Europaparlamentets och rådets förordning (EU) 2025/38 av den 19 december 2024 om åtgärder för att stärka solidariteten och kapaciteten i unionen att upptäcka, förbereda sig inför och hantera cyberhot och cybersäkerhetsincidenter och om ändring av förordning (EU) 2021/694 (cybersolidaritetsförordningen)

(1)

Användningen och beroendet av informations- och kommunikationsteknik har blivit grundläggande för alla sektorer av ekonomin och samhället mot bakgrund av att medlemsstaternas offentliga förvaltningar, företag och medborgare är mer sammanlänkade och ömsesidigt beroende än någonsin tidigare, över både sektors- och nationsgränser, samtidigt som detta har medfört eventuella sårbarheter.

(2)

Cybersäkerhetsincidenternas omfattning, frekvens och konsekvenser, inbegripet attacker i distributionskedjor som syftar till cyberspionage, utpressning eller störningar, ökar på unionsnivå och global nivå. De utgör ett allvarligt hot mot nätverks- och informationssystemens funktion. Med tanke på det snabbt föränderliga hotlandskapet innebär hotet om eventuella storskaliga cybersäkerhetsincidenter som skulle orsaka betydande störningar eller skador på kritisk infrastruktur att det krävs ökad beredskap inom ramarna för unionens cybersäkerhetsarbete. Hotet sträcker sig bortom Rysslands anfallskrig mot Ukraina och kommer sannolikt att fortgå, med tanke på det stora antalet aktörer som är inblandade i dagens geopolitiska spänningar. Sådana incidenter kan hindra tillhandahållandet av offentliga tjänster, eftersom cyberattacker ofta riktas mot lokala, regionala eller nationella offentliga tjänster och infrastruktur, varvid lokala myndigheter är särskilt sårbara, bland annat på grund av sina begränsade resurser. De kan också hindra utövandet av ekonomisk verksamhet, även i högkritiska sektorer eller andra kritiska sektorer, leda till betydande ekonomiska förluster, undergräva användarnas förtroende, orsaka stora skador på unionens ekonomi och demokratiska system och till och med få hälsomässiga eller livshotande konsekvenser. Dessutom är cybersäkerhetsincidenter oförutsägbara, eftersom de ofta uppstår och utvecklas mycket snabbt, inte är begränsade till något specifikt geografiskt område och inträffar samtidigt i flera länder eller sprids omedelbart över landsgränserna. Det är viktigt med nära och samordnat samarbete mellan den offentliga sektorn, den privata sektorn, den akademiska världen och medierna.

(3)

Det är nödvändigt att stärka konkurrensställningen för industri och tjänster i unionen i hela den digitala ekonomin och stödja deras digitala omställning genom att stärka cybersäkerhetsnivån på den digitala inre marknaden enligt rekommendationerna i tre olika förslag från konferensen om Europas framtid. Det är nödvändigt att öka resiliensen hos medborgare, företag – inbegripet mikroföretag samt små och medelstora företag samt uppstartsföretag – och entiteter som driver kritisk infrastruktur mot de ökande cyberhoten, som kan få förödande samhälleliga och ekonomiska konsekvenser. Därför behövs investeringar i infrastruktur och tjänster samt kapacitetsuppbyggnad för att utveckla cybersäkerhetskompetens som kommer att stödja snabbare upptäckt och hantering av cyberhot och cybersäkerhetsincidenter. Medlemsstaterna behöver också hjälp med att bättre förbereda sig inför, hantera och påbörja återhämtningen från betydande cybersäkerhetsincidenter och storskaliga cybersäkerhetsincidenter. Med utgångspunkt i befintliga strukturer och i nära samarbete med dem bör unionen också öka sin kapacitet på dessa områden, särskilt när det gäller insamling och analys av data om cyberhot och cybersäkerhetsincidenter.

(4)

Unionen har redan vidtagit ett antal åtgärder för att minska sårbarheterna för och öka resiliensen mot risker hos kritiska infrastrukturer och entiteter, framför allt Europaparlamentets och rådets förordning (EU) 2019/881 (5), Europaparlamentets och rådets direktiv 2013/40/EU (6) och (EU) 2022/2555 (7) och kommissionens rekommendation (EU) 2017/1584 (8). I rådets rekommendation av den 8 december 2022 om en unionsomfattande samordnad strategi för att stärka den kritiska infrastrukturens motståndskraft uppmanas medlemsstaterna dessutom att vidta åtgärder och att samarbeta med varandra, kommissionen och andra relevanta offentliga myndigheter samt de berörda entiteterna för att öka motståndskraften hos kritisk infrastruktur som används för att tillhandahålla samhällsviktiga tjänster på den inre marknaden.

(5)

De ökande cybersäkerhetsriskerna och ett överlag sett komplext hotlandskap, med en tydlig risk för att incidenter snabbt sprider sig från en medlemsstat till andra och från ett tredjeland till unionen, kräver att solidariteten på unionsnivå stärks för att det ska bli lättare att upptäcka, förbereda oss inför, hantera och återhämta oss från cyberhot och cybersäkerhetsincidenter, särskilt genom att stärka de befintliga strukturernas kapacitet. I rådets slutsatser av den 23 maj 2022 om utvecklingen av Europeiska unionens arbete på cyberområdet uppmanades kommissionen vidare att lägga fram ett förslag om en ny fond för hantering av cybersäkerhetsincidenter.

(6)

I det gemensamma meddelandet från kommissionen och unionens höga representant för utrikes frågor och säkerhetspolitik av den 10 november 2022 till Europaparlamentet och rådet om EU:s politik för cyberförsvar tillkännagavs ett EU-cybersolidaritetsinitiativ med målen att stärka EU:s gemensamma upptäckts-, situationsmedvetenhets- och insatsförmåga genom att främja utbyggnaden av en EU-infrastruktur för säkerhetscentrum (SOC), stödja en gradvis uppbyggnad av en cyberreserv på EU-nivå med tjänster från betrodda privata leverantörer samt stödja sårbarhetstestning av kritiska entiteter på grundval av EU:s riskbedömningar.

(7)

Det är nödvändigt att förbättra upptäckten av och situationsmedvetenheten om cyberhot och cyberincidenter i hela unionen och att stärka solidariteten genom att öka medlemsstaternas och unionens beredskap och förmåga att förebygga och hantera betydande cybersäkerhetsincidenter och storskaliga cybersäkerhetsincidenter. Därför bör ett europeiskt nätverk av cybernav (europeiskt system med cybersäkerhetsvarningar) inrättas för att bygga upp en samordnad kapacitet för upptäckt och situationsmedvetenhet, och stärka unionens förmåga att upptäcka hot och utbyta information. En cybernödmekanism bör skapas för att på begäran från medlemsstaterna hjälpa dem att förbereda sig inför, hantera, mildra effekterna av och initiera återhämtning från betydande cybersäkerhetsincidenter och storskaliga cybersäkerhetsincidenter, och att stödja andra användare när det gäller att hantera betydande cybersäkerhetsincidenter och storskaliga cybersäkerhetsincidenter, och en europeisk mekanism för utvärdering av cybersäkerhetsincidenter bör inrättas för att granska och analysera specifika betydande cybersäkerhetsincidenter eller storskaliga cybersäkerhetsincidenter. De åtgärder som vidtas enligt denna förordning bör genomföras med vederbörlig respekt för medlemsstaternas behörighet och bör komplettera och inte överlappa den verksamhet som bedrivs av CSIRT-nätverket, Europeiska kontaktnätverket för cyberkriser (EU-CyCLONe) eller samarbetsgruppen för nät- och informationssäkerhet, alla inrättade genom direktiv (EU) 2022/2555. Dessa åtgärder påverkar inte tillämpningen av artiklarna 107 och 108 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget).

(8)

För att uppnå dessa mål är det nödvändigt att ändra Europaparlamentets och rådets förordning (EU) 2021/694 (9) på vissa områden. Denna förordning bör ändra förordning (EU) 2021/694 i synnerhet genom att lägga till nya operativa mål med anknytning till det europeiska systemet med cybersäkerhetsvarningar och cybernödmekanismen under specifikt mål nr 3 i programmet för ett digitalt Europa, som syftar till att garantera den digitala inre marknadens resiliens, integritet och tillförlitlighet, öka kapaciteten att bevaka cyberattacker och cyberhot och hantera dem samt stärka det gränsöverskridande samarbetet om och samordningen av cybersäkerhet. Det europeiska systemet med cybersäkerhetsvarningar skulle kunna fylla en viktig funktion för att stödja medlemsstaterna när det gäller att förutse och skydda sig mot cyberhot, och EU-cybersäkerhetsreserven skulle kunna fylla en viktig funktion för att stödja medlemsstaterna, unionens institutioner, organ och byråer samt tredjeländer som är associerade till programmet för digitalt Europa när det gäller att hantera och mildra effekterna av betydande cybersäkerhetsincidenter, storskaliga cybersäkerhetsincidenter och incidenter som är likvärdiga med en storskalig cybersäkerhetsincident. Dessa effekter skulle kunna inbegripa betydande materiell eller ideell skada och allvarliga hot mot den allmänna tryggheten och säkerheten. Mot bakgrund av den särskilda funktion som det europeiska systemet med cybersäkerhetsvarningar och EU-cybersäkerhetsreserven skulle kunna fylla, bör denna förordning ändra förordning (EU) 2021/694 i fråga om deltagandet av rättsliga enheter som är etablerade i unionen men kontrolleras från tredjeländer, där det råder en verklig risk för att nödvändiga och tillräckliga verktyg, infrastrukturer och tjänster, eller teknik, expertis och kapacitet, inte finns i unionen och fördelarna med att inkludera sådana enheter uppväger säkerhetsrisken. De särskilda villkor enligt vilka ekonomiskt stöd kan beviljas för åtgärder som genomför det europeiska systemet med cybersäkerhetsvarningar och EU-cybersäkerhetsreserven bör fastställas och de styrnings- och samordningsmekanismer som krävs för att uppnå de avsedda målen bör definieras. Förordning (EU) 2021/694 bör också ändras genom införande av beskrivningar av föreslagna åtgärder inom ramen för de nya operativa målen samt mätbara indikatorer för att övervaka genomförandet av dessa nya operativa mål.

(9)

För att stärka unionens hantering av cyberhot och cybersäkerhetsincidenter är det absolut nödvändigt att samarbeta med internationella organisationer samt med betrodda och likasinnade internationella partner. I detta sammanhang bör betrodda och likasinnade internationella partner förstås som de länder som delar de principer som inspirerade skapandet av unionen, nämligen om demokrati, rättsstaten, de mänskliga rättigheternas och grundläggande friheternas universalitet och odelbarhet, respekt för människors värdighet, jämlikhet och solidaritet, och som respekterar principerna i FN:s stadga och folkrätten, och inte undergräver unionens eller dess medlemsstaters väsentliga säkerhetsintressen. Ett sådant samarbete skulle också kunna gynna de åtgärder som vidtas enligt denna förordning, särskilt det europeiska systemet med cybersäkerhetsvarningar och EU-cybersäkerhetsreserven. Förordning (EU) 2021/694 bör föreskriva, med förbehåll för vissa villkor för tillgänglighet och säkerhet, att anbudsförfaranden med avseende på det europeiska systemet med cybersäkerhetsvarningar och EU-cybersäkerhetsreserven ska vara öppna för rättsliga enheter som kontrolleras från tredjeländer, med förbehåll för säkerhetskrav. När en bedömning görs av säkerhetsrisken med att öppna upp upphandlingsförfarandet på detta sätt är det viktigt att beakta de principer och värden som unionen delar med likasinnade internationella partner, när dessa principer och värden rör unionens väsentliga säkerhetsintressen. När sådana säkerhetskrav övervägs enligt förordning (EU) 2021/694 kan dessutom flera faktorer beaktas, såsom en entitets företagsstruktur och beslutsprocess, säkerheten för uppgifter och säkerhetsskyddsklassificerade eller känsliga uppgifter, och att åtgärdens resultat inte kontrolleras eller begränsas av icke stödberättigade tredjeländer.

(10)

Finansieringen av åtgärder enligt denna förordning bör föreskrivas i förordning (EU) 2021/694, som bör förbli den berörda grundakten för åtgärderna inom ramen för specifikt mål nr 3 i programmet för ett digitalt Europa. Särskilda villkor för deltagandet i respektive åtgärd ska föreskrivas i de berörda arbetsprogrammen, i enlighet med förordning (EU) 2021/694.

(11)

Övergripande finansiella regler som antas av Europaparlamentet och rådet på grundval av artikel 322 i EUF-fördraget är tillämpliga på denna förordning. De reglerna fastställs i Europaparlamentets och rådets förordning (EU, Euratom) 2024/2509 (10) och anger särskilt förfarandet för upprättande och genomförande av unionens budget och föreskriver kontroller av de finansiella aktörernas ansvar. Bland de regler som antagits på grundval av artikel 322 i EUF-fördraget märks även en generell villkorlighetsordning för skydd av unionsbudgeten som fastställs i Europaparlamentets och rådets förordning (EU, Euratom) 2020/2092 (11).

(12)

Förebyggande åtgärder och beredskapsåtgärder är avgörande för att öka unionens resiliens när det gäller att hantera betydande cybersäkerhetsincidenter, storskaliga cybersäkerhetsincidenter och incidenter som är likvärdiga med en storskalig cybersäkerhetsincident, men förekomsten, tidpunkten och omfattningen av sådana incidenter är till sin natur oförutsägbar. De ekonomiska resurser som krävs för att säkerställa adekvat hantering kan variera kraftigt från år till år och bör kunna göras tillgängliga omedelbart. En sammanjämkning av budgetprincipen om förutsebarhet och behovet av att reagera snabbt på nya behov kräver därför en anpassning av det finansiella genomförandet av arbetsprogrammen. Det är därför lämpligt att tillåta överföring av outnyttjade anslag, men endast till det följande året och endast till EU-cybersäkerhetsreserven och åtgärderna till stöd för ömsesidigt bistånd, utöver den överföring av anslag som godkänts enligt artikel 12.4 i förordning (EU, Euratom) 2024/2509.

(13)

För att mer effektivt förebygga, analysera, hantera och återhämta sig från cyberhot och cyberincidenter är det nödvändigt att utveckla mer omfattande kunskap om hoten mot kritiska tillgångar och kritisk infrastruktur på unionens territorium, inbegripet deras geografiska spridning, sammanlänkning och potentiella effekter i händelse av cyberattacker som påverkar denna infrastruktur. En proaktiv strategi för att identifiera, begränsa och förebygga cyberhot inbegriper en ökad kapacitet när det gäller den avancerade förmågan att upptäcka cyberhot. Det europeiska systemet med cybersäkerhetsvarningar bör bestå av flera interoperativa gränsöverskridande cybernav som vart och ett omfattar tre eller flera nationella cybernav. Denna infrastruktur bör tjäna nationella och europeiska cybersäkerhetsintressen och cybersäkerhetsbehov genom att utnyttja den senaste tekniken för avancerad insamling av relevanta data och relevant information, när så är lämpligt i anonymiserad form, samt dataanalys, förbättra den samordnade kapaciteten för upptäckt och hantering av cyberhot och tillhandahålla situationsmedvetenhet i realtid. Denna infrastruktur bör tjäna till att förbättra arbetet på cyberområdet genom att öka upptäckten, aggregeringen och analysen av data och information i syfte att förebygga cyberhot och cybersäkerhetsincidenter och därigenom komplettera och stödja unionens entiteter och nätverk med ansvar för cyberkrishantering i unionen, särskilt EU-CyCLONe.

