna.

5.   IICB eller CERT-EU, beroende på vad som är tillämpligt, ska på begäran dela riktlinjer, rekommendationer och uppmaningar till åtgärder med Europaparlamentet och rådet.

6.   Delningsskyldigheterna i denna artikel ska inte omfatta

1.   En incident ska anses vara betydande om

2.   Unionens entiteter ska till CERT-EU lämna

3.   En unionsentitet ska, utan onödigt dröjsmål och under alla omständigheter inom 24 timmar efter att ha fått kännedom om en betydande incident, informera alla relevanta motparter i medlemsstaterna som avses i artikel 17.1 i den medlemsstat där den är belägen om att en betydande incident har inträffat.

4.   Unionens entiteter ska bland annat lämna all information som gör det möjligt för CERT-EU att fastställa eventuella entitetsövergripande konsekvenser, konsekvenser för värdmedlemsstaten eller gränsöverskridande konsekvenser efter en betydande incident. Utan att det påverkar artikel 12 ska själva anmälan inte medföra ökat ansvar för unionsentiteten.

5.   I tillämpliga fall ska unionens entiteter utan onödigt dröjsmål informera användarna av de berörda nätverks- och informationssystemen, eller andra komponenter i IKT-miljön, som potentiellt berörs av en betydande incident eller ett betydande cyberhot och, när så är lämpligt, behöver vidta riskreducerande åtgärder, om de åtgärder eller avhjälpande arrangemang som de kan vidta för att hantera denna incident eller detta hot. När så är lämpligt ska unionens entiteter informera dessa användare om det betydande cyberhotet.

6.   Om en betydande incident eller ett betydande cyberhot berör ett nätverks- och informationssystem, eller en komponent inom en unionsentitets IKT-miljö som har en avsiktlig sammankoppling med en annan unionsentitets IKT-miljö, ska CERT-EU utfärda en relevant cybersäkerhetsvarning.

7.   Unionens entiteter ska, på CERT-EU:s begäran och utan onödigt dröjsmål, förse CERT-EU med digital information som skapats genom användning av elektroniska enheter som är inblandade i deras respektive incident. CERT-EU kan tillhandahålla ytterligare uppgifter om vilka typer av uppgifter som behövs för situationsmedvetenhet och incidenthantering.

8.   CERT-EU ska var tredje månad lämna in en sammanfattande rapport till IICB, Enisa, EU Intcen och CSIRT-nätverket med anonymiserade och aggregerade data om betydande incidenter, incidenter, cyberhot, tillbud och sårbarheter enligt artikel 20 och betydande incidenter som anmälts enligt punkt 2 i den här artikeln. Den sammanfattande rapporten ska utgöra underlag till den tvåårsrapport om cybersäkerhetssituationen i unionen som antas enligt artikel 18 i direktiv (EU) 2022/2555.

9.   Senast den 8 juli 2024 ska IICB utfärda vägledningar eller rekommendationer som ytterligare specificerar formerna och formatet för samt innehållet i rapporteringen enligt den här artikeln. Vid utarbetandet av sådana riktlinjer eller rekommendationer ska IICB beakta eventuella genomförandeakter som antagits enligt artikel 23.11 i direktiv (EU) 2022/2555 och som specificerar typen av information, formatet och förfarandet för underrättelsen. CERT-EU ska sprida lämpliga tekniska detaljer för att möjliggöra proaktiv upptäckt, incidenthantering eller riskreducerande åtgärder hos unionens entiteter.

10.   Rapporteringsskyldigheterna i denna artikel ska inte omfatta

1.   I sin funktion som nav för utbyte av cybersäkerhetsinformation och samordning av incidenthantering ska CERT-EU främja informationsutbyte om incidenter, cyberhot, sårbarheter och tillbud mellan

2.   CERT-EU ska, i tillämpliga fall i nära samarbete med Enisa, främja unionsentiteters samordning av incidenthantering, genom bland annat

3.   CERT-EU ska, i nära samarbete med Enisa, stödja unionens entiteter när det gäller situationsmedvetenhet om incidenter, cyberhot, sårbarheter och tillbud samt dela med sig av relevant utveckling på cybersäkerhetsområdet.

4.   Senast den 8 januari 2025 ska IICB på grundval av ett förslag från CERT-EU, anta riktlinjer eller rekommendationer för samordning av incidenthantering och samarbete vid betydande incidenter. När en incident misstänks vara brottslig ska CERT-EU ge råd om hur incidenten ska rapporteras till de brottsbekämpande myndigheterna utan onödigt dröjsmål.

5.   Efter en särskild begäran från en medlemsstat och med de berörda unionsentiteternas godkännande får CERT-EU anlita experter från den förteckning som avses i artikel 23.4 för att bidra till hanteringen av en större incident som påverkar den medlemsstaten, eller en storskalig cybersäkerhetsincident i enlighet med artikel 15.3 g i direktiv (EU) 2022/2555. Särskilda regler om tillgång till och användning av tekniska experter från unionens entiteter ska godkännas av IICB på grundval av ett förslag från CERT-EU.

1.   För att på operativ nivå stödja en samordnad hantering av större incidenter som berör unionens entiteter och bidra till ett regelbundet utbyte av relevant information mellan unionens entiteter och med medlemsstaterna ska IICB i enlighet med artikel 11 led q, i nära samarbete med CERT-EU och Enisa, upprätta en cyberkrishanteringsplan på grundval av den verksamhet som avses i artikel 22.2. Cyberkrishanteringsplanen ska innehålla åtminstone följande:

2.   Kommissionens företrädare i IICB ska, med förbehåll för den cyberkrishanteringsplan som upprättats enligt punkt 1 i denna artikel och utan att det påverkar tillämpningen av artikel 16.2 första stycket i direktiv (EU) 2022/2555, vara kontaktpunkt för utbyte av relevant information om större incidenter med EU-CyCLONe.

3.   CERT-EU ska samordna unionsentiteternas hantering av större incidenter. Det ska föra en förteckning över den tillgängliga tekniska expertis som skulle behövas för incidenthantering i händelse av större incidenter och bistå IICB med att samordna unionsentiteters cyberkrishanteringsplaner för sådana större incidenter som avses i artikel 9 2.

4.   Unionens entiteter ska bidra till förteckningen över teknisk expertis genom att tillhandahålla en årligen uppdaterad förteckning över experter som finns tillgängliga inom respektive organisation med detaljerade uppgifter om deras specifika tekniska kompetens.

1.   IICB ska, senast den 8 januari 2025 och därefter årligen, med bistånd av CERT-EU rapportera till kommissionen om genomförandet av denna förordning. IICB får rekommendera kommissionen att se över denna förordning.

2.   Kommissionen ska, senast den 8 januari 2027 och därefter vartannat år, bedöma och rapportera om genomförandet av denna förordning och om den erfarenhet som gjorts på strategisk och operativ nivå till Europaparlamentet och rådet.

Den rapport som avses i första stycket i denna punkt ska innehålla den översyn som avses i artikel 16.1 om möjligheten att inrätta CERT-EU som unionsbyrå.

3.   Kommissionen ska, senast den 8 januari 2029, utvärdera hur denna förordning fungerar och lämna en rapport till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén och Regionkommittén. Kommissionen ska också utvärdera lämpligheten i att inkludera nätverks- och informationssystem som hanterar säkerhetsskyddsklassificerade EU-uppgifter inom ramen för denna förordning, med beaktande av andra unionsrättsakter som är tillämpliga på dessa system. Rapporten ska vid behov åtföljas av ett lagstiftningsförslag.