(1)

Anvendelsen og afhængigheden af informations- og kommunikationsteknologier er blevet grundlæggende aspekter i alle sektorer af økonomien og samfundet i lyset af den stadig voksende indbyrdes forbundenhed og indbyrdes afhængighed mellem offentlige forvaltninger, virksomheder og borgere på tværs af sektorer og grænser, hvilket samtidig udsætter dem for forskellige sårbarheder.

(2)

Cybersikkerhedshændelser er tiltagende både i omfang, hyppighed og virkning på EU-plan og globalt plan, herunder angreb mod forsyningskæden med henblik på cyberspionage, ransomware eller forstyrrelser. De udgør en alvorlig trussel mod netværks- og informationssystemernes funktion. Der ses et trusselsbillede i hastig udvikling, og truslen om mulige omfattende cybersikkerhedshændelser, der kan forårsage betydelige forstyrrelser og skader på kritisk infrastruktur, kræver et øget beredskab i Unionens cybersikkerhedsøkosystem. Truslen rækker langt videre end Ruslands angrebskrig mod Ukraine og er formentlig blivende, når man tager de mange forskellige aktører i betragtning, der er en del af de aktuelle geopolitiske spændinger. Sådanne hændelser kan hindre leveringen af offentlige tjenester, da cyberangreb ofte er rettet mod lokale, regionale eller nationale offentlige tjenester og infrastrukturer, hvor de lokale myndigheder er særligt sårbare, bl.a. på grund af deres begrænsede ressourcer. De kan også hindre udøvelsen af økonomiske aktiviteter, herunder i sektorer af særligt kritisk betydning eller andre kritiske sektorer, medføre betydelige finansielle tab, underminere brugernes tillid, forårsage betydelig skade på Unionens økonomi og demokratiske systemer og muligvis få sundhedsmæssige eller livstruende konsekvenser. Desuden er cybersikkerhedshændelser uforudsigelige, fordi de ofte opstår og udvikler sig hurtigt, fordi de ikke er begrænsede til et specifikt geografisk område, og fordi de forekommer samtidig eller spredes hurtigt til mange lande. Det er afgørende at sikre tæt samarbejde mellem den offentlige og den private sektor, den akademiske verden og medierne.

(3)

Det er nødvendigt at styrke industriens og tjenesteydelsernes konkurrenceevne i Unionen på tværs af hele den digitale økonomi og støtte den digitale omstilling i sektorerne ved at styrke cybersikkerhedsniveauet på det digitale indre marked som anbefalet i tre forskellige forslag fra konferencen om Europas fremtid. Der er behov for at øge modstandsdygtigheden hos borgere, virksomheder, herunder mikrovirksomheder, små og mellemstore virksomheder og nystartede virksomheder og enheder, der driver kritisk infrastruktur, over for tiltagende cybertrusler, som kan have ødelæggende samfundsmæssige og økonomiske konsekvenser. Der er derfor behov for investeringer i infrastrukturer og tjenester og opbygning af kapacitet til at udvikle cybersikkerhedsfærdigheder, der muliggør en hurtigere opdagelse af og en hurtigere reaktion på cybertrusler og -hændelser. Desuden har medlemsstaterne har brug for hjælp til bedre at kunne forberede sig på og reagere på, samt brug for hjælp i den indledende genopretning efter væsentlige cybersikkerhedshændelser og omfattende cybersikkerhedshændelser. Ved at bygge videre på de eksisterende strukturer og i tæt samarbejde med disse bør Unionen også øge sin kapacitet på disse områder, navnlig med hensyn til indsamling og analyse af data om cybertrusler og -hændelser.

(4)

Unionen har allerede truffet en række foranstaltninger for at mindske sårbarheder og øge kritiske infrastrukturers og enheders modstandsdygtighed over for risici, navnlig Europa-Parlamentets og Rådets forordning (EU) 2019/881 (5), Europa-Parlamentets og Rådets direktiv 2013/40/EU (6) og (EU) 2022/2555 (7) og Kommissionens henstilling (EU) 2017/1584 (8). Desuden opfordres medlemsstaterne i Rådets henstilling af 8. december 2022 om en EU-dækkende koordineret tilgang til styrkelse af kritisk infrastrukturs modstandsdygtighed til at træffe foranstaltninger og til at samarbejde med hinanden, Kommissionen og andre relevante offentlige myndigheder samt de berørte enheder for at øge modstandsdygtigheden i den kritiske infrastruktur, der anvendes til at levere væsentlige tjenester på det indre marked.

(5)

De voksende cybersikkerhedsrisici og det generelt komplekse trusselsbillede, hvor der er en klar risiko for, at hændelser spreder sig fra én medlemsstat til andre og fra et tredjeland til Unionen, kræver, at man styrker solidariteten på EU-niveau for bedre at kunne opdage, forberede sig og reagere på og komme sig efter cybertrusler og -hændelser, navnlig ved at styrke de eksisterende strukturers kapacitet. Endvidere opfordrede Rådets konklusioner af 23. maj 2022 om udviklingen af Den Europæiske Unions cyberposition Kommissionen til at fremsætte et forslag om en ny beredskabsfond for cybersikkerhed.

(6)

I den fælles meddelelse fra Kommissionen og Unionens høje repræsentant for udenrigsanliggender og sikkerhedspolitik af 10. november 2022 til Europa-Parlamentet og Rådet om EU's politik for cyberforsvar blev EU's cybersolidaritetsinitiativ beskrevet med målsætninger om at styrke EU's fælles situationsbevidsthed og kapacitet til at opdage og reagere på hændelser ved at fremme etableringen af en EU-infrastruktur for sikkerhedsoperationscentre (SOC'er), støtte en gradvis opbygning af en cyberreserve på EU-plan med brug af tjenester fra betroede private udbydere og teste kritiske enheder for potentielle sårbarheder baseret på EU's risikovurderinger.

(7)

Det er nødvendigt at styrke situationsbevidsthed og kapaciteten til at opdage cybertrusler og -hændelser i hele Unionen og styrke solidariteten ved at øge medlemsstaternes og Unionens beredskab og kapacitet til at forebygge og reagere på væsentlige cybersikkerhedshændelser og omfattende cybersikkerhedshændelser. Derfor bør et paneuropæisk netværk af cyberknudepunkter (»det europæiske cybersikkerhedsvarslingssystem«) etableres for at opbygge koordineret situationsbevidsthed og kapacitet til at opdage hændelser og dermed styrke Unionens kapacitet til at afdække trusler og udveksle informationer; der bør oprettes en cybersikkerhedsberedskabsmekanisme, som efter anmodning fra medlemsstaterne hjælper dem med at forberede sig og reagere på, afbøde virkningen af og påbegynde genopretning efter væsentlige cybersikkerhedshændelser eller omfattende cybersikkerhedshændelser, og for at hjælpe andre brugere med at reagere på væsentlige cybersikkerhedshændelser og cybersikkerhedshændelser svarende til omfattende cybersikkerhedshændelser, og der bør oprettes en europæisk mekanisme til gennemgang af cybersikkerhedshændelser med henblik på at gennemgå og vurdere specifikke væsentlige cybersikkerhedshændelser eller omfattende cybersikkerhedshændelser. Foranstaltningerne i henhold til denne forordning bør gennemføres under behørig hensyntagen til medlemsstaternes kompetencer og bør supplere og ikke overlappe de aktiviteter, der udføres af CSIRT-netværket, det Europæiske Netværk af Forbindelsesorganisationer for Cyberkriser (EU-CyCLONe) eller samarbejdsgruppen (NIS-samarbejdsgruppen), der alle er oprettet ved direktiv (EU) 2022/2555. Disse foranstaltninger berører ikke artikel 107 og 108 i traktaten om Den Europæiske Unions funktionsmåde (TEUF).

