keyboard_tab Cyber Resilience Act 2023/2841 FR

1.   Au plus tard le 8 juillet 2025 et au moins tous les deux ans par la suite, chaque entité de l’Union procède à une évaluation de la maturité en matière de cybersécurité portant sur l’ensemble des éléments de son environnement TIC.

2.   les évaluations de la maturité en matière de cybersécurité sont effectuées, le cas échéant, avec l’aide d’un tiers spécialisé.

3.   les entités_de_l’Union ayant des structures similaires peuvent coopérer à la réalisation d’évaluations de la maturité en matière de cybersécurité pour leurs entités respectives.

4.   Sur la base d’une demande du conseil interinstitutionnel de cybersécurité institué en vertu de l’article 10 et avec le consentement explicite de l’entité de l’Union concernée, les résultats d’une évaluation de la maturité en matière de cybersécurité peuvent être discutés au sein dudit conseil ou du groupe informel de responsables locaux de la cybersécurité afin de tirer les leçons des expériences et de partager les bonnes pratiques.

1.   Dans les meilleurs délais et en tout état de cause au plus tard le 8 septembre 2025, chaque entité de l’Union prend, sous la supervision du niveau_hiérarchique_le_plus_élevé, des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées afin de gérer les risques de cybersécurité identifiés dans le cadre et de prévenir et réduire les conséquences des incidents. Ces mesures garantissent, pour les réseaux et les systèmes d’information de la totalité de l’environnement TIC, un niveau de sécurité adapté aux risques de cybersécurité encourus, en tenant compte de l’état des connaissances et, s’il y a lieu, des normes européennes et internationales applicables. Lors de l’évaluation de la proportionnalité de ces mesures, il est tenu dûment compte du degré d’exposition de l’entité de l’Union aux risques de cybersécurité, de sa taille et de la probabilité de survenance d’ incidents et de leur gravité, y compris leurs conséquences sociétales, économiques et interinstitutionnelles.

2.   les entités_de_l’Union tiennent compte au moins des domaines suivants dans la mise en œuvre des mesures de gestion des risques de cybersécurité:

a)	la politique de cybersécurité, y compris les mesures nécessaires pour atteindre les objectifs et les priorités visés à l’article 6 et au paragraphe 3 du présent article;

b)	les politiques relatives à l’analyse des risques de cybersécurité et à la sécurité des systèmes d’information;

c)	les objectifs stratégiques concernant l’utilisation des services d’informatique en nuage;

d)	un audit de cybersécurité, le cas échéant, qui peut inclure une évaluation des risques de cybersécurité, de la vulnérabilité et des cybermenaces, et des tests d’intrusion effectués régulièrement par un fournisseur privé de confiance;

e)	la mise en œuvre des recommandations découlant des audits de cybersécurité visés au point d) au moyen de mises à jour de la cybersécurité et des politiques;

f)	l’organisation de la cybersécurité, y compris la définition des rôles et des responsabilités;

g)	la gestion des actifs, y compris l’inventaire des actifs TIC et la cartographie des réseaux TIC;

h)	la sécurité des ressources humaines et le contrôle d’accès;

i)	la sécurité des activités;

j)	la sécurité des communications;

k)	l’acquisition, le développement et la maintenance des systèmes, y compris les politiques de traitement et de divulgation des vulnérabilités;

l)	dans la mesure du possible, les politiques en matière de transparence du code source des systèmes;

m)	la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité de l’Union et ses fournisseurs ou prestataires de services directs;

n)	le traitement des incidents et la coopération avec le CERT-UE, par exemple la maintenance du suivi de la sécurité et de la journalisation;

o)	la gestion de la continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises; et

p)	la promotion et le développement de programmes d’éducation, de renforcement des compétences, de sensibilisation, d’exercices et de formation en matière de cybersécurité.

Aux fins du premier alinéa, point m), les entités_de_l’Union tiennent compte des vulnérabilités propres à chaque fournisseur et prestataire de services direct et de la qualité globale des produits et des pratiques de cybersécurité de leurs fournisseurs et prestataires de services, y compris de leurs procédures de développement sécurisé.

3.   les entités_de_l’Union prennent au moins les mesures spécifiques suivantes en matière de gestion des risques de cybersécurité:

a)	les modalités techniques visant à permettre le télétravail et à en assurer la pérennité;

b)	des mesures concrètes pour progresser vers les principes de vérification systématique;

c)	l’utilisation de l’authentification à facteurs multiples comme norme dans l’ensemble des réseaux et des systèmes d’information;

d)	l’utilisation de la cryptographie et du chiffrement, en particulier le chiffrement de bout en bout, ainsi que les signatures numériques sécurisées;

e)	le cas échéant, des communications vocales, vidéo et textuelles sécurisées, et des systèmes de communication d’urgence sécurisés au sein de l’entité de l’Union;

f)	des mesures préventives de détection et de suppression des logiciels malveillants et des logiciels espions;

g)	la sécurisation de la chaîne d’approvisionnement des logiciels au moyen de critères pour le développement et l’évaluation sécurisés des logiciels;

h)

l’élaboration et l’adoption de programmes de formation à la cybersécurité en fonction des missions confiées et des capacités escomptées à l’intention du niveau_hiérarchique_le_plus_élevé et des membres du personnel de l’entité de l’Union chargés d’assurer la mise en œuvre effective du présent règlement;

i)	la formation régulière des membres du personnel à la cybersécurité;

j)	le cas échéant, la participation à des analyses des risques que présente l’interconnexion entre les entités_de_l’Union;

k)

le renforcement des règles de passation des marchés publics afin de faciliter un niveau élevé commun de cybersécurité par: i) la suppression des obstacles contractuels qui limitent le partage d’informations sur les incidents, les vulnérabilités et les cybermenaces entre les fournisseurs de services TIC et le CERT-UE; ii) l’obligation contractuelle de signaler les incidents, les vulnérabilités et les cybermenaces ainsi que de veiller à ce que des mécanismes appropriés de réaction et de suivi en cas d’ incident soient en place.

1.   Un conseil interinstitutionnel de cybersécurité (IICB) est institué.

2.   L’IICB est chargé:

a)	de suivre et de soutenir la mise en œuvre du présent règlement par les entités_de_l’Union;

b)	de superviser la mise en œuvre des priorités et objectifs généraux par le CERT-UE et de lui fournir des orientations stratégiques.

3.   L’IICB est composé:

a)

d’un représentant désigné par chacune des entités suivantes: i) le Parlement européen; ii) le Conseil européen; iii) le Conseil de l’Union européenne; iv) la Commission; v) la Cour de justice de l’Union européenne; vi) la Banque centrale européenne; vii) la Cour des comptes européenne; viii) le Service européen pour l’action extérieure; ix) le Comité économique et social européen; x) le Comité européen des régions; xi) la Banque européenne d’investissement; xii) le Centre de compétences européen pour l’industrie, les technologies et la recherche en matière de cybersécurité; xiii) l’ENISA; xiv) le Contrôleur européen de la protection des données (CEPD); xv) l’Agence de l’Union européenne pour le programme spatial.

b)	de trois représentants désignés par le réseau des agences de l’Union européenne (EUAN), sur proposition de son comité consultatif sur les TIC, pour représenter les intérêts des organes et organismes de l’Union qui gèrent leur propre environnement TIC, autres que ceux visés au point a).

Les entités_de_l’Union représentées au sein de l’IICB s’efforcent de parvenir à un équilibre entre les femmes et les hommes parmi les représentants désignés.

4.   Chaque membre de l’IICB peut être assisté d’un suppléant. D’autres représentants des entités_de_l’Union visées au paragraphe 3 ou d’autres entités_de_l’Union peuvent être invités par le président à assister aux réunions de l’IICB sans droit de vote.

5.   Le chef du CERT-UE et les présidents du groupe de coopération, du réseau des CSIRT et de EU-CyCLONe établis, respectivement, en vertu des articles 14, 15 et 16 de la directive (UE) 2022/2555, ou leurs suppléants, peuvent participer aux réunions de l’IICB en tant qu’observateurs. Dans des circonstances exceptionnelles, l’IICB peut, conformément à son règlement intérieur, en décider autrement.

6.   L’IICB adopte son règlement intérieur.

7.   L’IICB désigne un président parmi ses membres, conformément à son règlement intérieur et pour une période de trois ans. Le suppléant du président devient membre à part entière de l’IICB pour la même durée.

8.   L’IICB se réunit au moins trois fois par an à l’initiative de son président, à la demande du CERT-UE ou à la demande de l’un de ses membres.

9.   Chaque membre de l’IICB dispose d’une voix. Les décisions de l’IICB sont prises à la majorité simple, sauf disposition contraire du présent règlement. Le président de l’IICB ne peut voter qu’en cas d’égalité, sa voix pouvant alors être décisive.

10.   L’IICB peut statuer par la voie d’une procédure écrite simplifiée lancée conformément à son règlement intérieur. Dans le cadre de cette procédure, la décision concernée est réputée approuvée dans le délai fixé par le président, sauf objection d’un membre.

11.   Le secrétariat de l’IICB est assuré par la Commission et rend compte au président de l’IICB.

12.   les représentants nommés par l’EUAN transmettent les décisions de l’IICB aux membres de l’EUAN. Tout membre de l’EUAN a le droit de soulever auprès de ces représentants ou du président de l’IICB toute question qu’il estime devoir être portée à l’attention de l’IICB.

13.   L’IICB peut établir un comité exécutif pour l’assister dans ses travaux et lui déléguer certains de ses pouvoirs et tâches. L’IICB établit le règlement intérieur du comité exécutif, y compris ses tâches et pouvoirs, ainsi que le mandat de ses membres.

14.   Au plus tard le 8 janvier 2025, puis sur une base annuelle, l’IICB présente au Parlement européen et au Conseil un rapport détaillant les progrès réalisés dans la mise en œuvre du présent règlement et précisant notamment l’étendue de la coopération du CERT-UE avec ses homologues des États membres dans chacun d’entre eux. Le rapport constitue une contribution au rapport bisannuel sur l’état de la cybersécurité dans l’Union adopté en vertu de l’article 18 de la directive (UE) 2022/2555.

1.   Le CERT-UE soutient la mise en œuvre du présent règlement en élaborant:

a)	des injonctions décrivant les mesures de sécurité urgentes que les entités_de_l’Union sont instamment invitées à prendre dans un délai déterminé;

b)	des propositions soumises à l’IICB concernant des orientations destinées à l’ensemble ou à une partie des entités_de_l’Union;

c)	des propositions soumises à l’IICB concernant des recommandations destinées à titre individuel aux entités_de_l’Union.

En ce qui concerne le premier alinéa, point a), l’entité de l’Union concernée informe le CERT-UE, dans les meilleurs délais après avoir reçu l’injonction, de la manière dont les mesures de sécurité urgentes ont été appliquées.

2.   les orientations et les recommandations peuvent inclure:

a)

des méthodes communes et un modèle d’évaluation de la maturité des entités_de_l’Union en matière de cybersécurité, y compris les barèmes ou les IPC correspondants, destinés à servir de référence pour soutenir l’amélioration continue de la cybersécurité dans toutes les entités_de_l’Union et à faciliter la hiérarchisation des domaines et des mesures de cybersécurité en tenant compte de la posture de cybersécurité des entités;

b)	les modalités de la gestion des risques de cybersécurité et les mesures de gestion des risques en matière de cybersécurité, ou les améliorations à y apporter;

c)	les modalités des évaluations du niveau de maturité en matière de cybersécurité et des plans de cybersécurité;

d)

le cas échéant, l’utilisation d’une technologie, d’une architecture et de pratiques de sources ouvertes communes, ainsi que des meilleures pratiques qui y sont associées, dans le but de parvenir à l’interopérabilité et à des normes communes, y compris une approche coordonnée de la sécurité de la chaîne d’approvisionnement;

e)	le cas échéant, des informations permettant de faciliter l’utilisation d’instruments d’acquisition conjointe pour l’acquisition de produits et services de cybersécurité pertinents auprès de prestataires tiers;

f)	des modalités de partage d’informations conformément à l’article 20.

1.   Le CERT-UE est intégré à la structure administrative d’une direction générale de la Commission afin de bénéficier des structures d’appui de la Commission en matière administrative, de gestion financière et de comptabilité tout en préservant son statut de fournisseur interinstitutionnel autonome de services destinés à l’ensemble des entités_de_l’Union. La Commission informe l’IICB du siège administratif du CERT-UE et de toute modification de celui-ci. La Commission procède régulièrement au réexamen des modalités administratives relatives au CERT-UE et, en tout état de cause, avant l’établissement de tout cadre financier pluriannuel conformément à l’article 312 du traité sur le fonctionnement de l’Union européenne, pour permettre l’adoption de mesures adéquates. Le réexamen prévoit la possibilité de faire du CERT-UE un organisme de l’Union.

2.   Pour l’application des procédures administratives et financières, le chef du CERT-UE agit sous l’autorité de la Commission et sous la surveillance de l’IICB.

3.   les tâches et activités du CERT-UE, y compris les services qu’il fournit, conformément à l’article 13, paragraphes 3, 4, 5 et 7, et à l’article 14, paragraphe 1, aux entités_de_l’Union et qui sont financés au titre de la rubrique du cadre financier pluriannuel consacrée à l’administration publique européenne, sont financées par une ligne budgétaire distincte du budget de la Commission. Les postes réservés au CERT-UE sont détaillés dans une note de bas de page du tableau des effectifs de la Commission.

4.   les entités_de_l’Union autres que celles visées au paragraphe 3 du présent article versent une contribution financière annuelle au CERT-UE pour couvrir les services fournis par le CERT-UE en vertu dudit paragraphe 3. Les contributions sont fondées sur les orientations données par l’IICB et convenues entre chaque entité de l’Union et le CERT-UE dans les accords de niveau de service. Les contributions représentent une part équitable et proportionnée de l’ensemble des coûts des services fournis. Elles sont affectées à la ligne budgétaire distincte visée au paragraphe 3 du présent article en tant que recettes affectées internes comme prévu à l’article 21, paragraphe 3, point c), du règlement (UE, Euratom) 2018/1046.

5.   les coûts des services prévus à l’article 13, paragraphe 6, sont recouvrés auprès des entités_de_l’Union qui bénéficient des services du CERT-UE. Les recettes sont affectées aux lignes budgétaires dont relèvent les coûts.

1.   les entités_de_l’Union et le CERT-UE respectent l’obligation de secret professionnel conformément à l’article 339 du traité sur le fonctionnement de l’Union européenne ou à des cadres applicables équivalents.

2.   Le règlement (CE) no 1049/2001 du Parlement européen et du Conseil (10) s’applique aux demandes d’accès du public aux documents détenus par le CERT-UE, y compris l’obligation, prévue par ledit règlement, de consulter les autres entités_de_l’Union ou, le cas échéant, les États membres, dès lors qu’une demande concerne leurs documents.

3.   Le traitement des informations par les entités_de_l’Union et le CERT-UE est conforme aux règles applicables en matière de sécurité de l’information.

1.   les entités_de_l’Union peuvent volontairement faire part au CERT-UE des incidents, cybermenaces, incidents évités et vulnérabilités qui les touchent et lui transmettre des informations à leur propos. Le CERT-UE veille à ce que des moyens de communication efficaces, avec un niveau de traçabilité, de confidentialité et de fiabilité élevé, soient disponibles pour faciliter le partage d’informations avec les entités_de_l’Union. Lors du traitement des notifications, le CERT-UE peut traiter les notifications obligatoires en leur donnant la priorité par rapport aux notifications volontaires. Sans préjudice de l’article 12, une notification volontaire n’a pas pour effet d’imposer à l’entité de l’Union qui en est à l’origine des obligations supplémentaires auxquelles elle n’aurait pas été soumise si elle n’avait pas transmis ladite notification.

2.   Afin d’accomplir sa mission et les tâches qui lui sont confiées en vertu de l’article 13, le CERT-UE peut demander aux entités_de_l’Union de lui fournir des informations à partir de leurs inventaires respectifs des systèmes TIC, notamment des informations relatives aux cybermenaces, aux incidents évités, aux vulnérabilités, aux indicateurs de compromission et aux alertes de cybersécurité et des recommandations concernant la configuration des outils de cybersécurité pour détecter les incidents. L’entité de l’Union requise transmet les informations demandées, ainsi que toute mise à jour ultérieure de celles-ci, dans les meilleurs délais.

3.   Le CERT-UE peut échanger avec les entités_de_l’Union des informations propres à un incident qui révèlent l’identité de l’entité de l’Union touchée par cet incident sous réserve du consentement de l’entité de l’Union touchée. Lorsqu’une entité de l’Union n’accorde pas son consentement, elle fournit au CERT-UE les motifs de cette décision.

4.   les entités_de_l’Union partagent avec le Parlement européen et le Conseil, à leur demande, des informations sur l’achèvement des plans de cybersécurité.

5.   L’IICB ou le CERT-UE, selon le cas, partage les orientations, les recommandations et les injonctions avec le Parlement européen et le Conseil, à leur demande.

6.   les obligations en matière de partage énoncées au présent article ne s’étendent pas:

a)

aux ICUE;

b)	aux informations dont la distribution ultérieure a été exclue au moyen d’un marquage visible, à moins que le partage de celles-ci avec le CERT-UE ait été explicitement autorisé.

1.   Un incident est considéré comme important si:

a)	il a causé ou est susceptible de causer une perturbation opérationnelle grave au fonctionnement de l’entité de l’Union concernée ou des pertes financières pour celle-ci;

b)	il a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables.

2.   les entités_de_l’Union transmettent au CERT-UE:

a)

sans retard injustifié et en tout état de cause dans les 24 heures après avoir eu connaissance de l’ incident important, une alerte précoce qui, le cas échéant, indique que l’on suspecte l’ incident important d’avoir été causé par des actes illicites ou malveillants ou qu’il pourrait avoir un impact inter-entités ou transfrontière;

b)

sans retard injustifié et en tout état de cause dans les 72 heures après avoir eu connaissance de l’ incident important, une notification d’ incident qui, le cas échéant, met à jour les informations visées au point a) et fournit une évaluation initiale de l’ incident important, y compris de sa gravité et de son impact, ainsi que des indicateurs de compromission, lorsqu’ils sont disponibles;

c)	à la demande du CERT-UE, un rapport intermédiaire sur les mises à jour pertinentes de la situation;

d)

un rapport final au plus tard un mois après la présentation de la notification d’ incident visée au point b), comprenant les éléments suivants: i) une description détaillée de l’ incident, y compris de sa gravité et de son impact; ii) le type de menace ou la cause profonde qui a probablement déclenché l’ incident; iii) les mesures d’atténuation appliquées et en cours; iv) le cas échéant, l’impact transfrontière ou inter-entités de l’ incident;

e)	en cas d’ incident en cours au moment de la présentation du rapport final visé au point d), un rapport d’avancement à ce moment-là puis un rapport final dans un délai d’un mois à compter du traitement de l’ incident.

3.   Une entité de l’Union informe, sans retard injustifié et en tout état de cause dans les 24 heures après avoir eu connaissance d’un incident important, tous les homologues des États membres concernés visés à l’article 17, paragraphe 1, dans l’État membre dans lequel il est situé qu’un incident important est survenu.

4.   les entités_de_l’Union notifient, entre autres, toute information qui permet au CERT-UE de déterminer tout impact inter-entités, tout impact pour l’État membre hôte ou tout impact transfrontière de l’ incident important. Sans préjudice de l’article 12, le simple fait de notifier un incident n’accroît pas la responsabilité de l’entité de l’Union.

5.   Le cas échéant, les entités_de_l’Union communiquent sans retard injustifié aux utilisateurs des réseaux et des systèmes d’information touchés, ou d’autres composants de l’environnement TIC, qui sont potentiellement touchés par un incident important ou une cybermenace importante et qui, le cas échéant, doivent prendre des mesures d’atténuation, toutes les mesures ou corrections qu’ils peuvent appliquer en réponse à cet incident ou à cette menace. Le cas échéant, les entités_de_l’Union informent ces utilisateurs de la cybermenace importante elle-même.

6.   Lorsqu’un incident important ou une cybermenace importante touche un réseau et un système d’information, ou un composant de l’environnement TIC d’une entité de l’Union qui est réputé être connecté à l’environnement TIC d’une autre entité de l’Union, le CERT-UE émet une alerte de cybersécurité.

7.   les entités_de_l’Union fournissent au CERT-UE, à sa demande et dans les meilleurs délais, les informations numériques générées par l’utilisation de dispositifs électroniques impliqués dans les incidents qui les ont respectivement touchés. Le CERT-UE peut fournir davantage de détails sur les types d’informations dont il a besoin pour la conscience situationnelle et la réaction aux incidents.

8.   Le CERT-UE soumet tous les trois mois à l’IICB, à l’ENISA, à l’INTCEN et au réseau des CSIRT un rapport de synthèse contenant des données anonymisées et agrégées sur les incidents importants, les incidents, les cybermenaces, les incidents évités et les vulnérabilités conformément à l’article 20 et sur les incidents importants qui ont été notifiés conformément au paragraphe 2 du présent article. Le rapport de synthèse constitue une contribution au rapport bisannuel sur l’état de la cybersécurité dans l’Union adopté en vertu de l’article 18 de la directive (UE) 2022/2555.

9.   Au plus tard le 8 juillet 2024, l’IICB élabore des orientations ou des recommandations précisant davantage les modalités, le format et le contenu du rapport conformément au présent article. Lors de la préparation de ces orientations ou de ces recommandations, l’IICB tient compte de tout acte d’exécution adopté en vertu de l’article 23, paragraphe 11, de la directive (UE) 2022/2555 en vue de préciser le type d’informations, le format et la procédure des notifications. Le CERT-UE diffuse les renseignements techniques appropriés pour permettre aux entités_de_l’Union de prendre des mesures proactives de détection, de réaction aux incidents ou d’atténuation de ceux-ci.

10.   les obligations d’information énoncées au présent article ne s’étendent pas:

a)

aux ICUE;

b)	aux informations dont la distribution ultérieure a été exclue au moyen d’un marquage visible, à moins que le partage de celles-ci avec le CERT-UE ait été explicitement autorisé.

1.   Afin de soutenir au niveau opérationnel la gestion coordonnée des incidents majeurs affectant des entités_de_l’Union et de contribuer à l’échange régulier d’informations pertinentes entre les entités_de_l’Union et avec les États membres, l’IICB définit, conformément à l’article 11, point q), un plan de gestion des crises de cybersécurité sur la base des activités visées à l’article 22, paragraphe 2, en étroite coopération avec le CERT-UE et l’ENISA. Le plan de gestion des crises de cybersécurité comprend au moins les éléments suivants:

a)	les modalités de coordination et de flux d’informations entre les entités_de_l’Union pour la gestion des incidents majeurs au niveau opérationnel;

b)	les instructions permanentes communes;

c)	une taxinomie commune de la gravité des incidents majeurs et des points déclencheurs de crise;

d)	des exercices réguliers;

e)	les canaux de communication sécurisés à utiliser.

2.   Sous réserve du plan de gestion des crises de cybersécurité défini en vertu du paragraphe 1 du présent article et sans préjudice de l’article 16, paragraphe 2, premier alinéa, de la directive (UE) 2022/2555, le représentant de la Commission à l’IICB fait office de point de contact pour le partage des informations pertinentes relatives aux incidents majeurs avec EU-CyCLONe.

3.   Le CERT-UE coordonne la gestion des incidents majeurs entre les entités_de_l’Union. Il tient à jour un inventaire de l’expertise technique disponible qui serait nécessaire pour réagir aux incidents en cas d’ incidents majeurs et assiste l’IICB dans la coordination des plans de gestion des crises de cybersécurité des entités_de_l’Union en cas d’ incidents majeurs visés à l’article 9, paragraphe 2.

4.   les entités_de_l’Union contribuent à l’inventaire de l’expertise technique en fournissant une liste des experts disponibles au sein de leurs entités respectives, qui est mise à jour chaque année et détaille les compétences techniques spécifiques de ces experts.