(14)

Det är frivilligt för medlemsstaterna att delta i det europeiska systemet med cybersäkerhetsvarningar. Varje medlemsstat bör utse en enda entitet som på nationell nivå har till uppgift att samordna åtgärder för att upptäcka cyberhot i den medlemsstaten. Dessa nationella cybernav bör fungera som referenspunkt och gränssnitt på nationell nivå för deltagande i det europeiska systemet med cybersäkerhetsvarningar och bör säkerställa att information om cyberhot från offentliga och privata entiteter utbyts och samlas in på nationell nivå på ett effektivt och enhetligt sätt. Nationella cybernav skulle kunna stärka samarbetet och informationsutbytet mellan offentliga och privata entiteter och skulle också kunna stödja utbytet av relevanta data och relevant information med relevanta sektorsspecifika och sektorsövergripande grupper, inbegripet relevanta informations- och analyscentraler (ISAC) inom industrin. Ett nära och samordnat samarbete mellan offentliga och privata entiteter är centralt för att stärka unionens cyberresiliens. Sådant samarbete är särskilt värdefullt i samband med utbyte av underrättelseinformation om cyberhot för att förbättra det aktiva cyberskyddet. Som en del av sådant samarbete och informationsutbyte skulle de nationella cybernaven kunna begära och ta emot specifik information. Dessa nationella cybernav är varken skyldiga eller bemyndigade genom denna förordning att se till att sådana begäranden verkställs. När så är lämpligt och i enlighet med unionsrätten och nationell rätt skulle den begärda eller mottagna informationen kunna omfatta telemetri-, sensor- eller loggningsdata från entiteter, såsom leverantörer av utlokaliserade säkerhetstjänster, som är verksamma inom högkritiska sektorer eller andra kritiska sektorer inom den medlemsstaten, i syfte att förbättra förmågan att snabbt upptäcka potentiella cyberhot och cybersäkerhetsincidenter i ett tidigare skede och därigenom förbättra situationsmedvetenheten. Om det nationella cybernavet inte är den behöriga myndighet som utsetts eller inrättats av den berörda medlemsstaten enligt artikel 8.1 i direktiv (EU) 2022/2555 är det av avgörande vikt att den samordnar med den behöriga myndigheten när det gäller begäranden om och mottagande av sådana data.

(15)

Som en del av det europeiska systemet med cybersäkerhetsvarningar bör ett antal gränsöverskridande cybernav inrättas. Dessa gränsöverskridande cybernav bör sammanföra nationella cybernav från minst tre medlemsstater, för att säkerställa att fördelarna med gränsöverskridande hotupptäckt och informationsutbyte och hantering kan utnyttjas fullt ut. Det allmänna målet med gränsöverskridande cybernav bör vara att stärka kapaciteten att analysera, förebygga och upptäcka cyberhot och stödja produktionen av högkvalitativ underrättelseinformation om cyberhot, i synnerhet genom delning av relevant information, när så är lämpligt i anonymiserad form, i en betrodd och säker miljö, från olika offentliga eller privata källor samt genom delning och gemensam användning av förstklassiga verktyg och gemensam utveckling av kapacitet för upptäckt, analys och förebyggande i en betrodd och säker miljö. De gränsöverskridande cybernaven bör tillhandahålla ny ytterligare kapacitet som bygger på och kompletterar befintliga säkerhetscentrum, CSIRT-enheter och andra relevanta aktörer, däribland CSIRT-nätverket.

(16)

En medlemsstat som väljs ut av Europeiska kompetenscentrumet för cybersäkerhet inom näringsliv, teknik och forskning (Europeiska kompetenscentrumet för cybersäkerhet), inrättat genom Europaparlamentets och rådets förordning (EU) 2021/887 (12), efter en inbjudan att anmäla intresse för att inrätta, eller förbättra kapaciteten hos, ett nationellt cybernav bör gemensamt med Europeiska kompetenscentrumet för cybersäkerhet köpa in relevanta verktyg, infrastruktur eller tjänster. En sådan medlemsstat bör vara berättigad till ett bidrag för att driva verktygen, infrastrukturen eller tjänsterna. Ett värdkonsortium bestående av minst tre medlemsstater som valts ut av europeiska kompetenscentrumet för cybersäkerhet efter en inbjudan att anmäla intresse för att inrätta eller förbättra kapaciteten hos ett gränsöverskridande cybernav, bör köpa in relevanta verktyg, infrastruktur eller tjänster gemensamt med Europeiska kompetenscentrumet för cybersäkerhet. Detta värdkonsortium bör vara berättigat till bidrag för att driva verktygen, infrastrukturen eller tjänsterna. Upphandlingsförfarandet för inköp av relevanta verktyg, infrastruktur eller tjänster bör genomföras tillsammans med Europeiska kompetenscentrumet för cybersäkerhet och relevanta upphandlande myndigheter från de medlemsstater som valts ut efter en sådan inbjudan att anmäla intresse. Sådan upphandling bör vara förenlig med artikel 168.2 i förordning (EU, Euratom) 2024/2509 och de finansiella bestämmelserna för Europeiska kompetenscentrumet för cybersäkerhet. Privata entiteter bör därför inte vara berättigade att delta i inbjudningar att anmäla intresse för att köpa in verktyg, infrastruktur eller tjänster gemensamt med Europeiska kompetenscentrumet för cybersäkerhet, eller att få bidrag för att driva dessa verktyg, infrastrukturer och tjänster. Medlemsstaterna bör dock ha möjlighet att involvera privata entiteter när det gäller att inrätta, förbättra och driva sina nationella cybernav och gränsöverskridande cybernav på andra sätt som de anser vara lämpliga, i enlighet med unionsrätten och nationell rätt. Privata entiteter skulle också kunna vara berättigade till unionsfinansiering enligt förordning (EU) 2021/887 i syfte att tillhandahålla stöd för nationella cybernav.

(17)

För att förbättra upptäckten av cyberhot och situationsmedvetenheten i unionen bör en medlemsstat som efter en inbjudan att anmäla intresse har valts ut för att inrätta eller förbättra kapaciteten hos ett nationellt cybernav åta sig att ansöka om att delta i ett gränsöverskridande cybernav. Om en medlemsstat inte deltar i ett gränsöverskridande cybernav inom två år från den dag då verktygen, infrastrukturen eller tjänsterna förvärvas eller då den får bidragsfinansiering, beroende på vilket som inträffar först, bör den inte vara berättigad att delta i unionens ytterligare stödåtgärder inom ramen för det europeiska systemet med cybersäkerhetsvarningar för att förbättra sitt nationella cybernavs kapacitet. I sådana fall skulle entiteter från medlemsstaterna fortfarande kunna delta i ansökningsomgångar med anknytning till andra ämnen inom ramen för programmet för ett digitalt Europa eller andra av unionens finansieringsprogram, inbegripet ansökningsomgångar avseende kapacitet för upptäckt av cyberhot och informationsutbyte, förutsatt att dessa entiteter uppfyller de kriterier för stödberättigande som fastställs i de programmen.

(18)

CSIRT-enheterna utbyter information inom CSIRT-nätverket, i enlighet med direktiv (EU) 2022/2555. Det europeiska systemet med cybersäkerhetsvarningar bör utgöra en ny kapacitet som kompletterar CSIRT-nätverket genom att bidra till att bygga upp en situationsmedvetenhet i unionen som gör det möjligt att stärka CSIRT-nätverkets kapacitet. Gränsöverskridande cybernav bör samordna och samarbeta nära med CSIRT-nätverket. De bör agera genom att samla data och utbyta relevantinformation, när så är lämpligt i anonymiserad form, om cyberhot från offentliga och privata entiteter, öka värdet av sådana data och sådan information genom expertanalyser och gemensamt förvärvade infrastrukturer och förstklassiga verktyg, och bidra till unionens tekniska suveränitet, dess öppna strategiska oberoende, konkurrenskraft och resiliens samt till utvecklingen av unionens kapacitet.

(19)

De gränsöverskridande cybernaven bör fungera som centrala punkter som möjliggör en bred sammanslagning av relevanta data och underrättelseinformation om cyberhot samt göra det möjligt att sprida hotinformation till en mängd olika typer av intressenter, såsom incidenthanteringsorganisationer (CERT), CSIRT-enheter, informations- och analyscentraler (ISAC) och operatörer av kritisk infrastruktur. Värdkonsortiets medlemmar bör i konsortieavtalet ange vilken relevant information som ska delas mellan deltagarna i det berörda gränsöverskridande cybernavet. Exempel på information som kan utbytas mellan deltagarna i ett gränsöverskridande cybernav är data från nätverk och sensorer, hotunderrättelseflöden, angreppsindikatorer och kontextualiserad information om incidenter, cyberhot, tillbud, sårbarheter, tekniker och förfaranden, kontradiktorisk taktik, specifik information om hotaktörer, cybersäkerhetsvarningar och rekommendationer om konfigurationen av cybersäkerhetsverktyg för att upptäcka cyberattacker. Dessutom bör gränsöverskridande cybernav också ingå samarbetsavtal med varandra. I sådan samarbetsavtal bör särskilt principer för informationsutbyte och interoperabilitet anges. Villkoren om interoperabilitet i dessa, särskilt format och protokoll för informationsutbyte, bör vägledas av och därför utgå från de riktlinjer för interoperabilitet som utfärdats av Europeiska unionens cybersäkerhetsbyrå (Enisa) som inrättats genom förordning (EU) 2019/881. Dessa riktlinjer bör utfärdas snabbt för att säkerställa att de i ett tidigt skede kan beaktas av gränsöverskridande cybernav. De bör ta hänsyn till internationella standarder och bästa praxis samt funktionen hos befintliga gränsöverskridande cybernav.

