EUROPESE COMMISSIE

Brussel, 22.3.2022

COM(2022) 122 final

2022/0085(COD)

Voorstel voor een

VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD

betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie

{SWD(2022) 67 final} - {SWD(2022) 68 final}

TOELICHTING

1.ACHTERGROND VAN HET VOORSTEL

•Motivering en doel van het voorstel

•Samenhang met bestaand beleid op het betrokken gebied

·Richtlijn (EU) 2016/1148 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie. Het is ook in overeenstemming met het voorstel voor een richtlijn (EU) XXX/XXX betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie en tot intrekking van Richtlijn (EU) 2016/1148 [NIS 2-voorstel];

·Verordening (EU) 2019/881 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging) en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie (de cyberbeveiligingsverordening);

·Voorstel voor een verordening (EU) XXX/XXX betreffende informatiebeveiliging in de instellingen, organen en instanties van de Unie;

·de aanbeveling van de Commissie van 23 juni 2021 betreffende de opbouw van een gezamenlijke cybereenheid;

·Aanbeveling (EU) 2017/1584 van de Commissie van 13 september 2017 inzake een gecoördineerde respons op grootschalige cyberincidenten en -crises.

2.RECHTSGRONDSLAG, SUBSIDIARITEIT EN EVENREDIGHEID

•Rechtsgrondslag

•Subsidiariteit

•Evenredigheid

•Keuze van het instrument

3.RESULTATEN VAN EX ANTE-EVALUATIES, RAADPLEGINGEN VAN BELANGHEBBENDEN EN EFFECTBEOORDELINGEN

•Ex ante-evaluaties

·pogingen om de IT-infrastructuur van de instellingen, organen en instanties van de Unie binnen te dringen (indien succesvol worden ze als incidenten beschouwd, anders worden ze als opgespoorde pogingen geregistreerd);

·dreigingen die zijn ontdekt in de nabijheid van de instellingen, organen en instanties van de Unie (bijvoorbeeld in gerelateerde sectoren, groepen van belanghebbenden of in Europa);

·grootschalige dreigingen die wereldwijd worden waargenomen.

·meer thuiswerk;

·migratie van systemen naar de cloud;

·meer outsourcing van IT-diensten.

·de maturiteit op het gebied van cyberbeveiliging, de grootte van de IT-infrastructuur en de capaciteitsniveaus onder de onderzochte instellingen, organen en instanties van de Unie aanzienlijk verschillen;

·hoewel veel instellingen, organen en instanties van de Unie over het algemeen over degelijke opsporings- en responscapaciteiten beschikken, de niveaus van geïntegreerd risicobeheer binnen hun governancevermogens op het gebied van cyberbeveiliging uiteenlopen;

·hoewel de cyberbeveiligingskaders (strategie, beleid en een basis van regels) van de geëvalueerde instellingen, organen en instanties van de Unie over het algemeen op de belangrijkste in bijlage I bij de verordening opgenomen cyberbeveiligingsgebieden aanwezig zijn, een degelijk bedrijfscontinuïteitsbeheer, naleving, audit en voortdurende verbetering bij sommige instellingen, organen en instanties van de Unie ontbreken;

·als beste praktijken beschouwde technische maatregelen door de onderzochte instellingen, organen en instanties van de Unie verschillend bleken te worden toegepast.

Er bestaat momenteel nog geen Uniewetgeving die op de cyberbeveiliging van de instellingen, organen en instanties van de Unie gericht is en de dreigingen op het gebied van cyberbeveiliging en de uit de digitalisering voortvloeiende nieuwe IT-risico's alomvattend aanpakt.

•Raadpleging van belanghebbenden

 •Effectbeoordeling

•Grondrechten

4.GEVOLGEN VOOR DE BEGROTING

5.ANDERE ELEMENTEN

·Uitvoering en regelingen betreffende controle, evaluatie en rapportage

De interinstitutionele raad voor cyberbeveiliging (IICB) moet, met de hulp van CERT-EU, de werking van deze verordening evalueren, beoordelingen uitvoeren en daarover verslag uitbrengen aan de Commissie. De Commissie moet zorgen voor regelmatige verslaggeving aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s.

CERT-EU kan een voorstel voor richtsnoeren of een aanbeveling opstellen, dat de IICB kan besluiten aan te nemen. Richtsnoeren zijn een advies, gericht tot alle of een aantal van de instellingen, organen en instanties van de Unie, en aanbevelingen zijn gericht tot individuele instellingen, organen en instanties van de Unie. Een oproep tot actie is een advies van CERT-EU betreffende dringende veiligheidsmaatregelen die instellingen, organen en instanties van de Unie binnen een bepaalde termijn met klem wordt aangeraden te treffen.

·Uitgebreide toelichting bij de specifieke bepalingen van het voorstel

Algemene bepalingen

De verordening bevat maatregelen ter waarborging van een hoog gezamenlijk niveau van cyberbeveiliging en geldt voor de instellingen, organen en instanties van de Unie, zodat zij hun respectieve taken op een open, efficiënte en onafhankelijke wijze kunnen uitvoeren (artikelen 1-3, 23-25).

Maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging

De instellingen, organen en instanties van de Unie moeten een intern kader voor het beheer, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s opzetten dat een doeltreffend en prudent beheer van alle cyberbeveiligingsrisico’s waarborgt. Verder stellen de instellingen, organen en instanties van de Unie een basisniveau van cyberbeveiliging vast om de in het kader vastgestelde risico’s aan te pakken, regelmatig maturiteitsbeoordeling van de cyberbeveiliging uit te voeren en een cyberbeveiligingsbasis vast te stellen (artikelen 4-8).

Interinstitutionele raad voor cyberbeveiliging

Er wordt een Interinstitutionele raad voor cyberbeveiliging opgericht die verantwoordelijk is voor het toezicht op de uitvoering van deze verordening door de instellingen, organen en instanties van de Unie, en het toezicht op de uitvoering van de algemene prioriteiten en doelstellingen door CERT-EU, en voor de strategische leiding van CERT-EU (artikelen 9-11).

CERT-EU

CERT-EU draagt bij tot de beveiliging van de IT-omgeving van de instellingen, organen en instanties van de Unie door ze advies te geven, te helpen incidenten te voorkomen, die op te sporen en daarop te reageren, en door op te treden als knooppunt voor informatie-uitwisseling inzake cyberbeveiliging en responscoördinatie bij incidenten (artikelen 12-17).

Samenwerking en verslagleggingsverplichtingen

De verordening waarborgt de samenwerking en de uitwisseling van informatie tussen CERT-EU en de instellingen, organen en instanties van de Unie, om vertrouwen te kweken. Daartoe kan CERT-EU, zonder toestemming van het betrokken constituerende deel, de instellingen, organen en instanties van de Unie verzoeken relevante informatie te verstrekken, en incidentspecifieke informatie uitwisselen met de instellingen, organen en instanties van de Unie om de opsporing van soortgelijke cyberdreigingen of -incidenten te vergemakkelijken. Incidentspecifieke informatie die de identiteit van het doelwit van het cyberbeveiligingsincident onthult, mag door CERT-EU alleen met toestemming van het betrokken constituerende deel worden uitgewisseld.

De instellingen, organen en instanties van de Unie stellen CERT-EU met name onverwijld en in ieder geval binnen 24 uur nadat zij daarvan kennis hebben gekregen, op de hoogte van significante cyberdreigingen, significante kwetsbaarheden en significante incidenten (artikelen 18-22).

2022/0085 (COD)

Voorstel voor een

VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD

betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie

HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 298,

Gezien het Verdrag tot oprichting van de Europese Gemeenschap voor Atoomenergie, en met name artikel 106 bis,

Gezien het voorstel van de Europese Commissie,

Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,

Handelend volgens de gewone wetgevingsprocedure,

Overwegende hetgeen volgt:

(1)In het digitale tijdperk vormt informatie- en communicatietechnologie een hoeksteen van een open, efficiënt en onafhankelijk openbaar bestuur van de Unie. Technologische ontwikkelingen en toegenomen complexiteit en onderlinge verwevenheid van digitale systemen vergroten de risico’s op het gebied van cyberbeveiliging, waardoor het openbaar bestuur van de Unie kwetsbaarder wordt voor cyberdreigingen en cyberincidenten, wat uiteindelijk de bedrijfscontinuïteit en de gegevensbeveiligingscapaciteit in gevaar brengt. Het toegenomen gebruik van clouddiensten, een alomtegenwoordig gebruik van IT, een hoge graad van digitalisering, thuiswerk en technologische ontwikkelingen en connectiviteit zijn tegenwoordig kernkenmerken van alle activiteiten van de entiteiten van de Unie, maar digitale weerbaarheid is hier nog onvoldoende ingebouwd.

(2)De instellingen, organen en instanties van de Unie hebben te kampen met constant veranderende dreigingen op het gebied van cyberveiligheid. De tactieken, technieken en procedures van dreigingsactoren evolueren constant, maar de voornaamste motieven voor die aanvallen blijven dezelfde: die gaan van diefstal van waardevolle niet openbaar gemaakte informatie tot geld verdienen, het manipuleren van de publieke opinie en het ondermijnen van de digitale infrastructuur. Cyberaanvallen volgen elkaar steeds sneller op, met steeds geavanceerdere en meer geautomatiseerde campagnes, gericht tegen zwakke plekken, en daarbij worden kwetsbaarheden snel uitgebuit.

(3)De IT-omgevingen van de instellingen, organen en instanties van de Unie hebben onderlinge afhankelijkheden en geïntegreerde gegevensstromen, en hun gebruikers werken nauw samen. Deze onderlinge afhankelijkheid betekent dat elke verstoring, zelfs als die in eerste instantie beperkt is tot één instelling, orgaan of instantie van de Unie, breder kan uitwaaieren en ingrijpende langdurige negatieve gevolgen voor de andere entiteiten kan hebben. Bovendien zijn de IT-omgevingen van bepaalde instellingen, organen en instanties van de Unie verbonden met de IT-omgevingen van de lidstaten, zodat een incident in één entiteit van de Unie een risico kan vormen voor de cyberbeveiliging van de IT-omgevingen van de lidstaten, en omgekeerd.

