Source: OJ L 333, 27.12.2022, p. 80–152Current language: SV
- High common level of cybersecurity for entities
Basic legislative acts
- NIS 2 directive
Artikel 9 Nationella ramar för hantering av cybersäkerhetskriser
Summary What does Article 9 of the NIS 2 directive say?
This article deals with how Member States must organise themselves to handle large-scale cybersecurity incidents and crises at a national level.
It requires each Member State to designate or establish dedicated cyber crisis management authorities, ensure they are adequately resourced, and align their operation with existing national crisis management frameworks.
The article also mandates that each Member State produce a formal national response plan covering preparedness, roles, procedures, and coordination at Union level — effectively building the national infrastructure needed to feed into the broader EU-level crisis coordination mechanisms, such as EU-CyCLONe, which is established under Article 16.
Important points:
- Member States are required to designate at least one cyber crisis management authority and, where multiple are designated, must clearly identify which one serves as the lead coordinator.
- Adopt a national large-scale cybersecurity incident and crisis response plan that covers preparedness objectives, authority responsibilities, crisis procedures, training activities, and arrangements for Union-level coordination.
- Member States must notify the Commission of their designated authority within three months of its establishment, and submit relevant details of their response plans to both the Commission and EU-CyCLONe within three months of those plans being adopted.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Varje medlemsstat ska utse eller inrätta en eller flera behöriga myndigheter med ansvar för hanteringen av storskaliga cybersäkerhetsincidenter och kriser (cyberkrishanteringsmyndigheter). Medlemsstaterna ska säkerställa att dessa myndigheter har tillräckliga resurser för att kunna utföra sina uppgifter på ett ändamålsenligt och effektivt sätt. Medlemsstaterna ska säkerställa samstämmighet med befintliga ramar för allmän nationell krishantering.
Om en medlemsstat utser eller inrättar mer än en cyberkrishanteringsmyndighet enligt punkt 1 ska den tydligt ange vilken av dessa myndigheter som ska samordna hanteringen av storskaliga cybersäkerhetsincidenter och kriser.
För tillämpning av detta direktiv ska varje medlemsstat identifiera vilka kapaciteter, tillgångar och förfaranden som kan användas i händelse av en kris.
Varje medlemsstat ska anta en nationell plan för hanteringen av storskaliga cybersäkerhetsincidenter och kriser där mål och villkor för hanteringen av storskaliga cybersäkerhetsincidenter och kriser fastställs. Planen ska särskilt innehålla följande:
Målen för nationella beredskapsåtgärder och beredskapsverksamheter.
Cyberkrishanteringsmyndigheternas uppgifter och ansvarsområden.
Cyberkrishanteringsförfaranden, inbegripet deras integrering i den allmänna nationella ramen för krishantering och kanaler för informationsutbyte.
Nationella beredskapsåtgärder, inbegripet övningar och utbildningsverksamhet.
Berörda offentliga och privata intressenter och berörd infrastruktur.
Nationella förfaranden och arrangemang mellan relevanta nationella myndigheter och organ för att säkerställa att medlemsstaten på ett ändamålsenligt sätt kan delta i och stödja en samordnad hantering av storskaliga cybersäkerhetsincidenter och kriser på unionsnivå.
Inom tre månader från det att den cyberkrishanteringsmyndighet som avses i punkt 1 har utsetts eller inrättats ska varje medlemsstat meddela kommissionen sin myndighets identitet samt alla senare ändringar. Medlemsstaterna ska till kommissionen och Europeiska kontaktnätverket för cyberkriser (EU-CyCLONe) lämna relevant information avseende kraven i punkt 4 om sina nationella planer för hanteringen av storskaliga cybersäkerhetsincidenter och kriser inom tre månader från det att dessa planer antagits. Medlemsstaterna får undanta information om och i den utsträckning det är nödvändigt för den nationella säkerheten.
Relevant recitals
Skäl 68 Crisis management
Medlemsstaterna bör bidra till inrättandet av en EU-ram för hantering av cyberkriser enligt kommissionens rekommendation (EU) 2017/1584(15) genom de befintliga samarbetsnätverken, särskilt Europeiska kontaktnätverket för cyberkriser (EU-CyCLONe), CSIRT-nätverket och samarbetsgruppen. EU- CyCLONe och CSIRT-nätverket bör samarbeta på grundval av förfaranden som specificerar detaljerna för detta samarbete och undvika dubbelarbete. Arbetsordningen för EU-CyCLONe bör ytterligare specificera de arrangemang enligt vilka det nätverket ska fungera, däribland nätverkets roller, samarbetsformer, samverkan med andra relevanta aktörer och mallar för informationsutbyte, samt kommunikationsmedel. För krishantering på unionsnivå bör berörda parter stödja sig på EU-arrangemangen för integrerad politisk krishantering enligt rådets genomförandebeslut (EU) 2018/1993(16) (IPCR-arrangemang). Kommissionen bör använda Argus-förfarandet för gränsöverskridande krissamordning på hög nivå för detta ändamål. Om krisen har en yttre dimension eller en dimension som rör den gemensamma säkerhets- och försvarspolitiken (GSFP) och denna dimension är betydande, bör Europeiska utrikestjänstens krishanteringsmekanism aktiveras.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Footnote 16
Footnote 15