Source: OJ L 333, 27.12.2022, p. 80–152Current language: SV
- High common level of cybersecurity for entities
Basic legislative acts
- NIS 2 directive
Artikel 29 Arrangemang för informationsutbyte om cybersäkerhet
Summary What does Article 29 of the NIS 2 directive say?
This article establishes the framework for voluntary cybersecurity information sharing among entities covered by the Directive, and notably also opens the door to entities outside its scope.
It sits alongside the mandatory reporting obligations found in Article 23, but operates on a purely voluntary basis.
The article sets out the types of information that can be shared — such as cyber threat intelligence, vulnerabilities, indicators of compromise, and adversarial tactics — and conditions this sharing on it serving a clear cybersecurity purpose, such as preventing or recovering from incidents or enhancing collective defences.
Member States are tasked with facilitating the practical arrangements that make this sharing possible, including through dedicated ICT platforms and automation tools, while ENISA is called upon to support the process by providing guidance and best practices.
Important points:
- Participate in voluntary cybersecurity information-sharing arrangements and notify competent authorities when joining or withdrawing from them.
- Member States are required to facilitate the establishment of information-sharing arrangements, and may impose conditions on information made available by competent authorities or CSIRTs within those arrangements.
- ENISA is required to support the establishment of these arrangements by exchanging best practices and providing guidance.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Medlemsstaterna ska säkerställa att entiteter som omfattas av tillämpningsområdet för detta direktiv och, i relevanta fall, andra relevanta entiteter som inte omfattas av detta direktivs tillämpningsområde på frivillig basis har möjlighet att utbyta relevant information om cybersäkerhet sinsemellan, inbegripet information om cyberhot, tillbud, sårbarheter, tekniker och förfaranden, angreppsindikatorer, fientlig taktik, specifik information om fientliga aktörer, cybersäkerhetsvarningar och rekommendationer avseende konfigurationsverktyg för cybersäkerhet för att upptäcka cyberattacker, om sådant informationsutbyte
syftar till att förebygga, upptäcka, reagera på eller återhämta sig från incidenter eller begränsa deras inverkan,
höjer cybersäkerhetsnivån, särskilt genom att öka medvetenheten om cyberhot, begränsa eller hindra sådana hots förmåga att sprida sig, stödja en rad defensiva förmågor, avhjälpande av sårbarheter och delgivning av information om sårbarheter, metoder för att upptäcka och förebygga hot, strategier för begränsning av hot eller reaktions- och återhämtningsfaser, eller genom att främja forskningssamverkan om cyberhot bland offentliga och privata entiteter.
Medlemsstaterna ska säkerställa att informationsutbytet sker inom grupper av väsentliga och viktiga entiteter, och i relevanta fall, deras leverantörer eller tjänsteleverantörer. Sådant utbyte ska genomföras med hjälp av arrangemang för informationsutbyte om cybersäkerhet med hänsyn till den potentiellt känsliga karaktären hos den information som utbyts.
Medlemsstaterna ska underlätta inrättandet av de arrangemang för informationsutbyte om cybersäkerhet som avses i punkt 2 i denna artikel. Sådana arrangemang får ange operativa aspekter, inbegripet användning av särskilda IKT-plattformar och automatiseringsverktyg, innehållet i och villkoren för de arrangemangen för informationsutbyte. Medlemsstaterna får, i samband med fastställandet av närmare bestämmelser om offentliga myndigheters deltagande i sådana arrangemang, införa villkor för den information som tillgängliggörs av behöriga myndigheter eller CSIRT-enheter. Medlemsstaterna ska erbjuda stöd för tillämpningen av sådana arrangemang i enlighet med de riktlinjer som avses i artikel 7.2 h.
Medlemsstaterna ska säkerställa att väsentliga och viktiga entiteter underrättar de behöriga myndigheterna om sitt deltagande i de arrangemang för informationsutbyte om cybersäkerhet som avses i punkt 2, när de ingår sådana arrangemang eller, om de utträder ur sådana arrangemang, när utträdet får verkan.
Enisa ska tillhandahålla stöd för inrättandet av de arrangemang för informationsutbyte om cybersäkerhet som avses i punkt 2 genom att utbyta bästa praxis och erbjuda vägledning.
Relevant recitals
Skäl 119 Obstacles to information sharing
I och med att cyberhoten blir mer komplexa och sofistikerade är god upptäckt av sådana hot och förebyggande åtgärder mot dem i stor utsträckning beroende av ett regelbundet utbyte av underrättelser om hot och sårbarhet mellan entiteter. Informationsutbyte bidrar till ökad medvetenhet om cyberhot, vilket i sin tur ökar entiteternas förmåga att förhindra att hot blir till incidenter och gör det möjligt för entiteterna att bättre begränsa effekterna av incidenter och återhämta sig mer effektivt. I avsaknad av vägledning på unionsnivå verkar olika faktorer ha hindrat sådant utbyte av underrättelser, särskilt osäkerheten om förenligheten med konkurrens- och ansvarsreglerna.
Skäl 120 Encouragement of information sharing
Entiteter bör uppmuntras och bistås av medlemsstaterna för att kollektivt utnyttja sina individuella kunskaper och praktiska erfarenheter på strategisk, taktisk och operativ nivå i syfte att förbättra sin förmåga att på lämpligt sätt förebygga, upptäcka, reagera på eller återhämta sig från incidenter eller begränsa deras verkningar. Det är därför nödvändigt att på unionsnivå möjliggöra framväxten av arrangemang för frivilligt informationsutbyte om cybersäkerhet. I detta syfte bör medlemsstaterna aktivt bistå och uppmuntra entiteter, såsom de som erbjuder cybersäkerhetstjänster och forskning, samt relevanta entiteter som inte omfattas av detta direktiv, att delta i sådana arrangemang för informationsutbyte om cybersäkerhet. Dessa arrangemang bör fastställas i enlighet med unionens konkurrensregler och unionens dataskyddslagstiftning.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
cyberhot
(En. cyber threat)
Definition
IKT-produkt
(En. ICT product)
Definition
cybersäkerhet
(En. cybersecurity)
Definition
sårbarhet
(En. vulnerability)
Definition
entitet
(En. entity)
Definition
tillbud
(En. near miss)
Definition
incident
Definition
nätverks- och informationssystem
(En. network and information system)
- Ett elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.
- En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.
- Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas.
Definition
IKT-tjänst
(En. ICT service)