(4)De instellingen, organen en instanties van de Unie zijn aantrekkelijke doelwitten die worden geconfronteerd met hooggekwalificeerde en goed toegeruste dreigingsactoren en andere dreigingen. Tegelijkertijd lopen de maturiteit van cyberveerkracht en het vermogen om kwaadwillige cyberactiviteiten op te sporen, aanzienlijk uiteen tussen deze entiteiten. Daarom is het voor de werking van het Europese openbaar bestuur nodig dat de instellingen, organen en instanties van de Unie een hoog gezamenlijk niveau van cyberbeveiliging bereiken, door tot een basisniveau van cyberbeveiliging te komen (minimumregels inzake cyberbeveiliging waaraan netwerk- en informatiesystemen en hun beheerders en gebruikers moeten voldoen om cyberbeveiligingsrisico’s tot een minimum te beperken), informatie uit te wisselen en samen te werken.

(5)De richtlijn [NIS 2-voorstel] betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie beoogt de weerbaarheid op het gebied van cyberbeveiliging en de responscapaciteit bij incidenten van publieke en private entiteiten, nationale bevoegde autoriteiten en organen alsmede de Unie als geheel verder te verbeteren. Daarom moeten de instellingen, organen en instanties van de Unie hetzelfde doen en zorgen voor regels die in overeenstemming zijn met de richtlijn [NIS 2-voorstel] en het ambitieniveau ervan weerspiegelen.

(6)Om een hoog gezamenlijk niveau van cyberbeveiliging te bereiken, moeten de instellingen, organen en instanties van de Unie elk een intern kader voor het beheer, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s opzetten, dat een doeltreffend en prudent beheer van alle cyberbeveiligingsrisico’s waarborgt en rekening houdt met bedrijfscontinuïteit en crisisbeheer.

(7)De verschillen tussen de instellingen, organen en instanties van de Unie vereisen flexibiliteit bij de uitvoering, omdat een uniforme aanpak niet mogelijk is. De maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging mogen geen verplichtingen omvatten die rechtstreeks ingrijpen in de uitoefening van de missie van de instellingen, organen en instanties van de Unie, of hun institutionele autonomie aantasten. Die instellingen, organen en instanties van de Unie moeten dus hun eigen kaders voor het beheer, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s opstellen en hun eigen basisniveau van cyberbeveiliging en cyberbeveiligingsplannen vaststellen.

(8)Om te voorkomen dat aan de instellingen, organen en instanties van de Unie onevenredige financiële en administratieve lasten worden opgelegd, moeten de eisen inzake risicobeheer op het gebied van cyberbeveiliging, rekening houdend met de stand van de techniek, in verhouding staan tot het risico dat verbonden is aan het netwerk- en informatiesysteem in kwestie. De instellingen, organen en instanties van de Unie moeten beogen een passend percentage van hun IT-begroting aan betere cyberbeveiliging te besteden; op langere termijn moet een doel van ongeveer 10 % worden nagestreefd.

(9)Voor een hoog gezamenlijk niveau van cyberbeveiliging is vereist dat cyberbeveiliging wordt geplaatst onder het toezicht van het hoogste managementniveau van de individuele instellingen, organen en instanties van de Unie, dat een basisniveau van cyberbeveiliging moet goedkeuren om de risico’s aan te pakken die in het door de afzonderlijke instellingen, organen en instanties van de Unie op te stellen kader zijn aangeduid. Het aanpakken van de cyberbeveiligingscultuur, dat wil zeggen de dagelijkse cyberbeveiligingspraktijk, maakt integraal deel uit van een basisniveau van cyberbeveiliging binnen de instellingen, organen en instanties van de Unie.

(10)De instellingen, organen en instanties van de Unie moeten de risico’s betreffende de betrekkingen met leveranciers en dienstverleners, inclusief leveranciers van gegevensopslag- en gegevensverwerkingsdiensten of beheerde beveiligingsdiensten, beoordelen, en daarvoor passende maatregelen treffen. Deze maatregelen moeten deel uitmaken van het basisniveau van cyberbeveiliging en nader worden gespecificeerd in richtsnoeren of aanbevelingen van CERT-EU. Bij het definiëren van maatregelen en richtsnoeren moet terdege rekening worden gehouden met de toepasselijke Uniewetgeving en ‑beleidsmaatregelen, met inbegrip van risicobeoordelingen en aanbevelingen van de NIS-samenwerkingsgroep, zoals de gecoördineerde EU‑risicobeoordeling en de EU-toolbox inzake 5G-cyberbeveiliging. Bovendien kan het noodzakelijk zijn dat relevante ICT-systemen, diensten en processen worden gecertificeerd op grond van artikel 49 van Verordening (EU) 2019/881 vastgestelde specifieke EU-cyberbeveiligingscertificeringsregelingen.

(11)In mei 2011 hebben de secretarissen-generaal van de instellingen, organen en instanties van de Unie besloten een preconfiguratieteam voor een computercrisisteam voor de instellingen, organen en instanties van de Unie (CERT-EU) in te stellen, onder toezicht van een interinstitutionele stuurgroep. In juli 2012 bevestigden de secretarissen-generaal de praktische regelingen en kwamen zij overeen CERT-EU te handhaven als permanente entiteit om het algehele niveau van IT-veiligheid van de instellingen, organen en instanties van de EU verder te helpen verbeteren, als voorbeeld van zichtbare interinstitutionele samenwerking op het gebied van cyberveiligheid. In september 2012 is CERT-EU opgericht als taskforce van de Europese Commissie, met een interinstitutioneel mandaat. In december 2017 zijn de instellingen, organen en instanties van de Unie een interinstitutionele regeling overeengekomen over de organisatie en de werking van CERT-EU 3 . Deze regeling moet doorlopend evolueren ter ondersteuning van de uitvoering van deze verordening.

(12)CERT-EU moet worden omgedoopt van “computercrisisteam” in “cyberbeveiligingscentrum” voor de instellingen, organen en instanties van de Unie, in overeenstemming met de ontwikkelingen in de lidstaten en wereldwijd, waar veel CERT’s worden omgedoopt tot cyberbeveiligingscentra, maar de korte naam “CERT-EU” moet vanwege de herkenbaarheid behouden blijven.

(13)Veel cyberaanvallen zijn onderdeel van bredere campagnes die gericht zijn tegen groepen instellingen, organen en instanties van de Unie of belangengemeenschappen die de instellingen, organen en instanties van de Unie omvatten. Om proactief opsporings-, incidentrespons- of beperkende maatregelen te kunnen treffen, moeten de instellingen, organen en instanties van de Unie CERT-EU onverwijld in kennis stellen van significante dreigingen, significante kwetsbaarheden en significante incidenten op het gebied van cyberveiligheid en passende technische details delen, op grond waarvan opsporings-, incidentrespons- of beperkende maatregelen kunnen worden getroffen tegen vergelijkbare dreigingen, kwetsbaarheden en incidenten op het gebied van cyberveiligheid binnen andere instellingen, organen en instanties van de Unie. Op basis van dezelfde aanpak als die voorzien in richtlijn [NIS 2-voorstel] moeten entiteiten binnen 24 uur nadat zij daarvan kennis hebben gekregen, CERT-EU initieel van significante incidenten op de hoogte stellen. Aan de hand van die informatie-uitwisseling moet CERT-EU de informatie kunnen verspreiden onder de andere instellingen, organen en instanties van de Unie en aan passende tegenhangers, om de IT-omgevingen van de Unie en die van de tegenhangers van de Unie te helpen beschermen tegen soortgelijke incidenten, dreigingen en kwetsbaarheden.

(14)Naast meer taken en een grotere rol voor CERT-EU, moet een interinstitutionele raad voor cyberbeveiliging (IICB) worden opgericht, die een hoog gezamenlijk niveau van cyberbeveiliging onder de instellingen, organen en instanties van de Unie moet bevorderen, door middel van toezicht op de uitvoering van deze verordening door de instellingen, organen en instanties van de Unie en op de uitvoering van de algemene prioriteiten en doelstellingen door CERT-EU, en via de strategische leiding van CERT-EU. De IICB moet vertegenwoordiging van de instellingen waarborgen, en via het netwerk van agentschappen van de Unie vertegenwoordigers van instanties en organen omvatten.

(15)CERT-EU moet de uitvoering van maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging ondersteunen middels voorstellen voor richtsnoeren en aanbevelingen aan de IICB of oproepen tot actie. Deze richtsnoeren en aanbevelingen moeten door de IICB worden goedgekeurd. Indien nodig moet CERT-EU oproepen tot actie uitvaardigen betreffende dringende veiligheidsmaatregelen die instellingen, organen en instanties van de Unie binnen een bepaalde termijn met klem wordt aangeraden te treffen.

(16)De IICB moet toezicht houden op de naleving van deze verordening en van de richtsnoeren, aanbevelingen en oproepen tot actie van CERT-EU. De IICB moet op technisch gebied worden ondersteund door technische adviesgroepen, die de IICB naar eigen inzicht samenstelt, en die voor zover nodig nauw moeten samenwerken met CERT-EU, de instellingen, organen en instanties van de Unie en andere belanghebbenden. Indien nodig moet de IICB niet-bindende waarschuwingen geven en audits aanbevelen.

(17)Het moet de missie van CERT-EU zijn om bij te dragen tot de beveiliging van de IT-omgeving van de instellingen, organen en instanties van de Unie. CERT-EU moet optreden als het equivalent van de aangewezen coördinator voor de instellingen, organen en instanties van de Unie, met het oog op de gecoördineerde bekendmaking van kwetsbaarheid aan een Europees kwetsbaarheidsregister, als bedoeld in artikel 6 van richtlijn [NIS 2-voorstel].

(18)Het CERT-EU-bestuur heeft in 2020 een nieuwe strategische doelstelling voor CERT-EU vastgesteld, namelijk om te zorgen voor een alomvattend niveau van cyberdefensie voor alle instellingen, organen en instanties van de Unie, met een passend bereik en met voortdurende aanpassing aan huidige of op handen zijnde dreigingen, waaronder aanvallen tegen mobiele apparatuur, cloudomgevingen en apparaten voor het internet der dingen. Het strategische doel omvat op brede basis werkzame operationele beveiligingscentra (SOC’s) die continu netwerken monitoren voor zeer ernstige dreigingen. CERT-EU moet de IT-beveiligingsteams van de grotere instellingen, organen en instanties van de Unie ondersteunen, onder meer met continue eerstelijnsmonitoring. Voor kleinere en enkele middelgrote instellingen, organen en instanties van de Unie moet CERT-EU alle diensten verlenen.