(8)

For at opfylde disse målsætninger er det nødvendigt at ændre Europa-Parlamentets og Rådets forordning (EU) 2021/694 (9) på visse områder. Denne forordning bør navnlig ændre forordning (EU) 2021/694 for så vidt angår tilføjelsen af nye operationelle mål for det europæiske cybersikkerhedsvarslingssystem og cybersikkerhedsberedskabsmekanismen under specifikt mål nr. 3 i programmet for et digitalt Europa, hvis formål er at sikre det digitale indre markeds modstandsdygtighed, integritet og troværdighed, styrke kapaciteten til at overvåge cyberangreb og -trusler og reagere på dem og styrke det grænseoverskridende samarbejde og den grænseoverskridende koordination vedrørende cybersikkerhed. Det europæiske cybersikkerhedsvarslingssystem kan spille en vigtig rolle med hensyn til at støtte medlemsstaterne i at foregribe og beskytte sig mod cybertrusler, og EU's cybersikkerhedsreserve kan spille en vigtig rolle med hensyn til at støtte medlemsstaterne, EU's institutioner, organer, kontorer og agenturer og tredjelande, der er associeret til programmet for et digitalt Europa, i at reagere på og afbøde virkningerne af væsentlige cybersikkerhedshændelser, omfattende cybersikkerhedshændelser og cybersikkerhedshændelser svarende til omfattende cybersikkerhedshændelser. Disse virkninger kan omfatte betydelig materiel eller immateriel skade og alvorlige risici for den offentlige sikkerhed. I lyset af de specifikke roller, som det europæiske cybersikkerhedsvarslingssystem og EU's cybersikkerhedsreserve kan spille, bør denne forordning ændre forordning (EU) 2021/694 for så vidt angår deltagelse af retlige enheder, der er etableret i Unionen, men kontrolleres fra tredjelande, hvis der er en reel risiko for, at de nødvendige og tilstrækkelige værktøjer, infrastrukturer og tjenester eller teknologi, ekspertise og kapacitet ikke er tilgængelige i Unionen, og fordelene ved at medtage sådanne enheder opvejer sikkerhedsrisikoen. De særlige betingelser, hvorunder der kan ydes finansiel støtte til foranstaltninger til gennemførelse af det europæiske cybersikkerhedsvarslingssystem og EU's cybersikkerhedsreserve, bør fastlægges, og de forvaltnings- og koordineringsmekanismer, der er nødvendige for at nå de tilsigtede mål, bør defineres. Andre ændringer af forordning (EU) 2021/694 bør omfatte beskrivelse af foreslåede foranstaltninger under de nye operationelle målsætninger og målbare indikatorer til overvågning af gennemførelsen heraf.

(9)

Samarbejde med internationale organisationer samt med betroede, ligesindede internationale partnere er afgørende for at styrke Unionens reaktion på cybersikkerhedstrusler og -hændelser. I denne forbindelse bør pålidelige og ligesindede internationale partnere forstås som værende lande, der deler principperne, der førte til Unionens oprettelse, nemlig demokrati, retsstatsprincippet, menneskerettighedernes og de grundlæggende frihedsrettigheders universalitet og udelelighed, respekt for den menneskelige værdighed, principperne om lighed og solidaritet og respekt for principperne i De Forenede Nationers pagt og folkeretten, og som ikke underminerer Unionens eller dens medlemsstaters væsentlige sikkerhedsinteresser. Et sådant samarbejde kan også være gavnligt med hensyn til foranstaltningerne truffet i henhold til denne forordning, navnlig det europæiske cybersikkerhedsvarslingssystem og EU's cybersikkerhedsreserve. Forordning (EU) 2021/694 bør afhængig af visse tilgængeligheds- og sikkerhedsbetingelser fastsætte, at udbud vedrørende det europæiske cybersikkerhedsvarslingssystem og EU's cybersikkerhedsreserve er åbne for retlige enheder, der kontrolleres fra tredjelande, forudsat at sikkerhedskravene er opfyldt. I forbindelse med vurderingen af sikkerhedsrisikoen ved at åbne udbud på denne måde er det vigtigt at tage hensyn til de principper og værdier, som Unionen deler med ligesindede internationale partnere, når disse principper og værdier vedrører Unionens væsentlige sikkerhedsinteresser. Når sådanne sikkerhedskrav overvejes i henhold til forordning (EU) 2021/694, kan der desuden tages hensyn til flere elementer, såsom en enheds selskabsstruktur og beslutningsproces, datasikkerhed og sikkerheden af klassificerede eller følsomme oplysninger og sikring af, at foranstaltningens resultater ikke er underlagt kontrol eller begrænsninger fra tredjelande, der ikke er godkendt til deltagelse.

(10)

Finansieringen af foranstaltninger under denne forordning bør fastsættes i forordning (EU) 2021/694, som fortsat bør være den relevante basisretsakt for disse foranstaltninger, der hører under specifik målsætning nr. 3 i programmet for et digitalt Europa. Der vil i de relevante arbejdsprogrammer blive fastsat særlige betingelser for deltagelse i de enkelte foranstaltninger i overensstemmelse med forordning (EU) 2021/694.

(11)

Horisontale finansielle regler, der er vedtaget af Europa-Parlamentet og Rådet på grundlag af artikel 322 i TEUF, finder anvendelse på denne forordning. Disse regler er fastsat i Europa-Parlamentets og Rådets forordning (EU, Euratom) 2024/2509 (10) og fastlægger navnlig proceduren for opstilling og gennemførelse af Unionens budget og indeholder bestemmelser om kontrol af de finansielle aktørers ansvar. Regler vedtaget på grundlag af artikel 322 i TEUF omfatter også en generel ordning vedrørende konditionalitet med henblik på beskyttelse af Unionens budget som fastsat i Europa-Parlamentets og Rådets forordning (EU, Euratom) 2020/2092 (11).

(12)

Selv om forebyggelses- og beredskabsforanstaltninger er afgørende for at øge Unionens modstandsdygtighed over for væsentlige cybersikkerhedshændelser, omfattende cybersikkerhedshændelser og cybersikkerhedshændelser svarende til omfattende cybersikkerhedshændelser, er forekomsten, timingen og omfanget af sådanne hændelser i sagens natur uforudsigelige. De finansielle ressourcer, der er nødvendige for at sikre en passende reaktion, kan variere betydeligt fra år til år og bør kunne stilles til rådighed med det samme. Hvis budgetprincippet om forudsigelighed skal kunne forenes med nødvendigheden af at kunne reagere hurtigt på nye behov, er det nødvendigt at tilpasse den finansielle gennemførelse af arbejdsprogrammerne. I tillæg til fremførsel af bevillinger, der er godkendt i henhold til artikel 12, stk. 4, i forordning (EU, Euratom) 2024/2509, er det derfor hensigtsmæssigt at tillade fremførslen af uudnyttede bevillinger, men kun til det følgende år og udelukkende til EU's cybersikkerhedsreserve og de aktioner der støtter gensidig bistand.

(13)

For mere effektivt at forebygge, vurdere, reagere på og sikre genopretning efter cybertrusler og -hændelser er det nødvendigt at opbygge en mere omfattende viden om truslerne mod kritiske aktiver og infrastrukturer på Unionens område, herunder geografiske fordeling, sammenhæng og mulige virkninger i tilfælde af cyberangreb, der påvirker disse infrastrukturer. En proaktiv tilgang til at udpege, afbøde og forebygge cybertrusler nødvendiggør en styrkelse af avancerede opdagelseskapaciteter. Det europæiske cybersikkerhedsvarslingssystem bør bestå af flere interoperable grænseoverskridende cyberknudepunkter, som hver samler tre eller flere nationale cyberknudepunkter. Infrastrukturen bør tjene nationale og europæiske cybersikkerhedsinteresser og -behov, den nyeste teknologi til avanceret indsamling af relevante data og information, anonymiseret hvor det er hensigtsmæssigt, og analyseværktøjer til behandling af anonymiserede data bør udnyttes, den koordinerede kapacitet til opdagelse og forvaltning af cybertrusler bør styrkes, og en situationsbevidsthed i realtid bør opbygges. Infrastrukturen skal tjene til forbedring af cyberniveau ved at forbedre opdagelse samt aggregering og analyse af data og information med henblik på at forebygge cybertrusler og -hændelser og dermed supplere og støtte Unionens enheder og netværk med ansvar for cyberkrisestyring i Unionen, navnlig EU-CyCLONe.

(14)

Deltagelse i det europæiske cybersikkerhedsvarslingssystem er frivilligt for medlemsstaterne. De enkelte medlemsstater bør udpege en enkelt enhed på nationalt plan, der har til opgave at koordinere aktiviteter til opdagelse af cybertrusler i den pågældende medlemsstat. Disse nationale cyberknudepunkter bør fungere som reference- og indgangspunkt på nationalt plan for deltagelse i det europæiske cybersikkerhedsvarslingssystem, og de bør sikre, at information om cybertrusler fra offentlige og private enheder deles og indsamles på nationalt plan på en effektiv og koordineret måde. De nationale cyberknudepunkter kan styrke samarbejdet og informationsudvekslingen mellem offentlige og private enheder og kan også støtte udvekslingen af relevante data og information med relevante sektorspecifikke og tværsektorielle fællesskaber, herunder relevante industrielle informationsudvekslings- og analysecentre (ISAC'er). Et tæt og koordineret samarbejde mellem offentlige og private enheder er centralt, hvis Unionens cybermodstandsdygtighed skal styrkes. Et sådant samarbejde er særlig værdifuldt i forbindelse med udvekslingen af cybermæssige trusselsefterretninger for at forbedre den aktive cyberbeskyttelse. Som led i et sådant samarbejde og sådan informationsudveksling kan de nationale cyberknudepunkter anmode om og modtage specifik information. De nationale cyberknudepunkter er hverken forpligtet eller bemyndiget i henhold til denne forordning til at følge op på sådanne anmodninger. Hvor det er relevant og i overensstemmelse med EU-retten og national ret, kan den information, der anmodes om eller modtages, omfatte telemetri-, sensor- og loggingdata fra enheder såsom udbydere af administrerede sikkerhedstjenester, der opererer i sektorer af særligt kritisk betydning eller andre kritiske sektorer i den pågældende medlemsstat, med henblik på at fremme en hurtig opdagelse af potentielle cybertrusler og -hændelser på et tidligere tidspunkt og dermed forbedre situationsbevidstheden. Hvis det nationale cyberknudepunkt ikke er den kompetente myndighed, der er udpeget eller oprettet af den relevante medlemsstat i henhold til artikel 8, stk. 1, i direktiv (EU) 2022/2555, er det afgørende, at det koordinerer med den pågældende kompetente myndighed i forbindelse med anmodninger om og modtagelse af sådanne data.

