keyboard_tab Cyber Resilience Act 2023/2841 FR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Art. 3 Définitions
- 1 Art. 8 Mesures de gestion des risques de cybersécurité
CHAPITRE I
DISPOSITIONS GENERALES
CHAPITRE II
MESURES DESTINEES A ASSURER UN NIVEAU ELEVE COMMUN DE CYBERSECURITE
CHAPITRE III
CONSEIL INTERINSTITUTIONNEL DE CYBERSECURITE
CHAPITRE IV
CERT-UE
CHAPITRE V
OBLIGATIONS EN MATIERE DE COOPERATION ET DE COMMUNICATION D’INFORMATIONS
CHAPITRE VI
DISPOSITIONS FINALES
- entités de l’Union
- réseau et système d’information
- sécurité des réseaux et des systèmes d’information
- cybersécurité
- niveau hiérarchique le plus élevé
- incident évité
- incident
- incident majeur
- incident de cybersécurité majeur
- traitement des incidents
- cybermenace
- cybermenace importante
- vulnérabilité
- risque de cybersécurité
- service d’informatique en nuage
- l’article 25
- point 25
- ue / 24
- cybersécurité 24
- directive 20
- l’union 15
- qu’il 14
- défini 14
- risques 11
- incident 11
- définie 10
- qu’elle 10
- telle 10
- gestion 9
- mesures 9
- entité 8
- sécurité 8
- incidents 7
- règlement 7
- compris 7
- cybermenace 6
- niveau 6
- dans 6
- entités_de_l’union 6
- pour 6
- européenne 6
- traité 6
- systèmes 6
- matière 5
- services 5
- leurs 5
- compte 4
- cert-ue 4
- politiques 4
- conformément 4
- logiciels 4
- d’une 4
- fonctionnement 4
- moins 4
- organe 4
- présent 4
- cybersécurité» 4
- majeur» 4
- traitement 4
- développement 4
- vulnérabilités 4
- domaines 3
- réaction 3
- capacités 3
- réseaux 3
Article 3
Définitions
Aux fins du présent règlement, on entend par:
| 1) | « entités_de_l’Union», les institutions, organes et organismes de l’Union créés par le traité sur l’Union européenne, le traité sur le fonctionnement de l’Union européenne ou le traité instituant la Communauté européenne de l’énergie atomique, ou conformément à ces traités; |
| 2) | « réseau_et_système_d’information», un réseau_et_système_d’information tel qu’il est défini à l’article 6, point 1), de la directive (UE) 2022/2555; |
| 3) | « sécurité_des_réseaux_et_des_systèmes_d’information», la sécurité_des_réseaux_et_des_systèmes_d’information telle qu’elle est définie à l’article 6, point 2), de la directive (UE) 2022/2555; |
| 4) | « cybersécurité», la cybersécurité telle qu’elle est définie l’article 2, point 1), du règlement (UE) 2019/881; |
| 5) | « niveau_hiérarchique_le_plus_élevé», un responsable, un organe de direction ou un organe de coordination et de surveillance chargés du fonctionnement d’une entité de l’Union au niveau administratif le plus élevé, ayant pour mandat d’adopter ou d’autoriser des décisions conformément aux dispositifs de gouvernance à haut niveau de cette entité, sans préjudice des responsabilités formelles incombant aux autres niveaux hiérarchiques en matière de conformité et en ce qui concerne la gestion des risques de cybersécurité dans leurs domaines de compétence respectifs; |
| 6) | « incident_évité», un incident_évité tel qu’il est défini à l’article 6, point 5), de la directive (UE) 2022/2555; |
| 7) | « incident», un incident tel qu’il est défini à l’article 6, point 6), de la directive (UE) 2022/2555; |
| 8) | « incident majeur», un incident qui provoque des perturbations dépassant les capacités de réaction d’une entité de l’Union et du CERT-UE ou qui a une incidence notable sur au moins deux entités_de_l’Union; |
| 9) | « incident de cybersécurité majeur», un incident de cybersécurité majeur tel qu’il est défini à l’article 6, point 7), de la directive (UE) 2022/2555; |
| 10) | «traitement des incidents», le traitement des incidents tel qu’il est défini à l’article 6, point 8), de la directive (UE) 2022/2555; |
| 11) | « cybermenace», une cybermenace telle qu’elle est définie à l’article 2, point 8), du règlement (UE) 2019/881; |
| 12) | « cybermenace importante», une cybermenace importante telle qu’elle est définie à l’article 6, point 11), de la directive (UE) 2022/2555; |
| 13) | « vulnérabilité», une vulnérabilité telle qu’elle est définie à l’article 6, point 15), de la directive (UE) 2022/2555; |
