keyboard_tab Cyber Resilience Act 2023/2841 FR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
CHAPITRE I
DISPOSITIONS GENERALES
CHAPITRE II
MESURES DESTINEES A ASSURER UN NIVEAU ELEVE COMMUN DE CYBERSECURITE
CHAPITRE III
CONSEIL INTERINSTITUTIONNEL DE CYBERSECURITE
CHAPITRE IV
CERT-UE
CHAPITRE V
OBLIGATIONS EN MATIERE DE COOPERATION ET DE COMMUNICATION D’INFORMATIONS
CHAPITRE VI
DISPOSITIONS FINALES
- entités de l’Union
- réseau et système d’information
- sécurité des réseaux et des systèmes d’information
- cybersécurité
- niveau hiérarchique le plus élevé
- incident évité
- incident
- incident majeur
- incident de cybersécurité majeur
- traitement des incidents
- cybermenace
- cybermenace importante
- vulnérabilité
- risque de cybersécurité
- service d’informatique en nuage
- cert-ue 48
- l’iicb 32
- l’union 30
- européen 25
- commission 23
- règlement 23
- pour 21
- dans 19
- conseil 18
- l’article 18
- européenne 17
- incidents 16
- chef 15
- présent 15
- entités_de_l’union 15
- paragraphe 15
- cybersécurité 14
- parlement 14
- no / 14
- ue / 12
- président 11
- services 11
- gestion 11
- directive 10
- conformément 10
- majeurs 10
- membres 10
- avec 9
- vertu 9
- le 9
- sont 9
- rapport 9
- l’entité 9
- comité 9
- membre 8
- compris 8
- article 8
- touchée 8
- jo l 7
- entre 7
- incident 7
- mise 7
- niveau 7
- fait 7
- l’iicb 7
- peut 7
- proposition 6
- tout 6
- compte 6
- financières 6
Article 10
Conseil interinstitutionnel de cybersécurité
1. Un conseil interinstitutionnel de cybersécurité (IICB) est institué.
2. L’IICB est chargé:
| a) | de suivre et de soutenir la mise en œuvre du présent règlement par les entités_de_l’Union; |
| b) | de superviser la mise en œuvre des priorités et objectifs généraux par le CERT-UE et de lui fournir des orientations stratégiques. |
3. L’IICB est composé:
| a) | d’un représentant désigné par chacune des entités suivantes:
|
| b) | de trois représentants désignés par le réseau des agences de l’Union européenne (EUAN), sur proposition de son comité consultatif sur les TIC, pour représenter les intérêts des organes et organismes de l’Union qui gèrent leur propre environnement TIC, autres que ceux visés au point a). |
Les entités_de_l’Union représentées au sein de l’IICB s’efforcent de parvenir à un équilibre entre les femmes et les hommes parmi les représentants désignés.
4. Chaque membre de l’IICB peut être assisté d’un suppléant. D’autres représentants des entités_de_l’Union visées au paragraphe 3 ou d’autres entités_de_l’Union peuvent être invités par le président à assister aux réunions de l’IICB sans droit de vote.
5. Le chef du CERT-UE et les présidents du groupe de coopération, du réseau des CSIRT et de EU-CyCLONe établis, respectivement, en vertu des articles 14, 15 et 16 de la directive (UE) 2022/2555, ou leurs suppléants, peuvent participer aux réunions de l’IICB en tant qu’observateurs. Dans des circonstances exceptionnelles, l’IICB peut, conformément à son règlement intérieur, en décider autrement.
6. L’IICB adopte son règlement intérieur.
7. L’IICB désigne un président parmi ses membres, conformément à son règlement intérieur et pour une période de trois ans. Le suppléant du président devient membre à part entière de l’IICB pour la même durée.
8. L’IICB se réunit au moins trois fois par an à l’initiative de son président, à la demande du CERT-UE ou à la demande de l’un de ses membres.
