VERSLAG over het voorstel voor een verordening van het Europees Parlement en de Raad betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie

10.3.2023 - (COM(2022)0122 – C9‑0122/2022 – 2022/0085(COD)) - ***I

Commissie industrie, onderzoek en energie
Rapporteur: Henna Virkkunen
Rapporteur voor advies van de medeverantwoordelijke commissie overeenkomstig artikel 57 van het Reglement
Tomas Tobé, Commissie burgerlijke vrijheden, justitie en binnenlandse zaken

Procedure : 2022/0085(COD)

Stadium plenaire behandeling

Documentencyclus :

A9-0064/2023

Ingediende teksten :

A9-0064/2023

Debatten :

Stemmingen :

PV 21/11/2023 - 7.1

Aangenomen teksten :

P9_TA(2023)0398

ONTWERPWETGEVINGSRESOLUTIE VAN HET EUROPEES PARLEMENT
TOELICHTING
ADVIES VAN DE COMMISSIE BURGERLIJKE VRIJHEDEN, JUSTITIE EN BINNENLANDSE ZAKEN
ADVIES VAN DE BEGROTINGSCOMMISSIE
ADVIES VAN DE COMMISSIE CONSTITUTIONELE ZAKEN
PROCEDURE VAN DE BEVOEGDE COMMISSIE
HOOFDELIJKE EINDSTEMMING IN DE BEVOEGDE COMMISSIE

ONTWERPWETGEVINGSRESOLUTIE VAN HET EUROPEES PARLEMENT

over het voorstel voor een verordening van het Europees Parlement en de Raad betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie

(COM(2022)0122 – C9‑0122/2022 – 2022/0085(COD))

(Gewone wetgevingsprocedure: eerste lezing)

Het Europees Parlement,

– gezien het voorstel van de Commissie aan het Europees Parlement en de Raad (COM(2022)0122),

– gezien artikel 294, lid 2, en artikel 298 van het Verdrag betreffende de werking van de Europese Unie, op grond waarvan het voorstel door de Commissie bij het Parlement is ingediend (C9‑0122/2022),

– gezien artikel 294, lid 3, van het Verdrag betreffende de werking van de Europese Unie,

– gezien artikel 59 van zijn Reglement,

– gezien de adviezen van de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken, de Begrotingscommissie en van de Commissie constitutionele zaken,

– gezien het verslag van de Commissie industrie, onderzoek en energie (A9-0064/2023),

1. stelt onderstaand standpunt in eerste lezing vast;

2. verzoekt de Commissie om hernieuwde voorlegging aan het Parlement indien zij haar voorstel vervangt, ingrijpend wijzigt of voornemens is het ingrijpend te wijzigen;

3. verzoekt zijn Voorzitter het standpunt van het Parlement te doen toekomen aan de Raad en aan de Commissie alsmede aan de nationale parlementen.

Amendement 1

AMENDEMENTEN VAN HET EUROPEES PARLEMENT [*]

op het voorstel van de Commissie

---------------------------------------------------------

2022/0085 (COD)

Voorstel voor een

VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD

betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie

HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 298,

Gezien het Verdrag tot oprichting van de Europese Gemeenschap voor Atoomenergie, en met name artikel 106 bis,

Gezien het voorstel van de Europese Commissie,

Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,

Handelend volgens de gewone wetgevingsprocedure,

Overwegende hetgeen volgt:

(1) In het digitale tijdperk vormt informatie- en communicatietechnologie een hoeksteen van een open, efficiënt en onafhankelijk openbaar bestuur van de Unie. Technologische ontwikkelingen en toegenomen complexiteit en onderlinge verwevenheid van digitale systemen vergroten de risico’s op het gebied van cyberbeveiliging, waardoor het openbaar bestuur van de Unie kwetsbaarder wordt voor cyberdreigingen en cyberincidenten, wat uiteindelijk de bedrijfscontinuïteit en de gegevensbeveiligingscapaciteit in gevaar brengt. Het toegenomen gebruik van clouddiensten, het alomtegenwoordige gebruik van informatie- en communicatietechnologieën (ICT), een hoge graad van digitalisering, thuiswerk en technologische ontwikkelingen en connectiviteit zijn tegenwoordig kernkenmerken van alle activiteiten van de entiteiten van de Unie, maar digitale weerbaarheid is hier nog onvoldoende ingebouwd.

(2) De entiteiten van de Unie hebben te kampen met constant veranderende dreigingen op het gebied van cyberveiligheid. De tactieken, technieken en procedures van dreigingsactoren evolueren constant, maar de voornaamste motieven voor die aanvallen blijven dezelfde: die gaan van diefstal van waardevolle niet openbaar gemaakte informatie tot geld verdienen, het manipuleren van de publieke opinie en het ondermijnen van de digitale infrastructuur. Cyberaanvallen volgen elkaar steeds sneller op, met steeds geavanceerdere en meer geautomatiseerde campagnes, gericht tegen zwakke plekken, en daarbij worden kwetsbaarheden snel uitgebuit.

(3) De ICT-omgevingen van de entiteiten van de Unie hebben onderlinge afhankelijkheden en geïntegreerde gegevensstromen, en hun gebruikers werken nauw samen. Deze onderlinge afhankelijkheid betekent dat elke verstoring, zelfs als die in eerste instantie beperkt is tot één entiteit van de Unie, breder kan uitwaaieren en ingrijpende langdurige negatieve gevolgen voor de andere entiteiten kan hebben. Bovendien zijn de ICT‑omgevingen van bepaalde entiteiten van de Unie verbonden met de ICT-omgevingen van de lidstaten, zodat een incident in één entiteit van de Unie een risico kan vormen voor de cyberbeveiliging van de ICT-omgevingen van de lidstaten, en omgekeerd.

(4) De entiteiten van de Unie zijn aantrekkelijke doelwitten die worden geconfronteerd met hooggekwalificeerde en goed toegeruste dreigingsactoren en andere dreigingen. Tegelijkertijd lopen de maturiteit van cyberveerkracht en het vermogen om kwaadwillige cyberactiviteiten op te sporen, aanzienlijk uiteen tussen deze entiteiten. Daarom is het voor de werking van het Europese openbaar bestuur nodig dat de entiteiten van de Unie een hoog gezamenlijk niveau van cyberbeveiliging bereiken, door ▌ risicobeheersmaatregelen op het gebied van cyberbeveiliging ten uitvoer te leggen die in verhouding staan tot de respectieve risico’s, informatie uit te wisselen en samen te werken.

(5) ▌ Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad [1] beoogt de weerbaarheid op het gebied van cyberbeveiliging en de responscapaciteit bij incidenten van publieke en private entiteiten, nationale bevoegde autoriteiten en organen alsmede de Unie als geheel verder te verbeteren. Daarom moeten de entiteiten van de Unie hetzelfde doen en zorgen voor regels die in overeenstemming zijn met Richtlijn (EU) 2022/2555 en het ambitieniveau ervan weerspiegelen.

(6) Om een hoog gezamenlijk niveau van cyberbeveiliging te bereiken, moeten de entiteiten van de Unie elk een ▌ kader voor het beheer, de afhandeling van incidenten, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s opzetten, dat een doeltreffend en prudent beheer van alle cyberbeveiligingsrisico’s waarborgt en rekening houdt met bedrijfscontinuïteit en crisisbeheer. Met dat kader moeten beleid en prioriteiten op het gebied van cyberbeveiliging worden vastgesteld voor de beveiliging van netwerk- en informatiesystemen die de gehele ICT-omgeving bestrijken. Het kader moet regelmatig en ten minste om de drie jaar worden herzien.

(7) De verschillen tussen de entiteiten van de Unie vereisen flexibiliteit bij de uitvoering, omdat een uniforme aanpak niet mogelijk is. De maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging mogen geen verplichtingen omvatten die rechtstreeks ingrijpen in de uitoefening van de missie van de entiteiten van de Unie, of hun institutionele autonomie aantasten. Die entiteiten moeten dus hun eigen kaders voor het beheer, de afhandeling van incidenten, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s opstellen en hun eigen risicobeheersmaatregelen op het gebied van cyberbeveiliging en cyberbeveiligingsplannen vaststellen, die de volledige ICT-omgeving van de entiteit moeten dekken. De entiteiten van de Unie moeten de doeltreffendheid van de vastgestelde risicobeheersmaatregelen en de evenredigheid ervan ten opzichte van de vastgestelde risico’s voortdurend evalueren en waar nodig hun kaders en plannen op basis van de resultaten van de beoordelingen van de maturiteit van de cyberbeveiliging op overeenkomstige wijze aanpassen en herzien.

(7 bis) De terugkerende verplichting om beoordelingen van de maturiteit van de cyberbeveiliging uit te voeren, zou een bijkomende en onevenredige last kunnen vormen voor kleine entiteiten van de Unie met beperkte ICT-middelen. Deze verordening moet daarom voorzien in de mogelijkheid voor twee of meer entiteiten van de Unie om gezamenlijke teams op te richten om beoordelingen van de maturiteit van de cyberbeveiliging uit te voeren, en te profiteren van het bundelen van middelen en deskundigheid.

(8) Om te voorkomen dat aan de entiteiten van de Unie onevenredige financiële en administratieve lasten worden opgelegd, moeten de eisen inzake risicobeheer op het gebied van cyberbeveiliging, rekening houdend met de stand van de techniek, in verhouding staan tot het risico dat verbonden is aan het netwerk- en informatiesysteem in kwestie. De entiteiten van de Unie moeten beogen een passend percentage van hun ICT-begroting aan betere cyberbeveiliging te besteden; op langere termijn moet een doel van minstens 10 % worden nagestreefd.

(9) Voor een hoog gezamenlijk niveau van cyberbeveiliging is vereist dat cyberbeveiliging wordt geplaatst onder het toezicht van het hoogste managementniveau van de individuele entiteiten van de Unie, dat toezicht moet houden op de uitvoering van de bepalingen van deze verordening en zijn goedkeuring moet hechten aan de vaststelling, en eventuele latere herzieningen daarvan, van het kader voor risicobeheer en risicocontrole, de bijbehorende risicobeheersmaatregelen op het gebied van cyberbeveiliging om de risico’s aan te pakken die in het kader zijn aangeduid en de cyberbeveiligingsplannen van de afzonderlijke entiteiten van de Unie. Het aanpakken van de cyberbeveiligingscultuur, dat wil zeggen de dagelijkse cyberbeveiligingspraktijk, maakt integraal deel uit van een kader voor risicobeheer, governance en controle op het gebied van cyberbeveiliging en de bijbehorende risicobeheersmaatregelen op het gebied van cyberbeveiliging binnen de entiteiten van de Unie.

(10) De entiteiten van de Unie moeten de risico’s betreffende de betrekkingen met leveranciers en dienstverleners, inclusief leveranciers van gegevensopslag- en gegevensverwerkingsdiensten of beheerde beveiligingsdiensten, beoordelen, en daarvoor passende maatregelen treffen. Deze ▌ risicobeheersmaatregelen op het gebied van cyberbeveiliging moeten nader worden gespecificeerd in richtsnoeren of aanbevelingen van CERT-EU. Bij het definiëren van maatregelen en richtsnoeren moet terdege rekening worden gehouden met de toepasselijke Uniewetgeving en -beleidsmaatregelen, met inbegrip van risicobeoordelingen en aanbevelingen van de bij Richtlijn (EU) 2022/2555 vastgestelde ▌ samenwerkingsgroep, zoals de gecoördineerde EU-risicobeoordeling en de EU-toolbox inzake 5G-cyberbeveiliging. Bovendien moet het, gezien het dreigingslandschap en het feit dat het belangrijk is de entiteiten van de Unie weerbaarder te maken, vereist zijn dat relevante ICT‑systemen, diensten en processen worden gecertificeerd op grond van artikel 49 van Verordening (EU) 2019/881 vastgestelde specifieke Unie-cyberbeveiligingscertificeringsregelingen.

(11) In mei 2011 hebben de secretarissen-generaal van de instellingen, organen en instanties van de Unie besloten een preconfiguratieteam voor een computercrisisteam voor de instellingen, organen en instanties van de Unie (CERT-EU) in te stellen, onder toezicht van een interinstitutionele stuurgroep. In juli 2012 bevestigden de secretarissen-generaal de praktische regelingen en kwamen zij overeen CERT-EU te handhaven als permanente entiteit om het algehele niveau van IT-veiligheid van de instellingen, organen en instanties van de EU verder te helpen verbeteren, als voorbeeld van zichtbare interinstitutionele samenwerking op het gebied van cyberveiligheid. In september 2012 is CERT-EU opgericht als taskforce van de Europese Commissie, met een interinstitutioneel mandaat. In december 2017 zijn de instellingen, organen en instanties van de Unie een interinstitutionele regeling overeengekomen over de organisatie en de werking van CERT-EU [2]. Die regeling moet doorlopend evolueren ter ondersteuning van de uitvoering van deze verordening en moet regelmatig worden geëvalueerd in het licht van toekomstige onderhandelingen over begrotingskaders voor de lange termijn, zodat verdere besluiten kunnen worden genomen met betrekking tot de werking en de institutionele rol van CERT-EU, met inbegrip van de mogelijke oprichting van CERT-EU als kantoor van de Unie.

(12) CERT-EU moet worden omgedoopt van “computercrisisteam” in “cyberbeveiligingscentrum” voor de entiteiten van de Unie, in overeenstemming met de ontwikkelingen in de lidstaten en wereldwijd, waar veel CERT’s worden omgedoopt tot cyberbeveiligingscentra, maar de korte naam “CERT-EU” moet vanwege de herkenbaarheid behouden blijven.

(13) Veel cyberaanvallen zijn onderdeel van bredere campagnes die gericht zijn tegen groepen entiteiten van de Unie of belangengemeenschappen die de entiteiten van de Unie omvatten. Om proactief opsporings-, incidentrespons- of beperkende maatregelen te kunnen treffen, en om herstel na significante incidenten mogelijk te maken, moeten de entiteiten van de Unie CERT-EU onverwijld in kennis stellen van significante dreigingen, significante kwetsbaarheden, bijna-incidenten en significante incidenten op het gebied van cyberveiligheid en passende technische details delen, op grond waarvan opsporings-, incidentrespons-, beperkende of herstelmaatregelen kunnen worden getroffen tegen vergelijkbare ▌ incidenten binnen andere entiteiten van de Unie.Op basis van dezelfde aanpak als die voorzien in Richtlijn (EU) 2022/2555 moeten entiteiten bij significante incidenten binnen 24 uur nadat zij daarvan kennis hebben gekregen, CERT-EU een vroegtijdige waarschuwing toezenden. Aan de hand van die informatie-uitwisseling moet CERT-EU de informatie kunnen verspreiden onder de andere entiteiten van de Unie en aan passende tegenhangers, om de ICT-omgevingen van de Unie en die van de tegenhangers van de Unie te helpen beschermen tegen soortgelijke incidenten, dreigingen en kwetsbaarheden.

(13 bis) Deze verordening voorziet in een aanpak in meerdere fasen van de melding van significante incidenten om het juiste evenwicht te vinden tussen enerzijds een snelle melding die de potentiële verspreiding van incidenten helpt te beperken en entiteiten van de Unie in staat stelt om hulp te vragen, en anderzijds een grondige melding die het mogelijk maakt waardevolle lessen te trekken uit afzonderlijke incidenten en mettertijd de veerkracht van afzonderlijke entiteiten van de Unie verbetert en bijdraagt tot een verbetering van de algemene cyberveiligheidspositie van de Europese overheidsdiensten. In dat verband moet deze verordening ook de melding omvatten van incidenten die, op basis van een door de betrokken entiteit uitgevoerde initiële beoordeling, ernstige operationele verstoring van de dienstverlening of financiële verliezen voor die entiteit kunnen veroorzaken of andere natuurlijke of rechtspersonen kunnen treffen door aanzienlijke materiële of immateriële schade te veroorzaken. Bij die eerste beoordeling moet onder andere rekening worden gehouden met de getroffen netwerk- en informatiesystemen, in het bijzonder met hun belang voor de werking en de verrichtingen van de betrokken entiteit van de Unie, de ernst en de technische kenmerken van een cyberdreiging, de achterliggende kwetsbaarheden die worden uitgebuit en de ervaring die de betrokken entiteit van de Unie met soortgelijke incidenten heeft. Indicatoren zoals de mate waarin de werking van de entiteit van de Unie wordt aangetast, de duur van een incident of het aantal getroffen gebruikers kunnen van belang zijn om vast te stellen of er sprake is van een ernstige operationele verstoring van de dienst.

(14) Naast meer taken en een grotere rol voor CERT-EU, moet een interinstitutionele raad voor cyberbeveiliging (IICB) worden opgericht, die een hoog gezamenlijk niveau van cyberbeveiliging onder de entiteiten van de Unie moet bevorderen, door middel van toezicht op de uitvoering van deze verordening door de entiteiten van de Unie en op de uitvoering van de algemene prioriteiten en doelstellingen door CERT-EU, en via de strategische leiding van CERT-EU. De IICB moet vertegenwoordiging van de instellingen waarborgen, en via het netwerk van agentschappen van de Unie vertegenwoordigers van instanties en organen omvatten.

(14 bis) De IICB streeft ernaar entiteiten te ondersteunen bij het verhogen van hun respectieve cyberbeveiligingspositie door deze verordening uit te voeren. Om de entiteiten van de Unie te ondersteunen, moet de IICB richtsnoeren en aanbevelingen vaststellen die vereist zijn voor de beoordelingen van de maturiteit op het gebied van cyberbeveiliging en de cyberbeveiligingsplannen van de entiteiten van de Unie, mogelijke interconnecties tussen de ICT-omgevingen van de entiteiten van de Unie evalueren en de oprichting ondersteunen van een groep voor cyberbeveiligingsfunctionarissen in het kader van Enisa, waarbij de lokale cyberbeveiligingsfunctionarissen van alle entiteiten van de Unie worden samengebracht om de uitwisseling van beste praktijken en ervaringen met de uitvoering van deze verordening te vergemakkelijken.

(14 ter) Met het oog op de samenhang met Richtlijn (EU) 2022/2555 kan de IICB aanbevelingen vaststellen op basis van de resultaten van op het niveau van de Unie gecoördineerde risicobeoordelingen van kritieke toeleveringsketens als bedoeld in artikel 22 van Richtlijn (EU) 2022/2555 om de entiteiten van de Unie te ondersteunen bij het vaststellen van doeltreffende en evenredige risicobeheersmaatregelen met betrekking tot de beveiliging van de toeleveringsketen en richtsnoeren te ontwikkelen voor regelingen op het gebied van informatie-uitwisseling tussen entiteiten van de Unie met betrekking tot de vrijwillige melding van cyberdreigingen, bijna-incidenten en incidenten aan CERT-EU.

(15) CERT-EU moet de uitvoering van maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging ondersteunen middels voorstellen voor richtsnoeren en aanbevelingen aan de IICB of oproepen tot actie. Deze richtsnoeren en aanbevelingen moeten door de IICB worden goedgekeurd. Indien nodig moet CERT-EU oproepen tot actie uitvaardigen betreffende dringende veiligheidsmaatregelen die entiteiten van de Unie binnen een bepaalde termijn met klem wordt aangeraden te treffen.

(16) De IICB moet toezicht houden op de naleving van deze verordening en van de richtsnoeren, aanbevelingen en oproepen tot actie van CERT-EU. De IICB moet op technisch gebied worden ondersteund door technische adviesgroepen, die de IICB naar eigen inzicht samenstelt, en die in voorkomend geval nauw moeten samenwerken met CERT-EU, de entiteiten van de Unie en andere belanghebbenden. Indien nodig moet de IICB ▌ waarschuwingen geven en verzoeken dat audits worden uitgevoerd.

(16 bis) Indien de IICB vaststelt dat de entiteit van de Unie deze verordening niet doeltreffend heeft toegepast of uitgevoerd, kan hij, onverminderd de interne procedures van de betrokken entiteit van de Unie, relevante en beschikbare documentatie met betrekking tot de doeltreffende uitvoering van de bepalingen van deze verordening opvragen, een met redenen omkleed advies toezenden met geconstateerde lacunes in de uitvoering van deze verordening, de betrokken entiteit van de Unie verzoeken een zelfbeoordeling op basis van zijn met redenen omkleed advies te verstrekken en, in samenwerking met CERT-EU, richtsnoeren verstrekken om het kader voor risicobeheer, governance en controle, de risicobeheersmaatregelen op het gebied van cyberbeveiliging, de cyberbeveiligingsplannen van de betrokken entiteit in overeenstemming te brengen met deze verordening en ervoor te zorgen dat zij de rapportageverplichtingen naleeft.

(17) Het moet de missie van CERT-EU zijn om bij te dragen tot de beveiliging van de ICT-omgeving van de entiteiten van de Unie. In voorkomend geval, en in coördinatie met de entiteiten van de Unie, kan CERT-EU de IICB ter goedkeuring een voorstel voorleggen voor een gecoördineerde cyberverzekeringspolis die de entiteiten van de Unie dekt, teneinde eigen dekking en dekking van derden te bieden om de mogelijke gevolgen van incidenten aan te pakken. CERT-EU moet optreden als ▌ de aangewezen coördinator voor de entiteiten van de Unie, met het oog op de gecoördineerde bekendmaking van kwetsbaarheid aan een Europese kwetsbaarheidsgegevensbank, als bedoeld in artikel 12 van Richtlijn (EU) 2022/2555.

(18) Het CERT-EU-bestuur heeft in 2020 een nieuwe strategische doelstelling voor CERT-EU vastgesteld, namelijk om te zorgen voor een alomvattend niveau van cyberdefensie voor alle entiteiten van de Unie, met een passend bereik en met voortdurende aanpassing aan huidige of op handen zijnde dreigingen, waaronder aanvallen tegen mobiele apparatuur, cloudomgevingen en apparaten voor het internet der dingen. Het strategische doel omvat op brede basis werkzame operationele beveiligingscentra (SOC’s) die continu netwerken monitoren voor zeer ernstige dreigingen. CERT-EU moet de ICT-beveiligingsteams van de grotere entiteiten van de Unie ondersteunen, onder meer met continue eerstelijnsmonitoring. Voor kleinere en enkele middelgrote entiteiten van de Unie moet CERT-EU alle diensten verlenen.

(19) CERT-EU moet ook de rol vervullen waarin is voorzien in Richtlijn (EU) 2022/2555 inzake samenwerking en informatie-uitwisseling met het netwerk van computer security incident response teams (CSIRTs). Verder moet CERT-EU overeenkomstig Aanbeveling (EU) 2017/1584 [3] van de Commissie samenwerken met de belanghebbende partijen en de respons coördineren. Met het oog op een hoog niveau van cyberbeveiliging in de hele Unie, moet CERT-EU incidentspecifieke informatie delen met nationale tegenhangers. CERT-EU moet ook samenwerken met andere publieke en private tegenhangers, zoals bij de NAVO, na voorafgaande goedkeuring door de IICB.

(20) Bij de ondersteuning van operationele cyberbeveiliging moet CERT-EU gebruikmaken van de beschikbare deskundigheid van het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa), door middel van gestructureerde samenwerking zoals bedoeld in Verordening (EU) 2019/881 van het Europees Parlement en de Raad [4]. ▌ Binnen twee jaar na de datum van de inwerkingtreding van deze verordening moeten specifieke regelingen tussen de twee entiteiten worden vastgesteld teneinde de praktische uitvoering van die samenwerking te bepalen en dubbel werk te vermijden. CERT-EU moet met Enisa samenwerken inzake dreigingsanalyse en zijn dreigingslandschapverslag regelmatig met het agentschap delen.

(21) Ter ondersteuning van de gezamenlijke cybereenheid die overeenkomstig de aanbeveling van de Commissie van 23 juni 2021 [5] is opgezet, moet CERT-EU samenwerken en informatie uitwisselen met belanghebbende partijen om operationele samenwerking te bevorderen en de bestaande netwerken hun volledige potentieel voor de bescherming van de Unie te laten ontplooien.

(22) Alle overeenkomstig deze verordening verwerkte persoonsgegevens moeten overeenkomstig het gegevensbeschermingsrecht, met inbegrip van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad [6], worden verwerkt. Deze verordening mag niet van invloed zijn op de toepassing van Uniewetgeving over de verwerking van persoonsgegevens, met inbegrip van de taken en bevoegdheden van de Europese Toezichthouder voor gegevensbescherming (EDPS). CERT-EU en de IICB moeten nauw samenwerken met de EPDS en personeel dat gespecialiseerd is in gegevensbescherming binnen de entiteiten van de Unie teneinde volledige naleving van het gegevensbeschermingsrecht van de Unie te waarborgen.

(22 bis) Cyberbeveiligingssystemen en -diensten die worden ingezet voor preventie, opsporing en cyberrespons in verband met cyberdreiging moeten in overeenstemming zijn met de regelgeving omtrent gegevensbescherming en privacy, en de nodige technische en organisatorische maatregelen moeten worden getroffen met het oog op de waarborging van de verantwoording van die naleving.

(22 ter) Opensource-instrumenten en -toepassingen voor cyberbeveiliging kunnen bijdragen tot een hogere mate van openheid. Open normen bevorderen de interoperabiliteit tussen beveiligingsinstrumenten, wat ten goede komt aan de beveiliging van belanghebbenden. Opensource-instrumenten en -toepassingen voor cyberbeveiliging kunnen een hefboomwerking hebben voor de bredere gemeenschap van ontwikkelaars, waardoor diversificatie van leveranciers mogelijk wordt. Dankzij open source kan het proces voor de verificatie van instrumenten voor cyberbeveiliging transparanter verlopen en kan het proces om kwetsbaarheden te ontdekken door de gemeenschap worden aangestuurd. Daarom moet het voor de entiteiten van de Unie mogelijk zijn om het gebruik van opensourcesoftware en open normen te bevorderen door het nastreven van beleidsmaatregelen die gericht zijn op het gebruik van open data en open source in het kader van beveiliging door transparantie.

(23) CERT-EU en de entiteiten van de Unie moeten informatie verwerken overeenkomstig de regels inzake informatiebeveiliging, met name die van verordening [de voorgestelde verordening inzake informatiebeveiliging]. Met het oog op de coördinatie van veiligheidskwesties moeten alle contacten met CERT-EU die door nationale veiligheids- en inlichtingendiensten worden geïnitieerd of beoogd, onverwijld aan het directoraat Beveiliging van de Commissie en de voorzitter van de IICB worden meegedeeld.

(24) Aangezien de diensten en taken van CERT-EU in het belang van alle entiteiten van de Unie zijn, moeten de individuele entiteiten van de Unie met ICT-uitgaven een billijke bijdrage aan die diensten en taken leveren. Die bijdragen laten de budgettaire autonomie van de entiteiten van de Unie onverlet.

(24 bis) In deze verordening moet rekening worden gehouden met het feit dat, buiten de Unie-instellingen, de meeste entiteiten van de Unie, met name de kleinere, niet noodzakelijkerwijs over de nodige financiële en personele middelen beschikken voor bijkomende cyberbeveiligingstaken.

(25) De IICB moet, met de hulp van CERT-EU, de uitvoering van deze verordening evalueren en beoordelen en daarover verslag uitbrengen aan de Commissie. Op basis van die input moet de Commissie regelmatig verslag uitbrengen aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s.

HEBBEN DE VOLGENDE VERORDENING VASTGESTELD:

Hoofdstuk I

ALGEMENE BEPALINGEN

Artikel 1

Onderwerp

Bij deze verordening worden maatregelen vastgesteld met als doel in entiteiten van de Unie een hoog gezamenlijk niveau van cyberbeveiliging te bereiken. Daartoe voorziet deze verordening in:

a) verplichtingen op grond waarvan de entiteiten van de Unie vereist zijn een kader voor het beheer, de afhandeling van incidenten, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s op te zetten;

b) verplichtingen voor de entiteiten van de Unie inzake risicobeheer en rapportage op het gebied van cyberbeveiliging;

b bis) voorschriften ter ondersteuning van de verplichtingen inzake informatie-uitwisseling en de facilitering van vrijwillige regelingen voor informatie-uitwisseling met betrekking tot entiteiten van de Unie;

c) voorschriften inzake de organisatie, taken en werking van het cyberbeveiligingscentrum voor de entiteiten van de Unie (hierna “CERT-EU” genoemd) en inzake het functioneren, de organisatie en werking van de interinstitutionele raad voor cyberbeveiliging (hierna “IICB” genoemd).

Artikel 2

Toepassingsgebied

Deze verordening is van toepassing op ▌ alle entiteiten van de Unie en op het functioneren, de organisatie en de werking van CERT-EU en de IICB.