(20)

De gränsöverskridande cybernaven och CSIRT-nätverket bör ha ett nära samarbete för att säkerställa synergier och komplementaritet i verksamheten. I detta syfte bör de komma överens om förfaranden för samarbete och utbyte av relevant information. Detta skulle kunna inbegripa att relevant information om cyberhot och betydande cybersäkerhetsincidenter utbyts, och att erfarenheter av förstklassiga verktyg, i synnerhet artificiell intelligens och dataanalysteknik, som används inom de gränsöverskridande cybernaven, delas med CSIRT-nätverket.

(21)

Gemensam situationsmedvetenhet mellan berörda myndigheter är en nödvändig förutsättning för unionsomfattande beredskap och samordning när det gäller betydande cybersäkerhetsincidenter och storskaliga cybersäkerhetsincidenter. Genom direktiv (EU) 2022/2555 inrättades EU-CyCLONe för att stödja en samordnad hantering av storskaliga cybersäkerhetsincidenter och cyberkriser på operativ nivå och säkerställa ett regelbundet utbyte av relevant information mellan medlemsstaterna och unionens institutioner, organ och byråer. Genom direktiv (EU) 2022/2555 inrättades även CSIRT-nätverket för att främja snabbt och effektivt operativt samarbete mellan alla medlemsstater. För att säkerställa situationsmedvetenhet och stärka solidariteten i situationer där gränsöverskridande cybernav får information om en potentiell eller pågående storskalig cybersäkerhetsincident bör de därför tillhandahålla relevant information till CSIRT-nätverket och, som en tidig varning, informera EU-CyCLONe. Beroende på situationen skulle den information som ska utbytas i synnerhet kunna inbegripa tekniska uppgifter, uppgifter om angriparens eller den potentiella angriparens karaktär och motiv samt icke-teknisk information på högre nivå om en potentiell eller pågående storskalig cybersäkerhetsincident. I detta sammanhang bör vederbörlig hänsyn tas till principen om behovsenlig behörighet och den delade informationens potentiellt känsliga art. I direktiv (EU) 2022/2555 erinras också om kommissionens ansvar inom ramen för unionens civilskyddsmekanism, som inrättades genom Europaparlamentets och rådets beslut 1313/2013/EU (13), och dess ansvar för att tillhandahålla de analytiska rapporterna för EU-arrangemangen för integrerad politisk krishantering (IPCR-arrangemangen) enligt rådets genomförandebeslut (EU) 2018/1993 (14).När gränsöverskridande cybernav utbyter relevant information och tidiga varningar om en potentiell eller pågående storskalig cybersäkerhetsincident med EU-CyCLONe och CSIRT-nätverket är det absolut nödvändigt att utbyta denna information via dessa nätverk med medlemsstaternas myndigheter samt med kommissionen. I detta avseende föreskrivs i direktiv (EU) 2022/2555 att syftet med EU-CyCLONe är att stödja en samordnad hantering av storskaliga cybersäkerhetsincidenter och cyberkriser på operativ nivå och säkerställa ett regelbundet utbyte av relevant information mellan medlemsstaterna och unionens institutioner, organ och byråer. I EU-CyCLONes uppgifter ingår bland annat att utveckla en gemensam situationsmedvetenhet om sådana incidenter och kriser. Det är av yttersta vikt att EU-CyCLONe, i linje med detta syfte och sina uppgifter, säkerställer att sådan information tillhandahålls omedelbart till med de berörda medlemsstaternas företrädare och till kommissionen. Det är därför mycket viktigt att EU-CyCLONes arbetsordning innehåller lämpliga bestämmelser i detta avseende.

(22)

Entiteter som deltar i det europeiska systemet med cybersäkerhetsvarningar bör säkerställa en hög grad av interoperabilitet sinsemellan, även, i enlighet med vad som är lämpligt, när det gäller dataformat, taxonomi och verktyg för datahantering och dataanalys. De bör även säkerställa säkra kommunikationskanaler, en miniminivå av säkerhet i applikationslagret, en informationspanel för situationsmedvetenhet och indikatorer. Vid antagandet av en gemensam taxonomi och utarbetandet av en mall för situationsrapporter för att beskriva orsakerna till de upptäckta cyberhoten och riskerna bör det arbete som sker i samband med genomförandet av direktiv (EU) 2022/2555 beaktas.

(23)

För att möjliggöra utbyte av relevanta data och relevant information om cyberhot från olika källor i stor skala i en tillförlitlig och säker miljö bör entiteter som deltar i det europeiska systemet med cybersäkerhetsvarningar utrustas med förstklassiga verktyg, utrustning och infrastrukturer som har hög säkerhet samt kvalificerad personal. Detta bör göra det möjligt att förbättra den kollektiva upptäcktskapaciteten och ge varningar i rätt tid till myndigheter och berörda entiteter, särskilt genom att använda den senaste AI-tekniken (artificiell intelligens) och dataanalystekniken.

(24)

Genom att samla in, analysera, dela och utbyta relevanta data och relevant information bör det europeiska systemet med cybersäkerhetsvarningar förbättra unionens tekniska suveränitet och öppna strategiska oberoende på cybersäkerhetsområdet samt dess konkurrenskraft och resiliens. Sammanslagningen av högkvalitativa kurerade data kan också bidra till utvecklingen av avancerad AI-teknik och dataanalysteknik. Mänsklig tillsyn och således en kvalificerad arbetskraft är fortfarande avgörande för en effektiv sammanslagning av högkvalitativa data.

(25)

Även om det europeiska systemet med cybersäkerhetsvarningar är ett civilt projekt skulle cyberförsvarsgemenskapen gynnas av starkare civil kapacitet för upptäckt och situationsmedvetenhet vilken utvecklats för att skydda kritisk infrastruktur.

(26)

Informationsutbytet mellan deltagarna i det europeiska systemet med cybersäkerhetsvarningar bör vara förenligt med befintliga rättsliga krav, särskilt unionens och medlemsstaternas dataskyddslagstiftning och unionens konkurrensregler som reglerar informationsutbyte. Mottagaren av informationen bör, i den mån behandlingen av personuppgifter är nödvändig, vidta tekniska och organisatoriska åtgärder som skyddar registrerades rättigheter och friheter, och förstöra uppgifterna så snart de inte längre är nödvändiga för det angivna ändamålet och informera den entitet som tillhandahöll uppgifterna om att uppgifterna har förstörts.

(27)

Att bevara konfidentialitet och informationssäkerhet är av yttersta vikt för alla tre pelare i denna förordning, oavsett om det gäller att uppmuntra informationsutbyte inom ramen för det europeiska systemet med cybersäkerhetsvarningar, bevara de entiteters intressen som ansöker om stöd inom ramen för cybernödmekanismen eller säkerställa att rapporter inom ramen för den europeiska mekanismen för utvärdering av cybersäkerhetsincidenter ger värdefulla lärdomar utan att inverka negativt på de entiteter som påverkas av incidenterna. Medlemsstaternas och entiteternas deltagande i dessa mekanismer är beroende av att det finns ett förtroende mellan deras delar. Om informationen är konfidentiell enligt unionsregler eller nationella regler bör utbytet av den enligt denna förordning begränsas till det som är relevant och står i proportion till syftet med utbytet. Ett sådant utbyte bör också bevara konfidentialiteten i denna information, inbegripet skydd av alla berörda entiteters säkerhetsintressen och kommersiella intressen. Informationsutbyte enligt denna förordning skulle kunna ske med användning av avtal om konfidentialitet eller vägledning om informationsspridning, t.ex. Traffic Light Protocol (TLP). TLP ska betraktas som ett sätt att tillhandahålla information om eventuella begränsningar när det gäller ytterligare spridning av information. Det används i nästan alla CSIRT-enheter och i vissa informations- och analyscentraler. Utöver dessa allmänna krav bör värdkonsortieavtal, när det gäller det europeiska systemet med cybersäkerhetsvarningar, fastställa särskilda regler för de villkor som rör informationsutbytet inom det berörda gränsöverskridande cybernavet. Dessa avtal skulle framför allt kunna kräva att information endast utbyts i enlighet med unionsrätten och nationell rätt.