9. Chaque membre de l’IICB dispose d’une voix. Les décisions de l’IICB sont prises à la majorité simple, sauf disposition contraire du présent règlement. Le président de l’IICB ne peut voter qu’en cas d’égalité, sa voix pouvant alors être décisive.
10. L’IICB peut statuer par la voie d’une procédure écrite simplifiée lancée conformément à son règlement intérieur. Dans le cadre de cette procédure, la décision concernée est réputée approuvée dans le délai fixé par le président, sauf objection d’un membre.
11. Le secrétariat de l’IICB est assuré par la commission et rend compte au président de l’IICB.
12. Les représentants nommés par l’EUAN transmettent les décisions de l’IICB aux membres de l’EUAN. Tout membre de l’EUAN a le droit de soulever auprès de ces représentants ou du président de l’IICB toute question qu’il estime devoir être portée à l’attention de l’IICB.
13. L’IICB peut établir un comité exécutif pour l’assister dans ses travaux et lui déléguer certains de ses pouvoirs et tâches. L’IICB établit le règlement intérieur du comité exécutif, y compris ses tâches et pouvoirs, ainsi que le mandat de ses membres.
14. Au plus tard le 8 janvier 2025, puis sur une base annuelle, l’IICB présente au Parlement européen et au Conseil un rapport détaillant les progrès réalisés dans la mise en œuvre du présent règlement et précisant notamment l’étendue de la coopération du CERT-UE avec ses homologues des États membres dans chacun d’entre eux. Le rapport constitue une contribution au rapport bisannuel sur l’état de la cybersécurité dans l’Union adopté en vertu de l’article 18 de la directive (UE) 2022/2555.
Article 15
Chef du CERT-UE
1. La commission, après avoir obtenu l’approbation d’une majorité des deux tiers des membres de l’IICB, désigne le chef du CERT-UE. L’IICB est consulté à tous les stades de la procédure de désignation, notamment en ce qui concerne l’établissement des avis de vacance, l’examen des candidatures et la désignation des comités de sélection relatifs au poste. La procédure de sélection, y compris la liste restreinte finale des candidats à partir de laquelle le chef du CERT-UE sera désigné, garantit une représentation juste de chaque sexe en tenant compte des candidatures présentées.
2. Le chef du CERT-UE est responsable du bon fonctionnement de celui-ci et agit dans le cadre de ses attributions et sous la direction de l’IICB. Le chef du CERT-UE communique régulièrement des rapports au président de l’IICB et présente des rapports ponctuels à l’IICB à sa demande.
3. Le chef du CERT-UE aide l’ordonnateur délégué compétent à élaborer le rapport annuel d’activités contenant des informations financières et de gestion, y compris les résultats des contrôles, établi conformément à l’article 74, paragraphe 9, du règlement (UE, Euratom) 2018/1046 du Parlement européen et du Conseil (9), et rend régulièrement compte à l’ordonnateur délégué de la mise en œuvre des mesures pour lesquelles des pouvoirs ont été sous-délégués au chef du CERT-UE.
4. Le chef du CERT-UE établit chaque année une planification financière des recettes et dépenses administratives pour ses activités, une proposition de programme de travail annuel, une proposition de catalogue de services du CERT-UE, des propositions de révision du catalogue de services, une proposition de modalités des accords de niveau de service et une proposition d’IPC relatifs au CERT-UE en vue de leur approbation par l’IICB conformément à l’article 11. Lors de la révision de la liste des services figurant dans le catalogue de services du CERT-UE, le chef du CERT-UE tient compte des ressources allouées au CERT-UE.
5. Le chef du CERT-UE présente au moins une fois par an des rapports à l’IICB et au président de l’IICB sur les activités exercées et les résultats obtenus par le CERT-UE pendant la période de référence, notamment en ce qui concerne l’exécution du budget, les accords de niveau de service et les accords écrits conclus, la coopération avec les homologues et les partenaires, ainsi que les missions effectuées par le personnel, y compris les rapports visés à l’article 11. Ces rapports comprennent un programme de travail pour la période suivante, la planification financière des recettes et des dépenses, y compris en matière d’effectifs, les mises à jour prévues du catalogue des services du CERT-UE et une évaluation de l’incidence attendue de ces mises à jour pour les ressources financières et humaines.