(19)CERT-EU moet ook de rol vervullen waarin is voorzien in richtlijn [NIS 2-voorstel] inzake samenwerking en informatie-uitwisseling met het netwerk van computer security incident response teams (CSIRTs). Verder moet CERT-EU overeenkomstig Aanbeveling (EU) 2017/1584 4 van de Commissie samenwerken met de belanghebbende partijen en de respons coördineren. Met het oog op een hoog niveau van cyberbeveiliging in de hele Unie, moet CERT-EU incidentspecifieke informatie delen met nationale tegenhangers. CERT-EU moet ook samenwerken met andere publieke en private tegenhangers, zoals bij de NAVO, na voorafgaande goedkeuring door de IICB.

(20)Bij de ondersteuning van operationele cyberbeveiliging moet CERT-EU gebruikmaken van de beschikbare deskundigheid van het agentschap van de Europese Unie voor cyberbeveiliging, door middel van gestructureerde samenwerking zoals bedoeld in Verordening (EU) 2019/881 5 van het Europees Parlement en de Raad. Indien passend moeten specifieke regelingen tussen de twee entiteiten worden vastgesteld teneinde de praktische uitvoering van die samenwerking te bepalen en dubbel werk te vermijden. CERT-EU moet met het agentschap van de Europese Unie voor cyberbeveiliging samenwerken inzake dreigingsanalyse en zijn dreigingslandschapverslag regelmatig met het agentschap delen.

(21)Ter ondersteuning van de gezamenlijke cybereenheid die overeenkomstig de aanbeveling van de Commissie van 23 juni 2021 6 is opgezet, moet CERT-EU samenwerken en informatie uitwisselen met belanghebbende partijen om operationele samenwerking te bevorderen en de bestaande netwerken hun volledige potentieel voor de bescherming van de Unie te laten ontplooien.

(22)Alle overeenkomstig deze verordening verwerkte persoonsgegevens moeten overeenkomstig de gegevensbeschermingswetgeving, met inbegrip van Verordening (EU) 2018/1725 7 van het Europees Parlement en de Raad, worden verwerkt.

(23)CERT-EU en de instellingen, organen en instanties van de Unie moeten informatie verwerken overeenkomstig de regels zoals bepaald in verordening [de voorgestelde verordening inzake informatiebeveiliging]. Met het oog op de coördinatie van veiligheidskwesties moeten alle contacten met CERT-EU die door nationale veiligheids- en inlichtingendiensten worden geïnitieerd of beoogd, onverwijld aan het directoraat Beveiliging van de Commissie en de voorzitter van de IICB worden meegedeeld.

(24)Aangezien de diensten en taken van CERT-EU in het belang van alle instellingen, organen en instanties van de Unie zijn, moeten de individuele instellingen, organen en instanties van de Unie met IT-uitgaven een billijke bijdrage aan die diensten en taken leveren. Die bijdragen laten de budgettaire autonomie van de instellingen, organen en instanties van de Unie onverlet.

(25)De IICB moet, met de hulp van CERT-EU, de uitvoering van deze verordening evalueren en beoordelen en daarover verslag uitbrengen aan de Commissie. Op basis van die input moet de Commissie regelmatig verslag uitbrengen aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s,

HEBBEN DE VOLGENDE VERORDENING VASTGESTELD:

Hoofdstuk I 
INLEIDING

Artikel 1
Onderwerp

Bij deze verordening worden de volgende voorschriften vastgesteld:

(a)verplichtingen voor de instellingen, organen en instanties van de Unie om een intern kader voor het beheer, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s op te zetten;

(b)verplichtingen voor de instellingen, organen en instanties van de Unie inzake risicobeheer en rapportage op het gebied van cyberbeveiliging;

(c)voorschriften inzake de organisatie en werking van het cyberbeveiligingscentrum voor de instellingen, organen en instanties van de Unie (hierna “CERT-EU” genoemd) en de interinstitutionele raad voor cyberbeveiliging (hierna “IICB” genoemd).

Artikel 2
Toepassingsgebied

Deze verordening is van toepassing op het beheer, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s door de instellingen, organen en instanties van de Unie en op de organisatie en de werking van CERT-EU en de interinstitutionele raad voor cyberbeveiliging.

Artikel 3
Definities

Voor de toepassing van deze verordening wordt verstaan onder:

(1)“instellingen, organen en instanties van de Unie”: instellingen, organen en instanties van de Unie die zijn opgericht bij of krachtens het Verdrag betreffende de Europese Unie, het Verdrag betreffende de werking van de Europese Unie of het Verdrag tot oprichting van de Europese Gemeenschap voor Atoomenergie;

(2)“netwerk- en informatiesysteem”: een netwerk- en informatiesysteem in de zin van artikel 4, punt 1, van richtlijn [NIS 2-voorstel];

(3)“beveiliging van netwerk- en informatiesystemen”: beveiliging van netwerk- en informatiesystemen in de zin van artikel 4, punt 2, van richtlijn [NIS 2-voorstel];

(4)“cyberbeveiliging”: cyberbeveiliging in de zin van artikel 4, punt 3, van richtlijn [NIS 2-voorstel];

(5)“hoogste managementniveau”: een leidinggevende, een leidinggevend of coördinatie- en toezichtorgaan op het hoogste bestuurlijke niveau, met inachtneming van de bestuursregelingen op hoog niveau binnen de individuele instellingen, organen en instanties van de Unie;

(6)“incident”: een incident in de zin van artikel 4, punt 5, van richtlijn [NIS 2-voorstel];

(7)“significant incident”: een incident, tenzij het beperkte gevolgen heeft en de methode of technologie waarschijnlijk al afdoende bekend is;

(8)“grootscheepse aanval”: een incident waarvoor meer middelen nodig zijn dan beschikbaar bij de getroffen instelling, orgaan of instantie van de Unie en bij CERT-EU;

(9)“incidentenbehandeling”: incidentenbehandeling in de zin van artikel 4, punt 6, van richtlijn [NIS 2-voorstel];

(10)“cyberdreiging”: cyberdreiging in de zin van artikel 2, punt 8, van Verordening (EU) 2019/881;

(11)“significante cyberdreiging”: een cyberdreiging met de bedoeling, de gelegenheid en het vermogen om een significant incident te veroorzaken;

(12)“kwetsbaarheid”: kwetsbaarheid in de zin van artikel 4, punt 8, van richtlijn [NIS 2-voorstel];

(13)“significante kwetsbaarheid”: een kwetsbaarheid die, indien uitgebuit, waarschijnlijk tot een significant incident leidt;

(14)“cyberbeveiligingsrisico”: elke redelijkerwijs vast te stellen omstandigheid of gebeurtenis met een mogelijk schadelijk effect op de beveiliging van netwerk- en informatiesystemen;

(15)“gezamenlijke cybereenheid”: een virtueel en fysiek samenwerkingsplatform voor de verschillende cyberbeveiligingsgemeenschappen in de Unie, gericht op operationele en technische coördinatie bij grote grensoverschrijdende cyberdreigingen en incidenten in de zin van de aanbeveling van de Commissie van 23 juni 2021;

(16)“basisniveau van cyberbeveiliging”: minimale voorschriften voor cyberbeveiliging waaraan netwerk- en informatiesystemen en de beheerders en gebruikers ervan moeten voldoen om cyberbeveiligingsrisico’s te beperken.

Hoofdstuk II 
MAATREGELEN VOOR EEN HOOG GEZAMENLIJK NIVEAU VAN CYBERBEVEILIGING

Artikel 4
Risicobeheer, governance en toezicht

1.Bij de uitoefening van hun institutionele autonomie zetten de instellingen, organen en instanties van de Unie elk een intern kader voor het beheer, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s op (hierna “het kader” genoemd), ter ondersteuning van de missie van die entiteit. Dit geschiedt onder toezicht van het hoogste managementniveau van die entiteit, om een doeltreffend en prudent beheer van alle cyberbeveiligingsrisico’s te waarborgen. Het kader moet uiterlijk … [15 maanden na de inwerkingtreding van deze verordening] zijn voltooid.

2.Het kader omvat de gehele IT-omgeving van de instelling, het orgaan of de instantie, met inbegrip van de IT-omgeving on site, uitbestede activa en diensten in cloudcomputingomgevingen of gehost door derden, mobiele apparatuur, bedrijfsnetwerken, zakelijke netwerken die niet met het internet verbonden zijn, en met de IT-omgeving verbonden apparaten. Het kader houdt rekening met bedrijfscontinuïteit en crisisbeheer, de beveiliging van de toeleveringsketen en het beheer van menselijke risico’s die gevolgen kunnen hebben voor de cyberbeveiliging van de instellingen, organen en instanties van de Unie.

3.Het hoogste managementniveau van de individuele instellingen, organen en instanties van de Unie houdt toezicht op de naleving door hun organisatie van de verplichtingen in verband met het beheer, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s, onverminderd de formele verantwoordelijkheden van andere managementlagen voor naleving en risicobeheer binnen hun respectieve bevoegdheid.

4.De instellingen, organen en instanties van de Unie beschikken over doeltreffende mechanismen om te waarborgen dat een passend percentage van de IT-begroting aan cyberbeveiliging wordt besteed.

5.De instellingen, organen en instanties van de Unie stellen elk een lokale cyberbeveiligingsfunctionaris of een gelijkwaardige functionaris aan, die fungeert als het centrale contactpunt voor alle cyberbeveiligingsaspecten.

Artikel 5
Basisniveau van cyberbeveiliging

1.Het hoogste managementniveau van de individuele instellingen, organen en instanties van de Unie keurt voor de eigen entiteit een basisniveau van cyberbeveiliging goed om de in het kader van de in artikel 4, lid 1, bedoelde risico’s aan te pakken. Dit geschiedt ter ondersteuning van de missie en bij de uitoefening van hun institutionele autonomie. Het basisniveau van cyberbeveiliging is uiterlijk … [18 maanden na de inwerkingtreding van deze verordening] van kracht en heeft betrekking op de in bijlage I vermelde domeinen en de in bijlage II vermelde maatregelen.