(15)

Som en del af det europæiske cybersikkerhedsvarslingssystem bør der oprettes en række grænseoverskridende cyberknudepunkter. Disse grænseoverskridende cyberknudepunkter skal samle de nationale cyberknudepunkter fra mindst tre medlemsstater for at sikre, at fordelene ved grænseoverskridende trusselsopdagelse og informationsdeling og -styring udnyttes fuldt ud. Den overordnede målsætning for de grænseoverskridende cyberknudepunkter bør være at styrke kapaciteten til at analysere, forebygge og opdage cybersikkerhedstrusler og støtte frembringelsen af cybermæssige trusselsefterretninger af høj kvalitet, navnlig gennem deling af relevant information, anonymiseret hvor det er hensigtsmæssigt, i et pålideligt og sikkert miljø fra forskellige offentlige eller private kilder samt gennem udveksling og fælles anvendelse af avancerede værktøjer og fælles udvikling af opdagelses-, analyse- og forebyggelseskapaciteter i et pålideligt og sikkert miljø. Cyberknudepunkter bør stille ny supplerende kapacitet til rådighed, der bygger på og supplerer eksisterende SOC'er og CSIRT'er og andre relevante aktører, herunder CSIRT-netværket.

(16)

En medlemsstat, der udvælges af Det Europæiske Industri-, Teknologi- og Forskningskompetencecenter for Cybersikkerhed (ECCC) oprettet ved Europa-Parlamentets og Rådets forordning (EU) 2021/887 (12) efter en indkaldelse af interessetilkendegivelser med henblik på at oprette eller forbedre kapaciteten hos et nationalt cyberknudepunkt, bør i samarbejde med ECCC indkøbe relevante værktøjer, infrastrukturer og tjenester. En sådan medlemsstat bør være berettiget til at modtage tilskud til drift af værktøjer, infrastrukturer eller tjenester. Et værtskonsortium, bestående af mindst tre medlemsstater, som er blevet udvalgt af ECCC efter en indkaldelse af interessetilkendegivelser med henblik på at oprette eller forbedre kapaciteten hos et grænseoverskridende cyberknudepunkt, bør indkøbe relevante værktøjer, infrastrukturer eller tjenester i samarbejde med ECCC. Værtskonsortiet bør være berettiget til at modtage et tilskud til drift af værktøjer, infrastrukturer eller tjenester. Udbudsproceduren med henblik på indkøb af de relevante værktøjer, infrastrukturer eller tjenester bør gennemføres i fællesskab af ECCC og relevante ordregivende myndigheder fra medlemsstaterne, der udvælges efter sådanne indkaldelser af interessetilkendegivelser. Sådanne udbud bør overholde artikel 168, stk. 2, i forordning (EU) 2024/2509 og ECCC's finansielle regler. Private enheder bør derfor ikke være berettigede til at deltage i indkaldelser af interessetilkendegivelser med henblik på fælles indkøb af værktøjer, infrastrukturer eller tjenester med ECCC eller til at modtage tilskud til drift af disse værktøjer, infrastrukturer og tjenester. Medlemsstaterne bør dog kunne inddrage private enheder i oprettelsen, forbedringen og driften af deres nationale cyberknudepunkter og grænseoverskridende cyberknudepunkter på andre måder, som de finder hensigtsmæssige, i overensstemmelse med EU-retten og national ret. Private enheder kan også være berettigede til at modtage EU-finansiering i henhold til forordning (EU) 2021/887 med henblik på at yde støtte til nationale cyberknudepunkter.

(17)

For at øge opdagelsen af cybertrusler og forbedre situationsbevidstheden i Unionen bør en medlemsstat, der udvælges efter en indkaldelse af interessetilkendegivelser med henblik på at oprette eller styrke kapaciteten hos et nationalt cyberknudepunkt, forpligte sig til at ansøge om at deltage i et grænseoverskridende cyberknudepunkt. Hvis en medlemsstat ikke deltager i et grænseoverskridende cyberknudepunkt senest to år efter den dato, hvor værktøjerne, infrastrukturerne eller tjenesterne blev erhvervet, eller hvor den modtog tilskudsfinansiering, alt efter hvad der indtraf først, bør medlemsstaten ikke være berettiget til yderligere EU-støtteaktioner inden for rammerne af det europæiske cybersikkerhedsvarslingssystem med henblik på at øge det nationale cyberknudepunkts kapacitet. I sådanne tilfælde kan enheder fra medlemsstaterne stadig deltage i indkaldelser af forslag om andre emner under programmet for et digitalt Europa eller andre EU-finansieringsprogrammer, herunder indkaldelser vedrørende kapaciteter til opdagelse og informationsudveksling om cybertrusler og -hændelser, forudsat at disse enheder opfylder de støtteberettigelseskriterier, der er fastsat i disse programmer.

(18)

CSIRT'er udveksler oplysninger i CSIRT-netværket i overensstemmelse med direktiv (EU) 2022/2555. Det europæiske cybersikkerhedsvarslingssystem skal udgøre en ny kapacitet, der supplerer CSIRT-netværket, ved at bidrage til at opbygge et EU-situationsbevidsthed, der gør det muligt at styrke CSIRT-netværkets kapacitet. Grænseoverskridende cyberknudepunkter bør koordinere og arbejde tæt sammen med CSIRT-netværket. De bør handle ved at samle data og dele relevant information, anonymiseret hvor det er hensigtsmæssigt, om cybersikkerhedstrusler fra offentlige og private enheder, øge værdien af sådanne data og information gennem ekspertanalyser og fælles erhvervede infrastrukturer og avancerede værktøjer og bidrage til Unionens teknologiske suverænitet, dens åbne strategiske autonomi, konkurrenceevne og modstandsdygtighed og til udviklingen af Unionens kapaciteter.

(19)

Grænseoverskridende cyberknudepunkter bør fungere som centrale knudepunkter, hvor relevante data og cybermæssige trusselsefterretninger generelt sammenstilles, og de bør muliggøre udveksling af trusselsoplysninger blandt en lang række forskellige interessenter, såsom IT-beredskabsenheder (CERT'er), CSIRT'er, ISAC'er og operatører af kritisk infrastruktur. Medlemmerne af værtskonsortiet bør i konsortieaftalen angive de relevante oplysninger, der skal udveksles mellem deltagerne i det pågældende grænseoverskridende cyberknudepunkt. De oplysninger, der udveksles mellem deltagerne i et grænseoverskridende cyberknudepunkt, kan f.eks. omfatte data fra netværk og sensorer, trusselsefterretningsfeeds, kompromitteringsindikatorer og kontekstualiserede oplysninger om hændelser, cybertrusler, nærvedshændelser, sårbarheder, teknikker og procedurer, fjendtlige taktikker, specifikke oplysninger om trusselsaktører, cybersikkerhedsadvarsler og anbefalinger vedrørende konfigurationen af cybersikkerhedsværktøjer til at opdage cyberangreb. Desuden bør grænseoverskridende cyberknudepunkter også indgå samarbejdsaftaler med hinanden. Sådanne samarbejdsaftaler bør navnlig præcisere principperne for informationsudveksling og interoperabilitet. Deres bestemmelser om interoperabilitet, navnlig formater og protokoller for informationsudveksling, bør være vejledt af og derfor tage udgangspunkt i interoperationalitetsretningslinjer udstedt af Den Europæiske Unions Agentur for Cybersikkerhed oprettet ved forordning (EU) 2019/881 (ENISA). Disse retningslinjer bør udstedes hurtigt for at sikre, at de grænseoverskridende cyberknudepunkter kan tage dem i betragtning på et tidligt tidspunkt. De bør tage hensyn til internationale standarder og bedste praksis og funktionen af ethvert etableret grænseoverskridende cyberknudepunkt.

