Source: OJ L 333, 27.12.2022, p. 80–152Current language: SV
- High common level of cybersecurity for entities
Basic legislative acts
- NIS 2 directive
Artikel 20 Styrning
Medlemsstaterna ska säkerställa att väsentliga och viktiga entiteters ledningsorgan godkänner de riskhanteringsåtgärder för cybersäkerhet som dessa entiteter vidtar för att följa artikel 21, övervakar genomförandet av dem och kan ställas till svars för entiteternas överträdelser av den artikeln.
Tillämpningen av denna punkt påverkar inte nationell rätt när det gäller de ansvarsregler som är tillämpliga på offentliga institutioner, samt ansvaret för statligt anställda och valda eller utnämnda tjänstepersoner.
Medlemsstaterna ska säkerställa att medlemmarna i väsentliga och viktiga entiteters ledningsorgan är skyldiga att genomgå utbildning, och ska uppmuntra väsentliga och viktiga entiteter att regelbundet erbjuda liknande utbildning till sina anställda för att de ska få tillräckligt med kunskap och kompetens för att kunna identifiera risker och bedöma riskhanteringspraxis för cybersäkerhet och deras inverkan på de tjänster som tillhandahålls av entiteten.
Relevant recitals
Skäl 83 Responsibility regardless of outsourcing
Väsentliga och viktiga entiteter bör säkerställa säkerheten i de nätverks- och informationssystem som de använder i sin verksamhet. Det rör sig framför allt om privata nätverks- och informationssystem som antingen förvaltas av de väsentliga och viktiga entiteternas interna it-personal eller vilkas säkerhet har lagts ut på entreprenad. De riskhanteringsåtgärder för cybersäkerhet och rapporteringsskyldigheter som fastställs i detta direktiv bör tillämpas på de relevanta väsentliga och viktiga entiteterna oavsett om dessa entiteter underhåller sina nätverks- och informationssystem internt eller lägger ut underhållet på entreprenad.
Skäl 89 Basic cyber hygiene practices
Väsentliga och viktiga entiteter bör anta ett brett spektrum av grundläggande cyberhygienrutiner, såsom nollförtroende-principer, programuppdateringar, enhetskonfiguration, nätverkssegmentering, identitets- och åtkomsthantering eller användarmedvetenhet, anordna utbildning för sin personal och öka medvetenheten om cyberhot, nätfiske eller sociala manipuleringstekniker. Vidare bör dessa entiteter utvärdera sin egen cybersäkerhetskapacitet och när det är lämpligt fortsätta att integrera teknik för ökad cybersäkerhet, såsom artificiell intelligens eller maskininlärningssystem, för att förbättra sin kapacitet och säkerheten i nätverks- och informationssystemen.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
- Ett elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.
- En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.
- Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas.