keyboard_tab Cyber Resilience Act 2023/2841 FR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 3 Art. 6 Cadre de gestion, de gouvernance et de contrôle des risques de cybersécurité
- 1 Art. 7 Évaluations de la maturité en matière de cybersécurité
- 1 Art. 10 Conseil interinstitutionnel de cybersécurité
- 4 Art. 11 Tâches de l’IICB
- 5 Art. 13 Mission et tâches du CERT-UE
- 2 Art. 22 Coordination de la réaction aux incidents et coopération
- 1 Art. 23 Gestion des incidents majeurs
- 1 Art. 25 Réexamen
- Article 26 Entrée en vigueur
CHAPITRE I
DISPOSITIONS GENERALES
CHAPITRE II
MESURES DESTINEES A ASSURER UN NIVEAU ELEVE COMMUN DE CYBERSECURITE
CHAPITRE III
CONSEIL INTERINSTITUTIONNEL DE CYBERSECURITE
CHAPITRE IV
CERT-UE
CHAPITRE V
OBLIGATIONS EN MATIERE DE COOPERATION ET DE COMMUNICATION D’INFORMATIONS
CHAPITRE VI
DISPOSITIONS FINALES
- entités de l’Union
- réseau et système d’information
- sécurité des réseaux et des systèmes d’information
- cybersécurité
- niveau hiérarchique le plus élevé
- incident évité
- incident
- incident majeur
- incident de cybersécurité majeur
- traitement des incidents
- cybermenace
- cybermenace importante
- vulnérabilité
- risque de cybersécurité
- service d’informatique en nuage
- cybersécurité 57
- cert-ue 56
- entités_de_l’union 47
- l’union 38
- l’iicb 32
- règlement 30
- incidents 30
- présent 26
- dans 26
- avec 25
- l’article 24
- mise 23
- pour 21
- niveau 21
- gestion 20
- œuvre 20
- d’une 20
- paragraphe 19
- le 19
- peut 18
- base 17
- entité 16
- coopération 15
- matière 14
- cadre 13
- services 13
- européen 12
- majeurs 12
- conformément 11
- proposition 11
- conseil 11
- échéant 10
- membres 10
- informations 10
- rapport 10
- coordination 10
- point 10
- ue / 9
- fait 9
- compris 9
- tâches 9
- l’entité 9
- entre 9
- concerne 9
- d’informations 8
- chef 8
- compte 8
- demande 8
- vertu 8
- être 8
Article 6
Cadre de gestion, de gouvernance et de contrôle des risques de cybersécurité
1. Au plus tard le 8 avril 2025, chaque entité de l’Union établit, après avoir procédé à un examen initial de la cybersécurité, tel qu’un audit, un cadre interne de gestion, de gouvernance et de contrôle des risques de cybersécurité (ci-après dénommé «cadre»). L’établissement du cadre est placé sous la supervision et la responsabilité du niveau_hiérarchique_le_plus_élevé de l’entité de l’Union.
2. Le cadre couvre l’ensemble de l’environnement TIC non classifié de l’entité de l’Union concernée, y compris l’environnement TIC sur sites, le réseau de technologie opérationnelle, les actifs et services externalisés dans des environnements d’informatique en nuage ou hébergés par des tiers, les appareils mobiles, les réseaux d’entreprise, les réseaux professionnels non connectés à l’internet et tout appareil connecté à ces environnements (ci-après dénommé «environnement TIC»). Le cadre est fondé sur une approche «tous risques».
3. Le cadre garantit un niveau élevé de cybersécurité. Le cadre établit des politiques internes de cybersécurité, y compris des objectifs et des priorités, pour la sécurité_des_réseaux_et_des_systèmes_d’information, ainsi que les rôles et les responsabilités du personnel de l’entité de l’Union chargé d’assurer la mise en œuvre effective du présent règlement. Le cadre comprend également des mécanismes visant à mesurer l’efficacité de la mise en œuvre.
4. Le cadre fait régulièrement l’objet d’une révision, compte tenu de l’évolution des risques de cybersécurité, et au moins tous les quatre ans. Le cas échéant et à la suite d’une demande du conseil interinstitutionnel de cybersécurité institué en vertu de l’article 10, le cadre d’une entité de l’Union peut être mis à jour sur la base des orientations données par le CERT-UE sur les incidents identifiés ou les lacunes éventuelles observées dans la mise en œuvre du présent règlement.
5. Le niveau_hiérarchique_le_plus_élevé de chaque entité de l’Union est responsable de la mise en œuvre du présent règlement et contrôle le respect, par son entité, des obligations liées au cadre.
6. Le cas échéant et sans préjudice de sa responsabilité dans la mise en œuvre du présent règlement, le niveau_hiérarchique_le_plus_élevé de chaque entité de l’Union peut déléguer des obligations spécifiques au titre du présent règlement à des membres du personnel d’encadrement supérieur au sens de l’article 29, paragraphe 2, du statut ou à d’autres fonctionnaires de niveau équivalent, au sein de l’entité de l’Union concernée. Indépendamment d’une telle délégation, le niveau_hiérarchique_le_plus_élevé peut être tenu pour responsable des infractions au présent règlement commises par l’entité de l’Union concernée.
7. Chaque entité de l’Union dispose de mécanismes efficaces pour garantir qu’un pourcentage adéquat du budget TIC est consacré à la cybersécurité. Lors de la fixation de ce pourcentage, il est dûment tenu compte du cadre.
8. Chaque entité de l’Union désigne un responsable local de la cybersécurité ou une fonction équivalente qui fait office de point de contact unique pour tous les aspects liés à la cybersécurité. Le responsable local de la cybersécurité facilite la mise en œuvre du présent règlement et rend directement et régulièrement compte au niveau_hiérarchique_le_plus_élevé de l’état d’avancement de la mise en œuvre. Sans préjudice du fait que le responsable local de la cybersécurité soit le point de contact unique dans chaque entité de l’Union, une entité de l’Union peut déléguer certaines tâches du responsable local de la cybersécurité en ce qui concerne la mise en œuvre du présent règlement au CERT-UE sur la base d’un accord de niveau de service conclu entre cette entité de l’Union et le CERT-UE, ou ces tâches peuvent être partagées entre plusieurs entités_de_l’Union. Lorsque ces tâches sont déléguées au CERT-UE, le conseil interinstitutionnel de cybersécurité institué en vertu de l’article 10 décide si la fourniture de ce service fait partie des services de base du CERT-UE, en tenant compte des ressources humaines et financières de l’entité de l’Union concernée. Chaque entité de l’Union informe le CERT-UE, dans les meilleurs délais, de la désignation du responsable local de cybersécurité, ainsi que de tout changement ultérieur.
Le CERT-UE établit et tient à jour une liste des responsables locaux de la cybersécurité désignés.
9. Les membres de l’encadrement supérieur au sens de l’article 29, paragraphe 2, du statut ou d’autres fonctionnaires de niveau équivalent de chaque entité de l’Union ainsi que tous les membres du personnel pertinents chargés de la mise en œuvre des mesures et de l’exécution des obligations de gestion des risques de cybersécurité définies par le présent règlement suivent régulièrement une formation spécifique afin d’acquérir des connaissances et des compétences suffisantes pour appréhender et évaluer les pratiques en matière de gestion des risques et de gestion de la cybersécurité et leur incidence sur les activités de l’entité de l’Union.
Article 7
Évaluations de la maturité en matière de cybersécurité
1. Au plus tard le 8 juillet 2025 et au moins tous les deux ans par la suite, chaque entité de l’Union procède à une évaluation de la maturité en matière de cybersécurité portant sur l’ensemble des éléments de son environnement TIC.
2. Les évaluations de la maturité en matière de cybersécurité sont effectuées, le cas échéant, avec l’aide d’un tiers spécialisé.
3. Les entités_de_l’Union ayant des structures similaires peuvent coopérer à la réalisation d’évaluations de la maturité en matière de cybersécurité pour leurs entités respectives.
4. Sur la base d’une demande du conseil interinstitutionnel de cybersécurité institué en vertu de l’article 10 et avec le consentement explicite de l’entité de l’Union concernée, les résultats d’une évaluation de la maturité en matière de cybersécurité peuvent être discutés au sein dudit conseil ou du groupe informel de responsables locaux de la cybersécurité afin de tirer les leçons des expériences et de partager les bonnes pratiques.
Article 10
Conseil interinstitutionnel de cybersécurité
1. Un conseil interinstitutionnel de cybersécurité (IICB) est institué.
2. L’IICB est chargé:
| a) | de suivre et de soutenir la mise en œuvre du présent règlement par les entités_de_l’Union; |
| b) | de superviser la mise en œuvre des priorités et objectifs généraux par le CERT-UE et de lui fournir des orientations stratégiques. |
3. L’IICB est composé:
| a) | d’un représentant désigné par chacune des entités suivantes:
|
| b) | de trois représentants désignés par le réseau des agences de l’Union européenne (EUAN), sur proposition de son comité consultatif sur les TIC, pour représenter les intérêts des organes et organismes de l’Union qui gèrent leur propre environnement TIC, autres que ceux visés au point a). |
Les entités_de_l’Union représentées au sein de l’IICB s’efforcent de parvenir à un équilibre entre les femmes et les hommes parmi les représentants désignés.
4. Chaque membre de l’IICB peut être assisté d’un suppléant. D’autres représentants des entités_de_l’Union visées au paragraphe 3 ou d’autres entités_de_l’Union peuvent être invités par le président à assister aux réunions de l’IICB sans droit de vote.
5. Le chef du CERT-UE et les présidents du groupe de coopération, du réseau des CSIRT et de EU-CyCLONe établis, respectivement, en vertu des articles 14, 15 et 16 de la directive (UE) 2022/2555, ou leurs suppléants, peuvent participer aux réunions de l’IICB en tant qu’observateurs. Dans des circonstances exceptionnelles, l’IICB peut, conformément à son règlement intérieur, en décider autrement.
6. L’IICB adopte son règlement intérieur.
7. L’IICB désigne un président parmi ses membres, conformément à son règlement intérieur et pour une période de trois ans. Le suppléant du président devient membre à part entière de l’IICB pour la même durée.
8. L’IICB se réunit au moins trois fois par an à l’initiative de son président, à la demande du CERT-UE ou à la demande de l’un de ses membres.
9. Chaque membre de l’IICB dispose d’une voix. Les décisions de l’IICB sont prises à la majorité simple, sauf disposition contraire du présent règlement. Le président de l’IICB ne peut voter qu’en cas d’égalité, sa voix pouvant alors être décisive.
10. L’IICB peut statuer par la voie d’une procédure écrite simplifiée lancée conformément à son règlement intérieur. Dans le cadre de cette procédure, la décision concernée est réputée approuvée dans le délai fixé par le président, sauf objection d’un membre.
11. Le secrétariat de l’IICB est assuré par la Commission et rend compte au président de l’IICB.
12. Les représentants nommés par l’EUAN transmettent les décisions de l’IICB aux membres de l’EUAN. Tout membre de l’EUAN a le droit de soulever auprès de ces représentants ou du président de l’IICB toute question qu’il estime devoir être portée à l’attention de l’IICB.
13. L’IICB peut établir un comité exécutif pour l’assister dans ses travaux et lui déléguer certains de ses pouvoirs et tâches. L’IICB établit le règlement intérieur du comité exécutif, y compris ses tâches et pouvoirs, ainsi que le mandat de ses membres.
14. Au plus tard le 8 janvier 2025, puis sur une base annuelle, l’IICB présente au Parlement européen et au Conseil un rapport détaillant les progrès réalisés dans la mise en œuvre du présent règlement et précisant notamment l’étendue de la coopération du CERT-UE avec ses homologues des États membres dans chacun d’entre eux. Le rapport constitue une contribution au rapport bisannuel sur l’état de la cybersécurité dans l’Union adopté en vertu de l’article 18 de la directive (UE) 2022/2555.
Article 11
Tâches de l’IICB
Lorsqu’il exerce ses responsabilités, l’IICB doit notamment:
| a) | fournir des orientations au chef du CERT-UE; |
| b) | suivre et superviser efficacement la mise en œuvre du présent règlement et aider les entités_de_l’Union à renforcer leur cybersécurité, y compris, le cas échéant, en demandant des rapports ad hoc aux entités_de_l’Union et au CERT-UE; |
| c) | à la suite de discussions stratégiques, adopter une stratégie pluriannuelle visant à relever le niveau de cybersécurité dans les entités_de_l’Union, l’évaluer régulièrement et en tout état de cause tous les cinq ans et, le cas échéant, la modifier; |
| d) | mettre au point la méthodologie et les aspects organisationnels concernant la réalisation d’évaluations volontaires par les pairs par les entités_de_l’Union, en vue de tirer les enseignements des expériences partagées, de renforcer la confiance mutuelle, d’atteindre un niveau élevé commun de cybersécurité et de renforcer les capacités des entités_de_l’Union en matière de cybersécurité, en veillant à ce que ces évaluations par les pairs soient menées par des experts en cybersécurité désignés par une entité de l’Union différente de celle qui en fait l’objet et à ce que la méthodologie soit fondée sur l’article 19 de la directive (UE) 2022/2555 et soit, le cas échéant, adaptée aux entités_de_l’Union; |
| e) | approuver, sur la base d’une proposition du chef du CERT-UE, le programme de travail annuel du CERT-UE et en suivre la mise en œuvre; |
| f) | approuver, sur la base d’une proposition du chef du CERT-UE, le catalogue de services du CERT-UE et toute mise à jour de celui-ci; |
| g) | approuver, sur la base d’une proposition du chef du CERT-UE, la planification financière annuelle des recettes et des dépenses, y compris en matière d’effectifs, pour les activités du CERT-UE; |
| h) | approuver, sur la base d’une proposition du chef du CERT-UE, les modalités des accords de niveau de service; |
| i) | examiner et approuver le rapport annuel établi par le chef du CERT-UE concernant les activités du CERT-UE et sa gestion des fonds; |
| j) | approuver les indicateurs clés de performance (ICP) relatifs au CERT-UE qui sont définis sur proposition du chef du CERT-UE, et en assurer le suivi; |
| k) | approuver les accords de coopération et les accords ou contrats de niveau de service conclus entre le CERT-UE et d’autres entités conformément à l’article 18; |
| l) | adopter des orientations et des recommandations sur proposition du CERT-UE conformément à l’article 14 et donner instruction au CERT-UE d’élaborer, de retirer ou de modifier une proposition d’orientations ou de recommandations, ou une injonction; |
| m) | créer des groupes consultatifs techniques chargés de missions spécifiques afin d’assister l’IICB dans ses travaux, approuver leur mandat et désigner leurs présidents respectifs; |
| n) | recevoir et évaluer les documents et rapports présentés par les entités_de_l’Union au titre du présent règlement, tels que les évaluations de la maturité en matière de cybersécurité; |
| o) | faciliter la mise en place d’un groupe informel de responsables locaux de la cybersécurité des entités_de_l’Union, soutenu par l’ENISA, dans le but d’échanger de bonnes pratiques et des informations relatives à la mise en œuvre du présent règlement; |
| p) | compte tenu des informations fournies par le CERT-UE sur les risques de cybersécurité identifiés et les enseignements tirés, contrôler l’adéquation des dispositifs d’interconnexion entre les environnements TIC des entités_de_l’Union et donner des conseils sur les améliorations possibles; |
| q) | établir un plan de gestion des crises de cybersécurité en vue de soutenir, au niveau opérationnel, la gestion coordonnée des incidents majeurs affectant les entités_de_l’Union et de contribuer à l’échange régulier d’informations pertinentes, en particulier en ce qui concerne les conséquences et la gravité des incidents majeurs et les moyens possibles d’en atténuer les effets; |
| r) | coordonner l’adoption des plans individuels de gestion des crises de cybersécurité des entités_de_l’Union visés à l’article 9, paragraphe 2; |
| s) | adopter des recommandations concernant la sécurité des chaînes d’approvisionnement visée à l’article 8, paragraphe 2, premier alinéa, point m), compte tenu des résultats des évaluations coordonnées au niveau de l’Union des risques pour la sécurité des chaînes d’approvisionnement critiques visées à l’article 22 de la directive (UE) 2022/2555, afin d’aider les entités_de_l’Union à adopter des mesures efficaces et proportionnées en matière de gestion des risques de cybersécurité; |
Article 13
Mission et tâches du CERT-UE
1. La mission du CERT-UE est de contribuer à la sécurité de l’environnement TIC non classifié des entités_de_l’Union en leur fournissant des conseils concernant la cybersécurité, en les aidant à prévenir, à détecter et à traiter les incidents, ainsi qu’à en atténuer les effets, à y répondre et à s’en remettre, et en faisant office de pôle d’échange d’informations sur la cybersécurité et de coordination des réponses aux incidents.
2. Le CERT-UE recueille, gère, analyse et partage avec les entités_de_l’Union des informations sur les cybermenaces, les vulnérabilités et les incidents relatifs aux infrastructures TIC non classifiées. Il coordonne les réponses aux incidents au niveau interinstitutionnel et au niveau des entités_de_l’Union, y compris en assurant ou en coordonnant la fourniture d’une assistance opérationnelle spécialisée.
3. Le CERT-UE accomplit les tâches suivantes pour les entités_de_l’Union:
| a) | les soutenir dans la mise en œuvre du présent règlement et contribuer à la coordination de l’application du présent règlement par l’intermédiaire des mesures énoncées à l’article 14, paragraphe 1, ou des rapports ad hoc demandés par l’IICB; |
| b) | offrir des services CSIRT standard aux entités_de_l’Union au moyen d’un ensemble de services de cybersécurité décrits dans son catalogue de services (ci-après dénommés «services de base»); |
| c) | gérer un réseau de pairs et de partenaires pour soutenir les services visés aux articles 17 et 18; |
| d) | attirer l’attention de l’IICB sur toute question relative à la mise en œuvre du présent règlement et à la mise en œuvre des orientations, recommandations et injonctions; |
| e) | sur la base des informations visées au paragraphe 2, contribuer à la conscience situationnelle de la cybersécurité de l’Union en étroite coopération avec l’ENISA; |
| f) | coordonner la gestion des incidents majeurs; |
| g) | jouer, pour les entités_de_l’Union, un rôle équivalent à celui de coordinateur désigné aux fins de la divulgation coordonnée des vulnérabilités conformément à l’article 12, paragraphe 1, de la directive (UE) 2022/2555; |
| h) | réaliser, à la demande d’une entité de l’Union, un scan proactif et non intrusif des réseaux et des systèmes d’information accessibles au public de ladite entité de l’Union. |
Les informations visées au premier alinéa, point e), sont partagées avec l’IICB, le réseau des CSIRT et le Centre de situation et du renseignement de l’Union européenne (INTCEN), le cas échéant et selon le cas, et sont soumises à des conditions de confidentialité appropriées.
4. Le CERT-UE peut, conformément à l’article 17 ou à l’article 18 selon le cas, coopérer avec les communautés de cybersécurité pertinentes au sein de l’Union et de ses États membres, notamment dans les domaines suivants:
| a) | la préparation, la coordination face aux incidents, l’échange d’informations et la réaction aux crises au niveau technique dans les cas liés aux entités_de_l’Union; |
| b) | la coopération opérationnelle concernant le réseau des centres de réponse aux incidents de sécurité informatique (CSIRT), y compris en matière d’assistance mutuelle; |
| c) | les renseignements sur les cybermenaces, y compris la conscience situationnelle; |
| d) | tout sujet nécessitant l’expertise technique du CERT-UE en matière de cybersécurité. |
5. Dans la limite de ses compétences, le CERT-UE mène une coopération structurée avec l’ENISA en ce qui concerne le renforcement des capacités, la coopération opérationnelle et les analyses stratégiques à long terme des cybermenaces conformément au règlement (UE) 2019/881. Le CERT-UE peut coopérer et échanger des informations avec le Centre européen de lutte contre la cybercriminalité d’Europol.
6. Le CERT-UE peut fournir les services suivants non décrits dans son catalogue de services («services payants»):
| a) | des services soutenant la cybersécurité de l’environnement TIC des entités_de_l’Union, autres que ceux visés au paragraphe 3, sur la base d’accords de niveau de service et sous réserve des ressources disponibles, notamment une surveillance des réseaux à large spectre, y compris la surveillance 24 heures sur 24, 7 jours sur 7 de première ligne des cybermenaces d’une gravité élevée; |
| b) | des services soutenant les opérations ou projets de cybersécurité des entités_de_l’Union, autres que ceux visant à protéger leur environnement TIC, sur la base d’accords écrits et avec l’approbation préalable de l’IICB; |
| c) | sur demande, un scan proactif des réseaux et des systèmes d’information de l’entité de l’Union concernée afin de détecter les vulnérabilités susceptibles d’avoir un impact important; |
| d) | des services soutenant la sécurité de l’environnement TIC fournis à des entités autres que les entités_de_l’Union qui coopèrent étroitement avec les entités_de_l’Union, par exemple par l’intermédiaire de tâches ou de responsabilités confiées en vertu du droit de l’Union, sur la base d’accords écrits et avec l’approbation préalable de l’IICB. |
En ce qui concerne le premier alinéa, point d), le CERT-UE peut, à titre exceptionnel, conclure des accords de niveau de service avec des entités autres que les entités_de_l’Union, avec l’approbation préalable de l’IICB.
7. Le CERT-UE organise et peut participer à des exercices de cybersécurité ou recommander la participation à des exercices existants, le cas échéant en étroite coopération avec l’ENISA, afin de tester le niveau de cybersécurité des entités_de_l’Union.
8. Le CERT-UE peut fournir une assistance aux entités_de_l’Union en ce qui concerne les incidents survenant dans des réseaux et systèmes d’information traitant des ICUE s’il y est explicitement invité par les entités_de_l’Union concernées, conformément à leurs procédures respectives. La fourniture d’une assistance par le CERT-UE en vertu du présent paragraphe est sans préjudice des règles applicables en ce qui concerne la protection des informations classifiées.
9. Le CERT-UE informe les entités_de_l’Union de ses procédures et processus de gestion des incidents.
10. Le CERT-UE fournit, avec un niveau de confidentialité et de fiabilité élevé, au moyen des mécanismes de coopération et des lignes hiérarchiques appropriées, des informations pertinentes et anonymisées sur les incidents majeurs et la façon dont ils ont été traités. Ces informations sont intégrées dans le rapport visé à l’article 10, paragraphe 14.
11. Pour traiter des incidents donnant lieu à des violations de données à caractère personnel, le CERT-UE, en coopération avec le CEPD, soutient les entités_de_l’Union concernées, sans préjudice de la compétence et des missions du CEPD en tant qu’autorité de contrôle au titre du règlement (UE) 2018/1725.
12. Le CERT-UE peut, si les services politiques des entités_de_l’Union en font expressément la demande, fournir des conseils ou des contributions techniques sur des questions politiques pertinentes.
Article 22
Coordination de la réaction aux incidents et coopération
1. En faisant office de pôle d’échange d’informations sur la cybersécurité et de coordination des réponses aux incidents, le CERT-UE facilite l’échange d’informations en ce qui concerne les cybermenaces, les vulnérabilités et les incidents évités entre:
| a) | les entités_de_l’Union; |
| b) | les homologues visés aux articles 17 et 18. |
2. Le CERT-UE, le cas échéant en étroite coopération avec l’ENISA, facilite la coordination entre les entités_de_l’Union en matière de réaction aux incidents, notamment par les moyens suivants:
| a) | contribution à une communication externe cohérente; |
| b) | soutien mutuel, comme le partage d’informations pertinentes avec les entités_de_l’Union, ou fourniture d’une assistance, le cas échéant directement sur site; |
| c) | utilisation optimale des ressources opérationnelles; |
| d) | coordination avec d’autres mécanismes de réaction aux crises au niveau de l’Union. |
3. Le CERT-UE, en étroite coopération avec l’ENISA, soutient les entités_de_l’Union en ce qui concerne la conscience situationnelle des incidents, des cybermenaces, des vulnérabilités et des incidents évités ainsi qu’en ce qui concerne le partage des évolutions pertinentes dans le domaine de la cybersécurité.
4. Au plus tard le 8 janvier 2025, sur la base d’une proposition du CERT-UE, l’IICB adopte des orientations ou des recommandations sur la coordination de la réaction aux incidents et la coopération en cas d’ incident important. Lorsqu’il est suspecté qu’un incident est de nature criminelle, le CERT-UE conseille sur la manière de signaler l’ incident aux autorités répressives sans retard injustifié.
5. À la demande spécifique d’un État membre et moyennant l’approbation des entités_de_l’Union concernées, le CERT-UE peut inviter des experts figurant sur la liste visée à l’article 23, paragraphe 4, à contribuer à la réaction à un incident majeur qui a un impact dans cet État membre ou à un incident de cybersécurité majeur conformément à l’article 15, paragraphe 3, point g), de la directive (UE) 2022/2555. Des règles spécifiques relatives à l’accès et au recours à des experts techniques issus des entités_de_l’Union sont approuvées par l’IICB sur la base d’une proposition du CERT-UE.
Article 23
Gestion des incidents majeurs
1. Afin de soutenir au niveau opérationnel la gestion coordonnée des incidents majeurs affectant des entités_de_l’Union et de contribuer à l’échange régulier d’informations pertinentes entre les entités_de_l’Union et avec les États membres, l’IICB définit, conformément à l’article 11, point q), un plan de gestion des crises de cybersécurité sur la base des activités visées à l’article 22, paragraphe 2, en étroite coopération avec le CERT-UE et l’ENISA. Le plan de gestion des crises de cybersécurité comprend au moins les éléments suivants:
| a) | les modalités de coordination et de flux d’informations entre les entités_de_l’Union pour la gestion des incidents majeurs au niveau opérationnel; |
| b) | les instructions permanentes communes; |
| c) | une taxinomie commune de la gravité des incidents majeurs et des points déclencheurs de crise; |
| d) | des exercices réguliers; |
| e) | les canaux de communication sécurisés à utiliser. |
2. Sous réserve du plan de gestion des crises de cybersécurité défini en vertu du paragraphe 1 du présent article et sans préjudice de l’article 16, paragraphe 2, premier alinéa, de la directive (UE) 2022/2555, le représentant de la Commission à l’IICB fait office de point de contact pour le partage des informations pertinentes relatives aux incidents majeurs avec EU-CyCLONe.
3. Le CERT-UE coordonne la gestion des incidents majeurs entre les entités_de_l’Union. Il tient à jour un inventaire de l’expertise technique disponible qui serait nécessaire pour réagir aux incidents en cas d’ incidents majeurs et assiste l’IICB dans la coordination des plans de gestion des crises de cybersécurité des entités_de_l’Union en cas d’ incidents majeurs visés à l’article 9, paragraphe 2.
4. Les entités_de_l’Union contribuent à l’inventaire de l’expertise technique en fournissant une liste des experts disponibles au sein de leurs entités respectives, qui est mise à jour chaque année et détaille les compétences techniques spécifiques de ces experts.
CHAPITRE VI
DISPOSITIONS FINALES
Article 25
Réexamen
1. Au plus tard le 8 janvier 2025, puis sur une base annuelle, l’IICB, avec l’aide du CERT-UE, fait rapport à la Commission sur la mise en œuvre du présent règlement. L’IICB peut adresser des recommandations à la Commission en vue de réexaminer le présent règlement.
2. Au plus tard le 8 janvier 2027, puis tous les deux ans, la Commission évalue et fait rapport au Parlement européen et au Conseil sur la mise en œuvre du présent règlement et sur l’expérience acquise au niveau stratégique et opérationnel.
Le rapport visé au premier alinéa du présent paragraphe comprend le réexamen visé à l’article 16, paragraphe 1, relatif à la possibilité de faire du CERT-UE un organisme de l’Union.
3. Au plus tard le 8 janvier 2029, la Commission évalue le fonctionnement du présent règlement et fait rapport au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions. La Commission évalue également l’opportunité d’inclure les réseaux et systèmes d’information traitant des ICUE dans le champ d’application du présent règlement, en tenant compte des autres actes législatifs de l’Union applicables à ces systèmes. Le rapport est accompagné au besoin d’une proposition législative.
whereas