(20)

Grænseoverskridende cyberknudepunkter og CSIRT-netværket bør arbejde tæt sammen for at sikre synergi og komplementaritet i aktiviteterne. Med henblik herpå bør de nå til enighed om proceduremæssige ordninger for samarbejde og udveksling af relevant information. Dette kan omfatte udveksling af relevant information om cybertrusler og væsentlige cybersikkerhedshændelser og sikring af, at erfaringer med avancerede værktøjer, navnlig kunstig intelligens og dataanalyseteknologi, der anvendes inden for de grænseoverskridende cyberknudepunkter, deles med CSIRT-netværket.

(21)

At de relevante myndigheder opbygger en fælles situationsbevidsthed er en nødvendig forudsætning for EU-dækkende beredskab og koordinering vedrørende væsentlige cybersikkerhedshændelser og omfattende cybersikkerhedshændelser. Ved direktiv (EU) 2022/2555 oprettedes EU-CyCLONe for at støtte den koordinerede forvaltning af omfattende cybersikkerhedshændelser og -kriser på operationelt plan og for at sikre regelmæssig udveksling af relevante oplysninger mellem medlemsstaterne og EU's institutioner, organer, kontorer og agenturer. Ved direktiv (EU) 2022/2555 oprettedes også CSIRT-netværket med henblik på at fremme et hurtigt og effektivt operationelt samarbejde mellem medlemsstaterne. Med henblik på at øge situationsbevidstheden og styrke solidariteten bør de grænseoverskridende cyberknudepunkter i situationer, hvor de indhenter oplysninger vedrørende en potentiel eller igangværende omfattende cybersikkerhedshændelse, videregive relevante oplysninger til CSIRT-netværket og, som en tidlig varsling, underrette EU-CyCLONe. Afhængigt af situationen kan de oplysninger, der skal udveksles, især omfatte tekniske oplysninger, oplysninger om angriberens eller den mulige angriberes kendetegn og motiver og ikke-tekniske oplysninger på overordnet niveau om en potentiel eller igangværende omfattende cybersikkerhedshændelse. I den sammenhæng bør der tages behørigt hensyn til, hvilke oplysninger der er nødvendige, og til den eventuelt følsomme karakter af de udvekslede oplysninger. I direktiv (EU) 2022/2555 genpåpeges også Kommissionens ansvar i forbindelse med EU-civilbeskyttelsesmekanismen, der blev oprettet ved Europa-Parlamentets og Rådets afgørelse 1313/2013/EU (13), og dens ansvar for at udarbejde analytiske rapporter om ordningerne under EU's integrerede ordninger for politisk kriserespons i henhold til Rådets gennemførelsesafgørelse (EU) 2018/1993 (14). Når grænseoverskridende cyberknudepunkter udveksler relevante oplysninger med og giver tidlige varslinger vedrørende en potentiel eller igangværende omfattende cybersikkerhedshændelse til EU-CyCLONe og CSIRT-netværket, er det afgørende, at disse oplysninger deles gennem disse netværk med medlemsstaternes myndigheder og Kommissionen. I denne forbindelse fastsætter direktiv (EU) 2022/2555, at EU-CyCLONe har til formål at støtte den koordinerede forvaltning af omfattende cybersikkerhedshændelser og -kriser på operationelt plan og for at sikre regelmæssig udveksling af relevant information mellem medlemsstaterne og EU's institutioner, organer, kontorer og agenturer. EU-CyCLONes opgaver omfatter udvikling af en fælles situationsbevidsthed om sådanne hændelser og kriser. Det er af afgørende betydning, at EU-CyCLONe i overensstemmelse med dette formål og sine opgaver sikrer, at sådanne oplysninger straks deles med de relevante repræsentanter for medlemsstaterne og Kommissionen. Med henblik herpå er det afgørende, at EU-CyCLONes forretningsorden indeholder passende bestemmelser.

(22)

Enheder, der deltager i det europæiske cybersikkerhedsvarslingssystem, bør sikre en høj grad af indbyrdes interoperabilitet, herunder, hvor det er relevant, for så vidt angår dataformater, taksonomi, datahåndterings- og dataanalyseværktøjer. De bør også sikre kommunikationskanaler, et minimumsniveau af sikkerhed i applikationslaget, en situationsbevidsthedsoversigtstavle samt indikatorer. Ved vedtagelse af en fælles taksonomi og udvikling af en skabelon til situationsrapporter til beskrivelse af årsagerne til opdagede cybertrusler og -risici bør der tages hensyn til det arbejde, der allerede er udført i forbindelse med gennemførelsen af direktiv (EU) 2022/2555.

(23)

For at muliggøre udveksling af relevante data og oplysninger om cybersikkerhedstrusler fra forskellige kilder i stor skala i et pålideligt og sikkert miljø bør enheder, der deltager i det europæiske cybersikkerhedsvarslingssystem, udstyres med avancerede, særligt sikre værktøjer, udstyr og infrastrukturer samt kvalificeret personale. Dermed bør det blive muligt at forbedre den kollektive opdagelseskapacitet og tilvejebringe rettidige advarsler til myndigheder og relevante enheder, navnlig ved at anvende de nyeste teknologier inden for kunstig intelligens og dataanalyse.

(24)

Gennem indsamling, analyse, deling og udveksling af relevante data og oplysninger bør det europæiske cybersikkerhedsvarslingssystem kunne styrke Unionens teknologiske suverænitet og åbne strategiske autonomi på områderne for cybersikkerhed, konkurrenceevne og modstandsdygtighed. Sammenlægning af udvalgte data af høj kvalitet kan også bidrage til udviklingen af avancerede teknologier inden for kunstig intelligens og dataanalyse. Menneskelig kontrol er afgørende, og med henblik herpå er en kvalificeret arbejdsstyrke fortsat vigtig for effektivt at samle data af høj kvalitet.

(25)

Selv om det europæiske cybersikkerhedsvarslingssystem er et civilt projekt, kan cyberforsvarssektoren udnytte en større civil situationsbevidsthed og en stærkere civil opdagelseskapacitet, der er udviklet med henblik på beskyttelse af kritisk infrastruktur.

(26)

Udveksling af oplysninger mellem deltagerne i det europæiske cybersikkerhedsvarslingssystem bør ske i overensstemmelse med eksisterende retlige krav og navnlig Unionens og den nationale databeskyttelseslovgivning samt Unionens konkurrenceregler vedrørende udveksling af oplysninger. Modtageren af oplysningerne bør, i det omfang behandlingen af personoplysninger er nødvendig, gennemføre tekniske og organisatoriske foranstaltninger til beskyttelse af de registreredes rettigheder og frihedsrettigheder og tilintetgøre data, så snart de ikke længere er nødvendige til det angivne formål, og underrette den enhed, der stiller oplysningerne til rådighed, om, at oplysningerne er blevet destrueret.

(27)

Bevarelse af fortrolighed og informationssikkerhed er af afgørende betydning for alle tre søjler i denne forordning, hvad enten det drejer sig om at tilskynde til informationsdeling eller -udveksling inden for rammerne af det europæiske cybersikkerhedsvarslingssystem, bevare interesserne hos de enheder, der ansøger om støtte under cybersikkerhedsberedskabsmekanismen, eller sikre, at rapporter indgivet under den europæiske mekanisme til gennemgang af cybersikkerhedshændelser kan give nyttige erfaringer uden at indvirke negativt på de enheder, der er berørt af hændelserne. Medlemsstaternes og enhedernes deltagelse i disse mekanismer afhænger af tillidsforholdet mellem deres komponenter. Hvis oplysninger er fortrolige i henhold til EU-regler eller nationale regler, bør delingen eller udvekslingen heraf i henhold til denne forordning begrænses til det, der er relevant og står i rimeligt forhold til formålet med delingen eller udvekslingen. Delingen eller udvekslingen bør også sikre de nævnte oplysningers fortrolighed, herunder beskyttelse af alle berørte enheders sikkerhed og kommercielle interesser. Informationsdeling eller -udveksling i henhold til denne forordning kan finde sted ved hjælp af fortrolighedsaftaler eller vejledning om informationsdistribution såsom traffic light-protokollen (TLP). TLP skal forstås som et middel til at informere om eventuelle begrænsninger for så vidt angår den videre spredning af oplysninger. Den anvendes i næsten alle CSIRT'er og i nogle ISAC'er. Ud over disse generelle krav bør værtskonsortiets aftaler for så vidt angår det europæiske cybersikkerhedsvarslingssystem fastsætte specifikke regler vedrørende betingelserne for informationsdeling inden for det berørte grænseoverskridende cyberknudepunkt. Disse aftaler kan navnlig kræve, at oplysningerne kun deles i overensstemmelse med EU-retten og national ret.