Artikel 3

Definities

Voor de toepassing van deze verordening wordt verstaan onder:

1) “entiteiten van de Unie”: instellingen, organen, bureaus en instanties van de Unie die zijn opgericht bij of krachtens het Verdrag betreffende de Europese Unie, het Verdrag betreffende de werking van de Europese Unie of het Verdrag tot oprichting van de Europese Gemeenschap voor Atoomenergie;

2) “netwerk- en informatiesysteem”: een netwerk- en informatiesysteem zoals gedefinieerd in artikel 6, punt 1, van Richtlijn (EU) 2022/2555;

3) “beveiliging van netwerk- en informatiesystemen”: beveiliging van netwerk- en informatiesystemen zoals gedefinieerd in artikel 6, punt 2, van Richtlijn (EU) 2022/2555;

4) “cyberbeveiliging”: cyberbeveiliging zoals gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2019/881;

5) “hoogste managementniveau”: een leidinggevende, een leidinggevend of coördinatie- en toezichtorgaan op het hoogste bestuurlijke niveau, verantwoordelijk voor het functioneren van de betrokken entiteit van de Unie, met een mandaat om besluiten vast te stellen of hiervoor toestemming te verlenen in overeenstemming met de bestuursregelingen op hoog niveau van de betrokken entiteit, onverminderd de formele verantwoordelijkheden van andere managementniveaus voor naleving en risicobeheer op hun respectieve bevoegdheidsgebieden;

5 bis) “bijna-incident”: een “bijna-incident” zoals gedefinieerd in artikel 6, punt 5, van Richtlijn (EU) 2022/2555;

6) “incident”: een incident zoals gedefinieerd in artikel 6, punt 6, van Richtlijn (EU) 2022/2555;

▌

8) “ernstig incident”: een incident waarvan het verstorend effect groter is dan het vermogen van een getroffen entiteit van de Unie en CERT-EU om erop te reageren, of met aanzienlijke gevolgen voor ten minste twee entiteiten van de Unie, of waarbij een grootschalig cyberbeveiligingsincident als bedoeld in artikel 6, punt 7, van Richtlijn (EU) 2022/2555 aanzienlijke gevolgen heeft voor ten minste één entiteit van de Unie;

9) “incidentenbehandeling”: incidentenbehandeling zoals gedefinieerd in artikel 6, punt 8, van Richtlijn (EU) 2022/2555;

10) “cyberdreiging”: een cyberdreiging zoals gedefinieerd in artikel 2, punt 8, van Verordening (EU) 2019/881;

11) “significante cyberdreiging”: een cyberdreiging zoals gedefinieerd in artikel 6, punt 11, van Richtlijn (EU) 2022/2555;

12) “kwetsbaarheid”: kwetsbaarheid zoals gedefinieerd in artikel 6, punt 15, van Richtlijn (EU) 2022/2555;

13) “significante kwetsbaarheid”: een kwetsbaarheid die, indien uitgebuit, waarschijnlijk tot een significant incident leidt;

14) “ ▌risico”: een risico zoals gedefinieerd in artikel 6, punt 9, van Richtlijn (EU) 2022/2555;

14 bis) “norm”: een norm zoals gedefinieerd in artikel 2, punt 1, van Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad [8];

14 ter) “technische specificatie”: een technische specificatie zoals gedefinieerd in artikel 2, punt 4, van Verordening (EU) nr. 1025/2012;

14 quater) “ICT-product”: een ICT-product zoals gedefinieerd in artikel 2, punt 12, van Verordening (EU) 2019/881;

14 quinquies) “ICT-dienst”: een ICT-dienst zoals gedefinieerd in artikel 2, punt 13, van Verordening (EU) 2019/881;

14 sexies) “ICT-proces”: een ICT-proces zoals gedefinieerd in artikel 2, punt 14, van Verordening (EU) 2019/881;

14 septies) “ICT-omgeving”: elk ICT-product, ICT-dienst of ICT-proces, ongeacht of dit virtueel is of zich on site bevindt, elk netwerk- en informatiesysteem, ongeacht of dit eigendom is van en geëxploiteerd wordt door een entiteit, of wordt gehost of geëxploiteerd door een derde partij, met inbegrip van mobiele apparaten, bedrijfsnetwerken en zakelijke netwerken die niet verbonden zijn met het internet, en elk apparaat dat verbonden is met de ICT-omgeving, en alle gebouwen op andere locaties en gedecentraliseerde kantoren, zoals de liaisonbureaus, vertegenwoordigingen of lokale kantoren;

15) “gezamenlijke cybereenheid”: een virtueel en fysiek samenwerkingsplatform voor de verschillende cyberbeveiligingsgemeenschappen in de Unie, gericht op operationele en technische coördinatie bij grote grensoverschrijdende cyberdreigingen en incidenten in de zin van de aanbeveling van de Commissie van 23 juni 2021;

16) “ ▌cyberbeveiligingsmaatregelen”: minimale voorschriften en -maatregelen voor cyberbeveiliging waaraan netwerk- en informatiesystemen en de beheerders en gebruikers ervan moeten voldoen om cyberbeveiligingsrisico’s te beperken.

Hoofdstuk II

MAATREGELEN VOOR EEN HOOG GEZAMENLIJK NIVEAU VAN CYBERBEVEILIGING

Artikel 4

Kader voor risicobeheer, afhandeling van incidenten, governance en toezicht

1. Bij de uitoefening van hun institutionele autonomie zetten de entiteiten van de Unie elk, op basis van een volledige cyberbeveiligingsaudit, een ▌ kader voor het beheer, de afhandeling van incidenten, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s op (hierna “het kader” genoemd), ter ondersteuning van de missie van die entiteit van de Unie. Het opzetten van dat kader geschiedt onder toezicht van het hoogste managementniveau van die entiteit van de Unie, dat verantwoordelijk zal zijn voor het waarborgen van een doeltreffend en prudent beheer van alle cyberbeveiligingsrisico’s. Het kader moet uiterlijk … [15 maanden na de datum van inwerkingtreding van deze verordening] zijn opgezet.

2. Het kader omvat de gehele ICT-omgeving van de betrokken entiteit van de Unie ▌. Het kader houdt rekening met bedrijfscontinuïteit en crisisbeheer, de beveiliging van de toeleveringsketen en het beheer van menselijke risico’s en alle andere relevante technische, operationele en organisatorische risico’s die gevolgen kunnen hebben voor de cyberbeveiliging van de betrokken entiteit van de Unie.

2 bis. In het in lid 1 bedoelde kader worden strategische doelstellingen vastgesteld om een hoog niveau van cyberbeveiliging in de entiteiten van de Unie te waarborgen. In dat kader wordt beleid op het gebied van cyberbeveiliging vastgesteld voor de beveiliging van netwerk- en informatiesystemen die de gehele ICT-omgeving bestrijken, en worden de taken en verantwoordelijkheden vastgesteld van het personeel van de entiteiten van de Unie dat belast is met het waarborgen van de doeltreffende uitvoering van deze verordening. Het kader omvat ook de kernprestatie-indicatoren (KPI’s) voor het meten van de doeltreffendheid van de uitvoering op basis van de in artikel 12, lid 2, punt e ter, bedoelde KPI-lijst.

2 ter. Het in lid 1 bedoelde kader wordt regelmatig en ten minste om de drie jaar herzien. De eerste herziening wordt uiterlijk ... [drie jaar na de datum van inwerkingtreding van deze verordening] uitgevoerd. In voorkomend geval en op verzoek van de IICB wordt het kader van een entiteit van de Unie bijgewerkt op basis van richtsnoeren van CERT-EU met betrekking tot vastgestelde incidenten of mogelijk waargenomen lacunes in de uitvoering van deze verordening.

3. Het hoogste managementniveau van de individuele entiteiten van de Unie is verantwoordelijk voor de uitvoering en houdt toezicht op de naleving door zijn organisatie van de verplichtingen in verband met het kader alsook het functioneren van de organisatie in dat verband, onverminderd de formele verantwoordelijkheden van andere managementlagen voor naleving en risicobeheer binnen hun respectieve bevoegdheid, zoals gegevensbescherming.

4. De entiteiten van de Unie beschikken over doeltreffende mechanismen om te waarborgen dat een passend percentage van de ICT-begroting aan cyberbeveiliging wordt besteed.

5. De entiteiten van de Unie stellen elk een lokale cyberbeveiligingsfunctionaris of een gelijkwaardige functionaris aan, die fungeert als het centrale contactpunt voor alle cyberbeveiligingsaspecten. Een lokale cyberbeveiligingsfunctionaris kan voor meerdere entiteiten van de Unie werken.

Artikel 5

Maatregelen voor het beheer van cyberbeveiligingsrisico’s

1. Het hoogste managementniveau van de individuele entiteiten van de Unie keurt voor de eigen entiteit van de Unie maatregelen voor het beheer van cyberbeveiligingsrisico’s goed om de in het kader van de in artikel 4, lid 1, bedoelde risico’s aan te pakken, in overeenstemming met de richtsnoeren en aanbevelingen van de IICB en CERT-EU. Rekening houdend met de stand van de techniek en, in voorkomend geval, de relevante Europese en internationale normen, of de beschikbare Europese cyberbeveiligingscertificaten als gedefinieerd in artikel 2, punt 11, van Verordening (EU) 2019/881, waarborgen die risicobeheersmaatregelen een beveiligingsniveau van netwerk- en informatiesystemen in de gehele ICT-omgeving dat in verhouding staat tot de risico’s die zijn vastgesteld in het kader als bedoeld in artikel 4, lid 1. Bij het beoordelen van de evenredigheid van deze maatregelen wordt terdege rekening gehouden met de mate waarin de entiteit van de Unie aan risico’s is blootgesteld, de omvang van de entiteit van de Unie, de waarschijnlijkheid van incidenten en de ernst, alsook de maatschappelijke, economische en interinstitutionele gevolgen daarvan.

1 bis. Bij de uitvoering van de maatregelen voor het beheer van cyberbeveiligingsrisico’s, bestrijken de entiteiten van de Unie ten minste de volgende gebieden:

a) cyberbeveiligingsbeleid, met inbegrip van de maatregelen die nodig zijn om de in artikel 4 en artikel 5, lid 2 bis, bedoelde doelstellingen en prioriteiten te verwezenlijken;

b) beleidsdoelstellingen met betrekking tot het gebruik van cloudcomputingdiensten zoals gedefinieerd in artikel 6, lid 30, van Richtlijn (EU) 2022/2555 en technische regelingen om telewerken mogelijk te maken en te ondersteunen;

c) om na te gaan of de entiteiten van de Unie voldoende controle hebben over de veiligheid van hun ICT-systemen, moet er op ... [datum van inwerkingtreding van deze verordening] en vervolgens elk jaar, door een toonaangevende en geverifieerde derde partij van buiten de instellingen, zoals een toonaangevend cyberbeveiligingsbedrijf, een volledige initiële cyberbeveiligingsbeoordeling, met inbegrip van een risico-, kwetsbaarheids- en dreigingsbeoordeling, alsook een penetratietest van de ICT-systemen en -apparatuur van de entiteiten van de Unie worden uitgevoerd, waarin terdege rekening wordt gehouden met de informatiebeveiligingsvereisten van de betrokken instellingen;

d) in het licht van de in punt c) bedoelde beoordelingen, een beperking van de gerapporteerde risico’s en kwetsbaarheden bij cyberbeveiligingsupdates, en de uitvoering van de aanbevelingen via het cyberbeveiligingsbeleid, hetgeen de vervanging van aangetaste ICT-systemen kan omvatten;

e) organisatie van cyberbeveiliging, inclusief de definitie van rollen en verantwoordelijkheden;

f) beheer van de ICT-omgeving, met inbegrip van een inventaris van ICT-activa en ICT-netwerkarchitectuur;

g) toegangscontrole, identiteitsbeheer en beheer van bevoorrechte toegang;

h) beveiliging van operaties en van personeel;

i) communicatiebeveiliging;

j) aankoop, ontwikkeling en onderhoud van systemen en transparantie van de broncode;

k) cyberbeveiligingsaudits;

l) werkdruk en algehele tevredenheid van ICT-personeel;

m) beveiliging van de toeleveringsketen en betrekkingen tussen de entiteiten van de Unie en hun directe leveranciers en dienstverleners;

n) afhandeling van incidenten, inclusief ingrepen ter verbetering van de paraatheid, opsporing, analyse en beperking van incidenten, de respons op incidenten en het herstel na incidenten, alsmede de samenwerking met CERT-EU, zoals het onderhoud van beveiligingsmonitoring en -registratie;

o) bedrijfscontinuïteitsbeheer en crisisbeheer; alsmede

p) vaardigheden, voorlichting, bewustmaking, opleidingsprogramma’s en oefeningen.

2. Het hogere management van de entiteiten van de Unie en alle relevante personeelsleden die belast zijn met de uitvoering van de maatregelen en verplichtingen voor het beheer van cyberbeveiligingsrisico’s uit hoofde van deze verordening volgen regelmatig specifieke opleidingen om voldoende kennis en vaardigheden op te doen om risico- en beheerspraktijken op het gebied van cyberbeveiliging en de gevolgen daarvan op de activiteiten van de entiteit van de Unie te begrijpen en te beoordelen.

2 bis. Bij de uitvoering van de maatregelen voor het beheer van cyberbeveiligingsrisico’s nemen de entiteiten van de Unie ten minste de volgende specifieke maatregelen en subcontroles op in hun cyberbeveiligingsplannen, conform de richtsnoeren en aanbevelingen van de IICB:

a) concrete stappen in de richting van een Zero Trust-architectuur, in de zin van een beveiligingsmodel bestaande uit een reeks beginselen inzake systeemontwerp, en een gecoördineerde strategie voor cyberbeveiliging en systeembeheer op basis van de onderkenning dat er zowel binnen als buiten de traditionele netwerkgrenzen dreigingen bestaan;

b) de invoering van multifactorauthenticatie als norm in alle netwerk- en informatiesystemen;

c) het gebruik van cryptografie en versleuteling, en met name eind-tot-eindversleuteling, versleuteling in doorvoer en versleuteling in rust, en beveiligde digitale ondertekening;

d) beveiligde spraak-, beeld- en tekstcommunicatie, en beveiligde noodcommunicatiesystemen, waar passend;

e) het opzetten van frequente en ad-hocscancapaciteiten van eindpuntapparatuur en andere componenten van de ICT-omgeving om malware, bijvoorbeeld spyware, op te sporen en te verwijderen;

f) de waarborging van privacy door ontwerp en een betere beveiliging van alle persoonsgegevens;

g) de totstandbrenging van een veilige toeleveringsketen voor software, door middel van criteria voor de ontwikkeling en evaluatie van veilige software;

h) de regelmatige opleiding van personeelsleden op het gebied van cyberbeveiliging;

i) de deelname aan risicoanalyses van de interconnectiviteit tussen de entiteiten van de Unie;

j) betere aanbestedingsregels om een hoog gezamenlijk niveau van cyberbeveiliging te bevorderen door:

i) contractuele belemmeringen weg te nemen die informatie-uitwisseling tussen ICT-serviceverleners over incidenten, kwetsbaarheden en cyberdreigingen met CERT-EU beperken;

ii) contractueel te bepalen dat incidenten, kwetsbaarheden, bijna-incidenten en cyberdreigingen moeten worden gemeld, en door een passende respons en passend toezicht op incidenten mogelijk te maken;

k) de opstelling en vaststelling van opleidingsprogramma’s op het gebied van cyberbeveiliging die in verhouding staan tot de voorgeschreven taken en verwachte capaciteiten, voor het hoogste managementniveau en voor het technisch en operationeel personeel.

2 ter. De IICB kan technische en methodologische vereisten voor de in lid 1 bis en lid 2 bis van dit artikel bedoelde domeinen en maatregelen voor het beheer van cyberbeveiligingsrisico’s aanbevelen en, indien nodig, aanpassingen aanbevelen om rekening te houden met ontwikkelingen op het gebied van cyberaanvalsmethoden en cyberdreigingen en met de technologische vooruitgang, met het oog op de herziening van deze verordening zoals bedoeld in artikel 24.

Artikel 6

Maturiteitsbeoordelingen van de cyberbeveiliging

1. De individuele entiteiten van de Unie voeren uiterlijk ... [18 maanden na de inwerkingtreding van deze verordening] en daarna ten minste om de twee jaar een maturiteitsbeoordeling van de cyberbeveiliging uit die alle elementen van hun ICT-omgeving zoals beschreven in artikel 4 omvat, met inachtneming van de overeenkomstig artikel 13 vastgestelde toepasselijke richtsnoeren en aanbevelingen.

2. Kleine entiteiten van de Unie met vergelijkbare taken of een vergelijkbare structuur kunnen een gecombineerde maturiteitsbeoordeling van de cyberbeveiliging uitvoeren.

3. De IICB verstrekt, na raadpleging van het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa) en na ontvangst van richtsnoeren van CERT-EU, uiterlijk op ... [één jaar na de datum van inwerkingtreding van deze verordening] richtsnoeren aan de entiteiten van de Unie voor het uitvoeren van maturiteitsbeoordelingen van de cyberbeveiliging. De maturiteitsbeoordeling van de cyberbeveiliging moet gebaseerd zijn op cyberbeveiligingsaudits.

4. Op verzoek van de IICB en met de uitdrukkelijke toestemming van de betrokken entiteit van de Unie kunnen de resultaten van een maturiteitsbeoordeling van de cyberbeveiliging worden besproken in de IICB of binnen het opgerichte netwerk van lokale cyberbeveiligingsfunctionarissen, teneinde lering te trekken uit de ervaringen met de uitvoering van deze verordening en beste praktijken en resultaten van gebruiksgevallen te delen.

Artikel 7

Cyberbeveiligingsplannen

1. Naar aanleiding van de conclusies uit de maturiteitsbeoordeling van de cyberbeveiliging en met inachtneming van de uit hoofde van artikel 4 aangeduide ▌ risico’s keurt het hoogste managementniveau van de individuele entiteiten van de Unie na de opstelling van het kader ▌en de maatregelen voor het beheer van cyberbeveiligingsrisico’s onverwijld een cyberbeveiligingsplan goed. Het cyberbeveiligingsplan beoogt de algehele cyberbeveiliging van de betrokken entiteit van de Unie te versterken en aldus bij te dragen tot de verwezenlijking of verhoging van een hoog gezamenlijk niveau van cyberbeveiliging in de ▌ Unie. Ter ondersteuning van de missie van de entiteit van de Unie en in de uitoefening van hun institutionele autonomie, omvat het cyberbeveiligingsplan ten minste de in artikel 5, leden 1 bis en 2 bis, bedoelde maatregelen voor het beheer van cyberbeveiligingsrisico’s. Het cyberbeveiligingsplan wordt ten minste om de twee jaar of, indien nodig, bij elke substantiële herziening van het in artikel 4 bedoelde kader, herzien, naar aanleiding van de overeenkomstig artikel 6 uitgevoerde maturiteitsbeoordelingen van de cyberbeveiliging.

2. Het cyberbeveiligingsplan omvat de rollen en verantwoordelijkheden en het vereiste competentieniveau van het betrokken personeel voor de uitvoering ervan, met inbegrip van gedetailleerde functiebeschrijvingen voor technisch en operationeel personeel en alle relevante processen die ten grondslag liggen aan een evaluatie van de prestaties.

2 bis. Het cyberbeveiligingsplan omvat het cybercrisisbeheersplan van de entiteit van de Unie voor ernstige incidenten.

3. Het cyberbeveiligingsplan houdt rekening met de toepasselijke richtsnoeren en aanbevelingen van CERT-EU overeenkomstig artikel 13 en met andere toepasselijke of gerichte aanbevelingen van de IICB en CERT-EU.

3 bis. De entiteiten van de Unie dienen hun cyberbeveiligingsplannen in bij de IICB.

Artikel 8

Uitvoering

1. Na voltooiing van hun respectieve in artikel 6 bedoelde maturiteitsbeoordelingen van de cyberbeveiliging en in artikel 7 bedoelde cyberbeveiligingsplannen dienen de entiteiten van de Unie deze in bij de IICB. ▌ Op verzoek van de IICB brengen zij verslag uit over specifieke aspecten betreffende dit hoofdstuk.

2. Overeenkomstig artikel 13 uitgevaardigde richtsnoeren en aanbevelingen ondersteunen de uitvoering van dit hoofdstuk.

Hoofdstuk III

De IICB

Artikel 9

De IICB

1. ▌De IICB ▌ wordt opgericht.

2. De IICB is verantwoordelijk voor:

a) het toezicht op de uitvoering van deze verordening door de entiteiten van de Unie en het verstrekken van aanbevelingen om een hoog gemeenschappelijk niveau van cyberbeveiliging te bereiken;

b) het toezicht op de uitvoering van de algemene prioriteiten en doelstellingen door CERT-EU en het geven van strategische leiding aan CERT-EU.

3. De IICB bestaat uit:

a) twee vertegenwoordigers ▌ die worden aangewezen door ieder van de volgende:

i) het Europees Parlement;

ii) de Raad van de Europese Unie;

iii) de Europese Commissie;

b) één vertegenwoordiger die wordt aangewezen door ieder van de volgende:

i) het Hof van Justitie van de Europese Unie;

ii) de Europese Centrale Bank;

iii) de Europese Rekenkamer;

iv) de Europese Dienst voor extern optreden;

v) het Europees Economisch en Sociaal Comité;

vi) het Europees Comité van de Regio’s;

vii) de Europese Investeringsbank;

viii) Enisa;

ix) de Europese Toezichthouder voor gegevensbescherming (EDPS);

x) het Europees kenniscentrum voor industrie, technologie en onderzoek op het gebied van cyberbeveiliging;

xi) het Agentschap van de Europese Unie voor het ruimtevaartprogramma;

c) één vertegenwoordiger die wordt aangewezen door het netwerk van agentschappen van de Unie (EUAN), op voorstel van zijn adviescomité voor ICT, met als taak de belangen te vertegenwoordigen van andere agentschappen, organen en instanties dan degene die bedoeld zijn onder b, punten viii, x en xi, en die hun eigen ICT-omgeving beheren.

Er wordt gestreefd naar een genderevenwicht onder de aangewezen vertegenwoordigers.

3 bis. De leden kunnen door een plaatsvervanger worden bijgestaan. Andere vertegenwoordigers van de hierboven vermelde organisaties, of andere entiteiten van de Unie kunnen door de voorzitter worden uitgenodigd om zonder stemrecht aan IICB-vergaderingen deel te nemen.

3 ter. Het hoofd van CERT-EU en de voorzitters van de samenwerkingsgroep, het CSIRT-netwerk en het EU-CyCLONe, als bedoeld in de artikelen 14, 15 en 16 van Richtlijn (EU) 2022/2555, of hun plaatsvervangers, kunnen als waarnemer deelnemen aan IICB-vergaderingen. In uitzonderlijke gevallen, en overeenkomstig het reglement van orde van de IICB, kan de IICB anders beslissen.

4. De IICB stelt zijn reglement van orde vast.

5. De IICB wijst overeenkomstig zijn reglement van orde uit zijn leden een voorzitter aan voor een periode van vier jaar. Zijn of haar plaatsvervanger wordt voor dezelfde duur volwaardig lid met stemrecht van de IICB.

6. De IICB komt bijeen op initiatief van zijn voorzitter, en ten minste tweemaal per jaar, op verzoek van CERT-EU of van een van zijn leden.

7. Elk lid van de IICB heeft één stem. Tenzij in deze verordening anders is bepaald, worden de besluiten van de IICB genomen met gewone meerderheid. De voorzitter stemt uitsluitend bij staking van de stemmen; dan geeft zijn stem de doorslag.

8. De IICB kan handelen door middel van een vereenvoudigde schriftelijke procedure conform zijn reglement van orde. Op grond van die procedure wordt het desbetreffende besluit geacht binnen de door de voorzitter vastgestelde termijn te zijn goedgekeurd, tenzij een lid bezwaar maakt.

▌

10. Het secretariaat van de IICB wordt verzorgd door de Commissie.

11. De ▌ door het EUAN benoemde vertegenwoordiger brengt de besluiten van de IICB over aan de organen en gemeenschappelijke ondernemingen van de Unie. Organen en instanties van de Unie mogen iedere kwestie die zij voor de IICB van belang achten, aan de vertegenwoordigers of de voorzitter van de IICB voorleggen.

▌

13. De IICB kan een uitvoerend comité benoemen om hem bij zijn werkzaamheden bij te staan, en een aantal van zijn taken en bevoegdheden daaraan delegeren. De IICB stelt het reglement van orde van het uitvoerend comité vast, met inbegrip van de taken en bevoegdheden en de ambtstermijn van de leden daarvan.

Artikel 10

Taken van de IICB

Bij de uitoefening van zijn verantwoordelijkheden vervult de IICB de volgende taken:

-a) hij ondersteunt de entiteiten van de Unie bij de uitvoering van deze verordening teneinde hun respectieve niveaus van cyberbeveiliging te verhogen;

-a bis) hij houdt effectief toezicht op de tenuitvoerlegging van de verplichtingen van deze verordening bij de entiteiten van de Unie, onverminderd hun institutionele autonomie en het algehele institutionele evenwicht;

-a ter) hij biedt het hoofd van CERT-EU strategische oriëntatie;

a) hij verzoekt CERT-EU om verslagen over de stand van de uitvoering van deze verordening door de entiteiten van de Unie;

a bis) hij hecht, op basis van een voorstel van het hoofd van CERT-EU, goedkeuring aan aanbevelingen om een hoog gemeenschappelijk niveau van cyberbeveiliging tot stand te brengen, gericht op één of meerdere entiteiten van de Unie;

a ter) hij stelt een kader vast voor collegiale toetsingen voor de entiteiten van de Unie, teneinde van gedeelde ervaringen te leren, het wederzijds vertrouwen te versterken, een hoog gemeenschappelijk niveau van cyberbeveiliging te bereiken en de capaciteiten van de entiteiten van de Unie te versterken, waarbij de toetsingen moeten worden uitgevoerd door technische deskundigen op het gebied van cyberbeveiliging die zijn aangewezen door een andere entiteit dan de entiteit die wordt geëvalueerd;

b) hij hecht zijn goedkeuring aan het jaarlijkse werkprogramma voor CERT-EU op basis van een voorstel van het hoofd van CERT-EU en ziet toe op de uitvoering ervan;

c) hij hecht zijn goedkeuring aan de CERT-EU-dienstencatalogus, op basis van een voorstel van het hoofd van CERT-EU;

d) hij hecht zijn goedkeuring aan de verwachte jaarlijkse ontvangsten en uitgaven, inclusief personeel, voor CERT-EU, op basis van ramingen opgesteld door het hoofd van CERT-EU;

e) hij hecht zijn goedkeuring aan de voorwaarden voor de dienstenniveauovereenkomst, op basis van een voorstel van het hoofd van CERT-EU;

f) het controleert en hecht zijn goedkeuring aan het door het hoofd van CERT-EU opgestelde jaarverslag over de activiteiten van en het beheer van de middelen door CERT-EU;

g) hij hecht zijn goedkeuring aan en monitort KPI’s voor CERT-EU die op voorstel van het hoofd van CERT-EU worden vastgesteld;

h) hij hecht zijn goedkeuring aan samenwerkingsovereenkomsten en dienstverleningsregelingen of -overeenkomsten tussen CERT-EU en andere entiteiten op grond van artikel 17;

h bis) hij stelt op basis van voorstellen van CERT-EU richtsnoeren of aanbevelingen vast;

h ter) hij draagt, indien nodig, CERT-EU op om een voorstel voor richtsnoeren of aanbevelingen of een oproep tot actie uit te vaardigen, in te trekken of te wijzigen;

i) hij stelt ▌ technische adviesgroepen met concrete taken in ter ondersteuning van de werkzaamheden van de IICB, keurt hun mandaat goed en wijst hun voorzitter aan;

i bis) hij evalueert de in artikel 6 bedoelde maturiteitsbeoordelingen van de cyberbeveiliging en de in artikel 7 bedoelde cyberbeveiligingsplannen van de entiteiten van de Unie en geeft daar desgevraagd en met inachtneming van de relevante richtsnoeren van CERT-EU feedback over;

i ter) hij faciliteert de uitwisseling van beste praktijken tussen lokale cyberbeveiligingsfunctionarissen; hij verstrekt in voorkomend geval aanbevelingen over hun rol binnen de entiteiten van de Unie;

i quater) hij beoordeelt eventuele onderlinge afhankelijkheden tussen ICT-omgevingen van entiteiten van de Unie en houdt een inventaris bij van gedeelde componenten van ICT-producten, ICT-diensten en ICT-processen;

i quinquies) hij stelt in voorkomend geval aanbevelingen vast over de interoperabiliteit van ICT-omgevingen of onderdelen daarvan van entiteiten van de Unie;

i sexies) hij verleent steun aan de oprichting van een groep van cyberbeveiligingsfunctionarissen, die door Enisa wordt gecoördineerd, en die de lokale cyberbeveiligingsfunctionarissen van alle entiteiten van de Unie bijeenbrengt om de uitwisseling van beste praktijken en ervaringen met de uitvoering van deze verordening in goede banen te leiden;

i septies) hij ontwikkelt een incidenten- en responsplan voor ernstige incidenten op Unieniveau en coördineert de vaststelling van cybercrisisbeheersplannen door de individuele entiteiten van de Unie zoals bedoeld in artikel 7, lid 2 bis;

i octies) hij stelt aanbevelingen vast op basis van de resultaten van op Unieniveau gecoördineerde beveiligingsrisicobeoordelingen van kritieke toeleveringsketens zoals bedoeld in artikel 22 van Richtlijn (EU) 2022/2555, teneinde de entiteiten van de Unie te ondersteunen bij het doorvoeren van doeltreffende en passende maatregelen voor het beheer van cyberbeveiligingsrisico’s in verband met de beveiliging van de toeleveringsketen zoals bedoeld in artikel 5, lid 1 bis, punt m;

i nonies) hij ontwikkelt richtsnoeren voor regelingen inzake informatiedeling zoals bedoeld in artikel 19.

Artikel 11

Naleving

1. De IICB houdt toezicht op de uitvoering van deze verordening en de door de entiteiten van de Unie vastgestelde richtsnoeren, aanbevelingen en oproepen tot actie. Indien de IICB vaststelt dat de entiteiten van de Unie deze verordening of de krachtens deze verordening vastgestelde richtsnoeren, aanbevelingen en oproepen tot actie niet doeltreffend hebben toegepast, kan hij, onverminderd de interne procedures van de entiteit van de Unie in kwestie, de volgende maatregelen treffen:

-a) relevante en beschikbare documentatie van de betrokken entiteit van de Unie opvragen;

-a bis) de entiteit van de Unie in kwestie een met redenen omkleed advies doen toekomen inzake de geconstateerde lacunes in de uitvoering van deze verordening;

-a ter) de entiteit van de Unie in kwestie verzoeken om binnen een vastgestelde termijn een zelfbeoordeling te verstrekken over zijn met redenen omkleed advies;

-a quater) na raadpleging van CERT-EU richtsnoeren verstrekken voor de individuele entiteiten van de Unie om hun respectieve kaders voor beheer, governance en controle, maatregelen voor het beheer van cyberbeveiligingsrisico’s, cyberbeveiligingsplannen en verslagleggingsverplichtingen binnen een nader bepaalde termijn in overeenstemming te brengen met deze verordening;

a) een waarschuwing doen uitgaan; indien nodig met het oog op een overtuigend cyberbeveiligingsrisico, de waarschuwing richten tot een op passende wijze beperkt publiek;

b) een betreffende auditdienst verzoeken een audit uit te voeren;

b bis) de Europese Rekenkamer informeren over de vermeende tekortkomingen in de naleving.

Alle waarschuwingen en aanbevelingen worden gericht aan het hoogste managementniveau van de betrokken entiteit.

2. Indien de kleine entiteiten van de Unie er kennis van geven dat zij niet in staat zijn om de in artikel 4, lid 1, en artikel 5, lid 1, vastgestelde termijnen te halen, kan de IICB, in uitzonderlijke gevallen, toestemming geven om die te verlengen en nieuwe termijnen voor de naleving vast stellen.

Hoofdstuk IV

CERT-EU

Artikel 12

Missie en taken van CERT-EU

1. De missie van CERT-EU, het autonome interinstitutionele cyberbeveiligingscentrum voor de entiteiten van de Unie, bestaat erin bij te dragen tot de beveiliging van de niet-geclassificeerde ICT-omgeving van de entiteiten van de Unie en ze van diensten te voorzien die vergelijkbaar zijn met de door de lidstaten in het kader van Richtlijn (EU) 2022/2555 ingestelde CSIRTs, met name door ze te adviseren over cyberbeveiliging, te helpen incidenten te voorkomen, die op te sporen, af te handelen, daarop te reageren en daarvan te herstellen, en door op te treden als knooppunt voor hun informatie-uitwisseling inzake cyberbeveiliging en responscoördinatie bij incidenten.