2.Het hogere management van de instellingen, organen en instanties van de Unie volgt regelmatig specifieke opleidingen om voldoende kennis en vaardigheden op te doen om risico- en beheerspraktijken op het gebied van cyberbeveiliging en de gevolgen daarvan op de activiteiten van de organisatie te begrijpen en te beoordelen.

Artikel 6
Maturiteitsbeoordelingen

De individuele instellingen, organen en instanties van de Unie voeren ten minste om de drie jaar een maturiteitsbeoordeling van de cyberbeveiliging uit die alle elementen van hun IT-omgeving zoals beschreven in artikel 4 omvat, met inachtneming van de overeenkomstig artikel 13 vastgestelde toepasselijke richtsnoeren en aanbevelingen.

Artikel 7
Cyberbeveiligingsplannen

1.Naar aanleiding van de conclusies uit de maturiteitsbeoordeling en met inachtneming van de uit hoofde van artikel 4 aangeduide activa en risico’s keurt het hoogste managementniveau van de individuele instellingen, organen en instanties van de Unie na de opstelling van het kader voor het beheer, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s en van het basisniveau van cyberbeveiliging onverwijld een cyberbeveiligingsplan goed. Het plan beoogt de algehele cyberbeveiliging van de betrokken entiteit te versterken en aldus bij te dragen tot de verwezenlijking of verhoging van een hoog gezamenlijk niveau van cyberbeveiliging bij de instellingen, organen en instanties van de Unie. Ter ondersteuning van de missie van de entiteit en in de uitoefening van hun institutionele autonomie, omvat het plan ten minste de in bijlage I vermelde domeinen en de in bijlage II vermelde maatregelen, en de maatregelen in verband met de paraatheid bij, het reageren op en het herstel van incidenten, zoals toezicht op en registratie van de beveiliging. Het plan wordt ten minste om de drie jaar herzien naar aanleiding van de overeenkomstig artikel 6 uitgevoerde maturiteitsbeoordelingen.

2.Het cyberbeveiligingsplan omvat de rollen en verantwoordelijkheden van het personeel voor de uitvoering ervan.

3.Het cyberbeveiligingsplan houdt rekening met de toepasselijke richtsnoeren en aanbevelingen van CERT-EU.

Artikel 8
Uitvoering

1.Na voltooiing van de maturiteitsbeoordelingen zenden de instellingen, organen en instanties van de Unie die naar de interinstitutionele raad voor cyberbeveiliging. Na voltooiing van de cyberbeveiligingsplannen stellen de instellingen, organen en instanties van de Unie de interinstitutionele raad voor cyberbeveiliging daarvan in kennis. Op verzoek van de raad brengen zij verslag uit over specifieke aspecten betreffende dit hoofdstuk.

2.Overeenkomstig artikel 13 uitgevaardigde richtsnoeren en aanbevelingen ondersteunen de uitvoering van dit hoofdstuk.

Hoofdstuk III 
INTERINSTITUTIONELE RAAD VOOR CYBERBEVEILIGING

Artikel 9
Interinstitutionele raad voor cyberbeveiliging

1.Er wordt een interinstitutionele raad voor cyberbeveiliging (IICB) opgericht.

2.De IICB is verantwoordelijk voor:

(a)het toezicht op de uitvoering van deze verordening door de instellingen, organen en instanties van de Unie;

(b)het toezicht op de uitvoering van de algemene prioriteiten en doelstellingen door CERT-EU en het geven van strategische leiding aan CERT-EU.

3.De IICB bestaat uit drie vertegenwoordigers die door het netwerk van EU-agentschappen (EUAN) op voorstel van zijn adviescomité voor ICT worden benoemd om de belangen te behartigen van de organen en instanties die hun eigen IT-omgeving beheren, en één vertegenwoordiger, aangewezen door ieder van de volgende:

(a)het Europees Parlement;

(b)de Raad van de Europese Unie;

(c)de Europese Commissie;

(d)het Hof van Justitie van de Europese Unie;

(e)de Europese Centrale Bank;

(f)de Europese Rekenkamer,

(g)de Europese Dienst voor extern optreden;

(h)het Europees Economisch en Sociaal Comité;

(i)het Europees Comité van de Regio’s;

(j)de Europese Investeringsbank;

(k)het agentschap van de Europese Unie voor cyberbeveiliging.

De leden kunnen door een plaatsvervanger worden bijgestaan. Andere vertegenwoordigers van de hierboven vermelde organisaties, of andere instellingen, organen en instanties van de Unie kunnen door de voorzitter worden uitgenodigd om zonder stemrecht aan IICB-vergaderingen deel te nemen.

4.De IICB stelt zijn reglement van orde vast.

5.De IICB wijst overeenkomstig zijn reglement van orde uit zijn leden een voorzitter aan voor een periode van vier jaar. Zijn of haar plaatsvervanger wordt voor dezelfde duur volwaardig lid van de IICB.

6.De IICB komt bijeen op initiatief van zijn voorzitter, op verzoek van CERT-EU of van een van zijn leden.

7.Elk lid van de IICB heeft één stem. Tenzij in deze verordening anders is bepaald, worden de besluiten van de IICB genomen met gewone meerderheid. De voorzitter stemt uitsluitend bij staking van de stemmen; dan geeft zijn stem de doorslag.

8.De IICB kan handelen door middel van een vereenvoudigde schriftelijke procedure conform zijn reglement van orde. Op grond van die procedure wordt het desbetreffende besluit geacht binnen de door de voorzitter vastgestelde termijn te zijn goedgekeurd, tenzij een lid bezwaar maakt.

9.Het hoofd van CERT-EU of zijn plaatsvervanger neemt deel aan IICB-vergaderingen, tenzij de IICB anders beslist.

10.Het secretariaat van de IICB wordt verzorgd door de Commissie.

11.De op voorstel van het adviescomité voor ICT door het EUAN benoemde vertegenwoordigers brengen de besluiten van de IICB over aan de organen en gemeenschappelijke ondernemingen van de Unie. Organen en instanties van de Unie mogen iedere kwestie die zij voor de IICB van belang achten, aan de vertegenwoordigers of de voorzitter van de IICB voorleggen.

12.De IICB kan handelen door middel van een door de voorzitter ingestelde vereenvoudigde schriftelijke procedure, op grond waarvan het desbetreffende besluit wordt geacht binnen de door de voorzitter vastgestelde termijn te zijn goedgekeurd, tenzij een lid bezwaar maakt.

13.De IICB kan een uitvoerend comité benoemen om hem bij zijn werkzaamheden bij te staan, en een aantal van zijn taken en bevoegdheden daaraan delegeren. De IICB stelt het reglement van orde van het uitvoerend comité vast, met inbegrip van de taken en bevoegdheden en de ambtstermijn van de leden daarvan.

Artikel 10
Taken van de IICB

Bij de uitoefening van zijn verantwoordelijkheden vervult de IICB de volgende taken:

(a)hij beoordeelt de verslagen van CERT-EU over de stand van de uitvoering van deze verordening door de instellingen, organen en instanties van de Unie;

(b)hij hecht zijn goedkeuring aan het jaarlijkse werkprogramma voor CERT-EU op basis van een voorstel van het hoofd van CERT-EU en ziet toe op de uitvoering ervan;

(c)hij hecht zijn goedkeuring aan de CERT-EU-dienstencatalogus, op basis van een voorstel van het hoofd van CERT-EU;

(d)hij hecht zijn goedkeuring aan de verwachte jaarlijkse ontvangsten en uitgaven, inclusief personeel, voor CERT-EU, op basis van ramingen opgesteld door het hoofd van CERT-EU;

(e)hij hecht zijn goedkeuring aan de voorwaarden voor de dienstenniveauovereenkomst, op basis van een voorstel van het hoofd van CERT-EU;

(f)het controleert en hecht zijn goedkeuring aan het door het hoofd van CERT-EU opgestelde jaarverslag over de activiteiten van en het beheer van de middelen door CERT-EU;

(g)hij hecht zijn goedkeuring aan en monitort prestatie-indicatoren voor CERT-EU die op voorstel van het hoofd van CERT-EU worden vastgesteld;

(h)hij hecht zijn goedkeuring aan samenwerkingsovereenkomsten en dienstverleningsregelingen of -overeenkomsten tussen CERT-EU en andere entiteiten op grond van artikel 17;

(i)hij stelt naar behoefte technische adviesgroepen in ter ondersteuning van de werkzaamheden van de IICB, keurt hun mandaat goed en wijst hun voorzitter aan.

Artikel 11
Naleving

De IICB houdt toezicht op de uitvoering van deze verordening en de door de instellingen, organen en instanties van de Unie vastgestelde richtsnoeren, aanbevelingen en oproepen tot actie. Indien de IICB vaststelt dat de instellingen, organen of instanties van de Unie deze verordening of de krachtens deze verordening vastgestelde richtsnoeren, aanbevelingen en oproepen tot actie niet doeltreffend hebben toegepast, kan hij, onverminderd de interne procedures van de instelling, het orgaan of de instantie van de Unie in kwestie, de volgende maatregelen treffen:

(a)een waarschuwing doen uitgaan; indien nodig met het oog op een overtuigend cyberbeveiligingsrisico, de waarschuwing richten tot een op passende wijze beperkt publiek;

(b)een betreffende auditdienst aanbevelen een audit uit te voeren.

Hoofdstuk IV 
CERT-EU

Artikel 12
Missie en taken van CERT-EU

1.De missie van CERT-EU, het autonome interinstitutionele cyberbeveiligingscentrum voor de instellingen, organen en instanties van de Unie, bestaat erin bij te dragen tot de beveiliging van de niet-geclassificeerde IT-omgeving van de instellingen, organen en instanties van de Unie door ze te adviseren over cyberbeveiliging, te helpen incidenten te voorkomen, die op te sporen en daarop te reageren, en door op te treden als knooppunt voor hun informatie-uitwisseling inzake cyberbeveiliging en responscoördinatie bij incidenten.