(28)

När det gäller användningen av EU-cybersäkerhetsreserven krävs särskilda regler om konfidentialitet. Stöd kommer att begäras, bedömas och tillhandahållas i en krissituation och till entiteter som är verksamma inom känsliga sektorer. För att EU-cybersäkerhetsreserven ska fungera effektivt är det viktigt att användare och entiteter utan dröjsmål kan utbyta och ge tillgång till all information som behövs för att varje entitet ska kunna fylla sin funktion när det gäller att bedöma begäranden och sätta in stöd. I denna förordning bör det därför föreskrivas att all sådan information endast får användas eller utbytas när det är nödvändigt för driften av EU-cybersäkerhetsreserven, och att information som är konfidentiell eller säkerhetsskyddsklassificerad enligt unionsrätten och nationell rätt endast får användas och delas i enlighet med den rätten. Dessutom bör användarna, när så är lämpligt, kunna använda protokoll för informationsutbyte, såsom Traffic Light Protocol, för att ytterligare specificera begränsningar. Även om användarna ges utrymme för skönsmässig bedömning i detta avseende är det viktigt att de vid tillämpningen av sådana begränsningar tar hänsyn till eventuella konsekvenser, särskilt när det gäller en försenad bedömning eller leverans av de begärda tjänsterna. För att EU-cybersäkerhetsreserven ska vara effektiv är det viktigt att den upphandlande myndigheten klargör dessa konsekvenser för användaren innan den lämnar in en begäran. Dessa skyddsåtgärder är begränsade till begäran om och tillhandahållandet av EU-cybersäkerhetsreservens tjänster och påverkar inte informationsutbytet i andra sammanhang, t.ex. vid upphandlingen av EU-cybersäkerhetsreserven.

(29)

Med tanke på de ökande riskerna och antalet incidenter som påverkar medlemsstaterna är det nödvändigt att inrätta ett krisstödsinstrument, nämligen cybernödmekanismen, för att förbättra unionens resiliens mot betydande cybersäkerhetsincidenter, storskaliga cybersäkerhetsincidenter och incidenter som är likvärdiga med en storskalig cybersäkerhetsincident och komplettera medlemsstaternas åtgärder genom ekonomiskt krisstöd för beredskap, incidenthantering och initial återställning av samhällsviktiga tjänster. Eftersom en fullständig återhämtning från en incident är en omfattande process där funktionen hos en berörd entitet ska återställas till det skick som den var i före incidenten, vilket kan bli en lång process som medför betydande kostnader, bör stödet från EU-cybersäkerhetsreserven begränsas till det inledande skedet av återhämtningsprocessen som innebär att systemens grundläggande funktioner återställs. Cybernödmekanismen bör göra det möjligt att snabbt och effektivt sätta in bistånd under fastställda omständigheter och på tydliga villkor samt möjliggöra en noggrann övervakning och utvärdering av hur resurserna har använts. Cybernödmekanismen främjar solidaritet mellan medlemsstaterna i enlighet med artikel 3.3 i fördraget om Europeiska unionen (EU-fördraget), även om det alltjämt är medlemsstaterna som har det primära ansvaret för förebyggande av, beredskap inför och hantering av incidenter och kriser.

(30)

Cybernödmekanismen bör ge medlemsstaterna stöd som kompletterar deras egna åtgärder och resurser och andra befintliga stödalternativ vid insatser mot och initial återhämtning från betydande cybersäkerhetsincidenter och storskaliga cybersäkerhetsincidenter, såsom de tjänster som tillhandahålls av Enisa i enlighet med dess mandat, de samordnade insatserna och biståndet från CSIRT-nätverket, stödet till begränsningsåtgärder från EU-CyCLONe samt ömsesidigt bistånd mellan medlemsstaterna, bland annat inom ramen för artikel 42.7 i EU-fördraget och de snabbinsatsteam för cybersäkerhet inom ramen för permanent strukturerat samarbete (Pesco) som inrättats på grundval av rådets beslut (Gusp) 2017/2315 (15). Den bör vara ett svar på behovet av att säkerställa att särskilda medel finns tillgängliga för att stödja beredskap inför, insatser vid och återhämtning från sådana incidenter i hela unionen och i tredjeländer som är associerade till programmet för ett digitalt Europa.

(31)

Denna förordning påverkar inte förfaranden och ramar för samordning av krishantering på unionsnivå, särskilt direktiv (EU) 2022/2555, unionens civilskyddsmekanism inrättad genom Europaparlamentets och rådets beslut nr 1313/2013/EU (16), IPCR-arrangemang och kommissionens rekommendation (EU) 2017/1584 (17). Stöd inom ramen för cybernödmekanismen kan komplettera det bistånd som ges inom ramen för den gemensamma utrikes- och säkerhetspolitiken och den gemensamma säkerhets- och försvarspolitiken, däribland genom snabbinsatsteam för cybersäkerhet, med hänsyn till cybernödmekanismens civila karaktär. Stöd inom ramen för cybernödmekanismen kan komplettera åtgärder som genomförs inom ramen för artikel 42.7 i EU-fördraget, inbegripet bistånd från en medlemsstat till en annan medlemsstat, eller utgöra en del av unionens och medlemsstaternas gemensamma insatser eller i situationer som avses i artikel 222 i EUF-fördraget. Genomförandet av denna förordning bör också samordnas med genomförandet av de åtgärder som föreskrivs i verktygslådan för cyberdiplomati, när så är lämpligt.

(32)

Bistånd som ges enligt denna förordning bör stödja och komplettera de åtgärder som vidtas av medlemsstaterna på nationell nivå. Därför bör nära samarbete och samråd mellan kommissionen, Enisa, medlemsstaterna och, i förekommande fall, Europeiska kompetenscentrumet för cybersäkerhet säkerställas. När medlemsstaterna begär stöd inom ramen för cybernödmekanismen bör de tillhandahålla relevant information som motiverar behovet av stöd.

(33)

Enligt direktiv (EU) 2022/2555 är medlemsstaterna skyldiga att utse eller inrätta en eller flera myndigheter för hantering av cyberkriser och säkerställa att de har tillräckliga resurser för att kunna utföra sina uppgifter på ett ändamålsenligt och effektivt sätt. I direktivet åläggs medlemsstaterna också att identifiera vilka kapaciteter, tillgångar och förfaranden som kan användas i händelse av en kris och att anta en nationell plan för hanteringen av storskaliga cybersäkerhetsincidenter och kriser, där mål och villkor för hanteringen av storskaliga cybersäkerhetsincidenter och kriser fastställs. Medlemsstaterna är också skyldiga att inrätta en eller flera CSIRT-enheter som ansvarar för incidenthantering i enlighet med ett tydligt fastställt förfarande och som omfattar minst de sektorer, delsektorer och typer av entiteter som direktivet är tillämpligt på, samt att säkerställa att CSIRT-enheterna har tillräckliga resurser för att på ett ändamålsenligt sätt kunna utföra sina uppgifter. Denna förordning påverkar inte kommissionens roll när det gäller att säkerställa att medlemsstaterna fullgör sina skyldigheter enligt direktiv (EU) 2022/2555. Cybernödmekanismen bör ge bistånd till beredskapshöjande åtgärder och incidenthanteringsåtgärder för att minska konsekvenserna av betydande cybersäkerhetsincidenter och storskaliga cybersäkerhetsincidenter, stödja initial återhämtning eller återställa väsentliga funktioner i de tjänster som tillhandahålls av de entiteter som är verksamma inom högkritiska sektorer eller entiteter verksamma i andra kritiska sektorer.