Article 16
Questions financières et de personnel
1. Le CERT-UE est intégré à la structure administrative d’une direction générale de la commission afin de bénéficier des structures d’appui de la commission en matière administrative, de gestion financière et de comptabilité tout en préservant son statut de fournisseur interinstitutionnel autonome de services destinés à l’ensemble des entités_de_l’Union. La commission informe l’IICB du siège administratif du CERT-UE et de toute modification de celui-ci. La commission procède régulièrement au réexamen des modalités administratives relatives au CERT-UE et, en tout état de cause, avant l’établissement de tout cadre financier pluriannuel conformément à l’article 312 du traité sur le fonctionnement de l’Union européenne, pour permettre l’adoption de mesures adéquates. Le réexamen prévoit la possibilité de faire du CERT-UE un organisme de l’Union.
2. Pour l’application des procédures administratives et financières, le chef du CERT-UE agit sous l’autorité de la commission et sous la surveillance de l’IICB.
3. Les tâches et activités du CERT-UE, y compris les services qu’il fournit, conformément à l’article 13, paragraphes 3, 4, 5 et 7, et à l’article 14, paragraphe 1, aux entités_de_l’Union et qui sont financés au titre de la rubrique du cadre financier pluriannuel consacrée à l’administration publique européenne, sont financées par une ligne budgétaire distincte du budget de la commission. Les postes réservés au CERT-UE sont détaillés dans une note de bas de page du tableau des effectifs de la commission.
4. Les entités_de_l’Union autres que celles visées au paragraphe 3 du présent article versent une contribution financière annuelle au CERT-UE pour couvrir les services fournis par le CERT-UE en vertu dudit paragraphe 3. Les contributions sont fondées sur les orientations données par l’IICB et convenues entre chaque entité de l’Union et le CERT-UE dans les accords de niveau de service. Les contributions représentent une part équitable et proportionnée de l’ensemble des coûts des services fournis. Elles sont affectées à la ligne budgétaire distincte visée au paragraphe 3 du présent article en tant que recettes affectées internes comme prévu à l’article 21, paragraphe 3, point c), du règlement (UE, Euratom) 2018/1046.
5. Les coûts des services prévus à l’article 13, paragraphe 6, sont recouvrés auprès des entités_de_l’Union qui bénéficient des services du CERT-UE. Les recettes sont affectées aux lignes budgétaires dont relèvent les coûts.
Article 17
Coopération du CERT-UE avec les homologues des États membres
1. Le CERT-UE coopère et échange des informations dans les meilleurs délais avec les homologues des États membres, y compris les CSIRT désignés ou établis en vertu de l’article 10 de la directive (UE) 2022/2555 ou, le cas échéant, les autorités compétentes et les points de contact uniques désignés ou établis en vertu de l’article 8 de ladite directive, en ce qui concerne les incidents, les cybermenaces, les vulnérabilités, les incidents évités, les éventuelles contre-mesures et les bonnes pratiques et toutes les questions pertinentes pour améliorer la protection des environnements TIC des entités_de_l’Union, y compris par l’intermédiaire du réseau des CSIRT établi en vertu de l’article 15 de la directive (UE) 2022/2555. Le CERT-UE soutient la commission au sein du réseau EU-CyCLONe établi en vertu de l’article 16 de la directive (UE) 2022/2555 pour ce qui est de la gestion coordonnée des incidents et crises de cybersécurité majeurs.
2. Lorsque le CERT-UE prend connaissance d’un incident important survenant sur le territoire d’un État membre, il avertit sans tarder tout homologue concerné dans ledit État membre conformément au paragraphe 1.