2. CERT-EU is voor de entiteiten van de Unie belast met de volgende taken:

a) het ondersteunt ze bij de uitvoering van deze verordening en draagt bij tot de coördinatie van de toepassing van deze verordening door middel van de in artikel 13, lid 1, vermelde maatregelen of via door de IICB gevraagde ad-hocverslagen;

b) het ondersteunt ze met een in zijn dienstencatalogus beschreven pakket cyberbeveiligingsdiensten, de zogenaamde basisniveaudiensten;

b bis) het exploiteert voor de entiteiten van de Unie die daartoe zelf de capaciteit niet hebben, het op brede basis werkzame operationele beveiligingscentrum, dat netwerken monitort voor zeer ernstige dreigingen, onder meer met continue eerstelijnsmonitoring;

c) het onderhoudt een netwerk van soortgelijke organisaties en partners ter ondersteuning van de in de artikelen 16 en 17 bedoelde diensten;

d) het brengt kwesties betreffende de uitvoering van deze verordening en van de uitvoering van artikel 13 onder de aandacht van de IICB en dient voorstellen voor aanbevelingen in;

e) het brengt verslag uit aan de entiteiten van de Unie over de relevante cyberdreigingen ▌ en draagt bij tot het situatiebewustzijn van de Unie op het gebied van cyberbeveiliging, rekening houdend met het advies van Enisa, en doet die verslagen toekomen aan de IICB, het CSIRT-netwerk als bedoeld in artikel 15 van Richtlijn (EU) 2022/2555, en aan het inlichtingen- en situatiecentrum van de EU (EU-INTCEN);

e bis) het treedt op als de aangewezen coördinator voor de entiteiten van de Unie, met het oog op de gecoördineerde bekendmaking van kwetsbaarheid aan de Europese kwetsbaarheidsgegevensbank als bedoeld in artikel 12 van Richtlijn (EU) 2022/2555;

e ter) het stelt de IICB, na raadpleging van Enisa, de beveiligingscriteria, een lijst van mogelijke KPI’s, en een schaal voor die in de door de entiteiten van de Unie gebruikte cyberbeveiligingskaders worden gebruikt;

e quater) het stelt de IICB, na raadpleging van Enisa, de beveiligingsdomeinen en de cyberbeveiligingsmaatregelen voor waarmee de entiteiten van de Unie rekening moeten houden in hun cyberbeveiligingskader, en prioriteert deze;

e quinquies) het biedt de entiteiten van de Unie één of meer maturiteitsmodellen inzake cyberbeveiliging, die in het kader van hun cyberbeveiligingskaders moeten worden gebruikt en die een weerspiegeling vormen van hun omvang en de cyberbeveiligingsdomeinen die zij gebruiken;

e sexies) het verleent diensten die, met een hoge mate van transparantie en betrouwbaarheid, informatie-uitwisseling ondersteunen, met name met betrekking tot kennisgevingen van de entiteiten van de Unie aan CERT-EU;

e septies) het voert geregeld een risicoanalyse uit van de interconnectiviteit bij de entiteiten van de Unie, ter ondersteuning van de taken van de IICB.

3. CERT-EU draagt bij tot de overeenkomstig de aanbeveling van de Commissie van 23 juni 2021 opgerichte gezamenlijke cybereenheid, onder meer op de volgende gebieden:

a) paraatheid, incidentcoördinatie, informatie-uitwisseling en crisisrespons op technisch niveau in gevallen die met de entiteiten van de Unie verband houden;

b) operationele samenwerking inzake het netwerk van computer security incident response teams (CSIRT), ook betreffende wederzijdse bijstand, en de bredere cyberbeveiligingsgemeenschap;

b bis) coördinatie van het beheer van grootschalige incidenten en crises op operationeel niveau en regelmatige uitwisseling van relevante informatie tussen de lidstaten en de entiteiten van de Unie binnen het Europees netwerk van verbindingsorganisaties voor cybercrises (EU-CyCLONe);

c) inlichtingen inzake cyberdreigingen, inclusief situatiebewustzijn;

c bis) proactieve scanning van netwerk- en informatiesystemen;

d) elk ander onderwerp waarvoor de technische deskundigheid op het gebied van cyberbeveiliging van CERT-EU vereist is.

4. CERT-EU onderhoudt gestructureerde samenwerking met Enisa met betrekking tot capaciteitsopbouw, operationele samenwerking en strategische langetermijnanalyses van cyberdreigingen, overeenkomstig Verordening (EU) 2019/881 ▌. CERT-EU kan samenwerken en informatie uitwisselen met het Europees Centrum voor de bestrijding van cybercriminaliteit van Europol.

5. CERT-EU kan de entiteiten van de Unie de volgende diensten aanbieden die niet in de dienstencatalogus zijn beschreven, de zogenaamde aangerekende diensten:

a) andere dan de in lid 2 bedoelde diensten, ter ondersteuning van de cyberbeveiliging van de ICT-omgeving van entiteiten van de Unie, op basis van dienstenniveauovereenkomsten en afhankelijk van de beschikbaarheid van middelen, waaronder, via zijn in lid 2, punt b bis, van dit artikel bedoelde operationele beveiligingscentrum, monitoring van de netwerken en continue eerstelijnsmonitoring voor zeer ernstige dreigingen voor grotere entiteiten van de Unie;

b) andere diensten dan diensten ter bescherming van de ICT-omgeving van de entiteiten van de Unie, ter ondersteuning van hun cyberbeveiligingsoperaties of -projecten, op basis van schriftelijke overeenkomsten en met voorafgaande goedkeuring van de IICB;

c) diensten ter ondersteuning van de beveiliging van de ICT-omgeving van andere organisaties dan de entiteiten van de Unie, die nauw met de entiteiten van de Unie samenwerken, bijvoorbeeld omdat zij taken of verantwoordelijkheden krachtens Unierecht vervullen, op basis van schriftelijke overeenkomsten en met voorafgaande goedkeuring van de IICB.

6. CERT-EU organiseert, in nauwe samenwerking met Enisa, cyberbeveiligingsoefeningen of beveelt deelname aan bestaande oefeningen aan, indien van toepassing, om op regelmatige basis het cyberbeveiligingsniveau van de entiteiten van de Unie te testen.

7. CERT-EU staat de entiteiten van de Unie bij bij incidenten in gerubriceerde ICT-omgevingen, indien het betrokken constituerend deel daar uitdrukkelijk om verzoekt. De bepalingen en verplichtingen voor alle entiteiten van de Unie als omschreven in hoofdstuk V zijn niet van toepassing op incidenten in gerubriceerde ICT-omgevingen, tenzij individuele entiteiten van de Unie die uitdrukkelijk en vrijwillig toepassen om uitvoerbare steun in te roepen van CERT-EU of anders bij te dragen tot het situatiebewustzijn op Unieniveau.

7 bis. CERT-EU dient, onder passende voorwaarden van vertrouwelĳkheid, jaarlijks een verslag over zijn activiteiten in bij het Europees Parlement. Dat verslag bevat relevante en nauwkeurige informatie over ernstige incidenten en de aanpak daarvan.

7 ter. CERT-EU werkt samen met de EDPS om entiteiten van de Unie ondersteuning te bieden bij incidenten die een inbreuk in verband met persoonsgegevens in de zin van artikel 3, punt 16, van Verordening (EU) 2018/1725 met zich meebrengen.

7 quater. De verwerking van persoonsgegevens door CERT-EU krachtens deze verordening is onderworpen aan de bepalingen van Verordening (EU) 2018/1725.

7 quinquies. CERT-EU kan de entiteiten van de Unie in verband met de totstandbrenging van passende onderlinge samenwerking inzake cyberbeveiliging ondersteuning bieden op het punt van personeel, ICT-hulpmiddelen en kennis over en expertise in cyberbeveiliging.

7 sexies. CERT-EU stelt de EDPS in kennis wanneer het in actie komt vanwege significante kwetsbaarheden of significante of ernstige incidenten die kunnen leiden tot inbreuken in verband met persoonsgegevens en/of schending van de vertrouwelijkheid van elektronische communicatie.

7 septies. CERT-EU informeert de EPDS over preventieve activiteiten op het gebied van cyberbeveiliging die zouden kunnen voortvloeien uit de verzameling van persoonsgegevens.

Artikel 13

Richtsnoeren, aanbevelingen en oproepen tot actie

1. CERT-EU ondersteunt de uitvoering van deze verordening door middel van de volgende activiteiten:

a) oproepen tot actie, die dringende veiligheidsmaatregelen omvatten die de entiteiten van de Unie binnen een bepaalde termijn met klem wordt aangeraden te treffen;

b) voorstellen aan de IICB voor richtsnoeren die gericht zijn tot alle of een deel van de entiteiten van de Unie;

c) voorstellen aan de IICB voor aanbevelingen die gericht zijn tot ofwel individuele, ofwel alle entiteiten van de Unie.

2. Richtsnoeren en aanbevelingen kunnen het volgende omvatten:

a) de voorwaarden voor of verbetering van het beheer van cyberbeveiligingsrisico’s en ▌ maatregelen voor het beheer van cyberbeveiligingsrisico’s;

b) de regelingen voor maturiteitsbeoordelingen van de cyberbeveiliging en cyberbeveiligingsplannen; en

c) indien van toepassing, het gebruik van algemene technologie, opensourcearchitectuur en de bijbehorende beste praktijken, met het oog op controle, interoperabiliteit en gemeenschappelijke normen;

c bis) in voorkomend geval de facilitering van de gezamenlijke aankoop van de betreffende ICT-diensten en ICT-producten.

▌

Artikel 14

Hoofd van CERT-EU

De Commissie benoemt met goedkeuring door een tweederdemeerderheid van de leden van de IICB het hoofd van CERT-EU. De IICB wordt geraadpleegd in alle stadia van de procedure voor de benoeming van het hoofd van CERT-EU, in het bijzonder bij het opstellen van vacatureberichten, de beoordeling van de sollicitaties en de benoeming van de selectiecomités voor die functie. De definitieve lijst met kandidaten bevat ten minste één man en één vrouw.

Het hoofd van CERT-EU brengt ten minste jaarlijks verslag uit aan de IICB en de voorzitter ervan over de activiteiten en de prestaties van CERT-EU gedurende de referentieperiode, onder meer met betrekking tot de financiële planning, inkomsten, de uitvoering van de begroting, en gesloten dienstenniveauovereenkomsten en schriftelijke overeenkomsten, de samenwerking met andere instanties en partners, en de dienstreizen van personeel, met inbegrip van de in artikel 10 ▌ bedoelde verslagen. Die verslagen omvatten het werkprogramma voor de volgende periode, de financiële planning van de ontvangsten en uitgaven, met inbegrip van het personeelsbestand, de geplande actualiseringen van de dienstencatalogus van CERT-EU en een beoordeling van het verwachte effect dat dergelijke actualiseringen kunnen hebben op het gebied van financiële en personele middelen.

Het hoofd van CERT-EU dient desgevraagd ook ad-hocverslagen in bij de IICB.

Artikel 15

Financiële en personeelszaken

1. CERT-EU is een autonome interinstitutionele dienstverlener voor alle entiteiten van de Unie, en is geïntegreerd in de administratieve structuur van een directoraat-generaal van de Commissie zodat het kan profiteren van de ondersteunende structuren van de Commissie op het gebied van administratie, financieel beheer en boekhouding. De Commissie ▌ stelt de IICB in kennis van de administratieve vestiging van CERT-EU en van eventuele wijzigingen daarvan. Deze benadering moet regelmatig tegen het licht worden gehouden zodat passende maatregelen kunnen worden getroffen, waaronder mogelijkerwijs de aanduiding van CERT-EU als kantoor van de Unie.

1 bis. Alle besluiten inzake het personeel en de toewijzing van middelen van CERT-EU worden ter formele goedkeuring aan de IICB voorgelegd.

2. Voor de toepassing van de administratieve en financiële procedures handelt het hoofd van CERT-EU onder het gezag van de Commissie en onder toezicht van de IICB.

3. De taken en activiteiten van CERT-EU, inclusief de diensten die CERT-EU overeenkomstig artikel 12, leden 2, 3, 4 en 6, en artikel 13, lid 1, verleent aan de uit de rubriek Europees openbaar bestuur van het meerjarige financiële kader gefinancierde entiteiten van de Unie, worden uit een afzonderlijke begrotingslijn van de begroting van de Commissie gefinancierd. Gereserveerde posten van CERT-EU worden gespecificeerd in een voetnoot bij de personeelsformatie.

4. Andere dan de in lid 3 bedoelde entiteiten van de Unie leveren een jaarlijkse financiële bijdrage aan CERT-EU ter dekking van de door CERT-EU overeenkomstig lid 3 verleende diensten. De respectieve bijdragen worden gebaseerd op richtsnoeren van de IICB en in dienstenniveauovereenkomsten tussen elke entiteit en CERT-EU bepaald. De bijdragen vertegenwoordigen een billijk en evenredig deel van de totale kosten van de verleende diensten. Deze worden als bestemmingsontvangsten in de zin van artikel 21, lid 3, punt c), van Verordening (EU, Euratom) 2018/1046 van het Europees Parlement en de Raad [9] via de in lid 3 bedoelde afzonderlijke begrotingslijn ontvangen.

5. De kosten van de in artikel 12, lid 5, bedoelde taken worden verhaald op de entiteiten van de Unie die de diensten van CERT-EU ontvangen. De ontvangsten worden bestemd voor de begrotingsonderdelen die de kosten dragen.

Artikel 16

Samenwerking van CERT-EU met instanties uit de lidstaten

1. CERT-EU werkt samen en wisselt informatie uit met nationale instanties in de lidstaten, met inbegrip van CERT’s, nationale cyberbeveiligingscentra, CSIRT’s en centrale contactpunten als bedoeld in artikel 8 van Richtlijn (EU) 2022/2555 over dreigingen, kwetsbaarheden, incidenten en bijna-incidenten op het gebied van cyberveiligheid en over mogelijke tegenmaatregelen alsook beste praktijken, en doet dat voor alle onderwerpen die relevant zijn voor een betere bescherming van de ICT-infrastructuur van de entiteiten van de Unie, onder meer via het CSIRT-netwerk als bedoeld in artikel 15 van Richtlijn (EU) 2022/2555. CERT-EU ondersteunt de Commissie in het in artikel 16 van Richtlijn (EU) 2022/2555 bedoelde EU-CyCLONe bij het gecoördineerde beheer van ernstige incidenten en crises.

2. CERT-EU kan, zonder toestemming van het betrokken constituerende deel, incidentspecifieke informatie uitwisselen met nationale instanties in de lidstaten om de opsporing van soortgelijke cyberdreigingen of -incidenten te vergemakkelijken, zolang persoonsgegevens overeenkomstig de toepasselijke bepalingen van Verordening (EU) 2016/679 van het Europees Parlement en de Raad [10] worden beschermd. CERT-EU kan alleen met toestemming van het betrokken constituerende deel en in overeenstemming met Verordening (EU) 2016/679 incidentspecifieke informatie uitwisselen die de identiteit van het doelwit van het cyberbeveiligingsincident onthult.

Artikel 17

Samenwerking van CERT-EU met instanties uit niet-lidstaten

1. CERT-EU kan samenwerken met instanties uit derde landen die onderworpen zijn aan cyberbeveiligingsvereisten van de Unie of overeenkomstige vereisten, met inbegrip van bedrijfstakspecifieke instanties, inzake instrumenten en methoden, zoals technieken, tactiek, procedures en beste praktijken, en cyberdreigingen en -kwetsbaarheden. Voor alle samenwerking met dergelijke instanties, ook in verbanden waar instanties van derde landen samenwerken met de nationale tegenhangers van de lidstaten, verzoekt CERT-EU vooraf de goedkeuring van IICB.

2. CERT-EU kan samenwerken met andere partners, zoals commerciële entiteiten (met inbegrip van bedrijfstakspecifieke instanties), internationale organisaties en nationale entiteiten van buiten de Europese Unie of individuele deskundigen, om informatie te verzamelen over algemene en specifieke cyberdreigingen, bijna-incidenten, cyberkwetsbaarheden en mogelijke tegenmaatregelen. Voor verdere samenwerking met deze partners verzoekt CERT-EU vooraf de goedkeuring van de IICB.

3. CERT-EU kan, met toestemming van het door een incident getroffen constituerende deel, informatie over een incident verstrekken aan partners die het kunnen helpen analyseren.

Hoofdstuk V

SAMENWERKING EN VERSLAGLEGGINGSVERPLICHTINGEN

Artikel 18

Informatieverwerking

1. CERT-EU en de entiteiten van de Unie nemen het beroepsgeheim in acht overeenkomstig artikel 339 van het Verdrag betreffende de werking van de Europese Unie of gelijkwaardige toepasselijke kaders.

2. Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad [11] is van toepassing op verzoeken om toegang van het publiek tot documenten die berusten bij CERT-EU, met inbegrip van de verplichting overeenkomstig die verordening om andere entiteiten van de Unie en, in voorkomend geval, de lidstaten te raadplegen indien een verzoek betrekking heeft op hun documenten.

3. De verwerking van persoonsgegevens krachtens deze verordening is onderworpen aan de bepalingen van Verordening (EU) 2018/1725 ▌.

Elke verwerking, uitwisseling, verzameling of bewaring van persoonsgegevens door CERT-EU, de IICB en de entiteiten van de Unie is beperkt tot het strikt noodzakelijk verwerken, uitwisselen, verzamelen of bewaren van persoonsgegevens en wordt uitsluitend uitgevoerd om aan hun respectieve verplichtingen uit hoofde van deze verordening te voldoen.

3 bis. Uiterlijk ... [één jaar na de inwerkingtreding van deze verordening] neemt de Commissie overeenkomstig artikel 24 bis een gedelegeerde handeling aan om te verduidelijken welke activiteiten inzake de verwerking van persoonsgegevens in het kader van deze verordening zijn toegestaan, met inbegrip van het doel van de verwerking, de categorieën persoonsgegevens, de categorieën betrokkenen, de voorwaarden voor de gegevensverwerking, de maximale bewaringstermijnen, de vastlegging van de verwerkingsverantwoordelijken en verwerkers, en de ontvangers in het geval van doorgifte.

De in de eerste alinea bedoelde gedelegeerde handeling beperkt verwerkingsactiviteiten tot die welke strikt noodzakelijk zijn en vereist dat die verwerkingsactiviteiten zo gericht mogelijk zijn en dat ongedifferentieerde bewaring van informatie over gegevensstromen of over de inhoud van gegevens is uitgesloten.

De Commissie wijzigt de in de eerste alinea bedoelde gedelegeerde handeling indien zij vaststelt dat zich significante wijzigingen hebben voorgedaan wat betreft de noodzaak of specifieke doeleinden van of de betrokken entiteiten bij de verwerking van persoonsgegevens in het kader van deze verordening.

4. CERT-EU en de entiteiten van de Unie verwerken informatie overeenkomstig de regels zoals opgenomen in [de voorgestelde verordening inzake informatiebeveiliging]. Bij de samenwerking met andere instanties hanteert CERT-EU vergelijkbare regels voor de wijze van informatieverwerking.

5. Alle contacten met CERT-EU die door nationale veiligheids- en inlichtingendiensten worden geïnitieerd of beoogd, worden onverwijld aan het directoraat Veiligheid van de Commissie, Europol en de voorzitter van de IICB meegedeeld.

5 bis. Informatie over de voltooiing van cyberbeveiligingsplannen door de entiteiten van de Unie wordt met de kwijtingsautoriteiten gedeeld.

5 ter. Richtsnoeren en aanbevelingen alsook door de IICB uitgevaardigde oproepen tot actie worden met de kwijtingsautoriteiten gedeeld.

Artikel 19

Regelingen en verplichtingen inzake informatie-uitwisseling op het gebied van cyberbeveiliging

-1. De entiteiten van de Unie kunnen CERT-EU op vrijwillige basis op de hoogte brengen en informatie verstrekken over cyberdreigingen, incidenten, bijna-incidenten en kwetsbaarheden die hen betreffen. CERT-EU zorgt ervoor dat er doeltreffende maatregelen worden genomen ter waarborging van de vertrouwelijkheid en een adequate bescherming van de informatie die door de rapporterende entiteit van de Unie wordt verstrekt. CERT-EU zorgt ervoor dat het over efficiënte communicatiemiddelen beschikt om informatie-uitwisseling met de entiteiten van de Unie te vergemakkelijken. Bij het verwerken van kennisgevingen kan CERT-EU voorrang geven aan de verwerking van verplichte boven vrijwillige kennisgevingen. Vrijwillige melding mag niet leiden tot het opleggen van bijkomende verplichtingen aan de rapporterende entiteit van de Unie waaraan zij niet onderworpen zou zijn geweest indien zij de melding niet had ingediend.

1. Om CERT-EU in staat te stellen zijn missie en taken zoals vastgelegd in artikel 12 van deze verordening doeltreffend uit te voeren, met name om het kwetsbaarheidsbeheer te coördineren ▌, kan het de entiteiten van de Unie verzoeken voor CERT-EU-steun relevante informatie uit hun respectieve ICT-systeeminventarissen te verstrekken. De aangezochte entiteiten van de Unie zenden de verlangde informatie en bijbehorende actualiseringen daarvan onverwijld toe.

Onverminderd Verordening (EU) 2018/1725, wordt elke uitwisseling van gegevens tussen entiteiten van de Unie uitgevoerd overeenkomstig de beginselen van duidelijke waarborgen voor specifieke gebruiksgevallen en wordt gebruikgemaakt van verdragen inzake onderlinge juridische bijstand en andere overeenkomsten, teneinde te zorgen voor een hoog niveau van bescherming van rechten bij de verwerking van aanvragen voor grensoverschrijdende gegevenstoegang.

▌

3. CERT-EU kan alleen met toestemming van de individuele entiteiten van de Unie, incidentspecifieke informatie uitwisselen die de identiteit van de door het incident getroffen entiteit onthult. CERT-EU kan alleen met toestemming van de door het incident getroffen entiteit, incidentspecifieke informatie uitwisselen die de identiteit van het doelwit van het cyberbeveiligingsincident onthult. Met het oog op zijn controletaken kan het Europees Parlement zelfs zonder toestemming van de betrokken entiteiten van de Unie om dergelijke informatie verzoeken. Wanneer het Europees Parlement de informatie zonder toestemming van de betrokken entiteit opvraagt, zal het geen openbare beraadslagingen houden en worden alle relevante documenten alleen op “need-to-know” -basis in aanmerking genomen.

4. De regelingen en verplichtingen inzake informatie-uitwisseling op het gebied van cyberbeveiliging gelden niet voor gerubriceerde EU-informatie (EUCI), noch voor informatie die een entiteit van de Unie van een veiligheids- of inlichtingendienst of een rechtshandhavingsinstantie van een lidstaat heeft ontvangen, tenzij de betrokken veiligheids- of inlichtingendienst of rechtshandhavingsinstantie van een lidstaat erin toestemt dat die informatie met CERT-EU wordt gedeeld.

Artikel 20

Meldingsverplichtingen

1. De entiteiten van de Unie melden aan CERT-EU overeenkomstig lid 1 quinquies elk incident dat significante gevolgen heeft. Een incident wordt als significant beschouwd als het:

a) een ernstige operationele verstoring van de dienst of financiële verliezen voor de betrokken entiteit veroorzaakt of kan veroorzaken;

b) andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken.

1 bis. De entiteiten van de Unie rapporteren onder meer alle informatie die CERT-EU in staat stelt om alle mogelijke gevolgen van een significant incident voor de verschillende entiteiten, voor de lidstaat van vestiging en over de grenzen heen in kaart te brengen. Melding leidt niet tot blootstelling van de entiteit van de Unie aan een verhoogde aansprakelijkheid.

1 ter. In voorkomend geval rapporteren de entiteiten van de Unie de gebruikers van de getroffen netwerk- en informatiesystemen of andere onderdelen van de ICT-omgeving die mogelijkerwijs door een significant incident of een significante cyberdreiging worden getroffen, onverwijld over alle maatregelen of middelen die kunnen worden genomen of ingezet in antwoord op het incident of de dreiging. Indien nodig informeren de entiteiten van de Unie de gebruikers over de dreiging zelf.

1 quater. Indien een significant incident of een significante cyberdreiging gevolgen heeft voor een netwerk- en informatiesysteem of een onderdeel van een ICT-omgeving van een entiteit van de Unie waarvan bekend is dat het verbonden is met de ICT-omgeving van een andere entiteit van de Unie, stelt CERT-EU de getroffen entiteit van de Unie daarvan onverwijld in kennis.

1 quinquies. De entiteiten van de Unie verstrekken aan CERT-EU:

a) onverwijld en in ieder geval binnen 24 uur nadat zij kennis hebben gekregen van het significante incident, een vroegtijdige waarschuwing, waarin, indien van toepassing, wordt aangegeven of het significante incident vermoedelijk door een onwettige of kwaadwillige handeling is veroorzaakt, dan wel gevolgen voor verschillende entiteiten of grensoverschrijdende gevolgen zou kunnen hebben;

b) onverwijld en in ieder geval binnen 72 uur nadat zij kennis hebben gekregen van het significante incident, een incidentmelding, met, indien van toepassing, een update van de in punt a) bedoelde informatie, een initiële beoordeling van het significante incident, de ernst en de gevolgen ervan en, indien beschikbaar, de indicatoren voor aantasting;

c) een tussentijds verslag met relevante updates van de situatie, indien CERT-EU daarom verzoekt.

2. De entiteiten van de Unie doen CERT-EU voorts uiterlijk één maand na indiening van de in lid 1 quinquies, onder b), bedoelde incidentmelding een eindverslag toekomen. Bij significante incidenten die op het moment van indiening van het eindverslag nog lopen, wordt op dat moment een voortgangsverslag ingediend, en een eindverslag uiterlijk één maand na afhandeling van het incident. De incidentmelding omvat ten minste de volgende informatie, indien beschikbaar:

a) een gedetailleerde beschrijving van het incident, inclusief de ernst en de gevolgen ervan;

b) het soort bedreiging of de grondoorzaak die waarschijnlijk tot het incident heeft geleid;

c) de beperkende maatregelen die genomen zijn of genomen worden;

d) in voorkomend geval, de potentiële impact van het incident op andere entiteiten van de Unie of de potentiële grensoverschrijdende impact.

2 bis. In gerechtvaardigde gevallen en in overeenstemming met CERT-EU mogen de entiteiten van de Unie in kwestie van de in lid 2 vastgestelde termijn afwijken. Indien een afwijking wordt toegestaan, dienen de entiteiten van de Unie binnen de voor het eindverslag geldende termijn een voortgangsverslag in.

2 ter. De entiteiten van de Unie delen op verzoek van CERT-EU onverwijld de digitale informatie die is opgesteld door het gebruik van elektronische apparaten die bij de respectieve incidenten betrokken zijn geweest. CERT-EU kan verder verduidelijken welke soort digitale informatie nodig is met het oog op situatiebewustzijn en respons op incidenten.

3. CERT-EU dient maandelijks bij Enisa een samenvattend verslag in, met geanonimiseerde en geaggregeerde gegevens over significante incidenten, dreigingen, incidenten, bijna-incidenten en kwetsbaarheden op het gebied van cyberveiligheid, die overeenkomstig lid 1 quinquies van dit artikel en artikel 19, lid -1, ter kennis zijn gegeven.

4. Uiterlijk ... [één jaar na de datum van inwerkingtreding van deze verordening] brengt CERT-EU richtsnoeren of aanbevelingen in verband met de regelingen met betrekking tot de verslagen en de inhoud ervan. Bij het opstellen van zulke richtsnoeren of aanbevelingen houdt CERT-EU rekening met de specificaties uit alle door de Commissie vastgestelde uitvoeringshandelingen met betrekking tot het soort informatie, het formaat en de procedure van een overeenkomstig artikel 23, lid 11, van Richtlijn (EU) 2022/2555 ingediende kennisgeving. CERT-EU verspreidt de passende technische details, zodat de entiteiten van de Unie proactief opsporings-, incidentrespons- of beperkende maatregelen kunnen treffen.

5. De rapportageverplichtingen gelden niet voor EUCI, noch voor informatie die entiteiten van de Unie van een veiligheids- of inlichtingendienst of een rechtshandhavingsinstantie van een lidstaat hebben ontvangen onder de uitdrukkelijke voorwaarde dat die niet met CERT-EU wordt gedeeld.

Artikel 21

Coördinatie van respons bij incidenten en samenwerking ▌

1. Bij zijn optreden als knooppunt voor informatie-uitwisseling inzake cyberbeveiliging en responscoördinatie bij incidenten faciliteert CERT-EU de uitwisseling van informatie inzake dreigingen, kwetsbaarheden, bijna-incidenten en incidenten op het gebied van cyberveiligheid onder de volgende partijen:

a) entiteiten van de Unie;

b) de in de artikelen 16 en 17 bedoelde instanties.

2. CERT-EU faciliteert de coördinatie tussen de entiteiten van de Unie inzake de respons bij incidenten, wat het volgende omvat:

a) bijdragen tot consequente externe communicatie;

b) wederzijdse bijstand;

c) optimaal gebruik van operationele middelen;

d) coördinatie met andere crisisresponsmechanismen op Unieniveau.

3. CERT-EU ondersteunt, in samenwerking met Enisa, de entiteiten van de Unie met betrekking tot het situatiebewustzijn van dreigingen, kwetsbaarheden, bijna-incidenten en incidenten op het gebied van cyberveiligheid, en deelt de laatste ontwikkelingen op het gebied van cyberveiligheid.

4. Uiterlijk ... [één jaar na de datum van inwerkingtreding van deze verordening] verstrekt de IICB richtsnoeren inzake de respons bij incidenten en samenwerking bij significante incidenten. Wanneer wordt vermoed dat het incident crimineel van aard is, adviseren de IICB en CERT-EU onverwijld over de manier waarop het incident aan de rechtshandhavingsinstanties moet worden gemeld.

Artikel 22

Ernstige incidenten

1. CERT-EU coördineert de afhandeling van ernstige incidenten tussen de entiteiten van de Unie. Het houdt in dat kader een inventaris bij van de beschikbare technische deskundigheid die nodig is voor de respons op zulke ernstige incidenten, en het ondersteunt de IICB bij de coördinatie van de crisisbeheersplannen van de entiteiten van de Unie voor ernstige incidenten als bedoeld in artikel 7, lid 2 bis.

2. De entiteiten van de Unie dragen bij tot de inventaris van technische deskundigheid, en leveren een jaarlijks bijgewerkte lijst van deskundigen die binnen hun respectieve organisaties beschikbaar zijn, inclusief nadere gegevens over hun specifieke technische vaardigheden.

3. Met de goedkeuring van de betrokken entiteiten van de Unie kan CERT-EU de in lid 2 bedoelde deskundigen ook oproepen om te helpen bij de respons op een ernstig incident in een lidstaat, conform de operationele procedures van EU CyCLONe. De specifieke regels met betrekking tot de toegang tot en de inzet van technische deskundigen van de entiteiten van de Unie worden door de IICB op voorstel van CERT-EU goedgekeurd.

Hoofdstuk VI

SLOTBEPALINGEN

Artikel 23

Initiële begrotingsregelingen

1. In haar voorstel voor de eerste begroting die na ... [de datum van inwerkingtreding van deze verordening] wordt vastgesteld, houdt de Commissie rekening met een toename van de begrotings- en personeelsbehoeften van alle entiteiten van de Unie, met name de kleine, in verband met de uit deze verordening voortvloeiende verplichtingen.

2. Om een goede en stabiele werking van CERT-EU te waarborgen, kan de Commissie voorstellen de personele en financiële middelen over te hevelen van de ICT-begroting van bepaalde entiteiten van de Unie naar de begroting van de Commissie voor gebruik in CERT-EU-operaties, op basis van duidelijke criteria en zonder afbreuk te doen aan hun cyberbeveiliging. De heroriëntering valt samen met de eerste begroting die na de inwerkingtreding van deze verordening wordt vastgesteld.

Artikel 24

Evaluatie

1. De IICB brengt, met de hulp van CERT-EU, ▌ ten minste eenmaal per jaar verslag uit aan de Commissie over de uitvoering van deze verordening. De IICB kan ook aanbevelingen doen aan de Commissie om wijzigingen van deze verordening voor te stellen.

2. Uiterlijk ... [36 maanden na de datum van inwerkingtreding van deze verordening] en vervolgens om de twee jaar evalueert de Commissie de uitvoering van deze verordening en de ervaring die op strategisch en operationeel niveau is opgedaan en brengt zij hierover verslag uit aan het Europees Parlement en de Raad.

2 bis. In de in lid 2 van dit artikel bedoelde verslaglegging wordt, rekening houdend met artikel 15, lid 1 bis, de mogelijkheid geëvalueerd om CERT-EU als kantoor van de Unie aan te duiden.

3. Niet eerder dan vijf jaar na de inwerkingtreding evalueert de Commissie de werking van deze verordening en brengt daarover verslag uit aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s.

Artikel 24 bis

Uitoefening van de bevoegdheidsdelegatie

1. De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel neergelegde voorwaarden.

2. De in artikel 18, lid 3 bis, bedoelde bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend voor onbepaalde tijd met ingang van … [één dag na de datum van inwerkingtreding van deze verordening].

3. Het Europees Parlement of de Raad kan de in artikel 18, lid 3 bis, bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Het besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheid. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.

4. Zodra de Commissie een gedelegeerde handeling heeft vastgesteld, doet zij daarvan gelijktijdig kennisgeving aan het Europees Parlement en de Raad.

5. Een overeenkomstig artikel 18, lid 3 bis vastgestelde gedelegeerde handeling treedt alleen in werking indien het Europees Parlement noch de Raad daartegen binnen een termijn van twee maanden na de kennisgeving van de handeling aan het Europees Parlement en de Raad bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad voor het verstrijken van die termijn de Commissie hebben medegedeeld dat zij daartegen geen bezwaar zullen maken. Die termijn wordt op initiatief van het Europees Parlement of de Raad met twee maanden verlengd.

Artikel 25

Inwerkingtreding

Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.

Gedaan te ...,

Voor het Europees Parlement Voor de Raad

De voorzitter De voorzitter

▌

TOELICHTING

ACHTERGROND

De Commissie schetst in haar voorstel inzake maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging op het niveau van de instellingen, organen en instanties van de Unie maatregelen voor alle entiteiten van de Unie om een kader voor gemeenschappelijke regels en maatregelen op het gebied van cyberbeveiliging tot stand te brengen, teneinde hun veerkracht te vergroten en hun capaciteiten op het vlak van incidentrespons te vergroten. Het betreft de eerste wetgeving van de Unie gericht op cyberbeveiliging op het niveau van de instellingen, organen en instanties van de Unie.

Het voorstel is erop gericht de veerkracht en de capaciteiten op het gebied van incidentrespons van de entiteiten van de Unie te verbeteren en het mandaat en de financiering van CERT-EU (dat voortaan “cyberbeveiligingcentrum” zal heten, en niet langer “computercrisisresponsteam”) te verruimen. Het voorstel behelst verder de oprichting van een interinstitutionele raad voor cyberbeveiliging (IICB), die tot taak krijgt toezicht uit te oefenen op de tenuitvoerlegging van de verordening door de instellingen, organen en instanties van de Unie en op de verwezenlijking van de algemene prioriteiten en doelstellingen door CERT-EU.

RAPPORTEUR

De rapporteur verwelkomt het voorstel van de Commissie en deelt haar inschatting dat een verordening het juiste instrument is voor het aanpakken van het oplopende aantal cyberdreigingen; tussen 2019 en 2021 is het aantal door advanced persistent threat-actoren (APT’s) uitgevoerde significante incidenten met gevolgen voor de instellingen, organen en instanties van de Unie dramatisch gestegen. Er is derhalve meer aandacht nodig voor cyberbeveiligingskwesties en hiervoor moet een passend budget ter beschikking worden gesteld.

Zij is van oordeel dat dit voorstel essentieel is om de veerkracht en de beveiliging van het openbaar bestuur van de EU te verbeteren in het licht van het toegenomen aantal steeds geavanceerdere cyberbeveiligingsdreigingen. In dit verband is interinstitutionele samenwerking van groot nut om cyberdreigingen en -risico’s te voorkomen, op te sporen en te monitoren, en erop te reageren. De instellingen, organen en instanties van de Unie moeten hun cyberbeveiligingsmaatregelen en respons op cyberaanvallen en potentiële aanvallen verder ontwikkelen. Daarom is een gezamenlijke aanpak nodig.

De rapporteur is van oordeel dat de entiteiten van de Unie van passende middelen moeten worden voorzien om de uitdagingen naar aanleiding van het oplopende aantal cyberdreigingen aan te kunnen gaan. Bij de entiteiten van de Unie moet met name voor kennis en vaardigheden met betrekking tot cyberbeveiliging worden gezorgd.

Het voorstel besteedt aandacht aan de kwestie van personele middelen door de middelen bij CERT-EU samen te brengen. Het voorgestelde gecentraliseerde model beoogt verbetering van de aanwerving van deskundigen bij de instellingen, organen en instanties van de Unie. De rapporteur steunt de aanscherping van het mandaat van CERT-EU en is van oordeel dat voor de uitvoering daarvan voldoende middelen ter beschikbaar moeten worden gesteld, en dat in de toekomst zorgvuldig over de opzet van CERT-EU moet worden nagedacht.

De instellingen, organen en instanties van de Unie verschillen aanzienlijk qua omvang en rol. Sommige beschikken over omvangrijke internationale netwerken. De rapporteur geeft dan ook met klem aan dat zij met het oog op het vervullen van hun takenpakket over voldoende flexibiliteit moeten beschikken en een risicogebaseerde benadering moeten kunnen volgen. Tegelijkertijd moet een uniforme benadering voor het aanpakken van cyberbeveiligingsdreigingen worden ontwikkeld, aangezien alle entiteiten van de Unie onderling verbonden zijn en de keten geen zwakke schakels mag hebben.

ADVIES VAN DE COMMISSIE BURGERLIJKE VRIJHEDEN, JUSTITIE EN BINNENLANDSE ZAKEN (1.3.2023)

aan de Commissie industrie, onderzoek en energie

inzake het voorstel voor een verordening van het Europees Parlement en de Raad betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie

(COM(2022)0122 – C9‑0122/2022 – 2022/0085(COD))

Rapporteur voor advies (*): Tomas Tobé

(*) Procedure met medeverantwoordelijke commissies – Artikel 57 van het Reglement

AMENDEMENTEN

De Commissie burgerlijke vrijheden, justitie en binnenlandse zaken verzoekt de bevoegde Commissie industrie, onderzoek en energie onderstaande amendementen in aanmerking te nemen:

Amendement 1

Voorstel voor een verordening

Overweging 4


Door de Commissie voorgestelde tekst	Amendement
(4) De instellingen, organen en instanties van de Unie zijn aantrekkelijke doelwitten die worden geconfronteerd met hooggekwalificeerde en goed toegeruste dreigingsactoren en andere dreigingen. Tegelijkertijd lopen de maturiteit van cyberveerkracht en het vermogen om kwaadwillige cyberactiviteiten op te sporen, aanzienlijk uiteen tussen deze entiteiten. Daarom is het voor de werking van het Europese openbaar bestuur nodig dat de instellingen, organen en instanties van de Unie een hoog gezamenlijk niveau van cyberbeveiliging bereiken, door tot een basisniveau van cyberbeveiliging te komen (minimumregels inzake cyberbeveiliging waaraan netwerk- en informatiesystemen en hun beheerders en gebruikers moeten voldoen om cyberbeveiligingsrisico’s tot een minimum te beperken), informatie uit te wisselen en samen te werken.	(4) De instellingen, organen en instanties van de Unie zijn altijd al aantrekkelijke doelwitten geweest, die worden geconfronteerd met hooggekwalificeerde en goed toegeruste dreigingsactoren en andere dreigingen. Tegelijkertijd lopen de maturiteit van cyberveerkracht en het vermogen om kwaadwillige cyberactiviteiten op te sporen, aanzienlijk uiteen tussen deze entiteiten. Daarom is het voor de werking van het Europese openbaar bestuur nodig dat de instellingen, organen en instanties van de Unie een hoog gezamenlijk niveau van cyberbeveiliging bereiken, door tot een basisniveau van cyberbeveiliging te komen (minimumregels inzake cyberbeveiliging waaraan netwerk- en informatiesystemen en hun beheerders en gebruikers moeten voldoen om cyberbeveiligingsrisico’s tot een minimum te beperken), informatie uit te wisselen en samen te werken.

Amendement 2

Voorstel voor een verordening

Overweging 5


Door de Commissie voorgestelde tekst	Amendement
(5) De richtlijn [NIS 2-voorstel] betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie beoogt de weerbaarheid op het gebied van cyberbeveiliging en de responscapaciteit bij incidenten van publieke en private entiteiten, nationale bevoegde autoriteiten en organen alsmede de Unie als geheel verder te verbeteren. Daarom moeten de instellingen, organen en instanties van de Unie hetzelfde doen en zorgen voor regels die in overeenstemming zijn met de richtlijn [NIS 2-voorstel] en het ambitieniveau ervan weerspiegelen.	(5) De richtlijn [NIS 2-voorstel] betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie beoogt de weerbaarheid op het gebied van cyberbeveiliging en de responscapaciteit bij incidenten van publieke en private entiteiten, nationale bevoegde autoriteiten en organen alsmede de Unie als geheel verder te verbeteren. Daarom moeten de instellingen, organen en instanties van de Unie hetzelfde doen en zorgen voor regels die in overeenstemming zijn met de richtlijn [NIS 2-voorstel] en het ambitieniveau ervan weerspiegelen. De beveiligingsvereisten moeten ten minste gelijk aan of hoger zijn dan de minimale beveiligingsvereisten die gelden voor de entiteiten die onder Richtlijn (EU) 2022/2555 vallen.

Amendement 3

Voorstel voor een verordening

Overweging 6 bis (nieuw)


Door de Commissie voorgestelde tekst	Amendement
	(6 bis) De instellingen, organen en instanties van de Unie moeten worden voorzien van passende middelen en instrumenten met behulp waarvan hun cyberweerbaarheid versterkt kan worden. Het is derhalve van essentieel belang te zorgen voor passende coördinatiemechanismen zodat besluitvorming op efficiënte en effectieve wijze doorgang kan vinden.

Amendement 4

Voorstel voor een verordening

Overweging 22


Door de Commissie voorgestelde tekst	Amendement
(22) Alle overeenkomstig deze verordening verwerkte persoonsgegevens moeten overeenkomstig de gegevensbeschermingswetgeving, met inbegrip van Verordening (EU) 2018/17257 van het Europees Parlement en de Raad, worden verwerkt.	(22) Alle overeenkomstig deze verordening verwerkte persoonsgegevens moeten overeenkomstig de gegevensbeschermingswetgeving van de Unie, met inbegrip van Verordening (EU) 2018/17257 van het Europees Parlement en de Raad, worden verwerkt. Deze verordening mag niet van invloed zijn op de toepassing van Uniewetgeving over de verwerking van persoonsgegevens, met inbegrip van de taken en bevoegdheden van de Europese Toezichthouder voor gegevensbescherming (EDPS). CERT-EU en de IICB moeten nauw samenwerken met de EPDS en personeel dat gespecialiseerd is in gegevensbescherming binnen de instellingen, organen en instanties van de Unie teneinde volledige naleving van het gegevensbeschermingsrecht van de Unie te waarborgen.
__________________	__________________
7 Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39).	7 Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39).

Amendement 5

Voorstel voor een verordening

Overweging 22 bis (nieuw)


Door de Commissie voorgestelde tekst	Amendement
	(22 bis) Cyberbeveiligingssystemen en -diensten die worden ingezet voor preventie, opsporing en cyberrespons in verband met cyberdreiging moeten in overeenstemming zijn met de regelgeving omtrent gegevensbescherming en privacy, en de nodige technische en organisatorische maatregelen moeten worden getroffen met het oog op de waarborging van de verantwoording van die naleving.

Amendement 6

Voorstel voor een verordening

Overweging 23


Door de Commissie voorgestelde tekst	Amendement
(23) CERT-EU en de instellingen, organen en instanties van de Unie moeten informatie verwerken overeenkomstig de regels zoals bepaald in verordening [de voorgestelde verordening inzake informatiebeveiliging]. Met het oog op de coördinatie van veiligheidskwesties moeten alle contacten met CERT-EU die door nationale veiligheids- en inlichtingendiensten worden geïnitieerd of beoogd, onverwijld aan het directoraat Beveiliging van de Commissie en de voorzitter van de IICB worden meegedeeld.	(23) CERT-EU en de instellingen, organen en instanties van de Unie moeten informatie verwerken overeenkomstig de regels van de Unie inzake informatiebeveiliging, met name die van Verordening [de voorgestelde verordening inzake informatiebeveiliging]. Met het oog op de coördinatie van veiligheidskwesties moeten alle contacten met CERT-EU die door nationale veiligheids- en inlichtingendiensten worden geïnitieerd of beoogd, onverwijld aan het directoraat Beveiliging van de Commissie en de voorzitter van de IICB worden meegedeeld.

Amendement 7

Voorstel voor een verordening

Overweging 25 bis (nieuw)


Door de Commissie voorgestelde tekst	Amendement
	(25 bis) Overeenkomstig artikel 42, lid 1, van Verordening (EU) 2018/1725 is de Europese Toezichthouder voor gegevensbescherming geraadpleegd, en op 17 mei 2022 heeft hij een advies uitgebracht,

Amendement 8

Voorstel voor een verordening

Artikel 4 – lid 5


Door de Commissie voorgestelde tekst	Amendement
5. De instellingen, organen en instanties van de Unie stellen elk een lokale cyberbeveiligingsfunctionaris of een gelijkwaardige functionaris aan, die fungeert als het centrale contactpunt voor alle cyberbeveiligingsaspecten.	5. De instellingen, organen en instanties van de Unie stellen elk een lokale cyberbeveiligingsfunctionaris of een gelijkwaardige functionaris aan, die fungeert als het centrale contactpunt voor alle cyberbeveiligingsaspecten. De lokale cyberbeveiligingsfunctionaris werkt samen met de functionaris voor gegevensbescherming die overeenkomstig artikel 43 van Verordening (EU) 2018/1725 is aangewezen, daar waar er overlap tussen hun activiteiten is, zoals bij het integreren in cyberbeveiligingsmaatregelen van gegevensbescherming door ontwerp en door standaardinstellingen, en bij het selecteren van cyberbeveiligingsmaatregelen die bescherming van persoonsgegevens waarborgen en gebruik maken van geïntegreerd risicobeheer en een geïntegreerde behandeling van beveiligingsincidenten.

Amendement 9

Voorstel voor een verordening

Artikel 9 – lid 3 – alinea 1 – punt k bis (nieuw)


Door de Commissie voorgestelde tekst	Amendement
	k bis) de Europese toezichthouder voor gegevensbescherming.

Amendement 10

Voorstel voor een verordening

Artikel 9 – lid 3 – alinea 1 – punt k ter (nieuw)


Door de Commissie voorgestelde tekst	Amendement
	k ter) het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving,

Amendement 11

Voorstel voor een verordening

Artikel 12 – lid 2 – punt e bis (nieuw)


Door de Commissie voorgestelde tekst	Amendement
	e bis) het stelt de Europese Toezichthouder voor gegevensbescherming in kennis van elke indicatie die kan wijzen op een inbreuk door een instelling, orgaan of instantie van de Unie op de in deze verordening vastgestelde verplichtingen en die een onrechtmatige verwerking van persoonsgegevens inhoudt;

Amendement 12

Voorstel voor een verordening

Artikel 12 – lid 2 – punt e ter (nieuw)


Door de Commissie voorgestelde tekst	Amendement
	e ter) het werkt bij de behandeling van incidenten die geleid hebben tot inbreuken in verband met persoonsgegevens of schending van de vertrouwelijkheid van elektronische communicatie nauw samen met de Europese Toezichthouder voor gegevensbescherming.

Amendement 13

Voorstel voor een verordening

Artikel 12 – lid 7 bis (nieuw)


Door de Commissie voorgestelde tekst	Amendement
	7 bis. CERT-EU stelt de Europese Toezichthouder voor gegevensbescherming in kennis wanneer het in actie komt vanwege significante kwetsbaarheden, significante incidenten of grootscheepse aanvallen die kunnen leiden tot inbreuken in verband met persoonsgegevens of schending van de vertrouwelijkheid van elektronische communicatie.

Amendement 14

Voorstel voor een verordening

Artikel 18 – lid 2


Door de Commissie voorgestelde tekst	Amendement
2. Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad9 is van toepassing op verzoeken om toegang van het publiek tot documenten die berusten bij CERT-EU, met inbegrip van de verplichting overeenkomstig die verordening om andere instellingen, organen en instanties van de Unie te raadplegen indien een verzoek betrekking heeft op hun documenten.	2. Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad9 is van toepassing op verzoeken om toegang van het publiek tot documenten die berusten bij CERT-EU, met inbegrip van de verplichting overeenkomstig die verordening om andere instellingen, organen en instanties van de Unie of, in voorkomend geval, lidstaten te raadplegen indien een verzoek betrekking heeft op hun documenten.
__________________	__________________
9 Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad van 30 mei 2001 inzake de toegang van het publiek tot documenten van het Europees Parlement, de Raad en de Commissie (PB L 145 van 31.5.2001, blz. 43).	9 Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad van 30 mei 2001 inzake de toegang van het publiek tot documenten van het Europees Parlement, de Raad en de Commissie (PB L 145 van 31.5.2001, blz. 43).

Amendement 15

Voorstel voor een verordening

Artikel 18 – lid 3 – alinea 1 bis (nieuw)


Door de Commissie voorgestelde tekst	Amendement
	Elke verwerking, uitwisseling, verzameling of bewaring van persoonsgegevens door CERT-EU, de IICB en de instellingen, organen en instanties van de Unie is beperkt tot het strikt noodzakelijk verwerken, uitwisselen, verzamelen of bewaren van persoonsgegevens en wordt uitsluitend uitgevoerd om aan hun respectieve verplichtingen uit hoofde van deze verordening te voldoen.

Amendement 16

Voorstel voor een verordening

Artikel 18 – lid 3 bis (nieuw)


Door de Commissie voorgestelde tekst	Amendement
	3 bis. Uiterlijk [één jaar na de inwerkingtreding van deze verordening] neemt de Commissie een gedelegeerde handeling aan om te verduidelijken welke activiteiten inzake de verwerking van persoonsgegevens in het kader van deze verordening zijn toegestaan, met inbegrip van het doel van de verwerking, de categorieën persoonsgegevens, de categorieën betrokkenen, de voorwaarden voor de gegevensverwerking, de maximale bewaringstermijnen, de vastlegging van de verwerkingsverantwoordelijken en verwerkers, en de ontvangers in het geval van doorgifte.
	De in de eerste alinea bedoelde gedelegeerde handeling beperkt verwerkingsactiviteiten tot die welke strikt noodzakelijk zijn en vereist dat die verwerkingsactiviteiten zo gericht mogelijk zijn en dat ongedifferentieerde bewaring van informatie over gegevensstromen of over de inhoud van gegevens is uitgesloten.
	De Commissie wijzigt de in de eerste alinea bedoelde gedelegeerde handeling indien zij vaststelt dat zich significante wijzigingen hebben voorgedaan wat betreft de noodzaak of specifieke doeleinden van of de betrokken entiteiten bij de verwerking van persoonsgegevens in het kader van deze verordening.

Amendement 17

Voorstel voor een verordening

Artikel 18 – lid 4


Door de Commissie voorgestelde tekst	Amendement
4. CERT-EU en de instellingen, organen en instanties van de Unie verwerken informatie overeenkomstig de regels zoals opgenomen in [de voorgestelde verordening inzake informatiebeveiliging].	4. CERT-EU en de instellingen, organen en instanties van de Unie verwerken informatie overeenkomstig de regels van de Unie inzake informatiebeveiliging, met name die van [de voorgestelde verordening inzake informatiebeveiliging].

Amendement 18

Voorstel voor een verordening

Artikel 18 – lid 5


Door de Commissie voorgestelde tekst	Amendement
5. Alle contacten met CERT-EU die door nationale veiligheids- en inlichtingendiensten worden geïnitieerd of beoogd, worden onverwijld aan het directoraat Veiligheid van de Commissie en de voorzitter van de IICB meegedeeld.	5. Alle contacten met CERT-EU die door nationale veiligheids- en inlichtingendiensten worden geïnitieerd of beoogd, worden onverwijld aan het directoraat Veiligheid van de Commissie, Europol en de voorzitter van de IICB meegedeeld.

Amendement 19

Voorstel voor een verordening

Artikel 19 – titel


Door de Commissie voorgestelde tekst	Amendement
Deelverplichtingen	Informatie-uitwisseling

Amendement 20

Voorstel voor een verordening

Artikel 19 – lid 1


Door de Commissie voorgestelde tekst	Amendement
1. Om CERT-EU in staat te stellen het kwetsbaarheidsbeheer en de respons op incidenten te coördineren, kan het de instellingen, organen en instanties van de Unie verzoeken voor CERT-EU-steun relevante informatie uit hun respectieve IT-systeeminventarissen te verstrekken. De aangezochte instellingen, organen en instanties zenden de verlangde informatie en bijbehorende actualiseringen daarvan onverwijld toe.	1. Met het oog op de uitvoering door CERT-EU van de in artikel 12 vastgestelde taken, met name de coördinatie van het kwetsbaarheidsbeheer en de respons op incidenten, verstrekken de instellingen, organen of instanties van de Unie CERT-EU op zijn verzoek voor CERT-EU-steun relevante informatie uit hun respectieve ICT-systeeminventarissen, met inbegrip van eventuele wijzigingen in hun IT-omgeving. De aangezochte entiteit zendt de verlangde informatie en bijbehorende actualiseringen daarvan onverwijld toe.
	Onverminderd Verordening (EU) 2018/1725, wordt elke uitwisseling van gegevens tussen instellingen, organen of instanties van de Unie uitgevoerd overeenkomstig de beginselen van duidelijke waarborgen voor specifieke gebruiksgevallen en wordt gebruikgemaakt van verdragen inzake onderlinge juridische bijstand en andere overeenkomsten, teneinde te zorgen voor een hoog niveau van bescherming van rechten bij de verwerking van aanvragen voor grensoverschrijdende gegevenstoegang.

Amendement 21

Voorstel voor een verordening

Artikel 19 – lid 1 bis (nieuw)


Door de Commissie voorgestelde tekst	Amendement
	1 bis. De instellingen, organen en instanties van de Unie mogen CERT-EU vrijwillig informatie verstrekken over cyberdreigingen en -incidenten, near-misses en kwetsbaarheden die zich in hun geval voordoen. Tevens kunnen zij CERT‑EU verzoeken om verdere technische bijstand en advies bij de bestrijding van cyberbeveiligingsincidenten en grootscheepse aanvallen. CERT-EU mag voorrang geven aan de verwerking van verplichte meldingen boven vrijwillig gedane meldingen, tenzij naar behoren is aangetoond dat een vrijwillig verzoek van de instellingen, organen en instanties van de Unie dringend moet worden beantwoord.

Amendement 22

Voorstel voor een verordening

Artikel 19 – lid 3


Door de Commissie voorgestelde tekst	Amendement
3. CERT-EU kan alleen met toestemming van de individuele instellingen, organen en instanties van de Unie, incidentspecifieke informatie uitwisselen die de identiteit van de door het incident getroffen entiteit onthult. CERT‑EU kan alleen met toestemming van de door het incident getroffen entiteit, incidentspecifieke informatie uitwisselen die de identiteit van het doelwit van het cyberbeveiligingsincident onthult.	3. CERT-EU kan alleen met goedkeuring van de individuele instellingen, organen en instanties van de Unie, incidentspecifieke informatie uitwisselen die de identiteit van de door het incident getroffen entiteit onthult. CERT‑EU kan alleen met goedkeuring van de door het incident getroffen entiteit, incidentspecifieke informatie uitwisselen die de identiteit van het doelwit van het cyberbeveiligingsincident onthult.
	Indien dat voor de uitvoering van zijn taken noodzakelijk is, mag CERT-EU incidentspecifieke informatie uitwisselen, ook bij afwezigheid van goedkeuring van de instelling, het orgaan of de instantie van de Unie die door het incident is getroffen. De instelling, het orgaan of de instantie van de Unie wordt vooraf van een dergelijke uitwisseling van informatie in kennis gesteld.

Amendement 23

Voorstel voor een verordening

Artikel 19 – lid 4


Door de Commissie voorgestelde tekst	Amendement
4. De deelverplichtingen gelden niet voor gerubriceerde EU-informatie (EUCI), noch voor informatie die een instelling, orgaan of instantie van de Unie van een veiligheids- of inlichtingendienst of een rechtshandhavingsinstantie van een lidstaat heeft ontvangen onder de uitdrukkelijke voorwaarde dat die niet met CERT-EU wordt gedeeld.	4. De deelverplichtingen gelden niet voor gerubriceerde EU-informatie (EUCI), noch voor informatie die een instelling, orgaan of instantie van de Unie van een veiligheids- of inlichtingendienst of een rechtshandhavingsinstantie van een lidstaat heeft ontvangen, tenzij de betrokken veiligheids- of inlichtingendienst of rechtshandhavingsinstantie van een lidstaat toestaat dat die informatie met CERT-EU wordt gedeeld.

Amendement 24

Voorstel voor een verordening

Artikel 20 – lid 3


Door de Commissie voorgestelde tekst	Amendement
3. CERT-EU dient maandelijks bij Enisa een samenvattend verslag in, met geanonimiseerde en geaggregeerde gegevens over significante dreigingen, significante kwetsbaarheden en significante incidenten op het gebied van cyberveiligheid, die overeenkomstig lid 1 ter kennis zijn gegeven.	3. CERT-EU dient maandelijks bij Enisa een samenvattend verslag in, met geanonimiseerde en geaggregeerde gegevens over significante dreigingen, significante kwetsbaarheden en significante incidenten op het gebied van cyberveiligheid, die overeenkomstig lid 1 ter kennis zijn gegeven. Dat verslag wordt openbaar gemaakt, met inachtneming van de toepasselijke voorschriften van de Unie inzake informatiebeveiliging, met name die welke zijn vastgesteld in [de voorgestelde verordening inzake informatiebeveiliging].

Amendement 25

Voorstel voor een verordening

Artikel 20 – lid 5


Door de Commissie voorgestelde tekst	Amendement
5. De kennisgevingsverplichtingen gelden niet voor EUCI, noch voor informatie die instellingen, organen en instanties van de Unie van een veiligheids- of inlichtingendienst of een rechtshandhavingsinstantie van een lidstaat hebben ontvangen onder de uitdrukkelijke voorwaarde dat die niet met CERT-EU wordt gedeeld.	5. De kennisgevingsverplichtingen gelden niet voor EUCI, noch voor informatie die instellingen, organen en instanties van de Unie van een veiligheids- of inlichtingendienst of een rechtshandhavingsinstantie van een lidstaat hebben ontvangen, tenzij de betrokken veiligheids- of inlichtingendienst of rechtshandhavingsinstantie van een lidstaat toestaat dat die informatie met CERT-EU wordt gedeeld.

Amendement 26

Voorstel voor een verordening

Artikel 21 – lid 4


Door de Commissie voorgestelde tekst	Amendement
4. De IICB verstrekt richtsnoeren inzake de respons bij incidenten en samenwerking bij significante incidenten. Wanneer wordt vermoed dat het incident crimineel van aard is, adviseert CERT-EU over de manier waarop het incident aan de rechtshandhavingsinstanties moet worden gemeld.	4. De IICB verstrekt richtsnoeren inzake de respons bij incidenten en samenwerking bij significante incidenten. Wanneer wordt vermoed dat het incident crimineel van aard is, meldt CERT-EU of de IICB het incident onverwijld aan de rechtshandhavingsinstanties.

Amendement 27

Voorstel voor een verordening

Artikel 24 bis (nieuw)


Door de Commissie voorgestelde tekst	Amendement
	Artikel 24 bis
	Uitoefening van de bevoegdheidsdelegatie
	1. De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel neergelegde voorwaarden.
	2. De in artikel 18, lid 3 bis bedoelde bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend voor onbepaalde tijd met ingang van … [één dag na de datum van inwerkingtreding van deze verordening].
	3. Het Europees Parlement of de Raad kan de in artikel 18, lid 3 bis, bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Het besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheid. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van reeds van kracht zijnde gedelegeerde handelingen onverlet.
	4. Zodra de Commissie een gedelegeerde handeling vaststelt, stelt zij het Europees Parlement en de Raad daarvan gelijktijdig in kennis.
	5. Een overeenkomstig artikel 18, lid 3 bis vastgestelde gedelegeerde handeling treedt alleen in werking indien het Europees Parlement noch de Raad daartegen binnen een termijn van twee maanden na de kennisgeving van de handeling aan het Europees Parlement en de Raad bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad voor het verstrijken van die termijn de Commissie hebben medegedeeld dat zij daartegen geen bezwaar zullen maken. Deze termijn wordt op initiatief van het Europees Parlement of van de Raad met twee maanden verlengd.