(34)

För att främja en konsekvent strategi och stärka säkerheten i hela unionen och på dess inre marknad bör stöd som en del av beredskapsåtgärderna ges till samordnad testning och bedömning av cybersäkerheten hos entiteter som är verksamma i högkritiska sektorer som identifierats i enlighet med direktiv (EU) 2022/2555, bland annat genom övning och fortbildning. I detta syfte bör kommissionen, efter samråd med Enisa, samarbetsgruppen för nät- och informationssäkerhet och EU-CyCLONe, regelbundet identifiera relevanta sektorer eller delsektorer som bör vara berättigade till ekonomiskt stöd för samordnad beredskapstestning på unionsnivå. Sektorerna eller delsektorerna bör väljas från de högkritiska sektorer som förtecknas i bilaga I till direktiv (EU) 2022/2555. De samordnade beredskapstesterna bör baseras på gemensamma riskscenarier och metoder.Vid valet av sektorer och utarbetandet av riskscenarier bör man för att undvika dubbelarbete ta hänsyn till relevanta unionsomfattande riskbedömningar och riskscenarier, såsom den riskbedömning och de riskscenarier som rådet efterlyste i sina slutsatser om utvecklingen av Europeiska unionens arbete på cyberområdet som utförs av kommissionen, unionens höga representanten för utrikes frågor och säkerhetspolitik (den höga representanten) och samarbetsgruppen för nät- och informationssäkerhet i samordning med relevanta civila och militära organ och byråer samt etablerade nätverk, inbegripet EU-CyCLONe, samt den riskbedömning av kommunikationsnät och kommunikationsinfrastruktur som begärts i den gemensamma uppmaningen från ministermötet i Nevers och som utförts av samarbetsgruppen för nät- och informationssäkerhet med stöd av kommissionen och Enisa, och i samarbete med Organet för europeiska regleringsmyndigheter för elektronisk kommunikation inrättat genom Europaparlamentets och rådets förordning (EU) 2018/1971 (18), de samordnade säkerhetsriskbedömningar på unionsnivå av kritiska leveranskedjor som ska utföras enligt artikel 22 i direktiv (EU) 2022/2555 samt testningen av digital operativ motståndskraft i enlighet med Europaparlamentets och rådets förordning (EU) 2022/2554 (19). Sektorerna bör även väljas med beaktande av rådets rekommendation om en unionsomfattande samordnad strategi för att stärka den kritiska infrastrukturens motståndskraft.

(35)

Dessutom bör cybernödmekanismen stödja andra beredskapsåtgärder och beredskap inom andra sektorer som inte omfattas av den samordnade testningen av entiteter som är verksamma i högkritiska sektorer eller entiteter verksamma i andra kritiska sektorer. Det kan till exempel röra sig om olika typer av nationell beredskapsverksamhet.

(36)

När medlemsstaterna får bidrag för att stödja beredskapsåtgärder kan entiteter i högkritiska sektorer delta i dessa åtgärder på frivillig basis. Det är god praxis att de deltagande entiteterna efter sådana åtgärder utarbetar en åtgärdsplan i syfte att genomföra eventuella resulterande rekommendationer om specifika åtgärder för att i största möjliga utsträckning dra nytta av beredskapsåtgärden. Även om det är viktigt att medlemsstaterna som en del av åtgärderna begär att deltagande entiteter utarbetar och genomför sådana åtgärdsplaner, är medlemsstaterna varken skyldiga eller bemyndigade att genom denna förordning se till att sådana begäranden verkställs. Sådana begäranden påverkar inte krav på entiteter och tillsynsbefogenheter för behöriga myndigheter i enlighet med direktiv (EU) 2022/2555.

(37)

Cybernödmekanismen bör också stödja incidenthanteringsåtgärder för att mildra konsekvenserna av betydande cybersäkerhetsincidenter, storskaliga cybersäkerhetsincidenter och incidenter som är likvärdiga med en storskalig cybersäkerhetsincident, stödja initial återhämtning eller återställa samhällsviktiga tjänsters funktion. När så är lämpligt bör den komplettera civilskyddsmekanismen för att säkerställa ett heltäckande sätt att hantera incidenters konsekvenser för medborgarna.

(38)

Cybernödmekanismen bör stödja tekniskt bistånd som en medlemsstat ger till en annan. Medlemsstater som påverkas av en betydande cybersäkerhetsincident eller storskalig cybersäkerhetsincident, även bistånd från CSIRT-enheter som avses i artikel 11.3 f i direktiv (EU) 2022/2555. Medlemsstater som ger sådant bistånd bör få begära ersättning för kostnader i samband med utsändning av expertgrupper inom ramen för ömsesidigt bistånd. Kostnader för exempelvis resor, inkvartering och dagtraktamenten för cybersäkerhetsexperter skulle kunna berättiga till ersättning.

(39)

Med tanke på den viktiga roll som privata företag spelar för upptäckt, beredskap och hantering av storskaliga cybersäkerhetsincidenter och incidenter som är likvärdiga med en storskalig cybersäkerhetsincident, är det viktigt att erkänna värdet av ideellt samarbete med sådana företag, varigenom de erbjuder tjänster utan ersättning i samband med storskaliga cybersäkerhetsincidenter och kriser liksom incidenter som är likvärdiga med en storskalig cybersäkerhetsincident och kriser. Enisa skulle i samarbete med EU-CyCLONe kunna övervaka utvecklingen av sådana ideella initiativ och verka för att de uppfyller de kriterier som är tillämpliga på betrodda leverantörer av utlokaliserade säkerhetstjänster enligt denna förordning, inbegripet när det gäller privata företags tillförlitlighet, deras erfarenhet och förmåga att hantera känslig information på ett säkert sätt.

(40)

Som en del av cybernödmekanismen bör en EU-cybersäkerhetsreserv gradvis inrättas, bestående av tjänster från betrodda leverantörer av utlokaliserade säkerhetstjänster för att stödja insatser och initiera återhämtningsåtgärder i händelse av betydande cybersäkerhetsincidenter, storskaliga cybersäkerhetsincidenter eller incidenter som är likvärdiga med en storskalig cybersäkerhetsincident som påverkar medlemsstater, unionens institutioner, organ eller byråer eller tredjeländer som är associerade till programmet för ett digitalt Europa. EU-cybersäkerhetsreserven bör säkerställa tjänsternas tillgänglighet och beredskap. Den bör därför omfatta tjänster som ställts till förfogande på förhand, till exempel beredskapskapacitet och kapacitet som kan sättas in med kort varsel. Tjänsterna från EU-cybersäkerhetsreserven bör stödja de nationella myndigheterna när det gäller att bistå berörda entiteter som är verksamma i högkritiska sektorer eller berörda entiteter som är verksamma i andra kritiska sektorer, som ett komplement till deras egna åtgärder på nationell nivå. Tjänsterna från EU-cybersäkerhetsreserven bör också kunna användas för att stödja unionens institutioner, organ och byråer på liknande villkor. EU-cybersäkerhetsreserven skulle också kunna bidra till att i hela den digitala ekonomin stärka konkurrensställningen för industri och tjänster i unionen, inbegripet mikroföretag och små och medelstora företag samt uppstartsföretag, bland annat genom att tillhandahålla incitament för investeringar i forskning och innovation. Det är viktigt att ta hänsyn till Enisas europeiska ram för cyberkompetens vid upphandling av tjänster till EU-cybersäkerhetsreserven. När användarna begär stöd från EU-cybersäkerhetsreserven bör de i sin ansökan inkludera lämplig information om den berörda entiteten och potentiella effekter, information om den begärda tjänsten från EU-cybersäkerhetsreserven och det stöd som ges till den berörda entiteten på nationell nivå, vilket bör beaktas vid bedömningen av den sökandes begäran. För att säkerställa komplementaritet med andra former av stöd som är tillgängliga för den berörda entiteten, bör begäran också inkludera, om den finns tillgänglig, information om avtalsarrangemang för tjänster som avser incidenthantering och initial återhämtning, samt försäkringsavtal som skulle kunna täcka sådana typer av incidenter.

(41)

För att säkerställa en effektiv användning av unionsmedel bör tjänster som ställts till förfogande på förhand inom ramen för EU-cybersäkerhetsreserven, i enlighet med det relevanta avtalet, kunna omvandlas till beredskapstjänster som rör förebyggande och hantering av incidenter, om dessa tjänster som ställts till förfogande på förhand inte används för incidenthantering under den tid som de ställs till förfogande på förhand. Dessa tjänster bör komplettera varandra och inte överlappa de beredskapsåtgärder som ska förvaltas av Europeiska kompetenscentrumet för cybersäkerhet.

(42)

Begäranden om stöd från EU-cybersäkerhetsreserven från medlemsstaternas cyberkrishanteringsmyndigheter och CSIRT-enheter, eller CERT-EU, på uppdrag av unionens institutioner, organ och byråer, bör bedömas av den upphandlande myndigheten. När Enisa har anförtrotts förvaltningen och driften av EU-cybersäkerhetsreserven är Enisa upphandlande myndighet. Begäranden om stöd från tredjeländer som är associerade till programmet för ett digitalt Europa bör bedömas av kommissionen. För att underlätta inlämning och bedömning av begäranden om stöd skulle Enisa kunna inrätta en säker plattform.

(43)

Om flera parallella begäranden tas emot, bör dessa prioriteras i enlighet med de kriterier som fastställs i denna förordning. Mot bakgrund av de allmänna målen för denna förordning bör dessa kriterier inbegripa incidentens omfattning och allvarlighetsgrad, typ av berörd entitet, incidentens potentiella konsekvenser för medlemsstaterna och berörda användare, incidentens potentiella gränsöverskridande karaktär och risken för spridning samt de åtgärder som vidtagits av användaren för att bistå insatser och initial återhämtning. Mot bakgrund av dessa mål och med tanke på att begäranden från användare i medlemsstaterna uteslutande är avsedda att stödja, i hela unionen, entiteter som är verksamma inom högkritiska sektorer eller entiteter verksamma i andra kritiska sektorer, är det lämpligt att ge högre prioritet åt begäranden från användare i medlemsstaterna då dessa kriterier leder till att två eller flera begäranden bedöms vara likvärdiga. Detta påverkar inte eventuella skyldigheter att vidta åtgärder för att skydda och bistå unionens institutioner, organ och byråer som medlemsstaterna kan ha enligt relevanta värdtjänstavtal.

(44)

Kommissionen bör ha det övergripande ansvaret för genomförandet av EU-cybersäkerhetsreserven. Med tanke på Enisas omfattande erfarenhet av stödåtgärden för cybersäkerhet är Enisa den lämpligaste byrån för att genomföra EU-cybersäkerhetsreserven. Därför bör kommissionen delvis eller, i de fall kommissionen anser det lämpligt, helt anförtro Enisa driften och förvaltningen av EU-cybersäkerhetsreserven. Detta bör ske i enlighet med de tillämpliga reglerna i förordning (EU, Euratom) 2024/2509 och bör i synnerhet omfattas av de relevanta villkoren för undertecknande av en överenskommelse om medverkan. Alla aspekter av driften och förvaltningen av EU-cybersäkerhetsreserven som inte anförtrotts Enisa bör förvaltas direkt av kommissionen, inbegripet innan överenskommelsen om medverkan undertecknas.

(45)

Medlemsstaterna bör ha en nyckelroll när det gäller inrättandet, införandet och skedet efter införandet av EU-cybersäkerhetsreserven. Eftersom förordning (EU) 2021/694 är den relevanta grundläggande akten för åtgärder för genomförande av EU-cybersäkerhetsreserven, bör åtgärder inom ramen för EU-cybersäkerhetsreserven anges i de arbetsprogram som avses i artikel 24 i förordning (EU) 2021/694. Enligt punkt 6 i den artikeln ska dessa arbetsprogram antas av kommissionen genom genomförandeakter i enlighet med granskningsförfarandet. Dessutom bör kommissionen, i samordning med samarbetsgruppen för nät- och informationssäkerhet, fastställa prioriteringarna för och utvecklingen av EU-cybersäkerhetsreserven.

(46)

De avtal som upprättas inom ramen för EU-cybersäkerhetsreserven bör inte påverka förhållandet mellan företag och befintliga skyldigheter mellan den berörda entiteten eller användare och tjänsteleverantören.

(47)

För urvalet av privata tjänsteleverantörer som ska tillhandahålla tjänster inom ramen för EU-cybersäkerhetsreserven är det nödvändigt att fastställa ett antal minimikriterier och krav som bör ingå i anbudsinfordran för att välja ut dessa leverantörer, i syfte att säkerställa att behoven hos medlemsstaternas myndigheter, entiteter som är verksamma i högkritiska eller entiteter verksamma i andra kritiska sektorer tillgodoses. För att tillgodose medlemsstaternas särskilda behov vid upphandling av tjänster för EU-cybersäkerhetsreserven bör den upphandlande myndigheten, när så är lämpligt, utarbeta urvalskriterier och krav som går utöver dem som fastställs i denna förordning. Det är viktigt att uppmuntra mindre leverantörer som är verksamma på regional och lokal nivå att delta.

(48)

När den upphandlande myndigheten väljer leverantörer som ska ingå i EU-cybersäkerhetsreserven bör den sträva efter att säkerställa att EU-cybersäkerhetsreserven, betraktad som en helhet, innefattar leverantörer som kan tillgodose användarnas språkkrav. I detta syfte bör den upphandlande myndigheten, innan den utarbetar kravspecifikationerna, undersöka om de potentiella användarna av EU-cybersäkerhetsreserven har särskilda språkkrav, så att stödtjänster från EU-cybersäkerhetsreserven kan tillhandahållas på ett eller flera av unionens eller en medlemsstats officiella språk som sannolikt förstås av användaren eller den berörda entiteten. Om en användare kräver mer än ett språk för tillhandahållandet av stödtjänster från EU-cybersäkerhetsreserven och de tjänsterna har upphandlats på dessa språk för denna användare, bör användaren i begäran om stöd från reserven kunna ange på vilket av dessa språk som tjänsterna bör tillhandahållas i samband med den specifika incident som ligger till grund för begäran.

(49)

För att stödja inrättandet av EU-cybersäkerhetsreserven är det viktigt att kommissionen begär att Enisa utarbetar en ordning för cybersäkerhetscertifiering för utlokaliserade säkerhetstjänster enligt förordning (EU) 2019/881 på de områden som omfattas av cybernödmekanismen.

(50)

För att stödja denna förordnings mål att främja gemensam situationsmedvetenhet, öka unionens motståndskraft och möjliggöra effektiva insatser vid betydande cybersäkerhetsincidenter och storskaliga cybersäkerhetsincidenter bör kommissionen eller EU-CyCLONe kunna begära att Enisa, med stöd av CSIRT-nätverket och med den berörda medlemsstatens godkännande, granskar och analyserar cyberhot, kända sårbarheter som kan utnyttjas och begränsningsåtgärder med avseende på en specifik betydande cybersäkerhetsincident eller storskalig cybersäkerhetsincident. Efter avslutad granskning och analys av en incident bör Enisa utarbeta en incidentgranskningsrapport i samarbete med den berörda medlemsstaten, berörda parter såsom företrädare för den privata sektorn, kommissionen och andra relevanta unionsinstitutioner, -organ och -byråer. Med utgångspunkt i samarbetet med berörda parter, även från den privata sektorn, bör granskningsrapporten om specifika incidenter syfta till att analysera orsakerna till, konsekvenserna av och begränsningen av en incident efter det att den inträffat. Särskild uppmärksamhet bör ägnas de bidrag och lärdomar som delas av leverantörer av utlokaliserade säkerhetstjänster som uppfyller villkoren för högsta yrkesmässiga integritet, opartiskhet och erforderlig teknisk expertis enligt kraven i denna förordning. Rapporten bör överlämnas till EU-CyCLONe, CSIRT-nätverket och kommissionen och bör läggas till grund för deras arbete samt till Enisas arbete. När incidenten rör ett tredjeland som är associerat till programmet för ett digitalt Europa bör kommissionen också överlämna rapporten till den höga representanten.

(51)

Med tanke på att cyberangrepp är oförutsägbara och sällan begränsade till ett visst geografiskt område, utan har en hög risk för spridningseffekter, bidrar förstärkningen av grannländernas resiliens och deras kapacitet att hantera betydande cybersäkerhetsincidenter och incidenter som är likvärdiga med en storskalig cybersäkerhetsincident på ett ändamålsenligt sätt till skyddet av unionen som helhet, och framför allt dess inre marknad och industri. Sådan verksamhet skulle kunna bidra ytterligare till unionens cyberdiplomati. Därför bör tredjeländer som är associerade till programmet för ett digitalt Europa kunna få stöd från EU-cybersäkerhetsreserven, på alla eller delar av deras territorier, när detta föreskrivs i det avtal genom vilket tredjelandet är associerat till programmet. Finansieringen för tredjeländer som är associerade till programmet för ett digitalt Europa bör stödjas av unionen inom ramen för relevanta partnerskap och finansieringsinstrument för dessa länder. Stödet bör omfatta tjänster på området insatser vid och initiera återhämtning från betydande cybersäkerhetsincidenter eller incidenter som är likvärdiga med en storskalig cybersäkerhetsincident.

(52)

De villkor som fastställs för EU-cybersäkerhetsreserven och betrodda leverantörer av utlokaliserade säkerhetstjänster i denna förordning bör gälla vid tillhandahållande av stöd till tredjeländer som är associerade till programmet för ett digitalt Europa. Tredjeländer som är associerade till programmet för ett digitalt Europa bör kunna begära stöd från EU-cybersäkerhetsreserven när de entiteter som den riktar sig till och för vilka de begär stöd från EU-cybersäkerhetsreserven är entiteter som är verksamma inom högkritiska sektorer eller entiteter verksamma i andra kritiska sektorer och när de upptäckta incidenterna leder till betydande driftsstörningar eller kan ha spridningseffekter i unionen. Tredjeländer som är associerade till programmet för ett digitalt Europa bör endast vara berättigade till stöd om det avtal genom vilket de är associerade till programmet för ett digitalt Europa uttryckligen tillåter sådant stöd. Dessutom bör sådana tredjeländer fortsätta att vara berättigade till stöd endast så länge tre kriterier är uppfyllda. För det första bör tredjelandet fullt ut uppfylla de relevanta villkoren i det avtalet. För det andra bör tredjelandet, med tanke på EU-cybersäkehetsreservens kompletterande karaktär, ha vidtagit lämpliga åtgärder för att förbereda sig för betydande cybersäkerhetsincidenter eller incidenter som är likvärdiga med en storskalig cybersäkerhetsincident. För det tredje bör stödet från EU-cybersäkerhetsreserven vara förenligt med unionens politik gentemot och de övergripande förbindelserna med det landet och med annan unionspolitik på säkerhetsområdet. I samband med sin bedömning av huruvida detta tredje kriterium är uppfyllt bör kommissionen samråda med den höga representanten om att anpassa beviljandet av sådant stöd till den gemensamma utrikes- och säkerhetspolitiken.

(53)

Tillhandahållandet av stöd till tredjeländer som är associerade till programmet för ett digitalt Europa kan påverka förbindelserna med tredjeländer och unionens säkerhetspolitik, inbegripet inom ramen för den gemensamma utrikes- och säkerhetspolitiken och den gemensamma säkerhets- och försvarspolitiken. Det är därför lämpligt att rådet ges genomförandebefogenheter för att godkänna och specificera den period under vilken sådant stöd kan tillhandahållas. Rådet bör agera på grundval av ett förslag från kommissionen, med vederbörligt beaktande av kommissionens bedömning av de tre kriterierna. Detsamma bör gälla för förnyelser och förförslag om ändring eller upphävande av sådana akter. Om rådet vid exceptionella omständigheter anser att det har skett en betydande förändring av omständigheterna när det gäller det tredje kriteriet, bör rådet kunna agera på eget initiativ för att ändra eller upphäva en genomförandeakt, utan att invänta ett förslag från kommissionen. Sådana betydande förändringar kommer sannolikt att kräva brådskande åtgärder, få särskilt betydande konsekvenser för förbindelserna med tredjeländer och inte kräva någon detaljerad förhandsbedömning från kommissionens sida. Kommissionen bör dessutom samarbeta med den höga representanten när det gäller begäranden om stöd från tredjeländer som är associerade till programmet för ett digitalt Europa och genomförandet av det stöd som beviljats sådana tredjeländer. Kommissionen bör också ta hänsyn till eventuella synpunkter från Enisa om sådana begäranden och sådant stöd. Kommissionen bör informera rådet om resultatet av bedömningen av begärandena, inbegripet relevanta överväganden i detta avseende, och de tjänster som används.

(54)

I kommissionens meddelande av den 18 april 2023 om EU-akademin för cyberkompetens erkändes bristen på kvalificerad arbetskraft. Sådan kompetens är nödvändig för att uppfylla syftet med denna förordning. Unionen behöver snarast kvalificerad arbetskraft med de färdigheter och kompetenser som krävs för att förebygga, upptäcka och avskräcka från cyberattacker samt för att försvara unionen, inbegripet dess mest kritiska infrastruktur, mot sådana attacker och säkerställa dess resiliens. I detta syfte är det viktigt att uppmuntra samarbete mellan berörda parter, inbegripet från den privata sektorn, den akademiska världen och den offentliga sektorn. Det är lika viktigt att åstadkomma synergier inom alla unionens territorier för investeringar i utbildning i syfte att främja skapandet av skyddsåtgärder för att undvika kompetensflykt eller att kompetensgapet ökar mer i vissa regioner än i andra. Det är angeläget att eliminera kompetensklyftan på området för cybersäkerhet, med särskilt fokus på att minska könsklyftan bland arbetskraften inom cybersäkerhet för att främja kvinnors närvaro och deltagande i utformningen av den digitala förvaltningen.

(55)

För att främja innovationen på den digitala inre marknaden är det viktigt att stärka forskning och innovation inom cybersäkerhet, i syfte att bidra till att öka medlemsstaternas resiliens och unionens öppna strategiska oberoende, vilka båda är mål för denna förordning. Synergier är avgörande för att stärka samarbetet och samordningen mellan de olika berörda parterna, inbegripet från den privata sektorn, det civila samhället och den akademiska världen.

(56)

Denna förordning bör ta hänsyn till det åtagande som anges i Europaparlamentets, rådets och kommissionens gemensamma förklaring av den 26 januari 2022 med titeln Den europeiska förklaringen om digitala rättigheter och principer för det digitala decenniet, i syfte att skydda unionens demokratiers, människors, företags och offentliga institutioners intressen mot cybersäkerhetsrisker och it-brottslighet, inbegripet dataintrång och identitetsstöld eller identitetsmanipulering.

(57)

I syfte att komplettera vissa icke väsentliga delar av denna förordning bör befogenheten att anta akter i enlighet med artikel 290 i EUF-fördraget delegeras till kommissionen för att fastställa vilken typ av och hur många insatstjänster som behövs för EU-cybersäkerhetsreserven. Det är särskilt viktigt att kommissionen genomför lämpliga samråd under sitt förberedande arbete, inklusive på expertnivå, och att dessa samråd genomförs i enlighet med principerna i det interinstitutionella avtalet av den 13 april 2016 om bättre lagstiftning (20). För att säkerställa lika stor delaktighet i förberedelsen av delegerade akter erhåller Europaparlamentet och rådet alla handlingar samtidigt som medlemsstaternas experter, och deras experter systematiskt ges tillträde till möten i kommissionens expertgrupper som arbetar med förberedelse av delegerade akter.

(58)

I syfte att säkerställa enhetliga villkor för genomförandet av denna förordning bör kommissionen tilldelas genomförandebefogenheter för att ytterligare specificera de närmare förfarandena för tilldelning av stödtjänster från EU-cybersäkerhetsreserven. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011 (21).

(59)

Utan att det påverkar tillämpningen av bestämmelserna om unionens årliga budget enligt fördragen bör kommissionen beakta de skyldigheter som följer av denna förordning när den bedömer Enisas budget- och personalbehov.

(60)

Kommissionen bör regelbundet utvärdera de åtgärder som fastställs i denna förordning. Den första utvärderingen bör äga rum under de två första åren från och med den dag då denna förordning börjar tillämpas och minst vart fjärde år därefter, med beaktande av tidpunkten för översynen av den fleråriga budgetramen. Kommissionen bör överlämna en rapport om de framsteg som gjorts till Europaparlamentet och rådet. För att bedöma de olika inslag som krävs, inbegripet omfattningen av den information som utbyts inom det europeiska systemet med cybersäkerhetsvarningar, bör kommissionen uteslutande grunda sig på information som är lättillgänglig eller som tillhandahålls frivilligt. Med beaktande av den geopolitiska utvecklingen och för att säkerställa kontinuitet och fortsatt utveckling av de åtgärder som fastställs i denna förordning efter 2027, är det viktigt att kommissionen bedömer nödvändigheten av att i den fleråriga budgetramen tilldela en lämplig budget för perioden 2028–2034.

(61)

Eftersom målen för denna förordning, nämligen att stärka konkurrensställningen för industri och tjänster i unionen i hela den digitala ekonomin och att bidra till unionens tekniska suveränitet och öppna strategiska oberoende på cybersäkerhetsområdet, inte i tillräcklig utsträckning kan uppnås av medlemsstaterna utan snarare, på grund av åtgärdens omfattning eller verkningar, kan uppnås bättre på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen artikel 5 i EU-fördraget. I enlighet med proportionalitetsprincipen i samma artikel går denna förordning inte utöver vad som är nödvändigt för att uppnå dessa mål.