2.CERT-EU is voor de instellingen, organen en instanties van de Unie belast met de volgende taken:

(a)het ondersteunt ze bij de uitvoering van deze verordening en draagt bij tot de coördinatie van de toepassing van deze verordening door middel van de in artikel 13, lid 1, vermelde maatregelen, of via door de IICB verzochte ad-hocverslagen;

(b)het ondersteunt ze met een in zijn dienstencatalogus beschreven pakket cyberbeveiligingsdiensten, de zogenaamde basisniveaudiensten;

(c)het onderhoudt een netwerk van soortgelijke organisaties en partners ter ondersteuning van de in de artikelen 16 en 17 bedoelde diensten;

(d)het brengt kwesties betreffende de uitvoering van deze verordening en van de uitvoering van richtsnoeren, aanbevelingen en oproepen tot actie onder de aandacht van de IICB;

(e)het brengt verslag uit over de cyberdreigingen waaraan de instellingen, organen en instanties van de Unie blootstaan en draagt bij tot het situatiebewustzijn van de EU op het gebied van cyberbeveiliging.

3.CERT-EU draagt bij tot de overeenkomstig de aanbeveling van de Commissie van 23 juni 2021 opgerichte gezamenlijke cybereenheid, onder meer op de volgende gebieden:

(a)paraatheid, incidentcoördinatie, informatie-uitwisseling en crisisrespons op technisch niveau in gevallen die met de instellingen, organen en instanties van de Unie verband houden;

(b)operationele samenwerking inzake het netwerk van computer security incident response teams (CSIRT), ook betreffende wederzijdse bijstand, en de bredere cyberbeveiligingsgemeenschap;

(c)inlichtingen inzake cyberdreigingen, inclusief situatiebewustzijn;

(d)elk ander onderwerp waarvoor de technische deskundigheid op het gebied van cyberbeveiliging van CERT-EU vereist is.

4.CERT-EU onderhoudt gestructureerde samenwerking met het Agentschap van de Europese Unie voor cyberbeveiliging met betrekking tot capaciteitsopbouw, operationele samenwerking en strategische langetermijnanalyses van cyberdreigingen, overeenkomstig Verordening (EU) 2019/881 van het Europees Parlement en de Raad.

5.CERT-EU kan de volgende diensten aanbieden die niet in de dienstencatalogus zijn beschreven, de zogenaamde aangerekende diensten:

(a)andere dan de in lid 2 bedoelde diensten, ter ondersteuning van de cyberbeveiliging van de IT-omgeving van de instellingen, organen en instanties van de Unie, op basis van dienstenniveauovereenkomsten en afhankelijk van de beschikbaarheid van middelen;

(b)andere diensten dan diensten ter bescherming van de IT-omgeving van de instellingen, organen en instanties van de Unie, ter ondersteuning van hun cyberbeveiligingsoperaties of -projecten, op basis van schriftelijke overeenkomsten en met voorafgaande goedkeuring van de IICB;

(c)diensten ter ondersteuning van de beveiliging van de IT-omgeving van andere organisaties dan de instellingen, organen en instanties van de Unie, die nauw met de instellingen, organen en instanties van de Unie samenwerken, bijvoorbeeld omdat zij taken of verantwoordelijkheden krachtens Unierecht vervullen, op basis van schriftelijke overeenkomsten en met voorafgaande goedkeuring van de IICB.

6.CERT-EU kan, in nauwe samenwerking met het Agentschap van de Europese Unie voor cyberbeveiliging, cyberbeveiligingsoefeningen organiseren of deelname aan bestaande oefeningen aanbevelen, indien van toepassing, om het cyberbeveiligingsniveau van de instellingen, organen en instanties van de Unie te testen.

7.CERT-EU kan de instellingen, organen en instanties van de Unie bijstaan bij incidenten in gerubriceerde IT-omgevingen, indien het betrokken constituerend deel daar uitdrukkelijk om verzoekt.

Artikel 13
Richtsnoeren, aanbevelingen en oproepen tot actie

1.CERT-EU ondersteunt de uitvoering van deze verordening door middel van de volgende activiteiten:

(a)oproepen tot actie, die dringende veiligheidsmaatregelen omvatten die de instellingen, organen en instanties van de Unie binnen een bepaalde termijn met klem wordt aangeraden te treffen;

(b)voorstellen aan de IICB voor richtsnoeren die gericht zijn tot alle of een deel van de instellingen, organen en instanties van de Unie;

(c)voorstellen aan de IICB voor aanbevelingen die gericht zijn tot individuele instellingen, organen en instanties van de Unie.

2.Richtsnoeren en aanbevelingen kunnen het volgende omvatten:

(a)de voorwaarden voor of verbetering van het beheer van cyberbeveiligingsrisico’s en het basisniveau van cyberbeveiliging;

(b)de voorwaarden voor maturiteitsbeoordelingen en cyberbeveiligingsplannen; en

(c)indien van toepassing, het gebruik van algemene technologie, architectuur en de bijbehorende beste praktijken, met het oog op interoperabiliteit en gemeenschappelijke normen in de zin van artikel 4, punt 10, van richtlijn [NIS 2-voorstel].

3.De IICB kan op voorstel van CERT-EU richtsnoeren of aanbevelingen vaststellen.

4.De IICB kan CERT-EU opdragen om een oproep tot actie, of een voorstel voor richtsnoeren of aanbevelingen, uit te vaardigen, in te trekken of te wijzigen.

Artikel 14
Hoofd van CERT-EU

Het hoofd van CERT-EU brengt regelmatig verslag uit aan de IICB en de voorzitter ervan over de prestaties van CERT-EU, de financiële planning, inkomsten, de uitvoering van de begroting, en gesloten dienstenniveauovereenkomsten en schriftelijke overeenkomsten, de samenwerking met andere instanties en partners, en de dienstreizen van personeel, met inbegrip van de in artikel 10, lid 1, bedoelde verslagen.

Artikel 15
Financiële en personeelszaken

1.De Commissie benoemt met unanieme goedkeuring van de IICB het hoofd van CERT-EU. De IICB wordt geraadpleegd in alle stadia van de procedure voor de benoeming van het hoofd van CERT-EU, in het bijzonder bij het opstellen van vacatureberichten, de beoordeling van de sollicitaties en de benoeming van de selectiecomités voor deze functie.

2.Voor de toepassing van de administratieve en financiële procedures handelt het hoofd van CERT-EU onder het gezag van de Commissie.

3.De taken en activiteiten van CERT-EU, inclusief de diensten die CERT-EU overeenkomstig artikel 12, leden 2, 3, 4 en 6, en artikel 13, lid 1, verleent aan de uit de rubriek Europees openbaar bestuur van het meerjarige financiële kader gefinancierde instellingen, organen en instanties van de Unie, worden uit een afzonderlijke begrotingslijn van de begroting van de Commissie gefinancierd. Gereserveerde posten van CERT-EU worden gespecificeerd in een voetnoot bij de personeelsformatie.

4.Andere dan de in lid 3 bedoelde instellingen, organen en instanties van de Unie leveren een jaarlijkse financiële bijdrage aan CERT-EU ter dekking van de door CERT-EU overeenkomstig lid 3 verleende diensten. De respectieve bijdragen worden gebaseerd op richtsnoeren van de IICB en in dienstenniveauovereenkomsten tussen elke entiteit en CERT-EU bepaald. De bijdragen vertegenwoordigen een billijk en evenredig deel van de totale kosten van de verleende diensten. Deze worden als bestemmingsontvangsten in de zin van artikel 21, lid 3, punt c), van Verordening (EU, Euratom) 2018/1046 van het Europees Parlement en de Raad 8 via de in lid 3 bedoelde afzonderlijke begrotingslijn ontvangen.

5.De kosten van de in artikel 12, lid 5, bedoelde taken worden verhaald op de instellingen, organen en instanties van de Unie die de diensten van CERT-EU ontvangen. De ontvangsten worden bestemd voor de begrotingsonderdelen die de kosten dragen.

Artikel 16
Samenwerking van CERT-EU met instanties uit de lidstaten

1.CERT-EU werkt samen en wisselt informatie uit met nationale instanties in de lidstaten, met inbegrip van CERT’s, nationale cyberbeveiligingscentra, CSIRT’s en centrale contactpunten als bedoeld in artikel 8 van richtlijn [het NIS 2-voorstel] over dreigingen, kwetsbaarheden en incidenten op het gebied van cyberveiligheid en over mogelijke tegenmaatregelen, en doet dat voor alle onderwerpen die relevant zijn voor een betere bescherming van de ICT-infrastructuur van de instellingen, organen en instanties van de Unie, onder meer via het CSIRT-netwerk als bedoeld in artikel 13 van richtlijn [NIS 2-voorstel].

2.CERT-EU kan, zonder toestemming van het betrokken constituerende deel, incidentspecifieke informatie uitwisselen met nationale instanties in de lidstaten om de opsporing van soortgelijke cyberdreigingen of -incidenten te vergemakkelijken. CERT-EU kan alleen met toestemming van het betrokken constituerende deel, incidentspecifieke informatie uitwisselen die de identiteit van het doelwit van het cyberbeveiligingsincident onthult.

Artikel 17
Samenwerking van CERT-EU met instanties uit niet-lidstaten

1.CERT-EU kan samenwerken met instanties uit derde landen, met inbegrip van bedrijfstakspecifieke instanties, inzake instrumenten en methoden, zoals technieken, tactiek, procedures en beste praktijken, en cyberdreigingen en -kwetsbaarheden. Voor alle samenwerking met dergelijke instanties, ook in verbanden waar instanties van derde landen samenwerken met de nationale tegenhangers van de lidstaten, verzoekt CERT-EU vooraf de goedkeuring van IICB.

2.CERT-EU kan samenwerken met andere partners, zoals commerciële entiteiten, internationale organisaties en nationale entiteiten van buiten de Europese Unie of individuele deskundigen, om informatie te verzamelen over algemene en specifieke cyberdreigingen, cyberkwetsbaarheden en mogelijke tegenmaatregelen. Voor verdere samenwerking met deze partners verzoekt CERT-EU vooraf de goedkeuring van de IICB.

3.CERT-EU kan, met toestemming van het door een incident getroffen constituerende deel, informatie over een incident verstrekken aan partners die het kunnen helpen analyseren.

Hoofdstuk V 
SAMENWERKING EN VERSLAGLEGGINGSVERPLICHTINGEN

Artikel 18
Informatieverwerking

1.CERT-EU en de instellingen, organen en instanties van de Unie nemen het beroepsgeheim in acht overeenkomstig artikel 339 van het Verdrag betreffende de werking van de Europese Unie of gelijkwaardige toepasselijke kaders.

2.Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad 9 is van toepassing op verzoeken om toegang van het publiek tot documenten die berusten bij CERT-EU, met inbegrip van de verplichting overeenkomstig die verordening om andere instellingen, organen en instanties van de Unie te raadplegen indien een verzoek betrekking heeft op hun documenten.

3.Op de verwerking van persoonsgegevens op grond van deze verordening is Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van toepassing.

4.CERT-EU en de instellingen, organen en instanties van de Unie verwerken informatie overeenkomstig de regels zoals opgenomen in [de voorgestelde verordening inzake informatiebeveiliging].

5.Alle contacten met CERT-EU die door nationale veiligheids- en inlichtingendiensten worden geïnitieerd of beoogd, worden onverwijld aan het directoraat Veiligheid van de Commissie en de voorzitter van de IICB meegedeeld.

Artikel 19
Deelverplichtingen

1.Om CERT-EU in staat te stellen het kwetsbaarheidsbeheer en de respons op incidenten te coördineren, kan het de instellingen, organen en instanties van de Unie verzoeken voor CERT-EU-steun relevante informatie uit hun respectieve IT-systeeminventarissen te verstrekken. De aangezochte instellingen, organen en instanties zenden de verlangde informatie en bijbehorende actualiseringen daarvan onverwijld toe.

2.De instellingen, organen en instanties van de Unie delen op verzoek van CERT-EU onverwijld de digitale informatie die is opgesteld door het gebruik van elektronische apparaten die bij de respectieve incidenten betrokken zijn geweest. CERT-EU kan verder verduidelijken welke soort digitale informatie nodig is met het oog op situatiebewustzijn en respons op incidenten.

3.CERT-EU kan alleen met toestemming van de individuele instellingen, organen en instanties van de Unie, incidentspecifieke informatie uitwisselen die de identiteit van de door het incident getroffen entiteit onthult. CERT-EU kan alleen met toestemming van de door het incident getroffen entiteit, incidentspecifieke informatie uitwisselen die de identiteit van het doelwit van het cyberbeveiligingsincident onthult.

4.De deelverplichtingen gelden niet voor gerubriceerde EU-informatie (EUCI), noch voor informatie die een instelling, orgaan of instantie van de Unie van een veiligheids- of inlichtingendienst of een rechtshandhavingsinstantie van een lidstaat heeft ontvangen onder de uitdrukkelijke voorwaarde dat die niet met CERT-EU wordt gedeeld.

Artikel 20
Kennisgevingsverplichtingen

1.De instellingen, organen en instanties van de Unie stellen CERT-EU onverwijld en in ieder geval binnen 24 uur nadat zij daarvan kennis hebben gekregen, initieel in kennis van significante cyberdreigingen, significante kwetsbaarheden en significante incidenten.

In gerechtvaardigde gevallen en in overeenstemming met CERT-EU kunnen de instellingen, organen en instanties van de Unie in kwestie van de in het vorige lid vastgestelde termijn afwijken.

2.De instellingen, organen en instanties van de Unie stellen CERT-EU onverwijld in kennis van passende technische details van dreigingen, kwetsbaarheden en incidenten op het gebied van cyberveiligheid, op grond waarvan opsporings-, incidentrespons- of beperkende maatregelen kunnen worden getroffen. De kennisgeving omvat, indien beschikbaar:

(a)relevante indicatoren van compromittering;

(b)relevante opsporingsmechanismen;

(c)de potentiële impact,

(d)relevante beperkende maatregelen.

3.CERT-EU dient maandelijks bij Enisa een samenvattend verslag in, met geanonimiseerde en geaggregeerde gegevens over significante dreigingen, significante kwetsbaarheden en significante incidenten op het gebied van cyberveiligheid, die overeenkomstig lid 1 ter kennis zijn gegeven.

4.De IICB kan richtsnoeren of aanbevelingen uitbrengen betreffende de randvoorwaarden en de inhoud van de kennisgeving. CERT-EU verspreidt de passende technische details, zodat de instellingen, organen en instanties van de Unie proactief opsporings-, incidentrespons- of beperkende maatregelen kunnen treffen.

5.De kennisgevingsverplichtingen gelden niet voor EUCI, noch voor informatie die instellingen, organen en instanties van de Unie van een veiligheids- of inlichtingendienst of een rechtshandhavingsinstantie van een lidstaat hebben ontvangen onder de uitdrukkelijke voorwaarde dat die niet met CERT-EU wordt gedeeld.

Artikel 21
Coördinatie van respons bij incidenten en samenwerking bij significante incidenten

1.Bij zijn optreden als knooppunt voor informatie-uitwisseling inzake cyberbeveiliging en responscoördinatie bij incidenten faciliteert CERT-EU de uitwisseling van informatie inzake dreigingen, kwetsbaarheden en incidenten op het gebied van cyberveiligheid onder de volgende partijen:

(a)instellingen, organen en instanties van de Unie;

(b)de in de artikelen 16 en 17 bedoelde instanties.

2.CERT-EU faciliteert de coördinatie tussen de instellingen, organen en instanties van de Unie inzake de respons bij incidenten, wat het volgende omvat:

(a)bijdragen tot consequente externe communicatie;

(b)wederzijdse bijstand;

(c)optimaal gebruik van operationele middelen;

(d)coördinatie met andere crisisresponsmechanismen op Unieniveau.

3.CERT-EU ondersteunt de instellingen, organen en instanties van de Unie met betrekking tot het situatiebewustzijn van dreigingen, kwetsbaarheden en incidenten op het gebied van cyberveiligheid.

4.De IICB verstrekt richtsnoeren inzake de respons bij incidenten en samenwerking bij significante incidenten. Wanneer wordt vermoed dat het incident crimineel van aard is, adviseert CERT-EU over de manier waarop het incident aan de rechtshandhavingsinstanties moet worden gemeld.

Artikel 22
Grootscheepse aanvallen

1.CERT-EU coördineert de respons op grootscheepse aanvallen tussen de instellingen, organen en instanties van de Unie. Het houdt een inventaris bij van de technische deskundigheid die nodig is voor de respons op incidenten bij dergelijke aanvallen.

2.De instellingen, organen en instanties van de Unie dragen bij tot de inventaris van technische deskundigheid, en leveren een jaarlijks bijgewerkte lijst van deskundigen die binnen hun respectieve organisaties beschikbaar zijn, inclusief nadere gegevens over hun specifieke technische vaardigheden.

3.Met de goedkeuring van de betrokken instellingen, organen en instanties van de Unie kan CERT-EU de in lid 2 bedoelde deskundigen ook oproepen om te helpen bij de respons op een grootscheepse aanval in een lidstaat, conform de operationele procedures van de gezamenlijke cybereenheid.

Hoofdstuk VI 
SLOTBEPALINGEN

Artikel 23
Initiële heroriëntering van begrotingsmiddelen

De Commissie stelt voor de personele en financiële middelen over te hevelen van de instellingen, organen en instanties van de Unie naar de begroting van de Commissie. De heroriëntering valt samen met de eerste begroting die na de inwerkingtreding van deze verordening wordt vastgesteld.

Artikel 24
Evaluatie

1.De IICB brengt, met de hulp van CERT-EU, op gezette tijden verslag uit aan de Commissie over de uitvoering van deze verordening. De IICB kan ook aanbevelingen doen aan de Commissie om wijzigingen van deze verordening voor te stellen.

2.Uiterlijk 48 maanden na de inwerkingtreding van deze verordening en vervolgens om de drie jaar brengt de Commissie verslag uit over de uitvoering van deze verordening aan het Europees Parlement en de Raad.

3.Niet eerder dan vijf jaar na de inwerkingtreding evalueert de Commissie de werking van deze verordening en brengt daarover verslag uit aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s.

Artikel 25
Inwerkingtreding

Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.

Gedaan te Brussel,

FINANCIEEL MEMORANDUM

1.KADER VAN HET VOORSTEL/INITIATIEF

1.1.Benaming van het voorstel/initiatief

1.2.Betrokken beleidsterrein(en)

1.3.Het voorstel/initiatief betreft:

1.4.Doelstelling(en)

1.4.1.Algemene doelstelling(en)

1.4.2.Specifieke doelstelling(en)

1.4.3.Verwachte resulta(a)t(en) en gevolg(en)

1.4.4.Prestatie-indicatoren

1.5.Motivering van het voorstel/initiatief

1.5.1.Behoefte(n) waarin op korte of lange termijn moet worden voorzien, met een gedetailleerd tijdschema voor de uitrol van het initiatief

1.5.2.Toegevoegde waarde van de deelname van de Unie (deze kan het resultaat zijn van verschillende factoren, bijvoorbeeld coördinatiewinst, rechtszekerheid, grotere doeltreffendheid of complementariteit). Voor de toepassing van dit punt wordt onder "toegevoegde waarde van de deelname van de Unie" verstaan de waarde die een optreden van de Unie oplevert bovenop de waarde die door een optreden van alleen de lidstaat zou zijn gecreëerd.

1.5.3.Nuttige ervaring die bij soortgelijke activiteiten in het verleden is opgedaan

1.5.4.Verenigbaarheid met het meerjarige financiële kader en eventuele synergie met andere passende instrumenten

1.5.5.Beoordeling van de verschillende beschikbare financieringsopties, waaronder mogelijkheden voor herschikking

1.6.Duur en financiële gevolgen van het voorstel/initiatief

1.7.Beheersvorm(en)

2.BEHEERSMAATREGELEN

2.1.Regels inzake het toezicht en de verslagen

2.2.Beheers- en controlesyste(e)m(en)

2.2.1.Rechtvaardiging van de voorgestelde beheersvorm(en), uitvoeringsmechanisme(n) voor financiering, betalingsvoorwaarden en controlestrategie

2.2.2.Informatie over de geïdentificeerde risico's en het (de) systeem (systemen) voor interne controle dat is (die zijn) opgezet om die risico's te beperken

2.2.3.Raming en motivering van de kosteneffectiviteit van de controles (verhouding van de controlekosten tot de waarde van de desbetreffende financiële middelen) en evaluatie van het verwachte foutenrisico (bij betaling en bij afsluiting).

2.3.Maatregelen ter voorkoming van fraude en onregelmatigheden

3.GERAAMDE FINANCIËLE GEVOLGEN VAN HET VOORSTEL/INITIATIEF

3.1.Rubriek(en) van het meerjarige financiële kader en betrokken begrotingsonderde(e)l(en) voor uitgaven

3.2.Geraamde financiële gevolgen van het voorstel inzake kredieten

3.2.1.Samenvatting van de geraamde gevolgen voor de beleidskredieten

3.2.2.Geraamde output, gefinancierd met operationele kredieten

3.2.3.Samenvatting van de geraamde gevolgen voor de administratieve kredieten

3.2.4.Verenigbaarheid met het huidige meerjarige financiële kader

3.2.5.Bijdragen van derden

3.3.Geraamde gevolgen voor de ontvangsten

FINANCIEEL MEMORANDUM

1.KADER VAN HET VOORSTEL/INITIATIEF 

1.1.Benaming van het voorstel/initiatief

1.2.Betrokken beleidsterrein(en) 

1.3.Het voorstel/initiatief betreft: 

een nieuwe actie 

 een nieuwe actie na een proefproject / voorbereidende actie 10  

 de verlenging van een bestaande actie 

 de samenvoeging of ombuiging van een of meer acties naar een andere/een nieuwe actie 

1.4.Doelstelling(en)

1.4.1.Algemene doelstelling(en)

1.4.2.Specifieke doelstelling(en)

(1)Verplichtingen voor de instellingen, organen en instanties van de Unie vastleggen om een intern kader voor het beheer, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s op te zetten. 

(2)Verplichtingen voor de instellingen, organen en instanties van de Unie vastleggen om verslag uit te brengen over het kader voor het beheer, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s, alsook over cyberbeveiligingsincidenten.

(3)Voorschriften inzake de organisatie en de werking van het cyberbeveiligingscentrum voor de instellingen, organen en instanties van de Unie (CERT-EU) en de interinstitutionele raad voor cyberbeveiliging (IICB) vastleggen.

(4)Bijdragen tot de gezamenlijke cybereenheid.

1.4.3.Verwachte resulta(a)t(en) en gevolg(en)

Vermeld de gevolgen die het voorstel/initiatief zou moeten hebben op de begunstigden/doelgroepen.

1.4.4.Prestatie-indicatoren

Vermeld de indicatoren voor de monitoring van de voortgang en de beoordeling van de resultaten.

1.5.Motivering van het voorstel/initiatief 

1.5.1.Behoefte(n) waarin op korte of lange termijn moet worden voorzien, met een gedetailleerd tijdschema voor de uitrol van het initiatief.

1.5.2.Toegevoegde waarde van de deelname van de Unie (deze kan het resultaat zijn van verschillende factoren, bijvoorbeeld coördinatiewinst, rechtszekerheid, grotere doeltreffendheid of complementariteit). Voor de toepassing van dit punt wordt onder “toegevoegde waarde van de deelname van de Unie” verstaan de waarde die een optreden van de Unie oplevert bovenop de waarde die door een optreden van alleen de lidstaten zou zijn gecreëerd.

1.5.3.Nuttige ervaring die bij soortgelijke activiteiten in het verleden is opgedaan

1.5.4.Verenigbaarheid met het meerjarige financiële kader en eventuele synergie met andere passende instrumenten

1.5.5.Beoordeling van de verschillende beschikbare financieringsopties, waaronder mogelijkheden voor herschikking

1.6.Duur en financiële gevolgen van het voorstel/initiatief

 beperkte geldigheidsduur

–    van kracht vanaf [DD/MM]JJJJ tot en met [DD/MM]JJJJ

–    financiële gevolgen vanaf JJJJ tot en met JJJJ voor vastleggingskredieten en vanaf JJJJ tot en met JJJJ voor betalingskredieten.

 onbeperkte geldigheidsduur

–De financiële gevolgen moeten beginnen met de eerste begroting die na de inwerkingtreding van deze verordening wordt vastgesteld. Een heroriëntering van middelen van de instellingen en de belangrijkste organen van de Unie naar de Commissie zal plaatsvinden in het eerste jaar, dat als overgangsjaar wordt beschouwd; deze en andere heroriënteringen van middelen vinden plaats in het kader van de jaarlijkse begrotingen. Indien de verordening in 2022 wordt vastgesteld, is financieel jaar 2023 de overgangsperiode en is het stelsel in 2024 volledig operationeel.

1.7.Beheersvorm(en) 12   

 Rechtstreeks beheer door de Commissie en de individuele instellingen, organen en instanties van de Unie

– door haar diensten, waaronder het personeel in de delegaties van de Unie;

–    door de uitvoerende agentschappen

 Gedeeld beheer met de lidstaten

 Indirect beheer door begrotingsuitvoeringstaken te delegeren aan:

– derde landen of de door hen aangewezen organen;

– internationale organisaties en hun agentschappen (geef aan welke);

– de EIB en het Europees Investeringsfonds;

– de in de artikelen 70 en 71 van het Financieel Reglement bedoelde organen;

– publiekrechtelijke organen;

– privaatrechtelijke organen met een openbaredienstverleningstaak, voor zover zij voldoende financiële garanties bieden;

– privaatrechtelijke organen van een lidstaat, waaraan de uitvoering van een publiek-privaat partnerschap is toevertrouwd en die voldoende financiële garanties bieden;

– personen aan wie de uitvoering van specifieke maatregelen op het gebied van het GBVB in het kader van titel V van het VEU is toevertrouwd en die worden genoemd in de betrokken basishandeling.

–Verstrek, indien meer dan een beheersvorm is aangekruist, extra informatie onder “Opmerkingen”.

Opmerkingen

(a)voor de in artikel 12, lid 2, punten a), b), c), en e), beschreven taken voor de instellingen, organen en instanties van de Unie: 13,75 vte en 11,275 miljoen EUR;

(b)voor de in artikel 12, lid 3 (bijdragen voor de gezamenlijke cybereenheid) beschreven taken: 2 vte en 381 000 EUR;

(c)voor de in artikel 12, lid 4 (gestructureerde samenwerking met Enisa) beschreven taken: 0,25 vte en 236 000 EUR;

(d)voor de in artikel 12, lid 6 (cyberbeveiligingsoefeningen) beschreven taken: 0,25 vte en 79 000 EUR;

(e)voor de in artikel 12, lid 2, punt d), en artikel 13 (analyse van en verslaglegging over de uitvoering van de verordening, voorbereiding van richtsnoeren, aanbevelingen en oproepen tot actie) beschreven taken: 3,75 vte en 2,079 miljoen EUR;

(f)voor de uitvoering van de taken ter ondersteuning van het secretariaat van de interinstitutionele raad voor cyberbeveiliging: 1 vte.

2.BEHEERSMAATREGELEN 

2.1.Regels inzake het toezicht en de verslagen 

Vermeld frequentie en voorwaarden.

2.2.Beheers- en controlesyste(e)m(en) 

2.2.1.Rechtvaardiging van de voorgestelde beheersvorm(en), uitvoeringsmechanisme(n) voor financiering, betalingsvoorwaarden en controlestrategie

2.2.2.Informatie over de geïdentificeerde risico’s en het (de) systeem (systemen) voor interne controle dat is (die zijn) opgezet om die risico’s te beperken

2.2.3.Raming en motivering van de kosteneffectiviteit van de controles (verhouding van de controlekosten tot de waarde van de desbetreffende financiële middelen) en evaluatie van het verwachte foutenrisico (bij betaling en bij afsluiting). 

2.3.Maatregelen ter voorkoming van fraude en onregelmatigheden 

Vermeld de bestaande en geplande preventie- en beschermingsmaatregelen, bijvoorbeeld in het kader van de fraudebestrijdingsstrategie.

3.GERAAMDE FINANCIËLE GEVOLGEN VAN HET VOORSTEL/INITIATIEF 

3.1.Rubriek(en) van het meerjarige financiële kader en betrokken begrotingsonderde(e)l(en) voor uitgaven 

·Bestaande begrotingsonderdelen

In volgorde van de rubrieken van het meerjarige financiële kader en de begrotingsonderdelen.

·Te creëren nieuwe begrotingsonderdelen

In volgorde van de rubrieken van het meerjarige financiële kader en de begrotingsonderdelen.

3.2.Geraamde financiële gevolgen van het voorstel inzake kredieten 

3.2.1.Samenvatting van de geraamde gevolgen voor de beleidskredieten 

–    Voor het voorstel/initiatief zijn geen beleidskredieten nodig

–    Voor het voorstel/initiatief zijn beleidskredieten nodig, zoals hieronder nader wordt beschreven:

miljoen EUR (tot op drie decimalen)

Wanneer het voorstel/initiatief gevolgen heeft voor meerdere beleidsrubrieken, herhaal bovenstaand deel:

Dit deel moet worden ingevuld aan de hand van de “administratieve begrotingsgegevens”, die eerst moeten worden opgenomen in de bijlage bij het financieel memorandum (Bijlage V bij de interne voorschriften), te uploaden in DECIDE met het oog op overleg tussen de diensten.

miljoen EUR (tot op drie decimalen)

miljoen EUR (tot op drie decimalen)

(*) Bijdragen van zichzelf financierende instellingen, organen en instanties van de Unie worden geraamd op 2 670 miljoen EUR per jaar (totaal voor de vijf jaar: 13 350 miljoen EUR). De bijdragen vormen bestemmingsontvangsten voor CERT-EU. De bovenstaande tabellen bevatten alleen de geraamde totale gevolgen voor de begroting van de Unie en omvatten die bijdragen niet.

3.2.2.Geraamde output, gefinancierd met operationele kredieten 

Vastleggingskredieten, in miljoenen euro’s (tot op drie decimalen)

3.2.3.Samenvatting van de geraamde gevolgen voor de administratieve kredieten 

–    Voor het voorstel/initiatief zijn geen administratieve kredieten nodig

–    Voor het voorstel/initiatief zijn administratieve kredieten nodig, zoals hieronder nader wordt beschreven:

miljoen EUR (tot op drie decimalen)

De benodigde kredieten voor personele middelen en andere administratieve uitgaven zullen worden gefinancierd uit de kredieten van het DG die reeds voor het beheer van deze actie zijn toegewezen en/of binnen het DG zijn herverdeeld, eventueel aangevuld met middelen die in het kader van de jaarlijkse toewijzingsprocedure met inachtneming van de budgettaire beperkingen aan het beherende DG kunnen worden toegewezen.

