keyboard_tab Cyber Resilience Act 2023/2841 FR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Art. 3 Définitions
- 1 Art. 6 Cadre de gestion, de gouvernance et de contrôle des risques de cybersécurité
CHAPITRE I
DISPOSITIONS GENERALES
CHAPITRE II
MESURES DESTINEES A ASSURER UN NIVEAU ELEVE COMMUN DE CYBERSECURITE
CHAPITRE III
CONSEIL INTERINSTITUTIONNEL DE CYBERSECURITE
CHAPITRE IV
CERT-UE
CHAPITRE V
OBLIGATIONS EN MATIERE DE COOPERATION ET DE COMMUNICATION D’INFORMATIONS
CHAPITRE VI
DISPOSITIONS FINALES
- entités de l’Union
- réseau et système d’information
- sécurité des réseaux et des systèmes d’information
- cybersécurité
- niveau hiérarchique le plus élevé
- incident évité
- incident
- incident majeur
- incident de cybersécurité majeur
- traitement des incidents
- cybermenace
- cybermenace importante
- vulnérabilité
- risque de cybersécurité
- service d’informatique en nuage
- l’article 28
- l’union 28
- cybersécurité 26
- point 26
- ue / 24
- directive 20
- entité 18
- règlement 15
- défini 14
- qu’il 14
- cadre 12
- telle 11
- présent 11
- qu’elle 10
- incident 10
- définie 10
- œuvre 9
- mise 9
- cert-ue 9
- responsable 9
- d’une 8
- niveau 8
- gestion 7
- l’entité 7
- pour 7
- dans 7
- réseaux 7
- risques 7
- chaque 6
- cybermenace 6
- traité 6
- européenne 6
- sécurité 5
- local 5
- niveau_hiérarchique_le_plus_élevé 5
- le 5
- systèmes 5
- fait 4
- compte 4
- cybersécurité» 4
- fonctionnement 4
- conformément 4
- concernée 4
- organe 4
- gouvernance 4
- peut 4
- sans 4
- majeur» 4
- préjudice 4
- incidence 3
Article 3
Définitions
Aux fins du présent règlement, on entend par:
| 1) | « entités_de_l’Union», les institutions, organes et organismes de l’Union créés par le traité sur l’Union européenne, le traité sur le fonctionnement de l’Union européenne ou le traité instituant la Communauté européenne de l’énergie atomique, ou conformément à ces traités; |
| 2) | « réseau_et_système_d’information», un réseau_et_système_d’information tel qu’il est défini à l’article 6, point 1), de la directive (UE) 2022/2555; |
| 3) | « sécurité des réseaux et des systèmes d’information», la sécurité des réseaux et des systèmes d’information telle qu’elle est définie à l’article 6, point 2), de la directive (UE) 2022/2555; |
| 4) | « cybersécurité», la cybersécurité telle qu’elle est définie l’article 2, point 1), du règlement (UE) 2019/881; |
| 5) | « niveau_hiérarchique_le_plus_élevé», un responsable, un organe de direction ou un organe de coordination et de surveillance chargés du fonctionnement d’une entité de l’Union au niveau administratif le plus élevé, ayant pour mandat d’adopter ou d’autoriser des décisions conformément aux dispositifs de gouvernance à haut niveau de cette entité, sans préjudice des responsabilités formelles incombant aux autres niveaux hiérarchiques en matière de conformité et en ce qui concerne la gestion des risques de cybersécurité dans leurs domaines de compétence respectifs; |
| 6) | « incident_évité», un incident_évité tel qu’il est défini à l’article 6, point 5), de la directive (UE) 2022/2555; |
| 7) | « incident», un incident tel qu’il est défini à l’article 6, point 6), de la directive (UE) 2022/2555; |
| 8) | « incident majeur», un incident qui provoque des perturbations dépassant les capacités de réaction d’une entité de l’Union et du CERT-UE ou qui a une incidence notable sur au moins deux entités_de_l’Union; |
| 9) | « incident de cybersécurité majeur», un incident de cybersécurité majeur tel qu’il est défini à l’article 6, point 7), de la directive (UE) 2022/2555; |
| 10) | «traitement des incidents», le traitement des incidents tel qu’il est défini à l’article 6, point 8), de la directive (UE) 2022/2555; |
| 11) | « cybermenace», une cybermenace telle qu’elle est définie à l’article 2, point 8), du règlement (UE) 2019/881; |
| 12) | « cybermenace importante», une cybermenace importante telle qu’elle est définie à l’article 6, point 11), de la directive (UE) 2022/2555; |
| 13) | « vulnérabilité», une vulnérabilité telle qu’elle est définie à l’article 6, point 15), de la directive (UE) 2022/2555; |
| 14) | «risque de cybersécurité», un risque tel qu’il est défini à l’article 6, point 9), de la directive (UE) 2022/2555; |
| 15) | « service_d’informatique_en_nuage», un service_d’informatique_en_nuage tel qu’il est défini à l’article 6, point 30), de la directive (UE) 2022/2555. |
Article 3
Définitions
Aux fins du présent règlement, on entend par:
| 1) | « entités_de_l’Union», les institutions, organes et organismes de l’Union créés par le traité sur l’Union européenne, le traité sur le fonctionnement de l’Union européenne ou le traité instituant la Communauté européenne de l’énergie atomique, ou conformément à ces traités; |
| 2) | « réseau_et_système_d’information», un réseau_et_système_d’information tel qu’il est défini à l’article 6, point 1), de la directive (UE) 2022/2555; |
| 3) | « sécurité des réseaux et des systèmes d’information», la sécurité des réseaux et des systèmes d’information telle qu’elle est définie à l’article 6, point 2), de la directive (UE) 2022/2555; |
| 4) | « cybersécurité», la cybersécurité telle qu’elle est définie l’article 2, point 1), du règlement (UE) 2019/881; |
| 5) | « niveau_hiérarchique_le_plus_élevé», un responsable, un organe de direction ou un organe de coordination et de surveillance chargés du fonctionnement d’une entité de l’Union au niveau administratif le plus élevé, ayant pour mandat d’adopter ou d’autoriser des décisions conformément aux dispositifs de gouvernance à haut niveau de cette entité, sans préjudice des responsabilités formelles incombant aux autres niveaux hiérarchiques en matière de conformité et en ce qui concerne la gestion des risques de cybersécurité dans leurs domaines de compétence respectifs; |
| 6) | « incident_évité», un incident_évité tel qu’il est défini à l’article 6, point 5), de la directive (UE) 2022/2555; |
| 7) | « incident», un incident tel qu’il est défini à l’article 6, point 6), de la directive (UE) 2022/2555; |
| 8) | « incident majeur», un incident qui provoque des perturbations dépassant les capacités de réaction d’une entité de l’Union et du CERT-UE ou qui a une incidence notable sur au moins deux entités_de_l’Union; |
| 9) | « incident de cybersécurité majeur», un incident de cybersécurité majeur tel qu’il est défini à l’article 6, point 7), de la directive (UE) 2022/2555; |
| 10) | «traitement des incidents», le traitement des incidents tel qu’il est défini à l’article 6, point 8), de la directive (UE) 2022/2555; |
| 11) | « cybermenace», une cybermenace telle qu’elle est définie à l’article 2, point 8), du règlement (UE) 2019/881; |
| 12) | « cybermenace importante», une cybermenace importante telle qu’elle est définie à l’article 6, point 11), de la directive (UE) 2022/2555; |
| 13) | « vulnérabilité», une vulnérabilité telle qu’elle est définie à l’article 6, point 15), de la directive (UE) 2022/2555; |
| 14) | «risque de cybersécurité», un risque tel qu’il est défini à l’article 6, point 9), de la directive (UE) 2022/2555; |
| 15) | « service_d’informatique_en_nuage», un service_d’informatique_en_nuage tel qu’il est défini à l’article 6, point 30), de la directive (UE) 2022/2555. |
Article 6
Cadre de gestion, de gouvernance et de contrôle des risques de cybersécurité
1. Au plus tard le 8 avril 2025, chaque entité de l’Union établit, après avoir procédé à un examen initial de la cybersécurité, tel qu’un audit, un cadre interne de gestion, de gouvernance et de contrôle des risques de cybersécurité (ci-après dénommé «cadre»). L’établissement du cadre est placé sous la supervision et la responsabilité du niveau_hiérarchique_le_plus_élevé de l’entité de l’Union.