Amendement 28

Voorstel voor een verordening

Bijlage II – alinea 1 – punt 2 bis (nieuw)


Door de Commissie voorgestelde tekst	Amendement
	(2 bis) het gebruik, waar mogelijk, van versleuteling in rust, versleuteling in doorvoer en eind-tot-eindversleuteling;

PROCEDURE VAN DE ADVISERENDE COMMISSIE

Titel	Maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie
Document- en procedurenummers	COM(2022)0122 – C9-0122/2022 – 2022/0085(COD)
Bevoegde commissie Datum bekendmaking	ITRE 4.4.2022
Advies uitgebracht door Datum bekendmaking	LIBE 4.4.2022
Medeverantwoordelijke commissies - datum bekendmaking	15.9.2022
Rapporteur voor advies Datum benoeming	Tomas Tobé 12.12.2022
Behandeling in de commissie	31.1.2023
Datum goedkeuring	1.3.2023
Uitslag eindstemming	+: –: 0:	62 0 1
Bij de eindstemming aanwezige leden	Magdalena Adamowicz, Abir Al-Sahlani, Malik Azmani, Katarina Barley, Pietro Bartolo, Vladimír Bilčík, Vasile Blaga, Ioan-Rareş Bogdan, Karolin Braunsberger-Reinhold, Patrick Breyer, Saskia Bricmont, Patricia Chagnon, Caterina Chinnici, Clare Daly, Lena Düpont, Lucia Ďuriš Nicholsonová, Maria Grapini, Sylvie Guillaume, Andrzej Halicki, Evin Incir, Sophia in ‘t Veld, Patryk Jaki, Marina Kaljurand, Assita Kanko, Fabienne Keller, Łukasz Kohut, Moritz Körner, Alice Kuhnke, Jeroen Lenaers, Juan Fernando López Aguilar, Erik Marquardt, Nuno Melo, Maite Pagazaurtundúa, Karlo Ressler, Diana Riba i Giner, Birgit Sippel, Sara Skyttedal, Vincenzo Sofo, Tineke Strik, Ramona Strugariu, Annalisa Tardino, Tomas Tobé, Yana Toom, Milan Uhrík, Tom Vandendriessche, Jadwiga Wiśniewska
Bij de eindstemming aanwezige vaste plaatsvervangers	Susanna Ceccardi, Gwendoline Delbos-Corfield, Loucas Fourlas, Beata Kempa, Philippe Olivier, Dragoş Tudorache, Petar Vitanov, Tomáš Zdechovský
Bij de eindstemming aanwezige plaatsvervangers (art. 209, lid 7)	Gheorghe Falcă, Jean-François Jalkh, Petra Kammerevert, Marisa Matias, Martina Michels, Ljudmila Novak, Stanislav Polčák, Mick Wallace, Bernhard Zimniok

HOOFDELIJKE EINDSTEMMING IN DE ADVISERENDE COMMISSIE

62	+
ECR	Patryk Jaki, Assita Kanko, Beata Kempa, Vincenzo Sofo, Jadwiga Wiśniewska
ID	Susanna Ceccardi, Patricia Chagnon, Jean-François Jalkh, Philippe Olivier, Annalisa Tardino, Tom Vandendriessche, Bernhard Zimniok
PPE	Magdalena Adamowicz, Vladimír Bilčík, Vasile Blaga, Ioan-Rareş Bogdan, Karolin Braunsberger-Reinhold, Lena Düpont, Gheorghe Falcă, Loucas Fourlas, Andrzej Halicki, Jeroen Lenaers, Nuno Melo, Ljudmila Novak, Stanislav Polčák, Karlo Ressler, Sara Skyttedal, Tomas Tobé, Tomáš Zdechovský
Renew	Abir Al-Sahlani, Malik Azmani, Lucia Ďuriš Nicholsonová, Sophia in 't Veld, Fabienne Keller, Moritz Körner, Maite Pagazaurtundúa, Ramona Strugariu, Yana Toom, Dragoş Tudorache
S&D	Katarina Barley, Pietro Bartolo, Caterina Chinnici, Maria Grapini, Sylvie Guillaume, Evin Incir, Marina Kaljurand, Petra Kammerevert, Łukasz Kohut, Juan Fernando López Aguilar, Birgit Sippel, Petar Vitanov
The Left	Clare Daly, Marisa Matias, Martina Michels, Mick Wallace
Verts/ALE	Patrick Breyer, Saskia Bricmont, Gwendoline Delbos-Corfield, Alice Kuhnke, Erik Marquardt, Diana Riba i Giner, Tineke Strik

0	-

1	0
NI	Milan Uhrík

Verklaring van de gebruikte tekens:

+ : voor

- : tegen

0 : onthouding

ADVIES VAN DE BEGROTINGSCOMMISSIE (13.7.2022)

aan de Commissie industrie, onderzoek en energie

(COM(2022)0122 – C9‑0122/2022 – 2022/0085(COD))

Rapporteur voor advies: Nils Ušakovs

BEKNOPTE MOTIVERING

Rapporteur verwelkomt het voorstel van de Commissie betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie (EU-IOA’s). Hij is van oordeel dat dit voorstel noodzakelijk is om de veerkracht en de beveiliging van het openbaar bestuur van de EU te verbeteren in het licht van het toegenomen aantal steeds geavanceerdere cyberbeveiligingsdreigingen. Dit geldt eens te meer gezien de huidige geopolitieke context.

Hij denkt dat interinstitutionele samenwerking van essentieel belang is om dreigingen en risico’s adequaat te voorkomen, op te sporen en te monitoren, en erop te reageren. Alle EU-IOA’s, ongeacht hun omvang, komt een rol toe bij en dragen verantwoordelijkheid voor de bescherming van de EU-IOA’s tegen cyberaanvallen, aangezien de zwakste schakel een risico oplevert voor eenieder. Rapporteur steunt derhalve het idee van basismaatregelen op het gebied van cyberbeveiliging. Daarnaast is hij van oordeel dat interinstitutionele samenwerking, behalve dat het de EU-IOA’s in staat stelt de cyberbeveiliging van hun IT-systemen te verbeteren en adequater op cyberaanvallen te reageren, ook tot synergie-effecten bij de werkmethoden en de communicatiekanalen zou kunnen leiden, met als doel het verminderen van de administratieve lasten, het vermijden van de duplicatie van inspanningen, en het verbeteren van de paraatheid en de bescherming.

In tegenstelling tot wat de Commissie voorstelt, is rapporteur ervan overtuigd dat 42 posten (in plaats van 21) nodig zijn om CERT-EU in staat te stellen een volledig en geavanceerd pakket diensten aan te bieden. Rapporteur is het oneens met het voorstel van de Commissie om extra posten voor CERT-EU gedeeltelijk te compenseren middels een reductie van het aantal arbeidscontractanten.

Rapporteur pleit ervoor dat het Europees Parlement, gezien zijn relatieve omvang en zijn verzoek om aanvullende posten voor cyberbeveiliging in zijn raming voor 2023, in eerste instantie 48 posten aan CERT-EU toewijst (in concreto in de eerste begroting die na de inwerkingtreding van deze verordening wordt vastgesteld). Gedurende de drie jaren daarna worden dan jaarlijks 14 van deze posten terug overgeheveld naar het Parlement, waarmee CERT-EU aan het eind van dit proces dus zes permanente posten overhoudt. Deze geleidelijk overheveling van posten terug naar het Parlement zorgt voor stabiliteit op het personeelsfront en wat kennisbeheer betreft. Tegelijkertijd wijzen de andere relevante EU-IOA’s na het eerste jaar geleidelijk posten toe aan CERT-EU. Dit maakt het mogelijk vanaf het begin een pool van 42 nieuwe permanente personeelsleden in CERT-EU te creëren.

Rapporteur stelt voor de bestaande mechanismen van overeenkomsten inzake het dienstverleningsniveau voor aangerekende diensten te verbeteren, overeenkomstig de aanbeveling van de Europese Rekenkamer in zijn Speciaal verslag 05/2022 [1], teneinde tot een beter beheer van de cash flows te komen en de administratieve rompslomp te reduceren.

Tot slot beveelt rapporteur aan dat investeringen en posten in verband met cyberbeveiliging binnen de EU-IOA’s specifiek worden gereserveerd. Dit zal het mogelijk maken om op het niveau van de EU-IOA’s optimale praktijken in kaart te brengen en uit te wisselen, en vast te stellen wat de eventuele financieringsbehoeften zijn.

AMENDEMENTEN

De Begrotingscommissie verzoekt de bevoegde Commissie industrie, onderzoek en energie onderstaande amendementen in aanmerking te nemen:

Amendement 1

Voorstel voor een verordening

Overweging 7


Door de Commissie voorgestelde tekst	Amendement
(7) De verschillen tussen de instellingen, organen en instanties van de Unie vereisen flexibiliteit bij de uitvoering, omdat een uniforme aanpak niet mogelijk is. De maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging mogen geen verplichtingen omvatten die rechtstreeks ingrijpen in de uitoefening van de missie van de instellingen, organen en instanties van de Unie, of hun institutionele autonomie aantasten. Die instellingen, organen en instanties van de Unie moeten dus hun eigen kaders voor het beheer, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s opstellen en hun eigen basisniveau van cyberbeveiliging en cyberbeveiligingsplannen vaststellen.	(7) De verschillen tussen de instellingen, organen en instanties van de Unie, inclusief wat de omvang van hun personele en financiële middelen betreft, vereisen flexibiliteit bij de uitvoering, omdat een uniforme aanpak niet mogelijk is. De maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging mogen geen verplichtingen omvatten die rechtstreeks ingrijpen in de uitoefening van de missie van de instellingen, organen en instanties van de Unie, of hun institutionele autonomie aantasten. Die instellingen, organen en instanties van de Unie moeten dus hun eigen kaders voor het beheer, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s opstellen en hun eigen basisniveau van cyberbeveiliging en cyberbeveiligingsplannen vaststellen.

Motivering

Van een kleine instantie of een klein orgaan kan niet dezelfde bijdrage worden verwacht als van een instelling van de Unie.

Amendement 2

Voorstel voor een verordening

Overweging 8


Door de Commissie voorgestelde tekst	Amendement
(8) Om te voorkomen dat aan de instellingen, organen en instanties van de Unie onevenredige financiële en administratieve lasten worden opgelegd, moeten de eisen inzake risicobeheer op het gebied van cyberbeveiliging, rekening houdend met de stand van de techniek, in verhouding staan tot het risico dat verbonden is aan het netwerk- en informatiesysteem in kwestie. De instellingen, organen en instanties van de Unie moeten beogen een passend percentage van hun IT-begroting aan betere cyberbeveiliging te besteden; op langere termijn moet een doel van ongeveer 10 % worden nagestreefd.	(8) Om te voorkomen dat aan de instellingen, organen en instanties van de Unie onevenredige financiële en administratieve lasten worden opgelegd, moeten de eisen inzake risicobeheer op het gebied van cyberbeveiliging, rekening houdend met de stand van de techniek, in verhouding staan tot het risico dat verbonden is aan het netwerk- en informatiesysteem in kwestie. De instellingen, organen en instanties van de Unie moeten beogen voldoende middelen uit hun IT-begroting aan betere cyberbeveiliging te besteden en ten minste een minimumniveau van cyberbeveiliging te waarborgen dat overeenstemt met de risicobeoordeling. De kosten voor het waarborgen van cyberbeveiliging hangen af van verschillende factoren, zoals de grootte van de entiteit, de noodzaak om te zorgen voor specifieke bescherming, het aanvalsoppervlak en het dreigingsprofiel, en omvatten vaste kosten en een variabel deel. Als gevolg van de steeds toenemende dreigingen kan op langere termijn tot 10 % van de begroting van een entiteit nodig zijn om een passend veiligheidsniveau te waarborgen, overeenkomstig de industrienorm. Overeenkomstig de aanbeveling van de Europese Toezichthouder voor gegevensbescherming in zijn advies 8/2022 van 17 mei 2022 moeten de minimumbeveiligingsvereisten van deze verordening gelijk zijn aan of hoger zijn dan de minimumbeveiligingsvereisten voor de entiteiten in het NIS- en het NIS 2.0-voorstel.

Motivering

Volgens de industrienorm moet 10 % van de begroting voor informatie, communicatie en technologie (ICT) aan cyberbeveiliging worden besteed. De IT-begroting moet evenredig zijn met de risico’s in elk van de instellingen, organen en instanties van de Unie overeenkomstig hun externe en interne specifieke kenmerken. In zijn advies 8/2022 doet de EDPS de aanbeveling in het voorstel op te nemen dat de minimumbeveiligingsvereisten van deze verordening ten minste gelijk zijn aan of hoger zijn dan de minimumbeveiligingsvereisten voor de entiteiten in het NIS- en het NIS 2.0-voorstel.

Amendement 3

Voorstel voor een verordening

Overweging 8 bis (nieuw)


Door de Commissie voorgestelde tekst	Amendement
	(8 bis) Om de kosten van de aangerekende diensten op de instellingen, organen en instanties van de Unie die van die diensten gebruik maken te verhalen, moet CERT-EU er zorg voor dragen dat de overeenkomsten inzake het dienstverleningsniveau, die goed waren voor de financiering van meer dan 90 % van de begroting 2020 van CERT-EU, geen onnodige administratieve lasten creëren en een nuttig instrument zijn voor het plannen van toekomstige cashflowinkomsten.

Motivering

In Speciaal verslag 05/2022 van de Europese Rekenkamer staat: “Overeenkomsten inzake het dienstverleningsniveau moeten jaarlijks worden vernieuwd.”. Dit vormt een administratieve last en zorgt voor cashflowproblemen, aangezien de betalingen uit hoofde van de SLA’s niet allemaal tegelijkertijd bij CERT-EU binnenkomen. Agentschappen kunnen overeenkomsten inzake het dienstverleningsniveau op enig moment opzeggen, hetgeen het gevaar van een vicieuze cirkel inhoudt, waarbij CERT-EU vanwege gederfde inkomsten zijn diensten moet reduceren en niet meer aan de vraag kan voldoen, wat andere EU-IOA’s er op hun beurt toe zal brengen hun SLA’s te beëindigen en naar particuliere providers over te stappen. Gezien het voorgaande is het huidige financieringsmodel niet ideaal om een stabiel en optimaal dienstverleningsniveau te waarborgen.

Amendement 4

Voorstel voor een verordening

Overweging 8 ter (nieuw)


Door de Commissie voorgestelde tekst	Amendement
	(8 ter) Om een doeltreffend cyberbeveiligingskader te kunnen waarborgen en in een brede waaier aan diensten voor instellingen, organen en instanties van de Unie te kunnen voorzien, heeft CERT-EU stabiele, hooggekwalificeerde en gespecialiseerde personeelsleden nodig. Daarnaast moet, om een doeltreffend kennisbeheer te waarborgen, een groter deel van het aan CERT-EU toegewezen personeel uit vaste krachten bestaan. Deze personeelsleden moeten toegang hebben tot permanente opleidingsprogramma’s.

Motivering

CERT-EU heeft 42 aanvullende posten (personeel in vaste dienst) nodig om zijn kennisbasis te handhaven. Het Parlement moet in eerste instantie 48 posten aan CERT-EU toewijzen in de eerste begroting die na de inwerkingtreding van deze verordening wordt vastgesteld. Gedurende de drie jaren daarna worden dan jaarlijks 14 van deze posten terug overgeheveld naar het Parlement, waarmee CERT-EU dus zes permanente posten overhoudt. Tegelijkertijd wijzen de andere relevante EU-IOA’s na het eerste jaar geleidelijk posten toe aan CERT-EU. Dit mechanisme maakt het mogelijk vanaf het begin een pool van 42 permanente posten te creëren, met passende toegang tot opleidingsprogramma’s.

Amendement 5

Voorstel voor een verordening

Overweging 8 quater (nieuw)


Door de Commissie voorgestelde tekst	Amendement
	(8 quater) In de huidige geopolitieke context is het van essentieel belang dat de vertrouwelijkheid van gegevens te allen tijde door gespecialiseerde operationele teams tegen cyberdreigingen wordt beschermd.

Amendement 6

Voorstel voor een verordening

Overweging 8 quinquies (nieuw)


Door de Commissie voorgestelde tekst	Amendement
	(8 quinquies) Voordat er extra personele middelen worden toegewezen, moet de Commissie een analyse van de behoeften uitvoeren, rekening houdend met het langetermijnperspectief.

Amendement 7

Voorstel voor een verordening

Overweging 10 bis (nieuw)


Door de Commissie voorgestelde tekst	Amendement
	(10 bis) Interinstitutionele samenwerking en vertrouwen zijn essentieel voor een doeltreffende en effectieve bescherming van de IT-omgeving van de Unie en, dus, haar democratische stem. Alle betrokken partijen moeten altijd streven naar synergie-effecten, het reduceren van de administratieve lasten, en het vermijden van de duplicatie van inspanningen.

Motivering

Meerdere organen en netwerken zijn betrokken bij het verstrekken van adviezen en het verzamelen van informatie over IT-incidenten, responsmaatregelen, enz. Het is essentieel dat voor onderlinge samenwerking wordt gezorgd om de duplicatie van inspanningen te vermijden, synergie-effecten te realiseren, en ervoor te zorgen dat zij snel en effectief met elkaar communiceren.

Amendement 8

Voorstel voor een verordening

Overweging 10 ter (nieuw)


Door de Commissie voorgestelde tekst	Amendement
	(10 ter) Teneinde consistent te zijn met het beleid dat de Unie ten aanzien van de lidstaten bevordert, moeten de instellingen, organen en instanties van de Unie afzien van het gebruik en de ontwikkeling van software, zoals Pegasus, die het recht op privacy en de rechtsstaat van de Unie zou kunnen aantasten;

Motivering

In zijn verslag van 15 februari 2022 getiteld “Voorlopige opmerkingen over moderne spyware” verzocht de EDPS de lidstaten af te zien van het gebruik en de ontwikkeling op Europees grondgebied van software, zoals Pegasus, die het recht op privacy, de democratie en de rechtsstaat zou kunnen aantasten, en derhalve onverenigbaar zou kunnen zijn met de democratische waarden en de rechtsorde van de Unie.

Amendement 9

Voorstel voor een verordening

Overweging 11


Door de Commissie voorgestelde tekst	Amendement
(11) In mei 2011 hebben de secretarissen-generaal van de instellingen, organen en instanties van de Unie besloten een preconfiguratieteam voor een computercrisisteam voor de instellingen, organen en instanties van de Unie (CERT-EU) in te stellen, onder toezicht van een interinstitutionele stuurgroep. In juli 2012 bevestigden de secretarissen-generaal de praktische regelingen en kwamen zij overeen CERT-EU te handhaven als permanente entiteit om het algehele niveau van IT-veiligheid van de instellingen, organen en instanties van de EU verder te helpen verbeteren, als voorbeeld van zichtbare interinstitutionele samenwerking op het gebied van cyberveiligheid. In september 2012 is CERT-EU opgericht als taskforce van de Europese Commissie, met een interinstitutioneel mandaat. In december 2017 zijn de instellingen, organen en instanties van de Unie een interinstitutionele regeling overeengekomen over de organisatie en de werking van CERT-EU3. Deze regeling moet doorlopend evolueren ter ondersteuning van de uitvoering van deze verordening.	(11) In mei 2011 hebben de secretarissen-generaal van de instellingen, organen en instanties van de Unie besloten een preconfiguratieteam voor een computercrisisteam voor de instellingen, organen en instanties van de Unie (CERT-EU) in te stellen, onder toezicht van een interinstitutionele stuurgroep. In juli 2012 bevestigden de secretarissen-generaal de praktische regelingen en kwamen zij overeen CERT-EU te handhaven als permanente entiteit om het algehele niveau van IT-veiligheid van de instellingen, organen en instanties van de EU verder te helpen verbeteren, als voorbeeld van zichtbare interinstitutionele samenwerking op het gebied van cyberveiligheid. In september 2012 is CERT-EU opgericht als permanente taskforce van de Europese Commissie, met een interinstitutioneel mandaat. In december 2017 zijn de instellingen, organen en instanties van de Unie een interinstitutionele regeling overeengekomen over de organisatie en de werking van CERT-EU3. Deze interinstitutionele regeling moet doorlopend evolueren om te stroken met en ter ondersteuning van de uitvoering van deze verordening.
__________________	__________________
3 PB C 12 van 13.1.2018, blz. 1.	3 PB C 12 van 13.1.2018, blz. 1.

Motivering

Overeenkomstig overweging 11 is CERT-EU opgericht als een permanente entiteit. De interinstitutionele regeling van 2018 moet worden herzien om rekening te houden met de uitsplitsing van posten in bijlage II bis (nieuw).

Amendement 10

Voorstel voor een verordening

Overweging 14


Door de Commissie voorgestelde tekst	Amendement
(14) Naast meer taken en een grotere rol voor CERT-EU, moet een interinstitutionele raad voor cyberbeveiliging (IICB) worden opgericht, die een hoog gezamenlijk niveau van cyberbeveiliging onder de instellingen, organen en instanties van de Unie moet bevorderen, door middel van toezicht op de uitvoering van deze verordening door de instellingen, organen en instanties van de Unie en op de uitvoering van de algemene prioriteiten en doelstellingen door CERT-EU, en via de strategische leiding van CERT-EU. De IICB moet vertegenwoordiging van de instellingen waarborgen, en via het netwerk van agentschappen van de Unie vertegenwoordigers van instanties en organen omvatten.	(14) Naast meer taken en een grotere rol voor CERT-EU, moet een interinstitutionele raad voor cyberbeveiliging (IICB) worden opgericht, die een hoog gezamenlijk niveau van cyberbeveiliging onder de instellingen, organen en instanties van de Unie moet bevorderen, door middel van toezicht op de uitvoering van deze verordening door de instellingen, organen en instanties van de Unie en op de uitvoering van de algemene prioriteiten en doelstellingen door CERT-EU, en via de strategische leiding van CERT-EU. De IICB moet vertegenwoordiging van de instellingen waarborgen, via het netwerk van agentschappen van de Unie vertegenwoordigers van instanties en organen omvatten en een genderevenwichtige benoemingsprocedure hanteren. De IICB moet eisen dat al zijn leden een evenwichtige vertegenwoordiging van mannen en vrouwen voordragen.

Motivering

Het is belangrijk ervoor te zorgen dat het beginsel van genderevenwicht wordt geëerbiedigd in de onlangs opgerichte IICB.

Amendement 11

Voorstel voor een verordening

Overweging 24


Door de Commissie voorgestelde tekst	Amendement
(24) Aangezien de diensten en taken van CERT-EU in het belang van alle instellingen, organen en instanties van de Unie zijn, moeten de individuele instellingen, organen en instanties van de Unie met IT-uitgaven een billijke bijdrage aan die diensten en taken leveren. Die bijdragen laten de budgettaire autonomie van de instellingen, organen en instanties van de Unie onverlet.	(24) Aangezien de diensten en taken van CERT-EU in het belang van alle instellingen, organen en instanties van de Unie zijn, moeten de individuele instellingen, organen en instanties van de Unie met IT-uitgaven een billijke bijdrage aan die diensten en taken leveren, hetzij in de vorm van posten, financiële bijdragen of beide, afhankelijk van de omvang van de instellingen, organen en instanties, en de geleverde diensten en taken. Die bijdragen laten de budgettaire autonomie van de instellingen, organen en instanties van de Unie onverlet.

Motivering

Afhankelijk van de omvang van de instellingen, organen en instanties van de Unie kunnen de bijdragen aan CERT-EU uit de toewijzing van posten of financiële bijdragen bestaan.

Amendement 12

Voorstel voor een verordening

Overweging 24 bis (nieuw)


Door de Commissie voorgestelde tekst	Amendement
	(24 bis) Alle instellingen, organen en instanties van de Unie moeten de beginselen van gendergelijkheid en genderevenwicht toepassen bij de benoeming van hun vertegenwoordigers in CERT-EU en bij de toewijzing van hun personele middelen met betrekking tot de IT-sector en cyberbeveiliging. Er moeten gerichte opleidingen en toereikende middelen worden besteed aan de bevordering van de werkgelegenheid van vrouwen op het gebied van cyberbeveiliging binnen alle instellingen, organen en instanties van de Unie, teneinde de digitale genderkloof te helpen dichten.

Motivering

Het is belangrijk de beginselen van gendergelijkheid en genderevenwicht in de verordening op te nemen.

Amendement 13

Voorstel voor een verordening

Overweging 25 bis (nieuw)


Door de Commissie voorgestelde tekst	Amendement
	(25 bis) In zijn conclusies van 23 mei 2022 over de ontwikkeling van het cyberbeleid van de Europese Unie verzocht de Raad de relevante autoriteiten en de Commissie de veerkracht van de communicatienetwerken en -infrastructuren binnen de Europese Unie te vergroten. Het is derhalve belangrijk de soevereiniteit en de veerkracht van de infrastructuren en de controle van de verbindingen, waaronder van de instellingen, organen en instanties van de Unie, te versterken;

Motivering

In zijn conclusies van 23 mei 2022 over de ontwikkeling van het cyberbeleid van de Europese Unie dringt de Raad aan op vergroting van de cyberveerkracht van de EU en van haar capaciteit om zich tegen cyberaanvallen te verdedigen.

Amendement 14

Voorstel voor een verordening

Artikel 4 – lid 4


Door de Commissie voorgestelde tekst	Amendement
4. De instellingen, organen en instanties van de Unie beschikken over doeltreffende mechanismen om te waarborgen dat een passend percentage van de IT-begroting aan cyberbeveiliging wordt besteed.	4. De instellingen, organen en instanties van de Unie beschikken over doeltreffende mechanismen om te waarborgen dat passende middelen van de IT-begroting aan cyberbeveiliging worden besteed, rekening houdend met het percentage van de IT-begroting dat overeenkomstig de industrienorm ten minste aan cyberbeveiliging moet worden besteed om hun IT-omgeving doeltreffend te beschermen. Met het oog op grotere transparantie maken de instellingen, organen en instanties van de Unie in hun begrotingen een aparte reservering voor aan CERT-EU toegewezen middelen.

Motivering

Het voorstel van de Commissie maakt niet duidelijk wat wordt bedoeld met doeltreffende mechanismen en een passend percentage. Eén criterium voor het beoordelen van wat een passend percentage is, is de industrienorm. Een reservering in de begrotingen van de EU-IOA’s van de aan CERT-EU toegewezen middelen zou voor meer transparantie met betrekking tot investeringen in cyberbeveiliging zorgen, en het mogelijk maken in kaart te brengen of er al dan niet geld bij moet en optimale praktijken uit te wisselen.

Amendement 15

Voorstel voor een verordening

Artikel 4 – lid 4 bis (nieuw)


Door de Commissie voorgestelde tekst	Amendement
	4 bis. Alle instellingen, organen en instanties van de Unie passen de beginselen van gendergelijkheid en genderevenwicht toe bij de benoeming van hun vertegenwoordigers in CERT-EU en bij de toewijzing van hun personele middelen met betrekking tot cyberbeveiliging. Zij besteden gerichte opleidingen en toereikende middelen aan de bevordering van de werkgelegenheid van vrouwen op het gebied van cyberbeveiliging binnen alle instellingen, organen en instanties van de Unie, teneinde de digitale genderkloof te helpen dichten.

Motivering

Het is belangrijk de beginselen van gendergelijkheid en genderevenwicht in de verordening op te nemen.

Amendement 16

Voorstel voor een verordening

Artikel 9 – lid 3 – alinea 1 bis (nieuw)


Door de Commissie voorgestelde tekst	Amendement
	Leden worden benoemd met inachtneming van het beginsel van genderevenwicht.

Motivering

Het is belangrijk de beginselen van gendergelijkheid en genderevenwicht in de verordening op te nemen.

Amendement 17

Voorstel voor een verordening

Artikel 12 – lid 7 bis (nieuw)


Door de Commissie voorgestelde tekst	Amendement
	7 bis. Indien de middelen van CERT-EU onvoldoende zijn om aan de vraag naar aangerekende diensten te voldoen, prioriteert CERT-EU de vraag op basis van een risico-analyse, rekening houdend met het beheer van cyberbeveiligingsrisico’s van de verzoekende instellingen, organen en instanties van de Unie, die op hun beurt worden beïnvloed door de relatieve omvang van hun financiële en personele middelen.

Motivering

De EU-IOA’s moeten worden geprioriteerd aan de hand van hun risicoprofiel en rekening houdend met de relatieve omvang van hun financiële en personele middelen.

Amendement 18

Voorstel voor een verordening

Artikel 14


Door de Commissie voorgestelde tekst	Amendement
Het hoofd van CERT-EU brengt regelmatig verslag uit aan de IICB en de voorzitter ervan over de prestaties van CERT-EU, de financiële planning, inkomsten, de uitvoering van de begroting, en gesloten dienstenniveauovereenkomsten en schriftelijke overeenkomsten, de samenwerking met andere instanties en partners, en de dienstreizen van personeel, met inbegrip van de in artikel 10, lid 1, bedoelde verslagen.	Het hoofd van CERT-EU brengt regelmatig verslag uit aan de IICB en de voorzitter ervan over de prestaties van CERT-EU, de financiële planning, inkomsten, de uitvoering van de begroting, inclusief over posten en extern personeel, en gesloten dienstenniveauovereenkomsten en schriftelijke overeenkomsten, de samenwerking met andere instanties en partners, en de dienstreizen van personeel, met inbegrip van de in artikel 10, lid 1, bedoelde verslagen.

Motivering

Verduidelijking dat in het verslag over de uitvoering van de begroting ook aandacht moet worden besteed aan de situatie met betrekking tot posten en extern personeel in CERT-EU.

Amendement 19

Voorstel voor een verordening

Artikel 15 – lid 2


Door de Commissie voorgestelde tekst	Amendement
2. Voor de toepassing van de administratieve en financiële procedures handelt het hoofd van CERT-EU onder het gezag van de Commissie.	Schrappen

Amendement 20

Voorstel voor een verordening

Artikel 15 – lid 3


Door de Commissie voorgestelde tekst	Amendement
3. De taken en activiteiten van CERT-EU, inclusief de diensten die CERT-EU overeenkomstig artikel 12, leden 2, 3, 4 en 6, en artikel 13, lid 1, verleent aan de uit de rubriek Europees openbaar bestuur van het meerjarige financiële kader gefinancierde instellingen, organen en instanties van de Unie, worden uit een afzonderlijke begrotingslijn van de begroting van de Commissie gefinancierd. Gereserveerde posten van CERT-EU worden gespecificeerd in een voetnoot bij de personeelsformatie.	3. De taken en activiteiten van CERT-EU, inclusief de diensten die CERT-EU overeenkomstig artikel 12, leden 2, 3, 4 en 6, en artikel 13, lid 1, verleent aan de uit de rubriek Europees openbaar bestuur van het meerjarige financiële kader gefinancierde instellingen, organen en instanties van de Unie, worden uit een afzonderlijke begrotingslijn van de begroting van de Commissie gefinancierd. Gereserveerde posten van CERT-EU worden gespecificeerd in een voetnoot bij de personeelsformatie. De tijdelijk toegewezen posten blijven tijdens de tijdelijke aanstelling deel van de personeelsformatie van de donorinstelling uitmaken, en voorzien van een voetnoot. Deze personeelsformatie wordt om de 2,5 jaar aan een evaluatie onderworpen.