(28)

Med hensyn til anvendelsen af EU's cybersikkerhedsreserve er der behov for specifikke fortrolighedsregler. Den vil blive anmodet om, vurdere og yde støtte i en krisesituation og til enheder, der opererer i følsomme sektorer. For at EU's cybersikkerhedsreserve kan fungere effektivt, er det afgørende, at brugere og enheder er i stand til straks at dele og give adgang til alle oplysninger, der er nødvendige for, at hver enhed kan spille en rolle i vurderingen af anmodninger og leveringen af støtte. Denne forordning bør derfor fastsætte, at alle sådanne oplysninger kun anvendes eller deles, hvis det er nødvendigt for driften af EU's cybersikkerhedsreserve, og at oplysninger, der er fortrolige eller klassificerede i henhold til EU-retten eller national ret, kun må anvendes og deles i overensstemmelse med nævnte ret. Desuden bør brugerne altid, hvor det er relevant, kunne anvende informationsudvekslingsprotokoller såsom TLP til yderligere at præcisere begrænsninger. Selv om brugerne har skønsbeføjelser i denne henseende, er det vigtigt, at de ved anvendelsen af sådanne begrænsninger tager hensyn til de mulige konsekvenser, navnlig med hensyn til forsinket vurdering eller levering af de ønskede tjenester. For at sikre effektiviteten af EU's cybersikkerhedsreserve er det vigtigt, at den ordregivende myndighed præciserer disse konsekvenser for brugeren, inden den indgiver en anmodning. Disse beskyttelsesforanstaltninger er begrænset til anmodning om og levering af tjenester fra EU's cybersikkerhedsreserve og påvirker ikke informationsudveksling i andre sammenhænge, f.eks. i forbindelse med EU's cybersikkerhedsreserves indkøb.

(29)

I betragtning af de stigende risici og antallet af hændelser, der påvirker medlemsstaterne, er det nødvendigt at oprette et krisestøtteinstrument, nemlig cybersikkerhedsberedskabsmekanismen, for at forbedre Unionens modstandsdygtighed over for væsentlige cybersikkerhedshændelser, omfattende cybersikkerhedshændelser og cybersikkerhedshændelser svarende til omfattende cybersikkerhedshændelser og supplere medlemsstaternes foranstaltninger gennem finansiel nødhjælp til beredskab, indsats og den indledende genopretning af væsentlige tjenester. Da fuld genopretning efter en hændelse er en omfattende proces, hvor funktionen af den enhed, der er berørt af hændelsen, skal genetableres til den status, den havde før hændelsen, og dette kan være en langvarig proces, der medfører betydelige omkostninger, bør støtten fra EU's cybersikkerhedsreserve begrænses til den første fase af genopretningsprocessen, der fører til genetablering af systemernes grundlæggende funktioner. Cybersikkerhedsberedskabsmekanismen bør muliggøre hurtig og effektiv udsendelse af bistand under nærmere fastsatte omstændigheder og på klare betingelser og give mulighed for nøje overvågning og evaluering af, hvordan ressourcerne er blevet anvendt. Mens medlemsstaterne har det primære ansvar for forebyggelse, beredskab og indsats i tilfælde af cybersikkerhedshændelser og -kriser, skal cybersikkerhedsberedskabsmekanismen øge solidariteten mellem medlemsstaterne i overensstemmelse med artikel 3, stk. 3, i traktaten om Den Europæiske Union (TEU).

(30)

Cybersikkerhedsberedskabsmekanismen bør yde støtte til medlemsstaterne som supplement til deres egne foranstaltninger og ressourcer og andre eksisterende støttemuligheder i tilfælde af reaktion på og den indledende genopretning efter væsentlige cybersikkerhedshændelser og omfattende cybersikkerhedshændelser såsom de tjenester, der leveres af ENISA i overensstemmelse med dets mandat, den koordinerede indsats og bistanden fra CSIRT-netværket, støtten til afbødende foranstaltninger fra EU-CyCLONe samt gensidig bistand mellem medlemsstaterne, herunder i medfør af artikel 42, stk. 7, i TEU og i det permanente strukturerede samarbejdes (PESCO) cyberberedskabshold oprettet i henhold til Rådets afgørelse (FUSP) 2017/2315 (15). Cybersikkerhedsberedskabsmekanismen bør indgå i løsning af behovet for at sikre, at der er specialiserede ressourcer til rådighed til støtte for beredskab, indsats og genopretning efter sådanne hændelser i hele Unionen og i tredjelande, der er associeret til programmet for et digitalt Europa.

(31)

Denne forordning berører ikke procedurer og rammer for koordinering af kriserespons på EU-plan, navnlig direktiv (EU) 2022/2555, EU-civilbeskyttelsesmekanismen oprettet ved Europa-Parlamentets og Rådets afgørelse 1313/2013/EU (16), IPCR-ordninger og Kommissionens henstilling (EU) 2017/1584 (17). Støtte under cybersikkerhedsberedskabsmekanismen kan supplere den bistand, der ydes inden for rammerne af den fælles udenrigs- og sikkerhedspolitik og den fælles sikkerheds- og forsvarspolitik, herunder gennem cyberberedskabsholdene, under hensyntagen til cybersikkerhedsberedskabsmekanismens civile karakter. Støtte, der ydes inden for rammerne af cybersikkerhedsberedskabsmekanismen, kan supplere foranstaltninger, der gennemføres inden for rammerne af artikel 42, stk. 7, i TEU, herunder bistand fra en medlemsstat til en anden medlemsstat, eller udgøre en del af den fælles indsats mellem Unionen og medlemsstaterne eller i situationer, der er omhandlet i artikel 222 i TEUF. Gennemførelsen af denne forordning bør også koordineres med gennemførelsen af foranstaltninger i henhold til den cyberdiplomatiske værktøjskasse, hvor det er relevant.

(32)

Den bistand, der ydes i henhold til denne forordning, bør støtte og supplere de foranstaltninger, som medlemsstaterne træffer på nationalt plan. Med henblik herpå bør der sikres et tæt samarbejde og samråd mellem Kommissionen, ENISA, medlemsstaterne og, hvor det er relevant, ECCC. Når en medlemsstat anmoder om støtte i henhold til cybersikkerhedsberedskabsmekanismen, bør den fremlægge relevante oplysninger, der begrunder behovet for støtte.

(33)

I henhold til direktiv (EU) 2022/2555 skal medlemsstaterne udpege eller oprette en eller flere cyberkrisestyringsmyndigheder og sikre, at de har tilstrækkelige ressourcer til at udføre deres opgaver effektivt og virkningsfuldt. I henhold til direktivet skal medlemsstaterne endvidere identificere kapaciteter, aktiver og procedurer, der kan indsættes i tilfælde af en krise, og vedtage en national omfattende beredskabsplan for cybersikkerhedshændelser og -kriser, hvor målsætningerne og ordningerne vedrørende håndtering af væsentlige cybersikkerhedshændelser og -kriser er fastsat. Medlemsstaterne skal også oprette en eller flere CSIRT'er, der har ansvar for håndtering af hændelser efter en veldefineret proces, der som minimum dækker de sektorer, delsektorer og typer af enhed, der er omfattet af nævnte direktivs anvendelsesområde, og sikre, at de har tilstrækkelige ressourcer til effektivt at udføre deres opgaver. Denne forordning berører ikke Kommissionens rolle med hensyn til at sikre, at medlemsstaterne overholder forpligtelserne i direktiv (EU) 2022/2555. Cybersikkerhedsberedskabsmekanismen bør yde bistand til foranstaltninger, der har til formål at styrke beredskabet og indsatsen i forbindelse med hændelser for at afbøde virkningerne af væsentlige cybersikkerhedshændelser og omfattende cybersikkerhedshændelser, støtte den indledende genopretning eller genetablere de grundlæggende funktioner af de tjenester, der leveres af enheder, der opererer i sektorer af særligt kritisk betydning eller enheder, der opererer i andre kritiske sektorer.