2. Le cadre couvre l’ensemble de l’environnement TIC non classifié de l’entité de l’Union concernée, y compris l’environnement TIC sur sites, le réseau de technologie opérationnelle, les actifs et services externalisés dans des environnements d’informatique en nuage ou hébergés par des tiers, les appareils mobiles, les réseaux d’entreprise, les réseaux professionnels non connectés à l’internet et tout appareil connecté à ces environnements (ci-après dénommé «environnement TIC»). Le cadre est fondé sur une approche «tous risques».
3. Le cadre garantit un niveau élevé de cybersécurité. Le cadre établit des politiques internes de cybersécurité, y compris des objectifs et des priorités, pour la sécurité des réseaux et des systèmes d’information, ainsi que les rôles et les responsabilités du personnel de l’entité de l’Union chargé d’assurer la mise en œuvre effective du présent règlement. Le cadre comprend également des mécanismes visant à mesurer l’efficacité de la mise en œuvre.
4. Le cadre fait régulièrement l’objet d’une révision, compte tenu de l’évolution des risques de cybersécurité, et au moins tous les quatre ans. Le cas échéant et à la suite d’une demande du conseil interinstitutionnel de cybersécurité institué en vertu de l’article 10, le cadre d’une entité de l’Union peut être mis à jour sur la base des orientations données par le CERT-UE sur les incidents identifiés ou les lacunes éventuelles observées dans la mise en œuvre du présent règlement.
5. Le niveau_hiérarchique_le_plus_élevé de chaque entité de l’Union est responsable de la mise en œuvre du présent règlement et contrôle le respect, par son entité, des obligations liées au cadre.
6. Le cas échéant et sans préjudice de sa responsabilité dans la mise en œuvre du présent règlement, le niveau_hiérarchique_le_plus_élevé de chaque entité de l’Union peut déléguer des obligations spécifiques au titre du présent règlement à des membres du personnel d’encadrement supérieur au sens de l’article 29, paragraphe 2, du statut ou à d’autres fonctionnaires de niveau équivalent, au sein de l’entité de l’Union concernée. Indépendamment d’une telle délégation, le niveau_hiérarchique_le_plus_élevé peut être tenu pour responsable des infractions au présent règlement commises par l’entité de l’Union concernée.
7. Chaque entité de l’Union dispose de mécanismes efficaces pour garantir qu’un pourcentage adéquat du budget TIC est consacré à la cybersécurité. Lors de la fixation de ce pourcentage, il est dûment tenu compte du cadre.
8. Chaque entité de l’Union désigne un responsable local de la cybersécurité ou une fonction équivalente qui fait office de point de contact unique pour tous les aspects liés à la cybersécurité. Le responsable local de la cybersécurité facilite la mise en œuvre du présent règlement et rend directement et régulièrement compte au niveau_hiérarchique_le_plus_élevé de l’état d’avancement de la mise en œuvre. Sans préjudice du fait que le responsable local de la cybersécurité soit le point de contact unique dans chaque entité de l’Union, une entité de l’Union peut déléguer certaines tâches du responsable local de la cybersécurité en ce qui concerne la mise en œuvre du présent règlement au CERT-UE sur la base d’un accord de niveau de service conclu entre cette entité de l’Union et le CERT-UE, ou ces tâches peuvent être partagées entre plusieurs entités_de_l’Union. Lorsque ces tâches sont déléguées au CERT-UE, le conseil interinstitutionnel de cybersécurité institué en vertu de l’article 10 décide si la fourniture de ce service fait partie des services de base du CERT-UE, en tenant compte des ressources humaines et financières de l’entité de l’Union concernée. Chaque entité de l’Union informe le CERT-UE, dans les meilleurs délais, de la désignation du responsable local de cybersécurité, ainsi que de tout changement ultérieur.
Le CERT-UE établit et tient à jour une liste des responsables locaux de la cybersécurité désignés.
9. Les membres de l’encadrement supérieur au sens de l’article 29, paragraphe 2, du statut ou d’autres fonctionnaires de niveau équivalent de chaque entité de l’Union ainsi que tous les membres du personnel pertinents chargés de la mise en œuvre des mesures et de l’exécution des obligations de gestion des risques de cybersécurité définies par le présent règlement suivent régulièrement une formation spécifique afin d’acquérir des connaissances et des compétences suffisantes pour appréhender et évaluer les pratiques en matière de gestion des risques et de gestion de la cybersécurité et leur incidence sur les activités de l’entité de l’Union.
whereas