| 14) | «risque de cybersécurité», un risque tel qu’il est défini à l’article 6, point 9), de la directive (UE) 2022/2555; |
| 15) | « service_d’informatique_en_nuage», un service_d’informatique_en_nuage tel qu’il est défini à l’article 6, point 30), de la directive (UE) 2022/2555. |
Article 3
Définitions
Aux fins du présent règlement, on entend par:
| 1) | « entités_de_l’Union», les institutions, organes et organismes de l’Union créés par le traité sur l’Union européenne, le traité sur le fonctionnement de l’Union européenne ou le traité instituant la Communauté européenne de l’énergie atomique, ou conformément à ces traités; |
| 2) | « réseau_et_système_d’information», un réseau_et_système_d’information tel qu’il est défini à l’article 6, point 1), de la directive (UE) 2022/2555; |
| 3) | « sécurité_des_réseaux_et_des_systèmes_d’information», la sécurité_des_réseaux_et_des_systèmes_d’information telle qu’elle est définie à l’article 6, point 2), de la directive (UE) 2022/2555; |
| 4) | « cybersécurité», la cybersécurité telle qu’elle est définie l’article 2, point 1), du règlement (UE) 2019/881; |
| 5) | « niveau_hiérarchique_le_plus_élevé», un responsable, un organe de direction ou un organe de coordination et de surveillance chargés du fonctionnement d’une entité de l’Union au niveau administratif le plus élevé, ayant pour mandat d’adopter ou d’autoriser des décisions conformément aux dispositifs de gouvernance à haut niveau de cette entité, sans préjudice des responsabilités formelles incombant aux autres niveaux hiérarchiques en matière de conformité et en ce qui concerne la gestion des risques de cybersécurité dans leurs domaines de compétence respectifs; |
| 6) | « incident_évité», un incident_évité tel qu’il est défini à l’article 6, point 5), de la directive (UE) 2022/2555; |
| 7) | « incident», un incident tel qu’il est défini à l’article 6, point 6), de la directive (UE) 2022/2555; |
| 8) | « incident majeur», un incident qui provoque des perturbations dépassant les capacités de réaction d’une entité de l’Union et du CERT-UE ou qui a une incidence notable sur au moins deux entités_de_l’Union; |
| 9) | « incident de cybersécurité majeur», un incident de cybersécurité majeur tel qu’il est défini à l’article 6, point 7), de la directive (UE) 2022/2555; |
| 10) | «traitement des incidents», le traitement des incidents tel qu’il est défini à l’article 6, point 8), de la directive (UE) 2022/2555; |
| 11) | « cybermenace», une cybermenace telle qu’elle est définie à l’article 2, point 8), du règlement (UE) 2019/881; |
| 12) | « cybermenace importante», une cybermenace importante telle qu’elle est définie à l’article 6, point 11), de la directive (UE) 2022/2555; |
| 13) | « vulnérabilité», une vulnérabilité telle qu’elle est définie à l’article 6, point 15), de la directive (UE) 2022/2555; |
| 14) | «risque de cybersécurité», un risque tel qu’il est défini à l’article 6, point 9), de la directive (UE) 2022/2555; |
| 15) | « service_d’informatique_en_nuage», un service_d’informatique_en_nuage tel qu’il est défini à l’article 6, point 30), de la directive (UE) 2022/2555. |
Article 8
Mesures de gestion des risques de cybersécurité
1. Dans les meilleurs délais et en tout état de cause au plus tard le 8 septembre 2025, chaque entité de l’Union prend, sous la supervision du niveau_hiérarchique_le_plus_élevé, des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées afin de gérer les risques de cybersécurité identifiés dans le cadre et de prévenir et réduire les conséquences des incidents. Ces mesures garantissent, pour les réseaux et les systèmes d’information de la totalité de l’environnement TIC, un niveau de sécurité adapté aux risques de cybersécurité encourus, en tenant compte de l’état des connaissances et, s’il y a lieu, des normes européennes et internationales applicables. Lors de l’évaluation de la proportionnalité de ces mesures, il est tenu dûment compte du degré d’exposition de l’entité de l’Union aux risques de cybersécurité, de sa taille et de la probabilité de survenance d’ incidents et de leur gravité, y compris leurs conséquences sociétales, économiques et interinstitutionnelles.
2. Les entités_de_l’Union tiennent compte au moins des domaines suivants dans la mise en œuvre des mesures de gestion des risques de cybersécurité:
| a) | la politique de cybersécurité, y compris les mesures nécessaires pour atteindre les objectifs et les priorités visés à l’article 6 et au paragraphe 3 du présent article; |
| b) | les politiques relatives à l’analyse des risques de cybersécurité et à la sécurité des systèmes d’information; |
| c) | les objectifs stratégiques concernant l’utilisation des services d’informatique en nuage; |
| d) | un audit de cybersécurité, le cas échéant, qui peut inclure une évaluation des risques de cybersécurité, de la vulnérabilité et des cybermenaces, et des tests d’intrusion effectués régulièrement par un fournisseur privé de confiance; |
| e) | la mise en œuvre des recommandations découlant des audits de cybersécurité visés au point d) au moyen de mises à jour de la cybersécurité et des politiques; |
| f) | l’organisation de la cybersécurité, y compris la définition des rôles et des responsabilités; |
| g) | la gestion des actifs, y compris l’inventaire des actifs TIC et la cartographie des réseaux TIC; |
| h) | la sécurité des ressources humaines et le contrôle d’accès; |
| i) | la sécurité des activités; |
| j) | la sécurité des communications; |
| k) | l’acquisition, le développement et la maintenance des systèmes, y compris les politiques de traitement et de divulgation des vulnérabilités; |
| l) | dans la mesure du possible, les politiques en matière de transparence du code source des systèmes; |
| m) | la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité de l’Union et ses fournisseurs ou prestataires de services directs; |
| n) | le traitement des incidents et la coopération avec le CERT-UE, par exemple la maintenance du suivi de la sécurité et de la journalisation; |
| o) | la gestion de la continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises; et |
| p) | la promotion et le développement de programmes d’éducation, de renforcement des compétences, de sensibilisation, d’exercices et de formation en matière de cybersécurité. |
Aux fins du premier alinéa, point m), les entités_de_l’Union tiennent compte des vulnérabilités propres à chaque fournisseur et prestataire de services direct et de la qualité globale des produits et des pratiques de cybersécurité de leurs fournisseurs et prestataires de services, y compris de leurs procédures de développement sécurisé.
3. Les entités_de_l’Union prennent au moins les mesures spécifiques suivantes en matière de gestion des risques de cybersécurité:
| a) | les modalités techniques visant à permettre le télétravail et à en assurer la pérennité; |
| b) | des mesures concrètes pour progresser vers les principes de vérification systématique; |
| c) | l’utilisation de l’authentification à facteurs multiples comme norme dans l’ensemble des réseaux et des systèmes d’information; |
| d) | l’utilisation de la cryptographie et du chiffrement, en particulier le chiffrement de bout en bout, ainsi que les signatures numériques sécurisées; |
| e) | le cas échéant, des communications vocales, vidéo et textuelles sécurisées, et des systèmes de communication d’urgence sécurisés au sein de l’entité de l’Union; |
| f) | des mesures préventives de détection et de suppression des logiciels malveillants et des logiciels espions; |
| g) | la sécurisation de la chaîne d’approvisionnement des logiciels au moyen de critères pour le développement et l’évaluation sécurisés des logiciels; |
| h) | l’élaboration et l’adoption de programmes de formation à la cybersécurité en fonction des missions confiées et des capacités escomptées à l’intention du niveau_hiérarchique_le_plus_élevé et des membres du personnel de l’entité de l’Union chargés d’assurer la mise en œuvre effective du présent règlement; |
| i) | la formation régulière des membres du personnel à la cybersécurité; |
| j) | le cas échéant, la participation à des analyses des risques que présente l’interconnexion entre les entités_de_l’Union; |
| k) | le renforcement des règles de passation des marchés publics afin de faciliter un niveau élevé commun de cybersécurité par:
|
whereas