(34)

For at fremme en konsekvent tilgang og styrke sikkerheden i hele Unionen og dens indre marked bør der som led i beredskabsforanstaltningerne ydes støtte til en koordineret afprøvning og vurdering af cybersikkerheden i enheder, der opererer i sektorer af særligt kritisk betydning, der er udpeget i direktiv (EU) 2022/2555, herunder gennem øvelser og uddannelse. Med henblik herpå bør Kommissionen efter høring af ENISA, NIS-samarbejdsgruppen og EU-CyCLONe regelmæssigt udpege relevante sektorer eller delsektorer, som bør være berettigede til at modtage finansiel støtte til koordineret beredskabstestning på EU-plan. Sektorerne eller delsektorerne bør udvælges fra sektorerne af særlig kritisk betydning anført i bilag I til direktiv (EU) 2022/2555. De koordinerede beredskabstest bør baseres på fælles risikoscenarier og -metoder. Udvælgelsen af sektorer og udarbejdelsen af risikoscenarier bør tage højde for relevante risikovurderinger og risikoscenarier på EU-plan, herunder behovet for at undgå overlapning, såsom den risikoevaluering og de risikoscenarier, der anbefales i Rådets konklusioner om udviklingen af Den Europæiske Unions cyberniveau, foretaget af Kommissionen, Unionens højtstående repræsentant for udenrigsanliggender og sikkerhedspolitik (»den højtstående repræsentant«) og NIS-samarbejdsgruppen i samarbejde med relevante civile og militære organer og agenturer og etablerede netværk, herunder EU-CyCLONe, samt den risikovurdering af kommunikationsnet og -infrastrukturer, der er anmodet om i den fælles ministerielle Nevers-indkaldelse, og som gennemføres af NIS-samarbejdsgruppen med støtte fra Kommissionen og ENISA og i samarbejde med Sammenslutningen af Europæiske Tilsynsmyndigheder inden for Elektronisk Kommunikation oprettet ved Europa-Parlamentets og Rådets forordning (EU) 2018/1971 (18), de på EU-plan koordinerede sikkerhedsrisikovurderinger af kritiske forsyningskæder, der skal foretages i henhold til artikel 22 i direktiv (EU) 2022/2555, og afprøvning af digital operationel modstandsdygtighed, jf. Europa-Parlamentets og Rådets forordning (EU) 2022/2554 (19). Ved udvælgelse af sektorer bør der også tages hensyn til Rådets henstilling om en EU-dækkende koordineret tilgang til styrkelse af kritisk infrastrukturs modstandsdygtighed.

(35)

Derudover bør cybersikkerhedsberedskabsmekanismen yde støtte til andre beredskabsforanstaltninger og støtte beredskabet i andre sektorer, der ikke er omfattet af den koordinerede beredskabstest af enheder, der opererer i sektorer af særligt kritisk betydning, eller enheder, der opererer i andre kritiske sektorer. Disse foranstaltninger kan omfatte forskellige typer af national beredskabsaktivitet.

(36)

Når medlemsstaterne modtager tilskud til støtte med henblik på at støtte beredskabsforanstaltninger, kan enheder i sektorer af særligt kritisk betydning deltage i disse foranstaltninger på frivillig basis. Det er god praksis, at de deltagende enheder efter sådanne foranstaltninger udarbejder en afhjælpningsplan med henblik på at gennemføre eventuelle anbefalinger om specifikke tiltag for i videst muligt omfang at kunne drage fordel af beredskabsforanstaltningen. Selv om det er vigtigt, at medlemsstaterne som led i foranstaltningerne anmoder om, at deltagende enheder udarbejder og gennemfører sådanne afhjælpningsplaner, er medlemsstaterne hverken forpligtet eller bemyndiget i henhold til denne forordning til at følge op på sådanne anmodninger. Sådanne anmodninger berører ikke kravene til enheder og de kompetente myndigheders tilsynsbeføjelser i overensstemmelse med direktiv (EU) 2022/2555.

(37)

Cybersikkerhedsberedskabsmekanismen bør yde støtte til indsatsen i forbindelse med hændelser for at afbøde virkningerne af væsentlige cybersikkerhedshændelser, omfattende cybersikkerhedshændelser og cybersikkerhedshændelser svarende til omfattende cybersikkerhedshændelser for at støtte den indledende genopretning eller genoprette væsentlige tjenesters funktion. Den bør, hvor det er relevant, supplere EU-civilbeskyttelsesmekanismen for at sikre en samlet tilgang til indsatsen over for følgerne af hændelser for borgerne.

(38)

Cybersikkerhedsberedskabsmekanismen bør støtte teknisk bistand fra en medlemsstat til en anden medlemsstat, der er berørt af en væsentlig cybersikkerhedshændelse eller en omfattende cybersikkerhedshændelse, herunder fra CSIRT'er som omhandlet i artikel 11, stk. 3, litra f), i direktiv (EU) 2022/2555. Medlemsstater, der yder sådan bistand, bør have mulighed for at indgive anmodning om dækning af omkostninger i forbindelse med udsendelse af eksperthold inden for rammerne af gensidig bistand. De støtteberettigede omkostninger kan omfatte udgifter til rejser, indkvartering og daglige udgifter for cybersikkerhedseksperter.

(39)

I betragtning af den væsentlige rolle, som private virksomheder spiller i forbindelse med opdagelse, beredskab og reaktion på omfattende cybersikkerhedshændelser og cybersikkerhedshændelser svarende til omfattende cybersikkerhedshændelser, er det vigtigt at anerkende værdien af frivilligt pro bono-samarbejde med sådanne virksomheder, hvorved de tilbyder tjenester uden betaling i tilfælde af omfattende cybersikkerhedshændelser og kriser og cybersikkerhedshændelser svarende til omfattende cybersikkerhedshændelser og kriser. ENISA kan i samarbejde med EU-CyCLONe overvåge udviklingen af sådanne pro bono-initiativer og fremme overholdelsen af de kriterier, der gælder for betroede udbydere af administrerede sikkerhedstjenester i henhold til denne forordning, herunder med hensyn til private virksomhedernes troværdighed, deres erfaring samt deres evne til at håndtere følsomme oplysninger på en sikker måde.

(40)

Som led i cybersikkerhedsberedskabsmekanismen bør der gradvist oprettes en cybersikkerhedsreserve på EU-plan bestående af tjenester fra betroede udbydere af administrerede sikkerhedstjenester til støtte for indsatsen og iværksættelse af de indledende genopretningsforanstaltninger i tilfælde af væsentlige cybersikkerhedshændelser, omfattende cybersikkerhedshændelser eller cybersikkerhedshændelser svarende til omfattende cybersikkerhedshændelser, der påvirker medlemsstaterne, EU's institutioner, organer eller agenturer eller tredjelande, der er associeret til programmet for et digitalt Europa. EU's cybersikkerhedsreserve bør sikre, at tjenesterne er tilgængelige og parate. Den bør derfor omfatte tjenester, der er omfattet af forhåndsforpligtelser, herunder f.eks. kapaciteter, der er på standby og kan indsættes med kort varsel. Tjenesterne fra EU's cybersikkerhedsreserve bør tjene til at støtte de nationale myndigheder i at yde bistand til berørte enheder, der opererer i sektorer af særligt kritisk betydning, eller til berørte enheder, der opererer i andre kritiske sektorer, som supplement til deres egne foranstaltninger på nationalt plan. Tjenesterne fra EU's cybersikkerhedsreserve bør også kunne tjene til at støtte EU's institutioner, organer, kontorer og agenturer på lignende betingelser. EU's cybersikkerhedsreserve kan også bidrag til at styrke industriens og tjenesteydelsernes konkurrenceevne i Unionen i hele den digitale økonomi, herunder mikrovirksomheder og små og mellemstore virksomheder samt nystartede virksomheder, bl.a. gennem tilvejebringelse af incitamenter til forskning og innovation. Det er vigtigt at tage hensyn til ENISA's europæiske ramme for cybersikkerhedsfærdigheder, når der indkøbes tjenester til EU's cybersikkerhedsreserve. Når brugere anmoder om støtte fra EU's cybersikkerhedsreserve, bør de i deres ansøgning medtage relevante oplysninger om den berørte enhed og potentielle virkninger, oplysninger om den tjeneste, der anmodes om fra EU's cybersikkerhedsreserve, og specificere hvilken støtte, der ydes til den berørte enhed på nationalt plan, og som der bør tages hensyn til ved vurderingen af ansøgerens anmodning. For at sikre komplementaritet med andre former for støtte, der er til rådighed for den berørte enhed, bør anmodningen også indeholde eventuelle oplysninger om indgåede kontrakter vedrørende reaktioner på hændelser og tjenester med henblik på den indledende genopretning, samt forsikringsaftaler, der eventuelt dækker den pågældende hændelsestype.

(41)

For at sikre en effektiv anvendelse af EU-midler bør de tjenester, der er omfattet af EU's cybersikkerhedsreserve, i overensstemmelse med den relevante kontrakt kunne konverteres til beredskabstjenester i forbindelse med forebyggelse af og reaktion på hændelser i tilfælde, hvor disse tjenester ikke anvendes til at reagere på hændelser i det tidsrum, hvor disse tjenester er omfattet af forhåndsforpligtelser. Disse tjenester bør være supplerende til og bør ikke overlappe de beredskabsforanstaltninger, der forvaltes af ECCC.

(42)

Anmodninger om støtte fra EU's cybersikkerhedsreserve fra medlemsstaternes cyberkrisestyringsmyndigheder og CSIRT'er eller CERT-EU på vegne af EU's institutioner, organer, kontorer og agenturer bør vurderes af den ordregivende myndighed. Hvis ENISA har fået overdraget forvaltningen og driften af EU's cybersikkerhedsreserve, er ENISA den ordregivende myndighed. Anmodninger om støtte fra tredjelande, der er associeret til programmet for et digitalt Europa, bør vurderes af Kommissionen. For at lette indgivelsen og vurderingen af anmodninger om støtte kan ENISA oprette en sikker platform.