Amendement 21

Voorstel voor een verordening

Artikel 15 – lid 3 bis (nieuw)


Door de Commissie voorgestelde tekst	Amendement
	3 bis. De overheveling van in totaal 42 posten door de relevante instellingen, organen en instanties van de Unie zoals bedoeld in bijlage II bis (nieuw), zonder gedeeltelijke compensatie in de vorm van een reductie van het aantal arbeidscontractanten in CERT-EU, laat de bevoegdheden van de begrotingsautoriteit van de Unie onverlet. De bijdragen vertegenwoordigen een billijk aandeel, dat evenredig is aan het respectieve aandeel vaste AD-posten van de organisatie, en worden geleverd met terdege inachtneming van het beginsel van genderevenwicht.

Motivering

CERT-EU heeft behoefte aan 42 aanvullende vaste posten. Over de uitsplitsing van posten over de relevante instellingen, organen en instanties van de Unie moet door de twee takken van de begrotingsautoriteit worden besloten tijdens de interinstitutionele onderhandelingen over het onderhavige voorstel, onder voorbehoud van de bevoegdheden van de begrotingsautoriteit van de Unie. Het is belangrijk ervoor te zorgen dat het beginsel van genderevenwicht wordt geëerbiedigd in de verordening.

Amendement 22

Voorstel voor een verordening

Artikel 23 – alinea 1


Door de Commissie voorgestelde tekst	Amendement
De Commissie stelt voor de personele en financiële middelen over te hevelen van de instellingen, organen en instanties van de Unie naar de begroting van de Commissie. De heroriëntering valt samen met de eerste begroting die na de inwerkingtreding van deze verordening wordt vastgesteld.	De Commissie stelt voor de financiële middelen over te hevelen van de instellingen, organen en instanties van de Unie naar de begroting van de Commissie. Deze heroriëntering valt samen met de eerste begroting die na de inwerkingtreding van deze verordening wordt vastgesteld.

Motivering

De uitsplitsing van de aan CERT-EU toegewezen posten staat in bijlage II bis (nieuw).

Amendement 23

Voorstel voor een verordening

Bijlage II bis (nieuw)


Door de Commissie voorgestelde tekst


Amendement
Bijlage II bis (nieuw)
EU-IOA/jaar	Totaal personeel	Aan CERT-EU toegewezen posten in jaar N	Aan CERT-EU toegewezen posten in jaar N + 1	Aan CERT-EU toegewezen posten in jaar N + 2	Aan CERT-EU toegewezen posten in jaar N + 3	Permanent aan CERT-EU toegewezen posten
Van voorgaande jaar CERT-EU		n.v.t.	48	42	42
Europees Parlement	6.773	48	-14	-14	-14	6
Europese Commissie	23.474	0	8	9	6	23
Gedecentraliseerde agentschappen	7.717	0	0	3	4	7
CSL	3.029	0	0	2	1	3
Hof van Justitie van de Europese Unie	2.110	0	0	0	2	2
EDEO	1.753	0	0	0	1	1
Europese Rekenkamer	873	0	0	0	0	0
Uitvoerende agentschappen	840	0	0	0	0	0
Europees Economische en Sociaal Comité	669	0	0	0	0	0
Gemeenschappelijke ondernemingen + Gezamenlijke technologie-initiatieven + Europees Instituut voor innovatie en technologie	556	0	0	0	0	0
Comité van de Regio’s	496	0	0	0	0	0
Europese Toezichthouder voor gegevensbescherming	84	0	0	0	0	0
Europese Ombudsman	73	0	0	0	0	0
Totaal nieuw personeel		48	42	42	42	42

Motivering

Uitsplitsing van de 42 posten die aan CERT-EU moeten worden toegewezen om de goede en stabiele werking ervan te waarborgen.

PROCEDURE VAN DE ADVISERENDE COMMISSIE

Titel	Vaststelling van maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging bij de instellingen, organen en instanties van de Unie
Document- en procedurenummers	COM(2022)0122 – C9-0122/2022 – 2022/0085(COD)
Bevoegde commissie Datum bekendmaking	ITRE 4.4.2022
Advies uitgebracht door Datum bekendmaking	BUDG 4.4.2022
Rapporteur voor advies Datum benoeming	Nils Ušakovs 22.4.2022
Behandeling in de commissie	20.6.2022	21.6.2022
Datum goedkeuring	12.7.2022
Uitslag eindstemming	+: –: 0:	28 0 4
Bij de eindstemming aanwezige leden	Rasmus Andresen, Anna Bonfrisco, Olivier Chastel, Lefteris Christoforou, Andor Deli, José Manuel Fernandes, Eider Gardiazabal Rubial, Vlad Gheorghe, Francisco Guerreiro, Valérie Hayer, Eero Heinäluoma, Niclas Herbst, Monika Hohlmeier, Moritz Körner, Joachim Kuhs, Zbigniew Kuźmiuk, Janusz Lewandowski, Margarida Marques, Siegfried Mureşan, Victor Negrescu, Dimitrios Papadimoulis, Bogdan Rzońca, Nicolae Ştefănuță, Nils Torvalds, Nils Ušakovs, Johan Van Overtveldt, Rainer Wieland
Bij de eindstemming aanwezige vaste plaatsvervangers	Damian Boeselager, Jan Olbrycht
Bij de eindstemming aanwezige plaatsvervangers (art. 209, lid 7)	Alexander Bernhuber, Helmut Scholz, Birgit Sippel

HOOFDELIJKE EINDSTEMMING IN DE ADVISERENDE COMMISSIE

28	+
ID	Anna Bonfrisco
NI	Andor Deli
PPE	Alexander Bernhuber, Lefteris Christoforou, José Manuel Fernandes, Niclas Herbst, Monika Hohlmeier, Janusz Lewandowski, Siegfried Mureşan, Jan Olbrycht, Rainer Wieland
Renew	Olivier Chastel, Vlad Gheorghe, Valérie Hayer, Moritz Körner, Nils Torvalds, Nicolae Ştefănuță
S&D	Eider Gardiazabal Rubial, Eero Heinäluoma, Margarida Marques, Victor Negrescu, Birgit Sippel, Nils Ušakovs
The Left	Dimitrios Papadimoulis, Helmut Scholz
Verts/ALE	Rasmus Andresen, Damian Boeselager, Francisco Guerreiro

0	-

4	0
ECR	Zbigniew Kuźmiuk, Bogdan Rzońca, Johan Van Overtveldt
ID	Joachim Kuhs

Verklaring van de gebruikte tekens:

+ : voor

- : tegen

0 : onthouding

ADVIES VAN DE COMMISSIE CONSTITUTIONELE ZAKEN (31.1.2023)

aan de Commissie industrie, onderzoek en energie

(COM(2022)0122 – C9‑0122/2022 – 2022/0085(COD))

Rapporteur voor advies: Markéta Gregorová

BEKNOPTE MOTIVERING

De instellingen, organen en instanties van de Europese Unie zijn de afgelopen jaren actief tegen een steeds meer digitale achtergrond van constante technologische ontwikkelingen en de daaruit voortvloeiende veranderende niveaus van cyberdreigingen. De situatie is erger geworden sinds het begin van de COVID-19-crisis, onder meer door het toegenomen telewerk, waarbij het aantal geavanceerde aanvallen uit een breed scala aan bronnen bleef toenemen.

Momenteel verschilt het cyberbeveiligingslandschap, met inbegrip van governance, cyberhygiëne, algemene capaciteit en maturiteit, aanzienlijk tussen de instellingen, organen en instanties van de Unie, wat een verdere belemmering vormt voor een open, efficiënt en onafhankelijk Europees bestuur.

De rapporteur is het er dan ook mee eens dat een basisaanpak van de instellingen, organen en instanties van de Unie voor de totstandbrenging van gemeenschappelijke systemen en vereisten op het gebied van cyberbeveiliging noodzakelijk is om ervoor te zorgen dat de cyberbeveiliging zich in dezelfde richting ontwikkelt en op die manier bijdraagt aan de efficiëntie en onafhankelijkheid van de Europese administratie.

De rapporteur is voorts van mening dat een robuust en consistent veiligheidskader van het grootste belang is om alle personeelsleden, gegevens, communicatienetwerken, informatiesystemen en besluitvormingsprocessen van de EU te beschermen en aldus ook bij te dragen tot de democratische werking van de Europese Unie. Een versterkte veiligheidscultuur van de instellingen, organen en instanties van de Unie zal Europa klaarmaken voor het digitale tijdperk en zal een toekomstbestendige economie opbouwen die ten dienste van de mensen staat.

AMENDEMENTEN

De Commissie constitutionele zaken verzoekt de bevoegde Commissie industrie, onderzoek en energie onderstaande amendementen in aanmerking te nemen:

Amendement 1

Voorstel voor een verordening

Overweging 1


Door de Commissie voorgestelde tekst	Amendement
(1) In het digitale tijdperk vormt informatie- en communicatietechnologie een hoeksteen van een open, efficiënt en onafhankelijk openbaar bestuur van de Unie. Technologische ontwikkelingen en toegenomen complexiteit en onderlinge verwevenheid van digitale systemen vergroten de risico’s op het gebied van cyberbeveiliging, waardoor het openbaar bestuur van de Unie kwetsbaarder wordt voor cyberdreigingen en cyberincidenten, wat uiteindelijk de bedrijfscontinuïteit en de gegevensbeveiligingscapaciteit in gevaar brengt. Het toegenomen gebruik van clouddiensten, een alomtegenwoordig gebruik van IT, een hoge graad van digitalisering, thuiswerk en technologische ontwikkelingen en connectiviteit zijn tegenwoordig kernkenmerken van alle activiteiten van de entiteiten van de Unie, maar digitale weerbaarheid is hier nog onvoldoende ingebouwd.	(1) In het digitale tijdperk vormt informatie- en communicatietechnologie een hoeksteen van een open, efficiënt en onafhankelijk openbaar bestuur van de Unie. Technologische ontwikkelingen en toegenomen complexiteit en onderlinge verwevenheid van digitale systemen vergroten de risico’s op het gebied van cyberbeveiliging, waardoor het openbaar bestuur van de Unie kwetsbaarder wordt voor cyberdreigingen en cyberincidenten, wat uiteindelijk de bedrijfscontinuïteit en de gegevensbeveiligingscapaciteit in gevaar brengt. Het toegenomen gebruik van clouddiensten, het alomtegenwoordige gebruik van informatie- en communicatietechnologie (ICT), een hoge graad van digitalisering, thuiswerk en technologische ontwikkelingen en connectiviteit zijn tegenwoordig kernkenmerken van alle activiteiten van de entiteiten van de Unie, maar digitale weerbaarheid is hier nog onvoldoende ingebouwd.

Motivering

In het Commissievoorstel wordt “IT” genoemd, terwijl in plaats daarvan “ICT” moet worden gebruikt, aangezien dit de standaardterm is die in de NIS2 en de cyberbeveiligingsverordening van de EU wordt gebruikt.

Amendement 2

Voorstel voor een verordening

Overweging 2


Door de Commissie voorgestelde tekst	Amendement
(2) De instellingen, organen en instanties van de Unie hebben te kampen met constant veranderende dreigingen op het gebied van cyberveiligheid. De tactieken, technieken en procedures van dreigingsactoren evolueren constant, maar de voornaamste motieven voor die aanvallen blijven dezelfde: die gaan van diefstal van waardevolle niet openbaar gemaakte informatie tot geld verdienen, het manipuleren van de publieke opinie en het ondermijnen van de digitale infrastructuur. Cyberaanvallen volgen elkaar steeds sneller op, met steeds geavanceerdere en meer geautomatiseerde campagnes, gericht tegen zwakke plekken, en daarbij worden kwetsbaarheden snel uitgebuit.	(2) De instellingen, organen en instanties van de Unie hebben te kampen met constant veranderende dreigingen op het gebied van cyberveiligheid. De tactieken, technieken en procedures van dreigingsactoren evolueren constant, maar de voornaamste motieven voor die aanvallen blijven dezelfde: die gaan van diefstal van waardevolle niet openbaar gemaakte informatie tot geld verdienen, het manipuleren van de publieke opinie en het ondermijnen van de digitale infrastructuur. Cyberaanvallen volgen elkaar steeds sneller op, met steeds geavanceerdere en meer geautomatiseerde campagnes en methoden, gericht tegen zwakke plekken, en daarbij worden kwetsbaarheden snel uitgebuit.

Amendement 3

Voorstel voor een verordening

Overweging 3


Door de Commissie voorgestelde tekst	Amendement
(3) De IT-omgevingen van de instellingen, organen en instanties van de Unie hebben onderlinge afhankelijkheden en geïntegreerde gegevensstromen, en hun gebruikers werken nauw samen. Deze onderlinge afhankelijkheid betekent dat elke verstoring, zelfs als die in eerste instantie beperkt is tot één instelling, orgaan of instantie van de Unie, breder kan uitwaaieren en ingrijpende langdurige negatieve gevolgen voor de andere entiteiten kan hebben. Bovendien zijn de IT-omgevingen van bepaalde instellingen, organen en instanties van de Unie verbonden met de IT-omgevingen van de lidstaten, zodat een incident in één entiteit van de Unie een risico kan vormen voor de cyberbeveiliging van de IT-omgevingen van de lidstaten, en omgekeerd.	(3) De ICT-omgevingen van de instellingen, organen en instanties van de Unie hebben onderlinge afhankelijkheden en geïntegreerde gegevensstromen, en hun gebruikers werken nauw samen. Deze onderlinge afhankelijkheid betekent dat elke verstoring, zelfs als die in eerste instantie beperkt is tot één instelling, orgaan of instantie van de Unie, breder kan uitwaaieren en ingrijpende langdurige negatieve gevolgen voor de andere entiteiten kan hebben. Bovendien zijn de ICT-omgevingen van bepaalde instellingen, organen en instanties van de Unie verbonden met de ICT-omgevingen van de lidstaten, zodat een incident in één entiteit van de Unie een risico kan vormen voor de cyberbeveiliging van de ICT-omgevingen van de lidstaten, en omgekeerd.

Amendement 4

Voorstel voor een verordening

Overweging 4


Door de Commissie voorgestelde tekst	Amendement
(4) De instellingen, organen en instanties van de Unie zijn aantrekkelijke doelwitten die worden geconfronteerd met hooggekwalificeerde en goed toegeruste dreigingsactoren en andere dreigingen. Tegelijkertijd lopen de maturiteit van cyberveerkracht en het vermogen om kwaadwillige cyberactiviteiten op te sporen, aanzienlijk uiteen tussen deze entiteiten. Daarom is het voor de werking van het Europese openbaar bestuur nodig dat de instellingen, organen en instanties van de Unie een hoog gezamenlijk niveau van cyberbeveiliging bereiken, door tot een basisniveau van cyberbeveiliging te komen (minimumregels inzake cyberbeveiliging waaraan netwerk- en informatiesystemen en hun beheerders en gebruikers moeten voldoen om cyberbeveiligingsrisico’s tot een minimum te beperken), informatie uit te wisselen en samen te werken.	(4) De instellingen, organen en instanties van de Unie zijn aantrekkelijke doelwitten die worden geconfronteerd met hooggekwalificeerde en goed toegeruste dreigingsactoren en andere dreigingen. Tegelijkertijd lopen de maturiteit van cyberveerkracht en het vermogen om kwaadwillige cyberactiviteiten op te sporen, aanzienlijk uiteen tussen deze entiteiten. Daarom is het voor de werking van het Europese openbaar bestuur nodig dat de instellingen, organen en instanties van de Unie een hoog gezamenlijk niveau van cyberbeveiliging bereiken, door tot een basisniveau van cyberbeveiliging te komen (gemeenschappelijke minimumregels inzake cyberbeveiliging waaraan netwerk- en informatiesystemen en hun beheerders en gebruikers moeten voldoen om cyberbeveiligingsrisico’s te beperken), op regelmatige en doeltreffende wijze informatie uit te wisselen en samen te werken, en te voorzien in opleidingen op het gebied van cyberbeveiliging.

Amendement 5

Voorstel voor een verordening

Overweging 7


Door de Commissie voorgestelde tekst	Amendement
(7) De verschillen tussen de instellingen, organen en instanties van de Unie vereisen flexibiliteit bij de uitvoering, omdat een uniforme aanpak niet mogelijk is. De maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging mogen geen verplichtingen omvatten die rechtstreeks ingrijpen in de uitoefening van de missie van de instellingen, organen en instanties van de Unie, of hun institutionele autonomie aantasten. Die instellingen, organen en instanties van de Unie moeten dus hun eigen kaders voor het beheer, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s opstellen en hun eigen basisniveau van cyberbeveiliging en cyberbeveiligingsplannen vaststellen.	(7) De verschillen tussen de instellingen, organen en instanties van de Unie vereisen flexibiliteit bij de uitvoering, omdat een uniforme aanpak niet mogelijk is. De maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging moeten de uitoefening van de missie van de instellingen, organen en instanties van de Unie ondersteunen en hun institutionele autonomie in acht nemen. Die instellingen, organen en instanties van de Unie moeten dus hun eigen kaders voor het beheer, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s opstellen en hun eigen basisniveau van cyberbeveiliging en cyberbeveiligingsplannen vaststellen, en tegelijkertijd rekening houden met de samenhang en interoperabiliteit van hun respectieve kaders, op basis van het in deze verordening vastgelegde gemeenschappelijke kader.

Amendement 6

Voorstel voor een verordening

Overweging 8


Door de Commissie voorgestelde tekst	Amendement
(8) Om te voorkomen dat aan de instellingen, organen en instanties van de Unie onevenredige financiële en administratieve lasten worden opgelegd, moeten de eisen inzake risicobeheer op het gebied van cyberbeveiliging, rekening houdend met de stand van de techniek, in verhouding staan tot het risico dat verbonden is aan het netwerk- en informatiesysteem in kwestie. De instellingen, organen en instanties van de Unie moeten beogen een passend percentage van hun IT-begroting aan betere cyberbeveiliging te besteden; op langere termijn moet een doel van ongeveer 10 % worden nagestreefd.	(8) Om te voorkomen dat aan de instellingen, organen en instanties van de Unie onevenredige financiële en administratieve lasten worden opgelegd, moeten de eisen inzake risicobeheer op het gebied van cyberbeveiliging, rekening houdend met de stand van de techniek, overeenstemmen met het risico dat verbonden is aan het netwerk- en informatiesysteem in kwestie. De instellingen, organen en instanties van de Unie moeten beogen ten minste 10 % van hun ICT-begroting aan betere cyberbeveiliging op middellange termijn te besteden, en indien nodig, een hoger begrotingspercentage op lange termijn;

Amendement 7

Voorstel voor een verordening

Overweging 9


Door de Commissie voorgestelde tekst	Amendement
(9) Voor een hoog gezamenlijk niveau van cyberbeveiliging is vereist dat cyberbeveiliging wordt geplaatst onder het toezicht van het hoogste managementniveau van de individuele instellingen, organen en instanties van de Unie, dat een basisniveau van cyberbeveiliging moet goedkeuren om de risico’s aan te pakken die in het door de afzonderlijke instellingen, organen en instanties van de Unie op te stellen kader zijn aangeduid. Het aanpakken van de cyberbeveiligingscultuur, dat wil zeggen de dagelijkse cyberbeveiligingspraktijk, maakt integraal deel uit van een basisniveau van cyberbeveiliging binnen de instellingen, organen en instanties van de Unie.	(9) Voor een hoog gezamenlijk niveau van cyberbeveiliging is vereist dat cyberbeveiliging wordt geplaatst onder het toezicht van een gezamenlijk EU-bestuur met het hoogste managementniveau van de individuele instellingen, organen en instanties van de Unie, dat een basisniveau van cyberbeveiliging moet goedkeuren om de risico’s aan te pakken die in het door de afzonderlijke instellingen, organen en instanties van de Unie op te stellen kader zijn aangeduid. Het aanpakken van de cyberbeveiligingscultuur, dat wil zeggen de dagelijkse cyberbeveiligingspraktijk, moet integraal deel uitmaken van een basisniveau van cyberbeveiliging binnen de instellingen, organen en instanties van de Unie.

Amendement 8

Voorstel voor een verordening

Overweging 10


Door de Commissie voorgestelde tekst	Amendement
(10) De instellingen, organen en instanties van de Unie moeten de risico’s betreffende de betrekkingen met leveranciers en dienstverleners, inclusief leveranciers van gegevensopslag- en gegevensverwerkingsdiensten of beheerde beveiligingsdiensten, beoordelen, en daarvoor passende maatregelen treffen. Deze maatregelen moeten deel uitmaken van het basisniveau van cyberbeveiliging en nader worden gespecificeerd in richtsnoeren of aanbevelingen van CERT-EU. Bij het definiëren van maatregelen en richtsnoeren moet terdege rekening worden gehouden met de toepasselijke Uniewetgeving en -beleidsmaatregelen, met inbegrip van risicobeoordelingen en aanbevelingen van de NIS-samenwerkingsgroep, zoals de gecoördineerde EU-risicobeoordeling en de EU-toolbox inzake 5G-cyberbeveiliging. Bovendien kan het noodzakelijk zijn dat relevante ICT-systemen, diensten en processen worden gecertificeerd op grond van artikel 49 van Verordening (EU) 2019/881 vastgestelde specifieke EU-cyberbeveiligingscertificeringsregelingen.	(10) De instellingen, organen en instanties van de Unie moeten de risico’s betreffende de betrekkingen met leveranciers en dienstverleners, inclusief leveranciers van gegevensopslag- en gegevensverwerkingsdiensten of beheerde beveiligingsdiensten, beoordelen, en daarvoor passende maatregelen treffen. Deze leveranciers en dienstverleners moeten grondig worden doorgelicht, met inachtneming van het volledige bereik van de toeleveringsketen en de economische en politieke omgeving waarin zij actief zijn. Indien deze betrekkingen een risico voor de integriteit van de democratische processen in de EU vormen, moeten ze onverwijld worden beëindigd. Deze maatregelen moeten deel uitmaken van het basisniveau van cyberbeveiliging en nader worden gespecificeerd in richtsnoeren of aanbevelingen van CERT-EU. Bij het definiëren van maatregelen en richtsnoeren moet terdege rekening worden gehouden met de toepasselijke Uniewetgeving en -beleidsmaatregelen, met inbegrip van risicobeoordelingen en aanbevelingen van de NIS-samenwerkingsgroep, zoals de gecoördineerde EU-risicobeoordeling en de EU-toolbox inzake 5G-cyberbeveiliging. Bovendien moet het, gezien het dreigingslandschap en het belang van meer weerbaarheid, vereist zijn dat relevante ICT-systemen, diensten en processen die in instellingen, organen en instanties van de Unie worden gebruikt, worden gecertificeerd op grond van artikel 49 van Verordening (EU) 2019/881 vastgestelde specifieke EU-cyberbeveiligingscertificeringsregelingen.

Amendement 9

Voorstel voor een verordening

Overweging 13


Door de Commissie voorgestelde tekst	Amendement
(13) Veel cyberaanvallen zijn onderdeel van bredere campagnes die gericht zijn tegen groepen instellingen, organen en instanties van de Unie of belangengemeenschappen die de instellingen, organen en instanties van de Unie omvatten. Om proactief opsporings-, incidentrespons- of beperkende maatregelen te kunnen treffen, moeten de instellingen, organen en instanties van de Unie CERT-EU onverwijld in kennis stellen van significante dreigingen, significante kwetsbaarheden en significante incidenten op het gebied van cyberveiligheid en passende technische details delen, op grond waarvan opsporings-, incidentrespons- of beperkende maatregelen kunnen worden getroffen tegen vergelijkbare dreigingen, kwetsbaarheden en incidenten op het gebied van cyberveiligheid binnen andere instellingen, organen en instanties van de Unie. Op basis van dezelfde aanpak als die voorzien in richtlijn [NIS 2-voorstel] moeten entiteiten binnen 24 uur nadat zij daarvan kennis hebben gekregen, CERT-EU initieel van significante incidenten op de hoogte stellen. Aan de hand van die informatie-uitwisseling moet CERT-EU de informatie kunnen verspreiden onder de andere instellingen, organen en instanties van de Unie en aan passende tegenhangers, om de IT-omgevingen van de Unie en die van de tegenhangers van de Unie te helpen beschermen tegen soortgelijke incidenten, dreigingen en kwetsbaarheden.	(13) Veel cyberaanvallen zijn onderdeel van bredere campagnes die gericht zijn tegen groepen instellingen, organen en instanties van de Unie of belangengemeenschappen die de instellingen, organen en instanties van de Unie omvatten. Om proactief opsporings-, incidentrespons- of beperkende maatregelen te kunnen treffen, moeten de instellingen, organen en instanties van de Unie CERT-EU onverwijld in kennis stellen van significante dreigingen, significante kwetsbaarheden en significante incidenten op het gebied van cyberveiligheid en passende technische details delen, op grond waarvan opsporings-, incidentrespons- of beperkende maatregelen kunnen worden getroffen tegen vergelijkbare dreigingen, kwetsbaarheden en incidenten op het gebied van cyberveiligheid binnen andere instellingen, organen en instanties van de Unie. Op basis van dezelfde aanpak als die voorzien in richtlijn [NIS 2-voorstel] moeten entiteiten per ommegaande en uiterlijk binnen 24 uur nadat zij daarvan kennis hebben gekregen, CERT-EU vroegtijdig waarschuwen voor significante incidenten. Er moeten voldoende middelen worden toegewezen aan de instellingen, organen en instanties van de Unie zodat zij snel en efficiënt kunnen voldoen aan hun rapportageverplichtingen en om te waarborgen dat het ontworpen systeem correct werkt. Aan de hand van die informatie-uitwisseling moet CERT-EU de informatie kunnen verspreiden onder de andere instellingen, organen en instanties van de Unie en aan passende tegenhangers, om de ICT-omgevingen van de Unie en die van de tegenhangers van de Unie te helpen beschermen tegen soortgelijke incidenten, dreigingen en kwetsbaarheden.

Amendement 10

Voorstel voor een verordening

Overweging 14


Door de Commissie voorgestelde tekst	Amendement
(14) Naast meer taken en een grotere rol voor CERT-EU, moet een interinstitutionele raad voor cyberbeveiliging (IICB) worden opgericht, die een hoog gezamenlijk niveau van cyberbeveiliging onder de instellingen, organen en instanties van de Unie moet bevorderen, door middel van toezicht op de uitvoering van deze verordening door de instellingen, organen en instanties van de Unie en op de uitvoering van de algemene prioriteiten en doelstellingen door CERT-EU, en via de strategische leiding van CERT-EU. De IICB moet vertegenwoordiging van de instellingen waarborgen, en via het netwerk van agentschappen van de Unie vertegenwoordigers van instanties en organen omvatten.	(14) Naast meer taken en een grotere rol voor CERT-EU, moet een interinstitutionele raad voor cyberbeveiliging (IICB) worden opgericht, die een hoog gezamenlijk niveau van cyberbeveiliging onder de instellingen, organen en instanties van de Unie moet bevorderen, door middel van toezicht op de uitvoering van deze verordening door de instellingen, organen en instanties van de Unie en op de uitvoering van de algemene prioriteiten en doelstellingen door CERT-EU, en via de strategische leiding van CERT-EU. De IICB moet een gelijke vertegenwoordiging van de instellingen waarborgen, en via het netwerk van agentschappen van de Unie vertegenwoordigers van instanties en organen omvatten.

Amendement 11

Voorstel voor een verordening

Overweging 16


Door de Commissie voorgestelde tekst	Amendement
(16) De IICB moet toezicht houden op de naleving van deze verordening en van de richtsnoeren, aanbevelingen en oproepen tot actie van CERT-EU. De IICB moet op technisch gebied worden ondersteund door technische adviesgroepen, die de IICB naar eigen inzicht samenstelt, en die voor zover nodig nauw moeten samenwerken met CERT-EU, de instellingen, organen en instanties van de Unie en andere belanghebbenden. Indien nodig moet de IICB niet-bindende waarschuwingen geven en audits aanbevelen.	(16) De IICB moet toezicht houden op de naleving van deze verordening en van de richtsnoeren, aanbevelingen en oproepen tot actie van CERT-EU. De IICB moet op technisch gebied worden ondersteund door technische adviesgroepen, die voor zover passend nauw moeten samenwerken met CERT-EU, de instellingen, organen en instanties van de Unie en andere belanghebbenden. Indien nodig moet de IICB waarschuwingen geven en aanbevelingen voor audits opstellen.

Amendement 12

Voorstel voor een verordening

Overweging 17


Door de Commissie voorgestelde tekst	Amendement
(17) Het moet de missie van CERT-EU zijn om bij te dragen tot de beveiliging van de IT-omgeving van de instellingen, organen en instanties van de Unie. CERT-EU moet optreden als het equivalent van de aangewezen coördinator voor de instellingen, organen en instanties van de Unie, met het oog op de gecoördineerde bekendmaking van kwetsbaarheid aan een Europees kwetsbaarheidsregister, als bedoeld in artikel 6 van richtlijn [NIS 2-voorstel].	(17) Het moet de missie van CERT-EU zijn om bij te dragen tot de beveiliging van de ICT-omgeving van de instellingen, organen en instanties van de Unie. CERT-EU moet optreden als het equivalent van de aangewezen coördinator voor de instellingen, organen en instanties van de Unie, met het oog op de gecoördineerde bekendmaking van kwetsbaarheid aan een Europees kwetsbaarheidsregister, als bedoeld in artikel 6 van richtlijn [NIS 2-voorstel].