3.2.3.1.Geraamde personeelsbehoeften

–    Voor het voorstel/initiatief zijn geen personele middelen nodig

–    Voor het voorstel/initiatief zijn personele middelen nodig, zoals hieronder nader wordt beschreven:

Raming in voltijdequivalenten

XX is het desbetreffende beleidsterrein of de begrotingstitel.

Voor de benodigde personele middelen zal een beroep worden gedaan op het personeel van het DG dat reeds voor het beheer van deze actie is toegewezen en/of binnen het DG is herverdeeld, eventueel aangevuld met middelen die in het kader van de jaarlijkse toewijzingsprocedure met inachtneming van de budgettaire beperkingen aan het beherende DG kunnen worden toegewezen.

Beschrijving van de uit te voeren taken:

3.2.4.Verenigbaarheid met het huidige meerjarige financiële kader 

Het voorstel/initiatief:

–    kan volledig worden gefinancierd door middel van herschikking binnen de relevante rubriek van het meerjarig financieel kader (MFK).

–    hiervoor moet een beroep worden gedaan op de niet-toegewezen marge in de desbetreffende rubriek van het MFK en/of op de speciale instrumenten zoals gedefinieerd in de MFK-verordening.

–    hiervoor is een herziening van het MFK nodig.

3.2.5.Bijdragen van derden 

Het voorstel/initiatief:

–    voorziet niet in medefinanciering door derden 23

–    voorziet in medefinanciering door derden, zoals hieronder wordt geraamd:

Kredieten in miljoen EUR (tot op drie decimalen)

3.3.Geraamde gevolgen voor de ontvangsten 

–    Het voorstel/initiatief heeft geen financiële gevolgen voor de ontvangsten.

–    Het voorstel/initiatief heeft de hieronder beschreven financiële gevolgen:

–    voor de eigen middelen

–    voor overige ontvangsten

–Geef aan of de ontvangsten worden toegewezen aan de begrotingsonderdelen voor uitgaven     

miljoen EUR (tot op drie decimalen)

Vermeld voor de toegewezen ontvangsten het (de) betrokken begrotingsonderde(e)l(en) voor uitgaven.

Andere opmerkingen (bijv. over de methode/formule voor de berekening van de gevolgen voor de ontvangsten of andere informatie).

(1)    “Significant incident”: een incident, tenzij het beperkte gevolgen heeft en de methode of technologie waarschijnlijk al afdoende bekend is.

(2)    Bron: Gartner, “Identifying the Real Information Security Budget” (2016). Die kosten komen bovenop de indirecte uitgaven voor IT-beveiliging, zoals netwerkbeveiliging (firewalls, antivirus), en verantwoordelijkheden van systeembeheerders, waaronder risicobeoordeling en de implementatie van beveiligingscontroles. Een paper uit 2020 stelt dat uitgaven voor cyberbeveiliging bij financiële instellingen rond 10-11 % van de IT-uitgaven bedragen, zie: DI_2020-FS-ISAC-Cybersecurity.pdf (deloitte.com) .

(3)    PB C 12 van 13.1.2018, blz. 1.

(4)    Aanbeveling (EU) 2017/1584 van de Commissie van 13 september 2017 inzake een gecoördineerde respons op grootschalige cyberincidenten en -crises (PB L 239 van 19.9.2017, blz. 36).

(5)    Verordening (EU) 2019/881 van het Europees Parlement en de Raad van 17 april 2019 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (de cyberbeveiligingsverordening) (PB L 151 van 7.6.2019, blz. 15).

(6)    Aanbeveling van de Commissie C(2021) 4520 van 23 juni 2021 betreffende de opbouw van een gezamenlijke cybereenheid.

(7)    Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39).

(8)    Verordening (EU, Euratom) 2018/1046 van het Europees Parlement en de Raad van 18 juli 2018 tot vaststelling van de financiële regels van toepassing op de algemene begroting van de Unie, tot wijziging van Verordeningen (EU) nr. 1296/2013, (EU) nr. 1301/2013, (EU) nr. 1303/2013, (EU) nr. 1304/2013, (EU) nr. 1309/2013, (EU) nr. 1316/2013, (EU) nr. 223/2014, (EU) nr. 283/2014 en Besluit nr. 541/2014/EU en tot intrekking van Verordening (EU, Euratom) nr. 966/2012 (PB L 193 van 30.7.2018, blz. 1).

(9)    Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad van 30 mei 2001 inzake de toegang van het publiek tot documenten van het Europees Parlement, de Raad en de Commissie (PB L 145 van 31.5.2001, blz. 43).

(10)    In de zin van artikel 58, lid 2, punt a) of b), van het Financieel Reglement.

(11)    Referentie: [Speciaal verslag van de ERK over cyberbeveiliging in de instellingen, organen en instanties van de Unie].

(12)    Nadere gegevens over de beheersvormen en verwijzingen naar het Financieel Reglement zijn beschikbaar op BudgWeb: https://myintracomm.ec.europa.eu/budgweb/NL/man/budgmanag/Pages/budgmanag.aspx  

(13)    GK = gesplitste kredieten / NGK = niet-gesplitste kredieten.

(14)    EVA: Europese Vrijhandelsassociatie.

(15)    Kandidaat-lidstaten en, in voorkomend geval, potentiële kandidaat-lidstaten van de Westelijke Balkan.

(16)    Volgens de officiële begrotingsnomenclatuur.

(17)    Technische en/of administratieve bijstand en uitgaven ter ondersteuning van de uitvoering van programma’s en/of acties van de EU (vroegere “BA”-onderdelen), onderzoek door derden, eigen onderzoek.

(18)    Outputs zijn de te verstrekken producten en diensten (bv. aantal gefinancierde studentenuitwisselingen, aantal km aangelegde wegen enz.).

(19)    Zoals beschreven in punt 1.4.2. “Specifieke doelstelling(en)…”.

(20)    Technische en/of administratieve bijstand en uitgaven ter ondersteuning van de uitvoering van programma’s en/of acties van de EU (vroegere “BA”-onderdelen), onderzoek door derden, eigen onderzoek.

(21)    AC= Agent Contractuel (arbeidscontractant); AL= Agent Local (plaatselijk functionaris); END= Expert National Détaché (gedetacheerd nationaal deskundige); INT = Intérimaire (uitzendkracht); JPD = Jeune Professionnel en Délégation (jonge professional in delegaties).

(22)    Subplafond voor extern personeel uit beleidskredieten (vroegere “BA”-onderdelen).

(23)    De bestemmingsontvangsten uit de sporadische dienstverlening aan niet-constituerende organisaties in de zin van artikel 12, lid 5, punt c), zijn niet geraamd omdat zij onbetekenend zijn.

(24)    Het jaar N is het jaar waarin met de uitvoering van het voorstel/initiatief wordt begonnen. Vervang “N” door het verwachte eerste jaar van uitvoering (bijvoorbeeld: 2021). Hetzelfde voor de volgende jaren.

(25)    Voor traditionele eigen middelen (douanerechten en suikerheffingen) moeten nettobedragen worden vermeld, d.w.z. brutobedragen na aftrek van 20 % aan inningskosten.

EUROPESE COMMISSIE

Brussel, 22.3.2022

COM(2022) 122 final

BIJLAGEN

bij het

Voorstel voor een VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD

betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie

{SWD(2022) 67 final} - {SWD(2022) 68 final}

BIJLAGE I

Het basisniveau van cyberbeveiliging heeft betrekking op de volgende domeinen:

(1)cyberbeveiligingsbeleid, inclusief doelen en prioriteiten voor de beveiliging van netwerk- en informatiesystemen, met name inzake het gebruik van cloudcomputingdiensten (in de zin van artikel 4, punt 19, van richtlijn [NIS 2-voorstel]) en technische regelingen om thuiswerken mogelijk te maken;

(2)de organisatie van cyberbeveiliging, inclusief de definitie van rollen en verantwoordelijkheden;

(3)activabeheer, inclusief een inventaris van IT-activa en IT-netwerkarchitectuur;

(4)toegangscontrole;

(5)operationele beveiliging;

(6)communicatiebeveiliging;

(7)aankoop, ontwikkeling en onderhoud van systemen;

(8)leveranciersrelaties;

(9)incidentbeheer, inclusief benaderingen om de paraatheid bij, het reageren op en het herstel van incidenten en de samenwerking met CERT-EU te verbeteren, zoals het onderhoud van beveiligingsmonitoring en -registratie;

(10)bedrijfscontinuïteitsbeheer en crisisbeheer; en

(11)voorlichting over cyberbeveiliging, bewustmaking en opleidingsprogramma’s.

BIJLAGE II

De instellingen, organen en agentschappen van de Unie behandelen ten minste de volgende specifieke cyberbeveiligingsmaatregelen bij de uitvoering van het basisniveau van cyberbeveiliging en in hun cyberbeveiligingsplannen, conform de richtsnoeren en aanbevelingen van de IICB:

(1)concrete stappen in de richting van een Zero Trust-architectuur (een beveiligingsmodel, systeemontwerpbeginselen en een gecoördineerde strategie voor cyberbeveiliging en systeembeheer op basis van de onderkenning dat er zowel binnen als buiten de traditionele netwerkgrenzen dreigingen bestaan);

(2)de invoering van multifactorauthenticatie als norm in alle netwerk- en informatiesystemen;

(3)de totstandbrenging van een veilige toeleveringsketen voor software, door middel van criteria voor de ontwikkeling en evaluatie van veilige software;

(4)betere aanbestedingsregels om een hoog gezamenlijk niveau van cyberbeveiliging te bevorderen door:

(a)contractuele belemmeringen weg te nemen die informatie-uitwisseling tussen IT-serviceverleners over incidenten, kwetsbaarheden en cyberdreigingen met CERT-EU beperken;

(b)contractueel te bepalen dat incidenten, kwetsbaarheden en cyberdreigingen moeten worden gemeld, en door een passende respons en passend toezicht op incidenten mogelijk te maken.