(43)

Hvis der modtages flere anmodninger samtidig, bør disse anmodninger prioriteres i overensstemmelse med de i denne forordning fastsatte kriterier. I lyset af denne forordnings generelle mål bør disse kriterier omfatte hændelsens størrelse og alvor, typen af berørt enhed, den potentielle indvirkning af hændelsen på berørte medlemsstater og brugere, hændelsens potentielle grænseoverskridende karakter og risikoen for afsmitning og de foranstaltninger, som brugeren allerede har truffet for at bidrage til indsatsen og den indledende genopretning. I lyset af disse mål og i betragtning af, at anmodninger fra brugere i medlemsstaterne udelukkende har til formål i Unionen at støtte enheder, der opererer i sektorer af særligt kritisk betydning, eller enheder, der opererer i andre kritiske sektorer, bør anmodninger fra brugere i medlemsstater prioriteres højest, hvis kriterierne fører til, at to eller flere anmodninger vurderes som ligestillede. Dette berører ikke eventuelle forpligtelser, som medlemsstaterne måtte have indgået i henhold til relevante værtsaftaler til at træffe foranstaltninger til at beskytte og bistå EU's institutioner, organer, kontorer og agenturer.

(44)

Kommissionen bør have det overordnede ansvar for EU-cybersikkerhedsreservens gennemførelse. I betragtning af ENISA's omfattende erfaring med støtteforanstaltningen vedrørende cybersikkerhed er ENISA det mest egnede agentur til at gennemføre EU's cybersikkerhedsreserve, og Kommissionen bør derfor helt eller delvist overdrage driften og forvaltningen af EU's cybersikkerhedsreserve til ENISA, alt efter hvad Kommissionen finder mest hensigtsmæssigt. Overdragelsen bør udføres i overensstemmelse med de gældende regler i forordning (EU) 2024/2509 og bør navnlig være betinget af, at de relevante betingelser for undertegnelse af en bidragsaftale er opfyldt. Alle aspekter af driften og forvaltningen af EU's cybersikkerhedsreserve, der ikke overdrages til ENISA, bør være underlagt direkte forvaltning af Kommissionen, herunder forud for undertegnelsen af bidragsaftalen.

(45)

Medlemsstaterne bør spille en central rolle i forbindelse med oprettelsen, udrulningen og perioden efter udrulning af EU's cybersikkerhedsreserve. Da forordning (EU) 2021/694 er den relevante basisretsakt for foranstaltninger til gennemførelse af EU's cybersikkerhedsreserve, bør foranstaltningerne under EU's cybersikkerhedsreserve fastsættes i de arbejdsprogrammer, der er omhandlet i artikel 24 i forordning (EU) 2021/694. I henhold til stk. 6 i nævnte artikel skal disse arbejdsprogrammer vedtages af Kommissionen ved hjælp af gennemførelsesretsakter efter undersøgelsesproceduren. Desuden bør Kommissionen i samarbejde med NIS-samarbejdsgruppen fastlægge prioriteterne for og udviklingen af EU's cybersikkerhedsreserve.

(46)

De kontrakter, der indgås inden for rammerne af EU's cybersikkerhedsreserve, bør ikke påvirke forholdet mellem virksomheder og eksisterende forpligtelser mellem den berørte enhed eller brugere og tjenesteudbyderen.

(47)

Med henblik på at udvælge private tjenesteudbydere, der skal levere tjenester i forbindelse med EU's cybersikkerhedsreserve, er det nødvendigt at fastsætte et sæt minimumskriterier og -krav, der bør indgå i udbuddet til udvælgelse af udbyderne, for at sikre, at behovene opfyldes hos medlemsstaternes myndigheder, enheder, der opererer i sektorer af særligt kritisk betydning og enheder, der opererer i andre kritiske sektorer. For at imødekomme medlemsstaternes specifikke behov bør den ordregivende myndighed, når den indkøber tjenester til EU's cybersikkerhedsreserve, hvor det er relevant, fastlægge yderligere udvælgelseskriterier og -krav ud over dem, der er fastsat i denne forordning. Det er vigtigt at tilskynde mindre udbydere, der er aktive på regionalt og lokalt plan, til at deltage.

(48)

Ved udvælgelsen af udbydere til EU's cybersikkerhedsreserve bør den ordregivende myndighed sikre, at EU's cybersikkerhedsreserve som helhed omfatter udbydere, der er i stand til at imødekomme brugernes sprogkrav. Med henblik herpå bør den ordregivende myndighed, inden den udarbejder udbudsbetingelserne, undersøge, om de potentielle brugere af EU's cybersikkerhedsreserve har specifikke sprogkrav, så støttetjenester under EU's cybersikkerhedsreserve kan leveres på et af EU-institutionernes eller medlemsstaternes officielle sprog, som brugeren eller den berørte enhed sandsynligvis vil forstå. Hvis en bruger kræver, at støttetjenester under EU's cybersikkerhedsreserve leveres på mere end ét sprog, og disse tjenester er blevet indkøbt på disse sprog med tanke på den pågældende bruger, bør brugeren i anmodningen om støtte fra EU's cybersikkerhedsreserve kunne angive, på hvilke af disse sprog tjenesterne bør leveres i forbindelse med den specifikke hændelse, der giver anledning til anmodningen.

(49)

For at støtte etableringen af EU's cybersikkerhedsreserve er det vigtigt, at Kommissionen anmoder ENISA om at udarbejde et forslag til en cybersikkerhedscertificeringsordning for kandidater i henhold til forordning (EU) 2019/881 for administrerede sikkerhedstjenester på de områder, der er omfattet af cybersikkerhedsberedskabsmekanismen.

(50)

For at støtte målsætningerne i denne forordning om at fremme fælles situationsbevidsthed, styrke Unionens modstandsdygtighed og muliggøre en effektiv reaktion på væsentlige cybersikkerhedshændelser og omfattende cybersikkerhedshændelser bør Kommissionen eller EU-CyCLONe kunne anmode ENISA, med støtte fra CSIRT-netværket og efter godkendelse fra den berørte medlemsstat, om at gennemgå og vurdere cybertrusler, kendte sårbarheder, der kan udnyttes, og afbødende foranstaltninger i forbindelse med en specifik væsentlig cybersikkerhedshændelse eller omfattende cybersikkerhedshændelse. Efter gennemførelsen af en gennemgang og vurdering af en hændelse bør ENISA udarbejde en rapport om hændelsen i samarbejde med den berørte medlemsstat, relevante interessenter, herunder repræsentanter fra den private sektor, Kommissionen og andre relevante EU-institutioner, -organer, -kontorer og -agenturer. På grundlag af samarbejdet med interessenter, herunder den private sektor, bør rapporten om gennemgang af specifikke hændelser have til formål at vurdere årsagerne til, virkningerne af og modvirkningen af en hændelse, efter at den er indtruffet. Der bør lægges særlig vægt på oplysninger og erfaringer, der indmeldes af udbydere af administrerede sikkerhedstjenester, som opfylder betingelserne om højeste faglige integritet, upartiskhed og den nødvendige tekniske ekspertise som krævet i denne forordning. Rapporten bør leveres til EU-CyCLONe, CSIRT-netværket og Kommissionen og bør have for vane at underrette deres og ENISA's arbejde. Når hændelsen vedrører et tredjeland, der er associeret til programmet for et digitalt Europa, bør Kommissionen også udlevere rapporten til den højtstående repræsentant.

(51)

I betragtning af cyberangrebs uforudsigelige karakter og det forhold, at de ofte ikke kun berører et specifikt geografisk område og medfører høj risiko for afsmittende virkninger, bidrager styrkelsen af nabolandenes modstandsdygtighed og deres evne til at reagere effektivt på væsentlige cybersikkerhedshændelser og cybersikkerhedshændelser svarende til omfattende cybersikkerhedshændelser til beskyttelsen af Unionen som helhed, og navnlig dens indre marked og industrien. Sådanne aktiviteter kan bidrage yderligere til EU's cyberdiplomati. Derfor bør tredjelande, der er associeret til programmet for et digitalt Europa, kunne anmode om støtte fra EU's cybersikkerhedsreserve på alle eller dele af deres områder, hvis dette er fastsat i den aftale, hvorigennem tredjelandet er associeret til programmet for et digitalt Europa. Finansieringen til tredjelande, der er associeret til programmet for et digitalt Europa, bør støttes af Unionen inden for rammerne af relevante partnerskaber og finansieringsinstrumenter for disse lande. Støtten bør omfatte tjenester inden for reaktion på og den indledende genopretning efter væsentlige cybersikkerhedshændelser eller cybersikkerhedshændelser svarende til omfattende cybersikkerhedshændelser.