Amendement 13

Voorstel voor een verordening

Overweging 18


Door de Commissie voorgestelde tekst	Amendement
(18) Het CERT-EU-bestuur heeft in 2020 een nieuwe strategische doelstelling voor CERT-EU vastgesteld, namelijk om te zorgen voor een alomvattend niveau van cyberdefensie voor alle instellingen, organen en instanties van de Unie, met een passend bereik en met voortdurende aanpassing aan huidige of op handen zijnde dreigingen, waaronder aanvallen tegen mobiele apparatuur, cloudomgevingen en apparaten voor het internet der dingen. Het strategische doel omvat op brede basis werkzame operationele beveiligingscentra (SOC’s) die continu netwerken monitoren voor zeer ernstige dreigingen. CERT-EU moet de IT-beveiligingsteams van de grotere instellingen, organen en instanties van de Unie ondersteunen, onder meer met continue eerstelijnsmonitoring. Voor kleinere en enkele middelgrote instellingen, organen en instanties van de Unie moet CERT-EU alle diensten verlenen.	(18) Het CERT-EU-bestuur heeft in 2020 een nieuwe strategische doelstelling voor CERT-EU vastgesteld, namelijk om te zorgen voor een alomvattend niveau van cyberdefensie voor alle instellingen, organen en instanties van de Unie, met een passend bereik en met voortdurende aanpassing aan huidige of op handen zijnde dreigingen, waaronder aanvallen tegen mobiele apparatuur, cloudomgevingen en apparaten voor het internet der dingen. Het strategische doel omvat op brede basis werkzame operationele beveiligingscentra (SOC’s) die continu netwerken monitoren voor zeer ernstige dreigingen. CERT-EU moet de ICT-beveiligingsteams van de grotere instellingen, organen en instanties van de Unie ondersteunen, onder meer met continue eerstelijnsmonitoring. Voor kleinere en enkele middelgrote instellingen, organen en instanties van de Unie moet CERT-EU alle diensten verlenen.

Amendement 14

Voorstel voor een verordening

Overweging 19 bis (nieuw)


Door de Commissie voorgestelde tekst	Amendement
	(19 bis) Teneinde een betere uitvoering te garanderen van cyberbeveiligingsmaatregelen en richtsnoeren voor instellingen, organen en instanties van de Unie, en om hiermee een cultuur van cyberbeveiliging te consolideren, moet CERT-EU ook intensiever samenwerken met het Europees netwerk van kenniscentra voor cyberbeveiliging.

Amendement 15

Voorstel voor een verordening

Overweging 20


Door de Commissie voorgestelde tekst	Amendement
(20) Bij de ondersteuning van operationele cyberbeveiliging moet CERT-EU gebruikmaken van de beschikbare deskundigheid van het agentschap van de Europese Unie voor cyberbeveiliging, door middel van gestructureerde samenwerking zoals bedoeld in Verordening (EU) 2019/881 van het Europees Parlement en de Raad5. Indien passend moeten specifieke regelingen tussen de twee entiteiten worden vastgesteld teneinde de praktische uitvoering van die samenwerking te bepalen en dubbel werk te vermijden. CERT-EU moet met het agentschap van de Europese Unie voor cyberbeveiliging samenwerken inzake dreigingsanalyse en zijn dreigingslandschapverslag regelmatig met het agentschap delen.	(20) Bij de ondersteuning van operationele cyberbeveiliging moet CERT-EU gebruikmaken van de beschikbare deskundigheid van het agentschap van de Europese Unie voor cyberbeveiliging, door middel van gestructureerde samenwerking zoals bedoeld in Verordening (EU) 2019/881 van het Europees Parlement en de Raad5. Specifieke regelingen tussen de twee entiteiten moeten worden vastgesteld teneinde de praktische uitvoering van die samenwerking te bepalen en dubbel werk te vermijden. CERT-EU moet met het agentschap van de Europese Unie voor cyberbeveiliging samenwerken inzake dreigingsanalyse en zijn dreigingslandschapverslag regelmatig met het agentschap delen.
__________________	__________________
5 Verordening (EU) 2019/881 van het Europees Parlement en de Raad van 17 april 2019 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (de cyberbeveiligingsverordening) (PB L 151 van 7.6.2019, blz. 15).	5 Verordening (EU) 2019/881 van het Europees Parlement en de Raad van 17 april 2019 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (de cyberbeveiligingsverordening) (PB L 151 van 7.6.2019, blz. 15).

Amendement 16

Voorstel voor een verordening

Overweging 24


Door de Commissie voorgestelde tekst	Amendement
(24) Aangezien de diensten en taken van CERT-EU in het belang van alle instellingen, organen en instanties van de Unie zijn, moeten de individuele instellingen, organen en instanties van de Unie met IT-uitgaven een billijke bijdrage aan die diensten en taken leveren. Die bijdragen laten de budgettaire autonomie van de instellingen, organen en instanties van de Unie onverlet.	(24) Aangezien de diensten en taken van CERT-EU in het belang van alle instellingen, organen en instanties van de Unie zijn, moeten de individuele instellingen, organen en instanties van de Unie met ICT-uitgaven een evenredige bijdrage aan die diensten en taken leveren. Die bijdragen laten de budgettaire capaciteit van de instellingen, organen en instanties van de Unie onverlet.

Amendement 17

Voorstel voor een verordening

Overweging 25


Door de Commissie voorgestelde tekst	Amendement
(25) De IICB moet, met de hulp van CERT-EU, de uitvoering van deze verordening evalueren en beoordelen en daarover verslag uitbrengen aan de Commissie. Op basis van die input moet de Commissie regelmatig verslag uitbrengen aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s,	(25) De IICB moet, met de hulp van CERT-EU, de uitvoering van deze verordening evalueren en beoordelen en daarover verslag uitbrengen aan de Commissie. Op basis van die input moet de Commissie regelmatig en ten minste om de drie jaar verslag uitbrengen aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s.

Amendement 18

Voorstel voor een verordening

Artikel 1 – alinea 1 – punt a


Door de Commissie voorgestelde tekst	Amendement
a) verplichtingen voor de instellingen, organen en instanties van de Unie om een intern kader voor het beheer, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s op te zetten;	(Niet van toepassing op de Nederlandse versie)

Amendement 19

Voorstel voor een verordening

Artikel 1 – alinea 1 – punt c


Door de Commissie voorgestelde tekst	Amendement
c) voorschriften inzake de organisatie en werking van het cyberbeveiligingscentrum voor de instellingen, organen en instanties van de Unie (hierna “CERT-EU” genoemd) en de interinstitutionele raad voor cyberbeveiliging (hierna “IICB” genoemd).	c) voorschriften inzake het functioneren, de organisatie en de werking van het cyberbeveiligingscentrum voor de instellingen, organen en instanties van de Unie (hierna “CERT-EU” genoemd) en de interinstitutionele raad voor cyberbeveiliging (hierna “IICB” genoemd).

Amendement 20

Voorstel voor een verordening

Artikel 2 bis (nieuw)


Door de Commissie voorgestelde tekst	Amendement
	Artikel 2 bis
	Verwerking van persoonsgegevens
	De verwerking van persoonsgegevens door CERT-EU, de IICB en alle instellingen, organen en instanties van de Unie uit hoofde van deze verordening vindt plaats in overeenstemming met Verordening (EU) 2018/1725 van het Europees Parlement en de Raad.

Amendement 21

Voorstel voor een verordening

Artikel 3 – alinea 1 – punt 2


Door de Commissie voorgestelde tekst	Amendement
(2) “netwerk- en informatiesysteem”: een netwerk- en informatiesysteem in de zin van artikel 4, punt 1, van richtlijn [NIS 2-voorstel];	(2) “netwerk- en informatiesysteem”: een netwerk- en informatiesysteem als gedefinieerd in artikel 6, punt 1, van richtlijn [NIS 2-voorstel];

Amendement 22

Voorstel voor een verordening

Artikel 3 – alinea 1 – punt 4


Door de Commissie voorgestelde tekst	Amendement
(4) “cyberbeveiliging”: cyberbeveiliging in de zin van artikel 4, punt 3, van richtlijn [NIS 2-voorstel];	(4) “cyberbeveiliging”: cyberbeveiliging als gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2019/881 van het Europees Parlement en de Raad1bis;
	_________________
	1bis Verordening (EU) 2019/881 van het Europees Parlement en de Raad van 17 april 2019 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (de cyberbeveiligingsverordening) (PB L 151 van 7.6.2019, blz. 15).

Amendement 23

Voorstel voor een verordening

Artikel 3 – alinea 1 – punt 5


Door de Commissie voorgestelde tekst	Amendement
(5) “hoogste managementniveau”: een leidinggevende, een leidinggevend of coördinatie- en toezichtorgaan op het hoogste bestuurlijke niveau, met inachtneming van de bestuursregelingen op hoog niveau binnen de individuele instellingen, organen en instanties van de Unie;	(5) “hoogste managementniveau”: een leidinggevende, een leidinggevend of coördinatie- en toezichtorgaan op het hoogste bestuurlijke niveau met een mandaat om beslissingen te nemen of autoriseren, met inachtneming van de bestuursregelingen op hoog niveau binnen de individuele instellingen, organen en instanties van de Unie;

Amendement 24

Voorstel voor een verordening

Artikel 3 – alinea 1 – punt 7


Door de Commissie voorgestelde tekst	Amendement
(7) “significant incident”: een incident, tenzij het beperkte gevolgen heeft en de methode of technologie waarschijnlijk al afdoende bekend is;	(7) “significant incident”: een incident dat de werking van de entiteit van de Unie ernstig heeft verstoord of kan verstoren dan wel voor de betrokken entiteit tot financiële verliezen heeft geleid of kan leiden, of dat andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken;

Amendement 25

Voorstel voor een verordening

Artikel 3 – alinea 1 – punt 11


Door de Commissie voorgestelde tekst	Amendement
(11) “significante cyberdreiging”: een cyberdreiging met de bedoeling, de gelegenheid en het vermogen om een significant incident te veroorzaken;	(11) “significante cyberdreiging”: een cyberdreiging als gedefinieerd in artikel 6, punt 11, van richtlijn [NIS 2 -voorstel];

Amendement 26

Voorstel voor een verordening

Artikel 3 – alinea 1 – punt 14


Door de Commissie voorgestelde tekst	Amendement
(14) “cyberbeveiligingsrisico”: elke redelijkerwijs vast te stellen omstandigheid of gebeurtenis met een mogelijk schadelijk effect op de beveiliging van netwerk- en informatiesystemen;	(14) “risico”: elk risico in de zin van artikel 6, punt 9, van richtlijn [NIS 2-voorstel];

Amendement 27

Voorstel voor een verordening

Artikel 3 – alinea 1 – punt 14 bis (nieuw)


Door de Commissie voorgestelde tekst	Amendement
	(14 bis) “ICT-omgeving”: alle lokale en virtuele ICT-producten, ICT-diensten en ICT-processen in de zin van artikel 2 van Verordening (EU) 2019/881 en alle netwerk- en informatiesystemen, of deze nu het eigendom zijn en worden beheerd door een instelling, orgaan of instantie van de Unie of worden gehost of beheerd door een derde partij, met inbegrip van mobiele apparaten, zakelijke netwerken en bedrijfsnetwerken die niet zijn verbonden met het internet, en alle apparaten die zijn verbonden met de ICT-omgeving;

Motivering

Term verplaatst vanuit artikel 4, lid 2, van dit voorstel naar het artikel met definities, aangezien deze term in de tekst consequent wordt gebruikt. De voorgestelde definitie voor deze term is afgeleid van de definities van de componenten uit artikel 2 van Verordening (EU) 2019/881 inzake cyberbeveiliging.

Amendement 28

Voorstel voor een verordening

Artikel 3 – alinea 1 – punt 15


Door de Commissie voorgestelde tekst	Amendement
(15) “gezamenlijke cybereenheid”: een virtueel en fysiek samenwerkingsplatform voor de verschillende cyberbeveiligingsgemeenschappen in de Unie, gericht op operationele en technische coördinatie bij grote grensoverschrijdende cyberdreigingen en incidenten in de zin van de aanbeveling van de Commissie van 23 juni 2021;	Schrappen

Amendement 29

Voorstel voor een verordening

Artikel 4 – lid 1


Door de Commissie voorgestelde tekst	Amendement
1. Bij de uitoefening van hun institutionele autonomie zetten de instellingen, organen en instanties van de Unie elk een intern kader voor het beheer, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s op (hierna “het kader” genoemd), ter ondersteuning van de missie van die entiteit. Dit geschiedt onder toezicht van het hoogste managementniveau van die entiteit, om een doeltreffend en prudent beheer van alle cyberbeveiligingsrisico’s te waarborgen. Het kader moet uiterlijk … [15 maanden na de inwerkingtreding van deze verordening] zijn voltooid.	1. Bij de uitoefening van hun institutionele autonomie zetten de instellingen, organen en instanties van de Unie elk, op basis van een volledige veiligheidsaudit, een intern kader voor het beheer, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s op (hierna “het kader” genoemd), ter ondersteuning van de missie van die entiteit, met aandacht voor de samenhang en interoperabiliteit van hun kader met dat van andere relevante instellingen, organen en instanties. Dit geschiedt onder toezicht van het hoogste managementniveau van die entiteit, dat verantwoordelijk zal zijn voor het waarborgen van een doeltreffend en prudent beheer van alle cyberbeveiligingsrisico’s. Het kader moet uiterlijk … [15 maanden na de datum van inwerkingtreding van deze verordening] zijn voltooid.

Amendement 30

Voorstel voor een verordening

Artikel 4 – lid 2


Door de Commissie voorgestelde tekst	Amendement
2. Het kader omvat de gehele IT-omgeving van de instelling, het orgaan of de instantie, met inbegrip van de IT-omgeving on site, uitbestede activa en diensten in cloudcomputingomgevingen of gehost door derden, mobiele apparatuur, bedrijfsnetwerken, zakelijke netwerken die niet met het internet verbonden zijn, en met de IT-omgeving verbonden apparaten. Het kader houdt rekening met bedrijfscontinuïteit en crisisbeheer, de beveiliging van de toeleveringsketen en het beheer van menselijke risico’s die gevolgen kunnen hebben voor de cyberbeveiliging van de instellingen, organen en instanties van de Unie.	2. Het kader omvat de gehele ICT-omgeving van de instelling, het orgaan of de instantie, met inbegrip van de ICT-omgeving on site, uitbestede activa en diensten in cloudcomputingomgevingen of gehost door derden, mobiele apparatuur, bedrijfsnetwerken, zakelijke netwerken die niet met het internet verbonden zijn, en met de ICT-omgeving verbonden apparaten. Het kader houdt rekening met bedrijfscontinuïteit en crisisbeheer, de beveiliging van de toeleveringsketen en het beheer van menselijke risico’s die gevolgen kunnen hebben voor de cyberbeveiliging van de instellingen, organen en instanties van de Unie.

Amendement 31

Voorstel voor een verordening

Artikel 4 – lid 4


Door de Commissie voorgestelde tekst	Amendement
4. De instellingen, organen en instanties van de Unie beschikken over doeltreffende mechanismen om te waarborgen dat een passend percentage van de IT-begroting aan cyberbeveiliging wordt besteed.	4. De instellingen, organen en instanties van de Unie beschikken over doeltreffende mechanismen om te waarborgen dat op middellange termijn ten minste 10 % van de totale ICT-begroting aan cyberbeveiliging wordt besteed.

Amendement 32

Voorstel voor een verordening

Artikel 4 – lid 5 bis (nieuw)


Door de Commissie voorgestelde tekst	Amendement
	5 bis. De lokale cyberbeveiligingsfunctionaris werkt samen met de in artikel 43 van Verordening (EU) 2018/1725 bedoelde functionaris voor gegevensbescherming om overlappende activiteiten aan te pakken waarbij gegevensbescherming door ontwerp en door standaardinstellingen wordt toegepast voor cyberbeveiligingsmaatregelen, en waarbij cyberbeveiligingsmaatregelen worden geselecteerd die betrekking hebben op de bescherming van persoonsgegevens, geïntegreerd risicobeheer en geïntegreerde behandeling van beveiligingsincidenten.

Amendement 33

Voorstel voor een verordening

Artikel 5 – lid 1


Door de Commissie voorgestelde tekst	Amendement
1. Het hoogste managementniveau van de individuele instellingen, organen en instanties van de Unie keurt voor de eigen entiteit een basisniveau van cyberbeveiliging goed om de in het kader van de in artikel 4, lid 1, bedoelde risico’s aan te pakken. Dit geschiedt ter ondersteuning van de missie en bij de uitoefening van hun institutionele autonomie. Het basisniveau van cyberbeveiliging is uiterlijk … [18 maanden na de inwerkingtreding van deze verordening] van kracht en heeft betrekking op de in bijlage I vermelde domeinen en de in bijlage II vermelde maatregelen.	1. Het hoogste managementniveau van de individuele instellingen, organen en instanties van de Unie keurt voor de eigen entiteit een basisniveau van cyberbeveiliging goed om de in het kader van de in artikel 4, lid 1, bedoelde risico’s aan te pakken. Dit geschiedt ter ondersteuning van de missie en bij de uitoefening van hun institutionele autonomie, met volledige inachtneming van de vereisten van deze verordening, met aandacht voor de samenhang en interoperabiliteit van hun kader met dat van andere relevante instellingen, organen en instanties en rekening houdend met de richtsnoeren en aanbevelingen die door de IICB op voorstel van CERT-EU zijn vastgesteld alsook de toepasselijke EU-regelingen voor cyberbeveiligingscertificering. Het basisniveau van cyberbeveiliging is uiterlijk … [18 maanden na de datum van inwerkingtreding van deze verordening] van kracht en heeft betrekking op de in bijlage I vermelde domeinen en de in bijlage II vermelde maatregelen.

Amendement 34

Voorstel voor een verordening

Artikel 5 – lid 2


Door de Commissie voorgestelde tekst	Amendement
2. Het hogere management van de instellingen, organen en instanties van de Unie volgt regelmatig specifieke opleidingen om voldoende kennis en vaardigheden op te doen om risico- en beheerspraktijken op het gebied van cyberbeveiliging en de gevolgen daarvan op de activiteiten van de organisatie te begrijpen en te beoordelen.	2. Het hogere management van de instellingen, organen en instanties van de Unie volgt regelmatig specifieke opleidingen om voldoende kennis en vaardigheden op te doen om risico- en beheerspraktijken op het gebied van cyberbeveiliging en de gevolgen daarvan op de activiteiten van de organisatie te begrijpen en te beoordelen met behulp van de juiste middelen. In aanvulling op dergelijke specifieke opleidingen en teneinde een cultuur van cyberbeveiliging te ontwikkelen en te consolideren, wordt de regelmatige opleiding van personeelsleden op het gebied van cyberbeveiliging in het cyberbeveiligingsplan opgenomen en ten minste om de twee jaar geactualiseerd. Er moeten voldoende middelen worden gewaarborgd om hoogwaardige opleidingen te verschaffen.

Amendement 35

Voorstel voor een verordening

Artikel 6 – alinea 1


Door de Commissie voorgestelde tekst	Amendement
De individuele instellingen, organen en instanties van de Unie voeren ten minste om de drie jaar een maturiteitsbeoordeling van de cyberbeveiliging uit die alle elementen van hun IT-omgeving zoals beschreven in artikel 4 omvat, met inachtneming van de overeenkomstig artikel 13 vastgestelde toepasselijke richtsnoeren en aanbevelingen.	De individuele instellingen, organen en instanties van de Unie voeren uiterlijk ... [6 maanden na de inwerkingtreding van deze verordening] en ten minste om de twee jaar een maturiteitsbeoordeling van de cyberbeveiliging uit die alle elementen van hun ICT-omgeving zoals beschreven in artikel 4 omvat, met inachtneming van de overeenkomstig artikel 13 vastgestelde toepasselijke richtsnoeren en aanbevelingen. De maturiteitsbeoordeling moet gebaseerd zijn op onafhankelijke cyberbeveiligingsaudits die door doorgelichte instanties worden uitgevoerd.

Amendement 36

Voorstel voor een verordening

Artikel 7 – lid 1


Door de Commissie voorgestelde tekst	Amendement
1. Naar aanleiding van de conclusies uit de maturiteitsbeoordeling en met inachtneming van de uit hoofde van artikel 4 aangeduide activa en risico’s keurt het hoogste managementniveau van de individuele instellingen, organen en instanties van de Unie na de opstelling van het kader voor het beheer, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s en van het basisniveau van cyberbeveiliging onverwijld een cyberbeveiligingsplan goed. Het plan beoogt de algehele cyberbeveiliging van de betrokken entiteit te versterken en aldus bij te dragen tot de verwezenlijking of verhoging van een hoog gezamenlijk niveau van cyberbeveiliging bij de instellingen, organen en instanties van de Unie. Ter ondersteuning van de missie van de entiteit en in de uitoefening van hun institutionele autonomie, omvat het plan ten minste de in bijlage I vermelde domeinen en de in bijlage II vermelde maatregelen, en de maatregelen in verband met de paraatheid bij, het reageren op en het herstel van incidenten, zoals toezicht op en registratie van de beveiliging. Het plan wordt ten minste om de drie jaar herzien naar aanleiding van de overeenkomstig artikel 6 uitgevoerde maturiteitsbeoordelingen.	1. Naar aanleiding van de conclusies uit de maturiteitsbeoordeling en met inachtneming van de uit hoofde van artikel 4 aangeduide activa en risico’s keurt het hoogste managementniveau van de individuele instellingen, organen en instanties van de Unie na de opstelling van het kader voor het beheer, de governance en de controle met betrekking tot cyberbeveiligingsrisico’s en van het basisniveau van cyberbeveiliging onverwijld een cyberbeveiligingsplan goed. Het plan beoogt de algehele cyberbeveiliging van de betrokken entiteit te versterken en aldus bij te dragen tot de verwezenlijking of verhoging van een hoog gezamenlijk niveau van cyberbeveiliging bij de instellingen, organen en instanties van de Unie. Ter ondersteuning van de missie van de entiteit en in de uitoefening van hun institutionele autonomie, omvat het plan ten minste de in bijlage I vermelde domeinen en de in bijlage II vermelde maatregelen, en de maatregelen in verband met de paraatheid bij, het reageren op en het herstel van incidenten, zoals een veiligheidsbeoordeling van leveranciers en diensten en toezicht op en registratie van de beveiliging. Het plan wordt ten minste om de twee jaar herzien naar aanleiding van de overeenkomstig artikel 6 uitgevoerde maturiteitsbeoordelingen.

Amendement 37

Voorstel voor een verordening

Artikel 7 – lid 2


Door de Commissie voorgestelde tekst	Amendement
2. Het cyberbeveiligingsplan omvat de rollen en verantwoordelijkheden van het personeel voor de uitvoering ervan.	2. Het cyberbeveiligingsplan omvat de rollen, paraatheid en verantwoordelijkheden van het personeel voor de uitvoering ervan.

Amendement 38

Voorstel voor een verordening

Artikel 7 – lid 3


Door de Commissie voorgestelde tekst	Amendement
3. Het cyberbeveiligingsplan houdt rekening met de toepasselijke richtsnoeren en aanbevelingen van CERT-EU.	3. Het cyberbeveiligingsplan omvat alle maatregelen die worden voorgesteld in de toepasselijke richtsnoeren en aanbevelingen van CERT-EU.

Amendement 39

Voorstel voor een verordening

Artikel 7 – lid 3 bis (nieuw)


Door de Commissie voorgestelde tekst	Amendement
	3 bis. De instellingen, organen en instanties van de Unie dienen hun cyberbeveiligingsplannen in bij de interinstitutionele raad voor cyberbeveiliging (IICB). Deze plannen worden gedeeld voor zover dat mogelijk is zonder het risico te lopen dat gevoelige of vertrouwelijke informatie over de specifieke technische cyberbeveiligingsregelingen en -capaciteiten van de entiteit van de Unie aan onbevoegde derden wordt vrijgegeven of bekendgemaakt.

Amendement 40

Voorstel voor een verordening

Artikel 9 – lid 2 – punt a


Door de Commissie voorgestelde tekst	Amendement
a) het toezicht op de uitvoering van deze verordening door de instellingen, organen en instanties van de Unie;	a) het toezicht op de uitvoering van deze verordening door de instellingen, organen en instanties van de Unie en het opstellen van aanbevelingen om een gemeenschappelijk hoog niveau van cyberbeveiliging te bereiken;

Amendement 41

Voorstel voor een verordening

Artikel 9 – lid 3 – alinea 1 – inleidende formule


Door de Commissie voorgestelde tekst	Amendement
De IICB bestaat uit drie vertegenwoordigers die door het netwerk van EU-agentschappen (EUAN) op voorstel van zijn adviescomité voor ICT worden benoemd om de belangen te behartigen van de organen en instanties die hun eigen IT-omgeving beheren, en één vertegenwoordiger, aangewezen door ieder van de volgende:	De IICB bestaat uit drie vertegenwoordigers die door het netwerk van EU-agentschappen (EUAN) op voorstel van zijn adviescomité voor ICT worden benoemd om de belangen te behartigen van de organen en instanties die hun eigen ICT-omgeving beheren, en één vertegenwoordiger, aangewezen door ieder van de volgende:

Amendement 42

Voorstel voor een verordening

Artikel 9 – lid 3 – alinea 1 – punt k bis (nieuw)


Door de Commissie voorgestelde tekst	Amendement
	k bis) de Europese Toezichthouder voor gegevensbescherming.

Amendement 43

Voorstel voor een verordening

Artikel 10 – alinea 1 – punt a bis (nieuw)


Door de Commissie voorgestelde tekst	Amendement
	a bis) hij hecht, op basis van een voorstel van het hoofd van CERT-EU, goedkeuring aan aanbevelingen om een gemeenschappelijk hoog niveau van cyberbeveiliging tot stand te brengen, gericht op één of alle instellingen, organen en instanties van de Unie;

Amendement 44

Voorstel voor een verordening

Artikel 11 – alinea 1 – punt a


Door de Commissie voorgestelde tekst	Amendement
a) een waarschuwing doen uitgaan; indien nodig met het oog op een overtuigend cyberbeveiligingsrisico, de waarschuwing richten tot een op passende wijze beperkt publiek;	a) een waarschuwing doen uitgaan; indien nodig met het oog op een overtuigend cyberbeveiligingsrisico, de waarschuwing richten tot een op passende wijze beperkt publiek aan de hand van een gezamenlijk overeengekomen methode;

Amendement 45

Voorstel voor een verordening

Artikel 11 – alinea 1 – punt b


Door de Commissie voorgestelde tekst	Amendement
b) een betreffende auditdienst aanbevelen een audit uit te voeren.	b) een betreffende auditdienst de opdracht geven om een audit uit te voeren.

Amendement 46

Voorstel voor een verordening

Artikel 12 – lid 1


Door de Commissie voorgestelde tekst	Amendement
1. De missie van CERT-EU, het autonome interinstitutionele cyberbeveiligingscentrum voor de instellingen, organen en instanties van de Unie, bestaat erin bij te dragen tot de beveiliging van de niet-geclassificeerde IT-omgeving van de instellingen, organen en instanties van de Unie door ze te adviseren over cyberbeveiliging, te helpen incidenten te voorkomen, die op te sporen en daarop te reageren, en door op te treden als knooppunt voor hun informatie-uitwisseling inzake cyberbeveiliging en responscoördinatie bij incidenten.	1. De missie van CERT-EU, het autonome interinstitutionele cyberbeveiligingscentrum voor de instellingen, organen en instanties van de Unie, bestaat erin bij te dragen tot de beveiliging van de niet-geclassificeerde ICT-omgeving van de instellingen, organen en instanties van de Unie door ze te adviseren over cyberbeveiliging, te helpen incidenten te voorkomen, die op te sporen en daarop te reageren, en door op te treden als knooppunt voor hun informatie-uitwisseling inzake cyberbeveiliging en responscoördinatie bij incidenten.

Amendement 47

Voorstel voor een verordening

Artikel 12 – lid 2 – punt d


Door de Commissie voorgestelde tekst	Amendement
d) het brengt kwesties betreffende de uitvoering van deze verordening en van de uitvoering van richtsnoeren, aanbevelingen en oproepen tot actie onder de aandacht van de IICB;	d) het brengt kwesties betreffende de uitvoering van deze verordening en van de uitvoering van richtsnoeren, aanbevelingen en oproepen tot actie onder de aandacht van de IICB en doet voorstellen voor wijzigingen;

Amendement 48

Voorstel voor een verordening

Artikel 12 – lid 4


Door de Commissie voorgestelde tekst	Amendement
4. CERT-EU onderhoudt gestructureerde samenwerking met het Agentschap van de Europese Unie voor cyberbeveiliging met betrekking tot capaciteitsopbouw, operationele samenwerking en strategische langetermijnanalyses van cyberdreigingen, overeenkomstig Verordening (EU) 2019/881 van het Europees Parlement en de Raad.	4. CERT-EU onderhoudt gestructureerde samenwerking met het Agentschap van de Europese Unie voor cyberbeveiliging met betrekking tot capaciteitsopbouw, operationele samenwerking en strategische langetermijnanalyses van cyberdreigingen, overeenkomstig Verordening (EU) 2019/881 van het Europees Parlement en de Raad. Voorts kan CERT-EU samenwerken en informatie uitwisselen met het Europees Centrum voor de bestrijding van cybercriminaliteit.

Amendement 49

Voorstel voor een verordening

Artikel 12 – lid 5 –inleidende formule


Door de Commissie voorgestelde tekst	Amendement
5. CERT-EU kan de volgende diensten aanbieden die niet in de dienstencatalogus zijn beschreven, de zogenaamde aangerekende diensten:	5. CERT-EU kan instellingen, organen en instanties van de Unie de volgende diensten aanbieden die niet in de dienstencatalogus zijn beschreven, de zogenaamde aangerekende diensten:

Amendement 50

Voorstel voor een verordening

Artikel 12 – lid 5 – punt a


Door de Commissie voorgestelde tekst	Amendement
a) andere dan de in lid 2 bedoelde diensten, ter ondersteuning van de cyberbeveiliging van de IT-omgeving van de instellingen, organen en instanties van de Unie, op basis van dienstenniveauovereenkomsten en afhankelijk van de beschikbaarheid van middelen;	a) andere dan de in lid 2 bedoelde diensten, ter ondersteuning van de cyberbeveiliging van de ICT-omgeving van de instellingen, organen en instanties van de Unie, op basis van dienstenniveauovereenkomsten en afhankelijk van de beschikbaarheid van middelen;

Amendement 51

Voorstel voor een verordening

Artikel 12 – lid 5 – punt b


Door de Commissie voorgestelde tekst	Amendement
b) andere diensten dan diensten ter bescherming van de IT-omgeving van de instellingen, organen en instanties van de Unie, ter ondersteuning van hun cyberbeveiligingsoperaties of -projecten, op basis van schriftelijke overeenkomsten en met voorafgaande goedkeuring van de IICB;	b) andere diensten dan diensten ter bescherming van de ICT-omgeving van de instellingen, organen en instanties van de Unie, ter ondersteuning van hun cyberbeveiligingsoperaties of -projecten, op basis van schriftelijke overeenkomsten en met voorafgaande goedkeuring van de IICB;

Amendement 52

Voorstel voor een verordening

Artikel 12 – lid 5 – punt c


Door de Commissie voorgestelde tekst	Amendement
c) diensten ter ondersteuning van de beveiliging van de IT-omgeving van andere organisaties dan de instellingen, organen en instanties van de Unie, die nauw met de instellingen, organen en instanties van de Unie samenwerken, bijvoorbeeld omdat zij taken of verantwoordelijkheden krachtens Unierecht vervullen, op basis van schriftelijke overeenkomsten en met voorafgaande goedkeuring van de IICB.	c) diensten ter ondersteuning van de beveiliging van de ICT-omgeving van andere organisaties dan de instellingen, organen en instanties van de Unie, die nauw met de instellingen, organen en instanties van de Unie samenwerken, bijvoorbeeld omdat zij taken of verantwoordelijkheden krachtens Unierecht vervullen, op basis van schriftelijke overeenkomsten en met voorafgaande goedkeuring van de IICB.

