kom (2022) 0122 - Ingen titel

Europaudvalget 2022
KOM (2022) 0122
Offentligt

EUROPA-

KOMMISSIONEN

Bruxelles, den 22.3.2022

COM(2022) 122 final

ANNEXES 1 to 2

BILAG

til

Forslag til EUROPA-PARLAMENTETS OG RÅDETS FORORDNING

om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i EU's

institutioner, organer, kontorer og agenturer

{SWD(2022) 67 final} - {SWD(2022) 68 final}

kom (2022) 0122 - Ingen titel

BILAG I

Følgende områder skal være omfattet af referencescenariet for cybersikkerhed:

(1)

cybersikkerhedspolitikken, herunder mål og prioriteter for sikkerheden i net- og

informationssystemer, navnlig hvad angår brugen af cloud computing-tjenester (jf.

artikel 4, stk. 19, i direktiv [proposal NIS 2]) og tekniske foranstaltninger med

henblik på at muliggøre telearbejde

organisering af cybersikkerheden, herunder fastlæggelse af roller og ansvarsområder

forvaltning af aktiver, herunder en liste over IT-aktiver og en kortlægning af IT-

netværket

adgangskontrol

driftssikkerhed

kommunikationssikkerhed

erhvervelse, udvikling og vedligeholdelse af systemer

forholdet til leverandører

styring af hændelser, herunder tilgange til forbedring af beredskab, reaktion og

genopretning i forbindelse med hændelser, og samarbejde med CERT-EU såsom

vedligeholdelse af sikkerhedsmonitorering og logning

styring af driftskontinuitet og krisestyring og

uddannelse i cybersikkerhed, bevidstgørelse og kurser.

(2)

(3)

(4)

(5)

(6)

(7)

(8)

(9)

(10)

(11)

kom (2022) 0122 - Ingen titel

BILAG II

EU's institutioner, organer og agenturer skal som minimum arbejde med følgende specifikke

cybersikkerhedsforanstaltninger i forbindelse med gennemførelsen af referencescenariet for

cybersikkerhed og i deres cybersikkerhedsplaner i overensstemmelse med vejledende

dokumenter og henstillinger udstedt af IICB:

(1)

konkrete skridt hen imod en nultillidsarkitektur (dvs. en sikkerhedsmodel, et sæt

systemkonstruktionsprincipper

og en

koordineret

cybersikkerheds-

systemforvaltningsstrategi baseret på en anerkendelse af, at trusler findes både inden

for og uden for traditionelle netværksgrænser)

indførelsen af multifaktorautentificering

informationssystemer

som

standard

for

alle

net-

(2)

(3)

(4)

etableringen af forsyningssikkerhed for så vidt angår software ved hjælp af kriterier

for sikker udvikling og evaluering af software

forbedring af indkøbsprocedurerne med henblik på at fremme et højt fælles

cybersikkerhedsniveau ved hjælp af:

(a)

fjernelsen

kontraktmæssige

hindringer,

der

begrænser

IT-

tjenesteleverandørernes deling af oplysninger om cybertrusler, sårbarheder og

hændelser med CERT-EU

indførelsen af en kontraktmæssig forpligtelse til at indberette cybertrusler,

sårbarheder og hændelser samt til at have passende beredskab og overvågning i

forbindelse med hændelser.

(b)