(52)

De betingelser, der er fastsat for EU's cybersikkerhedsreserve og betroede udbydere af administrerede sikkerhedstjenester i denne forordning, bør finde anvendelse, når der ydes støtte til tredjelande, der er associeret til programmet for et digitalt Europa. Tredjelande, der er associeret til programmet for et digitalt Europa, bør kunne anmode om støtte fra EU's cybersikkerhedsreserve, når de enheder, som tjenesterne skal rettes mod, og for hvilke tredjelandene anmoder om støtte fra EU's cybersikkerhedsreserve, er enheder, der opererer i sektorer af særligt kritisk betydning eller enheder, der opererer i andre kritiske sektorer, og når de opdagede hændelser fører til betydelige operationelle forstyrrelser eller kan have afsmittende virkninger i Unionen. Tredjelande, der er associeret til programmet for et digitalt Europa, bør kun være berettigede til at modtage støtte, hvis den aftale, hvorigennem de er associeret til programmet for et digitalt Europa, specifikt indeholder bestemmelser om en sådan støtte. Desuden bør sådanne tredjelande kun være støtteberettigede, så længe tre kriterier er opfyldt. For det første bør tredjelandet fuldt ud overholde de relevante betingelser i den pågældende aftale. For det andet bør tredjelandet i betragtning af EU's cybersikkerhedsreserves supplerende karakter have taget passende skridt til at forberede sig på væsentlige cybersikkerhedshændelser eller cybersikkerhedshændelser svarende til omfattende cybersikkerhedshændelser. For det tredje bør ydelsen af støtte fra EU's cybersikkerhedsreserve være i overensstemmelse med EU's politik over for og de overordnede forbindelser med det pågældende tredjeland og med andre EU-politikker på sikkerhedsområdet. I forbindelse med sin vurdering af overholdelsen af dette tredje kriterium bør Kommissionen rådføre sig med den højtstående repræsentant med henblik på at tilpasse ydelsen af en sådan støtte til den fælles udenrigs- og sikkerhedspolitik.

(53)

Ydelsen af støtte til tredjelande, der er associeret til programmet for et digitalt Europa, kan påvirke forbindelserne med tredjelande og Unionens sikkerhedspolitik, herunder inden for rammerne af den fælles udenrigs- og sikkerhedspolitik og den fælles sikkerheds- og forsvarspolitik. Det er derfor hensigtsmæssigt, at Rådet tillægges gennemførelsesbeføjelser til at godkende og præcisere den periode, hvor der kan ydes sådan støtte. Rådet bør træffe afgørelse på grundlag af et forslag fra Kommissionen under behørig hensyntagen til Kommissionens vurdering af de tre kriterier. Det samme bør gælde for forlængelser og forslag om ændring eller ophævelse af sådanne retsakter. Hvis Rådet i særlige tilfælde finder, at der er sket en væsentlig ændring i omstændighederne med hensyn til det tredje kriterium, bør Rådet kunne handle på eget initiativ for at ændre eller ophæve en gennemførelsesretsakt uden at afvente et forslag fra Kommissionen. Sådanne væsentlige ændringer vil sandsynligvis kræve en hurtig indsats, have særligt stor indvirkning på relationerne med tredjelande og ikke kræve en detaljeret vurdering på forhånd fra Kommissionens side. Desuden bør Kommissionen samarbejde med den højtstående repræsentant i forbindelse med anmodninger om støtte fra tredjelande, der er associeret til programmet for et digitalt Europa, og gennemførelsen af støtte til sådanne tredjelande. Kommissionen bør også tage hensyn til ENISA's eventuelle synspunkter vedrørende sådanne anmodninger og sådan støtte. Kommissionen bør underrette Rådet om resultatet af vurderingen af anmodningerne, herunder relevante overvejelser i denne henseende, og om de tjenester, der leveres.

(54)

Kommissionens meddelelse af 18. april 2023 om akademiet for cyberfærdigheder påpegede manglen på kvalificerede fagfolk. Der er behov for sådanne kvalifikationer for at nå målene i denne forordning. Unionen har akut behov for fagfolk med færdigheder og kompetencer til at forebygge, opdage og afværge cyberangreb og forsvare Unionen, herunder dets mest kritiske infrastruktur, mod sådanne angreb og sikre dets modstandsdygtighed. Med henblik herpå er det vigtigt at tilskynde til samarbejde mellem interessenter, herunder fra den private og den offentlige sektor og den akademiske verden. Det er også vigtigt at skabe synergier på hele Unionens område og sørge for, at uddannelsesinvesteringerne fremmer indførelsen af sikkerhedsforanstaltninger, der sigter mod at undgå hjerneflugt eller en udvidelse af kvalifikationskløften i nogle regioner mere end i andre. Det haster med at lukke kvalifikationskløften inden for cybersikkerhed med særligt fokus på at mindske kønsskævheden i arbejdsstyrken på dette område og fremme kvinders tilstedeværelse og deltagelse i udformningen af digital forvaltning.

(55)

For at sætte skub i innovationen på det digitale indre marked er det vigtigt at styrke forskning og innovation inden for cybersikkerhed for at bidrage til at øge medlemsstaternes modstandsdygtighed og Unionens åbne strategiske autonomi, som er nogle af målene med denne forordning. Synergier er afgørende for at styrke samarbejdet og koordineringen mellem de forskellige interessenter, herunder den private sektor, civilsamfundet og den akademiske verden.

(56)

Denne forordning bør tage hensyn til forpligtelsen fastsat i den fælles erklæring af 26. januar 2022 fra Europa-Parlamentet, Rådet og Kommissionen med titlen »Europæisk erklæring om digitale rettigheder og principper for det digitale årti« med hensyn til at beskytte Unionens demokratier, befolkninger, virksomheder og offentlige institutioner mod cybersikkerhedsrisici og cyberkriminalitet, herunder brud på datasikkerheden og identitetstyveri eller manipulation.

(57)

Med henblik på at supplere visse ikke-væsentlige bestemmelser i denne forordning bør Kommissionen tillægges beføjelse til at vedtage retsakter i overensstemmelse med artikel 290 i TEUF med henblik på at præcisere, hvilke typer og hvor mange beredskabstjenester der er nødvendige i EU's cybersikkerhedsreserve. Det er navnlig vigtigt, at Kommissionen gennemfører relevante høringer under sit forberedende arbejde, herunder på ekspertniveau, og at disse høringer gennemføres i overensstemmelse med principperne i den interinstitutionelle aftale af 13. april 2016 om bedre lovgivning (20). For at sikre lige deltagelse i forberedelsen af delegerede retsakter modtager Europa-Parlamentet og Rådet navnlig alle dokumenter på samme tid som medlemsstaternes eksperter, og deres eksperter har systematisk adgang til møder i Kommissionens ekspertgrupper, der beskæftiger sig med forberedelsen af delegerede retsakter.

(58)

For at sikre ensartede betingelser for gennemførelse af denne forordning bør Kommissionen tillægges gennemførelsesbeføjelser til yderligere at præcisere de detaljerede proceduremæssige ordninger for fordelingen af EU-cybersikkerhedsreservens støttetjenester. Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 (21).

(59)

Med forbehold af reglerne vedrørende Unionens årlige budget i henhold til traktaterne bør Kommissionen tage hensyn til de forpligtelser, der følger af denne forordning, når den vurderer ENISA's budgetterings- og personalebehov.

(60)

Kommissionen bør regelmæssigt foretage en evaluering af de foranstaltninger, der er fastsat i denne forordning. Den første sådanne evaluering bør finde sted i de første to år efter datoen for denne forordnings ikrafttræden og derefter mindst hvert fjerde år under hensyntagen til tidsplanen for revisionen af den flerårige finansielle ramme oprettet i henhold til TEUF artikel 312. Kommissionen bør forelægge Europa-Parlamentet og Rådet en rapport om de fremskridt, der er gjort. For at vurdere de forskellige nødvendige elementer, herunder omfanget af de oplysninger, der udveksles inden for det europæiske cybersikkerhedsvarslingssystem, bør Kommissionen udelukkende basere sig på oplysninger, der er umiddelbart tilgængelige eller gives frivilligt. I lyset af den geopolitiske udvikling og for at sikre kontinuitet og videreudvikling efter 2027 af de foranstaltninger, der er fastsat i denne forordning, er det vigtigt, at Kommissionen vurderer, om det er nødvendigt at oprette en særlig budgetpost i den flerårige finansielle ramme for 2028-2034.

(61)

Målene for denne forordning, nemlig at styrke industri- og tjenesteydelses konkurrencedygtighed i Unionen gennem en digital økonomi og at bidrage til Unionens teknologiske suverænitet og åbne strategisk uafhængighed på området for cybersikkerhed, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne, men kan på grund af handlingens omfang og virkninger bedre nås på EU-plan; Unionen kan derfor vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i TEU. I overensstemmelse med proportionalitetsprincippet går denne forordning går ikke videre, end hvad der er nødvendigt for at opfylde disse mål —