Amendement 53

Voorstel voor een verordening

Artikel 12 – lid 6


Door de Commissie voorgestelde tekst	Amendement
6. CERT-EU kan, in nauwe samenwerking met het Agentschap van de Europese Unie voor cyberbeveiliging, cyberbeveiligingsoefeningen organiseren of deelname aan bestaande oefeningen aanbevelen, indien van toepassing, om het cyberbeveiligingsniveau van de instellingen, organen en instanties van de Unie te testen.	6. CERT-EU kan, in nauwe samenwerking met het Agentschap van de Europese Unie voor cyberbeveiliging, cyberbeveiligingsoefeningen organiseren of deelname aan bestaande oefeningen aanbevelen, indien van toepassing, om op regelmatige basis het cyberbeveiligingsniveau van de instellingen, organen en instanties van de Unie te testen. Voorts kan CERT-EU door middel van intensievere samenwerking en gezamenlijke programma’s met het Europees netwerk van kenniscentra voor cyberbeveiliging (ECCC) onderzoek en innovatie bevorderen en bijdragen tot de versterking van de cyberbeveiligingscapaciteiten van de instellingen, organen en instanties van de Unie.

Amendement 54

Voorstel voor een verordening

Artikel 12 – lid 7


Door de Commissie voorgestelde tekst	Amendement
7. CERT-EU kan de instellingen, organen en instanties van de Unie bijstaan bij incidenten in gerubriceerde IT-omgevingen, indien het betrokken constituerend deel daar uitdrukkelijk om verzoekt.	7. CERT-EU staat de instellingen, organen en instanties van de Unie bij bij incidenten in gerubriceerde ICT-omgevingen, indien de betrokken instellingen, organen en instanties van de Unie daar uitdrukkelijk om verzoeken, en indien CERT-EU beschikt over de nodige middelen om dit te doen of deze middelen door de betrokken entiteit ter beschikking worden gesteld.

Amendement 55

Voorstel voor een verordening

Artikel 14 – alinea 1


Door de Commissie voorgestelde tekst	Amendement
Het hoofd van CERT-EU brengt regelmatig verslag uit aan de IICB en de voorzitter ervan over de prestaties van CERT-EU, de financiële planning, inkomsten, de uitvoering van de begroting, en gesloten dienstenniveauovereenkomsten en schriftelijke overeenkomsten, de samenwerking met andere instanties en partners, en de dienstreizen van personeel, met inbegrip van de in artikel 10, lid 1, bedoelde verslagen.	Het hoofd van CERT-EU brengt minstens één keer per jaar verslag uit aan de IICB en de voorzitter ervan over de prestaties van CERT-EU, de financiële planning, inkomsten, de uitvoering van de begroting, en gesloten dienstenniveauovereenkomsten en schriftelijke overeenkomsten, de samenwerking met andere instanties en partners, en de dienstreizen van personeel, met inbegrip van de in artikel 10, lid 1, bedoelde verslagen.

Amendement 56

Voorstel voor een verordening

Artikel 16 – lid 1


Door de Commissie voorgestelde tekst	Amendement
1. CERT-EU werkt samen en wisselt informatie uit met nationale instanties in de lidstaten, met inbegrip van CERT’s, nationale cyberbeveiligingscentra, CSIRT’s en centrale contactpunten als bedoeld in artikel 8 van richtlijn [het NIS 2-voorstel] over dreigingen, kwetsbaarheden en incidenten op het gebied van cyberveiligheid en over mogelijke tegenmaatregelen, en doet dat voor alle onderwerpen die relevant zijn voor een betere bescherming van de ICT-infrastructuur van de instellingen, organen en instanties van de Unie, onder meer via het CSIRT-netwerk als bedoeld in artikel 13 van richtlijn [NIS 2-voorstel].	1. CERT-EU werkt samen en wisselt informatie uit met nationale instanties in de lidstaten, met inbegrip van CERT’s, nationale cyberbeveiligingscentra, CSIRT’s en centrale contactpunten als bedoeld in artikel 8 van richtlijn [het NIS 2-voorstel] over dreigingen, kwetsbaarheden en incidenten op het gebied van cyberveiligheid en over mogelijke tegenmaatregelen, en doet dat voor alle onderwerpen die relevant zijn voor een betere bescherming van de ICT-omgevingen van de instellingen, organen en instanties van de Unie, onder meer via het CSIRT-netwerk als bedoeld in artikel 13 van richtlijn [NIS 2-voorstel].

Amendement 57

Voorstel voor een verordening

Artikel 16 – lid 2


Door de Commissie voorgestelde tekst	Amendement
2. CERT-EU kan, zonder toestemming van het betrokken constituerende deel, incidentspecifieke informatie uitwisselen met nationale instanties in de lidstaten om de opsporing van soortgelijke cyberdreigingen of -incidenten te vergemakkelijken. CERT-EU kan alleen met toestemming van het betrokken constituerende deel, incidentspecifieke informatie uitwisselen die de identiteit van het doelwit van het cyberbeveiligingsincident onthult.	2. CERT-EU kan, zonder toestemming van de betrokken instellingen, organen en instanties van de Unie, incidentspecifieke informatie uitwisselen met nationale instanties in de lidstaten om de opsporing van soortgelijke cyberdreigingen of -incidenten te vergemakkelijken, op voorwaarde dat de verwerking van persoonsgegevens in overeenstemming met de toepasselijke bepalingen van Verordening (EU) 2018/1725 plaatsvindt. CERT-EU kan alleen met toestemming van de betrokken instellingen, organen of instanties van de Unie incidentspecifieke informatie uitwisselen die de identiteit van het doelwit van het cyberbeveiligingsincident onthult.

Amendement 58

Voorstel voor een verordening

Artikel 17 – lid 1


Door de Commissie voorgestelde tekst	Amendement
1. CERT-EU kan samenwerken met instanties uit derde landen, met inbegrip van bedrijfstakspecifieke instanties, inzake instrumenten en methoden, zoals technieken, tactiek, procedures en beste praktijken, en cyberdreigingen en -kwetsbaarheden. Voor alle samenwerking met dergelijke instanties, ook in verbanden waar instanties van derde landen samenwerken met de nationale tegenhangers van de lidstaten, verzoekt CERT-EU vooraf de goedkeuring van IICB.	1. CERT-EU kan samenwerken met instanties uit derde landen, met inbegrip van bedrijfstakspecifieke instanties, inzake instrumenten en methoden, zoals technieken, tactiek, procedures en beste praktijken, en cyberdreigingen en -kwetsbaarheden. Voor alle samenwerking met dergelijke instanties, ook in verbanden waar instanties van derde landen samenwerken met de nationale tegenhangers van de lidstaten, verzoekt CERT-EU vooraf de goedkeuring van IICB. Bij een dergelijke samenwerking moet de democratische integriteit van de EU te allen tijde worden geëerbiedigd.

Amendement 59

Voorstel voor een verordening

Artikel 17 – lid 2


Door de Commissie voorgestelde tekst	Amendement
2. CERT-EU kan samenwerken met andere partners, zoals commerciële entiteiten, internationale organisaties en nationale entiteiten van buiten de Europese Unie of individuele deskundigen, om informatie te verzamelen over algemene en specifieke cyberdreigingen, cyberkwetsbaarheden en mogelijke tegenmaatregelen. Voor verdere samenwerking met deze partners verzoekt CERT-EU vooraf de goedkeuring van de IICB.	2. CERT-EU kan samenwerken met andere partners, zoals commerciële entiteiten, internationale organisaties en nationale entiteiten van buiten de Europese Unie of individuele deskundigen, om informatie te verzamelen over algemene en specifieke cyberdreigingen, cyberkwetsbaarheden en mogelijke tegenmaatregelen. Voor verdere samenwerking met deze partners verzoekt CERT-EU vooraf de goedkeuring van de IICB. Bij een dergelijke samenwerking moet de democratische integriteit van de EU te allen tijde worden geëerbiedigd.

Amendement 60

Voorstel voor een verordening

Artikel 17 – lid 3


Door de Commissie voorgestelde tekst	Amendement
3. CERT-EU kan, met toestemming van het door een incident getroffen constituerende deel, informatie over een incident verstrekken aan partners die het kunnen helpen analyseren.	3. CERT-EU kan, met toestemming van de door een incident getroffen instellingen, organen of instanties van de Unie, informatie over een incident verstrekken aan partners die het kunnen helpen analyseren.

Amendement 61

Voorstel voor een verordening

Artikel 19 – lid -1 (nieuw)


Door de Commissie voorgestelde tekst	Amendement
	-1. Entiteiten van de Unie kunnen CERT-EU vrijwillig informatie verstrekken over dreigingen, incidenten, bijna-ongelukken en kwetsbaarheden op het gebied van cyberveiligheid die hen aangaan. CERT-EU zorgt ervoor dat er efficiënte communicatiemiddelen beschikbaar zijn om de informatie-uitwisseling met de entiteiten van de Unie te vergemakkelijken. CERT-EU kan voorrang geven aan de verwerking van verplichte meldingen boven vrijwillige meldingen.

Amendement 62

Voorstel voor een verordening

Artikel 19 – lid 1


Door de Commissie voorgestelde tekst	Amendement
1. Om CERT-EU in staat te stellen het kwetsbaarheidsbeheer en de respons op incidenten te coördineren, kan het de instellingen, organen en instanties van de Unie verzoeken voor CERT-EU-steun relevante informatie uit hun respectieve IT-systeeminventarissen te verstrekken. De aangezochte instellingen, organen en instanties zenden de verlangde informatie en bijbehorende actualiseringen daarvan onverwijld toe.	1. Om zijn missie en taken als omschreven in artikel 12 uit te voeren, kan CERT-EU entiteiten van de Unie verzoeken informatie uit hun respectieve ICT-systeeminventarissen te verstrekken, met inbegrip van informatie over cyberdreigingen, bijna-ongevallen, kwetsbaarheden, indicatoren van compromittering, cyberbeveiligingswaarschuwingen en aanbevelingen met betrekking tot de configuratie van cyberbeveiligingsinstrumenten voor het opsporen van cyberincidenten. De aangezochte entiteit zendt de verlangde informatie en bijbehorende actualiseringen daarvan onverwijld toe.

Amendement 63

Voorstel voor een verordening

Artikel 19 – lid 2


Door de Commissie voorgestelde tekst	Amendement
2. De instellingen, organen en instanties van de Unie delen op verzoek van CERT-EU onverwijld de digitale informatie die is opgesteld door het gebruik van elektronische apparaten die bij de respectieve incidenten betrokken zijn geweest. CERT-EU kan verder verduidelijken welke soort digitale informatie nodig is met het oog op situatiebewustzijn en respons op incidenten.	2. De entiteiten van de Unie delen op verzoek van CERT-EU onverwijld de digitale informatie die is opgesteld door het gebruik van elektronische apparaten die bij de respectieve incidenten betrokken zijn geweest. CERT-EU kan verder verduidelijken welke soort digitale informatie nodig is met het oog op situatiebewustzijn en respons op incidenten.

Amendement 64

Voorstel voor een verordening

Artikel 20 – titel


Door de Commissie voorgestelde tekst	Amendement
Kennisgevingsverplichtingen	Meldingsverplichtingen

Amendement 65

Voorstel voor een verordening

Artikel 20 – lid 1 – alinea 1


Door de Commissie voorgestelde tekst	Amendement
De instellingen, organen en instanties van de Unie stellen CERT-EU onverwijld en in ieder geval binnen 24 uur nadat zij daarvan kennis hebben gekregen, initieel in kennis van significante cyberdreigingen, significante kwetsbaarheden en significante incidenten.	De instellingen, organen en instanties van de Unie waarschuwen CERT-EU vroegtijdig en in ieder geval binnen 24 uur nadat zij daarvan kennis hebben gekregen, voor significante cyberdreigingen, significante kwetsbaarheden en significante incidenten. Indien van toepassing, wordt in deze vroegtijdige waarschuwing aangegeven of het significante incident vermoedelijk door een onwettige of kwaadwillige handeling is veroorzaakt, en of het grensoverschrijdende gevolgen heeft of kan hebben;

Amendement 66

Voorstel voor een verordening

Artikel 20 – lid 1 – alinea 2


Door de Commissie voorgestelde tekst	Amendement
In gerechtvaardigde gevallen en in overeenstemming met CERT-EU kunnen de instellingen, organen en instanties van de Unie in kwestie van de in het vorige lid vastgestelde termijn afwijken.	In gerechtvaardigde gevallen en in overeenstemming met CERT-EU kunnen de instellingen, organen en instanties van de Unie in kwestie van deze termijn afwijken.

Amendement 67

Voorstel voor een verordening

Artikel 20 – lid 2 – inleidende formule


Door de Commissie voorgestelde tekst	Amendement
2. De instellingen, organen en instanties van de Unie stellen CERT-EU onverwijld in kennis van passende technische details van dreigingen, kwetsbaarheden en incidenten op het gebied van cyberveiligheid, op grond waarvan opsporings-, incidentrespons- of beperkende maatregelen kunnen worden getroffen. De kennisgeving omvat, indien beschikbaar:	2. De instellingen, organen en instanties van de Unie sturen onverwijld en in ieder geval binnen 72 uur nadat het significante incident bekend is geworden, een kennisgeving naar CERT-EU, werken de vroegtijdige waarschuwing bij en verstrekken een eerste beoordeling van het significante incident en de ernst en de gevolgen ervan, met passende technische details van dreigingen, kwetsbaarheden en incidenten op het gebied van cyberveiligheid, op grond waarvan opsporings-, incidentrespons- of beperkende maatregelen kunnen worden getroffen. De kennisgeving omvat, indien beschikbaar:

Amendement 68

Voorstel voor een verordening

Artikel 20 – lid 2– alinea 1 (nieuw)


Door de Commissie voorgestelde tekst	Amendement
	In gerechtvaardigde gevallen en in overeenstemming met CERT-EU kunnen de instellingen, organen en instanties van de Unie in kwestie van deze termijn afwijken.

Amendement 69

Voorstel voor een verordening

Artikel 20 – lid 2 bis (nieuw)


Door de Commissie voorgestelde tekst	Amendement
	2 bis. Niet langer dan een maand na indiening van de melding van het significante incident dienen de instellingen, organen en instanties van de Unie een eindverslag in bij CERT-EU, dat ten minste de volgende elementen bevat:
	a) een gedetailleerde beschrijving van het significante incident, de ernst en de gevolgen ervan;
	b) het soort dreiging of de grondoorzaak die waarschijnlijk tot het significante incident heeft geleid; c) toegepaste en lopende beperkende maatregelen;
	c) toegepaste en lopende beperkende maatregelen;
	d) indien van toepassing, de grensoverschrijdende gevolgen van het significante incident.
	Voor significante incidenten die op het tijdstip van de indiening van het hierboven genoemde eindverslag nog lopen, wordt op dat tijdstip een voortgangsverslag en uiterlijk één maand na afhandeling van het incident een eindverslag ingediend.

Amendement 70

Voorstel voor een verordening

Artikel 20 – lid 2 ter (nieuw)


Door de Commissie voorgestelde tekst	Amendement
	2 ter. In gerechtvaardigde gevallen en in overeenstemming met CERT-EU kunnen de instellingen, organen en instanties van de Unie in kwestie van de in lid 2 bis vastgestelde termijn afwijken.

Amendement 71

Voorstel voor een verordening

Artikel 20 – lid 3


Door de Commissie voorgestelde tekst	Amendement
3. CERT-EU dient maandelijks bij Enisa een samenvattend verslag in, met geanonimiseerde en geaggregeerde gegevens over significante dreigingen, significante kwetsbaarheden en significante incidenten op het gebied van cyberveiligheid, die overeenkomstig lid 1 ter kennis zijn gegeven.	3. CERT-EU dient maandelijks bij Enisa een samenvattend verslag in, met geanonimiseerde en geaggregeerde gegevens over significante dreigingen, significante kwetsbaarheden en significante incidenten op het gebied van cyberveiligheid, die overeenkomstig lid 1 ter kennis zijn gegeven. Dat verslag dient als input voor het tweejaarlijkse verslag over de stand van zaken op het gebied van de cyberbeveiliging in de Unie in de zin van artikel 18 van de (NIS 2-)richtlijn.

Amendement 72

Voorstel voor een verordening

Artikel 20 – lid 4


Door de Commissie voorgestelde tekst	Amendement
4. De IICB kan richtsnoeren of aanbevelingen uitbrengen betreffende de randvoorwaarden en de inhoud van de kennisgeving. CERT-EU verspreidt de passende technische details, zodat de instellingen, organen en instanties van de Unie proactief opsporings-, incidentrespons- of beperkende maatregelen kunnen treffen.	4. De IICB brengt richtsnoeren of aanbevelingen uit betreffende de randvoorwaarden en de inhoud van de kennisgeving. CERT-EU verspreidt de passende technische details, zodat de instellingen, organen en instanties van de Unie proactief opsporings-, incidentrespons- of beperkende maatregelen kunnen treffen.

Amendement 73

Voorstel voor een verordening

Artikel 20 – lid 5


Door de Commissie voorgestelde tekst	Amendement
5. De kennisgevingsverplichtingen gelden niet voor EUCI, noch voor informatie die instellingen, organen en instanties van de Unie van een veiligheids- of inlichtingendienst of een rechtshandhavingsinstantie van een lidstaat hebben ontvangen onder de uitdrukkelijke voorwaarde dat die niet met CERT-EU wordt gedeeld.	Schrappen

Amendement 74

Voorstel voor een verordening

Artikel 24 – lid 2


Door de Commissie voorgestelde tekst	Amendement
2. Uiterlijk 48 maanden na de inwerkingtreding van deze verordening en vervolgens om de drie jaar brengt de Commissie verslag uit over de uitvoering van deze verordening aan het Europees Parlement en de Raad.	2. Uiterlijk 36 maanden na de inwerkingtreding van deze verordening en vervolgens om de twee jaar brengt de Commissie verslag uit over de uitvoering van deze verordening aan het Europees Parlement en de Raad.

Amendement 75

Voorstel voor een verordening

Artikel 24 – lid 3

Door de Commissie voorgestelde tekst

Amendement

3. Niet eerder dan drie jaar na de inwerkingtreding evalueert de Commissie de werking van deze verordening en brengt daarover verslag uit aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s, gezien de zich snel ontwikkelende dreigingen op het gebied van cyberveiligheid.

Amendement 76

Voorstel voor een verordening

Bijlage I – alinea 1 – inleidende formule


Door de Commissie voorgestelde tekst	Amendement
Het basisniveau van cyberbeveiliging heeft betrekking op de volgende domeinen:	Het basisniveau van cyberbeveiliging heeft betrekking op ten minste de volgende domeinen:

Amendement 77

Voorstel voor een verordening

Bijlage I – alinea 1 – punt 1 bis (nieuw)


Door de Commissie voorgestelde tekst	Amendement
	(1 bis) opleiding van personeelsleden op het gebied van cyberbeveiliging;

Amendement 78

Voorstel voor een verordening

Bijlage I – alinea 1 – punt 3


Door de Commissie voorgestelde tekst	Amendement
(3) activabeheer, inclusief een inventaris van IT-activa en IT-netwerkarchitectuur;	(3) aankoop en beheer van activa, inclusief een inventaris van ICT-activa en ICT-netwerkarchitectuur;

Amendement 79

Voorstel voor een verordening

Bijlage I – alinea 1 – punt 7


Door de Commissie voorgestelde tekst	Amendement
(7) aankoop, ontwikkeling en onderhoud van systemen;	(7) aankoop, ontwikkeling en onderhoud van systemen, met inbegrip van de interne ontwikkeling van opensourcesoftware;

Amendement 80

Voorstel voor een verordening

Bijlage I – alinea 1 – punt 7 bis (nieuw)


Door de Commissie voorgestelde tekst	Amendement
	(7 bis) cyberbeveiligingsaudits;

Amendement 81

Voorstel voor een verordening

Bijlage I – alinea 1 – punt 9


Door de Commissie voorgestelde tekst	Amendement
(9) incidentbeheer, inclusief benaderingen om de paraatheid bij, het reageren op en het herstel van incidenten en de samenwerking met CERT-EU te verbeteren, zoals het onderhoud van beveiligingsmonitoring en -registratie;	(9) incidentbeheer, inclusief benaderingen om de paraatheid bij, het reageren op en het herstel van incidenten, de naleving en inkorting van termijnen voor rapportageverplichtingen en de samenwerking met CERT-EU te verbeteren, zoals het onderhoud van beveiligingsmonitoring en -registratie;

Amendement 82

Voorstel voor een verordening

Bijlage II – alinea 1 – punt 3 bis (nieuw)


Door de Commissie voorgestelde tekst	Amendement
	(3 bis) regelmatige opleiding van personeelsleden op het gebied van cyberbeveiliging;

Amendement 83

Voorstel voor een verordening

Bijlage II – alinea 1 – punt 4 – a


Door de Commissie voorgestelde tekst	Amendement
a) contractuele belemmeringen weg te nemen die informatie-uitwisseling tussen IT-dienstverleners over incidenten, kwetsbaarheden en cyberdreigingen met CERT-EU beperken;	a) contractuele belemmeringen weg te nemen die informatie-uitwisseling tussen ICT-serviceverleners over incidenten, kwetsbaarheden en cyberdreigingen met CERT-EU beperken;

PROCEDURE VAN DE ADVISERENDE COMMISSIE

Titel	Maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie
Document- en procedurenummers	COM(2022)0122 – C9-0122/2022 – 2022/0085(COD)
Bevoegde commissie Datum bekendmaking	ITRE 4.4.2022
Advies uitgebracht door Datum bekendmaking	AFCO 4.4.2022
Rapporteur voor advies Datum benoeming	Markéta Gregorová 20.6.2022
Behandeling in de commissie	26.10.2022	1.12.2022
Datum goedkeuring	25.1.2023
Uitslag eindstemming	+: –: 0:	24 0 0
Bij de eindstemming aanwezige leden	Gerolf Annemans, Gabriele Bischoff, Damian Boeselager, Gwendoline Delbos-Corfield, Salvatore De Meo, Daniel Freund, Charles Goerens, Esteban González Pons, Laura Huhtasaari, Victor Negrescu, Max Orville, Domènec Ruiz Devesa, Helmut Scholz, Pedro Silva Pereira, Sven Simon, Guy Verhofstadt, Loránt Vincze, Rainer Wieland
Bij de eindstemming aanwezige vaste plaatsvervangers	Nathalie Colin-Oesterlé, Pascal Durand, Seán Kelly, Jaak Madison, Maite Pagazaurtundúa
Bij de eindstemming aanwezige plaatsvervangers (art. 209, lid 7)	Leszek Miller

HOOFDELIJKE EINDSTEMMING IN DE ADVISERENDE COMMISSIE

24	+
ID	Gerolf Annemans, Laura Huhtasaari, Jaak Madison
PPE	Nathalie Colin-Oesterlé, Salvatore De Meo, Esteban González Pons, Seán Kelly, Sven Simon, Loránt Vincze, Rainer Wieland
Renew	Charles Goerens, Max Orville, Maite Pagazaurtundúa, Guy Verhofstadt
S&D	Gabriele Bischoff, Pascal Durand, Leszek Miller, Victor Negrescu, Domènec Ruiz Devesa, Pedro Silva Pereira
The Left	Helmut Scholz
Verts/ALE	Damian Boeselager, Gwendoline Delbos-Corfield, Daniel Freund

0	-

0	0

Verklaring van de gebruikte tekens:

+ : voor

- : tegen

0 : onthouding

PROCEDURE VAN DE BEVOEGDE COMMISSIE

Titel	Maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie
Document- en procedurenummers	COM(2022)0122 – C9-0122/2022 – 2022/0085(COD)
Datum indiening bij EP	22.3.2022
Bevoegde commissie Datum bekendmaking	ITRE 4.4.2022
Adviserende commissies Datum bekendmaking	BUDG 4.4.2022	LIBE 4.4.2022	AFCO 4.4.2022
Medeverantwoordelijke commissies Datum bekendmaking	LIBE 15.9.2022
Rapporteurs Datum benoeming	Henna Virkkunen 18.5.2022
Behandeling in de commissie	26.10.2022
Datum goedkeuring	9.3.2023
Uitslag eindstemming	+: –: 0:	58 0 0
Bij de eindstemming aanwezige leden	Nicola Beer, Hildegard Bentele, Tom Berendsen, Vasile Blaga, Michael Bloss, Marc Botenga, Martin Buschmann, Cristian-Silviu Buşoi, Jerzy Buzek, Ignazio Corrao, Beatrice Covassi, Ciarán Cuffe, Josianne Cutajar, Nicola Danti, Christian Ehler, Valter Flego, Niels Fuglsang, Lina Gálvez Muñoz, Claudia Gamon, Jens Geier, Nicolás González Casares, Bart Groothuis, Christophe Grudler, Henrike Hahn, Robert Hajšel, Ivo Hristov, Romana Jerković, Seán Kelly, Łukasz Kohut, Miapetra Kumpula-Natri, Marisa Matias, Dan Nica, Angelika Niebler, Ville Niinistö, Johan Nissinen, Mauri Pekkarinen, Tsvetelina Penkova, Morten Petersen, Manuela Ripa, Robert Roos, Maria Spyraki, Riho Terras, Grzegorz Tobiszowski, Patrizia Toia, Pernille Weiss
Bij de eindstemming aanwezige vaste plaatsvervangers	Andrus Ansip, Pascal Arimont, Izaskun Bilbao Barandica, Franc Bogovič, Jakop G. Dalunde, Matthias Ecke, Cornelia Ernst, Jens Gieseke, Jutta Paulus, Marion Walsmann, Emma Wiesner
Bij de eindstemming aanwezige plaatsvervangers (art. 209, lid 7)	Agnès Evren, Tilly Metz
Datum indiening	10.3.2023

HOOFDELIJKE EINDSTEMMING IN DE BEVOEGDE COMMISSIE

58	+
ECR	Johan Nissinen, Robert Roos, Grzegorz Tobiszowski
NI	Martin Buschmann
PPE	Pascal Arimont, Hildegard Bentele, Tom Berendsen, Vasile Blaga, Franc Bogovič, Cristian-Silviu Buşoi, Jerzy Buzek, Christian Ehler, Agnès Evren, Jens Gieseke, Seán Kelly, Angelika Niebler, Maria Spyraki, Riho Terras, Marion Walsmann, Pernille Weiss
Renew	Andrus Ansip, Nicola Beer, Izaskun Bilbao Barandica, Nicola Danti, Valter Flego, Claudia Gamon, Bart Groothuis, Christophe Grudler, Mauri Pekkarinen, Morten Petersen, Emma Wiesner
S&D	Beatrice Covassi, Josianne Cutajar, Matthias Ecke, Niels Fuglsang, Lina Gálvez Muñoz, Jens Geier, Nicolás González Casares, Robert Hajšel, Ivo Hristov, Romana Jerković, Łukasz Kohut, Miapetra Kumpula-Natri, Dan Nica, Tsvetelina Penkova, Patrizia Toia
The Left	Marc Botenga, Cornelia Ernst, Marisa Matias
Verts/ALE	Michael Bloss, Ignazio Corrao, Ciarán Cuffe, Jakop G. Dalunde, Henrike Hahn, Tilly Metz, Ville Niinistö, Jutta Paulus, Manuela Ripa

0	-

0	0

Verklaring van de gebruikte tekens:

+ : voor

- : tegen

0 : onthouding

[*] Amendementen: nieuwe of vervangende tekst staat in vet en cursief, schrappingen zijn met het symbool ▌aangegeven.
[1] Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (NIS 2-richtlijn) (PB L 333 van 27.12.2022, blz. 80).
[2] PB C 12 van 13.1.2018, blz. 1 ▌.
[3] Aanbeveling (EU) 2017/1584 van de Commissie van 13 september 2017 inzake een gecoördineerde respons op grootschalige cyberincidenten en -crises (PB L 239 van 19.9.2017, blz. 36).
[4] Verordening (EU) 2019/881 van het Europees Parlement en de Raad van 17 april 2019 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (de cyberbeveiligingsverordening) (PB L 151 van 7.6.2019, blz. 15).
[5] Aanbeveling van de Commissie C(2021) 4520 van 23 juni 2021 betreffende de opbouw van een gezamenlijke cybereenheid.
[6] Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39).
[8] Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad van 25 oktober 2012 betreffende Europese normalisatie, tot wijziging van de Richtlijnen 89/686/EEG en 93/15/EEG van de Raad alsmede de Richtlijnen 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG en 2009/105/EG van het Europees Parlement en de Raad en tot intrekking van Beschikking 87/95/EEG van de Raad en Besluit nr. 1673/2006/EG van het Europees Parlement en de Raad (PB L 316 van 14.11.2012, blz. 12).
[9] Verordening (EU, Euratom) 2018/1046 van het Europees Parlement en de Raad van 18 juli 2018 tot vaststelling van de financiële regels van toepassing op de algemene begroting van de Unie, tot wijziging van de Verordeningen (EU) nr. 1296/2013, (EU) nr. 1301/2013, (EU) nr. 1303/2013, (EU) nr. 1304/2013, (EU) nr. 1309/2013, (EU) nr. 1316/2013, (EU) nr. 223/2014, (EU) nr. 283/2014 en Besluit nr. 541/2014/EU en tot intrekking van Verordening (EU, Euratom) nr. 966/2012 (PB L 193 van 30.7.2018, blz. 1).
[10] Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1).
[11] Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad van 30 mei 2001 inzake de toegang van het publiek tot documenten van het Europees Parlement, de Raad en de Commissie (PB L 145 van 31.5.2001, blz. 43).
[1] Speciaal verslag 05/2022: Cyberbeveiliging van EU-instellingen, -organen en -agentschappen: paraatheidsniveau staat over het algemeen niet in verhouding tot dreigingen.

Laatst bijgewerkt op: 29 maart 2023

Juridische mededeling - Privacybeleid