3. À condition que des données à caractère personnel soient protégées conformément au droit de l’Union applicable en matière de protection des données, le CERT-UE échange, sans retard inutile, des informations pertinentes propres à un incident avec les homologues des États membres afin de faciliter la détection de cybermenaces ou d’ incidents similaires ou de contribuer à l’analyse d’un incident sans l’autorisation de l’entité de l’Union touchée. Le CERT-UE n’échange des informations propres à un incident qui révèlent l’identité de la cible de l’ incident qu’en cas de survenance de l’un des événements suivants:
| a) | l’entité de l’Union touchée donne son consentement; |
| b) | l’entité de l’Union touchée ne donne pas son consentement comme le prévoit le point a), mais la divulgation de l’identité de l’entité de l’Union touchée augmente la probabilité d’éviter ou d’atténuer d’autres incidents survenant par ailleurs; |
| c) | l’entité de l’Union touchée a déjà fait savoir publiquement qu’elle a été touchée. |
Les décisions d’échanger des informations propres à un incident qui révèlent l’identité de la cible de l’ incident en vertu du premier alinéa, point b), sont approuvées par le chef du CERT-UE. Avant de prendre une telle décision, le CERT-UE contacte l’entité de l’Union touchée par écrit en expliquant précisément la façon dont la divulgation de son identité permettra d’éviter ou d’atténue d’autres incidents survenant par ailleurs. Le chef du CERT-UE fournit l’explication en demandant explicitement à l’entité de l’Union d’indiquer dans un délai déterminé si elle donne son consentement. Le chef du CERT-UE fait également savoir à l’entité de l’Union que, compte tenu de l’explication fournie, il se réserve le droit de divulguer l’information même sans son consentement. L’entité de l’Union touchée est informée avant la divulgation de l’information.
Article 23
Gestion des incidents majeurs
1. Afin de soutenir au niveau opérationnel la gestion coordonnée des incidents majeurs affectant des entités_de_l’Union et de contribuer à l’échange régulier d’informations pertinentes entre les entités_de_l’Union et avec les États membres, l’IICB définit, conformément à l’article 11, point q), un plan de gestion des crises de cybersécurité sur la base des activités visées à l’article 22, paragraphe 2, en étroite coopération avec le CERT-UE et l’ENISA. Le plan de gestion des crises de cybersécurité comprend au moins les éléments suivants:
| a) | les modalités de coordination et de flux d’informations entre les entités_de_l’Union pour la gestion des incidents majeurs au niveau opérationnel; |
| b) | les instructions permanentes communes; |
| c) | une taxinomie commune de la gravité des incidents majeurs et des points déclencheurs de crise; |
| d) | des exercices réguliers; |
| e) | les canaux de communication sécurisés à utiliser. |
2. Sous réserve du plan de gestion des crises de cybersécurité défini en vertu du paragraphe 1 du présent article et sans préjudice de l’article 16, paragraphe 2, premier alinéa, de la directive (UE) 2022/2555, le représentant de la commission à l’IICB fait office de point de contact pour le partage des informations pertinentes relatives aux incidents majeurs avec EU-CyCLONe.
3. Le CERT-UE coordonne la gestion des incidents majeurs entre les entités_de_l’Union. Il tient à jour un inventaire de l’expertise technique disponible qui serait nécessaire pour réagir aux incidents en cas d’ incidents majeurs et assiste l’IICB dans la coordination des plans de gestion des crises de cybersécurité des entités_de_l’Union en cas d’ incidents majeurs visés à l’article 9, paragraphe 2.
4. Les entités_de_l’Union contribuent à l’inventaire de l’expertise technique en fournissant une liste des experts disponibles au sein de leurs entités respectives, qui est mise à jour chaque année et détaille les compétences techniques spécifiques de ces experts.
CHAPITRE VI
DISPOSITIONS FINALES
Article 24
Réaffectation budgétaire initiale
Afin d’assurer un fonctionnement adapté et stable du CERT-UE, la commission peut proposer la réaffectation de personnel et de ressources financières vers le budget de la commission à destination des activités du CERT-UE. La réaffectation prend effet à la même date que le premier budget annuel de l’Union adopté après l’entrée en vigueur du présent règlement.
Article 25
Réexamen
1. Au plus tard le 8 janvier 2025, puis sur une base annuelle, l’IICB, avec l’aide du CERT-UE, fait rapport à la commission sur la mise en œuvre du présent règlement. L’IICB peut adresser des recommandations à la commission en vue de réexaminer le présent règlement.
2. Au plus tard le 8 janvier 2027, puis tous les deux ans, la commission évalue et fait rapport au Parlement européen et au Conseil sur la mise en œuvre du présent règlement et sur l’expérience acquise au niveau stratégique et opérationnel.
Le rapport visé au premier alinéa du présent paragraphe comprend le réexamen visé à l’article 16, paragraphe 1, relatif à la possibilité de faire du CERT-UE un organisme de l’Union.
3. Au plus tard le 8 janvier 2029, la commission évalue le fonctionnement du présent règlement et fait rapport au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions. La commission évalue également l’opportunité d’inclure les réseaux et systèmes d’information traitant des ICUE dans le champ d’application du présent règlement, en tenant compte des autres actes législatifs de l’Union applicables à ces systèmes. Le rapport est accompagné au besoin d’une proposition législative.
Article 26
Entrée en vigueur
Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Strasbourg, le 13 décembre 2023.
Par le Parlement européen
La présidente
R. METSOLA
Par le Conseil
Le président
P. NAVARRO RÍOS
(1) Position du Parlement européen du 21 novembre 2023 (non encore parue au Journal officiel) et décision du Conseil du 8 décembre 2023.
(2) Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) (JO L 333 du 27.12.2022, p. 80).
(3) Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) no 526/2013 (règlement sur la cybersécurité) (JO L 151 du 7.6.2019, p. 15).
(4) Accord interinstitutionnel entre le Parlement européen, le Conseil européen, le Conseil de l’Union européenne, la commission européenne, la Cour de justice de l’Union européenne, la Banque centrale européenne, la Cour des comptes européenne, le Service européen pour l’action extérieure, le Comité économique et social européen, le Comité européen des régions et la Banque européenne d’investissement relatif à l’organisation et au fonctionnement d’une équipe d’intervention en cas d’urgence informatique pour les institutions, organes et organismes de l’Union (CERT-UE) (JO C 12 du 13.1.2018, p. 1).
(5) Règlement (CEE, Euratom, CECA) no 259/68 du Conseil du 29 février 1968 fixant le statut des fonctionnaires des Communautés européennes ainsi que le régime applicable aux autres agents de ces Communautés, et instituant des mesures particulières temporairement applicables aux fonctionnaires de la commission (JO L 56 du 4.3.1968, p. 1).
(6) Recommandation (UE) 2017/1584 de la commission du 13 septembre 2017 sur la réaction coordonnée aux incidents et crises de cybersécurité majeurs (JO L 239 du 19.9.2017, p. 36).
(7) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39).
(8) JO C 258 du 5.7.2022, p. 10.
(9) Règlement (UE, Euratom) 2018/1046 du Parlement européen et du Conseil du 18 juillet 2018 relatif aux règles financières applicables au budget général de l’Union, modifiant les règlements (UE) no 1296/2013, (UE) no 1301/2013, (UE) no 1303/2013, (UE) no 1304/2013, (UE) no 1309/2013, (UE) no 1316/2013, (UE) no 223/2014, (UE) no 283/2014 et la décision no 541/2014/UE, et abrogeant le règlement (UE, Euratom) no 966/2012 (JO L 193 du 30.7.2018, p. 1).
(10) Règlement (CE) no 1049/2001 du Parlement européen et du Conseil du 30 mai 2001 relatif à l’accès du public aux documents du Parlement européen, du Conseil et de la commission (JO L 145 du 31.5.2001, p. 43).
ELI: http://data.europa.eu/eli/reg/2023/2841/oj
ISSN 1977-0693 (electronic edition)